Europrivacy认证体系入门-模块1：Europrivacy生态系统和认证过程

Europrivacy Introductory Course的学习笔记

---

GDPR对违规者处以巨额罚款而闻名，但除了法律、财务和声誉方面的风险之外，GDPR还为数据控制者和数据处理者提供了一个获得认证并证明其尊重数据主体权利的机会。由欧洲委员会资助的Europrivacy认证是一种针对个人数据保护的认证标准，旨在帮助组织确保其个人数据处理活动符合欧洲数据保护法规的要求，尤其是GDPR。

Europrivacy认证提供了一个透明、可验证的认证过程，组织可以通过参与认证来证明其个人数据保护措施的符合性。这里“透明”的意思是认证过程被设计得清晰、公开，并且对于寻求认证的组织来说易于理解。

Europrivacy认证全面且适用于几乎任何数据处理活动；适用于任何规模的组织；与GDPR的要求保持一致。藉由获取认证，组织可以证明其个人数据处理活动符合GDPR的要求，从而增强内外部信心，并获得竞争优势。

Europrivacy官方总结说能为其认证申请人提供了以下12项收益：

1. 通过系统的差距分析确定并减少法律和金融风险(GDPR第24、42、83条)；

2. 通过公正的第三方评估验证和证明GDPR合规性；

3. 通过GDPR认证提高声誉和市场准入；

4. 申请人的数据主体、B2B合作伙伴和利益相关者建立（对申请人的）信任和信心；

5. 简化跨境数据转移(GDPR第46条)；

6. 发展竞争优势，领先对手；

7. 加入GDPR合规的商业社区；

8. 受益于国际顶级法律和技术专家的持续合规更新；

9. 通过要求数据处理者获得认证，无成本的降低使用数据处理者的风险(GDPR第28条)；

10. 藉由竞争优势和成本的降低，将数据保护转变为收入和价值创造的来源；

11. 提高市场估值和长期增长；

12. 访问用于数据保护和合规性的在线资源和工具。

Terms and Definitions术语和定义

Applicantrefers to the Client of a Certification Body applying for certification or taking part in a certification process. The Applicant must be the Data Controller or Data Processor for the data processing that is in the intended scope of the certification.

申请人是指申请认证或参与认证过程的认证机构的委托人。申请人必须是认证范围内数据处理的数据控制者或数据处理者。

A Data Controller is the natural or legal person, public authority or other body that determines the purposes and means of processing personal data.

数据控制者是决定处理个人数据的目的和方式的自然人或法人、公共机构或其他团体。

A Data Processoris an entity processing data on behalf of a data controller or another data processor.

数据处理者是代表数据控制者或另一个数据处理者处理数据的实体。

A Data Subject is any identified or identifiable natural person whose data are processed.

数据主体是其数据被处理的任何已识别或可识别的自然人。

The Certification Body is a third-party conformity assessment body operating a certification mechanism. Certification Bodies are authorised to use Europrivacy to deliver a certificate of compliance.

认证机构是运行认证机制的第三方合格评定机构。认证机构有权使用Europrivacy标志交付合规证书。

When we use the term Consulting Firm or Law Firm, we refer to a  company that provides support services to an Applicant to comply with the applicable data protection regulations.

当我们使用术语咨询公司或律师事务所时，我们指的是为申请人提供支持服务以遵守适用的数据保护法规的公司。

A National Supervisory Authority or Data Protection Authority is the official authority in charge of ensuring that personal data processing activities complies with the regulation.

国家监管机构或数据保护机构是负责确保个人数据处理活动符合法规的官方机构。

The Scheme Owner is the organisation that is in charge of maintaining a Certification Scheme. It maintains and revises the certification criteria and requirements to assess conformity. In the case of Europrivacy, the Scheme Owner is the European Centre for Certification and Privacy (ECCP).

框架所有者是负责维护认证框架的组织。它维护和修订认证标准和要求，以评估符合性。就Europrivacy而言，该框架的所有者是欧洲认证和隐私中心(ECCP)。

Europrivacy旨在提供高度可靠和高效的gdpr合规认证，利用了GDPR、EDPB指南和其他标准来源（如ISO），其设计符合 ISO/IEC 17065 和ISO/IEC 17021-1 要求，它还可以轻松地与 ISO/IEC 27001 认证相结合。

Europrivacy利用四个互补类别的认证标准，形成了一个特定的认证模型：

1、Europrivacy核心标准(Europrivacy core criteria)

适用于所有认证的通用标准，确保所有Europrivacy认证的一致性和同质性

2、补充检查和控制(complementary checks and controls)

聚合了各技术或应用领域的特定标准，适用于特定类别的数据处理。

例如，使用人工智能的数据处理在个人数据保护方面面临特殊风险，因此 Europrivacy提供了具体的补充标准，如果数据处理使用人工智能，则必须用这些标准进行验证。

3、技术和组织措施（TOM,technical and organizational measures）

用于评估申请人制定的技术和组织措施的充分性，以确保数据处理的安全。这些TOM标准通常可以替换为有效的iso/iec 27001认证。

4、国家要求(national requirements)

数据处理受补充性国家法规的约束，这些法规构成了Europrivacy认证所考虑的第四类主要标准。Europrivacy提供了一整套资源来识别并符合这些国家要求。

获得对其数据处理活动的认证，要求：

1、申请人的数据处理必须符合适用的数据保护法规，包括GDPR和申请人总部所在国家监管要求；

2、申请人必须有一名指定的数据保护官员，并有其数据处理活动的记录；

3、申请人必须准备并形成正式文件证明其符合Europrivacy标准。

怎么做呢？很简单（PPT讲解者说的~~）

1、申请人形成正式文件证明其符合Europrivacy标准，这可以从在线的Europrivacy Academy、合格的合作伙伴（应该是拥有受过训练的合格的implementer和auditor的咨询机构或律所）和社区工具获得支持；

