- (1) 所轄監督機関の職務及び権限(第57 条及び58 条)を妨げることなく、データ保護に関する適切なレベルの専門性をもつ認証機関は、その必要があるときは、監督機関に通知した後、第58 条第2 項(h)による権限を行使できるようにして、認証を発行し、又は、それを更新するものとする。 加盟国は、加盟国の認証機関が、以下の一方又は両方から認定されることを確保しなければならない。
-
(2)
第1 項に規定する認証機関は、同項に従って、次のいずれも満たす場合に限り、認定を受けるものとする。
- その組織の独立性及び認証の対象事項に関する専門性について、所轄監督機関を納得させる程度に証明したこと;
- 第42 条第5 項に規定する基準を満たし、かつ、所轄監督機関による第55 条又は56 条に基づく承認、又は、欧州データ保護会議による第63 条に基づく承認を受けたこと;
- データ保護認証、データ保護シール及びデータ保護マークの発行、定期的な見直し及び取消しの手続が設けられていること;
- 認証に対する違反、又は、管理者若しくは処理者によってなされ、若しくはなされつつある認証事項実装手法に関する苦情を取り扱うための手続及び組織が定められ、かつ、そのような手続及び組織をデータ主体及び公衆にとって透明性のあるものとしていること;
- その組織の職務と義務が利益相反を発生させないことを、所轄監督機関が納得する程度に証明したこと。
- (3) 本条第1 項及び第2 項に規定する認証機関の認定は、所轄監督機関によって承認された基準(第55 条又は56 条に基づく)又は欧州データ保護会議によって第63 条に基づき承認された基準に基づいて行われなければならない。 本条第1 項(b)による認定の場合、当該要件は、規則(EC) No 765/2008 及び認証機関の方法及び手順を示す技術規則に掲げられる要件を補完するものでなければならない。
- (4) 第1 項に規定する認証機関は、管理者又は処理者による本規則の遵守に関する責任を妨げることなく、認証又はその取消を導く適正な評価について責任を負うものとする。 認定は、認証機関が本条に定める要件に適合することを条件として、最長で5 年以内の期間で発行されるものとし、また、同じ条件の下で更新されうる。
- (5) 第1 項に規定する認証機関は、所轄監督機関に対し、求められた認証の付与又はその取消の理由を提供する。
- (6) 本条第3 項に規定する要件及び第42 条第5 項に規定する基準は、容易にアクセス可能な方式で、監督機関によって、公表されなければならない。 監督機関は、また、当該要件及び基準を欧州データ保護会議に送付しなければならない。 欧州データ保護会議は、全ての認証方法及びデータ保護シールを登録簿に整理列挙し、かつ、適切な手段によって、公衆がそれを利用できるようにしなければらない。
- (7) 第8 章を妨げることなく、所轄監督機関又は国内認定機関は、認定の要件に適合していない場合、若しくは、適合しなくなった場合、又は、認証機関の行為が本規則に違反する場合、本条の第1 項による認証機関の認定を取り消さなければならない。
- (8) 欧州委員会は、第92 条に従い、第42 条第1 項に規定するデータ保護認証方法のために考慮に入れられるべき要件の細目を定めるために、委任法令を採択する権限を有するものとする。
- (9) 欧州委員会は、認証方法、データ保護シール及びデータ保護マークのための技術基準、並びに、認証方法、データ保護シール及びデータ保護マークを推奨し、周知するための仕組みを定める実装法令を採択することができる。 その実装法令は、第93 条第2 項に規定する審議手続に従って採択されなければならない。
一般データ保護規則(GDPR)条項
第43 条