Artikel 43

Certificeringsorganer

  • Uden at dette ber√łrer den kompetente tilsynsmyndigheds opgaver og bef√łjelser i henhold til artikel 57 og 58, udsteder og forl√¶nger certificeringsorganer, der har et passende ekspertiseniveau for s√• vidt ang√•r databeskyttelse, certificering, efter at have underrettet tilsynsmyndigheden for at g√łre det muligt for den at ud√łve sine bef√łjelser i henhold til artikel 58, stk. 2, litra h), hvis det er n√łdvendigt. Medlemsstaterne sikrer, at disse certificeringsorganer akkrediteres af en eller begge af f√łlgende:
    • a) den tilsynsmyndighed, der er kompetent i henhold til artikel 55 eller 56
    • b) det nationale akkrediteringsorgan, som er udpeget i overensstemmelse med Europa-Parlamentets og R√•dets forordning (EF) nr. 765/2008¬†(20) i overensstemmelse med EN-ISO/IEC 17065/2012 og med de supplerende krav, der er fastsat af den tilsynsmyndighed, som er kompetent i henhold til artikel 55 eller 56.
  • Certificeringsorganer som omhandlet i stk. 1 akkrediteres kun i overensstemmelse med n√¶vnte stykke, hvis de har:
    • a) p√•vist deres uafh√¶ngighed og ekspertise med hensyn til certificeringens genstand til den kompetente tilsynsmyndigheds tilfredshed
    • b) p√•taget sig at opfylde kriterierne i artikel 42, stk. 5, og er blevet godkendt af den tilsynsmyndighed, der er kompetent i henhold til artikel 55 eller 56, eller af Databeskyttelsesr√•det i henhold til artikel 63
    • c) fastlagt procedurer for udstedelse, regelm√¶ssig revision og tilbagetr√¶kning af databeskyttelsescertificeringer, -m√¶rkninger og -m√¶rker
    • d) fastlagt procedurer og ordninger for behandling af klager over overtr√¶delser af certificering eller den m√•de, hvorp√• certificering er blevet eller bliver gennemf√łrt af en dataansvarlig eller en databehandler, og for, hvordan disse procedurer og ordninger g√łres gennemsigtige for registrerede og offentligheden, og
    • e) vist til den kompetente tilsynsmyndigheds tilfredshed, at deres opgaver og pligter ikke f√łrer til en interessekonflikt.
  • Akkreditering af de i denne artikels stk. 1 og 2 omhandlede certificeringsorganer finder sted p√• grundlag af kriterier, der er godkendt af den tilsynsmyndighed, som er kompetent i henhold til artikel 55 eller 56, eller af Databeskyttelsesr√•det i henhold til artikel 63. I tilf√¶lde af akkreditering i henhold til n√¶rv√¶rende artikels stk. 1, litra b), supplerer disse krav kravene i forordning (EF) nr. 765/2008 og de tekniske regler, der beskriver certificeringsorganers metoder og procedurer.
  • De i stk. 1 omhandlede certificeringsorganer er ansvarlige for en korrekt vurdering, der f√łrer til certificering eller tilbagetr√¶kning af certificering, uden at dette ber√łrer den dataansvarliges eller databehandlerens ansvar for at overholde denne forordning. Akkreditering udstedes for en periode p√• h√łjst fem √•r og kan forl√¶nges p√• samme betingelser, s√•fremt certificeringsorganet opfylder de i denne artikel fastsatte krav.
  • De i stk. 1 omhandlede certificeringsorganer giver de kompetente tilsynsmyndigheder oplysninger om begrundelsen for at udstede eller tilbagetr√¶kke den certificering, der er anmodet om.
  • Tilsynsmyndigheden offentligg√łr de i denne artikels stk. 3 omhandlede krav og de i artikel¬†42, stk. 5, omhandlede kriterier i lettilg√¶ngelig form. Tilsynsmyndighederne meddeler ogs√• disse krav og kriterier til Databeskyttelsesr√•det. Databeskyttelsesr√•det samler alle certificeringsmekanismer og databeskyttelsesm√¶rkninger i et register og g√łr dem offentligt tilg√¶ngelige p√• passende vis.
  • Uden at dette ber√łrer kapitel VIII, tilbagekalder den kompetente tilsynsmyndighed eller det nationale akkrediteringsorgan en akkreditering af et certificeringsorgan, jf. denne artikels stk. 1, hvis betingelserne for akkrediteringen ikke er eller ikke l√¶ngere er opfyldt, eller hvis de foranstaltninger, som organet har truffet, overtr√¶der denne forordning.
  • Kommissionen till√¶gges bef√łjelse til at vedtage delegerede retsakter i overensstemmelse med artikel 92 med henblik p√• at fastl√¶gge de krav, der skal tages i betragtning vedr√łrende de certificeringsmekanismer for databeskyttelse, der er omhandlet i artikel 42, stk. 1.
  • Kommissionen kan vedtage gennemf√łrelsesretsakter, der fastl√¶gger tekniske standarder for certificeringsmekanismer og databeskyttelsesm√¶rkninger og -m√¶rker samt ordninger, der har til form√•l at fremme og anerkende disse certificeringsmekanismer, m√¶rkninger og -m√¶rker. Disse gennemf√łrelsesretsakter vedtages efter unders√łgelsesproceduren i artikel¬†93, stk. 2.