第43条 认证机构
1.在不影响第57条和第58条规定的有权监管机构的任务与权利的前提下,具有相应专业性的认证机构可以在告知监管机构后——以便监管机构可以行使第58(2)点h点所规定的权利——颁发和更新认证。成员国应当确保这些认证机构是如下一个机构认可或两个机构同时认可的:
(a)第55或56条所规定的有权监管机构;
(b)按照欧洲议会和理事会的(EC)No 765/2008条例、EN-ISO/IEC 17065/2012设定的,以及满足第55条或第56条的有权监管机构所规定的额外要求的全国性认证机构。
2.只有存在如下情形时,第1段所规定的认证机构才能根据第1段的规定被认证:
(a)已经证明在准则所规定事项方面具有独立性与专业性,满足有权监管机构的要求;
(b)采取措施遵从第42(5)条所规定的标准,并且已经为第55条所规定的有权监管机构或第63条规定的欧盟数据保护委员会所批准;
(c)建立了发行、定期审查和撤回数据保护认证、印章和标记的程序;
(d)已经设立了解决关于违反准则,或关于控制者或处理者已经实施、或正在实施准则的方式的申诉程序和体系,并且数据主体和公众已知悉此类程序和体系;且
(e)已经表明其符合有权监管机构的要求,其任务和职责不存在利益冲突的情形。
3.第1段和第2段所规定的委任认证机构应当建立在第55条或第66条所规定的有权监管机构所批准的基础性标准之上,或者第63条所规定的欧盟数据保护委员会所批准的基础性标准之上。对于本条第1段(b)点所规定的授权,此类要求应当补充(EC) No 765/2008指令所设想的要求,以及描述认证机构方法与程序的技术性规则。
4.在不影响控制者或处理者对本条例的遵守的前提下,第1段所规定的认证机构应当负责颁发认证或撤销此类认证的有效评估。颁发给控制者或处理者的认证的有效期最 长是五年,如果相关条件满足,同样的情形下有效期可以延长。
5.第1段所规定的验证机构应当向有权监管机构报告颁发或撤销所要求认证的理由。
6.监管机构应当以容易获取的方式公开本条第3段所规定的要求,以及第42(5)段所规定的标准。监管机构还应当将那些要求和标准传输给欧盟数据保护委员会。欧盟数据保护委员会应当核查所有登记的认证机制与数据保护印章,而且应当通过某种恰当的方式将它们公开。
7.在不影响第八章的前提下,当认证的条件不符合或不再符合,或者当认证机构所采取的行为侵犯了本条例,有权监管机构或全国性的认证机构应当取消根据本条第1段对认证机构的认证。
8.为了细化第42(1)条所规定的数据保护验证机制所需要考虑的条件,欧盟委员会有权制定符合第92条的授权法案。
9.欧盟委员会可以制定实施法案,为验证机制与数据保护印章、标记与机制设定技术标准,以便促进和认可那些验证机制、印章与标记。此类实施法条的制定应当符合第94(2)条所规定的验证程序。
