GDPR Artiklassa 42 määritellään organisaation mahdollisuus saada vapaaehtoista sertifikaattia, joka liittyy niiden tietojenkäsittelytoimiin.
Sertifiointi ei ole pakollinen, mutta se tarkoittaa organisaation sitoutumista parantamaan ja edistämään kykyään täyttää erilaisia GDPR:ään liittyviä sääntely- ja oikeudellisia velvoitteita.
On tärkeää huomata, että sertifiointi ei millään tavalla takaa vaatimusten noudattamista tai millään tavalla vähennä organisaation velvoitteita henkilöitä kohtaan, joihin sen tietojenkäsittely vaikuttaa.
Certification
- Jäsenvaltiot, valvontaviranomaiset, hallintoneuvosto ja komissio rohkaisevat erityisesti unionin tasolla ottamaan käyttöön tietosuojan varmentamismekanismeja sekä tietosuojaleimoja ja -merkkejä, jotta voidaan osoittaa, että käsittelytoimet ovat tämän asetuksen mukaisia. ohjaimet ja prosessorit. Mikroyritysten sekä pienten ja keskisuurten yritysten erityistarpeet on otettava huomioon.
- Sen lisäksi, että tämän asetuksen alaiset rekisterinpitäjät tai käsittelijät noudattavat tätä asetusta, voidaan ottaa käyttöön tämän artiklan 5 kohdan mukaisesti hyväksyttyjä tietosuojan varmentamismekanismeja, sinettejä tai merkkejä, jotta voidaan osoittaa, että rekisterinpitäjät tai käsittelijät, jotka eivät ole tämän asetuksen soveltamisalaan kuuluvina 3 artiklan mukaisesti henkilötietojen siirron yhteydessä kolmansiin maihin tai kansainvälisiin järjestöihin 46 artiklan 2 kohdan f alakohdassa tarkoitettujen ehtojen mukaisesti. Tällaisten rekisterinpitäjien tai käsittelijöiden on tehtävä sitovia ja täytäntöönpanokelpoisia sitoumuksia sopimuksilla tai muilla oikeudellisesti sitovilla asiakirjoilla soveltaakseen näitä asianmukaisia suojatoimia, myös rekisteröityjen oikeuksien osalta.
- Sertifioinnin on oltava vapaaehtoinen ja saatavilla läpinäkyvän prosessin kautta.
- Tämän artiklan mukainen sertifiointi ei vähennä rekisterinpitäjän tai käsittelijän vastuuta tämän asetuksen noudattamisesta, eikä se rajoita 55 tai 56 artiklan mukaisesti toimivaltaisten valvontaviranomaisten tehtäviä ja valtuuksia.
- Tämän artiklan mukaisen todistuksen myöntävät 43 artiklassa tarkoitetut sertifiointielimet tai toimivaltainen valvontaviranomainen kyseisen toimivaltaisen valvontaviranomaisen 58 artiklan 3 kohdan mukaisesti hyväksymien kriteerien perusteella tai lautakunnan 63 artiklan XNUMX kohdan mukaisesti hyväksymien perusteiden perusteella. XNUMX. Jos lautakunta hyväksyy kriteerit, tämä voi johtaa yhteiseen sertifikaattiin, eurooppalaiseen tietosuojasinettiin.
- Rekisterinpitäjän tai käsittelijän, joka toimittaa käsittelynsä varmentamismekanismiin, on annettava 43 artiklassa tarkoitetulle sertifiointielimelle tai tarvittaessa toimivaltaiselle valvontaviranomaiselle kaikki tiedot ja pääsy sen käsittelytoimiin, jotka ovat tarpeen varmennemenettelyn suorittamiseksi.
- Varmenne myönnetään rekisterinpitäjälle tai käsittelijälle enintään kolmeksi vuodeksi, ja se voidaan uusia samoin edellytyksin, jos asiaankuuluvat vaatimukset täyttyvät edelleen. Soveltuvin osin 43 artiklassa tarkoitettujen sertifiointielinten tai toimivaltaisen valvontaviranomaisen on peruutettava sertifiointi, jos sertifioinnin vaatimukset eivät täyty tai eivät enää täyty.
- Lautakunta kokoaa kaikki sertifiointimekanismit sekä tietosuojaleivit ja -merkit rekisteriin ja saattaa ne julkisesti saataville sopivin keinoin.
Certification
- Komissaari rohkaisee tietosuojan sertifiointimekanismien sekä tietosuojasinettien ja -merkkien käyttöönottoa, jotta voidaan osoittaa, että rekisterinpitäjät ja käsittelijät noudattavat tätä asetusta käsittelytoimissa. Mikroyritysten sekä pienten ja keskisuurten yritysten erityistarpeet on otettava huomioon.
