VALSTYBINĖS DUOMENŲ APSAUGOS INSPEKCIJOS
DIREKTORIUS
ĮSAKYMAS
DĖL SERTIFIKAVIMO KRITERIJŲ PATVIRTINIMO TVARKOS APRAŠo PATVIRTINIMO
2024 m. gruodžio 10 d. Nr. 1T-101 (1.12 E)
Vilnius
Vadovaudamasi 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 42 ir 43 straipsniais, 46 straipsnio 1 dalies f punktu, 57 straipsnio 1 dalies n punktu, 58 straipsnio 3 dalies f punktu, taip pat atsižvelgdama į Europos duomenų apsaugos valdybos 2019 m. birželio 4 d. Bendrojo duomenų apsaugos reglamento (2016/679) 43 straipsnyje nurodytų sertifikavimo įstaigų akreditavimo gaires Nr. 4/2018 ir 2019 m. birželio 4 d. Sertifikavimo ir sertifikavimo kriterijų nustatymo pagal Reglamento 42 ir 43 straipsnius gaires Nr.1/2018,
PATVIRTINTA
Valstybinės duomenų apsaugos inspekcijos
direktoriaus 2024 m. gruodžio 10 d. įsakymu
Nr. 1T-101 (1.12 E)
SERTIFIKAVIMO KRITERIJŲ PATVIRTINIMO TVARKOS APRAŠAS
I SKYRIUS
BENDROSIOS NUOSTATOS
1. Sertifikavimo kriterijų patvirtinimo tvarkos aprašas (toliau – Tvarkos aprašas) nustato fizinių arba juridinių asmenų prašymų dėl sertifikavimo kriterijų patvirtinimo (toliau – Prašymas) pateikimo Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija), Prašymo nagrinėjimo ir sertifikavimo kriterijų tvirtinimo tvarką.
2. Tvarkos aprašas parengtas vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 42, 43 straipsniais, 46 straipsnio 2 dalies f punktu, 57 straipsnio 1 dalies n punktu ir 58 straipsnio 3 dalies f punktu.
3. Tvarkos aprašas taikomas Inspekcijai ir fiziniams ar juridiniams asmenims, parengusiems sertifikavimo kriterijus ir siekiantiems, kad Inspekcija juos patvirtintų (toliau – sertifikavimo kriterijų savininkas arba pareiškėjas). Tvarkos aprašas taikomas ir tais atvejais, kai sertifikavimo kriterijų savininkas siekia gauti Europos duomenų apsaugos ženklą.
4. Tvarkos apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679.
5. Sertifikavimo kriterijai, kuriuos patvirtinti teikiamas Prašymas, turi būti:
5.2. svarbūs ir tinkami, siekiant įrodyti konkrečių subjektų, kuriuos siekiama sertifikuoti, atitiktį Reglamentui (ES) 2016/679;
5.3. suformuluoti nuosekliai, aiškiai, suprantamai ir taip, kad juos būtų galima patikrinti ir taikyti praktiškai;
5.4. pritaikomi įvairiems duomenų valdytojams ir duomenų tvarkytojams (atsižvelgiant į jų dydį, sektorių, kt.);
5.6. suderinami su Reglamentu (ES) 2016/679, Europos duomenų apsaugos valdybos (toliau – Valdyba) 2019 m. birželio 4 d. Sertifikavimo ir sertifikavimo kriterijų nustatymo pagal Reglamento 42 ir 43 straipsnius gairėmis Nr. 1/2018 (toliau – Gairės Nr. 1/2018) ir jų 2 priedu, 2023 m. vasario 14 d. gairių Nr. 07/2022 dėl sertifikavimo kaip duomenų perdavimo priemonės (toliau – Gairės 07/2022) ir Valdybos 2020 m. sausio 28 d. dokumentą dėl Valdybos sertifikavimo kriterijų patvirtinimo procedūros, kurią atlikus išduodamas bendras sertifikatas – Europos duomenų apsaugos ženklas (toliau – 2020 m. sausio 28 d. dokumentas dėl Europos duomenų apsaugos ženklo).
