ShareEmailLinkedInXWhatappsFacebook
feedback
Share

Przegląd Europrivacy

Od wejścia w życie Ogólnego Rozporządzenia o Ochronie Danych ("RODO"), zgodność z przepisami dotyczącymi ochrony danych osobowych stała się kluczowym wymogiem dla firm i administracji publicznej działających na terytorium Unii Europejskiej ("UE"). Pociąga to za sobą ryzyka prawne i finansowe, których nie można ignorować przez administratorów i podmioty przetwarzające dane.

Europrivacy to schemat certyfikacji opracowany w ramach Europejskiego Programu Badawczego w celu oceny, dokumentowania, certyfikowania i wartościowania zgodności z RODO oraz uzupełniającymi przepisami dotyczącymi ochrony danych. Jest utrzymywany przez Europejskie Centrum Certyfikacji i Prywatności ("ECCP") w Luksemburgu pod nadzorem Międzynarodowego Zespołu Ekspertów ds. Ochrony Danych.

Europrivacy został opracowany na podstawie normy ISO/IEC 17065 oraz art. 42 RODO „w celu wykazania zgodności z niniejszym rozporządzeniem operacji przetwarzania przez administratorów i podmioty przetwarzające”.

To znacznie więcej niż prosty schemat certyfikacji. Dostarcza kompleksowy zestaw zasobów online i usług, które skutecznie wdrażają, poprawiają i demonstrują zgodność z przepisami dotyczącymi ochrony danych. Jest wspierany przez społeczność wykwalifikowanych partnerów, akademię online, stronę społecznościową oraz narzędzia online. Przedstawia liczne korzyści i zalety.

Zakres i zastosowanie

Cel: Europrivacy umożliwia ocenę, dokumentowanie, certyfikowanie i wartościowanie zgodności z RODO oraz uzupełniającymi przepisami dotyczącymi ochrony danych. W szczególności pomaga firmom i przedsiębiorstwom:

  1. Zmniejszyć ryzyka prawne i finansowe poprzez sprawdzanie i dokumentowanie zgodności;
  2. Komunikować i wartościować zgodność, przekształcając ją w atut i źródło tworzenia wartości;
  3. Cieszyć się i utrzymywać zgodność dzięki certyfikacji Europrivacy oraz zasobom online.
     
  4. Służy jako mechanizm międzynarodowego transferu danych.

Co: Dzięki swojemu hybrydowemu modelowi, Europrivacy ma zastosowanie do prawie wszystkich działań związanych z przetwarzaniem danych, w tym do innowacyjnych technologii, takich jak sztuczna inteligencja, blockchain, e-zdrowie i Internet rzeczy. Istnieje jednak kilka konkretnych wyłączeń, takich jak dane biomedyczne.

Chociaż metodologia Europrivacy może być stosowana do różnych celów ewaluacji, zgodnie z art. 42 RODO, tylko operacje przetwarzania danych mogą być certyfikowane. W konsekwencji, w jurysdykcjach UE, nie jest możliwe certyfikowanie całej firmy na raz, a nawet całego systemu zarządzania zgodnie z RODO. Pozytywną stroną tego elementu jest to, że zgodność może być certyfikowana stopniowo, zaczynając od priorytetowych operacji przetwarzania danych i rozszerzając certyfikację krok po kroku na więcej operacji przetwarzania.

Kto: Europrivacy ma zastosowanie do zarówno administratorów danych, jak i podmiotów przetwarzających dane.

Gdzie: Europrivacy może być używany w dowolnym miejscu do oceny zgodności z RODO. Jednak wydawanie certyfikatów nie ma zastosowania w jurysdykcjach, które nie zapewniają odpowiednich i wystarczających gwarancji dla praw i wolności osób, których dane dotyczą.

Rozszerzalność: Europrivacy został opracowany i zaprojektowany tak, aby można go było łatwo rozszerzyć na uzupełniające krajowe przepisy dotyczące ochrony danych, w tym przepisy spoza UE, a także na przepisy specyficzne dla domeny i technologii.

Ważność: Certyfikaty są ważne przez odnawialne okresy trzech lat.

Którą wersję certyfikacji Europrivacy wybrać

Europrivacy jest dostępny w dwóch wersjach kryteriów:

  1. Do regularnej certyfikacji RODO na podstawie Art. 42 RODO
  2. Do certyfikacji Importera Danych stosowanej jako mechanizm międzynarodowych transferów danych na podstawie Art. 46 RODO.

Wybór wersji kryteriów certyfikacji jest prosty: jeśli znajdujesz się w UE/EOG lub podlegasz RODO na podstawie Art. 3(2) RODO, ponieważ bezpośrednio zbierasz dane w Europie, powinieneś stosować regularne kryteria certyfikacji. Jeśli znajdujesz się poza UE/EOG i nie podlegasz RODO na podstawie Art. 3(2) RODO, ale przetwarzasz europejskie dane osobowe otrzymane od innego podmiotu, powinieneś stosować certyfikację dla Importerów Danych. Poniższa tabela podsumowuje dostępne opcje.

