Kryteria certyfikacji (art. 42 ust. 5 RODO)

Podmiot certyfikujący lub właściciel systemu certyfikacji opracowują kryteria certyfikacji. Dużą pomoc przy ustalaniu treści kryteriów certyfikacji stanowią dokumenty przyjęte przez EROD:

• Wytyczne 1/2018 w sprawie certyfikacji i określenia kryteriów certyfikacji zgodnie z art. 42 i 43 rozporządzenia,
• Guidance – Addendum (Annex to Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation)
• oraz Wytyczne 4/2018 w sprawie akredytacji podmiotów certyfikujących na podstawie art. 43 ogólnego rozporządzenia o ochronie danych (2016/679)

Kryteria certyfikacji muszą zostać zatwierdzone przez:

• właściwy organ nadzorczy, po uzyskaniu opinii EROD – w przypadku krajowych kryteriów certyfikacji,
• Europejską Radę Ochrony Danych – w przypadku wspólnej certyfikacji, europejskiego znaku jakości ochrony danych.

W obydwu przypadkach do zatwierdzenia kryteriów certyfikacji zastosowanie ma Procedura przyjmowania opinii EROD w sprawie krajowych kryteriów certyfikacji i europejskiego znaku jakości ochrony danych.

Zatwierdzenie kryteriów certyfikacji co do zasady powinno nastąpić przed procesem akredytacji podmiotu certyfikującego, gdyż akredytacja odnosi się do konkretnego systemu certyfikacji, którego elementem są zatwierdzone kryteria certyfikacji.

Prezes Urzędu będzie publikował zatwierdzone przez siebie kryteria certyfikacji oraz kryteria certyfikacji zatwierdzone przez EROD, jeśli za jego pośrednictwem był składany wniosek.