第号意见批准欧洲企业认证标准空气保护密封

关于根据《通用数据保护条例》（GDPR）第42.5条，由董事会批准的EuroPrise认证标准意见19/2024及其作为欧洲数据保护封印的认可。 2024 年 7 月 16 日通过 Contents 1. 事实总结.......................................................................................................42. 评估.......................................................................................................52.1 认证机制的范围与评估目标（ToE）.....................................................52.2 处理操作 ..................................................................................................52.3 数据处理的合法性与原则 ..........................................................................62.4 控制者和处理者的通用义务...............................................................62.5 数据主体的权利 .....................................................................................62.6 权利和自由的风险 ..................................................................................62.7 保障个人数据传输适当保护措施的技术和组织性措施 .........................62.8 证明适当保障措施存在的标准（用于数据传输的目的）............................73. 欧洲数据保护印章的额外标准 ......................................................................7结论 / 建议......................................................................................................7最终说明............................................................................................................7 欧洲数据保护委员会 考虑到欧盟议会和理事会于2016年4月27日通过的2016/679/EU条例第63条、第64(2)条以及第42条，该条例关于自然人在处理个人数据方面的保护以及此类数据的自由流动，并废止指令95/46/EC（以下简称“GDPR”）， 考虑到欧洲经济区协定（以下简称“EEA”）及其附件XI和据此修正的第154/2018号联合委员会2018年7月6日通过的第37号议定书1, 考虑到其议事规则第 10 条和第 22 条 ， （1）各成员国、监督机构、欧洲数据保护委员会（以下简称“EDPB或委员会”）和欧盟委员会应在欧盟层面鼓励建立数据保护认证机制（以下简称“认证机制”）以及数据保护标志和标签，以展示控制器和处理者在处理操作方面符合《通用数据保护条例》（GDPR）的情况，并考虑到微型、小型和中型企业的特定需求。2此外，建立认证机制可以增强透明度，并使数据主体能够评估相关产品和服务的数据保护水平。3 (2) 认证标准是认证机制的一个重要组成部分。因此，GDPR 要求由主管监督机构批准国家认证机制的标准（ Articles 42(5) 和 43(2)(b) GDPR），而在欧洲数据保护封条的情况下，则由EDPB批准（Articles 42(5) 和 70(1)(o) GDPR）。 （3）当监督机构（以下简称“SA”）意图根据《通用数据保护条例》（GDPR）第42条第5款提议欧洲数据保护封条的批准时，SA应声明方案所有者计划在所有成员国提供认证机制。在这种情况下，欧盟数据保护委员会（EDPB）的主要作用是通过《通用数据保护条例》第63条、第64条和第65条所提及的一致性机制确保《通用数据保护条例》的一致应用。在此框架内，根据《通用数据保护条例》第64条第2款，EDPB将批准认证标准。 (4) 本意见旨在确保《通用数据保护条例》（GDPR）的一致性应用，包括各监督机构、控制者和处理者在核心要素方面的应用。特别是，EDPB 的评估基于“根据《条例》第42条和第43条制定认证和确定认证标准的指南1/2018”（以下简称“指南”）及其附件“认证标准评估指南”（以下简称“附件”），而该附件的公众咨询期已于2021年5月26日结束。(5) 因此，EDPB 认可每个认证机制都应得到适当的关注和处理。 不影响任何其他认证机制的评估。 （6）认证机制应使控制器和处理器能够证明其符合《通用数据保护条例》（GDPR）的要求。因此，其标准应适当反映《通用数据保护条例》中关于个人数据保护的规定，并有助于其一致性的应用。 (7)(8)(9)同时 ， 计划所有者应确保认证的一致性和一致性与任何包含或利用的 ISO 标准和认证实践的机制。