第42条 认证
1.成员国、监管机构、欧盟数据保护委员会和欧盟委员会应当鼓励——尤其是在欧盟层面——建立数据保护认证机制、数据保护印章和标记,以证明控制者和处理者的处理操作符合本条例。对此应当考虑微型、小型以及中型经济主体的特定需求。
2.控制者或处理者除了受本条例约束之外,也可以设立符合本条第5段的数据保护认证机制、印章或标记,以便证明,对于根据第3条不受本条例约束的情形,已经对第46(2)条(f)点所规定的将个人数据转移到第三国或国际组织的情形采取了合适的安全措施。为了提供此类合适的安全措施,包括和数据主体权利相关的安全措施,此类控制者或处理者应当通过合同或其他具有法律强制力的措施制定有约束力和可执行的承诺。
3.认证应当是自愿的,而且可以通过透明程序而获得。
4.根据本条而进行的认证,不能减轻控制者或处理者遵循本条例的责任,而且也不对第55条或56条所规定的有权监管机构的任务和权利产生影响。
5.符合本条的认证应当为第43条所规定的认证机构所批准,应当建立在第58(3)条的有权监管机构或第63条的欧盟数据保护委员会所批准的标准之上。当标准被欧盟数据保护委员会所批准,这可以产生一个通用性认证——欧盟数据保护印章。
6.那些将其处理提交认证机制的控制者或处理者,应当将进行认证程序所必需的所有信息与访问权提交给第43条规定的认证机构,在适用的情形下,还应当提交给有权监管机构。
7.颁发给控制者或处理者的认证的有效期最 长是三年,如果相关条件满足,同样的情形下有效期可以延长。当认证的条件不满足或不再满足时,在适用的情形下,第43条规定的认证实体或有权监管机构可以撤回认证。
8.欧盟数据保护委员会应当核查所有已登记的验证机制、数据保护印章和标记,而且应当以恰当的方式使得公众能够获取。
