国际资讯 | 欧洲数据保护委员会就瑞典隐私保护局关于认证机构认可的决定草案发表意见等（6.5-6.6）

欧洲数据保护委员会就瑞典隐私保护局关于认证机构认可的决定草案发表意见

2024年6月3日，欧洲数据保护委员会 (EDPB) 就瑞典隐私保护局 (IMY) 根据《通用数据保护条例》(GDPR) 第43(3)条批准认证机构认可要求的决定草案发布了第10/2024号意见。EDPB简要介绍了IMY根据GDPR第43(1)(b)条提交的认证要求草案。若获得批准，瑞典国家认证机构 (NAB) 将使用GDPR认证标准、ISO 17065和IMY制定的附加要求对认证机构进行认证。

EDPB 概述，认可要求草案可能会导致认证机构的认可应用不一致，并建议 IMY进行修改，包括认可的一般要求、资源要求、过程要求、管理系统要求。

新闻链接：

https://www.dataguidance.com/news/eu-edpb-publishes-opinion-imy-draft-decision-regarding

以色列隐私保护局发布关于信息系统风险调查和渗透测试的意见

2024年5月9日，隐私保护局 (PPA) 宣布已公布其关于信息系统风险调查和渗透测试的意见。第5777-2017号《隐私保护条例（数据安全）》第5(c)条和第5(d)条规定了对适用高度安全的数据库进行风险调查和系统渗透测试的义务。意见强调了进行风险调查和渗透测试的重要性。意见还包括实施建议、对适当实施时机的解释以及可接受的做法。

新闻链接：

https://www.dataguidance.com/news/israel-ppa-publishes-opinion-risk-surveys-and

尼日利亚数据保护委员会发布《尼日利亚数据保护法》实施指令

2024年5月31日，尼日利亚数据保护委员会（NDPC）发布了《尼日利亚数据保护法》（NDPA）的一般应用和实施指令（GAID）草案。GAID旨在为处理个人信息提供指导。GAID提供了与下列事项有关的规则和程序，包括：

• NDPA的适用范围；

• NDPA的数据主体类别；

• 明确NDPA和《尼日利亚信息权法》中相互冲突的条款，以NDPA为准；

• 国家数据保护委员会在与相关公共机构合作制定次国家和部门数据保护指南方面的作用；

• NDPA规定的豁免；

• 个人为家庭或个人目的处理数据的行为可能对数据主体隐私造成风险的情况清单；

• 明确指定具有重大意义的数据控制者和处理者；

• 数据保护官 (DPO) 的任命、职能和职责；

• 对 cookies 的同意，以及 “必要 cookies ”的定义；

• 进行数据隐私影响评估 (DPIA) 的条件；以及

• 进一步的定义，包括“数据处理平台 ”和 “可互操作的数据隐私措施”。

值得注意的是，GAID 指出，在跨境数据传输指南发布之前，GAID 附表3中提供的解释性说明将用于评估各国，以确定其适当性水平，并用于NDPA认可的其他跨境数据传输理由。

新闻链接：

https://www.dataguidance.com/news/nigeria-ndpc-publishes-ndpa-implementation-directive

比利时数据保护局对某违反拒绝权和删除权的公司处以172431欧元的罚款

比利时数据保护局（Belgian DPA）于2024年6月3日发布了第87/2024号决定，对一家违反《通用数据保护条例》（GDPR）的公司处以罚款。DPA 概述说它收到了个人关于未经请求的直接营销的投诉。投诉人首先行使了删除权，因为该公司提出了一项未经认可的指控。之后，投诉人声称，尽管投诉人行使了拒绝权和删除权，但营销信息仍被发送。

DPA在调查后发现，该公司未能满足投诉人提出的拒绝和删除请求。DPA强调拒绝直接营销的权利是一项无条件的权利，数据控制者不得拒绝。DPA还指出该公司未能采取具体措施回应拒绝和删除请求。

因此，DPA认为该公司违反了GDPR第5(1)(a)、5(2)、17、21和24条。基于上述违法行为，DPA对该公司处以172431欧元的罚款，并责令该公司满足申诉人提出的拒绝和删除请求。

新闻链接：

https://www.dataguidance.com/news/belgium-dpa-fines-unnamed-company-172431-noncompliance

01