Megjelent az első GDPR tanúsítvány

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Luxemburg az első ország, amely bevezeti a GDPR-kritériumok szerinti tanúsítási mechanizmust. A Nemzeti Adatvédelmi Bizottság (CNPD) 2022. május 13-án fogadta el a GDPR-CARPA tanúsítási mechanizmusát. A GDPR-CARPA az első olyan tanúsítási mechanizmus, amelyet a GDPR értelmében nemzeti és nemzetközi szinten is elfogadnak.

A Luxemburgban letelepedett vállalatoknak, hatóságoknak, egyesületeknek és egyéb szervezeteknek most lehetőségük van bizonyítani, hogy adatkezelési tevékenységeik megfelelnek a GDPR-nak. A GDPR-CARPA tehát a rendeletnek való magas szintű megfelelést kínálja az adatkezelők és -feldolgozók számára a tanúsítással érintett adatkezelési tevékenységeik során. A tanúsítási mechanizmus bevezetése elősegítheti az átláthatóságot és a GDPR-nak való megfelelést, és lehetővé teszi az érintettek számára, hogy jobban felmérhessék a személyes adataikat kezelő szervezetek által használt vagy kínált termékek, szolgáltatások, folyamatok vagy rendszerek által nyújtott védelem mértékét.

A GDPR tanúsítási mechanizmusa nem egy szervezetet, hanem konkrét adatkezelési műveleteket tanúsít.

A mai napig a CNPD az egyetlen olyan európai felügyeleti hatóság, amely GDPR tanúsítási mechanizmust dolgozott ki. A tanúsítási kritériumokat kidolgozó entitásként a CNPD a tanúsítási mechanizmus tulajdonosa. A GDPR 2018-as hatályba lépése óta a CNPD könyvvizsgálati szakemberekkel folytatott számos eszmecseréje segített meghatározni a GDPR-tanúsítvány értékét és típusát, amely hasznos lehet a luxemburgi ökoszisztémában. Ezekkel a szereplőkkel együttműködve a CNPD kidolgozta tanúsítási mechanizmusának első változatát. Ezt követően a többi európai adatvédelmi hatóság a konzisztencia-mechanizmus keretében megvizsgálta ezeket a kritériumokat, majd az Európai Adatvédelmi Testület (EDPB) hivatalos véleményt adott ki a GDPR-CARPA-ról.

Európai szinten a CNPD volt az EDPB által a tanúsítás terén elért előrehaladás úttörője az elfogadott iránymutatások előadójaként, illetve segítette az EDPB-t a tanúsítással kapcsolatos hivatalos vélemények kiadásában.

A GDPR-CARPA tanúsítási mechanizmus egyedülálló tulajdonsága, hogy a CNPD akkreditálja a GDPR-tanúsítványt kiállító szervezeteket. Ezen tanúsító testületek CNPD által kidolgozott akkreditációs kritériumai a GDPR-CARPA vonatkozásában az ISAE 3000 (audit), az ISCQ1 (auditáló szervezetek minőségellenőrzése) és az ISO 17065 (tanúsító szervezetek engedélyezése) szabványokon alapulnak.

Ezek az akkreditációs kritériumok határozzák meg a tanúsító szervezet és a szakmai auditorok munkáját. A CNPD megalkotott tanúsítási mechanizmus egyedülálló tulajdonsága, hogy az ISAE 3000 2. típusú jelentésen alapul, amely lehetővé teszi az ellenőrzési mechanizmus helyes végrehajtásáról vélemény kiadását, miközben az auditáló szervezet ezért felelősséget vállal.

Ez magas szintű bizalmat garantál, amely kulcsfontosságú tényező abban, hogy a szereplőkben, legfőképpen az érintettekben bizalmat építsenek ki a tanúsítási rendszer hatálya alá tartozó személyes adatkezelési műveletek GDPR-nak való megfelelése iránt.

(edpb.europa.eu)

---