Spis treści
Certyfikacja jest dobrowolnym mechanizmem. Jej dokonanie nie wpływa na spoczywający na administratorze lub procesorze obowiązek przestrzegania rozporządzenia GDPR i pozostaje bez wpływu na zadania i uprawnienia organów nadzorczych.
Podmioty mogące podlegać certyfikacji
Mogą podlegać jej wszelcy administratorzy i procesorzy, niezależnie gdzie się znajdują
Poza podlegającymi rozporządzeniu administratorami i procesorami, certyfikacji mogą podlegać administratorzy lub procesorzy, których nie obejmuje terytorialny zakres zastosowania rozporządzenia GDPR.
Wywiązanie się z obowiązku zapewnienia odpowiednich zabezpieczeń
Dokonanie certyfikacji przez taki podmiot, sprawia że wywiązuje się on z obowiązku zapewnienia odpowiednich zabezpieczeń, w ramach przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych.
Podjęcie związanych z certyfiacją zobowiązań
Tacy administratorzy lub takie podmioty przetwarzające podejmują wiążące i egzekwowalne zobowiązania do stosowania tych odpowiednich zabezpieczeń. Zobowiązanie powstaje, w drodze umowy lub poprzez inne prawnie wiążące instrumenty.
Podmiot dokonujący certyfikacji
Certyfikacji dokonuje:
1) podmioty certyfikujący; lub
2) dokonuje jej właściwy organ nadzorczy – na podstawie:
a) kryteriów przez niego zatwierdzonych; lub
b) kryteriów zatwierdzonych przez Europejską Radę Ochrony Danych.
W przypadku gdy kryteria są zatwierdzane przez Europejską Radę Ochrony Danych, może to skutkować wspólną certyfikacją, europejskim znakiem jakości ochrony danych.
Obowiązek współpracy z organem dokonującym certyfikacji
Administrator lub podmiot przetwarzający, którzy poddają swoje przetwarzanie mechanizmowi certyfikacji, udzielają podmiotowi dokonującemu certyfikacji:
1) wszelkich informacji; i
2) wszelkiego dostępu do swoich czynności przetwarzania,
które są niezbędne do przeprowadzenia procedury certyfikacji.
Okres certyfikacji
Certyfikacji administratora lub podmiotu przetwarzającego udziela się na maksymalny okres 3 lat. Można ją przedłużyć na tych samych warunkach, o ile nadal spełnione są stosowne wymogi.
Podmiot dokonujący certyfikacji, może cofnąć certyfikację, jeżeli jej wymogi nie są spełnione lub przestały być spełniane.
Rejestr mechanizmów certyfikacji
Europejska Rada Ochrony Danych gromadzi w rejestrze wszystkie mechanizmy certyfikacji oraz znaki jakości i oznaczenia w dziedzinie ochrony danych i udostępnia je opinii publicznej.
Podmiot certyfikujący
Zadania i obowiązki podmiotu certyfikującego
Podmiot certyfikujący:
1) dokonuje certyfikacji i jej przedłużenia
2) jest odpowiedzialny za dokonanie właściwej oceny przed udzieleniem lub cofnięciem certyfikacji
3) przedstawiaja właściwemu organowi nadzorczemu, powody udzielenia lub cofnięcia żądanej certyfikacji.
4) nim dokona certyfikacji, musi poinformować organ nadzorczy, w celu umożliwienia mu wyrażenia sprzeciwu.
Organ nadzorczy wyraża sprzeciw, jeżeli uzna, że certyfikowany podmiot nie spełnia wymogów certyfikacji.
Podmiot akredytujący podmiot certyfikujący
Państwa członkowskie zapewniają akredytację podmiotów certyfikujących przez:
1) właściwy organ nadzorczy; lub
2) krajową jednostkę akredytującą oraz zgodnie z dodatkowymi wymogami określonymi przez właściwy organ nadzorczy.
Wymogi do akredytacji
Podmioty certyfikujące, zostają akredytowane, gdy:
1) w sposób satysfakcjonujący wykazały właściwemu organowi nadzorczemu swoją niezależność i wiedzę fachową w dziedzinie podlegającej certyfikacji;
2) zobowiązały się do przestrzegania kryteriów zatwierdzonych przez organ nadzorczy lub Europejską Radę Ochrony Danych.
3) dysponują procedurami wydawania, okresowego przeglądu i cofania certyfikacji, znaków jakości i oznaczeń w dziedzinie ochrony danych;
4) dysponują procedurami i strukturami, które pozwalają rozpatrywać skargi:
a) na naruszenie warunków certyfikacji przez administratora lub podmiot przetwarzający; lub
b) na sposób wdrożenia lub wdrażania certyfikacji przez administratora lub podmiot przetwarzający;
5) dysponują procedurami i strukturami, które zapewniają przejrzystość tych procedur i struktur dla osób, których dane dotyczą;
6) dysponują procedurami i strukturami, które w sposób satysfakcjonujący wykażą właściwemu organowi nadzorczemu, że ich zadania i obowiązki nie powodują konfliktu interesów.
Kryteria akredytacji
Akredytacja podmiotów certyfikujących, jest dokonywana na podstawie kryteriów zatwierdzonych przez właściwy organ nadzorczy lub Europejską Radę Ochrony Danych. Organ nadzorczy, w łatwo dostępny sposób, podaje te wymogi do wiadomości publicznej.
Okres akredytacji
Akredytacji udziela się na maksymalny okres pięciu lat; można ją przedłużyć na tych samych warunkach, o ile podmiot certyfikujący spełnia jej wymogi.
Cofnięcie akredytacji
Właściwy organ nadzorczy lub krajowa jednostka akredytująca cofają akredytację podmiotu certyfikującego, w przypadku gdy:
1) podmiot ten nie spełnia lub przestał spełniać warunki akredytacji; lub
2) jeżeli działania podejmowane przez podmiot certyfikujący naruszają rozporządzenie GDPR.