Eil. Nr.

Reikalavimas

Reikalavimo paaiškinimas ir atitikties šiam reikalavimui patvirtinimo dokumentai ar informacija

4.1.

Teisiniai ir sutartiniai klausimai

4.1.1.

Teisinė atsakomybė

Papildomai prie reikalavimų, nustatytų ISO 17065 standarto 4.1.1 papunktyje, sertifikavimo įstaiga turi sugebėti bet kuriuo metu įrodyti Inspekcijai, kad:

1.   laikosi akreditavimo reikalavimuose nustatytų teisinių įsipareigojimų ir papildomų reikalavimų, susijusių su Reglamento (ES) 2016/679, ir, jei taikoma, kitų asmens duomenų apsaugą reglamentuojančių teisės aktų taikymu, taip pat, kad sertifikavimui taikomos procedūros ir dokumentai yra laiku atnaujinamos;

2.   tvarkydama asmens duomenis ji laikosi Reglamento (ES) 2016/679 ir, kai taikoma, kitų asmens duomenų apsaugą reglamentuojančių teisės aktų, t. y. yra priėmusi asmens duomenų tvarkymo taisykles ir kitus būtinus dokumentus (privatumo pranešimus, veiklos įrašus, asmens duomenų saugumo pažeidimų tyrimo instrukcijas ir kt.), laiku juos atnaujina, taip pat yra paskyrusi duomenų apsaugos pareigūną (jei taikoma) ir t. t.;

3.   sertifikavimo įstaigai nėra pradėta bankroto, nemokumo ar likvidavimo procedūra, pavyzdžiui, pateikiant Juridinių asmenų registro išrašą.

Sertifikavimo įstaiga turi pateikti visą informaciją apie reikšmingus faktinės ar teisinės padėties pasikeitimus, susijusius su teisine atsakomybe, nešališkumu, finansavimu, konfidencialumu, skaidrumu, ekspertinėmis žiniomis ir veiksmingu skundų nagrinėjimu, kurie gali turėti įtakos jos akreditavimui. 

4.1.2.

Susitarimas dėl sertifikavimo

Papildomai prie reikalavimų, nustatytų  ISO 17065 standarto 4.1.2 papunktyje, susitarimuose (kurie turi būti sudaromi rašytine forma):

1.   reikalaujama, kad pareiškėjas visada atitiktų bendruosius sertifikavimo reikalavimus, kaip apibrėžta ISO 17065 standarto 4.1.2.2 papunkčio a dalyje, ir sertifikavimo kriterijų savininko nustatytus ir Inspekcijos ar Europos duomenų apsaugos valdybos patvirtintus sertifikavimo kriterijus;

2.   reikalaujama, kad pareiškėjas užtikrintų skaidrumo principo laikymąsi ir, vadovaujantis Reglamento (ES) 2016/679 42 straipsnio 7 dalimi ir 58 straipsnio 1 dalies c punktu, suteiktų Inspekcijai visą reikalingą informaciją, įskaitant pagal sutartį konfidencialius klausimus, susijusius su asmens duomenų apsaugos reikalavimų laikymusi;

3.   nėra mažinamos pareiškėjo pareigos, nustatytos Reglamente (ES) 2016/679, nėra mažinama iš Reglamento (ES) 2016/679 kylanti atsakomybė, taip pat nėra daromas poveikis Inspekcijos įgaliojimams ir (ar) užduotims pagal Reglamento (ES) 2016/679 42 straipsnio 5 dalį, 55 – 58 straipsnius;

4.   reikalaujama, kad pareiškėjas sertifikavimo įstaigai pateiktų visą sertifikavimo procedūrai pagal Reglamento (ES) 2016/679 42 straipsnio 6 dalį reikalingą informaciją, įskaitant prieigą prie sertifikuojamų asmens duomenų tvarkymo operacijų;

5.   nustatyti taikomi sertifikavimo kriterijai ir metodai, sertifikavimo objekto vertinimo (įskaitant vertinimo, ar sertifikavimo įstaiga turi pakankamą kompetenciją sertifikavimo objekto vertinimo kontekste) kriterijai, terminai, procedūros ir pareiškėjo pareiga laikytis su sertifikavimu ar jo atnaujinimu susijusių terminų ir procedūrų, numatytų Susitarime, sertifikavimo įstaigos nustatytoje tvarkoje ir, jei taikoma, kituose ISO standartuose;

6.   pareiškėjas suteikia teisę Sertifikavimo įstaigai, vadovaujantis Reglamento (ES) 2016/679  43 straipsnio 5 dalimi, atskleisti Inspekcijai sertifikato išdavimo ar panaikinimo priežastis.

7.   pareiškėjas suteikia teisę sertifikavimo įstaigai, vadovaujantis Reglamento (ES) 2016/679 42 straipsnio 8 dalimi, atskleisti Valdybai visą informaciją apie sertifikavimo mechanizmą, t. y. pareiškėjo pavadinimą, sertifikatą išdavusį subjektą, sertifikato datą, sertifikuotos asmens duomenų tvarkymo operacijos aprašymą ir, kai taikoma, sertifikato panaikinimo datą ir priežastį arba sertifikato galiojimo sustabdymo datą, terminą ir priežastį. Pareiškėjas Susitarime turi patvirtinti, kad supranta, jog ši informacija bus įtraukta į Valdybos interneto svetainėje viešai prieinamą registrą;

8.   turi būti nustatytos taisyklės dėl skundų nagrinėjimui būtinų atsargumo priemonių ISO 17065 standarto 4.1.2.2 papunkčio c dalies 2 įtraukos ir 4.1.2.2 papunkčio j dalies kontekste, taip pat pareiškėjas turi įsipareigoti nustatyti išsamią skundų dėl sertifikavimo pažeidimų arba dėl to, kaip sertifikuotas duomenų valdytojas ar duomenų tvarkytojas įgyvendino ar įgyvendina įsipareigojimus pagal sertifikavimo kriterijus, nagrinėjimo procedūras ir struktūras bei užtikrinti, kad jos būtų skaidrios ir lengvai prieinamos, kaip tai nustatyta ISO 17065 standarto 4.1.2.2 papunkčio c dalies 2 įtraukoje, 4.1.2.2 papunkčio j dalyje ir Reglamento (ES) 2016/679 43 straipsnio 2 dalies d punkte;

9.   pareiškėjas įsipareigoja informuoti Sertifikavimo įstaigą apie bet kokius priežiūros institucijų ar teismo nustatytus Reglamento (ES) 2016/679 ir kitų asmens duomenų apsaugą reglamentuojančių teisės aktų pažeidimus, galinčius turėti įtakos atitikties vertinimui;

10. atsižvelgiant į ISO 17065 standarto 4.1.2.2 papunkčio c dalies 1 įtrauką, nustatomos atitikties vertinimo taisyklės, įskaitant atitikties vertinimo galiojimo, atnaujinimo ir panaikinimo taisykles, vadovaujantis Reglamento (ES) 2016/679 42 straipsnio 7 dalimi ir 43 straipsnio 4 dalimi, ir taisykles, susijusias su reguliariais pakartotinio atitikties vertinimo ar peržiūros intervalais pagal Reglamento (ES) 2016/679 42 straipsnio 7 dalį;

11. jei sertifikavimo įstaigos akreditavimo panaikinimas ar sustabdymas turėtų poveikį pareiškėjui ar sertifikuotam subjektui, papildomai prie ISO 17065 standarto 4.1.2.2 papunktyje nustatytų minimalių reikalavimų, Susitarime turi būti nurodomos sertifikavimo įstaigos akreditavimo panaikinimo ar sustabdymo pasekmės (pavyzdžiui, kad tokiu atveju sertifikavimo įstaigos išduotas sertifikatas netenka galios),  taip pat visos pasekmės klientui ir kaip visos kilsiančios pasekmės bus sprendžiamos;

12. pareiškėjas įsipareigoja informuoti sertifikavimo įstaigą apie sertifikavimo procesui ar atitikties sertifikavimo kriterijams reikšmingus jo faktinės ar teisinės padėties ir susijusių jo produktų, procesų ir paslaugų pokyčius.

Pastaba Nr. 1. Reikalavimas, nustatytas 5 punkte, gali būti įgyvendintas Susitarime pateikiant nuorodas į atitinkamus sertifikavimo mechanizmo dokumentus, kuriuose šie aspektai aprašyti išsamiai.

Pastaba Nr. 2. Reikšmingų faktinės ar teisinės padėties pokyčių pavyzdžiai pateikiami ISO 17065 standarto 4.1.2.2 papunkčio 3 pastaboje.

Pastaba Nr. 3. Reikšmingais sertifikavimo objekto pokyčiais yra tokie pokyčiai, dėl kurių reikalingas naujas ar papildomas sertifikavimo objekto atitikties vertinimas, pavyzdžiui, asmens duomenų tvarkymo operacijos ar jai atlikti pasitelkiamų priemonių ar įrankių pasikeitimas, sertifikuojamo (sertifikuoto) proceso taikymo apimties išplėtimas, sąsajų tarp procesų ar paslaugų pasikeitimas, asmens duomenų perdavimo kitoms sistemoms ar subjektams priemonių ar platformų pasikeitimas, techninių ir (ar) organizacinių saugumo priemonių pasikeitimas, duomenų gavėjų ar duomenų tvarkytojų pasikeitimas, su duomenų subjektų teisių įgyvendinimu susijusių technologinių sprendimų pasikeitimai kt.

4.1.3.

Duomenų apsaugos ženklų ir žymenų naudojimas

Sertifikatai, ženklai ir žymenys naudojami tik laikantis Reglamento (ES) 2016/679 42 ir 43 straipsnių, taip pat Gairių Nr. 1/2018 ir Gairių Nr. 4/2018.

Sertifikatai, ženklai ir žymenys turi būti naudojami skaidriai ir aiškiai, siekiant išvengti bet kokios klaidinančios informacijos apie sertifikuotų asmens duomenų tvarkymo operacijų apimtį. Nustačius neteisingos ar klaidinančios informacijos apie sertifikavimo mechanizmą skleidimo faktą arba netinkamą ar klaidinantį sertifikatų, ženklų ar žymenų naudojimą (dokumentuose ar viešai) turi būti imamasi šių veiksmų:

1.   nutraukiamas sertifikatų, ženklų ir žymenų naudojimo pažeidimas;

2.   viešai paskelbiama apie įvykdytus sertifikatų, ženklų ir žymenų naudojimo pažeidimus;

3.   apie sertifikatų, ženklų ir žymenų naudojimo pažeidimus informuojama Inspekcija ir, kai taikoma, sertifikavimo įstaiga.

4.   taip pat gali būti apribojamas sertifikatų, ženklų ir žymenų naudojimas.

Sertifikavimo įstaiga turi nustatyti tvarką nurodytiems veiksmams atlikti.

Inspekcija ar, kai taikoma, sertifikavimo įstaiga, įvertinusi sertifikatų, ženklų ir žymenų naudojimo pažeidimo aplinkybes ir kilusias (galėjusias kilti) pasekmes, gali teikti nurodymus dėl taisomųjų ar papildomų veiksmų, kurių turi imtis minėtą pažeidimą padaręs sertifikuotas subjektas.

4.2.

