- Без ущерба для задач и полномочий компетентного надзорного органа в соответствии со Статьями 57 и 58, органы по сертификации, обладающие соответствующим уровнем экспертизы в области защиты данных, должны, после информирования надзорного органа, чтобы позволить ему осуществлять свои полномочия в соответствии с пунктом (h) Статьи 58(2), когда это необходимо, выдавать и продлевать сертификацию. Государства-члены должны обеспечить, чтобы эти органы сертификации были аккредитованы одной или обеими из следующих организаций:
- (a) надзорный орган, который компетентен в соответствии со Статьей 55 или 56;
- (b) национальный орган по аккредитации, названный в соответствии с Постановлением (ЕС) № 765/2008 Европейского парламента и Совета (20) в соответствии с EN-ISO/IEC 17065/2012 и с дополнительными требованиями, установленными надзорным органом, который компетентен в соответствии со Статьей 55 или 56.
- Органы по сертификации, упомянутые в параграфе 1, должны быть аккредитованы в соответствии с этим параграфом только в том случае, если они имеют:
- (a) продемонстрировали свою независимость и компетентность в отношении предмета сертификации к удовлетворению компетентного надзорного органа;
- (b) обязался соблюдать критерии, указанные в Статье 42(5) и утвержденные надзорным органом, компетентным в соответствии со Статьей 55 или 56, или Советом директоров в соответствии со Статьей 63;
- (c) установленные процедуры выдачи, периодического пересмотра и отзыва сертификатов, печатей и знаков защиты данных;
- (d) установил процедуры и структуры для рассмотрения жалоб на нарушения сертификации или на то, как сертификация была или осуществляется контроллером или процессором, и сделал эти процедуры и структуры прозрачными для субъектов данных и общественности; и
- (e) продемонстрировали, к удовлетворению компетентного надзорного органа, что их задачи и обязанности не приводят к конфликту интересов.
- Аккредитация органов по сертификации, упомянутых в пунктах 1 и 2 настоящей Статьи, должна проводиться на основе критериев, утвержденных надзорным органом, компетентным в соответствии со Статьей 55 или 56, или Советом в соответствии со Статьей 63. В случае аккредитации в соответствии с пунктом (b) параграфа 1 настоящей Статьи, эти требования должны дополнять требования, предусмотренные Регламентом (ЕС) № 765/2008 и техническими правилами, описывающими методы и процедуры органов по сертификации.
- Органы по сертификации, упомянутые в пункте 1, отвечают за надлежащую оценку, ведущую к сертификации или отзыву такой сертификации, без ущерба для ответственности контроллера или переработчика за соблюдение настоящего Положения. Аккредитация выдается на максимальный срок в пять лет и может быть продлена на тех же условиях при условии, что орган по сертификации соответствует требованиям, изложенным в данной статье.
- Органы по сертификации, упомянутые в параграфе 1, должны предоставить компетентным органам надзора причины предоставления или отзыва запрошенной сертификации.
- Требования, упомянутые в параграфе 3 настоящей Статьи, и критерии, упомянутые в Статье 42(5), должны быть опубликованы надзорным органом в легкодоступной форме. Надзорные органы также должны передать эти требования и критерии в Совет. Совет должен свести все механизмы сертификации и печати защиты данных в реестр и сделать их общедоступными любым подходящим способом.
- Без ущерба для Главы VIII компетентный надзорный орган или национальный орган по аккредитации должен отозвать аккредитацию органа по сертификации в соответствии с пунктом 1 настоящей Статьи, если условия аккредитации не выполняются или перестают выполняться, или если действия, предпринятые органом по сертификации, нарушают настоящий Регламент.
- Комиссия должна быть уполномочена принимать делегированные акты в соответствии со Статьей 92 с целью уточнения требований, которые должны быть приняты во внимание для механизмов сертификации защиты данных, упомянутых в Статье 42(1).
- Комиссия может принять исполнительные акты, устанавливающие технические стандарты для механизмов сертификации и печатей и знаков защиты данных, а также механизмы продвижения и признания этих механизмов сертификации, печатей и знаков. Эти исполнительные акты должны быть приняты в соответствии с процедурой экспертизы, упомянутой в Статье 93(2).
Статья 43