Od 25 maja 2018 r. trzeba będzie stosować ogólne rozporządzenie UE o ochronie danych osobowych (RODO) do wszystkich procesów przetwarzania danych. Jest to wyzwanie nie tylko dla sektora prywatnego, lecz także dla administracji publicznej, w tym samorządowej. Częściowe wyjątki to tylko obszary obronności i porządku prawnego. Mimo że o obowiązkach związanych z RODO wiele się mówi i pisze, to materiały dostępne w internecie dotyczące sposobu wdrożenia unijnych obowiązków są bardzo ogólnikowe. Jednak jeszcze gorzej przedstawia się dostępność materiałów informacyjnych dotyczących wdrożenia RODO w administracji publicznej, szczególnie w jednostkach samorządu terytorialnego. Mimo że do wejścia w życie nowych obowiązków jest jeszcze kilka miesięcy, to już trzeba zacząć się przygotowywać, bo sprawa nie jest prosta, a za brak stosowania przepisów będą prawdopodobnie grozić surowe kary.
● ETAP I Wymagania dla samorządów
– Szanowni państwo – zaczął elegancko burmistrz Jerzy Słomkowski. – Spotykamy się dzisiaj, żeby ustalić, w jaki sposób należy wprowadzić ten kolejny unijny wymóg. Wprawdzie do godziny zero, jeśli chodzi o stosowanie RODO, zostało nam jeszcze ponad siedem miesięcy, ale do dziś nie bardzo wiemy, jak się do tego zabrać. Dlatego zaprosiłem na dzisiejsze spotkanie zewnętrznych ekspertów, który takie wdrożenia już prowadzą. Pozwolicie, że przedstawię panią Sabinę Puchalską, konsultanta ds. wdrażania RODO, i pana mecenasa Artura Górnickiego, któremu też nieobca jest ta tematyka. Pofatygowali się do nas z samej stolicy. I od razu, żeby nie tracić czasu, zapraszam do zadawania pytań.
– Z tym RODO to jakieś szaleństwo. Gdzie nie pójdę na spotkanie, tam lokalne władze na ten temat dyskutują – odezwała się Anna Marczyk, sekretarz urzędu. – I mam wrażenie, że nic z tego nie wynika. Dlatego od razu pytam: czy w ogóle, gdzie i w jaki sposób musimy wdrożyć RODO? Czy konieczne do tego są jakieś zmiany sposobów przetwarzania danych osobowych w stosunku do obecnie obowiązujących?
– Podstawowa odpowiedź na to pytanie oczywiście brzmi: tak, należy wdrożyć RODO – odpowiedział mecenas Górnicki. – Administracja publiczna, samorząd terytorialny, jego agendy i spółki działają w granicach i na podstawie prawa, a to wymaga wdrożenia rozporządzenia. Diabeł oczywiście tkwi w szczegółach. Jednym z podstawowych szczegółów jest wysokość kar i inne sankcje, jakie grożą JST za niewdrożenie RODO.
– Próbowałem zrozumieć to rozporządzenie – wszedł w słowo gminny informatyk Janusz Śliwka. – Ale tego, ile ewentualnie mielibyśmy zapłacić kary, nie znalazłem.
– To określą dopiero krajowe przepisy – odpowiedział mecenas Górnicki. – Świeżo zaproponowany przez Ministerstwo Cyfryzacji projekt nowej ustawy o ochronie danych osobowych przewiduje znacznie niższy pułap kar dla sektora publicznego niż dla przedsiębiorców. Sięgałyby one i tak wysokiej kwoty 100 tys. zł. Ale proszę uważać – to ograniczenie nie dotyczy jednak spółek komunalnych, które formalnie podlegają drakońskim limitom kar, takim jak sektor prywatny. A tu przewidywane kary to 20 mln euro lub 4 proc. światowego obrotu firmy.
– Jak więc wdrażać RODO, skoro już musimy to zaczynać, żeby ustrzec się tych sankcji? – spytał wyraźnie przestraszony burmistrz. – Gdzie szukać szczegółowych materiałów wdrożeniowych dla jednostek samorządu terytorialnego?
