§ 88 – Certifikačný subjekt
Trvalý odkaz
Jednoducho
Originál
Jednoducho
(1)
Certifikát môže vydávať, obnovovať alebo odoberať len certifikačný subjekt, ktorý má akreditáciu od úradu. Akreditáciu dostane len ten, kto spĺňa podmienky zákona.
(2)
Certifikačným subjektom môže byť firma alebo živnostník. Musí mať odborné znalosti o ochrane údajov, technické a organizačné podmienky na certifikáciu a akreditáciu od úradu.
(3)
Certifikačný subjekt kontroluje, či prevádzkovateľ alebo sprostredkovateľ spracúva údaje v súlade so zákonom a má dostatočné záruky ochrany. Podľa toho certifikát udelí, obnoví alebo odberie.
(4)
Žiadosť o akreditáciu musí obsahovať:
a)
údaje o žiadateľovi,
b)
meno štatutára alebo splnomocnenca,
c)
aké certifikačné kritériá chce používať.
(5)
K žiadosti treba pripojiť:
a)
technickú a bezpečnostnú dokumentáciu potrebnú na certifikáciu,
b)
ako riešiť konflikt záujmov s prevádzkovateľom alebo sprostredkovateľom, ktorý by mohol ovplyvniť objektivitu alebo transparentnosť (najmä ak má žiadateľ finančný alebo osobný záujem, ktorý ohrozuje jeho nezávislosť),
c)
aké kvalifikačné požiadavky musia spĺňať zamestnanci, ktorí budú robiť certifikáciu,
d)
pravidlá a postupy certifikácie – ako sa vydáva, preveruje, obnovuje a odníma certifikát,
e)
vyhlásenie, že sa budú dodržiavať certifikačné kritériá,
f)
ako sa budú riešiť sťažnosti na porušenie certifikátu alebo na to, ako prevádzkovateľ používa certifikát,
g)
dôkaz, že pravidlá pre sťažnosti sú verejne dostupné,
h)
výsledok auditu certifikačného konania,
i)
potvrdenie o zaplatení poplatku,
j)
ďalšie potrebné informácie na posúdenie súladu so zákonom.
(6)
Ak žiadosť nie je úplná alebo úrad má pochybnosti o splnení podmienok, vyzve žiadateľa na doplnenie. Na to má najmenej 15 dní. V tejto dobe plynutie lehoty na rozhodnutie stojí.
(7)
Ak úrad zistí nesúlad so zákonom, dá žiadateľovi najmenej 30 dní na nápravu. Aj vtedy lehota stojí. Na žiadosť môže úrad predĺžiť lehotu najviac o 60 dní.
(8)
Ak žiadateľ nedoplní chýbajúce údaje (bod 6) alebo nenapraví nesúlad so zákonom (bod 7) včas, úrad konanie zastaví.
(9)
Úrad rozhodne do 90 dní od začatia konania.
(10)
Ak žiadateľ má dostatočné odborné znalosti o ochrane údajov a spĺňa podmienky, úrad mu udelí akreditáciu a schváli certifikačné kritériá.
(11)
Úrad vydá osvedčenie o akreditácii na 5 rokov. Obsahuje:
a)
údaje o úrade,
b)
údaje o žiadateľovi,
c)
predmet akreditácie,
d)
číslo osvedčenia,
e)
dátum vydania (pri obnove aj predchádzajúci dátum),
f)
dobu platnosti,
g)
pečiatku a podpis oprávnenej osoby.
(12)
Osvedčenie je verejná listina.
(13)
Proti rozhodnutiu o udelení akreditácie sa nemožno odvolať.
(14)
Proti zamietnutiu akreditácie sa možno odvolať. Rozhodne o tom predseda úradu.
(15)
Úrad zverejní zoznam certifikačných subjektov a kritériá na svojej webovej stránke.
(16)
Ak subjekt stále spĺňa podmienky a požiada o obnovu najneskôr 6 mesiacov pred koncom platnosti, úrad akreditáciu obnoví na ďalších 5 rokov. Postup je rovnaký ako pri prvej akreditácii.
(17)
Ak požiada o obnovu neskôr ako 6 mesiacov pred koncom platnosti, úrad žiadosť odmietne. Môže však podať úplne novú žiadosť.
(18)
Ak subjekt certifikuje v rozpore so zákonom, dobrými mravmi alebo osvedčením, alebo už nespĺňa podmienky, úrad akreditáciu na 3 mesiace pozastaví a nariadi nápravu. Ak nápravu neurobí, akreditáciu zruší. Zrušený subjekt môže požiadať znova.
