Europrivacy认证体系入门-模块3：认证的一般原则和指南

Europrivacy Introductory Course的学习笔记

---

Europrivacy遵循一个明确的行动顺序：

1、申请人必须文件化记录其遵守适用的数据保护法规的情况。

2、一旦准备就绪，申请人必须指定评估目标，并填写申请表，要求认证机构提供服务。

3、认证机构验证申请，并检查评估目标是否符合EDPB的要求。  

4、如果一切都是正确的，认证机构准备一个报价，并由申请人签署一份协议，包含条款和条件。

5、认证机构制定认证计划，包括方法、评估团队和计划。  

6、申请人必须在参考文件清单的支持下，按照申请人文件指南收集并完成所有文件。  

7、认证机构执行初步文件审查，以确保所有所需的文件都可用，并且DPO具有足够的资格。

8、一旦完成，评估小组就可以计划并开始评估评估对象是否符合欧洲隐私标准、检查和控制。  

9、评估团队沟通他们的调查结果，并编制一份Europrivacy合规评估报告，其中列出已识别的不符合项清单。  

10、如果发现有不符合项，要求申请人在规定的时间范围内解决这些不符合项。

11、然后，审核员核实并确认不符合项的解决方案，并更新欧洲隐私合规性评估报告。  如果未识别出不符合项，则可跳过步骤10、11。

12、认证机构将要求审查人员审查评估报告和相关文件。 

13、根据评审员的建议，认证机构将根据管辖权决定是否对评估目标进行认证。

14、如果决定是肯定的，认证机构可能必须通知国家监督机构。认证机构传达决定，然后在登记处公布证书。  

15、获得官方证书后，认证申请人必须持续保持和加强对数据保护法规的遵守。为此，他们可以使用Europrivacy社区网站，该网站共享特定的有用资源。

16、Europrivacy证书的授予期限为3年，可续期。在此期间，认证机构必须对评估对象进行两次年度监督评估，以检查其是否持续符合数据保护法规。3年期满后，申请人可以邀请认证机构对证书进行续期。续期审核调查通常比最初的认证过程简单些。

如果在认证评估过程中出现了一个或多个不符合项，认证机构必须要求申请人分析原因，并描述解决和关闭这些不符合项的具体纠正和纠正措施。

每一不符合项都必须被认定为轻微(minor)或重大(major)。

重大不符合是指在评估目标中数据处理活动对于基本数据保护要求、数据主体权利或Europrivacy认证框架要求的不符合。比如申请人违反GDPR中规定的法律义务的任何不符合项均构成重大不符合项。 

轻微不符合项是非关键的、不归为“重大(major)”的 不符合项。如果存在轻微不符合项，申请人必须提交补救计划，并承诺在后续监督审核或重新认证之前解决已识别的不符合项。 

评估过程可能识别到有些情况不太符合标准或明显有可优化空间，但又不构成对评估要求的形式上的不符合，评估员必须将状态定性为观察结果，并记录其发现并描述改进措施。

有下列情形之一的，禁止颁发认证证书：

- 存在未关闭的重大不符合项；

- 存在5个以上未关闭的轻微不符合项；

- 如果认证会对第三方和数据主体产生误导。 

对于任何重大不符合项，认证机构必须已经评审、接受并验证了纠正和纠正措施，以便将其视为已解决和关闭。 

对于任何轻微的不符合项，认证机构必须已经评审、接受和验证了纠正，以便将其视为已解决和关闭，或者必须已经接受申请人的纠正和纠正措施计划，以便在下次审核时进行评估和确认。  

在先前评估中发现的轻微不符合项，如未被申请人解决的，可由认证机构重新鉴定为重大不符合项。

按GDPR第42条要求，Europrivacy认证应：

- 对中、小、微型企业可行；

- 提供透明的认证流程；

- 确保控制者和处理者意识到认证不会减少他们遵守数据保护法规的责任；

- 遵守主管监管机构和/或EDPB（欧洲数据保护委员会）批准的标准;

- 符合ISO标准的相关要求；

- 确保申请人向认证机构提供所有信息，并允许认证机构访问其处理活动，以执行认证程序；

- 将证书的有效期限制为3年;

