§ 86 – Certifikácia ochrany osobných údajov
Trvalý odkaz
Jednoducho
Originál
Jednoducho
(1)
Certifikát vydáva, obnovuje alebo odníma certifikačný subjekt (subjekt s akreditáciou podľa § 88) alebo úrad.
(2)
Prevádzkovateľ alebo sprostredkovateľ môže požiadať úrad alebo certifikačný subjekt o certifikát. Certifikát preukazuje, že spracúvanie osobných údajov je v súlade so zákonom a že existujú primerané záruky ochrany. Certifikát platí najviac tri roky.
(3)
Úrad alebo certifikačný subjekt posúdi žiadosť podľa certifikačných kritérií. Vydanie certifikátu nezbavuje prevádzkovateľa alebo sprostredkovateľa zodpovednosti za dodržiavanie zákona. Úrad si ponecháva všetky svoje právomoci.
(4)
Certifikát je verejná listina.
(5)
Úrad zverejňuje vydané certifikáty na svojej webovej stránke.
(6)
Žiadosť o certifikát musí obsahovať:
a)
identifikačné údaje žiadateľa,
b)
meno a priezvisko štatutára alebo osoby oprávnenej konať za žiadateľa,
c)
kontakt na zodpovednú osobu, ak ju má,
d)
predmet certifikátu,
e)
účel spracúvania osobných údajov,
f)
právny základ spracúvania,
g)
kategórie dotknutých osôb,
h)
kategórie osobných údajov,
i)
príjemcu alebo kategóriu príjemcu údajov, ak existuje,
j)
opis spracovateľských činností vrátane automatizovaného rozhodovania a profilovania,
k)
postup pri uplatňovaní práv dotknutej osoby,
l)
tretiu krajinu alebo medzinárodnú organizáciu pri prenose údajov.
(7)
K žiadosti treba priložiť:
a)
technickú a bezpečnostnú dokumentáciu,
b)
výsledok auditu ochrany údajov (nie starší ako 6 mesiacov),
c)
doklady o splnení certifikačných kritérií,
d)
opis záruk pri prenose do tretej krajiny alebo medzinárodnej organizácie,
e)
potvrdenie o zaplatení poplatku,
f)
ďalšie potrebné podklady na posúdenie súladu so zákonom.
(8)
Ak žiadosť nie je úplná alebo vzniknú pochybnosti o splnení kritérií, úrad vyzve žiadateľa na doplnenie. Na to má najmenej 15 dní. Počas dopĺňania lehota na vydanie certifikátu nebeží.
(9)
Ak úrad zistí nesúlad so zákonom, dá žiadateľovi najmenej 30 dní na nápravu. Počas nápravy lehota na vydanie certifikátu nebeží. Na žiadosť možno lehotu predĺžiť najviac o 60 dní.
(10)
Úrad konanie zastaví, ak žiadateľ neodstráni nedostatky v určenej lehote.
(11)
Úrad rozhodne do 90 dní od začatia konania.
(12)
Úrad vydá certifikát, ak žiadateľ spĺňa kritériá, dodržiava certifikačný postup, spracúva údaje v súlade so zákonom a má dostatočné bezpečnostné opatrenia.
(13)
Certifikát obsahuje:
a)
údaje o úrade,
b)
údaje o žiadateľovi,
c)
predmet certifikátu,
d)
kritériá, na ktorých základe sa vydáva,
e)
číslo certifikátu,
f)
dátum vydania (a dátum predchádzajúceho vydania pri obnove),
g)
dobu platnosti,
h)
pečiatku úradu a podpis oprávnenej osoby s uvedením mena a funkcie.
(14)
Proti rozhodnutiu o vydaní certifikátu sa nemožno odvolať.
(15)
Proti rozhodnutiu o nevydaní certifikátu sa možno odvolať. Rozhodne o tom predseda úradu.
(16)
Ak certifikovaná osoba stále spĺňa podmienky, úrad obnoví certifikát na ďalšie tri roky. Žiadosť treba podať najneskôr šesť mesiacov pred koncom platnosti. Postup je rovnaký ako pri prvom vydaní.
(17)
Ak žiadosť o obnovu príde neskôr ako šesť mesiacov pred koncom platnosti, úrad ju neprijme. Certifikovaná osoba môže však podať novú žiadosť o vydanie certifikátu.
