Μνημόνιο συνεργασίας Αρχής Προστασίας Δεδομένων ​και Εθνικού Συστήματος Διαπίστευσης

Συγκεκριμένα, το εν λόγω Μνημόνιο αποσκοπεί στον καθορισμό των όρων συνεργασίας, καθώς και των ρόλων, αρμοδιοτήτων και διαδικασιών μεταξύ των δύο συμβαλλομένων μερών, σε σχέση με τη διαπίστευση των φορέων που χορηγούν πιστοποιήσεις σε υπευθύνους επεξεργασίας ή/και εκτελούντες την επεξεργασία.

Η διαπίστευση των φορέων πιστοποίησης αποτελεί αναγκαία προϋπόθεση για την εύρυθμη λειτουργία των μηχανισμών πιστοποίησης καθώς παρέχει επίσημη βεβαίωση αρμοδιότητας στους φορείς πιστοποίησης και παράλληλα ενισχύει την εμπιστοσύνη προς το μηχανισμό πιστοποίησης.

Αντικείμενο του παρόντος μνημονίου και υποχρεώσεις των συμβαλλόμενων μερών

Το παρόν μνημόνιο συνεργασίας αποσκοπεί στον καθορισμό των όρων συνεργασίας καθώς και των ρόλων, αρμοδιοτήτων και διαδικασιών μεταξύ των δύο συμβαλλομένων μερών σε σχέση με τη διαπίστευση των φορέων που χορηγούν πιστοποιήσεις, βάσει των άρθρων 42 παράγραφος 5 και 43 παράγραφος 4 του Κανονισμού, σε υπευθύνους επεξεργασίας και εκτελούντες την επεξεργασίας. Η καλή συνεργασία μεταξύ της Αρχής και του Ε.ΣΥ.Δ. έχει ως στόχο την ενίσχυση και δημιουργία εμπιστοσύνης προς το μηχανισμό πιστοποίησης προστασίας δεδομένων.

Στο πλαίσιο του παρόντος μνημονίου συνεργασίας, τα συμβαλλόμενοι μέρη αναλαμβάνουν τις ακόλουθες υποχρεώσεις:

Α. Το Ε.ΣΥ.Δ.

1. Το Ε.ΣΥ.Δ., μετά την παραλαβή της αίτησης από τον υποψήφιο Φορέα Πιστοποίησης, παρέχει γραπτώς στην Αρχή (μέσω μηνύματος στην ηλεκτρονική της διεύθυνση contact@dpa.gr ή με ηλεκτρονικό τρόπο μέσω της διαδικτυακής της πύλης), κατ’ ελάχιστον, τις παρακάτω πληροφορίες για κάθε αίτημα: την συνοπτική περιγραφή του αιτήματος, την επωνυμία και τα στοιχεία επικοινωνίας του φορέα πιστοποίησης και το σχήμα πιστοποίησης για το οποίο ζητείται η διαπίστευση.
2. Σε περίπτωση που το αίτημα διαπίστευσης υποβληθεί στο Ε.ΣΥ.Δ. πριν από την οριστική έγκριση των κριτηρίων πιστοποίησης από την Αρχή ή το Συμβούλιο, το Ε.ΣΥ.Δ. δεν χορηγεί τη διαπίστευση έως ότου τα κριτήρια πιστοποίησης λάβουν οριστική έγκριση. Σε περίπτωση αποδοχής της αίτησης από το Ε.ΣΥ.Δ. και μετά την αποστολή των στοιχείων της αίτησης, η Αρχή θα εγκρίνει ή όχι τα κριτήρια πιστοποίησης.
3. Τυχόν ήδη διαπιστευμένος από το Ε.ΣΥ.Δ. φορέας πρέπει να υποβάλει εκ νέου αίτημα διαπίστευσης αν επιθυμεί να δράσει ως φορέας πιστοποίησης σε σχήμα πιστοποίησης που αφορά στη συμμόρφωση με τον Κανονισμό.
4. Το Ε.ΣΥ.Δ., σε περίπτωση που ενημερωθεί γραπτώς από την Αρχή, σε εύλογο χρονικό διάστημα από την υποβολή της αίτησης διαπίστευσης, για τυχόν υπό εξέταση σημαντικούς λόγους μη συμμόρφωσης του φορέα πιστοποίησης με τον Κανονισμό και το ν.4624/2019, δύναται να συνεχίσει τη διαδικασία διαπίστευσης, αλλά δεν την ολοκληρώνει πριν από την οριστική σχετική κρίση της Αρχής. Το Ε.ΣΥ.Δ. είναι ελεύθερο να αποφασίζει σχετικά με τη χορήγηση της διαπίστευσης λαμβάνοντας ωστόσο υπόψη την οριστική απόφαση της Αρχής και την εξουσία της να ζητά από το Ε.ΣΥ.Δ. ανάκληση διαπίστευσης, σύμφωνα με το άρθρο 37 παρ. 2 του ν.4624/2019. Η εξειδίκευση του παραπάνω σχήματος του Κανονισμού θα γίνει με οδηγία εργασίας που θα εκδώσει το Ε.ΣΥ.Δ. μετά τη σύμφωνη γνώμη όλων των ενδιαφερομένων μερών.
5. Σε περίπτωση κατά την οποία το Ε.ΣΥ.Δ. κρίνει ότι ο υποψήφιος προς διαπίστευση φορέας πιστοποίησης δεν δύναται να λάβει διαπίστευση λόγω έλλειψης βασικών απαιτήσεων του ISO 17065, ανεξαρτήτως του αποτελέσματος της εξέτασης (έγκριση ή μη) των κριτηρίων πιστοποίησης από την Αρχή, εκδίδει τη σχετική Απόφαση μη διαπίστευσης και ενημερώνει την Αρχή.
6. 
   