(19)
Podrobné kritériá na akreditáciu, podmienky certifikácie, obsah dokumentácie a podmienky auditu určí úrad vo všeobecne záväznom právnom predpise.
Originál
(1)
Vydanie certifikátu, obnovu certifikátu alebo odňatie certifikátu vykonáva certifikačný subjekt, ktorý spĺňa kritériá a podmienky na udelenie akreditácie podľa tohto zákona alebo osobitného predpisu 43 ) a bola mu udelená akreditácia úradom v súlade s týmto zákonom.
(2)
Certifikačným subjektom môže byť právnická osoba alebo fyzická osoba – podnikateľ, ktorý má primeranú úroveň odborných znalostí vo vzťahu k ochrane osobných údajov a má vytvorené technické a organizačné podmienky na certifikačný postup a ktorému bola udelená akreditácia.
(3)
Certifikačný subjekt je zodpovedný za posúdenie súladu spracúvania osobných údajov a existencie primeraných záruk ochrany osobných údajov podľa tohto zákona alebo osobitného predpisu 2 ) prevádzkovateľa alebo sprostredkovateľa, na ktorého základe udelí certifikát, obnoví certifikát alebo odníme certifikát.
(4)
Žiadosť o udelenie akreditácie musí obsahovať
a)
identifikačné údaje žiadateľa,
b)
meno a priezvisko štatutárneho orgánu žiadateľa alebo osoby oprávnenej konať v mene žiadateľa,
c)
uvedenie predmetu certifikačných kritérií.
(5)
Žiadateľ k žiadosti podľa odseku 4 musí priložiť
a)
technickú a bezpečnostnú dokumentáciu nevyhnutnú pre certifikačný postup,
b)
postup a spôsob vysporiadania sa s konfliktom záujmu medzi žiadateľom a prevádzkovateľom alebo sprostredkovateľom, ktorý požiadal o vydanie certifikátu alebo obnovu certifikátu, ktorý by mohol narušiť objektivitu vydania certifikátu alebo obnovy certifikátu alebo obmedziť objektivitu vydania certifikátu alebo obnovy certifikátu alebo porušiť princíp transparentnosti pre dotknutú osobu a verejnosť; konflikt záujmov zahŕňa najmä situáciu, ak žiadateľ, ktorý môže ovplyvniť výsledok alebo priebeh vydania alebo obnovy certifikátu, má priamy finančný záujem alebo nepriamy finančný záujem, ekonomický záujem alebo iný osobný záujem, ktorý možno považovať za ohrozenie jeho nezávislosti v súvislosti s vydaním alebo obnovením certifikátu,
c)
dokumenty určujúce kvalifikačné požiadavky vo vzťahu k certifikačnému postupu osôb žiadateľa, ktoré budú realizovať certifikačný postup,
d)
pravidlá a postupy výkonu certifikačného postupu vrátane postupu na vydanie certifikátu, pravidelné preskúmanie certifikátu, obnovu certifikátu a odňatie certifikátu,
e)
vyhlásenie o dodržiavaní certifikačných kritérií pre certifikačný postup,
f)
dokumenty preukazujúce postupy a pravidlá na vybavovanie sťažností týkajúcich sa porušení vydaného certifikátu alebo spôsobu, akým sú oprávnenia z certifikátu dotknutým prevádzkovateľom alebo sprostredkovateľom vykonávané,
g)
dokumenty preukazujúce, že pravidlá a postupy vybavovania sťažností v súvislosti s vydaným certifikátom sú transparentné pre verejnosť,
h)
výsledok auditu výkonu certifikačného postupu,
i)
potvrdenie o zaplatení správneho poplatku,
j)
ďalšie informácie a podklady, ktoré sú nevyhnutné na posúdenie súladu s týmto zákonom alebo osobitným predpisom 2 ) na účely posúdenia žiadosti o udelenie akreditácie.
(6)
Ak žiadosť o udelenie akreditácie nespĺňa náležitosti podľa odsekov 4 a 5 alebo ak v konaní podľa odseku 9 vzniknú pochybnosti o preukázaní splnenia kritérií alebo podmienok na udelenie akreditácie, úrad vyzve žiadateľa na odstránenie nedostatkov žiadosti v lehote, ktorá nesmie byť kratšia ako 15 dní; počas tejto doby lehota podľa odseku 9 neplynie.
