Certifikacija in akreditacija
+ -Zakaj Splošna uredba uvaja certifikacijo?
Kakšne so zahteve so za certifikacijska telesa, ki podeljujejo certifikate?
Kaj je lahko predmet certifikacije?
Za koga bi lahko bila zanimiva certifikacija?
Koliko stane certifikacija in kako dolgo velja certifikat?
Ali je certifikacija prostovoljna ali obvezna?
Na kratko
Splošna uredba o varstvu podatkov (GDPR) spodbuja uvedbo certificiranja (potrjevanja) na področju varstva podatkov, ki bi posameznikom omogočila, da hitro ocenijo raven varstva podatkov zadevnih proizvodov in storitev. Organizacije, ki želijo doseči višjo raven zaupanja pri svojih obstoječih in novih strankah glede ravnanja z njihovimi osebnimi podatki, bodo lahko pri ustrezno akreditiranih telesih za certificiranje pridobile certifikat, ki izkazuje skladnost določenih obdelav osebnih podatkov z zakonodajo. Akreditacijo in certifikacijo smo na bolj razumljiv način predstavili v infografiki.
- Certificiranje (v ZVOP-2 je uporabljen izraz »potrjevanje«) bodo izvajala certifikacijska telesa, ki morajo predhodno dobiti ustrezno dovoljenje (akreditacijsko listino) v postopku akreditacije pri Slovenski akreditaciji (Slovenska akreditacija je nacionalni akreditacijski organ v skladu z Zakonom o akreditaciji in imenovan v skladu z Uredbo (ES) št. 765/2008 Evropskega parlamenta; https://www.slo-akreditacija.si/).
- Certifikacijsko telo opredeli shemo certificiranja, t.j. certifikacijski sistem, povezan z določenimi produkti, procesi in storitvami, za katere veljajo iste določene zahteve, posebna pravila in postopki ter vključuje predvsem merila certificiranja in metodologijo ocenjevanja.
- Certifikat ne zmanjšuje odgovornosti upravljavca ali obdelovalca za skladnost s Splošno uredbo ter ne posega v naloge in pooblastila nadzornih organov.
- Certifikat se izda upravljavcu ali obdelovalcu za obdobje največ treh let in se pod enakimi pogoji lahko podaljša, če so zadevne zahteve še naprej izpolnjene. Certifikat se lahko tudi prekliče, kadar zahteve v zvezi s potrdilom niso ali niso več izpolnjene.
- Ceno pridobitve/podaljšanja veljavnosti certifikata bo določal trg.
- Certifikate se lahko uporabi tudi za dokazovanje skladnosti glede spoštovanja načela vgrajenega in privzetega varstva podatkov (25. člen Splošne uredbe), ureditve pogodbene obdelave (28. člen Splošne uredbe) ter pri prenosu osebnih podatkov v tretje države (46. člen Splošne uredbe).
- Možen je tudi razvoj evropskih certifikatov oz. pečatov.
- RELEVANTNI ČLENI SPLOŠNE UREDBE
- Uvodne določbe: 77, 81, 100
- Členi: 42, 43
- RELEVANTNI ČLENI ZVOP-2
- Člen: 52, 53, 83, 108, 121
- OBVEZNO BRANJE
- Dodatne zahteve IP za akreditacijo (slovenska različica, angleška različica).
- Odgovori na pogosta vprašanja, ki bi jih lahko imele zainteresirane stranke glede dodatnih zahtev za akreditacijo.
Zakaj Splošna uredba uvaja certifikacijo?
Posamezniki smo zelo pogosto podvrženi odločitvam, katere storitve uporabiti in katerim ponudnikom lahko zaupamo, da bodo z našimi podatki ravnali na zakonit način. Podobno kot na številnih drugih področjih (npr. prehrana, letalski promet, zdravila) gre za vprašanje zaupanja, kjer imajo lahko pomembno vlogo certifikati – t.j. izkaz, da je bila določena storitev, oprema, proces ali osebje preverjeno glede na relevantne in preverljive kriterije in s strani za to ustrezno usposobljenih organizacij. Po drugi strani je certifikacija lahko zanimiva za različne ponudnike storitev in druge organizacije, ki želijo na ta način izkazati zakonitost svojega poslovanja ali s tem vplivati na konkurenčno prednost, ugled ter vrednost svoje organizacije.
Že pred sprejemom Splošne uredbe so obstajale določene delujoče pobude za certifikacijo tudi na področju varstva osebnih podatkov, s sprejemom Splošne uredbe pa je certifikacija dobila tudi zakonsko »težo« in podrobnejšo ureditev.
Kakšne so zahteve so za certifikacijska telesa, ki podeljujejo certifikate?
Da bi lahko zainteresiranim strankam podeljevala certifikate (tudi pečate oz. potrdila) morajo certifikacijska telesa najprej uspešno prestati postopek akreditacije (pridobiti akreditacijsko listino). Certifikacijska telesa morajo:
-
zadovoljivo dokazati svojo neodvisnost in strokovno znanje v zvezi z vsebino certificiranja, se zavezati, da bodo izpolnjevali relevantna merila,
- vzpostaviti postopke za izdajo, redne preglede in preklic potrjevanja, pečatov in označb za varstvo podatkov,
- vzpostaviti postopke in strukture za obravnavanje pritožb in
- zadovoljivo dokazati, da zaradi svojih nalog in dolžnosti ne pride do nasprotja interesov
Izkušnje in sredstva so torej potrebna tako s področja certificiranja kot s področja varstva osebnih podatkov.
