W piśmie przewodnim do najnowszej wersji projektu ustawy o ochronie danych osobowych czytamy, że zmiany dotyczące akredytacji i certyfikacji zostaną przedstawione w formie autopoprawki, po wypracowaniu ich treści z Ministerstwem Spraw Wewnętrznych i Administracji.
Aktualna wersja projektu przewiduje dwie ścieżki uzyskania certyfikatu o zgodności istniejących w przedsiębiorstwie systemów przetwarzania danych osobowych z rozporządzeniem Parlamentu Europejskiego i Rady [UE] nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO): urzędową i biznesową. Certyfikat będzie mógł wydawać prezes Urzędu Ochrony Danych Osobowych oraz prywatne firmy, które uzyskają stosowny dokument z Polskiego Centrum Akredytacji. Ani Ministerstwo Cyfryzacji – autor projektu, ani MSWiA nie zdradza w którym kierunku będzie zmierzała autopoprawka. Nieoficjalnie dowiedzieliśmy się, że zagrożona jest certyfikacja prywatna, czyli dokonywana przez akredytowane firmy. Tej ścieżki nie przewidywał zresztą pierwotny projekt, skierowany do konsultacji we wrześniu 2017 r.
Zdaniem Macieja Gawrońskiego, partnera zarządzającego w Kancelarii Gawroński&Partnerzy certyfikacja prywatna nie powinna i nie może zniknąć. – W interesie wszystkich jest, aby istniały niedrogie programy certyfikujące – podkreśla Gawroński.
Ich brak może obniżyć konkurencyjność małych firm. - Wykazanie zgodności z RODO będzie praktycznie niewykonalne, a przede wszystkim zaangażuje bardzo dużo energii, która mogłaby być spożytkowana inaczej – tłumaczy Gawroński.
Jego zdaniem i tak powstaną firmy wyspecjalizowane w poświadczaniu zgodności z wymogami RODO, a lepiej by było, aby ich działania były usystematyzowane.
Jeżeli nie będzie prywatnej ścieżki w Polsce, to zapewne zacznie funkcjonować „turystyka certyfikacyjna”.
– Polskie firmy będą mogły skorzystać z usług czeskich czy słowackich firm certyfikujących, zwłaszcza gdy będą potrzebować zaświadczania, by brać udział w przetargach - uważa mecenas Gawroński.
Zgodnie z art. 42 RODO kraje UE powinny zachęcać do ustanawiania mechanizmów certyfikacji mających świadczyć o zgodności z rozporządzeniem operacji przetwarzania, a Przy tym uwzględnia się szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.
RODO – certyfikacja tylko przez państwowy urząd?
Wiele wskazuje na to, że prywatne firmy nie będą wydawać zaświadczeń o zgodności przetwarzania danych z unijnym rozporządzeniem.