Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 21.05.2018
Naslov: Certificiranje po GDPR
Številka: 0712-3/2018/472
Vsebina: Razno
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je dne 18. 5. 2018 prejel vaše elektronsko sporočilo, v katerem sprašujete, ali v Sloveniji že obstaja mehanizem za potrjevanje po členu 42 Splošne Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov - ang. GDPR).

 

V nadaljevanju vam na podlagi informacij, ki ste nam jih posredovali in na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo; v nadaljevanju ZVOP-1) ter 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS št. 113/05 in 51/07-ZUstS) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Trenutno v Evropski uniji še ni razvit in potrjen noben mehanizem certificiranja po členu 42 Splošne uredbe o varstvu podatkov, saj ta zahteva akreditiranje teles za certificiranje, merila za akreditiranje pa še niso sprejeta.

 

IP uvodoma pojasnjuje, da je Slovenija predlagala vrsto popravkov uradnega prevoda Splošne uredbe za varstvo podatkov. Med drugim je bilo predlagano, da se izraz »certification« prevede kot »certificiranje« in ne kot »potrjevanje«, izraz »certification bodies« pa kot »telesa za certificiranje« in ne kot »organi za potrjevanje«. Navedeni predlogi so bili sprejeti, zato kljub dejstvu, da popravljeni prevod celotnega besedila uredbe še ni objavljen, IP uporablja navedene izraze.

 

Da bi zagotovili čim večjo usklajenosti mehanizmov certificiranja na ravni EU in ustrezno raven strokovnega znanja v zvezi z varstvom podatkov, morajo skladno z določbami člena 43 GDPR države članice zagotoviti, da so telesa za certificiranje pooblaščena s strani nadzornega organa, ki je pristojen na podlagi člena 55 ali 56; ali nacionalnega akreditacijskega organa, imenovanega v skladu z Uredbo (ES) št. 765/2008 Evropskega parlamenta in Sveta (1) v skladu z EN-ISO/IEC 17065/2012 in dodatnimi zahtevami, ki jih določi nadzorni organ, ki je pristojen na podlagi člena 55 ali 56.

 

Ker uredba dopušča državam članicam določeno stopnjo fleksibilnosti pri implementaciji določb člena 42 in 43, je v pomoč državam članicam pri odločitvah glede pooblaščanja Delovna skupina 29 (WP 29) kot neodvisen evropski svetovalni organ na področju varstva osebnih podatkov in zasebnosti  sprejela Smernice o akreditaciji teles za certificiranje, ki so na spletnih straneh IP objavljene na naslovu https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/mnenja-in-smernice-eu/). Navedene smernice naj bi državam članicam zagotovile smernice o tem, kako razlagati in izvajati določbe člena 43 uredbe ter z opredelitvijo enotnih meril pomagale državam članicam, nadzornim organom in nacionalnim akreditacijskim organom vzpostaviti dosledno in usklajeno izhodišče za akreditacijo teles za certificiranje v skladu z uredbo. Merila za akreditacijo teles za certificiranje bodo opredeljena v aneksu k smernicam, ki pa še ni sprejet.

 

Slovenija bo način pooblaščanja teles za certificiranje opredelila v novem Zakonu o varstvu osebnih podatkov (ZVOP-2) kar pomeni, da do sprejema in začetka izvajanja ZVOP-2 v Sloveniji ne bo možno vzpostaviti mehanizmov certificiranja po uredbi.

 

IP bo širšo javnost seznanjal z vsemi novostmi glede uredbe preko svojih spletnih strani (https://www.ip-rs.si/), kjer bodo objavljene tudi vse informacije glede certificiranja in seznam vseh potrjenih mehanizmov certificiranja.

 

 

Prijazen pozdrav,

 

 

Pripravila:

 

Informacijski pooblaščenec:

mag. Maruška Damjan

 

Mojca Prelesnik, univ. dipl. prav.

država nadzornica za varstvo osebnih podatkov

 

informacijska pooblaščenka