مادة24: مسؤولية المراقب
1. 1 مع الأخذ في الاعتبار طبيعة ونطاق وسياق وأغراض المعالجة وكذلك مخاطر تفاوت احتمالية وشدة حقوق وحريات الأشخاص الطبيعيين، يجب على المراقب تنفيذ التدابير التقنية والتنظيمية المناسبة لضمان والقدرة على إثبات ذلك تتم المعالجة وفقًا لهذه اللائحة. 2 يجب مراجعة هذه التدابير وتحديثها عند الضرورة.
2. عندما تكون متناسبة مع أنشطة المعالجة، يجب أن تشمل التدابير المشار إليها في الفقرة 1 تنفيذ سياسات حماية البيانات المناسبة من قبل المتحكم.
3. يمكن استخدام الالتزام بقواعد السلوك المعتمدة على النحو المشار إليه في المادة 40 أو آليات التصديق المعتمدة على النحو المشار إليه في المادة 42 كعنصر لإثبات الامتثال لالتزامات المراقب.
مادة25: حماية البيانات حسب التصميم وبشكل افتراضي
1. مع الأخذ في الاعتبار حالة الفن وتكلفة التنفيذ وطبيعة المعالجة ونطاقها وسياقها وأغراضها بالإضافة إلى مخاطر تباين الاحتمالية والشدة لحقوق وحريات الأشخاص الطبيعيين التي تطرحها المعالجة، يجب على المتحكم، في وقت تحديد وسائل المعالجة وفي وقت المعالجة نفسها، قم بتنفيذ التدابير التقنية والتنظيمية المناسبة، مثل الاسم المستعار، المصممة لتنفيذ مبادئ حماية البيانات، مثل تقليل البيانات، بطريقة فعالة بطريقة ودمج الضمانات اللازمة في المعالجة من أجل تلبية متطلبات هذه اللائحة وحماية حقوق أصحاب البيانات.
2. 1 يجب أن تنفذ وحدة التحكم التدابير الفنية والتنظيمية المناسبة لضمان معالجة البيانات الشخصية فقط بشكل افتراضي والتي تكون ضرورية لكل غرض محدد من المعالجة. 2 ينطبق هذا الالتزام على كمية البيانات الشخصية التي يتم جمعها، ومدى معالجتها، وفترة تخزينها وإمكانية الوصول إليها. 3 على وجه الخصوص، يجب أن تضمن هذه التدابير عدم إتاحة البيانات الشخصية بشكل افتراضي دون تدخل الفرد لعدد غير محدد من الأشخاص الطبيعيين.
3.يمكن استخدام آلية اعتماد معتمدة عملاً بالمادة 42 كعنصر لإثبات الامتثال للمتطلبات المنصوص عليها في الفقرتين 1 و2 من هذه المادة.
مادة26: وحدات تحكم مشتركة
1.1 عندما يحدد اثنان أو أكثر من المتحكمين بشكل مشترك أغراض ووسائل المعالجة، يجب أن يكونوا متحكمين مشتركين. 2 يجب أن يحددوا بطريقة شفافة مسؤوليات كل منهم للامتثال للالتزامات بموجب هذه اللائحة، ولا سيما فيما يتعلق بممارسة حقوق صاحب البيانات وواجبات كل منهم لتوفير المعلومات المشار إليها في المادتين 13 و14، عن طريق الوسائل لترتيب بينهما ما لم، وبقدر ما يتم تحديد المسؤوليات الخاصة بوحدات التحكم بموجب قانون الاتحاد أو قانون الدول الأعضاء الذي يخضع له المتحكمون. 3 قد يعين الترتيب نقطة اتصال لموضوعات البيانات.
2.1 يجب أن يعكس الترتيب المشار إليه في الفقرة 1 على النحو الواجب الأدوار والعلاقات الخاصة بوحدات التحكم المشتركة فيما يتعلق بأصحاب البيانات. 2 يجب أن يتاح جوهر الترتيب لموضوع البيانات.
3. بغض النظر عن شروط الترتيب المشار إليه في الفقرة 1، يجوز لصاحب البيانات ممارسة حقوقه بموجب هذه اللائحة فيما يتعلق وضد كل من المتحكمين.
مادة27: ممثلو وحدات التحكم أو المعالجات غير المنشأة في الاتحاد
1. وحيثما تنطبق المادة 3 (2)، يجب على وحدة التحكم أو المعالج تعيين ممثل في الاتحاد كتابة.
2. لا ينطبق الالتزام المنصوص عليه في الفقرة 1 من هذه المادة على:
a) المعالجة التي تكون عرضية، ولا تشمل، على نطاق واسع، معالجة فئات خاصة من البيانات على النحو المشار إليه في المادة 9 (1) أو معالجة البيانات الشخصية المتعلقة بالإدانات الجنائية والجرائم المشار إليها في المادة 10، ومن غير المرجح أن تؤدي إلى خطر على حقوق وحريات الأشخاص الطبيعيين، مع مراعاة طبيعة المعالجة وسياقها ونطاقها وأغراضها؛ أو
b) سلطة أو هيئة عامة.
3. يجب أن يتم إنشاء الممثل في إحدى الدول الأعضاء حيث تتم معالجة بيانات الأشخاص الذين تتم معالجة بياناتهم الشخصية فيما يتعلق بعرض السلع أو الخدمات لهم، أو الذين يتم مراقبة سلوكهم.
4. يجب أن يكون الممثل مفوضًا من قبل وحدة التحكم أو المعالج ليتم معالجته بالإضافة إلى أو بدلاً من وحدة التحكم أو المعالج من قبل، على وجه الخصوص، السلطات الإشرافية وموضوعات البيانات، بشأن جميع القضايا المتعلقة بالمعالجة، لأغراض ضمان الامتثال لهذا اللائحة.
5. يجب أن يتم تعيين ممثل من قبل وحدة التحكم أو المعالج دون المساس بالإجراءات القانونية التي يمكن أن تبدأ ضد وحدة التحكم أو المعالج أنفسهم.
مادة28: المعالج
1. عند إجراء المعالجة نيابة عن وحدة تحكم، يجب على المراقب استخدام المعالجات التي توفر ضمانات كافية لتنفيذ التدابير التقنية والتنظيمية المناسبة بطريقة تلبي متطلبات هذه اللائحة وتضمن حماية حقوق موضوع البيانات.
2.و1 يجب ألا يستخدم المعالج معالجًا آخر دون إذن كتابي محدد أو عام من وحدة التحكم. 2 في حالة الإذن الكتابي العام، يجب على المعالج إبلاغ وحدة التحكم بأي تغييرات مقصودة تتعلق بإضافة أو استبدال معالجات أخرى، وبالتالي إعطاء المراقب الفرصة للاعتراض على هذه التغييرات.
