Άρθρο 38 Διαπίστευση φορέων πιστοποίησης και πιστοποίηση

1. Η διαπίστευση των φορέων που χορηγούν πιστοποιήσεις σύμφωνα με το άρθρο 42 του ΓΚΠΔ πραγματοποιείται από το Εθνικό Σύστημα Διαπίστευσης (Ε.ΣΥ.Δ.) με βάση το πρότυπο EN-ISO/IEC 17065/2012 και σύμφωνα με συμπληρωματικές απαιτήσεις που έχουν οριστεί από την Αρχή.
2.Το Ε.ΣΥ.Δ. ανακαλεί διαπίστευση αν ενημερωθεί από την Αρχή ότι δεν πληρούνται πλέον οι απαιτήσεις διαπίστευσης ή ο φορέας πιστοποίησης παραβαίνει τον ΓΚΠΔ και τις διατάξεις του παρόντος.

  • 19 Αυγούστου 2019, 18:40 | Homo Digitalis
    Το βλέπω Θετικά/Αρνητικά:  

    Η προτεινόμενη ρύθμιση του άρθρου 38 είναι ελλιπής. Πρόκειται για νέο πεδίο και θα πρέπει να υπάρχει σαφήνεια σε σχέση με το τί προβλέπεται και ποια διαδικασία θα τηρείται.
    Το αντίστοιχο άρθρο στο σχέδιο της α’ νομοπαρασκευαστικής ήταν πληρέστερο.

  • 19 Αυγούστου 2019, 15:24 | Δρ Λεωνίδας Κανέλλος
    Το βλέπω Θετικά/Αρνητικά:  

    Η πιστοποίηση συμμόρφωσης με τον ΓΚΠΔ, αν και δεν απαλλάσσει τον οργανισμό από την ευθύνη συμμόρφωσης, είναι ζωτικής σημασίας ως εργαλείο λογοδοσίας. Είναι γεγονός ότι η σχετική διαδικασία ορισμού του κατάλληλου σχήματος έχει καθυστερήσει πανευρωπαϊκά.

    Σύμφωνα με τις κατευθυντήριες Οδηγίες του ΕΣΠΔ https://edpb.europa.eu/sites/edpb/files/files/file1/certification_guidelines_with_corrigendum_en.pdf για την ύπαρξη ασφάλειας στην αγορά, είναι ανάγκη η διαπίστευση των φορέων που χορηγούν πιστοποιήσεις, κατ’άρθρο 42 του ΓΚΠΔ, να γίνεται από το Εθνικό Σύστημα Διαπίστευσης (Ε.ΣΥ.Δ.) με αναφορά στο πρότυπο EN-ISO/IEC 17065, υπό τις προς άμεση έκδοση συμπληρωματικές απαιτήσεις από την ΑΠΔΠΧ (πεδίο εφαρμογής, μητρώα, φορείς και κριτήρια ελέγχου κλπ).

  • 19 Αυγούστου 2019, 09:28 | Χατζοπούλου Αργυρώ
    Το βλέπω Θετικά/Αρνητικά:  

    Βάση των άρθρων του ΓΚΠΔ ,
    o σκοπός της (εθελοντικής) πιστοποίησης είναι η απόδειξη της συμμόρφωσης προς τον κανονισμό των πράξεων επεξεργασίας από τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία. Τα σχήματα που θα δημιουργηθούν θα πρέπει να είναι διαθέσιμα μέσω διαφανούς διαδικασίας.
    Προς αυτό το σκοπό, με την προϋπόθεση ότι η Αρχή δεν θα δημιουργήσει ένα μοναδικό σχήμα προς το οποίο θα μπορεί να διενεργείται επιθεώρηση και πιστοποίηση, και άρα ο κάθε φορέας πιστοποίησης θα μπορεί να δημιουργήσει και ένα δικό του, χρειάζεται «συμπληρωματικές απαιτήσεις που έχουν οριστεί από την Αρχή» να είναι πολύ συγκεκριμένες. Σε διαφορετική περίπτωση, τα σχήματα που θα δημιουργηθούν δεν θα είναι ισότιμα και θα δημιουργούν σύγχυση και παρανόηση στα υποκείμενα.
    Επιπλέον, υπάρχουν και η δυνατότητα διαπίστευσης των φορέων πιστοποίησης βάσει των κριτηρίων που έχουν εγκριθεί από το Συμβούλιο Προστασίας Δεδομένων δυνάμει του άρθρου 63, που θα πρέπει να περιληφθεί.

