- Государства-члены, надзорные органы, Совет и Комиссия должны поощрять, в частности, на уровне Союза, создание механизмов сертификации защиты данных, а также печатей и знаков защиты данных с целью демонстрации соответствия настоящему Положению операций по обработке данных контролерами и обработчиками. При этом должны учитываться особые потребности микро-, малых и средних предприятий.
- В дополнение к соблюдению контролерами или обработчиками, на которых распространяется действие настоящего Регламента, механизмы сертификации защиты данных, печати или знаки, утвержденные в соответствии с пунктом 5 настоящей Статьи, могут быть установлены с целью демонстрации наличия соответствующих гарантий, предоставляемых контролерами или обработчиками, на которых не распространяется действие настоящего Регламента в соответствии со Статьей 3, в рамках передачи персональных данных в третьи страны или международные организации на условиях, упомянутых в пункте (f) Статьи 46(2). Такие контролеры или обработчики должны взять на себя обязательные и подлежащие исполнению обязательства, посредством договорных или других юридически обязывающих инструментов, по применению этих надлежащих гарантий, в том числе в отношении прав субъектов данных.
- Сертификация должна быть добровольной и проводиться в рамках прозрачного процесса.
- Сертификация в соответствии с этой статьей не снижает ответственности контроллера или процессора за соблюдение настоящего Положения и не наносит ущерба задачам и полномочиям надзорных органов, которые компетентны в соответствии со статьей 55 или 56.
- Сертификация в соответствии с этой статьей должна выдаваться органами по сертификации, указанными в Статье 43, или компетентным органом надзора на основании критериев, утвержденных этим компетентным органом надзора в соответствии со Статьей 58(3) или Советом в соответствии со Статьей 63. Если критерии утверждаются Советом, это может привести к созданию общей сертификации — Европейской печати защиты данных.
- Контроллер или процессор, который передает свою обработку в механизм сертификации, должен предоставить органу по сертификации, указанному в Статье 43, или, если применимо, компетентному надзорному органу, всю информацию и доступ к своей деятельности по обработке, которые необходимы для проведения процедуры сертификации.
- Сертификация выдается контроллеру или процессору на максимальный срок в три года и может быть продлена на тех же условиях, при условии, что соответствующие требования продолжают выполняться. Сертификация должна быть отозвана, в зависимости от ситуации, органами по сертификации, указанными в Статье 43, или компетентным органом надзора, если требования к сертификации не выполняются или перестают выполняться.
- Совет должен свести все механизмы сертификации и печати и знаки защиты данных в реестр и сделать их общедоступными любым подходящим способом.
Статья 42