Υποβολή αιτήματος έγκρισης κριτηρίων πιστοποίησης στην Αρχή

Για την υποβολή αιτήματος στην Αρχή σχετικά με την έγκριση κριτηρίων πιστοποίησης, σύμφωνα με το άρθρο 42 παρ. 5 και το άρθρο 43 παρ. 2(β) του ΓΚΠΔ, ο ιδιοκτήτης [1] του σχήματος πιστοποίησης πρέπει να συμπληρώσει ειδική φόρμα και να την υποβάλει ηλεκτρονικά, μέσω της διαδικτυακής πύλης της.

Επισημαίνεται ότι, στην περίπτωση που ο ιδιοκτήτης του σχήματος πιστοποίησης είναι και φορέας πιστοποίησης που προτίθεται επίσης να υποβάλει αίτηση διαπίστευσης προς το Εθνικό Σύστημα Διαπίστευσης (Ε.ΣΥ.Δ.) για τη λειτουργία του σχήματος πιστοποίησης, η διαπίστευση δεν χορηγείται έως ότου τα κριτήρια πιστοποίησης λάβουν την τελική τους έγκριση από την Αρχή.

Η ηλεκτρονική υποβολή αιτήματος για έγκριση κριτηρίων πιστοποίησης συνίσταται, συνοπτικά, στα εξής βήματα:

  1. Σύνδεση του αιτούντος ιδιοκτήτη του σχήματος πιστοποίησης στη διαδικτυακή πύλη της Αρχής ως «φορέα», με χρήση των διαπιστευτηρίων που διαθέτει για το σύστημα taxisnet (στον ίδιο σύνδεσμο είναι διαθέσιμες οδηγίες για τη σύνδεση και τη χρήση των ηλεκτρονικών υπηρεσιών της Αρχής).
  2. Συμπλήρωση των απαιτούμενων πεδίων της ηλεκτρονικής φόρμας «Αίτημα (για λοιπές χρήσεις)» (οδηγίες συμπλήρωσης).
  3. Συμπλήρωση της κατηγορίας αιτήματος της ως άνω ηλεκτρονικής φόρμας με την επιλογή «3. Έγκριση κριτηρίων πιστοποίησης (άρθρο 42 παρ. 5)».
  4. Επισύναψη στην ως άνω ηλεκτρονική φόρμα:
    • Ενός ή περισσότερων αρχείων (κατά προτίμηση σε μορφή word) τα οποία απαρτίζουν τα κριτήρια πιστοποίησης προς έγκριση.
      Σε περίπτωση που υποβάλλεται αίτημα έγκρισης κριτηρίων αναφορικά με Ευρωπαϊκή Σφραγίδα Προστασίας Δεδομένων από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ), μέσω της Αρχής, ως αρμόδιας εποπτικής αρχής, τότε τα αρχεία που απαρτίζουν τα κριτήρια της κοινής πιστοποίησης επισυνάπτονται στην ηλεκτρονική φόρμα και στην αγγλική γλώσσα.
      Στην περίπτωση αυτή, πρέπει να αναφερθεί σαφώς η πρόθεση του ιδιοκτήτη του σχήματος πιστοποίησης, τα κριτήρια πιστοποίησης να αποτελέσουν τη βάση σε έναν μηχανισμό πιστοποίησης που απευθύνεται σε υπευθύνους επεξεργασίας και εκτελούντες επεξεργασία σε όλα τα κράτη μέλη.
    • Ενός ή περισσότερων αρχείων (κατά προτίμηση σε μορφή word), στα οποία παρατίθεται σαφής περιγραφή και εξήγηση ότι λήφθηκε υπόψη καθεμία εκ των ερωτήσεων του παρακάτω αναφερόμενου καταλόγου ερωτήσεων, ο οποίος προβλέπεται στις κατευθυντήριες γραμμές 1/2018 του ΕΣΠΔ.
  5. Υποβολή της εν λόγω ηλεκτρονικής φόρμας με όλα τα απαιτούμενα επισυναπτόμενα έγγραφα. Επισημαίνεται ότι η Αρχή μπορεί να απορρίψει την εξέταση του αιτήματος, σε περίπτωση που δεν είναι πλήρες.

