Notă …
Aprobate prin DECIZIA nr. 20 din 24 iunie 2021, publicată în Monitorul Oficial, Partea I, nr. 689 din 12 iulie 2021. +
Capitolul IIntroducereRegulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) prevede că statele membre, autoritățile de supraveghere, comitetul și Comisia Europeană încurajează instituirea de mecanisme de certificare în domeniul protecției datelor, precum și de sigilii și mărci în acest domeniu, care să permită demonstrarea faptului că operațiunile de prelucrare efectuate de operatori și de persoanele împuternicite de operatori respectă această reglementare, luându-se în considerare necesitățile specifice ale microîntreprinderilor, ale întreprinderilor mici și mijlocii.Corelat cu aceste prevederi, art. 43 din Regulamentul (UE) 2016/679 dispune că statele membre se asigură că organismele de certificare pot fi acreditate de organismul național de acreditare desemnat în conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European și al Consiliului, în conformitate cu standardul EN-ISO/IEC 17065/2012 și cu cerințele suplimentare stabilite de autoritatea națională de supraveghere.La nivelul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (denumită în continuare ANSPDCP) a fost elaborat prezentul document care conține „Cerințe suplimentare pentru acreditarea organismelor de certificare în temeiul art. 43 din Regulamentul (UE) 2016/679“.La întocmirea documentului conținând cerințele suplimentare au fost luate în considerare o serie de documente, printre care și cerințele EN-ISO/IEC 17065/2012 și Ghidul nr. 1/2018 privind certificarea și identificarea criteriilor de certificare, document adoptat de Comitetul european pentru protecția datelor.Standardul european EN-ISO/IEC 17065/2012 este identic cu standardul român SR EN ISO/CEI 17065:2013.SR EN ISO/CEI 17065:2013 reprezintă versiunea română a textului în limba engleză a standardului european EN-ISO/IEC 17065/2012 care a fost tradus de ASRO (Organismul național de standardizare din România), are același statut ca versiunile oficiale și a fost publicat cu permisiunea CEN (Organizația Comună Europeană de Standardizare).De asemenea, având în vedere calitatea oficială a Asociației de Acreditare din România – RENAR de organism național de acreditare, în temeiul Regulamentului (CE) nr. 765/2008 și al Ordonanței Guvernului nr. 23/2009 privind activitatea de acreditare a organismelor de evaluare a conformității, aprobată cu modificări prin Legea nr. 256/2011, acesta a fost consultat cu privire la conținutul documentului intitulat „Cerințe suplimentare pentru acreditarea organismelor de certificare în temeiul art. 43 din Regulamentul (UE) 2016/679“. +
Capitolul IIScopulAcest document conține cerințe suplimentare la EN-ISO/IEC 17065/2012 pentru evaluarea competenței, funcționării consecvente și imparțialității organismelor de certificare a protecției datelor.Domeniul de aplicare al EN-ISO/IEC 17065/2012 se aplică în conformitate cu Regulamentul (UE) 2016/679. Orientările privind acreditarea și certificarea oferă informații suplimentare. Domeniul de aplicare al unui mecanism de certificare (de exemplu, certificarea operațiunilor de prelucrare a serviciilor cloud) va fi luat în considerare în evaluarea de către RENAR și ANSPDCP în timpul procesului de acreditare, în special în ceea ce privește criteriile, expertiza și metodologia de evaluare. Domeniul larg de aplicare al EN-ISO/IEC 17065/2012 care acoperă produsele, procesele și serviciile nu trebuie să diminueze sau să înlocuiască cerințele Regulamentului (UE) 2016/679, de exemplu, un mecanism de guvernanță nu poate fi singurul element al unui mecanism de certificare, deoarece certificarea trebuie să includă prelucrarea datelor cu caracter personal, adică operațiunile de prelucrare. În conformitate cu art. 42 alin. (1) din Regulamentul (UE) 2016/679, certificarea se aplică numai operațiunilor de prelucrare ale operatorilor și ale persoanelor împuternicite de operatori. +
Capitolul IIIDefinițiiÎn contextul prezentului document se aplică termenii și definițiile din îndrumările privind acreditarea (Orientările Comitetului european pentru protecția datelor 4/2018) și certificarea (Orientările Comitetului european pentru protecția datelor 1/2018), iar acestea au întâietate față de definițiile oferite de standardul EN-ISO/IEC 17065/2012.Pentru a facilita o înțelegere comună, principalele definiții sunt prezentate mai jos:– certificare: evaluarea și atestarea imparțială efectuate de o parte terță conform căreia îndeplinirea criteriilor de certificare a fost demonstrată în contextul certificării în conformitate cu art. 42 și 43 din Regulamentul (UE) 2016/679 cu privire la operațiunile de prelucrare de către operatori și persoanele împuternicite de operatori; … – acreditare: atestarea terților legată de activitățile unui organism de evaluare a conformității care transmite o demonstrație formală a competenței sale de a efectua certificarea în conformitate cu art. 42 și 43 din Regulamentul (UE) 2016/679. Acesta este rezultatul procesului de evaluare pentru un organism de certificare de succes (ca parte a procesului de acreditare); … – organism