logo Asociace za lepší ICT řešení, o.p.s.

Pro GDPR certifikaci dosud neexistue regulátorem oficiálně posvěcená autorita

V souvislosti s novou právní úpravou ochrany osobních údajů se množí dotazy, které z nabízených GDPR certifikací či auditů jsou oficiální. Odpověď je žádné, aktuálně nabízené služby lze rozdělit do tří zásadně odlišných kategorií.

Odpovědným státním orgánem v oblasti dodržování stávajícího zákona (č. 101/2000 Sb.) i nového evropského právního předpisu o ochraně osobních údajů (nařízení č. 2016/679) je v České republice Úřad pro ochranu osobních údajů (ÚOOÚ).

V souladu s nařízením Evropského parlamentu a Rady č. 2016/679 ÚOOÚ jako odpovědný orgán rozhodl, že pro posouzení odborné způsobilosti subjektů, které budou provádět posuzování shody s požadavky GDPR, bude využíváno akreditace zajišťované Českým institutem pro akreditaci, o.p.s. (ČIA).

K zavedení této nové služby v rámci akreditačního systému ČR je však zapotřebí vytvořit dokument, který by specifikoval a doplňoval obecné požadavky uvedené v GDPR s ohledem na základní pravidla akreditačního procesu.

Podle informací Českého institutu pro akreditaci (ze dne 8. 9. 2017), byla z tohoto důvodu v gesci ÚOOÚ ustanovena národní pracovní skupina, která výše popsaný dokument připravuje. Na základě doporučení ÚOOÚ vychází současný model z předpokladu, že by se základní posouzení odborné způsobilosti realizovalo podle požadavků harmonizované normy ČSN EN ISO/IEC 17065:2013, která se využívá pro akreditaci certifikačních orgánů certifikujících produkty.

Dle definice uvedené v této normě termín produkt zahrnuje kromě hmotných či nehmotných produktů také procesy a služby. Oficiální certifikace GDPR tedy nebudou (minimálně v první fázi) zahrnovat celé organizace či firmy, ale jen služby a produkty v konkrétním způsobu použití.

Podle dostupných informací vytvořila podobnou pracovní skupinu také Evropská komise s tím, že během měsíce září tohoto roku by měl být k dispozici první "draft" evropského dokumentu. S ohledem na komplexnost problematiky ochrany osobních údajů není v tuto chvíli možno stanovit konkrétní termín zavedení akreditace v oblasti GDPR v České republice, je však snahou ČIA tento proces maximálně urychlit.

Aktuálně nabízené GDPR audity a certifikace lze rozdělit v zásadě do tří skupin:

Skutečně autoritativní GDPR audit

Cílem "silného" auditu shody s GDPR nařízením je doladění a ověření zpracování osobních údajů napříč celou organizací, včetně vazeb na okolí. Není proto v zájmu vedení firmy, aby se certifikace týkala jen určité části či jednoho informačního systému - zákon klade důraz na komplexní přístup a pravidlo nejslabšího článku řetězu platí i zde.

Vzhledem k výše uvedenému se v tuto chvíli jeví jako nejvíce autoritativní dvoufázový audit shody: audit kybernetické bezpečnosti a známých požadavků nyní a "rozdílový" GDPR audit ihned po zveřejnění národního rámce.

Vzhledem k rozsahu požadavků GDPR nařízení na firmu a její systémy není reálné vše stihnout pár měsíců před jeho účinností 25.5.2018. Naštěstí GDPR navazuje na normy kybernetické bezpečnosti a většina požadavků je jednoznačná - první fáze auditu tedy odladí 95% požadavků. Zbývající detaily pokryje rozdílový audit vycházející z národního certifikačního rámce.

Pokud audit provádí autorita, která zajišťuje oficiální certifikaci kybernetické bezpečnosti dle normy ISO 27001 (Systém řízení bezpečnosti informací), je vysoká pravděpodobnost, že v roce 2018 bude mít oprávnění k oficiální certifikaci produktů dle GDPR a bude moci u svých klientů realizovat rozdílový audit.

Navíc jsou požadavky GDPR nařízení již nyní ve většině oblastí zcela jasné a audit dle ISO 27001 může již nyní zahrnovat patřičná doporučení. Tento přístup je pochopitelně nejnákladnější variantou, ale zajišťuje největší garance zákazníkům a partnerům a nejvyšší ochranu vedení organizace před chybami a postihy.

Další články k tématům - akreditace - audit - bezpečnost - certifikace - ČSN - GDPR - ISO - ÚOOÚ - zákon

Článek Asociace za lepší ICT řešení, o.p.s. ze dne středa 13. září 2017

Další články od Asociace za lepší ICT řešení, o.p.s.

Novinky a zajímavosti ze světa AI, BI a chatbotů

Novinky ze světa CRM, DMS a ERP

Zajímavosti ze světa AI, BI a chatbotů

Novinky ze světa CRM, DMS a ERP

Novinky ze světa CRM, DMS a ERP

Novinky ze světa AI, BI a chatbotů

Novinky ze světa CRM, DMS a ERP

Novinky ze světa AI, BI a chatbotů

Novinky ze světa CRM, DMS a ERP

Novinky ze světa AI, BI a chatbotů

Novinky ze světa CRM, DMS a ERP

Novinky ze světa AI, BI a chatbotů

Hlavní trendy ERP systémů pro rok 2022

Novinky ze světa AI, BI a RPA

Novinky ze světa AI, BI a RPA

Novinky ze světa CRM, DMS a ERP

Novinky ze světa AI, BI a RPA

Novinky ze světa CRM, DMS a ERP

Digitální trendy roku 2021

Proč neodkládat inovaci ERP systému

Novinky ze světa AI, BI a RPA

Novinky ze světa CRM, DMS a ERP

Novinky ze světa CRM, DMS a ERP

Zajímavé články ze světa podnikových informačních systémů

Recenze a hodnocení uživatelů ERP systémů 2019

Chatbot v roce 2019 v ČR

Praktické využití chatbotů na berlínské konferenci Chatbot Summit

Jak se v praxi využívá chatbot

Jak na GDPR audit

ERP systémy - aktuálně diskutovaná témata

Pro GDPR certifikaci dosud neexistue regulátorem oficiálně posvěcená autorita

Výsledky průzkumu připravenosti na GDPR mezi dodavateli podnikových informačních systémů

GDPR česky online s vysvětlivkami a komentáři

Jak zvýšit efektivitu provozu datového centra

Inovace podnikových systémů - pozvánka na seminář

Inspirujte se odborníky z nejlepších provozů v ČR na konferenci Lepší datová centra 2016

Asociace ICT přináší rešerši odborných časopisů

Jak najít lepší informační systém

Jak vytvořit lepší datová centra

Jak na snadnou správu firemních dokumentů