(1)     Vydanie certifikátu, obnovu certifikátu alebo odňatie certifikátu vykonáva certifikačný subjekt, ktorý spĺňa kritéria a podmienky na udelenie akreditácie podľa tohto zákona alebo osobitného predpisu a bola mu udelená akreditácia úradom v súlade s týmto zákonom.

(2)     Certifikačným subjektom môže byť právnická osoba alebo fyzická osoba – podnikateľ, ktorý má primeranú úroveň odborných znalostí vo vzťahu k ochrane osobných údajov a má vytvorené technické a organizačné podmienky na certifikačný postup a ktorému bola udelená akreditácia.

(3)     Certifikačný subjekt je zodpovedný za posúdenie súladu spracúvania osobných údajov a existencie primeraných záruk ochrany osobných údajov podľa tohto zákona alebo osobitného predpisu prevádzkovateľa alebo sprostredkovateľa, na základe ktorého udelí certifikát, obnoví certifikát alebo odníme certifikát.

(4)     Žiadosť o udelenie akreditácie musí obsahovať

a)   identifikačné údaje žiadateľa,

b)   meno a priezvisko štatutárneho orgánu žiadateľa alebo osoby oprávnenej konať v mene žiadateľa,

c)   uvedenie predmetu certifikačných kritérií.

(5)     Žiadateľ k žiadosti podľa odseku 4 musí priložiť

a)    technickú a bezpečnostnú dokumentáciu nevyhnutnú pre certifikačný postup,

b)   postup a spôsob vysporiadania sa s konfliktom záujmu medzi žiadateľom a prevádzkovateľom alebo sprostredkovateľom, ktorý požiadal o vydanie certifikátu alebo obnovu certifikátu, ktorý by mohol narušiť objektivitu vydania certifikátu alebo obnovy certifikátu alebo obmedziť objektivitu vydania certifikátu alebo obnovy certifikátu alebo porušiť princíp transparentnosti pre dotknutú osobu a verejnosť; konflikt záujmov zahŕňa najmä situáciu, ak žiadateľ, ktorý môže ovplyvniť výsledok alebo priebeh vydania alebo obnovy certifikátu, má priamy finančný záujem alebo nepriamy finančný záujem, ekonomický záujem alebo iný osobný záujem, ktorý možno považovať za ohrozenie jeho nezávislosti v súvislosti s vydaním alebo obnovením certifikátu,

c)    dokumenty určujúce kvalifikačné požiadavky vo vzťahu k certifikačnému postupu osôb žiadateľa, ktoré budú realizovať certifikačný postup,

d)   pravidlá a postupy výkonu certifikačného postupu, vrátane postupu na vydanie certifikátu, pravidelné preskúmanie certifikátu, obnovu certifikátu a odňatie certifikátu,

e)    vyhlásenie o dodržiavaní certifikačných kritérií pre certifikačný postup,

f)    dokumenty preukazujúce postupy a pravidlá na vybavovanie sťažností týkajúcich sa porušení vydaného certifikátu alebo spôsobu akým oprávnenia z certifikátu sú dotknutým prevádzkovateľom alebo sprostredkovateľom vykonávané,

g)   dokumenty preukazujúce, že pravidlá a postupy vybavovania sťažností v súvislosti s vydaným certifikátom sú transparentné pre verejnosť,

h)   výsledok auditu výkonu certifikačného postupu,

i)     potvrdenie o zaplatení správneho poplatku,

j)     ďalšie informácie a podklady, ktoré sú nevyhnutné na posúdenie súladu s týmto zákonom alebo osobitným predpisom na účely posúdenia žiadosti o udelenie akreditácie. 

(6)     Ak žiadosť o udelenie akreditácie nespĺňa náležitosti podľa odsekov 4 a 5 alebo ak v konaní podľa odseku 9 vzniknú pochybnosti o preukázaní splnenia kritérií alebo podmienok na udelenie akreditácie, úrad vyzve žiadateľa na  odstránenie nedostatkov žiadosti v lehote, ktorá nesmie byť kratšia ako 15 dní; počas tejto doby lehota podľa odseku 9 neplynie.

