« Secţiuni « Articole « RNSJOpiniiPovestim cărţi
Opinii
 1 comentariu

Cerințe suplimentare pentru certificarea GDPR
14.07.2021 | Anca VĂRZARU

JURIDICE - In Law We Trust Video juridice
Anca Vărzaru

Anca Vărzaru

În prezent, cerificarea GDPR se poate realiza doar de organisme de certificare acreditate. Condițiile în care organismele de certificare pot fi acreditate au fost prevăzute în art. 43 (1) din Regulamentul GDPR, astfel:

“(…) organismele de certificare sunt acreditate de către una sau amândouă dintre următoarele entități:
a) autoritatea de supraveghere care este competentă în temeiul articolului 55 sau 56;
b) organismul național de acreditare desemnat în conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului în conformitate cu standardul EN-ISO/IEC 17065/2012 și cu cerințele suplimentare stabilite de autoritatea de supraveghere care este competentă în temeiul articolului 55 sau 56”.

La nivel național, potrivit Regulamentului (CE) nr. 765/2008, Asociația de Acreditare din România (RENAR) este entitatea care va acredita organismele de certificare, în temeiul art. 43 din Regulament.

În luna februarie 2019, Comisia Europeană a publicat un studiu cu privire la mecanismele de certificare a protecției datelor, potrivit căruia conceptul de cerințe suplimentare în art. 43 alin. (1) lit. (b) din GDPR se referă la:
i) cerințe privind organismul de certificare și expertiza auditorilor săi în domeniul protecției datelor;
ii) cerințe privind organismul de certificare și competența auditorilor săi în efectuarea auditului;
iii) cerințe privind integritatea auditorilor și a organismului de certificare.

De aici tragem concluzia că, în lipsa cerințelor suplimentare stabilite de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), RENAR nu putea elabora schema de acreditare, prin urmare organismele de certificare nu puteau fi acreditate, făcând astfel imposibilă certificarea organizațiilor interesate.

„Nodul gordian” care ținea în loc procesul de certificare GDPR s-a rupt, însă, odată cu intrarea în vigoare a Deciziei nr. 20/2021 privind aprobarea Cerințelor suplimentare pentru acreditarea organismelor de certificare, publicată în Monitorul Oficial, Partea I nr. 689 din 12 iulie 2021.

Abordarea s-ar divide în două direcții

1. Cerințe de certificare, care trebuie îndeplinite de o organizație care dorește să fie certificate anumite procesări de date. Organizațiile interesate să fie certificate sunt încurajate să consulte criteriile prevăzute în Ghidul de certificare;
2. Cerințe generale privind acreditarea, pentru organismele de certificare, care trebuie îndeplinite de o organizație care dorește să acționeze în calitate de organism de certificare.

Bref, ce prevede Decizia

– se aduc cerințe suplimentare la EN-ISO/IEC 17065/2012 pentru evaluarea competenței, funcționării consecvente și imparțialității organismelor de certificare a protecției datelor;
– domeniul de aplicare al unui mecanism de certificare (de exemplu, certificarea operațiunilor de prelucrare a serviciilor cloud) va fi luat în considerare în evaluarea de către RENAR și ANSPDCP în timpul procesului de acreditare, în special în ceea ce privește criteriile, expertiza și metodologia de evaluare;
– domeniul larg de aplicare al EN-ISO/IEC 17065/2012 care acoperă produsele, procesele și serviciile nu trebuie să diminueze sau să înlocuiască cerințele Regulamentului (UE) 2016/679, de exemplu, un mecanism de guvernanță nu poate fi singurul element al unui mecanism de certificare, deoarece certificarea trebuie să includă prelucrarea datelor cu caracter personal, adică operațiunile de prelucrare;
– certificarea se aplică numai operațiunilor de prelucrare ale operatorilor și ale persoanelor împuternicite de operatori.