 

Κατ’ εξαίρεση υποβολή αιτήματος έγκρισης κριτηρίων πιστοποίησης στην Αρχή με email

Σε περίπτωση που, για οποιονδήποτε τεκμηριωμένο λόγο, ο ιδιοκτήτης του σχήματος πιστοποίησης δεν μπορεί να συνδεθεί στη διαδικτυακή πύλη της Αρχής, υφίσταται η δυνατότητα υποβολής του αιτήματος έγκρισης κριτηρίων πιστοποίησης μέσω ηλεκτρονικού ταχυδρομείου. Επισημαίνεται, όμως, ότι ο τρόπος αυτός μπορεί να χρησιμοποιηθεί κατ’ εξαίρεση, ως επικουρική λύση υποβολής του σχετικού αιτήματος στην Αρχή.

Στην περίπτωση αυτή, ακολουθούνται, συνοπτικά, τα παρακάτω βήματα:

  1. Συμπλήρωση όλων των απαιτούμενων πεδίων του παρακάτω εντύπου αιτήματος υπευθύνου/εκτελούντος/φορέα.

Έντυπο (docx / pdf) αιτήματος υπευθύνου/εκτελούντος/φορέα.

 

  1. Συμπλήρωση της κατηγορίας αιτήματος του ως άνω εντύπου με την επιλογή «3. Έγκριση κριτηρίων πιστοποίησης (άρθρο 42 παρ. 5)».
  2. Αποστολή μηνύματος προς τη διεύθυνση ηλεκτρονικού ταχυδρομείου contact@dpa.gr με θέμα «Υποβολή αιτήματος έγκρισης κριτηρίων πιστοποίησης στην Αρχή», με επισύναψη σε αυτό των παρακάτω:
    • Του συμπληρωμένου ως άνω εντύπου.
    • Ενός ή περισσότερων αρχείων (κατά προτίμηση σε μορφή word) τα οποία απαρτίζουν τα κριτήρια πιστοποίησης προς έγκριση.
      Σε περίπτωση που υποβάλλεται αίτημα έγκρισης κριτηρίων αναφορικά με Ευρωπαϊκή Σφραγίδα Προστασίας Δεδομένων από το ΕΣΠΔ, μέσω της Αρχής, ως αρμόδιας εποπτικής αρχής, τότε τα αρχεία που απαρτίζουν τα κριτήρια της κοινής πιστοποίησης επισυνάπτονται στην ηλεκτρονική φόρμα και στην αγγλική γλώσσα.
      Στην περίπτωση αυτή, πρέπει να αναφερθεί σαφώς η πρόθεση του ιδιοκτήτη του σχήματος πιστοποίησης, τα κριτήρια πιστοποίησης να αποτελέσουν τη βάση σε έναν μηχανισμό πιστοποίησης που απευθύνεται σε υπευθύνους επεξεργασίας και εκτελούντες επεξεργασία σε όλα τα κράτη μέλη.
    • Ενός ή περισσοτέρων αρχείων (κατά προτίμηση σε μορφή word), στα οποία παρατίθεται σαφής περιγραφή και εξήγηση ότι λήφθηκε υπόψη καθεμία εκ των ερωτήσεων του παρακάτω αναφερόμενου καταλόγου ερωτήσεων, ο οποίος προβλέπεται στις κατευθυντήριες γραμμές 1/2018 του ΕΣΠΔ.
    • Της περιγραφής των λόγων που οδήγησαν στην υποβολή του αιτήματος έγκρισης των κριτηρίων πιστοποίησης με τον τρόπο αυτό και όχι μέσω της διαδικτυακής πύλης της Αρχής.

 

Κατάλογος ερωτήσεων που πρέπει να λαμβάνονται υπόψη κατά την κατάρτιση κριτηρίων πιστοποίησης (βάσει των κατευθυντήριων γραμμών 1/2018 του ΕΣΠΔ)

Οι παρακάτω ερωτήσεις πρέπει να λαμβάνονται υπόψη από τους ιδιοκτήτες των σχημάτων πιστοποίησης και τους φορείς πιστοποίησης που επιθυμούν να καταρτίσουν και να υποβάλουν κριτήρια προς έγκριση. Ο κατάλογος δεν είναι εξαντλητικός, αλλά παρουσιάζει τα βασικά θέματα που πρόκειται να εξεταστούν. Ενδέχεται να είναι αναγκαία η αιτιολόγηση των λόγων για τους οποίους τα κριτήρια πιστοποίησης δεν καλύπτουν  συγκεκριμένες  πτυχές των εν λόγω ερωτήσεων.