– RODO w niewielkim stopniu rozgranicza sektor publiczny od sektora prywatnego – odparła Sabina Puchalska, specjalistka od takich wdrożeń. – Formalne różnice sprowadzają się zasadniczo do znacznie niższego limitu kar (według propozycji Ministerstwa Cyfryzacji), ograniczonej liczby dopuszczalnych podstaw przetwarzania danych, obowiązkowego wyznaczenia inspektora ochrony danych, nawet w bardzo małych jednostkach. Jednak większość funkcjonalnych wymagań wynikających z RODO jest taka sama dla wszystkich administratorów danych – dodała ekspertka.
– W jaki więc sposób nasza JST powinna podejść do wdrożenia RODO i jaką sekwencję działań przyjąć – dopytywał się wyraźnie nieusatysfakcjonowany odpowiedzią informatyk.
– Najpotężniejszym fundamentem RODO jest zasada rozliczalności zawarta w art. 5 ust. 2 RODO. Zgodnie z tym przepisem administrator musi być w stanie wykazać przestrzeganie zasad przetwarzania danych osobowych – zwrócił uwagę prawnik. – Zasada ta oznacza, że ciężar wykazania zgodności z RODO spoczywa na jednostce. Inaczej niż w zwykłej prawnej sytuacji, to my musimy wykazać zgodność z prawem. Wykazanie zgodności z RODO jest jednak zadaniem niełatwym z tego powodu, że RODO jest normą wysokiego poziomu. Zasadniczo zawiera ogólnikowe dyrektywy, których uszczegółowienie pozostawia zobowiązanym. Za nietrafione podejście grozi kara – powiedział.
– Dlatego pierwszym obowiązkiem JST przy wdrożeniu RODO jest analiza i uszczegółowienie przepisów RODO – przełożenie ich na możliwie konkretne wymagania funkcjonalne względem organizacji, procedur, personelu, sposobu działania, systemów i innych aspektów funkcjonowania danej jednostki samorządu terytorialnego – kontynuowała pani Sabina. – Samo w sobie jest to zadanie nieproste. A zważywszy na różnorakie zadania, funkcje, obowiązki i pola działania samorządu terytorialnego – rozsądnie jest analizować je z perspektywy poszczególnych zadań realizowanych przez daną jednostkę.
CO NA TO PRAWO? RADA 1
– Oczywiście bez scentralizowanej koordynacji i efektywizacji zadań nie będzie to możliwe, szczególnie że kompetencje w obszarze ochrony danych osobowych zwykle znajdują się u ABI (administratora bezpieczeństwa informacji), rzadko wspartego szerokim zespołem – dokończyła stołeczna ekspertka.
– Czyli jaki sposób, tak konkretnie, najlepiej wybrać w naszej JST? – dopytywała się sekretarz.
– Wydaje się, że rozsądnym podejściem jest podejście programowe, tj. dobór zespołu z poszczególnych komórek organizacyjnych danej jednostki, ewentualnie także z podległych jej instytucji – jaśniej wyłożyła sprawę ekspertka. – Z tym że niektóre z nich mogą być na tyle specyficzne, że może powinny działać samodzielnie. Mam tu na myśli samorządowe zakłady opieki zdrowotnej czy spółki komunalne – wyjaśniła.
– Kluczową rolę w zespole złożonym z osób z poszczególnych komórek organizacyjnych danej jednostki będzie pełnił ABI lub będą pełnić ABI, jeżeli jest ich więcej – stwierdził prawnik. – Wbrew powszechnemu mniemaniu formalnie ABI nie są odpowiedzialni za zgodność jednostki z ochroną danych osobowych. Także inspektor ochrony danych, czyli następca ABI w RODO, nie będzie odpowiedzialny za zgodność z ochroną danych. W praktyce jednak to ABI dysponują najlepszymi kompetencjami w tym obszarze, stąd nie należy mimo wszystko uciekać od uznania ich roli za kluczową – zakończył.
– No właśnie, RODO wymaga wyznaczenia inspektora ochrony danych przez jednostki samorządu terytorialnego – stwierdził burmistrz. – Kto powinien nim zostać?
– Pierwotnie IOD ma stać się obecny ABI jednostki samorządu. Wydaje się, że szczególnie dużych różnic pomiędzy tymi funkcjami nie będzie. Po bliższy opis wymagań względem IOD warto sięgnąć do wytycznych Grupy Roboczej art. 29.
