第5節「行動規範及び認証」の最後であり、第4章「管理者及び処理者」の最後でもある第43条は「認証機関」です
第43条:認証機関
1. 第57条及び第58条に基づく所轄監督機関の職務及び権限を妨げることなく、データ保護に関する適切なレベルの専門性をもつ認証機関は、その必要があるときは、第58条第2項(h)による権限を行使できるようにするために監督機関に通知した後、認証を発行し、又は、それを更新するものとする。加盟国は、加盟国の認証機関が、以下の一方又は両方から認定されることを確保するしなければならない。
(a) 第55条又は第56条による所轄監督機関;
(b) EN-ISO/IEC17065/2012に準拠する欧州議会及び欧州連合の理事会の規則(EC)No765/2008に従い、かつ、第55条又は第56条による所轄監督機関によって定められる付加的な要件に従って指定される国内認定機関。
加盟国は、加盟国の認証を与える認証機関が、以下の一方または両方から認定されなければなりません。
(a) 所轄監督機関
(b) EN-ISO/IEC17065/2012に準拠する欧州議会及び欧州連合の理事会の規則(EC)No765/2008に従い、かつ、第55条又は第56条による所轄監督機関によって定められる付加的な要件に従って指定される国内認定機関
2. 第1項に規定する認証機関は、次のいずれも満たす場合に限り、同項に従って、認定を受けるものとする。
(a) その組織の独立性及び認証の対象事項に関する専門性について、所轄監督機関を納得させる程度に証明したこと
(b) 第42条第5項に規定する基準を満たし、かつ、第55条若しくは第56条による所轄監督機関による承認、又は、第63条により欧州データ保護会議による承認を受けたこと
(c) データ保護認証、データ保護シール及びデータ保護マークの発行、定期的な見直し及び取消しの手続が設けられていること
(d) 認証に対する違反、又は、管理者若しくは処理者によってなされ、若しくはなされつつある認証事項実装手法に関する苦情を取り扱うための手続及び組織が定められ、かつ、そのような手続及び組織をデータ主体及び公衆にとって透明性のあるものとしていること
(e) その組織の職務と義務が利益相反を発生させないことを、所轄監督機関が納得する程度に証明したこと
第1項に規定する認証機関は、以下の(a)から(e)のすべてを満たす場合に限り認定を受けることができます。
(a) 所轄監督機関を納得できる程度に、その組織が独立性と認証機関としての専門性があることを証明した
(b) 第42条第5項に規定する基準を満たし、かつ、第55条もしくは第56条による所轄監督機関による承認、または、第63条により欧州データ保護会議(EDPB)による承認を受けている
(c) データ保護認証、データ保護シール、およびデータ保護マークの発行、定期的な見直しおよび取消しの手続が設けられている
(d) 認証に対する違反や苦情を取り扱うための手続きや組織が定められ、かつ、それらが公衆にとって透化されている
(e) その組織の職務と義務が利益相反を発生させないことを、所轄監督機関が納得する程度に証明した
3. 本条第1項及び第2項に規定する認証機関の認定は、第55条又は第56条により所轄監督機関によって承認された基準、又は、第63条により欧州データ保護会議によって承認された基準に基づいて行われなければならない。本条第1項(b)による認定の場合、当該(b)にいう要件は、規則(EC)No765/2008及び認証機関の方法及び手順を示す技術規則に掲げられる要件を補完するものでなければならない。
第1項および第2項で規定された認証機関の認定は、所轄監督機関かEDPBによって承認された基準に基づかなければなりません。
また、国内認定機関が認定する場合は、その要件が規則(EC)No765/2008及び認証機関の方法および手順を示した技術規則に掲げられた要件を補完するものでなければなりません。
4. 第1項に規定する認証機関は、本規則の遵守に関する管理者又は処理者の責任を妨げることなく、認証又はその取消を導く適正な評価について責任を負うものとする。認定は、認証機関が本条に定める要件に適合することを条件として、最長で5年以内の期間で発行されるものとし、また、同じ条件の下で更新されうる。
第1項で規定された認証機関は、GDPRの準拠に関する管理者/処理者の責任を妨げることなく、認証またはその取り消しに関する適正な評価についての責任を負います。
認証機関は、本条(第43条)で定める要件に適合していることを条件として最長で5年間認定を受け、同条件に適合していれば通常更新されることとなります。
5. 第1項に規定する認証機関は、所轄監督機関に対し、求められた認証の付与又はその取消の理由を提供する。
第1項で規定された認証機関は、所轄監督機関に対し、認証の付与または取り消しの理由を提供しなければなりません。
6. 本条第3項に規定する要件及び第42条第5項に規定する基準は、容易にアクセス可能な方式で、監督機関によって、公表されなければならない。監督機関は、また、欧州データ保護会議に対し、当該要件及び基準を送付しなければならない。欧州データ保護会議は、全ての認証方法及びデータ保護シールを登録簿に整理列挙し、かつ、適切な手段によって、公衆がそれを利用できるようにしなければらない。
監督機関は、第3項で規定された認定基準と第42条第5項で規定された認証基準を容易にアクセス可能な方式で公表しなければなりません。
また、監督機関はEDPBに対して上記の認定基準および認証基準を送付しなければなりません。
EDPBは、全ての認証方法およびデータ保護シールを登録・整理し、適切な手段によって公衆がそれを利用できるようにしなければなりません。
7. 第8章を妨げることなく、認定の要件に適合していない場合、若しくは、適合しなくなった場合、又は、認証機関の行為が本規則に違反する場合、所轄監督機関又は国内認定機関は、本条の第1項による認証機関の認定を取り消さなければならない。
認定の要件に適合していない場合、もしくは、適合しなくなった場合、または、認証機関の行為がGDPRに違反する場合、所轄監督機関または国内認定機関は、本条の第1項による認証機関の認定を取り消さなければなりません。
8. 欧州委員会は、第42条第1項に規定するデータ保護認証方法のために考慮に入れられるべき要件の細目を定めるために、第92条に従い、委任法令を採択する権限を有するものとする。
欧州委員会は、第42条第1項で規定されたデータ保護認証方法のために考慮されるべき要件の詳細を定めるために、第92条(委任される行為の執行)に従い、委任法令を採択する権限を有することとされています。
9. 欧州委員会は、認証方法、データ保護シール及びデータ保護マークのための技術基準、並びに、認証方法、データ保護シール及びデータ保護マークを推奨し、周知するための仕組みを定める実装法令を採択することができる。この実装法令は、第93条第2項に規定する審議手続に従って採択されなければならない。
欧州委員会は、認証方法、データ保護シールおよびデータ保護マークのための技術基準や、認証方法、データ保護シールおよびデータ保護マークを推奨・周知するための仕組みを定める実装法令を採択することができます。
この実装法令は、第93条第2項に規定する審議手続に従って採択されます。
以上、第43条の「認証機関」でした。
ここまでで、第4章の「管理者及び処理者」が終了しました。
お疲れさまでした!