ГЛАВА IV. Контролер і оператор
Секція 5. Кодекси поведінки та сертифікація
Стаття 43. Органи сертифікації
- Без обмеження завдань і повноважень компетентного наглядового органу за статтями 57 і 58, органи сертифікації, що володіють необхідним рівнем експертних знань в сфері захисту даних, після повідомлення наглядового органу для надання йому можливості здійснювати свої повноваження згідно з пунктом (її) статті 58(2) у разі необхідності, видають і оновлюють сертифікацію. Держави-члени забезпечують, щоб такі органи сертифікації були акредитовані одним або обома з наведених нижче органом:
- наглядовим органом, що є компетентним згідно зі статтею 55 чи 56;
- національним органом з акредитації, названим відповідно до Регламенту Європейського Парламенту і Ради (ЄС) № 765/2008 згідно з EN-ISO/IEC 17065/2012 та додатковими вимогами, встановленими наглядовим органом, що є компетентним згідно зі статтею 55 чи 56.
- Органи сертифікації, вказані в параграфі 1, необхідно акредитувати згідно з цим параграфом, лише якщо вони:
- довели свою незалежність та експертні знання в сфері предмету сертифікації за повного виконання вимог компетентного наглядового органу;
- зобов'язались поважати критерії, вказані в статті 42(5) і затверджені наглядовим органом, що є компетентним згідно зі статтею 55 чи 56 або Радою відповідно до статті 63;
- розробили процедури для видачі, періодичної перевірки та відкликання сертифікації захисту даних, штампів і знаків;
- запровадили процедури та структури для розгляду скарг щодо порушень сертифікації чи способу, в який сертифікацію було здійснено чи здійснює контролер або оператор, та для забезпечення прозорості таких процедур і структур для суб'єктів даних і громадськості; та
- довели, за повного виконання вимог компетентного наглядового органу, що їхні завдання та обов'язки не призводять до конфлікту інтересів.
- Акредитацію органів сертифікації, як вказано в параграфах 1 і 2 цієї статті, здійснюють на підставі критеріїв, затверджених наглядовим органом, що є компетентним згідно зі статтею 55 чи 56 або Радою відповідно до статті 63. У випадку акредитації відповідно до пункту (b) параграфа 1 цієї статті, ці вимоги доповнюють ті, що передбачені в Регламенті (ЄС) № 765/2008, і технічні норми, що описують методи та процедури органів сертифікації.
- Органи сертифікації, вказані в параграфі 1, несуть відповідальність за належне оцінювання, в результаті якого можна видати або відкликати сертифікацію без обмеження відповідальності контролера або оператора за дотримання цього Регламенту. Акредитацію видають на строк до п'яти років, її можна поновлювати на тих самих умовах, якщо орган сертифікації відповідає вимогам, встановленим в цій статті.
- Органи сертифікації, вказані в параграфі 1, повинні надати компетентним наглядовим органам інформацію про причини надання або відкликання сертифікації, про яку запитують.
- Наглядовий орган повинен у доступній формі оприлюднити вимоги, вказані в параграфі 3 цієї статті, та критерії, вказані в статті 42(5). Наглядові органи також передають ці вимоги та критерії Раді. Рада впорядковує усі механізми сертифікації та штампи захисту даних у формі реєстру і оприлюднює їх належними засобами.
- Дотримуючись положень глави VIII, компетентний наглядовий орган або національний орган з акредитації анулює акредитацію органу сертифікації відповідно до параграфа 1 цієї статті, якщо умови для акредитації виконано або їх більше не виконують, або якщо дії, яких вживає орган сертифікації, порушують положення цього Регламенту.
- Комісія повинна мати повноваження ухвалювати делеговані акти згідно зі статтею 92 з метою уточнення вимог, які необхідно врахувати щодо механізмів сертифікації захисту даних, вказаних у статті 42(1).
- Комісія може ухвалювати імплементаційні акти про технічні стандарти для механізмів сертифікації та штампів і знаків захисту даних, та механізмів сприяння та визнання таких механізмів сертифікації, штампів і знаків. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, вказаної в статті 93(2).
Інші статті цьогі підроздцлу
Секція 5 Кодекси поведінки та сертифікація
- Стаття 40: Кодекс поведінки
- Стаття 41: Моніторинг затверджених кодексів поведінки
- Стаття 42: Сертифікація
- Стаття 43: Органи сертифікації