Legea GDPR 2018 actualizata

(1)   Fara a aduce atingere sarcinilor si competentelor autoritatii de supraveghere competente, prevazute la articolele 57 si 58, organismele de certificare care dispun de un nivel adecvat de competenta in domeniul protectiei datelor, dupa ce informeaza autoritatea de supraveghere pentru a-i permite sa isi exercite competentele in temeiul articolului 58 alineatul (2) litera (h), emit si reinnoiesc certificarea. Statele membre se asigura ca aceste organisme de certificare sunt acreditate de catre una sau amandoua dintre urmatoarele entitati:
(a) autoritatea de supraveghere care este competenta in temeiul articolului 55 sau 56; 
(b) organismul national de acreditare desemnat in conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European si al Consiliului (20) in conformitate cu standardul EN-ISO/IEC 17065/2012 si cu cerintele suplimentare stabilite de autoritatea de supraveghere care este competenta in temeiul articolului 55 sau 56. 
 
(2)   Un organism de certificare mentionat la alineatul (1) este acreditat in conformitate cu alineatul respectiv numai daca: 
(a) a demonstrat autoritatii de supraveghere competente, intr-un mod satisfacator, independenta si expertiza sa in legatura cu obiectul certificarii; 
(b) s-a angajat sa respecte criteriile mentionate la articolul 42 alineatul (5) si aprobate de autoritatea de supraveghere care este competenta in temeiul articolului 55 sau 56, sau de catre comitet in temeiul articolului 63; 
(c) a instituit proceduri pentru emiterea, revizuirea periodica si retragerea certificarii, a sigiliilor si marcilor din domeniul protectiei datelor; 
(d) a instituit proceduri si structuri pentru tratarea plangerilor privind incalcari ale certificarii sau privind modul in care certificarea a fost sau este pusa in aplicare de un operator sau o persoana imputernicita de operator, precum si pentru asigurarea transparentei acestor proceduri si structuri pentru persoanele vizate si pentru public; si 
(e) a demonstrat autoritatii de supraveghere competente, intr-un mod satisfacator, ca sarcinile si atributiile sale nu creeaza conflicte de interese. 
 
(3)   Acreditarea organismelor de certificare mentionate la alineatele (1) si (2) din prezentul articol se realizeaza pe baza criteriilor aprobate de catre autoritatea de supraveghere care este competenta in temeiul articolului 55 sau 56, sau de catre comitet in temeiul articolului 63. In cazul unei acreditari in conformitate cu alineatul (1) litera (b) din prezentul articol, aceste cerinte le completeaza pe cele prevazute in Regulamentul (CE) nr. 765/2008 si normele tehnice care descriu metodele si procedurile organismelor de certificare. 
 
(4)   Organismele de certificare mentionate la alineatul (1) sunt responsabile cu realizarea unei evaluari adecvate in vederea certificarii sau retragerii acestei certificari, fara a aduce atingere responsabilitatii operatorului sau a persoanei imputernicite de operator de a respecta prezentul regulament. Acreditarea se elibereaza pentru o perioada maxima de cinci ani si poate fi reinnoita in aceleasi conditii, cu conditia ca organismul de certificare sa indeplineasca cerintele prevazute in prezentul articol. 
 
(5)   Organismele de certificare mentionate la alineatul (1) transmite autoritatilor de supraveghere competente motivele acordarii sau retragerii certificarii solicitate. 

(6)   Cerintele mentionate la alineatul (3) din prezentul articol si criteriile mentionate la articolul 42 alineatul (5) se publica de catre autoritatea de supraveghere intr-o forma usor de accesat. Autoritatile de supraveghere transmit, de asemenea, aceste cerinte si criterii comitetului. Comitetul regrupeaza toate mecanismele de certificare si sigiliile de protectie a datelor intr-un registru si le pune la dispozitia publicului prin orice mijloc corespunzator. 
 
(7)   Fara a aduce atingere dispozitiilor capitolului VIII, autoritatea de supraveghere competenta sau organismul national de acreditare revoca acreditarea acordata unui organism de certificare in temeiul alineatului (1) din prezentul articol in cazul in care nu sunt sau nu mai sunt indeplinite conditiile pentru acreditare sau masurile luate de organismul de acreditare incalca prezentul regulament. 
 
(8)   Comisia este imputernicita sa adopte acte delegate in conformitate cu articolul 92, in scopul specificarii cerintelor care trebuie luate in considerare pentru mecanismele de certificare din domeniul protectiei datelor, mentionate la articolul 42 alineatul (1). 
 
(9)   Comisia poate adopta acte de punere in aplicare pentru a stabili standarde tehnice pentru mecanismele de certificare si pentru sigiliile si marcile din domeniul protectiei datelor, precum si mecanisme de promovare si recunoastere a acelor mecanisme de certificare, sigilii si marci. Actele de punere in aplicare respective se adopta in conformitate cu procedura de examinare mentionata la articolul 93 alineatul (2). 

Capitolul IV – Operatorul si persoana imputernicita de operator