כיצד להוכיח ציות ל-GDPR סעיף 42

GDPR סעיף 42 מתאר את יכולתו של ארגון להשיג רמה של הסמכה מרצון, הקשורה לפעולות עיבוד הנתונים שלו.

הסמכה אינה חובה, אך מציינת את מחויבותו של ארגון לשפר ולקדם את יכולתו לעמוד בהתחייבויות רגולטוריות וחוקיות שונות הקשורות ל-GDPR.

חשוב לציין שההסמכה אינה מבטיחה בשום אופן עמידה בדרישות, או מפחיתה בשום אופן את המחויבות של ארגון כלפי האנשים המושפעים מפעולת עיבוד הנתונים שלו.

GDPR סעיף 42 טקסט משפטי

גרסת GDPR של האיחוד האירופי

תעודה

1. המדינות החברות, רשויות הפיקוח, המועצה והנציבות יעודדו, במיוחד ברמת האיחוד, הקמת מנגנוני אישור הגנת מידע ושל חותמות וסימנים להגנת מידע, לצורך הוכחת ציות לתקנה זו של פעולות עיבוד על ידי בקרים ומעבדים. הצרכים הספציפיים של ארגונים זעירים, קטנים ובינוניים יילקחו בחשבון.
2. בנוסף לציות של בקרים או מעבדים הכפופים לתקנה זו, ניתן להקים מנגנוני אישור הגנת מידע, חותמות או סימנים שאושרו בהתאם לסעיף 5 לסעיף זה במטרה להוכיח את קיומם של אמצעי הגנה מתאימים הניתנים על ידי בקרים או מעבדים שאינם בכפוף לתקנה זו בהתאם לסעיף 3 במסגרת העברת נתונים אישיים למדינות שלישיות או לארגונים בינלאומיים לפי התנאים האמורים בנקודה (ו) של סעיף 46(2). בקרים או מעבדים כאלה יקבלו התחייבויות מחייבות וניתנות לאכיפה, באמצעות מכשירים חוזיים או מסמכים משפטיים מחייבים אחרים, ליישם את אותם אמצעי הגנה מתאימות, לרבות בכל הנוגע לזכויות של נושאי מידע.
3. ההסמכה תהיה וולונטרית וזמינה בתהליך שקוף.
4. אישור לפי סעיף זה אינו מפחית את אחריותו של הבקר או המעבד לעמידה בתקנה זו ואינו פוגע במשימות ובסמכויות של רשויות הפיקוח המוסמכות לפי סעיף 55 או 56.
5. הסמכה לפי סעיף זה תינתן על ידי גופי ההסמכה האמורים בסעיף 43 או על ידי רשות הפיקוח המוסמכת, על בסיס קריטריונים שאושרו על ידי אותה רשות פיקוח מוסמכת בהתאם לסעיף 58(3) או על ידי המועצה לפי סעיף 63. כאשר הקריטריונים מאושרים על ידי המועצה, הדבר עשוי להביא לאישור משותף, חותם הגנת הנתונים האירופאי.
6. הבקר או המעבד אשר מגישים את עיבודו למנגנון ההסמכה יספקו לגוף האישור האמור בסעיף 43, או במקרה הרלוונטי, לרשות הפיקוח המוסמכת, את כל המידע והגישה לפעילויות העיבוד שלו הנחוצות לניהול הליך האישור.
7. ההסמכה תינתן לבקר או למעבד לתקופה מקסימלית של שלוש שנים וניתנת לחידושה, באותם תנאים, ובלבד שהדרישות הרלוונטיות ימשיכו להתקיים. ההסמכה תבוטל, לפי העניין, על ידי גופי ההסמכה הנזכרים בסעיף 43 או על ידי רשות הפיקוח המוסמכת כאשר הדרישות להסמכה אינן או אינן מתקיימות עוד.
8. המועצה תרכז את כל מנגנוני האישורים וחותמות וסימני הגנת המידע במרשם ותהפוך אותם לזמינים לציבור בכל אמצעי מתאים.

גרסת GDPR בבריטניה

תעודה

1. הממונה יעודד הקמת מנגנוני אישור הגנת מידע ושל חותמות וסימני הגנת מידע, לצורך הוכחת עמידה בתקנה זו של פעולות עיבוד של בקרים ומעבדים. הצרכים הספציפיים של ארגונים זעירים, קטנים ובינוניים יילקחו בחשבון.
2. בנוסף לציות של בקרים או מעבדים הכפופים לתקנה זו, ניתן להקים מנגנוני אישור הגנת מידע, חותמות או סימנים שאושרו בהתאם לסעיף 5 לסעיף זה במטרה להוכיח את קיומם של אמצעי הגנה מתאימים הניתנים על ידי בקרים או מעבדים שאינם בכפוף לתקנה זו בהתאם לסעיף 3 במסגרת העברת נתונים אישיים למדינות שלישיות או לארגונים בינלאומיים לפי התנאים האמורים בנקודה (ו) של סעיף 46(2). בקרים או מעבדים כאלה יקבלו התחייבויות מחייבות וניתנות לאכיפה, באמצעות מכשירים חוזיים או מסמכים משפטיים מחייבים אחרים, ליישם את אותם אמצעי הגנה מתאימות, לרבות בכל הנוגע לזכויות של נושאי מידע.
3. ההסמכה תהיה וולונטרית וזמינה בתהליך שקוף.
4. אישור לפי סעיף זה אינו מפחית מאחריותו של הבקר או המעבד לקיום תקנה זו ואינו פוגע במשימות ובסמכויות הממונה.
5. אישור לפי סימן זה יינתן על ידי גופי ההסמכה האמורים בסעיף 43 או על ידי הממונה, על בסיס קריטריונים שאושרו על ידי הממונה לפי סעיף 58(3).
6. הבקר או המעבד המגישים את עיבודו למנגנון ההסמכה יספקו לגוף ההסמכה האמור בסעיף 43, או במקרה הרלוונטי, לממונה, את כל המידע והגישה לפעילויות העיבוד שלו הנחוצות לביצוע הליך ההסמכה.
7. ההסמכה תינתן לבקר או למעבד לתקופה מקסימלית של שלוש שנים וניתנת לחידושה, באותם תנאים, ובלבד שהדרישות הרלוונטיות ימשיכו להתקיים. ההסמכה תבוטל, לפי העניין, על ידי גופי ההסמכה האמורים בסעיף 43 או על ידי הממונה, כאשר הדרישות להסמכה אינן או אינן מתקיימות עוד.
8. הממונה יאסוף את כל מנגנוני האישור וחותמות וסימני הגנת המידע במרשם ויהפוך אותם לזמינים לציבור בכל אמצעי מתאים.