Nešališkumo valdymas

Papildomai prie reikalavimų, nustatytų  ISO 17065 standarto 4.2 papunktyje, sertifikavimo įstaiga turi:

1.   vadovaujantis Reglamento (ES) 2016/679 43 straipsnio 2 dalies a punktu, pateikti savo nepriklausomumo įrodymus. Visų pirma, tai taikoma sertifikavimo įstaigos finansavimo įrodymams, kiek jie susiję su nešališkumo patvirtinimu;

2.   įrodyti, kad jos užduotys ir pareigos nesukels interesų konflikto pagal Reglamento (ES) 2016/679 43 straipsnio 2 dalies e punktą;

3.   patvirtinti, kad nėra susijusi su pareiškėju ar jo darbuotojais;

4.   identifikuoti galimas interesų konfliktų, kurie gali kilti teikiant sertifikavimo paslaugas, rizikas ir kokiomis priemonėmis šios rizikos bus valdomos.

Interesų konfliktų ar šališkumo pavyzdžiai:

1.   sertifikavimo įstaiga ar jos darbuotojas (įskaitant vadovybę) yra įsidarbinęs pas pareiškėją arba priklauso pareiškėjo valdymo organams, turi pareiškėjo nuosavybės teisių (yra jos narys, dalininkas, savininkas, akcininkas, kt.);

2.   sertifikavimo įstaiga ar jos darbuotojas (įskaitant vadovybę) yra pareiškėjo kreditorius arba turi kitų reikalavimo teisių į pareiškėją;

3.   sertifikavimo įstaigos darbuotojas, įskaitant duomenų apsaugos pareigūną ir vadovybę, teikia duomenų apsaugos pareigūno paslaugas pareiškėjui;

4.   sertifikavimo įstaiga ar jos darbuotojai, įskaitant vadovybę, yra viena iš sutarties (išskyrus Susitarimą) su pareiškėju dėl komercinių paslaugų teikimo šalių;

5.   sertifikavimo įstaigos esminę apyvartos dalį sudaro pajamos iš sertifikavimo paslaugų teikimo (žr. pastabą Nr. 1);

6.   didžiąją sertifikavimo įstaigos veiklos dalį finansuoja vienas iš kelių pareiškėjų; sertifikavimo įstaiga atitikties vertinimui nuomojasi darbuotojus iš kitų juridinių asmenų;

7.   sertifikavimo įstaiga nuomos, panaudos ar kitais pagrindais naudojasi pareiškėjo patalpomis;

8.   sertifikavimo įstaigos darbuotojų mokymus ir kvalifikacijos kėlimą finansuoja pareiškėjas, kt.

Pastaba Nr. 1. Pavyzdys, pateiktas 5 punkte, susijęs su tuo, kad kai didžiąją sertifikavimo įstaigos apyvartos dalį sudaro pajamos iš sertifikavimo paslaugų teikimo, kyla rizika, kad vertinimas pareiškėjo naudai bus priimtas neobjektyviai (nes sertifikavimo įstaigos veikla priklausytų nuo gautų paraiškų, todėl pareiškėjas galėtų bandyti paveikti jos sprendimą), todėl sertifikavimo įstaiga turėtų paaiškinti, kaip ši rizika mažinama.

Atitiktį šiam reikalavimui pagrindžiančių dokumentų pavyzdžiai:

1.  sertifikavimo įstaigos įstatai;

2.  sertifikavimo įstaigos dalyvių ir valdymo organų narių sąrašai ir informacija apie turimas kitų juridinių asmenų nuosavybės teises, dalyvavimą jų veikloje (pavyzdžiui, darbo santykiuose) ar priimant sprendimus valdymo veikloje;

3.  Juridinių asmenų registro išplėstinis išrašas;

4.  sertifikavimo įstaigos darbuotojų pareigybių aprašymai, jų atskaitomybės schema, atrankos proceso paaiškinimas (įskaitant, ar atrankos procesui turi įtakos kiti subjektai, ar kiti subjektai dalyvauja atrankos proceso metu, kokie yra darbuotojų darbo užmokesčio ar kitų susijusių išmokų ar mokymų finansavimo šaltiniai, kt.);

5.  sertifikavimo įstaigos finansinės atskaitomybės dokumentai ir paaiškinimai apie jos finansavimo šaltinius, taip pat kokią įtaką sertifikavimo įstaigos apyvartai turės pajamos, gautos iš klientų sertifikavimo;

6.  sertifikavimo įstaigos darbuotojų, įskaitant vadovų ir kitų valdymo organų narių, nepriklausomumo įsipareigojimų ir patvirtinimų apie galimus interesų konfliktus ir tai, kad jiems suprantama, kad kilus interesų konfliktų grėsmei, darbuotojai turi apie tai pranešti sertifikavimo įstaigos atsakingam asmeniui, formų pavyzdžiai. Turi būti nustatytas šių įsipareigojimų ir patvirtinimų valdymas ir priežiūra, pavyzdžiui, atnaujinimo intervalai (ne rečiau nei kartą per 1 metus), pasekmės už duomenų nepateikimą, neatnaujinimą ir pan.;

7.  sertifikavimo įstaigos identifikuotų galimų nepriklausomumo ir šališkumo grėsmių, susijusių su jos veikla, jos santykiais, jos darbuotojų santykiais, aprašymas.

8.  sertifikavimo įstaigos parengtos taisyklės, kurių turi laikytis jos darbuotojai, siekiant išvengti interesų konflikto ar grėsmių nepriklausomumui, pavyzdžiui, kaip, gavus dokumentus sertifikavimo paslaugai suteikti, bus vertinama, ar tarp sertifikavimo įstaigos (jos darbuotojų) ir pareiškėjo gali kilti interesų konfliktas, kokie kriterijai identifikuos interesų konflikto grėsmę, kaip bus elgiamasi, jei bus pastebėtas interesų konfliktas (pavyzdžiui, darbuotojai įsipareigoja apie jį pranešti) ar mėginimai spausti sertifikavimo įstaigą ar jos darbuotojus priimti tam tikrą sprendimą ar imtis veiksmų, nesusijusių su sertifikavimo įstaigos užduotimis ar pareigomis ar jiems prieštaraujančių veiksmų. Sertifikavimo įstaiga parengtus dokumentus (tvarkas, taisykles, kt.) turi peržiūrėti ir, jei būtina, atnaujinti bent kartą per 1 metus;

9.  sertifikavimo įstaigos parengta tvarka dėl pranešimų apie nepriklausomumo ar su interesų konfliktų valdymu susijusius pažeidimus, įskaitant terminus, jų tyrimą, dokumentavimą ir susijusių nurodymų vykdymo priežiūrą;

10.  sertifikavimo įstaigos parengta skundų dėl sertifikavimo procedūros pateikimo ir nagrinėjimo tvarka;

11. Sertifikavimo įstaiga atliko sertifikavimo paslaugų teikimo rizikos ir jos poveikio pareiškėjui vertinimą ir patvirtino nustatytos rizikos šalinimo ar mažinimo priemones.

Pastaba Nr. 2. Sertifikavimo įstaiga gali pateikti papildomus dokumentus, galinčius pagrįsti sertifikavimo įstaigos atitiktį nešališkumo valdymo reikalavimui. 

4.3.

Atsakomybė ir finansavimas

Papildomai prie reikalavimų, nustatytų  ISO 17065 standarto 4.3 papunktyje, sertifikavimo įstaiga turi pateikti dokumentus, pagrindžiančius, kad ji turi tinkamų priemonių įsipareigojimams, susijusiems su sertifikavimo paslaugų teikimu, vykdyti savo veiklos teritorijoje ir yra finansiškai stabili, pavyzdžiui:

1.   sertifikavimo įstaiga yra apdraudusi veiklą ar veiklos, susijusios su sertifikavimo paslaugų teikimu, dalį civilinės atsakomybės draudimu arba turi pakankamą rezervą tokiems įsipareigojimams (ieškiniams ir kt.) padengti;

2.   sertifikavimo įstaigai nėra pradėta bankroto, nemokumo ar likvidavimo procedūra, pavyzdžiui, Juridinių asmenų registro išrašas;

3.   sertifikavimo įstaiga neturi įsiskolinimų, susijusių su įmokomis į valstybės biudžetą, pavyzdžiui, Valstybinės mokesčių inspekcijos prie Lietuvos Respublikos finansų ministerijos pažyma (žr. pastabą Nr. 1);

4.   sertifikavimo įstaigos ar jos darbuotojų atžvilgiu Lietuvos ir kitų valstybių narių akreditavimo įstaigos, kompetentingos priežiūros institucijos ar teismai nėra priėmę galutinių sprendimų dėl pažeidimų, susijusių su sertifikuojamos įstaigos veikla, apskaitos tvarkymu, pavyzdžiui, sertifikavimo įstaigos patvirtinimas (pažyma) (žr. pastabą Nr. 1).

Pastaba Nr. 1. Pavyzdžiai, pateikti 3 ir 4 punktuose, susiję su kai tokie finansiniai įsipareigojimai (3 punktas) ar tokie sprendimai (4 punktas) gali turėti įtakos sertifikavimo įstaigos finansiniam stabilumui arba jos gebėjimui teikti sertifikavimo paslaugas.

Sertifikavimo įstaiga turi kartą per 1 metus pateikti Inspekcijai atnaujintą informaciją apie šiame papunktyje nurodytas  priemones, jų taikymą ir, kai taikoma, jų pasikeitimus.

4.4.

Nediskriminacinės sąlygos

Taikomi ISO 17065 standarto 4.4 papunkčio reikalavimai.

Sertifikavimo įstaiga turi pateikti savo sertifikavimo mechanizmo aprašymą, nustatytus reikalavimus sertifikuojamiems subjektams ir kitus dokumentus ar informaciją, pagrindžiančią nediskriminacines sertifikavimo sąlygas.

4.5.

Konfidencialumas

Taikomi ISO 17065 standarto 4.5 papunkčio reikalavimai.

Sertifikavimo įstaiga turi pateikti darbuotojų pasižadėjimus ar susitarimus saugoti asmens duomenų paslaptį, kitą konfidencialią informaciją, komercines paslaptis ar kitą neskelbtiną informaciją, kuri bus prieinama sertifikavimo paslaugų teikimo metu ar po jo (pavyzdžiui, ginant sertifikavimo įstaigos ar savo teises ikiteisminio tyrimo ar teisminėse institucijose). Konfidencialumo pareiga turi galioti tiek darbo ar kitų lygiaverčių santykių metu, tiek jiems pasibaigus. Tokiame pasižadėjime ar susitarime turi būti identifikuota jo taikymo apimtis, galiojimo terminas ir konfidencialumo pažeidimo pasekmės.

Sertifikavimo įstaiga turi nustatyti jos naudojamų priemonių, įskaitant elektroninių, naudojimo tvarką, juose tvarkomų asmens duomenų naudojimo tvarką, prieigų suteikimo, keitimo ir panaikinimo tvarką, ir supažindinti su ja darbuotojus.

4.6.

