ICO支持GDPR认证计划
英国信息专员办公室(ICO)公布的是从考虑制定一般数据保护条例(GDPR)认证计划的组织的“欢迎咨询”。
该公告与GDPR下的关于欧洲数据保护委员会(EDPB)完成了一轮磋商,以便采用全套准则和认证,确定认证标准和认证认证的认证和认证认证,以便更新ICO指引。身体。
欧盟成员国和监督机构等ICO以及欧洲委员会和欧盟委员会,规定是为了鼓励使用认证机制作为提高透明度和遵守GDPR的手段。
GDPR表示,认证也是一种手段,用于通过设计展示数据保护,默认情况下,并采取适当的技术和组织措施来确保数据安全性。
认证还可以支持将个人数据转移到第三国或国际组织。EDPB正在为国际转让的个人数据转让来解决认证指南。
因此,认证是一个符合责任原则的组织的自愿方法,符合GDPR。
ICO表示认证是数据控制器和处理器向其他企业,习惯性和监管机构展示数据保护的实用方法,并为客户提供快速评估特定产品或服务的数据保护水平,这提供了透明度用于习惯性和业务与业务关系。
ICO计划公布认证机构的认证要求以满足。认证机构将认可拜克认证服务(UKAS),该服务将维持公共登记册。
ICO将批准和发布认证方案标准,这些标准将来自GDPR原则和规则,但指出认证计划标准必须指定目标以及如何实现它们,以便展示合规性,并且必须与其他标准互操作,如那些标准由国际标准化组织设定。
然后,数据控制器和处理器可以申请其处理操作和服务的认证。
经认可的认证机构使用独立评估员可以评估资格和向这些标准发出认证。
一旦组织成功评估,将发出与该计划相关的数据保护证书,密封或标记。
ICO表示,通过定期评论,认证最多需要三年时间有效,如果组织不再符合认证标准,则可以撤回认证。
欧盟成员国跨国公司,艾普布将在公共登记册中融合所有欧盟认证计划。欧洲数据保护印章还有范围,方案标准由EDPB批准用于所有成员国。
根据ICO,认证方案的范围可能是一般的或特定的,例如,安全存储和保护数字保险库中包含的个人数据。
因此,认证可以涉及特定的个人数据处理操作或一组操作。这些处理操作将根据认证的认证机构根据认证计划标准进行评估。
认证将仅发出数据控制器和数据处理器,因此不能用于证明inpiduals,例如数据保护人员(DPO)。
GDPR第42(2)条还允许使用认证计划,以证明由控制员或处理器提供的适当保障措施,这些保障措施不受任何个人数据转移的GDPR。
一旦认证机构已经认可发出GDPR证书,将在ICO和UKAS的网站上发布此信息。预计未来几个月预计会出版认证和认证指南和附件。
一旦EDPB认证要求最终确定,ICO将向EDPB提交其其他意见。在认证附件的最终批准后,ICO可以开始接受认证计划以获得批准。
“ICO正在推广认证计划,作为组织通过使企业或辛勤化来区分哪些加工活动,运营和服务符合GDPR数据保护要求,并且他们可以将其个人数据”信任“,”Rohan表示全球律师事务所绳索和灰色的Massey,Co-Global of Privacy和网络安全主管。
“ICO建议,在向第三方签订工作并帮助履行其根据GDPR下的适当调查要求时,组织可能希望考虑他们是否持有其处理业务的GDPR证书。
“ICO仍然预防着组织,虽然认证有助于展示合规性,但它不会降低数据保护责任,”他说。“当ICO考虑罚款时,虽然认证将被视为减轻因素,但不遵守认证计划也可能是发出罚款的原因。”