Eksperci w dziedzinie ochrony danych osobowych

TAGI:

Udostępnij publikację:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn

Certyfikacja RODO

Certyfikacja jest dobrowolnym mechanizmem. Jej dokonanie nie wpływa na spoczywający na administratorze lub podmiocie przetwarzającym obowiązek przestrzegania RODO i pozostaje bez wpływu na zadania i uprawnienia organów nadzorczych.

Podmioty mogące podlegać certyfikacji

Mogą jej podlegać wszyscy administratorzy i podmioty przetwarzające, niezależnie od tego gdzie się znajdują

Certyfikacja może być przeprowadzona zarówno wobec administratorów i podmiotów przetwarzających, którzy mają siedzibę na terytorium Europejskiego Obszaru Gospodarczego (EOG), jak i poza nią, to jest na terytorium państw trzecich.

Certyfikacja a przekazywanie danych poza EOG

Dokonanie certyfikacji przez podmiot z siedzibą w państwie trzecim wraz z przyjęciem przez niego wiążących oraz egzekwowalnych odpowiednich zabezpieczeń, oznacza że można przekazać do niego dane osobowe.

Podmiot dokonujący certyfikacji

Certyfikacji dokonuje:

  1. podmioty certyfikujący;
  2. dokonuje jej właściwy organ nadzorczy – na podstawie:
    a) kryteriów przez niego zatwierdzonych; lub
    b) kryteriów zatwierdzonych przez Europejską Radę Ochrony Danych.

W przypadku gdy kryteria są zatwierdzane przez Europejską Radę Ochrony Danych, może to skutkować wspólną certyfikacją, europejskim znakiem jakości ochrony danych.

Obowiązek współpracy z organem dokonującym certyfikacji

Administrator lub podmiot przetwarzający, którzy poddają swoje przetwarzanie mechanizmowi certyfikacji, udzielają podmiotowi dokonującemu certyfikacji:

  1. wszelkich informacji; i
  2. wszelkiego dostępu do swoich czynności przetwarzania,

które są niezbędne do przeprowadzenia procedury certyfikacji.

Okres certyfikacji

Certyfikacji administratora lub podmiotu przetwarzającego udziela się na maksymalny okres 3 lat. Można ją przedłużyć na tych samych warunkach, o ile nadal spełnione są stosowne wymogi.

Podmiot dokonujący certyfikacji, może cofnąć certyfikację, jeżeli jej wymogi nie są spełnione lub przestały być spełniane.

Rejestr mechanizmów certyfikacji

Europejska Rada Ochrony Danych gromadzi w rejestrze wszystkie mechanizmy certyfikacji oraz znaki jakości i oznaczenia w dziedzinie ochrony danych i udostępnia je opinii publicznej.

Podmiot certyfikujący

Zadania i obowiązki podmiotu certyfikującego

Podmiot certyfikujący:

  1. dokonuje certyfikacji i jej przedłużenia
  2. jest odpowiedzialny za dokonanie właściwej oceny przed udzieleniem lub cofnięciem certyfikacji
  3. przedstawiają właściwemu organowi nadzorczemu, powody udzielenia lub cofnięcia żądanej certyfikacji.
  4. nim dokona certyfikacji, musi poinformować organ nadzorczy, w celu umożliwienia mu wyrażenia sprzeciwu.

Organ nadzorczy wyraża sprzeciw, jeżeli uzna, że certyfikowany podmiot nie spełnia wymogów certyfikacji.

Podmiot akredytujący podmiot certyfikujący

Akredytacji podmiotów ubiegających się o uprawnienie do certyfikacji udziela Polskie Centrum Akredytacji.

Wniosek o certyfikację zawiera co najmniej:

  1. nazwę podmiotu ubiegającego się o certyfikację albo jego imię i nazwisko oraz wskazanie adresu jego siedziby, adresu miejsca prowadzenia działalności gospodarczej albo adresu zamieszkania;
  2. informacje potwierdzające spełnianie kryteriów certyfikacji;
  3. wskazanie zakresu wnioskowanej certyfikacji.

