77) Veiledning om gjennomføring av egnede tiltak og tiltak for å påvise at den behandlingsansvarlige eller databehandleren overholder denne forordning, særlig med hensyn til kartlegging av risikoen forbundet med behandlingen og en vurdering av risikoens opprinnelse, art, sannsynlighet og alvorlighetsgrad, samt kartlegging av beste praksis for å redusere risikoen, kan særlig gis ved hjelp av godkjente atferdsnormer, godkjente sertifiseringer, retningslinjer fra Personvernrådet eller anvisninger fra et personvernombud. Personvernrådet kan også utstede retningslinjer for behandlingsaktiviteter som sannsynligvis ikke vil innebære en høy risiko for fysiske personers rettigheter og friheter, samt angi hvilke tiltak som i slike tilfeller kan være tilstrekkelig for å håndtere nevnte risiko.
81) For å sikre overholdelse av kravene i denne forordning med hensyn til behandling som skal utføres av databehandleren på vegne av den behandlingsansvarlige, når behandlingsaktiviteter overlates til en databehandler, bør den behandlingsansvarlige bare benytte databehandlere som gir tilstrekkelige garantier, særlig med tanke på dybdekunnskap, pålitelighet og ressurser, for at de vil gjennomføre tekniske og organisatoriske tiltak som vil oppfylle kravene i denne forordning, herunder kravene til sikker behandling. Databehandlerens overholdelse av godkjente atferdsnormer eller bruk av en godkjent sertifiseringsmekanisme kan brukes som en faktor for å påvise at den behandlingsansvarliges forpliktelser overholdes. Behandling som utføres av en databehandler, bør være underlagt en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett som binder databehandleren til den behandlingsansvarlige, og som fastsetter gjenstanden for og varigheten av behandlingen, behandlingens art og formål, typen personopplysninger og kategorier av registrerte, idet det tas hensyn til databehandlerens særlige oppgaver og ansvar i forbindelse med behandlingen som skal utføres, samt risikoen for den registrertes rettigheter og friheter. Den behandlingsansvarlige og databehandleren kan velge å bruke en individuell avtale eller standardavtalevilkår som enten er vedtatt direkte av Kommisjonen eller av en tilsynsmyndighet i samsvar med konsistensmekanismen, og deretter vedtatt av Kommisjonen. Når behandlingen på vegne av den behandlingsansvarlige er fullført, bør databehandleren tilbakelevere eller slette personopplysningene, avhengig av hva den behandlingsansvarlige velger, med mindre unionsretten eller medlemsstatenes nasjonale rett som databehandleren er underlagt, inneholder krav om lagring av personopplysningene.
100) For å øke åpenheten og overholdelsen av denne forordning bør det oppmuntres til opprettelse av sertifiseringsmekanismer og personvernsegl og -merker, slik at de registrerte raskt kan vurdere nivået for vern av personopplysninger som relevante produkter og tjenester omfattes av.
108) Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, bør den behandlingsansvarlige eller databehandleren treffe tiltak for å kompensere for det manglende vernet av personopplysninger i en tredjestat i form av nødvendige garantier for den registrerte. Nødvendige garantier kan omfatte bruk av bindende virksomhetsregler, standard personvernbestemmelser vedtatt av Kommisjonen, standard personvernbestemmelser vedtatt av en tilsynsmyndighet eller avtalevilkår godkjent av en tilsynsmyndighet. Disse garantiene bør sikre samsvar med kravene til vern av personopplysninger og de registrertes rettigheter i forbindelse med behandling internt i Unionen, herunder om de registrerte har tilgang til håndhevbare rettigheter og effektive rettsmidler, herunder retten til effektiv administrativ eller rettslig prøving og til å kreve erstatning i Unionen eller i en tredjestat. Garantiene bør særlig omfatte samsvar med de allmenne prinsippene om behandling av personopplysninger og prinsippene om innebygd personvern og personvern som standardinnstilling. Offentlige myndigheter eller organer kan også foreta overføringer til offentlige myndigheter eller organer i tredjestater eller til internasjonale organisasjoner med tilsvarende oppgaver eller funksjoner, herunder på grunnlag av bestemmelser som skal innlemmes i administrative ordninger, f.eks. en programerklæring, som gir de registrerte håndhevbare og effektive rettigheter. Det bør innhentes godkjenning fra vedkommende tilsynsmyndighet når garantiene er fastsatt i administrative ordninger som ikke er rettslig bindende.
Article 42. Certification
1. The Member States, the supervisory authorities, the Board and the Commission shall encourage, in particular at Union level, the establishment of data protection certification mechanisms and of data protection seals and marks, for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors. The specific needs of micro, small and medium-sized enterprises shall be taken into account.
