Porównanie instrumentów RODO
RODO formalnie uznaje cztery główne instrumenty dostępne dla Administratorów i Podmiotów Przetwarzających, które zapewniają odpowiednie zabezpieczenia i wspierają ich zgodność: certyfikację, kodeksy postępowania, wiążące reguły korporacyjne oraz standardowe klauzule umowne. Porównajmy ich odpowiednie cechy i ograniczenia:
Ochrona danych poprzez projektowanie i domyślne ustawienia
Jest to jedno z najbardziej wymagających prawnie obowiązków do udokumentowania i wykazania. Certyfikacja jest jedynym instrumentem uznanym przez art. 25 RODO „do wykazania zgodności z” tym wymogiem.
Wykazywanie adekwatności Administratorów Danych
Art. 24 RODO wyjaśnia obowiązki Administratorów Danych. Wspomina o dwóch instrumentach potwierdzających taką zgodność: certyfikacji i kodeksach postępowania.
Wykazywanie adekwatności wybranych Podmiotów Przetwarzających
Zgodnie z art. 28 RODO „administrator powinien korzystać tylko z podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.” Jest odpowiedzialny i ponosi odpowiedzialność za potencjalne naruszenia i niezgodności ze strony swoich podmiotów przetwarzających. Oczekuje się, że przed udostępnieniem jakichkolwiek danych przeprowadzi kompletną ocenę skutecznych środków wdrożonych przez swoje podmioty przetwarzające. Na szczęście ten artykuł uznaje dwa instrumenty do oceny takiej adekwatności: certyfikację i kodeksy postępowania.
Wykazywanie adekwatności środków bezpieczeństwa
Art. 32 RODO wymaga zapewnienia odpowiedniego poziomu bezpieczeństwa. Podobnie jak w przypadku podmiotów przetwarzających, uznaje również certyfikację i kodeksy postępowania [z regularnymi audytami] jako środki „0”.
Wpływ na kary administracyjne
Art. 83 RODO nakazuje uwzględnienie przyjęcia uznanej certyfikacji lub kodeksu postępowania przez administratora lub podmiot przetwarzający w przypadku niezgodności, przy ustalaniu wysokości kary administracyjnej. Ponadto certyfikacja i kodeks postępowania przyczyniają się do znacznego zmniejszenia ryzyka niezgodności.
Dostępność
Dobrą wiadomością jest to, że kryteria certyfikacji i standardowe klauzule umowne są zatwierdzone i dostępne w obecnej formie. Przyjęcie kodeksu postępowania wymaga znacznego wysiłku. Wymaga również zmobilizowania reprezentatywnej liczby firm poprzez stowarzyszenie do opracowania, wdrożenia i uzyskania zatwierdzenia kodeksu. Proces ten może zająć kilka lat. Przyjęcie Wiążących Reguł Korporacyjnych również wymaga zatwierdzenia przez organ. Proces ten może zająć kilka lat i może być stosowany tylko przez podmioty formalnie należące do tej samej grupy przedsiębiorstw (a nie na przykład przez jej podmioty przetwarzające).
Uniwersalność
Standardowe klauzule umowne i certyfikacja RODO, takie jak Europrivacy, są niezależne od branży i mogą być stosowane przez wszystkich administratorów i podmioty przetwarzające. Inne certyfikacje mogą być ograniczone tylko do podmiotów przetwarzających lub do określonych celów oceny. Wiążące Reguły Korporacyjne są specyficzne dla firmy. Kodeksy postępowania są specyficzne dla branży, co oznacza, że administratorzy i podmioty przetwarzające udostępniające dane mogą podlegać różnym kodeksom postępowania. Na przykład kodeks postępowania zaprojektowany dla usług hotelarskich nie będzie odpowiedni dla dostawców usług, takich jak firma księgowa pracująca dla firm hotelarskich.
Czas i wysiłek
Zakładając, że firma już przestrzega RODO, czas i wysiłek wymagane różnią się w zależności od instrumentów. Standardowe klauzule umowne wymagają od stron negocjacji i uzgodnienia warunków umowy. Jeśli firma ma jednego partnera B2B, jest to najszybszy instrument. Jednak podczas gdy pojedyncza certyfikacja może być stosowana z nieograniczoną liczbą administratorów i podmiotów przetwarzających, odrębne standardowe klauzule umowne muszą zostać przyjęte i podpisane z każdym partnerem, z którym udostępniane są dane.
Elastyczność i adaptacyjność
Niektóre instrumenty koncentrują się na wymaganiach na poziomie firmy (Wiążące Reguły Korporacyjne, Kodeksy Postępowania), podczas gdy inne instrumenty koncentrują się na konkretnych działaniach związanych z przetwarzaniem danych (Certyfikacja, Standardowe Klauzule Umowne). Pierwsza kategoria wymaga zapewnienia zgodności na wyższym poziomie. Druga kategoria umożliwia firmom skoncentrowanie wysiłków na priorytetowych działaniach związanych z przetwarzaniem danych i postawienie na pierwszym miejscu najważniejszych kwestii.
