Статья 42. Сертификация. Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27.04.2016 о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных / General Data Protection Regulation /GDPR)

Статья 42
Сертификация

1. Государства-члены ЕС, надзорные органы, Совет и Европейская Комиссия должны содействовать, особенно на уровне Союза, внедрению сертификационных механизмов защиты данных, а также печатей и маркировочных знаков для защиты данных в целях подтверждения соблюдения настоящего Регламента при обработке, осуществляемой контролерами и лицами, обрабатывающими данные. Необходимо учитывать определенные потребности микропредприятий, малых и средних предприятий.

2. В дополнение к соблюдению контролерами или обрабатывающими данные лицами, подпадающими под действие настоящего Регламента, сертификационные механизмы защиты данных, печати или маркировочные знаки, утвержденные в соответствии с параграфом 5 настоящей Статьи, могут быть установлены в целях подтверждения наличия соответствующих гарантий, предоставляемых контролерами или обрабатывающими данные лицами, которые не подпадают под действие настоящего Регламента согласно Статье 3, в рамках передачи персональных данных третьим странам или международным организациям в соответствии с пунктом (f) Статьи 46(2). Указанные контролеры или обрабатывающие данные лица должны посредством договора или иных документов, имеющих юридическую силу, взять на себя осуществимые обязательства по применению соответствующих гарантий, в том числе с учетом прав субъектов данных.

3. Сертификация должна быть добровольной и доступной посредством прозрачного процесса.

4. Сертификация согласно настоящей Статье не уменьшает ответственность контролера или обрабатывающего данные лица за соблюдение настоящего Регламента и действует без ущерба задачам и полномочиям надзорного органа, компетентного в соответствии со Статьей 55 или 56.

5. Сертификация согласно настоящей Статье должна осуществляться сертификационными органами, указанными в Статье 43, или компетентным надзорным органом на основе критериев, утвержденных указанным компетентным надзорным органом согласно Статье 58(3) или Советом согласно Статье 63. Если критерии утверждаются Советом, это может привести к общей сертификации, к европейской печати о защите данных.

6. Контролер или обрабатывающее данные лицо, которое подвергает осуществляемую им обработку сертификационному механизму, должно предоставить сертификационному органу, указанному в Статье 43, или в соответствующих случаях компетентному надзорному органу всю информацию, необходимую для проведения сертификационной процедуры, и обеспечить доступ к обработке данных.

7. Сертификация должна предоставляться контролеру или обрабатывающему данные лицу на срок не более трех лет, указанный срок может быть продлен на тех же самых условиях в том случае, если продолжают соблюдаться соответствующие требования. Сертификация должна быть отменена сертификационными органами, указанными в Статье 43, или компетентным надзорным органом, если требования для сертификации больше не соблюдаются.

8. Совет должен внести все сертификационные механизмы, печати и маркировочные знаки о защите данных в реестр и посредством соответствующих мер довести их до всеобщего сведения.