一、GDPR數(shù)據(jù)認(rèn)證目標(biāo)

歐盟數(shù)據(jù)認(rèn)證的目標(biāo)是鼓勵成員國及其數(shù)據(jù)保護(hù)機(jī)構(gòu)、歐盟數(shù)據(jù)理事會以及歐盟委員會在歐盟層面建立數(shù)據(jù)保護(hù)認(rèn)證機(jī)制，以證明數(shù)據(jù)控制者和處理者的數(shù)據(jù)處理操作過程遵循 GDPR 的規(guī)定，同時兼顧到中小微企業(yè)的特殊需求。[i]二、GDPR數(shù)據(jù)認(rèn)證具體規(guī)定歐盟 GDPR 在數(shù)據(jù)認(rèn)證機(jī)制設(shè)計上采取接納、開放的態(tài)度，建立了數(shù)據(jù)保護(hù)機(jī)構(gòu)監(jiān)管下的第三方認(rèn)證機(jī)制。第 42、43 條是數(shù)據(jù)保護(hù)認(rèn)證機(jī)制的基石，并由第 57、58、64、70、83 條進(jìn)行補充，明確了數(shù)據(jù)保護(hù)認(rèn)證的目標(biāo)，并對認(rèn)證程序、認(rèn)證機(jī)構(gòu)及其監(jiān)督機(jī)制提出了基本要求。歐盟GDPR第42條和第43條規(guī)定了對數(shù)據(jù)控制者和處理者的數(shù)據(jù)處理操作進(jìn)行合規(guī)性認(rèn)證的制度，提出了認(rèn)證框架、明確了相關(guān)角色。第42(1)款規(guī)定：“成員國、監(jiān)管機(jī)構(gòu)、歐盟數(shù)據(jù)保護(hù)委員會和歐盟委員會應(yīng)鼓勵建立數(shù)據(jù)保護(hù)認(rèn)證機(jī)制，設(shè)立數(shù)據(jù)保護(hù)印章、標(biāo)識，特別是歐盟級別的印章和標(biāo)識，以便證明數(shù)據(jù)控制者和處理者的數(shù)據(jù)處理操作符合本條例要求。應(yīng)考慮中小微型企業(yè)的特定需求。”第43(1)款規(guī)定：“在不減損第57、58條所述監(jiān)管機(jī)構(gòu)的任務(wù)和權(quán)力的情況下，在數(shù)據(jù)保護(hù)方面具有相應(yīng)專業(yè)水平的認(rèn)證組織可在告知有權(quán)限的監(jiān)管機(jī)構(gòu)后（以便其根據(jù)第58條(2)(h)項行使自身權(quán)力）簽發(fā)和續(xù)期認(rèn)證。成員國應(yīng)確保這些認(rèn)證組織獲得以下機(jī)構(gòu)（至少其中一類）的認(rèn)可：(a)第55，56條所述，有權(quán)限的監(jiān)管機(jī)構(gòu)；(b)根據(jù)歐盟議會、歐盟委員會第765/2008號條例指定的國家認(rèn)可機(jī)構(gòu)，依據(jù)EN-ISO/IEC17065/2012標(biāo)準(zhǔn)規(guī)定和本條例第55，56條所述有權(quán)限的監(jiān)管機(jī)構(gòu)所提附加要求．”三、GDPR數(shù)據(jù)認(rèn)證相關(guān)角色職能GDPR數(shù)據(jù)保護(hù)認(rèn)證機(jī)制涉及的角色主要包括：數(shù)據(jù)控制者或處理者、認(rèn)證機(jī)構(gòu)、國家認(rèn)可機(jī)構(gòu)（NAB）、數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)（DPA）、歐盟數(shù)據(jù)保護(hù)委員會（EDPB）和歐盟委員會。[ii]

