Objasnění nejasností okolo získání osvědčení o ochraně osobních údajů
Protože se objevuje mnoho otázek týkajících se osvědčení (certifikátu) o ochraně osobních údajů vydal Úřad pro ochranu osobních údajů sadu nejčastějších dotazů týkajících se této problematiky. Pokusíme se vám dokument ocitovat ve srozumitelné formě.
Co je certifikát/osvěčení o ochraně osobních údajů?
Jde o dokument, který vydává subjekt pro výdávání osvědčení neboli certifikační orgán a prokazuje, že subjekt zpracovávající osobní údaje postupuje v souladu s požadavky GDPR.
Je osvědčení / certifikace povinná?
Ne, jde pouze o jednu z možností prokázání souladu s GDPR.
To, že subjekt postupuje v souladu s požadavky GDPR může tedy prokázat pomocí certifikátu, ale existují i další cesty. Jednou z nich je podpis a dodržování kodexu chování pro danou oblast nebo zajištění dokumentace a přístupu ke způsobu zpracování osobních údajů tak, aby bylo možné soulad s GDPR v posoudit v rámci kontroly dozorového orgánu (Úřad pro ochranu osobních údajů).
K čemu je certifikát/osvědčení?
Jak již jsme psali výše, certifikát slouží jako doklad, že provádíte zpracování dat a osobních údajů v souladu s požadavky GDPR. Může významně ovlivnit a usnadnit nakup či prodej produktů a služeb, u nichž bude pomocí certifikátu možné prokázat, že produkt nebo služba je v souadu s nařízením.
Co se hodnotí při získávání certifikátu/osvědčení?
Cerifikační orgán hodnotí proces zpracování osobních údajů rámci jednoho nebo více zpracování podporovaných jedním nebo více informačními systémy. Dále se hodnotí produkty (HW i SW) a služby.
Kdo může osvědčení/certifikát vydávat?
Osvědčení/certifikát o ochraně osobních údajů mohou vydávat pouze akreditované subjekty pro vydávání osvědčení / certifikační orgány. Akreditaci bude pravděpodobně provádět vnitrostátní akreditační orgán České republiky, Český institut pro akreditaci, o. p. s., se kterým Úřad pro ochranu osobních údajů již nyní úzce spolupracuje.
Jak je to časově s přípravou certifikačních a akreditčníh kritérií?
Aktuálně Úřad pro ochranu osobních údajů pracuje na přípravě kritérií pro vydání osvědčení/certifikátu a akreditaci subjektů jeho vydávání. Před několika dny byl vydán oficiální návrh Kriterií pro vydávání osvědčení a kritérií pro akreditaci k ochraně osobních údajů dle nařízení Evropského parlamentu a rady (EU) 2016/697. Ten je aktuálně dán k veřejné diskuzi. Případné připomínky přijímá Úřad do 20. ledna 2018.
Současně připravuje Evropský sbor pro ochranu osobních údajů (WP29) dva dokumenty:
- Vodítka týkající se certifikačních kritérií
- Vodítka týkající se akreditačních kritérií
Ty by měly být schváleny v únoru 2018 a sladěny s kritérii Úřadu pro ochranu osobních údajů.
Obojí kritéria budou předána Českému institutu pro akreditaci, o.p.s. až po finální úpravě, tedy poté, až WP29 vydá svá vodítka a Úřad je zohlední ve svém materiálu.
V současné době tedy prozatím nelze žádat o akreditaci, a tudíž nelze ani žádat o vydání osvědčení (certifikát) k určitému produktu, službě nebo zpracování. V okamžiku, kdy to bude možné, bude veřejnost Úřadem informována.