Vydávání osvědčení
V rámci českého překladu nařízení byla použita poněkud odlišná terminologie, která není v souladu se stávající terminologií používanou v oblasti akreditace. Pokud nedojde k úpravě překladu uvedeného nařízení, je nutno řešit vztah obou terminologií. Proto v rámci jednotlivých dotazů je v závorce uváděn k pojmu z nařízení i ekvivalent dle současné terminologie v oblasti akreditace (v ČR zastřešuje Český institut pro akreditaci, o.p.s.).
Níže jsou uvedeny některé ekvivalenty:
- Osvědčení = certifikát.
- Subjekt pro vydávání osvědčení = certifikační orgán.
- Kritéria pro vydávání osvědčení = certifikační požadavky.
- Požadavky na akreditaci orgánů vydávajících osvědčení = akreditační požadavky.
Osvědčení (certifikát) o ochraně osobních údajů je dokument vydaný subjektem pro vydávání osvědčení (certifikačním orgánem), kterým subjekt (správce, zpracovatel, výrobce atd.) prokazuje zajištění souladu s požadavky obecného nařízení.
Kromě získání osvědčení (certifikátu) jsou jinými možnostmi prokázání souladu s GDPR podpis a dodržování kodexu chování (pokud pro danou oblast existuje), nebo zajištění nezbytné dokumentace a přístupu k činnostem zpracování tak, aby soulad s nařízením bylo možno posoudit například v rámci kontroly dozorového orgánu (Úřad pro ochranu osobních údajů).
Neexistuje povinnost žádat o vydání osvědčení (certifikátu), jedná se o jednu z volitelných variant (viz předchozí odstavec).
Osvědčení (certifikát) je dokladem o tom, že činnosti zpracování prováděné správcem nebo zpracovatelem jsou v souladu s obecným nařízením.
Osvědčení (certifikát) vydané v souladu s obecným nařízením může usnadnit nákup produktů nebo služeb jsou-li spojeny s operacemi zpracování, pokud se poskytovatel prokáže osvědčením (certifikátem), který dokládá, že při správném nastavení parametrů produktů nebo služby je produkt nebo služba v souladu s nařízením.
Osvědčení (certifikát) může zásadním způsobem zjednodušit předávání osobních údajů do zahraničí, kdy se dovozce údajů (zpracovávající osobní údaje v zemi s nedostatečnou úrovní ochrany osobních údajů) prokáže platným osvědčením.
Předmětem hodnocení za účelem vydání osvědčení (certifikátu) mohou být činnosti zpracování v rámci jednoho zpracování nebo několika zpracování (podporovaných jedním nebo více informačními systémy), produkty (SW a HW) nebo služby, jsou-li spojeny se s operacemi zpracování osobních údajů.
V současné době není součástí připravovaného schématu vydávání osvědčení (certifikátu) osobám (například pověřencům pro ochranu osobních údajů).
Osvědčení (certifikát) o ochraně osobních údajů mohou vydávat pouze subjekty pro vydávání osvědčení (certifikační orgány) pro tuto činnost akreditované nebo dozorový úřad.
Subjekty pro vydávání osvědčení akredituje Český institut pro akreditaci, o.p.s., vnitrostátní akreditační orgán České republiky, postupem upraveným v zákoně č. 22/1997 Sb., o technických požadavcích na výrobky, ve znění pozdějších předpisů (viz předešlá otázka).
Úřad připravil požadavky pro vydávání osvědčení (zahrnují požadavky na akreditaci orgánů vydávajících osvědčení a kritéria pro vydávání osvědčení). Dokumenty prošly veřejnou diskuzí po zveřejnění na webu Úřadu. Významná úloha při tvorbě kritérií však připadá podle obecného nařízení Evropskému sboru pro ochranu osobních údajů, který připravil dva dokumenty:
- vodítka týkající se vydávání osvědčení a kritérií pro vydávání osvědčení (Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation)
- vodítka týkající se akreditace subjektů vydávajících osvědčení podle Nařízení (EU) 2016/679. (Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)
Sladění Úřadem navrhovaných požadavků pro vydávání osvědčení s vodítky Evropského sboru pro ochranu osobních údajů proběhlo a následně budou předmětem posouzení ze strany Evropského sboru pro ochranu osobních údajů, jak vyžaduje obecné nařízení
Obojí kritéria (viz předešlá otázka) budou předána Českému institutu pro akreditaci, o.p.s. až po finální úpravě, tedy poté, co budou schválena Evropským sborem pro ochranu osobních údajů a v rámci legislativního procesu při přípravě vyhlášky, jak předpokládá zákon č. 110/2019 Sb., o zpracování osobních údajů.
V současné době tedy prozatím nelze žádat o akreditaci, a tudíž nelze ani žádat o vydání osvědčení (certifikát) k určitému produktu, službě nebo zpracování. V okamžiku, kdy to bude možné, bude veřejnost Úřadem informována.