de certificare: organisme terțe de evaluare a conformității care operează scheme de certificare; … – criterii de certificare: criteriile pe baza cărora se realizează o certificare pentru o anumită schemă de certificare; … – schema de certificare: un sistem de certificare legat de anumite produse, procese și servicii cărora li se aplică aceleași cerințe, norme și proceduri. Aceasta include în principal criteriile de certificare și metodologia de evaluare; … – mecanism de certificare: sistemul prin care un operator sau o persoană împuternicită de operator devine certificat/ă. Este un sistem de certificare aprobat, care este disponibil solicitantului cu un set de proceduri existente. Este un serviciu furnizat de un organism de certificare acreditat pe baza criteriilor aprobate și a metodologiei de evaluare; … – obiectivul evaluării (target of evaluation – ToE): obiectul certificării. În cazul certificării, acestea vor fi operațiunile de prelucrare relevante pe care operatorul sau persoana împuternicită de operator le aplică pentru a fi evaluate și certificate; … – solicitant: organizația care a solicitat certificarea operațiunilor sale de prelucrare; … – client: organizația care a fost certificată. … +
Capitolul IVCerințe generale privind acreditarea4.1Aspecte legale și contractuale4.1.1Responsabilitate legalăUn organism de certificare trebuie să poată demonstra (înorice moment) Asociației de Acreditare din România – RENAR că dispune de proceduri actualizate care demonstrează conformitatea cu responsabilitățile juridice stabilite în condițiile de acreditare, inclusiv cerințele suplimentare referitoare la aplicarea Regulamentului (UE) 2016/679. Trebuie reținut faptul că, întrucât organismul de certificare este el însuși un operator de date/o persoană împuternicită de către un operator, acesta trebuie să poată demonstra existența unor proceduri și măsuri conforme cu Regulamentul (UE) 2016/679, în mod specific pentru controlul și prelucrarea datelor cu caracter personal ale organizației-client ca parte a procesului de certificare.ANSPDCP poate decide să adauge alte cerințe și proceduri pentru a verifica dacă organismele de certificare respectă dispozițiile Regulamentului (UE) 2016/679 înainte de acreditare. … 4.1.2Acord de certificareÎn plus față de cerințele prevăzute în EN-ISO/IEC 17065/2012, organismul de certificare trebuie să demonstreze că acordul său de certificare (contractul dintre organismul de certificare și client):1.impune solicitantului să respecte întotdeauna atât cerințele de certificare generale în sensul pct. 4.1.2.2 lit. (a) din ENISO/IEC 17065/2012, cât și criteriile aprobate de ANSPDCP sau de Comitetul european pentru protecția datelor, în conformitate cu art. 43 alin. (2) lit. (b) și art. 42 alin. (5) din Regulamentul (UE) 2016/679; … 2.impune solicitantului să asigure transparența deplină pentru ANSPDCP în ceea ce privește procedura de certificare, inclusiv aspectele confidențiale din perspectivă contractuală legate de respectarea protecției datelor, în temeiul art. 42 alin. (7) și al art. 58 alin. (1) lit. (c) din Regulamentul (UE) 2016/679; … 3.nu reduce responsabilitatea solicitantului în ceea ce privește respectarea Regulamentului (UE) 2016/679 și nu aduce atingere sarcinilor și competențelor ANSPDCP, în conformitate cu art. 42 alin. (5) din Regulamentul (UE) 2016/679; … 4.impune solicitantului să furnizeze organismului de certificare toate informațiile și să permită acestuia accesul la activitățile sale de prelucrare necesare pentru desfășurarea procedurii de certificare, în temeiul art. 42 alin. (6) din Regulamentul (UE) 2016/679; … 5.impune solicitantului să respecte termenele-limită și procedurile aplicabile. Acordul de certificare trebuie să stipuleze că termenele-limită și procedurile care rezultă, de exemplu, din programul de certificare sau din alte reglementări trebuie să fie respectate și asumate; … 6.stabilește regulile privind validitatea, reînnoirea și retragerea certificării, în conformitate cu art. 42 alin. (7) și art. 43 alin. (4) din Regulamentul (UE) 2016/679, inclusiv normele care stabilesc intervalele adecvate pentru reevaluare sau examinare (regularitate), în conformitate cu art. 42 alin. (7) din Regulamentul (UE) 2016/679; … 7.permite organismului de certificare să publice toate informațiile necesare pentru acordarea sau retragerea certificării, în temeiul art. 42 alin. (8) și al art. 43 alin. (5) din Regulamentul (UE) 2016/679; … 8.include norme privind măsurile de precauție necesare pentru investigarea reclamațiilor; conține, de asemenea, declarații explicite privind structura și procedura pentru gestionarea reclamațiilor, în conformitate cu art. 43 alin. (2) lit. (d) din Regulamentul (UE) 2016/679; … 9.stabilește consecințele pentru clientul organismului de certificare în cazul în care acreditarea organismului de certificare a fost suspendată sau retrasă și acest lucru are impact asupra clientului, precum și pașii care trebuie luați; … 10.impune solicitantului să informeze organismul de certificare în eventualitatea unor modificări semnificative legate de situația sa de fapt sau juridică și în