Certifikacijska telesa morajo pripraviti merila certificiranja, ki jih pošljejo IP, ta pripravi osnutek odločbe, ki jo posreduje v mnenje Evropskemu odboru za varstva podatkov. Ko so merila potrjena lahko certifikacijsko telo pri Slovenski akreditaciji sproži postopek za pridobitev akreditacijske listine. Kdaj bodo ti postopki na voljo, trenutno še ni znano, informacije pa bodo objavljene na spletni strani Slovenske akreditacije. Slovenska akreditacija med drugim preveri kadrovske in finančne resurse vlagatelja, izpolnjevanje drugih pogojev in zahteve po Uredbi (ES) 765/2008, izpolnjevanje standarda ISO/IEC 17065/2012 ter dodatne zahteve za akreditacijo, ki jih določi IP v skladu s točko b prvega odstavka 43. člena in tretjim odstavkom 43. člena Splošne uredbe.
Osnutek takšnih zahtev je IP poslal Evropskemu odboru za varstva podatkov oktobra 2023, nanj pridobil mnenje in uredil ustrezne popravke. Na voljo je na tej povezavi (slovenska različica, angleška različica). Končno mnenje EDPB v juliju 2024 še ni na voljo, predvidoma pa so glede na popravljeni osnutek pričakovani le redakcijski popravki. Objavili smo tudi odgovore na pogosta vprašanja, ki bi jih lahko imele zainteresirane stranke glede dodatnih zahtev za akreditacijo.
Več informacij za certifikacijska telesa je na voljo v Smernicah EDPB:
- Smernice 4/2018 o akreditaciji certifikacijskih organov po 43. členu Splošne uredbe
- Smernice 1/2018 o certificiranju in opredelitvi meril za certificiranje v skladu z 42. in 43. členom Splošne uredbe
Kaj je lahko predmet certifikacije?
Predmet certifikacije so predvsem določeni postopki oziroma procesi obdelave osebnih podatkov. Lahko gre za celoto dejanj obdelave ali le posamezne obdelave (npr. celotna platforma ali le varna prijava, varna hramba ipd.).
Primeri sistemov oziroma procesov, ki so primerni za potrjevanje:
- IT programi za kadrovske funkcije (npr. beleženje prisotnosti, obračunavanje plač),
- platforma za spletno prodajo,
- klub zvestobe,
- storitev spletnega bančništva,
- biometrični sistemi za nadzor vstopa/izstopa v posebej varovane prostore.
Ne gre torej za certifikacijo opreme kot take (npr. biometrijskega čitalca prstnih odtisov, videonadzorne kamere, strežnika), temveč za celoten proces določene obdelave osebnih podatkov. Pri tehnologiji z vidika varstva osebnih podatkov ni pomembno le, ali določena oprema deluje kot je predvideno, temveč so pomembni tudi nameni in načini uporabe, ki se lahko bistveno razlikujejo v različnih okoliščinah. Iz sedmega odstavka 42. člena Splošne uredbe izhaja, da se certifikati na podlagi Splošne uredbe izdajo samo upravljavcem in obdelovalcem podatkov, kar izključuje na primer certificiranje pooblaščenih oseb za varstvo podatkov.
Za koga bi lahko bila zanimiva certifikacija?
Certifikacija bi lahko bila zanimiva predvsem za organizacije, katere temeljne dejavnosti bodisi vključujejo obdelavo osebnih podatkov bodisi zaradi narave poslovanja prihaja do obsežnih obdelav osebnih podatkov. Pridobitev certifikata lahko pomeni dvig zaupanja pri strankah ter splošni in strokovni javnosti, lahko se uporabi kot orodje za doseganje konkurenčne prednosti in pri vstopu na trg, in na splošno lahko pozitivno vpliva na ugled in s tem vrednost organizacije. Gre torej za podobne lastnosti, kot jih imajo certifikati na drugih področjih (npr. glede upravljanja sistemov, informacijske varnosti, varovanja okolja, sistemi zagotavljanja kakovosti ipd.). Sčasoma lahko obstoj certifikata postane tudi pomemben kriterij pri javnem naročanju in pri odločanju za storitve pogodbenih obdelovalcev. Med panogami, ki bi jih pridobitev certifikata lahko posebej zanimala, bi lahko izpostavili ponudnike različnih IT storitev v smislu obdelovalcev podatkov, bančni, trgovinski ter zavarovalniški sektor.
Koliko stane certifikacija in kako dolgo velja certifikat?
Ob odločanju za certifikacijo je treba upoštevati, da gre za dolgoročno zavezo (certifikat ima rok veljavnosti največ tri leta in ga je potrebno podaljševati), ki ima svoje finančne in kadrovske vidike (cene bo določal trg, t.j. certifikacijska telesa) ter dejstvo, da sam pridobljen certifikat ne pomeni, da zavezanec s tem nima več določenih obveznosti glede na zakonodajo in se mora zavedati, da je še vedno lahko povržen nadzornim in kaznovalnim postopkom v primeru kršitev. Pridobljen certifikat je lahko tudi oteževalna ali olajševalna okoliščina pri odločitvi o izreku kazni in o njeni višini.
Ali je certifikacija prostovoljna ali obvezna?
Certifikacija je po Splošni uredbi prostovoljna, vendar pa je glede na določbe ZVOP-2 v določenih primerih obvezna, in sicer v primeru uporabe biometrijskih ukrepov v zasebnem sektorju. Tretji odstavek 83. člen ZVOP-2 določa, da mora biti obdelava biometričnih osebnih podatkov v zasebnem sektorju potrjena oz. certificirana. Več o tem si lahko preberete v smernicah IP o biometriji.