A tanúsítás az általános adatvédelmi rendelet által létrehozott, az adatkezelők és az adatfeldolgozók által önkéntesen alkalmazható eszköz, amely felhasználható annak bizonyítása során, hogy az adatkezelő teljesíti az általános adatvédelmi rendeletben meghatározott kötelezettségeit.
A tanúsítás meghatározott követelmények – a tanúsítási szempontok – szerint folytatott megfelelőség értékelés, amelyet egy harmadik személy végez el és igazol. A követelmények szabványokból vagy jogszabályokból erednek, az adatvédelmi tanúsítás esetében az általános adatvédelmi rendelet jelenti a normatív szabályrendszert, amely a követelmények értékelésének alapját képezi. Ahhoz, hogy megfeleljen a tanúsítás céljának, az általános adatvédelmi rendelet rendelkezéseit azonban tanúsítási szempontokban, illetve tanúsítási mechanizmusban kell pontosítani, konkretizálni a tanúsítás tárgyára. A sikeres tanúsítás eredménye a tanúsítvány, bélyegző vagy jelölés, amely igazolja, hogy az adott szervezet megfelelt a tanúsítási mechanizmusban található tartalmi és eljárási követelményeknek.
A tanúsítással kapcsolatban a Hatóság felhívja a figyelmet a Testület által elfogadott, 1/2018. számú iránymutatásra.
A Testület álláspontja szerint az általános adatvédelmi rendelet szerinti tanúsítás tárgya adatkezelési művelet vagy műveletek összessége lehet. Ez jelenthet például irányítási folyamatokat is, amelyek szervezési intézkedésnek tekinthetők, és ezáltal egy adatkezelési műveletnek szerves részét képezik.
A tanúsítványt akkreditált tanúsító szervezetek vagy az illetékes felügyeleti hatóságok állítják ki. Amennyiben tanúsító szervezet kíván tanúsítványt kiállítani, akkor arra az illetékes felügyeleti hatóság által jóváhagyott tanúsítási szempontok, illetve mechanizmus alapján kerülhet sor. A tanúsító szervezet akkreditációjának tehát előfeltétele, hogy a tanúsítás alapjául szolgáló tanúsítási szempontokat, illetve mechanizmust a Hatóság adatkezelési engedélyezési eljárás keretében jóváhagyja.
A Hatóság a tanúsítási szempontok jóváhagyása iránti kérelmek benyújtása esetén adatkezelési engedélyezési eljárást folytat le.
Az eljárásért fizetendő igazgatási szolgáltatási díj:
684 000 forint [Az adatkezelési engedélyezési eljárás lefolytatásáért fizetendő igazgatási szolgáltatási díjról szóló 25/2018 (IX. 3.) IM rendelet]
Az eljárás megindítására vonatkozó kérelmét a Hatóságnál:
a.) a digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól szóló 2023. évi CIII. törvény szerinti elektronikus ügyintézésre kötelezett ügyfél esetében, valamint az elektronikus ügyintézést önkéntesen vállaló ügyfél esetén, a törvényben meghatározott elektronikus úton (hivatali tárhelyen vagy cégkapu, aktív felhasználói profil birtokában e-Papír szolgáltatáson keresztül)
b.) elektronikus ügyintézésre nem kötelezett ügyfél esetén (pl. természetes személy) a fentieken túl
ba) írásban, eredeti aláírással ellátva, postai úton a Hatóság levelezési címén (1363 Budapest, Pf. 9.) is, vagy
bb) személyes átadással, a Hatóság nyitvatartási idejében, előzetes időpont egyeztetése nélkül,
nyújtható be.
Az eljárás megindítása iránti kérelem előírt elemei:
A kérelemnek tartalmaznia kell:
- az ügyfél és képviselője azonosításához szükséges adatokat és elérhetőséget (jogi személy esetén: jogi személy neve, székhelye, cégjegyzékszáma, képviseletre jogosult neve, ha rendelkezik adatvédelmi tisztviselővel, az adatvédelmi tisztviselő neve és elérhetősége)
- a tanúsítási mechanizmus általános leírását és a tanúsítási szempontok tervezetét.
A tanúsítási szempontokkal, illetve mechanizmussal kapcsolatos minimum elvárásokat a Hatóság a Testület iránymutatásának véglegesítését követően fogja közzétenni.
Az ügyintézési határidő:
Az eljárásban az ügyintézési határidő száznyolcvan nap. A Hatóság az eljárást az általános adatvédelmi rendeletben meghatározott együttműködési eljárás, valamint egységességi mechanizmus alkalmazásának időtartalmára felfüggeszti.
A tanúsítási szempontok jóváhagyására irányuló kérelmek esetén a Hatóság a jóváhagyás, illetve az engedély megadhatósága érdekében szükség szerinti alkalommal a kérelem és az annak tárgyát képező tervezet módosítása vagy kiegészítése vonatkozásában nyilatkozattételre hívhatja fel az adatkezelőt.