1. Sem prejuízo das funções e competências da autoridade de controlo competente nos termos dos artigos 57.o e 58.o , os organismos de certificação que possuam um nível adequado de especialização em matéria de proteção de dados, após informarem a autoridade de controlo, a fim de lhe permitir exercer as suas competências nos termos da alínea h) do n.o 2 do artigo 58.o , se necessário, emitem e renovam a certificação.
Os Estados-Membros asseguram que esses organismos de certificação sejam acreditados por um dos seguintes organismos ou por ambos:
|
(a) |
Pela autoridade de controlo que é competente nos termos do artigo 55.° ou 56.°; |
|
(b) |
Pelo organismo nacional de acreditação, designado nos termos do Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho (20), em conformidade com a norma EN-ISO/IEC 17065/2012 e com os requisitos adicionais estabelecidos pela autoridade de controlo que é competente nos termos do artigo 55.° ou 56.°. |
2. Os organismos de certificação referidos no n.° 1 são acreditados em conformidade com o mesmo, apenas se:
|
(a) |
Tiverem demonstrado que gozam de independência e dispõem dos conhecimentos necessários em relação ao objeto da certificação, de forma satisfatória para a autoridade de controlo competente; |
|
(b) |
Se tiverem comprometido a respeitar os critérios referidos no artigo 42.°, n.° 5, e aprovados pela autoridade de controlo que é competente por força do artigo 55.° ou 56.° ou pelo Comité por força do artigo 63.°; |
|
(c) |
Tiverem estabelecido procedimentos para a emissão, revisão periódica e retirada de procedimentos de certificação, selos e marcas de proteção de dados; |
|
(d) |
Tiverem estabelecido procedimentos e estruturas para tratar reclamações relativas a violações da certificação ou à forma como a certificação tenha sido ou esteja a ser implementada pelo responsável pelo tratamento ou subcontratante, e para tornar estes procedimentos e estruturas transparentes para os titulares dos dados e o público; e |
|
(e) |
Demonstrarem, de forma satisfatória para a autoridade de controlo competente, que as suas funções e atribuições não implicam um conflito de interesses. |
3. A acreditação dos organismos de certificação a que se referem os n.ºs 1 e 2 do presente artigo é efectuada com base em critérios aprovados pela autoridade de controlo competente nos termos dos artigos 55.
No caso da acreditação nos termos da alínea b) do n.º 1 do presente artigo, esses requisitos complementam os previstos no Regulamento (CE) n.º 765/2008 e nas regras técnicas que descrevem os métodos e procedimentos dos organismos de certificação.
4. Os organismos de certificação referidos no n.º 1 são responsáveis pela avaliação correcta conducente à certificação ou à retirada da certificação, sem prejuízo da responsabilidade do responsável pelo tratamento ou do transformador pelo cumprimento do presente regulamento.
A acreditação é emitida por um período máximo de cinco anos e pode ser renovada nas mesmas condições, desde que o organismo de certificação cumpra os requisitos estabelecidos no presente artigo.
5. Os organismos de certificação a que se refere o n.° 1 fornecem às autoridades de controlo competentes os motivos que levaram à concessão ou revogação da certificação solicitada.
6. Os requisitos referidos no n.º 3 do presente artigo e os critérios referidos no n.º 5 do artigo 42.º são publicados pela autoridade de controlo de forma facilmente acessível.
As autoridades de controlo transmitem igualmente esses requisitos e critérios ao Comité.
O Comité reúne todos os mecanismos de certificação e selos de proteção de dados num registo e coloca-os à disposição do público por qualquer meio adequado.
7. Sem prejuízo do capítulo VIII, a autoridade de controlo competente ou o organismo nacional de acreditação revoga uma acreditação do organismo de certificação nos termos do n.° 1 do presente artigo, se as condições para a acreditação não estiverem ou tiverem deixado de estar reunidas, ou se as medidas tomadas pelo organismo de certificação violarem o presente regulamento.
8. A Comissão fica habilitada a adotar atos delegados nos termos do artigo 92.°, a fim de especificar os requisitos a ter em conta relativamente aos procedimentos de certificação em matéria de proteção de dados referidos no artigo 42.°, n.° 1.
9. A Comissão pode adotar actos de execução que estabeleçam normas técnicas para os mecanismos de certificação e os selos e marcas de proteção de dados, bem como mecanismos para promover e reconhecer esses mecanismos de certificação, selos e marcas.
Esses actos de execução são adoptados em conformidade com o procedimento de exame referido no n.º 2 do artigo 93.
Certifique-se de que toda a sua empresa está equipada com a formação de sensibilização necessária sobre os princípios básicos do RGPD e da segurança informática.
Once you have submitted your details, you’ll be our top priority!
