Menu

ÚOOÚ uveřejnil nejčastější dotazy ke GDPR

Úřad pro ochranu osobních údajů (ÚOOÚ) uveřejnil na svých webových stránkách nejčastěji kladené dotazy ke GDPR, na které je pravidelně dotazován. „V současné chvíli rubrika Otázky a odpovědi obsahuje témata jako je certifikace, vydávání osvědčení, kodexy chování pro veřejnou správu, porušení zabezpečení osobních údajů, posouzení vlivu na ochranu osobních údajů, pověřenec pro ochranu osobních údajů, práva subjektu údajů, právní důvody zpracování a sociální služby,“ informoval mluvčí Úřadu Tomáš Paták.

S ohledem na důležitost některých odpovědí ze strany ÚOOÚ na nejčastěji kladené dotazy si zaslouží některá témata podrobnější výklad.

Certifikace a vydávání osvědčení

Úřad konečně vnesl jasno do této veřejností velmi diskutované oblasti, která je doprovázena řadou mýtů a nesprávných doporučení, na něž jsme na našem webu opakovaně poukazovali.

Jak Úřad uvádí, v rámci českého překladu nařízení byla v souvislosti s certifikacemi použita odlišná terminologie, která není v souladu se stávající terminologií používanou v oblasti akreditace. Pokud nedojde k úpravě překladu uvedeného nařízení, je nutno řešit vztah obou terminologií. Proto v rámci jednotlivých dotazů zpřesnil pojmy z nařízení a přiřadil k nim ekvivalent dle současné terminologie v oblasti akreditace (v ČR zastřešuje Český institut pro akreditaci, o.p.s.):

  • osvědčení = certifikát
  • subjekt pro vydávání osvědčení = certifikační orgán
  • kritéria pro vydávání osvědčení = certifikační požadavky
  • kritéria pro akreditaci subjektů = akreditační požadavky

Co je osvědčení neboli certifikát?

Osvědčení (certifikát) o ochraně osobních údajů je dokument vydaný orgánem oficiálně akreditovaným pro vydávání osvědčení (certifikačním orgánem), kterým subjekt (správce, zpracovatel, výrobce atd.) prokazuje zajištění souladu s požadavky nařízení 2016/679.

Kromě získání osvědčení (certifikátu) jsou jinými možnostmi prokázání souladu s nařízením 2016/679 podpis a dodržování kodexu chování (pokud pro danou oblast existuje) nebo zajištění nezbytné dokumentace a přístupu k činnostem zpracování tak, aby soulad s nařízením bylo možno posoudit například v rámci kontroly dozorového orgánu (Úřad pro ochranu osobních údajů).

Naprosto kategoricky ÚOOÚ uvedl, že osvědčení neboli certifikát o ochraně osobních údajů mohou vydávat pouze subjekty pro vydávání osvědčení (certifikační orgány) pro tuto činnost akreditované. Návrh zákona o zpracování osobních údajů aktuálně počítá s variantou, že akreditaci subjektů pro vydávání osvědčení bude provádět vnitrostátní akreditační orgán České republiky, Český institut pro akreditaci, o.p.s., s nímž již nyní Úřad úzce spolupracuje. Tento orgán tedy bude jedinou autoritou, která subjekty pro vydávání certifikací bude akreditovat.

V současné době Úřad pracuje na přípravě kritérií pro vydávání certifikátů a podmínek pro akreditaci subjektů pro jejich vydávání. V této souvislosti je však očekáváno i vydání vodítek ze strany pracovní skupiny podle článku 29, proto prozatím nelze žádat o akreditaci, a tudíž nelze ani žádat o vydání osvědčení (certifikátu) k určitému produktu, službě nebo zpracování. V okamžiku, kdy to bude možné, bude veřejnost Úřadem informována.

Do budoucna lze tedy počítat s certifikací některých činností v rámci zpracování osobních údajů podporovaných jedním nebo více informačními systémy, produkty (SW a HW) nebo službami. Naopak součástí připravovaného schématu vydávání certifikátu není certifikace osob, především pověřenců pro ochranu osobních údajů, což ÚOOÚ ve svých odpovědích několikrát zdůraznil.

Pověřenec pro ochranu osobních údajů

Úřad opětovně potvrdil fakt, že GDPR žádnou certifikaci pověřenců nestanovuje jako předpoklad výkonu této funkce. Pověřenec tak certifikát mít nemusí a správce může jako pověřence vybrat i „necertifikovanou“ osobu, která disponuje dostatečným právním povědomím o ochraně osobních údajů a citovaném obecném nařízení. V současné době hojně nabízené kurzy DPO spojené s udělením certifikátu jsou pouhým marketingovým počinem společností, které je nabízejí, ale nemají žádnou oporu v zákoně. Není také náhodou, že když začátkem tohoto roku Facebook vypsal výběrové řízení na pozici interního pověřence pro jejich centrálu v Dublinu, tak jedním z rozhodujících kritérií výběru vhodného kandidáta byla jeho nejméně desetiletá zkušenost v oblastí ochrany osobních údajů a informací. O nějakém certifikátu nepadlo ani slovo.

Mnohem důležitější než krásně vybarvený certifikát bude u výběru vhodného pověřence hrát roli jeho kompetence a znalost nejenom předpisů v oblasti ochrany osobních údajů, ale také prostředí společnosti, pro kterou bude tuto funkci vykonávat. WP 29 totiž nedávno uveřejnila další ze svých výkladových vodítek, tentokrát pro stanovení výše pokut podle GDPR, v nichž mimo jiné podtrhuje povinnost správců nebo zpracovatelů uposlechnout doporučení pověřence, jinak jim v opačném případě může hrozit i vyšší sankce za úmyslné nedodržení jeho pokynů. Z tohoto důvodu výběr kvalitního a odborně zdatného jedince bude mít pro fungování společnosti v oblasti ochrany dat ve světle nových GDPR pravidel klíčovou roli, kterou žádný certifikát nemůže nahradit.

Podle názoru ÚOOÚ nemusí mít společenství vlastníků bytových jednotek ani domov pro seniory vlastního pověřence, nicméně i Úřad doporučuje zřídit tuto funkci na dobrovolné bázi nebo alespoň mít v organizaci určenou osobu, která se bude ochraně osobních údajů věnovat.

Další dotazy na Úřad se týkají povinností poskytovatelů ubytovacích zařízení, například hotelů nebo lázeňských domů, které jim ukládá GDPR. V tomto ohledu lze jen zopakovat známý fakt, že pokud společnosti dodržovaly současnou právní úpravu dle zákona č. 101/2000 Sb., o ochraně osobních údajů, tak se s novými GDPR pravidly vyrovnají velmi rychle.

Mgr. Eva Škorničková
Mgr. Eva Škorničková

Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!


Hlavní partneři

GDPR vstoupí v účinnost za :

  dnů :   hodin :   minut :   vteřin

: 25. května 2018