Jak v praxi doložit soulad s GDPR?
Jednou ze skutečně zásadních novinek, kterou GDPR přineslo, je zavedení tzv. principu odpovědnosti. Správce osobních údajů je povinen data zpracovávat v souladu s regulatorními požadavky, ale také být schopen tento soulad dokumentovat a kdykoliv jej doložit. Při kontrole, auditu, soudu.
GDPR pro doložení souladu nabízí několik nových nástrojů, jako je
vzorová GDPR dokumentace
provedení dopadových a rizikových analýz
zřízení funkce pověřence pro ochranu osobních údajů
certifikace produktů, služeb či systémů pro zpracování osobních dat
Právní rámec klade na zpracování osobních údajů řadu požadavků.
Nejedná se přitom zdaleka jen o zabezpečení zpracovávaných dat, ale především o celkové nastavení kontroly nad celým zpracováním, zejména:
jednoznačné definování účelů a právních titulů pro jednotlivá zpracování,
nastavení a dokumentování rozsahu zpracovávaných dat, doby jejich uchování a následného mazání,
nastavení procesů pro vyřizování podnětů dotčených osob, které uplatní např. právo na přístup k údajům či právo na jejich výmaz,
zavedení procesu pro řízení případů porušení zabezpečení osobních údajů, vztahů s dalšími subjekty, které se na zpracování podílejí, (zejména vztah správce-zpracovatel či vztah společných správců), a dodržování pravidel pro předávání osobních údajů mimo Evropskou unii.
Předcházejte problémům, certifikujte GDPR compliance
Certifikace je nezávislé posouzení interně nastavených procesů potvrzení jejich souladu s regulatorními požadavky. V oblasti ochrany a zpracování osobních dat může být certifikace efektivním nástrojem pro doložení souladu činnosti organizace s požadavky GDPR, adaptačního zákona i dalších sektorových předpisů, které upravují některá specifika pro zpracování dat.
Taková certifikace může být i významnou konkurenční výhodou společností, pro kterou je právě zpracování dat hlavním předmětem činnosti. Typicky se jedná o poskytovatele IT služeb, cloudových služeb, provozovatele sledovacích či monitorovacích zařízení, společnosti zabývající se správou, uchováním nebo likvidací dat či datových nosičů atd. Certifikace je ale přínosem i pro firmy, pro které je rozsáhlé zpracování dat nezbytné k zajištění hlavního byznysu, např. banky, pojišťovny, platební instituce, poskytovatele zdravotních služeb, telekomunikačních služeb, e-commerce společnosti atd.
GDPR předpokládá, že certifikační mechanismus nastaví dozorový úřad pro oblast ochrany osobních. Český zákon o zpracování osobních údajů Úřadu pro ochranu osobních údajů umožňuje, aby ÚOOÚ vyhláškou stanovil kritéria pro akreditaci příslušné certifikační autority či kritéria pro certifikaci jako takovou. Konkrétní pravidla však v České republice dosud, 6 let po účinnosti GDPR, stále nebyla stanovena. Organizace, které chtějí certifikovat systém pro zpracování osobních údajů, se tak na postup upravený v GDPR bohužel dosud spolehnout nemohou.
ISO/IEC 27701
Organizace, které chtějí certifikovat svoje postupy pro ochranu a zpracování osobních údajů, však mají i jinou možnost. Nástrojem pro certifikaci řádného zpracování osobních údajů je ISO norma ISO/IEC 27701, která byla oficiálně zveřejněna 6. srpna 2019.
Tato norma nastavuje rámec pro zpracování osobních údajů jak pro správce, tak pro zpracovatele osobních údajů. Její zavedení v organizaci může velmi efektivně přispět k dosažení dostatečné kontroly nad zpracováním osobních údajů a nastavení nezbytných kontrol, aby rizika vyplývající ze zpracování osobních údajů byla v dostatečné míře popsána a snížena či úplně eliminována.
ISO 27701 nestojí zcela samostatně, ale je rozšířením ISO řady 27000. ISO normy řady 27000 upravují obecně nastavení systému řízení bezpečnosti informací (Information Security Management System, ISMS) bez ohledu na to, o jaké informace se jedná, proč jsou pro danou organizaci citlivé a proč je důležité je chránit.
Nové ISO 27701 představuje nadstavbu, která obecná pravidla ISMS specificky uplatňuje na osobní údaje. ISO 2701 také reaguje na požadavky obecně závazných předpisů a regulatorních požadavků, tedy i na požadavky GDPR.
Jinak řečeno, organizace, která hodlá zavést ISO 27701, musí být certifikována na ISO řady 27000. Tuto certifikaci si pak může rozšířit i o certifikaci pro zpracování specifické skupiny informací, osobních údajů.
Potvrzuje se tak, že zavedení systému bezpečnosti informací, ISMS, je velmi důležitým předpokladem pro aplikaci a dokumentování správného nastavení pravidel pro zpracování osobních dat.
Jaké jsou výhody certifikace ISO/IEC 27701?
Snadné a jednoznačné doložení souladu s požadavky GDPR a dalších právních předpisů.
Posílení konkurenceschopnosti nejen v rámci České republiky, ale i na celém evropském trhu.
Jednoduché demonstrování souladu s požadavky GDPR dozorovému úřadu, obchodním partnerům, klientům i zaměstnancům organizace
Snížení nákladů na řízení zpracování osobních údajů, efektivní využití synergií s již nastavenými pravidly systému řízení bezpečnosti informací, ISMS
Důkladné zmapování zpracování osobních údajů a toků osobních dat v organizaci, jejich evidence, správné nastavení a dokumentování souvisejících procesů a nezbytných kontrol
Chcete se vyhnout pokutě? Použijte ISO certifikaci!
Update (26.4.2024): Za porušení GDPR padají vysoké pokuty. Nejen v zahraničí, ale i v České republice. Český Úřad pro ochranu osobních údajů již také sáhl k pokutě v řádu stovek milionů korun. Za co? Nedostatečně nastavený proces pro ochranu osobních údajů, který nezabránil zpracování, konkrétně prodeji, osobních dat pro marketingové účely. Navíc bez právního titulu, tedy nelegálně.
Pokuty ovšem hrozí i za další činnosti, které s osobními údaj souvisejí. Například telefonický marketing, zasílání obchodních sdělení, využití cookies nebo provozování kamerových systémů.
Jste si jisti, že jsou vaše interní procesy úplné a aktuální? Reflektují všechny změny v legislativě, dozoru i soudním rozhodování? I s tím vám pomůže správné nastavení interních procesů a postupů, jejich pravidelná aktualizace a revize a vše dohromady spojené osvědčenými postupy a kontrolami dle ISO 27701.