GDPR Artikel 42 beskriver en organisations evne til at opnå et niveau af frivillig certificering i forbindelse med deres databehandlingsoperationer.
Certificering er ikke obligatorisk, men angiver en organisations forpligtelse til at forbedre og fremme deres evne til at opfylde forskellige regulatoriske og juridiske forpligtelser i forbindelse med GDPR.
Det er vigtigt at bemærke, at certificering ikke på nogen måde garanterer overholdelse, eller på nogen måde reducerer en organisations forpligtelse over for de personer, der er berørt af dens databehandling.
Certificering
- Medlemsstaterne, tilsynsmyndighederne, bestyrelsen og Kommissionen tilskynder, især på EU-plan, til etableringen af databeskyttelsescertificeringsmekanismer og databeskyttelsesmærker og -mærker med det formål at påvise, at denne forordning overholdes af behandlinger pr. controllere og processorer. Der skal tages hensyn til mikro-, små og mellemstore virksomheders specifikke behov.
- Ud over at registeransvarlige eller databehandleres overholdelse er underlagt denne forordning, kan databeskyttelsescertificeringsmekanismer, segl eller mærker, der er godkendt i henhold til denne artikels stk. omfattet af denne forordning i henhold til artikel 5 inden for rammerne af overførsler af personoplysninger til tredjelande eller internationale organisationer i henhold til betingelserne i artikel 3, stk. 46, litra f). Sådanne dataansvarlige eller databehandlere skal via kontraktlige eller andre juridisk bindende instrumenter afgive bindende og håndhævelige tilsagn om at anvende disse passende sikkerhedsforanstaltninger, herunder med hensyn til de registreredes rettigheder.
- Certificeringen skal være frivillig og tilgængelig via en proces, der er gennemsigtig.
- En certificering i henhold til denne artikel reducerer ikke den dataansvarliges eller databehandlerens ansvar for overholdelse af denne forordning og berører ikke tilsynsmyndighedernes opgaver og beføjelser, som er kompetente i henhold til artikel 55 eller 56.
- En certificering i henhold til denne artikel udstedes af de certificeringsorganer, der er omhandlet i artikel 43, eller af den kompetente tilsynsmyndighed på grundlag af kriterier godkendt af den pågældende kompetente tilsynsmyndighed i henhold til artikel 58, stk. 3, eller af bestyrelsen i henhold til artikel 63, stk. XNUMX. Hvor kriterierne er godkendt af bestyrelsen, kan dette resultere i en fælles certificering, det europæiske databeskyttelsesstempel.
- Den registeransvarlige eller databehandleren, der indgiver sin behandling til certificeringsmekanismen, skal give det certificeringsorgan, der er omhandlet i artikel 43, eller, hvor det er relevant, den kompetente tilsynsmyndighed, alle oplysninger og adgang til dens behandlingsaktiviteter, som er nødvendige for at gennemføre certificeringsproceduren.
- Certificering skal udstedes til en dataansvarlig eller databehandler for en periode på højst tre år og kan fornyes på samme betingelser, forudsat at de relevante krav fortsat er opfyldt. Certificeringen tilbagekaldes, alt efter hvad der er relevant, af de certificeringsorganer, der er omhandlet i artikel 43, eller af den kompetente tilsynsmyndighed, hvis kravene til certificeringen ikke er eller ikke længere er opfyldt.
- Bestyrelsen samler alle certificeringsmekanismer og databeskyttelsesmærker og -mærker i et register og gør dem offentligt tilgængelige på enhver passende måde.
Certificering
- Kommissæren tilskynder til etablering af databeskyttelsescertificeringsmekanismer og databeskyttelsesmærker og -mærker med det formål at påvise overensstemmelse med denne forordning af dataansvarliges og databehandleres behandlingsoperationer. Der skal tages hensyn til mikro-, små og mellemstore virksomheders specifikke behov.