II SKYRIUS
PRAŠYMŲ PATEIKIMAS
6. Pareiškėjas, siekdamas patvirtinti sertifikavimo kriterijus, Inspekcijai turi pateikti:
6.1. Prašymą, kuriame nurodo savo rekvizitus (kai pareiškėjas yra juridinis asmuo – pavadinimą, juridinio asmens kodą, buveinės adresą, kontaktinį telefono ryšio numerį ir (ar) elektroninio pašto adresą ir (ar) adresą Nacionalinėje elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinėje sistemoje, o kai pareiškėjas yra fizinis asmuo – vardą, pavardę, individualios veiklos pažymėjimo arba verslo liudijimo numerį, korespondencijos adresą, kontaktinį telefono ryšio numerį ir (ar) elektroninio pašto adresą) ir (ar) adresą Nacionalinėje elektroninių siuntų pristatymo, naudojant pašto tinklą, informacinėje sistemoje);
6.3. Sertifikavimo mechanizmo aprašymą, nurodant jo tikslą, apimtį, kas galės sertifikuotis pagal šį mechanizmą, Sertifikavimo kriterijų atnaujinimo tvarką ir pan.). Tais atvejais, kai sertifikavimo mechanizmas skirtas Europos duomenų apsaugos ženklo gavimui, papildomai paaiškinama, kaip šis sertifikavimo mechanizmas bus pritaikomas išduodant sertifikatus duomenų valdytojams (duomenų tvarkytojams), veikiantiems kitose Europos Sąjungos (toliau – ES) valstybėse narėse (įvertinant ir tai, kaip nacionalinis reguliavimas bus taikomas praktikoje, sertifikuojant duomenų valdytojų ir duomenų tvarkytojų asmens duomenų tvarkymo veiklas pagal šiuos sertifikavimo kriterijus);
6.4. Aprašymą, kokiomis sutartinėmis ar kitomis teisiškai privalomomis priemonėmis bus užtikrinta, kad duomenų valdytojai ar duomenų tvarkytojai, kuriems netaikomas Reglamentas (ES) 2016/679 ir kurie laikosi duomenų perdavimui skirto sertifikavimo mechanizmo, prisiims privalomus ir vykdytinus įsipareigojimus taikyti sertifikavimo mechanizmu numatytas tinkamas apsaugos priemones, įskaitant, bet neapsiribojant, susijusias su duomenų subjektų teisėmis (taikoma tais atvejais, kai prašymas patvirtinti sertifikavimo kriterijus yra susijęs su Reglamento (ES) 2016/679 46 straipsnio 2 dalies f punkto įgyvendinimu);
6.5. Sertifikavimo kriterijų ryšį su Reglamento (ES) 2016/679 reikalavimais (angl. Mapping certification criteria with GDPR);
6.6. Aprašymą, kaip turės būti atliekamas sertifikavimas pagal pateiktus patvirtinti Sertifikavimo kriterijus (pavyzdžiui, vertinimo metodus, patikrinimo metodus, kitus paaiškinimus);
6.7. Tais atvejais, kai sertifikavimo mechanizmas, skirtas Europos duomenų apsaugos ženklo gavimui, papildomai pateikiamas asmens duomenų tvarkymo operacijoms, kurios galės būti sertifikuotos pagal Sertifikavimo kriterijus, taikytinų nacionalinių teisės aktų sąrašas ir paaiškinimas, kaip jis buvo sudarytas, kaip bus užtikrinamas jo aktualumas (įskaitant, reguliarią ir skaidrią jo peržiūrą).
7. Pareiškėjas taip pat gali pateikti kitą informaciją, kuri, jo nuomone, gali būti naudinga vertinant jo pateiktus tvirtinti sertifikavimo kriterijus.
8. Tuo atveju, jei pareiškėjas yra juridinis asmuo, Prašymą pasirašo Pareiškėjo vadovas ar įgaliotas asmuo, o jei pareiškėjas yra fizinis asmuo – Pareiškėjas arba jo įgaliotas asmuo. Prie Prašymo pridedami atstovavimą patvirtinantys dokumentai ar jų patvirtintos kopijos, kai Prašymą teikia Pareiškėjo įgaliotas asmuo.
10. Prašymą pareiškėjas pateikia raštu: Inspekcijoje, paštu, naudojantis Nacionaline elektroninių siuntų pristatymo, naudojant pašto tinklą, informacine sistema ar elektroniniu paštu. Tuo atveju, jei Prašymas teikiamas elektroniniu paštu, jis turi būti pasirašytas kvalifikuotu elektroniniu parašu.
