1. Με την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων της αρμόδιας εποπτικής αρχής σύμφωνα με τα άρθρα 57 και 58, οι φορείς πιστοποίησης που διαθέτουν το ενδεδειγμένο επίπεδο εμπειρογνωμοσύνης σε σχέση με την προστασία των δεδομένων, αφού ενημερώσουν την εποπτική αρχή προκειμένου να μπορέσει να ασκήσει τις αρμοδιότητές της δυνάμει του άρθρου 58 παράγραφος 2 στοιχείο η) όπου απαιτείται, χορηγούν και ανανεώνουν πιστοποιήσεις. Το κράτος μέλος διασφαλίζει ότι η διαπίστευση των εν λόγω φορέων πιστοποίησης πραγματοποιείται από ένα ή αμφότερα τα ακόλουθα:
α) την εποπτική αρχή που είναι αρμόδια δυνάμει των άρθρων 55 ή 56,
β) τον εθνικό οργανισμό διαπίστευσης που ορίζεται σύμφωνα με τον κανονισμό (ΕΚ) αριθ. 765/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, σύμφωνα με το πρότυπο EN-ISO/IEC 17065/2012 και σύμφωνα με τις συμπληρωματικές απαιτήσεις που έχουν οριστεί από την εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 55 ή 56.
2. Οι φορείς πιστοποίησης που αναφέρονται στην παράγραφο 1 είναι διαπιστευμένοι σύμφωνα με την εν λόγω παράγραφο, μόνο εφόσον:
α) έχουν αποδείξει την ανεξαρτησία και την εμπειρογνωμοσύνη τους σε σχέση με το ανικείμενο της πιστοποίησης κατά την κρίση της αρμόδιας εποπτικής αρχής,
β) έχουν δεσμευτεί να σέβονται τα κριτήρια που αναφέρονται στο άρθρο 42 παράγραφος 5 και τα οποία έχουν εγκριθεί από την εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 55 ή 56 ή από το Συμβούλιο Προστασίας Δεδομένων δυνάμει του άρθρου 63,
γ) έχουν θεσπίσει διαδικασίες για την έκδοση, την περιοδική επανεξέταση και την ανάκληση πιστοποιητικών, σφραγίδων και σημάτων προστασίας των δεδομένων,
δ) έχουν θεσπίσει διαδικασίες και δομές για τη διαχείριση καταγγελιών περί παραβάσεων της πιστοποίησης ή περί του τρόπου με τον οποίο η πιστοποίηση έχει εφαρμοστεί ή εφαρμόζεται από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, καθώς και για να καταστούν οι διαδικασίες και οι δομές αυτές διαφανείς στα υποκείμενα των δεδομένων και στο ευρύ κοινό, και
ε) αποδεικνύουν, κατά την κρίση της αρμόδιας εποπτικής αρχής, ότι τα καθήκοντα και οι υποχρεώσεις τους δεν συνεπάγονται σύγκρουση συμφερόντων.
3. Η διαπίστευση των φορέων πιστοποίησης όπως αναφέρεται στις παραγράφους 1 και 2 του παρόντος άρθρου πραγματοποιείται βάσει των απαιτήσεων που έχουν εγκριθεί από την εποπτική αρχή που είναι αρμόδια δυνάμει του άρθρου 55 ή 56, ή από το Συμβούλιο Προστασίας Δεδομένων δυνάμει του άρθρου 63. Σε περίπτωση διαπίστευσης δυνάμει του στοιχείου β) της παραγράφου 1 του παρόντος άρθρου, οι εν λόγω απαιτήσεις συμπληρώνουν τις απαιτήσεις που προβλέπονται στον κανονισμό (ΕΚ) αριθ. 765/2008 και τους τεχνικούς κανόνες που περιγράφουν τις μεθόδους και τις διαδικασίες των φορέων πιστοποίησης.
4. Οι φορείς πιστοποίησης που αναφέρονται στην παράγραφο 1 είναι υπεύθυνος για την ορθή εκτίμηση που οδηγεί στην πιστοποίηση ή την ανάκληση της πιστοποίησης, με την επιφύλαξη της ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία για συμμόρφωση προς τον παρόντα κανονισμό. Η διαπίστευση χορηγείται για μέγιστη περίοδο πέντε ετών και μπορεί να ανανεωθεί με τους ίδιους όρους, υπό την προϋπόθεση ότι ο φορέας πιστοποίησης πληροί τις απαιτήσεις του παρόντος άρθρου.
5. Οι φορείς πιστοποίησης που αναφέρονται στην παράγραφο 1 παρέχουν στις αρμόδιες εποπτικές αρχές τους λόγους χορήγησης ή ανάκλησης της αιτηθείσας πιστοποίησης.
