OVERFØRSEL TIL ET TREDJELAND
Certificerings- og certificeringsmekanismer
Certificerings- og certificeringsmekanismer er en form for yderligere beskyttelse i henhold til GDPR. Certificering er en form for værktøj, der kan anvendes til at bidrage til et højt databeskyttelsesniveau. Den kan også anvendes til at bevise, at behandlingen af personoplysninger foretages i overensstemmelse med GDPR. Certificering som et værktøj kan anvendes af både dataansvarlige og databehandlere.
Kriterierne for certificering er fastsat i certificeringsordningen
Der er nogle specifikke kriterier, der skal certificeres, og som er samlet i en såkaldt certificeringsordning. Ejeren og den person, der er ansvarlig for at udvikle certificeringsordningen, kan f.eks. være en offentlig myndighed, en akademisk institution eller en privat virksomhed.
Kriterierne i en certificeringsordning kan f.eks. vedrøre de organisatoriske og tekniske sikkerhedsforanstaltninger, som den certificerede operatør anvender. Certificering er et redskab, der understøtter princippet om ansvarlighed.
Akkrediteret og uafhængigt certificeringsorgan
Et af kravene for at blive certificeret og opnå et certifikat er, at en ansøgning til et akkrediteret og uafhængigt certificeringsorgan skal indgives af en person, der ønsker at blive certificeret. Formålet med et sådant certificeringsorgan er at undersøge, om ansøgeren opfylder kriterierne i certificeringsordningen. Dette kan bl.a. ske ved at gennemgå kontroldokumenter, udarbejde rapporter eller gennemføre samtaler med den ansøgende operatørs bemyndigede personale.
Nationalt akkrediteringsorgan
Hver EU-medlemsstat kan have et nationalt akkrediteringsorgan, som kan akkreditere certificeringsorganer i landet. Desuden kan databeskyttelsesmyndighederne i medlemsstaterne fastsætte kravene til en sådan akkreditering af certificeringsorganer.
EØS-dækkende kriterier
Hvis kriterierne skal anvendes i hele EØS, er det i stedet op til Det Europæiske Databeskyttelsesråd (EDPB) at godkende kriterierne.
Databeskyttelsesrådet har offentliggjort retningslinjer for akkrediteringsorganer: Vejledning 4/2018 om akkreditering af certificeringsorganer i henhold til artikel 43 i den generelle forordning om databeskyttelse (2016/679).
Europæisk databeskyttelsesmærke
Den operatør, der opnår en godkendt certificering, får et europæisk databeskyttelsesmærke. Dette databeskyttelsesmærke kan anvendes til behandling af personoplysninger i hele EU/EØS og er til gavn for aktører, der opererer i flere medlemsstater.
Kan udgøre en konkurrencefordel
Desuden er det en konkurrencemæssig fordel at have et sådant certifikat for forarbejdningsvirksomheder. Dette skyldes, at certifikatet derefter bekræfter, at databehandleren har givet tilstrækkelige garantier i overensstemmelse med databeskyttelsesforordningens artikel 28, stk. 1. I henhold til denne bestemmelse er dataansvarlige forpligtet til kun at inddrage databehandlere, der har givet tilstrækkelige garantier for at gennemføre passende tekniske og organisatoriske foranstaltninger, således at behandlingen opfylder kravene i GDPR og sikrer beskyttelsen af den registreredes rettigheder.
Certifikatets retlige betydning
Et certifikat betyder, at behandlingen opfylder kriterierne i en certificeringsordning, hvilket fremgår af vurderinger og den dokumentation, som certificeringen er baseret på. På den anden side påviser den ikke, at en individuel behandling af personoplysninger faktisk opfylder kravene i databeskyttelsesforordningen.
På den anden side skal der være et højt databeskyttelsesniveau for behandling af personoplysninger, der er omfattet af en certificering. Dette er noget, som databeskyttelsesmyndighederne er særligt opmærksomme på, hvis en certificeret behandling vil være underlagt tilsyn, bøder eller andre korrigerende foranstaltninger.
Overførsel af personoplysninger til tredjelande med certificering som overførselsværktøj
En modtager af personoplysninger i et tredjeland kan have tilsluttet sig en godkendt certificeringsordning. I sådanne tilfælde kan det være tilladt at overføre personoplysninger til modtageren i det pågældende tredjeland. Dette kræver, at certifikatet pålægger den aktør, der modtager personoplysningerne, forpligtelser, der kan håndhæves og er retligt bindende.
Retningslinjer for certificering
Databeskyttelsesrådet har udarbejdet retningslinjer for certificering som grundlag for overførsel af personoplysninger til tredjelande. De giver mere vejledning og information om kravene til en certificeringsordning som et overførselsværktøj. Jeg riktlinjerna framgår även information om hur man går tillväga för att få en certifieringsordning godkänd. här kan du läsa EDPB: s riktlinjer (07/2022) om certifiering som överföringsverktyg (Engelsk version).
OPLYSNINGER OM DEN GENERELLE FORORDNING OM DATABESKYTTELSE
Bindende virksomhedsregler er en anden sikkerhedsforanstaltning i forbindelse med overførsler til tredjelande
En koncern kan fastsætte bindende virksomhedsregler som en yderligere sikkerhedsforanstaltning i forbindelse med overførsel af personoplysninger til tredjelande. Derefter skal reglerne godkendes af den ansvarlige databeskyttelsesmyndighed. Andre EU/EØS-databeskyttelsesmyndigheder vil få mulighed for at udtale sig om reglerne. Det samme gælder for Det Europæiske Databeskyttelsesråd. Hvis det godkendes af den ledende databeskyttelsesmyndighed, kan virksomheden overføre personoplysningerne på grundlag af de bindende virksomhedsregler.