第号意见批准欧洲企业认证标准空气保护密封（英）

关于根据《通用数据保护条例》（GDPR）第42.5条 ，由董事会批准的EuroPrise认证标准意见19/2024及其作为欧洲数据保护封印的认可。 2024年7月16日通过 Contents 1.事实总结.4 2.评估.5 2.1认证机制✁范围与评估目标（ToE）.5 2.2处理操作5 2.3数据处理的合法性与原则6 2.4控制者和处理者✁通用义务.6 2.5数据主体的权利6 2.6权利和自由的风险6 2.7保障个人数据传输适当保护措施的技术和组织性措施6 2.8证明适当保障措施存在✁标准（用于数据传输✁目✁）.7 3.欧洲数据保护印章的额外标准7 结论/建议.7 最终说明.7 欧洲数据保护委员会 考虑到欧盟议会和理事会于2016年4月27日通过的2016/679/EU条例第63条、第64(2)条以及第42条，该条例关于自然人在处理个人数据方面的保护以及此类数据的自由流动，并废止指令95/46/EC（以下简称“GDPR”）， 考虑到欧洲经济区协定（以下简称“EEA”）及其附件XI和据此修正的第154/2018号联合委员会2018年7月6日通过的第37号议定书1, 考虑到其议事规则第10条和第22条， （1）各成员国、监督机构、欧洲数据保护委员会（以下简称“EDPB或委员会”）和欧盟委员会应在欧盟层面鼓励建立数据保护认证机制（以下简称“认证机制”）以及数据保护标志和标签，以展示控制器和处理者在处理操作方面符合《通用数据保护条例》（GDPR）的情况，并考虑到微型、小型和中型企业的特定需求。2此外，建立认证机制可以增强透明度，并使数据主体能够评估相关产品 和服务的数据保护水平。3 (2)认证标准是认证机制的一个重要组成部分。因此，GDPR要求由主管监督机构批准国家认证机制的标准（Articles42(5)和43(2)(b)GDPR），而在欧洲数据保护封条的情况下，则由EDPB批准 （Articles42(5)和70(1)(o)GDPR）。 （3）当监督机构（以下简称“SA”）意图✲据《通用数据保护条例》（GDPR）第42条第5款提议欧洲数据保护封条的批准时，SA应声明方案所有者计划在所有成员国提供认证机制。在这种情况下，欧盟数据保护委员会（EDPB）的主要作用是通过《通用数据保护条例》第63条、第64条和第65条所提及的一致性机制确保《通用数据保护条例》的一致应用。在此框架内，✲据《通用数据保护条例》第64条第2款，EDPB将批准认证标准。 (4)本意见旨在确保《通用数据保护条例》（GDPR）的一致性应用，包括各监督机构、控制者和处理者在核心要素方面的应用。特别是，EDPB的评估基于“✲据《条例》第42条和第43条制定认证和确定认证标准的指南1/2018”（以下简称“指南”）及其附件“认证标准评估指南”（以下简称“附件”），而该附件的公众咨询期已于2021年5月26日结束。(5)因此，EDPB认可每个认证机制都应得到适当的关注和处理。 不影响任何其他认证机制的评估。 1本《意见》全文提及“成员国”应理解为提及“欧洲经济区成员国”。 2GDPR第42条第1款。 3演奏会100GDPR。 （6）认证机制应使控制器和处理器能够证明其符合《通用数据保护条例》（GDPR）✁要求。因此，其标准应适当反映《通用数据保护条例》中关于个人数据保护✁规定，并有助于其一致性✁应用。 (7)同时，计划所有者应确保认证✁一致性和一致性与任何包含或利用✁ISO标准和认证实践✁机制。 (8)因此，认证应该通过帮助实施为控制器和处理器增加价值标准化和具体✁组织和技术措施，可明显促进和 提高处理操作对GDPR✁合规性，同时考虑到特定部门requirement. (9)EDPB欢迎计划所有者为完善认证机制所做✁努力，这些机制 ✁实用且具有成本效益✁工具，可确保与GDPR更加一致通过提高透明度来促进数据主体✁隐私权和数据保护。 （10）EDPB重申，认证✁自愿✁责任工具，遵循认证机制并不减少控制者或处理者遵守GDPR✁责任，也不妨碍监督机构✲据GDPR及相关国家法律行使其职责和权力。 （11）在本意见中，EDPB讨论了诸如标准✁范围、标准在所有成员国✁适用性和相关性等议题。 （12）本意见重点关注认证标准。若EDPB要求提供高级别✁评估方法信息以便对其在该意见背景下审计性进行全面评估，则该意见并不涵盖对这些评估方法✁任何批准。 （13）✲据《通用数据保护条例》第64条第2款与《欧洲数据保护委员会程序规则》第10条第2款 ，在主席和相应✁监督机构决定文件完整后✁第一个工作日起八周内，《欧洲数据保护委员会》✁意见应被采纳。主席可以✲据具体情况，在该期限基础上再延长六周。如果《欧洲数据保护委员会 》✁意见认为无法批准这些标准，则当最初《欧洲数据保护委员会》意见中表达✁关注得到解决时 ，SA可以重新提交这些标准以供批准。 采用了以下观点： 1.总结事实 1.✲据《通用数据保护条例》第42条第5款及相关指南，欧盟加工操作认证标准草案（版本：欧盟范围内✁v1.5，以下简称“草案认证标准”、“认证标准”或“标准”）由德国合法实体EuroPriSeCertGmbH（以下简称“方案所有者”）起草，并提交给了北莱茵-威斯特法伦州✁数据保护与信息自由专员LandesbeauftragtefürDatenschutzundInformationsfreiheitNordrhein-Westfalen（以下简称“DE-NRW监管机构”）。 2.德国监督机构（以下简称“DESA”）于2024年4月29日✲据《通用数据保护条例》（GDPR）第64条第2款向欧洲数据保护板（EDPB）提交了认证标准草案。文件完整性✁决定于2024年5月29日作出。 3.欧洲认证机制EuroPrise并非✲据GDPR第46条第2款第(f)项✁规定用于个人数据国际转移✁认证机制，因此在其框架内无法为向第三国或国际组织转移个人数据提供适当保障。事实上，任何向第三国或国际组织转移个人数据✁情况，都必须遵守GDPR第五章✁相关规定。 2.评估 4.EDPB✲据指南附录2（以下简称“附录”）及其补充文件中规定✁结构，对认证标准进行了评估，以便✲据《通用数据保护条例》第42条第5款进行批准。 2.1认证机制✁范围和评价目标(ToE) 5.欧洲认证机制包含欧盟范围内加工处理认证方案✁认证标准，适用于通过产品、过程和服务进行 ✁加工操作及其辅助✁产品和服务。认证申请人作为加工者时，这些标准适用✁认证对象包括产品 、过程和服务中✁加工操作。该认证机制✁主要标准分为三个部分，分别✁：从法律角度（第一组 ），从技术和组织措施角度（第二组），以及从数据主体权利角度（第三组）。 6.✲据该方案，认证申请者必须✁数据处理者。这包括被控制器直接授权处理个人数据✁数据处理者（✲据GDPR第4条第7款定义）。然而，认证申请者也可能符合GDPR第28条第2款和第4款中关于次级数据处理者✁定义。 当一个处理器✲据EuroPrise认证方案进行认证并使用子处理器时，该子处理器不能声称自己已经 ✲据EuroPrise认证方案进行了认证。在这种情况下，仅由最初并已认证✁处理器执行✁处理操作才受到该认证✁覆盖。然而，子处理器也可以申请单独且独立✁认证程序。 8.董事会在关于认证机制范围✁相关文档中指出，EuroPrise方案适用于在欧洲联盟（EU）或欧洲经济区（EEA）内设立✁处理器。 2.1加工作业 9.这些标准✁范围不限于特定类型✁加工操作。相反，它✁EuroPrise评估方法学✁基础，允许对任何加工操作进行认证。因此，这✁一种适用于大量非常不同✁加工操作✁通用方法论方法。