Hvad er GDPR artikel 42, og hvorfor betyder det noget?
GDPR Artikel 42 beskriver en organisations evne til at opnå et niveau af frivillig certificering i forbindelse med deres databehandlingsoperationer.
Certificering er ikke obligatorisk, men angiver en organisations forpligtelse til at forbedre og fremme deres evne til at opfylde forskellige regulatoriske og juridiske forpligtelser i forbindelse med GDPR.
Det er vigtigt at bemærke, at certificering ikke på nogen måde garanterer overholdelse, eller på nogen måde reducerer en organisations forpligtelse over for de personer, der er berørt af dens databehandling.
GDPR Artikel 42 Lovtekst
EU GDPR-version
Certificering
- Medlemsstaterne, tilsynsmyndighederne, bestyrelsen og Kommissionen tilskynder, især på EU-plan, til etableringen af databeskyttelsescertificeringsmekanismer og databeskyttelsesmærker og -mærker med det formål at påvise, at denne forordning overholdes af behandlinger pr. controllere og processorer. Der skal tages hensyn til mikro-, små og mellemstore virksomheders specifikke behov.
- Ud over at registeransvarlige eller databehandleres overholdelse er underlagt denne forordning, kan databeskyttelsescertificeringsmekanismer, segl eller mærker, der er godkendt i henhold til denne artikels stk. omfattet af denne forordning i henhold til artikel 5 inden for rammerne af overførsler af personoplysninger til tredjelande eller internationale organisationer i henhold til betingelserne i artikel 3, stk. 46, litra f). Sådanne dataansvarlige eller databehandlere skal via kontraktlige eller andre juridisk bindende instrumenter afgive bindende og håndhævelige tilsagn om at anvende disse passende sikkerhedsforanstaltninger, herunder med hensyn til de registreredes rettigheder.
- Certificeringen skal være frivillig og tilgængelig via en proces, der er gennemsigtig.
- En certificering i henhold til denne artikel reducerer ikke den dataansvarliges eller databehandlerens ansvar for overholdelse af denne forordning og berører ikke tilsynsmyndighedernes opgaver og beføjelser, som er kompetente i henhold til artikel 55 eller 56.
- En certificering i henhold til denne artikel udstedes af de certificeringsorganer, der er omhandlet i artikel 43, eller af den kompetente tilsynsmyndighed på grundlag af kriterier godkendt af den pågældende kompetente tilsynsmyndighed i henhold til artikel 58, stk. 3, eller af bestyrelsen i henhold til artikel 63, stk. XNUMX. Hvor kriterierne er godkendt af bestyrelsen, kan dette resultere i en fælles certificering, det europæiske databeskyttelsesstempel.
- Den registeransvarlige eller databehandleren, der indgiver sin behandling til certificeringsmekanismen, skal give det certificeringsorgan, der er omhandlet i artikel 43, eller, hvor det er relevant, den kompetente tilsynsmyndighed, alle oplysninger og adgang til dens behandlingsaktiviteter, som er nødvendige for at gennemføre certificeringsproceduren.
- Certificering skal udstedes til en dataansvarlig eller databehandler for en periode på højst tre år og kan fornyes på samme betingelser, forudsat at de relevante krav fortsat er opfyldt. Certificeringen tilbagekaldes, alt efter hvad der er relevant, af de certificeringsorganer, der er omhandlet i artikel 43, eller af den kompetente tilsynsmyndighed, hvis kravene til certificeringen ikke er eller ikke længere er opfyldt.
- Bestyrelsen samler alle certificeringsmekanismer og databeskyttelsesmærker og -mærker i et register og gør dem offentligt tilgængelige på enhver passende måde.
UK GDPR-version
Certificering
- Kommissæren tilskynder til etablering af databeskyttelsescertificeringsmekanismer og databeskyttelsesmærker og -mærker med det formål at påvise overensstemmelse med denne forordning af dataansvarliges og databehandleres behandlingsoperationer. Der skal tages hensyn til mikro-, små og mellemstore virksomheders specifikke behov.
- Ud over at registeransvarlige eller databehandleres overholdelse er underlagt denne forordning, kan databeskyttelsescertificeringsmekanismer, segl eller mærker, der er godkendt i henhold til denne artikels stk. omfattet af denne forordning i henhold til artikel 5 inden for rammerne af overførsler af personoplysninger til tredjelande eller internationale organisationer i henhold til betingelserne i artikel 3, stk. 46, litra f). Sådanne dataansvarlige eller databehandlere skal via kontraktlige eller andre juridisk bindende instrumenter afgive bindende og håndhævelige tilsagn om at anvende disse passende sikkerhedsforanstaltninger, herunder med hensyn til de registreredes rettigheder.