● ETAP II Wdrożenie
– Jak więc poradzić sobie ze zorganizowaniem wdrożenia? – zastanawiał się informatyk. – Jaką metodologię przyjąć? Pan burmistrz proponuje mi rolę IOD, więc to zapewne ja będę musiał nad tym zapanować.
– Pracujemy nad wprowadzeniem RODO z wieloma podmiotami i mamy wypracowaną metodologię – powiedzieli goście z Warszawy. – Przedstawimy ją państwu w wersji pisemnej.
CO NA TO PRAWO? RADA 2
– A co mam zrobić, jeśli ja jako obecnie ABI czy później IOD lub inna wyznaczona do tego osoba w urzędzie nie otrzymam odpowiedniego wsparcia ze strony poszczególnych komórek funkcjonujących w ramach JST? – dociekał informatyk.
– Wtedy... klops – nie miał wątpliwości mecenas Górnicki. – Musi pan, panie burmistrzu, wspomóc swoim autorytetem w tej sprawie ABI – dodał.
– Dużym zadaniem, które stoi przed jednostką samorządu, jest przede wszystkim dokonanie inwentaryzacji czynności przetwarzania danych, tj. procesu wykorzystywania danych osobowych do konkretnych, poszczególnych celów – zwróciła z kolei uwagę Sabina Puchalska.
CO NA TO PRAWO? RADA 3
● ETAP III Obsługa praw jednostki
– Z pewnością niektórzy nasi klienci zaczną szybko powoływać się na rozporządzenie RODO – westchnął burmistrz. – Czy nowe przepisy stawiają jakieś konkretne wymagania w zakresie praw jednostki? – zapytał ekspertów.
– Tak – przytaknął mecenas Górnicki. – Obsługa praw jednostki to kolejne wyzwanie. RODO stawia przed administratorami danych konkretne wymagania co do poziomu usługi w tym zakresie. Sprawy mają być załatwiane w miesiąc, ewentualnie w trzy miesiące, ale pierwszą odpowiedź trzeba dać w ciągu miesiąca. Są to kryteria mierzalne i wymagające odpowiedniego ułożenia procesu obsługi, wymagające nakładów osobowych oraz zapewne informatycznych – wymownie spojrzał na Janusza Śliwkę. – Należy się zastanowić, w jaki sposób efektywnie ułożyć ten proces, biorąc pod uwagę wymóg, aby administrator był przewodnikiem interesantów. Stanowi to wyzwanie, ale z drugiej strony jednostki samorządu terytorialnego w ramach swoich zadań już mierzą się z podobnymi zadaniami. Może się więc okazać, że w tym obszarze RODO stanie się tylko kolejnym zadaniem jednostki do obsłużenia, podobnie jak wydawanie dowodów osobistych jest obsługiwane przez gminę.
CO NA TO PRAWO? RADA 4
● ETAP IV Bezpieczeństwo informacji
– Dla mnie wyjątkowo grząski obszar to bezpieczeństwo danych osobowych, czyli bezpieczeństwo informacji, a w tym cyberbezpieczeństwo – stwierdził informatyk. – Jak zdążyłem zapoznać się z przepisami, to przeciwnie do tych dotychczasowych RODO jest bardzo ogólnikowe w tym zakresie.
– To poniekąd prawda – przyznał mecenas Górnicki. – Rozporządzenie domaga się jedynie, aby stosować organizacyjne i techniczne środki ochrony danych odpowiednie do ryzyka przetwarzania. Ale proszę zwrócić uwagę, że przy tym w niektórych przypadkach RODO wymaga przeprowadzenia formalnej oceny ryzyka nazywanej „oceną skutków dla ochrony danych”. Niestety niewiele jest dostępnych materiałów ułatwiających przeprowadzenie tego typu oceny.
– Ale nie mogą państwo zapomnieć też o kolejnych wymaganiach, jakie w zakresie szeroko pojętego bezpieczeństwa przewiduje unijne rozporządzenie – projektowaniu prywatności i tzw. minimalizacji – podjęła temat pani ekspert.
CO NA TO PRAWO? RADA 5
– Już się pogubiłam w natłoku tych obowiązków – jęknęła pani sekretarz.
– Pani Anno, ale dla mnie to właśnie jest bardzo istotne – przerwał jej niezbyt grzecznie informatyk.
– Dobrze. Prześlę panu krótkie informacje na ten temat e-mailem – pogodziła oboje ekspertka.
