欧盟GDPR:对专业性实体的认证

2018-12-04 15:00


为完善数据处理过程中对数据控制者及处理者的全方位监控,弥补欧盟GDPR(又称《通用数据保护条例》)规定的笼统性以及专门数据监管机构在部分环节上专业性的缺乏,欧盟GDPR允许专门性数据监管机构通过认证的方式,授权部分专业性实体对数据处理的个别环节进行监控。同时,为确保被授权的专业性实体确实符合数据处理监管的需求,欧盟GDPR也设置了一套相对完整的认证体系,最大程度确保数据监管的专业及统一性。

在对专业性实体的认证中,主要涉及两大问题,认证程序及认证机构,本文将结合欧盟GDPR的规定,对这两部分作简要分析,以期达到对欧盟GDPR规定的运用方法有较为清晰的说明。

一、 对专业性实体的认证之认证程序

根据欧盟GDPR规定,各成员国、专门数据监管机构、欧盟数据保护委员会以及欧盟委员会,在数据处理监管这一问题上,应当尽可能建立数据保护认证机制、数据保护印章以及标记,以明确且统一的符号来表明该数据处理者或者控制者符合数据保护监管的要求。当然,考虑到小微型企业的特殊需求,欧盟GDPR还特别对其特殊性予以强调,扶持小微型企业的发展。

但正如专业性实体认证制度设定的初衷,专业性数据监管机构以及欧盟GDPR的原则性规定往往并不能满足数据处理过程中千差万别的现实情况,因此数据控制者及处理者除了需要受到欧盟GDPR规定的约束外。也可以在符合欧盟GDPR规定的前提下制定相关的行为准则,作为细化执行数据处理活动的依据。除了行为准则外,数据控制者及处理者还可以将不违反欧盟GDPR规定的条款作为其行为依据。但由于单独约定的条款并不具有法律强制力,因此根据欧盟GDPR规定,此类约定需要通过合同的方式予以达成,确保数据处理者或者控制者能够切实履行。

由于对数据处理过程中数据控制者及处理者的行为进行监管,并非欧盟GDPR强制赋予专业性实体的职责,因此其并不具有监管义务。专业性实体对于数据控制者及数据处理者的监管义务来自于专门数据监管机构的认证,其有权自主决定是否通过认证来承担对数据控制者及处理者的监管。因此,欧盟GDPR明确该认证必须是自愿的,且应当通过透明程序进行。换言之,无论是专业性实体对于认证的获取还是专门数据监管机构对专业性实体进行验证,二者都是基于自愿进行的,没有任何个人或机构可以对该认证行为进行强制。

根据欧盟GDPR的规定,认证成功后颁发证书的有效期最长为三年,经过该有效期限,若希望继续对数据控制者及处理者进行监督,必须重新通过认证程序获得资格,而不得一劳永逸地终身使用。

二、 对专业性实体的认证之认证机构

除了认证程序外,欧盟GDPR对认证机构也作出了规定。由于专业性实体的监管权力事实上来自于专门数据监管机构的授权,因此专门数据监管机构享有对专业性实体的认证权力。其根据欧盟GDPR规定的各项要求,明确专业性实体是否符合认证资格,通过盖章或者颁发证书的方式明确专业性实体的资格。专业性实体在获得认证后,对数据控制者及处理者履行应尽的监管职责,但其对于二者违反条例的行为必须告知专门数据监管机构,不能自己进行处理。

严正声明:本文章内容为佑碧艾商务咨询(上海)有限公司(以下简称LEB)原创作品,LEB对该作品享有全部著作权。欢迎转发,如需以任何形式转载请注明作品出处及标注作者(LEB)署名,违者将承担相应法律责任。特此声明。

推荐新闻
会员升级
会员升级