Artikel 43

Certifieringsorgan

  • Utan att det pĂ„verkar den behöriga tillsynsmyndighetens uppgifter och befogenheter enligt artiklarna 57 och 58 ska certifieringsorgan som har lĂ€mplig nivĂ„ av expertis i frĂ„ga om dataskydd, efter att ha informerat tillsynsmyndigheten för att den ska kunna utöva sina befogenheter enligt artikel 58.2 h nĂ€r sĂ„ Ă€r nödvĂ€ndigt, utfĂ€rda och förnya certifiering. Medlemsstat ska sĂ€kerstĂ€lla att dessa certifieringsorgan Ă€r ackrediterade av en av eller bĂ„da följande:
    • a) Den tillsynsmyndighet som Ă€r behörig enligt artikel 55 eller 56,
    • b) det nationella ackrediteringsorgan som utsetts i enlighet med Europaparlamentets och rĂ„dets förordning (EG) nr 765/2008 (20) i enlighet med EN-ISO/IEC 17065/2012 och med de ytterligare krav som faststĂ€llts av den tillsynsmyndighet som Ă€r behörig enligt artikel 55 eller 56.
  • Certifieringsorgan som avses i punkt 1 fĂ„r ackrediteras i enlighet med den punkten endast om de har
    • a) visat oberoende och expertis i förhĂ„llande till certifieringens syfte pĂ„ ett sĂ€tt som den behöriga tillsynsmyndigheten finner tillfredsstĂ€llande,
    • b) förbundit sig att respektera de kriterier som avses i artikel 42.5 och godkĂ€nts av den tillsynsmyndighet som Ă€r behörig enligt artikel 55 eller 56, eller av styrelsen enligt artikel 63,
    • c) upprĂ€ttat förfaranden för utfĂ€rdande, periodisk översyn och Ă„terkallande av certifiering, sigill och mĂ€rkningar för dataskydd,
    • d) upprĂ€ttat förfaranden och strukturer för att hantera klagomĂ„l om övertrĂ€delser av certifieringen eller det sĂ€tt pĂ„ vilket certifieringen har tillĂ€mpats, eller tillĂ€mpas, av en personuppgiftsansvarig eller ett personuppgiftsbitrĂ€de, och för att göra dessa förfaranden och strukturer synliga för registrerade och för allmĂ€nheten, och
    • e) pĂ„ ett sĂ€tt som den behöriga tillsynsmyndigheten finner tillfredsstĂ€llande visat att deras uppgifter och uppdrag inte leder till en intressekonflikt.
  • Ackrediteringen av certifieringsorgan som avses i punkterna 1 och 2 i denna artikel ska ske pĂ„ grundval av kriterier som godkĂ€nts av den tillsynsmyndighet som Ă€r behörig enligt artikel 55 eller 56, eller av styrelsen enligt artikel 63. I hĂ€ndelse av ackreditering enligt punkt 1 b i den hĂ€r artikeln ska dessa krav komplettera dem som föreskrivs i förordning (EG) nr 765/2008 och de tekniska regler som beskriver certifieringsorganens metoder och förfaranden.
  • De certifieringsorgan som avses i punkt 1 ska ansvara för den korrekta bedömning som leder till certifieringen eller Ă„terkallelsen av certifieringen, utan att det pĂ„verkar den personuppgiftsansvariges eller personuppgiftsbitrĂ€dets ansvar att efterleva denna förordning. Ackrediteringen ska utfĂ€rdas för en period pĂ„ högst fem Ă„r och fĂ„r förnyas pĂ„ samma villkor under förutsĂ€ttning att certifieringsorganet uppfyller de krav som anges i denna artikel.
  • De certifieringsorgan som avses i punkt 1 ska informera de behöriga tillsynsmyndigheterna om orsakerna till beviljandet eller Ă„terkallelsen av den begĂ€rda certifieringen.
  • De krav som avses i punkt 3 i den hĂ€r artikeln och de kriterier som avses i artikel 42.5 ska offentliggöras av tillsynsmyndigheten i ett lĂ€ttillgĂ€ngligt format. Tillsynsmyndigheterna ska ocksĂ„ översĂ€nda dessa krav och kriterier till styrelsen. Styrelsen ska samla alla certifieringsmekanismer och sigill för dataskydd i ett register och offentliggöra dem pĂ„ lĂ€mpligt sĂ€tt.
  • Utan att det pĂ„verkar tillĂ€mpningen av kapitel VIII ska den behöriga tillsynsmyndigheten eller det nationella ackrediteringsorganet Ă„terkalla ett certifieringsorgans ackreditering enligt punkt 1 i denna artikel om villkoren för ackrediteringen inte, eller inte lĂ€ngre, uppfylls eller om Ă„tgĂ€rder som vidtagits av certifieringsorganet strider mot denna förordning.
  • Kommissionen ska ges befogenhet att anta delegerade akter i enlighet med artikel 92 i syfte att nĂ€rmare ange de krav som ska tas i beaktande för de certifieringsmekanismer för dataskydd som avses i artikel 42.1.
  • Kommissionen fĂ„r anta genomförandeakter för att faststĂ€lla tekniska standarder för certifieringsmekanismer och sigill och mĂ€rkningar för dataskydd samt rutiner för att frĂ€mja och erkĂ€nna dessa certifieringsmekanismer, sigill och mĂ€rkningar. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.