(7)     Ak úrad počas konania podľa odseku 9 zistí nesúlad s týmto zákonom alebo osobitným predpisom vyzve žiadateľa na odstránenie zisteného nesúladu v určenej lehote, ktorá nesmie byť kratšia ako 30 dní; počas tejto doby lehota v konaní o udelenie akreditácie neplynie. Na odôvodnenú žiadosť žiadateľa úrad určenú lehotu predĺži najviac o 60 dní.

(8)     Úrad konanie o udelení akreditácie zastaví, ak žiadateľ neodstráni

a)     nedostatky žiadosti a vzniknuté pochybnosti podľa odseku 6 v určenej lehote,

b)    úradom zistené nedostatky podľa odseku 7 v určenej lehote.

(9)     Úrad rozhodne o udelení akreditácii do 90 dní odo dňa začatia konania.

(10) Úrad po preskúmaní žiadosti o udelení akreditácie podľa odsekov 4 a 5 a súvisiacej dokumentácie vydá rozhodnutie o udelení akreditácii a schváli certifikačné kritéria, ak žiadateľ spĺňa požiadavky na primeranú úroveň odborných znalostí vo vzťahu k ochrane údajov a spĺňa kritéria a podmienky na udelenie akreditácie podľa tohto zákona.

(11) Na základe rozhodnutia o udelení akreditácii úrad vydá certifikačnému subjektu osvedčenie o udelení akreditácie na obdobie piatich rokov, ktoré obsahuje

a)    identifikačné údaje úradu,

b)   identifikačné údaje žiadateľa,

c)    predmet akreditácie,

d)   číslo osvedčenia o udelení akreditácie,

e)    dátum vydania osvedčenia o udelení akreditácie; ak ide o obnovu udelenia akreditácie, aj dátum skoršieho vydania udelenia akreditácie,

f)    dobu platnosti osvedčenia o udelení akreditácie,

g)   odtlačok pečiatky úradu a podpis osoby oprávnenej konať v mene úradu s uvedením jej mena, priezviska a funkcie.

(12) Osvedčenie o udelení akreditácie je verejnou listinou.

(13) Proti rozhodnutiu o udelení akreditácie nie je prípustný rozklad.

(14) Proti rozhodnutiu o neudelení akreditácie je prípustný rozklad, o ktorom rozhodne predseda úradu.

(15) Úrad zverejní zoznam certifikačných subjektov a schválené certifikačné kritéria na svojom webovom sídle.

(16) Ak certifikačný subjekt spĺňa požiadavky na primeranú úroveň odborných znalostí vo vzťahu k ochrane osobných údajov, spĺňa kritéria a podmienky na udelenie akreditácie podľa tohto zákona, úrad na základe žiadosti certifikačného subjektu o obnovenie akreditácie, podanej najneskôr šesť mesiacov pred uplynutím platnosti osvedčenia o udelení akreditácie, rozhodne  o obnovení akreditácie na obdobie ďalších päť rokov. Na konanie o obnovení akreditácie sa primerane použijú ustanovenia konania o udelení akreditácie.

(17) Ak certifikačný subjekt podá žiadosť o obnovenie akreditácie v lehote menej ako šesť mesiacov pred uplynutím platnosti osvedčenia o udelení akreditácie, úrad na takúto žiadosť neprihliada. Týmto nie je dotknuté oprávnenie tohto subjektu na podanie žiadosti podľa odsekov 4 a 5.

(18) Ak sa preukáže, že certifikačný subjekt vykonáva certifikačný postup, vrátane udeľovania certifikátu a odnímania certifikátu, v rozpore s týmto zákonom alebo osobitným predpisom, dobrými mravmi, s vydaným osvedčením o udelení akreditácie alebo už nespĺňa požiadavky na udelenie akreditácie, úrad pozastaví platnosť akreditácie na tri mesiace a zároveň uloží certifikačnému subjektu vykonanie opatrení na nápravu. Ak certifikačný subjekt v určenej lehote uložené opatrenia neprijme, úrad jeho akreditáciu rozhodnutím zruší. Subjekt, ktorému bola akreditácia zrušená, môže znova požiadať o udelenie akreditáciu.

(19) Kritéria na udelenie akreditácie, podmienky certifikačného postupu, certifikačné kritéria, obsahové náležitosti technickej a bezpečnostnej dokumentácie a podmienky výkonu auditu certifikačného postupu vrátane podmienok odborných znalostí audítora ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.