CO NA TO PRAWO? RADA 6
– Kolejnym obszarem do obsłużenia będzie uregulowanie stosunków z outsourcerami, firmami i innymi organizacjami, którymi mogą być też inne jednostki administracji publicznej, które świadczą na rzecz danej jednostki samorządu usługi związane z przetwarzaniem danych osobowych – przypomniał z kolei mecenas Górnicki. – W tym obszarze RODO zawiera dość konkretne wskazówki, choć są takie kwestie jak podział odpowiedzialności i ocena zgodności z prawem poleceń administratora danych, gdzie konieczne będą zapewne uzgodnienia.
– Nurtuje mnie jeszcze jedna sprawa – znowu zabrał głos informatyk. – Mianowicie eksport danych do krajów trzecich. Tego zagadnienia chyba nie musimy rozstrzygać, bo nic nie eksportujemy.
– Niby tak, ale... – podjął temat mecenas. – To także wyjaśnię panu pisemnie.
– No właśnie, spotkanie zaplanowaliśmy na dwie godziny, a rozmawiamy już czwartą – zwrócił uwagę burmistrz. – Przechodźmy powoli do konkluzji, bo mam umówione kolejne spotkanie, a i nasi eksperci pewno się spieszą.
CO NA TO PRAWO? RADA 7
● ETAP V Dokumentacja
– To podsumujmy – chórem stwierdzili eksperci. – Powyższe czynności powinny owocować aktualizacją dokumentacji przetwarzania danych w jednostce samorządu terytorialnego. Zapewne nie ma potrzeby odchodzić od dotychczasowej nomenklatury i głównym dokumentem powinna pozostać „Polityka ochrony danych”. Jednak jej treść powinna zostać przemyślana i dostosowana. Dość szczegółowo licząc, powinno powstać nieco ponad sześćdziesiąt dokumentów, które można pogrupować w około dwadzieścia większych – wyjaśniła Sabina Puchalska.
– Jak widać, wdrożenie RODO także w jednostce samorządu terytorialnego składa się z wielu szczegółowych czynności. Czynności te wymagają dużego nakładu pracy, na początku analitycznego i wykonawczego. Wskazane jest też zainwestowanie w funkcjonalności systemów informatycznych lub wręcz nowe usługi, takie jak choćby portal obsługi praw jednostki. Przygotowaliśmy dla państwa krótkie podsumowanie działań, jakie w tym zakresie powinny zostać podjęte.
CO NA TO PRAWO? RADA 8
Proszę je przejrzeć i ewentualnie zwrócić się do nas z kolejnymi pytaniami – dodała ekspertka.
– Dziękuję za owocne spotkanie – ukłonił się rozmówcom burmistrz. – Widzę jednak, że na dzisiejszej rozmowie się nie skończy. Pani Anno, proszę jeszcze dziś ustalić, kiedy mogłoby odbyć się kolejne. ⒸⓅ
RADA 1
Podstawowe zadania
Podstawowe zadania, jakie w ramach wdrożenia RODO staną przed jednostką, to:
1) analiza i uszczegółowienie obowiązków RODO, które będą ciążyć na danej jednostce;
2) zapewnienie realizacji podstawowych zasad ochrony danych, takich jak legalność, przejrzystość, rzetelność, celowość, projektowanie prywatności (privacy by design), minimalizacja (privacy by default), prawidłowość, czasowość, bezpieczeństwo, rozliczalność;
3) obsługa praw jednostki, których jest obecnie osiem, ale łącznie z ich cechami wymienionymi przez RODO około dwadzieścia;
4) inwentaryzacja przepływów danych;
5) uszczegółowienie i zapewnienie bezpieczeństwa, w tym przeprowadzenie analiz ryzyka;
6) określenie, zapewnienie i uzgodnienie wymogów względem przetwarzających (outsourcerów);
7) zarządzenie naruszeniami danych, w tym notyfikacją organu nadzorczego i poszkodowanych;
8) uregulowanie statusu IOD i wreszcie
9) udokumentowanie procesu wdrożenia RODO, jak i zgodności z RODO.
