01. 什么是通用數(shù)據(jù)保護(hù)GDPR認(rèn)證?

  通用數(shù)據(jù)保護(hù)GDPR管理體系認(rèn)證受認(rèn)可的認(rèn)證:

  是對組織通用數(shù)據(jù)保護(hù)GDPR管理體系要求的一種認(rèn)證。這是一種通過第三方審核之后提供的保證：受認(rèn)證的組織實(shí)施了通用數(shù)據(jù)保護(hù)GDPR管理體系，并且符合通用數(shù)據(jù)保護(hù)GDPR管理體系標(biāo)準(zhǔn)的要求。

  通過通用數(shù)據(jù)保護(hù)GDPR管理體系認(rèn)證的組織，將會(huì)被注冊登記，在中國國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)(CNCA)網(wǎng)站進(jìn)行查詢。

  2. 企業(yè)組織如何應(yīng)對通用數(shù)據(jù)保護(hù)GDPR?

  組織如何應(yīng)對通用數(shù)據(jù)保護(hù)GDPR?

  組織應(yīng)立即：

  1. 較高管理層應(yīng)予以重視;

  2. 引入第三方專業(yè)認(rèn)證機(jī)構(gòu)進(jìn)行差距分析和風(fēng)險(xiǎn)評估。

  3. 任命一名數(shù)據(jù)保護(hù)主任。(第三十七條)著眼改善自身數(shù)據(jù)處理方式;

  4. 培訓(xùn)您的員工。(第四十七條) 針對 GDPR 開展內(nèi)部全員意識(shí)培訓(xùn)，了解法規(guī)要求，提升日常工作操作規(guī)范

  5. 識(shí)別在您的組織的個(gè)人資料及相關(guān)處理活動(dòng)。(第三十條)

  6. 確定個(gè)人的7個(gè)數(shù)據(jù)權(quán)利的處理方案。(第15 - 22條)實(shí)施降低風(fēng)險(xiǎn)的管理措施;并對實(shí)施效果進(jìn)行定期評估改善;

  7. 確定您的公司在歐盟的主要辦事處，從而確定帶頭的監(jiān)督機(jī)構(gòu)。(第四條) 制定GDPR 合規(guī)進(jìn)度的計(jì)劃,并向歐盟監(jiān)管機(jī)構(gòu)上報(bào)

  8. 如果您沒有在歐盟設(shè)立機(jī)構(gòu)，您仍然需要一個(gè)駐歐盟代表(第二十七條)。

  9. 在這種情況下，從歐盟第二十九條數(shù)據(jù)保護(hù)工作組的澄清文件wp244點(diǎn)2.2中，將沒有帶頭的監(jiān)督機(jī)構(gòu)。然后公司將需要遵守所有適用的監(jiān)督機(jī)構(gòu)的規(guī)定，號(hào)召上下游利益相關(guān)方企業(yè)協(xié)同應(yīng)對合規(guī)風(fēng)險(xiǎn)

  10.證明合規(guī)。

  3. 那些企業(yè)需要申請通用數(shù)據(jù)保護(hù)GDPR認(rèn)證?

  哪些企業(yè)需要遵循通用數(shù)據(jù)保護(hù)GDPR

  GDPR管轄范圍主要包括以下四類：

  1.在歐洲設(shè)立的企業(yè);

  2.未在歐洲但在歐洲成員國法律適用的地方建立的企業(yè);

  3.未在歐洲設(shè)立的，但為歐洲區(qū)民提供產(chǎn)品或服務(wù)的企業(yè);

  4.未在歐洲建立的、但涉及監(jiān)控歐洲居民行為的企業(yè)(比如：網(wǎng)站收集瀏覽數(shù)據(jù)用以分析用戶習(xí)慣)。

  通用數(shù)據(jù)保護(hù)GDPR針對領(lǐng)域：

  1.IOT智能家居產(chǎn)品生產(chǎn)企業(yè)

  2.IT通訊設(shè)備企業(yè)互聯(lián)網(wǎng)企業(yè)和APP

  3.醫(yī)療器械生產(chǎn)企業(yè)

  4.智能汽車及主要電子部件供應(yīng)商

  5. 有網(wǎng)站且能在歐洲獲取個(gè)人信息的企業(yè)

  誰需要通用數(shù)據(jù)保護(hù)GDPR認(rèn)證

  所有GDPR中定義的需要了解數(shù)據(jù)保護(hù)和歐洲相關(guān)法律要求的組織成員/機(jī)構(gòu)代表/企業(yè)員工。

  4. 企業(yè)申請通用數(shù)據(jù)保護(hù)GDPR認(rèn)證有什么條件?

