欧洲数据保护委员会(EDPB)已通过 指导方针 有关《 2016/679通用数据保护条例》(GDPR)规定的认证机制的信息。 EDP​​B指南针对监管机构和认证机构,有助于深入了解与GDPR第42条和第43条所发布的所有类型的认证机制相关的要求和标准。

资质认证

要求EDPB,监管机构和认证机构鼓励认证机制以及数据保护印章和标记。尽管这些术语未在GDPR中定义,但很显然,它们旨在标记对控制器或处理器执行的特定处理操作的GDPR合规性的认可。一旦获得认证,组织可以展示印章或标记以证明其合规性。

认证机制被认为是适当的保障措施。因此,如果该组织已获得认证,则可以对该组织进行限制转移,前提是该组织做出具有约束力且可强制执行的承诺,以应用适当的保护措施。 EDP​​B计划就这些必需的承诺发布进一步的指导。

EDP​​B指南

该准则通过提供有关解释GDPR规定的建议,力求在整个欧盟范围内实现统一的认证方式。 EDP​​B指出,该指南的主要目的是 “确定可能与所有类型的认证机制相关的总体要求和标准”.

该指南涵盖了监管机构的角色,认证机构的角色和认证标准。

认证标准

认证标准是任何认证机制的重要组成部分。 GDPR需要主管主管部门或EDPB批准认证标准(指南中讨论了两种批准途径)。该标准将规定如何进行评估,由谁进行评估以及评估的粒度。

认证标准应清晰易懂,并应允许实际应用。他们应考虑以下事项:

  • 加工的合法性
  • 数据处理原理
  • 个人权利
  • 在个人数据泄露的情况下有义务通知相关监管机构和受影响的个人
  • 设计和默认情况下的数据保护义务
  • 是否进行了数据保护影响评估(如果适用)
  • 已经采取的技术和组织措施。

GDPR可以认证什么?

EDP​​B提供了可以根据GDPR进行认证的广泛范围,前提是该认证表明控制者和加工者的处理操作符合GDPR。在评估加工操作时,以下三个“core components” must be considered:

  • 范围内的个人数据
  • 用于处理个人数据的技术系统
  • 与处理操作有关的过程和程序。

认证可以适用于一般加工操作,也可以特定于某些操作。为此,因此需要控制器或处理器明确哪些特定操作已获得认可印章。

评论

EPDB指南强调,认证机制可以允许个人评估与某些产品和服务相关的数据保护级别,从而提高个人的透明度。它们还提高了企业之间(例如控制器和处理器之间)的透明度。

尽管该指南主要针对监管机构和认证机构,但它们为控制器和处理器提供了对认证标准组成部分的有用见解-特别是如果控制器或处理器正在考虑将认证视为证明加工操作合规性的途径。