（一）數(shù)據(jù)控制者或處理者

自愿申請對其數(shù)據(jù)處理操作進(jìn)行認(rèn)證，向認(rèn)證機(jī)構(gòu)提供必要信息和對其數(shù)據(jù)處理活動的訪問權(quán)。（二）認(rèn)證機(jī)構(gòu)基于認(rèn)證方案和通過審批的認(rèn)證標(biāo)準(zhǔn)頒發(fā)、審查、更新和撤銷認(rèn)證；有權(quán)制定認(rèn)證標(biāo)準(zhǔn)草案，提請DPA（如為國家級認(rèn)證標(biāo)準(zhǔn)）或EDPB（如為歐盟通用認(rèn)證標(biāo)準(zhǔn)）批準(zhǔn)。在發(fā)證、續(xù)期或撤銷認(rèn)證前，認(rèn)證機(jī)構(gòu)通知監(jiān)管機(jī)構(gòu)，以便監(jiān)管機(jī)構(gòu)行使相應(yīng)職權(quán)。

（三）國家認(rèn)可機(jī)構(gòu)（NAB）

在成員國指定由NAB進(jìn)行認(rèn)可的模式下，根據(jù)EN-ISO/IEC17065/2012標(biāo)準(zhǔn)和監(jiān)管機(jī)構(gòu)提出的附加要求對認(rèn)證機(jī)構(gòu)進(jìn)行認(rèn)可或撤銷認(rèn)可。各成員國根據(jù)歐盟第765/2008號條例（認(rèn)可條例）指定本國的國家認(rèn)可機(jī)構(gòu)。（四）數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)（DPA）DPA承擔(dān)以下幾方面職能：一是認(rèn)證職能，DPA自身有權(quán)頒發(fā)、審查、更新和撤銷認(rèn)證；二是監(jiān)管職能，負(fù)責(zé)批準(zhǔn)認(rèn)證標(biāo)準(zhǔn)（不包括歐盟通用認(rèn)證標(biāo)準(zhǔn)）、了解認(rèn)證機(jī)構(gòu)簽發(fā)的認(rèn)證、定期對本機(jī)構(gòu)簽發(fā)的認(rèn)證進(jìn)行復(fù)查、有權(quán)要求認(rèn)證機(jī)構(gòu)不得頒發(fā)某個認(rèn)證或撤銷其已頒發(fā)的認(rèn)證；三是認(rèn)可職能，起草和發(fā)布認(rèn)可要求、在成員國指定DPA承擔(dān)該國認(rèn)可職能的情況下對其轄區(qū)內(nèi)的認(rèn)證機(jī)構(gòu)進(jìn)行認(rèn)可或撤銷認(rèn)可。

（五）歐盟數(shù)據(jù)保護(hù)委員會（EDPB）EDPB主要負(fù)責(zé)批準(zhǔn)歐盟通用認(rèn)證的標(biāo)準(zhǔn)、以及負(fù)責(zé)核對、登記歐盟所有的數(shù)據(jù)保護(hù)認(rèn)證機(jī)制、印章和標(biāo)識，并以適當(dāng)方式向公眾公開。EDPB根據(jù)條例第70(1)(q)項和第43(8)款，就認(rèn)證要求向歐盟委員會提出意見建議。

（六）歐盟委員會GDPR第42、43條以及其他相關(guān)要求解決了GDPR認(rèn)證機(jī)制的一些重點問題，但是規(guī)定的并不全面。為確保認(rèn)證認(rèn)可機(jī)制的順利推行和統(tǒng)一實施，GDPR為歐盟委員會預(yù)留了相關(guān)權(quán)限，具體如下：一是歐盟委員會應(yīng)鼓勵建立認(rèn)證機(jī)制，特別是歐盟通用認(rèn)證；二是歐盟委員會有權(quán)采用規(guī)章條例來明確GDPR認(rèn)證機(jī)制的相關(guān)要求，即對認(rèn)證機(jī)制進(jìn)行補充；三是歐盟委員會有權(quán)采用實施細(xì)則來明確技術(shù)標(biāo)準(zhǔn)，包括認(rèn)證機(jī)制、數(shù)據(jù)保護(hù)印章和標(biāo)識使用的技術(shù)標(biāo)準(zhǔn)，以及用于認(rèn)證機(jī)制、印章與標(biāo)識推廣和互認(rèn)的技術(shù)標(biāo)準(zhǔn)。

咨詢辦理認(rèn)證：19935569065（同微信）