  申請通用數(shù)據(jù)保護(hù)GDPR管理體系認(rèn)證的基本條件：

  1) 中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》、《生產(chǎn)許可證》或等效文件;外國企業(yè)持有關(guān)機(jī)構(gòu)的登記注冊證明。

  2. 申請方的通用數(shù)據(jù)保護(hù)GDPR管理體系已按通用數(shù)據(jù)保護(hù)GDPR管理體系標(biāo)準(zhǔn)的要求建立，并實(shí)施運(yùn)行3個(gè)月以上。

  3. 至少完成一次數(shù)據(jù)保護(hù)/隱私影響評估、內(nèi)部審核，并進(jìn)行了管理評審。

  4. GDPR管理體系運(yùn)行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰。

  5. 企業(yè)受到行政處罰，已經(jīng)處理掉了，沒有暫停營業(yè)

  6. 申請范圍不超出資質(zhì)許可范圍、不超出認(rèn)證機(jī)構(gòu)的業(yè)務(wù)范圍;

  7. 無違規(guī)轉(zhuǎn)機(jī)構(gòu)、無違法、無失信;

  8. 申報(bào)人數(shù)與實(shí)際人數(shù)相差不超出20%;

  9.提供企業(yè)業(yè)務(wù)相關(guān)的必備資質(zhì)：如系統(tǒng)集成資質(zhì)、安防資質(zhì)等，并且保證資質(zhì)的有效性 和合法性。

  5. 申請通用數(shù)據(jù)保護(hù)GDPR管理體系認(rèn)證的流程是什么?

  1、按照通用數(shù)據(jù)保護(hù)GDPR管理體系標(biāo)準(zhǔn)要求建立體系框架;

  2、體系建立后，需要運(yùn)行一段時(shí)間，至少三個(gè)月，產(chǎn)生三個(gè)月的運(yùn)行記錄;

  3、向認(rèn)證機(jī)構(gòu)遞交審核申請;

  4、認(rèn)證機(jī)構(gòu)評估費(fèi)用和正式審核時(shí)間;

  5、認(rèn)證機(jī)構(gòu)將進(jìn)行預(yù)審，在正式審核前排除一些重大的確失，同時(shí)讓客戶熟悉審核的方法危險(xiǎn)評估，審查方針，范圍和采用的程序。檢查體系中遺漏和繁瑣需要修改的地方;

  6、認(rèn)證機(jī)構(gòu)將進(jìn)行第二階段審核，主要進(jìn)行實(shí)施審核，查看程序規(guī)定的執(zhí)行情況。認(rèn)證機(jī)構(gòu)通常將現(xiàn)場審核并給出建議;

  7、如果能順利完成審核，在確定清楚認(rèn)證范圍后，發(fā)放通用數(shù)據(jù)保護(hù)GDPR管理體系認(rèn)證證書。在滿足持續(xù)審核情況下，三年有效。

  6.助力企業(yè)通過通用數(shù)據(jù)保護(hù)GDPR認(rèn)證的方法?

  我們理解數(shù)據(jù)對于您企業(yè)的價(jià)值以及數(shù)據(jù)泄露的嚴(yán)重影響。我們的審核團(tuán)隊(duì)將同您的企業(yè)合作，洞察有關(guān)數(shù)據(jù)保護(hù)的一系列問題并提供解決方案，并幫助您：

  1.在不同監(jiān)管環(huán)境下，運(yùn)用良好實(shí)踐來實(shí)現(xiàn)并維持對歐盟數(shù)據(jù)保護(hù)要求的符合性

  2. 策劃并實(shí)施應(yīng)對這一歐盟新規(guī)的相關(guān)舉措

  3. 了解您的數(shù)據(jù)保護(hù)要求：

  數(shù)據(jù)保護(hù)實(shí)施支持

  數(shù)據(jù)保護(hù)官(DPO)服務(wù)(現(xiàn)場服務(wù)和/或虛擬服務(wù))

  數(shù)據(jù)保護(hù)/隱私影響評估

  數(shù)據(jù)保護(hù)培訓(xùn)

  數(shù)據(jù)保護(hù)審核支持(內(nèi)部和/或外部)

  這些服務(wù)將生成具有可行性的以政策為導(dǎo)向的解決方案，以推動(dòng)企業(yè)在審核中取得良好的結(jié)果。