privința produselor, proceselor și serviciilor sale vizate de certificare. … … 4.1.3Utilizarea sigiliilor și mărcilor în domeniul protecției datelorCertificatele, sigiliile și mărcile se utilizează numai în conformitate cu art. 42 și 43 din Regulamentul (UE) 2016/679 și cu îndrumările privind acreditarea și certificarea.O copie a sigiliului/mărcii/logoului va fi furnizată ANSPDCP. … … 4.2Managementul imparțialitățiiOrganismul de acreditare (RENAR) asigură că, în plus față de cerința de la pct. 4.2. din EN-ISO/IEC 17065/2012,1.organismul de certificare respectă cerințele suplimentare ale ANSPDCP [în temeiul art. 43 alin. (1) lit. (b) din Regulamentul (UE) 2016/679]:a)în conformitate cu art. 43 alin. (2) lit. (a) din Regulamentul (UE) 2016/679, oferă dovezi separate ale independenței sale. Aceasta se aplică îndeosebi dovezilor referitoare la finanțarea organismului de certificare în măsura în care aceasta are legătură cu asigurarea imparțialității; … b)sarcinile și obligațiile sale nu conduc la un conflict de interese în temeiul art. 43 alin. (2) lit. (e) din Regulamentul (UE) 2016/679; … … 2.organismul de certificare nu are o legătură relevantă cu clientul pe care îl evaluează, spre exemplu organismul de certificare nu ar trebui să aparțină aceluiași grup de companii și nici nu ar trebui controlat în vreun fel de clientul pe care îl evaluează. … … 4.3Răspundere juridică și finanțareÎn plus față de cerința de la pct. 4.3.1 din EN-ISO/IEC 17065/2012, organismul de acreditare (RENAR) asigură periodic că organismul de certificare dispune de măsuri adecvate (de exemplu, asigurare sau rezerve) pentru a-și acoperi obligațiile în regiunile geografice în care operează.Organismul de certificare trebuie să își demonstreze stabilitatea și independența financiară. Organismul de certificare trebuie să aibă o asigurare de răspundere civilă adecvată domeniului de activitate. Valoarea asigurării de răspundere civilă trebuie să fie stabilită pe baza rezultatelor evaluării riscurilor care decurg din activitățile sale. … 4.4Condiții nediscriminatoriiSe aplică cerințele EN-ISO/IEC 17065/2012. … 4.5ConfidențialitateSe aplică cerințele EN-ISO/IEC 17065/2012. … 4.6Informații disponibile publicÎn plus față de cerința de la pct. 4.6 din EN-ISO/IEC 17065/2012, organismul de acreditare (RENAR) solicită organismului de certificare să asigure cel puțin ca:1.toate versiunile (actuale și anterioare) ale criteriilor aprobate utilizate în sensul art. 42 alin. (5) din Regulamentul (UE) 2016/679 să fie publicate și ușor de accesat de către public, la fel ca toate procedurile de certificare care indică, în general, perioada respectivă de validitate. Forma de publicare trebuie să fie adecvată pentru a informa publicul într-un mod cât mai cuprinzător. Acest lucru este de obicei garantat prin formularul electronic; … 2.informațiile privind procedurile de soluționare a reclamațiilor și căile de atac să fie puse la dispoziția publicului în temeiul art. 43 alin. (2) lit. (d) din Regulamentul (UE) 2016/679. În același timp, această obligație de publicare nu se referă numai la incidente specifice, ci și la structura și procedura de gestionare a reclamațiilor de către organismul de certificare. Informațiile care sunt făcute publice se referă doar la statistici sau alte tipuri de informații anonimizate. … … +
Capitolul VCerințe referitoare la structură5.1Structura organizațională și managementul de cel mai înalt nivelSe aplică cerințele EN-ISO/IEC 17065/2012. … 5.2Mecanismul pentru asigurarea imparțialitățiiÎn plus, potrivit cap. 5.2 (capitolele 5.1.1 și 5.2) din ENISO/IEC 17065/2012, organismul de certificare trebuie să demonstreze ANSPDCP, în cadrul procedurii de acreditare, faptul că mecanismul de asigurare a independenței îndeplinește cerințele art. 43 alin. (2) lit. (a) și (e) din Regulamentul (UE) 2016/679 și că sarcinile și obligațiile sale nu conduc la un conflict de interese. Independența înseamnă că organismul de certificare în cauză poate acționa fără instrucțiuni și presiuni, iar stabilitatea financiară este asigurată. … +
Capitolul VICerințe referitoare la resurse6.1Personalul organismului de certificareÎn plus față de cerința din capitolul 6 al EN-ISO/IEC 17065/2012, organismul de acreditare (RENAR) se asigură, pentru fiecare organism de certificare, că personalul acestuia:1.deține expertiză adecvată și continuă demonstrată (cunoștințe și experiență) în ceea ce privește protecția datelor, în temeiul art. 43 alin. (1) din Regulamentul (UE) 2016/679; … 2.dispune de independență și expertiză continuă în legătură cu obiectul certificării, în temeiul art. 43 alin. (2) lit. (a) din Regulamentul (UE) 2016/679, și nu se află în conflict de interese, în temeiul art. 43 alin. (2) lit. (e) din Regulamentul (UE) 2016/679; … 3.se angajează să respecte criteriile menționate la art. 42 alin. (5), în temeiul art. 43 alin. (2) lit. (b) din Regulamentul (UE) 2016/679; … 4.dispune de cunoștințe și experiență relevante și adecvate în ceea ce privește aplicarea legislației în materie de protecție a datelor; … 5.dispune de cunoștințe și experiență relevante și adecvate în ceea ce privește măsurile tehnice și organizatorice relevante de protecție a datelor; … 6.poate demonstra că deține experiență în domeniile menționate în cerințele suplimentare prevăzute la subpct. 1, 4 și 5.În cazul personalului care deține expertiză tehnică:– trebuie să aibă o calificare într-un domeniu relevant de expertiză tehnică cel puțin la nivelul 6 CEC^1 sau un titlu protejat recunoscut (de exemplu, dovada experienței, contractele anterioare, atestarea de către angajatorii anteriori) în profesia reglementată relevantă sau deține experiență profesională semnificativă;^1 A se vedea instrumentul de comparare a cadrelor de calificări la adresa https://ec.europa.eu/ploteus/ro/compare … – personalul responsabil de deciziile de certificare trebuie să aibă experiență profesională semnificativă în identificarea și punerea în aplicare a măsurilor de protecție a datelor; aceasta poate fi dovedită cu documente referitoare la calificări profesionale adecvate, cursuri etc., care să ateste calificările sau competențele necesare, în măsura în care sunt relevante; … – personalul responsabil de evaluări trebuie să dețină și să demonstreze cel puțin doi ani de experiență profesională în protecția datelor, precum și cunoștințe tehnice și experiență în ceea ce privește proceduri similare (de exemplu, certificări/audituri, dovada experienței, contractele anterioare, atestarea de către angajatorii anteriori); acestea pot fi dovedite cu documente referitoare la calificări profesionale adecvate, cursuri etc., care să ateste calificările sau competențele necesare, în măsura în care sunt relevante. … Personalul trebuie să demonstreze că își menține cunoștințele specifice domeniului (competențele tehnice și de audit) printr-o dezvoltare profesională continuă.În cazul personalului care deține expertiză juridică:– trebuie să aibă studii juridice în cadrul unei universități din UE sau al unei universități recunoscute de stat, pe o perioadă de cel puțin opt semestre, inclusiv diplomă de master (LL. M. – A Master of Laws degree) sau echivalentul acesteia ori experiență profesională semnificativă; … – personalul responsabil de deciziile de certificare trebuie să dețină și să demonstreze o experiență profesională semnificativă în domeniul privind protecția datelor; aceasta poate fi dovedită cu documente referitoare la calificări profesionale adecvate, cursuri etc., care să ateste calificările sau competențele necesare; … – personalul responsabil de evaluări trebuie să demonstreze cel puțin doi ani de experiență profesională în domeniul privind protecția datelor și cunoștințe și experiență în ceea ce privește procedurile comparabile (de exemplu, certificări/audituri, dovada experienței, contractele anterioare, atestarea de către angajatorii anteriori); acestea pot fi dovedite cu documente referitoare la calificări profesionale adecvate, cursuri etc., care să ateste calificările sau competențele necesare. … Personalul trebuie să demonstreze că își menține competențele specifice domeniului (competențele tehnice și/sau juridice), precum și de audit printr-o formare profesională continuă. … … 6.2Resurse pentru evaluareSe aplică cerințele EN-ISO/IEC 17065/2012. … +
Capitolul VIICerințe referitoare la proces7.1GeneralitățiÎn plus față de cerința din capitolul 7.1 din EN-ISO/IEC 17065/2012, organismul de acreditare (RENAR) are obligația de a asigura următoarele:1.organismele de certificare respectă cerințele suplimentare ale autorității de supraveghere competente [în temeiul art. 43 alin. (1) lit. (b) din Regulamentul (UE) 2016/679] atunci când depun cererea, astfel încât sarcinile și obligațiile să nu conducă la un conflict de interese, în temeiul art. 43 alin. (2) lit. (b) din Regulamentul (UE) 2016/679; … 2.informează autoritățile de supraveghere competente relevante înainte ca un organism de certificare să înceapă să utilizeze un sigiliu european privind protecția datelor într-un stat membru nou dintr-un punct de lucru. … … 7.2SolicitareÎn plus față de cerința de la capitolul 7.2 din EN-ISO/IEC 17065/2012, obiectivul evaluării (ToE) trebuie să fie descris în detaliu în cerere. Aceasta include, de asemenea, interfețe și transferuri către alte sisteme și organizații, protocoale și alte elemente de asigurare. De asemenea, cererea trebuie să specifice dacă se recurge la persoane împuternicite de către operatori și, în cazul în care persoanele împuternicite de către operatori au calitatea de solicitant, responsabilitățile și sarcinile acestora trebuie descrise, iar cererea trebuie să conțină contractul (contractele) relevant(e) dintre operatori și persoanele împuternicite de către operatori.