Osvědčení o ochraně osobních údajů podle GDPR

22. 6. 2017 Kristýna Delmar Právo pro byznys a inovace Právo pro veřejnou správu Data veřejné správy v souladu s GDPR Ochrana osobních údajů v souladu s GDPR

O novém evropském nařízení (GDPR), které nově upravuje podmínky o ochraně osobních údajů a nahrazuje dosavadní směrnici o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (95/46/ES) jste pravděpodobně již slyšeli. Co nařízení přináší, aneb co vás čeká a nemine, o tom postupně vydáváme sérií článků (1. z nich: Co jsou, co nejsou a co budou osobní údaje podle GDPR).

Nařízení umožňuje (ve svém článku 42, resp. 43) dozorovým orgánům členských státu (u nás Úřad pro ochranu osobních údajů - ÚOOÚ) vydávat, resp. pověřit třetí subjekt vydáváním tzv. „Osvědčení o ochraně osobních údajů“ (v zahraničních zdrojích často nazýváno certifikátem).

Tento certifikát může obdržet správce a bude jím prokazovat, že podnik splnil standard ochrany dat, a jeho zpracování osobních údajů je v souladu s nařízením GDPR. Osvědčení je možné vydat na dobu 3 let, poté je možné certifikát obnovit.

Podnik, který je ve smyslu nařízení „správcem osobních údajů“ nemusí osvědčení získat, aby mohl dále zpracovávat osobní údaje, jeho získání je dobrovolné, nicméně získáním podnik prokazuje soulad operací zpracování s nařízením GDPR. Získání certifikátu nezbavuje správce, resp. zpracovatele osobních údajů odpovědnosti za soulad jeho procesů s nařízením GDPR a zároveň tímto osvědčením nejsou dotčeny pravomoci ÚOOÚ jako dozorového orgánu.

Dne 15. 6. 2017 ÚOOÚ vydal sdělení, že udělováním Osvědčení pověřit Český institut pro akreditaci, spolu se kterým v současné době pracuje na tvorbě dokumentů k vydávání osvědčení. Těmito dokumenty budou
- Kritéria pro akreditaci subjektů pro vydávání osvědčení,
- Kritéria pro vydávání osvědčení.

Dle nařízení musí být postupy k získání osvědčení transparentní.

Příprava obou dokumentů bude probíhat následujícím postupem: Návrh kritérií připravených Úřadem bude konzultován a upraven na základě připomínek a návrhů uplatněných v rámci úzké pracovní skupiny. Ta bude k tomuto účelu zřízena Úřadem a bude složená ze subjektů se zkušenostmi v oblasti vydávání osvědčení/certifikací a v oblasti praktické ochrany osobních údajů. Výsledný text bude poté předložen k široké diskusi na webových stránkách Úřadu.

Kristýna Delmar

Advokátní koncipientka a manažerka obchodního rozvoje

Potřebujete radu právníka ohledně GDPR?

Sejdeme se s vámi a probereme, jaké jsou vaše aktuální potřeby vzhledem k velikosti vaší instituce a množství kontaktů, se kterými pracujete.

Navrhneme vám konkrétní řešení, pokud možno bez složité implementace nových softwarových nástrojů. Budeme vycházet z vašich stávajících vnitřních předpisů a postupů.

Obraťte se na nás

Ozvěte se nám