一、GDPR数据认证目标
欧盟数据认证的目标是鼓励成员国及其数据保护机构、欧盟数据理事会以及欧盟委员会在欧盟层面建立数据保护认证机制,以证明数据控制者和处理者的数据处理操作过程遵循 GDPR 的规定,同时兼顾到中小微企业的特殊需求。[i]二、GDPR数据认证具体规定欧盟 GDPR 在数据认证机制设计上采取接纳、开放的态度,建立了数据保护机构监管下的第三方认证机制。第 42、43 条是数据保护认证机制的基石,并由第 57、58、64、70、83 条进行补充,明确了数据保护认证的目标,并对认证程序、认证机构及其监督机制提出了基本要求。欧盟GDPR第42条和第43条规定了对数据控制者和处理者的数据处理操作进行合规性认证的制度,提出了认证框架、明确了相关角色。第42(1)款规定:“成员国、监管机构、欧盟数据保护委员会和欧盟委员会应鼓励建立数据保护认证机制,设立数据保护印章、标识,特别是欧盟级别的印章和标识,以便证明数据控制者和处理者的数据处理操作符合本条例要求。应考虑中小微型企业的特定需求。”第43(1)款规定:“在不减损第57、58条所述监管机构的任务和权力的情况下,在数据保护方面具有相应专业水平的认证组织可在告知有权限的监管机构后(以便其根据第58条(2)(h)项行使自身权力)签发和续期认证。成员国应确保这些认证组织获得以下机构(至少其中一类)的认可:(a)第55,56条所述,有权限的监管机构;(b)根据欧盟议会、欧盟委员会第765/2008号条例指定的国家认可机构,依据EN-ISO/IEC17065/2012标准规定和本条例第55,56条所述有权限的监管机构所提附加要求.”三、GDPR数据认证相关角色职能GDPR数据保护认证机制涉及的角色主要包括:数据控制者或处理者、认证机构、国家认可机构(NAB)、数据保护监管机构(DPA)、欧盟数据保护委员会(EDPB)和欧盟委员会。[ii]
(一)数据控制者或处理者
自愿申请对其数据处理操作进行认证,向认证机构提供必要信息和对其数据处理活动的访问权。(二)认证机构基于认证方案和通过审批的认证标准颁发、审查、更新和撤销认证;有权制定认证标准草案,提请DPA(如为国家级认证标准)或EDPB(如为欧盟通用认证标准)批准。在发证、续期或撤销认证前,认证机构通知监管机构,以便监管机构行使相应职权。
(三)国家认可机构(NAB)
在成员国指定由NAB进行认可的模式下,根据EN-ISO/IEC17065/2012标准和监管机构提出的附加要求对认证机构进行认可或撤销认可。各成员国根据欧盟第765/2008号条例(认可条例)指定本国的国家认可机构。(四)数据保护监管机构(DPA)DPA承担以下几方面职能:一是认证职能,DPA自身有权颁发、审查、更新和撤销认证;二是监管职能,负责批准认证标准(不包括欧盟通用认证标准)、了解认证机构签发的认证、定期对本机构签发的认证进行复查、有权要求认证机构不得颁发某个认证或撤销其已颁发的认证;三是认可职能,起草和发布认可要求、在成员国指定DPA承担该国认可职能的情况下对其辖区内的认证机构进行认可或撤销认可。
(五)欧盟数据保护委员会(EDPB)EDPB主要负责批准欧盟通用认证的标准、以及负责核对、登记欧盟所有的数据保护认证机制、印章和标识,并以适当方式向公众公开。EDPB根据条例第70(1)(q)项和第43(8)款,就认证要求向欧盟委员会提出意见建议。
(六)欧盟委员会GDPR第42、43条以及其他相关要求解决了GDPR认证机制的一些重点问题,但是规定的并不全面。为确保认证认可机制的顺利推行和统一实施,GDPR为欧盟委员会预留了相关权限,具体如下:一是欧盟委员会应鼓励建立认证机制,特别是欧盟通用认证;二是欧盟委员会有权采用规章条例来明确GDPR认证机制的相关要求,即对认证机制进行补充;三是欧盟委员会有权采用实施细则来明确技术标准,包括认证机制、数据保护印章和标识使用的技术标准,以及用于认证机制、印章与标识推广和互认的技术标准。
咨询办理认证:19935569065(同微信)