Viešai skelbiama informacija

Papildomai prie reikalavimų, nustatytų  ISO 17065 standarto 4.6 papunktyje, Sertifikavimo įstaiga turi savo interneto svetainėje viešai skelbti:

1.   visas sertifikavimo kriterijų, kurie patvirtinti pagal Reglamento (ES) 2016/679 42 straipsnio 5 dalį, ir sertifikavimo procedūrų versijas (esamas ir ankstesnes), nurodant jų galiojimo datas;

2.   vadovaujantis Reglamento (ES) 2016/679 43 straipsnio 2 dalies d punktu, informaciją apie skundų nagrinėjimo dėl sertifikavimo pažeidimų arba dėl to, kaip duomenų valdytojas ar duomenų tvarkytojas laikosi (laikėsi) įsipareigojimų pagal jam išduotą sertifikatą, procedūras ir pateiktas apeliacijas;

3.   informaciją apie sertifikuotus subjektus, pateikiant šią informaciją: sertifikuoto subjekto pavadinimą, juridinio asmens kodą, buveinės adresą, sertifikuoto objekto (asmens duomenų tvarkymo operacijos) aprašymą, nuorodą į sertifikavimo kriterijų versiją, atitikties vertinimo rezultatą ir galiojimo datą, taip pat, kai taikoma, sertifikato galiojimo sustabdymo ar panaikinimo datą.

Aukščiau nurodyta informacija turi būti lengvai prieinama visiems.

Eil. Nr.

Reikalavimas

Reikalavimo paaiškinimai ir atitikties šiam reikalavimui patvirtinimo dokumentai ar informacija

5.1.

Organizacinė struktūra ir aukščiausia vadovybė

Papildomai prie reikalavimų, nustatytų  ISO 17065 standarto 5.1 papunktyje, sertifikavimo įstaiga turi paskirti bent 2 metų stažą asmens duomenų apsaugos teisės srityje turintį asmenį, atsakingą už asmens duomenų apsaugos reikalavimų laikymąsi ir informacijos valdymą, saugumo priemonių taikymą (pavyzdžiui, duomenų apsaugos pareigūną, atitikties specialistą, kt.).

Atitiktį ISO 17065 standarto 5.1 papunktyje  nustatytam reikalavimui pagrindžiančių dokumentų pavyzdys: organizacinės struktūros schema arba aprašymas, nurodant asmenų, dalyvaujančių atitikties vertinime pareigas, atsakomybes, atskaitomybę. Šiuo arba atskiru dokumentu taip pat turi būti pateikiama informacija, nurodyta ISO 17065 standarto 5.1.3 papunktyje.

5.2.

Nešališkumo apsaugos mechanizmai

Taikomi ISO 17065 standarto 5.2 papunkčio reikalavimai.

Atitiktį šiam reikalavimui pagrindžiančių dokumentų pavyzdžiai nurodyti šio priedo 4.2. papunktyje, t. y.:

1.  sertifikavimo įstaigos darbuotojų, įskaitant vadovų ir valdymo organų narių, nepriklausomumo įsipareigojimų ir patvirtinimų apie galimus interesų konfliktus ir tai, kad jiems suprantama, kad kilus interesų konfliktų grėsmei, turi apie tai pranešti sertifikavimo įstaigos atsakingam asmeniui formų pavyzdžiai. Turi būti nustatytas šių įsipareigojimų ir patvirtinimų valdymas ir priežiūra, pavyzdžiui, jų atnaujinimo intervalai (ne rečiau nei kartą per 1 metus), pasekmės už informacijos nepateikimą ar neatnaujinimą, taip pat nepranešimą apie kilusį ar galintį kilti interesų konfliktą ir pan.;

2.  sertifikavimo įstaigos identifikuotų galimų nepriklausomumo ir nešališkumo grėsmių, susijusių su jos veikla, jos santykiais ar jos darbuotojų santykiais, aprašymas;

3.  sertifikavimo įstaigos taikomos taisyklės, kurių turi laikytis jos darbuotojai, siekiant išvengti interesų konflikto ar grėsmės nepriklausomumui, pavyzdžiui, kaip, gavus dokumentus sertifikavimo paslaugai suteikti, bus vertinama, ar tarp sertifikavimo įstaigos (jos darbuotojų) ir pareiškėjo gali kilti interesų konfliktas, kokie kriterijai identifikuos interesų konflikto grėsmę, kaip bus elgiamasi, jei bus pastebėtas interesų konfliktas (pavyzdžiui, darbuotojai įsipareigoja apie tai pranešti sertifikavimo įstaigos atsakingam asmeniui, kad jis gautą užduotį paskirtų kitam asmeniui) ar mėginimą paveikti sertifikavimo įstaigą ar jos darbuotojus priimti tam tikrą sprendimą ar imtis veiksmų, nesusijusių su sertifikavimo įstaigos užduotimis ar pareigomis ar jiems prieštaraujančių. Sertifikavimo įstaigos parengtus dokumentus (tvarkas, taisykles, kt.) turi peržiūrėti ir, jei būtina, atnaujinti bent kartą per 1 metus;

4.  sertifikavimo įstaigos tvarka dėl pranešimo apie nepriklausomumo ar su interesų konfliktų valdymu susijusius pažeidimus, pranešimų terminus, jų tyrimą, dokumentavimą;

5.  sertifikavimo įstaigos skundų dėl sertifikavimo procedūros pateikimo ir nagrinėjimo tvarka.

Pastaba. Sertifikavimo įstaiga gali pateikti papildomus dokumentus, galinčius pagrįsti sertifikavimo įstaigos atitiktį nešališkumo valdymo reikalavimui. 

Eil. Nr.

Reikalavimas

Reikalavimo paaiškinimai ir atitikties šiam reikalavimui patvirtinimo dokumentai ar informacija

6.1.

Sertifikavimo įstaigos darbuotojai

Papildomai prie reikalavimų, nustatytų  ISO 17065 standarto 6.1 papunktyje, Sertifikavimo įstaiga turi užtikrinti, kad jos darbuotojai:

1.   turi atitikties sertifikavimo kriterijams vertinimui reikalingų aktualių žinių, įskaitant susijusių su asmens duomenų apsaugos teisės aktais ir jų taikymo praktika, pavyzdžiui, reguliariai dalyvauja praktiniuose mokymuose asmens duomenų tvarkymo ir saugumo užtikrinimo klausimais, su asmens duomenų tvarkymo operacijų atitikties Reglamento (ES) 2016/679 reikalavimams vertinimo ir susijusių dokumentų rengimo klausimais, poveikio duomenų apsaugai vertinimo ir (ar) rizikos vertinimo atlikimo klausimais, techninių ir organizacinių saugumo priemonių atrankos klausimais ir kt.;

2.   turi žemiau nurodytą reikiamas aktualias ekspertines žinias asmens duomenų apsaugos srityje, pavyzdžiui, vykdė duomenų apsaugos pareigūno funkcijas, rengė asmens duomenų tvarkymo operacijų atitikties Reglamento (ES) 2016/679 ir kitų asmens duomenų apsaugą reglamentuojančių teisės aktų reikalavimams dokumentus, teikė konsultacijas asmens duomenų saugumo užtikrinimo, techninių ir organizacinių priemonių vertinimo ir atrankos klausimais, teikė duomenų valdytojų (duomenų tvarkytojų) veiklos ar atskirų procesų atitikties Reglamento (ES) 2016/679 reikalavimams audito ar kitokio vertinimo paslaugas, kt.;

3.   turi reikiamų ekspertinių žinių apie sertifikavimo objektą, atsižvelgiant į Reglamento (ES) 2016/679 43 straipsnio 2 dalies a punktą, pavyzdžiui, ekspertinę patirtį veikloje, susijusioje su prekių, paslaugų ar procesų sertifikavimu, auditavimu ar kitais analogiškais vertinimais, valdymo sistemomis ar turi 2 metų ekspertinę patirtį veikloje, susijusioje su sertifikuojamu objektu;

4.   yra nepriklausomi ir jų funkcijos ir atskaitomybė sertifikavimo įstaigos veikloje nesukels interesų konflikto (darbuotojų nepriklausomumo ir interesų konfliktų grėsmių vertinimas atliekamas atsižvelgiant į ISO 17065 standarto 4.2 papunkčio ir šio Priedo 4.2 papunkčio reikalavimus), atsižvelgiant į Reglamento (ES) 2016/679 43 straipsnio 2 dalies a ir e punktus;

5.   įsipareigoję laikytis Reglamento (ES) 2016/679 42 straipsnio 5 dalyje nurodytų reikalavimų pagal 43 straipsnio 2 dalies b punktą;

6.   turi reikiamų ir tinkamų žinių apie asmens duomenų technines ir organizacines saugumo priemones, joms keliamus reikalavimus, įskaitant, bet neapsiribojant, Europos Sąjungos kibernetinio saugumo agentūros rekomendacijose, ISO standartuose LST ISO/IEC 27001:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“, LST ISO/IEC 27002:2017 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“ bei ISO/IEC 27701:2019 „Saugumo metodai–ISO/IEC 27001 ir ISO/IEC 27002 papildymas dėl privatumo valdymo–Reikalavimai ir gairės“ ir prireikus jų taikymo patirties“ ir jų taikymo patirties;

Sertifikavimo įstaiga turi sugebėti įrodyti, kad jos technines ekspertines žinias turintys darbuotojai:

1.  yra įgiję atitinkamos techninių žinių srities kvalifikaciją, kuri atitinka bent šeštą Europos kvalifikacijų sandaros lygmenį, arba atitinkamos reglamentuojamos profesijos pripažintą saugomą vardą (pvz., technologijos mokslų daktaras), arba turėti bent 5 metų profesinę patirtį informacinių technologijų srityje, pavyzdžiui, informacijos saugumo sistemų, saugumo valdymo sistemų, informacijos saugumo rizikos valdymo ir kt.

2.  už sprendimų dėl sertifikavimo priėmimą atsakingi darbuotojai turi turėti reikšmingą (bent 3 metų) profesinę ekspertinę patirtį duomenų apsaugos priemonių nustatymo ir įgyvendinimo srityje.

3.  už atitikties vertinimą atsakingi darbuotojai turi turėti bent 2 metų profesinę ekspertinę patirtį techninės duomenų apsaugos srityje ir ekspertinių žinių apie sertifikavimo, audito ar panašią procedūrą bei darbo su ja patirties.

4.  turi įrodyti, kad jie tobulina tam tikros srities kompetenciją, susijusią su techninėmis ir audito žiniomis, dalyvavimu tęstinio profesinio tobulėjimo programose.

Sertifikavimo įstaiga turi sugebėti įrodyti, kad jos teisines ekspertines žinias turintys darbuotojai:

1.   yra baigę teisės studijas Europos Sąjungos arba Lietuvos Respublikos pripažintame universitete, kurių trukmė buvo bent aštuoni semestrai ir po kurių buvo suteiktas akademinis magistro (LL.M.) arba lygiavertis laipsnis, arba turėti bent 5 metų profesinę ekspertinę darbo patirtį.

2.   už sprendimų dėl sertifikavimo priėmimą atsakingi darbuotojai turi įrodyti, kad yra sukaupę bent 3 metų ekspertinę patirtį duomenų apsaugos teisės srityje.

3.   už atitikties vertinimą atsakingi darbuotojai turi įrodyti, kad turi 2 metų profesinę ekspertinę patirtį duomenų apsaugos teisės srityje ir žinių bei ekspertinės patirties, susijusios su panašiomis procedūromis (pvz., sertifikavimu ir (arba) auditu) ir (ar) sertifikuojamu objektu;

4.   turi įrodyti, kad jie tobulina tam tikros srities kompetenciją, susijusią su teisinėmis ir audito atlikimo žiniomis, dalyvavimu tęstinio profesinio tobulėjimo programose.

