前沿|EDPB批准德国州数据保护机关有关数据保护认证计划的意见
★
NEWS
★
当地时间2022年9月19日,欧洲数据保护委员会(EDPB)宣布其通过了德国北威州数据保护监管机构(North Rhine-Westphalia DPA)提交的关于EuroPriSe认证计划的意见 - Opinion 25/2022 regarding the European Privacy Seal (EuroPriSe) certification criteria for the certification of processing operations by processors (以下称“《意见》”),以认证数据处理者的处理活动。
根据《通用数据保护条例》(GDPR)第42(5)条和第70(1)(o)条的要求,对于欧洲数据保护印章,由EDPB负责批准。针对本次提交的EuroPriSe认证计划,EDPB指出,在确保欧洲经济区数据保护机构之间认证标准的一致性和正确应用的目标下,EuroPriSe认证标准可能导致与GDPR的适用要求不一致,因此,建议需要进行一些修改,以满足GDPR第42条的要求。
★
导读
★
欧盟数据保护认证的目标是鼓励成员国及其数据保护机构、欧盟数据理事会以及欧盟委员会在欧盟层面建立数据保护认证机制,以证明数据控制者和处理者的数据处理活动过程遵循 GDPR 的规定,同时兼顾到中小微企业的特殊需求。
此前,EDPB发布了《针对GDPR第42和第43条有关认证和识别认证标准的指南》(以下称“《指南》”),对认证制度的可重复性原则、归责工具性、关键概念和认证范围等进行了更加详细的阐释。
我们梳理了本次EDPB《意见》中提及的欧洲数据保护印章认证,以及GDPR数据认证相关角色职能,以供参考。
欧洲数据保护印章
例如,设立在某一成员国的国际学校希望其在线申请程序能获得欧盟范围内的数据保护认证,此时就涉及到欧洲数据保护印章发放问题。EDPB将在充分考虑各国现有的特殊制度前提下(比如对未成年人年龄规定的差异),制定出普遍适用的认证标准。
GDPR数据认证相关角色职能
数据控制者或处理者
- 自愿申请对其数据处理活动进行认证。
认证机构
- 基于认证方案和通过审批的认证标准颁发、审查、更新和撤销认证;
- 有权制定认证标准草案,提请DPA(如为国家级认证标准)或EDPB(如为欧盟通用认证标准)批准。
[注] 本次EDPB《意见》中提及的德国机构EuroPriSe即为提供GDPR认证业务的第三方机构。
数据保护监管机构(DPA)
- 认证职能,DPA自身有权颁发、审查、更新和撤销认证;
- 监管职能,负责批准国家级认证标准、了解认证机构签发的认证、定期对本机构签发的认证进行复查、有权要求认证机构不得颁发某个认证或撤销其已颁发的认证。
欧盟数据保护委员会(EDPB)
- 批准欧盟通用认证的标准;
- 核对、登记欧盟所有的数据保护认证机制、印章和标识,并以适当方式向公众公开;
- 就认证要求向欧盟委员会提出意见或建议。
高端视野|吴沈括 李涛:流量劫持的的刑法应对
吴沈括|数据要素市场建设中的公共数据与政企合作
吴沈括|欧盟2022年《数据治理法案》:数据要素流转利用的欧洲方案
速递|欧洲数据保护委员会关于欧美跨大西洋数据隐私框架协议的声明
欧洲数据保护委员会(EDPB)关于执法合作的声明(4月28日)
速递|欧洲数据保护委员会关于比利时数据保护机关独立地位的质疑关切
图文编辑:北京师范大学 张道中
来源:TMT法律论坛