2、聘请有资质的认证机构对其数据处理是否符合Europrivacy标准进行评估和认证；

3、一旦数据处理获得认证，申请人可从Europrivacy社区获得监管更新、工具和良好实践，从而保持并增强其数据处理的一致性，以应对法规中的任何变化。

Europrivacy认证是一个简单而渐进的过程。

这个过程开始于确保要认证的数据处理符合适用的数据保护法规。

在第一阶段，重点是降低申请人的法律和财务风险。Europrivacy标准用于确定潜在的差距和申请人需要解决的剩余不符合项。

这一过程可由合格的律师事务所或咨询公司提供支持，也可利用在线工具来生成是否符合Europrivacy标准的证据文件。

一旦申请人的数据处理活动准备好进行认证，就可聘请认证机构对符合性进行评估和认证。

一旦数据处理被评估为符合要求，Europrivacy证书将在官方的在线登记处注册和公布，并监测其有效性。

申请人可在其对外沟通中开始使用该认证标识。

一旦获得认证，申请人将受益于Europrivacy社区和服务，以了解监管和要求的变化。Europrivacy社区网站使申请人的DPO能够访问一整套资源和工具，以保持和提高其符合性。

Europrivacy的持续支持

Europrivacy认证为所有利益相关者（包括最终用户、B2B合作伙伴、高层管理人员和股东）提供了一个全面的解决方案，以增强他们的信任和信心。

获得Europrivacy认证是由一个相辅相成的合作伙伴和资源组成的综合生态系统支持的过程。申请人可以利用各种利益相关者和工具。

咨询公司可以在整个过程中为申请人提供认证和数据处理合规方面的支持。

在开始阶段，隐私协议和自我评估等工具可帮助申请人确保其数据处理符合要求，并有资格申请Europrivacy认证。

准备就绪后，由认证机构（必须获得ECCP的授权，并拥有国家主管部门的有效认可）对合规性进行评估和差距分析。 潜在的不符合项由申请人通过纠正措施进行处理。 一旦认证机构核实了申请人的合规性，它将向申请人签发一份证书，Europrivacy官方证书登记处公布该证书，并监测其有效性。

一旦数据处理获得认证，申请人可从Europrivacy社区获得监管更新、工具和良好实践，从而保持并增强其数据处理的一致性，以应对法规中的任何变化。

在申请认证之前，申请人必须进行某些初步活动。

首先，申请人必须确保其数据处理活动符合GDPR的规定，作为Europrivacy的一部分，必须有指定的数据保护官员DPO以及数据处理活动登记册，且必须记录上述行动。Europrivacy官方鼓励申请人事先准备并系统地记录其遵守GDPR和Europrivacy标准的情况。

GDPR隐含地要求制定一定数量的内部政策和程序，例如有关处理数据主体请求的政策和程序。

在Europrivacy认证过程中，申请人的DPO需要以书面形式确认一定数量的要求。Europrivacy组织提供了供申请人使用的声明范例。

GDPR和EDPB都要求在提供合规证明时考虑到国家义务，以满足这些要求。

Europrivacy要求申请人由其DPO或合格的法律专家来评估被评估对象（也就是申请人咯）是否符合适用的国家特定义务。为促进这一过程，ECCP建立了国家概况，包括最重要的国家特定义务清单。

Europrivacy官方似乎强烈建议（应该不是强制）借助资质的律师事务所或咨询公司开展认证工作。

在整个认证过程（包括前期活动）中，如需额外支持，申请人可联系有资质的律师事务所或咨询公司，其名单可在Europrivacy网站上查询。

咨询公司通常会在其报价方案中包含一个欢迎包，使申请人能够获得一系列资源和服务。

申请人也可以直接从Europrivacy Certification Scheme所有者（即ECCP）处购买欢迎包，或在Europrivacy社区网站注册以获取更多资源。

然后申请人再对接一家合格的咨询公司，咨询公司准备报价方案。

如果申请人接受，就可以开始认证的前期活动了。

第一模块总结：

1、个人数据保护在欧洲被视为一项基本权利。GDPR的通过为个人数据的处理制定了强有力的规则。

2、GDPR中70多处提到认证。特别是在GDPR第42条和第43条中指出，认证作为数据控制者和数据处理者证明其数据处理活动符合法规的一种手段。

3、认证要求由独立、合格的认证机构对数据处理活动是否符合数据保护法规进行评估和认证。

4、Europrivacy 的开发是为了提供高度可靠和高效的GDPR合规认证。

5、该认证是数据控制者或处理者可以得到数据主体信任的有力证明。

6、它充分利用了公正、合格的审核人员的专业知识。

7、它设计全面，能够对大量数据处理活动进行评估。

8、它为识别不符合项、评估合规性、加强数据保护以及建立信任和信心提供了一个高度可靠和高效的解决方案。

9、Europrivacy认证计划提供了认证机构和审核人员必须遵守的规范和要求。

10、Europrivacy认证程序简单而循序渐进，申请人可以利用不同的利益相关者和工具。

11、咨询公司及其合格的实施人员可为申请人提供支持，帮助其认证和维护数据处理合规性。

12、认证机构在其审核员的支持下对合规性进行评估和差距分析。

13、一旦合规性得到验证，认证机构将颁发Europrivacy证书。

14、在整个过程中，申请人、咨询公司和认证机构将得到各种工具的支持，并可获得大量资源。