- Sen lisäksi, että tämän asetuksen alaiset rekisterinpitäjät tai käsittelijät noudattavat tätä asetusta, voidaan ottaa käyttöön tämän artiklan 5 kohdan mukaisesti hyväksyttyjä tietosuojan varmentamismekanismeja, sinettejä tai merkkejä, jotta voidaan osoittaa, että rekisterinpitäjät tai käsittelijät, jotka eivät ole tämän asetuksen soveltamisalaan kuuluvina 3 artiklan mukaisesti henkilötietojen siirron yhteydessä kolmansiin maihin tai kansainvälisiin järjestöihin 46 artiklan 2 kohdan f alakohdassa tarkoitettujen ehtojen mukaisesti. Tällaisten rekisterinpitäjien tai käsittelijöiden on tehtävä sitovia ja täytäntöönpanokelpoisia sitoumuksia sopimuksilla tai muilla oikeudellisesti sitovilla asiakirjoilla soveltaakseen näitä asianmukaisia suojatoimia, myös rekisteröityjen oikeuksien osalta.
- Sertifioinnin on oltava vapaaehtoinen ja saatavilla läpinäkyvän prosessin kautta.
- Tämän artiklan mukainen sertifiointi ei vähennä rekisterinpitäjän tai käsittelijän vastuuta tämän asetuksen noudattamisesta, eikä se rajoita komission jäsenen tehtäviä ja valtuuksia.
- Tämän artiklan mukaisen todistuksen myöntävät 43 artiklassa tarkoitetut sertifiointielimet tai komissaari komission jäsenen 58 artiklan 3 kohdan mukaisesti hyväksymien kriteerien perusteella.
- Rekisterinpitäjän tai käsittelijän, joka toimittaa käsittelynsä sertifiointimekanismiin, on annettava 43 artiklassa tarkoitetulle sertifiointielimelle tai tarvittaessa komission jäsenelle kaikki tiedot ja pääsy sen käsittelytoimiin, jotka ovat tarpeen varmentamismenettelyn suorittamiseksi.
- Varmenne myönnetään rekisterinpitäjälle tai käsittelijälle enintään kolmeksi vuodeksi, ja se voidaan uusia samoin edellytyksin, jos asiaankuuluvat vaatimukset täyttyvät edelleen. Soveltuvin osin 43 artiklassa tarkoitettujen sertifiointielinten tai komission jäsenen on peruutettava sertifiointi, jos sertifioinnin vaatimukset eivät täyty tai eivät enää täyty.
- Komissaari kokoaa kaikki sertifiointimekanismit ja tietosuojan sinetit ja merkit rekisteriin ja asettaa ne julkisesti saataville kaikin asianmukaisin keinoin.
Olemme kustannustehokkaita ja nopeita
Sertifikaatin voi saada kahdella tavalla:
Jotta organisaatio voi saada sertifioinnin, ne on arvioitava erilaisten sertifiointikriteerien mukaisesti, jotka asianomainen viranomainen hyväksyy.
Kaikkien kriteerien tulee keskittyä todennettavuus, merkitysja sopivuus organisaation tietojenkäsittelystä.
Organisaation tietojenkäsittelyn kolme pääelementtiä tulisi sisällyttää sertifiointiprosessiin:
Tässä osiossa puhumme GDPR-artikkeleista 42 (1), 42 (2), 42 (3), 42 (4), 42 (5), 42 (6), 42 (7), 42 (8).
Organisaatioiden tulee käydä läpi kartoitus, jossa luetellaan sekä sisäiset että ulkoiset tekijät, jotka liittyvät PIMS:n käyttöönottoon.
Organisaation on kyettävä ymmärtämään, kuinka se aikoo saavuttaa tietosuojatuloksensa, ja kaikki asiat, jotka estävät henkilökohtaisten tunnistetietojen suojaamisen, tulee tunnistaa ja käsitellä.
Organisaatioiden tulee myös:
GDPR-artikkeli | ISO 27701 -lauseke | ISO 27701 -tukilausekkeet |
---|---|---|
EU:n GDPR:n artiklat 42 (1)–42 (8) | ISO 27701 5.2.1 | Ei eristetty |
ISMS.online-alusta varmistaa, että voit luoda, kommunikoida, hallita ja tehdä yhteistyötä helposti. ISMS.onlinen avulla vaatimustenmukaisuudestasi tulee "tavallista liiketoimintaa", kun kaikki toimintasi luo selkeät kirjausketjut.
Tämä tarkoittaa, että suhtaudut jokaiseen auditointiin luottavaisesti; tietäen, että olet poistanut virheriskin samalla kun säästät aikaa ja vähennät kustannuksia.
Lisätietoja: varata lyhyt demo.
Se auttaa ohjaamaan käyttäytymistämme positiivisella tavalla, joka toimii meille
& kulttuuriamme.