GDPR 简介    

GDPR，即《通用数据保护条例》（General Data Protection Regulation），是欧盟自 2018 年 5 月 25 日起施行的一项极为重要的法规。其核心目的在于保障欧盟境内数据主体的个人数据安全与隐私权益，同时对数据控制者和处理者的个人数据处理活动予以规范和约束。该条例适用范围广泛，只要涉及向欧盟境内数据主体提供商品或服务过程中的个人数据处理，即便数据控制者或处理者并非设立在欧盟境内，也同样受其规制 。

认证意义    

1.
增强信任：企业通过获得 GDPR 认证，能够向客户、合作伙伴以及公众有力地表明自身对数据保护的高度重视，进而增强各方对企业的信任度，这对提升企业的品牌形象与市场声誉大有裨益。

2.
降低风险：有助于企业更为有效地管理数据安全风险，大幅降低因数据泄露等违规行为而可能面临的巨额罚款、法律诉讼以及业务中断等严重风险。

3.
提升管理水平：促使企业构建完善的数据保护管理体系，优化数据处理流程，全方位提高企业的整体管理水平与运营效率。

4.
拓展市场：在全球化业务拓展进程中，尤其是针对与欧盟市场相关的业务，获取 GDPR 认证是企业合规运营的关键保障，能够助力企业顺利进入欧盟市场，并与欧盟企业展开深度合作。

认证条件    

1.
合法资质：中国企业需持有工商行政管理部门颁发的《企业法人营业执照》《生产许可证》或与之等效的文件；外国企业则需持有相关机构出具的登记注册证明。

2.
体系运行：企业所构建的通用数据保护 GDPR 管理体系，必须依照通用数据保护 GDPR 管理体系标准的要求进行搭建，且已持续运行超过 3 个月。

3.
评估与评审：至少完成一次数据保护 / 隐私影响评估、内部审核，并切实开展管理评审工作。    

4.
无重大违规：在 GDPR 管理体系运行期间以及体系建立前的一年内，企业未受到主管部门的行政处罚。若企业曾有过行政处罚记录，必须已妥善处理完毕，且企业未处于暂停营业状态。

5.
范围相符：申请认证的范围不能超出企业自身资质许可范围以及认证机构的业务范畴。

6.
合规诚信：企业不存在违规转机构的行为，无违法行为，也无失信记录。

7.
人数匹配：申报人数与企业实际人数的差异不得超过 20%。

8.
必备资质：需提供与企业业务相关的必备资质，诸如系统集成资质、安防资质等，并确保这些资质的有效性与合法性。

认证流程    

1.
建立体系：企业严格依据通用数据保护 GDPR 管理体系标准要求，明确数据保护的方针与目标，清晰界定各部门和岗位在数据保护工作中的职责与权限，建立起相应的管理制度与流程，从而构建起完整的体系框架。

2.
体系运行：体系搭建完成后，需持续运行至少三个月，并生成运行记录，以此证明体系的有效性与适用性。

3.
提交申请：企业向具备资质的认证机构提交审核申请，并同时提交相关资料，例如企业营业执照、组织架构图、数据处理流程说明等。

4.
评估与安排：认证机构对企业提交的申请资料进行全面评估，进而确定审核范围、费用以及正式审核时间。

5.
预审：认证机构在正式审核之前开展预审工作，排查重大缺失问题，帮助企业熟悉审核方法、风险评估等内容，同时检查体系中有待修改完善的地方。

6.
正式审核：正式审核包含文件审核和现场审核两个环节。审核员会仔细检查企业的文件记录，核实数据保护措施的实际执行情况，与相关人员进行访谈，深入了解其对数据保护的认知与执行状况等。

7.
认证决定：审核工作结束后，认证机构依据审核结果做出是否颁发认证证书的决定。若企业顺利通过审核，在确定认证范围后，将获得通用数据保护 GDPR 管理体系认证证书，该证书在满足持续审核的情况下，通常有效期为三年。    

认证后的监督与管理    

1.
持续改进：企业应当持续对数据保护管理体系的运行效果进行监控与评估，根据企业内部和外部环境的变化，不断对体系进行改进与完善，确保其始终符合 GDPR 的相关要求。

2.
监督审核：认证机构会在证书有效期内定期开展监督审核，检查企业是否持续满足认证要求。一般情况下每年进行一次，若发现问题，企业需在规定时间内完成整改。

3.
证书更新：在证书有效期即将届满前，企业若希望继续维持认证资格，应当在规定时间内提交证书更新申请，认证机构会重新进行审核，审核通过后将颁发新的认证证书。