Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Certyfikacja w ochronie danych osobowych

Data publikacji: 31-03-2017 Autor: Piotr Michałkiewicz

Biorąc pod uwagę powszechny przepływ danych we współczesnym świecie, niejednokrotnie staniemy przed dylematem, komu możemy powierzyć swoje dane osobowe. Wychodząc naprzeciw tego typu rozterkom, unijne przepisy wprowadzają możliwość certyfikacji.

Uzyskanie certyfikatu przez administratora lub podmiot przetwarzający dane osobowe pozwala przede wszystkim na szybką ocenę stopnia ochrony danych osobom, których dane dotyczą. Uzyskanie certyfikatu powinno świadczyć o zgodności operacji przetwarzania, prowadzonych przez administratorów danych i podmioty przetwarzające, z rodo (rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych).

> CERTYFIKACJA

Zgodnie z art. 42 rodo (numery artykułów w dalszej części odnoszą się do rodo) certyfikacja jest dobrowolna i może być udzielana na maksymalny okres 3 lat. Oczywiście, jeżeli stosowne wymogi będą spełnione, certyfikację będzie można przedłużyć na tych samych warunkach, w przeciwnym przypadku zostanie ona cofnięta. Certyfikację może prowadzić właściwy organ nadzorczy lub podmioty certyfikujące, które uzyskały akredytację. Proces przeprowadzany jest na podstawie kryteriów zatwierdzonych przez wspomniany właściwy organ nadzorczy lub na poziomie europejskim przez Europejską Radę Ochrony Danych.

Podmiot certyfikujący, który po przeprowadzeniu procesu certyfikacji nadaje lub przedłuża certyfikat, musi o tym zdarzeniu poinformować organ nadzorczy oraz przedstawia powody udzielenia lub cofnięcia żądanej certyfikacji. W przypadku gdy organ nadzorczy stwierdzi, że wymogi nie są spełnione lub przestały być spełniane, może cofnąć certyfikację lub nakazać podmiotowi certyfikującemu nieudzielanie lub cofnięcie certyfikacji. Organ nadzorczy może też przeprowadzać okresowy przegląd udzielonych certyfikatów.

Uzyskanie certyfikatu przez administratora lub podmiot przetwarzający może być wykorzystywane jako element poświadczający przestrzeganie ciążących na nich obowiązków, w szczególności obowiązku zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych. Administratorzy, jak i podmioty przetwarzające, które uzyskały powyższy certyfikat, muszą pamiętać, że nie zwalnia on od obowiązku przestrzegania rodo oraz w jakikolwiek sposób nie ogranicza zadań i uprawnień organów nadzorczych.

Czy art. 42 przewiduje jakieś zadania dla administratora lub podmiotu przetwarzającego w procesie certyfikacji? Oczywiście – ich obowiązkiem jest współpraca z podmiotami certyfikującymi lub organem nadzorczym poprzez udzielanie im wszelkich informacji i dostępu do czynności przetwarzania, które to informacje i dostęp są niezbędne do przeprowadzenia certyfikacji.

> AKREDYTACJA PODMIOTÓW CERTYFIKUJĄCYCH

Obecnie wiele firm świadczy usługi związane z audytem procesów przetwarzania danych osobowych, a niektóre z nich nadają swoje własne certyfikaty. Warto jednak wiedzieć, że nie wszystkie będą mogły nadawać certyfikaty zgodnie z rodo. Nadawanie certyfikatów w tym zakresie będzie możliwe tylko przez tzw. podmioty certyfikujące, które uzyskały odpowiednią akredytację. Art. 43 rodo zawiera wytyczne dotyczące akredytacji podmiotów certyfikujących. Wynika z niego, że takiej akredytacji może udzielać właściwy organ nadzorczy lub krajowa jednostka akredytacyjna.

Krajowa jednostka akredytacyjna określona została w rozporządzeniu Parlamentu Europejskiego i Rady nr 765/2008, dotyczącym ustanowienia wymagań w zakresie akredytacji i nadzoru rynku. Zgodnie z tym rozporządzeniem krajowa jednostka akredytująca to jedyna autorytatywna jednostka w państwie członkowskim, udzielająca akredytacji na podstawie upoważnienia udzielonego jej przez państwo. Tak więc każde państwo członkowskie wyznacza jedną krajową jednostkę akredytującą. W Polsce taką jednostką jest Polskie Centrum Akredytacji (pca.gov.pl) wyznaczone ustawą o systemach oceny zgodności i nadzoru rynku. Niezależnie od podmiotu, który będzie dokonywał akredytacji podmiotów certyfikujących, muszą być stosowane określone kryteria akredytacyjne zatwierdzone przez właściwy organ nadzorczy lub Europejską Radę Ochrony Danych.

W przypadku gdy podmiot certyfikujący nie spełnia lub przestał spełniać warunki akredytacji lub jeżeli działania podejmowane przez podmiot certyfikujący naruszają rodo, właściwy organ nadzorczy lub krajowa jednostka akredytująca cofają akredytację.

[...]

Autor jest audytorem wiodącym normy ISO/IEC 27001, specjalizuje się w audycie bezpieczeństwa informacji, danych osobowych oraz bezpieczeństwa systemów informatycznych. Ekspert w zakresie zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego. Członek Stowarzyszenia ISACA.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"