III SKYRIUS
PRAŠYMŲ NAGRINĖJIMAS IR SPRENDIMŲ PRIĖMIMAS
12. Jeigu pareiškėjas pateikia Tvarkos aprašo 6.1 papunktyje nustatytų reikalavimų neatitinkantį ar nepasirašytą Prašymą arba nepateikia Tvarkos aprašo 6.2–6.6 papunkčiuose ir, kai taikoma, 6.7 papunktyje nurodytų dokumentų (toliau – Prašymo priedai), taip pat, kai Prašymą pateikia neturintis teisės jį pateikti asmuo, Inspekcija, per 5 darbo dienas nuo tokio Prašymo gavimo praneša pareiškėjui apie nustatytus trūkumus ir nurodo ne trumpesnį kaip 10 darbo dienų terminą jiems ištaisyti. Pareiškėjas gali prašyti nustatytą terminą pratęsti.
13. Jeigu pareiškėjas per Inspekcijos nustatytą terminą jos nustatytų trūkumų neištaiso, Inspekcija per 3 darbo dienas nuo nustatyto termino pabaigos atsisako nagrinėti Prašymą ir apie tai informuoja pareiškėją ar jo atstovą.
14. Inspekcija pareiškėjo pateiktus sertifikavimo kriterijus tvirtina arba atsisako juos tvirtinti, išnagrinėjusi pateiktuose dokumentuose nurodytą informaciją.
15. Nagrinėdama pareiškėjo pateiktus dokumentus, Inspekcija turi teisę raštu kreiptis į pareiškėją dėl bet kokios papildomos su sertifikavimo kriterijų vertinimu susijusios ir sertifikavimo kriterijų patvirtinimui reikalingos informacijos pateikimo pagal Reglamento (ES) 2016/679 42 straipsnio 6 dalį, 58 straipsnio 1 dalies e punktą. Pareiškėjui suteikiamas ne trumpesnis kaip 10 darbo dienų terminas informacijai pateikti.
16. Inspekcija, priimdama sprendimą dėl sertifikavimo kriterijų patvirtinimo ar atsisakymo juos patvirtinti, vertina pareiškėjo nurodytą sertifikavimo mechanizmą, sertifikavimo kriterijų taikymo sritį (sritis), tinkamumą sertifikavimo funkcijai atlikti, atsižvelgdama į Gairių Nr. 1/2018 47 ir 67 punktus ir jų 2 priede nustatytas kriterijų vertinimo gaires, Gairių Nr. 07/2022 3 skyrių ir 2020 m. sausio 28 d. dokumentą dėl Europos duomenų apsaugos ženklo.
17. Inspekcija įvertina pareiškėjo Sertifikavimo kriterijų atitiktį Reglamento (ES) 2016/679 reikalavimams ne vėliau kaip per 8 savaites nuo paskutinių dokumentų, pateiktų pagal Inspekcijos prašymą, pateikimo dienos, o jei toks prašymas nepateiktas – nuo tos dienos, kurią Inspekcija iš pareiškėjo gauna Tvarkos aprašo 6 punkte nustatytus reikalavimus atitinkantį Prašymą kartu su visais dokumentais ir informacija, nurodyta Tvarkos aprašo 6 ir 7 punktuose.
18. Inspekcija, atsižvelgdama į pareiškėjo pateiktos informacijos apimtį ir sudėtingumą ar kitas svarbias aplinkybes, vieną kartą gali pratęsti dokumentų nagrinėjimo terminą dar 6 savaitėms. Pareiškėjui apie tokį termino pratęsimą per 5 darbo dienas nuo sprendimo pratęsti terminą priėmimo dienos pranešama raštu ir nurodomos pratęsimo priežastys.
19. Inspekcija, per Tvarkos aprašo 17 ir 18 punktuose nurodytus terminus išnagrinėjusi Prašymą, Prašymo priedus ir, kai taikoma, papildomai gautus dokumentus bei nustačiusi, kad Sertifikavimo kriterijai atitinka Reglamento (ES) 2016/679 reikalavimus, parengia Inspekcijos sprendimo patvirtinti pareiškėjo sertifikavimo kriterijus projektą. Tuo atveju, jei Inspekcija nustato, kad Sertifikavimo kriterijai neatitinka Reglamento (ES) 2016/679 reikalavimų, Inspekcija sprendimu atsisako patvirtinti Sertifikavimo kriterijus.