6. Οι απαιτήσεις της παραγράφου 3 του παρόντος άρθρου και τα κριτήρια που αναφέρονται στο άρθρο 42 παράγραφο 5 δημοσιοποιούνται από την εποπτική αρχή σε ευχερώς προσβάσιμη μορφή. Οι εποπτικές αρχές διαβιβάζουν επίσης τις εν λόγω απαιτήσεις και τα κριτήρια στο Συμβούλιο Προστασίας Δεδομένων.
7. Με την επιφύλαξη του κεφαλαίου VIII, η αρμόδια εποπτική αρχή ή ο εθνικός οργανισμός διαπίστευσης ανακαλεί διαπίστευση σε φορέα πιστοποίησης σύμφωνα με την παράγραφο 1 του παρόντος άρθρου, εφόσον οι προϋποθέσεις διαπίστευσης δεν πληρούνται ή δεν πληρούνται πλέον ή εφόσον οι ενέργειες του φορέα πιστοποίησης παραβαίνουν τον παρόντα κανονισμό.
8. Η Επιτροπή εξουσιοδοτείται να εκδίδει κατ' εξουσιοδότηση πράξεις σύμφωνα με το άρθρο 92, με σκοπό τον προσδιορισμό των απαιτήσεων που πρέπει να λαμβάνονται υπόψη για τους μηχανισμούς πιστοποίησης προστασίας δεδομένων που αναφέρονται στο άρθρο 42 παράγραφος 1.
9. Η Επιτροπή μπορεί να εκδίδει εκτελεστικές πράξεις σχετικά με τη θέσπιση τεχνικών προτύπων για μηχανισμούς πιστοποίησης, σφραγίδες και σήματα προστασίας δεδομένων, καθώς και μηχανισμούς για την προώθηση και την αναγνώριση των εν λόγω μηχανισμών πιστοποίησης, σφραγίδων και σημάτων. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία εξέτασης που αναφέρεται στο άρθρο 93 παράγραφος 2.
Σημειώσεις επί του άρθρου
Το κείμενο υπέστη αλλαγές με το Διορθωτικό που δημοσιεύθηκε στην Επίσημη Εφημερίδα της ΕΕ (L 127/2/23.5.2018)
Σχετικά σημεία αιτιολογικής έκθεσης:
(77) Καθοδήγηση για την εφαρμογή των κατάλληλων μέτρων και για την απόδειξη της συμμόρφωσης από τον υπεύθυνο επεξεργασίας και τον εκτελούντα επεξεργασία, ιδίως όσον αφορά τον προσδιορισμό των κινδύνων που συνδέονται με την επεξεργασία, την εκτίμησή τους από άποψη προέλευσης, φύσης, πιθανότητας και σοβαρότητας και τον εντοπισμό των βέλτιστων πρακτικών για τον περιορισμό των κινδύνων θα μπορούσε να παρέχεται ιδίως με εγκεκριμένους κώδικες συμπεριφοράς, εγκεκριμένες πιστοποιήσεις, κατευθυντήριες γραμμές που παρέχονται από το Συμβούλιο Προστασίας Δεδομένων ή με τις υποδείξεις που παρέχει υπεύθυνος προστασίας δεδομένων. Το Συμβούλιο Προστασίας Δεδομένων μπορεί επίσης να εκδίδει κατευθυντήριες γραμμές σχετικά με τις πράξεις επεξεργασίας που θεωρείται ότι είναι απίθανο να οδηγήσουν σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, στις οποίες θα αναφέρεται ποια μέτρα μπορεί να αρκούν στην περίπτωση αυτή για την αντιμετώπιση του σχετικού κινδύνου.
