ES priežiūros institucijos susitiko dėl Bendrajame duomenų apsaugos reglamente numatytos sertifikavimo įstaigų akreditavimo praktikos

2023 m. kovo 9–10 d. Madride (Ispanija) įvyko ES valstybių narių asmens duomenų apsaugos priežiūros institucijų darbinis seminaras dėl sertifikavimo įstaigų akreditavimo mechanizmo taikymo. Seminare dalyvavo Valstybinės duomenų apsaugos inspekcijos Teisės skyriaus atstovės.

Europos duomenų apsaugos valdyba (EDAV) yra nurodžiusi, kad prasmingi sertifikavimo mechanizmai gali padėti užtikrinti geresnį Bendrojo duomenų apsaugos reglamento (BDAR) nuostatų laikymąsi, didesnį skaidrumą duomenų subjektams ir plėtojant verslas verslui (B2B) santykius, pavyzdžiui, bendradarbiavimą tarp duomenų valdytojų ir duomenų tvarkytojų. BDAR preambulės 100 konstatuojamoje dalyje akcentuojama, kad sertifikavimo mechanizmai galėtų padėti duomenų subjektams įvertinti konkrečių produktų ar paslaugų duomenų apsaugos lygį (įrodyti, kad tvarkydami asmens duomenis laikosi BDAR). Sertifikavimas yra savanoriškas procesas, jis plačiau aptartas BDAR 42–43 straipsniuose.

Siekiant užtikrinti tinkamą sertifikavimo paslaugų teikimą, asmens duomenų apsaugos priežiūros institucijos parengia (ir, suderinusios su EDAV, patvirtina) sertifikavimo įstaigų akreditavimo kriterijus. Valstybėse narėse sertifikavimo įstaigų akreditavimo veiklą atlieka arba nacionaliniai akreditavimo biurai arba asmens duomenų apsaugos priežiūros institucijos (pačios arba su nacionaliniais akreditavimo biurais). Šiuo metu Europoje tik viena valstybė narė – Liuksemburgas – yra akreditavusi sertifikavimo įstaigas pagal BDAR, dar keturiose valstybėse akreditavimo procesai yra pradėti. Šiuo metu 12 asmens duomenų apsaugos priežiūros institucijų yra patvirtinusios sertifikavimo įstaigų akreditavimo kriterijus. Valstybinė duomenų apsaugos inspekcija (VDAI) parengtus minėtus kriterijus yra pateikusi EDAV, tačiau jų derinimo procesas dar nėra baigtas.

Siekiant užtikrinti vieningą praktiką akredituojant sertifikavimo įstaigas, Ispanijoje asmens duomenų apsaugos priežiūros institucijos susirinko aptarti daugiausiai sunkumų praktikoje keliančius sertifikavimo įtaigų akreditavimo ar sertifikavimo mechanizmų vertinimo aspektus, susijusius su vertinimo dalyko (angl. target of evaluation) identifikavimu, nacionalinių sertifikatų taikymo apimties išplėtimu, akreditavimo kriterijų vertinimu ir kt. Tai pirmasis toks ES priežiūros institucijų susitikimas. Šiame susitikime iš viso dalyvavo 35 atstovai iš 21 asmens duomenų apsaugos priežiūros institucijos.

Viena iš darbinio seminaro temų buvo „Priežiūros institucijų tarpusavio bendradarbiavimas“. Seminaro dalyviai nagrinėjo atskirus tokio bendradarbiavimo aspektus keturiose darbo grupėse. Vieną šių grupių moderavo VDAI atstovė Margarita Valčiukė.

Kaip teigia M. Valčiukė: „duomenų valdytojų (duomenų tvarkytojų) sertifikavimas yra svarbus įrankis, skirtas didinti pasitikėjimą šių rinkos dalyvių teikiamomis paslaugomis, siūlomais produktais. Sertifikatai, išduoti pagal BDAR, parodo, kad sertifikuota veikla ar jos dalis atitinka asmens duomenų apsaugos priežiūros institucijos lūkesčius ir BDAR reikalavimus. Tai skatintinas, tačiau nemažai iššūkių reikalaujantis procesas, kurio metu akreditavimo ar sertifikavimo siekiantys subjektai vertinami itin išsamiai (vertinama tiek jų veikla, tiek jų darbuotojų kompetencija, nepriklausomumas ir kiti aspektai“.