2. In addition to adherence by controllers or processors subject to this Regulation, data protection certification mechanisms, seals or marks approved pursuant to paragraph 5 of this Article may be established for the purpose of demonstrating the existence of appropriate safeguards provided by controllers or processors that are not subject to this Regulation pursuant to Article 3 within the framework of personal data transfers to third countries or international organisations under the terms referred to in point (f) of Article 46 (2). Such controllers or processors shall make binding and enforceable commitments, via contractual or other legally binding instruments, to apply those appropriate safeguards, including with regard to the rights of data subjects.
3. The certification shall be voluntary and available via a process that is transparent.
4. A certification pursuant to this Article does not reduce the responsibility of the controller or the processor for compliance with this Regulation and is without prejudice to the tasks and powers of the supervisory authorities which are competent pursuant to Article 55 or 56.
5. A certification pursuant to this Article shall be issued by the certification bodies referred to in Article 43 or by the competent supervisory authority, on the basis of criteria approved by that competent supervisory authority pursuant to Article 58(3) or by the Board pursuant to Article 63. Where the criteria are approved by the Board, this may result in a common certification, the European Data Protection Seal.
6. The controller or processor which submits its processing to the certification mechanism shall provide the certification body referred to in Article 43, or where applicable, the competent supervisory authority, with all information and access to its processing activities which are necessary to conduct the certification procedure.
7. Certification shall be issued to a controller or processor for a maximum period of three years and may be renewed, under the same conditions, provided that the relevant criteria continue to be met. Certification shall be withdrawn, as applicable, by the certification bodies referred to in Article 43 or by the competent supervisory authority where the criteria for the certification are not or are no longer met.
8. The Board shall collate all certification mechanisms and data protection seals and marks in a register and shall make them publicly available by any appropriate means.
1. Medlemsstatene, tilsynsmyndighetene, Personvernrådet og Kommisjonen skal, særlig på unionsplan, oppmuntre til at det opprettes mekanismer for personvernsertifisering samt personvernsegl og -merker med det som mål å påvise at de behandlingsansvarliges og databehandlernes behandlingsaktiviteter oppfyller kravene i denne forordning. Det skal tas hensyn til de særlige behovene til svært små, små og mellomstore bedrifter.
2. Mekanismer for personvernsertifisering, personvernsegl eller -merker som er godkjent i henhold til nr. 5 i denne artikkel, kan, i tillegg til at de overholdes av behandlingsansvarlige eller databehandlere som omfattes av denne forordning, fastsettes med det formål å påvise at det foreligger nødvendige garantier gitt av behandlingsansvarlige eller databehandlere som ikke omfattes av denne forordning i henhold til artikkel 3, i forbindelse med overføring av personopplysninger til tredjestater eller internasjonale organisasjoner på vilkårene nevnt i artikkel 46 nr. 2 bokstav f). Nevnte behandlingsansvarlige eller databehandlere skal, gjennom avtaler eller andre rettslig bindende virkemidler, inngå bindende og håndhevbare forpliktelser om å anvende nevnte nødvendige garantier, herunder for å ivareta de registrertes rettigheter.
3. Sertifiseringen skal være frivillig og tilgjengelig gjennom en åpen prosess.
4. En sertifisering i henhold til denne artikkel begrenser ikke den behandlingsansvarliges eller databehandlerens ansvar for å oppfylle kravene i denne forordning, og berører ikke oppgavene og myndigheten til tilsynsmyndighetene som har kompetanse i henhold til artikkel 55 eller 56.
5. En sertifisering i henhold til denne artikkel skal utstedes av sertifiseringsorganene nevnt i artikkel 43 eller av vedkommende tilsynsmyndighet på grunnlag av kriterier som er godkjent av nevnte vedkommende myndighet i henhold til artikkel 58 nr. 3, eller av Personvernrådet i henhold til artikkel 63. Dersom kriteriene er godkjent av Personvernrådet, kan dette føre til en felles sertifisering – det europeiske personvernsegl.
6. Den behandlingsansvarlige eller databehandleren som forelegger sin behandling for sertifiseringsmekanismen, skal gi sertifiseringsorganet nevnt i artikkel 43 eller, dersom det er relevant, vedkommende tilsynsmyndighet all informasjon samt tilgang til de behandlingsaktivitetene som er nødvendig for å gjennomføre sertifiseringen.
7. Sertifiseringen skal utstedes til en behandlingsansvarlig eller databehandler for en periode på høyst tre år og kan fornyes på samme vilkår, forutsatt at relevante kriterier fortsatt er oppfylt. Sertifiseringen skal tilbakekalles av sertifiseringsorganene nevnt i artikkel 43 eller av vedkommende tilsynsmyndighet, etter hva som er relevant, dersom kriteriene for sertifisering ikke lenger er oppfylt.
8. Personvernrådet skal samle alle sertifiseringsmekanismer og personvernsegl og -merker i et register, og skal gjøre dem offentlig tilgjengelig på egnet måte.
- EDPB: Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43
- Datatilsynet (DK): Veiledning for atferdsnormer og sertifiseringsordninger (pdf)
- Prop. 56 LS (2017–2018): Atferdsnormer og sertifisering
< Artikkel 41 | Artikkel 43 >