(81) Προκειμένου να διασφαλιστεί η συμμόρφωση με τις απαιτήσεις του παρόντος κανονισμού όσον αφορά την προς διεξαγωγή επεξεργασία από τον εκτελούντα την επεξεργασία, εκ μέρους του υπευθύνου επεξεργασίας, οσάκις ανατίθενται σε εκτελούντα την επεξεργασία δραστηριότητες επεξεργασίας, ο υπεύθυνος επεξεργασίας θα πρέπει να χρησιμοποιεί μόνο εκτελούντες επεξεργασία οι οποίοι παρέχουν επαρκείς διαβεβαιώσεις, ιδίως από πλευράς εμπειρογνωμοσύνης, αξιοπιστίας και πόρων, για την εφαρμογή τεχνικών και οργανωτικών μέτρων που θα ανταποκρίνονται στις απαιτήσεις του παρόντος κανονισμού, συμπεριλαμβανομένων εκείνων που αφορούν την ασφάλεια της επεξεργασίας. Η προσχώρηση του εκτελούντος την επεξεργασία σε εγκεκριμένο κώδικα συμπεριφοράς ή εγκεκριμένο μηχανισμό πιστοποίησης μπορεί να χρησιμοποιηθεί ως στοιχείο για να αποδειχθεί η συμμόρφωσή του με τις υποχρεώσεις του υπευθύνου επεξεργασίας. Η εκτέλεση της επεξεργασίας από εκτελούντα την επεξεργασία θα πρέπει να διέπεται από σύμβαση ή άλλη νομική πράξη, βασιζόμενη στο ενωσιακό δίκαιο ή στο δίκαιο των κρατών μελών, που συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο επεξεργασίας, στην οποία καθορίζονται το αντικείμενο και η διάρκεια της επεξεργασίας, η φύση και οι σκοποί της επεξεργασίας, το είδος των δεδομένων προσωπικού χαρακτήρα και οι κατηγορίες των υποκειμένων των δεδομένων, λαμβανομένων υπόψη των ειδικών καθηκόντων και αρμοδιοτήτων του εκτελούντος την επεξεργασία στο πλαίσιο της επεξεργασίας που πρόκειται να πραγματοποιηθεί και τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία μπορούν να επιλέξουν να χρησιμοποιήσουν ατομική σύμβαση ή τυποποιημένες συμβατικές ρήτρες οι οποίες είτε έχουν εγκριθεί απευθείας από την Επιτροπή ή από εποπτική αρχή σύμφωνα με τον μηχανισμό συνεκτικότητας και εγκρίθηκαν εν συνεχεία από την Επιτροπή. Μετά την ολοκλήρωση της επεξεργασίας εξ ονόματος του υπευθύνου επεξεργασίας, ο εκτελών την επεξεργασία θα πρέπει, αναλόγως της επιλογής του υπευθύνου επεξεργασίας, να επιστρέψει ή να διαγράψει τα δεδομένα προσωπικού χαρακτήρα, εκτός εάν υποχρεούται να αποθηκεύσει τα δεδομένα προσωπικού χαρακτήρα σύμφωνα με το ενωσιακό δίκαιο ή το δίκαιο κράτους μέλους στο οποίο υπάγεται ο εκτελών την επεξεργασία.
(100) Για τη βελτίωση της διαφάνειας και της συμμόρφωσης προς τον παρόντα κανονισμό, θα πρέπει να παροτρύνεται η θέσπιση μηχανισμών πιστοποίησης και σφραγίδων και σημάτων προστασίας των δεδομένων, επιτρέποντας στα υποκείμενα των δεδομένων να αξιολογούν ταχέως το επίπεδο προστασίας των δεδομένων των σχετικών προϊόντων και υπηρεσιών.
(108) Ελλείψει απόφασης επάρκειας, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να λαμβάνουν μέτρα για να αντισταθμίζουν την έλλειψη προστασίας των δεδομένων στην τρίτη χώρα μέσω κατάλληλων εγγυήσεων υπέρ του υποκειμένου των δεδομένων. Αυτές οι κατάλληλες εγγυήσεις μπορεί να συνίστανται στη χρήση δεσμευτικών εταιρικών κανόνων, τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από την Επιτροπή, τυποποιημένων ρητρών προστασίας των δεδομένων που θεσπίζονται από αρχή ελέγχου ή συμβατικών ρητρών που εγκρίνονται από αρχή ελέγχου. Οι εγγυήσεις αυτές θα πρέπει να διασφαλίζουν συμμόρφωση με τις απαιτήσεις προστασίας των δεδομένων και με τα δικαιώματα των υποκειμένων των δεδομένων, υπό το πρίσμα της επεξεργασίας εντός της Ένωσης, συμπεριλαμβανομένης της διαθεσιμότητας νομικώς ισχυρών δικαιωμάτων των υποκειμένων των δεδομένων και πραγματικών ένδικων μέσων, όπως είναι μεταξύ άλλων το δικαίωμα άσκησης αποτελεσματικής διοικητικής ή δικαστικής προσφυγής και αξίωσης αποζημίωσης, στην Ένωση ή σε τρίτη χώρα. Θα πρέπει να αφορούν ιδίως την τήρηση των γενικών αρχών που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα και των αρχών περί προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού. Οι διαβιβάσεις μπορούν να διενεργούνται επίσης από δημόσιες αρχές ή φορείς με δημόσιες αρχές ή φορείς σε τρίτες χώρες ή με διεθνείς οργανισμούς που έχουν αντίστοιχα καθήκοντα ή αρμοδιότητες, μεταξύ άλλων βάσει διατάξεων που πρέπει να ενσωματωθούν σε διοικητικές ρυθμίσεις, όπως σε υπόμνημα συμφωνίας, όπου να προβλέπονται αποτελεσματικά και νομικώς ισχυρά δικαιώματα για τα υποκείμενα των δεδομένων. Η άδεια της αρμόδιας εποπτικής αρχής θα πρέπει να αποκτάται εφόσον οι εγγυήσεις προβλέπονται σε νομικά μη δεσμευτικές διοικητικές ρυθμίσεις
