Pro GDPR certifikaci dosud neexistue regulátorem oficiálně posvěcená autorita

V souvislosti s novou právní úpravou ochrany osobních údajů se množí dotazy, které z nabízených GDPR certifikací či auditů jsou oficiální. Odpověď je žádné, aktuálně nabízené služby lze rozdělit do tří zásadně odlišných kategorií.

Odpovědným státním orgánem v oblasti dodržování stávajícího zákona (č. 101/2000 Sb.) i nového evropského právního předpisu o ochraně osobních údajů (nařízení č. 2016/679) je v České republice Úřad pro ochranu osobních údajů (ÚOOÚ).

V souladu s nařízením Evropského parlamentu a Rady č. 2016/679 ÚOOÚ jako odpovědný orgán rozhodl, že pro posouzení odborné způsobilosti subjektů, které budou provádět posuzování shody s požadavky GDPR, bude využíváno akreditace zajišťované Českým institutem pro akreditaci, o.p.s. (ČIA).

K zavedení této nové služby v rámci akreditačního systému ČR je však zapotřebí vytvořit dokument, který by specifikoval a doplňoval obecné požadavky uvedené v GDPR s ohledem na základní pravidla akreditačního procesu.

Podle informací Českého institutu pro akreditaci (ze dne 8. 9. 2017), byla z tohoto důvodu v gesci ÚOOÚ ustanovena národní pracovní skupina, která výše popsaný dokument připravuje. Na základě doporučení ÚOOÚ vychází současný model z předpokladu, že by se základní posouzení odborné způsobilosti realizovalo podle požadavků harmonizované normy ČSN EN ISO/IEC 17065:2013, která se využívá pro akreditaci certifikačních orgánů certifikujících produkty.

Dle definice uvedené v této normě termín produkt zahrnuje kromě hmotných či nehmotných produktů také procesy a služby. Oficiální certifikace GDPR tedy nebudou (minimálně v první fázi) zahrnovat celé organizace či firmy, ale jen služby a produkty v konkrétním způsobu použití.

Podle dostupných informací vytvořila podobnou pracovní skupinu také Evropská komise s tím, že během měsíce září tohoto roku by měl být k dispozici první "draft" evropského dokumentu. S ohledem na komplexnost problematiky ochrany osobních údajů není v tuto chvíli možno stanovit konkrétní termín zavedení akreditace v oblasti GDPR v České republice, je však snahou ČIA tento proces maximálně urychlit.

Aktuálně nabízené GDPR audity a certifikace lze rozdělit v zásadě do tří skupin:

1. Analýza současného stavu - nejčastější nabízený GDPR audit spočívá v rozboru aktuální situace organizace, zmapování ochrany osobních údajů, dokumentace, procesů a jejich porovnání s požadavky GDPR nařízení a návazných vodítek evropského a českého regulátora. Tento audit stojí a padá na kompetencích provádějící organizace, která by měla rozumět právu, výkaznictví, informačním systémům a kybernetické bezpečnosti.

2. Podpora dodavatelů podnikových IS - dále jsou zde výrobci a dodavatelé informačních systémů, kteří nabízí podporu při nastavení systémů a doplnění funkcionality vyplývající z GDPR nařízení. Ve většině případů se jedná o částečné splnění požadavků zákona, i když někteří dodavatelé jsou schopni pomoci i s nastavením souvisejících procesů a dokumentace. Pokud takový dodavatel v budoucnu získá akreditaci ČIA, bude vám schopen vystavit oficiální osvědčení o shodě používaného systému s GDPR.

3. Audit - a konečně se dostáváme k auditu, o který půjde všem zodpovědným a opatrným organizacím a jehož výsledkem bude též oficiální GDPR certifikace. Zde půjde o kombinaci certifikace systémů a služeb s celkovým auditem organizace z hlediska zacházení s citlivými informacemi a rozbor právního stavu návazných dokumentů. Takový komplexní přístup zároveň představuje ideální příležitost k celkovému zvýšení kybernetické bezpečnosti, omezení rizik, automatizaci procesů a někdy i snížení nákladů na provoz IT.

Skutečně autoritativní GDPR audit

Cílem "silného" auditu shody s GDPR nařízením je doladění a ověření zpracování osobních údajů napříč celou organizací, včetně vazeb na okolí. Není proto v zájmu vedení firmy, aby se certifikace týkala jen určité části či jednoho informačního systému - zákon klade důraz na komplexní přístup a pravidlo nejslabšího článku řetězu platí i zde.

Vzhledem k výše uvedenému se v tuto chvíli jeví jako nejvíce autoritativní dvoufázový audit shody: audit kybernetické bezpečnosti a známých požadavků nyní a "rozdílový" GDPR audit ihned po zveřejnění národního rámce.

Vzhledem k rozsahu požadavků GDPR nařízení na firmu a její systémy není reálné vše stihnout pár měsíců před jeho účinností 25.5.2018. Naštěstí GDPR navazuje na normy kybernetické bezpečnosti a většina požadavků je jednoznačná - první fáze auditu tedy odladí 95% požadavků. Zbývající detaily pokryje rozdílový audit vycházející z národního certifikačního rámce.

Pokud audit provádí autorita, která zajišťuje oficiální certifikaci kybernetické bezpečnosti dle normy ISO 27001 (Systém řízení bezpečnosti informací), je vysoká pravděpodobnost, že v roce 2018 bude mít oprávnění k oficiální certifikaci produktů dle GDPR a bude moci u svých klientů realizovat rozdílový audit.

Navíc jsou požadavky GDPR nařízení již nyní ve většině oblastí zcela jasné a audit dle ISO 27001 může již nyní zahrnovat patřičná doporučení. Tento přístup je pochopitelně nejnákladnější variantou, ale zajišťuje největší garance zákazníkům a partnerům a nejvyšší ochranu vedení organizace před chybami a postihy.

Další články k tématům - akreditace - audit - bezpečnost - certifikace - ČSN - GDPR - ISO - ÚOOÚ - zákon

Článek Asociace za lepší ICT řešení, o.p.s. ze dne středa 13. září 2017