Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



23.11.2017

Z IEEE 802.3bz

Przełączniki Netgear
21.11.2017

4K z USB-C

EIZO FlexScan EV2785
16.11.2017

Wielofunkcyjne MFP

Canon imageRUNNER ADVANCE C256i, C356i oraz C356P
14.11.2017

Fabryka Przyszłości w drodze...

W dniach 25 i 26 października we Wrocławiu odbyła się czwarta edycja konferencji...
14.11.2017

Pamięć definiowana programowo

Red Hat Container-Native Storage 3.6
09.11.2017

Zgodnie z rodo

Snow Software GDPR Risk Assessment
07.11.2017

Bezpieczna stacja robocza

F-Secure Protection Service for Business (PSB)
03.11.2017

III Forum Bezpieczeństwa...

21 listopada 2017 r. w PSE w Konstancinie-Jeziornie odbędzie się III Forum Bezpieczeństwa...
27.10.2017

Zasilanie gwarantowane

Schneider Electric Galaxy VX

Certyfikacja w ochronie danych osobowych

Data publikacji: 31-03-2017 Autor: Piotr Michałkiewicz

Biorąc pod uwagę powszechny przepływ danych we współczesnym świecie, niejednokrotnie staniemy przed dylematem, komu możemy powierzyć swoje dane osobowe. Wychodząc naprzeciw tego typu rozterkom, unijne przepisy wprowadzają możliwość certyfikacji.

Uzyskanie certyfikatu przez administratora lub podmiot przetwarzający dane osobowe pozwala przede wszystkim na szybką ocenę stopnia ochrony danych osobom, których dane dotyczą. Uzyskanie certyfikatu powinno świadczyć o zgodności operacji przetwarzania, prowadzonych przez administratorów danych i podmioty przetwarzające, z rodo (rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych).

> CERTYFIKACJA

Zgodnie z art. 42 rodo (numery artykułów w dalszej części odnoszą się do rodo) certyfikacja jest dobrowolna i może być udzielana na maksymalny okres 3 lat. Oczywiście, jeżeli stosowne wymogi będą spełnione, certyfikację będzie można przedłużyć na tych samych warunkach, w przeciwnym przypadku zostanie ona cofnięta. Certyfikację może prowadzić właściwy organ nadzorczy lub podmioty certyfikujące, które uzyskały akredytację. Proces przeprowadzany jest na podstawie kryteriów zatwierdzonych przez wspomniany właściwy organ nadzorczy lub na poziomie europejskim przez Europejską Radę Ochrony Danych.

Podmiot certyfikujący, który po przeprowadzeniu procesu certyfikacji nadaje lub przedłuża certyfikat, musi o tym zdarzeniu poinformować organ nadzorczy oraz przedstawia powody udzielenia lub cofnięcia żądanej certyfikacji. W przypadku gdy organ nadzorczy stwierdzi, że wymogi nie są spełnione lub przestały być spełniane, może cofnąć certyfikację lub nakazać podmiotowi certyfikującemu nieudzielanie lub cofnięcie certyfikacji. Organ nadzorczy może też przeprowadzać okresowy przegląd udzielonych certyfikatów.

Uzyskanie certyfikatu przez administratora lub podmiot przetwarzający może być wykorzystywane jako element poświadczający przestrzeganie ciążących na nich obowiązków, w szczególności obowiązku zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych. Administratorzy, jak i podmioty przetwarzające, które uzyskały powyższy certyfikat, muszą pamiętać, że nie zwalnia on od obowiązku przestrzegania rodo oraz w jakikolwiek sposób nie ogranicza zadań i uprawnień organów nadzorczych.

Czy art. 42 przewiduje jakieś zadania dla administratora lub podmiotu przetwarzającego w procesie certyfikacji? Oczywiście – ich obowiązkiem jest współpraca z podmiotami certyfikującymi lub organem nadzorczym poprzez udzielanie im wszelkich informacji i dostępu do czynności przetwarzania, które to informacje i dostęp są niezbędne do przeprowadzenia certyfikacji.

> AKREDYTACJA PODMIOTÓW CERTYFIKUJĄCYCH

Obecnie wiele firm świadczy usługi związane z audytem procesów przetwarzania danych osobowych, a niektóre z nich nadają swoje własne certyfikaty. Warto jednak wiedzieć, że nie wszystkie będą mogły nadawać certyfikaty zgodnie z rodo. Nadawanie certyfikatów w tym zakresie będzie możliwe tylko przez tzw. podmioty certyfikujące, które uzyskały odpowiednią akredytację. Art. 43 rodo zawiera wytyczne dotyczące akredytacji podmiotów certyfikujących. Wynika z niego, że takiej akredytacji może udzielać właściwy organ nadzorczy lub krajowa jednostka akredytacyjna.

Krajowa jednostka akredytacyjna określona została w rozporządzeniu Parlamentu Europejskiego i Rady nr 765/2008, dotyczącym ustanowienia wymagań w zakresie akredytacji i nadzoru rynku. Zgodnie z tym rozporządzeniem krajowa jednostka akredytująca to jedyna autorytatywna jednostka w państwie członkowskim, udzielająca akredytacji na podstawie upoważnienia udzielonego jej przez państwo. Tak więc każde państwo członkowskie wyznacza jedną krajową jednostkę akredytującą. W Polsce taką jednostką jest Polskie Centrum Akredytacji (pca.gov.pl) wyznaczone ustawą o systemach oceny zgodności i nadzoru rynku. Niezależnie od podmiotu, który będzie dokonywał akredytacji podmiotów certyfikujących, muszą być stosowane określone kryteria akredytacyjne zatwierdzone przez właściwy organ nadzorczy lub Europejską Radę Ochrony Danych.

W przypadku gdy podmiot certyfikujący nie spełnia lub przestał spełniać warunki akredytacji lub jeżeli działania podejmowane przez podmiot certyfikujący naruszają rodo, właściwy organ nadzorczy lub krajowa jednostka akredytująca cofają akredytację.

[...]

Autor jest audytorem wiodącym normy ISO/IEC 27001, specjalizuje się w audycie bezpieczeństwa informacji, danych osobowych oraz bezpieczeństwa systemów informatycznych. Ekspert w zakresie zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego. Członek Stowarzyszenia ISACA.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"