Pastaba Nr. 1. Reikalaujamas teisinės ekspertinės patirties laikotarpis turi būti susijęs su užduotimis, kurias jie vykdys.

Atitiktį šiam reikalavimui pagrindžiančių dokumentų pavyzdžiai, be nurodytų  šio priedo 4.2. papunktyje ir ISO 17065 standarto 4.2 papunktyje:

1.   dokumentai, atitinkantys ISO 17065 standarto 6.1.2.1, 6.1.2.2 ir 6.1.3 papunkčių, šio priedo 4.5 papunkčio reikalavimus;

2.   sertifikavimo įstaigos dokumentas, pagrindžiantis, kokie reikalavimai už atitikties vertinimą atsakingų darbuotojų ekspertinėms žinioms, įgūdžiams ir patirčiai yra būtini konkretaus sertifikuojamo objekto kontekste;

3.   už atitikties vertinimą atsakingų darbuotojų sertifikatai ir (ar) pažymėjimai, patvirtinantys dalyvavimą mokymuose, seminaruose, kursų baigimą aukščiau nurodytose srityse, kurie yra ne senesni nei pastarųjų 2 metų;

4.   už atitikties vertinimą atsakingų darbuotojų išsilavinimą patvirtinantys dokumentai (kai susiję su atitiktimi aukščiau nurodytiems reikalavimams);

5.   už atitikties vertinimą atsakingų darbuotojų gyvenimo aprašymas, jame pateikiant darbo funkcijų aprašymą, pagrindžiantį aktualias (ekspertines) žinias, patirtį;

6.   už atitikties vertinimą atsakingų darbuotojų rašytinis įsipareigojimas laikytis Reglamento (ES) 2016/679 42 straipsnio 5 dalyje nurodytų reikalavimų pagal Reglamento (ES) 2016/679 43 straipsnio 2 dalies b punktą;

7.   dokumentai, patvirtinantys už atitikties vertinimą atsakingų darbuotojų stažuotes ar dalyvavimą darbuotojų mainų programose, įskaitant stažuočių ar mainų programos aprašymą, funkcijas, užduotis ir kt. (kai susiję su atitiktimi aukščiau nurodytiems reikalavimams);

8.   už atitikties vertinimą atsakingų darbuotojų ar kandidatų į šiuos darbuotojus, jų praktinių įgūdžių ir (ar) žinių asmens duomenų apsaugos srityje, įmonių atitikties vertinimo srityje ir (ar) jų žinių apie techninių ir organizacinių saugumo priemones ir jų taikymą ir (ar) jų taikymo ekspertinę patirtį, vertinimai (jų rezultatai);

9.   už atitikties vertinimą atsakingų darbuotojų patikrinimų dėl sertifikavimo įstaigos nustatytų taisyklių ir (ar) kitokių instrukcijų, susijusių su asmens duomenų tvarkymo ir saugumo užtikrinimo reikalavimais, laikymosi rezultatai.

6.2.

Vertinimo ištekliai

Taikomi ISO 17065 standarto 6.2 papunkčio reikalavimai.

Eil. Nr.

Reikalavimas

Reikalavimo paaiškinimai ir atitikties šiems reikalavimams patvirtinimo dokumentai ar informacija

7.1.

Bendrieji reikalavimai

Papildomai prie reikalavimų, nustatytų ISO 17065 standarto 7.1 papunktyje, sertifikavimo įstaiga turi užtikrinti, kad:

1.   atitinka šiame priede Inspekcijos nustatytus papildomus reikalavimus, siekiant, kad sertifikavimo įstaigos užduotys ir pareigos nesukeltų interesų konflikto (pagal Reglamento (ES) 2016/679 43 straipsnio 2 dalies e punktą);

2.   prieš pradėdama naudoti patvirtintą Europos duomenų apsaugos ženklą padalinio veikloje naujoje valstybėje narėje, informuotų kompetentingas duomenų apsaugos priežiūros institucijas;

3.   yra parengusi Inspekcijos informavimo tvarką apie siekiamus priimti sprendimus dėl sertifikatų. Šia tvarka turi būti užtikrinta, kad:

3.1.   Inspekcija būtų nedelsiant informuojama apie sertifikatų išdavimą, atnaujinamą, panaikinimą ir sprendimų išduoti, atnaujinti ar panaikinti sertifikatą priežastis;

3.2.   informacija Inspekcijai būtų pateikta prieš sertifikatų išdavimą, atnaujinamą, panaikinimą;

3.3.   teikiant Inspekcijai informaciją, sertifikavimo įstaiga turi pateikti pareiškėjo vertinimo išvados santraukos kopiją (papildomai žr. šio priedo 7.8 papunktį).

4.   Tuo atveju, jei Inspekcija ar pareiškėjas informuoja sertifikavimo įstaigą apie bet kokį Inspekcijos atliekamą reikšmingą ir su sertifikuojamu objektu susijusį tyrimą pareiškėjo atžvilgiu ar jam pritaikytus taisomuosius veiksmus, dėl kurių kyla ar gali kilti abejonių dėl pareiškėjo atitikties asmens duomenų apsaugos reikalavimams, sertifikavimo įstaiga turi atlikti gautos informacijos tyrimą ir įvertinti jos poveikį sertifikavimo įstaigos atliktam vertinimui (ir jo išvadai). Atlikusi tyrimą, sertifikavimo įstaiga turi pateikti Inspekcijai pranešimą apie tai, ar pareiškėjas vis dar atitinka sertifikavimo kriterijus. Šis sertifikavimo įstaigos tyrimas turi būti susijęs su sertifikavimo apimtimi ir vertinimo tikslu.

5.   Jei Inspekcija, gavusi šio reikalavimo 4 punkte nurodytą informaciją, pateikia sertifikavimo įstaigai nurodymą atsisakyti išduoti sertifikatą ar panaikinti sertifikavimo įstaigos išduotą sertifikatą arba priima sprendimą panaikinti sertifikavimo įstaigos išduotą sertifikatą, sertifikavimo įstaiga turi įsipareigoti tokį nurodymą (ar sprendimą) vykdyti.

Pastaba Nr. 1. Šio akreditavimo reikalavimo 3 dalyje nustatyta pareiga nereiškia, kad Inspekcija peržiūrės kiekvieną sprendimą dėl sertifikatų, tačiau Inspekcija pasilieka teisę pasinaudoti BDAR 58 straipsnio 2 dalies h punkte numatyta teise nurodyti sertifikavimo įstaigai neišduoti sertifikato, jei ji turi informacijos apie šiurkščius duomenų apsaugos taisyklių ir principų pažeidimus, iš kurių matyti, kad pareiškėjas neatitinka sertifikavimo kriterijų.

7.2.

Paraiška

Papildomai prie reikalavimų, nustatytų  ISO 17065 standarto 7.2 papunktyje, sertifikavimo įstaiga turi reikalauti, kad paraiškoje būtų:

1.   išsamiai aprašyti sertifikavimo objektą (vertinimo objektą), įskaitant sąsajas su kitomis sistemomis, teikimą į kitas sistemas ir kitiems gavėjams, protokolus ir kitas garantijas;

2.   nurodyti, ar yra duomenų valdytojų, kurie sertifikavimo objekto kontekste, su pareiškėju veiks kaip bendri duomenų valdytojai. Jei taip, aprašyti jų atsakomybes ir įsipareigojimus.

3.   nurodyti, ar pasitelkiami duomenų tvarkytojai. Jei pareiškėjas yra duomenų tvarkytojas, paraiškoje turi būti aprašoma jo atsakomybė ir užduotys.

5.   nurodyti, ar priežiūros institucijos pareiškėjo atžvilgiu atlieka tyrimą ar yra jį atlikusios. Jei taip, aprašyti baigtus tyrimus, kurių metu buvo nustatyti asmens duomenų tvarkymo pažeidimai (trumpas pažeidimo aprašymas, sprendimo data ir taikyti taisomieji veiksmai). Jei tyrimas atliekamas, trumpai aprašyti dėl ko.

Atitiktį šiam reikalavimui pagrindžiantys dokumentai, be nurodytų  ISO 17065 standarto 7.2 papunkčio 1 ir 2 pastabose:

1.   bendrų duomenų valdytojų sutartis(-ys), kai taikomas šio priedo 7.2 papunkčio 2 reikalavimas;

2.   asmens duomenų tvarkymo sutartis(-ys), kai taikomas šio priedo 7.2 papunkčio 3 reikalavimas.

7.3.

Paraiškos peržiūra

Papildomai prie reikalavimų, nustatytų ISO 17065 standarto 7.3 papunktyje, sertifikavimo įstaiga turi pateikti kriterijus, kuriais remiantis sertifikavimo įstaiga vertins, ar asmens duomenų apsaugos srityje sertifikavimo įstaiga turi pakankamą kompetenciją (atsižvelgiant į technines ir teisines žinias) vertinti sertifikavimo objektą (ISO 17065 standarto 7.3.1 papunkčio e dalies reikalavimo kontekste). Privalomi sertifikavimo objekto vertinimo metodai turi būti nurodyti Susitarime.

Atitiktį šiam reikalavimui pagrindžiančių dokumentų pavyzdžiai:

1.   sertifikavimo įstaigos patvirtintos sertifikavimo objekto vertinimo taisyklės (ar kitas analogiškas dokumentas), kuriose aptarti sertifikavimo įstaigos kompetencijos sertifikavimo objekto kontekste vertinimo kriterijai ir vertinimo procesas arba

2.   Susitarimas.

7.4.

Vertinimas

Papildomai prie reikalavimų, nustatytų  ISO 17065 standarto 7.4 papunktyje, sertifikavimo įstaiga turi:

1.   sertifikavimo mechanizme aprašyti atitikties vertinimo metodus, pavyzdžiui (kai taikytina sertifikavimo objektui):

1.1.  asmens duomenų tvarkymo operacijų būtinumo ir proporcingumo vertinimo metodus. Šio vertinimo metu turi būti atsižvelgiama į asmens duomenų tvarkymo tikslą ir duomenų subjektus, kurių asmens duomenys tvarkomi nurodytu tikslu;

1.2.  metodus, kuriais sertifikavimo įstaiga vertins rizikų, kurias identifikavo ir įvertino pareiškėjas (kaip duomenų valdytojas ar duomenų tvarkytojas), nagrinėdamas teisines pasekmes, kylančias asmens duomenų tvarkymo operacijų kontekste ir susijusias su Reglamento (ES) 2016/679 30, 32, 35 ir 36 straipsnių įgyvendinimu, taip pat pagal Reglamento (ES) 2016/679 24, 25 ir 32 straipsnius nustatytas technines ir organizacines priemones identifikuotų rizikų suvaldymui ar sumažinimui, apimtį, turinį ir pareiškėjo atliktą vertinimą;

1.3.  duomenų subjektų teisių gynimo priemonių, įskaitant asmens duomenų saugumo užtikrinimo priemones, garantijas ir asmens duomenų apsaugos užtikrinimo tvarką, vertinimo metodus. Vertinant teisių gynimo priemones atsižvelgiama į sertifikavimo objektą ir įrodymus, kuriais pareiškėjas grindžia teisinių reikalavimų, taikomų atitikties vertinimo metu, laikymąsi;

1.4.  dokumentuoti taikytus vertinimo metodus ir vertinimo rezultatus.

