Po ponad 4 latach obowiązywania przepisów Ogólnego Rozporządzenia o Ochronie Danych (RODO) doczekaliśmy się zatwierdzenia kryteriów certyfikacji pierwszego europejskiego znaku jakości ochrony danych – „Europrivacy”. Kryteria certyfikacji zostały zatwierdzone w dniu 10 października 2022 r. przez Europejską Radę Ochrony Danych (EROD). Zatwierdzenie przez EROD oznacza, że mechanizm certyfikacji Europrivacy będzie mógł być stosowany we wszystkich państwach unijnych.

1.  Znak jakości ochrony danych na gruncie RODO – podstawowe informacje

Znak jakości ochrony danych wprowadzono, aby ułatwić wykazanie zgodności przetwarzania z przepisami RODO. Co istotne certyfikacja dotyczy poszczególnych czynności bądź procesów przetwarzania, a nie ogółu działalności. W konsekwencji nie ma możliwości uzyskania certyfikatu dla całej firmy, a jedynie dla prowadzonych w jej ramach poszczególnych procesów przetwarzania danych. O uzyskanie znaku jakości mogą starać się zarówno firmy przetwarzające dane w roli administratorów, jak i procesorów. Uzyskanie certyfikatu nie zwalnia z odpowiedzialności za przetwarzane dane ani nie wpływa na zakres uprawnień organów nadzorczych. Może jednak stanowić znaczne ułatwienie przy wykazywaniu zgodności działalności z przepisami.

Zgodnie z RODO certyfikaty jakości mogą być wydane na okres maksimum 3 lat. Po upływie tego czasu istnieje możliwość przedłużenia certyfikatu, o ile podmiot certyfikowany nadal spełnia kryteria certyfikacji. W przypadku certyfikatu Europrivacy będzie on przyznawany na maksymalny dozwolony przez RODO okres czasu.

2. Znak jakości Europrivacy – najważniejsze informacje

Znak jakości Europrivacy opracowano z myślą o podmiotach mających siedzibę na terytorium Unii Europejskiej lub Europejskiego Obszaru Gospodarczego. Uzyskanie certyfikacji nie zastąpi mechanizmów transferu danych poza teren EOG. W konsekwencji legalność transferów danych poza EOG będzie musiała zostać zapewniona zgodnie z dotychczasowymi regułami, w szczególności na podstawie decyzji Komisji stwierdzającej odpowiedni stopień ochrony lub przez korzystanie ze standardowych klauzul umownych. Nie wszystkie rodzaje danych będą mogły być przedmiotem certyfikacji – Europrivacy nie będzie mieć zastosowania do danych genetycznych.

Podmioty przetwarzające dane w ramach współadministrowania będą mogły starać się o uzyskanie certyfikacji, bowiem procesy oparte na współadministrowaniu nie są automatycznie wyłączone. Może jednak zdarzyć się, że uzyskanie certyfikacji uniemożliwią postanowienia umowy zawartej pomiędzy współadministratorami.

Z uwagi na to, że zamierzeniem autorów Europrivacy było objęcie certyfikacją firm o różnych profilach działalności, a w konsekwencji przetwarzających różne rodzaje danych,  kryteria certyfikacji zostały podzielone na:

  1. kryteria główne („core criteria”);
  2. dodatkowe środki techniczne i organizacyjne („TOMs checks and controls”) – stosowane w przypadku przetwarzania danych specjalnej kategorii, danych dotyczących wyroków skazujących, czy też danych osobowych dzieci;
  3. kryteria wynikające ze specyficznych wymogów branżowych lub technologicznych („complementary contextual checks and controls”).

Kryteria oceny zgodności obejmują podstawowe kwestie wynikające z RODO, w szczególności dobór odpowiednich podstaw przetwarzania danych, wykazanie przez oceniany podmiot zgodności z zasadami wynikającymi z art. 5 RODO, czy też zgodność postanowień umów powierzenia zawartych z podmiotami przetwarzającymi z przepisami art. 28 RODO. Aby uzyskać znak jakości, aplikujący będą musieli wykazać wdrożenie odpowiednich środków bezpieczeństwa danych, stosowania zasady privacy by default i privacy by design jak również skutecznego systemu zarządzania naruszeniami danych.

Certyfikacja wg. Europrivacy będzie wiązać się z obowiązkowym wyznaczeniem Inspektora Ochrony Danych – nawet w przypadkach, gdy taki obowiązek nie wynika z przepisów RODO.

Ponieważ kryteria oceny zgodności z przepisami dot. ochrony danych mają być stosowane na poziomie całej Unii Europejskiej, podmiot ubiegający się o certyfikat będzie mieć obowiązek wykazania zgodności przetwarzania z mającymi do niego zastosowanie regulacjami państwa członkowskiego. Ma to być dokonywane w ramach specjalnego raportu –  „National Obligations Complance Assessment Report (NOCAR)”. Wprawdzie w ramach Europrivacy opracowano listę najważniejszych wymogów wynikających z legislacji poszczególnych państw członkowskich, jednak w opinii EROD powinny być one stosowane przez aplikujących jedynie posiłkowo i nie powinny być traktowane jako wyczerpująca lista.

Uzyskania certyfikatu może przynieść zarówno administratorom danych, jak i podmiotom przetwarzającym spore korzyści, w tym wizerunkowe. W dzisiejszych czasach bezpieczeństwo przetwarzania danych jest bowiem ważnym czynnikiem branym pod uwagę przy wyborze kontrahentów. Z drugiej jednak strony należy pamiętać, że uzyskanie certyfikatu może wiązać się z koniecznością poniesienia dodatkowych nakładów organizacyjnych, czy finansowych. Aplikujący będą też zobowiązani do  aktywnej współpracy z podmiotami dokonującymi certyfikacji i ujawnienia im wielu szczegółowych informacji i dostępu do czynności przetwarzania. Czas więc pokaże, czy znak jakości ochrony danych stanie się tak popularny, jak certyfikacja w innych niż ochrona danych obszarach.