Europejska Rada Ochrony Danych (EROD)  po konsultacjach społecznych przyjęła ostateczną wersję Wytycznych sprawie certyfikacji i identyfikacji kryteriów certyfikacji.

Certyfikacja nie jest obowiązkiem ani administratorów, ani podmiotów przetwarzających.

Zgodnie z art. 42 ust. 3 certyfikacja jest dobrowolnym procesem mającym na celu pomoc w wykazaniu zgodności z RODO.

Z kolei akredytacja jest kierowana do podmiotów, które chcą profesjonalnie trudnić się wydawaniem certyfikatów dla tej pierwszej grupy podmiotów.

Według ustawień wytycznych „przestrzeganie zatwierdzonych mechanizmów certyfikacji jest czynnikiem, który organy nadzorcze muszą brać pod uwagę jako czynnik obciążający lub łagodzący przy podejmowaniu decyzji o nałożeniu administracyjnej kary pieniężnej i przy podejmowaniu decyzji w sprawie kwoty takiej kary (art. 83 ust. 2 lit. j)”. Oznacza to, że posiadanie certyfikatu zgodności z RODO może przyczynić się do wykazania wymogu rozliczalności, a tym samym zmniejszyć grożącą karę.

Ostateczna wersja wytycznych w języku angielskim dostępna tutaj.