GDPR Artikkel 42 skisserer en organisasjons evne til å oppnå et nivå av frivillig sertifisering, knyttet til deres databehandlingsoperasjoner.
Sertifisering er ikke obligatorisk, men angir en organisasjons forpliktelse til å forbedre og fremme deres evne til å oppfylle ulike regulatoriske og juridiske forpliktelser knyttet til GDPR.
Det er viktig å merke seg at sertifisering ikke på noen måte garanterer overholdelse, eller på noen måte reduserer en organisasjons forpliktelse overfor individene som er berørt av databehandlingsoperasjonen.
sertifisering
- Medlemsstatene, tilsynsmyndighetene, styret og Kommisjonen skal oppmuntre, særlig på unionsnivå, til etablering av databeskyttelsessertifiseringsmekanismer og databeskyttelsesmerker og -merker, med det formål å demonstrere samsvar med denne forordningen av behandlingsoperasjoner kontrollere og prosessorer. De spesifikke behovene til mikro, små og mellomstore bedrifter skal tas i betraktning.
- I tillegg til overholdelse av behandlingsansvarlige eller databehandlere underlagt denne forordning, kan databeskyttelsessertifiseringsmekanismer, segl eller merker som er godkjent i henhold til nr. 5 i denne artikkel, etableres for å demonstrere eksistensen av hensiktsmessige sikkerhetstiltak gitt av behandlingsansvarlige eller databehandlere som ikke er underlagt denne forordning i henhold til artikkel 3 innenfor rammen av personopplysningsoverføringer til tredjeland eller internasjonale organisasjoner i henhold til vilkårene nevnt i bokstav f) i artikkel 46 nr. 2. Slike behandlingsansvarlige eller databehandlere skal gjøre bindende og håndhevbare forpliktelser, via kontraktsmessige eller andre juridisk bindende instrumenter, for å anvende de passende sikkerhetstiltakene, inkludert med hensyn til rettighetene til registrerte personer.
- Sertifiseringen skal være frivillig og tilgjengelig via en prosess som er transparent.
- En sertifisering i henhold til denne artikkelen reduserer ikke den behandlingsansvarliges eller databehandlerens ansvar for overholdelse av denne forordningen og berører ikke oppgavene og myndighetene til tilsynsmyndighetene som er kompetente i henhold til artikkel 55 eller 56.
- En sertifisering i henhold til denne artikkel skal utstedes av sertifiseringsorganene nevnt i artikkel 43 eller av den kompetente tilsynsmyndigheten, på grunnlag av kriterier godkjent av denne kompetente tilsynsmyndigheten i henhold til artikkel 58 nr. 3 eller av styret i henhold til artikkel 63. Der kriteriene er godkjent av styret, kan dette resultere i en felles sertifisering, European Data Protection Seal.
- Den behandlingsansvarlige eller databehandleren som sender sin behandling til sertifiseringsmekanismen, skal gi sertifiseringsorganet nevnt i artikkel 43, eller der det er aktuelt, den kompetente tilsynsmyndigheten, all informasjon og tilgang til dens behandlingsvirksomhet som er nødvendig for å gjennomføre sertifiseringsprosedyren.
- Sertifisering skal utstedes til en behandlingsansvarlig eller databehandler for en periode på maksimalt tre år og kan fornyes på samme vilkår, forutsatt at de relevante kravene fortsatt er oppfylt. Sertifisering skal trekkes tilbake, alt etter hva som er aktuelt, av sertifiseringsorganene nevnt i artikkel 43 eller av den kompetente tilsynsmyndigheten der kravene til sertifiseringen ikke er eller ikke lenger er oppfylt.
- Styret skal samle alle sertifiseringsmekanismer og databeskyttelsesmerker og -merker i et register og skal gjøre dem offentlig tilgjengelige på alle passende måter.
sertifisering
- Kommissæren skal oppmuntre til etablering av sertifiseringsmekanismer for databeskyttelse og databeskyttelsesmerker og -merker, med det formål å demonstrere samsvar med denne forordningen av behandlingsoperasjoner utført av behandlingsansvarlige og databehandlere. De spesifikke behovene til mikro, små og mellomstore bedrifter skal tas i betraktning.
