Hoppa till innehåll på sidan

Certifieringar

Med dataskyddsförordningen (GDPR) infördes möjligheten att inrätta certifieringsordningar.

Certifieringsordningar innehåller kriterier som personuppgiftsansvariga och personuppgiftsbiträden kan tillämpa för att visa att de lever upp till dataskyddsförordningens skyldigheter och principen om ansvarsskyldighet. Kriterierna i en certifieringsordning kan exempelvis handla om vilka tekniska och organisatoriska skyddsåtgärder som en personuppgiftsansvarig ska införa.

Om kriterierna i en certifieringsordning uppfylls kan en personuppgiftsansvarig eller ett personuppgiftsbiträde bli certifierad och får ett certifikat. Certifikatet utfärdas av ett ackrediterat certifieringsorgan som intygar att en personuppgiftsansvarig eller ett personuppgiftsbiträde gått igenom certifieringsorganets prövning. Eftersom kriterierna i certifieringsordningarna måste godkännas av behörig tillsynsmyndighet, för svensk del IMY eller Europeiska datasskyddsstyrelsen (EDPB), säkerställs en hög nivå av dataskydd för de personuppgiftsbehandlingar som omfattas av ett certifikat.

Godkännande av EDPB

För att en certifieringsordning ska kunna godkännas av EDPB måste dess kriterier kunna tillämpas i hela EES-området och ta hänsyn till nationell dataskyddslagstiftning. En personuppgiftsansvarig som är certifierad enligt en godkänd certifieringsordning får ett så kallat Europeiskt dataskyddssigill ("European data protection seal"). Dataskyddssigillet kan användas för personuppgiftsbehandlingar i hela EES-området och lämpar sig därför särskilt väl för personuppgiftsansvariga eller personuppgiftsbiträden med verksamhet i flera medlemsstater.

Fördelar för personuppgiftsbiträden

Ett personuppgiftsbiträde som uppfyller kriterierna i en certifieringsordning, och som erhållit ett certifikat, kan förlita sig på certifikatet för att visa att det kan lämna tillräckliga garantier när det behandlar personuppgifter på uppdrag av en personuppgiftsansvarig. Att certifiera sig kan därför vara en konkurrensfördel för företag som regelbundet tillhandahåller tjänster som personuppgiftsbiträde, till exempel leverantörer av it-tjänster.

Certifikatets rättsliga betydelse

Det är viktigt att komma ihåg att ett certifikat i sig inte visar att en personuppgiftsbehandling lever upp till dataskyddsförordningens krav. Det visar att personuppgiftsbehandlingen lever upp till kriterierna i en certifieringsordning, vilket styrks av dokumentationen och de bedömningar som ligger till grund för certifieringen.

Eftersom certifieringsordningens kriterier har godkänts av en behörig tillsynsmyndighet eller EDPB, och certifieringsorganet som utför kontrollen är ackrediterat, ska dock certifierade personuppgiftsbehandlingar omfattas av en hög nivå av dataskydd. Detta är något som tillsynsmyndigheter tar hänsyn till, om det skulle vara så att en certifierad personuppgiftsbehandling blir föremål för tillsyn och eventuella korrigerande åtgärder, så som sanktionsavgifter.

Förfarande vid godkännande av certifieringsordningar

För att en certifieringsordning ska kunna godkännas måste ett utkast anmälas till en behörig tillsynsmyndighet, för svensk del IMY.

IMY granskar utkastet till certifieringskriterier och ger återkoppling till certifieringsordningens ägare om vilka ändringar som kan behöva göras för att få ordningen godkänd. IMY involverar också ytterligare två tillsynsmyndigheter för beredning av EDPB:s yttrande över certifieringsordningens kriterier. EDPB yttrar sig alltid över utkast till certifieringsordningar, oavsett om de är avsedda att främst tillämpas i en medlemsstat eller inom hela EES-området (Europeiskt dataskyddssigill).

