Άρθρο 15 – Πιστοποίηση και Διαπίστευση φορέων πιστοποίησης

1. Οι φορείς πιστοποίησης χορηγούν πιστοποιήσεις προστασίας δεδομένων και σφραγίδων και σημάτων προστασίας δεδομένων, με σκοπό την απόδειξη της συμμόρφωσης προς τον Κανονισμό και το Κεφάλαιο Β’ του παρόντος νόμου από τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία.
2. Με την επιφύλαξη του άρθρου 43 του Κανονισμού οι πιστοποιήσεις, σφραγίδες και σήματα προστασίας εκδίδονται βάσει των κριτηρίων που ορίζει η Αρχή, η οποία δημοσιοποιεί τον κατάλογο των κριτηρίων.
3. Η Αρχή μπορεί να ορίζει συμπληρωματικές απαιτήσεις και κριτήρια για τη διαπίστευση φορέων πιστοποίησης. Η Αρχή δημοσιοποιεί τον κατάλογο των πρόσθετων απαιτήσεων για την διαπίστευση των φορέων πιστοποίησης.
4. Η διαπίστευση των φορέων που χορηγούν πιστοποιήσεις σύμφωνα με το άρθρο 42 του Κανονισμού πραγματοποιείται από το Εθνικό Σύστημα Διαπίστευσης Α.Ε.» – ΕΣΥΔ σύμφωνα με το πρότυπο EN-ISO/IEC 17065/2012 και σύμφωνα με τις συμπληρωματικές απαιτήσεις που έχουν οριστεί από την Αρχή σύμφωνα με την παράγραφο 3 του παρόντος.
5. Η Αρχή υποδεικνύει ή κοινοποιεί στο Eθνικό Σύστημα Διαπίστευσης Α.Ε. τις περιπτώσεις όπου οι προϋποθέσεις διαπίστευσης δεν πληρούνται ή δεν πληρούνται πλέον ή εφόσον οι ενέργειες του φορέα πιστοποίησης παραβαίνουν τον Κανονισμό και τον παρόντα νόμο.
6. Η ανάκληση των διαπιστεύσεων γίνεται από το Eθνικό Σύστημα Διαπίστευσης Α.Ε., το οποίο ζητά τη γνώμη της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

  • 5 Μαρτίου 2018, 13:53 | Αργυρώ Χατζοπούλου
    Το βλέπω Θετικά/Αρνητικά:  

    Στο άρθρο 43 και συγκεκριμένα στην παρ. 3. αναφέρεται ότι «Η διαπίστευση των φορέων πιστοποίησης όπως αναφέρεται στις παραγράφους 1 και 2 του παρόντος άρθρου πραγματοποιείται βάσει των κριτηρίων που έχουν εγκριθεί από την εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 55 ή 56, ή από το Συμβούλιο Προστασίας Δεδομένων δυνάμει του άρθρου 63. Όταν τα κριτήρια εγκρίνονται από το Συμβούλιο Προστασίας Δεδομένων, αυτό μπορεί να οδηγήσει σε κοινή πιστοποίηση, την Ευρωπαϊκή Σφραγίδα Προστασίας των Δεδομένων»
    Με βάση τα αναγραφόμενα στο παρόν σχέδιο νόμου, δεν φαίνεται η ύπαρξη αυτής της δεύτερης επιλογής και άρα η δυνατότητα αναγνώρισης της Ευρωπαϊκής Σφραγίδας Προστασίας των δεδομένων. Αυτό, ειδικά σε οργανισμούς που δραστηριοποιούνται σε περισσότερες απο μια χώρες (είτε προέρχονται από την Ελλάδα ή από την αλλοδαπή θα δημιουργήσει σημαντικά προβλήματα και αδυναμία κάλυψης ενός από τους βασικούς στόχους του κανονισμού. Επίσης, δεν αναφέρεται η αναγκαιότητα έγκρισης των κριτηρίων που θα ορίσει η Αρχή (παρ. 2) από το Συμβούλιο Προστασίας Δεδομένων όπως αναφέρεται στο άρθρο 64 του κανονισμού.

  • 5 Μαρτίου 2018, 13:56 | Αργυρώ Χατζοπούλου
    Το βλέπω Θετικά/Αρνητικά:  

    Δεδομένου ότι ο κανονισμός ισχύει από 25 Μαϊου 2018, πότε αναμένεται να εκδοθούν τα εν λόγω κριτήρια από την Αρχή;

  • Το βλέπω Θετικά/Αρνητικά:  

    Σχόλιο στην παρ.2:
    Να διευκρινιστεί : H Αρχή έχει καταρτίσει τέτοιον κατάλογο; Πότε θα δημοσιοποιηθεί ;

  • 22 Φεβρουαρίου 2018, 03:24 | Ιρένε Καμαρα
    Το βλέπω Θετικά/Αρνητικά:  

    Το άρθρο 15 του σχεδίου νόμου λανθασμένα αναφέρεται σε κριτήρια πιστοποίησης, ενώ θα έπρεπε να αναφέρεται σε κριτήρια διαπίστευσης.

    Το άρθρο 42(5) του Κανονισμού ορίζει ότι η αρμόδια αρχή εγκρίνει (όχι ορίζει) τα κριτήρια πιστοποίησης:

    «Η πιστοποίηση σύμφωνα με το παρόν άρθρο χορηγείται από τους φορείς πιστοποίησης που αναφέρονται στο άρθρο 43 ή από την αρμόδια εποπτική αρχή, βάσει των κριτηρίων που έχει εγκρίνει η εν λόγω αρμόδια εποπτική αρχή δυνάμει του άρθρου 58 παράγραφος 3 ή το Συμβούλιο Προστασίας Δεδομένων σύμφωνα με το άρθρο 63. Όταν τα κριτήρια εγκρίνονται από το Συμβούλιο Προστασίας Δεδομένων, αυτό μπορεί να οδηγήσει σε κοινή πιστοποίηση, την Ευρωπαϊκή Σφραγίδα Προστασίας των Δεδομένων.»

    Η αρμόδια αρχή ορίζει τα κριτήρια διαπίστευσης (όχι πιστοποίησης), όπως προκύπτει από το άρθρο 57(1)(ιστ) του Κανονισμού.

    «σχεδιάζει και δημοσιεύει τα κριτήρια διαπίστευσης φορέα για την παρακολούθηση κωδίκων δεοντολογίας σύμφωνα με το άρθρο 41 και φορέα πιστοποίησης σύμφωνα με το άρθρο 43»

    Το άρθρο 15 του Σχεδίου Νόμου λανθασμένα ορίζει ότι:

    Με την επιφύλαξη του Αρθρου 43 του Κανονισμου οι πιστοποιήσεις, σφραγίδες και σήματα προστασίας εκδίδονται βάσει των κριτηριών που ορίζει η Αρχη, η οπούα δημοσιεύει τον κατάλογο των κριτηριων.

    -Kamara I., De Hert P. (2018) Data protection certification in the EU: Possibilities, Actors and Building Blocks in a reformed landscape, in Rodrigues R. and Papakonstantinou V. (eds) Privacy and Data Protection Seals, T.M.C. Asser Press

    -ENISA report on Recommendations on European Data Protection Certification, 2017