《欧盟通用数据保护条例》中共有70多处提及认证,涉及设计隐私、向处理者的数据传输、技术和组织措施的充分性以及国际数据传输。
欧洲数据保护章是所有欧盟和欧洲经济区司法管辖区认可的GDPR认证机制。它必须满足欧洲数据保护委员会批准的使用标准,并且必须由根据第43条认可的认证机构提供。
2022年10月,EDPB批准了Europrivacy标准,作为官方标准?欧洲数据保护章根据GDPR第42条。这是30个国家的所有欧盟和欧洲经济区数据保护监督机构正式认可的唯一一套标准,用于证明GDPR合规性。
3月6日,欧洲认证机构批准了Europrivacy是否适合欧洲级认证。EA的决定使主要认证机构能够根据GDPR第43条完成认证,并开始在欧洲各地提供欧洲数据保护章。与此同时,Europrivacy标准扩展目前正在由EDPB审查,以作为GDPR第46条规定的第三国申请人的国际数据传输机制。
降低风险、重视合规性的强大机制
1
遵守法规是强制性的,不遵守法规不可避免地会导致法律、声誉和财务后果。认证的大部分基础工作已经在GDPR合规工作期间完成,但它往往是隐形的。
认证是收获合规努力成果的自然延续,将合规努力转化为创造价值的源泉。主要工作包括在在线资源和合格服务提供商生态系统的支持下,记录对Europrivacy标准的遵守情况。
虽然对数据保护官员来说,实现GDPR合规似乎是一项艰巨的任务,有遗漏或误解的风险,但认证过程将部分负担转移给了第三方,以相对有限的提供了显着的好处和竞争优势。
欧洲数据保护章可供数据控制者和处理者(以下简称“申请人”)使用,它仅适用于个人数据处理活动,这提供了三大优势。首先,它使申请人能够将工作重点放在优先数据处理活动上。
其次,申请人可以申请认证,而无需等待其他数据处理准备就绪。第三,认证范围远比公司级的合规认证更可靠、更值得信赖。?该过程简单、灵活且高效。
第1阶段:检查、记录合规性
申请人首先选择他们的优先数据处理活动,并指定评估目标。一旦完成,他们将使用Europrivacy标准来检查和记录其评估目标是否符合GDPR。
它使他们能够系统地检查、识别和纠正潜在的违规行为。此外,它还为在检查或诉讼中提供结构良好、同质的合规文档铺平了道路。通过这样做,他们大大降低了法律、财务和声誉风险。
第2阶段:证明、评估合规性
一旦合规性得到内部验证和记录,申请人可以通过在线Europrivacy表格向合格的认证机构申请报价,并选择最合适的。
认证机构将检查评估目标是否符合用于记录评估目标的相同标准。这些标准的措辞特别明确,以尽量减少主观解释,重点关注事实证据,以减少分歧。如果检测到任何不符合项,则在报告中进行概述,允许在完成认证之前进行整改。
一旦获得认证,申请人将通知其组织。认证对组织有两个主要影响。首先,由于认证是由独立机构根据《通用数据保护条例》第43条认可的独立且合格的第三方提供的,因此该认证建立了与各利益相关者的信任和信心。它减少了DPO、董事会、股东、企业对企业合作伙伴和数据主体的不确定性,因为他们可以依赖合格专业人员的外部和正式验证。
其次,它将合规转变为价值创造的源泉。虽然法规遵从性通常被视为成本中心,但认证将其转化为宝贵的资产。
它可以被销售和营销团队用作竞争优势,并被传达给市场分析师,以展示公司积极主动的风险降低努力。这是对积极投资于合规和保护个人数据的公司的认可和奖励。它还奖励了DPO的工作,并强调了其对公司发展的贡献。
第3阶段:保持、享受认证
一旦第一次数据处理活动的合规性得到认证,申请人就可以对认证进行评估,并将其用作其他数据处理活动中的基准。它还可以决定将认证扩展到其他优先数据处理活动,并利用第一次认证已经完成的工作。
申请人受益于Europrivacy提供的在线资源,以帮助保持合规性。他们还将收到通知,以防要求发生变化,以应对监管演变。每年的监督审计使他们能够长期保持信任。
其他福利
2
在纸面上采用内部规则、政策、合同条款和行为准则是一回事,但确保它们与现实相一致是一个明显的挑战,尤其是对数据控制者来说。虽然标准合同条款可能有助于数据传输,但并不能降低接收实体违反监管的风险。认证提供了确保有效合规的可靠手段。
具有成本效益的风险降低
3
要求数据处理者和数据进口商对其处理进行认证,使公司能够免费降低风险。
GDPR第28条要求,“如果代表控制者进行处理,控制者应仅使用提供充分保证的处理者,以实施适当的技术和组织措施,使处理符合本法规的要求,并确保数据主体的权利得到保护。”
控制者仍对其处理者的任何不当行为负责。认证被认为是证明“充分保证”到位的一种手段。
按设计、默认支持数据保护
4
Europrivacy有助于解决GDPR第25条规定的设计和默认义务下的数据保护问题,该条规定,“根据第42条批准的认证机制可作为证明符合本条第1款和第2款规定的要求的一个要素。”使用公认的标准可进行审查并主动记录是否符合该法规。
如上文第25条所述,Europrivacy通过使用公认的标准来支持通过设计和默认义务进行的数据保护,从而能够根据该法规进行审查和主动记录。更普遍地说,Europrivacy加强了合规性,将其作为公司组织和文化的一部分。
让用户增强体验感并且可扩展
5
Europrivacy的一个主要研究目标是提高数据保护认证的效率、用户友好性和可扩展性。
申请人得到一整套在线资源的支持,包括指南、模板和教程。一个专门的在线学院使他们能够学习如何使用Europrivacy。该过程本身经过优化,采用循序渐进的方法,具有高效性和易于扩展性。
已经开发了欢迎包,并向申请人提供。它使他们能够在三年内获得完整的资源和服务,以支持他们的第一个认证周期。
全球服务和解决方案提供商生态系统
6
Europrivacy得到了官方合作伙伴全球生态系统的支持。官方合作伙伴经过了一个基于苛刻标准的选拔过程,包括对其过往记录和专业知识的审查。
结论
7
GDPR认证是通过公正的第三方验证降低风险、重视合规性并建立信任和信心的有力工具。
与其他机制相比,它依赖于对数据处理的有效独立控制。它将法规遵从性转变为一种资产和竞争优势的来源。
虽然30个国家通过一个共同机制需要时间,但3月份的EA决定为一个强大的工具和合规的新篇章打开了大门。
在线客服
微信