Στον φάκελο της αίτησης έγκρισης κριτηρίων πιστοποίησης  τον οποίο ο ενδιαφερόμενος ιδιοκτήτης σχήματος πιστοποίησης υποβάλει στην Αρχή  πρέπει να περιλαμβάνεται και αναλυτικός πίνακας σχετικά για κάθε μία από τις ακόλουθες ερωτήσεις και τα ακριβή σημεία των εγγράφων του φακέλου στα οποία δίνονται οι σχετικές απαντήσεις, ενώ  θα πρέπει να αιτιολογείται, όπως προαναφέρθηκε, η πλήρης ή μερική έλλειψη απάντησης. 

Πεδίο εφαρμογής του μηχανισμού πιστοποίησης και στόχος της αξιολόγησης

 

  1. Περιγράφεται με σαφήνεια το πεδίο εφαρμογής του μηχανισμού πιστοποίησης (για τον οποίο θα χρησιμοποιούνται τα κριτήρια προστασίας των δεδομένων);
  2. Είναι το πεδίο εφαρμογής του μηχανισμού πιστοποίησης χρήσιμο, και όχι παραπλανητικό, για το κοινό στο οποίο απευθύνεται;
  3. Αντικατοπτρίζονται στο πεδίο εφαρμογής του μηχανισμού πιστοποίησης όλες οι σχετικές πτυχές των πράξεων επεξεργασίας;
  4. Επιτρέπει το πεδίο εφαρμογής του μηχανισμού πιστοποίησης την ουσιαστική πιστοποίηση της προστασίας των δεδομένων, λαμβανομένων υπόψη της φύσης, του περιεχομένου, του κινδύνου των σχετικών πράξεων επεξεργασίας;
  5. Καλύπτει το πεδίο εφαρμογής του μηχανισμού πιστοποίησης την επεξεργασία δεδομένων προσωπικού χαρακτήρα στη σχετική χώρα εφαρμογής ή καλύπτει τη διασυνοριακή επεξεργασία και/ή διαβιβάσεις δεδομένων;
  6. Περιγράφεται επαρκώς στα κριτήρια πιστοποίησης ο τρόπος με τον οποίο θα πρέπει να καθορίζεται ο στόχος της αξιολόγησης;
    • Απαιτούν τα κριτήρια να  περιλαμβάνονται  στον στόχο της αξιολόγησης ταυτοποίηση όλων των σχετικών πράξεων επεξεργασίας, απεικόνιση των ροών δεδομένων και προσδιορισμός του τομέα εφαρμογής του στόχου της αξιολόγησης;
    • Απαιτούν τα κριτήρια από τον αιτούντα να καθιστά σαφές πού αρχίζει και πού τελειώνει η επεξεργασία που υπόκειται σε αξιολόγηση; Απαιτούν τα κριτήρια να  περιλαμβάνονται  στον  στόχο  της  αξιολόγησης  διεπαφές  όπου  οι αλληλεξαρτώμενες πράξεις επεξεργασίας δεν περιλαμβάνονται ως μέρος του στόχου της αξιολόγησης; Αιτιολογείται η απαίτηση αυτή ικανοποιητικά;
  7. Εγγυώνται τα κριτήρια ότι οι (επιμέρους) στόχοι της αξιολόγησης είναι κατανοητοί στο κοινό στο οποίο απευθύνονται, συμπεριλαμβανομένων των υποκειμένων των δεδομένων, κατά περίπτωση;

 

Γενικές απαιτήσεις

 

  1. Προσδιορίζονται, επεξηγούνται και περιγράφονται όλοι οι σχετικοί όροι που χρησιμοποιούνται στον κατάλογο κριτηρίων (δηλαδή το σύνολο των κριτηρίων πιστοποίησης);
  2. Προσδιορίζονται όλες οι κανονιστικές παραπομπές;
  3. Περιλαμβάνουν τα κριτήρια τον ορισμό των αρμοδιοτήτων, των διαδικασιών και της επεξεργασίας για την προστασία των δεδομένων που καλύπτονται από το πεδίο εφαρμογής του μηχανισμού πιστοποίησης;

 

Πράξη επεξεργασίας, άρθρο 42 παράγραφος 1 ΓΚΠΔ

 

Όσον αφορά το πεδίο εφαρμογής του μηχανισμού πιστοποίησης (γενικό ή ειδικό), καλύπτουν τα κριτήρια όλα τα σχετικά στοιχεία των πράξεων επεξεργασίας (δεδομένα, συστήματα και διαδικασίες);