- 如果符合相关条件和要求，可更新认证。

认证机构应遵守GDPR第43条和欧洲数据保护委员会的要求，以及相关的国家法规。根据GDPR，认证机构应：

- 显性证实在数据保护方面具备适当的专业水平；

- 显性证实具备独立性和公正性；

- 遵守ISO/IEC 17065关于提供证书的要求；

- 遵守主管监管机构制定的适用认证要求和标准。  

外部机构，如实验室和代表经认可的认证机构执行部分或组成部分认证活动的审核员，应证明在数据保护方面有足够的专业知识，以及对认证方案有适当的了解。

确保有效的数据保护需要考虑规范的演变、技术环境以及从实践中吸取的经验教训。

如右图，认证框架和工具通过不断改进的过程进行更新，更新会考虑到判例和 EDPB 的出版物，此外还利用审核员和技术专家的经验，邀请他们向框架所有者的国际专家委员会提交改进建议。

提交的改进建议将接受审查，经批准的改进措施将纳入认证框架的更新版本。任何调整都应有助于提高认证程序的可靠性，而不应削弱它。

Europrivacy认证框架旨在向所有各方提供信心，即经认证的数据处理活动：

- 符合该认证框架要求；

- 符合欧洲通用数据保护法规；

- 符合适用的国家数据保护法规。  

因此，认证机构必须致力于通过严格应用认证原则（认证的12项关键原则见下文）来实现对其过程的信任。

合格证书是由合格的独立专家在特定时刻验证的专业、公正的合格证明。它以样本分析为基础。

虽然它提供了一个有力的指征，但任何证书都不能保证经认证的数据处理活动不存在任何不符合项。

必须强调的是，合规性和法律意义上的尽职尽责始终是申请人的责任。正如Europrivacy一般条款和条件所规定的，认证机构或框架所有者均不对因使用Europrivacy对数据处理进行认证而造成的任何损失或损害承担责任。

Europrivacy官方合作伙伴有义务在与申请人签订的合同条款中传达并提及Europrivacy一般条款和条件。

认证的12项关键原则：

1、建立信任和信心

    审核员应始终牢记，Europrivacy认证框架旨在建立信任和信心。

2、诚信

    参与认证程序的审核员和认证机构人员应诚实、勤勉、负责地开展工作。

    他们应以专业和公正的态度执行认证框架和要求。

3、独立性

    认证机构和审核员应独立于被审核的活动，必须以不受影响和利益冲突的方式行事。

4、公正性

    认证机构和审核员应确保其认证过程完全公正，并在评估中保持公平和公正。

5、循证方法（基于证据的方法）

    审核结果和结论应以事实和证据为基础，符合Europrivacy认证框架的评估标准。

6、公平表述

    审核结果、结论和报告应真实准确地反映审核活动。

    审核结果和结论的传达应真实、准确、客观、及时、清晰和完整。

7、保密

    认证机构和框架所有者应采取程序和实施有效的政策，保护认证过程中获得的信息的机密性。

8、公开

    认证机构应在其网站上向公众提供有关其认证过程的信息，并在Europrivacy证书登记处向公众提供有关已交付证书的信息。

9、非歧视性条件

    认证机构及其管理部门采用的政策和程序应一视同仁。

    认证机构的服务应平等的对所有的、其活动属于认证机构业务范围内且其拥有所需资源的申请人可用。

10、应对新兴技术

    Europrivacy 的设计旨在涵盖与新兴技术相关的风险，并利用最先进的技术来支持认证程序。

11、持续改进

    Europrivacy认证框架旨在采用持续改进的方法，并从中受益。

12、保障

    如果有正当理由怀疑存在不当影响，可能危及关键原则的维护，则应通知认证机构的执行委员会。如果认证机构未能解决问题，则应将不当影响的相关证据告知框架所有者。

第三模块总结：

Europrivacy 遵循一套明确界定的认证流程，申请人在实施者或咨询公司的支持下，记录其遵守数据保护法规和相应 Europrivacy 标准的情况。

认证机构通过7个步骤对数据处理活动的合规性进行评估和认证。

认证机构在工作结束时会提交一份报告，说明已确定的不符合项，禁止在存在任何重大不符合项的情况下提供认证，也禁止提供任何会误导第三方和数据主体的认证。

由于数据保护法规在不断演变，预计认证框架将定期更新，以考虑与数据保护相关的法律环境和判例的演变。

此外，认证框架本身也将不断改进。

认证机构和审核员必须始终牢记对公众和数据主体的责任。他们必须始终遵守 12 项关键原则。对于提供可靠的认证服务以及与所有利益相关者建立信任，遵循这些原则是至关重要的。