Πιστοποίηση – Διαπίστευση

Πιστοποίηση: χαρακτηριστικά, χρήση

Η θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων, σφραγίδων και σημάτων προστασίας δεδομένων προβλέπεται στο άρθρο 42 του ΓΚΠΔ  με σκοπό την απόδειξη:

  • της συμμόρφωσης προς τον ΓΚΠΔ των πράξεων επεξεργασίας υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία που υπόκεινται σε αυτόν (άρθρο 42 παράγραφος 1),
  • της παροχής κατάλληλων εγγυήσεων στο πλαίσιο διαβιβάσεων δεδομένων σε τρίτες χώρες ή διεθνείς οργανισμούς (άρθρο 46 παράγραφος 2 στοιχείο στ) από υπευθύνους επεξεργασίας και εκτελούντες που δεν υπόκεινται στον ΓΚΠΔ (άρθρο 42 παράγραφος 2).

Η πιστοποίηση είναι:

  • προαιρετικήεθελοντική και διαθέσιμη μέσω διαφανούς διαδικασίας,
  • δεν περιορίζει την ευθύνη του υπευθύνου ή του εκτελούντος την επεξεργασία για συμμόρφωση προς τον ΓΚΠΔ,
  • δεν θίγει τα καθήκοντα και τις αρμοδιότητες των αρμόδιων εποπτικών αρχών.

Η Αρχή ενθαρρύνει τη θέσπισή της διότι δίνει τη δυνατότητα βελτίωσης της διαφάνειας επιτρέποντας στα υποκείμενα των δεδομένων να αξιολογούν ταχέως το επίπεδο προστασίας των δεδομένων των σχετικών προϊόντων και υπηρεσιών (αιτιολογική σκέψη 100).

Ειδικότερα, η τήρηση εγκεκριμένου μηχανισμού πιστοποίησης δύναται να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις υποχρεώσεις του υπευθύνου επεξεργασίας (άρθρο 24 παρ. 3 ΓΚΠΔ) ή ως στοιχείο για να αποδειχθεί ότι ο εκτελών την επεξεργασία παρέχει επαρκείς διαβεβαιώσεις σύμφωνα με τις παρ. 1 και 4 του άρθρου 28 (άρθρο 28 παρ. 5 ΓΚΠΔ). Επίσης, η τήρηση εγκεκριμένου μηχανισμού πιστοποίησης δύναται να χρησιμοποιηθεί ως στοιχείο για την απόδειξη της συμμόρφωσης με τις απαιτήσεις της παραγράφου 1 του άρθρου. 32 αναφορικά με την ασφάλεια της επεξεργασίας (άρθρο 32 παρ. 3 ΓΚΠΔ). Επιπλέον, λαμβάνεται υπόψη κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου καθώς και σχετικά με το ύψος του διοικητικού προστίμου (άρθρο 83 παράγραφος 2 στοιχείο ι) ΓΚΠΔ).

Χορήγηση και ανάκληση πιστοποίησης

Η πιστοποίηση χορηγείται σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία βάσει των κριτηρίων πιστοποίησης που έχει εγκρίνει η αρμόδια εποπτική αρχή ή το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ). Όταν τα κριτήρια εγκρίνονται από το ΕΣΠΔ, αυτό μπορεί να οδηγήσει σε κοινή πιστοποίηση, την Ευρωπαϊκή Σφραγίδα Προστασίας Δεδομένων.

Η πιστοποίηση χορηγείται από φορείς πιστοποίησης οι οποίοι έχουν προηγουμένως διαπιστευθεί σχετικά (για περισσότερες πληροφορίες βλ. παρακάτω την ενότητα της διαπίστευσης).

Η μέγιστη περίοδος χορήγησης της πιστοποίησης είναι τα τρία έτη (άρθρο 42 παρ. 7 ΓΚΠΔ). Μπορεί να ανανεωθεί με τους ίδιους όρους, υπό την προϋπόθεση ότι εξακολουθούν να πληρούνται τα σχετικά κριτήρια.

Η πιστοποίηση ανακαλείται όταν δεν πληρούνται −ή δεν πληρούνται πλέον− τα κριτήρια για την πιστοποίηση.

 

Διαπίστευση φορέων πιστοποίησης: χαρακτηριστικά, χρήση

Οι φορείς πιστοποίησης μπορούν να χορηγούν και να ανανεώνουν πιστοποιήσεις σε υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασία μόνον εφόσον έχουν προηγουμένως

  1. διαπιστευθεί ότι διαθέτουν το ενδεδειγμένο επίπεδο εμπειρογνωμοσύνης σε σχέση με την προστασία προσωπικών δεδομένων, και
  2. ενημερώσει σχετικά την αρμόδια εποπτική αρχή.

