Obecné
nařízení upravuje oblast vydávání osvědčení o ochraně osobních údajů. Protože
se objevují nejasnosti a otázky týkající se výkladu a řešení některých
ustanovení výše uvedeného nařízení, připravil Úřad seznam nejčastějších otázek
a odpovědí týkajících se uvedené oblasti.
Jaký je
vztah terminologie nařízení 2016/679 ke stávající terminologii v oblasti
akreditace?
V rámci českého překladu nařízení byla použita poněkud odlišná terminologie,
která není v souladu se stávající terminologií používanou v oblasti akreditace.
Pokud nedojde k úpravě překladu uvedeného nařízení, je nutno řešit vztah obou
terminologií. Proto v rámci jednotlivých dotazů je v závorce uváděn k pojmu z
nařízení i ekvivalent dle současné terminologie v oblasti akreditace (v ČR
zastřešuje Český institut pro akreditaci, o.p.s.).
Níže jsou uvedeny některé ekvivalenty:
- Osvědčení = certifikát.
- Subjekt pro vydávání osvědčení
= certifikační orgán.
- Kritéria pro vydávání osvědčení
= certifikační požadavky.
- Požadavky na akreditaci orgánů
vydávajících osvědčení = akreditační požadavky.
Co je
osvědčení?
Osvědčení (certifikát) o ochraně osobních údajů je dokument vydaný subjektem
pro vydávání osvědčení (certifikačním orgánem), kterým subjekt (správce,
zpracovatel, výrobce atd.) prokazuje zajištění souladu s požadavky
obecného nařízení.
Kromě získání osvědčení (certifikátu) jsou jinými možnostmi prokázání souladu s
GDPR podpis a dodržování kodexu chování (pokud pro danou oblast existuje), nebo
zajištění nezbytné dokumentace a přístupu k činnostem zpracování tak, aby
soulad s nařízením bylo možno posoudit například v rámci kontroly dozorového
orgánu (Úřad pro ochranu osobních údajů).
Je získání
osvědčení povinné?
Neexistuje povinnost žádat o vydání osvědčení (certifikátu), jedná se o jednu z
volitelných variant (viz předchozí odstavec).
K čemu mi
bude osvědčení?
Osvědčení (certifikát) je dokladem o tom, že činnosti zpracování prováděné
správcem nebo zpracovatelem jsou v souladu s obecným nařízením.
Osvědčení (certifikát) vydané v souladu s obecným nařízením může usnadnit
nákup produktů nebo služeb jsou-li spojeny s operacemi zpracování, pokud
se poskytovatel prokáže osvědčením (certifikátem), který dokládá, že při
správném nastavení parametrů produktů nebo služby je produkt nebo služba v
souladu s nařízením.
Osvědčení (certifikát) může zásadním způsobem zjednodušit předávání osobních
údajů do zahraničí, kdy se dovozce údajů (zpracovávající osobní údaje v zemi s
nedostatečnou úrovní ochrany osobních údajů) prokáže platným osvědčením.
Co je
předmětem hodnocení?
Předmětem hodnocení za účelem vydání osvědčení (certifikátu) mohou být činnosti
zpracování v rámci jednoho zpracování nebo několika zpracování (podporovaných
jedním nebo více informačními systémy), produkty (SW a HW) nebo služby, jsou-li
spojeny se s operacemi zpracování osobních údajů.
V současné době není součástí připravovaného schématu vydávání osvědčení
(certifikátu) osobám (například pověřencům pro ochranu osobních údajů).
Kdo může
osvědčení vydávat?
Osvědčení (certifikát) o ochraně osobních údajů mohou vydávat pouze subjekty
pro vydávání osvědčení (certifikační orgány) pro tuto činnost akreditované
nebo dozorový úřad.
Kdo akredituje subjekty pro vydávání osvědčení?
Subjekty pro vydávání osvědčení akredituje Český institut pro akreditaci,
o.p.s., vnitrostátní akreditační orgán České republiky, postupem upraveným v
zákoně č. 22/1997 Sb., o technických požadavcích na výrobky, ve znění
pozdějších předpisů (viz předešlá otázka).
Jaký je
časový harmonogram přípravy certifikačních a akreditačních kritérií?
Úřad připravil požadavky pro vydávání osvědčení (zahrnují požadavky na
akreditaci orgánů vydávajících osvědčení a kritéria pro vydávání osvědčení).
Dokumenty prošly veřejnou diskuzí po zveřejnění na webu Úřadu. Významná úloha
při tvorbě kritérií však připadá podle obecného nařízení Evropskému sboru pro
ochranu osobních údajů, který připravil dva dokumenty:
- vodítka týkající se vydávání
osvědčení a kritérií pro vydávání osvědčení (Guidelines 1/2018 on
certification and identifying certification criteria in accordance with
Articles 42 and 43 of the Regulation)
- vodítka týkající se akreditace
subjektů vydávajících osvědčení podle Nařízení (EU) 2016/679. (Guidelines
4/2018 on the accreditation of certification bodies under Article 43 of
the General Data Protection Regulation (2016/679)
Sladění
Úřadem navrhovaných požadavků pro vydávání osvědčení s vodítky Evropského sboru
pro ochranu osobních údajů proběhlo a následně budou předmětem posouzení ze
strany Evropského sboru pro ochranu osobních údajů, jak vyžaduje obecné
nařízení.
Jaký je
časový harmonogram zahájení vydávání osvědčení (certifikátu)?
Obojí kritéria (viz předešlá otázka) budou předána Českému institutu pro
akreditaci, o.p.s. až po finální úpravě, tedy poté, co budou schválena
Evropským sborem pro ochranu osobních údajů a v rámci legislativního
procesu při přípravě vyhlášky, jak předpokládá zákon č. 110/2019 Sb., o
zpracování osobních údajů.
V současné době tedy prozatím nelze žádat o akreditaci, a tudíž nelze ani žádat
o vydání osvědčení (certifikát) k určitému produktu, službě nebo zpracování. V
okamžiku, kdy to bude možné, bude veřejnost Úřadem informována.