W motywie 100 preambuły Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) organy i podmioty publiczne (z wyjątkiem sądów w zakresie sprawowania prze nie wymiaru sprawiedliwości) – dalej RODO, wskazano że aby zwiększyć przejrzystość i poprawić przestrzeganie niniejszego rozporządzenia, należy zachęcać do ustanowienia mechanizmów certyfikacji oraz do wprowadzenia znaków jakości i oznaczeń w dziedzinie ochrony danych, pozwalając w ten sposób osobom, których dane dotyczą, szybko ocenić stopień ochrony danych, której podlegają stosowne produkty i usługi.
Certyfikacja oraz znaki jakości i oznaczenia w zakresie ochrony danych osobowych mającą świadczyć o zgodności z RODO operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające (art. 42 ust. 1 RODO).
Certyfikacja jest dobrowolna. Certyfikacji administratora lub podmiotu przetwarzającego udziela się na maksymalny okres 3 lat; certyfikację można przedłużyć na tych samych warunkach, o ile nadal spełnione są stosowne wymogi. Certyfikacja może zostać również cofnięta, jeżeli jej wymogi nie są spełnione lub przestały być spełniane.
Certyfikacji będą mogły dokonywać podmioty certyfikujące, lub dokonuje jej właściwy organ nadzorczy - na podstawie kryteriów zatwierdzonych przez niego lub przez Europejską Radę Ochrony Danych. W przypadku gdy kryteria są zatwierdzane przez Europejską Radę Ochrony Danych, może to skutkować wspólną certyfikacją, europejskim znakiem jakości ochrony danych.
W projekcie polskiej ustawy o ochronie danych osobowych z 8 lutego 2018 r. wskazano, że akredytacji podmiotów ubiegających się o uprawnienie do certyfikacji w zakresie ochrony danych osobowych będzie udzielało Polskie Centrum Akredytacji.
Zgodnie z projektem kryteria certyfikacji mają być udostępnione na stronie BIP Prezesa Urzędu Ochrony Danych Osobowych. Wniosek o certyfikacje będzie musiał zawierać:
- nazwę administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek albo jego imię i nazwisko oraz wskazanie siedziby lub adresu zamieszkania administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego produkt na rynek;
- w przypadku osoby fizycznej prowadzącej działalność gospodarcza adres miejsca wykonywania działalności gospodarczej;
- informacje potwierdzające spełnianie kryteriów certyfikacji;
- wskazanie zakresu certyfikacji.
Do wniosku konieczne będzie złożenie dokumentów potwierdzających spełnienie kryteriów certyfikacji.
Prezes Urzędu albo podmiot certyfikujący, do którego wystąpiono z wnioskiem o udzielenie certyfikacji, będzie miał 3 miesiące od dnia złożenia kompletnego wniosku, na rozpatrzenie sprawy. Prezes Urzędu w tym kresie, a także po udzieleniu certyfikacji będzie uprawniony do przeprowadzenia czynności sprawdzających u wnioskodawcy.
Dokumentem potwierdzającym certyfikację będzie certyfikat. Odmowa udzielenia certyfikacji przez Prezesa Urzędu będzie następowała w drodze decyzji. Podmiot certyfikujący będzie miał obowiązek opracować i udostępnić zainteresowanym podmiotom procedurę postepowania w przypadku odmowy udzielenia certyfikacji.
