Оглавл.
Главная > Статья 43. Органы по сертификации
Скачать в PDF

Статья 43 GDPR. Органы по сертификации

Article 43 GDPR. Certification bodies

1. Не отменяя задачи и полномочия компетентного надзорного органа согласно статьям 57 и 58, органы по сертификации, обладающие надлежащим уровнем компетентности в отношении защиты персональных данных, должны после информирования надзорного органа в целях содействия ему в осуществлении его полномочий согласно пункту (h) Статьи 58(2), при необходимости, предоставить и продлить сертификацию. Государства-члены гарантируют, что указанные органы по сертификации аккредитованы одним или обоими из следующих органов:

1. Without prejudice to the tasks and powers of the competent supervisory authority under Articles 57 and 58, certification bodies which have an appropriate level of expertise in relation to data protection shall, after informing the supervisory authority in order to allow it to exercise its powers pursuant to point (h) of Article 58(2) where necessary, issue and renew certification. Member States shall ensure that those certification bodies are accredited by one or both of the following:

Преамбулы

(100) Для того чтобы повысить прозрачность и улучшить соблюдение настоящего Регламента, необходимо содействовать установлению сертификационных механизмов, а также печатей и маркировочных знаков о защите данных, которые позволят субъектам данных быстро оценить уровень защищенности данных в соответствующем продукте или услуге.

(100) In order to enhance transparency and compliance with this Regulation, the establishment of certification mechanisms and data protection seals and marks should be encouraged, allowing data subjects to quickly assess the level of data protection of relevant products and services.

Связи

(a) надзорным органом, компетентным согласно Статье 55 или 56;

(a) the supervisory authority which is competent pursuant to Article 55 or 56;

Связи

(b) национальным органом по аккредитации, определенном в соответствии с Регламентом (ЕС) 765/2008 Европейского Парламента и Совета [20], в соответствии с EN-ISO/IEC 17065/2012 и с дополнительными требованиями, установленными надзорным органом, который компетентен согласно Статье 55 или 56.

(b) the national accreditation body named in accordance with Regulation (EC) No 765/2008 of the European Parliament and of the Council [20] in accordance with EN-ISO/IEC 17065/2012 and with the additional requirements established by the supervisory authority which is competent pursuant to Article 55 or 56.

Связи

[20] Регламент (EC) 765/2008 Европейского Парламента и Совета ЕС от 9 июля 2008 г., устанавливающий требования к аккредитации и надзору в отношении продукции, размещаемой на рынке ЕС, и отменяющий Регламент (ЕЭС) 339/93 (Официальный журнал Европейского союза N L 218, 13.08.2008, стр. 30). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2015:241:TOC

(20) Regulation (EC) No 765/2008 of the European Parliament and of the Council of 9 July 2008 setting out the requirements for accreditation and market surveillance relating to the marketing of products and repealing Regulation (EEC) No 339/93 (OJ L 218, 13.8.2008, p. 30). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2015:241:TOC

2. Органы по сертификации, указанные в параграфе 1, должны быть аккредитованы в соответствии с указанным пунктом только, если они:

2. Certification bodies referred to in paragraph 1 shall be accredited in accordance with that paragraph only where they have:

(a) продемонстрировали свою независимость и компетентность в отношении предмета сертификации компетентному надзорному органу;

(a) demonstrated their independence and expertise in relation to the subject-matter of the certification to the satisfaction of the competent supervisory authority;

(b) взяли на себя обязательство соблюдать критерии, упомянутые в Статье 42(5), которые были одобрены надзорным органом, компетентным в соответствии со статьями 55 или 56, или Советом, упомянутом в статье 63;

(b) undertaken to respect the criteria referred to in Article 42(5) and approved by the supervisory authority which is competent pursuant to Article 55 or 56 or by the Board pursuant to Article 63;

Связи

(c) приняли процедуры для выдачи, периодической проверки и отзыва сертификации по защите данных, печатей и маркировочных знаков о защите данных;

(c) established procedures for the issuing, periodic review and withdrawal of data protection certification, seals and marks;

(d) приняли процедуры и установили структуры для рассмотрения жалоб на нарушения сертификации или на способы, при помощи которых сертификация была внедрена или внедряется контролёром или процессором, а также для того чтобы сделать указанные процедуры и структуры прозрачными для субъектов данных и общественности; и

(d) established procedures and structures to handle complaints about infringements of the certification or the manner in which the certification has been, or is being, implemented by the controller or processor, and to make those procedures and structures transparent to data subjects and the public; and

(e) продемонстрировали компетентному надзорному органу, что их задачи и обязанности не вызывают конфликта интересов.

