DPO On Demand

Že nestrpno čakate certifikat za vse svoje trdo delo na področju GDPR?

Čakanje na slovenska certifikacijska telesa bo še dolgo. Nekateri organi za varstvo osebnih podatkov iz drugih držav članic EU pa so medtem, ko Slovenija po več kot enem letu od začetka uporabe GDPR še kar čaka na ZVOP-2, že poslali svoje sheme za akreditiranje certifikacijskih teles na EDPB v odobritev.
09.08.2019
+ -

Trenutno še ni odobrenih certifikacijskih shem niti akreditiranih certifikacijskih teles za izdajo certifikatov po GDPR, saj še vedno čakamo na končno objavo EDPB smernic za certificiranje in akreditacijo.

V Sloveniji pa smo še korak dlje od certificiranja – ker še vedno nimamo ZVOP-2, Informacijski pooblaščenec (IP) niti ne ve z gotovostjo, kdo bo pristojen za akreditiranje - oni sami ali Slovenska akreditacija (SA). Po zadnjem javno dostopnem predlogu ZVOP-2 naj bi akreditacije certifikacijskih teles izvajala SA po kriterijih, ki jih sprejme IP. Predviden začetek izvajanja akreditiranja (in ne še certificiranja!) pa je šele leta 2023. Na primer britanski informacijski pooblaščenec načrtuje, da bo že jeseni letos začel sprejemati certifikacijske sheme v potrditev.

Kaj je sploh namen certificiranja in zakaj bi se želeli certificirati?

Namen certificiranja je, da upravljavci in obdelovalci izkažejo skladnost s Splošno uredbo o varstvu osebnih podatkov (GDPR). Če podjetje izkaže skladnost z določenim certifikacijskim sistemom, mu bo izdano potrdilo, pečat ali znamka, ki ga podjetje lahko uporablja kot dokaz da je skladen z GDPR.

Certificirani upravljavi in obdelovalci pridobijo večje zaupanje na trgu, med potrošniki in poslovnimi strankami, kar je v zelo konkurenčnih in hitro rastočih panogah nadvse pomembno. Bistveno se olajša tudi nadzorne postopke s strani nadzornih organov in lahko pomeni tudi olajševalno okoliščino pri odmeri morebitne sankcije. Za obdelovalce je velika dodana vrednost tudi ta, da se s certifikatom izkažejo upravljavcem in se izognejo zamudnim nazorom posamičnih upravljavcev.

Kako naj bi certificiranje potekalo?

Vzpostavljene bodo „sheme certificiranja“. Sheme certificiranja bodo niz meril ali standardov, ki jim lahko podjetja sledijo, da dokažejo skladnost s posebnim ali splošnim pravilom GDPR (na primer o varnem shranjevanju ali osebnih podatkih na splošno ali na določenih lokacijah / okoliščinah). Sheme certificiranja bodo oblikovale družbe, ki bodo predložile predloge pristojnemu organu (kot rečeno v Sloveniji še vedno ne vemo, kateri organ bo to). Ta bo najverjetneje imel posebno komisijo, ki bo odločala o odobritvi in objavi sheme – bo torej akreditirala telesa za certificiranje.

Po teh shemah bodo potem odobrena (pooblaščena) certifikacijska telesa izvajala certificiranje upravljavcev in obdelovalcev. Podeljeni certifikati bodo časovno omejeni, podvrženi rednim kontrolam in bodo lahko posameznemu upravljavcu ali obdelovalcu tudi predčasno odvzeti.

Ali bo certificiranje upravljavcev in obdelovalcev obvezno?

Ne. Upravljavci in obdelovalci se bodo za pridobitev certifikata odločili prostovoljno. Čas pa bo pokazal, ali jih bo v certificiranje prisilil sam trg.

Tags: certificiranje, edpb, gdpr, informacijski pooblaščenec, slovenska akreditacija, ZVOP-2
Predhodni
Naslednji
Objavil/a

Data Protection Officer

Dogodki

ZVOP- 2 in ZZpri: Varstvo osebnih podatkov in zaščita prijaviteljev (žvižgačev)

Izpostavljeno

ZVOP-2
Portal GDPR GURU
Piškotki
Včlanite se v DPO Klub