În plus, cererea trebuie să specifice dacă operatorii asociați sunt implicați în prelucrare și, în cazul în care operatorii asociați sunt solicitanții, responsabilitățile și sarcinile lor trebuie descrise, iar cererea trebuie să conțină aranjamentele convenite.Operatorul și persoana împuternicită de operator au dreptul să solicite certificarea, având în vedere că posibilitatea persoanelor împuternicite de operator de a fi certificate va depinde de domeniul de aplicare al schemei de certificare. … 7.3Analiza solicităriiÎn plus față de capitolul 7.3 din EN-ISO/IEC 17065/2012, în acordul de certificare trebuie să fie prevăzute metode de evaluare obligatorii în ceea ce privește obiectul evaluării și luând în considerare legea privind protecția datelor aplicabilă clientului. Totodată, evaluarea de la capitolul 7.3 litera (e) din EN-ISO/IEC 17065/2012 privind existența unui nivel suficient de expertiză trebuie să țină seama atât de expertiza tehnică, cât și de cea juridică în domeniul protecției datelor, în măsura adecvată. … 7.4EvaluareÎn plus față de capitolul 7.4 din EN-ISO/IEC 17065/2012, mecanismele de certificare trebuie să descrie metode de evaluare suficiente pentru evaluarea conformității operațiunii (operațiunilor) de prelucrare cu criteriile de certificare, inclusiv, de exemplu, după caz:1.o metodă de evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu scopul lor și persoanele vizate respective; … 2.o metodă de evaluare a acoperirii, alcătuirii și evaluării tuturor riscurilor avute în vedere de către operator și persoana împuternicită de către operator în ceea ce privește consecințele juridice în temeiul art. 30, 32, 35 și 36 din Regulamentul (UE) 2016/679, precum și definiția măsurilor tehnice și organizatorice în temeiul art. 24, 25 și 32 din Regulamentul (UE) 2016/679, în măsura în care articolele menționate mai sus se aplică domeniului certificării (inclusiv obiectului certificării); și … 3.o metodă de evaluare a măsurilor de remediere, inclusiv garanții, elemente de protecție și proceduri, pentru asigurarea protecției datelor cu caracter personal în contextul prelucrării care urmează să fie atribuite domeniului certificării (inclusiv obiectului certificării), precum și pentru demonstrarea faptului că cerințele juridice, astfel cum sunt prevăzute în criterii, sunt respectate; și … 4.documentarea metodelor și constatărilor. … Organismul de certificare trebuie să se asigure că aceste metode de evaluare sunt standardizate și aplicabile în mod general. Aceasta înseamnă că se utilizează metode de evaluare similare pentru domenii de certificare (inclusiv obiecte ale certificării) similare. Orice abatere de la această procedură trebuie justificată de organismul de certificare.În plus față de pct. 7.4.2 din ISO/IEC 17065/2012, ar trebui să se permită ca evaluarea să fie efectuată de experți externi care au fost recunoscuți de organismul de certificare. De asemenea, organismul de certificare își va păstra responsabilitatea pentru luarea deciziilor, chiar și atunci când folosește experți externi.În plus față de capitolul 7.4.5 din EN-ISO/IEC 17065/2012, trebuie să se impună ca certificarea protecției datelor în conformitate cu art. 42 și 43 din Regulamentul (UE) 2016/679, care acoperă deja o parte din obiectul certificării, să poată fi inclusă într-o certificare curentă. Cu toate acestea, nu va fi suficientă înlocuirea completă a evaluărilor (parțiale). Organismul de certificare are obligația de a verifica respectarea criteriilor. Recunoașterea necesită, în orice caz, disponibilitatea unui raport de evaluare complet sau a informațiilor care să permită o evaluare a activității de certificare existente și a rezultatelor acesteia. O declarație de certificare sau atestate de certificare similare nu trebuie considerate suficiente pentru a înlocui un raport.Certificările existente pot fi luate în considerare în mod special după cum urmează:1.Certificarea privind protecția datelor în conformitate cu art. 42 din Regulamentul (UE) 2016/679, în cazul în care părți ale obiectului de certificare au fost deja certificate de către un organism de certificare acreditat, poate fi considerată o evaluare parțială. … 2.Cu toate acestea, certificările privind protecția datelor conform art. 42 din Regulamentul (UE) 2016/679 nu sunt acceptabile pentru a înlocui complet evaluările (parțiale). Organismul de certificare continuă să fie obligat să verifice conformitatea actuală cu cerințele (certificatului depus), cel puțin aleatoriu, și să evalueze certificările existente. Nu rezultă efecte asupra perioadei de valabilitate a certificării prezentate. … 3.Perioada de validitate a certificatelor trebuie documentată și păstrată disponibilă în conformitate cu capitolul 7.7 din ENISO/IEC 17065/2012. … În plus față de capitolul 7.4.6 din EN-ISO/IEC 17065/2012, trebuie să se impună ca organismul de certificare să stabilească în detaliu, în cadrul mecanismului său de certificare, modul în care, prin datele solicitate la capitolul 7.4.6, clientul (solicitantul certificării) este informat cu privire la neconformitățile din cadrul unui mecanism de certificare. În acest context, trebuie să se definească cel puțin natura și calendarul acestor date.În plus față de capitolul 7.4.9 din EN-ISO/IEC 17065/2012, trebuie să se impună ca documentația să fie pusă integral la dispoziția ANSPDCP, la cerere.Documentația trebuie să fie complet accesibilă în timpul procedurii de acreditare și în orice moment, la cererea ANSPDCP. … 7.5AnalizăÎn plus față de capitolul 7.5 din EN-ISO/IEC 17065/2012, sunt necesare proceduri de acordare, de examinare periodică și de revocare a certificărilor respective în temeiul art. 43 alin. (2) și (3). … 7.6Decizia de certificareÎn plus față de capitolul 7.6.1 din EN-ISO/IEC 17065/2012, organismul de certificare trebuie să stabilească în detaliu, în cadrul procedurilor sale, modul în care sunt asigurate independența și responsabilitatea cu privire la deciziile de certificare individuale.