Řada firem usiluje o profesionální služby zákazníkům a image špičkového dodavatele. Manažeři zase o minimalizaci rizik pro sebe i majitele společností. Proto se v souvislosti s novou právní úpravou ochrany osobních údajů množí dotazy, které z nabízených GDPR certifikací či auditů jsou oficiální – tedy regulátorem “posvěcené”. Stručná odpověď je “zatím žádné”. Aktuálně nabízené služby lze rozdělit do tří zásadně odlišných kategorií.
Co bude zahrnovat GDPR certifikace?
Odpovědným státním orgánem v oblasti dodržování stávajícího zákona (č. 101/2000 Sb.) i nového evropského právního předpisu o ochraně osobních údajů (nařízení č. 2016/679) je v České republice Úřad pro ochranu osobních údajů (ÚOOÚ). V souladu s nařízením Evropského parlamentu a Rady č. 2016/679 ÚOOÚ jako odpovědný orgán rozhodl, že pro posouzení odborné způsobilosti subjektů, které budou provádět posuzování shody s požadavky GDPR, bude využíváno akreditace zajišťované Českým institutem pro akreditaci, o.p.s. (ČIA). K zavedení této nové služby v rámci akreditačního systému ČR je však zapotřebí vytvořit dokument, který by specifikoval a doplňoval obecné požadavky uvedené v GDPR s ohledem na základní pravidla akreditačního procesu.
Podle informací Českého institutu pro akreditaci (ze dne 8.9.2017), byla z tohoto důvodu v gesci ÚOOÚ ustanovena národní pracovní skupina, která výše popsaný dokument připravuje. Na základě doporučení ÚOOÚ vychází současný model z předpokladu, že by se základní posouzení odborné způsobilosti realizovalo podle požadavků harmonizované normy ČSN EN ISO/IEC 17065:2013, která se využívá pro akreditaci certifikačních orgánů certifikujících produkty. Dle definice uvedené v této normě termín produkt zahrnuje kromě hmotných či nehmotných produktů také procesy a služby. Oficiální certifikace GDPR tedy nebudou (minimálně v první fázi) zahrnovat celé organizace či firmy, ale jen služby a produkty v konkrétním způsobu použití.
Podle dostupných informací vytvořila podobnou pracovní skupinu také Evropská komise s tím, že během měsíce září tohoto roku by měl být k dispozici první „draft“ evropského dokumentu. S ohledem na komplexnost problematiky ochrany osobních údajů není v tuto chvíli možno stanovit konkrétní termín zavedení akreditace v oblasti GDPR v České republice, je však snahou ČIA tento proces maximálně urychlit.
Co se tedy vlastně nabízí?
Aktuálně nabízené GDPR audity a certifikace lze rozdělit v zásadě do tří skupin.
- Nejčastější nabízený GDPR audit spočívá v rozboru aktuální situace organizace, zmapování ochrany osobních údajů, dokumentace, procesů a jejich porovnání s požadavky GDPR nařízení a návazných vodítek evropského a českého regulátora. Tento audit stojí a padá na kompetencích provádějící organizace, která by měla rozumět právu, výkaznictví, informačním systémům a kybernetické bezpečnosti.
- Dále jsou zde výrobci a dodavatelé informačních systémů, kteří nabízí podporu při nastavení systémů a doplnění funkcionality vyplývající z GDPR nařízení. Ve většině případů se jedná o částečné splnění požadavků zákona, i když někteří dodavatelé jsou schopni pomoci i s nastavením souvisejících procesů a dokumentace. Pokud takový dodavatel v budoucnu získá akreditaci ČIA, bude vám schopen vystavit oficiální osvědčení o shodě používaného systému s GDPR.
- A konečně se dostáváme k auditu, o který půjde všem zodpovědným a opatrným organizacím a jehož výsledkem bude též oficiální GDPR certifikace. Zde půjde o kombinaci certifikace systémů a služeb s celkovým auditem organizace z hlediska zacházení s citlivými informacemi a rozbor právního stavu návazných dokumentů. Takový komplexní přístup zároveň představuje ideální příležitost k celkovému zvýšení kybernetické bezpečnosti, omezení rizik, automatizaci procesů a někdy i snížení nákladů na provoz IT.