3. 1 تخضع المعالجة من قبل المعالج لعقد أو أي إجراء قانوني آخر بموجب قانون الاتحاد أو الدول الأعضاء، والذي يكون ملزمًا للمعالج فيما يتعلق بوحدة التحكم والذي يحدد موضوع ومدة المعالجة، والطبيعة والغرض المعالجة ونوع البيانات الشخصية وفئات مواضيع البيانات والتزامات وحقوق المتحكم. 2 يجب أن ينص هذا العقد أو أي إجراء قانوني آخر، على وجه الخصوص، على أن المعالج:
a)معالجة البيانات الشخصية فقط بناءً على تعليمات موثقة من وحدة التحكم، بما في ذلك ما يتعلق بنقل البيانات الشخصية إلى دولة ثالثة أو منظمة دولية، ما لم يكن ذلك مطلوبًا بموجب قانون الاتحاد أو الدول الأعضاء الذي يخضع له المعالج؛ في مثل هذه الحالة، يجب على المعالج إبلاغ المراقب بذلك المطلب القانوني قبل المعالجة، ما لم يحظر هذا القانون هذه المعلومات لأسباب مهمة تتعلق بالمصلحة العامة؛
b) يضمن أن الأشخاص المصرح لهم بمعالجة البيانات الشخصية قد التزموا بالسرية أو أنهم يخضعون لالتزام قانوني مناسب بالسرية؛
c) يتخذ جميع الإجراءات المطلوبة بموجب المادة 32؛
d) يحترم الشروط المشار إليها في الفقرتين 2 و4 لاستخدام معالج آخر؛
e) مع الأخذ في الاعتبار طبيعة المعالجة، يساعد المراقب عن طريق التدابير التقنية والتنظيمية المناسبة، بقدر ما يكون ذلك ممكنًا، للوفاء بالتزام المراقب للاستجابة لطلبات ممارسة حقوق صاحب البيانات المنصوص عليها في الفصل الثالث؛
f) يساعد المراقب في ضمان الامتثال للالتزامات وفقًا للمواد من 32 إلى 36 مع مراعاة طبيعة المعالجة والمعلومات المتاحة للمعالج؛
g) بناءً على اختيار المتحكم، يحذف أو يعيد جميع البيانات الشخصية إلى وحدة التحكم بعد انتهاء تقديم الخدمات المتعلقة بالمعالجة، ويحذف النسخ الموجودة ما لم يتطلب قانون الاتحاد أو الدول الأعضاء تخزين البيانات الشخصية؛
h) يتيح للمراقب جميع المعلومات اللازمة لإثبات الامتثال للالتزامات المنصوص عليها في هذه المادة والسماح بالمراجعات والمساهمة فيها، بما في ذلك عمليات التفتيش، التي يقوم بها المراقب أو مدقق آخر مفوض من قبل المراقب.
فيما يتعلق بالنقطة (h) من الفقرة الفرعية الأولى، يجب على المعالج إبلاغ وحدة التحكم على الفور إذا كان، في رأيه، تعليمات تنتهك هذه اللائحة أو أحكام حماية بيانات الاتحاد أو الدول الأعضاء الأخرى.
4. 1 عندما يقوم المعالج بإشراك معالج آخر للقيام بأنشطة معالجة محددة نيابة عن وحدة التحكم، فإن نفس التزامات حماية البيانات المنصوص عليها في العقد أو أي إجراء قانوني آخر بين وحدة التحكم والمعالج على النحو المشار إليه في الفقرة 3 يجب أن يتم فرضها على ذلك معالج آخر عن طريق عقد أو أي إجراء قانوني آخر بموجب قانون الاتحاد أو الدول الأعضاء، ولا سيما توفير ضمانات كافية لتنفيذ التدابير التقنية والتنظيمية المناسبة بطريقة تلبي المعالجة متطلبات هذه اللائحة. 2 في حالة فشل المعالج الآخر في الوفاء بالتزامات حماية البيانات الخاصة به، يظل المعالج الأولي مسؤولاً بالكامل أمام وحدة التحكم عن أداء التزامات ذلك المعالج الآخر.
5. يمكن استخدام التزام المعالج بمدونة سلوك معتمدة على النحو المشار إليه في المادة 40 أو آلية اعتماد معتمدة كما هو مشار إليه في المادة 42 كعنصر لإثبات ضمانات كافية على النحو المشار إليه في الفقرتين 1 و4 من هذه المادة.
6. دون الإخلال بالعقد الفردي بين وحدة التحكم والمعالج، قد يستند العقد أو أي فعل قانوني آخر مشار إليه في الفقرتين 3 و4 من هذه المادة، كليًا أو جزئيًا، على البنود التعاقدية القياسية المشار إليها في الفقرتين 7 و8 من هذه المادة، بما في ذلك عندما تكون جزءًا من شهادة ممنوحة لوحدة التحكم أو المعالج وفقًا للمادتين 42 و43.
7. يجوز للمفوضية وضع بنود تعاقدية قياسية للمسائل المشار إليها في الفقرتين 3 و4 من هذه المادة ووفقًا لإجراءات الفحص المشار إليها في المادة 93 (2).
8. يجوز للسلطة الإشرافية اعتماد بنود تعاقدية قياسية للمسائل المشار إليها في الفقرتين 3 و4 من هذه المادة ووفقًا لآلية الاتساق المشار إليها في المادة 63.
9.يجب أن يكون العقد أو أي عمل قانوني آخر مشار إليه في الفقرتين 3 و4 مكتوبًا، بما في ذلك في شكل إلكتروني.
10. دون الإخلال بالمواد 82 و83 و84، إذا انتهك المعالج هذه اللائحة من خلال تحديد أغراض ووسائل المعالجة، فيجب اعتبار المعالج بمثابة وحدة تحكم فيما يتعلق بهذه المعالجة.
مادة29: المعالجة تحت سلطة وحدة التحكم أو المعالج
لا يجوز للمعالج وأي شخص يتصرف تحت سلطة وحدة التحكم أو المعالج، الذي لديه إمكانية الوصول إلى البيانات الشخصية، معالجة هذه البيانات إلا بناءً على تعليمات من وحدة التحكم، ما لم يُطلب ذلك بموجب قانون الاتحاد أو الدول الأعضاء.
مادة30: سجلات أنشطة المعالجة
1.1 يجب على كل وحدة تحكم، وعند الاقتضاء، ممثل وحدة التحكم، الاحتفاظ بسجل لأنشطة المعالجة تحت مسؤوليتها. 2-يجب أن يحتوي هذا السجل على جميع المعلومات التالية:
a) اسم وتفاصيل الاتصال الخاصة بالمراقب، وعند الاقتضاء، المراقب المشترك وممثل المراقب وموظف حماية البيانات؛
b) أغراض المعالجة؛
c) وصف لفئات مواضيع البيانات وفئات البيانات الشخصية؛
d) فئات المستلمين الذين تم الكشف عن البيانات الشخصية لهم أو سيتم الكشف عنها بما في ذلك المستلمين في دول ثالثة أو المنظمات الدولية؛
e)عند الاقتضاء، نقل البيانات الشخصية إلى بلد ثالث أو منظمة دولية، بما في ذلك تحديد ذلك البلد الثالث أو المنظمة الدولية، وفي حالة عمليات النقل المشار إليها في الفقرة الفرعية الثانية من المادة 49 (1)، وثائق مناسبة الضمانات.
f) حيثما أمكن، الحدود الزمنية المتوخاة لمحو مختلف فئات البيانات؛
g) حيثما أمكن، وصف عام للتدابير الأمنية التقنية والتنظيمية المشار إليها في المادة 32 (1).
