Prezes Urzędu Ochrony Danych Osobowych zamierza przyjąć standardowe klauzule umowne w zakresie umów powierzenia przetwarzania danych. Takie prawo daje mu art. 28 ust. 8 RODO. Eksperci nie mają wątpliwości, że przyjęcie takich standardowych wzorców, to dobry pomysł.
Eksperci chwalą UODO, ale czekają na efekty
- Publikacja takich wzorów przez Urząd będzie istotną pomocą i dla administratorów danych, i podmiotów przetwarzających - uważa Adam Klimowski, specjalista ds. ochrony danych osobowych z firmy JAMANO. Oczywiście muszą sobie zdawać sprawę, że ich wykorzystanie na zasadzie kopiuj-wklej, bez głębszej analizy czy namysłu, będzie mijać się z celem - dodaje.
Również zdaniem Macieja Gawrońskiego, radcy prawnego, partnera w kancelarii Gawroński & Piecuch opracowanie przez Urząd Ochrony Danych Osobowych standardowych klauzul umownych powierzenia przetwarzani danych osobowych to dobra inicjatywa. - Rynek może uzyskać jasne wskazówki, czego oczekuje Urząd. To powinno się przysłużyć uczciwej konkurencji, gdyż pojawi się konkretny standard i punkt odniesienia do oceny należytej staranności w tym zakresie. Obecnie ten standard powierzania jest różny – od mechanicznego powtórzenia części art. 28 RODO do rozbudowanych umów - uważa Gawroński. Zastrzega jednak, że z ostateczną oceną warto poczekać, do efektów, czyli tego, co zostanie umieszczone ostatecznie w tych klauzulach. Podobnie uważa Arwid Mednis, radca prawny, partner w PwC Legal. - Z jednej strony dobrze bo będzie jednolity minimalny standard tych umów, z drugiej strony trudno powiedzieć bo to zależy od ostatecznego kształtu wzorów - dodaje Mednis.
UODO nie podaje, kiedy upubliczni standardowe klauzule. Na razie czeka do 1 lutego br. na uwagi od zainteresowanych. W szczególności UODO pyta:
- Jak dokumentować polecenia administratora dotyczące przetwarzania danych?
- Jak weryfikować zobowiązania do zachowania tajemnicy przez osoby upoważnione do przetwarzania danych?
- Jak precyzyjnie powinny być w umowie wskazane środki bezpieczeństwa wymagane na mocy art. 32 RODO?
- Jak skutecznie wywiązywać się z obowiązków związanych z realizacją żądań osoby, której dane dotyczą?
- Jak realizować obowiązek udostępnienia informacji niezbędnych do wykazania spełnienia obowiązków ciążących na administratorze (m.in. art. 28, 32-36 RODO)?
- Jak zapewniać zgodność działań innego podmiotu przetwarzającego z postanowieniami umowy zawartej z administratorem?
Wymagania dotyczące certyfikacji
Ponadto do 1 lutego br. trwają konsultacje dodatkowych wymagań akredytacyjnych dla jednostek certyfikujących. 4 grudnia Europejska Rada Ochrony Danych przyjęła wytyczne 4/2018 w sprawie akredytacji jednostek certyfikujących. Mają one ułatwić interpretację i wdrożenia art. 43 RODO , czyli przygotowaniu spójnej i zharmonizowanej podstawy dla akredytacji jednostek certyfikujących. Uzupełnia załącznik precyzujący dodatkowe wymogi dotyczące akredytacji. Zgodnie z rozdziałem 3 ustawy o ochronie danych osobowych, o której mowa w art. 42 rozporządzenia dokonuje Prezes Urzędu lub podmiot certyfikujący, na wniosek administratora, podmiotu przetwarzającego, producenta albo podmiotu wprowadzającego usługę lub produkt na rynek. Akredytacji podmiotów ubiegających się o uprawnienie do certyfikacji w zakresie ochrony danych osobowych będzie dokonywać Polskie Centrum Akredytacji. PCA będzie akredytowało na podstawie dwóch grup kryteriów. Pierwsza to ogólne wymogi wynikające z przepisów, druga to kryteria akredytacji przyjęte przez prezesa UODO właśnie na podstawie wytycznych EROD. Jak mówił Prawo.pl Mirosław Sanek, wiceprezes UODO, dopiero jak powstanie finalna wersja wytycznych EROD, urząd będzie mógł podjąć kolejne działania, które umożliwią stworzenie mechanizmów certyfikacji, akredytację podmiotów certyfikujących czy samo wydawanie certyfikatów.
Czytaj w LEX:
Procedura certyfikacji w ochronie danych osobowych >>
Akredytacja podmiotu uprawnionego do certyfikacji w zakresie ochrony danych >>
Nie masz dostępu do tych materiałów? Sprawdź, jak go uzyskać >>