Certyfikaty RODO w zamówieniach publicznych

Certyfikat RODO to pewnego rodzaju zaświadczenie o zgodności firmowych systemów z zasadami przetwarzania danych osobowych. Artykuł 42 Rozporządzenia o Ochronie Danych Osobowych mówi, iż

Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają – w szczególności na szczeblu Unii – do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych mających świadczyć o zgodności z niniejszym rozporządzeniem operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające. Przy tym uwzględnia się szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.

Tego typu certyfikaty będą wydawane właścicielom firm zarówno przez Prezesa Urzędu Ochrony Danych Osobowych (do którego będzie należało ustalenie kryteriów przyznania certyfikatu), ale także przez firmy prywatne po uzyskaniu odpowiedniego dokumentu z Polskiego Centrum Akredytacji. O certyfikat będą mogli się ubiegać administratorzy danych osobowych, jak i tzw. procesorzy, czyli podmioty zewnętrzne, którym powierzane są dane osobowe w celu ich dalszego przetwarzania.

Obowiązek posiadania certyfikatu

Posiadanie certyfikatu nie jest jednak obowiązkowe, o czym traktuje punkt 3 artykułu 42:

„Certyfikacja jest dobrowolna, a proces jej uzyskania musi być przejrzysty.”

W większej mierze będzie on stanowił pewnego rodzaju przywilej. Certyfikat ten wesprze nie tylko przedsiębiorców, ale również pomoże klientom łatwiej zidentyfikować podmioty, które są sumienne, godne zaufania i przekonywające, a także profesjonalnie dbają o powierzone im dane osobowe – co jednoznacznie nie wskazuje na to, aby podmioty, które nie będą ubiegać się o przyznanie certyfikatu przetwarzają dane w sposób niezgodny z RODO. Niestosowanie się do przepisów znajdujących się w rozporządzeniu skutkuje bowiem wielomilionowymi karami finansowymi, co samo w sobie powinno być wystarczającym bodźcem do przestrzegania zapisów RODO.

Niemniej jednak podmioty, które posiadają certyfikat zgodności z RODO, mogą być korzystniej traktowane w przetargach o wykonanie zamówienia. Według Urzędu Zamówień Publicznych brak certyfikatu RODO nie może być podstawą odrzucenia oferty. UZP koncentruje się bardziej na tym, czy certyfikat RODO w ogóle może być jednym z warunków udziału w postępowaniu lub stanowić pozacenowe kryterium oceny ofert. Podsumowuje, że wszystko tak naprawdę zależy od przedmiotu zamówienia. Jeżeli ma ono związek z ochroną danych osobowych, to odpowiedź jest twierdząca.

Czy warto ubiegać się o certyfikat?

Jako że jest to kwestia dobrowolna, a jego przyznanie wymaga sporo pracy i dużego nakładu finansowego, nie jest to rzecz niezbędna. Aczkolwiek duże, europejskie przedsiębiorstwa mogłyby nadwerężyć swoją reputację za brak certyfikatu, co nie wpłynęłoby na pozytywny odzew konsumentów. Warto zwrócić uwagę na fakt, że jego posiadanie może przyczynić się do łagodniejszego wyroku w przypadku, gdy organ nadzorczy będzie musiał wziąć pod uwagę przyznanie kary.

Po więcej informacji zapraszamy na szkolenia RODO z ekspertami ApexNet -> TUTAJ