43 artikla

Sertifiointielimet

  • Sertifioinnin my√∂nt√§√§ ja uusii sertifiointielin, jolla on tietosuojaan liittyv√§ asianmukaisen tason asiantuntemus, sen j√§lkeen kun se on tiedottanut valvontaviranomaiselle valvontaviranomaisen 58 artiklan 2 kohdan h alakohdan mukaisten valtuuksien k√§ytt√§misen mahdollistamiseksi, sanotun kuitenkaan rajoittamatta toimivaltaisen valvontaviranomaisen 57 ja 58 artiklan mukaisia teht√§vi√§ ja valtuuksia. J√§senvaltioiden on s√§√§dett√§v√§ siit√§, akkreditoiko n√§m√§ sertifiointielimet yksi tai molemmat seuraavista:
    • a) 55 tai 56 artiklan nojalla toimivaltainen valvontaviranomainen;
    • b) Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/2008¬†(20) mukaisesti nimitetty kansallinen akkreditointielin noudattaen EN-ISO/IEC 17065/2012 -standardia ja 55 tai 56 artiklan nojalla toimivaltaisen valvontaviranomaisen vahvistamia lis√§vaatimuksia.
  • T√§m√§n artiklan 1 kohdassa tarkoitettu sertifiointielin voidaan akkreditoida kyseisen kohdan mukaisesti ainoastaan, jos
    • a) se on osoittanut riippumattomuutensa ja asiantuntemuksensa sertifioinnin kohteesta toimivaltaista valvontaviranomaista tyydytt√§v√§ll√§ tavalla;
    • b) se on luvannut noudattaa 42 artiklan 5 kohdassa tarkoitettuja ja 55 tai 56 artiklan nojalla toimivaltaisen valvontaviranomaisen tai 63 artiklan nojalla tietosuojaneuvoston hyv√§ksymi√§ kriteerej√§;
    • c) se on vahvistanut menettelyt tietosuojasertifioinnin, -sinettien ja -merkkien my√∂nt√§mist√§, m√§√§r√§aikaistarkastelua ja peruuttamista varten;
    • d) se on vahvistanut menettelyt ja rakenteet, joilla k√§sitell√§√§n valituksia, jotka koskevat sertifiointimenettelyjen rikkomisia tai tapaa, jolla rekisterinpit√§j√§ tai henkil√∂tietojen k√§sittelij√§ on pannut tai panee sertifioinnin t√§yt√§nt√∂√∂n, ja saattaa n√§m√§ menettelyt ja rakenteet rekister√∂ityjen ja yleis√∂n kannalta l√§pin√§kyviksi; ja
    • e) se osoittaa toimivaltaista valvontaviranomaista tyydytt√§v√§ll√§ tavalla, ett√§ sen teht√§v√§t ja velvollisuudet eiv√§t aiheuta eturistiriitoja.
  • T√§m√§n artiklan 1 ja 2 kohdassa tarkoitetut sertifiointielimet akkreditoidaan 55 tai 56 artiklan nojalla toimivaltaisen valvontaviranomaisen tai 63 artiklan nojalla tietosuojaneuvoston hyv√§ksymien kriteerien perusteella. Jos akkreditointi tapahtuu t√§m√§n artiklan 1 kohdan b alakohdan nojalla, n√§m√§ vaatimukset t√§ydent√§v√§t asetuksen (EY) N:o 765/2008 vaatimuksia ja sertifiointielinten menetelmi√§ ja menettelyj√§ kuvaavia teknisi√§ s√§√§nt√∂j√§.
  • T√§m√§n artiklan 1 kohdassa tarkoitetut sertifiointielimet ovat vastuussa asianmukaisesta sertifiointiin tai t√§llaisen sertifioinnin peruuttamiseen johtavasta arvioinnista, sanotun kuitenkaan rajoittamatta rekisterinpit√§j√§n tai henkil√∂tietojen k√§sittelij√§n vastuuta t√§m√§n asetuksen noudattamisesta. Akkreditointi my√∂nnet√§√§n enint√§√§n viideksi vuodeksi, ja se voidaan uusia samoin edellytyksin, jos sertifiointielin t√§ytt√§√§ t√§ss√§ artiklassa s√§√§detyt vaatimukset.
  • T√§m√§n artiklan 1 kohdassa tarkoitetut sertifiointielimet ilmoittavat toimivaltaiselle valvontaviranomaiselle syyt pyydetyn sertifioinnin my√∂nt√§miseen tai peruuttamiseen.
  • Valvontaviranomainen julkistaa t√§m√§n artiklan 3 kohdassa tarkoitetut vaatimukset ja 42 artiklan 5 kohdassa tarkoitetut kriteerit helposti saatavilla olevassa muodossa. Valvontaviranomaiset toimittavat n√§m√§ vaatimukset ja kriteerit my√∂s tietosuojaneuvostolle. Tietosuojaneuvosto kokoaa kaikki sertifiointimekanismit ja tietosuojasinetit rekisteriin ja asettaa ne julkisesti saataville asianmukaisilla tavoilla.
  • Toimivaltainen valvontaviranomainen tai kansallinen akkreditointielin peruuttaa t√§m√§n artiklan 1 kohdan nojalla sertifiointielimelle my√∂nt√§m√§ns√§ akkreditoinnin, jos akkreditoinnin edellytykset eiv√§t t√§yty tai eiv√§t en√§√§ t√§yty tai jos elimen toteuttamat toimet rikkovat t√§t√§ asetusta, sanotun kuitenkaan rajoittamatta VIII luvun soveltamista.
  • Komissiolle siirret√§√§n 92 artiklan mukaisesti valta antaa delegoituja s√§√§d√∂ksi√§, joissa t√§smennet√§√§n 42 artiklan 1¬†kohdassa tarkoitettujen tietosuojaa koskevien sertifiointimekanismien osalta huomioon otettavat vaatimukset.
  • Komissio voi hyv√§ksy√§ t√§yt√§nt√∂√∂npanos√§√§d√∂ksi√§, joilla vahvistetaan tekniset standardit sertifiointimekanismeja sek√§ tietosuojasinettej√§ ja -merkkej√§ varten ja menettelyt n√§iden sertifiointimekanismien edist√§miseksi ja tunnustamiseksi. N√§m√§ t√§yt√§nt√∂√∂npanos√§√§d√∂kset hyv√§ksyt√§√§n 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettely√§ noudattaen.