- I tillegg til overholdelse av behandlingsansvarlige eller databehandlere underlagt denne forordning, kan databeskyttelsessertifiseringsmekanismer, segl eller merker som er godkjent i henhold til nr. 5 i denne artikkel, etableres for å demonstrere eksistensen av hensiktsmessige sikkerhetstiltak gitt av behandlingsansvarlige eller databehandlere som ikke er underlagt denne forordning i henhold til artikkel 3 innenfor rammen av personopplysningsoverføringer til tredjeland eller internasjonale organisasjoner i henhold til vilkårene nevnt i bokstav f) i artikkel 46 nr. 2. Slike behandlingsansvarlige eller databehandlere skal gjøre bindende og håndhevbare forpliktelser, via kontraktsmessige eller andre juridisk bindende instrumenter, for å anvende de passende sikkerhetstiltakene, inkludert med hensyn til rettighetene til registrerte personer.
- Sertifiseringen skal være frivillig og tilgjengelig via en prosess som er transparent.
- En sertifisering i henhold til denne artikkelen reduserer ikke den behandlingsansvarliges eller databehandlerens ansvar for overholdelse av denne forordningen og berører ikke kommissærens oppgaver og fullmakter.
- En sertifisering i henhold til denne artikkel skal utstedes av sertifiseringsorganene nevnt i artikkel 43 eller av kommissæren, på grunnlag av kriterier godkjent av kommissæren i henhold til artikkel 58 nr. 3.
- Den behandlingsansvarlige eller databehandleren som sender sin behandling til sertifiseringsmekanismen, skal gi sertifiseringsorganet nevnt i artikkel 43, eller der det er aktuelt, kommisjonæren, all informasjon og tilgang til behandlingsaktiviteter som er nødvendig for å gjennomføre sertifiseringsprosedyren.
- Sertifisering skal utstedes til en behandlingsansvarlig eller databehandler for en periode på maksimalt tre år og kan fornyes på samme vilkår, forutsatt at de relevante kravene fortsatt er oppfylt. Sertifiseringen skal trekkes tilbake, alt etter hva som er aktuelt, av sertifiseringsorganene nevnt i artikkel 43 eller av kommisjonæren, dersom kravene for sertifiseringen ikke er eller ikke lenger er oppfylt.
- Kommissæren skal samle alle sertifiseringsmekanismer og databeskyttelsesmerker og -merker i et register og skal gjøre dem offentlig tilgjengelige på alle passende måter.
Sertifisering kan oppnås på to måter:
For at en organisasjon skal oppnå sertifisering, må de vurderes i henhold til ulike sertifiseringskriterier, som er godkjent av en passende myndighet.
Alle kriterier bør fokusere på etterprøvbarhet, betydningog egnethet av organisasjonens databehandlingsvirksomhet.
Tre hovedelementer i en organisasjons databehandling bør inkluderes i sertifiseringsprosessen:
I denne delen snakker vi om GDPR artikkel 42 (1), 42 (2), 42 (3), 42 (4), 42 (5), 42 (6), 42 (7), 42 (8)
Organisasjoner må gjennomgå en kartleggingsøvelse som viser både interne og eksterne faktorer knyttet til implementeringen av en PIMS.
Organisasjonen må være i stand til å forstå hvordan den skal oppnå sine personvernresultater, og eventuelle problemer som står i veien for å ivareta PII bør identifiseres og adresseres.
Organisasjoner må også:
| GDPR-artikkel | ISO 27701 klausul | ISO 27701 Støtteklausuler |
|---|---|---|
| EU GDPR artikkel 42 (1) til 42 (8) | ISO 27701 | none |
ISMS.online-plattformen sikrer at du enkelt kan lage, kommunisere, kontrollere og samarbeide. Med ISMS.online blir din overholdelse "business as usual" med all aktiviteten din som skaper klare revisjonsspor.
Dette betyr at du vil nærme deg enhver revisjon med tillit; å vite at du har fjernet risikoen for feil samtidig som du sparer tid og reduserer kostnadene.
Finn ut mer av bestille en kort demo.
Det hjelper å drive oppførselen vår på en positiv måte som fungerer for oss
og vår kultur.
