BBP Artikel 42 skets 'n organisasie se vermoë om 'n vlak van vrywillige sertifisering te verkry, wat verband hou met hul dataverwerkingsbedrywighede.
Sertifisering is nie verpligtend nie, maar dui op 'n organisasie se verbintenis tot die verbetering en bevordering van hul vermoë om verskeie regulatoriese en wetlike verpligtinge met betrekking tot GDPR na te kom.
Dit is belangrik om daarop te let dat sertifisering op geen manier voldoening waarborg nie, of op enige manier 'n organisasie se verpligting teenoor die individue wat deur sy dataverwerkingsoperasie geraak word, verminder nie.
sertifisering
- Die lidlande, die toesighoudende owerhede, die Raad en die Kommissie sal, veral op Unievlak, die vestiging van databeskermingsertifiseringsmeganismes en databeskermingseëls en -merke aanmoedig met die doel om voldoening aan hierdie Regulasie van verwerkingsbedrywighede aan te toon deur beheerders en verwerkers. Die spesifieke behoeftes van mikro-, klein- en mediumgrootte ondernemings sal in ag geneem word.
- Benewens die nakoming deur beheerders of verwerkers onderhewig aan hierdie Regulasie, kan databeskermingsertifiseringsmeganismes, -seëls of -merke wat ooreenkomstig paragraaf 5 van hierdie Artikel goedgekeur is ingestel word met die doel om die bestaan van toepaslike voorsorgmaatreëls te demonstreer wat deur beheerders of verwerkers verskaf word wat nie onderhewig aan hierdie Regulasie ingevolge Artikel 3 binne die raamwerk van persoonlike data-oordragte na derde lande of internasionale organisasies ingevolge die bepalings bedoel in punt (f) van Artikel 46(2). Sodanige beheerders of verwerkers sal bindende en afdwingbare verbintenisse maak, via kontraktuele of ander wetlik bindende instrumente, om daardie toepaslike voorsorgmaatreëls toe te pas, insluitend met betrekking tot die regte van datasubjekte.
- Die sertifisering sal vrywillig en beskikbaar wees via 'n proses wat deursigtig is.
- ’n Sertifisering ingevolge hierdie Artikel verminder nie die verantwoordelikheid van die kontroleerder of die verwerker vir die nakoming van hierdie Regulasie nie en is sonder benadeling van die take en bevoegdhede van die toesighoudende owerhede wat ingevolge Artikel 55 of 56 bevoegd is.
- 'n Sertifisering ingevolge hierdie Artikel word uitgereik deur die sertifiseringsliggame bedoel in Artikel 43 of deur die bevoegde toesighoudende owerheid, op grond van kriteria goedgekeur deur daardie bevoegde toesighoudende owerheid ooreenkomstig Artikel 58(3) of deur die Raad ooreenkomstig artikel 63. Waar die kriteria deur die Raad goedgekeur word, kan dit lei tot 'n gemeenskaplike sertifisering, die Europese Databeskermingseël.
- Die kontroleerder of verwerker wat sy verwerking aan die sertifiseringsmeganisme voorlê, moet die sertifiseringsliggaam waarna in Artikel 43 verwys word, of waar van toepassing, die bevoegde toesighoudende owerheid, voorsien van alle inligting en toegang tot sy verwerkingsaktiwiteite wat nodig is om die sertifiseringsprosedure uit te voer.
- Sertifisering sal vir 'n maksimum tydperk van drie jaar aan 'n kontroleerder of verwerker uitgereik word en kan onder dieselfde voorwaardes hernu word, mits daar steeds aan die relevante vereistes voldoen word. Sertifisering sal, soos van toepassing, teruggetrek word deur die sertifiseringsliggame waarna in Artikel 43 verwys word of deur die bevoegde toesighoudende owerheid waar die vereistes vir die sertifisering nie of nie meer nagekom word nie.
- Die Raad sal alle sertifiseringsmeganismes en databeskermingseëls en -merke in 'n register versamel en sal dit op enige toepaslike wyse publiek beskikbaar stel.
sertifisering
- Die Kommissaris sal die vestiging van databeskermingsertifiseringsmeganismes en databeskermingseëls en -merke aanmoedig met die doel om voldoening aan hierdie Regulasie van verwerkingsbedrywighede deur beheerders en verwerkers te demonstreer. Die spesifieke behoeftes van mikro-, klein- en mediumgrootte ondernemings sal in ag geneem word.
