Krajowa Komisja ds. Informatyki oraz Wolności (CNIL), czyli francuski organ nadzorczy
w rozumieniu RODO, przyjął dwa postanowienia dotyczące certyfikacji inspektorów ochrony danych.
W pierwszym z nich ustanowiono kryteria, które muszą być spełnione przez podmioty, które chciałyby być upoważnione przez CNIL do wydawania certyfikatów inspektorom. Natomiast drugi dokument określa listę warunków, które musi spełnić kandydat na inspektora ochrony danych. Drugi z ww. dokumentów jest szczególnie cenny, ponieważ przedstawia 17 konkretnych wymogów (dotyczących umiejętności lub posiadania specjalistycznej wiedzy), którymi musi spełniać kandydat na inspektora ochrony danych.
Treść dokumentu w języku francuskim, którego tłumaczenie przedstawiono poniżej jest dostępny tutaj: https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=46002F5EFD8F35A73251FDC7949EEDB6.tplgfr26s_2?cidTexte=JORFTEXT000037485691&dateTexte=&oldAction=rechJO&categorieLien=id&idJO=JORFCONT000037485359.
Postanowienie numer 2018-318 z dnia 20 września 2018 r. w sprawie przyjęcia kryteriów certyfikacji kompetencji inspektora ochrony danych (IOD)
Krajowa Komisja ds. Informatyki oraz Wolności,
Uwzględniając Konwencję nr 108 Rady Europy w sprawie ochrony osób w związku z automatycznym przetwarzaniem danych osobowych;
Uwzględniając Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;
Uwzględniając ustawę numer 78-17 z dnia 6 stycznia 1978 r., ze zmianami, w sprawie informatyki, zbiorów oraz wolności, w szczególności jej artykuł 11-I-2 f bis;
Uwzględniając dekret numer 2005-1309 z dnia 20 października 2005 r., ze zmianami, wprowadzający w życie ustawę numer 78-17 z dnia 6 stycznia 1978 r. ze zmianami, w sprawie informatyki, zbiorów oraz wolności, w szczególności jego artykuły 6-8 ;
Uwzględniając postanowienie numer 2018-317 z dnia 20 września 2018 r. w sprawie przyjęcia kryteriów akredytacji podmiotów certyfikujących w celu certyfikacji kompetencji inspektora ochrony danych (IOD)
Po przeanalizowaniu informacji od Komisarza Rządu, Pana Maurice Ronai i jego raportu oraz od Komisarz Rządu Pani Nacima Belkacem i jej uwag,
Krajowa Komisja ds. Informatyki oraz Wolności, sformułowała następujące zalecenia:
Zgodnie z artykułem 11-I-2° f bis ustawy numer 78-17, ze zmianami, Krajowa Komisja ds. Informatyki oraz Wolności (zwana dalej CNIL lub Komisją) jest właściwa w sprawie określenia oraz przyjęcia kryteriów certyfikacji kompetencji osób.
Niniejsze postanowienie ustanawia kryteria certyfikacji dla kategorii: „inspektor ochrony danych”, o której mowa w części 4 rozdziału 4 Rozporządzenia 2016/679/UE.
Decyzja:
Załączone do niniejszego postanowienia kryteria dotyczące certyfikacji przez podmioty akredytowane przez Komisję kompetencji inspektora ochrony danych zostają zatwierdzone.
Funkcjonowanie niniejszych przepisów będzie przedmiotem oceny w celu ich ewentualnego dostosowania, nie później niż dwa lata licząc od dnia ich wejścia w życie.
Niniejsze postanowienie zostanie opublikowane w Dzienniku Urzędowym Republiki Francuskiej.
Aneks:
KRYTERIA CERTYFIKACJI KOMPETENCJI INSPEKTORA OCHRONY DANYCH (IOD)
Kategoria 1. Warunki wstępne, który musi spełnić kandydat do certyfikacji.