20. Inspekcijos sprendimo patvirtinti Sertifikavimo kriterijus projektas kartu su visais dokumentais ir informacija, nurodyta Tvarkos aprašo 6 ir 7 punktuose, vadovaujantis Reglamento (ES) 2016/679 43 straipsnio 6 dalimi, 63 straipsniu ir 64 straipsnio 1 dalies c punktu ir 2020 m. sausio 28 d. dokumentu dėl Europos duomenų apsaugos ženklo, perduodamas vertinti Valdybai. Apie parengtą sprendimo projektą ir jo perdavimą vertinti Valdybai Inspekcija ne vėliau kaip per 3 darbo dienas nuo sprendimo projekto parengimo informuoja pareiškėją arba jo atstovą. Tvarkos aprašo 17 – 18 punktuose nurodytų terminų skaičiavimas sustabdomas.
21. Inspekcija, gavusi Valdybos pastabas ar prašymą pateikti paaiškinimus ar patikslinti sertifikavimo kriterijus ar kitus Prašymo priedus (toliau kartu – Valdybos prašymai), ne vėliau kaip per 10 darbo dienų įvertina Valdybos prašymus ir Tvarkos aprašo nustatyta tvarka ir terminais kreipiasi į pareiškėją dėl paaiškinimų pateikimo ir (ar) sertifikavimo kriterijų ar kitų Prašymo priedų patikslinimo. Pareiškėjui pateikus prašomą informaciją ir dokumentus, Inspekcija, ne vėliau kaip per 20 darbo dienų įvertina, ar Valdybos prašymai tinkamai įvykdyti. Tuo atveju, jei Inspekcijos nuomone Valdybos prašymus pareiškėjas įvykdė tinkamai, pareiškėjo pateikta informacija ir dokumentai pateikiami Valdybai. Tuo atveju, jei Inspekcijos nuomone Valdybos prašymų pareiškėjas tinkamai neįvykdė, Inspekcija pakartotinai kreipiasi į pareiškėją dėl informacijos patikslinimo, suteikdama ne trumpesnį nei 10 darbo dienų terminą informacijai pateikti.
22. Inspekcija, gavusi papildomus Valdybos prašymus, vadovaujasi Tvarkos aprašo 21 punkte nustatyta tvarka.
23. Inspekcija, gavusi Valdybos nuomonę dėl Inspekcijos sprendimo patvirtinti pareiškėjo sertifikavimo kriterijus projekto, kuria šiam sprendimo projektui pritariama, ne vėliau kaip per 5 darbo dienas nuo Valdybos nuomonės gavimo dienos patvirtina pareiškėjo sertifikavimo kriterijus. Pareiškėjas ar jo atstovas apie priimtą Inspekcijos sprendimą informuojamas ne vėliau kaip per 3 darbo dienas nuo sprendimo priėmimo. Informacija apie priimtą sprendimą, kartu su Prašymo priedais, ne vėliau kaip per 3 darbo dienas nuo sprendimo priėmimo paskelbiama Inspekcijos interneto svetainėje (tais atvejais, kai sertifikavimo kriterijų savininkas yra fizinis asmuo, sprendime nurodomas jo vardas, pavardė, verslo liudijimo arba individualios veiklos pažymėjimo numeris). Skelbiama informacija tik apie galiojančius sertifikavimo mechanizmus.
24. Inspekcija, gavusi Valdybos nuomonę dėl Inspekcijos sprendimo patvirtinti pareiškėjo sertifikavimo kriterijus projekto, kuria šiam sprendimo projektui nepritariama, ne vėliau kaip per 2 savaites nuo Valdybos nuomonės gavimo, išnagrinėjusi joje nurodytus argumentus:
25. Inspekcija, nusprendusi neatsižvelgti į Valdybos nuomonę arba atsižvelgti tik iš dalies, ne vėliau kaip per 2 savaites nuo Valdybos nuomonės gavimo apie tai informuoja Valdybą. Tvarkos aprašo 24.3 papunktyje nurodytu atveju Inspekcijai iš dalies pakeitus savo sprendimo projektą kartu su minėta informacija Valdybai pateikiamas ir iš dalies pakeistas sprendimo projektas. Inspekcija, gavusi privalomą Valdybos sprendimą, pagal Reglamento (ES) 2016/679 65 straipsnio 1 dalį, remdamasi šiuo sprendimu, ne vėliau kaip per 20 darbo dienų nuo tos dienos, kurią gautas sprendimas, priima sprendimą patvirtinti pareiškėjo sertifikavimo kriterijus arba atsisakyti juos tvirtinti. Šiame Inspekcijos sprendime pateikiama nuoroda į Valdybos sprendimą bei nurodoma, kad Inspekcijos sprendimas bus paskelbtas Valdybos interneto svetainėje. Inspekcija kartu su sprendimu patvirtinti pareiškėjo sertifikavimo kriterijus arba atsisakyti juos tvirtinti pareiškėjui pateikia privalomą Valdybos sprendimą. Pareiškėjas arba jo atstovas raštu per 3 darbo dienas nuo sprendimo priėmimo informuojamas apie priimtą Inspekcijos sprendimą.