În plus față de capitolul 7.6.1 din EN-ISO/IEC 17065/2012, organismul de certificare trebuie să precizeze în detaliu criteriile sale, cum sunt asigurate independența și responsabilitatea față de deciziile de certificare.În conformitate cu capitolul 7.8 din EN-ISO/IEC 17065/2012, organismul de certificare trebuie să publice o scurtă evaluare publică a rezultatului certificării.Organismul de certificare informează ANSPDCP cu privire la certificare. Informațiile scrise trebuie să includă numele clientului, descrierea obiectului certificării și o scurtă evaluare publică. Această activitate de informare a ANSPDCP se realizează în scop de transparență și nu implică acțiuni din partea ANSPDCP.În plus față de capitolul 7.6.2 din EN-ISO/IEC 17065/2012, decizia privind certificarea trebuie să fie luată de șeful organismului de certificare sau de o persoană calificată desemnată direct de acesta. În acest sens, trebuie să se respecte capitolul 7.6.3 din EN-ISO/IEC 17065/2012. Evaluarea poate fi realizată de experți, recunoscuți anterior de organismul de certificare, așa cum este descris în plus față de capitolul 7.4.2 din EN-ISO/IEC 17065/2012.În plus față de pct. 7.6.6 din EN-ISO/IEC 17065/2012, organismul de certificare trebuie să precizeze în criteriile sale modul în care clientul va fi informat despre decizia de a nu acorda certificarea. În plus, trebuie să informeze clientul privind posibilitatea de a cere reconsiderarea deciziei organismului de certificare în cazul menționat mai sus și procedura pe care trebuie să o respecte clientul. … 7.7Documentație de certificareÎn plus față de capitolul 7.7.1 litera (e) din EN-ISO/IEC 17065/2012 și în conformitate cu art. 42 alin. (7) din Regulamentul (UE) 2016/679, perioada de validitate a certificatelor emise de organismul de certificare trebuie să nu depășească trei ani.În plus față de capitolul 7.7.1 litera (e) din EN-ISO/IEC 17065/2012, organismul de certificare trebuie să documenteze perioada de monitorizare în sensul capitolului 7.9 din ENISO/IEC 17065/2012.În plus față de capitolul 7.7.1 litera (f) din EN-ISO/IEC 17065/2012, organismul de certificare trebuie să precizeze domeniul certificării în documentația certificării (indicând statutul versiunii sau caracteristici similare, dacă este aplicabil). … 7.8Registrul produselor certificateÎn plus față de capitolul 7.8 din EN-ISO/IEC 17065/2012, organismul de certificare trebuie să mențină informațiile privind produsele, procesele și serviciile certificate disponibile pe plan intern și pentru public. Organismul de certificare va pune la dispoziția publicului o sinteză a raportului de evaluare. Scopul acestei sinteze este de a contribui la asigurarea transparenței în ceea ce privește elementele certificate și modul în care au fost evaluate. Aceasta va explica aspecte precum:a)domeniul certificării și o descriere pertinentă a obiectului certificării (obiectivul evaluării); … b)criteriile de certificare respective (inclusiv versiunea sau statutul funcțional); … c)metodele de evaluare și testele efectuate, precum și … d)rezultatul (rezultatele). … În plus, informațiile trebuie să includă:1.datele de contact ale solicitantului (persoană juridică sau fizică); … 2.un număr de înregistrare; … 3.data certificării și data expirării certificatului; … 4.informații despre certificarea inițială sau recertificare; … 5.informații despre posibilele activități de supraveghere pentru a păstra certificarea; precum și … 6.posibila implicare a evaluatorilor externi. … În plus față de capitolul 7.8 din EN-ISO/IEC 17065/2012 și în temeiul art. 43 alin. (5) din Regulamentul (UE) 2016/679, organismul de certificare informează autoritățile de supraveghere competente cu privire la motivele pentru acordarea sau retragerea certificării solicitate. … 7.9SupraveghereÎn plus față de capitolele 7.9.1, 7.9.2 și 7.9.3 din EN-ISO/IEC 17065/2012 și în conformitate cu art. 43 alin. (2) lit. (c) din Regulamentul (UE) 2016/679, organismul de certificare trebuie să impună ca măsurile de monitorizare periodică să fie obligatorii pentru menținerea certificării.Supravegherea trebuie efectuată cel puțin o dată pe an. Cu toate acestea, ar trebui să existe o abordare bazată pe riscuri pentru a identifica dacă, în cazuri specifice, activitățile de supraveghere trebuie să se desfășoare de mai multe ori pe an.Procedura și acordul de certificare cu clientul trebuie să fie demonstrate în orice moment pe parcursul perioadei de valabilitate a acreditării și la cererea autorităților de supraveghere pentru protecția datelor. … 7.10Modificări care afectează certificareaÎn plus față de capitolele 7.10.1 și 7.10.2 din EN-ISO/IEC 17065/2012, modificările cu impact asupra certificării care trebuie luate în considerare de organismul de certificare includ: modificări ale legislației privind protecția datelor sau ale stadiului