  1. Απαιτούν τα κριτήρια προσδιορισμό των έγκυρων νομικών βάσεων της επεξεργασίας σε σχέση με τον στόχο της αξιολόγησης;
  2. Όσον αφορά τον στόχο της αξιολόγησης, αναγνωρίζουν τα κριτήρια τα σχετικά στάδια της επεξεργασίας και τον πλήρη κύκλο ζωής των δεδομένων, συμπεριλαμβανομένης της διαγραφής ή/καιτης ανωνυμοποίησης;
  3. Όσον αφορά τον στόχο της αξιολόγησης, απαιτούν τα κριτήρια τη φορητότητα των δεδομένων;
  4. Όσον αφορά τον στόχο της αξιολόγησης, επιτρέπουν τα κριτήρια τον εντοπισμό και την αποτύπωση ειδικών τύπων πράξεων επεξεργασίας, π.χ. της αυτοματοποιημένης λήψης αποφάσεων ήτης κατάρτισης προφίλ;
  5. Όσον αφορά τον στόχο της αξιολόγησης, επιτρέπουν τα κριτήρια τον προσδιορισμό ειδικών κατηγοριών δεδομένων;
  6. Επιτρέπουν, και απαιτούν, τα κριτήρια αξιολόγηση του κινδύνου των επιμέρους πράξεων επεξεργασίας και των αναγκών προστασίας των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων;
  7. Επιτρέπουν, και απαιτούν, τα κριτήρια να λαμβάνονται επαρκώς υπόψη οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων;

 

Νομιμότητα της επεξεργασίας

 

  1. Απαιτούν τα κριτήρια έλεγχο της νομιμότητας της επεξεργασίας για επιμέρους πράξεις επεξεργασίας όσον αφορά τον σκοπό και την αναγκαιότητα της επεξεργασίας;
  2. Απαιτούν τα κριτήρια τον έλεγχο όλων των απαιτήσεων μιας νομικής βάσης για επιμέρους πράξεις επεξεργασίας;

 

Αρχές, άρθρο 5 ΓΚΠΔ

 

  1. Καλύπτουν τα κριτήρια επαρκώς όλες τις αρχές προστασίας των δεδομένων σύμφωνα με το άρθρο 5;
  2. Απαιτούν τα κριτήρια να αποδεικνύεται η ελαχιστοποίηση των δεδομένων για τον επιμέρους στόχο της αξιολόγησης;

 

Γενικές υποχρεώσεις των υπευθύνων επεξεργασίας και των εκτελούντων επεξεργασία

 

  1. Απαιτούν τα κριτήρια αποδεικτικά στοιχεία για τις συμβατικές συμφωνίες μεταξύ των εκτελούντων την επεξεργασία και των υπευθύνων επεξεργασίας;
  2. Υπόκεινται σε αξιολόγηση οι συμφωνίες μεταξύ υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία;
  3. Αντικατοπτρίζουν τα κριτήρια τις υποχρεώσεις του υπευθύνου επεξεργασίας σύμφωνα με το κεφάλαιο IV;
  4. Απαιτούν τα κριτήρια αποδεικτικά στοιχεία για την επανεξέταση και την επικαιροποίηση των τεχνικών και οργανωτικών μέτρων που εφαρμόζει ο υπεύθυνος επεξεργασίας σύμφωνα με το άρθρο 24 παράγραφος 1;
  5. Επαληθεύουν τα κριτήρια ότι ο οργανισμός έχει εκτιμήσει κατά πόσον θα πρέπει να διοριστεί υπεύθυνος προστασίας δεδομένων (ΥΠΔ), όπως απαιτείται από το άρθρο 37;
  6. Αν υπάρχει ΥΠΔ, πληρούνται οι απαιτήσεις των άρθρων 37 έως 39;
  7. Επαληθεύουν τα κριτήρια ότι απαιτούνται αρχεία των δραστηριοτήτων επεξεργασίας σύμφωνα με το άρθρο 30 παράγραφος 5 και ότι πληρούνται δεόντως οι απαιτήσεις του άρθρου 30;

 

Δικαιώματα των υποκειμένων των δεδομένων

 

  1. Εξετάζουν τα κριτήρια επαρκώς το δικαίωμα ενημέρωσης του υποκειμένου των δεδομένων και απαιτούν την εφαρμογή αντίστοιχων μέτρων;
  2. Απαιτούν τα κριτήρια να διαθέτουν τα υποκείμενα των δεδομένων επαρκή ή ακόμη και μεγαλύτερη πρόσβαση και έλεγχο των δεδομένων τους, συμπεριλαμβανομένης της φορητότητας των δεδομένων;
  3. Απαιτούν τα κριτήρια τη λήψη μέτρων που να προβλέπουν τη δυνατότητα παρέμβασης στη διαδικασία επεξεργασίας προκειμένου να διασφαλίζονται τα δικαιώματα των υποκειμένων των δεδομένων και να επιτρέπονται διορθώσεις, διαγραφή ή περιορισμοί;

