Sertifikācijas struktūru akreditācija saskaņā ar Vispārīgās datu aizsardzības regulas 43. pantu
Starp valsts aģentūru “Latvijas nacionālais akreditācijas birojs” (LATAK) un Datu valsts inspekciju (Inspekcija) noslēgta starpresoru vienošanās par sadarbību sertifikācijas struktūru akreditācijā, kas paredzēta Vispārīgās datu aizsardzības regulas[1] (Datu regula) 43. pantā.
Sertifikācijas struktūru akreditāciju veic LATAK, kā to paredz Datu regula un Fizisko personu datu apstrādes likums. Savukārt Inspekcija akreditācijas procesā sniedz LATAK atzinumu par to, vai sertifikācijas struktūras atbilst papildu prasībām, kas noteiktas saskaņā ar Datu regulas 43. panta 3. punktu. Ar šīm papildu prasībām var iepazīties ŠEIT.
Vienlaikus Inspekcija apstiprina sertifikācijas struktūru izstrādātos sertifikācijas kritērijus un publicē tos savā tīmekļvietnē, kā to paredz Datu regulas 42. panta 5. punkts un Fizisko personu datu apstrādes likuma 21. panta sestā daļa.
Sertifikācijas mehānisms, ar kuru akreditētas sertifikācijas struktūras izdos un atjaunos sertifikātus, ir papildu instruments, lai pierādītu, ka personas datu apstrādes darbības, ko veic pārziņi un apstrādātāji, atbilst Datu regulai, tādējādi novērtējot pārziņu centienus nodrošināt datu aizsardzības procesu atbilstību.
Akreditācijas iegūšana LATAK
Lai uzsāktu akreditācijas procesu, sertifikācijas institūcijai jāiesniedz LATAK pieteikums un citi nepieciešamie dokumenti. Pieteikuma forma un nepieciešamo dokumentu saraksts pieejams LATAK tīmekļa vietnē http://www.latak.gov.lv sadaļā Produktu, procesu vai pakalpojumu sertificēšanas institūcijām.
Pēc visu nepieciešamo dokumentu saņemšanas, LATAK un sertifikācijas institūcija slēdz līgumu par institūcijas akreditācijas procesu.
Akreditācijas iegūšanai sertifikācijas institūcijai jāapliecina atbilstība standarta LVS EN ISO/IEC 17065:2013 “Atbilstības novērtēšana. Prasības institūcijām, kas sertificē produktus, procesus un pakalpojumus (ISO/IEC 17065:2012)" un Inspekcijas izstrādātajām papildu prasībām, kas nodrošina specifisku kompetenci datu aizsardzības jomā, kā arī citiem LATAK noteiktajiem akreditācijas kritērijiem, kas balstīti uz nacionālajiem un Eiropas Savienības normatīvajiem aktiem, starptautiskajiem un nacionālajiem standartiem, kā arī starptautisko akreditācijas organizāciju izdotajiem saistošajiem dokumentiem un LATAK akreditācijas shēmām.
Detalizēta informācija par akreditācijas procesu pieejama LATAK tīmekļvietnē dokumentos D.008 “Akreditācijas procedūras” un “Produktu, procesu un pakalpojumu sertificēšanas institūciju akreditācijas shēma”
Inspekcijas kompetence akreditācijas procesā
Kad LATAK saņem pieteikumu, tas tiek nosūtīts arī Inspekcijai. Vispirms Inspekcija pārbauda, vai pieteikumā ir visi nepieciešamie dokumenti, lai varētu izvērtēt atbilstību papildu prasībām. Ja Inspekcija konstatē trūkumus, LATAK pieprasa sertifikācijas struktūrai iesniegt trūkstošos dokumentus. Šī informācija noteiktajā termiņā jānosūta gan LATAK, gan Inspekcijai.
Svarīgi! Lai paātrinātu pieteikuma izskatīšanas procesu, Inspekcija aicina sertifikācijas institūcijas pieteikumam pievienot norādes, kurš dokuments apliecina katru no Inspekcijas izvirzītajām prasībām.
Pēc līguma noslēgšanas starp LATAK un sertifikācijas struktūru, Inspekcija veiks pieteikuma izvērtēšanu pēc būtības. Gadījumā, ja Inspekcija, vērtējot pieteikuma saturā norādītās informācijas atbilstību Inspekcijas izstrādātajām papildu prasībām, konstatēs trūkumus vai neatbilstību, Inspekcija informēs sertifikācijas institūciju par nepieciešamību veikt trūkumu novēršanu. Inspekcijas noteiktajā termiņā pieprasītā informācija nosūtāma gan Inspekcijai, gan LATAK.
Ja Inspekcija, izvērtējot pieteikumu, konstatēs sertifikācijas institūcijas atbilstību papildu prasībām, tā sagatavos atzinumu par sertifikācijas struktūras atbilstību, iesniegs to LATAK un sertifikācijas institūcijai.
Inspekcija savā tīmekļvietnē publicē un aktualizē informāciju par akreditētajām sertifikācijas institūcijām.
Akreditācijas procesā, kā arī pēc akreditācijas piešķiršanas, Inspekcija savas kompetences ietvaros ir tiesīga veikt sertifikācijas struktūras pārbaudes, lai pārliecinātos par tās darbības atbilstību Datu regulas prasībām.
[1] Eiropas Parlamenta un Padomes regulas (ES) 2016/679 par fizisko personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK