Zertifizierungsvereinbarung und Maßnahmen zur Sicherstellung der Kommunikation und der Vertraulichkeit
§ 9.
(1) Zwischen Zertifizierungsstelle und Zertifizierungswerber ist eine Zertifizierungsvereinbarung abzuschließen.
(2) In der Zertifizierungsvereinbarung ist zusätzlich zu den Anforderungen im Sinne des Punktes 4.1.2 ISO/IEC 17065:2012 jedenfalls Folgendes festzulegen:
- 1. Die Verpflichtung des Zertifizierungswerbers zur fortlaufenden Einhaltung der Zertifizierungsanforderungen und der darin vorgesehenen Fristen, einschließlich der Zertifizierungskriterien gemäß Art. 42 Abs. 5 DSGVO,
- 2. die Verpflichtung des Zertifizierungswerbers, Änderungen von Zertifizierungsanforderungen gemäß § 10 nach Gewährung einer angemessenen Frist umzusetzen,
- 3. die Dauer, für welche die Zertifizierung erteilt oder verlängert wird, wobei gemäß Art. 42 Abs. 7 DSGVO die Höchstdauer von drei Jahren zu berücksichtigen ist,
- 4. die Bedingungen, unter welchen gemäß Art. 42 Abs. 7 und Art. 43 Abs. 4 DSGVO die Zertifizierung verlängert oder widerrufen werden kann, einschließlich angemessener Zeitabstände für die Neubewertung der Erfüllung der Zertifizierungsanforderungen und der Zertifizierungskriterien gemäß Art. 42 Abs. 5 DSGVO,
- 5. eine Berichtspflicht des Zertifizierungswerbers über wesentliche Änderungen, welche die Erfüllung der vereinbarten Verpflichtungen beeinträchtigen können,
- 6. Verpflichtungen des Zertifizierungswerbers im Zusammenhang mit der Beendigung, Einschränkung, Aussetzung oder Zurückziehung der Zertifizierung gemäß § 17, insbesondere, dass
- a) jeglicher Verweis oder jegliche Bezugnahme auf die erteilte Zertifizierung zu unterbleiben hat,
- b) etwaige Konformitätszeichen nach § 15 Abs. 1 zurückzustellen und nicht mehr zu verwenden sind,
- 7. die Verpflichtung des Zertifizierungswerbers, den mit Durchführung der Zertifizierung betrauten Personen der Zertifizierungsstelle, soweit zur Überprüfung der fortlaufenden Einhaltung der in der Zertifizierungsvereinbarung festgelegten Verpflichtungen erforderlich, nach vorheriger Ankündigung Zugang zu den Betriebs- oder Produktionsstätten sowie Einsicht in die erforderlichen Dokumente zu gewähren,
- 8. die Verpflichtung des Zertifizierungswerbers, vollständige Transparenz des Zertifizierungsverfahrens gegenüber der Datenschutzbehörde zu gewährleisten, einschließlich vertraulicher Vertragsangelegenheiten in Zusammenhang mit der Einhaltung der Bestimmungen gemäß Art. 42 Abs. 7 und Art. 58 Abs. 1 lit. c DSGVO,
- 9. die Möglichkeit der Zertifizierungsstelle, sämtliche Information offenzulegen, die gemäß Art. 42 Abs. 8 und Art. 43 Abs. 5 DSGVO zur Erteilung der Zertifizierung erforderlich sind,
- 10. der Hinweis darauf, dass die Zertifizierung unbeschadet der aus der DSGVO resultierenden Verpflichtungen, denen der Zertifizierungswerber unterliegt und unbeschadet der Aufgaben und Befugnisse der Datenschutzbehörde erfolgt,
- 11. die Konsequenzen für den Zertifizierungswerber, wenn die Akkreditierung der Zertifizierungsstelle gemäß Art. 43 Abs. 7 DSGVO widerrufen wird,
- 12. Verpflichtungen der Zertifizierungsstelle im Zusammenhang mit Beschwerden in Bezug auf die Einhaltung der Zertifizierungsanforderungen, wie insbesondere
- a) Erstellung eines internen Maßnahmenkatalogs für die Behandlung der einlangenden Beschwerden, und
- b) Dokumentations- und Aufbewahrungspflichten über die Beschwerdefälle und die ergriffenen Maßnahmen sowie über die Dauer der Aufbewahrung unter Berücksichtigung der Grundsätze für die Verarbeitung personenbezogener Daten im Sinne der DSGVO, sowie
- 13. die gemäß § 11 festgelegten Evaluierungsmethoden in Bezug auf den Zertifizierungsgegenstand.
(3) Es sind geeignete Maßnahmen zu treffen, damit eine effektive Kommunikation zwischen Zertifizierungsstelle und berechtigten Dritten gewährleistet wird. Dazu zählt jedenfalls die laufende Dokumentation über:
- 1. über die Tätigkeit der Zertifizierungsstelle zum Zwecke der Behandlung von Informationsanfragen oder zur Kontaktaufnahme im Falle einer Beschwerde im Zusammenhang mit einer Zertifizierung, sowie
- 2. über das Antragsverfahren, insbesondere um Informationen über den aktuellen Stand von Anträgen gemäß § 8 Abs. 1 erteilen zu können.
(4) Die Zertifizierungsstelle verpflichtet sich vertraglich gegenüber dem Zertifizierungswerber, die auf Grund ihrer Tätigkeit erhaltenen Informationen im Sinne des Punktes 4.5.1 ISO/IEC 17065:2012 vertraulich zu behandeln.
Schlagworte
Betriebsstätte, Dokumentationspflicht
Zuletzt aktualisiert am
18.02.2021
Gesetzesnummer
20011478
Dokumentnummer
NOR40231350
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)