Certyfikacja jest nową instytucją dotyczącą ochrony danych osobowych, nieznaną przed wejściem w życie RODO – dyrektywa 95/46/WE i polska ustawa o ochronie danych osobowych z 1997 r. nie przewidywały mechanizmów certyfikacji w zakresie ochrony danych osobowych.
W ramach certyfikacji oceniana jest zgodność operacji przetwarzania danach osobowych z kryteriami certyfikacji, zatwierdzonymi odpowiednio przez organ nadzorczy lub Europejską Radę Ochrony Danych (EROD).
W celu spójnego stosowania we wszystkich państwach Europejskiego Obszaru Gospodarczego (EOG) przepisów RODO w zakresie certyfikacji oraz akredytacji podmiotów certyfikujących Europejska Rada Ochrony Danych wydała:
Zgodnie z art. 42 ust. 5 RODO certyfikacji dokonuje akredytowany podmiot certyfikujący lub właściwy organ nadzorczy, natomiast akredytacji – właściwy organ nadzorczy lub krajowa jednostka akredytująca, co wynika z art. 43 ust. 1 RODO. Zatem możliwe są różne rozwiązania co do zaangażowanych w proces certyfikacji instytucji.
Źródło: UODO