Pravidla GDPR v rámci českého právního řádu

ISO 27701. Nový standard pro systém ochrany osobních údajů a certifikaci GDPR 

GDPR je s námi již více, než rok

Obecné nařízení o ochraně osobních údajů, GDPR, je již plně účinné déle než rok. Od letošního dubna máme i nový zákon č. 110/2019 Sb., o zpracování osobních údajů, který upřesnil aplikaci některých pravidel GDPR v rámci českého právního řádu. 

Povinnost pro správce osobních údajů

Jednou ze skutečně zásadních novinek, kterou GDPR přineslo, je zavedení tzv. principu odpovědnosti (accountability), tedy povinnost správce údajů osobní údaje nejen zpracovávat v souladu s požadavky práva, ale také tento soulad dokumentovat a být kdykoliv schopen jej doložit. GDPR pro doložení souladu nabízí několik nových nástrojů, jako je

• vzorová GDPR dokumentace
• provedení dopadových a rizikových analýz
• zřízení funkce pověřence pro ochranu osobních údajů
• či certifikace produktů, služeb či systémů pro zpracování osobních dat

Současný právní rámec klade na zpracování osobních údajů řadu požadavků.

Nejedná se přitom zdaleka jen o zabezpečení zpracovávaných dat, ale především o celkové nastavení kontroly nad celým zpracováním, tj.

• jednoznačné definování účelů a právních titulů pro jednotlivá zpracování,
• nastavení a dokumentování rozsahu zpracovávaných dat, doby jejich uchování a následného mazání,
• nastavení procesů pro vyřizování podnětů dotčených osob, které uplatní např. právo na přístup k údajům či právo na jejich výmaz,
• ale i nastavení procesu pro řízení případů porušení zabezpečení osobních údajů, vztahů s dalšími subjekty, které se na zpracování podílejí,
• (zejména vztah správce-zpracovatel či vztah společných správců), a dodržování pravidel pro předávání osobních údajů mimo Evropskou unii.

Předcházejte problémům, certifikujte GDPR Compliance

Certifikace, čili nezávislé posouzení interně nastavených pravidel a procesů týkajících se osobních údajů a potvrzení jejich souladu s regulatorními požadavky, může být efektivním nástrojem pro doložení souladu činnosti organizace s požadavky GDPR, adaptačního zákona i dalších sektorových předpisů, které upravují některá specifika pro zpracování dat.

Taková certifikace může být i významnou konkurenční výhodou těch společností, pro kterou je právě zpracování dat hlavním předmětem činnosti (poskytovatelé IT služeb, cloudových služeb, provozovatelé sledovacích či monitorovacích zařízení, společnosti zabývající se správou, uchováním nebo likvidací dat či datových nosičů atd.), nebo pro které je rozsáhlé zpracování dat nezbytné k zajištění hlavního byznysu (finanční trh, pojišťovnictví, zdravotnictví, telekomunikačních služeb, e-commerce atd.). 

GDPR předpokládá, že certifikační mechanismus nastaví dozorový úřad pro oblast ochrany osobních. Nový zákon o zpracování osobních údajů Úřadu pro ochranu osobních údajůumožňuje, aby ÚOOÚ vyhláškou stanovil kritéria pro akreditaci příslušné certifikační autority či kritéria pro certifikaci jako takovou. Konkrétní pravidla však v České republice dosud stanovena nebyla. Ty organizace, které mají zájem získat certifikaci svého systému pro zpracování osobních údajů, se tak na postup upravený v GDPR spolehnout nemohou.

ISO/IEC 27701

První mezinárodní standard pro certifikaci GDPR 

Organizace, které by rády certifikace pro zpracování osobních údajů využily, však mají i jinou možnost. Zbrusu novým nástrojem pro certifikaci řádného zpracování osobních údajů je ISO norma ISO/IEC 27701, která byla oficiálně zveřejněna 6. srpna 2019.

Tato norma nastavuje rámec pro zpracování osobních údajů jak pro správce, tak pro zpracovatele osobních údajů, a její zavedení v organizaci může velmi efektivně přispět k dosažení dostatečné kontroly nad zpracováním osobních údajů a nastavení nezbytných kontrol, aby rizika vyplývající ze zpracování osobních údajů byla v dostatečné míře popsána a snížena či úplně eliminována. 

ISO 27701 nestojí zcela samostatně, ale je rozšířením ISO řady 27000. ISO normy řady 27000 upravují obecně nastavení systému řízení bezpečnosti informací (Information Security Management System, ISMS) bez ohledu na to, o jaké informace se jedná, proč jsou pro danou organizaci citlivé a proč je důležité je chránit.

Nové ISO 27701 představuje nadstavbu, která obecná pravidla ISMS specificky uplatňuje na osobní údaje a reaguje na požadavky obecně závazných předpisů a regulatorních požadavků, tedy i na požadavky GDPR. 

Jinak řečeno, organizace, která hodlá zavést ISO 27701, musí být certifikována i na ISO řady 27000, a tuto certifikaci si pak může rozšířit i o certifikaci pro zpracování specifické skupiny informací, osobních údajů.

ISO/IEC 27001 Certifikace

Potvrzuje se tak, že zavedení systému bezpečnosti informací, ISMS, je velmi důležitým předpokladem pro aplikaci a dokumentování správného nastavení pravidel pro zpracování osobních dat.

Jaké výhody certifikace ISO 27701?

• Snadnější doložení souladu činnosti s požadavky GDPR a dalších právních předpisů
• Posílení konkurenceschopnosti nejen v rámci České republiky, ale i na celém evropském trhu
• Jednoduché demonstrování souladu s požadavky GDPR dozorovému úřadu, obchodním partnerům, klientům i zaměstnancům organizace
• Snížení nákladů na řízení zpracování osobních údajů, efektivní využití synergií s již nastavenými pravidly systému řízení bezpečnosti informací, ISMS
• Důkladné zmapování zpracování osobních údajů a toků osobních dat v organizaci, jejich evidence, správné nastavení a dokumentování souvisejících procesů a nezbytných kontrol

Začněte pracovat na svém GDPR Compliance a certifikaci. Jak na to vás naučí tento kurz

ISO 27701 | GDPR Compliance