tehnicii, adoptarea de acte delegate ale Comisiei Europene în conformitate cu art. 43 alin. (8) și (9) din Regulamentul (UE) 2016/679, documente adoptate ale Comitetului european pentru protecția datelor și decizii ale instanțelor judecătorești legate de protecția datelor. Procedurile legate de modificări pot include aspecte precum: perioadele de tranziție, procesele de aprobare cu ANSPDCP, reevaluarea domeniului certificării (inclusiv obiectul certificării) și măsuri adecvate de revocare a certificării, în cazul în care operațiunea de prelucrare certificată nu mai respectă criteriile actualizate.Pe lângă capitolul 7.10.1 din EN-ISO/IEC 17065/2012, organismul de certificare definește în schema sa de certificare:1.care modificări necesită o notificare și, dacă este cazul, o ajustare pentru client; … 2.care sunt metodele de evaluare de către organismul de certificare într-un astfel de caz; și … 3.ce termene există pentru implementarea măsurilor pentru a menține certificarea existentă. … Dincolo de acest aspect, organismul de certificare definește modul în care se asigură că sunt efectuate audituri comparabile în proceduri de certificare comparabile dacă cerințele de certificare se modifică.În plus, organismul de certificare definește, de asemenea, ce măsuri și procese trebuie luate dacă auditul duce la concluzia că certificarea nu poate fi menținută. Măsurile corespunzătoare și procesele corespunzătoare sunt puse în aplicare și menținute la dispoziție de către conducerea organismului de certificare.În plus față de capitolul 7.10.2 din EN-ISO/IEC 17065/2012, organismul de certificare va defini în schema sa de certificare în ce cazuri și în ce fel clientul trebuie să furnizeze organismului de certificare informații (în cazul modificărilor inițiate de client). Acesta este întotdeauna cazul, cel puțin atunci când au apărut modificări în obiectul certificării cu privire la prelucrarea datelor cu caracter personal, modificări în mediul operațional și/sau modificări în contextul aplicației sau modificări în alte condiții-cadru care sunt relevante pentru declarația de certificare. Aceasta se aplică în special modificărilor standardelor legale pertinente privind obiectul certificării, precum și modificărilor tehnologiei de ultimă generație care au fost determinate de client. În acest caz, orice măsuri inițiate prin notificare trebuie definite de organismul de certificare și de client. De asemenea, organismul de certificare definește modul de asigurare a luării unor măsuri comparabile în cazuri comparabile. De asemenea, organismul de certificare are obligația să ia în considerare modificările notificate de client pe baza pct. 7.10.2 din ENISO/IEC 17065/2012. În plus, măsurile corespunzătoare și procesele corespunzătoare sunt puse în aplicare și menținute la dispoziție de către conducerea organismului de certificare. … 7.11Încetarea, reducerea, suspendarea sau retragerea certificăriiÎn plus față de capitolul 7.11.1 din EN-ISO/IEC 17065/2012, organismul de certificare trebuie să informeze imediat, în scris, ANSPDCP și organismul național de acreditare (RENAR), după caz, cu privire la măsurile adoptate și menținerea, restrângerea, suspendarea certificării în așteptarea acțiunilor de remediere efectuate de client și retragerea certificării.În conformitate cu art. 58 alin. (2) lit. (h) din Regulamentul (UE) 2016/679, i se impune organismului de certificare să accepte deciziile și ordinele autorității de supraveghere competente de a retrage sau a nu emite certificarea pentru un client (solicitant) în cazul în care cerințele de certificare nu sunt sau nu mai sunt îndeplinite. … 7.12ÎnregistrăriOrganismul de certificare trebuie să păstreze toată documentația completă, inteligibilă, actualizată și adecvată pentru a face obiectul unui audit.Aceasta se aplică atât procedurilor de certificare finalizate fără un rezultat pozitiv, procedurilor de certificare finalizate cu un rezultat pozitiv, cât și procedurilor de certificare în curs. În procedurile de certificare în curs, criteriile de certificare care sunt îndeplinite și care nu sunt îndeplinite trebuie să fie evidente.În plus, organismul de certificare trebuie să păstreze statistici privind procedurile finalizate și încheiate.În plus față de capitolul 7.12.1 din EN-ISO/IEC 17065/2012, toate înregistrările referitoare la procesul de certificare se păstrează încă trei ani în plus față de perioada de validitate a certificării și după finalizarea acordului de certificare. În cazul disputelor dintre organismul de certificare și client sau dintre client și ANSPDCP, această perioadă poate fi prelungită peste perioada de valabilitate a certificării până la încheierea acestei proceduri. … 7.13Reclamații și căi de atacÎn plus față de capitolul 7.13.1 din EN-ISO/IEC 17065/2012, trebuie să i se impună organismului de certificare să definească:a)cine poate depune reclamații sau prezenta obiecțiuni; … b)cine le prelucrează la nivelul organismului de certificare; … c)ce verificări au loc în acest context; și … d)posibilitățile de consultare a părților interesate. … În plus față de capitolul 7.13.2 din EN-ISO/IEC 17065/2012, organismul de certificare trebuie să definească:a)cum și cui o astfel de confirmare trebuie transmisă; … b)termenele-limită pentru aceasta; și … c)procesele care urmează să fie inițiate ulterior. … În plus față de capitolul 7.13.1 din EN-ISO/IEC 17065/2012, organismul de certificare trebuie să definească modul în care este asigurată separarea între activitățile de certificare și soluționare a reclamațiilor și căilor de atac. … +
