附全文及概要 | EDPB公开首个关于跨境认证的指南文本
欢迎点击上方 TMT法律论坛 关注我们
导读
Law
★
NEWS
★
6月14日,欧盟数据保护委员会(European Data Protection Board,“EDPB”)通过了首个关于跨境认证的指南《关于认证作为跨境传输工具的07/2022号指南》(以下称“认证指南”),并于6月30日公开其文本。
作为对《关于GDPR第42—43条规定的认证和认证标准的01/2018号指南》(以下称“01/2018号指南”)的补充,《认证指南》将用于指导GDPR下跨境传输认证机制的实践应用。
本文梳理了《认证指南》文本的主要结构与内容,与读者分享。
获取《认证指南》pdf版本全文,请点击文末“阅读原文”。
EDPB公开首个关于跨境认证的指南文本
当地时间6月30日,EDPB公开了首个关于跨境认证的指南文本,在9月30日前面向公众征求意见。
《认证指南》为数据传输方依据GDPR第46(2)(f)条进行个人数据跨境传输认证提供应用指导。
《认证指南》由正文及一个附件组成。其中,正文包括四个部分,附件则以场景化方式对补充措施进行了举例。
第一部分:总则
《认证指南》的目的、范围:《认证指南》是对01/2018号指南的补充,旨在为GDPR第46(2)(f)条的应用提供指导;
GDPR下适用于个人数据跨境传输的一般规则:根据GDPR第44条,向第三国或国际组织跨境传输个人数据,需:(1)确保遵守GDPR的一般规定,(2)确保遵守GDPR第五章的规定;
所涉及的不同参与者及其各自在认证机制中的角色:如EDPB和监管机构(SAs)有权批准认证标准;国家认证机构/SAs可认证第三方认证机构;经认证的第三方认证机构可形成完整的认证方案,并根据认证方案中的认证标准和要求进行合规性评估,颁发认证;
认证作为数据跨境传输工具的范围和对象:
认证范围:与评估目标契合,一般为数据接收方在第三国对从EEA接收到的数据的处理活动,及在数据接收方控制下的一切数据处理活动;
认证对象:系列数据处理活动或单个数据处理活动;
认证申请实体:与认证范围相关的第三国数据接收方;
数据传输方在认证机制中的作用:遵守GDPR规定义务;核实认证是否有效(如检查其与数据接收方的认证协议等);评估认证在第三国现行法律和惯例下是否有效;如前述条件无法满足,则需要求数据接收方采取适当补充措施;
认证的程序:自愿性,基于EDPB或SAs批准的标准进行,SAs有权撤销所颁发的认证。
第二部分:认证要求的实施指南
EDPB认为,根据GDPR第64(1)(c)条通过的04/2018号指南和ISO 17065起草的附加认证要求已经涵盖了认证机构认证作为数据跨境传输工具所需的具体要求。同时,EDPB在《认证指南》中就04/2018号指南中的“资源要求”“过程要求”“影响认证的变更要求”进行了诠释。
第三部分:具体的认证标准
认证标准实施指南:EDPB认为,根据01/2018号指南等文件起草的认证方案已经涵盖了需囊括的大部分认证标准;同时,EDPB对“认证机制和评估对象”“透明性和数据主体的权利”“保护的技术和组织措施”等认证方案应包括的具体内容做了阐述;
其他特定认证标准:
EDPB指出,为了确保维持同等保护水平,认证方案还需包括涉及如下要素的特定认证标准:
对第三国立法的评估,如是否要求数据接收方评估其所在第三国立法与实践情况会否影响认证;
数据传输方和接收方的一般义务,如是否要求双方在协议中描述认证适用的具体数据跨境传输情形,及相关数据主体构成第三方受益人;
再传输的规则,如是否要求再传输也需遵循认证的保障措施;
补救和执行,如是否要求数据主体可根据GDPR第77条向EEA的主管监管机构提出投诉;
针对国家立法妨碍遵守作为认证一部分承诺的情况的程序和行动,如是否要求数据接收方承诺,在有理由相信适用于其的立法和实践的变化可能会阻止其履行其在认证下的义务时,它将立即通知认证机构和数据传输方,以便后者能够评估是否立即停止传输;
处理第三国当局的数据访问请求,如是否要求数据接收方在第三国当局提出数据访问请求时,立即通知数据传输方;
数据传输方的附加保障措施。
第四部分:待履行的具有约束力和可执行的承诺
该部分明确了不受GDPR约束的数据接收方为保障转移至第三国的数据安全而应作出的具有约束力和可执行的承诺中应涉及的内容,如数据接收方应保证其没有理由相信第三国适用的法律和惯例,包括披露个人数据的任何要求或授权公共当局访问个人数据的任何措施,会阻止其履行认证中作出的承诺。
承诺可在合同等文书中作出。
作者往期文章推荐
中伦解读
域外关注
本期编辑:陈瑊 陈煜烺 林婉琪