Artikkel 42 📖 GDPR. Sertifisering

Artikkel 42 GDPR. Sertifisering

Article 42 GDPR. Certification

1. Medlemsstatene, tilsynsmyndighetene, Personvernrådet og Kommisjonen skal, særlig på unionsplan, oppmuntre til at det opprettes mekanismer for personvernsertifisering samt personvernsegl og -merker med det som mål å påvise at de behandlingsansvarliges og databehandlernes behandlingsaktiviteter oppfyller kravene i denne forordning. Det skal tas hensyn til de særlige behovene til svært små, små og mellomstore bedrifter.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage, in particular at Union level, the establishment of data protection certification mechanisms and of data protection seals and marks, for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors. The specific needs of micro, small and medium-sized enterprises shall be taken into account.

2. Mekanismer for personvernsertifisering, personvernsegl eller -merker som er godkjent i henhold til nr. 5 i denne artikkel, kan, i tillegg til at de overholdes av behandlingsansvarlige eller databehandlere som omfattes av denne forordning, fastsettes med det formål å påvise at det foreligger nødvendige garantier gitt av behandlingsansvarlige eller databehandlere som ikke omfattes av denne forordning i henhold til artikkel 3, i forbindelse med overføring av personopplysninger til tredjestater eller internasjonale organisasjoner på vilkårene nevnt i artikkel 46 nr. 2 bokstav f). Nevnte behandlingsansvarlige eller databehandlere skal, gjennom avtaler eller andre rettslig bindende virkemidler, inngå bindende og håndhevbare forpliktelser om å anvende nevnte nødvendige garantier, herunder for å ivareta de registrertes rettigheter.

2. In addition to adherence by controllers or processors subject to this Regulation, data protection certification mechanisms, seals or marks approved pursuant to paragraph 5 of this Article may be established for the purpose of demonstrating the existence of appropriate safeguards provided by controllers or processors that are not subject to this Regulation pursuant to Article 3 within the framework of personal data transfers to third countries or international organisations under the terms referred to in point (f) of Article 46(2). Such controllers or processors shall make binding and enforceable commitments, via contractual or other legally binding instruments, to apply those appropriate safeguards, including with regard to the rights of data subjects.

Relaterte tekster

Artikkel 3 GDPR. Geografisk virkeområde

Article 3 GDPR. Territorial scope

Artikkel 46 GDPR. Overføringer som omfattes av nødvendige garantier

Article 46 GDPR. Transfers subject to appropriate safeguards

1. Dersom det ikke foreligger en beslutning i henhold til artikkel 45 nr. 3, kan en behandlingsansvarlig eller databehandler overføre personopplysninger til en tredjestat eller en internasjonal organisasjon bare dersom den behandlingsansvarlige eller databehandleren har gitt nødvendige garantier, og under forutsetning av at de registrerte har håndhevbare rettigheter og effektive rettsmidler.

1. In the absence of a decision pursuant to Article 45(3), a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available.

2. De nødvendige garantiene nevnt i nr. 1 kan uten krav om særlig godkjenning fra en tilsynsmyndighet sikres ved hjelp av

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

[…]

f) en godkjent sertifiseringsmekanisme i henhold til artikkel 42 sammen med bindende og håndhevbare forpliktelser for den behandlingsansvarlige eller databehandleren i tredjestaten om å anvende nødvendige garantier, herunder med hensyn til de registrertes rettigheter.

(f) an approved certification mechanism pursuant to Article 42 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights.

[…]

3. Sertifiseringen skal være frivillig og tilgjengelig gjennom en åpen prosess.

3. The certification shall be voluntary and available via a process that is transparent.

4. En sertifisering i henhold til denne artikkel begrenser ikke den behandlingsansvarliges eller databehandlerens ansvar for å oppfylle kravene i denne forordning, og berører ikke oppgavene og myndigheten til tilsynsmyndighetene som har kompetanse i henhold til artikkel 55 eller 56.

4. A certification pursuant to this Article does not reduce the responsibility of the controller or the processor for compliance with this Regulation and is without prejudice to the tasks and powers of the supervisory authorities which are competent pursuant to Article 55 or 56.

