Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



25.07.2017

Nowy napęd SSD

KC1000 NVMe PCIe
21.07.2017

Rekord świata

Lenovo x3950 X6
18.07.2017

Brightness Intellgence Plus

BenQ EW2770QZ
14.07.2017

Poza pasmem

Opengear ACM7000
11.07.2017

Ochrona środowisk wirtualnych

Kaspersky Security for Virtualization Light Agent
07.07.2017

Analityka, SDN i IoT

Citrix ADC NetScaler 12.0
04.07.2017

AntiRansomware

G DATA AntiVirus Business
28.06.2017

Core i9 – nowa seria...

Intel Core i9 Skylake-X i Kaby Lake-X
23.06.2017

Z autotrackingiem

Aver PTC500

Certyfikacja w ochronie danych osobowych

Data publikacji: 31-03-2017 Autor: Piotr Michałkiewicz

Biorąc pod uwagę powszechny przepływ danych we współczesnym świecie, niejednokrotnie staniemy przed dylematem, komu możemy powierzyć swoje dane osobowe. Wychodząc naprzeciw tego typu rozterkom, unijne przepisy wprowadzają możliwość certyfikacji.

Uzyskanie certyfikatu przez administratora lub podmiot przetwarzający dane osobowe pozwala przede wszystkim na szybką ocenę stopnia ochrony danych osobom, których dane dotyczą. Uzyskanie certyfikatu powinno świadczyć o zgodności operacji przetwarzania, prowadzonych przez administratorów danych i podmioty przetwarzające, z rodo (rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych).

> CERTYFIKACJA

Zgodnie z art. 42 rodo (numery artykułów w dalszej części odnoszą się do rodo) certyfikacja jest dobrowolna i może być udzielana na maksymalny okres 3 lat. Oczywiście, jeżeli stosowne wymogi będą spełnione, certyfikację będzie można przedłużyć na tych samych warunkach, w przeciwnym przypadku zostanie ona cofnięta. Certyfikację może prowadzić właściwy organ nadzorczy lub podmioty certyfikujące, które uzyskały akredytację. Proces przeprowadzany jest na podstawie kryteriów zatwierdzonych przez wspomniany właściwy organ nadzorczy lub na poziomie europejskim przez Europejską Radę Ochrony Danych.

Podmiot certyfikujący, który po przeprowadzeniu procesu certyfikacji nadaje lub przedłuża certyfikat, musi o tym zdarzeniu poinformować organ nadzorczy oraz przedstawia powody udzielenia lub cofnięcia żądanej certyfikacji. W przypadku gdy organ nadzorczy stwierdzi, że wymogi nie są spełnione lub przestały być spełniane, może cofnąć certyfikację lub nakazać podmiotowi certyfikującemu nieudzielanie lub cofnięcie certyfikacji. Organ nadzorczy może też przeprowadzać okresowy przegląd udzielonych certyfikatów.

Uzyskanie certyfikatu przez administratora lub podmiot przetwarzający może być wykorzystywane jako element poświadczający przestrzeganie ciążących na nich obowiązków, w szczególności obowiązku zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych. Administratorzy, jak i podmioty przetwarzające, które uzyskały powyższy certyfikat, muszą pamiętać, że nie zwalnia on od obowiązku przestrzegania rodo oraz w jakikolwiek sposób nie ogranicza zadań i uprawnień organów nadzorczych.

Czy art. 42 przewiduje jakieś zadania dla administratora lub podmiotu przetwarzającego w procesie certyfikacji? Oczywiście – ich obowiązkiem jest współpraca z podmiotami certyfikującymi lub organem nadzorczym poprzez udzielanie im wszelkich informacji i dostępu do czynności przetwarzania, które to informacje i dostęp są niezbędne do przeprowadzenia certyfikacji.

> AKREDYTACJA PODMIOTÓW CERTYFIKUJĄCYCH

Obecnie wiele firm świadczy usługi związane z audytem procesów przetwarzania danych osobowych, a niektóre z nich nadają swoje własne certyfikaty. Warto jednak wiedzieć, że nie wszystkie będą mogły nadawać certyfikaty zgodnie z rodo. Nadawanie certyfikatów w tym zakresie będzie możliwe tylko przez tzw. podmioty certyfikujące, które uzyskały odpowiednią akredytację. Art. 43 rodo zawiera wytyczne dotyczące akredytacji podmiotów certyfikujących. Wynika z niego, że takiej akredytacji może udzielać właściwy organ nadzorczy lub krajowa jednostka akredytacyjna.

Krajowa jednostka akredytacyjna określona została w rozporządzeniu Parlamentu Europejskiego i Rady nr 765/2008, dotyczącym ustanowienia wymagań w zakresie akredytacji i nadzoru rynku. Zgodnie z tym rozporządzeniem krajowa jednostka akredytująca to jedyna autorytatywna jednostka w państwie członkowskim, udzielająca akredytacji na podstawie upoważnienia udzielonego jej przez państwo. Tak więc każde państwo członkowskie wyznacza jedną krajową jednostkę akredytującą. W Polsce taką jednostką jest Polskie Centrum Akredytacji (pca.gov.pl) wyznaczone ustawą o systemach oceny zgodności i nadzoru rynku. Niezależnie od podmiotu, który będzie dokonywał akredytacji podmiotów certyfikujących, muszą być stosowane określone kryteria akredytacyjne zatwierdzone przez właściwy organ nadzorczy lub Europejską Radę Ochrony Danych.

W przypadku gdy podmiot certyfikujący nie spełnia lub przestał spełniać warunki akredytacji lub jeżeli działania podejmowane przez podmiot certyfikujący naruszają rodo, właściwy organ nadzorczy lub krajowa jednostka akredytująca cofają akredytację.

[...]

Autor jest audytorem wiodącym normy ISO/IEC 27001, specjalizuje się w audycie bezpieczeństwa informacji, danych osobowych oraz bezpieczeństwa systemów informatycznych. Ekspert w zakresie zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego. Członek Stowarzyszenia ISACA.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"