在2019年6月4日于布鲁塞尔举行的第十一届全体会议上,欧洲数据保护委员会(EDPB)通过了 最终版本 的(1) 关于条例2016/679的行为守则和监督机构的准则1/2019,(2)附件2 根据《 2016/679条例》第42和43条的认证标准准则 和(3)附件 根据《 2016/679条例》第43条进行的认证机构认证指南。 EDP​​B于2019年6月14日发布了全体会议通过的最终版本。

在最近 博客,我们注意到EDPB已针对上述三个问题发布了修订指南。 EDP​​B提交了这些修订以征询公众意见,并在最近完成了对答复的审议。

      (1)行为守则和监督机构准则 

经过公众咨询,EDPB在行为准则的最终版本中纳入了澄清点。这些准则旨在为GDPR第40条和第41条的应用提供实用的指导和解释。他们建立了一个既定的框架,解释了提交批准行为守则时应遵循的程序,以及如何提供批准此类行为守则的标准。

      (2)认证指南

EDP​​B通过了关于认证和确定认证标准的指南附件2的最终版本。这些准则旨在建立与根据GDPR第42条和第43条发布的所有类型的认证机制相关的主要标准。附件2专门列出了EDPB和数据保护机构考虑批准认证的最低要求的详尽列表。 EDP​​B现在对附件中的某些部分进行了补充,包括标准是否包括控制者/处理者任命数据保护官的义务以及保留处理活动记录的义务。

      (3)认证机构认可指南

最后,EDPB还完成了认证机构认可指南的附件。这些准则可帮助欧盟成员国,监管机构和国家认证机构以一致和统一的方式实施GDPR第43条的规定。附件提供了有关在监管机构设立认证机构的情况下应提交给EDPB批准的其他要求的指南。

评论

EDP​​B指南提供了适用GDPR第40-43条的有用信息。因此,我们希望例如从行业协会,行业组织和利益集团那里建立行为准则和数据保护认证机制。希望这些将为企业提供新的工具,以证明其GDPR合规性,并通过提高透明度和问责制并为这些部门的参与者制定良好实践标准,来解决特定部门的关键数据保护挑战。