(18)
Certifikovaná osoba musí počas platnosti certifikátu:
a)
dodržiavať zákon a podmienky certifikácie,
b)
oznámiť úradu zmeny do 15 dní,
c)
umožniť dozor úradu,
d)
archivovať dokumentáciu o certifikácii.
(19)
Podrobnosti o certifikačných kritériách, postupe, technickej dokumentácii a audite stanoví úrad všeobecne záväzným právnym predpisom.
Originál
(1)
Vydanie certifikátu, obnovu certifikátu alebo odňatie certifikátu vykonáva subjekt, ktorému bola udelená akreditácia podľa § 88 v súlade s týmto zákonom (ďalej len „certifikačný subjekt“), alebo úrad.
(2)
Prevádzkovateľ alebo sprostredkovateľ na účely preukázania súladu spracúvania osobných údajov a existencie primeraných záruk ochrany osobných údajov podľa tohto zákona alebo osobitného predpisu 2 ) môže požiadať úrad alebo certifikačný subjekt o vydanie certifikátu alebo obnovenie certifikátu. Certifikát sa vydá alebo obnoví najviac na obdobie troch rokov.
(3)
Úrad alebo certifikačný subjekt posudzuje súlad spracúvania osobných údajov a existenciu primeraných záruk ochrany osobných údajov prevádzkovateľa alebo sprostredkovateľa podľa odseku 2 na základe certifikačných kritérií v súlade s týmto zákonom. Vydaním certifikátu nie je dotknutá zodpovednosť prevádzkovateľa alebo zodpovednosť sprostredkovateľa za dodržiavanie tohto zákona a osobitného predpisu 2 ) ani nie sú dotknuté právomoci úradu podľa tohto zákona.
(4)
Certifikát je verejnou listinou.
(5)
Úrad zverejňuje vydané certifikáty na svojom webovom sídle.
(6)
Žiadosť o vydanie certifikátu alebo žiadosť o obnovu certifikátu úradom musí obsahovať
a)
identifikačné údaje žiadateľa,
b)
meno a priezvisko štatutárneho orgánu žiadateľa alebo osoby oprávnenej konať v mene žiadateľa,
c)
kontaktné údaje zodpovednej osoby, ak je určená,
d)
predmet certifikátu, na ktorý sa má certifikát udeliť,
e)
účel spracúvania osobných údajov,
f)
právny základ spracúvania osobných údajov,
g)
kategórie dotknutých osôb,
h)
kategórie osobných údajov,
i)
identifikáciu príjemcu alebo kategóriu príjemcu osobných údajov, ak existuje,
j)
opis spracovateľských činností vrátane informácií o existencii automatizovaného individuálneho rozhodovania vrátane profilovania,
k)
opis postupu žiadateľa pri uplatnení práv dotknutou osobou,
l)
identifikáciu tretej krajiny alebo medzinárodnej organizácie pri prenose osobných údajov.
(7)
Žiadateľ k žiadosti podľa odseku 6 priloží
a)
technickú a bezpečnostnú dokumentáciu nevyhnutnú na vydanie certifikátu,
b)
výsledok auditu ochrany osobných údajov nie starší ako šesť mesiacov,
c)
dokumenty preukazujúce splnenie certifikačných kritérií,
d)
opis primeraných záruk pri prenose osobných údajov do tretej krajiny alebo medzinárodnej organizácii,
e)
potvrdenie o zaplatení správneho poplatku,
f)
ďalšie informácie a podklady nevyhnutné na posúdenie súladu s týmto zákonom alebo osobitným predpisom 2 ) a dodržania certifikačného postupu.
(8)
Ak žiadosť o vydanie certifikátu alebo žiadosť o obnovu certifikátu nespĺňa náležitosti podľa odsekov 6 a 7 alebo ak v konaní o vydanie certifikátu alebo v konaní o obnovu certifikátu vzniknú pochybnosti o preukázaní splnenia certifikačných kritérií alebo podmienok na vydanie certifikátu, úrad vyzve žiadateľa na doplnenie podkladov v lehote, ktorá nesmie byť kratšia ako 15 dní; počas tejto doby lehota v konaní o vydanie certifikátu alebo v konaní o obnovu certifikátu neplynie.
(9)
Ak úrad počas konania o vydanie certifikátu alebo konania o obnovu certifikátu zistí nesúlad s týmto zákonom alebo osobitným predpisom, 2 ) vyzve žiadateľa na odstránenie zisteného nesúladu v určenej lehote, ktorá nesmie byť kratšia ako 30 dní; počas tejto doby lehota v konaní o vydanie certifikátu alebo v konaní o obnovu certifikátu neplynie. Na odôvodnenú žiadosť žiadateľa úrad určenú lehotu predĺži najviac o 60 dní.