Câteva cerințe suplimentare

–  organismul de certificare va dispune de proceduri actualizate care demonstrează conformitatea cu responsabilitățile juridice stabilite în condițiile de acreditare, inclusiv cerințele suplimentare referitoare la aplicarea Regulamentului GDPR;
– contractul dintre organismul de certificare și client trebuie:
(a) să impună solicitantului să respecte atât cerințele de certificare generale, cât și criteriile aprobate de ANSPDCP sau de Comitetul european pentru protecția datelor;
(b) să impună solicitantului să asigure transparența deplină pentru ANSPDCP în ceea ce privește procedura de certificare, inclusiv aspectele confidențiale din perspectivă contractuală legate de respectarea protecției datelor;
(c) să nu reducă responsabilitatea solicitantului în privința respectării Regulamentului GDPR și să nu aducă atingere sarcinilor și competențelor ANSPDCP;
(d) să impună solicitantului să furnizeze organismului de certificare toate informațiile și să permită acestuia accesul la activitățile sale de prelucrare necesare pentru desfășurarea procedurii de certificare;
(e) acordul de certificare trebuie să stipuleze că termenele-limită și procedurile care rezultă, de exemplu, din programul de certificare sau din alte reglementări trebuie să fie respectate și asumate;
(f) să stabilească regulile privind validitatea, reînnoirea și retragerea certificării, inclusiv normele care stabilesc intervalele adecvate pentru reevaluare sau examinare (regularitate);
(g) să permită organismului de certificare să publice toate informațiile necesare pentru acordarea sau retragerea certificării;
(h) să includă norme privind măsurile de precauție necesare pentru investigarea reclamațiilor și să conțină declarații explicite privind structura și procedura pentru gestionarea reclamațiilor;
(i) să stabilească consecințele pentru clientul organismului de certificare dacă acreditarea organismului de certificare a fost suspendată sau retrasă și acest lucru are impact asupra clientului;
(j) să impună solicitantului să informeze organismul de certificare în eventualitatea unor modificări semnificative legate de situația sa de fapt sau juridică și în privința produselor, proceselor și serviciilor sale vizate de certificare;
– certificatele, sigiliile și mărcile se utilizează conform art. 42 și 43 din Regulamentul GDPR și cu îndrumările privind acreditarea și certificarea; o copie a sigiliului/mărcii/logoului va fi furnizată ANSPDCP;
– organismul de certificare trebuie să fie independent și să nu aibă legături relevante cu clientul (spre exemplu, să nu aparțină aceluiași grup de companii sau să nu fie controlat în vreun fel de clientul său);
– RENAR se va asigura că organismul de certificare dispune de măsuri adecvate (de exemplu, asigurare sau rezerve) pentru a-și acoperi obligațiile în regiunile geografice în care operează;
– organismul de certificare trebuie să fie stabil și independent financiar, să aibă o asigurare de răspundere civilă;
– alte cerințe referitoare la structură, resurse, proces și sistemul de management.

Sperăm că un prim pas în procesul de acreditare a organismelor de certificare GDPR a fost făcut. Obținerea certificării prezintă un interes major atât pentru operatori, cât și pentru împuterniciți, conducând, într-un viitor fericit, la o și mai mare grijă pentru protecția datelor cu caracter personal.

Av. Anca Vărzaru, SĂVESCU & ASOCIAȚII

 
Secţiuni: Cyberlaw, Data protection, Dreptul Uniunii Europene, Monitorul Oficial al României, Opinii, Selected | Toate secţiunile
Cuvinte cheie: , , , , , , ,
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

Lex Discipulo Laus Încurajăm utilizarea RNPM - Registrul Naţional de Publicitate Mobiliară Securitatea electronică este importantă pentru avocaţi
Mesaj de conştientizare susţinut de FORTINET
JURIDICE utilizează SmartBill

Până acum a fost scris un singur comentariu cu privire la articolul “Cerințe suplimentare pentru certificarea GDPR”

  1. GDPR-ul ăsta nu e decât o fabrică de diplome.
    Mai rău este că, deşi GDPR nu se aplică în justiţie, această normă este folosită pentru a ascunde întreaga jurisprudenţă română.

Faci un comentariu sau dai un răspuns?

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.


.
PLATINUM Signature      

PLATINUM  ACADEMIC

GOLD                        

VIDEO   STANDARD