2022年10月10日,欧洲数据保护委员会(EDPB)通过《关于欧洲隐私认证标准的第28/2022号意见》,批准欧洲隐私(Europrivacy)作为欧洲数据保护认证机构,根据《通用数据保护条例》(以下简称GDPR)第42条第5款进行认证。Europrivacy使得公司能够评估和证明其个人数据处理的合规性。
Europrivacy是由欧洲研究计划开发的一种创新方法和认证计划,旨在简化、增强和证明对个人数据保护法规的遵守。Europrivacy认证使所有利益相关者能够识别和选择有效应用个人数据保护的企业,它使企业能够认识到其自身在合规方面存在的潜在差距,并减少其法律、财务和声誉风险。Europrivacy由一个国际专家委员会监督并不断更新,以应对监管变化。Europrivacy认证证书将在所有欧盟成员国得到正式认可,并被数据保护监管机构考虑在内。
本意见是EDPB通过的第一个数据认证意见,其囊括了一整套基于事实的详细标准并降低了评估时的主观风险。同时,这些标准也全面涵盖了GDPR及其适用的补充要求,将有利于欧盟更好地实施个人数据保护方面的认证计划,是建立消费者信任的一个关键里程碑。Europrivacy将率先在欧盟开始应用,并将逐步扩展到其他国家。
EDPB考量因素
根据GDPR(2016/679/EU)第63条、第64条第2款和第42条的内容,以及《议事规则》第10条和第22条的规定,即各成员国、监管机构、欧洲数据保护委员会(以下简称“EDPB”)和欧盟委员会应鼓励(特别是在联盟层面)建立起数据保护认证机制(以下简称“认证机制”)以及数据保护印章和标志,以证明数据控制者和数据处理者的业务运作方式符合GDPR的规定。同时,还应考虑到微型、小型和中型企业的具体需要。此外,认证机制的建立可以提高数据保护的透明度,使数据主体能够评估相关产品和服务的数据保护水平。
认证标准是认证机制的重要组成部分。因此,GDPR要求数据监管机构认可国家认证机制的标准(GDPR第42条第5款和43条第2款b项),如果是欧洲数据保护标志,则由EDPB批准(GDPR第42条5款和第70条第1款o项)。
本意见旨在通过监管机构、数据控制者和数据处理者根据核心要素以确保GDPR的一致应用,需要通过认证机制的发展来实现。值得关注的是,EDPB的评估是在“关于认证的第1/2018号指南和根据条例第42条和第43条确定的认证标准”(以下简称“指南”)及其提供“认证标准评估指南”的增编(以下简称“增编”)的基础上进行的,其公众咨询期已于2021年5月26日结束。
EDPB承认每个认证机制应单独处理,并且不影响对任何其他认证机制的评估。认证机制应使数据控制者和数据处理者能够证明其谨遵GDPR的要求。因此,其标准应适当反映GDPR中规定的有关保护个人数据的要求和原则,并有助于其一致性应用。同时,认证应该通过帮助数据控制者和处理者实施标准化和特定的组织和技术措施,这些措施应既有利于显著地促进和加强运行处理过程契合GDPR的要求,又可以考虑到具体部门的需求。
应该说,认证是自愿的担责工具,遵守认证机制既不会减轻数据控制者或数据处理者遵守GDPR的责任,也不会妨碍监督机构根据GDPR和相关国家法律执行任务和行使权力。
主要内容
事实概览
根据GDPR第42条第5款和准则,欧洲隐私v.60标准(以下简称“认证标准”或“标准”)是由欧洲认证和隐私中心(以下简称“方案所有者”)起草的。卢森堡数据监管机构于2022年9月28日根据GDPR第64条第2款的规定向EDPB提交了欧洲隐私认证标准,以供批准。2022年9月28日,EDPB作出了关于文件完整性的决定。
根据GDPR第46条第2款f条,欧洲隐私认证机制不是用于个人数据进行国际转移的认证,因此,在该项规定下,当个人向第三国或国际组织转移个人数据时,其框架内并没有配备适当的保障措施。事实上,任何向第三国或国际组织转移个人数据的行为,只有在遵守GDPR第五章的规定的情况下才能进行。
评估
EDPB根据GDPR第42条第5款对其批准的认证标准进行了评估,以评估其是否符合准则附件2(以下简称“附件”)及其增编中预见的结构。EDPB注意到,方案所有者提供的实施指南和建议的认证机制的验证方式在整个标准目录中并不总是一致的。例如,T.2.3.2节要求制定规则、政策、程序或机制,以检测和报告入侵行为(例如,入侵检测系统监测网络流量的可疑活动,并在发现此类活动时发出警报),而建议的验证手段是指检查和渗透测试(T.2.3.1节中要求)。虽然这种不一致不属于其评估范围,但EDPB强调,除非方案所有者进行纠正,否则它们可能成为认证机构认证的障碍。
认证机制的范围和评价目标(ToE)
欧洲隐私认证机制是一个普遍性的计划,针对来自不同活动部门的数据控制者和数据处理者进行的众多且不同的业务处理方式。该认证机制的主要标准由“核心标准”和“TOMs检查和控制”组成,其涉及为保障所处理的个人数据而设置的技术和组织措施。一套“TOMs检查和控制”标准仅适用于评估对象(以下简称 "ToE")处理特殊类别数据、刑事犯罪相关数据或儿童的个人数据。此外,该标准还包括“补充背景检查和控制”,其旨在确保ToE中涉及的数据处理符合特定领域和技术的要求。方案所有者提供的信息矩阵描述了每套“补充背景检查和控制”标准适用于哪些类别的数据处理操作的内容。