2.   užtikrinti, kad atitikties vertinimo metodai būtų standartizuoti ir visuotinai taikomi. Tai reiškia, kad palyginami vertinimo metodai taikomi palyginamiems sertifikavimo objektams. Sertifikavimo įstaiga turi pagrįsti bet kokį nukrypimą nuo šios procedūros.

3.   teisę, papildomai prie  ISO 17065 standarto 7.4.2 papunktyje nustatytų reikalavimų, atitikties vertinimui pasitelkti išorės ekspertus, jei, sertifikavimo įstaigos vertinimu, šie ekspertai atitinka šio priedo 6.1 papunkčio reikalavimus. Sertifikavimo įstaiga tokiu atveju turi pateikti dokumentus, patvirtinančius tokio vertinimo atlikimą ir jo rezultatus, o esant Inspekcijos prašymui, su išorės ekspertais pasirašytas sutartis dėl atitikties vertinimo atlikimo. Sertifikavimo įstaiga išliks atsakinga už sprendimų priėmimą, net jei ji naudosis išorės ekspertų paslaugomis.

4.   atlikdama atitikties vertinimą atsižvelgti, papildomai prie ISO 17065 standarto 7.4.5 papunktyje nustatytų reikalavimų, į pareiškėjo turimus galiojančius sertifikatus, jei jie apima visą ar dalį sertifikavimo, dėl kurio kreipėsi pareiškėjas, objekto. Sertifikavimo įstaiga tokiu atveju turi įvertinti sertifikuojamo objekto atitiktį sertifikavimo kriterijams, kiek tai susiję su asmens duomenų apsaugos sertifikavimu pagal Reglamento (ES) 2016/679 42 ir 43 straipsnius. Kitaip tariant, turimi galiojantys sertifikatai negali savaime reikšti, kad sertifikuojamas objektas atitinka sertifikavimo kriterijus. Sertifikavimo įstaiga turi nustatyti, kad pareiškėjas nurodytu atveju turi pateikti pilną vertinimo išvadą, kurios pagrindu buvo išduotas sertifikatas, ar kitą informaciją, sudarančią sąlygas įvertinti pareiškėjo turimą galiojantį sertifikatą ir jo taikymo apimtį, pavyzdžiui, vertinimo kriterijus, vertinimo metodus, vertinimo apimtį ir kt. Sertifikavimo įstaigos atliktas galiojančių sertifikatų vertinimas turi būti išsamiai aprašytas sertifikavimo įstaigos išvadoje dėl naujos paraiškos atitikties sertifikavimo kriterijams.

5.   sertifikavimo mechanizme išsamiai aprašyti, kaip bus įgyvendinama ISO 17065 standarto 7.4.6 papunktyje nustatyta pareiškėjo informavimo apie neatitikimus sertifikavimo kriterijams pareiga. Atsižvelgiant į tai, turėtų būti apibrėžtas bent tokios informacijos pobūdis ir pateikimo laikas;

6.   papildomai prie  ISO 17065 standarto 7.4.9 papunktyje nustatytų reikalavimų, sudaryti sąlygas Inspekcijai, esant Inspekcijos prašymui, bet kuriuo metu susipažinti su visais atitikties vertinimo dokumentais.

7.5.

Peržiūra

Papildomai prie reikalavimų, nustatytų  ISO 17065 standarto 7.5 papunktyje, sertifikavimo įstaiga turi:

1.   nustatyti sertifikatų išdavimo, reguliarios visos atitikties vertinimui pateiktos informacijos ir atitikties vertinimo metu padarytų išvadų reguliarios peržiūros ir sertifikatų panaikinimo tvarką, laikantis Reglamento (ES) 2016/679 43 straipsnio 2 ir 3 dalių;

2.   papildomai prie ISO 17065 standarto 7.5.1 papunktyje nustatytų reikalavimų, pagrįsti, kad šio kriterijaus 1 punkte nurodytos informacijos ir išvadų peržiūrai paskirtas asmuo nedalyvavo (tiesiogiai ar netiesiogiai) atitikties vertinimo metu.

Atitiktį šio reikalavimo antram reikalavimui pagrindžiančių dokumentų pavyzdžiai:

1.   dokumentas, kuriame pateiktas asmenų, dalyvavusių atliekant atitikties vertinimą, sąrašas, jame aprašant kiekvieno dalyvavusio asmens vaidmenį ir atskaitomybę;

2.   dokumentas (tvarka, taisyklės, kt.), kuriame aprašyta, kaip atrenkami ir skiriami asmenys atlikties vertinimui ir atlikto atitikties vertinimo peržiūrai;

3.   dokumentas, pagrindžiantis, kad asmenys, kurie paskiriami peržiūrėti atitikties vertinimo rezultatus ir susijusią informaciją, yra supažindinti su jų pareiga informuoti juos skyrusį asmenį apie savo dalyvavimą atliekant atitikties vertinimą.

7.6.

Sprendimas dėl sertifikavimo

Papildomai prie reikalavimų, nustatytų  ISO 17065 standarto 7.6 papunktyje, sertifikavimo įstaiga turi:

1.   išsamiai aprašyti, kaip bus užtikrinamas jos nepriklausomumas ir atsakomybė, priimant individualius sprendimus dėl sertifikavimo;

2.   prieš priimdama sprendimą išduoti (atnaujinti) sertifikatą, įsitikinti, ar priežiūros institucijose nėra pareiškėjo atžvilgiu pradėtų tyrimų, rodančių, kad klientas neatitinka sertifikavimo kriterijų. Įgyvendinant šį reikalavimą, priežiūros institucijai turi būti pateiktas sprendimo projektas ir atitikties vertinimo išvada ar jos santrauka, nurodant atitiktį sertifikavimo kriterijams pagrindžiančius argumentus ir sertifikato išdavimo ar atnaujinimo priežastis;

3.   Sprendime išduoti, atnaujinti ar atsisakyti išduoti sertifikatą turi būti nurodyta pareiškėjo teisė priimtą sprendimą apskųsti ir skundo pateikimo terminas.

Pastaba Nr. 1. Dėl reikalavimo, nurodyto 2 punkte, žr. pastabą Nr. 1 prie šio priedo 7.1 papunkčio.

Atitiktį šiam reikalavimui pagrindžiančių dokumentų pavyzdžiai:

1.   sprendimų dėl sertifikavimo priėmimo tvarka, kurioje, be sprendimų priėmimo procedūros, aprašyta, kaip bus užtikrinamas sertifikavimo įstaigos nepriklausomumas ir atsakomybė;

2.   pareiškėjo patvirtinimas, kad prieš jį priežiūros institucijose nėra ir, kai taikoma, nebuvo pradėtų tyrimų dėl galimų pažeidimų, susijusių su sertifikavimo objektu ar galinčių turėti įtakos pareiškėjo atitikties vertinimui;

3.   sertifikavimo įstaigos įsipareigojimas kreiptis į priežiūros instituciją, siekiant patikrinti, ar pareiškėjo pateikta informacija dėl pareiškėjo atžvilgiu atliekamų tyrimų yra teisinga (tai gali būti nustatyta sprendimų dėl sertifikavimo priėmimo tvarkoje);

4.   dokumentas, kuriame pateiktas asmenų, dalyvavusių atliekant atitikties vertinimą, sąrašas, jame aprašant kiekvieno dalyvavusio asmens vaidmenį ir atskaitomybę;

5.   dokumentas (tvarka, taisyklės, kt.), kuriame aprašyta, kaip atrenkami ir skiriami asmenys Atlikties vertinimui ir sprendimo dėl sertifikavimo priėmimui, išskyrus atvejus, kai sprendimą dėl sertifikavimo priims sertifikavimo įstaigos vadovas;

6.   dokumentas, pagrindžiantis, kad asmenys, kurie paskiriami priimti sprendimą dėl sertifikavimo, yra supažindinti su jų pareiga informuoti juos skyrusį asmenį apie savo dalyvavimą atliekant atitikties vertinimą, išskyrus atvejus, kai sprendimą dėl sertifikavimo priims sertifikavimo įstaigos vadovas;

7.   sutartį, nurodytą ISO 17065 standarto 7.6.3 papunktyje;

8.   sertifikavimo įstaigos atitiktį organizacinės struktūros reikalavimui, nustatytam ISO 17065 standarto 7.6.4 papunktyje, patvirtinantį dokumentą, pavyzdžiui, Juridinių asmenų registro išrašą ar Juridinių asmenų dalyvių informacinės sistemos suformuotą sąrašą.

7.7.

Sertifikavimo dokumentai

Papildomai prie reikalavimų, nustatytų  ISO 17065 standarto 7.7.1 papunkčio e dalyje, sertifikavimo įstaiga turi užtikrinti, kad:

1.   atsižvelgiant į Reglamento (ES) 2016/679 42 straipsnio 7 dalį, sertifikato galiojimo laikotarpis neviršytų 3 metų;

2.   reguliari (bent kartą per 1 metus) priežiūra, laikantis šio priedo 7.9 papunkčio reikalavimų, būtų patvirtinta dokumentais.

Papildomai prie reikalavimų, nustatytų  ISO 17065 standarto 7.7.1 papunkčio f dalyje, sertifikavimo įstaiga turi:

1.   sertifikate aiškiai identifikuoti sertifikavimo objektą ir jį aprašyti (jei taikoma, nurodant versiją ar panašias charakteristikas);

2.   jei dėl objektyvių priežasčių dalis sertifikavimo kriterijų nebuvo vertinti (pavyzdžiui, jie konkrečiu atveju netaikomi), tuomet sertifikavimo įstaiga turi pateikti Inspekcijai tokių kriterijų sąrašą ir priežastis, dėl kurių jie nebuvo vertinti.

Sertifikavimo įstaiga, išdavusi sertifikatą, jo kopiją turi pateikti Inspekcijai.

Atitiktį šiam reikalavimui pagrindžiančių dokumentų pavyzdžiai:

1.   sertifikato, kuris bus išduodamas sertifikuojamiems subjektams, atitinkančio ISO 17065 standarto 7.7.1 – 7.7.2 papunkčiuose nustatytus turinio reikalavimus, pavyzdys;

2.   sertifikavimo įstaigos įsipareigojimas vykdyti reguliarią išduotų sertifikatų priežiūrą, nustatant priežiūros periodiškumą, taip pat dokumentas, pagrindžiantis šios priežiūros vykdymo tvarką ir terminus;

3.   sertifikavimo įstaigos įsipareigojimas išduoti sertifikatą tik esant visoms  ISO 17065 standarto 7.7.3 papunktyje nustatytoms sąlygoms arba dokumentas, nustatantis sertifikato išdavimo tvarką, jei jame yra aptartas ISO 17065 standarto 7.7.3 papunkčio reikalavimas.

7.8.

Sertifikuotų produktų katalogas

Papildomai prie reikalavimų, nustatytų  ISO 17065 standarto 7.8 papunktyje, sertifikavimo įstaiga turi:

1.   skelbti informaciją apie sertifikuotą objektą (prekes, procesus ir paslaugas), sertifikato išdavimo (atnaujinimo) datą ir galiojimo terminą.