2. يجب على كل معالج، وعند الاقتضاء، ممثل المعالج الاحتفاظ بسجل لجميع فئات أنشطة المعالجة المنفذة نيابة عن وحدة التحكم، يحتوي على:
a)اسم وتفاصيل الاتصال الخاصة بالمعالج أو المعالجات ولكل وحدة تحكم يعمل المعالج نيابة عنها، وحيثما أمكن، وحدة التحكم أو ممثل المعالج وموظف حماية البيانات؛
b) فئات المعالجة المنفذة نيابة عن كل وحدة تحكم؛
c) عند الاقتضاء، نقل البيانات الشخصية إلى بلد ثالث أو منظمة دولية، بما في ذلك تحديد ذلك البلد الثالث أو المنظمة الدولية، وفي حالة عمليات النقل المشار إليها في الفقرة الفرعية الثانية من المادة 49 (1) ، وثائق مناسبة الضمانات.
d) حيثما أمكن، وصف عام للتدابير الأمنية التقنية والتنظيمية المشار إليها في المادة 32 (1).
3. يجب أن تكون السجلات المشار إليها في الفقرتين 1 و2 مكتوبة، بما في ذلك في شكل إلكتروني.
4. يجب على وحدة التحكم أو المعالج، وعند الاقتضاء، المراقب أو ممثل المعالج، إتاحة السجل للسلطة الإشرافية عند الطلب.
5. لا تنطبق الالتزامات المشار إليها في الفقرتين 1 و2 على مؤسسة أو منظمة توظف أقل من 250 شخصًا ما لم يكن من المحتمل أن تؤدي المعالجة التي تجريها إلى مخاطر على حقوق وحريات موضوعات البيانات، فالمعالجة ليست عرضية، أو تتضمن المعالجة فئات خاصة من البيانات على النحو المشار إليه في المادة 9 (1) أو البيانات الشخصية المتعلقة بالإدانات الجنائية والجرائم المشار إليها في المادة 10.
مادة31: التعاون مع السلطة الرقابية
يجب على وحدة التحكم والمعالج، وعند الاقتضاء، ممثلوهم، التعاون، عند الطلب، مع السلطة الإشرافية في أداء مهامها.
مادة32: أمن المعالجة
1. مع الأخذ في الاعتبار حالة الفن وتكاليف التنفيذ وطبيعة المعالجة ونطاقها وسياقها وأغراضها بالإضافة إلى مخاطر تباين الاحتمالية والشدة لحقوق وحريات الأشخاص الطبيعيين، يجب على وحدة التحكم والمعالج تنفيذ التدابير الفنية والتنظيمية المناسبة لضمان مستوى الأمان المناسب للمخاطر، بما في ذلك، حسب الاقتضاء، في جملة أمور:
a) الاسم المستعار وتشفير البيانات الشخصية؛
b) القدرة على ضمان السرية المستمرة والنزاهة والتوافر والمرونة لأنظمة وخدمات المعالجة؛
c) القدرة على استعادة توافر البيانات الشخصية والوصول إليها في الوقت المناسب في حالة وقوع حادث مادي أو تقني؛
d) عملية لاختبار وتقدير وتقييم فعالية التدابير التقنية والتنظيمية بانتظام لضمان أمان المعالجة.
2. عند تقييم المستوى المناسب لحساب الأمان، يجب أن يؤخذ على وجه الخصوص المخاطر التي يتم تقديمها من خلال المعالجة، ولا سيما من التدمير العرضي أو غير القانوني، أو الفقد، أو التغيير، أو الكشف غير المصرح به، أو الوصول إلى البيانات الشخصية المنقولة أو المخزنة أو المعالجة بطريقة أخرى.
3. يمكن استخدام الالتزام بمدونة قواعد السلوك المعتمدة على النحو المشار إليه في المادة 40 أو آلية التصديق المعتمدة على النحو المشار إليه في المادة 42 كعنصر لإثبات الامتثال للمتطلبات المنصوص عليها في الفقرة 1 من هذه المادة.
4.ويجب على وحدة التحكم والمعالج اتخاذ خطوات للتأكد من أن أي شخص طبيعي يتصرف تحت سلطة وحدة التحكم أو المعالج الذي لديه حق الوصول إلى البيانات الشخصية لا يقوم بمعالجتها إلا بناءً على تعليمات من وحدة التحكم، ما لم يُطلب منه القيام بذلك عن طريق قانون الاتحاد أو الدول الأعضاء.
مادة33: إخطار السلطة الإشرافية بخرق البيانات الشخصية
1. 1 في حالة حدوث خرق للبيانات الشخصية، يجب على وحدة التحكم دون تأخير غير مبرر، وحيثما يكون ذلك ممكناً، في موعد لا يتجاوز 72 ساعة بعد أن علمت به، بإخطار السلطة الإشرافية المختصة بخرق البيانات الشخصية وفقًا للمادة 55، ما لم يكن من غير المحتمل أن يؤدي خرق البيانات الشخصية إلى خطر على حقوق وحريات الأشخاص الطبيعيين. 2 عندما لا يتم إرسال الإخطار إلى السلطة الإشرافية في غضون 72 ساعة، يجب أن يكون مصحوبًا بأسباب التأخير.
2. يجب على المعالج إخطار وحدة التحكم دون تأخير لا داعي له بعد أن علم بانتهاك البيانات الشخصية.
3. يجب أن يكون الإخطار المشار إليه في الفقرة 1 على الأقل:
a)وصف طبيعة خرق البيانات الشخصية بما في ذلك، حيثما أمكن، الفئات والعدد التقريبي لموضوعات البيانات المعنية والفئات والعدد التقريبي لسجلات البيانات الشخصية المعنية؛
b)توصيل الاسم وتفاصيل الاتصال بمسؤول حماية البيانات أو نقطة اتصال أخرى حيث يمكن الحصول على مزيد من المعلومات؛
c) وصف العواقب المحتملة لخرق البيانات الشخصية؛
d) وصف التدابير المتخذة أو المقترح اتخاذها من قبل المراقب لمعالجة خرق البيانات الشخصية، بما في ذلك، عند الاقتضاء، تدابير للتخفيف من آثاره السلبية المحتملة.
4.حيثما، وبقدر ما يتعذر تقديم المعلومات في نفس الوقت، يمكن تقديم المعلومات على مراحل دون مزيد من التأخير غير المبرر.
