Szafa, drzwi i biurka zgodne z RODO - czy na pewno, a co z oprogramowaniem?

Nieświadomość i brak rzeczowej kampanii informacyjnej w zakresie RODO, prowadzą do wielu nieporozumień. Można spotkać w ofercie wielu podmiotów meble, niszczarki, tabliczki informacyjne zgodne z RODO ale nie tylko bo również koszulki i kubki zgodne z RODO. Natomiast dostawcy oprogramowania milczą o zgodności dostarczanych przez siebie programów z RODO.

Zabezpieczenia zgodne z RODO.

Oczywiście przepisy RODO, ani tym bardziej przepisy Ustawy o ochronie danych osobowych nie przewidują żadnych konkretnych zabezpieczeń, a jedynie wskazują że muszą być one adekwatne do istniejących zagrożeń. Jednak powszechne przekonanie o tym że skoro jest jakiś przepis to można na nim zarobić bierze górę. Nie ma w tym nic złego, że firmy chcą zarobić na zmianie przepisów jednak dziwie się osobom kupującym te produkty.

Szafa zgodna z RODO.

Ostatnio w trakcie wyjazdu służbowego podczas pobytu w hotelu spotkała mnie następującą sytuacja. Mianowicie przy odbieraniu kluczy zostałem poproszony o uzupełnienie karty meldunkowej, która zawierała treść obowiązku informacyjnego zgodnego z RODO. Z czystej ciekawości zapytałem więc czy w hotelu wdrożono już nowe zasady ochrony danych osobowych. Na co ku mojemu zdziwieniu Pani w recepcji odparła, że dopiero w przyszłym tygodniu ma przyjść szafa zgodna z RODO. Na koniec dodała tylko bym nikomu nie mówił bo już RODO obowiązuje.

Certyfikacja zasobów na zgodność z RODO.

Niestety przepisy przewidujące samokontrolę i samoregulację w Polsce nie przyjęły się tak jak oczekiwali tego twórcy RODO. Z drugiej strony skoro RODO przewiduje certyfikację podmiotów na zgodność z RODO to może następnym krokiem będą właśnie szafy czy niszczarki zgodne z RODO. Obszar ten jest przewidziany w RODO zgodnie z Art. 42 RODO.

"Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają – w szczególności na szczeblu Unii – do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych mających świadczyć o zgodności z niniejszym rozporządzeniem operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające. Przy tym uwzględnia się szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw."

Art. 42 ust. 1 RODO

Nie byłoby w tym nic złego tylko czy szafa certyfikowana na zgodność z RODO w Polsce będzie również zgodna z RODO we Francji czy w Niemczech. Europejskiemu ustawodawcy w mojej ocenie nie chodziło o to by coś było powszechnie zgodne z RODO, a by każda firma sama oceniła czy jej szafa jest wystarczającym zabezpieczeniem przed zagrożeniami wobec danych osobowych. Pojawia się pytanie jak będzie wyglądała ocena Europejskiej Rady Ochrony Danych Osobowych względem produktów, a nie organizacji. Oczywiście łatwiej jest gdy producent jakiegoś produktu oznaczy go jako zgodny z RODO jednak dla jednej firmy szafa zamykana na klucz zapewni zgodność z RODO a w innej nie będzie wcale potrzebna.

Certyfikacja oprogramowania na zgodność z RODO.

Na horyzoncie pojawia się inny problem – oprogramowania zgodnego z RODO. W tym przypadku certyfikacja zgodności w mojej ocenie jest jak najbardziej zasadna. Dużo łatwiej jest określić wymogi wynikające z RODO wobec oprogramowania niż wobec innych zasobów biorących udział w procesach przetwarzania danych osobowych. Tu z kolei pojawia się problem dla producentów oprogramowania, teoretycznie każde produkowane przez nich oprogramowanie powinno być zgodne z RODO. Nawet sama certyfikacja producenta oprogramowania na zgodność z RODO nie będzie oznaczała, że dostarczane przez niego programy mają zaimplementowaną domyślną ochronę danych osobowych, pseudonimizację czy szyfrowanie w standardzie. Dlatego też polski ustawodawca przewidział certyfikaty produktów i usług zgodnie z Art. 15 ust. 1 ustawy o ochronie danych osobowych.

Schemat certyfikacji na zgodność z RODO.

"Certyfikacji, o której mowa w art. 42 rozporządzenia 2016/679, zwanej dalej „certyfikacją”, dokonuje Prezes Urzędu lub podmiot certyfikujący, na wniosek administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego usługę lub produkt na rynek."

Art. 15 ust. 1 UODO

W oczekiwaniu na certyfikację.

Innymi słowy szafy zgodne z RODO czy usługi np. hostingowe również będą mogłyby certyfikowane na zgodność z RODO. Tu jednak pojawia się kolejny dylemat czy producent lub dostawca muszą być zgodni z RODO by certyfikować produkt zgodny z RODO, czy jednak nie jest to obligatoryjne. Warto pamiętać, że certyfikacji w Polsce dokonują albo podmioty akredytowane przez Polskie Centrum Akredytacji (PCA) lub Prezes Urzędu Ochrony Danych Osobowych. Pomimo, że RODO obowiązuje już ponad dwa miesiące nadal nie ma informacji o certyfikacji ani na stronie PCA, ani na stronie UODO. Jak zwykle wszelkie komentarze i opinie odnośnie certyfikacji mile widziane…

Konrad Gałaj-Emiliańczyk

Konrad Gałaj-Emiliańczyk

Ekspert ds. ochrony danych
tel. 514 747 434
mail. kontakt@chron-dane.eu