    Βάση των παραπάνω και με σκοπό την μεγαλύτερη διαφάνεια και προστασία των υποκειμένων, προτείνω την διαμόρφωση του σημείου 1 στο Άρθρο 38 του παρόντος ως εξής:
    Η διαπίστευση των φορέων που χορηγούν πιστοποιήσεις σύμφωνα με το άρθρο 42 του ΓΚΠΔ πραγματοποιείται από το Εθνικό Σύστημα Διαπίστευσης (Ε.ΣΥ.Δ.) με βάση το πρότυπο EN-ISO/IEC 17065 (στην εκάστοτε ισχύουσα έκδοσή του βάση διεθνών κανόνων) και υπό την προϋπόθεση ότι έχουν εκδοθεί συγκεκριμένες συμπληρωματικές απαιτήσεις από την Αρχή. Επίσης, Η διαπίστευση των φορέων που χορηγούν πιστοποιήσεις σύμφωνα με το άρθρο 42 του ΓΚΠΔ πραγματοποιείται από το Εθνικό Σύστημα Διαπίστευσης (Ε.ΣΥ.Δ.) με βάση το πρότυπο EN-ISO/IEC 17065 (στην εκάστοτε ισχύουσα έκδοσή του βάση διεθνών κανόνων) βάσει των κριτηρίων που έχουν εγκριθεί από το Συμβούλιο Προστασίας Δεδομένων δυνάμει του άρθρου 63. Η Αρχή τηρεί μητρώο με τα όλους τους μηχανισμούς πιστοποίησης και τις σφραγίδες και τα σήματα προστασίας δεδομένων που ικανοποιούν τις απαιτήσεις της και βρίσκουν εφαρμογή στην Ελληνική Επικράτεια και τα καθιστά διαθέσιμα στο κοινό με κάθε κατάλληλο μέσο. Το μητρώο περιέχει κατ’ ελάχιστο την ονομασία του σχήματος, την κατάσταση (ενεργό, ανενεργό κλπ), το πεδίο εφαρμογής του, την περιγραφή του, τον φορέα (φορείς) διενέργειας ελέγχου και τα σχετικά κριτήρια.»

  • 17 Αυγούστου 2019, 12:13 | Βιργινιος Βουδουρης
    Το βλέπω Θετικά/Αρνητικά:  

    Στο αρθρο38 ορθως γινεται αναφορα σε διαδικασιες διαπιστευσης προκειμένου να αξιολογειται η συμμορφωση ενος οργανισμου απο
    εγκεκριμενο τριτο μερος και η αρχη να μπορει να επιτελεσει τον εποπτικο της ρολο πιο αποτελεσματικα. Ωστοσο πρεπει οπωσδηποτε να σχεδιαστει καταλληλο σχημα πιστοποιησης δλδ εξειδικευμενοι κανονες της αρχης βασει των οποιων θα γινεται η αξιολογηση. Με τη συνδρομη των stakeholders (αρχη, εσυδ, φορεις πιστοποιησης, σεβ κτλ) να αναπτυχθουν οι ανωτερω κανονες (πχ ISO/IEC 27701:2019 ή BS 10012:2017) βασει iso17065 και iso17067 τοσο για την πιστοποιηση των οργανισμων απο διαπιστευμενους φορεις πιστοποιησης οσο και για τη διαπιστευση των φορεων πιστοποιησης απο το εσυδ. Αλλιως δεν θα υπαρχει οριζοντια και καθολικα αποδεκτη προδιαγραφη εφαρμογης του νομοθετηματος.

  • 15 Αυγούστου 2019, 13:02 | ΠΑΝΑΓΙΩΤΗΣ Η. ΚΑΡΑΚΩΝΣΤΑΝΤΗΣ
    Το βλέπω Θετικά/Αρνητικά:  

    Ο Κανονισμός ενθαρρύνει την κατάρτιση κωδίκων δεοντολογίας και τη θέσπιση μηχανισμών πιστοποίησης προστασίας δεδομένων σε πολλά διαφορετικά σημεία του [όπως Άρθρο 42 (5), ‘Αρθρο 70 (ιε)]. Σε αυτό το πλαίσιο, στο άρθρο 38 του παρόντος σχεδίου νόμου, γίνεται αναφορά στη Διαπίστευση των Φορέων Πιστοποίησης κατά ISO/IEC 17065:2012 από το Εθνικό Σύστημα Διαπίστευσης (ΕΣΥΔ), προκειμένου να χορηγούν πιστοποιήσεις σύμφωνα με το άρθρο 42 του ΓΚΠΔ.
    Αυτό σημαίνει ότι κάθε Φορέας Πιστοποίησης που πληροί τα παραπάνω κριτήρια, μπορεί να διαπιστεύεται κατά ISO/IEC 17065:2012 για ένα δικό του Σχήμα Πιστοποίησης. Ωστόσο, αυτό ενέχει το κίνδυνο να χορηγούνται πιστοποιήσεις για την ίδια Υπηρεσία (συμμόρφωση με το ΓΚΠΔ), αλλά διαφορετικών ταχυτήτων (επίπεδα συμμόρφωσης) των πιστοποιούμενων.
    Προκειμένου να αποφευχθεί κάτι τέτοιο και υπό το πρίσμα της εναρμονισμένης, αντικειμενικής και αμερόληπτης αξιολόγησης της συμμόρφωσης, προτείνεται η δημιουργία ενός ενιαίου σχήματος πιστοποίησης εταιρειών/οργανισμών που θα βασίζεται σε διεθνώς αναγνωρισμένα πρότυπα (BS 10012, ISO/IEC 27701) και θα περιλαμβάνει τις απαιτήσεις της Αρχής. Έτσι μπορούν να τεθούν κανόνες στην αγορά και να δοθεί τεράστια ώθηση στην συμμόρφωση όλων των εταιρειών και οργανισμών σε σχέση με το πώς διαχειρίζονται και προφυλάσσουν τα προσωπικά δεδομένα των Ευρωπαίων πολιτών.
    Προτείνω λοιπόν την προσθήκη στο Άρθρο 38 του παρόντος της εξής παραγράφου:
    Τα σχήματα πιστοποίησης με βάση τα οποία πιστοποιούν οι φορείς πιστοποίησης για τη συμμόρφωση με τον ΓΚΠΔ θα πρέπει υποχρεωτικά να πληρούν τα κριτήρια των προτύπων ISO/IEC 27701:2019 ή BS 10012:2017 καθώς και τις απαιτήσεις της Αρχής.