Retningslinjer for sertifisering skal fungere som en mekanisme for overføring av personopplysninger til tredjeland der det ikke foreligger en såkalt adekvansbeslutning. Hovedformålet med retningslinjene er å gi ytterligere oppklaring om den praktiske bruken av denne overføringsmekanismen, i tråd med artikkel 46(2)(f) i personvernforordningen.

Retningslinjene supplerer Personvernrådets generelle veileder om sertifisering (edpb.europa.eu).

Retningslinjer i fire deler

Retningslinjene består av fire deler som fokuserer på ulike aspekter ved sertifisering som overføringsmekanisme. De berører aspekter som formål, omfang og aktørene som er involvert; akkrediteringskrav for sertifiseringsorganer; kriterier for demonstrasjon av hensiktsmessige sikkerhetstiltak for overføringer; og forpliktelsene som skal implementeres.

Ute på høring

Retningslinjene ligger nå ute på offentlig høring frem til 30. september. Retningslinjene, og informasjon om hvordan man gir innspill, er tilgjengelig på EDPBs nettsider (edpb.europa.eu).

Datatilsynets arbeid med sertifiseringsmekansimer

Sertifiseringsmekanismer godkjent etter artikkel 42 i forordningen er ett alternativ som kan brukes for å overføre personopplysninger til land utenfor EØS og uten en adekvansbeslutning. Datatilsynet jobber med å få på plass alt bakenforliggende for å kunne godkjenne sertifiseringskriterier etter artikkel 42. Mer informasjon om dette kommer etter sommeren.