Niezawodność
Poziom niezawodności zależy od charakteru instrumentów. Na przykład standardowe klauzule umowne są wiążącym zobowiązaniem podjętym przez podmiot, ale nie ma audytu i kontroli rzeczywistej zgodności. Z drugiej strony certyfikacja opiera się na regularnych audytach przeprowadzanych przez kwalifikowanych audytorów. Skala Poziomu Zaufania (TSL) zapewnia skalę od A (bardzo niezawodne) do I (całkowicie niezawodne) do oceny poziomu zaufania w rzeczywistą zgodność. Po zastosowaniu do czterech instrumentów wynik waha się od F dla standardowych klauzul umownych do A dla certyfikacji.
Tworzenie wartości
Wszystkie instrumenty przyczyniają się do wspierania zgodności. Jednak jeden z nich, certyfikacja, umożliwia przekształcenie zgodności w niematerialny aktyw firmy. Podobnie jak patent, certyfikacja stanowi niematerialny aktyw firmy. Przekształca zgodność w źródło tworzenia wartości. Może być wykorzystywana przez zespoły marketingowe i sprzedażowe jako przewaga konkurencyjna. Może również być wykorzystywana do zmniejszenia niepewności wśród analityków finansowych, inwestorów i akcjonariuszy.
Poniższa tabela podsumowuje charakterystykę czterech instrumentów.
| SCC | BCR | CC | Certyfikacja | |
|---|---|---|---|---|
| Demonstrowanie ochrony danych przez projektowanie i ustawienia domyślne zgodnie z Art. 25 RODO | NIE | NIE | NIE | TAK |
| Wykazanie odpowiedniości Administratorów Danych zgodnie z Art. 24 RODO | NIE | NIE | TAK | TAK |
| Wykazanie odpowiedniości wybranych procesorów danych zgodnie z Art. 28 RODO | NIE | NIE | TAK | TAK |
| Wykazanie bezpieczeństwa przetwarzania danych zgodnie z Art. 32 RODO | NIE | NIE | TAK | TAK |
| Uniwersalność: Zastosowanie międzybranżowe | TAK | NIE | NIE | TAK |
| Wartość jako niematerialny składnik majątku | NIE | NIE | NIE | TAK |
| Możliwość wyboru i skoncentrowania się na priorytetowym przetwarzaniu danych | TAK | NIE | NIE | TAK |
| Wpływ na kary administracyjne zgodnie z Art. 83 RODO | NIE | NIE | TAK | TAK |
| Skalowalność i możliwość rozbudowy (można stosować z wszystkimi partnerami B2B) | NIE | TAK | TAK | TAK |
Jak ilustruje tabela, certyfikacja jawi się jako najpotężniejszy instrument, oferujący wiele zalet. Potwierdza to częstotliwość formalnych odniesień do poszczególnych instrumentów w RODO.
- Certyfikacja jest wspomniana 73 razy w 12 artykułach
- Kodeksy postępowania są wspomniane 36 razy w 10 artykułach
- Reguły wiążące korporacyjne są wspomniane 25 razy w 7 artykułach
- Standardowe klauzule umowne są wspomniane 7 razy w 2 artykułach
Wnioski
Każdy instrument RODO oferuje inny zestaw korzyści oraz poziom niezawodności w zakresie skutecznej zgodności. To zadanie Inspektora Ochrony Danych (DPO) polega na ocenie i wyborze tego, który najlepiej odpowiada potrzebom pracodawcy. Mamy nadzieję, że ta analiza pomoże w porównaniu i wyborze.
W przypadku zmiany decyzji, przejście z jednego instrumentu na inny lub łączenie kilku instrumentów jest dość proste, o ile sprawdzisz i udokumentujesz swoją zgodność.
Referencje
| Instrument | Liczba odniesień do RODO | Artykuły | Uwagi wstępne |
|---|---|---|---|
| Standardowe klauzule umowne | 7 | 28, 57 | 81, 109, 168 |
| Reguły wiążące korporacyjne | 25 | 4, 46, 47, 49, 57, 58, 64, 70 | 107, 108, 110, 168 |
| Kodeksy postępowania | 36 | 24, 28, 32, 35, 40, 41, 46, 57, 58, 64, 70, 83 | 77, 81, 98, 99, 148, 168 |
| Certyfikacja | 73 | 24, 25, 28, 32, 42, 43, 46, 57, 58, 64, 70, 83 | 77, 81, 100, 166, 168 |