Wymóg 1.1. Aby móc przystąpić do etapu oceny, kandydat wypełnia jeden z następujących warunków wstępnych:
– wykazuje swoje doświadczenie zawodowe trwające minimum 2 lata w obszarze projektu, czynności lub zadań związanych z funkcją IOD, zajmującego się ochroną danych osobowych;
lub
– wykazuje swoje doświadczenie zawodowe trwające minimum 2 lata, jak również odbycie szkolenia trwającego przynajmniej 35 godzin w obszarze ochrony danych osobowych, zapewnionego przez podmiot organizujący szkolenia.
Kategoria 2. Kompetencje oraz wiedza
Wymóg 2.1. Kandydat zna oraz rozumie zasady legalnego przetwarzania, ograniczenia celu, minimalizacji danych, poprawności danych, ograniczonego okresu przechowywania danych, integralności, poufności oraz rozliczalności.
Wymóg 2.2. Kandydat potrafi zidentyfikować podstawę prawną przetwarzania.
Wymóg 2.3. Kandydat potrafi określić odpowiednie środki oraz treść informacji podawanych osobom, których dane dotyczą.
Wymóg 2.4. Kandydat potrafi wprowadzić procedurę odbierania oraz zarządzania wnioskami osób, których dane dotyczą dotyczącymi wykonywania ich praw.
Wymóg 2.5. Kandydat zna ramy prawne dotyczące powierzenia w kontekście przetwarzania danych osobowych.
Wymóg 2.6. Kandydat jest w stanie zidentyfikować przekazanie danych poza Unię Europejską oraz potrafi zdecydować, który z prawnych instrumentów przekazania należy zastosować.
Wymóg 2.7. Kandydat potrafi napisać oraz wdrożyć politykę zawierającą wewnętrzne reguły w obszarze ochrony danych.
Wymóg. 2.8. Kandydat potrafi zorganizować oraz brać udział w audytach w obszarze ochrony danych.
Wymóg 2.9. Kandydat zna zawartość rejestru czynności przetwarzania, rejestru kategorii czynności przetwarzania oraz dokumentacji dotyczącej naruszeń ochrony danych, jak również dokumentacji koniecznej w celu wykazania zgodności z rozporządzeniem w obszarze ochrony danych.
Wymóg 2.10. Kandydat potrafi określić środki ochrony danych w fazie projektowania oraz domyślnej ochrony danych dostosowanych do ryzyka oraz charakteru operacji przetwarzania.
Wymóg 2.11. Kandydat ma wiedzę pozwalającą uczestniczyć w określeniu środków bezpieczeństwa dostosowanych do ryzyka oraz charakteru operacji przetwarzania.
Wymóg 2.12. Kandydat potrafi zidentyfikować naruszenia ochrony danych osobowych, wymagające zgłoszenia organowi nadzorczemu oraz poinformowania osób, których dane dotyczą.
Wymóg 2.13. Kandydat potrafi określić czy należy przeprowadzić ocenę skutków dla ochrony danych czy nie oraz sprawdzić jej przeprowadzenie.
Wymóg 2.14. Kandydat potrafi udzielać rad w obszarze oceny skutków dla ochrony danych (w szczególności w odniesieniu do metodologii, ewentualnego powierzenia przetwarzania, środków organizacyjnych oraz technicznych, które należy przyjąć).
Wymóg 2.15. Kandydat potrafi zarządzać stosunkami z organami kontrolnymi w ramach udzielania odpowiedzi na ich pytania oraz ułatwiania ich działań (w szczególności rozpatrywanie skarg oraz kontrola).
Wymóg 2.16. Kandydat potrafi przygotować, wprowadzić oraz jest w stanie przeprowadzać program szkoleń oraz uczulania pracowników oraz kierownictwa na kwestie związane
z ochroną danych.
Wymóg 2.16. Kandydat potrafi zapewnić możliwość prześledzenia swoich działań, w szczególności za pomocą narzędzi temu służących lub zestawień rocznych.
Przewodnicząca:
I. Falque-Pierrotin