RGPD L'article 42 décrit la capacité d'une organisation à obtenir un niveau de certification volontaire, lié à ses opérations de traitement de données.
La certification n'est pas obligatoire, mais dénote l'engagement d'une organisation à améliorer et à promouvoir sa capacité à respecter diverses obligations réglementaires et légales liées au RGPD.
Il est important de noter que la certification ne garantit en aucun cas la conformité, ni ne réduit en aucune manière l'obligation d'une organisation envers les personnes concernées par son opération de traitement de données.
Certifications
- Les États membres, les autorités de contrôle, le Conseil et la Commission encouragent, notamment au niveau de l'Union, la mise en place de mécanismes de certification en matière de protection des données et de labels et marques de protection des données, dans le but de démontrer le respect du présent règlement des traitements par contrôleurs et sous-traitants. Les besoins spécifiques des micro, petites et moyennes entreprises seront pris en compte.
- Outre l'adhésion des responsables du traitement ou des sous-traitants soumis au présent règlement, des mécanismes de certification, des sceaux ou des marques en matière de protection des données approuvés conformément au paragraphe 5 du présent article peuvent être établis dans le but de démontrer l'existence de garanties appropriées fournies par les responsables du traitement ou les sous-traitants qui ne sont pas soumises au présent règlement en application de l'article 3 dans le cadre de transferts de données à caractère personnel vers des pays tiers ou des organisations internationales dans les conditions visées à l'article 46, paragraphe 2, point f). Ces responsables du traitement ou sous-traitants doivent prendre des engagements contraignants et exécutoires, par le biais d'instruments contractuels ou d'autres instruments juridiquement contraignants, à appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.
- La certification doit être volontaire et disponible via un processus transparent.
- Une certification en vertu du présent article ne réduit pas la responsabilité du responsable du traitement ou du sous-traitant quant au respect du présent règlement et est sans préjudice des tâches et des pouvoirs des autorités de contrôle compétentes en vertu de l'article 55 ou 56.
- Une certification en vertu du présent article est délivrée par les organismes de certification visés à l'article 43 ou par l'autorité de contrôle compétente, sur la base de critères approuvés par cette autorité de contrôle compétente en vertu de l'article 58, paragraphe 3, ou par le comité en vertu de l'article 63. XNUMX. Lorsque les critères sont approuvés par le Conseil, cela peut donner lieu à une certification commune, le label européen de protection des données.
- Le responsable du traitement ou le sous-traitant qui soumet son traitement au mécanisme de certification fournit à l'organisme de certification visé à l'article 43, ou le cas échéant, à l'autorité de contrôle compétente, toutes les informations et l'accès à ses activités de traitement nécessaires à la conduite de la procédure de certification.
- La certification est délivrée au responsable du traitement ou au sous-traitant pour une durée maximale de trois ans et peut être renouvelée, dans les mêmes conditions, pour autant que les exigences y afférentes continuent d'être remplies. La certification est retirée, selon le cas, par les organismes de certification visés à l'article 43 ou par l'autorité de contrôle compétente lorsque les exigences de la certification ne sont pas ou plus remplies.
- Le Conseil rassemble tous les mécanismes de certification et les labels et marques de protection des données dans un registre et les rend publics par tout moyen approprié.
Certifications
- Le commissaire encouragera la mise en place de mécanismes de certification en matière de protection des données et de labels et marques de protection des données, dans le but de démontrer le respect du présent règlement des opérations de traitement par les responsables du traitement et les sous-traitants. Les besoins spécifiques des micro, petites et moyennes entreprises seront pris en compte.
- Outre l'adhésion des responsables du traitement ou des sous-traitants soumis au présent règlement, des mécanismes de certification, des sceaux ou des marques en matière de protection des données approuvés conformément au paragraphe 5 du présent article peuvent être établis dans le but de démontrer l'existence de garanties appropriées fournies par les responsables du traitement ou les sous-traitants qui ne sont pas soumises au présent règlement en application de l'article 3 dans le cadre de transferts de données à caractère personnel vers des pays tiers ou des organisations internationales dans les conditions visées à l'article 46, paragraphe 2, point f). Ces responsables du traitement ou sous-traitants doivent prendre des engagements contraignants et exécutoires, par le biais d'instruments contractuels ou d'autres instruments juridiquement contraignants, à appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.
- La certification doit être volontaire et disponible via un processus transparent.
- Une certification en vertu du présent article ne réduit pas la responsabilité du responsable du traitement ou du sous-traitant quant au respect du présent règlement et est sans préjudice des tâches et des pouvoirs du commissaire.
- Une certification en vertu du présent article est délivrée par les organismes de certification visés à l'article 43 ou par le commissaire, sur la base de critères approuvés par le commissaire conformément à l'article 58, paragraphe 3.
- Le responsable du traitement ou le sous-traitant qui soumet son traitement au mécanisme de certification fournit à l'organisme de certification visé à l'article 43, ou le cas échéant, au commissaire, toutes les informations et l'accès à ses activités de traitement nécessaires à la conduite de la procédure de certification.
- La certification est délivrée au responsable du traitement ou au sous-traitant pour une durée maximale de trois ans et peut être renouvelée, dans les mêmes conditions, pour autant que les exigences y afférentes continuent d'être remplies. La certification est retirée, selon le cas, par les organismes de certification visés à l'article 43 ou par le commissaire, lorsque les exigences de la certification ne sont pas ou plus remplies.
- Le commissaire rassemble tous les mécanismes de certification et les labels et marques de protection des données dans un registre et les rend publics par tout moyen approprié.
Nous sommes économiques et rapides
La certification peut être obtenue de deux manières :
Pour qu'une organisation obtienne la certification, elle doit être évaluée conformément à divers critères de certification, approuvés par une autorité compétente.
Tous les critères devraient se concentrer sur vérifiabilité, importanceet pertinence du traitement des données de l’organisation.
Trois éléments principaux du traitement des données d'une organisation doivent être inclus dans le processus de certification :
Dans cette section, nous parlons des articles 42 (1), 42 (2), 42 (3), 42 (4), 42 (5), 42 (6), 42 (7), 42 (8) du RGPD.
Les organisations doivent se soumettre à un exercice de cartographie répertoriant les facteurs internes et externes liés à la mise en œuvre d'un PIMS.
L'organisation doit être en mesure de comprendre comment elle va atteindre ses objectifs en matière de protection de la vie privée, et tout problème qui fait obstacle à la protection des informations personnelles doit être identifié et résolu.
Les organisations doivent également :
Article RGPD | Article ISO 27701 | Clauses complémentaires ISO 27701 |
---|---|---|
RGPD de l'UE, articles 42 (1) à 42 (8) | ISO 27701 5.2.1 | Aucun |
La plateforme ISMS.online vous permet de créer, communiquer, contrôler et collaborer en toute simplicité. Avec ISMS.online, votre conformité devient « comme d'habitude », toutes vos activités créant des pistes d'audit claires.
Cela signifie que vous aborderez chaque audit en toute confiance ; sachant que vous avez supprimé le risque d'erreur tout en gagnant du temps et en réduisant les coûts.
En savoir plus par réserver une courte démo.
Cela nous aide à adopter un comportement positif qui fonctionne pour nous.
& notre culture.