Relaterte tekster

Artikkel 55 GDPR. Kompetanse

Article 55 GDPR. Competence

1. Hver tilsynsmyndighet skal ha kompetanse til å utføre de oppgaver og utøve den myndighet den gis i samsvar med denne forordning, på sin medlemsstats territorium.

1. Each supervisory authority shall be competent for the performance of the tasks assigned to and the exercise of the powers conferred on it in accordance with this Regulation on the territory of its own Member State.

2. Dersom behandlingen utføres av offentlige myndigheter eller private organer som handler på grunnlag av artikkel 6 nr. 1 bokstav c) eller e), er det tilsynsmyndighetene i den berørte medlemsstaten som skal ha kompetanse. I slike tilfeller får artikkel 56 ikke anvendelse.

2. Where processing is carried out by public authorities or private bodies acting on the basis of point (c) or (e) of Article 6(1), the supervisory authority of the Member State concerned shall be competent. In such cases Article 56 does not apply.

3. Tilsynsmyndigheter skal ikke ha kompetanse til å føre tilsyn med domstolers behandlingsaktiviteter når disse handler innenfor rammen av sin domsmyndighet.

3. Supervisory authorities shall not be competent to supervise processing operations of courts acting in their judicial capacity.

Artikkel 56 GDPR. Den ledende tilsynsmyndighets kompetanse

Article 56 GDPR. Competence of the lead supervisory authority

1. Uten at det berører artikkel 55, skal tilsynsmyndigheten for den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet ha kompetanse til å fungere som ledende tilsynsmyndighet i forbindelse med grenseoverskridende behandling som utføres av nevnte behandlingsansvarlig eller databehandler i samsvar med framgangsmåten fastsatt i artikkel 60.

1. Without prejudice to Article 55, the supervisory authority of the main establishment or of the single establishment of the controller or processor shall be competent to act as lead supervisory authority for the cross-border processing carried out by that controller or processor in accordance with the procedure provided in Article 60.

2. Som unntak fra nr. 1 skal hver tilsynsmyndighet ha kompetanse til å behandle en mottatt klage eller en mulig overtredelse av denne forordning dersom klagens gjenstand bare gjelder en virksomhet i dens medlemsstat eller i vesentlig grad påvirker registrerte bare i dens medlemsstat.

2. By derogation from paragraph 1, each supervisory authority shall be competent to handle a complaint lodged with it or a possible infringement of this Regulation, if the subject matter relates only to an establishment in its Member State or substantially affects data subjects only in its Member State.

3. I tilfellene nevnt i nr. 2 i denne artikkel skal tilsynsmyndigheten uten opphold underrette den ledende tilsynsmyndigheten om forholdet. Innen en frist på tre uker etter å ha mottatt underretning skal den ledende tilsynsmyndigheten beslutte om den skal behandle saken eller ikke i samsvar med framgangsmåten fastsatt i artikkel 60, idet det tas hensyn til hvorvidt den behandlingsansvarlige eller databehandleren har en virksomhet eller ikke i medlemsstaten til tilsynsmyndigheten som har gitt underretningen.

3. In the cases referred to in paragraph 2 of this Article, the supervisory authority shall inform the lead supervisory authority without delay on that matter. Within a period of three weeks after being informed the lead supervisory authority shall decide whether or not it will handle the case in accordance with the procedure provided in Article 60, taking into account whether or not there is an establishment of the controller or processor in the Member State of which the supervisory authority informed it.

4. Dersom den ledende tilsynsmyndigheten beslutter å behandle saken, får framgangsmåten fastsatt i artikkel 60 anvendelse. Tilsynsmyndigheten som underrettet den ledende tilsynsmyndigheten, kan legge fram et utkast til avgjørelse for den ledende tilsynsmyndigheten. Den ledende tilsynsmyndigheten skal i størst mulig grad ta hensyn til nevnte utkast ved utarbeiding av utkastet til avgjørelse nevnt i artikkel 60 nr. 3.

