Na konferencji podsumowującej wyniki konsultacji społecznych w sprawie ustawy o ochronie danych osobowych przedstawiciele Ministerstwa Cyfryzacji ustosunkowali się do złożonych propozycji i uwag. Ustawa będzie wprowadzała unijne rozporządzenie ogólne o ochronie danych osobowych (RODO) do polskiego porządku prawnego. Skierowanie jej projektu pod obrady Sejmu planowane jest w drugiej połowie lutego.

Warto zwrócić uwagę na, zaproponowane przez Ministerstwo Cyfryzacji, nowe zasady udzielania certyfikacji. W odróżnieniu od pierwotnego projektu ustawy, do certyfikowania będzie uprawniony nie tylko Prezes Urzędu Ochrony Danych Osobowych lecz także zainteresowane podmioty prywatne. Warunkiem świadczenia przez nie usług certyfikacyjnych będzie uzyskanie akredytacji Polskiego Centrum Akredytacyjnego.

„Kryteria certyfikacji powinny mieć charakter branżowy, powinny być zróżnicowane dla różnych kategorii przedsiębiorców” – przekonywał podczas konferencji dr Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, odpowiedzialny za wdrożenie RODO w naszym kraju.

Uczestnicy spotkania dyskutowali, czy certyfikacja powinna mieć charakter podmiotowy czy przedmiotowy, tzn. czy certyfikacji powinien być poddawany podmiot dostarczający rozwiązanie lub produkt bądź świadczący usługę, czy bezpośrednio sam produkt lub usługa, czy też może cały proces zapewnienia bezpieczeństwa danym osobowym. Decyzje w tej sprawie, jak poinformował dr Kawecki, jeszcze nie zapadły. Wiadomo już jednak, że certyfikaty będą przyznawana na 3 lata.

Branżowy charakter będą też miały kodeksy dobrych praktyk. Ich opracowaniem będą zajmowały się poszczególne środowiska lub organizacje branżowe. Stosowanie się do nich nie będzie miało charakteru obligatoryjnego. Będą dotyczyły sektora biznesowego. Według Komisji Europejskiej nie ma potrzeby tworzenia ich na gruncie administracji publicznej, dla której wyznacznikiem jest działanie na gruncie i w granicach prawa.

W wyjątkowych przypadkach zastosowanie do sektora publicznego mogą mieć rekomendacje dotyczące technicznych i organizacyjnych sposobów zabezpieczania danych osobowych. W Polsce ich opracowywaniem będzie się zajmował Prezes Urzędu Ochrony Danych Osobowych. Stosowanie się do nich, jak podkreślano podczas konferencji, również nie będzie wiążące. Będą stanowiły jedynie swoisty punkt odniesienia czy rodzaj wytycznych dla decyzji w zakresie wyboru rozwiązań stosowanych przez poszczególne podmioty przetwarzające dane osobowe.