GDPR Artikel 42 beskriver en organisations förmåga att erhålla en nivå av frivillig certifiering, relaterad till deras databehandlingsverksamhet.
Certifiering är inte obligatorisk, men anger en organisations engagemang för att förbättra och främja deras förmåga att uppfylla olika regulatoriska och juridiska skyldigheter relaterade till GDPR.
Det är viktigt att notera att certifiering inte på något sätt garanterar efterlevnad, eller på något sätt minskar en organisations skyldighet gentemot de individer som påverkas av dess databehandlingsverksamhet.
certifiering
- Medlemsstaterna, tillsynsmyndigheterna, styrelsen och kommissionen ska uppmuntra, särskilt på unionsnivå, inrättandet av dataskyddscertifieringsmekanismer och dataskyddsstämplar och -märken, i syfte att visa att behandlingsverksamheten efterlevs av denna förordning. kontrollanter och processorer. De särskilda behoven hos mikroföretag, små och medelstora företag ska beaktas.
- Utöver att de registeransvariga eller registerförare som omfattas av denna förordning följs, kan mekanismer för certifiering av dataskydd, sigill eller märken som godkänts i enlighet med punkt 5 i denna artikel upprättas i syfte att påvisa förekomsten av lämpliga skyddsåtgärder som tillhandahålls av registeransvariga eller registerförare som inte är omfattas av denna förordning i enlighet med artikel 3 inom ramen för överföringar av personuppgifter till tredjeländer eller internationella organisationer enligt de villkor som avses i artikel 46 f. Sådana registeransvariga eller personuppgiftsbiträden ska göra bindande och verkställbara åtaganden, via avtal eller andra rättsligt bindande instrument, för att tillämpa dessa lämpliga skyddsåtgärder, inklusive med hänsyn till de registrerades rättigheter.
- Certifieringen ska vara frivillig och tillgänglig via en process som är transparent.
- En certifiering enligt denna artikel minskar inte den registeransvariges eller registerförarens ansvar för efterlevnaden av denna förordning och påverkar inte uppgifterna och befogenheterna för de tillsynsmyndigheter som är behöriga enligt artikel 55 eller 56.
- En certifiering enligt denna artikel ska utfärdas av de certifieringsorgan som avses i artikel 43 eller av den behöriga tillsynsmyndigheten, på grundval av kriterier som godkänts av den behöriga tillsynsmyndigheten i enlighet med artikel 58 eller av styrelsen enligt artikel 3. 63. Om kriterierna godkänns av styrelsen kan detta resultera i en gemensam certifiering, European Data Protection Seal.
- Den registeransvarige eller registerföraren som lämnar in sin behandling till certifieringsmekanismen ska förse det certifieringsorgan som avses i artikel 43, eller i tillämpliga fall, den behöriga tillsynsmyndigheten, med all information och tillgång till dess behandlingsverksamhet som är nödvändig för att genomföra certifieringsförfarandet.
- Certifieringen ska utfärdas till en registeransvarig eller registerförare för en period av högst tre år och kan förnyas på samma villkor, förutsatt att de relevanta kraven fortfarande är uppfyllda. Certifieringen ska, i tillämpliga fall, återkallas av de certifieringsorgan som avses i artikel 43 eller av den behöriga tillsynsmyndigheten om kraven för certifieringen inte är eller inte längre uppfylls.
- Styrelsen ska samla alla certifieringsmekanismer och dataskyddsstämplar och märken i ett register och ska göra dem allmänt tillgängliga på lämpligt sätt.
certifiering
- Kommissionsledamoten ska uppmuntra inrättandet av mekanismer för certifiering av dataskydd och av dataskyddsstämplar och -märken i syfte att påvisa överensstämmelse med denna förordning av personuppgiftsansvarigas och registerförares behandlingar. De särskilda behoven hos mikroföretag, små och medelstora företag ska beaktas.
- Utöver att de registeransvariga eller registerförare som omfattas av denna förordning följs, kan mekanismer för certifiering av dataskydd, sigill eller märken som godkänts i enlighet med punkt 5 i denna artikel upprättas i syfte att påvisa förekomsten av lämpliga skyddsåtgärder som tillhandahålls av registeransvariga eller registerförare som inte är omfattas av denna förordning i enlighet med artikel 3 inom ramen för överföringar av personuppgifter till tredjeländer eller internationella organisationer enligt de villkor som avses i artikel 46 f. Sådana registeransvariga eller personuppgiftsbiträden ska göra bindande och verkställbara åtaganden, via avtal eller andra rättsligt bindande instrument, för att tillämpa dessa lämpliga skyddsåtgärder, inklusive med hänsyn till de registrerades rättigheter.
- Certifieringen ska vara frivillig och tillgänglig via en process som är transparent.
- En certifiering enligt denna artikel minskar inte den registeransvariges eller registerförarens ansvar för efterlevnaden av denna förordning och påverkar inte kommissionärens uppgifter och befogenheter.
- En certifiering enligt denna artikel ska utfärdas av de certifieringsorgan som avses i artikel 43 eller av kommissionären, på grundval av kriterier som godkänts av kommissionären enligt artikel 58.
- Den registeransvarige eller registerföraren som lämnar in sin behandling till certifieringsmekanismen ska förse det certifieringsorgan som avses i artikel 43, eller i tillämpliga fall, kommissionären, med all information och tillgång till dess behandlingsverksamhet som är nödvändig för att genomföra certifieringsförfarandet.
- Certifieringen ska utfärdas till en registeransvarig eller registerförare för en period av högst tre år och kan förnyas på samma villkor, förutsatt att de relevanta kraven fortfarande är uppfyllda. Certifieringen ska i tillämpliga fall återkallas av de certifieringsorgan som avses i artikel 43 eller av Commissioner, om kraven för certifieringen inte är eller inte längre uppfylls.
- Kommissionären ska samla alla certifieringsmekanismer och dataskyddsstämplar och -märken i ett register och ska göra dem allmänt tillgängliga på lämpligt sätt.
Certifiering kan erhållas på två sätt:
För att en organisation ska få certifiering behöver de bedömas enligt olika certifieringskriterier som är godkända av lämplig myndighet.
Alla kriterier bör fokusera på verifierbarhet, signifikansoch lämplighet av organisationens databehandlingsverksamhet.
Tre huvudelement i en organisations databehandling bör inkluderas i certifieringsprocessen:
I det här avsnittet talar vi om GDPR-artiklarna 42 (1), 42 (2), 42 (3), 42 (4), 42 (5), 42 (6), 42 (7), 42 (8)
Organisationer måste genomgå en kartläggningsövning som listar både interna och externa faktorer relaterade till implementeringen av ett PIMS.
Organisationen måste kunna förstå hur den ska uppnå sina resultat för integritetsskydd, och alla problem som står i vägen för att skydda PII bör identifieras och åtgärdas.
Organisationer måste också:
| GDPR-artikel | ISO 27701 klausul | ISO 27701 stödklausuler |
|---|---|---|
| EU GDPR artiklarna 42 (1) till 42 (8) | ISO 27701 5.2.1 | Ingen |
ISMS.online-plattformen säkerställer att du enkelt kan skapa, kommunicera, kontrollera och samarbeta. Med ISMS.online blir din efterlevnad "business as usual" med all din aktivitet som skapar tydliga revisionsspår.
Det betyder att du kommer att närma dig varje revision med tillförsikt; att veta att du har tagit bort risken för fel samtidigt som du sparar tid och minskar kostnaderna.
Ta reda på mer av boka en kort demo.
Det hjälper till att driva vårt beteende på ett positivt sätt som fungerar för oss
& vår kultur.