5. 1 يجب على المراقب توثيق أي خروقات للبيانات الشخصية، بما في ذلك الحقائق المتعلقة بخرق البيانات الشخصية وآثاره والإجراءات التصحيحية المتخذة. 2 يجب أن تمكن هذه الوثائق السلطة الإشرافية من التحقق من الامتثال لهذه المادة.
مادة34: الإبلاغ عن خرق البيانات الشخصية لصاحب البيانات
1. عندما يُرجح أن يؤدي خرق البيانات الشخصية إلى مخاطر كبيرة على حقوق وحريات الأشخاص الطبيعيين، يجب على المتحكم إرسال خرق البيانات الشخصية إلى موضوع البيانات دون تأخير لا داعي له.
2. يجب أن يصف الاتصال بموضوع البيانات المشار إليه في الفقرة 1 من هذه المادة، بلغة واضحة وصريحة، طبيعة خرق البيانات الشخصية ويحتوي على الأقل على المعلومات والتدابير المشار إليها في النقاط (ب) و (ج) و (د). ) من المادة 33 (3).
3. لا يلزم الاتصال بموضوع البيانات المشار إليه في الفقرة 1 إذا تم استيفاء أي من الشروط التالية:
a) نفذت وحدة التحكم تدابير الحماية التقنية والتنظيمية المناسبة، وتم تطبيق تلك التدابير على البيانات الشخصية المتأثرة بانتهاك البيانات الشخصية، ولا سيما تلك التي تجعل البيانات الشخصية غير مفهومة لأي شخص غير مصرح له بالوصول إليها، مثل التشفير؛
b) اتخذت وحدة التحكم تدابير لاحقة تضمن أن المخاطر العالية على حقوق وحريات موضوعات البيانات المشار إليها في الفقرة 1 لم يعد من المحتمل أن تتحقق؛
c) قد ينطوي على جهد غير متناسب. في مثل هذه الحالة، يجب أن يكون هناك بدلاً من ذلك اتصال عام أو إجراء مشابه يتم بموجبه إبلاغ موضوعات البيانات بطريقة فعالة بنفس القدر.
4. إذا لم تكن وحدة التحكم قد أبلغت بالفعل خرق البيانات الشخصية إلى موضوع البيانات، فإن السلطة الإشرافية، بعد أن نظرت في احتمال حدوث خرق للبيانات الشخصية مما يؤدي إلى مخاطر عالية، قد تطلب منها القيام بذلك أو قد تقرر أن أيًا من الشروط المشار إليها في الفقرة 3.
مادة35: تقييم تأثير حماية البيانات
1. عندما يكون من المحتمل أن يؤدي نوع من المعالجة على وجه الخصوص باستخدام تقنيات جديدة، ومع مراعاة طبيعة المعالجة ونطاقها وسياقها وأغراضها، إلى مخاطر عالية على حقوق وحريات الأشخاص الطبيعيين، يجب على المتحكم، قبل المعالجة، إجراء تقييم لتأثير عمليات المعالجة المتوخاة على حماية البيانات الشخصية. 2 قد يتناول تقييم واحد مجموعة من عمليات المعالجة المماثلة التي تنطوي على مخاطر عالية مماثلة.
2. يجب على المراقب أن يطلب مشورة مسؤول حماية البيانات، عند تعيينه، عند إجراء تقييم تأثير حماية البيانات.
3.يجب إجراء تقييم لتأثير حماية البيانات المشار إليه في الفقرة 1 بشكل خاص في حالة:
a)تقييم منهجي وشامل للجوانب الشخصية المتعلقة بالأشخاص الطبيعيين والذي يعتمد على المعالجة الآلية، بما في ذلك التنميط، والتي تستند إليها القرارات التي تنتج آثارًا قانونية تتعلق بالشخص الطبيعي أو تؤثر بشكل كبير على الشخص الطبيعي؛
b) المعالجة على نطاق واسع من الفئات الخاصة من البيانات المشار إليها في المادة 9 (1) ، أو البيانات الشخصية المتعلقة بالإدانات الجنائية والجرائم المشار إليها في المادة 10 ؛ أو
c) مراقبة منهجية لمنطقة يمكن للجمهور الوصول إليها على نطاق واسع.
4. 1 يجب على السلطة الإشرافية إنشاء ونشر قائمة بنوع عمليات المعالجة التي تخضع لمتطلبات تقييم تأثير حماية البيانات وفقًا للفقرة 1. 2 يجب على السلطة الإشرافية إرسال هذه القوائم إلى مجلس الإدارة المشار إليه في المادة 68.
5.1 يجوز للسلطة الإشرافية أيضًا إنشاء ونشر قائمة بنوع عمليات المعالجة التي لا تتطلب تقييم تأثير حماية البيانات. 2 يجب على السلطة الإشرافية إرسال تلك القوائم إلى مجلس الإدارة.
6.قبل اعتماد القوائم المشار إليها في الفقرتين 4 و 5 ، يجب على السلطة الإشرافية المختصة تطبيق آلية الاتساق المشار إليها في المادة 63 حيث تتضمن هذه القوائم أنشطة المعالجة المتعلقة بتقديم السلع أو الخدمات لأصحاب البيانات أو مراقبة سلوكهم في العديد من الدول الأعضاء ، أو قد يؤثر بشكل كبير على حرية نقل البيانات الشخصية داخل الاتحاد.
7. يجب أن يحتوي التقييم على الأقل على:
a)وصف منهجي لعمليات المعالجة المتوخاة وأغراض المعالجة، بما في ذلك، عند الاقتضاء، المصلحة المشروعة التي يسعى إليها المراقب؛
b) تقييم ضرورة وتناسب عمليات المعالجة فيما يتعلق بالأغراض؛
c) تقييم المخاطر على حقوق وحريات موضوعات البيانات المشار إليها في الفقرة 1؛ و
d) التدابير المتوخاة لمعالجة المخاطر، بما في ذلك الضمانات والتدابير الأمنية والآليات لضمان حماية البيانات الشخصية وإثبات الامتثال لهذه اللائحة مع مراعاة الحقوق والمصالح المشروعة لأصحاب البيانات والأشخاص الآخرين المعنيين.
8.يجب أن يؤخذ الامتثال لقواعد السلوك المعتمدة المشار إليها في المادة 40 من قبل وحدات التحكم أو المعالجات ذات الصلة في الاعتبار الواجب عند تقييم تأثير عمليات المعالجة التي يقوم بها هؤلاء المتحكمون أو المعالجات، ولا سيما لأغراض تقييم تأثير حماية البيانات.
9.عند الاقتضاء، يجب على المتحكم أن يسعى للحصول على آراء موضوعات البيانات أو ممثليهم بشأن المعالجة المقصودة، دون المساس بحماية المصالح التجارية أو العامة أو أمن عمليات المعالجة.
10. عندما يكون للمعالجة وفقًا للنقطة (c) أو (eـ) من المادة 6 (1) أساس قانوني في قانون الاتحاد أو في قانون الدولة العضو التي يخضع لها المتحكم، فإن هذا القانون ينظم عملية المعالجة المحددة أو مجموعة من العمليات المعنية، وقد تم بالفعل إجراء تقييم لأثر حماية البيانات كجزء من تقييم الأثر العام في سياق اعتماد ذلك الأساس القانوني، ولا تنطبق الفقرات من 1 إلى 7 ما لم ترى الدول الأعضاء أنه من الضروري القيام بذلك خارج مثل هذا التقييم قبل أنشطة المعالجة.
11. عند الضرورة، يجب على وحدة التحكم إجراء مراجعة لتقييم ما إذا كانت المعالجة تتم وفقًا لتقييم تأثير حماية البيانات على الأقل عندما يكون هناك تغيير في المخاطر التي تمثلها عمليات المعالجة.
مادة36: الاستشارة المسبقة
1. يجب على وحدة التحكم استشارة السلطة الإشرافية قبل المعالجة حيث يشير تقييم تأثير حماية البيانات بموجب المادة 35 إلى أن المعالجة ستؤدي إلى مخاطر عالية في غياب التدابير التي يتخذها المراقب للتخفيف من المخاطر.
2.1 عندما ترى السلطة الإشرافية أن المعالجة المقصودة المشار إليها في الفقرة 1 من شأنها أن تنتهك هذه اللائحة، لا سيما في حالة عدم قيام المراقب بتحديد المخاطر أو تخفيفها بشكل كافٍ، يجب على السلطة الإشرافية، في غضون فترة تصل إلى ثمانية أسابيع من استلام طلب التشاور، وتقديم المشورة المكتوبة إلى وحدة التحكم، وعند الاقتضاء على المعالج، ويمكن استخدام أي من صلاحياته المشار إليها في المادة 58. 2 يمكن تمديد هذه الفترة لمدة ستة أسابيع، مع الأخذ في الاعتبار مدى تعقيد المعالجة المقصودة. 3 يجب على السلطة الإشرافية إبلاغ وحدة التحكم، وعند الاقتضاء، المعالج، بأي تمديد من هذا القبيل في غضون شهر واحد من استلام طلب التشاور مع أسباب التأخير. 4 يمكن تعليق هذه الفترات حتى تحصل السلطة الإشرافية على المعلومات التي طلبتها لأغراض التشاور.
3. عند التشاور مع السلطة الإشرافية عملاً بالفقرة 1، يجب على المراقب تزويد السلطة الإشرافية بما يلي:
a) عند الاقتضاء، المسؤوليات الخاصة بوحدة التحكم ووحدات التحكم المشتركة والمعالجات المشاركة في المعالجة، لا سيما للمعالجة داخل مجموعة من التعهدات؛
b) أغراض ووسائل المعالجة المقصودة؛
c) التدابير والضمانات المقدمة لحماية حقوق وحريات الأشخاص المعنيين بالبيانات وفقًا لهذه اللائحة؛
d) عند الاقتضاء، تفاصيل الاتصال بمسؤول حماية البيانات؛
e) تقييم تأثير حماية البيانات المنصوص عليه في المادة 35؛ و
f) أي معلومات أخرى تطلبها السلطة الإشرافية.
4. يتعين على الدول الأعضاء استشارة السلطة الإشرافية أثناء إعداد اقتراح لإجراء تشريعي يعتمده البرلمان الوطني، أو إجراء تنظيمي قائم على مثل هذا الإجراء التشريعي، والذي يتعلق بالتجهيز.
5. بصرف النظر عن الفقرة 1، قد يتطلب قانون الدول الأعضاء من المتحكمين التشاور مع السلطة الإشرافية والحصول على إذن مسبق منها فيما يتعلق بالمعالجة من قبل وحدة تحكم لأداء مهمة يقوم بها المتحكم في المصلحة العامة، بما في ذلك المعالجة فيما يتعلق للحماية الاجتماعية والصحة العامة.
مادة37: تعيين مسؤول حماية البيانات
1. يجب على وحدة التحكم والمعالج تعيين مسؤول حماية البيانات في أي حالة حيث:
a) تتم المعالجة من قبل سلطة أو هيئة عامة، باستثناء المحاكم التي تعمل بصفتها القضائية؛
b) تتكون الأنشطة الأساسية لوحدة التحكم أو المعالج من عمليات المعالجة التي تتطلب، بحكم طبيعتها، ونطاقها و / أو أغراضها، مراقبة منتظمة ومنتظمة لموضوعات البيانات على نطاق واسع؛ أو
c) تتكون الأنشطة الأساسية لوحدة التحكم أو المعالج من المعالجة على نطاق واسع من الفئات الخاصة من البيانات وفقًا للمادة 9 أو البيانات الشخصية المتعلقة بالإدانات الجنائية والجرائم المشار إليها في المادة
2. يجوز لمجموعة من التعهدات تعيين مسؤول حماية بيانات واحد بشرط أن يكون من السهل الوصول إلى مسؤول حماية البيانات من كل مؤسسة.
3. عندما تكون وحدة التحكم أو المعالج سلطة أو هيئة عامة، فقد يتم تعيين مسؤول حماية بيانات واحد للعديد من هذه السلطات أو الهيئات، مع مراعاة هيكلها التنظيمي وحجمها.
4. 1 في غير الحالات المشار إليها في الفقرة 1، يجوز لوحدة التحكم أو المعالج أو الاتحادات والهيئات الأخرى التي تمثل فئات من وحدات التحكم أو المعالجات، أو، عند الاقتضاء بموجب قانون الاتحاد أو الدول الأعضاء، تعيين مسؤول حماية البيانات. 2 يجوز لمسؤول حماية البيانات أن يعمل لصالح هذه الجمعيات والهيئات الأخرى التي تمثل المتحكمين أو المعالجات.
5. يتم تعيين مسؤول حماية البيانات على أساس الصفات المهنية، وعلى وجه الخصوص، معرفة الخبراء بقانون وممارسات حماية البيانات والقدرة على الوفاء بالمهام المشار إليها في المادة 39.
6. قد يكون مسؤول حماية البيانات موظفًا في وحدة التحكم أو المعالج، أو يفي بالمهام على أساس عقد الخدمة.
7. يجب على وحدة التحكم أو المعالج نشر تفاصيل الاتصال بمسؤول حماية البيانات وإبلاغها إلى السلطة الإشرافية.
مادة38: منصب مسؤول حماية البيانات
1. يجب على وحدة التحكم والمعالج التأكد من مشاركة مسؤول حماية البيانات، بشكل صحيح وفي الوقت المناسب، في جميع القضايا المتعلقة بحماية البيانات الشخصية.
2. يجب على وحدة التحكم والمعالج دعم مسؤول حماية البيانات في أداء المهام المشار إليها في المادة 39 من خلال توفير الموارد اللازمة لتنفيذ تلك المهام والوصول إلى البيانات الشخصية وعمليات المعالجة، والحفاظ على معرفته أو خبرتها.
3. 1 يجب على وحدة التحكم والمعالج التأكد من أن مسؤول حماية البيانات لا يتلقى أي تعليمات بخصوص ممارسة تلك المهام. 2 لا يجوز فصله أو معاقبته من قبل وحدة التحكم أو المعالج لأداء مهامه. 3 يجب أن يقدم مسؤول حماية البيانات تقارير مباشرة إلى أعلى مستوى إداري لوحدة التحكم أو المعالج.
4. يمكن لأصحاب البيانات الاتصال بمسؤول حماية البيانات فيما يتعلق بجميع القضايا المتعلقة بمعالجة بياناتهم الشخصية وممارسة حقوقهم بموجب هذه اللائحة.
5. يلتزم مسؤول حماية البيانات بالسرية أو السرية فيما يتعلق بأداء مهامه، وفقًا لقانون الاتحاد أو الدول الأعضاء.
6. 1 يجوز لمسؤول حماية البيانات أداء مهام وواجبات أخرى. 2 يجب على وحدة التحكم أو المعالج التأكد من أن أي من هذه المهام والواجبات لا تؤدي إلى تضارب في المصالح.
مادة39: مهام مسؤول حماية البيانات
1. يجب أن يكون لموظف حماية البيانات المهام التالية على الأقل:
a) إبلاغ وتقديم النصح والمشورة الى المراقب أو المعالج والموظفين الذين يقومون بمعالجة التزاماتهم بموجب هذه اللائحة وببنود حماية بيانات الاتحاد أو الدول الأعضاء الأخرى؛
b) لمراقبة الامتثال لهذه اللائحة، مع أحكام حماية البيانات الأخرى في الاتحاد أو الدول الأعضاء ومع سياسات وحدة التحكم أو المعالج فيما يتعلق بحماية البيانات الشخصية، بما في ذلك إسناد المسؤوليات وزيادة الوعي وتدريب الموظفين المشاركين في المعالجة العمليات وعمليات التدقيق ذات الصلة؛
c) لتقديم المشورة عند الطلب فيما يتعلق بتقييم تأثير حماية البيانات ومراقبة أدائها وفقًا للمادة 35؛
d) للتعاون مع السلطة الإشرافية؛
e) للعمل كنقطة اتصال للسلطة الإشرافية بشأن القضايا المتعلقة بالمعالجة، بما في ذلك التشاور المسبق المشار إليه في المادة 36، والتشاور، عند الاقتضاء، فيما يتعلق بأي مسألة أخرى.
2. يجب على مسؤول حماية البيانات في أداء مهامه أن يولي الاعتبار الواجب للمخاطر المرتبطة بعمليات المعالجة، مع مراعاة طبيعة المعالجة ونطاقها وسياقها وأغراضها.
مادة40: قواعد السلوك
1. يجب على الدول الأعضاء والسلطات الإشرافية والمجلس والمفوضية تشجيع وضع قواعد سلوك تهدف إلى المساهمة في التطبيق السليم لهذه اللائحة، مع مراعاة السمات المحددة لقطاعات المعالجة المختلفة والاحتياجات المحددة للمؤسسات الصغيرة. شركات صغيرة ومتوسطة.
2. يجوز للجمعيات والهيئات الأخرى التي تمثل فئات من وحدات التحكم أو المعالجات إعداد قواعد سلوك، أو تعديل أو توسيع هذه القواعد، لغرض تحديد تطبيق هذه اللائحة، على سبيل المثال فيما يتعلق بما يلي:
a) معالجة عادلة وشفافة؛
b) المصالح المشروعة التي يسعى إليها المتحكمون في سياقات محددة؛
c) جمع البيانات الشخصية؛
d) الاسم المستعار للبيانات الشخصية؛
e) المعلومات المقدمة للجمهور وموضوعات البيانات؛
f) ممارسة حقوق أصحاب البيانات؛
g) المعلومات المقدمة للأطفال وحمايتهم والطريقة التي يتم بها الحصول على موافقة أصحاب المسؤولية الأبوية على الأطفال؛
h) التدابير والإجراءات المشار إليها في المادتين 24 و25 وتدابير ضمان أمن المعالجة المشار إليها في المادة 32؛
i) الإخطار بانتهاكات البيانات الشخصية للسلطات الإشرافية وإبلاغ هذه الانتهاكات للبيانات الشخصية بأصحاب البيانات؛
j) نقل البيانات الشخصية إلى دول ثالثة أو منظمات دولية؛ أو
k) الإجراءات خارج المحكمة وإجراءات تسوية المنازعات الأخرى لحل النزاعات بين المتحكمين وأصحاب البيانات فيما يتعلق بالمعالجة، دون المساس بحقوق أصحاب البيانات وفقًا للمادتين 77 و79.
3. بالإضافة إلى الالتزام من قبل وحدات التحكم أو المعالجات الخاضعة لهذه اللائحة، يمكن أيضًا الالتزام بقواعد السلوك المعتمدة وفقًا للفقرة 5 من هذه المادة والتي تتمتع بالصلاحية العامة وفقًا للفقرة 9 من هذه المادة من قبل وحدات التحكم أو المعالجات التي لا تخضع لهذا. اللائحة وفقًا للمادة 3 من أجل توفير الضمانات المناسبة في إطار عمليات نقل البيانات الشخصية إلى بلدان ثالثة أو المنظمات الدولية بموجب الشروط المشار إليها في النقطة (هـ) من المادة 46 (2). 2 يجب أن تقدم وحدات التحكم أو المعالجات هذه التزامات ملزمة وقابلة للتنفيذ، من خلال الصكوك التعاقدية أو غيرها من الصكوك الملزمة قانونًا، لتطبيق تلك الضمانات المناسبة بما في ذلك فيما يتعلق بحقوق أصحاب البيانات.
4. يجب أن تحتوي مدونة قواعد السلوك المشار إليها في الفقرة 2 من هذه المادة على آليات تمكن الهيئة المشار إليها في المادة 41 (1) من إجراء المراقبة الإلزامية للامتثال لأحكامها من قبل المراقبين أو المعالجات التي تتعهد بتطبيقها، دون المساس بمهام وصلاحيات السلطات الإشرافية المختصة بموجب المادة 55 أو 56.
5. 1 يجب أن تقدم الجمعيات والهيئات الأخرى المشار إليها في الفقرة 2 من هذه المادة والتي تنوي إعداد مدونة لقواعد السلوك أو تعديل أو تمديد مدونة حالية مشروع القانون أو التعديل أو التمديد إلى السلطة الإشرافية المختصة وفقًا للمادة 55. 2يجب أن تقدم السلطة الإشرافية رأيًا حول ما إذا كان مشروع القانون أو التعديل أو الامتداد يتوافق مع هذه اللائحة ويجب أن توافق على مشروع القانون أو التعديل أو التمديد إذا وجدت أنه يوفر ضمانات مناسبة كافية.
6. في حالة الموافقة على مشروع المدونة أو التعديل أو التمديد وفقًا للفقرة 5، وحيث لا تتعلق مدونة السلوك المعنية بأنشطة المعالجة في العديد من الدول الأعضاء، يتعين على السلطة الإشرافية تسجيل المدونة ونشرها.
7. عندما يتعلق مشروع مدونة قواعد السلوك بأنشطة المعالجة في العديد من الدول الأعضاء، يتعين على السلطة الإشرافية المختصة بموجب المادة 55، قبل الموافقة على مشروع المدونة أو التعديل أو التمديد، تقديمها في الإجراء المشار إليه في المادة 63 إلى مجلس الإدارة التي يجب أن تقدم رأيًا حول ما إذا كان مشروع القانون أو التعديل أو الامتداد يتوافق مع هذه اللائحة أو، في الحالة المشار إليها في الفقرة 3 من هذه المادة، يوفر الضمانات المناسبة.
8. عندما يؤكد الرأي المشار إليه في الفقرة 7 أن مشروع القانون أو التعديل أو الامتداد يتوافق مع هذه اللائحة، أو في الحالة المشار إليها في الفقرة 3، يوفر ضمانات مناسبة، يجب على مجلس الإدارة تقديم رأيه إلى اللجنة.
9. 1-يجوز للمفوضية، عن طريق تنفيذ الإجراءات، أن تقرر أن مدونة السلوك المعتمدة أو التعديل أو التمديد المقدم إليها بموجب الفقرة 8 من هذه المادة لها صلاحية عامة داخل الاتحاد. 2 يجب اعتماد إجراءات التنفيذ هذه وفقًا لإجراءات الفحص المنصوص عليها في المادة 93 (2).
10. تضمن المفوضية الدعاية المناسبة للرموز المعتمدة التي تقرر أنها تتمتع بصلاحية عامة وفقًا للفقرة 9.
11. يقوم مجلس الإدارة بتجميع جميع مدونات السلوك والتعديلات والتمديدات المعتمدة في سجل وإتاحتها للجمهور عن طريق الوسائل المناسبة.
مادة41: مراقب مدونة السلوكيات المعتمدة
1. دون المساس بمهام وصلاحيات السلطة الإشرافية المختصة بموجب المادتين 57 و58، يمكن تنفيذ مراقبة الامتثال لمدونة قواعد السلوك وفقًا للمادة 40 من قبل هيئة تتمتع بمستوى مناسب من الخبرة فيما يتعلق بالموضوع -مادة الكود ومعتمدة لهذا الغرض من قبل السلطة الإشرافية المختصة.
2. يجوز اعتماد هيئة على النحو المشار إليه في الفقرة 1 لرصد الامتثال لمدونة قواعد السلوك حيث يكون لتلك الهيئة:
a) أظهر استقلاليته وخبرته فيما يتعلق بموضوع المدونة بما يرضي السلطة الإشرافية المختصة؛
b) الإجراءات المعمول بها والتي تسمح لها بتقييم أهلية وحدات التحكم والمعالجات المعنية لتطبيق الكود، ومراقبة امتثالها لأحكامها ومراجعة عملها بشكل دوري؛
c) وضع الإجراءات والهياكل للتعامل مع الشكاوى المتعلقة بانتهاكات الكود أو الطريقة التي تم بها تنفيذ الكود أو يتم تنفيذه بواسطة وحدة تحكم أو معالج، ولجعل تلك الإجراءات والهياكل شفافة لأصحاب البيانات والجمهور؛ و
d) أظهرت بما يرضي السلطة الإشرافية المختصة أن مهامها وواجباتها لا تؤدي إلى تضارب في المصالح.
3. يجب على السلطة الإشرافية المختصة تقديم متطلبات مسودة لاعتماد هيئة على النحو المشار إليه في الفقرة 1 من هذه المادة إلى مجلس الإدارة عملاً بآلية الاتساق المشار إليها في المادة 63.
4. 1 مع عدم الإخلال بمهام وسلطات السلطة الإشرافية المختصة وأحكام الفصل الثامن، يجب على الهيئة المشار إليها في الفقرة 1 من هذه المادة، مع مراعاة الضمانات المناسبة، اتخاذ الإجراء المناسب في حالات انتهاك المدونة من قبل مراقب أو المعالج، بما في ذلك تعليق أو استبعاد وحدة التحكم أو المعالج المعني من الكود. 2 يجب عليه إبلاغ السلطة الإشرافية المختصة بهذه الإجراءات وأسباب اتخاذها.
5. يجب على السلطة الإشرافية المختصة إلغاء اعتماد الهيئة على النحو المشار إليه في الفقرة 1 إذا لم تكن متطلبات الاعتماد مستوفاة، أو لم تعد مستوفاة، أو إذا كانت الإجراءات التي اتخذتها الهيئة تنتهك هذه اللائحة.
6. لا تنطبق هذه المادة على المعالجة التي تجريها الهيئات والهيئات العامة.
مادة42: الشهادات
1. 1 يجب على الدول الأعضاء والسلطات الإشرافية والمجلس والمفوضية تشجيع، على وجه الخصوص على مستوى الاتحاد، على إنشاء آليات لإصدار شهادات حماية البيانات وأختام وعلامات حماية البيانات، بغرض إثبات الامتثال لهذه اللائحة الخاصة بعمليات المعالجة من خلال وحدات التحكم والمعالجات. 2-تؤخذ بعين الاعتبار الاحتياجات الخاصة للمؤسسات متناهية الصغر والصغيرة والمتوسطة.
2. 1 بالإضافة إلى الالتزام من قبل وحدات التحكم أو المعالجات الخاضعة لهذه اللائحة، قد يتم إنشاء آليات شهادة حماية البيانات أو الأختام أو العلامات المعتمدة وفقًا للفقرة 5 من هذه المادة لغرض إثبات وجود الضمانات المناسبة المقدمة من قبل وحدات التحكم أو المعالجات التي ليست تخضع لهذه اللائحة وفقًا للمادة 3 في إطار عمليات نقل البيانات الشخصية إلى دول ثالثة أو منظمات دولية بموجب الشروط المشار إليها في النقطة (و) من المادة 46 (2). 2 يجب أن تقدم وحدات التحكم أو المعالجات هذه التزامات ملزمة وقابلة للتنفيذ، من خلال الصكوك التعاقدية أو غيرها من الصكوك الملزمة قانونًا، لتطبيق تلك الضمانات المناسبة، بما في ذلك فيما يتعلق بحقوق أصحاب البيانات.
3. يجب أن تكون الشهادة طوعية ومتاحة عبر عملية شفافة.
4. لا تقلل الشهادة وفقًا لهذه المادة من مسؤولية وحدة التحكم أو المعالج عن الامتثال لهذه اللائحة ولا تخل بمهام وسلطات السلطات الإشرافية المختصة بموجب المادة 55 أو 56.