(10)
Úrad konanie o vydanie certifikátu alebo konanie o obnovu certifikátu zastaví, ak žiadateľ neodstráni
a)
nedostatky žiadosti a vzniknuté pochybnosti podľa odseku 8 v určenej lehote,
b)
úradom zistené nedostatky podľa odseku 9 v určenej lehote.
(11)
Úrad rozhodne o vydaní certifikátu alebo obnove certifikátu do 90 dní odo dňa začatia konania.
(12)
Úrad po preskúmaní žiadosti o vydanie certifikátu alebo žiadosti o obnovu certifikátu podľa odsekov 6 a 7 a súvisiacej dokumentácie vydá rozhodnutie o vydaní certifikátu, ak žiadateľ spĺňa certifikačné kritériá, spĺňa podmienky certifikačného postupu, ak jeho spracovateľské činnosti sú v súlade s týmto zákonom alebo osobitným predpisom 2 ) a ak ním prijaté bezpečnostné opatrenia poskytujú dostatočné primerané záruky ochrany osobných údajov podľa tohto zákona alebo osobitného predpisu. 2 )
(13)
Na základe rozhodnutia o vydaní certifikátu alebo rozhodnutia o obnove certifikátu úrad vydá žiadateľovi certifikát na obdobie troch rokov, ktorý obsahuje
a)
identifikačné údaje úradu,
b)
identifikačné údaje žiadateľa,
c)
predmet certifikátu,
d)
označenie certifikačných kritérií, na ktorých základe sa vydáva certifikát,
e)
číslo certifikátu,
f)
dátum vydania certifikátu; ak ide o obnovu certifikátu, aj dátum skoršieho vydania certifikátu,
g)
dobu platnosti certifikátu,
h)
odtlačok pečiatky úradu a podpis osoby oprávnenej konať v mene úradu s uvedením jej mena, priezviska a funkcie.
(14)
Proti rozhodnutiu o vydaní certifikátu alebo rozhodnutiu o obnove certifikátu nie je prípustný rozklad.
(15)
Proti rozhodnutiu o nevydaní certifikátu alebo rozhodnutiu o neobnovení certifikátu je prípustný rozklad, o ktorom rozhodne predseda úradu.
(16)
Ak prevádzkovateľ alebo sprostredkovateľ, ktorému bol vydaný certifikát alebo obnovený certifikát (ďalej len „certifikovaná osoba“), naďalej spĺňa certifikačné kritériá a podmienky vydania certifikátu podľa tohto zákona, úrad na základe žiadosti certifikovanej osoby podanej najneskôr šesť mesiacov pred uplynutím platnosti certifikátu skôr vydaného alebo skôr obnoveného rozhodne o obnovení certifikátu na obdobie ďalších troch rokov. Na konanie o obnovenie certifikátu sa primerane použijú ustanovenia o vydaní certifikátu.
(17)
Ak certifikovaná osoba podá žiadosť o obnovenie certifikátu v lehote menej ako šesť mesiacov pred uplynutím platnosti certifikátu, úrad na takú žiadosť neprihliada. Tým nie je dotknuté oprávnenie tejto certifikovanej osoby na podanie žiadosti o vydanie certifikátu podľa odsekov 6 a 7.
(18)
Certifikovaná osoba je počas platnosti certifikátu povinná
a)
spĺňať požiadavky ustanovené týmto zákonom a požiadavky na vydanie certifikátu v súlade s rozhodnutím o vydaní certifikátu,
b)
najneskôr do 15 dní odo dňa vzniku zmeny písomne oznámiť úradu akékoľvek zmeny týkajúce sa rozhodnutia o vydaní certifikátu,
c)
umožniť úradu vykonanie dozoru podľa tohto zákona,
d)
archivovať dokumentáciu súvisiacu s výkonom certifikačného postupu podľa osobitného predpisu. 41 )
(19)
Certifikačné kritériá, podmienky certifikačného postupu, obsahové náležitosti technickej a bezpečnostnej dokumentácie a podmienky výkonu auditu ochrany osobných údajov vrátane podmienok odborných znalostí audítora vykonávajúceho audit ochrany osobných údajov ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.