因此 ， 认证应该通过帮助实施为控制器和处理器增加价值标准化和具体的组织和技术措施 ， 可明显促进和提高处理操作对 GDPR 的合规性 ， 同时考虑到特定部门requirement.EDPB 欢迎计划所有者为完善认证机制所做的努力 ， 这些机制是实用且具有成本效益的工具 ， 可确保与 GDPR 更加一致通过提高透明度来促进数据主体的隐私权和数据保护。 （10）EDPB重申，认证是自愿的责任工具，遵循认证机制并不减少控制者或处理者遵守GDPR的责任，也不妨碍监督机构根据GDPR及相关国家法律行使其职责和权力。 （11）在本意见中，EDPB讨论了诸如标准的范围、标准在所有成员国的适用性和相关性等议题。 （12）本意见重点关注认证标准。若EDPB要求提供高级别的评估方法信息以便对其在该意见背景下审计性进行全面评估，则该意见并不涵盖对这些评估方法的任何批准。 （13）根据《通用数据保护条例》第64条第2款与《欧洲数据保护委员会程序规则》第10条第2款，在主席和相应的监督机构决定文件完整后的第一个工作日起八周内，《欧洲数据保护委员会》的意见应被采纳。主席可以根据具体情况，在该期限基础上再延长六周。如果《欧洲数据保护委员会》的意见认为无法批准这些标准，则当最初《欧洲数据保护委员会》意见中表达的关注得到解决时，SA可以重新提交这些标准以供批准。 采用了以下观点 ： 1. 总结事实 1. 根据《通用数据保护条例》第42条第5款及相关指南，欧盟加工操作认证标准草案（版本：欧盟范围内的v1.5，以下简称“草案认证标准”、“认证标准”或“标准”）由德国合法实体EuroPriSe Cert GmbH（以下简称“方案所有者”）起草，并提交给了北莱茵-威斯特法伦州的数据保护与信息自由专员Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen（以下简称“DE-NRW监管机构”）。 2. 德国监督机构（以下简称“DE SA”）于2024年4月29日根据《通用数据保护条例》（GDPR）第64条第2款向欧洲数据保护板（EDPB）提交了认证标准草案。文件完整性的决定于2024年5月29日作出。 3. 欧洲认证机制EuroPrise并非根据GDPR第46条第2款第(f)项的规定用于个人数据国际转移的认证机制，因此在其框架内无法为向第三国或国际组织转移个人数据提供适当保障。事实上，任何向第三国或国际组织转移个人数据的情况，都必须遵守GDPR第五章的相关规定。 2. 评估 4. EDPB根据指南附录2（以下简称“附录”）及其补充文件中规定的结构，对认证标准进行了评估，以便根据《通用数据保护条例》第42条第5款进行批准。 2.1 认证机制的范围和评价目标 (ToE) 5. 欧洲认证机制包含欧盟范围内加工处理认证方案的认证标准，适用于通过产品、过程和服务进行的加工操作及其辅助的产品和服务。认证申请人作为加工者时，这些标准适用的认证对象包括产品、过程和服务中的加工操作。该认证机制的主要标准分为三个部分，分别是：从法律角度（第一组），从技术和组织措施角度（第二组），以及从数据主体权利角度（第三组）。 6. 根据该方案，认证申请者必须是数据处理者。这包括被控制器直接授权处理个人数据的数据处理者（根据GDPR第4条第7款定义）。然而，认证申请者也可能符合GDPR第28条第2款和第4款中关于次级数据处理者的定义。 当一个处理器根据EuroPrise认证方案进行认证并使用子处理器时，该子处理器不能声称自己已经根据EuroPrise认证方案进行了认证。在这种情况下，仅由最初并已认证的处理器执行的处理操作才受到该认证的覆盖。然而，子处理器也可以申请单独且独立的认证程序。 8. 董事会在关于认证机制范围的相关文档中指出，EuroPrise方案适用于在欧洲联盟（EU）或欧洲经济区（EEA）内设立的处理器。 2.2 加工作业 9. 这些标准的范围不限于特定类型的加工操作。相反，它是EuroPrise评估方法学的基础，允许对任何加工操作进行认证。因此，这是一种适用于大量非常不同的加工操作的通用方法论方法。因此，遵守方法论要求是至关重要的，因为这是确保认证标准的一致应用和不同认证程序中测试水平可比性的唯一途径。目标是确保认证及其结果的可比性和再现性。 2.3 数据处理的合法性和原则 10. 该标准要求检查认证所需的处理操作是否符合设计和默认的数据保护原则（标准第1.5节），这涉及申请者协助控制器实施这些原则。这允许评估与《通用数据保护条例》第25条和第5条相结合的情况下的合规性。虽然没有直接针对《通用数据保护条例》第6条合规性的标准（鉴于控制器负责处理的合法性），但标准旨在确保申请人设计要认证的处理操作以促进控制器实施《通用数据保护条例》第5条的数据保护原则，包括处理合法性的原则。 2.4 控制者和处理者的一般义务 11. 该标准反映了处理器与控制器之间的关系。特别是，标准规定了处理器有义务制定一份数据处理协议模板，并包含GDPR第28条（标准的1.2节）的所有要求。 12. 根据《通用数据保护条例》（GDPR）第37条，标准要求申请人任命一名数据保护官（DPO），并提供任命DPO的相关证明（例如，任命证书）。标准检查DPO是否符合第37至39条的要求（设置1，部分1.1的标准）。 13. 该标准检查记录中与第30条GDPR相关的活动处理内容（标准1，部分1.1）。 2.5 数据主体的权利 14. 该标准充分涵盖了根据GDPR第三章数据主体的信息权利，并要求采取相应的措施。此外，标准还要求采取措施以确保能够干预处理操作，从而保障数据主体的权利，并允许进行修正、删除或限制（标准中的第三组要求）。 2.6 权利和自由的风险 15. 该标准要求处理器意识到与ToE相关的数据处理可能对自然人权利和自由造成的潜在风险。如果个人数据的处理可能导致对自然人权利和自由的高风险影响，则多个标准确保申请人证明其符合《通用数据保护条例》（GDPR）第35条的要求（见标准的1.2.2节