Oficiální GDPR certifikace

Řada firem usiluje o profesionální služby zákazníkům a image špičkového dodavatele. Manažeři zase o minimalizaci rizik pro sebe i majitele společností. Proto se v souvislosti s novou právní úpravou ochrany osobních údajů množí dotazy, které z nabízených GDPR certifikací či auditů jsou oficiální – tedy regulátorem “posvěcené”. Stručná odpověď je “zatím žádné”. Aktuálně nabízené služby lze rozdělit do tří zásadně odlišných kategorií.

Co bude zahrnovat GDPR certifikace?

Odpovědným státním orgánem v oblasti dodržování stávajícího zákona (č. 101/2000 Sb.) i nového evropského právního předpisu o ochraně osobních údajů (nařízení č. 2016/679) je v České republice Úřad pro ochranu osobních údajů (ÚOOÚ). V souladu s nařízením Evropského parlamentu a Rady č. 2016/679 ÚOOÚ jako odpovědný orgán rozhodl, že pro posouzení odborné způsobilosti subjektů, které budou provádět posuzování shody s požadavky GDPR, bude využíváno akreditace zajišťované Českým institutem pro akreditaci, o.p.s. (ČIA). K zavedení této nové služby v rámci akreditačního systému ČR je však zapotřebí vytvořit dokument, který by specifikoval a doplňoval obecné požadavky uvedené v GDPR s ohledem na základní pravidla akreditačního procesu.

Podle informací Českého institutu pro akreditaci (ze dne 8.9.2017), byla z tohoto důvodu v gesci ÚOOÚ ustanovena národní pracovní skupina, která výše popsaný dokument připravuje. Na základě doporučení ÚOOÚ vychází současný model z předpokladu, že by se základní posouzení odborné způsobilosti realizovalo podle požadavků harmonizované normy ČSN EN ISO/IEC 17065:2013, která se využívá pro akreditaci certifikačních orgánů certifikujících produkty. Dle definice uvedené v této normě termín produkt zahrnuje kromě hmotných či nehmotných produktů také procesy a služby. Oficiální certifikace GDPR tedy nebudou (minimálně v první fázi) zahrnovat celé organizace či firmy, ale jen služby a produkty v konkrétním způsobu použití.

Podle dostupných informací vytvořila podobnou pracovní skupinu také Evropská komise s tím, že během měsíce září tohoto roku by měl být k dispozici první „draft“ evropského dokumentu. S ohledem na komplexnost problematiky ochrany osobních údajů není v tuto chvíli možno stanovit konkrétní termín zavedení akreditace v oblasti GDPR v České republice, je však snahou ČIA tento proces maximálně urychlit.

 

Co se tedy vlastně nabízí?

Aktuálně nabízené GDPR audity a certifikace lze rozdělit v zásadě do tří skupin.

  • Nejčastější nabízený GDPR audit spočívá v rozboru aktuální situace organizace, zmapování ochrany osobních údajů, dokumentace, procesů a jejich porovnání s požadavky GDPR nařízení a návazných vodítek evropského a českého regulátora. Tento audit stojí a padá na kompetencích provádějící organizace, která by měla rozumět právu, výkaznictví, informačním systémům a kybernetické bezpečnosti.
  • Dále jsou zde výrobci a dodavatelé informačních systémů, kteří nabízí podporu při nastavení systémů a doplnění funkcionality vyplývající z GDPR nařízení. Ve většině případů se jedná o částečné splnění požadavků zákona, i když někteří dodavatelé jsou schopni pomoci i s nastavením souvisejících procesů a dokumentace. Pokud takový dodavatel v budoucnu získá akreditaci ČIA, bude vám schopen vystavit oficiální osvědčení o shodě používaného systému s GDPR.
  • A konečně se dostáváme k auditu, o který půjde všem zodpovědným a opatrným organizacím a jehož výsledkem bude též oficiální GDPR certifikace. Zde půjde o kombinaci certifikace systémů a služeb s celkovým auditem organizace z hlediska zacházení s citlivými informacemi a rozbor právního stavu návazných dokumentů. Takový komplexní přístup zároveň představuje ideální příležitost k celkovému zvýšení kybernetické bezpečnosti, omezení rizik, automatizaci procesů a někdy i snížení nákladů na provoz IT.

 

Jak vypadá skutečně autoritativní GDPR audit?

Cílem “silného” auditu shody s GDPR nařízením je doladění a ověření zpracování osobních údajů napříč celou organizací, včetně vazeb na okolí. Není proto v zájmu vedení firmy, aby se certifikace týkala jen určité části či jednoho informačního systému – zákon klade důraz na komplexní přístup a pravidlo nejslabšího článku řetězu platí i zde.

Vzhledem k výše uvedenému se v tuto chvíli jeví jako nejvíce autoritativní dvoufázový audit shody: audit kybernetické bezpečnosti a známých požadavků nyní a “rozdílový” GDPR audit ihned po zveřejnění národního rámce. Vzhledem k rozsahu požadavků GDPR nařízení na firmu a její systémy není reálné vše stihnout pár měsíců před jeho účinností 25.5.2018. Naštěstí GDPR navazuje na normy kybernetické bezpečnosti a většina požadavků je jednoznačná – první fáze auditu tedy odladí 95 % požadavků. Zbývající detaily pokryje rozdílový audit vycházející z národního certifikačního rámce.

Pokud audit provádí autorita, která zajišťuje oficiální certifikaci kybernetické bezpečnosti dle normy ISO 27001 (Systém řízení bezpečnosti informací), je vysoká pravděpodobnost, že v roce 2018 bude mít oprávnění k oficiální certifikaci produktů dle GDPR a bude moci u svých klientů realizovat rozdílový audit. Navíc jsou požadavky GDPR nařízení již nyní ve většině oblastí zcela jasné a audit dle ISO 27001 může již nyní zahrnovat patřičná doporučení. Tento přístup je pochopitelně nejnákladnější variantou, ale zajišťuje největší garance zákazníkům a partnerům a nejvyšší ochranu vedení organizace před chybami a postihy.

 


Viz také: