Certifikace při zpracování dat dle GDPR

Protože se docela často setkáváme s dotazy, jak je to s prokázáním, že firma splňuje GDPR a případnými certifikacemi, přinášíme následující přehled (ze zdrojů UOOU):

 

Certifikace, vydávání osvědčení v rámci GDPR


Nařízení Evropského parlamentu a rady (EU) 2016/679 o ochraně fyzických osob (GDPR) v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) v článcích 42 a 43 upravuje problematiku vydávání osvědčení o ochraně osobních údajů. Protože se objevují nejasnosti a otázky týkající se výkladu a řešení některých ustanovení výše uvedeného nařízení, připravil Úřad pro ochranu osobních údajů seznam nejčastějších otázek a odpovědí týkajících se uvedené problematiky.

Jaký je vztah terminologie nařízení 2016/679 (GDPR) ke stávající terminologii v oblasti akreditace?
V rámci českého překladu nařízení byla použita poněkud odlišná terminologie, která není v souladu se stávající terminologií používanou v oblasti akreditace. Pokud nedojde k úpravě překladu uvedeného nařízení, je nutno řešit vztah obou terminologií. Proto v rámci jednotlivých dotazů je v závorce uváděn k pojmu z nařízení i ekvivalent dle současné terminologie v oblasti akreditace (v ČR zastřešuje Český institut pro akreditaci, o.p.s.).

Níže jsou uvedeny některé ekvivalenty:

Osvědčení = certifikát.
Subjekt pro vydávání osvědčení = certifikační orgán.
Kritéria pro vydávání osvědčení = certifikační požadavky.
Kritéria pro akreditaci subjektů = akreditační požadavky.

Co je osvědčení (GDPR)?
Osvědčení (certifikát) o ochraně osobních údajů je dokument vydaný subjektem pro vydávání osvědčení (certifikačním orgánem), kterým subjekt (správce, zpracovatel, výrobce atd.) prokazuje zajištění souladu s požadavky nařízení 2016/679.

Kromě získání osvědčení (certifikátu) jsou jinými možnostmi prokázání souladu s nařízením 2016/679  podpis a dodržování kodexu chování (pokud pro danou oblast existuje), nebo zajištění nezbytné dokumentace a přístupu k činnostem zpracování tak, aby soulad s nařízením bylo možno posoudit například v rámci kontroly dozorového orgánu (Úřad pro ochranu osobních údajů).

Je získání osvědčení (GDPR)povinné?
Neexistuje povinnost žádat o vydání osvědčení (certifikátu), jedná se o jednu z volitelných variant (viz předchozí odstavec).

K čemu mi bude osvědčení?
Osvědčení (certifikát) je dokladem o tom, že činnosti zpracování prováděné správcem nebo zpracovatelem jsou v souladu s nařízením 2016/679.

Osvědčení (certifikát) vydané v souladu s nařízením 2016/679 může usnadnit nákup produktů nebo služeb, pokud se prodejce/výrobce/poskytovatel prokáže osvědčením (certifikátem), který dokládá, že při správném nastavení parametrů produktů nebo služby je produkt nebo služba v souladu s nařízením.

Osvědčení (certifikát) může zásadním způsobem zjednodušit předávání osobních údajů do zahraničí, kdy se přejímající osoba (zpracovávající osobní údaje v zemi s nezajištěnou úrovní ochrany osobních údajů) prokáže platným osvědčením.

Co je předmětem hodnocení?
Předmětem hodnocení za účelem vydání osvědčení (certifikátu) mohou být činnosti zpracování v rámci jednoho zpracování nebo několika zpracování (podporovaných jedním nebo více informačními systémy), produkty (SW a HW) nebo služby. V současné době není součástí připravovaného schématu vydávání osvědčení (certifikátu) osobám (například pověřencům pro ochranu osobních údajů).

Kdo může osvědčení GDPR vydávat?
Osvědčení (certifikát) o ochraně osobních údajů mohou vydávat pouze subjekty pro vydávání osvědčení (certifikační orgány) pro tuto činnost akreditované. Návrh zákona o zpracování osobních údajů aktuálně počítá s variantou, že akreditaci subjektů pro vydávání osvědčení bude provádět vnitrostátní akreditační orgán České republiky, Český institut pro akreditaci, o.p.s., se kterým již nyní Úřad úzce spolupracuje.

Kdo akredituje subjekty pro vydávání osvědčení?
Subjekty pro vydávání osvědčení bude akreditovat Český institut pro akreditaci, o.p.s., vnitrostátní akreditační orgán České republiky, postupem upraveným v zákoně č. 22/1997 Sb., o technických požadavcích na výrobky, ve znění pozdějších předpisů (viz předešlá otázka).

Jaký je časový harmonogram přípravy certifikačních a akreditačních kritérií?
V současné době Úřad pracuje na přípravě kritérií pro vydávání osvědčení a kritérií pro akreditaci subjektů pro vydávání osvědčení. Dokumenty budou po dokončení dány k veřejné diskusi prostřednictvím rozeslání a vyvěšení na webu Úřadu. Významná úloha při tvorbě kritérií připadá podle GDPR Evropskému sboru pro ochranu osobních údajů (současná WP29), který v současné době připravuje dva dokumenty:

  • vodítka týkající se certifikačních kritérií
  • vodítka týkající se akreditačních kritérií, která by měla být schválena v únoru 2018. Sladění Úřadem navrhovaných kritérií s připravovanými vodítky WP29 je nezbytně nutné, aby nedocházelo k rychlým změnám v podmínkách akreditace a certifikací.

Jaký je časový harmonogram zahájení vydávání osvědčení (certifikací)?
Obojí kritéria (viz předešlá otázka) budou předána Českému institutu pro akreditaci, o.p.s. až po finální úpravě, tedy poté, až WP29 vydá svá vodítka a Úřad je zohlední ve svém materiálu.

V současné době tedy prozatím nelze žádat o akreditaci, a tudíž nelze ani žádat o vydání osvědčení (certifikát) k určitému produktu, službě nebo zpracování. V okamžiku, kdy to bude možné, bude veřejnost Úřadem informována.