法国:CNIL发布数据处理者认证标准草案并公开征求意见
点击文末“阅读原文”,查看官方通告原文。
近日,法国数据保护委员会(CNIL)正式启动关于数据处理者(sous-traitants)认证标准草案的公示咨询,咨询将持续至2025年2月28日。该标准旨在为数据处理者提供一个清晰的合规评估框架,帮助他们展示其数据处理过程符合《通用数据保护条例》(GDPR)要求。
根据GDPR,所有为其他组织处理个人数据的数据处理者(sous-traitants)必须遵守相关的合规要求。此认证标准将帮助数据处理者在处理个人数据时符合必要的合规性,并为数据控制者(responsable de traitement)提供可信赖的评估工具,以便其选择符合要求的数据处理者。
该认证标准框架包括90个评估点,围绕数据处理的不同阶段进行详细考核,确保数据处理者从多个角度满足合规要求。框架内容具体分为以下五个部分:
合同签署阶段:评估数据处理者与数据控制者之间的合同是否符合GDPR要求,确保双方明确数据处理目的、方式及责任。
处理环境准备:这一部分考核数据处理者是否为数据处理提供了合适的技术和组织保障,确保数据在整个处理过程中得到有效保护,尤其是在数据安全和隐私保护方面。
数据处理实施:评估数据处理过程中的具体措施,包括数据访问控制、数据加密、数据存储等操作,确保所有处理步骤都符合数据保护要求。
数据处理结束:这一部分考核数据处理结束后的流程,包括数据删除、数据存储期限的管理以及是否按规定进行数据销毁或归还等。
行动计划:针对认证周期(3年且可续期)内,数据处理者需要执行的持续改进措施,确保在整个认证周期内,不断提高数据保护的成熟度。
此次认证标准旨在为各类数据处理者提供一个全面、系统的合规评估工具,尤其适用于那些提供“标准化”服务的服务商。认证标准为数据处理者提供了灵活性,可以根据其需求选择特定服务或处理活动进行认证。评估将由授权的认证机构负责,并依据CNIL发布的指导性文件进行详细审查。
此次公示咨询特别欢迎中小型企业参与,CNIL希望通过广泛收集各方反馈进一步完善这一认证标准,使其更符合实际应用需求。
来源:CNIL
一个专注于数据、网络安全、科技、媒体和通信(TMT)领域,以及环境、社会和治理(ESG)法律发展的频道,致力于与您分享我们对法律法规、行业动态方面的独家观点和深入解读。