 LokalizacjaStatus WnioskodawcyOdpowiedni
Schemat Certyfikacji
AW
UE/EOG		Podmiot podlegający RODO na podstawie Art. 3(1) RODORegularna Certyfikacja
(Art. 42 RODO)
BPoza
UE/EOG		Podmiot bezpośrednio zbierający dane w UE/EOG i podlegający RODO na podstawie Art. 3(2) RODORegularna Certyfikacja
(Art. 42 RODO)
CPodmiot działający jako Importer Danych niepodlegający RODO na podstawie Art. 3(2), ale otrzymujący dane od innej firmy podlegającej RODO (Eksporter Danych).Certyfikacja dla Importerów Danych
(Art. 46 RODO)

Wreszcie, jeśli znajdujesz się poza UE/EOG i nie przetwarzasz aktywnie europejskich danych osobowych, powinieneś rozważyć certyfikację Interprivacy.

 

Proces certyfikacji

Procedura certyfikacji może być podzielona na następujące główne kroki:

  1. Przygotuj i udokumentuj swoją zgodność z kryteriami Europrivacy przy wsparciu Pakietu Powitalnego Europrivacy, zasobów i narzędzi oraz wykwalifikowanych partnerów, aby zmniejszyć swoje ryzyka. Możesz również użyć rozszerzeń kryteriów, aby certyfikować zgodność z dodatkowymi przepisami UE lub krajowymi.
  2. Certyfikuj zgodność przetwarzania danych z wykwalifikowanym Organem Certyfikującym, aby wartościować i komunikować swoje wysiłki na rzecz zgodności. Organ certyfikujący musi być upoważniony przez ECCP i posiadać ważną akredytację u kompetentnego organu krajowego. Certyfikat jest publikowany w oficjalnym Rejestrze Certyfikatów Europrivacy, aby umożliwić jego uwierzytelnienie przez strony trzecie i zapobiec fałszerstwom.
  3. Utrzymuj, komunikuj i wartościuj swoją zgodność dzięki  zasobom i narzędziom online, w tym wytycznym i szablonom komunikacji, ciągłym aktualizacjom wymagań dotyczących zgodności oraz corocznym audytom nadzoru.
overview

 

Innowacyjny model certyfikacji Europrivacy

Europrivacy zapewnia innowacyjny hybrydowy model certyfikacji, który korzysta z zalet uniwersalnego schematu certyfikacji uzupełnionego o kryteria specyficzne dla domeny i technologii, w zależności od charakteru celu ewaluacji.

Podstawowe kryteria RODO (G/GI): Proces certyfikacji zawsze rozpoczyna się od listy podstawowych kryteriów RODO Europrivacy, obejmujących różne obowiązki wynikające z RODO, jak wyjaśniono poniżej:

C - Dodatkowe kontrole i sprawdzenia: Podstawowe kryteria są uzupełniane przez Dodatkowe kontrole i sprawdzenia, aby ocenić zgodność z obowiązkami specyficznymi dla domeny i technologii, które mogą mieć zastosowanie do celu ewaluacji.

T - Środki techniczne i organizacyjne: Kontrole i sprawdzenia środków technicznych i organizacyjnych mają na celu ocenę adekwatności środków wdrożonych w celu zabezpieczenia przetwarzanych danych. Z wyjątkiem przetwarzania danych wysokiego ryzyka, może być zastąpiony ważnym certyfikatem ISO/IEC 27001 obejmującym cel ewaluacji.

S - Lista kontrolna audytów nadzoru: Kilka dodatkowych kryteriów jest określonych dla audytów nadzoru w celu oceny i zapewnienia ciągłej zgodności w czasie.

N - Obowiązki krajowe: Europrivacy wspiera ocenę zgodności z uzupełniającymi obowiązkami krajowymi za pomocą różnych instrumentów:

  • Profile obowiązków krajowych dla każdego z państw członkowskich Europejskiego Obszaru Gospodarczego. Te zasoby mogą być wykorzystane do przygotowania Raportu Oceny Zgodności z Obowiązkami Krajowymi (NOCAR).
  • Rozszerzenie kryteriów krajowych Europrivacy do oceny i certyfikacji zgodności celu ewaluacji z uzupełniającymi krajowymi przepisami dotyczącymi ochrony danych. Te rozszerzenia są opcjonalne i używane dobrowolnie w celu rozszerzenia certyfikacji Europrivacy na odpowiednie jurysdykcje spoza UE.
  • Analiza potencjalnego konfliktu prawa w celu oceny, czy prawo krajowe mające zastosowanie do Wnioskodawcy w państwach trzecich uniemożliwiałoby mu przestrzeganie RODO i wymogów certyfikacyjnych.