Overfør til et tredje land
Sertifiserings- og sertifiseringsmekanismer
Sertifiserings- og sertifiseringsmekanismer er en type ekstra beskyttelse under GDPR. Sertifisering er en form for verktøy som kan brukes til å bidra til et høyt nivå av databeskyttelse. Det kan også brukes til å bevise at behandlingen av personopplysninger utføres i samsvar med GDPR. Sertifisering som et verktøy kan brukes av både kontrollere og prosessorer.
Kriterier for sertifisering er fastsatt i sertifiseringsordningen
Det er noen spesifikke kriterier som skal sertifiseres, som er gruppert sammen i en såkalt sertifiseringsordning. Eieren og den som er ansvarlig for å utvikle sertifiseringsordningen kan for eksempel være en offentlig myndighet, en akademisk institusjon eller et privat selskap.
Kriteriene i en sertifiseringsordning kan for eksempel være knyttet til de organisatoriske og tekniske sikkerhetstiltakene som den sertifiserte operatøren anvender. Sertifisering er et verktøy som underbygger prinsippet om ansvarlighet.
Akkreditert og uavhengig sertifiseringsorgan
Et av kravene for å bli sertifisert og få et sertifikat er at en søknad til et akkreditert og uavhengig sertifiseringsorgan må gjøres av en person som ønsker å bli sertifisert. Formålet med et slikt sertifiseringsorgan er å undersøke om søkeren oppfyller kriteriene i sertifiseringsordningen. Dette kan blant annet gjøres ved å gjennomgå kontrolldokumenter, utarbeide rapporter eller gjennomføre intervjuer med autorisert personale hos søkeroperatøren.
Nasjonalt akkrediteringsorgan
Hvert EU-medlemsland kan ha et nasjonalt akkrediteringsorgan, som kan akkreditere sertifiseringsorganer i landet. I tillegg kan personvernmyndighetene i medlemsstatene fastsette kravene til slik akkreditering av sertifiseringsorganer.
Hvis kriteriene er ment å brukes i hele EØS, er det i stedet for European Data Protection Board (EDPB) å godkjenne kriteriene.
EDPB har publisert retningslinjer for akkrediteringsorganer: Retningslinjer 4/2018 om akkreditering av sertifiseringsorganer i henhold til artikkel 43 i personvernforordningen (2016/679).
Europeisk segl for databeskyttelse
Operatøren som får en godkjent sertifisering, mottar et europeisk personvernsegl. Dette personvernsegl kan anvendes på behandling av personopplysninger i hele EU/EØS, og er gunstig for aktører som opererer i flere medlemsstater.
I tillegg er det et konkurransefortrinn å ha et slikt sertifikat for prosessorer. Dette skyldes at sertifikatet deretter bekrefter at databehandleren har gitt tilstrekkelige garantier i samsvar med artikkel 28 nr. 1 i GDPR. I henhold til denne klausulen er behandlingsansvarlige pålagt å engasjere bare prosessorer som har gitt tilstrekkelige garantier for å gjennomføre hensiktsmessige tekniske og organisatoriske tiltak slik at behandlingen vil oppfylle kravene i GDPR og sikre beskyttelse av rettighetene til den registrerte.
Den juridiske betydningen av et sertifikat
Et sertifikat betyr at behandlingen oppfyller kriteriene for en sertifiseringsordning, noe som fremgår av vurderinger og dokumentasjonen som sertifiseringen er basert på. På den annen side viser det ikke at en individuell behandling av personopplysninger faktisk oppfyller kravene i GDPR.
På den annen side må det være et høyt nivå av databeskyttelse for behandling av personopplysninger som omfattes av en sertifisering. Dette er noe som DPAer legger særlig vekt på, i tilfelle en sertifisert behandling vil bli underlagt tilsyn, bøter eller andre korrigerende tiltak.
Overføring av personopplysninger til tredjeland med sertifisering som overføringsverktøy
En mottaker av personopplysninger i en tredjestat kan ha sluttet seg til en godkjent sertifiseringsordning. I slike tilfeller kan det være tillatt å overføre personopplysninger til mottakeren i det tredjelandet. Dette krever at sertifikatet pålegger rettskraftige og juridisk bindende forpliktelser for den aktøren som mottar personopplysningene.
Det er retningslinjer for sertifisering som grunnlag for overføring av personopplysninger til tredjeland, utviklet av EDPB. De gir mer veiledning og informasjon om kravene til en sertifiseringsordning som overføringsverktøy. Retningslinjene gir også informasjon om hvordan man kan få godkjenning for en sertifiseringsordning, og viser til EDPB-retningslinjene (07/2022) om sertifisering som overføringsverktøy (engelsk versjon).
Informasjon om GDPR
Bindende selskapsregler er en annen sikkerhetsforanstaltning for overføringer til tredjeländer
Et konsern kan etablere BCR som en ekstra beskyttelse for overføring av personopplysninger til tredjeland. Etter det må reglene godkjennes av ansvarlig DPA. Andre personvernmyndigheter i EU/EØS vil ha mulighet til å uttale seg om reglene. Det samme gjelder for European Data Protection Board. Hvis godkjent av den ledende DPA-en, kan selskapet overføre personopplysningene på grunnlag av BCR-ene.