Certyfikacja jest dobrowolnym mechanizmem. Jej dokonanie nie wpływa na spoczywający na administratorze lub procesorze obowiązek przestrzegania rozporządzenia GDPR i pozostaje bez wpływu na zadania i uprawnienia organów nadzorczych.

Podmioty mogące podlegać certyfikacji

Mogą podlegać jej wszelcy administratorzy i procesorzy, niezależnie gdzie się znajdują

Poza podlegającymi rozporządzeniu administratorami i procesorami, certyfikacji mogą podlegać administratorzy lub procesorzy, których nie obejmuje terytorialny zakres zastosowania rozporządzenia GDPR.

Wywiązanie się z obowiązku zapewnienia odpowiednich zabezpieczeń

Dokonanie certyfikacji przez taki podmiot, sprawia że wywiązuje się on z obowiązku zapewnienia odpowiednich zabezpieczeń, w ramach przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych.

Podjęcie związanych z certyfiacją zobowiązań

Tacy administratorzy lub takie podmioty przetwarzające podejmują wiążące i egzekwowalne zobowiązania do stosowania tych odpowiednich zabezpieczeń. Zobowiązanie powstaje, w drodze umowy lub poprzez inne prawnie wiążące instrumenty.

Podmiot dokonujący certyfikacji

Certyfikacji dokonuje:

1) podmioty certyfikujący; lub

2) dokonuje jej właściwy organ nadzorczy – na podstawie:

a) kryteriów przez niego zatwierdzonych; lub

b) kryteriów zatwierdzonych przez Europejską Radę Ochrony Danych.

W przypadku gdy kryteria są zatwierdzane przez Europejską Radę Ochrony Danych, może to skutkować wspólną certyfikacją, europejskim znakiem jakości ochrony danych.

Obowiązek współpracy z organem dokonującym certyfikacji

Administrator lub podmiot przetwarzający, którzy poddają swoje przetwarzanie mechanizmowi certyfikacji, udzielają podmiotowi dokonującemu certyfikacji:

1) wszelkich informacji; i

2) wszelkiego dostępu do swoich czynności przetwarzania,

które są niezbędne do przeprowadzenia procedury certyfikacji.

Okres certyfikacji

Certyfikacji administratora lub podmiotu przetwarzającego udziela się na maksymalny okres 3 lat. Można ją przedłużyć na tych samych warunkach, o ile nadal spełnione są stosowne wymogi.

Podmiot dokonujący certyfikacji, może cofnąć certyfikację, jeżeli jej wymogi nie są spełnione lub przestały być spełniane.

Rejestr mechanizmów certyfikacji

Europejska Rada Ochrony Danych gromadzi w rejestrze wszystkie mechanizmy certyfikacji oraz znaki jakości i oznaczenia w dziedzinie ochrony danych i udostępnia je opinii publicznej.

Podmiot certyfikujący

Zadania i obowiązki podmiotu certyfikującego

Podmiot certyfikujący:

1) dokonuje certyfikacji i jej przedłużenia

2) jest odpowiedzialny za dokonanie właściwej oceny przed udzieleniem lub cofnięciem certyfikacji

3) przedstawiaja właściwemu organowi nadzorczemu, powody udzielenia lub cofnięcia żądanej certyfikacji.

4) nim dokona certyfikacji, musi poinformować organ nadzorczy, w celu umożliwienia mu wyrażenia sprzeciwu.

Organ nadzorczy wyraża sprzeciw, jeżeli uzna, że certyfikowany podmiot nie spełnia wymogów certyfikacji.

Podmiot akredytujący podmiot certyfikujący

Państwa członkowskie zapewniają akredytację podmiotów certyfikujących przez:

1) właściwy organ nadzorczy; lub

2) krajową jednostkę akredytującą oraz zgodnie z dodatkowymi wymogami określonymi przez właściwy organ nadzorczy.

Wymogi do akredytacji

Podmioty certyfikujące, zostają akredytowane, gdy:

1) w sposób satysfakcjonujący wykazały właściwemu organowi nadzorczemu swoją niezależność i wiedzę fachową w dziedzinie podlegającej certyfikacji;

2) zobowiązały się do przestrzegania kryteriów zatwierdzonych przez organ nadzorczy lub Europejską Radę Ochrony Danych.

3) dysponują procedurami wydawania, okresowego przeglądu i cofania certyfikacji, znaków jakości i oznaczeń w dziedzinie ochrony danych;

4) dysponują procedurami i strukturami, które pozwalają rozpatrywać skargi:

a) na naruszenie warunków certyfikacji przez administratora lub podmiot przetwarzający; lub

b) na sposób wdrożenia lub wdrażania certyfikacji przez administratora lub podmiot przetwarzający;

5) dysponują procedurami i strukturami, które zapewniają przejrzystość tych procedur i struktur dla osób, których dane dotyczą;

6) dysponują procedurami i strukturami, które w sposób satysfakcjonujący wykażą właściwemu organowi nadzorczemu, że ich zadania i obowiązki nie powodują konfliktu interesów.

Kryteria akredytacji

Akredytacja podmiotów certyfikujących, jest dokonywana na podstawie kryteriów zatwierdzonych przez właściwy organ nadzorczy lub Europejską Radę Ochrony Danych. Organ nadzorczy, w łatwo dostępny sposób, podaje te wymogi do wiadomości publicznej.

Okres akredytacji

Akredytacji udziela się na maksymalny okres pięciu lat; można ją przedłużyć na tych samych warunkach, o ile podmiot certyfikujący spełnia jej wymogi.

Cofnięcie akredytacji

Właściwy organ nadzorczy lub krajowa jednostka akredytująca cofają akredytację podmiotu certyfikującego, w przypadku gdy:

1) podmiot ten nie spełnia lub przestał spełniać warunki akredytacji; lub

2) jeżeli działania podejmowane przez podmiot certyfikujący naruszają rozporządzenie GDPR.

Related Post

UDOSTĘPNIJ
Poprzedni artykułProcedura zatwierdzenia kodeksu
Następny artykułNiezależny status organu nadzorczego
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.