Перша і єдина сертифікація з GDPR – CARPA

Національна комісія із захисту персональних даних Люксембургу (CNPD) у червні 2022 року презентувала GDPR Certified Assurance Report-Based Processing Activities Certification Criteria (GDPR-CARPA)критерії для першої на національному і міжнародному рівні сертифікаційної процедури згідно з Загальним регламентом захисту персональних даних Європейського Союзу (GDPR), що підтверджує відповідність процесів обробки персональних даних GDPR. У цій статті поговоримо що ж GDPR-CARPA таке, з чим його їдять і чи будуть якісь від того плюшки.

 

Навіщо потрібна ця сертифікація? 

Існування механізму сертифікації процесів захисту даних передбачено згідно зі ст. 42 GDPR. Сертифікаційний механізм GDPR-CARPA діє якраз на підставі цієї статті.

GDPR-CARPA дозволяє продемонструвати високий рівень комплаєнсу компанії з вимогами GDPR щодо операцій з обробки даних, на яку сертифікація поширюється. Компанії в будь-якому секторі можуть таким чином підвищити довіру у своїх суб’єктів даних (користувачів), а останні, у свою чергу, краще оцінити ступінь захисту даних, що пропонується у продуктах чи послугах.

 

Хто може її отримати? 

Сертифікат GDPR-CARPA зможуть отримати компанії, органи державної влади, асоціації та інші органи, які діють як контролери та/або процесори, що засновані в Люксембурзі. 

 

Чи покриває GDPR-CARPA весь комплаєнс? 

Сертифікованими зможуть бути лише конкретні операції з обробки персональних даних (але не компанії як ціле). Відповідно до CNPD приклади діяльності з обробки, яка може бути сертифікована, включають:

 

  • HR менеджмент;
  • обробка даних з метою боротьби з відмиванням коштів (AML) або з метою отримання інформації про клієнтів (KYC); і
  • послуги програмного забезпечення як сервісу (SaaS), що надаються процесором.

 

Прикладом діяльності з обробки, яка може бути сертифікована, CNPD назвала програмне забезпечення, що створене і продається як таке розробником (розробник не є ні контролером, ні процесором).

GDPR-CARPA не може використовуватись:

  • для посвідчення обробки персональних даних, спеціально призначеної для дітей до 16 років;
  • для сертифікації діяльності з обробки спів-контролерів;
  • для обробки персональних даних про судимості і кримінальні злочини;
  • для організацій, які не призначили Data Protection Officer (DPO).

 

Сертифікація GDPR-CARPA також не призначена для використання як належні гарантії при передачі персональних даних до третіх країн, про що йдеться у статті 46(2)(f) GDPR.

 

Чи захищає GDPR-CARPA від штрафів?

Сертифікат GDPR-CARPA може допомогти мінімізувати ризики, пов’язані з комплаєнсом та репутацією, але він не знімає відповідальності з організації.

 

Сертифікація відповідно до ст. 42 (4) GDPR не знижує ступінь відповідальності контролера або процесора щодо відповідності GDPR та не обмежує завдання і повноваження компетентних наглядових органів. Тобто якщо порушення є – штраф накласти можуть.

 

Що треба зробити, щоб сертифікуватися? 

Критерії сертифікації GDPR-CARPA містять правила, яких повинні дотримуватись організації, що подають заявку на сертифікацію CARPA. Ці організації повинні забезпечити, щоб їхні внутрішні процедури були розроблені, впроваджені та функціонували таким чином, щоб вони могли досягти вимог, викладених у умовах сертифікації. У разі позитивного сертифікаційного рішення після проведення сертифікаційного аудиту на основі звіту ISAE 3000 – організація може отримати сертифікат GDPR-CARPA.

 

Критерії сертифікації GDPR-CARPA мають три розділи:

  1. Загальні критерії підзвітності та управління. Ці критерії застосовуються і до контролерів, і до процесорів. Серед них: політики та процедури, записи про діяльність з обробки даних, сприяння реалізації прав суб’єктів даних, призначення та посада DPO, порушення даних, поінформованість та компетентність працівників;
  2. Принципи, що застосовуються до контролерів. Серед них: законність та прозорість обробки, принципи цільового обмеження, мінімізації даних, точності, обмеження зберігання, безпеки даних, оцінка впливу захисту даних та аутсорсинг;
  3. Принципи, що застосовуються до процесорів. Серед них: договори між контролером і процесором / між процесором і суб-процесором, безпека, субпідряд, процедури, що застосовуються при припиненні або закінченні терміну дії послуг, пов’язаних з обробкою: повернення / видалення даних.

Джерело: офіційні матеріали з сайту CNPD 

 

Хто сертифікує?

Органи, які можуть проводити сертифікацію, акредитує CNPD. Список таких органів буде опублікований на сайті CNPD, оскільки наразі він ще не затверджений.

 

Як довго діє сертифікат GDPR-CARPA?

Сертифікат діє протягом 3 років за умови успішного проходження щорічного повного аудиту.

 

Висновки

І хоча наразі сертифікат GDPR-CARPA можуть отримати лише організації з Люксембургу, заснування і впровадження першого механізму сертифікації згідно з GDPR є беззаперечним прогресом у світі приватності. Ця новина відкриває простір для інших країн розробляти власні сертифікаційні процедури і можливості для компаній підтверджувати відповідність своїх практик суворим вимогам GDPR.

 

Окрім того, критерії сертифікації також можна використовувати як гайд і тим компаніям, що знаходяться за межами Люксембургу, оскільки сертифікаційні критерії GDPR-CARPA показують елементи, на які наглядовий орган, швидше за все, зверне увагу у разі розслідування.

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)