Статья 42
действуетОтветственный за обработку данных и обработчик
1. Государства-члены, надзорные органы, Комитет и Комиссия содействуют, в частности на уровне Союза, внедрению механизмов сертификации в области защиты данных, а также знаков и марок защиты данных, позволяющих подтвердить, что контролеры и процессоры при осуществлении обработки действуют в соответствии с настоящим Регламентом. При этом также учитываются особые потребности малых, средних и микропредприятий.
2. В дополнение к соблюдению требований контролерами или процессорами, подпадающими под действие настоящего Регламента, могут быть также введены одобренные в соответствии с пунктом 5 настоящей статьи механизмы сертификации в области защиты данных, знаки или маркировки защиты данных, чтобы подтвердить, что контролеры или процессоры, которые в соответствии со статьей 3 не подпадают под действие настоящего Регламента, в рамках передачи персональных данных в третьи страны или международным организациям на условиях, предусмотренных статьей 46, пунктом 2, подпунктом f), предоставляют надлежащие гарантии. Указанные контролеры или процессоры посредством договорных или иных юридически обязательных инструментов принимают на себя обязательные и подлежащие исполнению обязательства по применению таких надлежащих гарантий, в том числе в отношении прав субъектов данных.
3. Сертификация является добровольной и доступной посредством прозрачного процесса.
4. Сертификация на основании настоящей статьи не освобождает контролера или обработчика от ответственности за соблюдение настоящего Регламента и не затрагивает задачи и полномочия надзорных органов, компетентных в соответствии со статьей 55 или 56.
5. Сертификат на основании настоящей статьи выдается сертифицирующими органами, указанными в статье 43, или компетентным надзорным органом на основании критериев, утвержденных этим компетентным надзорным органом в соответствии со статьей 58, пунктом 3, или Комитетом в соответствии со статьей 63. Если критерии утверждены Комитетом, это может привести к выдаче общего сертификата — Европейского знака защиты данных.
6. Контролер или процессор, который подвергает свою обработку [данных] механизму сертификации, предоставляет органу по сертификации, указанному в статье 43, или, в соответствующих случаях, компетентному надзорному органу информацию, необходимую для осуществления процедуры сертификации, и предоставляет этому органу или органу власти доступ к своей деятельности по обработке [данных].
7. Сертификат выдается контролеру или обработчику на максимальный срок три года и может быть продлен на тех же условиях при условии, что соответствующие требования продолжают соблюдаться. В соответствующих случаях сертификат отзывается органами по сертификации, указанными в статье 43, или компетентным надзорным органом, если требования для сертификации не соблюдаются или перестали соблюдаться.
8. Комитет собирает все механизмы сертификации, а также знаки и маркировки защиты данных в реестр и делает их общедоступными посредством соответствующих каналов.
1. De lidstaten, de toezichthoudende autoriteiten, het Comité en de Commissie bevorderen, met name op Unieniveau, de invoering van certificeringsmechanismen voor gegevensbescherming en gegevensbeschermingszegels en -merktekens waarmee kan worden aangetoond dat verwerkingsverantwoordelijken en verwerkers bij verwerkingen in overeenstemming met deze verordening handelen. Er wordt ook rekening gehouden met de specifieke behoeften van kleine, middelgrote en micro-ondernemingen.
2. Ter aanvulling op de naleving door verwerkingsverantwoordelijken of verwerkers die onder deze verordening vallen, kunnen tevens uit hoofde van lid 5 van dit artikel goedgekeurde certificeringsmechanismen voor gegevensbescherming, gegevensbeschermingszegels of -merktekens worden ingevoerd om aan te tonen dat de verwerkingsverantwoordelijken of verwerkers die overeenkomstig artikel 3 niet onder deze verordening vallen, in het kader van de doorgiften van persoonsgegevens aan derde landen of internationale organisaties onder de voorwaarden als bedoeld in artikel 46, lid 2, punt f), passende waarborgen bieden. Die verwerkingsverantwoordelijken of verwerkers doen, via contractuele of andere juridisch bindende instrumenten, bindende en afdwingbare toezeggingen om die passende waarborgen toe te passen, ook wat betreft de rechten van de betrokkenen.
3. De certificering is vrijwillig en toegankelijk via een transparant proces.
4. Een certificering op grond van dit artikel doet niets af aan de verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker om deze verordening na te leven en laat de taken en bevoegdheden van de overeenkomstig artikel 55 of 56 bevoegde toezichthoudende autoriteiten onverlet.
5. Een certificaat uit hoofde van dit artikel wordt afgegeven door de in artikel 43 bedoelde certificerende organen of door de bevoegde toezichthoudende autoriteit, op grond van de criteria die zijn goedgekeurd door die bevoegde toezichthoudende autoriteit op grond van artikel 58, lid 3, of door het Comité overeenkomstig artikel 63. Indien de criteria door het Comité zijn goedgekeurd, kan dit leiden tot een gemeenschappelijke certificaat, het Europees gegevensbeschermingszegel.
6. De verwerkingsverantwoordelijke of de verwerker die zijn verwerking aan het certificeringsmechanisme onderwerpt, verstrekt aan het in artikel 43 bedoelde certificeringsorgaan, of, waar van toepassing, aan de bevoegde toezichthoudende autoriteit de voor de uitvoering van de certificeringsprocedure noodzakelijke informatie en verleent het orgaan of de autoriteit toegang tot zijn verwerkingsactiviteiten.
7. Het certificaat wordt afgegeven aan een verwerkingsverantwoordelijke of een verwerker voor een maximumperiode van drie jaar en kan worden verlengd onder dezelfde voorwaarden, mits bij voortduring aan de relevante eisen kan worden voldaan. Indien van toepassing wordt het certificaat ingetrokken door de in artikel 43 bedoelde certificerende organen of door de bevoegde toezichthoudende autoriteit, wanneer aan de eisen voor de certificering niet of niet meer wordt voldaan.
8. Het Comité verzamelt alle certificeringsmechanismen en gegevensbeschermingszegels en -merktekens in een register en maakt deze via de daartoe geëigende kanalen openbaar.