Wymogi do akredytacji

Podmioty certyfikujące, zostają akredytowane, gdy:

  1. w sposób satysfakcjonujący wykazały właściwemu organowi nadzorczemu swoją niezależność i wiedzę fachową w dziedzinie podlegającej certyfikacji;
  2. zobowiązały się do przestrzegania kryteriów zatwierdzonych przez organ nadzorczy lub Europejską Radę Ochrony Danych.
  3. dysponują procedurami wydawania, okresowego przeglądu i cofania certyfikacji, znaków jakości i oznaczeń w dziedzinie ochrony danych;
  4. dysponują procedurami i strukturami, które pozwalają rozpatrywać skargi:
    a) na naruszenie warunków certyfikacji przez administratora lub podmiot przetwarzający; lub
    b) na sposób wdrożenia lub wdrażania certyfikacji przez administratora lub podmiot przetwarzający;
  5. dysponują procedurami i strukturami, które zapewniają przejrzystość tych procedur i struktur dla osób, których dane dotyczą;
  6. sposób satysfakcjonujący wykażą właściwemu organowi nadzorczemu, że ich zadania i obowiązki nie powodują konfliktu interesów.

Do udzielania akredytacji stosuje się przepisy rozdziału 4 ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650), z wyjątkiem art. 24 ust. 4–7 oraz art. 25 ust. 1 i 2 w zakresie dotyczącym ograniczenia zakresu akredytacji oraz jej zawieszenia.

Akredytacja podmiotów certyfikujących, jest dokonywana na podstawie kryteriów zatwierdzonych przez organ nadzorczy lub przez Europejską Radę Ochrony Danych.

Okres akredytacji

Akredytacji udziela się na maksymalny okres pięciu lat; można ją przedłużyć na tych samych warunkach, o ile podmiot certyfikujący spełnia jej wymogi.

Cofnięcie akredytacji

Właściwy organ nadzorczy lub krajowa jednostka akredytująca cofają akredytację podmiotu certyfikującego, w przypadku gdy:

  1. podmiot ten nie spełnia lub przestał spełniać warunki akredytacji; lub
  2. jeżeli działania podejmowane przez podmiot certyfikujący naruszają rozporządzenie GDPR.

NEWSLETTER

Zapisz się na newsletter gdpr.pl, aby otrzymywać najświeższe informacje, opinie i rozstrzygnięcia ze świata RODO.

SKONTAKTUJ SIĘ Z NAMI

Jeśli jesteś zainteresowany naszą ofertą lub realizacją swojego projektu, napisz do nas wiadomość!

© Copyright 2021 Omni Modo. Wszelkie prawa zastrzeżone | Wykonanie: Agencja Portal

Michał Rygiel

Prawnik, Specjalista ds. Ochrony Danych Osobowych

Adwokat. Ochroną danych osobowych i prawem nowych technologii zajmuje się od kilku lat.  Doświadczenie zawodowe zdobywał w firmach z branży IT oraz zajmujących się konsultingiem i doradztwem prawym w tym zakresie. Posiada również doświadczenie w obsłudze korporacyjnej w zakresie compliance ze szczególnym uwzględnieniem zagadnień ochrony danych osobowych oraz ładu korporacyjnego.

Marta Krawczyk

Prawnik, Specjalista ds. Ochrony Danych Osobowych

Prawnik, absolwentka Wydziału Prawa, Prawa Kanonicznego i Administracji Katolickiego Uniwersytetu Jana Pawła II w Lublinie. Wiedzę pogłębiała m.in. podczas studiów podyplomowych Wykonywania funkcji Inspektora Ochrony Danych (INP PAN w Warszawie).

Od lat zajmuje się sprawami z zakresu prawa nowych technologii w szczególności prawem ochrony danych osobowych. Doświadczenie zawodowe zdobywała m.in. w Urzędzie Ochrony Danych Osobowych oraz Parlamencie Europejskim.

W Omni Modo zajmuje się obsługą podmiotów prywatnych z branży produkcyjnej oraz podmiotów publicznych. Ponadto, wspomaga IOD w pełnieniu funkcji. W obszarze jej szczególnych zainteresowań leży tematyka ochrony danych przy przetwarzaniu transgranicznym oraz transferu danych do państwa trzecich.

Karol Kozieł

Radca prawny, Specjalista ds. Ochrony Danych Osobowych

Radca prawny wpisany na listę radców prawnych prowadzoną przez Radę Okręgowej Izby Radców Prawnych w Kielcach, absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie. Wiedzę  pogłębiał podczas studiów podyplomowych Prawo Nowoczesnych Technologii (INP PAN w Warszawie) oraz Nowoczesne Usługi Biznesowe (UTH w Radomiu). Ukończył programy Summer Law School on Intellectual Property Law oraz Summer Law School on Business Law organizowane przez University of Minho w Bradze.

