Regulamin

PDP Group

REGULAMIN

WYDAWANIA CERTYFIKATÓW

 

PDP GROUP

Personal Data Protection

 

Regulamin PDP Certificates

 

Każdy ma prawo do ochrony dotyczących go danych osobowych, a ich przetwarzanie może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich.

 

§ 1

1. „Regulamin wydawania certyfikatów” („Regulamin”) określa zasady wydawania certyfikatów potwierdzających spełnianie przez podmiot certyfikowany (w myśl art. 7 ust. 4 Ustawy) wymogów wynikających z przepisów o ochronie danych osobowych oraz obowiązki członków kapituły certyfikatu.
2. Celem regulaminu jest ustalenie jednolitych zasad postępowania przy wydawaniu certyfikatów.
3. Do stosowania regulaminu są obowiązane wszystkie osoby uczestniczące w procesie wydawania certyfikatów, w tym członkowie kapituły certyfikatu, pracownicy i współpracownicy sekretariatu PDP Group.

§ 2

Ilekroć w regulaminie jest mowa o:
1. Przepisach o ochronie danych osobowych – rozumie się przez to przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz przepisy rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
2. Danych osobowych – rozumie się przez to informacje określone w art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.).
3. Certyfikatach – rozumie się przez to znak jakości wydawany przez PDP Group podmiotom certyfikowanym.
4. Audycie – rozumie się przez to badanie przeprowadzane w celu ustalenia, czy podmiot ubiegający się o certyfikat spełnia wymogi wynikające z przepisów o ochronie danych osobowych.
5. PDP Group – rozumie się przez to ciało opiniotwórcze i doradcze, w skład którego wchodzą osoby posiadające wiedzę z zakresu ochrony danych osobowych na poziomie eksperckim oraz osoby zainteresowane aktywnym promowaniem zgodnego z przepisami o ochronie danych osobowych przetwarzania danych osobowych oraz stosowania dobrych praktyk w tym zakresie.
6. Członkach kapituły certyfikatu – rozumie się przez to osoby należące do PDP Group i będące ekspertami w zakresie ochrony danych osobowych, a także osoby cieszące się właściwym autorytetem, powołane do oceny i poświadczenia wysokiego poziomu ochrony danych osobowych w podmiocie certyfikowanym. 
7. Podmiot certyfikowany – podmiot (firma, instytucja), któremu wydawany jest certyfikat.
8. Podmiot audytujący – podmiot wykonujący lub nadzorujący proces badania poziomu ochrony danych osobowych w podmiocie certyfikowanym.

§ 3

Podmiot certyfikowany może ubiegać się o następujące certyfikaty:
- certyfikat „Business Certificate”, potwierdzający zgodne z przepisami przetwarzanie danych osobowych we wszystkich aspektach i obszarach przetwarzania tych danych,
- certyfikat „Data Certificate”, potwierdzający zgodne z przepisami przetwarzanie danych osobowych w obszarze zbioru,
- certyfikat „Project Certificate”, potwierdzający zgodne z przepisami przetwarzanie danych osobowych w obszarze projektu.

§ 4

Certyfikat jest wydawany po przeprowadzeniu audytu potwierdzającego, że podmiot ubiegający się o certyfikat przetwarza dane osobowe zgodnie z przepisami o ochronie danych osobowych, w zakresie wymaganym do uzyskania certyfikatu.

§ 5

1. Podmiotem audytującym dla certyfikatów wydawanych przez PDP Group jest ABI Consult Adam Myziak (dalej ABI Consult).
2. Szczegółowe zasady przeprowadzenia audytu, w tym obowiązki audytorów oraz obowiązki podmiotu audytowanego określa umowa zawierana na piśmie pomiędzy podmiotem certyfikowanym, a podmiotem audytującym.

§ 6

1. Po przeprowadzeniu audytu audytorzy sporządzają raport z audytu.
2. Raport z audytu może być raportem pozytywnym lub raportem negatywnym.
3. Raport pozytywny jest sporządzany w przypadku, gdy z ustaleń dokonanych w toku audytu wynika, że podmiot ubiegający się o certyfikat, w zakresie wymaganym do jego otrzymania, przetwarza dane osobowe zgodnie z przepisami o ochronie danych osobowych.
4. Raport negatywny jest sporządzany w przypadku, gdy z ustaleń dokonanych w toku audytu wynika, że podmiot ubiegający się o certyfikat w procesie przetwarzania danych osobowych narusza przepisy o ochronie danych osobowych.
5. W raporcie pozytywnym umieszcza się następujące informacje:
- imiona i nazwiska audytorów,
- nazwę i adres siedziby podmiotu audytowanego,
- rodzaj certyfikatu, o który podmiot audytowany się ubiega,
- datę przeprowadzenia audytu,
- zakres audytu i ustalenia szczegółowe,
- podsumowanie wyników audytu, stwierdzające że podmiot certyfikowany przetwarza dane osobowe zgodnie z przepisami o ochronie danych osobowych i spełnia warunki niezbędne do wydania certyfikatu lub przedłużenia okresu jego ważności.
6. W raporcie negatywnym umieszcza się następujące informacje:
- imiona i nazwiska audytorów,
- nazwę i adres siedziby podmiotu audytowanego,
- rodzaj certyfikatu, o który podmiot audytowany się ubiega,
- datę przeprowadzenia audytu,
- zakres audytu,
- podsumowanie wyników audytu, stwierdzające że podmiot certyfikowany narusza przepisy o ochronie danych osobowych i nie spełnia warunków niezbędnych do wydania certyfikatu,
- wyszczególnienie naruszanych przepisów o ochronie danych osobowych wraz z uzasadnieniem.
5. Raporty audytorzy sporządzają w dwóch egzemplarzach, z których jeden przekazywany jest podmiotowi audytowanemu, a drugi egzemplarz do sekretariatu PDP Group.

