GDPR Learning Hub

Menu
  • Kurser
  • Kunskap
  • Checklistor
  • Quiz
  • Mallar
  • Databas
  • Hemsidan är under konstruktion

Överföring till tredjeland

Certifiering och certifieringsmekanismer

Certifiering och certifieringsmekanismer är en typ av extra skyddsåtgärd enligt GDPR. En certifiering utgör en form av verktyg som kan bli använd för att bidra till ett starkt dataskydd. Det kan även bli använt för att styrka att behandlingen av personuppgifterna sker i enlighet med GDPR. Certifiering som verktyg kan bli använt av både personuppgiftsansvariga och personuppgiftsbiträden.

Kriterier för certifiering framgår i certifieringsordningen

Det finns en del specifika kriterier för att bli certifierad, och dessa är samlade i en så kallad certifieringsordning. Den som äger och ansvarar för framtagning av certifieringsordningen, kan exempelvis vara en myndighet, akademisk institution eller ett privat företag.

Exempelvis kan kriterier i en certifieringsordning avse vilka organisatoriska och tekniska säkerhetsåtgärder som den certifierade aktören tillämpar. Certifieringen är ett verktyg som styrker principen om ansvarsskyldighet.

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Ackrediterat och oberoende certifieringsorgan

Ett av kraven för att bli certifierad och erhålla ett certifikat, är att en ansökan hos ett ackrediterat och oberoende certifieringsorgan behöver ske av den som vill bli certifierad. Syftet med ett sådant certifieringsorgan, är att de undersöker huruvida ansökanden uppfyller certifieringsordningens kriterier. Detta kan bland annat ske genom att certifieringsorganet granskar kontrolldokument, upprättade rapporter eller utför intervjuer med behörig personal hos den ansökande aktören.

Nationellt ackrediteringsorgan

Varje medlemsland inom EU kan ha ett nationellt ackrediteringsorgan, som kan ackreditera certifieringsorgan i landet. Vidare kan dataskyddsmyndigehterna i medlemsländerna bestämma kraven som ska gälla för sådan ackreditering av certifieringsorgan.

Om kriterierna är avsedda att bli använda inom hela EES-området, är det istället den Europeiska dataskyddsstyrelsen (EDPB) som ska godkänna kriterierna.

EDPB har publicerat riktlinjer för ackrediteringsorgan: Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)

Europeiskt dataskyddssigill ("European data protection seal")

Den aktör som får en godkänd certifiering, får ett Europeiskt dataskyddssigill (”European data protection seal”). Detta dataskyddssigill kan bli tillämpat för behandling av personuppgifter inom hela EU/EES-området, och är fördelaktigt för aktörer som har verksamhet i flera medlemsländer. 

Dessutom är det en konkurrensfördel att ha ett sådant certifikat för personuppgiftsbiträden. Detta beror på att certifikatet då tillstyrker att personuppgiftsbiträdet har lämnat tillräckliga garantier i enlighet med artikel 28 punkt 1 i GDPR. Enlig den klausulen ska personuppgiftsansvariga enbart anlita personuppgiftsbiträden som har lämnat tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder så att behandlingen uppfyller kraven i GDPR och säkerställer att den registrerades rättigheter skyddas.

Den rättsliga betydelsen av ett certifikat

Ett certifikat innebär att behandlingen uppfyller kriterierna i en certifieringsordning, vilket blir styrkt genom bedömningar och dokumentationen som certifieringen är baserad på. Däremot visar det inte att en enskild behandling av personuppgifter faktiskt uppfyller kraven i GDPR. 

Däremot ska det föreligga en hög nivå av dataskydd för behandling av personuppgifter som är omfattade av en certifiering. Detta är något som dataskyddsmyndigheter särskilt beaktar, ifall en certifierad behandling skulle bli föremål för tillsyn, sanktionsavgifter eller andra korrigerande åtgärder.

Överföring av personuppgifter till tredje land med certifiering som överföringsverktyg

En mottagare av personuppgifter i ett tredjeland kan ha anslutit sig till en godkänd certifieringsordning. Vid sådana fall kan det vara tillåtet att överföra personuppgifter till mottagaren i det tredjelandet. En förutsättning för detta är att certifikatet innebär verkställbara och rättsligt bindande skyldigheter för den aktör som tar emot personuppgifterna.

Det finns riktlinjer om certifiering som grund för överföring av personuppgifter till tredjeland, som EDPB har tagit fram. De innehåller mer vägledning och information om kraven för en certifieringsordning som ett överföringsverktyg. I riktlinjerna framgår även information om hur man går tillväga för att få en certifieringsordning godkänd. här kan du läsa EDPB:s riktlinjer (07/2022) om certifiering som överföringsverktyg (engelsk version). 

 

Info om GDPR

Bindande företagsbestämmelser är en annan skyddsåtgärd vid överföringar till tredjeland

En företagskoncern kan upprätta bindande företagsbestämmelser som extra skyddsåtgärd vid överföringar av personuppgifter till tredjeland. Därefter måste reglerna bli godkända av den ansvariga dataskyddsmyndigheten. Övriga dataskyddsmyndigheter inom EU/EES-området får möjlighet att ge sitt yttrande gällande bestämmelserna. Detsamma gäller den europeiska dataskyddsstyrelsen. Om de blir godkända av den ansvariga dataskyddsmyndigheten, får företaget överföra personuppgifterna med stöd i de bindande företagsbestämmelserna. 

Vill du lära dig mer?

Klicka här
Rulla till toppen