Регламент (ЕС) 2016/679. Необходимост от сертифициране съгласно GDPR

Регламент (ЕС) 2016/679. Въпрос. Задължително ли е да се сертифицирам, за да съм в съответствие с изискванията на GDPR? А длъжностното лице по защита на данните – трябва ли да притежава сертификат?
 
 
Отговор: Десислава Кръстева, адвокат,
 
Един най-често дискутираните въпроси в общественото пространство в последните месеци по темата със защитата на личните данни е този дали е необходимо организациите да се получат/ притежават някакъв сертификат, за да докажат, че съответстват на изискванията на Регламент (ЕС) 2016/679 („Регламента“/ „GDPR”).
 
Изключителното високите максимални размери на санкциите създадоха благодатна почва за интензивно търсене на „гаранции“, на решения, които да позволят на организациите да „докажат“, че са в съответствие с изискванията на GDPR.
 
Желанието на организациите да си гарантират някаква сигурност, защита или своеобразна форма на „застраховка“ срещу рисковете, които могат да произтекат от нарушение на изискванията на GDPR, естествено доведоха и до не по-малко интензивно предлагане на всевъзможни сертификати и до редица неверни твърдения и трактовки на новите правила.
 
За да отсеем маркетинговите трикове от реалните възможности за сертифициране по-долу ще разгледаме накратко режима на сертифициране по GDPR, както и връзката на GDPR с ISO 27001.
 
 
Механизми за сертифициране по GDPR
 
Във връзка с горното е важно да бъдат разяснен преди всичко въпросът дали има сертификати за съответствие с GDPR.
 
Действително GDPR предвижда възможността да бъдат въведени и да се използват механизми за сертифициране.
 
Всъщност за да се повиши прозрачността и съответствието с GDPR, самият GDPR предвижда, че следва да се насърчава създаването:
 
  • на механизми за сертифициране, както и
  • на печати и маркировки за защита на данните, които позволяват на физическите лица бързо да оценяват нивото на защита на данните на съответните продукти и услуги.
 
Това ще са специални, изцяло нови механизми за сертифицирани (различни от наличните до момента), които ще трябва да са създадени в съответствие с изискванията на чл. 42 и чл. 43 от GDPR.
 
Поради това е изключително важно да се подчертае, че към момента (края на май 2018 г.) в България все още не съществуват официално утвърдени механизми за сертифициране по реда на GDPR.
 
Подобна е ситуацията в голяма част от другите държави членки.
 
С други думи в този момент в България не би могло да има организация, която ни предостави такъв валиден сертификат.
 
Сертифициране за съответствие с GDPR ще може да се извършва само от организации (сертифициращи органи), които преди това са акредитирани по реда на чл. 43 от GDPR.
 
Ако един администратор или обработващ лични данни желае да се сертифицира за съответствие с GDPR, е важно да провери организацията, която му предлага:
 
  • сертификат или
  • марка за съответствие
е преминала през нужната акредитация.
 
Как ще бъдат акредитирани сертифициращите органи във всяка държава ще се определя със съответни национални правила и това ще може да става било по отделно, било заедно:
 
  • от националния надзорен орган по защита на данните и
  • от националния орган  по акредитация.
За България това са:
 
  • Комисия за защита на личните данни и
  • Изпълнителна агенция „Българската служба за акредитация“.
Не на последно място по GDPR е предвидено да има публичен регистър към Комитета по чл. 63 от GDPR, който да обединява всички механизми за сертифициране и всички печати и маркировки за защита на данните.
 
Единствено механизми за сертифицирани вписани в този регистър биха могли да се счетат за съответстващи на предвидения в GDPR ред.
 
Сертифицирането по GDPR е доброволно и се предвижда да бъде достъпно чрез процедура, която е прозрачна.
 
С други думи, всякакви твърдения и представяне на някакви сертификации като задължителни, за да бъде спазван GDPR, са изцяло неверни и подвеждащи. Изцяло е въпрос на преценка на администратора или обработващия дали да се сертифицира.
 
На следващо място, не по-малко важно е да се разясни, че сертифицирането по реда на чл. 42 от GDPR не води до намаляване на отговорността:
 
  • на администратора или
  • на обработващия лични данни за спазване на GDPR и
 не засяга задачите и правомощията на надзорните органи.
 
Това, че една организация е сертифицирана не гарантира, че същата не може да бъде санкционирана за нарушения на GDPR.
 
