(1)     Vydanie certifikátu, obnovu certifikátu alebo odňatie certifikátu vykonáva subjekt, ktorému  bola udelená akreditácia podľa § 88 v súlade s týmto zákonom (ďalej len „certifikačný subjekt“) alebo úrad.

(2)     Prevádzkovateľ alebo sprostredkovateľ na účely preukázania súladu spracúvania osobných údajov a existencie primeraných záruk ochrany osobných údajov podľa tohto zákona alebo osobitného predpisu môže požiadať úrad alebo certifikačný subjekt o vydanie certifikátu alebo obnovenie certifikátu. Certifikát sa vydá alebo obnoví najviac na obdobie troch rokov. 

(3)     Úrad alebo certifikačný subjekt posudzuje súlad spracúvania osobných údajov a existenciu primeraných záruk ochrany osobných údajov prevádzkovateľa alebo sprostredkovateľa podľa odseku 2 na základe certifikačných kritérií v súlade s týmto zákonom. Vydaním certifikátu nie je dotknutá zodpovednosť prevádzkovateľa alebo zodpovednosť sprostredkovateľa za dodržiavanie tohto zákona a osobitného predpisu ani nie sú dotknuté právomoci úradu podľa tohto zákona.

(4)     Certifikát je verejnou listinou.

(5)     Úrad zverejňuje vydané certifikáty na svojom webovom sídle.

(6)     Žiadosť o vydanie certifikátu alebo žiadosť obnovu certifikátu úradom musí obsahovať

a)    identifikačné údaje žiadateľa,

b)   meno a priezvisko štatutárneho orgánu žiadateľa alebo osoby oprávnenej konať v mene žiadateľa,

c)    kontaktné údaje zodpovednej osoby, ak je určená,

d)   predmet certifikátu, na ktorý sa má certifikát udeliť,

e)    účel spracúvania osobných údajov,

f)    právny základ spracúvania osobných údajov,

g)   kategórie dotknutých osôb,

h)   kategórie osobných údajov,

i)     identifikáciu príjemcu alebo kategóriu príjemcu osobných údajov, ak existuje,

j)     opis spracovateľských činností, vrátane informácii o existencii automatizovaného individuálneho rozhodovania vrátane profilovania,

k)   opis postupu žiadateľa pri uplatnení práv dotknutou osobou,

l)     identifikáciu tretej krajiny alebo medzinárodnej organizácie pri prenose osobných údajov.

(7)     Žiadateľ k žiadosti podľa odseku 6 priloží

a)    technickú a bezpečnostnú dokumentáciu nevyhnutnú pre vydanie certifikátu,

b)   výsledok auditu ochrany osobných údajov nie starší ako šesť mesiacov,

c)    dokumenty preukazujúce splnenie certifikačných kritérií, 

d)   opis primeraných záruk pri prenose osobných údajov do tretej krajiny alebo medzinárodnej organizácii,

e)    potvrdenie o zaplatení správneho poplatku,

f)    ďalšie informácie a podklady nevyhnutné na posúdenie súladu s týmto zákonom alebo osobitným predpisom a dodržania certifikačného postupu.  

(8)     Ak žiadosť o vydanie certifikátu alebo žiadosť o obnovu certifikátu nespĺňa náležitosti podľa odsekov 6 a 7 alebo ak v konaní o vydanie certifikátu alebo v konaní o obnove certifikátu vzniknú pochybnosti o preukázaní splnenia certifikačných kritérií alebo podmienok na vydanie certifikátu, úrad vyzve žiadateľa na doplnenie podkladov v lehote, ktorá nesmie byť kratšia ako 15 dní; počas tejto doby lehota v konaní o vydanie certifikátu alebo v konaní o obnove certifikátu neplynie.

(9)     Ak úrad počas konania o vydaní certifikátu alebo konania o obnove certifikátu zistí nesúlad s týmto zákonom alebo osobitným predpisom vyzve žiadateľa na odstránenie zisteného nesúladu v určenej lehote, ktorá nesmie byť kratšia ako 30 dní; počas tejto doby lehota v konaní o vydanie certifikátu alebo v konaní o obnove certifikátu neplynie. Na odôvodnenú žiadosť žiadateľa úrad určenú lehotu predĺži najviac o 60 dní.