Capitolul VIIICerințele sistemului de managementO cerință generală privind sistemul de gestionare în conformitate cu capitolul 8 din EN-ISO/IEC 17065/2012 constă în faptul că punerea în aplicare a tuturor cerințelor din capitolele precedente în sfera de aplicare a mecanismului de certificare de către organismul de certificare acreditat este documentată, evaluată, controlată și monitorizată în mod independent.Principiul de bază al gestionării este acela de a defini un sistem potrivit căruia obiectivele sale sunt stabilite cu eficacitate și eficiență, în mod specific: punerea în aplicare a serviciilor de certificare – prin intermediul unor specificații adecvate. Aceasta necesită transparența și posibilitatea verificării punerii în aplicare a cerințelor de acreditare de către organismul de certificare și conformitatea permanentă a acestuia.În acest scop, sistemul de gestionare trebuie să specifice o metodologie care să îndeplinească și să controleze aceste cerințe, în conformitate cu normele privind protecția datelor și în vederea verificării constante a acestora împreună cu organismul acreditat însuși.Aceste principii de gestionare și punerea lor documentată în aplicare trebuie să fie transparente și să fie publicate de către organismul de certificare acreditat în baza procedurii de acreditare în temeiul art. 58 din Regulamentul (UE) 2016/679 și, ulterior, la cererea ANSPDCP, în orice moment în timpul unei investigații sub forma unor controale privind protecția datelor în temeiul art. 58 alin. (1) lit. (b) din Regulamentul (UE) 2016/679, sau a unei examinări a certificărilor emise în conformitate cu art. 42 alin. (7) din Regulamentul (UE) 2016/679, în temeiul art. 58 alin. (1) lit. (c) din Regulamentul (UE) 2016/679.În special, organismul de certificare acreditat trebuie să publice în permanență și în mod continuu certificările efectuate și bazele acestora (sau mecanismele ori schemele de certificare), durata valabilității certificărilor și care sunt cadrele și condițiile aplicabile [considerentul 100 din Regulamentul (UE) 2016/679].8.1OpțiuniSe aplică cerințele EN-ISO/IEC 17065/2012. … 8.2Documentația generală a sistemului de managementSe aplică cerințele EN-ISO/IEC 17065/2012. … 8.3Controlul documentelorSe aplică cerințele EN-ISO/IEC 17065/2012. … 8.4Controlul înregistrărilorSe aplică cerințele EN-ISO/IEC 17065/2012. … 8.5Analiza efectuată de managementSe aplică cerințele EN-ISO/IEC 17065/2012. … 8.6Audituri interneSe aplică cerințele EN-ISO/IEC 17065/2012. … 8.7Acțiuni corectiveSe aplică cerințele EN-ISO/IEC 17065/2012. … 8.8Acțiuni preventiveSe aplică cerințele EN-ISO/IEC 17065/2012. … +
Capitolul IXAlte cerințe suplimentare9.1Actualizarea metodelor de evaluareOrganismul de certificare stabilește proceduri pentru ghidarea actualizării metodelor de evaluare, care trebuie aplicate în contextul evaluării prevăzute la pct. 7.4. Actualizarea trebuie să aibă loc pe parcursul modificărilor în ceea ce privește cadrul juridic, riscul (riscurile) relevant(e), nivelul de dezvoltare și costurile de punere în aplicare a măsurilor tehnice și organizatorice. … 9.2Menținerea expertizeiOrganismele de certificare stabilesc proceduri pentru a asigura formarea angajaților lor în vederea actualizării competențelor acestora, ținând seama de evoluțiile enumerate la pct. 9.1. … 9.3Responsabilități și competențe9.3.1Comunicarea între organismele de certificare și clienții lorSe instituie proceduri pentru punerea în aplicare a procedurilor și structurilor de comunicare adecvate între organismul de certificare și clientul acestuia. Acestea includ:1.păstrarea documentației referitoare la sarcini și responsabilități de către organismul de certificare acreditat, în scopul:a)cererilor de informații sau … b)pentru a permite contactul în eventualitatea unei plângeri legate de o certificare; … … 2.menținerea unui proces de solicitare în scopul:a)informării cu privire la statutul solicitării; … b)evaluării efectuate de ANSPDCP cu privire la:(i)feedback; … (ii)deciziile ANSPDCP. … … … … 9.3.2Documentarea activităților de evaluareNu sunt stabilite cerințe suplimentare. … 9.3.3Gestionarea soluționării plângerilorSe instituie o procedură de soluționare a plângerilor ca parte integrantă a sistemului de gestionare, care pune în aplicare, în mod special, cerințele de la pct. 4.1.2.2 lit. (c), pct. 4.1.2.2 lit. (j), pct. 4.6 lit. (d) și pct. 7.13 din ISO/IEC 17065/2012.Plângerile și obiecțiunile relevante ar trebui împărtășite cu ANSPDCP. … 9.3.4Gestionarea retragerilorProcedurile aplicabile în eventualitatea suspendării sau retragerii acreditării sunt integrate în sistemul de gestionare al organismului de certificare, inclusiv notificările transmise clienților. … … –-