(7)
Ak úrad počas konania podľa odseku 9 zistí nesúlad s týmto zákonom alebo osobitným predpisom, 2 ) vyzve žiadateľa na odstránenie zisteného nesúladu v určenej lehote, ktorá nesmie byť kratšia ako 30 dní; počas tejto doby lehota v konaní o udelenie akreditácie neplynie. Na odôvodnenú žiadosť žiadateľa úrad určenú lehotu predĺži najviac o 60 dní.
(8)
Úrad konanie o udelení akreditácie zastaví, ak žiadateľ neodstráni
a)
nedostatky žiadosti a vzniknuté pochybnosti podľa odseku 6 v určenej lehote,
b)
úradom zistené nedostatky podľa odseku 7 v určenej lehote.
(9)
Úrad rozhodne o udelení akreditácie do 90 dní odo dňa začatia konania.
(10)
Úrad po preskúmaní žiadosti o udelenie akreditácie podľa odsekov 4 a 5 a súvisiacej dokumentácie vydá rozhodnutie o udelení akreditácie a schváli certifikačné kritériá, ak žiadateľ spĺňa požiadavky na primeranú úroveň odborných znalostí vo vzťahu k ochrane údajov a spĺňa kritériá a podmienky na udelenie akreditácie podľa tohto zákona.
(11)
Na základe rozhodnutia o udelení akreditácie úrad vydá certifikačnému subjektu osvedčenie o udelení akreditácie na obdobie piatich rokov, ktoré obsahuje
a)
identifikačné údaje úradu,
b)
identifikačné údaje žiadateľa,
c)
predmet akreditácie,
d)
číslo osvedčenia o udelení akreditácie,
e)
dátum vydania osvedčenia o udelení akreditácie; ak ide o obnovu udelenia akreditácie, aj dátum skoršieho vydania udelenia akreditácie,
f)
dobu platnosti osvedčenia o udelení akreditácie,
g)
odtlačok pečiatky úradu a podpis osoby oprávnenej konať v mene úradu s uvedením jej mena, priezviska a funkcie.
(12)
Osvedčenie o udelení akreditácie je verejnou listinou.
(13)
Proti rozhodnutiu o udelení akreditácie nie je prípustný rozklad.
(14)
Proti rozhodnutiu o neudelení akreditácie je prípustný rozklad, o ktorom rozhodne predseda úradu.
(15)
Úrad zverejní zoznam certifikačných subjektov a schválené certifikačné kritériá na svojom webovom sídle.
(16)
Ak certifikačný subjekt spĺňa požiadavky na primeranú úroveň odborných znalostí vo vzťahu k ochrane osobných údajov, spĺňa kritériá a podmienky na udelenie akreditácie podľa tohto zákona, úrad na základe žiadosti certifikačného subjektu o obnovenie akreditácie podanej najneskôr šesť mesiacov pred uplynutím platnosti osvedčenia o udelení akreditácie rozhodne o obnovení akreditácie na obdobie ďalších piatich rokov. Na konanie o obnovenie akreditácie sa primerane použijú ustanovenia konania o udelenie akreditácie.
(17)
Ak certifikačný subjekt podá žiadosť o obnovenie akreditácie v lehote menej ako šesť mesiacov pred uplynutím platnosti osvedčenia o udelení akreditácie, úrad na takú žiadosť neprihliada. Tým nie je dotknuté oprávnenie tohto subjektu na podanie žiadosti podľa odsekov 4 a 5.
(18)
Ak sa preukáže, že certifikačný subjekt vykonáva certifikačný postup vrátane udeľovania certifikátu a odnímania certifikátu v rozpore s týmto zákonom alebo osobitným predpisom, 2 ) dobrými mravmi, s vydaným osvedčením o udelení akreditácie alebo už nespĺňa požiadavky na udelenie akreditácie, úrad pozastaví platnosť akreditácie na tri mesiace a zároveň uloží certifikačnému subjektu vykonanie opatrení na nápravu. Ak certifikačný subjekt v určenej lehote uložené opatrenia neprijme, úrad jeho akreditáciu rozhodnutím zruší. Subjekt, ktorému bola akreditácia zrušená, môže znova požiadať o udelenie akreditácie.
(19)
Kritériá na udelenie akreditácie, podmienky certifikačného postupu, certifikačné kritériá, obsahové náležitosti technickej a bezpečnostnej dokumentácie a podmienky výkonu auditu certifikačného postupu vrátane podmienok odborných znalostí audítora ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.