logo Asociace za lepší ICT řešení, o.p.s.

Pro GDPR certifikaci dosud neexistue regulátorem oficiálně posvěcená autorita

V souvislosti s novou právní úpravou ochrany osobních údajů se množí dotazy, které z nabízených GDPR certifikací či auditů jsou oficiální. Odpověď je žádné, aktuálně nabízené služby lze rozdělit do tří zásadně odlišných kategorií.

Odpovědným státním orgánem v oblasti dodržování stávajícího zákona (č. 101/2000 Sb.) i nového evropského právního předpisu o ochraně osobních údajů (nařízení č. 2016/679) je v České republice Úřad pro ochranu osobních údajů (ÚOOÚ).

V souladu s nařízením Evropského parlamentu a Rady č. 2016/679 ÚOOÚ jako odpovědný orgán rozhodl, že pro posouzení odborné způsobilosti subjektů, které budou provádět posuzování shody s požadavky GDPR, bude využíváno akreditace zajišťované Českým institutem pro akreditaci, o.p.s. (ČIA).

K zavedení této nové služby v rámci akreditačního systému ČR je však zapotřebí vytvořit dokument, který by specifikoval a doplňoval obecné požadavky uvedené v GDPR s ohledem na základní pravidla akreditačního procesu.

Podle informací Českého institutu pro akreditaci (ze dne 8. 9. 2017), byla z tohoto důvodu v gesci ÚOOÚ ustanovena národní pracovní skupina, která výše popsaný dokument připravuje. Na základě doporučení ÚOOÚ vychází současný model z předpokladu, že by se základní posouzení odborné způsobilosti realizovalo podle požadavků harmonizované normy ČSN EN ISO/IEC 17065:2013, která se využívá pro akreditaci certifikačních orgánů certifikujících produkty.

Dle definice uvedené v této normě termín produkt zahrnuje kromě hmotných či nehmotných produktů také procesy a služby. Oficiální certifikace GDPR tedy nebudou (minimálně v první fázi) zahrnovat celé organizace či firmy, ale jen služby a produkty v konkrétním způsobu použití.

Podle dostupných informací vytvořila podobnou pracovní skupinu také Evropská komise s tím, že během měsíce září tohoto roku by měl být k dispozici první "draft" evropského dokumentu. S ohledem na komplexnost problematiky ochrany osobních údajů není v tuto chvíli možno stanovit konkrétní termín zavedení akreditace v oblasti GDPR v České republice, je však snahou ČIA tento proces maximálně urychlit.

Aktuálně nabízené GDPR audity a certifikace lze rozdělit v zásadě do tří skupin:

Skutečně autoritativní GDPR audit

Cílem "silného" auditu shody s GDPR nařízením je doladění a ověření zpracování osobních údajů napříč celou organizací, včetně vazeb na okolí. Není proto v zájmu vedení firmy, aby se certifikace týkala jen určité části či jednoho informačního systému - zákon klade důraz na komplexní přístup a pravidlo nejslabšího článku řetězu platí i zde.

Vzhledem k výše uvedenému se v tuto chvíli jeví jako nejvíce autoritativní dvoufázový audit shody: audit kybernetické bezpečnosti a známých požadavků nyní a "rozdílový" GDPR audit ihned po zveřejnění národního rámce.

Vzhledem k rozsahu požadavků GDPR nařízení na firmu a její systémy není reálné vše stihnout pár měsíců před jeho účinností 25.5.2018. Naštěstí GDPR navazuje na normy kybernetické bezpečnosti a většina požadavků je jednoznačná - první fáze auditu tedy odladí 95% požadavků. Zbývající detaily pokryje rozdílový audit vycházející z národního certifikačního rámce.

Pokud audit provádí autorita, která zajišťuje oficiální certifikaci kybernetické bezpečnosti dle normy ISO 27001 (Systém řízení bezpečnosti informací), je vysoká pravděpodobnost, že v roce 2018 bude mít oprávnění k oficiální certifikaci produktů dle GDPR a bude moci u svých klientů realizovat rozdílový audit.

Navíc jsou požadavky GDPR nařízení již nyní ve většině oblastí zcela jasné a audit dle ISO 27001 může již nyní zahrnovat patřičná doporučení. Tento přístup je pochopitelně nejnákladnější variantou, ale zajišťuje největší garance zákazníkům a partnerům a nejvyšší ochranu vedení organizace před chybami a postihy.

Článek Asociace za lepší ICT řešení, o.p.s. ze dne 13. září 2017 - středa

Další články Asociace za lepší ICT řešení, o.p.s.

Cool letní akce datového centra Coolhousing