首个欧盟GDPR合规认证机制（GDPR-CARPA）近日由卢森堡出台！附实施规则原文

立即扫码，报名《数据安全合规与实践课》11讲

如需GDPR-CARPA实施规则PDF原文，请在公号“数据法盟”后台回复关键词“首个GDPR合规认证”，即可下载！

来源：CNPD

整理人：迟迅，上海交大法学院硕士生

卢森堡成为第一个根据GDPR标准引入认证机制的国家。

卢森堡数据保护机构CNPD已于2022年5月13日推出其认证机制GDPR-CARPA。GDPR-CARPA是欧盟根据GDPR《通用数据保护条例》在国家和国际层面上推出的第一个认证机制。

GDPR-CARPA启动会议将于2022年6月28日14时举行，具体包括以下内容：

1. 个人数据保护方面的认证

在卢森堡成立的公司、公共机构、协会和其他组织现在有可能证明其数据处理活动符合GDPR的要求。因此，GDPR-CARPA为控制者和处理者提供了认证所涵盖的数据处理活动的高度合规性。

认证机制的实施可以促进GDPR的透明度和合规性，并允许数据主体更好地衡量处理其个人数据的组织所使用或提供的产品、服务、流程或系统的保护程度。GDPR认证机制并不认证一个组织，而是认证具体的处理操作。

2. GDPR-CARPA：GDPR下的第一个认证机制

迄今为止，CNPD是唯一开发了GDPR认证机制的欧洲监管机构。作为制定这些认证标准的实体，CNPD是该认证机制的所有者。

自GDPR于2018年生效以来，CNPD与审计专业人士进行了多次交流，这有助于确定GDPR认证的价值，以及在卢森堡生态系统中可能有用的GDPR认证类型。在与这些行为者的协调下，CNPD开发了其认证机制的第一个版本。此后，其他欧洲数据保护机构根据一致性机制审查了这些标准，欧洲数据保护委员会（EDPB）随后发布了关于GDPR-CARPA的正式意见。

在欧洲层面上，CNPD一直推进EDPB在认证领域的进展，一直扮演相关指南报告员和提出意见的角色。

3. GDPR-CARPA认证机制的独特功能

在卢森堡，CNPD对将发布GDPR所涵盖的实体进行认证。CNPD为这些认证机构制定的关于GDPR-CARPA的认证标准是基于ISAE 3000（审计）、ISCQ1（审计组织的质量控制）和ISO 17065（认证实体的许可）。这些认证标准框定了认证实体和专业审计人员所做的工作。

CNPD认证机制的独特之处在于，它是基于ISAE 3000类型的报告，可以对控制机制的正确实施发表意见，而审计师则被正式追究责任。

这保证了较高的可信度，这是让相关行为者，最重要的是让数据主体对认证计划所涵盖的个人数据处理建立信任的关键因素。

以下是GDPR-CARPA的实施规则全文：

#DPOHUB介绍#

愿景

• 一个聚焦数据隐私和数据安全的非盈利性高端学术平台；

• 一个整合法律、技术及管理的专业数据合规生态体；

• 一个制造干货、相互赋能及塑造职业品牌的数据合规共同体。

实践

• 宗旨：实现国际化和本土化深入融合的高端智库。以全球视野，为中国数据立法建言；以中国智慧，为国际数据规则献策。

• 定位：强调俱乐部的公益性、专业性及影响力。

• 形式：定期举行线下闭门会议，至少2月一次。

• 主题：意在解决企业最急需解决的数据合规实务问题。

• 方案：聚焦“法律+技术+管理”的落地化解决方案，强调差异化策略。

• 成员：发起人和会员都仅限甲方，乙方只能以合作者或志愿者方式有限度地参与。

• 特色：定期发布深度报告和白皮书，并择机结集出版。

会员申请|DPOHUB数据保护官俱乐部

申请条件

• 认可DPOHUB的理念及宗旨；

• 愿意积极参与DPOHUB的线上线下活动；

• 愿意参与撰写深度报告、白皮书及实务文章；

• 在甲方从事数据隐私或数据安全的工作；

• 愿意缴纳年费。
  

扫描二维码，立即报名