- Benewens die nakoming deur beheerders of verwerkers onderhewig aan hierdie Regulasie, kan databeskermingsertifiseringsmeganismes, -seëls of -merke wat ooreenkomstig paragraaf 5 van hierdie Artikel goedgekeur is ingestel word met die doel om die bestaan van toepaslike voorsorgmaatreëls te demonstreer wat deur beheerders of verwerkers verskaf word wat nie onderhewig aan hierdie Regulasie ingevolge Artikel 3 binne die raamwerk van persoonlike data-oordragte na derde lande of internasionale organisasies ingevolge die bepalings bedoel in punt (f) van Artikel 46(2). Sodanige beheerders of verwerkers sal bindende en afdwingbare verbintenisse maak, via kontraktuele of ander wetlik bindende instrumente, om daardie toepaslike voorsorgmaatreëls toe te pas, insluitend met betrekking tot die regte van datasubjekte.
- Die sertifisering sal vrywillig en beskikbaar wees via 'n proses wat deursigtig is.
- 'n Sertifisering ingevolge hierdie Artikel verminder nie die verantwoordelikheid van die kontroleerder of die verwerker vir nakoming van hierdie Regulasie nie en is sonder benadeling van die take en bevoegdhede van die Kommissaris.
- 'n Sertifisering ingevolge hierdie Artikel word uitgereik deur die sertifiseringsliggame waarna in Artikel 43 verwys word of deur die Kommissaris, op grond van kriteria wat deur die Kommissaris ingevolge Artikel 58(3) goedgekeur is.
- Die kontroleerder of verwerker wat sy verwerking aan die sertifiseringsmeganisme voorlê, moet die sertifiseringsliggaam waarna in Artikel 43 verwys word, of waar van toepassing, die Kommissaris voorsien van alle inligting en toegang tot sy verwerkingsaktiwiteite wat nodig is om die sertifiseringsprosedure uit te voer.
- Sertifisering sal vir 'n maksimum tydperk van drie jaar aan 'n kontroleerder of verwerker uitgereik word en kan onder dieselfde voorwaardes hernu word, mits daar steeds aan die relevante vereistes voldoen word. Sertifisering sal teruggetrek word, soos van toepassing, deur die sertifiseringsliggame waarna in Artikel 43 verwys word of deur die Kommissaris, waar die vereistes vir die sertifisering nie of nie meer nagekom word nie.
- Die Kommissaris sal alle sertifiseringsmeganismes en databeskermingseëls en -merke in 'n register versamel en sal dit op enige toepaslike wyse publiek beskikbaar stel.
Sertifisering kan op twee maniere verkry word:
Om vir 'n organisasie sertifisering te verkry, moet hulle geassesseer word in ooreenstemming met verskeie sertifiseringskriteria, wat deur 'n toepaslike owerheid goedgekeur is.
Alle kriteria moet fokus op die verifieerbaarheid, betekenis, en geskiktheid van die organisasie se dataverwerkingsoperasie.
Drie hoofelemente van 'n organisasie se dataverwerking moet by die sertifiseringsproses ingesluit word:
In hierdie afdeling praat ons oor GDPR Artikels 42 (1), 42 (2), 42 (3), 42 (4), 42 (5), 42 (6), 42 (7), 42 (8)
Organisasies moet 'n karteringsoefening ondergaan wat beide interne en eksterne faktore wat verband hou met die implementering van 'n PIBS lys.
Die organisasie moet in staat wees om te verstaan hoe dit sy privaatheidsbeskermingsuitkomste gaan bereik, en enige kwessies wat in die pad staan van die beveiliging van PII moet geïdentifiseer en aangespreek word.
Organisasies moet ook:
| GDPR artikel | ISO 27701-klousule | ISO 27701 Ondersteunende klousules |
|---|---|---|
| EU GDPR artikels 42 (1) tot 42 (8) | ISO 27701 5.2.1 | Geen |
Die ISMS.online platform verseker dat jy met gemak kan skep, kommunikeer, beheer en saamwerk. Met ISMS.online word jou nakoming 'besigheid soos gewoonlik' met al jou aktiwiteite wat duidelike ouditroetes skep.
Dit beteken dat jy elke oudit met vertroue sal benader; wetende dat jy die risiko van foute verwyder het terwyl jy tyd bespaar en koste verminder.
Vind meer uit deur bespreek 'n kort demo.
Dit help om ons gedrag op 'n positiewe manier te dryf wat vir ons werk
& ons kultuur.
