Γραφείο Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Κατευθυντήριες γραμμές* 1/2018 σχετικά με την πιστοποίηση και τον προσδιορισμό των κριτηρίων πιστοποίησης σύμφωνα με τα άρθρα 42 και 43 του κανονισμού 2016/679 ημερ. 04/06/2019

*(Κατευθυντήριες γραμμές που εκδόθηκαν από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων «EDPB»)

Αυτές οι κατευθυντήριες γραμμές έχουν περιορισμένο πεδίο εφαρμογής. Δεν αποτελούν διαδικαστικό εγχειρίδιο για την πιστοποίηση σύμφωνα με το ΓΚΠΔ. Ο πρωταρχικός στόχος αυτών των κατευθυντήριων γραμμών είναι να προσδιοριστούν γενικά κριτήρια που ενδέχεται να είναι σχετικά με όλους τους τύπους μηχανισμών πιστοποίησης που εκδίδονται σύμφωνα με τα άρθρα 42 και 43 του ΓΚΠΔ.

Για το σκοπό αυτό, οι κατευθυντήριες γραμμές:

- διερευνούν το σκεπτικό της πιστοποίησης ως εργαλείου λογοδοσίας,

- εξηγηθούν τις βασικές έννοιες των διατάξεων πιστοποίησης των άρθρων 42 και 43, και

- εξηγηθούν το πεδίο εφαρμογής του τι μπορεί να πιστοποιηθεί βάσει των άρθρων 42 και 43 και τον σκοπός της πιστοποίησης.

Ο ΓΚΠΔ προβλέπει πολλούς τρόπους με τους οποίους τα κράτη μέλη και οι εποπτικές αρχές μπορούν να εφαρμόσουν τα άρθρα 42 και 43. Οι κατευθυντήριες γραμμές 1/2018 παρέχουν συμβουλές σχετικά με την ερμηνεία και την εφαρμογή των διατάξεων των άρθρων 42 και 43 και βοηθήσουν τα κράτη μέλη, τις εποπτικές αρχές και τον εθνικό οργανισμό διαπίστευσης να θεσπίσουν μια πιο συνεπής και εναρμονισμένη προσέγγιση για την εφαρμογή μηχανισμών πιστοποίησης σύμφωνα με το τι προνοεί ο ΓΚΠΔ.

Οι συμβουλές που περιέχονται στις κατευθυντήριες γραμμές θα είναι χρήσιμες για:

τις αρμόδιες εποπτικές αρχές και το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων («EDPB») κατά την έγκριση κριτηρίων πιστοποίησης βάσει του άρθρου 42 παράγραφος 5 και του άρθρου 58 παράγραφος 3 στοιχείο στ)
τους φορείς πιστοποίησης κατά την εκπόνηση και την αναθεώρηση των κριτηρίων πιστοποίησης πριν από την υποβολή τους στην αρμόδια εποπτική αρχή για έγκριση σύμφωνα με το άρθρο 42 παράγραφος 5
τις εποπτικές αρχές κατά τη σύνταξη των δικών τους κριτηρίων πιστοποίησης
την Ευρωπαϊκή Επιτροπή, η οποία εκδίδει κατ 'εξουσιοδότηση πράξεις για τον καθορισμό των απαιτήσεων που πρέπει να λαμβάνονται υπόψη για τους μηχανισμούς πιστοποίησης βάσει του άρθρου 43 παράγραφος 8
το EDPB, όταν παρέχει στην Ευρωπαϊκή Επιτροπή γνωμοδότηση σχετικά με τις απαιτήσεις πιστοποίησης σύμφωνα με το άρθρο 70 παράγραφος 1 στοιχείο ιη) και το άρθρο 43 παράγραφος 8
τους εθνικούς οργανισμούς διαπίστευσης, οι οποίοι θα πρέπει να λάβουν υπόψη τα κριτήρια πιστοποίησης με σκοπό τη διαπίστευση των οργανισμών πιστοποίησης σύμφωνα με το EN-ISO / IEC 17065/2012 και τις πρόσθετες απαιτήσεις σύμφωνα με το άρθρο 43 και
τους υπεύθυνους επεξεργασίας και εκτελούντες την επεξεργασία κατά τον καθορισμό της δικής τους στρατηγικής συμμόρφωσης με το ΓΚΠΔ και την αξιολόγηση της πιστοποίησης ως μέσου για την απόδειξη της συμμόρφωσης.