(10) Úrad konanie o vydaní certifikátu alebo konanie o obnove certifikátu zastaví, ak žiadateľ neodstráni

a)       nedostatky žiadosti a vzniknuté pochybnosti podľa odseku 8 v určenej lehote,

b)       úradom zistené nedostatky podľa odseku 9 v určenej lehote.

(11) Úrad rozhodne o vydaní certifikátu alebo obnove certifikátu do 90 dní odo dňa začatia konania. 

(12) Úrad po preskúmaní žiadosti o vydanie certifikátu alebo žiadosti o obnove certifikátu podľa odsekov 6 a 7 a súvisiacej dokumentácie vydá rozhodnutie o vydaní certifikátu, ak žiadateľ spĺňa certifikačné kritériá, spĺňa podmienky certifikačného postupu, ak jeho spracovateľské činnosti sú v súlade s týmto zákonom alebo osobitným predpisom, a ak ním prijaté bezpečnostné opatrenia poskytujú dostatočné primerané záruky ochrany osobných údajov podľa tohto zákona alebo osobitného predpisu.

(13) Na základe rozhodnutia o vydaní certifikátu alebo rozhodnutia o obnove certifikátu úrad vydá žiadateľovi certifikát na obdobie troch rokov, ktorý obsahuje

a)    identifikačné údaje úradu,

b)   identifikačné údaje žiadateľa,

c)    predmet certifikátu,

d)   označenie certifikačných kritérií, na základe ktorých sa vydáva certifikát,

e)    číslo certifikátu,

f)    dátum vydania certifikátu; ak ide o obnovu certifikátu, aj dátum skoršieho vydania certifikátu,

g)   doba platnosti certifikátu,

h)   odtlačok pečiatky úradu a podpis osoby oprávnenej konať v mene úradu s uvedením jej mena, priezviska a funkcie.

(14) Proti rozhodnutiu o vydaní certifikátu alebo rozhodnutiu o obnove certifikátu nie je prípustný rozklad.

(15) Proti rozhodnutiu o nevydaní certifikátu alebo rozhodnutiu o neobnovení certifikátu je prípustný rozklad, o ktorom rozhodne predseda úradu.

(16) Ak prevádzkovateľ alebo sprostredkovateľ, ktorému bol vydaný certifikát  alebo obnovený certifikát (ďalej len „certifikovaná osoba“) naďalej spĺňa certifikačné kritéria a podmienky vydania certifikátu podľa tohto zákona, úrad na základe žiadosti certifikovanej osoby, podanej najneskôr šesť mesiacov pred uplynutím platnosti certifikátu skôr vydaného alebo skôr obnoveného, rozhodne o obnovení certifikátu na obdobie ďalších troch rokov. Na konanie o obnovení certifikátu sa primerane použijú ustanovenia o vydaní certifikátu.  

(17) Ak certifikovaná osoba podá žiadosť o obnovenie certifikátu v lehote menej ako šesť mesiacov pred uplynutím platnosti certifikátu, úrad na takúto žiadosť neprihliada. Týmto nie je dotknuté oprávnenie tejto certifikovanej osoby na podanie žiadosti o vydanie certifikátu podľa odseku 6 a 7.

(18)  Certifikovaná osoba je počas platnosti certifikátu povinná

a)    spĺňať požiadavky ustanovené týmto zákonom a požiadavky na vydanie certifikátu v súlade s rozhodnutím o vydaní certifikátu,

b)   najneskôr do 15 dní odo dňa vzniku zmeny písomne oznámiť úradu akékoľvek zmeny týkajúce sa rozhodnutia o vydaní certifikátu,

c)    umožniť úradu vykonanie dozoru podľa tohto zákona,

d)   archivovať dokumentáciu súvisiacu s výkonom certifikačného postupu podľa osobitného predpisu.         

(19) Certifikačné kritéria, podmienky certifikačného postupu, obsahové náležitosti technickej a bezpečnostnej dokumentácie a podmienky výkonu auditu ochrany osobných údajov vrátane podmienok odborných znalostí audítora vykonávajúceho audit ochrany osobných údajov ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.