ГЛАВА IV. Контролер і оператор
Секція 5. Кодекси поведінки та сертифікація
Стаття 42. Сертифікація
- Держави-члени, наглядові органи, Рада і Комісія заохочують, зокрема на рівні Союзу, запровадження механізмів сертифікації захисту даних та штампів і знаків захисту даних з метою підтвердження відповідності цьому Регламенту операцій опрацювання, які здійснюють контролери і оператори. Необхідно брати до уваги особливі потреби мікропідприємств, малих і середніх підприємств.
- Окрім дотримання контролерами або операторами відповідно до цього Регламенту, механізми сертифікації захисту даних, штампи і знаки, затверджені відповідно до параграфа 5 цієї статті, можна запровадити з метою підтвердження наявності належних гарантій, які надають контролери або оператори, на яких не поширюється дія цього Регламенту відповідно до статті 3 в межах передавання персональних даних до третіх країн чи міжнародних організацій на умовах, вказаних у пункті (f) статті 46(2). Такі контролери або оператори повинні взяти на себе зобов'язання, які є обов'язковими і можливими для виконання, за допомогою договірних або інших юридично зобов'язальних інструментів, для того, щоб застосувати зазначені належні гарантії, у тому числі, гарантії щодо прав суб'єктів даних.
- Сертифікація є добровільною і доступною шляхом реалізації прозорого процесу.
- Сертифікація відповідно до цієї статті не знижує ступінь відповідальності контролера або оператора щодо відповідності цьому Регламенту та не обмежує завдання і повноваження наглядових органів, що є компетентними відповідно до статті 55 чи 56.
- Сертифікацію відповідно до цієї статті видають органи сертифікації, вказані в статті 43, або компетентні наглядові органи, на підставі критеріїв, затверджених таким компетентним наглядовим органом згідно зі статтею 58(3) або Радою згідно зі статтею 63. Якщо критерії затверджено Радою, це може стати результатом запровадження спільної сертифікації, Європейського штампу захисту даних.
- Контролер або оператор, який подає своє опрацювання до механізму сертифікації, надає органу сертифікації, вказаному в статті 43, або, у разі необхідності, компетентному наглядовому органу, всю інформацію та доступ до опрацювання даних, що є необхідним для проведення процедури сертифікації.
- Сертифікацію видають контролеру або оператору на строк до трьох років, її може бути поновлено на тих самих умовах, якщо і надалі буде виконано відповідні вимоги. Сертифікацію відкликають, у разі необхідності, органи сертифікації, вказані в статті 43, або компетентний наглядовий орган, якщо вимоги для сертифікації не виконано або більше не виконують.
- Рада впорядковує усі механізми сертифікації та штампи і знаки захисту даних у формі реєстру і оприлюднює їх за допомогою належних засобів.