(e) demonstrated, to the satisfaction of the competent supervisory authority, that their tasks and duties do not result in a conflict of interests.

3. Аккредитация органов по сертификации, указанных в параграфах 1 и 2 настоящей Статьи, осуществляется на основе критериев, одобренных надзорным органом, компетентным согласно Статье 55 или 56, или Советом согласно Статье 63. В случае аккредитации согласно пункту (b) параграфа 1 настоящей Статьи, эти требования должны дополнять требования, предусмотренные Регламентом 765/2008 и техническими правилам, которые описывают методы и процедуры органов по сертификации.

3. The accreditation of certification bodies as referred to in paragraphs 1 and 2 of this Article shall take place on the basis of requirements approved by the supervisory authority which is competent pursuant to Article 55 or 56 or by the Board pursuant to Article 63. In the case of accreditation pursuant to point (b) of paragraph 1 of this Article, those requirements shall complement those envisaged in Regulation (EC) No 765/2008 and the technical rules that describe the methods and procedures of the certification bodies.

Связи

4. Органы по сертификации, упомянутые в параграфе 1, несут ответственность за надлежащую оценку, ведущую к сертификации или к отзыву такой сертификации, не исключая ответственности контролёра или процессора за соблюдение настоящего Регламента. Аккредитация выдается на срок не более пяти лет, который может быть продлен на тех же самых условиях в случае, если орган по сертификации соблюдает требования, установленные в настоящей Статье.

4. The certification bodies referred to in paragraph 1 shall be responsible for the proper assessment leading to the certification or the withdrawal of such certification without prejudice to the responsibility of the controller or processor for compliance with this Regulation. The accreditation shall be issued for a maximum period of five years and may be renewed on the same conditions provided that the certification body meets the requirements set out in this Article.

5. Органы по сертификации, указанные в параграфе 1, сообщают компетентным надзорным органам причины предоставления или отзыва требуемой сертификации.

5. The certification bodies referred to in paragraph 1 shall provide the competent supervisory authorities with the reasons for granting or withdrawing the requested certification.

6. Требования, указанные в параграфе 3 настоящей Статьи, и критерии, указанные в Статье 42(5), публикуются надзорным органом в легкодоступной форме. Надзорные органы также представляют эти требования и критерии Совета. Совет вносит все механизмы сертификации и печати о защите данных в реестр и публикует его соответствующим способом.

6. The requirements referred to in paragraph 3 of this Article and the criteria referred to in Article 42(5) shall be made public by the supervisory authority in an easily accessible form. The supervisory authorities shall also transmit those requirements and criteria to the Board.

Связи

7. Не отменяя действия Главы VIII, компетентный надзорный орган или национальный орган по аккредитации должны отозвать аккредитацию органа по сертификации согласно параграфу 1 настоящей Статьи, если условия аккредитации больше не соблюдаются или если принятые органом по сертификации меры нарушают положения настоящего Регламента.

7. Without prejudice to Chapter VIII, the competent supervisory authority or the national accreditation body shall revoke an accreditation of a certification body pursuant to paragraph 1 of this Article where the conditions for the accreditation are not, or are no longer, met or where actions taken by a certification body infringe this Regulation.

8. Европейская Комиссия уполномочена принимать делегированные акты в соответствии со Статьей 92 для определения требований, которые необходимо учесть для механизмов сертификации защиты данных, указанных в Статье 42(1).

8. The Commission shall be empowered to adopt delegated acts in accordance with Article 92 for the purpose of specifying the requirements to be taken into account for the data protection certification mechanisms referred to in Article 42(1).

Связи

9. Европейская Комиссия может принять исполнительные акты, устанавливающие технические стандарты для механизмов сертификации, печатей и маркировочных знаков защиты данных, а также механизмы для содействия и признания таких механизмов сертификации, печатей и маркировочных знаков. Эти имплементационные акты должны быть приняты в соответствии с процедурой экспертизы, указанной в Статье 93(2).

9. The Commission may adopt implementing acts laying down technical standards for certification mechanisms and data protection seals and marks, and mechanisms to promote and recognise those certification mechanisms, seals and marks. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 93(2).

Связи