Ett utkast till certifieringsordning ska gå igenom ett informellt förfarande innan det formella förfarandet för ett yttrande från EDPB påbörjas. Syftet med det informella förfarandet är att undanröja eventuella frågor och meningsskiljaktigheter som uppstår när certifieringsordningens kriterier granskas. Efter EDPB:s yttrande kan certifieringsordningen godkännas av IMY, om nödvändiga ändringar av kriterierna genomförts. Certifieringsordningar med Europeiskt dataskyddssigill godkänns inte av IMY, utan av EDPB.

IMY och EDPB:s granskning avser endast om kriterierna i certifieringsordningen stämmer överens med dataskyddsförordningen. Utöver denna granskning måste certifieringsordningen också granskas och godkännas av ett nationellt ackrediteringsorgan vad gäller dess ackrediterbarhet. I Sverige görs det av Styrelsen för ackreditering och teknisk kontroll (Swedac).

Granskningen av ackrediterbarheten sker efter att certifieringsordningen godkänts av behörig tillsynsmyndighet eller EDPB. IMY kommer dock redan under det informella förfarandet rådfråga Swedac kring ackrediterbarheten av en anmäld certifieringsordning, vilket också certifieringsordningens ägare kan göra. För certifieringsordningar med Europeiskt dataskyddssigill sker en samordnad granskning av ackrediterbarheten genom EA, den europeiska samarbetsorganisationen för ackrediteringsorgan.

Utkast till certifieringsordningar som är avsedda att främst tillämpas i en medlemsstat, så kallade nationella certifieringsordningar, ska anmälas till den behöriga tillsynsmyndigheten i den aktuella medlemsstaten för godkännande.

Utkast till certifieringsordningar som är avsedda att tillämpas i hela EES-området (Europeiska dataskyddssigill) ska anmälas till tillsynsmyndigheten i den medlemsstat där det certifieringsorgan som har för avsikt att tillämpa certifieringsordningen har sitt huvudkontor (huvudsakliga verksamhetsställe). Det kommer att vara denna tillsynsmyndighet som handlägger det informella förfarandet för godkännande av certifieringsordningen, till dess att ärendet lämnas över till EDPB.

Om du undrar vilken tillsynsmyndighet du ska vända dig till för att få din certifieringsordning godkänd kan du kontakta IMY.

Det informella förfarandet består av fyra steg:

  1. Den behöriga tillsynsmyndigheten granskar om utkastet till certifieringsordningen är komplett. Eventuella frågor, ändringar, kompletteringar och meningsskiljaktigheter omhändertas innan den behöriga tillsynsmyndigheten anmäler ett uppdaterat utkast till EDPB för att inleda steg 2.
  2. När den behöriga tillsynsmyndigheten bedömt att utkastet till certifieringsordning är komplett, lämnas utkastet över till två andra tillsynsmyndigheter som, tillsammans med den anmälande tillsynsmyndigheten, agerar medgranskare (co-reviewers) i en granskningsgrupp. Granskningsgruppen ställer frågor och begär eventuella ändringar eller kompletteringar som ska omhändertas innan granskningen går vidare till steg 3.
  3. Ett uppdaterat utkast anmäls till EDPB:s Exptertundergrupp för efterlevnad, e-förvaltning och hälsofrågor (CEHESG) tillsammans med de viktigaste utestående frågorna som EDPB har att hantera. Därefter har samtliga medlemmar av CEHESG en möjlighet att kommentera utkastet till certifieringsordning inom 30 dagar. Kommentarerna bör fokusera på de utestående frågor som identifierats av granskningsgruppen, men kan avse alla kriterier i certifieringsordningen.
  4. Mot bakgrund av kommentarerna i steg 3 avgör den behöriga tillsynsmyndigheten om det är nödvändigt att anordna en certifieringssession eller inte. På certifieringssessionen kan alla representanter i CEHESG delta och sessionen syftar till att lösa kvarvarande frågor och meningsskiljaktigheter om kriterierna i certifieringsordningen, eller överlämna dessa till beslut på EDPB:s plenarmöte. För nationella certifieringsordningar är det frivilligt att kalla till en certifieringssession, men för certifieringsordningar med ett Europeiskt dataskyddssigill är en certifieringssession alltid obligatorisk.