 

Κίνδυνοι για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων

 

  1. Επιτρέπουν, και απαιτούν, τα κριτήρια αξιολόγηση του κινδύνου για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων;
  2. Προβλέπουν, ή απαιτούν, τα κριτήρια αναγνωρισμένη μεθοδολογία αξιολόγησης κινδύνων; Αν ναι, είναι η μεθοδολογία αυτή κατάλληλη;
  3. Επιτρέπουν, και απαιτούν, τα κριτήρια αξιολόγηση του αντικτύπου των προβλεπόμενων πράξεων επεξεργασίας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων;
  4. Απαιτούν τα κριτήρια εκ των προτέρων διαβούλευση σχετικά με τους εναπομείναντεςκινδύνους που δεν μπορούσαν να μετριαστούν, με βάση τα αποτελέσματα της εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων (ΕΑΠΔ);

 

Τεχνικά και οργανωτικά μέτρα

 

  1. Απαιτούν τα κριτήρια την εφαρμογή τεχνικών και οργανωτικών μέτρων για την εμπιστευτικότητα των πράξεων επεξεργασίας;
  2. Απαιτούν τα κριτήρια την εφαρμογή τεχνικών και οργανωτικών μέτρων για την ακεραιότητα των πράξεων επεξεργασίας;
  3. Απαιτούν τα κριτήρια την εφαρμογή τεχνικών και οργανωτικών μέτρων για τη διαθεσιμότητα των πράξεων επεξεργασίας;
  4. Απαιτούν τα κριτήρια την εφαρμογή μέτρων για τη διαφάνεια των πράξεων επεξεργασίας όσον αφορά:
    • τη λογοδοσία;
    • τα δικαιώματα των υποκειμένων των δεδομένων;
    • την αξιολόγηση επιμέρους πράξεων επεξεργασίας, π.χ. για αλγοριθμική διαφάνεια;
  5. Απαιτούν τα κριτήρια την εφαρμογή τεχνικών και οργανωτικών μέτρων που να διασφαλίζουν τα δικαιώματα των υποκειμένων των δεδομένων, π.χ. την ικανότητα παροχής πληροφοριών ή τη φορητότητα των δεδομένων;
  6. Απαιτούν τα κριτήρια την εφαρμογή τεχνικών και οργανωτικών μέτρων που να προβλέπουν την ικανότητα παρέμβασης στην πράξη επεξεργασίας προκειμένου να διασφαλίζονται τα δικαιώματα των υποκειμένων των δεδομένων και να επιτρέπονται διορθώσεις, διαγραφή ή περιορισμοί;
  7. Απαιτούν τα κριτήρια την εφαρμογή μέτρων που προβλέπουν την ικανότητα παρέμβασης στην πράξη επεξεργασίας για την κάλυψη κενών ή τον έλεγχο του συστήματος ή της διαδικασίας;
  8. Απαιτούν τα κριτήρια την εφαρμογή τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ελαχιστοποίησης των δεδομένων, όπως,για παράδειγμα,η αποσύνδεση ή ο διαχωρισμός των δεδομένων από το υποκείμενο των δεδομένων, η ανωνυμοποίηση ή ψευδωνυμοποίηση ή απομόνωση των συστημάτων δεδομένων;
  9. Απαιτούν τα κριτήρια τεχνικά μέτρα για την εφαρμογή της προστασίας των δεδομένων εξ ορισμού;
  10. Απαιτούν τα κριτήρια τεχνικά και οργανωτικά μέτρα για την εφαρμογή της προστασίας των δεδομένων ήδη από τον σχεδιασμό, π.χ. ένα σύστημα διαχείρισης της προστασίας των δεδομένων για την απόδειξη, την ενημέρωση, τον έλεγχο και την επιβολή των απαιτήσεων για την προστασία των δεδομένων;
  11. Απαιτούν τα κριτήρια τεχνικά και οργανωτικά μέτρα για την εφαρμογή κατάλληλης περιοδικής κατάρτισης και εκπαίδευσης για το προσωπικό που έχει μόνιμη ή τακτική πρόσβαση σε δεδομένα προσωπικού χαρακτήρα;
  12. Απαιτούν τα κριτήρια επανεξέταση των μέτρων;
  13. Απαιτούν τα κριτήρια αυτοαξιολόγηση/εσωτερικό έλεγχο;
  14. Απαιτούν τα κριτήρια τη λήψη μέτρων που να διασφαλίζουν ότι τα καθήκοντα κοινοποίησης της παραβίασης δεδομένων προσωπικού χαρακτήρα εκτελούνται σε εύθετο χρόνο και με την ενδεδειγμένη εμβέλεια;
  15. Απαιτούν τα κριτήρια να εφαρμόζονται και να επαληθεύονται διαδικασίες διαχείρισης συμβάντων;
  16. Απαιτούν τα κριτήρια την παρακολούθηση των υπό εξέλιξη ζητημάτων ιδιωτικότητας και τεχνολογίας και την επικαιροποίηση του συστήματος όπως απαιτείται;

