認証機関

(1) 第57 条及び第58 条に基づく所轄監督機関の職務及び権限を妨げることなく、データ保護に関する適切なレベルの専門性をもつ認証機関は、その必要があるときは、第58 条第 2 項(h)による権限を行使できるようにするために監督機関に通知した後、認証を発行し、又は、それを更新するものとする。加盟国は、加盟国の認証機関が、以下の一方又は両方から認定されることを確保するしなければならない。
1. 第55 条又は第56 条による所轄監督機関；
2. EN-ISO/IEC 17065/2012 に準拠する欧州議会及び欧州連合の理事会の規則(EC) No 765/2008 [1] に従い、かつ、第55 条又は第56 条による所轄監督機関によって定められる付加的な要件に従って指定される国内認定機関。
(2) 第 1 項に規定する認証機関は、次のいずれも満たす場合に限り、同項に従って、認定を受けるものとする。
1. その組織の独立性及び認証の対象事項に関する専門性について、所轄監督機関を納得させる程度に証明したこと
2. 第42 条第 5 項に規定する基準を満たし、かつ、第55 条若しくは第56 条による所轄監督機関による承認、又は、第63 条により欧州データ保護会議による承認を受けたこと
3. データ保護認証、データ保護シール及びデータ保護マークの発行、定期的な見直し及び取消しの手続が設けられていること
4. 認証に対する違反、又は、管理者若しくは処理者によってなされ、若しくはなされつつある認証事項実装手法に関する苦情を取り扱うための手続及び組織が定められ、かつ、そのような手続及び組織をデータ主体及び公衆にとって透明性のあるものとしていること
5. その組織の職務と義務が利益相反を発生させないことを、所轄監督機関が納得する程度に証明したこと
(3) 本条第 1 項及び第 2 項に規定する認証機関の認定は、第55 条又は第56 条により所轄監督機関によって承認された基準、又は、第63 条により欧州データ保護会議によって承認された基準に基づいて行われなければならない。本条第 1 項(b)による認定の場合、当該(b)にいう要件は、規則(EC) No 765/2008 及び認証機関の方法及び手順を示す技術規則に掲げられる要件を補完するものでなければならない。
(4) 第 1 項に規定する認証機関は、本規則の遵守に関する管理者又は処理者の責任を妨げることなく、認証又はその取消を導く適正な評価について責任を負うものとする。認定は、認証機関が本条に定める要件に適合することを条件として、最長で 5 年以内の期間で発行されるものとし、また、同じ条件の下で更新されうる。
(5) 第 1 項に規定する認証機関は、所轄監督機関に対し、求められた認証の付与又はその取消の理由を提供する。
(6) 本条第 3 項に規定する要件及び第42 条第 5 項に規定する基準は、容易にアクセス可能な方式で、監督機関によって、公表されなければならない。監督機関は、また、欧州データ保護会議に対し、当該要件及び基準を送付しなければならない。欧州データ保護会議は、全ての認証方法及びデータ保護シールを登録簿に整理列挙し、かつ、適切な手段によって、公衆がそれを利用できるようにしなければらない。
(7) 第8 章を妨げることなく、認定の要件に適合していない場合、若しくは、適合しなくなった場合、又は、認証機関の行為が本規則に違反する場合、所轄監督機関又は国内認定機関は、本条の第 1 項による認証機関の認定を取り消さなければならない。
(8) 欧州委員会は、第42 条第 1 項に規定するデータ保護認証方法のために考慮に入れられるべき要件の細目を定めるために、第92 条に従い、委任法令を採択する権限を有するものとする。
(9) 欧州委員会は、認証方法、データ保護シール及びデータ保護マークのための技術基準、並びに、認証方法、データ保護シール及びデータ保護マークを推奨し、周知するための仕組みを定める実装法令を採択することができる。この実装法令は、第93 条第 2 項に規定する審議手続に従って採択されなければならない。