   • Οι φορείς πιστοποίησης υποχρεούνται να ενημερώνουν το Ε.ΣΥ.Δ. για κάθε μέτρο που τους έχει επιβληθεί από την Αρχή.
   • Το Ε.ΣΥ.Δ. ενημερώνει την Αρχή γραπτώς, το συντομότερο δυνατό, σχετικά με τους λόγους χορήγησης ή ανάκλησης της διαπίστευσης, για κάθε χορήγηση ή ανάκληση διαπίστευσης. Η ενημέρωση προς την Αρχή περιλαμβάνει κατ’ ελάχιστον πληροφορίες σχετικά με την επωνυμία και τα στοιχεία του φορέα πιστοποίησης, το χρονικό διάστημα χορήγησης της διαπίστευσης, την ημερομηνία της αρχικής διαπίστευσης, τις ημερομηνίες έναρξης και λήξης της τρέχουσας διαπίστευσης καθώς και το σχήμα πιστοποίησης, το οποίο αφορά η διαπίστευση.
7. Το Ε.ΣΥ.Δ. ενημερώνει την Αρχή γραπτώς, το συντομότερο δυνατό, για τις ενέργειες στις οποίες προέβη σχετικά με την ανάκληση της διαπίστευσης στην περίπτωση που το Ε.ΣΥ.Δ. ενημερωθεί από την Αρχή ότι δεν πληρούνται πλέον οι απαιτήσεις διαπίστευσης ή ο φορέας πιστοποίησης παραβαίνει τον Κανονισμό και τις διατάξεις του ν. 4624/2019 (άρθρο 37 παρ. 2 του ν.4624/2019).
8. Το Ε.ΣΥ.Δ., στις περιπτώσεις που ενημερώνεται από τον υποψήφιο φορέα πιστοποίησης κατά τη διαδικασία της διαπίστευσης σχετικά με δικαστικές αποφάσεις που αφορούν παραβιάσεις του Κανονισμού ή του ν. 4624/2019, οι οποίες ενδέχεται να επηρεάσουν τη διαπίστευση (ενότητα 4.1.1. της Κανονιστικής πράξης 25/2020), οφείλει να ενημερώνει την Αρχή γραπτώς, το συντομότερο δυνατό.
9. Το Ε.ΣΥ.Δ., πριν ένας διαπιστευμένος φορέας πιστοποίησης αρχίσει να χρησιμοποιεί μια εγκεκριμένη ευρωπαϊκή σφραγίδα προστασίας δεδομένων σε νέο κράτος μέλος μέσω τοπικού γραφείου του, ενημερώνει γραπτώς την Αρχή και την αρμόδια εποπτική αρχή του νέου κράτους μέλους (ενότητα 7.1 της Κανονιστικής πράξης 25/2020).
10. Το Ε.ΣΥ.Δ. τηρεί με εμπιστευτικότητα της πληροφορίες που παρέχονται από την Αρχή στο πλαίσιο της διαδικασίας διαπίστευσης.
11. Το Ε.ΣΥ.Δ. διασφαλίζει πλήρη διαφάνεια προς την Αρχή όσον αφορά τη διαδικασία διαπίστευσης σύμφωνα με τα άρθρα 43 παρ. 4 και 7, 58 παρ. 1 στοιχείο β) του Κανονισμού και το άρθρο 37 παρ. 2 του ν. 4624/2019.
12. Το προσωπικό του Ε.ΣΥ.Δ. που είναι αρμόδιο για τις αξιολογήσεις και εμπλέκεται στη διαδικασία διαπίστευσης των φορέων πιστοποίησης, πρέπει να διαθέτει αποδεδειγμένη γνώση του Κανονισμού και της προστασίας προσωπικών δεδομένων, καθώς και σχετική εμπειρία.
13. Το Ε.ΣΥ.Δ. υποχρεούται σε άμεση και ευθεία εφαρμογή της μνημονευόμενης στο Προοίμιο του παρόντος με αριθ. 25/2020 κανονιστικής πράξης της Αρχής. Η εν λόγω απόφαση δεσμεύει το Ε.ΣΥ.Δ. κατά την εκτέλεση των εκπορευόμενων από το παρόν Μνημόνιο σχετικών του υποχρεώσεων. Ενδεικτικά δε, αναφέρεται η υποχρέωση του Ε.ΣΥ.Δ. να διασφαλίζει αφενός τον έλεγχο της εφαρμογής των υπαγορευόμενων από την ανωτέρω απόφαση της Αρχής διαδικαστικών υποχρεώσεων, αφετέρου τη συμβατική δέσμευση των φορέων πιστοποίησης για την τήρηση όλου συλλήβδην του σχετικού κανονιστικού πλαισίου προστασίας δεδομένων προσωπικού χαρακτήρα.

