Blog Omni Modo

Certyfikacja


Certyfikacja jest dobrowolnym mechanizmem. Jej dokonanie nie wpływa na spoczywający na administratorze lub podmiocie przetwarzającym obowiązek przestrzegania RODO i pozostaje bez wpływu na zadania i uprawnienia organów nadzorczych.

Podmioty mogące podlegać certyfikacji

Mogą jej podlegać wszyscy administratorzy i podmioty przetwarzające, niezależnie od tego gdzie się znajdują

Certyfikacja może być przeprowadzona zarówno wobec administratorów i podmiotów przetwarzających, którzy mają siedzibę na terytorium Europejskiego Obszaru Gospodarczego (EOG), jak i poza nią, to jest na terytorium państw trzecich.

Certyfikacja a przekazywanie danych poza EOG

Dokonanie certyfikacji przez podmiot z siedzibą w państwie trzecim wraz z przyjęciem przez niego wiążących oraz egzekwowalnych odpowiednich zabezpieczeń, oznacza że można przekazać do niego dane osobowe.

Podmiot dokonujący certyfikacji

Certyfikacji dokonuje:

  1. podmioty certyfikujący;
  2. dokonuje jej właściwy organ nadzorczy – na podstawie:
    a) kryteriów przez niego zatwierdzonych; lub
    b) kryteriów zatwierdzonych przez Europejską Radę Ochrony Danych.

W przypadku gdy kryteria są zatwierdzane przez Europejską Radę Ochrony Danych, może to skutkować wspólną certyfikacją, europejskim znakiem jakości ochrony danych.

Obowiązek współpracy z organem dokonującym certyfikacji

Administrator lub podmiot przetwarzający, którzy poddają swoje przetwarzanie mechanizmowi certyfikacji, udzielają podmiotowi dokonującemu certyfikacji:

  1. wszelkich informacji; i
  2. wszelkiego dostępu do swoich czynności przetwarzania,

które są niezbędne do przeprowadzenia procedury certyfikacji.

Okres certyfikacji

Certyfikacji administratora lub podmiotu przetwarzającego udziela się na maksymalny okres 3 lat. Można ją przedłużyć na tych samych warunkach, o ile nadal spełnione są stosowne wymogi.

Podmiot dokonujący certyfikacji, może cofnąć certyfikację, jeżeli jej wymogi nie są spełnione lub przestały być spełniane.

Rejestr mechanizmów certyfikacji

Europejska Rada Ochrony Danych gromadzi w rejestrze wszystkie mechanizmy certyfikacji oraz znaki jakości i oznaczenia w dziedzinie ochrony danych i udostępnia je opinii publicznej.

Podmiot certyfikujący

Zadania i obowiązki podmiotu certyfikującego

Podmiot certyfikujący:

  1. dokonuje certyfikacji i jej przedłużenia
  2. jest odpowiedzialny za dokonanie właściwej oceny przed udzieleniem lub cofnięciem certyfikacji
  3. przedstawiają właściwemu organowi nadzorczemu, powody udzielenia lub cofnięcia żądanej certyfikacji.
  4. nim dokona certyfikacji, musi poinformować organ nadzorczy, w celu umożliwienia mu wyrażenia sprzeciwu.

Organ nadzorczy wyraża sprzeciw, jeżeli uzna, że certyfikowany podmiot nie spełnia wymogów certyfikacji.

Podmiot akredytujący podmiot certyfikujący

Akredytacji podmiotów ubiegających się o uprawnienie do certyfikacji udziela Polskie Centrum Akredytacji.

Wniosek o certyfikację zawiera co najmniej:

  1. nazwę podmiotu ubiegającego się o certyfikację albo jego imię i nazwisko oraz wskazanie adresu jego siedziby, adresu miejsca prowadzenia działalności gospodarczej albo adresu zamieszkania;
  2. informacje potwierdzające spełnianie kryteriów certyfikacji;
  3. wskazanie zakresu wnioskowanej certyfikacji.

Wymogi do akredytacji

Podmioty certyfikujące, zostają akredytowane, gdy:

  1. w sposób satysfakcjonujący wykazały właściwemu organowi nadzorczemu swoją niezależność i wiedzę fachową w dziedzinie podlegającej certyfikacji;
  2. zobowiązały się do przestrzegania kryteriów zatwierdzonych przez organ nadzorczy lub Europejską Radę Ochrony Danych.
  3. dysponują procedurami wydawania, okresowego przeglądu i cofania certyfikacji, znaków jakości i oznaczeń w dziedzinie ochrony danych;
  4. dysponują procedurami i strukturami, które pozwalają rozpatrywać skargi:
    a) na naruszenie warunków certyfikacji przez administratora lub podmiot przetwarzający; lub
    b) na sposób wdrożenia lub wdrażania certyfikacji przez administratora lub podmiot przetwarzający;
  5. dysponują procedurami i strukturami, które zapewniają przejrzystość tych procedur i struktur dla osób, których dane dotyczą;
  6. sposób satysfakcjonujący wykażą właściwemu organowi nadzorczemu, że ich zadania i obowiązki nie powodują konfliktu interesów.

Do udzielania akredytacji stosuje się przepisy rozdziału 4 ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650), z wyjątkiem art. 24 ust. 4–7 oraz art. 25 ust. 1 i 2 w zakresie dotyczącym ograniczenia zakresu akredytacji oraz jej zawieszenia.

Akredytacja podmiotów certyfikujących, jest dokonywana na podstawie kryteriów zatwierdzonych przez organ nadzorczy lub przez Europejską Radę Ochrony Danych.

Okres akredytacji

Akredytacji udziela się na maksymalny okres pięciu lat; można ją przedłużyć na tych samych warunkach, o ile podmiot certyfikujący spełnia jej wymogi.

Cofnięcie akredytacji

Właściwy organ nadzorczy lub krajowa jednostka akredytująca cofają akredytację podmiotu certyfikującego, w przypadku gdy:

  1. podmiot ten nie spełnia lub przestał spełniać warunki akredytacji; lub
  2. jeżeli działania podejmowane przez podmiot certyfikujący naruszają rozporządzenie GDPR.


Powiązane tematy

« Powrót
15 lat Omni Modo