K čemu je dobré a jak ho získat?
O problematice GDPR jsme již psali několikrát. Dnes se zaměříme na tzv. GDPR certifikaci a vysvětlíme si, proč je dobré ji mít, k čemu slouží a jak celý proces pro její získání probíhá.
Co a proč?
Certifikát neboli osvědčení o ochraně osobních údajů je dokument sloužící k prokázání správnosti nakládání s osobními údaji při kontrole dozorovým orgánem, kterým je v tomto případě Úřad pro ochranu osobních údajů (ÚOOÚ). Pokud jste tedy správcem nebo zpracovatelem osobních údajů (resp. váš podnik, osvědčení zatím nelze vydat osobě), je dobré si toto osvědčení pořídit. Z toho sice vyplývá, že mít certifikát není povinné (jedná se o jednu z variant, jak prokázat soulad s nařízením GDPR – další z variant je tzv. Kodex chování, ten ale slouží spíše na sektorové úrovni, např. ve zdravotnictví, bankovnictví atp.), určitě se to ale jeví jako značná výhoda, a to například i kvůli usnadnění nákupu produktů (nebo služeb) – prodejce totiž osvědčením může doložit, že jím prodávaný produkt či služba jsou v souladu s nařízením GDPR. Vlastnictví certifikátu ovšem pro zpracovatele neznamená zbavení se odpovědnosti za soulad procesů s nařízením GDPR a zároveň se ani nijak nedotýká pravomocí Úřadu pro ochranu osobních údajů – to je důležité vědět.
Kde?
O vydání osvědčení lze zažádat jakýkoliv subjekt pro vydávání osvědčení, který byl pro tyto činnosti akreditován, a to buď přímo Úřadem pro ochranu osobních údajů a nebo Českým institutem pro akreditaci, o.p.s. Systém akreditace jednotlivých subjektů, které o udělení osvědčení mohou za poplatek požádat, a vydávání jednotlivých osvědčení, funguje na bázi dvou základních dokumentů. Těmi jsou:
- kritéria pro akreditaci subjektů pro vydávání osvědčení (akreditační požadavky),
- kritéria pro vydávání osvědčení (certifikační požadavky).
Certifikáty jsou vydávány na dobu 3 let, poté mohou být na žádost vydány znovu.