- Certificeringen skal være frivillig og tilgængelig via en proces, der er gennemsigtig.
- En certificering i henhold til denne artikel reducerer ikke den dataansvarliges eller databehandlerens ansvar for overholdelse af denne forordning og berører ikke kommissærens opgaver og beføjelser.
- En certificering i henhold til denne artikel udstedes af de i artikel 43 omhandlede certificeringsorganer eller af kommissæren på grundlag af kriterier godkendt af kommissæren i henhold til artikel 58, stk.
- Den registeransvarlige eller databehandleren, som indgiver sin behandling til certificeringsmekanismen, skal give det certificeringsorgan, der er omhandlet i artikel 43, eller, hvor det er relevant, Commissioner, alle oplysninger og adgang til sine behandlingsaktiviteter, som er nødvendige for at gennemføre certificeringsproceduren.
- Certificering skal udstedes til en dataansvarlig eller databehandler for en periode på højst tre år og kan fornyes på samme betingelser, forudsat at de relevante krav fortsat er opfyldt. Certificeringen tilbagekaldes, alt efter hvad der er relevant, af de certificeringsorganer, der er nævnt i artikel 43, eller af Commissioner, hvis kravene til certificeringen ikke er eller ikke længere er opfyldt.
- Kommissæren samler alle certificeringsmekanismer og databeskyttelsesmærker og -mærker i et register og gør dem offentligt tilgængelige på enhver passende måde.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Teknisk kommentar
Certificering kan opnås på to måder:
- En frivillig handling, der ikke reducerer overholdelsesforpligtelser.
- Via et certificeringsorgan eller tilsynsmyndighed.
For at en organisation kan opnå certificering, skal de vurderes i overensstemmelse med forskellige certificeringskriterier, som er godkendt af en passende myndighed.
Alle kriterier bør fokusere på verificerbarhed, betydningog egnethed af organisationens databehandlingsvirksomhed.
Tre hovedelementer i en organisations databehandling bør indgå i certificeringsprocessen:
- De personoplysninger, som organisationen behandler.
- Ethvert system, der bruges til at behandle nævnte data.
- Eventuelle procedurer relateret direkte til organisationens databehandlingsoperation.
ISO 27701 paragraf 5.2.1 (Forståelse af organisationen og dens kontekst) og EU GDPR artikel 42
I dette afsnit taler vi om GDPR artikel 42 (1), 42 (2), 42 (3), 42 (4), 42 (5), 42 (6), 42 (7), 42 (8)
Organisationer skal gennemgå en kortlægningsøvelse, der viser både interne og eksterne faktorer i forbindelse med implementeringen af et PIMS.
Organisationen skal være i stand til at forstå, hvordan den vil opnå sine resultater med beskyttelse af privatlivets fred, og eventuelle problemer, der står i vejen for at beskytte PII, bør identificeres og behandles.
Organisationer skal også:
- Gennemgå alle gældende love, regler eller 'retlige afgørelser'.
- Tag hensyn til organisationens unikke sæt af krav i forhold til den type produkter og service, de sælger, og virksomhedsspecifikke styringsdokumenter, politikker og procedurer.
- Overvej administrative faktorer, herunder den daglige drift af virksomheden.
- Gennemgå tredjepartsaftaler eller servicekontrakter, der har potentiale til at påvirke PII og beskyttelse af privatlivets fred.
Indeks over linkede EU GDPR-artikler og ISO 27701-klausuler
| GDPR artikel | ISO 27701 klausul | ISO 27701 understøttende klausuler |
|---|---|---|
| EU GDPR artikel 42 (1) til 42 (8) | ISO 27701 5.2.1 | Ingen |
Hvordan ISMS.online Hjælp
ISMS.online platformen sikrer, at du nemt kan oprette, kommunikere, kontrollere og samarbejde. Med ISMS.online bliver din compliance 'business as usual' med al din aktivitet, der skaber klare revisionsspor.
Det betyder, at du vil nærme dig enhver revision med tillid; ved at du har fjernet risikoen for fejl, samtidig med at du sparer tid og reducerer omkostningerne.
Find ud af mere ved booking af en kort demo.
