Статья 43. Сертификационные органы. Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27.04.2016 о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных / General Data Protection Regulation /GDPR)

Статья 43
Сертификационные органы

1. Без ущерба задачам и полномочиям компетентного надзорного органа согласно Статьям 57 и 58 сертификационные органы, обладающие соответствующим уровнем компетентности в отношении защиты данных, должны после информирования надзорного органа в целях содействия ему в осуществлении его полномочий согласно пункту (h) Статьи 58(2), при необходимости, предоставить и продлить сертификацию. Государства-члены ЕС должны гарантировать, что указанные сертификационные органы утверждены:

(a) надзорным органом, компетентным согласно Статье 55 или 56; и/или

(b) национальной сертификационной организацией, определенной в соответствии с Регламентом (EC) 765/2008 Европейского Парламента и Совета ЕС²¹, в соответствии с EN-ISO/IEC 17065/2012 и с дополнительными требованиями, установленными надзорным органом, компетентным согласно Статье 55 или 56.

2. Сертификационные органы, указанные в параграфе 1, должны быть аккредитованы в соответствии с указанным параграфом только, если они:

(a) подтвердили компетентному надзорному органу свою независимость и компетентность в отношении предмета сертификации;

(b) приняли на себя обязательство соблюдать критерии, указанные в Статье 42(5) и утвержденные надзорным органом, компетентным согласно Статье 55 или 56, или Советом согласно Статье 63;

(c) установили процедуры для выдачи, периодической проверки и отмены сертификации защиты данных, печатей и маркировочных знаков о защите данных;

(d) установили процедуры и структуры, для того чтобы рассматривать жалобы на нарушения сертификации или на способы, при помощи которых сертификация была имплементирована или имплементируется контролером или обрабатывающим данные лицом, а также для того чтобы сделать указанные процедуры и структуры прозрачными для субъектов данных и общественности; и

(e) подтвердили компетентному надзорному органу, что его задачи и обязанности не приведут к конфликту интересов.

3. Аккредитация сертификационных органов, указанных в параграфах 1 и 2 настоящей Статьи, должна осуществляться на основе критериев, утвержденных надзорным органом, компетентным согласно Статье 55 или 56, или Советом согласно Статье 63. В случае аккредитации согласно пункту (b) параграфа 1 настоящей Статьи, указанные требования должны дополнять требования, предусмотренные Регламентом (EC) 765/2008 и техническими нормами, которые описывают методы и процедуры сертификационных органов.

4. Сертификационные органы, указанные в параграфе 1, должны отвечать за надлежащую оценку, которая лежит в основе сертификации или отмены такой сертификации, без ущерба ответственности контролера или обрабатывающего данные лица за соблюдение настоящего Регламента. Аккредитация выдается на срок не более пяти лет и указанный срок может быть продлен на тех же самых условия в случае, если сертификационный орган соблюдает требования, установленные в настоящей Статье.

5. Сертификационные органы, указанные в параграфе 1, должны сообщить компетентному надзорному органу причины предоставления или отмены требуемой сертификации.

6. Требования, указанные в параграфе 3 настоящей Статьи, и критерии, указанные в Статье 42(5), должны быть опубликованы надзорным органом в легкодоступной форме. Надзорные органы должны также передать указанные требования и критерии Совету. Совет должен внести все сертификационные механизмы и печати о защите данных в реестр и посредством соответствующих мер довести их до всеобщего сведения.

7. Без ущерба действию Главы VIII компетентный надзорный орган или национальная сертификационная организация должны отменить аккредитацию сертификационного органа согласно параграфу 1 настоящей Статьи, если условия аккредитации больше не соблюдаются или если принятые сертификационным органом меры нарушают положения настоящего Регламента.

8. Европейская Комиссия вправе принять делегированные акты в соответствии со Статьей 92 в целях установления требований, которые необходимо учесть для сертификационных механизмов защиты данных, указанных в Статье 42(1).

9. Европейская Комиссия может принять имплементационные акты, устанавливающие технические стандарты для сертификационных механизмов, печатей и маркировочных знаков о защите данных, а также механизмы для содействия и признания указанных сертификационных механизмов, печатей и маркировочных знаков. Указанные имплементационные акты должны быть приняты в соответствии с процедурой проверки, указанной в Статье 93(2).