§ 7

1. W terminie 7 dni od dnia przekazania raportu pozytywnego przez audytorów, sekretariat PDP Group podejmuje działania niezbędne do uzyskania podpisów członków kapituły certyfikatu.
2. Certyfikat podpisuje co najmniej trzech członków kapituły certyfikatu.
3. Członek kapituły certyfikatu przed podpisaniem certyfikatu zapoznaje się z podsumowaniem wyników audytu stanowiącym część raportu pozytywnego.
4. Sposób przekazania certyfikatu podmiotowi certyfikowanemu ustalany jest indywidualnie z tym podmiotem. 

§ 8

1. Podmiot ubiegający się o certyfikat, u którego audyt zakończył się sporządzeniem raportu negatywnego, może po usunięciu uchybień w procesie przetwarzania danych osobowych, wymienionych w raporcie negatywnym, ponownie ubiegać się o wydanie certyfikatu.
2. W przypadku ponownego ubiegania się o wydanie certyfikatu zastosowanie mają postanowienia §4 - §7 regulaminu.

§ 9

1. Certyfikat wydawany jest na okres 3 lat, licząc od dnia jego wydania.
2. Raz w roku przeprowadzany jest audyt weryfikujący stan zgodności z wymaganiami certyfikacyjnymi.
3. Przedłużenie ważności certyfikatu następuje po przeprowadzeniu audytu recertyfikacyjnego po upływie 3 lat od daty wydania certyfikatu.
4. Przeprowadzenie audytu weryfikującego oraz recertyfikacyjnego następuje zgodnie z postanowieniami §4 - §8 regulaminu.

§ 10

Do obowiązków członków kapituły certyfikatu w związku z wydawaniem certyfikatów należy:
- zapoznawanie się z podsumowaniem raportów pozytywnych,
- podpisywanie certyfikatów,
- współdziałanie z sekretariatem PDP Group,
- zniszczenie / usunięcie lub zwrot podsumowania z audytu stanowiącego część raportu pozytywnego do sekretariatu PDP Group, po podpisaniu certyfikatów,
- zachowanie w tajemnicy wszelkich okoliczności i informacji, o których dowiedział się członek kapituły, w związku z wydawaniem certyfikatów PDP Group.

§ 11

1. Sekretariat PDP Group prowadzi w formie elektronicznej rejestr wydanych certyfikatów.
2. W rejestrze umieszcza się: datę wydania certyfikatu, datę ważności certyfikatu, rodzaj certyfikatu oraz nazwę i adres siedziby podmiotu, któremu certyfikat został wydany.
3. Wydane certyfikaty są jawne, a ich wydanie i termin ważności podlegają identyfikacji, poprzez formularz zamieszczony na stronie internetowej, po podaniu nr certyfikatu lub nr REGON podmiotu, któremu certyfikat został wydany.

§ 12

1. Obsługę sekretariatu PDP  Group zapewnia ABI Consult.
2. Pracownicy ABI Consult zapewniający obsługę sekretariatu PDP Group są zobowiązani do zapewnienia właściwych warunków przechowywania wszelkiej dokumentacji powstałej w związku z wydawaniem certyfikatów, a w szczególności do zabezpieczenia jej przed dostępem osób nieupoważnionych.

§ 13

Nadzór nad prawidłowym wykonywaniem postanowień regulaminu sprawuje ABI Consult.

§ 14

Regulamin wchodzi w życie z dniem 11.02.2013 r.

 

ABI CONSULT GROUP

Nieformalna Grupa Ekspertów

 

Aktualności
Kontakt
Wyszukiwarka certyfikatów.
×
Pliki cookies w naszym serwisie.
Informacji zarejestrowanych w plikach "cookies" używamy m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Możesz zmienić ustawienia dotyczące "cookies" w swojej przeglądarce internetowej. Jeżeli pozostawisz te ustawienia bez zmian pliki cookies zostaną zapisane w pamięci urządzenia. Zmiana ustawień plików "cookies" może ograniczyć funkcjonalność serwisu. Nie pokazuj więcej tego komunikatu.