4. Where the lead supervisory authority decides to handle the case, the procedure provided in Article 60 shall apply. The supervisory authority which informed the lead supervisory authority may submit to the lead supervisory authority a draft for a decision. The lead supervisory authority shall take utmost account of that draft when preparing the draft decision referred to in Article 60(3).

5. Dersom den ledende tilsynsmyndigheten beslutter å ikke behandle saken, skal tilsynsmyndigheten som underrettet den ledende tilsynsmyndigheten, behandle saken i henhold til artikkel 61 og 62.

5. Where the lead supervisory authority decides not to handle the case, the supervisory authority which informed the lead supervisory authority shall handle it according to Articles 61 and 62.

6. Den ledende tilsynsmyndigheten skal være den behandlingsansvarliges eller databehandlerens eneste kontaktpunkt i forbindelse med den grenseoverskridende behandlingen som utføres av nevnte behandlingsansvarlig eller databehandler.

6. The lead supervisory authority shall be the sole interlocutor of the controller or processor for the cross-border processing carried out by that controller or processor.

5. En sertifisering i henhold til denne artikkel skal utstedes av sertifiseringsorganene nevnt i artikkel 43 eller av vedkommende tilsynsmyndighet på grunnlag av kriterier som er godkjent av nevnte vedkommende myndighet i henhold til artikkel 58 nr. 3, eller av Personvernrådet i henhold til artikkel 63. Dersom kriteriene er godkjent av Personvernrådet, kan dette føre til en felles sertifisering – det europeiske personvernsegl.

5. A certification pursuant to this Article shall be issued by the certification bodies referred to in Article 43 or by the competent supervisory authority, on the basis of criteria approved by that competent supervisory authority pursuant to Article 58(3) or by the Board pursuant to Article 63. Where the criteria are approved by the Board, this may result in a common certification, the European Data Protection Seal.

Relaterte tekster

Artikkel 43 GDPR. Sertifiseringsorganer

Article 43 GDPR. Certification bodies

Artikkel 58 GDPR. Myndighet

Article 58 GDPR. Powers

[…]

3. Hver tilsynsmyndighet skal ha følgende myndighet til å godkjenne og gi råd:

3. Each supervisory authority shall have all of the following authorisation and advisory powers:

a) rådgi den behandlingsansvarlige i samsvar med framgangsmåten for forhåndsdrøftinger nevnt i artikkel 36,

(a) to advise the controller in accordance with the prior consultation procedure referred to in Article 36;

b) avgi uttalelse, på eget initiativ eller på anmodning, til det nasjonale parlamentet, medlemsstatens regjering eller, i samsvar med medlemsstatenes nasjonale rett, til andre institusjoner og organer samt allmennheten om eventuelle spørsmål knyttet til vern av personopplysninger,

(b) to issue, on its own initiative or on request, opinions to the national parliament, the Member State government or, in accordance with Member State law, to other institutions and bodies as well as to the public on any issue related to the protection of personal data;

c) godkjenne behandlingen nevnt i artikkel 36 nr. 5 dersom det i medlemsstatens nasjonale rett kreves slik forhåndsgodkjenning,

(c) to authorise processing referred to in Article 36(5), if the law of the Member State requires such prior authorisation;

d) avgi uttalelse om og godkjenne utkast til atferdsnormer i henhold til artikkel 40 nr. 5,

(d) to issue an opinion and approve draft codes of conduct pursuant to Article 40(5);

e) akkreditere sertifiseringsorganer i henhold til artikkel 43,

(e) to accredit certification bodies pursuant to Article 43;

f) utstede sertifiseringer og godkjenne kriterier for sertifisering i samsvar med artikkel 42 nr. 5,

(f) to issue certifications and approve criteria of certification in accordance with Article 42(5);

g) vedta standard personvernbestemmelser nevnt i artikkel 28 nr. 8 og i artikkel 46 nr. 2 bokstav d),

(g) to adopt standard data protection clauses referred to in Article 28(8) and in point (d) of Article 46(2);

h) godkjenne avtalevilkår som nevnt i artikkel 46 nr. 3 bokstav a),

(h) to authorise contractual clauses referred to in point (a) of Article 46(3);

i) godkjenne administrative ordninger som nevnt i artikkel 46 nr. 3 bokstav b),

(i) to authorise administrative arrangements referred to in point (b) of Article 46(3);

j) godkjenne bindende virksomhetsregler i henhold til artikkel 47.