2.   viešai paskelbti atitikties sertifikavimo kriterijams vertinimo ataskaitos santrauką, kurios tikslas – informuoti apie tai, kas buvo sertifikuota ir kaip buvo atliekamas atitikties vertinimas. Šioje santraukoje turi būti pateikta ši informacija:

2.1. sertifikavimo apimtis ir išsamus sertifikavimo objekto aprašymas;

2.2. sertifikavimo kriterijai, įskaitant jų versiją ir statusą;

2.3. atlikti vertinimai ir jų metodai;

2.4. vertinimo rezultatas;

3.   atsižvelgiant į Reglamento (ES) 2016/679 43 straipsnio 5 dalį, sertifikavimo įstaiga pateikia Inspekcijai sprendimo išduoti, atnaujinti ar panaikinti sertifikatą priežastis. Tuo atveju, jei sertifikatas buvo išduotas, Inspekcijai pateikiama išduoto sertifikato kopija.

Jei Inspekcija, gavusi aukščiau nurodytą informaciją, pateikia sertifikavimo įstaigai nurodymą atsisakyti išduoti sertifikatą ar panaikinti sertifikavimo įstaigos išduotą sertifikatą arba priima sprendimą panaikinti sertifikavimo įstaigos išduotą sertifikatą, sertifikavimo įstaiga turi įsipareigoti tokį nurodymą (ar priimtą sprendimą) vykdyti.

Pastaba Nr. 1. Šio priedo 7.8 papunktyje nurodyti reikalavimai nebūtų laikomi įgyvendintais tuo atveju, jei aukščiau nurodyta informacija būtų skelbiama tik sertifikavimo įstaigos intranete.

7.9.

Priežiūra

Papildomai prie reikalavimų, nustatytų  ISO 17065 standarto 7.9.1 – 7.9.3 papunkčiuose, atsižvelgiant į Reglamento (ES) 2016/679 43 straipsnio 2 dalies c punktą, sertifikavimo įstaiga turi:

1.   reguliariai (bent kartą per 1 metus) vykdyti išduotų sertifikatų peržiūrą. Peržiūros priemonės turi būti pasirenkamos, atsižvelgiant į galinčias kilti rizikas, jei nebūtų laikomasi įsipareigojimų, susijusių su išduotu sertifikatu.

2.   dokumentuoti priežiūros procedūrą, nustatant:

2.1.  rizikos asmens duomenų apsaugai vertinimo kriterijus;

2.2.  priežiūros vykdymo terminus ir intervalus;

2.3.  galimas taikyti priežiūros priemones;

2.4.  priežiūros vykdymo tvarką (įskaitant tikrinimą vietoje be išankstinio įspėjimo);

2.5.  sprendimus, kurie priimami atlikus priežiūrą (t. y. priežiūros pasekmes).

7.10.

Pakeitimai, turintys įtakos sertifikavimui

Papildomai prie reikalavimų, nustatytų  ISO 17065 standarto 7.10.1–7.10.3 papunkčiuose, pakeitimai, turintys įtakos sertifikavimui, kuriuos sertifikavimo įstaiga turi įvertinti, yra:

1.   Inspekcijos ar teismo nustatyti Reglamento (ES) 2016/679 ir (ar) kitų asmens duomenų apsaugą reglamentuojančių teisės aktų pažeidimai ar asmens duomenų saugumo pažeidimai, susiję su sertifikuojamu objektu ar turintys įtakos atitikties vertinimui;

2.   esminiai asmens duomenų tvarkymo operacijų, kurios yra (buvo) sertifikuotos, pasikeitimai;

3.   asmens duomenų apsaugą reglamentuojančių teisės aktų pakeitimai;

4.   Europos Komisijos priimti deleguotieji ar įgyvendinimo aktai, vadovaujantis Reglamento (ES) 2016/679 43 straipsnio 8 dalimi ir 43 straipsnio 9 dalimi;

5.   Valdybos priimti sprendimai, nuomonės, gairės, rekomendacijos ar gerosios praktikos ir kiti dokumentai;

6.   teismų sprendimai, susiję su asmens duomenų apsauga;

7.   techninių ir organizacinių priemonių pažanga.

Pastaba Nr. 1. Esminiai pakeitimai, nurodyti 2 punkte, suprantami kaip bet kokie pakeitimai, darantys didelį poveikį akreditavimo pagrindams, pvz.: naujų technologijų naudojimas (jei susiję su sertifikuotomis asmens duomenų tvarkymo operacijoms); pasikeitusios susijusių duomenų subjekto kategorijos (pvz., pažeidžiamų duomenų subjektų įtraukimas ir tokio duomenų tvarkymo rizika nebuvo vertinta atitikties vertinimo metu); asmens duomenų tvarkymo tikslo pakeitimai; tolesnio duomenų perdavimo (angl. onward transfer) įtraukimas; kiti esminiai pakeitimai ir (arba) pakeitimai, kurie kitaip galėtų daryti didelį poveikį akreditavimui.

Sertifikavimo įstaiga turi nustatyti pakeitimų vertinimo, pareiškėjo informavimo ir pakeitimų įgyvendinimo tvarką, nustatant:

1.   sertifikuojamų asmens duomenų tvarkymo operacijų, aprašytų paraiškoje, pasikeitimų ar informacijos apie pareiškėjo pažeidimus įtakos sertifikavimo procesui ar išduotam sertifikatui vertinimo kriterijus (kai apie pakeitimus praneša pareiškėjas);

2.   pakeitimų, apie kuriuos kyla pareiga pranešti pareiškėjui ir, kai tikslinga, atitinkamų pakeitimų (dokumentų tikslinimų, asmens duomenų tvarkymo operacijų taikymo apimties susiaurinimui, kt.) inicijavimo poreikį, vertinimo kriterijus;

3.   pareiškėjo informavimo apie pakeitimus, galinčius turėti įtakos atitikties vertinimui ar išduoto sertifikato galiojimui, tvarką ir terminus;

4.   pereinamojo laikotarpio trukmę;

5.   pakeitimų patvirtinimo Inspekcijoje inicijavimo procesą;

6.   atitinkamo sertifikavimo objekto pakartotinį vertinimą ir jo tvarką;

7.   priemones sertifikatui panaikinti, jei sertifikuota tvarkymo operacija nebeatitinka atnaujintų kriterijų.

7.11.

Sertifikato galiojimo nutraukimas, sutrumpinimas, sustabdymas arba panaikinimas

Papildomai prie reikalavimų, nustatytų  ISO 17065 standarto 7.11.1 papunktyje, sertifikavimo įstaiga turi nedelsiant raštu informuoti Inspekciją apie:

1.   jos taikytas (ar planuojamas taikyti) priemones (pavyzdžiui, pakartotinį atitikties vertinimą, atitikties vertinimo peržiūrą, priimto sprendimo peržiūrą, kt.) ir jų taikymo priežastis;

2.   sertifikato atnaujinimą, apribojimą, sustabdymą ar panaikinimą.

Atsižvelgiant į Reglamento (ES) 2016/679 58 straipsnio 2 dalies h punktą, sertifikavimo įstaiga turi įsipareigoti vykdyti Inspekcijos sprendimus ir nurodymus panaikinti sertifikavimo įstaigos išduotą sertifikatą arba jo neišduoti, jei nesilaikoma arba nebesilaikoma sertifikavimo kriterijų. Sertifikavimo įstaiga turi įsipareigoti, kad tais atvejais, kai Inspekcija jai pateiks minėtus nurodymus ar sprendimą, ji   pateiks Inspekcijai įrodymus, pagrindžiančius nurodymo ar sprendimo įvykdymą.

Pastaba Nr.1. Inspekcijai ar teismui nustačius, kad pareiškėjas (sertifikuotas subjektas) padarė sunkų Reglamento (ES) 2016/679 ir (ar) kitų asmens duomenų apsaugą reglamentuojančių teisės aktų pažeidimą ar reikšmingą asmens duomenų saugumo pažeidimą, laikoma, kad pareiškėjas nesilaiko arba nebesilaiko sertifikavimo kriterijų. Vertinant, ar pažeidimas gali būti laikomas sunkiu ar reikšmingu, atsižvelgiama į pažeidimo pobūdį, sunkumą, trukmę, nukentėjusių duomenų subjektų skaičių ir jų patirtos žalos dydį, asmens duomenų, kuriems pažeidimas turi poveikį, kategorijas, veiksmus, kurių pareiškėjas ėmėsi, kad sumažintų duomenų subjektų patirtą ar kitą pažeidimu sukeltą žalą, kt.

Pastaba Nr. 2. sertifikato apribojimu laikytinas sertifikavimo taikymo apimties sumažinimas. Tokiu atveju sertifikavimo įstaiga turi imtis būtinų susijusių priemonių: pakeisti išduotus (atnaujintus) sertifikatus ar kitus susijusius dokumentus ir imtis kitų būtinų veiksmų (pavyzdžiui, pakeisti viešai skelbiamą informaciją).

7.12.

Registrai

Papildomai prie reikalavimų, nustatytų  ISO 17065 standarto 7.12 papunktyje, sertifikavimo įstaiga turi:

1.   3 metus nuo sertifikato galiojimo pabaigos ar nuo sprendimo atsisakyti išduoti sertifikato priėmimo dienos saugoti visus susertifikavimu susijusius dokumentus ir įrašus, taip pat užtikrinti, kad visi dokumentai ir įrašai būtų išsamūs, suprantami, aktualūs ir tinkami auditui;

2.   3 metus nuo sertifikato galiojimo pabaigos saugoti visus įrašus, susijusius su pakeitimais, turinčiais įtakos sertifikavimui, ir veiksmais, kurių buvo imtasi, siekiant įgyvendinti šiuos pakeitimus.

7.13.

Skundai ir kreipimaisi į teismą

Papildomai prie reikalavimų, nustatytų ISO 17065 standarto 7.13.1 papunktyje, sertifikavimo įstaiga turi nustatyti:

1.   kas turi teisę teikti skundą sertifikavimo įstaigai;

2.   kas sertifikavimo įstaigoje nagrinės skundus (turi būti užtikrinama, kad tai nebus atitikties vertinime ar šio vertinimo peržiūroje dalyvavęs asmuo);

3.   kokie veiksmai bus atliekami nagrinėjant skundus;

4.   konsultavimosi su suinteresuotomis šalimis galimybes;

5.   kokiu būdu sertifikavimo veikla bus atskirta nuo veiklos, susijusios su skundų nagrinėjimu.

Skundų nagrinėjimo tvarka turi būti paskelbta viešai.

Pastaba Nr. 1. Sertifikavimo įstaiga turi fiksuoti informaciją apie gautus skundus ir veiksmus, kurių buvo imtasi juos nagrinėjant. Inspekcijai paprašius, jai turi būti sudaryta galimybė bet kuriuo metu susipažinti su šia informacija.

Papildomai prie reikalavimų, nustatytų  ISO 17065 standarto 7.13.2 papunktyje, sertifikavimo įstaiga turi nustatyti:

1.   kaip ir kam turi būti pateiktas patvirtinimas apie gautą skundą;

2.   per kiek laiko patvirtinimas turi būti pateiktas;

3.   kokie tolimesni veiksmai turi būti atliekami.

Papildomai prie reikalavimų, nustatytų ISO 17065 standarto 7.13.7 ir 7.13.8 papunkčiuose, sertifikavimo įstaiga turi nustatyti pagrįstą laikotarpį (pavyzdžiui, 3 mėnesius) skundą pateikusio asmens informavimui apie skundo nagrinėjimo eigą ir rezultatus.

Pastaba Nr. 2. Skundą pateikusio asmens informavimo laikotarpis galėtų būti pratęstas, atsižvelgiant į tikrinamo subjekto dydį, tyrimo sudėtingumą ir kitas objektyvias aplinkybes.

