Innholdsfortegnelse
GDPR > Artikkel 42. Sertifisering
Last ned pdf

Artikkel 42 GDPR. Sertifisering

Article 42 GDPR. Certification

1. Medlemsstatene, tilsynsmyndighetene, Personvernrådet og Kommisjonen skal, særlig på unionsplan, oppmuntre til at det opprettes mekanismer for personvernsertifisering samt personvernsegl og -merker med det som mål å påvise at de behandlingsansvarliges og databehandlernes behandlingsaktiviteter oppfyller kravene i denne forordning. Det skal tas hensyn til de særlige behovene til svært små, små og mellomstore bedrifter.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage, in particular at Union level, the establishment of data protection certification mechanisms and of data protection seals and marks, for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors. The specific needs of micro, small and medium-sized enterprises shall be taken into account.

2. Mekanismer for personvernsertifisering, personvernsegl eller -merker som er godkjent i henhold til nr. 5 i denne artikkel, kan, i tillegg til at de overholdes av behandlingsansvarlige eller databehandlere som omfattes av denne forordning, fastsettes med det formål å påvise at det foreligger nødvendige garantier gitt av behandlingsansvarlige eller databehandlere som ikke omfattes av denne forordning i henhold til artikkel 3, i forbindelse med overføring av personopplysninger til tredjestater eller internasjonale organisasjoner på vilkårene nevnt i artikkel 46 nr. 2 bokstav f). Nevnte behandlingsansvarlige eller databehandlere skal, gjennom avtaler eller andre rettslig bindende virkemidler, inngå bindende og håndhevbare forpliktelser om å anvende nevnte nødvendige garantier, herunder for å ivareta de registrertes rettigheter.

2. In addition to adherence by controllers or processors subject to this Regulation, data protection certification mechanisms, seals or marks approved pursuant to paragraph 5 of this Article may be established for the purpose of demonstrating the existence of appropriate safeguards provided by controllers or processors that are not subject to this Regulation pursuant to Article 3 within the framework of personal data transfers to third countries or international organisations under the terms referred to in point (f) of Article 46(2). Such controllers or processors shall make binding and enforceable commitments, via contractual or other legally binding instruments, to apply those appropriate safeguards, including with regard to the rights of data subjects.

Tilkoblinger

3. Sertifiseringen skal være frivillig og tilgjengelig gjennom en åpen prosess.

3. The certification shall be voluntary and available via a process that is transparent.

4. En sertifisering i henhold til denne artikkel begrenser ikke den behandlingsansvarliges eller databehandlerens ansvar for å oppfylle kravene i denne forordning, og berører ikke oppgavene og myndigheten til tilsynsmyndighetene som har kompetanse i henhold til artikkel 55 eller 56.

4. A certification pursuant to this Article does not reduce the responsibility of the controller or the processor for compliance with this Regulation and is without prejudice to the tasks and powers of the supervisory authorities which are competent pursuant to Article 55 or 56.

Tilkoblinger

5. En sertifisering i henhold til denne artikkel skal utstedes av sertifiseringsorganene nevnt i artikkel 43 eller av vedkommende tilsynsmyndighet på grunnlag av kriterier som er godkjent av nevnte vedkommende myndighet i henhold til artikkel 58 nr. 3, eller av Personvernrådet i henhold til artikkel 63. Dersom kriteriene er godkjent av Personvernrådet, kan dette føre til en felles sertifisering – det europeiske personvernsegl.

5. A certification pursuant to this Article shall be issued by the certification bodies referred to in Article 43 or by the competent supervisory authority, on the basis of criteria approved by that competent supervisory authority pursuant to Article 58(3) or by the Board pursuant to Article 63. Where the criteria are approved by the Board, this may result in a common certification, the European Data Protection Seal.

Tilkoblinger

6. Den behandlingsansvarlige eller databehandleren som forelegger sin behandling for sertifiseringsmekanismen, skal gi sertifiseringsorganet nevnt i artikkel 43 eller, dersom det er relevant, vedkommende tilsynsmyndighet all informasjon samt tilgang til de behandlingsaktivitetene som er nødvendig for å gjennomføre sertifiseringen.

6. The controller or processor which submits its processing to the certification mechanism shall provide the certification body referred to in Article 43, or where applicable, the competent supervisory authority, with all information and access to its processing activities which are necessary to conduct the certification procedure.

Tilkoblinger

7. Sertifiseringen skal utstedes til en behandlingsansvarlig eller databehandler for en periode på høyst tre år og kan fornyes på samme vilkår, forutsatt at relevante kriterier fortsatt er oppfylt. Sertifiseringen skal tilbakekalles av sertifiseringsorganene nevnt i artikkel 43 eller av vedkommende tilsynsmyndighet, etter hva som er relevant, dersom kriteriene for sertifisering ikke lenger er oppfylt.

7. Certification shall be issued to a controller or processor for a maximum period of three years and may be renewed, under the same conditions, provided that the relevant criteria continue to be met. Certification shall be withdrawn, as applicable, by the certification bodies referred to in Article 43 or by the competent supervisory authority where the criteria for the certification are not or are no longer met.

Tilkoblinger

8. Personvernrådet skal samle alle sertifiseringsmekanismer og personvernsegl og -merker i et register, og skal gjøre dem offentlig tilgjengelig på egnet måte.

8. The Board shall collate all certification mechanisms and data protection seals and marks in a register and shall make them publicly available by any appropriate means.

ISO 27701 Forord Offisielle dokumenter og avgjørelser Ekspertkommentar
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 42 GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.


for å få tilgang til hele teksten

Forord

100) For å øke åpenheten og overholdelsen av denne forordning bør det oppmuntres til opprettelse av sertifiseringsmekanismer og personvernsegl og -merker, slik at de registrerte raskt kan vurdere nivået for vern av personopplysninger som relevante produkter og tjenester omfattes av.

(100) In order to enhance transparency and compliance with this Regulation, the establishment of certification mechanisms and data protection seals and marks should be encouraged, allowing data subjects to quickly assess the level of data protection of relevant products and services.

Offisielle dokumenter og avgjørelser Ekspertkommentar