GDPR certifikace, pečetě a známky pro doložení souladu s nařízením o ochraně osobních údajů
- Datum: 31.08.2020
- Autor: František Nonnemann
Jednou ze změn, kterou obecné nařízení ochraně osobních údajů (GDPR) přineslo, je povinnost každé organizace dokládat soulad své činnosti s právními požadavky na řádné zpracování osobních dat.
Základními principy pro zpracování osobních údajů podle GDPR jsou zákonnost, korektnost a transparentnost zpracování, zásada účelového omezení, princip minimalizace a přesnosti osobních údajů, zásada omezené doby zpracování dat a rovněž zásady integrity a důvěrnosti zpracovávaných osobních údajů.
Pokud organizace zpracovává osobní údaje v rozporu s těmito principy, hrozí jí v krajním případě pokuta až 20 milionů euro nebo 4% z celosvětového ročního obratu za předchozí rok.
Správce osobních údajů je povinen nejen provádět zpracování údajů a nastavit všechny související procesy, např. proces pro vyřizování podnětů dotčených osob, v souladu s požadavky GDPR. Je rovněž povinen být schopen svůj soulad s právním rámcem a regulací doložit.
GDPR, vedle výrazného zvýšení pokut, upřesnění některých definicí a zavedení nových práv subjektu údajů, upravuje řadu procesů a postupů jimiž organizace svůj soulad dokládá, např.:
- záznamy o zpracování
- data protection impact assessment
- jmenování pověřence pro ochranu osobních údajů a další..
Záměrem GDPR je však rovněž posílit seberegulaci správců i zpracovatelů a nabízí k tomu několik nástrojů
Jedná se za prvé o kodexy chování, ve kterých mohou správci či zpracovatelé z určitého sektoru (např. finanční sektor, zdravotnictví, e-commerce, energetika, samospráva atd.) nastavit specifická pravidla pro zpracování osobních údajů vyplývajících například z regulace jejich sektoru.
GDPR certifikace
Druhou skupinou těchto nových opatření je, obecně řečeno, GDPR certifikace. GDPR umožňuje členským státům, tedy i České republice, zavést systém pro vydávání osvědčení, pečetí či známek dokládajících soulad určité operace zpracování, celého systému či produktu s požadavky GDPR.
Tyto certifikáty mají přispět k potvrzení souladu pro dotčené osoby, například klienty, i pro obchodní partnery organizace. Kromě významu na vnitrostátním trhu je cílem těchto certifikací a pečetí podpořit i jednotný evropský trh, protože spotřebitelé z dalších členských států budou moci mít větší důvěru v organizaci, která je má certifikát vydaný postupem podle GDPR, a v její zpracování a zabezpečení osobních údajů.
Aby GDRP certifikace měla dostatečnou váhu a kvalitu, musí být zajišťována dostatečně odbornými subjekty, certifikačními autoritami.
V oblasti zpracování osobních údajů se jedná o zcela nový nástroj, zřejmě i proto GDPR certifikace prakticky ještě ani dva roky po účinnosti GDPR spuštěna nebyla. Dne 25. května tohoto roku, shodou okolností tedy přesně 2 roky od účinnosti GDPR, však přeci jenom došlo k jistému posunu: Evropský sbor pro ochranu osobních údajů (unijní orgán sdružující dozorové úřady z jednotlivých členských států) totiž zveřejnil stanovisko ke kritériím pro akreditaci certifikačních autorit.
Evropský sbor pro ochranu osobních údajů poměrně detailně formuluje řadu doporučení či komentářů, jak kritéria upřesnit, doplnit a vyjasnit. Některé jsou spíše formulační či formální, například požadavek na přesnější odkazování na jednotlivé články normy ČSN EN ISO/IEC 17065, která upravuje právě požadavky na orgány certifikující produkty, procesy a služby, nebo výtka, že návrh kritérií neobsahuje samostatnou definiční část.