Сертифицирането по GDPR е чудесен начин един администратор или обработващ да демонстрира, че полага усилия в посока защитата на личните данни, но далеч не му дава каквито и да е гаранции, че няма риск да бъде санкциониран при нарушение.
 
Също така, това, че една организация е сертифицирана, не е пълна гаранция, че в действителност спазва изискванията на GDPR.
 
Особено ценни подобни сертификати в бъдеще биха могли да бъдат основно за организации, които боравят с много съществени масиви от информация, с множество клиенти-физически лица и други подобни.
 
 
ISO 27001
 
В последно време много често на пазара се появяват твърдения в посока, че наличието на сертификация по ISO 27001 е достатъчно и равнозначно на спазване на всички изисквания на GDPR.
Това, обаче, далеч не е така.
 
Безспорно ISO 27001 е утвърден международен сертификат по отношение сигурността на информацията.
 
Както, обаче, бе разяснено в поредица от публикации (приложени след отговора), осигуряването на сигурността на данните като:
 
  • поверителност,
  • наличност и
  • цялост
е само един от основните принципи на GDPR и е една всъщност много малка част от защитата на личните данни, която основно е насочена към защита на основните права и свободи на физическите лица, а не просто към прилагането на адекватни технологични и организационни мерки за тяхното сигурно пазене.
 
ISO 27001 категорично не е сертификат за съответствие с GDPR, който да отговаря на реда по чл. 42 от GDPR.
 
Безспорно, обаче, наличието на този сертификат е индикатор за това, че определена организация се придържа към определено ниво на мерки за организационна и техническа защита на информацията, с която борави (вкл. и на личните данни).
 
Поради това, докато се появят сертифициращи организации по чл. 43 от GDPR, за някои организации това би могло да бъде някаква тяхна алтернатива.
 
Голяма част от изискванията за това сертифициране кореспондират със сходни изисквания в GDPR.
 
В никакъв случай, обаче, преминаването през този сертификационен процес няма как да гарантира на:
 
  • един администратор или
  • обработващ лични данни,
че няма в бъдеще да може да бъде санкциониран за нарушения на GDPR или да му бъде търсена отговорност от засегнати физически лица.
 
Положените усилия по спазване на GDPR могат значително да улеснят сертифицирането по ISO 27001 и съответно обратното, спазването на изискванията за сертифициране по ISO 27001 могат да улеснят и допринесат за съобразяване с изискванията на GDPR.
 
В случай, че една организация преминава и през двата процеса е добре да се положат максимални усилия в посока да се избегне дублирането на документация и процедури - ситуация, която често се наблюдава в практиката, тъй като това създава риск от установяване на противоречащи си правила в организацията, какво и от поддържане на неактуални версии на документацията и процедурите.
 
 
Вижте материалите, публикувани в сп. "Данъци ТИТА" от началото на годината относно новия Регламент за защита на личните данни:
 
  1. GDPR - основни принципи при защита на личните данни
  2. Основания за обработването на лични данни и права на гражданите – ключови промени по GDPR
  3. Основни задължения на администраторите на лични данни – ключови промени по GDPR. Материалът е публикуван в Рубрика "Безплатно".
  4. GDPR - задължения на обработващите личните данни. Материалът е публикуван в Рубрика "Безплатно".
  5. Привеждане в съответствие с GDPR – стъпка по стъпка.  Материалът е публикуван в Рубрика "Безплатно". 
  6. Задължението за водене на регистри по чл. 30 GDPR - някои практически съвети. Материалът е публикуван в Рубрика "Безплатно"
  7. Регламент (ЕС) 2016/679. Задължение за назначаване на ДЛЗД и уведомление за него в КЗЛД. Материалът е публикуван в Рубрика "Безплатно".
  8. Регламент (ЕС) 2016/679. Задължителни мерки за защита на личните данни съгласно Регламент (ЕС) 2016/679 („Регламента“/„GDPR”)?”), в който се изяснява доколко са верни често тиражираните на пазара твърдения:
  • използването на конкретна („нашата“) информационна система или софтуерен продукт ще ви направи в съответствие с изискванията на Регламента;
  • Регламентът изисква задължително криптиране или псевдонимизиране на данните; или
  • забранено е да се изпращат лични данни по електронна поща.

 

Не пропускай най-новите ни безплатни публикации. Абонирай се за нашия е-бюлетин ТУК.

 

 

Назад