Β. Η Αρχή

1. Η Αρχή διαβιβάζει στο Ε.ΣΥ.Δ. το συντομότερο δυνατό, κάθε απόφαση έγκρισης κριτηρίων πιστοποίησης των σχημάτων πιστοποίησης που έχουν υποβληθεί στην Αρχή και έχουν αρχικά διαβιβασθεί ως υποψήφιο σχήμα πιστοποίησης προς διαπίστευση στο Ε.ΣΥ.Δ.
2. Η Αρχή, εφόσον κρίνει σκόπιμο, ενημερώνει γραπτώς το Ε.ΣΥ.Δ, εντός ευλόγου χρονικού διαστήματος από την υποβολή της αίτησης διαπίστευσης, για τυχόν υπό εξέταση σημαντικούς λόγους μη συμμόρφωσης του αιτούντος φορέα πιστοποίησης με τον Κανονισμό ή το ν.4624/2019. Η Αρχή διαβιβάζει στο Ε.ΣΥ.Δ. την οριστική της απόφαση επί τους ζητήματος, επίσης, εντός ευλόγου χρονικού διαστήματος.
3. Η Αρχή ενημερώνει γραπτώς το Ε.ΣΥ.Δ. για τους λόγους για τους οποίους δεν πληρούνται πλέον οι απαιτήσεις διαπίστευσης ή ο φορέας πιστοποίησης παραβαίνει τον Κανονισμό ή και διατάξεις του ν. 4624/2019 (άρθρο 37 παρ. 2 του ν.4624/2019).
4. Το Αρχή τηρεί με εμπιστευτικότητα τις πληροφορίες που παρέχονται από το Ε.ΣΥ.Δ. στο πλαίσιο της διαδικασίας διαπίστευσης.

Γ. Κοινές δράσεις

1. Τα συμβαλλόμενα μέρη συνεργάζονται και ανταλλάσσουν γνώσεις, πληροφορίες και εμπειρογνωσία με στόχο της επίτευξη της αποτελεσματικής και έγκαιρης ολοκλήρωσης της διαδικασίας διαπίστευσης των φορέων πιστοποίησης για συγκεκριμένο, κάθε φορά, σχήμα πιστοποίησης.
2. Τα συμβαλλόμενα μέρη σχεδιάζουν και διοργανώνουν από κοινού ενημερωτικές και εκπαιδευτικές συναντήσεις, σεμινάρια, ημερίδες και workshops για την μεταφορά και αξιοποίηση της γνώσης και εμπειρίας στον τομέα εξειδίκευσης του κάθε φορέα στο πλαίσιο της διαπίστευσης.
3. Εφόσον κρίνεται σκόπιμο, το υπό διαπίστευση σχήμα πιστοποίησης και τα κριτήρια πιστοποίησης συνεξετάζονται από αρμόδιο προσωπικό και των δύο συμβαλλόμενων μερών.

‘Έναρξη ισχύος – διάρκεια

1. Το παρόν μνημόνιο συνεργασίας τίθεται σε ισχύ από την ημερομηνία της υπογραφής του και έχει διάρκεια πέντε (5) έτη οπότε και επανεξετάζεται και ενδεχομένως αναθεωρείται.
2. Κάθε συμβαλλόμενο μέρος δύναται να καταγγείλει οποτεδήποτε το παρόν γραπτώς με τήρηση προθεσμίας δεκαπέντε (15) ημερολογιακών ημερών αζημίως για αμφότερα τα μέρη υπό την επιφύλαξη των ευθείας εφαρμογής κανονιστικώς οριζόμενων υποχρεώσεων του αντισυμβαλλόμενου της Αρχής φορέα διαπίστευσης ως τέτοιου.

Τροποποιήσεις

Το παρόν μνημόνιο δύναται να τροποποιηθεί οποτεδήποτε γραπτώς κατόπιν της κοινής μεταξύ των συμβαλλόμενων μερών συμφωνίας.