Перша GDPR сертифікація у Люксембурзі
З моменту вступу в дію General Data Protection Regulation (GDPR) багато компаній, що обробляють дані європейців стикнулись з завданням досягти такого бажаного GDPR-compliance. Проте ніхто точно не може сказати, що це та яких критеріїв цієї відповідності треба досягти, щоб вважати себе “у комплаєнсі”. Звісно, в нас теж немає чіткої відповіді на це питання, адже GDPR-compliance – це не кінцева точка, а процес, який спрямований на постійне оновлення та покращення практик роботи з персональними даними в компанії, або, простіше кажучи, побудови privacy as a culture.
Ми не так давно розповідали вам про GDPR Certified Assurance Report-Based Processing Activities Certification Criteria (GDPR-CARPA) – сертифікації, яка була презентована Національною комісією з захисту персональних даних Люксембургу (CNPD) у червні 2022 року. А сьогодні ми вже маємо можливість висвітлити перший кейс надання наглядовим органом акредитації щодо можливості сертифікувати інші компанії.
Перша компанія, що може видавати GDPR сертифікати в ЄС (Люксембург)
Першою такою компанією став офіс EY (EY PFS Solutions) в Люксембурзі, який вже зараз може видавати сертифікати за механізмом «GDPR-CARPA» протягом терміну дії акредитації, який становить 5 років. Завдяки такій моделі сертифікації GDPR компанії, державні органи, асоціації та інші організації, засновані в Люксембурзі, мають можливість продемонструвати, що їхня діяльність з обробки даних відповідає правилам GDPR.
Наявність такого сертифікату не тільки буде свідчити про високий рівень дотримання правил обробки персональних даних, а й буде слугувати демонстрацією високого рівню компанії та сприяти тому, що інші компанії захочуть з нею активно співпрацювати або переймати досвід побудови програми приватності. Варто зауважити, що така сертифікація не покриває всі процеси обробки та GDPR-комлаєнс компанії в цілому, тому неможливо покладатися виключно на неї задля дотримання вимог законів про захист персональних даних.
Як ми раніше зауважували в наших статтях раніше, GDPR-CARPA не може використовуватись:
- для посвідчення обробки персональних даних, спеціально призначеної для дітей до 16 років;
- для сертифікації діяльності з обробки спів-контролерів;
- для обробки персональних даних про судимості і кримінальні злочини;
- для організацій, які не призначили Data Protection Officer (DPO).
Навіщо це потрібно?
Запровадження механізму сертифікації буде сприяти загальному рівню обізнаності та дотримання GDPR, а також додасть прозорості, що дозволить суб’єктам даних краще оцінювати ступінь захисту, який пропонують продукти, послуги, процеси чи системи, які використовуються або пропонуються організаціями, які обробляють їхні персональні дані. Механізми сертифікації GDPR також можуть бути корисними у комерційних відносинах між компаніями, наприклад, між контролером (співконтролером) і його процесором (субпроцесором). Таким чином, учасники зможуть скористатися незалежним сертифікатом від третьої сторони, щоб продемонструвати, що їхні операції з обробки даних відповідають європейським стандартам.
Унікальною особливістю механізму сертифікації, що було запроваджена CNPD є те, що він заснований на звіті ISAE 3000 Type 2, який дозволяє видавати висновок щодо правильного впровадження механізму контролю та при цьому аудитор формально несе за нього відповідальність. Це гарантує високий рівень довіри до сертифікації, що є ключовим фактором у тому, що усі суб’єкти, залучені у процеси обробки, довіряють висновкам аудитора та таким чином будують авторитет згаданого сертифікату.
Від чого не врятує сертифікація?
Механізм сертифікації не зменшує відповідальності контролера чи процесора за обробку даних. У разі аудиту, проведеного CNPD, наявність сертифікації (з регулярними аудитами з боку третьої сторони) може продемонструвати зусилля організації щодо дотримання вимог GDPR і потенційно знизити ступінь ретельності проведення аудиту. Залучення процесора із сертифікацією GDPR також може допомогти контролеру продемонструвати свою відповідність статті 28 GDPR.
Звичайно, сертифікація також може стати обтяжуючим фактором у разі застосування CNPD примусових дій: наприклад, коли фактична практика організації не відповідає сертифікації, і наглядовий орган вирішить застосувати санкції. У будь-якому випадку, сертифікат не є індульгенцією та можливістю якимось чином нехтувати своїми обов’язками за GDPR, тому постійно потрібно слідкувати за процесами, що пов’язані з персональними даними в компанії, на випадок наявності порушень або невідповідності стандартам.
Що можна робити зараз?
Як ми можемо бачити, в ЄС почали з’являтися сертифікаційні механізми, і ваша компанія може вже зараз починати готуватися до їхнього застосування. Як тільки національні органи почнуть вводити більш розповсюджені та всеохоплюючі механізми – ваша компанія буде значно більше готова до процесу GDPR-аудиту та сертифікації спеціальними органами.
Думаємо, ні для кого не секрет, що скоро таких акредитованих організацій, які зможуть видавати сертифікати буде значно більше та вони будуть розташовані у всіх країнах ЄС. Таким чином, наявність GDPR сертифікату може стати базисом, основою та невід’ємною річчю для ефективного ведення бізнесу в ЄС, адже коли такий сертифікат буде у більшості компаній – мало хто захоче співпрацювати з компанією без сертифікату. Вони можуть вважати це ризиком для себе!
Саме тому, якщо ви вже працюєте з персональними даними європейців, або плануєте виходити на ринок ЄС у найближчий час – ви вже зараз маєте замислитись над тим, щоб відповідати вимогам європейських законів та не наражати себе на ризик отримання штрафів від наглядових органів і спростити шлях до сертифікату. Цей процес можна розпочати з малого: наприклад, з розробки декларативної GDPR-документації, а потім розвивати програму – зокрема, через повне документування внутрішніх процесів компанії у відповідності до вимог GDPR.
Якщо з цим вам може допомогти команда Legal IT Group, то обов’язково напишіть нам листа або тисніть на кнопку, щоб запланувати дзвінок!
2023-01-10