IV SKYRIUS
PRAŠYMŲ NAGRINĖJIMO NUTRAUKIMAS
26. Inspekcija nutraukia Prašymo nagrinėjimo procedūrą, kai:
26.2. Pareiškėjas Inspekcijos nustatytu terminu pagal jos rašytinį prašymą nepateikė papildomos ir (arba) patikslintos informacijos;
V SKYRIUS
SERTIFIKAVIMO KRITERIJŲ ATNAUJINIMAS
28. Sertifikavimo kriterijai gali būti atnaujinti:
28.1. Sertifikavimo kriterijų savininko iniciatyva (Tvarkos aprašo 29–31 punktuose nustatyta tvarka);
28.2. Inspekcijos iniciatyva, Inspekcijai informavus Sertifikavimo kriterijų savininką apie poreikį atnaujinti Sertifikavimo kriterijus Tvarkos aprašo 30 punkte nurodytais atvejais ar remiantis visuomenės, valdžios institucijų ir įstaigų ar kitų šaltinių, taip pat visuomenės informavimo priemonėse pateikta informacija, susijusia su Sertifikavimo kriterijais ar jų taikymu.
29. Sertifikavimo kriterijų savininkas, siekdamas atnaujinti patvirtintus Sertifikavimo kriterijus, turi pateikti Inspekcijai laisvos formos prašymą patvirtinti atnaujintus Sertifikavimo kriterijus. Su šiuo prašymu turi būti pateikta:
29.1. Sertifikavimo kriterijų pakeitimų aprašymas, nurodant, kurie iš jų laikytini esminiais, o kurie – neesminiais. Esminiais Sertifikavimo kriterijų pakeitimais laikytini pakeitimai, turintys tiesioginę įtaką asmens duomenų apsaugos reikalavimų taikymui ir bet kokie kiti pakeitimai, sumažinantys ar silpninantys patvirtintus Sertifikavimo kriterijus. Neesminiais pakeitimais laikytini techninio pobūdžio pakeitimai. Vertindamas pasikeitusių Sertifikavimo kriterijų svarbą, pareiškėjas turi vadovautis Sertifikavimo kriterijų vertinimo vadovo (Gairių Nr. 1/2018 priedas) 9 skyriumi. Atnaujinant Sertifikavimo kriterijus taip pat atsižvelgiama į teisės aktų ir teismų praktikos pokyčius, darančius įtaką Sertifikavimo kriterijams.
30. Tais atvejais, kai Sertifikavimo kriterijai turi būti atnaujinti dėl esminių teisės aktų ir teismų praktikos pakeitimų, Sertifikavimo kriterijų savininkas į Inspekciją turi kreiptis nepagrįstai nedelsdamas, bet ne vėliau nei per 1 mėnesį nuo tokių pakeitimų įsigaliojimo.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
32. Pareiškėjas ir sertifikavimo kriterijų savininkas privalo bendradarbiauti su Inspekcija ir vykdyti Inspekcijos prašymus pateikti bet kokią informaciją, reikalingą Sertifikavimo kriterijų vertinimui.
33. Inspekcijos sprendimas patvirtinti Sertifikavimo kriterijus galioja tol, kol:
33.1. Inspekcija priima sprendimą panaikinti sertifikavimo kriterijus sertifikavimo kriterijų savininko prašymu;
34. Inspekcijos sprendimai patvirtinti ar panaikinti sertifikavimo kriterijus, arba atsisakyti juos patvirtinti įsigalioja nuo sprendimo priėmimo dienos.
35. Inspekcijos sprendimai dėl pareiškėjo sertifikavimo kriterijų patvirtinimo, atsisakymo juos patvirtinti ar dėl jų panaikinimo arba Prašymo nagrinėjimo procedūros nutraukimo Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka gali būti skundžiami Lietuvos administracinių ginčų komisijai Lietuvos Respublikos ikiteisminio administracinių ginčų nagrinėjimo tvarkos įstatymo nustatyta tvarka arba Regionų administraciniam teismui Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.