EDPB欢迎包括具体标准的普适性计划,以便其可以扩展并适用于具体的加工业务或活动部门。然而,EDPB也希望澄清,在普适性计划的基础上,是不需要具体且完整的加工业务的相关标准的。因此,在本意见中也没有对其进行评估。此外,EDPB回顾道,当它公布与具体加工活动有关的文件时,这些文件应经过方案所有者和经认可的认证机构的考量。
EDPB在卢森堡监管局提供的与认证机制范围有关的文件中注意到,欧洲隐私计划适用于在欧洲联盟(EU)或欧洲经济区(EEA)的数据控制者和数据处理者。该标准的适用性是根据申请人的角色和责任来确定的。数据控制者可以向欧洲隐私认证程序提交受联合控制的ToE(标准A.2.7.1)。如果ToE受制于联合控制权,经认可的认证机构必须认真进行申请程序,以确保ToE是有意义的,并且申请人对ToE遵守认证机制旨在证明GDPR项下的所有义务负有完全责任。因此,申请人与参与 ToE 的其他联合控制人之间就其各自遵守 GDPR 项下义务的责任所达成的安排。需要注意的是,遗传数据的处理被排除在欧洲隐私认证机制的范围之外。因此,委员会对标准进行的评估中不涵盖对该类数据处理的ToE标准的适宜性的评估内容。
处理业务
这些标准针对认证机制的一般范围,涉及业务处理的相关组成部分(数据、系统和处理过程)。尤其是该标准允许识别GDPR第9条中定义的特殊类别的数据(标准的G.2部分--特殊数据处理)。
处理的合法性
该标准要求检查ToE中每个单独的处理操作的合法性,并要求检查GDPR第6条中定义的法律依据的要求(标准的G.1部分--数据处理的合法性)。
数据处理的原则
这些标准完全符合GDPR第5条规定的数据保护原则。特别是该标准要求申请人证明个人数据是充分的、相关的,并且仅限于与处理这些数据的目的有关的必要内容(数据最小化)。
控制者和处理者的一般义务
这些标准反映了根据GDPR第24条(G.4-数据控制者的责任)控制者的义务,并要求根据GDPR第28条(标准的G.5部分 - 数据处理者或次级处理者)评估处理者和控制者之间的合同协议。即使在申请人根据GDPR第37条不需要指定数据保护官(DPO)的情况下,所有的申请人仍然需要任命一名DPO。该标准会检查DPO是否符合第37条至第39条的要求(标准的G.9部分 - 数据保护官),并要求根据GDPR第30条检查活动处理记录的内容(标准的G.5.3部分-处理活动记录)。
数据主体的权利
根据GDPR第三章,该标准充分符合保障数据主体的知情权的需要,同时还要求采取相应的措施。此外,该标准还要求采取措施以提供干预操作处理的可能性,从而保障数据主体的权利并允许其进行更正、删除或限制(标准的G.3节--数据主体的权利)。
权利和自由面临的风险
该标准要求根据GDPR第35条评估ToE涉及的数据处理对自然人权利和自由的风险(标准的G.8部分--数据保护影响评估)。
保证保护的技术和组织措施
该标准要求采用技术和组织措施,从而保障业务处理的保密性、完整性和可用性,同时根据GDPR第25条和第32条(标准的G.6节--处理的安全性和数据保护的设计,标准的T.1/T.2节--核心安全要求/延展的安全要求),经设计和默认的技术措施以进行数据保护。此外,按照GDPR第33条和34条的规定,在适当的时间和范围内履行个人数据泄露通知职责(标准的G.7部分--数据泄露的管理)。
用于证明存在适当的个人数据转移保障措施的标准
该标准要求明确所有向第三国和参与ToE的国际组织转移的个人数据,并根据GDPR第五章(标准的G.10节--向第三国或国际组织转移个人数据),证实其对数据转移机制的选择,以便提供适当的保障措施。
欧洲数据保护印章的附加标准
根据该准则,评估应包括关于“该标准是否能够考虑到成员国的数据保护法律或情景”的问题。标准的G.1.1.3节要求申请人在国家义务履行情况评估报告(NOCAR)中提供相关的评估。委员会指出,这种报告应包括对以下方面的评估:适用于ToE的国家义务,申请人为遵守适用规则而采取的措施以及可能进行的修正措施。申请人不得将方案所有者为每个国家提供的关键补充性国家义务清单作为与ToE相关的国家义务的详尽清单。方案所有者提供的最低补充检查和控制要求的指示性清单不是本意见范围内的认证标准。
结论
EDPB认为欧洲隐私认证标准与GDPR相契合,并根据GDPR第70条第1款o项规定批准了上述标准,从而形成了一个共同的认证体系(欧洲数据保护印章)。EDPB将根据第42条第8款的规定,在认证机制和数据保护印章和标志的公共登记册上注册欧洲隐私认证机制。
本意见针对卢森堡监管机构,并根据GDPR第64条第5款b项公开。
EDPB关于欧洲隐私认证标准的意见
作者:陈灵羽来源:数据治理苑

2022年10月10日,欧洲数据保护委员会(EDPB)通过《关于欧洲隐私认证标准的第28/2022号意见》,批准欧洲隐私(Europrivacy)作为欧洲数据保护认证机构,根据《通用数据保护条例》(以