När förfarandet enligt steg 1–4 ovan avslutats är det upp till den behöriga tillsynsmyndigheten att också avsluta det informella förfarandet. Om det fortfarande finns starka tvivel i EDPB om kriterierna i en certifieringsordning lever upp till dataskyddsförordningen rekommenderas det att inte inleda det formella förfarandet, innan dess att utkastet till certifieringsordning uppdaterats. Detta eftersom resultatet av ett sådant förfarande kan bli att EDPB avstyrker ett godkännande, vilket kan leda till tidsödande merarbete för att genomföra uppdateringar av certifieringsordningen. 

Det formella förfarandet kan inledas när ett uppdaterat utkast anmälts av den behöriga tillsynsmyndigheten till EDPB, och EDPB:s sekretariat har bekräftat att underlaget är komplett. Utöver kriterierna i certifieringsordningen ska tillhörande dokumentation, såsom vägledande dokument, anmälas och samtliga dokument ska vara översatta till engelska.

I det formella förfarandet inom EDPB leds granskningen av utkastet till certifieringsordning av EDPB:s sekretariat, i samarbete med två medgranskare. Granskningsgruppen har i det formella förfarandet åtta veckor på sig att bereda ett yttrande över certifieringsordningen, som slutligen ska beslutas av EDPB:s högsta beslutande organ – plenarmötet. Tidsfristen får förlängas med ytterligare sex veckor med hänsyn till komplexiteten i granskningen, vilket ofta sker i fallet med certifieringsordningar.

När EDPB har yttrat sig över certifieringsordningens kriterier kan ordningen godkännas av behörig tillsynsmyndighet. Om certifieringsordningen omfattar ett Europeiskt dataskyddssigill utgör EDPB:s yttrande också ett godkännande av kriterierna i certifieringsordningen.

 

EDPB:s interna riktlinjer (27.03.2023) om förfarandet för godkännande av certifieringskriterier (engelsk version)

Krav för ackreditering av certifieringsorgan

De certifieringsorgan som certifierar personuppgiftsansvariga eller personuppgiftsbiträden enligt en godkänd certifieringsordning måste vara etablerade inom EES-området och ackrediterade för uppgiften.

Normalt sett är certifieringsorganet etablerat i den medlemsstat som en viss certifieringsordning avser. Det finns också möjligheter för gränsöverskridande certifiering så länge ett certifieringsorgan är ackrediterat, framförallt för utfärdande av Europeiska dataskyddssigill.

Ackreditering av certifieringsorgan enligt dataskyddsförordningen utförs för svensk del av Styrelsen för ackreditering och teknisk kontroll, Swedac. När Swedac ackrediterar enligt dataskyddsförordningen ska ackrediteringen ske i enlighet med den europeiska standarden EN-ISO/IEC 17065:2012 och de ytterligare krav som IMY har fastställt. Swedac kan också samråda med IMY under ett ackrediteringsförfarande.

Läs mer om ackreditering på Swedac:s webbplats

Läs mer om EN-ISO/IEC 17065:2012 på Svenska Institutet för Standarders webbplats

IMY:s beslut om krav för ackreditering av certifieringsorgan (pdf, 553 kB)

EDPB:s riktlinjer (4/2018) om ackreditering av certifieringsorgan (engelsk version)

Certifiering som överföringsverktyg

Om en mottagare i ett land utanför EES-området, ett så kallat tredjeland, anslutit sig till en godkänd certifieringsordning kan det vara tillåtet att överföra personuppgifter till mottagaren. Detta gäller under förutsättning att certifikatet innebär rättsligt bindande och verkställbara skyldigheter för mottagaren av personuppgifterna.

EDPB har antagit riktlinjer om certifiering som grund för överföring av personuppgifter till tredjeland. Riktlinjerna innehåller närmare vägledning om vad som krävs av en certifieringsordning som överföringsverktyg och hur det går till för att få en sådan godkänd.

EDPB:s riktlinjer (07/2022) om certifiering som överföringsverktyg (engelsk version)

Mer information

Fördjupa dig

Rättsinformation

Fördjupa dig
Senast uppdaterad: 30 september 2024
Sidans etiketter Dataskydd