סעיף 43: גופי הסמכה
1. מבלי לגרוע ממשימותיה ומסמכויותיה של רשות הפיקוח המוסמכת בהתאם לסעיפים 57 ו-58, גופי הסמכה בעלי מומחיות ראויה בהגנת מידע, יוציאו ויחדשו הרשאה, לאחר יידוע רשות הפיקוח על מנת לאפשר לה במידת הצורך להפעיל את סמכויותיה בהתאם לנקודה (ח) לסעיף 58(2). מדינות חברות יוודאו שגופי ההסמכה אושרו על ידי אחד הגופים להלן או שניהם:
- (א) רשות הפיקוח המוסמכת בהתאם לסעיף 55 או 56;
- (ב) גוף ההסמכה הארצי הנזכר בתקנה (EC) מס' 765/2008 של הפרלמנט ושל המועצה האירופיים2 בהתאם ל-EN-ISO/IEC 17065/2012 ולדרישות הנוספות שתקבע רשות הפיקוח המוסמכת בהתאם לסעיף 55 או 56.
2. גופי ההסכמה הנזכרים בפסקה 1 יאושרו בתנאים הבאים:
- (א) הוכיחו את עצמאותם ואת מומחיותם ביחס לנשוא ההסמכה לשביעות רצונה של רשות הפיקוח המוסמכת;
- (ב) התחייבו לעמוד בקריטריונים הנזכרים בסעיף 42(5) שאושרו על ידי רשות הפיקוח המוסמכת בהתאם לסעיף 55 או 56 או על ידי הוועד בהתאם לסעיף 63;
- (ג) קבעו נהלים בנוגע להענקת הסמכה, חותמים וסימנים להגנת מידע, בחינה תקופתית שלהם, וביטולם.
- (ד) קבעו הליכים ומנגנונים לטיפול בתלונות על הפרות תנאי ההסמכה, או לאופן בו בעל שליטה או מעבד יישם או מיישם את הההסמכה ולהפיכת הליכים ומנגנונים אלו שקופים לנושאי מידע ולציבור; וכן
- (ה) הוכיחו לשביעות רצונה של רשות הפיקוח המוסמכת שמשימותיהם וחובותיהם לא מובילות לניגוד עניינים.
2 תקנה (EC) מס' 765/2008 של הפרלמנט האירופי ושל מועצת האיחוד האירופי מיום 9 ביולי 2008 המפרטת את הדרישות להסמכה ולמעקב שוק בנוגע לשיווק מוצרים ותקנה מבטלת (EEC) מס' 339/93 (י"ר L 218, 13.8.2008, עמ' 30).
3. גופי ההסמכה הנזכרים בפסקאות 1 ו-2 לסעיף זה יוסמכו לפי קריטריונים שאישרה רשות הפיקוח המוסמכת בהתאם לסעיף 55 או 56 או שאישר הוועד בהתאם לסעיף 63. במקרה של הסמכה בהתאם לנקודה (ב) לפסקה 1 לסעיף זה, דרישות אלה יתווספו לדרישות שבתקנה (EC) מס' 765/2008 ולכללים הטכניים המתארים את השיטות ואת ההליכים של גופי ההסמכה.
4. גופי ההסמכה הנזכרים בפסקה 1 יהיו אחראיים למתן ההערכה לקבלת הסמכה או ביטולה, מבלי לגרוע מאחריות בעל השליטה או המעבד לציות לתקנות אלה. ההסמכה תופק לתקופה מרבית של חמש שנים וניתן יהיה לחדשה בהתאם לתנאים זהים, ובלבד שגוף ההסמכה עומד בדרישות ההמפורטות בסעיף זה.
5. גופי ההסמכה הנזכרים בפסקה 1 ימסרו לרשויות הפיקוח המוסמכות את הסיבות להענקת ההסמכה המבוקשת או ביטולה.
6. רשות הפיקוח תפרסם באופן נגיש את הדרישות הנזכרות בפסקה 3 לסעיף זה והקריטריונים הנזכרים בסעיף 42(5). רשויות הפיקוח אף יעבירו דרישות וקריטריונים אלה לוועד. הוועד יאסוף וישלב את כל מנגנוני ההסמכה והחותמים בקשר להגנת המידע במרשם וינגיש אותם לציבור באמצעי הולם.
7. מבלי לגרוע מפרק 8, רשות הפיקוח המוסמכת או גוף ההסמכה הארצי יבטלו הסמכה של גוף הסמכה בהתאם לפסקה 1 לסעיף זה במקרה שתנאי ההסמכה אינם נענים, או אינם נענים עוד, או במקרה שגוף ההסמכה נקט בפעולות המפרות תקנות אלה.
8. הוועדה תוסמך לאמץ פעולות מואצלות בהתאם לסעיף 92 לפירוט הדרישות שיילקחו בחשבון למנגנוני הרשאת הגנת המידע הנזכרים בסעיף 42(1).
9. הוועדה רשאית לאמץ פרקטיקות בהן יפורטו אמות המידה הטכניות למנגנוני הרשאה ולחותמי וסימני הגנת מידע ומנגנונים לקידום ולהכרה במנגנוני הסמכה, חותמים וסימנים. פרקטיקות אלה יאומצו בהתאם לנוהל הבחינה הנזכר בסעיף 93(2).
ניווט: