1.   Les États membres veillent à ce que les autorités de contrôle indépendantes désignées dans chaque État membre et investies des pouvoirs mentionnés au chapitre VI du règlement (UE) 2016/679 ou au chapitre VI de la directive (UE) 2016/680 contrôlent la licéité du traitement des données à caractère personnel dans le SIS sur leur territoire, leur transmission à partir de leur territoire et l'échange et le traitement ultérieur d'informations supplémentaires sur leur territoire.

2.   Les autorités de contrôle veillent à ce que soit réalisé, tous les quatre ans au minimum, un audit des activités de traitement des données dans le cadre de leur N.SIS, répondant aux normes internationales d'audit. Soit l'audit est réalisé par les autorités de contrôle, soit les autorités de contrôle commandent directement l'audit à un auditeur en matière de protection des données indépendant. En toutes circonstances, les autorités de contrôle conservent le contrôle de l'auditeur indépendant et assument la responsabilité des travaux de celui-ci.

3.   Les États membres veillent à ce que leurs autorités de contrôle disposent des ressources nécessaires pour s'acquitter des tâches qui leur sont confiées par le présent règlement et puissent demander conseil à des personnes ayant des connaissances suffisantes en matière de données biométriques.