 

Άλλες πτυχές που ευνοούν την προστασία των δεδομένων

 

  1. Απαιτούν τα κριτήρια την εφαρμογή τεχνικών βελτίωσης της προστασίας των δεδομένων; Εδώ θα μπορούσαν να περιλαμβάνονται τα κριτήρια που απαιτούν ενισχυμένη προστασία των δεδομένων με την εξάλειψη ή τον περιορισμό των δεδομένων προσωπικού χαρακτήρα και/ή του κινδύνου προστασίας των δεδομένων.
  2. Απαιτούν τα κριτήρια την εφαρμογή ενισχυμένων ελέγχων των υποκειμένων των δεδομένων ώστε να διευκολύνεται ο αυτοπροσδιορισμός και η επιλογή;

 

Πρόσθετα κριτήρια για την Ευρωπαϊκή Σφραγίδα Προστασίας Δεδομένων

 

  1. Προβλέπουν τα κριτήρια την κάλυψη όλων των κρατών μελών;
  2. Μπορούν τα κριτήρια να λαμβάνουν υπόψη τη νομοθεσία ή τα σενάρια των κρατών μελών περί προστασίας των δεδομένων;
  3. Απαιτούν τα κριτήρια αξιολόγηση των επιμέρους στόχων της αξιολόγησης σε σχέση με την ειδική τομεακή νομοθεσία των κρατών μελών περί προστασίας των δεδομένων;
  4. Απαιτούν τα κριτήρια από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα  επεξεργασία να παρέχουν πληροφορίες στα υποκείμενα των δεδομένων και στα ενδιαφερόμενα μέρη στις γλώσσες των κρατών μελών:
    • για την επεξεργασία/τους στόχους της αξιολόγησης;
    • για την τεκμηρίωση της επεξεργασίας/των στόχων της αξιολόγησης;
    • για τα αποτελέσματα της αξιολόγησης;

 

Συνολική αξιολόγηση των κριτηρίων

 

  1. Καλύπτουν τα κριτήρια ολόκληρο το πεδίο εφαρμογής του μηχανισμού πιστοποίησης (δηλ. ολοκληρωμένα κριτήρια) προκειμένου να παρέχονται επαρκείς εγγυήσεις, ώστε να είναι η πιστοποίηση αξιόπιστη;
  2. Είναι τα κριτήρια κατάλληλα για το μέγεθος της πράξης επεξεργασίας που αντιμετωπίζεται από το πεδίο εφαρμογής του μηχανισμού πιστοποίησης, για την ευαισθησία των πληροφοριών και για τον κίνδυνο της επεξεργασίας;
  3. Είναι πιθανόν τα κριτήρια να βελτιώσουν τη συμμόρφωση των υπευθύνων επεξεργασίας και των εκτελούντων επεξεργασία όσον αφορά την προστασία των δεδομένων;
  4. Θα επωφεληθούν τα υποκείμενα των δεδομένων όσον αφορά τα δικαιώματά τους για ενημέρωση, συμπεριλαμβανομένης της εξήγησης των επιθυμητών αποτελεσμάτων στα υποκείμενα των δεδομένων;
 

Περισσότερα για την επεξεργασία των δεδομένων σας και τα δικαιώματά σας εδώ.


[1] Σύμφωνα με το άρθρο 3.11 του προτύπου ISO/IEC 17065, o ιδιοκτήτης του σχήματος πιστοποίησης μπορεί να είναι ο ίδιος ο φορέας πιστοποίησης, ομάδα φορέων πιστοποίησης, δημόσια αρχή, εμπορική ένωση ή άλλοι φορείς.