Η διαπίστευση των φορέων πιστοποίησης έχει ιδιαίτερη σημασία καθώς παρέχει επίσημη βεβαίωση της σχετικής αρμοδιότητας των φορέων αυτών, καθιστώντας δυνατή την ανάπτυξη εμπιστοσύνης προς τον μηχανισμό πιστοποίησης. Σύμφωνα με το άρθρο 43 παρ. 1 του ΓΚΠΔ, το κράτος μέλος διασφαλίζει ότι η διαπίστευση των φορέων πιστοποίησης πραγματοποιείται από την αρμόδια εποπτική αρχή ή τον εθνικό οργανισμό διαπίστευσης ή από αμφότερους τους φορείς αυτούς.

Σύμφωνα με το άρθρο 37 παρ. 1 του ν.4624/2019, στη χώρα μας η διαπίστευση των φορέων που χορηγούν πιστοποιήσεις κατά το άρθρο 42 του ΓΚΠΔ πραγματοποιείται από το Εθνικό Σύστημα Διαπίστευσης (Ε.ΣΥ.Δ.) με βάση το πρότυπο EN-ISO/IEC17065:2012 και σύμφωνα με συμπληρωματικές απαιτήσεις που έχουν οριστεί από την Αρχή.

Χορήγηση και ανάκληση της διαπίστευσης

Η διαπίστευση των φορέων πιστοποίησης πραγματοποιείται βάσει των απαιτήσεων που έχουν εγκριθεί από την αρμόδια εποπτική αρχή δυνάμει του άρθρου 55 ή 56 ή από το ΕΣΠΔ δυνάμει του άρθρου 63 (άρθρο 43 παρ. 3 του ΓΚΠΔ).

Η μέγιστη περίοδος χορήγησης της πιστοποίησης είναι τα τρία έτη (άρθρο 42 παρ.7 ΓΚΠΔ). Μπορεί να ανανεωθεί με τους ίδιους όρους, υπό την προϋπόθεση ότι εξακολουθούν να πληρούνται τα σχετικά κριτήρια.

Στην περίπτωση που η διαπίστευση διενεργείται από τον εθνικό οργανισμό διαπίστευσης, αυτή πραγματοποιείται βάσει του προτύπου ΕΝ-ISO/IEC 17065/2012 και των συμπληρωματικών απαιτήσεων διαπίστευσης που ορίζονται από την αρμόδια εποπτική αρχή.

Η διαπίστευση χορηγείται για μέγιστη περίοδο πέντε ετών και μπορεί να ανανεωθεί με τους ίδιους όρους υπό την προϋπόθεση ότι ο φορέας πιστοποίησης πληροί τις απαιτήσεις του άρθρου 43 (άρθρο 43 παρ. 4 ΓΚΠΔ). Ανακαλείται από την αρμόδια εποπτική αρχή ή τον εθνικό οργανισμό διαπίστευσης, εφόσον οι προϋποθέσεις διαπίστευσης δεν πληρούνται −ή δεν πληρούνται πλέον− ή εφόσον οι ενέργειες του φορέα πιστοποίησης παραβαίνουν τον ΓΚΠΔ.

Σύμφωνα με το άρθρο 37 παρ. 2 του ν. 4624/2019, το Ε.ΣΥ.Δ. ανακαλεί διαπίστευση αν ενημερωθεί από την Αρχή ότι δεν πληρούνται πλέον οι απαιτήσεις διαπίστευσης ή ο φορέας πιστοποίησης παραβαίνει τον ΓΚΠΔ και τις διατάξεις του ν. 4624/2019.

 

Λοιπές πληροφορίες

Το ΕΣΠΔ εξέδωσε τα εξής:

  • Κατευθυντήριες γραμμές 1/2018 σχετικά με την πιστοποίηση και τον προσδιορισμό κριτηρίων πιστοποίησης σύμφωνα με τα άρθρα 42 και 43 του Κανονισμού 2016/679,
  • Κατευθυντήριες γραμμές 4/2018 σχετικά με τη διαπίστευση των φορέων πιστοποίησης βάσει του άρθρου 43 του Γενικού Κανονισμού για την Προστασία Δεδομένων (2016/679) και
  • Έγγραφο του ΕΣΠΔ σχετικά με τη διαδικασία έγκρισης κριτηρίων πιστοποίησης από το ΕΣΠΔ που οδηγεί σε κοινή πιστοποίηση, την ευρωπαϊκή σφραγίδα προστασίας δεδομένων.