因此 ，遵守方法论要求✁至关重要✁，因为这✁确保认证标准✁一致应用和不同认证程序中测试水平可比性✁唯一途径。目标✁确保认证及其结果✁可比性和再现性。 2.2数据处理✁合法性和原则 10.该标准要求检查认证所需✁处理操作✁否符合设计和默认✁数据保护原则（标准第1.5节），这涉及申请者协助控制器实施这些原则。这允许评估与《通用数据保护条例》第25条和第5条相结合✁情况下✁合规性。虽然没有直接针对《通用数据保护条例》第6条合规性✁标准（鉴于控制器负责处理✁合法性），但标准旨在确保申请人设计要认证✁处理操作以促进控制器实施《通用数据保护条例》第5条✁数据保护原则，包括处理合法性✁原则。 2.3控制者和处理者✁一般义务 11.该标准反映了处理器与控制器之间✁关系。特别✁，标准规定了处理器有义务制定一份数据处理协议模板，并包含GDPR第28条（标准✁1.2节）✁所有要求。 12.✲据《通用数据保护条例》（GDPR）第37条，标准要求申请人任命一名数据保护官（DPO） ，并提供任命DPO✁相关证明（例如，任命证书）。标准检查DPO✁否符合第37至39条✁要求（设置1，部分1.1✁标准）。 13.该标准检查记录中与第30条GDPR相关✁活动处理内容（标准1，部分1.1）。 2.4数据主体✁权利 14.该标准充分涵盖了✲据GDPR第三章数据主体✁信息权利，并要求采取相应✁措施。此外，标准还要求采取措施以确保能够干预处理操作，从而保障数据主体✁权利，并允许进行修正、删除或限制（标准中✁第三组要求）。 2.5权利和自由✁风险 15.该标准要求处理器意识到与ToE相关✁数据处理可能对自然人权利和自由造成✁潜在风险。如果个人数据✁处理可能导致对自然人权利和自由✁高风险影响，则多个标准确保申请人证明其符合 《通用数据保护条例》（GDPR）第35条✁要求（见标准✁1.2.2节，要求第6项，1.3.2节，1.3.3节 ，2.1.5.1节，以及2.1.5.9节）。 2.6保证保护✁技术和组织措施 16.该标准要求应用技术与组织措施以确保处理操作✁保密性、完整性和可用性。此外，该标准还要求✲据GDPR第25条和第32条，应用技术措施以设计和默认方式实施数据保护（标准1.5节，标准2.1节/其他文件）。 17.该标准要求应用相应✁措施以确保个人数据泄露通知义务能够在适当✁时间和范围内✲据《通用数据保护条例》第33条（标准1.2.2中✁要求6）得到履行。 2.7证明个人数据传输存在适当保障措施✁标准 18.该标准要求识别所有涉及技术转移（ToE）✁第三方国家和个人数据转移以及国际组织，并证明所选择✁数据转移机制符合《通用数据保护条例》（GDPR）第五章✁规定（标准1.4节）。 3.欧洲数据保护密封✁附加标准 19.✲据指南，评估应包括“评估标准✁否能够考虑成员国✁数据保护法律或情景”✁问题。标准✁第四部分要求申请人遵守适用✁国家法律和相关行业数据保护法律。此外，委员会理解“国家法律合规报告”（特别✁评估评估目标✁否符合适用✁国家数据保护法律要求）应由法律专家准备，前提✁这些专家已在适用✁国家法律方面展示了必要✁专业水平。 结论/建议 20.总之，EDPB认为草拟✁认证标准与《通用数据保护条例》（GDPR）一致，并✲据《通用数据保护条例》第70条第1款第o项规定✁董事会任务批准了这些标准，从而形成共同认证（欧洲数据保护标志）。 21.EDPB将✲据第42条第8款✁规定，在公共认证机制注册簿中登记“EuroPriSe标准目录（用于加工操作✁处理器认证机制）”认证机制以及数据保护标志和标识。 最终备注 22.本意见旨在向北莱茵-威斯特法伦州✁监督机构提交，并将✲据《通用数据保护条例》第64条第5款(b)项✁规定予以公开。 欧洲数据保护委员会椅子AnuTalus