5. يجب إصدار شهادة 1A وفقًا لهذه المادة من قبل هيئات إصدار الشهادات المشار إليها في المادة 43 أو من قبل السلطة الإشرافية المختصة، على أساس المعايير المعتمدة من قبل تلك السلطة الإشرافية المختصة وفقًا للمادة 58 (3) أو من قبل مجلس الإدارة وفقًا للمادة 63. 2 عندما تتم الموافقة على المعايير من قبل المجلس، فقد ينتج عن ذلك شهادة مشتركة، ختم حماية البيانات الأوروبي.
6. يجب أن تزود وحدة التحكم أو المعالج الذي يقدم معالجته إلى آلية إصدار الشهادات هيئة إصدار الشهادات المشار إليها في المادة 43، أو حيثما ينطبق ذلك، السلطة الإشرافية المختصة، بجميع المعلومات والوصول إلى أنشطة المعالجة الخاصة بها اللازمة لإجراء إجراءات التصديق.
7. 1 يجب إصدار الشهادة إلى وحدة تحكم أو معالج لمدة أقصاها ثلاث سنوات ويمكن تجديدها، في ظل نفس الشروط، شريطة استمرار استيفاء المعايير ذات الصلة. 2 يجب سحب الشهادة، حسب الاقتضاء، من قبل هيئات إصدار الشهادات المشار إليها في المادة 43 أو من قبل السلطة الإشرافية المختصة حيث لم يتم استيفاء معايير الشهادة أو لم تعد مستوفاة.
8. يجب على مجلس الإدارة تجميع جميع آليات التصديق وأختام وعلامات حماية البيانات في سجل وإتاحتها للجمهور بأي وسيلة مناسبة.
مادة43: هيئات منح الشهادات
1. 1 مع عدم الإخلال بمهام وسلطات السلطة الإشرافية المختصة بموجب المادتين 57 و58، يجب على هيئات إصدار الشهادات التي تتمتع بمستوى مناسب من الخبرة فيما يتعلق بحماية البيانات، بعد إبلاغ السلطة الإشرافية من أجل السماح لها بممارسة صلاحياتها وفقًا لـ النقطة (ح) من المادة 58 (2) عند الضرورة، إصدار وتجديد الشهادة. 2 -تتأكد الدول الأعضاء من أن هيئات منح الشهادات هذه معتمدة من قبل إحدى الجهات التالية أو كليهما:
a) السلطة الإشرافية المختصة بموجب المادة 55 أو 56؛
b) هيئة الاعتماد الوطنية المسماة وفقًا للائحة (EC) رقم 765/2008 للبرلمان الأوروبي والمجلس وفقًا لـ EN-ISO / IEC 17065/2012 والمتطلبات الإضافية التي وضعتها السلطة الإشرافية المختصة وفقًا لـ المادة 55 أو 56.
2. يتم اعتماد هيئات إصدار الشهادات المشار إليها في الفقرة 1 وفقًا لتلك الفقرة فقط عندما يكون لديهم:
a) أظهروا استقلالهم وخبراتهم فيما يتعلق بموضوع الشهادة بما يرضي السلطة الإشرافية المختصة؛
b) تم التعهد باحترام المعايير المشار إليها في المادة 42 (5) والتي وافقت عليها السلطة الإشرافية المختصة وفقًا للمادة 55 أو 56 أو من قبل مجلس الإدارة وفقًا للمادة 63؛
c) الإجراءات المعمول بها لإصدار شهادات حماية البيانات والأختام والعلامات ومراجعتها بشكل دوري وسحبها؛
d) الإجراءات والهياكل المعمول بها للتعامل مع الشكاوى المتعلقة بانتهاكات الشهادة أو الطريقة التي تم بها تنفيذ الشهادة أو يجري تنفيذها بواسطة وحدة التحكم أو المعالج، ولجعل تلك الإجراءات والهياكل شفافة لأصحاب البيانات والجمهور؛ و
e) أظهروا، بما يرضي السلطة الإشرافية المختصة، أن مهامهم وواجباتهم لا تؤدي إلى تضارب في المصالح.
3. 1 يجب أن يتم اعتماد هيئات التصديق على النحو المشار إليه في الفقرتين 1 و2 من هذه المادة على أساس المتطلبات المعتمدة من قبل السلطة الإشرافية المختصة وفقًا للمادة 55 أو 56 أو من قبل مجلس الإدارة وفقًا للمادة 63. 2 في الحالة الاعتماد وفقًا للنقطة (ب) من الفقرة 1 من هذه المادة، يجب أن تكمل تلك المتطلبات المتطلبات المنصوص عليها في اللائحة (EC) رقم 765/2008 والقواعد الفنية التي تصف أساليب وإجراءات هيئات إصدار الشهادات.
4. 1 يجب أن تكون هيئات إصدار الشهادات المشار إليها في الفقرة 1 مسؤولة عن التقييم المناسب الذي يؤدي إلى الشهادة أو سحب هذه الشهادة دون المساس بمسؤولية وحدة التحكم أو المعالج عن الامتثال لهذه اللائحة. 2 يجب إصدار الاعتماد لمدة أقصاها خمس سنوات ويمكن تجديده بنفس الشروط شريطة أن تفي هيئة إصدار الشهادات بالمتطلبات المنصوص عليها في هذه المادة.
5. يجب على هيئات إصدار الشهادات المشار إليها في الفقرة 1 تزويد السلطات الإشرافية المختصة بأسباب منح أو سحب الشهادة المطلوبة.
6. 1 يتم الإعلان عن المتطلبات المشار إليها في الفقرة 3 من هذه المادة والمعايير المشار إليها في المادة 42 (5) من قبل السلطة الإشرافية في شكل يسهل الوصول إليه. 2 يجب أن تنقل السلطات الإشرافية أيضًا تلك المتطلبات والمعايير إلى مجلس الإدارة.
7. دون الإخلال بالفصل الثامن، يجب على السلطة الإشرافية المختصة أو هيئة الاعتماد الوطنية إلغاء اعتماد هيئة إصدار الشهادات وفقًا للفقرة 1 من هذه المادة حيث شروط الاعتماد لم يتم الوفاء بها أو لم تعد مستوفاة أو حيث يتم اتخاذ الإجراءات من قبل هيئة إصدار الشهادات تنتهك هذه اللائحة.
8. تتمتع اللجنة بصلاحية اعتماد الأعمال المفوضة وفقًا للمادة 92 لغرض تحديد المتطلبات التي يجب مراعاتها لآليات اعتماد حماية البيانات المشار إليها في المادة 42 (1).
9. 1 يجوز للمفوضية أن تتبنى إجراءات تنفيذية تضع المعايير الفنية لآليات التصديق وأختام وعلامات حماية البيانات، وآليات لتعزيز آليات التصديق والأختام والعلامات هذه والتعرف عليها. 2-يتم تبني إجراءات التنفيذ هذه وفقًا لإجراءات الفحص المشار إليها في المادة 93 (2).
الرقم المجاني
8005959
فروع
بنك اليمن والكويت