Atitiktį šiam reikalavimui pagrindžiančių dokumentų pavyzdžiai:

1.   skundų nagrinėjimo tvarka;

2.   skundą nagrinėsiančio asmens nustatymo kriterijai ir tvarka (jei ši informacija nėra nustatyta skundų nagrinėjimo tvarkoje);

3.   pranešimo apie skundo nagrinėjimo eigą ir (ar) rezultatus pavyzdys;

4.   sertifikavimo įstaigos darbuotojų patvirtinimas dėl atitikties šio priedo 4.2 ir 5.2 papunkčiuose aprašytam nešališkumo reikalavimui.

Eil. Nr.

Reikalavimas

Reikalavimo paaiškinimai ir atitikties šiam reikalavimui patvirtinimo dokumentai ar informacija

9.1.

Vertinimo metodų atnaujinimas

Sertifikavimo įstaiga turi nustatyti paraiškos vertinimo metodų (pagal šio priedo 7.4 papunktį ir ISO 17065 standarto 7.4 papunktį) atnaujinimo tvarką. Vertinimo metodai turi būti atnaujinami, atsižvelgiant į teisinės sistemos pokyčius, susijusią(-ias) riziką(-as), techninių ir organizacinių saugumo priemonių pažangą ir jų įgyvendinimo kaštus.  

Vertinimo metodų kontekste aukščiau nurodytos procedūros turi sudaryti sąlygas nustatyti, ar, siekiant užtikrinti asmens duomenų apsaugos principus ir asmens duomenų saugumui keliamus reikalavimus, reikalinga keisti nuorodas į teisės aktus, Susitarimo turinį, identifikuotus rizikos šaltinius (įskaitant techninių priemonių pažeidžiamumą), asmens duomenų tvarkymo operacijoms taikomas technines ar organizacines priemones (pavyzdžiui, į pažangesnes) ir kt. Reikalingi pakeitimai turi būti dokumentuoti, išsaugant ankstesnes dokumentų versijas.

9.2.

Ekspertinių žinių išsaugojimas

Sertifikavimo įstaiga turi nustatyti darbuotojų mokymo ir kvalifikacijos kėlimo tvarką, užtikrinant jų ekspertinių žinių atnaujinimą, atsižvelgiant į šio priedo 7.10 papunktyje ir ISO 17065 standarto 7.10 papunktyje nurodytus pokyčius ir šio priedo 6.1 papunktyje ir ISO 17065 standarto 6.1 papunktyje nurodytus reikalavimus.

9.3.

Pareigos ir kompetencija

9.3.1.

Sertifikavimo įstaigos ir jos klientų ryšiai

Sertifikavimo įstaiga turi nustatyti komunikacijos su sertifikuojamu ar pareiškėju tvarką, kuri apimtų:

1. akredituotos sertifikavimo įstaigos užduočių ir atsakomybės dokumentų valdymą, siekiant:

1.1.  nagrinėti gautus prašymus dėl informacijos pateikimo;

1.2.  užtikrinti tarpusavio komunikaciją dėl skundų, susijusių su sertifikavimu.

2.   Paraiškos dėl sertifikavimo teikimo ir jos nagrinėjimo tvarką, siekiant: 

2.1.  informuoti apie paraiškos vertinimo eigą ir rezultatus;

2.2.  sudaryti sąlygas Inspekcijos vertinimui ir (ar) patikrinimui, siekiant gauti Inspekcijos nuomonę ar sprendimą.

9.3.2.

Vertinimo veiklos dokumentavimas

Sertifikavimo įstaiga turi dokumentuoti savo atliekamą sertifikavimo veiklą. Atnaujinus dokumentus, turi būti pažymima dokumento versija ir atnaujinimo data. Ankstesnės dokumentų versijos saugomos 3 metus nuo pakeitimų atlikimo.

Sertifikavimo įstaiga turi nustatyti informacijos teikimo Inspekcijai tvarką, kuri apimtų:

1.   šio priedo 7.6 papunktyje nustatytų reikalavimų laikymąsi, t. y. informavimą apie gautas paraiškas dėl sertifikavimo ir (ar) siekiamą priimti sprendimą išduoti sertifikatą. Inspekcija, gavusi šią informaciją, patikrina pareiškėjo Reglamento (ES) 2016/679 pažeidimų ir asmens duomenų saugumo pažeidimų istoriją;

2.   informavimą apie sertifikato išdavimo ar panaikinimo priežastis (vadovaujantis Reglamento (ES) 2016/679 43 straipsnio 5 dalimi), laikantis šio priedo 7.1 papunkčio reikalavimų;

3.   informavimą apie su sertifikavimo paslaugų teikimu susijusių dokumentų, kurie buvo pateikti atitikties akreditavimo reikalavimams vertinimo metu, pakeitimus ir šių pakeitimų priežastis.

Sertifikavimo įstaiga turi bendradarbiauti su Inspekcija, teikti Inspekcijai jos prašomą informaciją, sudaryti sąlygas vykdyti patikrinimus ir (ar) auditus. Šis įsipareigojimas turi būti pagrįstas dokumentais.

9.3.3.

Skundų nagrinėjimo administravimas

Sertifikavimo įstaigos skundų ir apeliacijų nagrinėjimo tvarka turi būti parengta kaip neatsiejama valdymo sistemos dalis, įgyvendinanti ISO 17065 standarto 4.1.2.2 papunkčio c dalies, 4.1.2.2 papunkčio j dalies, 4.6 papunkčio d dalies ir 7.13 papunkčio reikalavimus.

Inspekcijai turi būti pateikta informacija apie sertifikavimo įstaigos gautus susijusius esminius pagrįstus skundus.

9.3.4.

Panaikinimo valdymas

Sertifikavimo įstaiga valdymo sistemoje turi nustatyti, kokių veiksmų bus imtasi, jei Inspekcija sustabdys ar panaikins sprendimą akredituoti sertifikavimo įstaigą, pavyzdžiui, kaip bus informuojami sertifikavimo įstaigos klientai (sertifikuojami subjektai).

1.1. Prašymas

(tinkamą pažymėti)

☐ Naujas prašymas;

☐ Patikslintas prašymas (Sertifikavimo įstaigų akreditavimo tvarkos aprašo 10 punktas).

1.2. Prašymo objektas?

(tinkamą pažymėti)

☐ Prašymas atnaujinti Sertifikavimo įstaigos akreditaciją: ________________________________

__________________________________________

(nurodykite sprendimo akredituoti Sertifikavimo įstaigą, dėl kurios tiekiamas prašymas, datą ir numerį)

☐ Prašymas akredituoti Sertifikavimo įstaigą

Pastaba. Pildoma tais atvejais, kai Valstybinė duomenų apsaugos inspekcija Sertifikavimo įstaigos atitikties anksčiau nėra vertinusi.

☐ Prašymas akredituoti Sertifikavimo įstaigą pagal papildomus sertifikavimo kriterijus.

Informacija apie turimą akreditaciją: _____________

__________________________________________

(nurodykite sprendimo akredituoti Sertifikavimo įstaigą, dėl kurios tiekiamas prašymas, datą ir numerį)

Pastaba. Pildoma tais atvejais, kai Valstybinė duomenų apsaugos inspekcija Sertifikavimo įstaigą yra akreditavusi, tačiau ši įstaiga siekia teikti sertifikavimo paslaugas pagal kelis sertifikavimo kriterijų rinkinius (kelias sertifikavimo schemas).

☐ Ne.

1.3. Kokiais sertifikavimo kriterijais remiantis siekiate teikti sertifikavimo paslaugas?

☐ Sertifikavimo paslaugas teikti pagal šiuos patvirtintus Sertifikavimo kriterijus:  ___________

_________________________________________

_________________________________________

_________________________________________

(prašome nurodyti įstaigos, patvirtinusios sertifikavimo kriterijus pavadinimą, valstybę, kriterijų patvirtinimo datą arba pateikite nuorodą į tokį sprendimą).

Pastaba. Pažymėję šį pasirinkimą patvirtinate, kad turite teisę teikti sertifikavimo paslaugas pagal šiuos Sertifikavimo kriterijus.

1.4. Ar esate kreipęsi į kitos Europos Ekonominės Erdvės asmens duomenų apsaugos priežiūros instituciją ar nacionalinę akreditavimo biurą su prašymu akredituoti teikti sertifikavimo paslaugas pagal Sertifikavimo kriterijus, nurodytus atsakant į 1.4 klausimą?

☐ Taip: __________________________________ _________________________________________

_________________________________________

(Nurodykite kreipimosi datą ir asmens duomenų apsaugos priežiūros instituciją ar nacionalinę akreditavimo biurą, į kurį kreipėtės)

Pastaba. Tuo atveju, jei prašymo nagrinėjimas yra baigtas, pridėkite šio sprendimo kopiją.

2.1. Kai pareiškėjas fizinis asmuo

Vardas, pavardė

Individualios veiklos pažymos arba verslo liudijimo numeris

Korespondencijos adresas

Telefono ryšio numeris ir (ar) el. pašto adresas ir (ar) E. pristatymo dėžutės adresas

2.2. Kai pareiškėjas juridinis asmuo

Pavadinimas

Juridinio asmens kodas

Buveinės adresas

Telefono ryšio numeris ir (ar) el. pašto adresas ir (ar) E. pristatymo dėžutės adresas

2.3. Sertifikavimo įstaigos vadovas ar jo įgaliotas asmuo (atstovas)

Vardas, pavardė

Pareigos

Atstovavimo pagrindas (jei taikoma)

Pridėkite ir išvardinkite atstovavimą patvirtinančius dokumentus ar jų patvirtintas kopijas.

Pastaba. Kartu su prašymu teikiami dokumentai turi būti parengti lietuvių kalba arba pateikiamas jų vertimas į lietuvių kalbą.

(Pridedamų dokumentų sąrašas)

Korespondencijos adresas

Telefono ryšio numeris ir (ar) el. pašto adresas ir (ar) E. pristatymo dėžutės adresas

IV. BENDRIEJI REIKALAVIMAI

4.1. Teisiniai ir sutartiniai klausimai

4.1.1. Teisinė atsakomybė

Kaip Sertifikavimo įstaiga užtikrins atitiktį šio akreditavimo reikalavimui?

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 4.1.1 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

4.1.2. Susitarimas dėl sertifikavimo

Ar Sertifikavimo įstaigos parengtame Susitarime dėl sertifikavimo yra visi šio akreditavimo reikalavimo elementai? (tinkamą pažymėti)

☐ Taip

☐ Ne (pateikite paaiškinimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 4.1.2 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

4.1.3 Duomenų apsaugos ženklų ir žymenų naudojimas

Kokių veiksmų imsis Sertifikavimo įstaiga nustačiusi neteisingos ar klaidinančios informacijos apie sertifikavimo mechanizmą skleidimo faktą arba netinkamą ar klaidinantį sertifikatų, duomenų apsaugos ženklų ar žymenų naudojimą?

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 4.1.3 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

4.2. Nešališkumo valdymas

Kaip Sertifikavimo įstaiga užtikrins savo nepriklausomumą?

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Ar Sertifikavimo įstaiga yra susijusi su Valstybine duomenų apsaugos inspekcija ar jos darbuotojais ?