V dalších částech stanoviska se Evropský sbor zabývá návrhem kritérií i z věcné stránky a navrhuje jejich úpravu. Jedná se kupříkladu o požadavek na personální kapacitu a odbornost budoucích certifikačních autorit, které český Úřad pro ochranu osobních údajů formuloval ve stejném rozsahu a se stejnými požadavky na odbornost.
Evropský sbor pro ochranu osobních údajů však zdůrazňuje rozdíl mezi těmi pracovníky certifikační autority, kteří zajišťují samotný proces evaluace, tedy auditu organizace žádající o certifikaci, pro které je důležitější technická znalost auditních a certifikačních procesů. Druhou nezbytnou kategorií jsou potom ti, kteří na základě zjištěných skutečností rozhodují, zda organizace požadavky na vydání certifikátu splňuje či nikoliv. Tato druhá kategorie zúčastněných osob by měla mít detailnější vhled a zkušenost specificky s oblastí ochrany osobních údajů.
Jaký bude další postup?
Český Úřad pro ochranu osobních údajů měl dva týdny od doručení stanoviska Evropského sboru na to, aby sdělil, zda a jakým způsobem kritéria pro certifikační autority doplní či upřesní a to včetně zaslání samotných doplněných kritérií. Následně Evropský sbor zveřejní definitivní rozhodnutí týkající se kritérií, podle kterých se bude při GDPR certifikaci v České republice postupovat.
Ani potom však nebude vyhráno: Dalším krokem totiž bude návrh certifikačních kritérií pro certifikaci jednotlivých nástrojů či prostředků pro zpracování osobních údajů, ke kterému se musí rovněž vyjádřit Evropský sbor, a až následně bude možné proces certifikace v České republice skutečně zahájit. Reálně se tak tedy stane nejdříve příští rok, tzn. 3 roky po účinnosti a 5 let od přijetí GDPR.
Certifikace IT systémů či nástrojů
Certifikace informačních systémů či nástrojů pro zpracování osobních údajů může mít pro danou organizaci řadu výhod. Jedná se zejména o jednoznačné doložení souladu s požadavky dané normy či právního předpisu pro obchodní partnery, klienty či dozorový úřad a s tím související posílení pozice na trhu a konkurenceschopnosti nejen v České republice, ale na globálním trhu. Požadavek certifikace rovněž může vznést mateřská společnost či může být vhodným nástrojem při předávání osobních údajů mimo Evropskou unii, což je obecně považováno za rizikovou činnost.
Globální řešení s mezinárodní platností: ISO/IEC 27701
Organizace, které mají zájem a důvod certifikovat svůj způsob zpracování osobních údajů, však nemusí čekat, až se poněkud zdlouhavý proces přípravy GDPR certifikace posune dále. Mezinárodní organizace pro standardizaci (International Organization for Standardization, ISO) totiž již v srpnu roku 2019 vydala novou ISO normu zaměřenou právě na zpracování osobních údajů, normu ISO/IEC 27701.
Jedná se o rozšíření ISO řady 27000 (systém řízení bezpečnosti informací, Information Security Management System - ISMS), které požadavky ISMS aplikuje právě na osobní údaje, kterému jsme se věnovali v článku: Nový standard pro GDPR
První certifikace na normu ISO/IEC 27701 již v ČR vydány
Certifikace na normu ISO/IEC 27701 už probíhá i v České republice. Zájem je především z oblasti zdravotnictví od organizací, které zpracovávají rozsáhlé soubory velmi citlivých údajů o zdravotním stavu. Jedním z certifikovaných tak je například Ústav zdravotnických informací a statistiky ČR, který je správcem Národního zdravotnického informačního systému.
Organizace, které mají zájem zdokumentovat a doložit svůj soulad například s GDPR ji mohou využít již nyní a nemusí čekat na dokončení poněkud zdlouhavého schvalovacího procesu evropských úřadů.