Κατευθυντήριες γραμμές* 4/2018 σχετικά με τη διαπίστευση των οργανισμών πιστοποίησης βάσει του άρθρου 43 του ΓΚΠΔ (Κανονισμός 2016/679) και Παράρτημα 1 – ημερ. 04/06/2019

*(Κατευθυντήριες γραμμές που εκδόθηκαν από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων «EDPB»)

Αυτές οι κατευθυντήριες γραμμές:
- καθορίζουν το σκοπό της διαπίστευσης στο πλαίσιο του ΓΚΠΔ,
- εξηγούν τα διαθέσιμα κανάλια για την αναγνώριση των οργανισμών πιστοποίησης σύμφωνα με το άρθρο 43 παράγραφος 1 και προσδιορίζουν τα βασικά θέματα που πρέπει να εξεταστούν,
- παρέχουν ένα πλαίσιο για τη θέσπιση πρόσθετων απαιτήσεων διαπίστευσης όταν την διαπίστευση χειρίζεται ο εθνικός οργανισμός διαπίστευσης, και
- παρέχουν ένα πλαίσιο για τη θέσπιση απαιτήσεων διαπίστευσης, όταν τη διαπίστευση χειρίζεται η εποπτική αρχή.

Σημειώνεται ότι οι εν λόγω κατευθυντήριες γραμμές δεν αποτελούν διαδικαστικό εγχειρίδιο για τη διαπίστευση των οργανισμών πιστοποίησης σύμφωνα με το ΓΚΠΔ. Ούτε αναπτύσσουν ένα νέο τεχνικό πρότυπο για τη διαπίστευση των οργανισμών πιστοποίησης για τους σκοπούς του ΓΚΠΔ.

Οι κατευθυντήριες γραμμές απευθύνονται:

Στα κράτη μέλη, τα οποία πρέπει να διασφαλίσουν ότι οι οργανισμοί πιστοποίησης είναι διαπιστευμένοι από την εποπτική αρχή ή / και από τον εθνικό οργανισμό διαπίστευσης.
Στους εθνικούς φορείς διαπίστευσης που διεξάγουν τη διαπίστευση των οργανισμών πιστοποίησης βάσει του άρθρου 43 παράγραφος 1 στοιχείο β)
Στην αρμόδια εποπτική αρχή η οποία καθορίζει «πρόσθετες απαιτήσεις» σε σχέση με εκείνες του ISO / IEC 17065/20122 όταν η διαπίστευση διεξάγεται από τον εθνικό οργανισμό διαπίστευσης σύμφωνα με το άρθρο 43 παράγραφος 1 στοιχείο β).
Στο EDPB κατά την έκδοση γνωμοδότησης σχετικά με τις απαιτήσεις διαπίστευσης των αρμόδιων εποπτικών αρχών σύμφωνα με το άρθρο 43 παράγραφος 3, το άρθρο 70 παράγραφος 1 στοιχείο ιζ) και το άρθρο 64 παράγραφος 1 στοιχείο γ) και την έγκριση αυτών
Στην αρμόδια εποπτική αρχή που καθορίζει τις απαιτήσεις διαπίστευσης όταν η διαπίστευση διενεργείται από την εποπτική αρχή δυνάμει του άρθρου 43 παράγραφος 1 στοιχείο α)
Σε άλλους ενδιαφερόμενους φορείς όπως οι μελλοντικοί φορείς πιστοποίησης ή οι ιδιοκτήτες συστημάτων πιστοποίησης που προβλέπουν κριτήρια και διαδικασίες πιστοποίησης

Παράρτημα 1

Το παράρτημα 1 παρέχει καθοδήγηση για τον καθορισμό των "πρόσθετων" απαιτήσεων διαπίστευσης σε σχέση με το πρότυπο ISO / IEC 17065/2012 και σύμφωνα με το άρθρο 43 παράγραφος 1 στοιχείο β) και το άρθρο 43 παράγραφος 3 του ΓΚΠΔ.

Καθορίζει επίσης τις προτεινόμενες απαιτήσεις τις οποίες πρέπει να καταρτίζει μια εποπτική αρχή προστασίας δεδομένων και οι οποίες ισχύουν κατά τη διάρκεια της διαπίστευσης ενός οργανισμού πιστοποίησης για έναν μηχανισμό πιστοποίησης με εγκεκριμένα κριτήρια από την εποπτική αρχή ή το ευρωπαϊκό συμβούλιο προστασίας δεδομένων (EDPB). Αυτές οι πρόσθετες απαιτήσεις πρέπει να γνωστοποιούνται στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων πριν από την έγκριση τους σύμφωνα με το άρθρο 64 παράγραφος 1 στοιχείο γ).

Το Παράρτημα 1 πρέπει να διαβάζεται σε συνδυασμό με το πρότυπο ISO / IEC 17065/2012.

Πιστοποίηση