(j) to approve binding corporate rules pursuant to Article 47.

[…]

Artikkel 63 GDPR. Konsistensmekanisme

Article 63 GDPR. Consistency mechanism

For å bidra til en ensartet anvendelse av denne forordning i hele Unionen skal tilsynsmyndighetene samarbeide med hverandre og, dersom det er relevant, med Kommisjonen gjennom konsistensmekanismen som fastsatt i dette avsnitt.

In order to contribute to the consistent application of this Regulation throughout the Union, the supervisory authorities shall cooperate with each other and, where relevant, with the Commission, through the consistency mechanism as set out in this Section.

6. Den behandlingsansvarlige eller databehandleren som forelegger sin behandling for sertifiseringsmekanismen, skal gi sertifiseringsorganet nevnt i artikkel 43 eller, dersom det er relevant, vedkommende tilsynsmyndighet all informasjon samt tilgang til de behandlingsaktivitetene som er nødvendig for å gjennomføre sertifiseringen.

6. The controller or processor which submits its processing to the certification mechanism shall provide the certification body referred to in Article 43, or where applicable, the competent supervisory authority, with all information and access to its processing activities which are necessary to conduct the certification procedure.

Relaterte tekster

Artikkel 43 GDPR. Sertifiseringsorganer

Article 43 GDPR. Certification bodies

7. Sertifiseringen skal utstedes til en behandlingsansvarlig eller databehandler for en periode på høyst tre år og kan fornyes på samme vilkår, forutsatt at relevante kriterier fortsatt er oppfylt. Sertifiseringen skal tilbakekalles av sertifiseringsorganene nevnt i artikkel 43 eller av vedkommende tilsynsmyndighet, etter hva som er relevant, dersom kriteriene for sertifisering ikke lenger er oppfylt.

7. Certification shall be issued to a controller or processor for a maximum period of three years and may be renewed, under the same conditions, provided that the relevant criteria continue to be met. Certification shall be withdrawn, as applicable, by the certification bodies referred to in Article 43 or by the competent supervisory authority where the criteria for the certification are not or are no longer met.

Relaterte tekster

Artikkel 43 GDPR. Sertifiseringsorganer

Article 43 GDPR. Certification bodies

8. Personvernrådet skal samle alle sertifiseringsmekanismer og personvernsegl og -merker i et register, og skal gjøre dem offentlig tilgjengelig på egnet måte.

8. The Board shall collate all certification mechanisms and data protection seals and marks in a register and shall make them publicly available by any appropriate means.

Generell personvernforordning) [PVF, GDPR]

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

ISO 27701 Fortalepunkter Retningslinjer og rettspraksis Legg igjen en kommentar

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 42 GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

…

Logg inn
for å få tilgang til hele teksten

Fortalepunkter

100) For å øke åpenheten og overholdelsen av denne forordning bør det oppmuntres til opprettelse av sertifiseringsmekanismer og personvernsegl og -merker, slik at de registrerte raskt kan vurdere nivået for vern av personopplysninger som relevante produkter og tjenester omfattes av.

(100) In order to enhance transparency and compliance with this Regulation, the establishment of certification mechanisms and data protection seals and marks should be encouraged, allowing data subjects to quickly assess the level of data protection of relevant products and services.

Retningslinjer og rettspraksis

(EN)

Document

EDPB, Guidelines 1/2018 on Certification and Identifying Certification Criteria in Accordance with Articles 42 and 43 of the Regulation (2019).

EDPB, Opinion 1/2022on the draft decision of the Luxembourg Supervisory Authority regarding the GDPR – CARPA certification criteria (2022).

Legg igjen en kommentar

[js-disqus]