RADA 2
Organizacja wdrożenia
Dysponując odpowiednimi zasobami, można najpierw przeprowadzić uszczegółowienie RODO do wymagań funkcjonalnych, tworząc to, co w stosowanej przez nas metodyce nazywamy matrycą wymagań zgodności. Te wymagania następnie można dalej przetłumaczyć na konkretne produkty (dokumenty, czynności, decyzje, funkcjonalności systemów IT) im odpowiadające. Produkty te nazywamy produktami zgodności. Dysponując w ten sposób elementami stanu docelowego, można przydzielić poszczególne zadania (produkty) odpowiednim zespołom w ramach poszczególnych komórek. Można też zacząć od audytu stanu obecnego, tzw. analizy luki, posługując się przy tym konkretnymi listami kontrolnymi (check lista zgodności). To ostatnie działanie może bezpośrednio nie przybliża do stanu zgodności z RODO, ale jego samodzielną wartością jest zwiększenie świadomości osób zaangażowanych w taką analizę luki.
RADA 3
Rejestr czynności i dane szczególne
W wyniku tej pracy powinien powstać rejestr czynności przetwarzania danych – mapa tego, co z danymi jednostka robi. Rejestr czynności przetwarzania danych zwykle będzie bardziej szczegółowy niż dotychczasowe zgłoszenie zbiorów danych. Należy bowiem odrębnie opisywać poszczególne działania względem danych osobowych.
Wyjątkową uwagę należy też przyłożyć do danych szczególnych. RODO idzie dalej niż obecne przepisy pod względem ochrony szczególnych kategorii danych osobowych, takich jak dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej konkretnej osoby. Pewne szczególne wymogi RODO stawia także przy przetwarzaniu danych dzieci.
RADA 4
Co to są prawa jednostki
Podstawowe prawa jednostki na podstawie RODO to: obowiązek informacyjny, prawo dostępu do danych, prawo poprawiania i aktualizacji danych, prawo do usunięcia (bycia zapomnianym), prawo do ograniczenia przetwarzania, prawo do przenoszalności danych, prawo sprzeciwu, prawo do ludzkiej decyzji. Wydaje się, że niektóre prawa jednostki nie będą miały większego zastosowania do przetwarzania danych osobowych przez JST. Na przykład prawo przenoszalności danych. Dotyczy ono danych przekazywanych administratorowi na podstawie zgody lub umowy, tymczasem organy publiczne zasadniczo działają na podstawie przepisu prawa, a nie zgody czy umowy. Podobnie ograniczony zakres będzie miało prawo do bycia zapomnianym, jak i prawo do ludzkiej interwencji (sektor publiczny raczej nie stosuje automatycznego decydowania).
Z kolei zadaniem wymagającym na pewno zrealizowania będzie umożliwienie obsługi prawa dostępu do danych. Zważywszy na mnogość zadań takich jednostek jak gmina, wytropienie wszystkich danych i stworzenie z nich raportu dla żądającego nie będzie zadaniem prostym. Wytropienie danych w ramach inwentaryzacji i tworzenia rejestru czynności przetwarzania danych będzie tu pomocne. Warto w tym przypadku skorzystać z podpowiedzi, które dają rekomendacje organów nadzorczych innych krajów UE.
RADA 5
Wytyczne grupy roboczej art. 29
Istnieją odpowiednie Wytyczne grupy roboczej art. 29, ale i one sprowadzają się do ogólników. Stąd wypracowanie metodyki oceny ryzyka staje się zadaniem każdego administratora danych, w tym JST. Dopiero w oparciu o wypracowaną metodykę można dokonać oceny ryzyka, a dopiero po ocenie ryzyka można ocenić adekwatność potrzebnych środków bezpieczeństwa. RODO wymienia trzy techniczne sposoby zapewnienia bezpieczeństwa danych – szyfrowanie, pseudonimizację i anonimizację. Sensowne jest więc, aby każdy administrator opracował zasady zastosowania szyfrowania oraz ocenił możliwość stosowania pseudonimizacji i anonimizacji w swoich czynnościach przetwarzania danych osobowych.
RADA 6
Projektowanie prywatności (privacy by design) oraz minimalizacja (privacy by default)
RODO wymaga, aby przy wszelkich zamierzeniach i zmianach sposobu działania uwzględniać od początku (w fazie projektowania) ochronę danych i prywatności. Jeżeli jednostka posiada sformalizowane zasady prowadzenia projektów, zapewne w nich będzie miejsce na postanowienia dotyczące projektowania prywatności. Zakres tych postanowień powinien odpowiadać w zasadzie większości wymagań RODO – zapewne powinna powstać specjalna lista kontrolna pytań, które należy zadać i na nie odpowiedzieć, projektując nowy system, inwestycję, zmianę w organizacji.
