Od wejścia w życie Ogólnego Rozporządzenia o Ochronie Danych ("RODO"), zgodność z przepisami dotyczącymi ochrony danych osobowych stała się kluczowym wymogiem dla firm i administracji publicznej działających na terytorium Unii Europejskiej ("UE"). Pociąga to za sobą ryzyka prawne i finansowe, których nie można ignorować przez administratorów i podmioty przetwarzające dane.

Europrivacy to schemat certyfikacji opracowany w ramach Europejskiego Programu Badawczego w celu oceny, dokumentowania, certyfikowania i wartościowania zgodności z RODO oraz uzupełniającymi przepisami dotyczącymi ochrony danych. Jest utrzymywany przez Europejskie Centrum Certyfikacji i Prywatności ("ECCP") w Luksemburgu pod nadzorem Międzynarodowego Zespołu Ekspertów ds. Ochrony Danych.

Europrivacy został opracowany na podstawie normy ISO/IEC 17065 oraz art. 42 RODO „w celu wykazania zgodności z niniejszym rozporządzeniem operacji przetwarzania przez administratorów i podmioty przetwarzające”.

To znacznie więcej niż prosty schemat certyfikacji. Dostarcza kompleksowy zestaw zasobów online i usług, które skutecznie wdrażają, poprawiają i demonstrują zgodność z przepisami dotyczącymi ochrony danych. Jest wspierany przez społeczność wykwalifikowanych partnerów, akademię online, stronę społecznościową oraz narzędzia online. Przedstawia liczne korzyści i zalety.

Zakres i zastosowanie

Cel: Europrivacy umożliwia ocenę, dokumentowanie, certyfikowanie i wartościowanie zgodności z RODO oraz uzupełniającymi przepisami dotyczącymi ochrony danych. W szczególności pomaga firmom i przedsiębiorstwom:

1. Zmniejszyć ryzyka prawne i finansowe poprzez sprawdzanie i dokumentowanie zgodności; 
2. Komunikować i wartościować zgodność, przekształcając ją w atut i źródło tworzenia wartości;
3. Cieszyć się i utrzymywać zgodność dzięki certyfikacji Europrivacy oraz zasobom online.
    

Co: Dzięki swojemu hybrydowemu modelowi, Europrivacy ma zastosowanie do prawie wszystkich działań związanych z przetwarzaniem danych, w tym do innowacyjnych technologii, takich jak sztuczna inteligencja, blockchain, e-zdrowie i Internet rzeczy. Istnieje jednak kilka konkretnych wyłączeń, takich jak dane biomedyczne.

Chociaż metodologia Europrivacy może być stosowana do różnych celów ewaluacji, zgodnie z art. 42 RODO, tylko operacje przetwarzania danych mogą być certyfikowane. W konsekwencji, w jurysdykcjach UE, nie jest możliwe certyfikowanie całej firmy na raz, a nawet całego systemu zarządzania zgodnie z RODO. Pozytywną stroną tego elementu jest to, że zgodność może być certyfikowana stopniowo, zaczynając od priorytetowych operacji przetwarzania danych i rozszerzając certyfikację krok po kroku na więcej operacji przetwarzania.

Kto: Europrivacy ma zastosowanie do zarówno administratorów danych, jak i podmiotów przetwarzających dane.

Gdzie: Europrivacy może być używany w dowolnym miejscu do oceny zgodności z RODO. Jednak wydawanie certyfikatów nie ma zastosowania w jurysdykcjach, które nie zapewniają odpowiednich i wystarczających gwarancji dla praw i wolności osób, których dane dotyczą.

Rozszerzalność: Europrivacy został opracowany i zaprojektowany tak, aby można go było łatwo rozszerzyć na uzupełniające krajowe przepisy dotyczące ochrony danych, w tym przepisy spoza UE, a także na przepisy specyficzne dla domeny i technologii.

Ważność: Certyfikaty są ważne przez odnawialne okresy trzech lat.

Proces certyfikacji

Procedura certyfikacji może być podzielona na następujące główne kroki:

1. Przygotuj i udokumentuj swoją zgodność z kryteriami Europrivacy przy wsparciu Pakietu Powitalnego Europrivacy, zasobów i narzędzi oraz wykwalifikowanych partnerów, aby zmniejszyć swoje ryzyka. Możesz również użyć rozszerzeń kryteriów, aby certyfikować zgodność z dodatkowymi przepisami UE lub krajowymi.
2. Certyfikuj zgodność przetwarzania danych z wykwalifikowanym Organem Certyfikującym, aby wartościować i komunikować swoje wysiłki na rzecz zgodności. Organ certyfikujący musi być upoważniony przez ECCP i posiadać ważną akredytację u kompetentnego organu krajowego. Certyfikat jest publikowany w oficjalnym Rejestrze Certyfikatów Europrivacy, aby umożliwić jego uwierzytelnienie przez strony trzecie i zapobiec fałszerstwom.
3. Utrzymuj, komunikuj i wartościuj swoją zgodność dzięki zasobom i narzędziom online, w tym wytycznym i szablonom komunikacji, ciągłym aktualizacjom wymagań dotyczących zgodności oraz corocznym audytom nadzoru.

Innowacyjny model certyfikacji Europrivacy

Europrivacy zapewnia innowacyjny hybrydowy model certyfikacji, który korzysta z zalet uniwersalnego schematu certyfikacji uzupełnionego o kryteria specyficzne dla domeny i technologii, w zależności od charakteru celu ewaluacji.

Podstawowe kryteria RODO:Proces certyfikacji zawsze rozpoczyna się od listy podstawowych kryteriów RODO Europrivacy, obejmujących różne obowiązki wynikające z RODO, jak wyjaśniono poniżej:

C - Dodatkowe kontrole i sprawdzenia: Podstawowe kryteria są uzupełniane przez Dodatkowe kontrole i sprawdzenia, aby ocenić zgodność z obowiązkami specyficznymi dla domeny i technologii, które mogą mieć zastosowanie do celu ewaluacji.

T - Środki techniczne i organizacyjne: Kontrole i sprawdzenia środków technicznych i organizacyjnych mają na celu ocenę adekwatności środków wdrożonych w celu zabezpieczenia przetwarzanych danych. Z wyjątkiem przetwarzania danych wysokiego ryzyka, może być zastąpiony ważnym certyfikatem ISO/IEC 27001 obejmującym cel ewaluacji.

S - Lista kontrolna audytów nadzoru: Kilka dodatkowych kryteriów jest określonych dla audytów nadzoru w celu oceny i zapewnienia ciągłej zgodności w czasie.

N - Obowiązki krajowe: Europrivacy wspiera ocenę zgodności z uzupełniającymi obowiązkami krajowymi poprzez dwa instrumenty:

• Profile obowiązków krajowych dla każdego z państw członkowskich Europejskiego Obszaru Gospodarczego. Te zasoby mogą być wykorzystane do przygotowania Raportu Oceny Zgodności z Obowiązkami Krajowymi (NOCAR).
• Rozszerzenie kryteriów krajowych Europrivacy do oceny i certyfikacji zgodności celu ewaluacji z uzupełniającymi krajowymi przepisami dotyczącymi ochrony danych. Te rozszerzenia są opcjonalne i używane dobrowolnie w celu rozszerzenia certyfikacji Europrivacy na odpowiednie jurysdykcje spoza UE.