Úřad pro ochranu osobních údajů

Obecné nařízení upravuje oblast vydávání osvědčení o ochraně osobních údajů. Protože se objevují nejasnosti a otázky týkající se výkladu a řešení některých ustanovení výše uvedeného nařízení, připravil Úřad seznam nejčastějších otázek a odpovědí týkajících se uvedené oblasti.

Jaký je vztah terminologie nařízení 2016/679 ke stávající terminologii v oblasti akreditace?

V rámci českého překladu nařízení byla použita poněkud odlišná terminologie, která není v souladu se stávající terminologií používanou v oblasti akreditace. Pokud nedojde k úpravě překladu uvedeného nařízení, je nutno řešit vztah obou terminologií. Proto v rámci jednotlivých dotazů je v závorce uváděn k pojmu z nařízení i ekvivalent dle současné terminologie v oblasti akreditace (v ČR zastřešuje Český institut pro akreditaci, o.p.s.). 

Níže jsou uvedeny některé ekvivalenty:

• Osvědčení = certifikát.
  
• Subjekt pro vydávání osvědčení = certifikační orgán.
  
• Kritéria pro vydávání osvědčení = certifikační požadavky.
  
• Požadavky na akreditaci orgánů vydávajících osvědčení = akreditační požadavky.
  

Co je osvědčení?

Osvědčení (certifikát) o ochraně osobních údajů je dokument vydaný subjektem pro vydávání osvědčení (certifikačním orgánem), kterým subjekt (správce, zpracovatel, výrobce atd.) prokazuje zajištění souladu s požadavky obecného nařízení.

Kromě získání osvědčení (certifikátu) jsou jinými možnostmi prokázání souladu s GDPR podpis a dodržování kodexu chování (pokud pro danou oblast existuje), nebo zajištění nezbytné dokumentace a přístupu k činnostem zpracování tak, aby soulad s nařízením bylo možno posoudit například v rámci kontroly dozorového orgánu (Úřad pro ochranu osobních údajů).

Je získání osvědčení povinné?

Neexistuje povinnost žádat o vydání osvědčení (certifikátu), jedná se o jednu z volitelných variant (viz předchozí odstavec).

K čemu mi bude osvědčení?

Osvědčení (certifikát) je dokladem o tom, že činnosti zpracování prováděné správcem nebo zpracovatelem jsou v souladu s obecným nařízením.

Osvědčení (certifikát) vydané v souladu s obecným nařízením může usnadnit nákup produktů nebo služeb, pokud se prodejce/výrobce/poskytovatel prokáže osvědčením (certifikátem), který dokládá, že při správném nastavení parametrů produktů nebo služby je produkt nebo služba v souladu s nařízením.

Osvědčení (certifikát) může zásadním způsobem zjednodušit předávání osobních údajů do zahraničí, kdy se dovozce údajů (zpracovávající osobní údaje v zemi s nedostatečnou úrovní ochrany osobních údajů) prokáže platným osvědčením.  

Co je předmětem hodnocení?

Předmětem hodnocení za účelem vydání osvědčení (certifikátu) mohou být činnosti zpracování v rámci jednoho zpracování nebo několika zpracování (podporovaných jedním nebo více informačními systémy), produkty (SW a HW) nebo služby.

V současné době není součástí připravovaného schématu vydávání osvědčení (certifikátu) osobám (například pověřencům pro ochranu osobních údajů). 

Kdo může osvědčení vydávat?

Osvědčení (certifikát) o ochraně osobních údajů mohou vydávat pouze subjekty pro vydávání osvědčení (certifikační orgány) pro tuto činnost akreditované. 

Kdo akredituje subjekty pro vydávání osvědčení? 

Subjekty pro vydávání osvědčení akredituje Český institut pro akreditaci, o.p.s., vnitrostátní akreditační orgán České republiky, postupem upraveným v zákoně č. 22/1997 Sb., o technických požadavcích na výrobky, ve znění pozdějších předpisů (viz předešlá otázka). Tato povinnost mu byla uložena §15 zákona č.110/2019 Sb., o zpracování osobních údajů.

Jaký je časový harmonogram přípravy certifikačních a akreditačních kritérií?

Úřad připravil požadavky pro vydávání osvědčení (zahrnují požadavky na akreditaci orgánů vydávajících osvědčení a kritéria pro vydávání osvědčení). Dokumenty prošly veřejnou diskuzí po zveřejnění na webu Úřadu. Významná úloha při tvorbě kritérií však připadá podle obecného nařízení Evropskému sboru pro ochranu osobních údajů, který připravil dva dokumenty:

• vodítka týkající se vydávání osvědčení a kritérií pro vydávání osvědčení (Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation) 
• vodítka týkající se akreditace subjektů vydávajících osvědčení podle Nařízení (EU) 2016/679. (Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)
  

Sladění Úřadem navrhovaných požadavků pro vydávání osvědčení s vodítky Evropského sboru pro ochranu osobních údajů proběhlo a následně budou předmětem posouzení ze strany Evropského sboru pro ochranu osobních údajů, jak vyžaduje obecné nařízení. 

Jaký je časový harmonogram zahájení vydávání osvědčení (certifikátu)?

Obojí kritéria (viz předešlá otázka) budou předána Českému institutu pro akreditaci, o.p.s. až po finální úpravě, tedy poté, co budou schválena Evropským sborem pro ochranu osobních údajů.

V současné době tedy prozatím nelze žádat o akreditaci, a tudíž nelze ani žádat o vydání osvědčení (certifikát) k určitému produktu, službě nebo zpracování. V okamžiku, kdy to bude možné, bude veřejnost Úřadem informována.