Specjalizuje się w prawie e-commerce, ochronie konsumentów oraz  prawie ochrony danych osobowych. Doświadczenie zdobywał współtworząc i kierując działem prawnym wiodącego polskiego portalu internetowego z branży turystycznej oraz podczas pracy w kancelarii wyspecjalizowanej w prawie nowych technologii.  Autor publikacji naukowych i popularnonaukowych z zakresu ochrony danych osobowych w tym  „Komentarza do Ustawy z dnia 10 maja 2018 o ochronie danych osobowych” (współautorstwo i redakcja).  Wykładowca Wyższej Szkoły Bankowej w Warszawie.

Martyna Gosz

Adwokatka, Specjalistka ds. Ochrony Danych Osobowych

Adwokatka, absolwentka prawa Wydziale Prawa i Administracji i Ekonomii Uniwersytetu im. A. Mickiewicza w Poznaniu, a także Akademii L. Koźmińskiego w Warszawie na kierunku „Prawo Nowoczesnych Technologii”.
Specjalizuje się w zakresie ochrony danych osobowych, prawie nowych technologii, e-Commerce, a także prawie ubezpieczeń i prawie karnym. Pełniła także funkcję IODO w sektorze finansowym i ubezpieczeniowym. Od czasów studenckich angażuje się w wolontariat prawniczy (inicjatywy pro bono).
W Omni Modo zajmuje się obsługą podmiotów prywatnych z branży motoryzacyjnej i kosmetycznej oraz podmiotów publicznych. Posiada bogate doświadczenie w prowadzeniu całościowych audytów oraz wdrożeń z RODO, a także bieżącym doradztwie w zakresie przetwarzania danych osobowych.

Daniel Niwiński

Prawnik, Specjalista ds. Bezpieczeństwa Informacji

Absolwent SWPS Uniwersytetu Humanistycznospołecznego w Warszawie na kierunku Prawo, Audytor Wiodący Systemu Zarządzania Bezpieczeństwem Informacji (ISO 27001), student wydziału Informatyki w Polsko-Japońskiej Akademii Technik Komputerowych w Warszawie. W swojej pracy zawodowej specjalizuje się w zagadnieniach związanych z bezpieczeństwem informacji, cybersecurity oraz ochroną danych osobowych. Doświadczenie zawodowe zdobywał m.in. w spółce z branży IT, w której zbudował od podstaw dział bezpieczeństwa informacji. Przez lata współprowadził również spółkę z branży handlu zagranicznego, aktywnie wspierając Zarząd zarówno w aspektach biznesowych jak i prawnych. W okresie studiów aktywnie wspierał działalność uczelni jako członek studenckiej poradni prawnej. Od 2019 roku współpracuje z Omni Modo w zakresie audytów bezpieczeństwa informacji, audytów ochrony danych osobowych oraz opracowywania i wdrażania procedur bezpieczeństwa.

Arkadiusz Rzycki

Project Manager

Absolwent Akademii Leona Koźmińskiego na kierunku „Zarządzanie procesowe”. Audytor wiodący ISO/IEC 27001, audytor wewnętrzny ISO 9001. Specjalizuje się w zagadnieniach dotyczących bezpieczeństwa informacji, wymogów techniczno-organizacyjnych wynikających z przepisów RODO w zakresie bezpieczeństwa oraz przetwarzania danych osobowych, analizy ryzyka, zarządzania procesami i projektami. Doświadczenie zawodowe zdobywał w międzynarodowej instytucji finansowej. Od 2016 roku związany z Omni Modo.  Posiada długoletnie doświadczenie w zakresie zarządzania, realizacji projektów (w tym zapewniających zgodność z obowiązującymi przepisami prawa).  Przeprowadza audyty, szkolenia, opracowuje i wdraża dokumentację niezbędną do osiągnięcia celów realizowanych procesów, zgodności z wymogami organizacji, wdrażanych systemów zarządzania, jak również przepisów prawa.

Wojciech Habrowski

Radca prawny, Specjalista ds. Ochrony Danych Osobowych

Radca prawny, absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie.

Zajmuje się sprawami z zakresu prawa ochrony danych osobowych, szeroko pojętego prawa cywilnego, w szczególności prawa zobowiązań, prawa gospodarczego oraz prawa pracy. Doświadczenie zawodowe zdobywał w renomowanych kancelariach radców prawnych, a także w kancelarii notarialnej.

W Omni Modo, do jego obowiązków należy bieżące doradztwo na rzecz klientów, wsparcie IOD, przeprowadzanie audytów zgodności z RODO oraz szkoleń. Odpowiada m.in. za obsługę klientów z branży energetycznej .