- Ud over at registeransvarlige eller databehandleres overholdelse er underlagt denne forordning, kan databeskyttelsescertificeringsmekanismer, segl eller mærker, der er godkendt i henhold til denne artikels stk. omfattet af denne forordning i henhold til artikel 5 inden for rammerne af overførsler af personoplysninger til tredjelande eller internationale organisationer i henhold til betingelserne i artikel 3, stk. 46, litra f). Sådanne dataansvarlige eller databehandlere skal via kontraktlige eller andre juridisk bindende instrumenter afgive bindende og håndhævelige tilsagn om at anvende disse passende sikkerhedsforanstaltninger, herunder med hensyn til de registreredes rettigheder.
- Certificeringen skal være frivillig og tilgængelig via en proces, der er gennemsigtig.
- En certificering i henhold til denne artikel reducerer ikke den dataansvarliges eller databehandlerens ansvar for overholdelse af denne forordning og berører ikke kommissærens opgaver og beføjelser.
- En certificering i henhold til denne artikel udstedes af de i artikel 43 omhandlede certificeringsorganer eller af kommissæren på grundlag af kriterier godkendt af kommissæren i henhold til artikel 58, stk.
- Den registeransvarlige eller databehandleren, som indgiver sin behandling til certificeringsmekanismen, skal give det certificeringsorgan, der er omhandlet i artikel 43, eller, hvor det er relevant, Commissioner, alle oplysninger og adgang til sine behandlingsaktiviteter, som er nødvendige for at gennemføre certificeringsproceduren.
- Certificering skal udstedes til en dataansvarlig eller databehandler for en periode på højst tre år og kan fornyes på samme betingelser, forudsat at de relevante krav fortsat er opfyldt. Certificeringen tilbagekaldes, alt efter hvad der er relevant, af de certificeringsorganer, der er nævnt i artikel 43, eller af Commissioner, hvis kravene til certificeringen ikke er eller ikke længere er opfyldt.
- Kommissæren samler alle certificeringsmekanismer og databeskyttelsesmærker og -mærker i et register og gør dem offentligt tilgængelige på enhver passende måde.
Vi er omkostningseffektive og hurtige
Certificering kan opnås på to måder:
For at en organisation kan opnå certificering, skal de vurderes i overensstemmelse med forskellige certificeringskriterier, som er godkendt af en passende myndighed.
Alle kriterier bør fokusere på verificerbarhed, betydningog egnethed af organisationens databehandlingsvirksomhed.
Tre hovedelementer i en organisations databehandling bør indgå i certificeringsprocessen:
I dette afsnit taler vi om GDPR artikel 42 (1), 42 (2), 42 (3), 42 (4), 42 (5), 42 (6), 42 (7), 42 (8)
Organisationer skal gennemgå en kortlægningsøvelse, der viser både interne og eksterne faktorer i forbindelse med implementeringen af et PIMS.
Organisationen skal være i stand til at forstå, hvordan den vil opnå sine resultater med beskyttelse af privatlivets fred, og eventuelle problemer, der står i vejen for at beskytte PII, bør identificeres og behandles.
Organisationer skal også:
| GDPR artikel | ISO 27701 klausul | ISO 27701 understøttende klausuler |
|---|---|---|
| EU GDPR artikel 42 (1) til 42 (8) | ISO 27701 5.2.1 | Ingen |
ISMS.online platformen sikrer, at du nemt kan oprette, kommunikere, kontrollere og samarbejde. Med ISMS.online bliver din compliance 'business as usual' med al din aktivitet, der skaber klare revisionsspor.
Det betyder, at du vil nærme dig enhver revision med tillid; ved at du har fjernet risikoen for fejl, samtidig med at du sparer tid og reducerer omkostningerne.
Find ud af mere ved booking af en kort demo.
Det hjælper med at drive vores adfærd på en positiv måde, der virker for os
& vores kultur.