RODO wymaga, aby minimalizować ilość przetwarzanych danych osobowych, jak i minimalizować dostęp do danych. Wynika to z zasady wiedzy koniecznej leżącej u podstaw aspektu poufności bezpieczeństwa informacji. Zadaniem wdrażającego RODO w jednostce administracji publicznej będzie w szczególności weryfikacja zakresu upoważnień do informacji i przetwarzania danych osobowych, uprawnień dostępowych w systemach informatycznych, zasad i sposobu ich nadawania, przeglądu, aktualizacji i wygasania.
RADA 7
Eksport danych do krajów trzecich
Teoretycznie jednostki samorządu terytorialnego nie dokonują eksportu danych do krajów trzecich. W praktyce jednak przy wdrożeniu RODO należy dokonać przeglądu sposobu komunikacji i wykorzystania dostępnych usług chmurowych przez jednostkę samorządu, jak też osoby z nią komunikujące się. Wiadomo np. o praktykach wysyłania informacji za pomocą usług chmurowych Google, co jest eksportem danych poza UE i jako takie dozwolone jest wyłącznie przy spełnieniu szczególnych wymogów prawnych. Wdrażając RODO w jednostkach samorządowych, należy więc szczególnie przypatrzeć się i wykluczyć (a przynajmniej ucywilizować) obszar shadow IT, czyli korzystanie przez użytkowników z publicznie dostępnych darmowych usług chmurowych lub oprogramowania.
RADA 8
Etapy działania
Poszczególne etapy działania mogą się przedstawiać następująco:
1) analiza obowiązków RODO i przygotowanie wymagań funkcjonalnych,
2) określenie potrzebnych produktów wdrożenia RODO – dokumentów, czynności, decyzji, analiz, zmian w systemach IT,
3) przygotowanie list kontrolnych do analizy luki,
4) określenie sposobu prowadzenia dokumentacji wdrożenia RODO (w celu realizacji zasady rozliczalności i na wypadek kontroli),
5) przeprowadzenie inwentaryzacji i mapowania czynności przetwarzania danych,
6) przeprowadzenie analizy luki,
7) przeprowadzenie wymaganych czynności analitycznych (np. inwentaryzacja zbiorów i czynności przetwarzania danych; mapowanie, analizy ryzyka, ocena skutków dla ochrony danych, ocena adekwatności weryfikacja zdolności systemów informatycznych do obsługi praw jednostki),
8) przygotowanie struktury nowej dokumentacji,
9) podjęcie czynności wdrożeniowych – wyznaczenie technicznych i organizacyjnych środków ochrony danych odpowiednich do ustalonych poziomów ryzyk poszczególnych czynności przetwarzania danych, opracowanie procesów obsługi praw jednostki, przygotowanie planu budowania świadomości, zaprojektowanie procesu reklamacyjnego,
10) opracowanie projektów nowej dokumentacji,
11) określenie czynności wymaganych do podjęcia w dalszych krokach – w szczególności zmian w systemach informatycznych.
12) weryfikacja kompletności wdrożenia – zwrotne przypisanie zrealizowanych zadań do matrycy wymagań zgodności w taki sposób, aby rozliczyć się szczegółowo z wykonania wszystkich obowiązków określonych przepisami RODO,
13) audyt powdrożeniowy – np. z wykorzystaniem zewnętrznych ekspertów oraz systemów do zarządzania ryzykiem cyberbezpieczeństwa i zgodności z ochroną danych,
14) możliwe wystąpienie o uzyskanie odpowiedniej certyfikacji w prywatnym programie certyfikacyjnym. Według projektu nowej ustawy o ochronie danych osobowych ustawowe certyfikaty zgodności będzie mógł nadawać tylko prezes Urzędu Ochrony Danych Osobowych. Ustawa jednak nie została jeszcze przyjęta, a organ ten będzie się zapewne przez jakiś czas konstytuował po jej uchwaleniu. Stąd wątpliwe, aby pojawiła się możliwość skorzystania z certyfikacji urzędowej przed datą rozpoczęcia stosowania RODO (25 maja 2018 r.).