- (1) 加盟国、監督機関、欧州データ保護会議及び欧州市委員会は、とりわけ、EUレベルにおいて、管理者及び処理者による取扱業務が本規則を遵守することを証明する目的のために、データ保護認証方法、データ保護シール及びデータ保護マークを設けることを奨励しなければならない。 中小零細企業の特殊事情を考慮に入れるものとする。
- (2) 本規則に服する管理者又は処理者の遵守に加え、本条第5項によって認められるデータ保護認証方法、データ保護シール又はデータ保護マークを設けることができるが、これは、第46条第2項(f)に規定する条件に基づく第三国又は国際機関に対する個人データの移転の枠組みにおいて、第3条により本規則の適用対象となっていない管理者又は処理者によって提供される適切な保護措置の存在を示す目的によるものである。 当該管理者又は処理者は、契約文書又はその他の法的拘束力ある法律文書を介して、データ主体の権利に関するものを含め、適切な保護措置を適用するための拘束力があり執行可能な約束を形成しなければならない。
- (3) 認証は、自由であり、かつ、透明性のある手続を介して利用されるものとする。
- (4) 本条による認証は、管理者又は処理者の本規則の遵守に係る責務を軽減することはなく、また、第55条又は第56条による所轄監督機関の職務及び権限を妨げない。
- (5) 本条による認証は、第58条第3項により所轄監督機関によって承認された基準、又は、第63条により欧州データ保護会議によって承認された基準に基づき、第43条に規定する認証機関又は所轄監督機関から発行されるものとする。 当該基準が欧州データ保護会議によって承認されたものである場合、それは、共通の認証、すなわち、欧州データ保護シールとなりうる。
- (6) その取扱いを認証方法に服させる管理者又は処理者は、第43条に規定する認証機関に対し、又は、該当する場合には、所轄監督機関に対し、認証手続を実施するために必要となる全ての情報及びその取扱活動へのアクセスを提供しなければならない。
- (7) 認証は、管理者又は処理者に対し、最長3年の期間で発行されるものとし、関連する要件に適合し続けていることを条件として、同じ条件で更新されうる。 認証のための要件が満たされていない場合、又は、満たされなくなった場合、その認証は、第43条に規定する認証機関又は所轄監督機関によって、しかるべく取り消されるものとする。
- (8) 欧州データ保護会議は、全ての認証方法、データ保護シール及びデータ保護マークを登録簿に整理列挙し、かつ、適切な手段によって、公衆がそれを利用できるようにしなければならない。
一般データ保護規則(GDPR)条項
第42条