1. Государства-члены, надзорные органы, Европейский совет защиты персональных данных и Европейская Комиссия поощряют, в частности на уровне Союза, учреждение механизмов сертификации защиты данных, а также печатей и маркировочных знаков защиты данных, предназначенных для демонстрации соблюдения настоящего Регламента при осуществлении операций по обработке данных контролёрами и процессорами. Принимаются во внимание особые потребности микро-, малых и средних предприятий.
2. В дополнение к соблюдению контролёрами и процессорами, подпадающими под действие настоящего Регламента, могут быть установлены механизмы сертификации защиты данных, печати и маркировочные знаки, установленные параграфом 5 настоящей Статьи, с целью продемонстрировать наличие соответствующих гарантий, предоставляемых контролёрами или процессорами, которые не подпадают под действие настоящего Регламента согласно статье 3, в рамках передачи персональных данных третьим странам или международным организациям на основании пункта f статьи 46(2). Указанные контролёры или процессоры должны посредством договорных или иных юридически обязывающих механизмов возложить на себя обязательства, имеющие принудительную силу и подлежащие неукоснительному соблюдению, применять такие надлежащие гарантии, в том числе в отношении прав субъектов данных.
5. Сертификация согласно настоящей Статье должна осуществляться органами по сертификации, указанными в Статье 43, или компетентным надзорным органом на основе критериев, утвержденных этим компетентным надзорным органом согласно Статье 58(3) или Европейским советом по защите персональных данных согласно Статье 63. Если критерии утверждаются Европейским советом по защите персональных данных, это может привести к всеобщей сертификации, то есть к Европейскому знаку защиты персональных данных.
6. Контролёр или процессор, которые представляют осуществляемую им обработку механизму сертификации, предоставляют органу по сертификации, указанному в Статье 43, или в соответствующих случаях компетентному надзорному органу всю информацию и доступ к деятельности по обработке, что необходимо для проведения процедуры сертификации.
7. Сертификация предоставляется контролёру или процессору на срок не более трех лет и может быть продлена на тех же самых условиях в случае, если соответствующие требования продолжают соблюдаться. Сертификация должна быть отозвана органами по сертификации, указанными в Статье 43, или компетентным надзорным органом, если требования для сертификации больше не соблюдаются или больше не выполняются.
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO – https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО “Дата Прайваси Офис”.
(100) Для того чтобы повысить прозрачность и улучшить соблюдение настоящего Регламента, необходимо содействовать установлению сертификационных механизмов, а также печатей и маркировочных знаков о защите данных, которые позволят субъектам данных быстро оценить уровень защищенности данных в соответствующем продукте или услуге.
EDPB, Opinion 1/2022on the draft decision of the Luxembourg Supervisory Authority regarding the GDPR – CARPA certification criteria (2022).
ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.
Here is the relevant paragraph to article 42 GDPR:
5.2.1 Understanding the organization and its context
The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.
[…]
Sign in
to read the full text