(tinkamą pažymėti)

☐ Taip (pateikite paaiškinimą)

☐ Ne

Kokie interesų konfliktai gali kilti Sertifikavimo paslaugų teikimo metu?

(Pateikite paaiškinimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kokias galimų interesų konfliktų rizikos valdymo priemones taikys Sertifikavimo įstaiga?

(Pateikite paaiškinimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 4.2 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

4.3. Atsakomybė ir finansavimas

Kaip Sertifikavimo įstaiga užtikrins įsipareigojimų, susijusių su sertifikavimo paslaugų teikimu, vykdymą? (tinkamą pažymėti)

☐ Sertifikavimo įstaiga yra apdraudusi veiklą ar veiklos, susijusios su sertifikavimo paslaugų teikimu, dalį civilinės atsakomybės draudimu

☐ Sertifikavimo įstaiga turi pakankamą finansinį rezervą galimiems įsipareigojimams (ieškiniams ir kt.) padengti

☐ Kita (pateikite paaiškinimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kaip Sertifikavimo įstaiga informuos Valstybinę duomenų apsaugos inspekciją apie šio akreditavimo reikalavimo laikymąsi, su šiuo reikalavimu susijusių priemonių taikymą, pasikeitimus, kt.

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Kita informacija, reikšminga vertinant Sertifikavimo įstaigos atitiktį šiam akreditavimo reikalavimui.

(Pateikite paaiškinimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 4.3 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

4.4. Nediskriminacinės sąlygos

Kaip užtikrinate atitiktį reikalavimams, nustatytiems ISO 17065 standarto 4.4 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

4.5. Konfidencialumas

Kokias konfidencialumo užtikrinimo priemones taiko Sertifikavimo įstaiga? (tinkamą pažymėti)

☐ Sertifikavimo įstaigos darbuotojai pasirašo pasižadėjimus (susitarimus) saugoti konfidencialią informaciją

☐ Sertifikavimo įstaigos darbuotojams konfidencialios informacijos saugojimo pareiga kyla iš teisės aktų (pateikti teisės aktą ir šią pareigą nustatančią nuostatą)

☐ Kita (pateikite paaiškinimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 4.5 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

4.6. Viešai skelbiama informacija

Kaip Sertifikavimo įstaiga užtikrins atitiktį šiam akreditavimo reikalavimui?

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 4.6 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

V. STRUKTŪROS REIKALAVIMAI

5.1. Organizacinė struktūra ir aukščiausia vadovybė

Kokius reikalavimus Sertifikavimo įstaiga kelia asmeniui, atsakingam už asmens duomenų apsaugos reikalavimų laikymąsi ir informacijos valdymą, saugumo priemonių taikymą?

Stažas asmens duomenų apsaugos teisės srityje: ________ (stažą nurodykite metais)

Kiti reikalavimai (Pateikite trumpą reikalavimų aprašymą):

(kita informacija, reikšminga siekiant įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 5.1 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

5.2. Nešališkumo apsaugos mechanizmai

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 5.2 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Ar Sertifikavimo įstaigos darbuotojai informuoti apie jų veiksmus kilus interesų konfliktui ar pastebėjus, kad interesų konfliktas galėtų kilti?

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

VI. REIKALINGI IŠTEKLIAI

6.1. Sertifikavimo įstaigos darbuotojai

Kokius reikalavimus Sertifikavimo įstaiga kelia techninės patirties turintiems darbuotojams?

Reikalavimai kvalifikacijai: (Pateikite paaiškinimą)

Reikalavimai už sprendimų dėl sertifikavimo priėmimą atsakingų darbuotojų profesinei patirčiai: (Pateikite paaiškinimą)

Reikalavimai už atitikties vertinimą atsakingų darbuotojų profesinei patirčiai: (Pateikite paaiškinimą)

Kiti reikalavimai: (Pateikite visą reikiamą informaciją, siekiant įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kokius reikalavimus Sertifikavimo įstaiga kelia teisinės patirties turintiems darbuotojams ?

Reikalavimai kvalifikacijai: (Pateikite paaiškinimą)

Reikalavimai už sprendimų dėl sertifikavimo priėmimą atsakingų darbuotojų profesinei patirčiai: (Pateikite paaiškinimą)

Reikalavimai už atitikties vertinimą atsakingų darbuotojų profesiniai profesinei patirčiai: (Pateikite paaiškinimą)

Kiti reikalavimai: (Pateikite visą reikiamą informaciją, siekiant įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kita informacija, reikšminga vertinant Sertifikavimo įstaigos atitiktį šiam akreditavimo reikalavimui.

(Pateikite paaiškinimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 6.1 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

6.2. Vertinimo ištekliai

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 6.2 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

VII. REIKALAVIMAI SERTIFIKAVIMO PROCESUI

7.1. Bendrieji reikalavimai

Kaip Sertifikavimo įstaiga užtikrins atitiktį šiam akreditavimo reikalavimui?

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kokia tvarka Sertifikavimo įstaiga informuos Valstybinę duomenų apsaugos inspekciją apie siekiamus priimti sprendimus dėl sertifikatų?

(Pateikite paaiškinimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 7.1 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

7.2. Paraiška

Kaip Sertifikavimo įstaiga užtikrins atitiktį šiam akreditavimo reikalavimui?

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 7.2 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

7.3. Paraiškos peržiūra

Kokiais kriterijais remiantis Sertifikavimo įstaiga vertins savo kompetenciją vertinti sertifikavimo objektą asmens duomenų apsaugos srityje?

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 7.3 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

7.4. Vertinimas

Kokiais metodais Sertifikavimo įstaiga vertins sertifikuojamų subjektų atitiktį sertifikavimo kriterijams?

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kaip Sertifikavimo įstaiga užtikrins, kad atitikties vertinimo metodai būtų standartizuoti ir visuotinai taikomi?

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kita informacija, reikšminga vertinant Sertifikavimo įstaigos atitiktį šiam akreditavimo reikalavimui.

(Pateikite paaiškinimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 7.4 papunktyje?*

(Kome Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą ntaras)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

7.5. Peržiūra

Kaip Sertifikavimo įstaiga užtikrins atitiktį šiam akreditavimo reikalavimui?

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 7.5 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

7.6. Sprendimas dėl sertifikavimo

Kaip Sertifikavimo įstaiga užtikrins atitiktį šiam akreditavimo reikalavimui?

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 7.6 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

7.7. Sertifikavimo dokumentai

Kokį laikotarpį galios Sertifikavimo įstaigos išduoti sertifikatai?

Sertifikato galiojimo laikotarpis: (komentaras)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kokia informacija bus pateikiama sertifikate?

(Pateikite paaiškinimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kita informacija, reikšminga vertinant Sertifikavimo įstaigos atitiktį šiam akreditavimo reikalavimui.

(Pateikite paaiškinimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 7.7 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

7.8. Sertifikuotų produktų katalogas

Kaip Sertifikavimo įstaiga užtikrins atitiktį šiam akreditavimo reikalavimui?

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 7.7 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

7.9. Priežiūra

Kokiais laiko intervalais Sertifikavimo įstaiga vykdys išduotų Sertifikatų priežiūrą?

(Pateikite paaiškinimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kita informacija, reikšminga vertinant Sertifikavimo įstaigos atitiktį šiam akreditavimo reikalavimui.

(Pateikite paaiškinimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 7.9 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

7.10. Pakeitimai, turintys įtakos sertifikavimui

Kaip Sertifikavimo įstaiga užtikrins atitiktį šiam akreditavimo reikalavimui?

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 7.10 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

7.11. Sertifikato galiojimo nutraukimas, sutrumpinimas, sustabdymas arba panaikinimas

Kaip Sertifikavimo įstaiga užtikrins atitiktį šiam akreditavimo reikalavimui?

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 7.11 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

7.12 Registrai

Kaip Sertifikavimo įstaiga užtikrins atitiktį šiam akreditavimo reikalavimui?

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 7.12 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

7.13. Skundai ir kreipimaisi į teismą

Kas turės teisę pateikti skundą Sertifikavimo įstaigai?

(Pateikite paaiškinimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kokie reikalavimai keliami Sertifikavimo įstaigoje gautus skundus nagrinėsiantiems asmenims?

(Pateikite paaiškinimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kokia tvarka ir terminais bus nagrinėjami Sertifikavimo įstaigoje gauti skundai?

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kita informacija, reikšminga vertinant Sertifikavimo įstaigos atitiktį šiam akreditavimo reikalavimui.

(Pateikite paaiškinimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 7.13 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

VIII. REIKALAVIMAI VALDYMO SISTEMAI

8.1. Bendrieji valdymo sistemos reikalavimai

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 8.1 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

8.2. Valdymo sistemos dokumentavimas

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 8.2 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

8.3. Dokumentų kontrolė

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 8.3 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

8.4. Registrų kontrolė

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 8.4 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

8.5. Valdymo priežiūra

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 8.5 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

8.6. Vidaus auditai

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 8.6 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

8.7. Taisomieji veiksmai

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 8.7 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

8.8. Prevenciniai veiksmai

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 8.8 papunktyje?*

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad Sertifikavimo įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

IX. KITI REIKALAVIMAI

9.1. Vertinimo metodų atnaujinimas

Ar Sertifikavimo įstaiga turi paraiškos vertinimo metodų atnaujinimo tvarką?

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad stebėsenos įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kita informacija, reikšminga vertinant Sertifikavimo įstaigos atitiktį šiam akreditavimo reikalavimui.

(Pateikite paaiškinimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

9.2. Ekspertinių žinių išsaugojimas

Ar Sertifikavimo įstaiga turi darbuotojų mokymo ir kvalifikacijos kėlimo tvarką?

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad stebėsenos įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kita informacija, reikšminga vertinant Sertifikavimo įstaigos atitiktį šiam akreditavimo reikalavimui.

(Pateikite paaiškinimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

9.3. Pareigos ir kompetencija

9.3.1. Sertifikavimo įstaigos ir jos klientų ryšiai

Ar Sertifikavimo įstaiga turi komunikacijos su sertifikuojamu ar sertifikuotu subjektu tvarką?

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad stebėsenos įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Ar Sertifikavimo įstaiga turi paraiškos dėl sertifikavimo teikimo ir jos nagrinėjimo tvarką?

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad stebėsenos įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kita informacija, reikšminga vertinant Sertifikavimo įstaigos atitiktį šiam akreditavimo reikalavimui.

(Pateikite paaiškinimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

9.3.2. Vertinimo veiklos dokumentavimas

Ar Sertifikavimo įstaiga turi informacijos teikimo Valstybinei duomenų apsaugos inspekcijai tvarką?

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad stebėsenos įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

Kita informacija, reikšminga vertinant Sertifikavimo įstaigos atitiktį šiam akreditavimo reikalavimui.

(Pateikite paaiškinimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

9.3.3. Skundų nagrinėjimo administravimas

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 8.7 papunktyje?

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad stebėsenos įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

9.3.4. Panaikinimo valdymas

Kaip Sertifikavimo įstaiga užtikrins atitiktį reikalavimams, nustatytiems ISO 17065 standarto 8.7 papunktyje?

(Pateikite visą reikiamą informaciją, siekdami įrodyti, kad stebėsenos įstaiga įvykdo šį akreditavimo reikalavimą)

Pridėkite ir išvardinkite pridedamus dokumentus.

(Pridedamų dokumentų sąrašas)

(Komentaras)