GDPR > Стаття 40. Кодекс поведінки
Стаття 40 GDPR. Кодекс поведінки

Article 40 GDPR. Codes of conduct

1. Держави-члени, наглядові органи, Рада і Комісія заохочують розроблення кодексів поведінки, спрямованих на сприяння належному застосуванню цього Регламенту, беручи до уваги особливі характеристики різних секторів опрацювання та конкретні потреби мікропідприємств, малих і середніх підприємств.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation, taking account of the specific features of the various processing sectors and the specific needs of micro, small and medium-sized enterprises.

2. Асоціації та інші органи, що представляють категорії контролерів або операторів можуть підготувати кодекси поведінки або внести зміни і доповнення, або розширити такі кодекси, з метою уточнення застосування цього Регламенту, зокрема, щодо:

2. Associations and other bodies representing categories of controllers or processors may prepare codes of conduct, or amend or extend such codes, for the purpose of specifying the application of this Regulation, such as with regard to:


(89) Директивою 95/46/ЄС передбачено загальний обов'язок повідомляти наглядові органи про опрацювання персональних даних. Незважаючи на те, що цей обов'язок породжує адміністративний та фінансовий тягарі, він необов'язково сприяв покращенню у сфері захисту персональних даних. Тому, такі недискримінаційні загальні обов'язки щодо надання повідомлення необхідно скасувати та замінити дієвими процедурами і механізмами, що, натомість, зосереджуються на тих типах операцій опрацювання, які ймовірно створять високий ризик для прав і свобод фізичних осіб в силу їхньої специфіки, масштабу, контексту та цілей. Такими типами операцій опрацювання можуть бути операції, які, зокрема, передбачають використання нових технологій або є новими і такими, щодо яких контролер раніше не проводив жодного оцінювання впливу на захист даних, або такими, що стають необхідними в аспекті часу, що минув з моменту первинного опрацювання.

(89) Directive 95/46/EC provided for a general obligation to notify the processing of personal data to the supervisory authorities. While that obligation produces administrative and financial burdens, it did not in all cases contribute to improving the protection of personal data. Such indiscriminate general notification obligations should therefore be abolished, and replaced by effective procedures and mechanisms which focus instead on those types of processing operations which are likely to result in a high risk to the rights and freedoms of natural persons by virtue of their nature, scope, context and purposes. Such types of processing operations may be those which in, particular, involve using new technologies, or are of a new kind and where no data protection impact assessment has been carried out before by the controller, or where they become necessary in the light of the time that has elapsed since the initial processing.

(90) У таких випадках контролер повинен провести оцінювання впливу на захист даних до моменту опрацювання для того, щоб визначити конкретну ймовірність і ступінь тяжкості високого ризику, враховуючи специфіку, обсяг, контекст і цілі опрацювання та джерела ризику. У такій оцінці необхідно вказати, зокрема, заходи, гарантії та механізми, передбачені для зниження такого ризику, які забезпечують захист персональних даних і підтверджують відповідність цьому Регламенту.

(90) In such cases, a data protection impact assessment should be carried out by the controller prior to the processing in order to assess the particular likelihood and severity of the high risk, taking into account the nature, scope, context and purposes of the processing and the sources of the risk. That impact assessment should include, in particular, the measures, safeguards and mechanisms envisaged for mitigating that risk, ensuring the protection of personal data and demonstrating compliance with this Regulation.

(a) правомірного та прозорого опрацювання;

(a) fair and transparent processing;

(b) законних інтересів контролерів у конкретних ситуаціях;

(b) the legitimate interests pursued by controllers in specific contexts;

(c) збирання персональних даних;

(c) the collection of personal data;

(d) використання псевдонімів для персональних даних;

(d) the pseudonymisation of personal data;

(e) інформації, яку надають громадськості та суб’єктам даних;

(e) the information provided to the public and to data subjects;

(f) реалізації прав суб’єктів даних;

(f) the exercise of the rights of data subjects;

(g) інформації, яку надають дітям, та їхнього захисту, і способу, яким необхідно отримувати згоду носіїв батьківської відповідальності щодо дітей;

(g) the information provided to, and the protection of, children, and the manner in which the consent of the holders of parental responsibility over children is to be obtained;

(h) заходів і процедур, вказаних у статтях 24 і 25, і заходів для гарантування безпеки опрацювання, вказаних у статті 32;

(h) the measures and procedures referred to in Articles 24 and 25 and the measures to ensure security of processing referred to in Article 32;

(i) нотифікації наглядових органів про порушення захисту персональних даних та повідомлення суб’єктів даних про такі порушення захисту персональних даних;

(i) the notification of personal data breaches to supervisory authorities and the communication of such personal data breaches to data subjects;

(j) передавання персональних даних до третіх країн або міжнародних організацій; або

(j) the transfer of personal data to third countries or international organisations; or

(k) позасудових процедур і інших процедур щодо врегулювання суперечок для врегулювання спорів між контролерами та суб’єктами даних у зв’язку з опрацюванням, без порушення прав суб’єктів даних відповідно до статей 77 і 79.

(k) out-of-court proceedings and other dispute resolution procedures for resolving disputes between controllers and data subjects with regard to processing, without prejudice to the rights of data subjects pursuant to Articles 77 and 79.

3. Окрім дотримання контролерами або операторами відповідно до цього Регламенту, кодекси поведінки, що затверджені відповідно до параграфа 5 цієї статті та мають загальну дію відповідно до параграфа 9 цієї статті, також можна застосовувати до контролерів або операторів, на яких не поширюється дія цього Регламенту відповідно до статті 3 для того, щоб надати належні гарантії в межах передавання персональних даних до третіх країн чи міжнародних організацій на умовах, наведених у пункті (e) статті 46(2). Такі контролери або оператори повинні взяти на себе зобов’язання, які є обов’язковими і можливими для виконання, за допомогою договірних або інших юридично зобов’язальних інструментів, для того, щоб застосувати зазначені належні гарантії, у тому числі, гарантії щодо прав суб’єктів даних.

3. In addition to adherence by controllers or processors subject to this Regulation, codes of conduct approved pursuant to paragraph 5 of this Article and having general validity pursuant to paragraph 9 of this Article may also be adhered to by controllers or processors that are not subject to this Regulation pursuant to Article 3 in order to provide appropriate safeguards within the framework of personal data transfers to third countries or international organisations under the terms referred to in point (e) of Article 46(2). Such controllers or processors shall make binding and enforceable commitments, via contractual or other legally binding instruments, to apply those appropriate safeguards including with regard to the rights of data subjects.

4. Кодекс поведінки, вказаний у параграфі 2 цієї статті, повинен передбачати механізми, що дозволяють органу, вказаному в статті 41(1), здійснювати обов’язковий моніторинг дотримання його положень контролерами або операторами, які взяли на себе зобов’язання щодо його застосування, без обмеження завдань і повноважень наглядових органів, що є компетентними відповідно до статті 55 або 56.

4. A code of conduct referred to in paragraph 2 of this Article shall contain mechanisms which enable the body referred to in Article 41(1) to carry out the mandatory monitoring of compliance with its provisions by the controllers or processors which undertake to apply it, without prejudice to the tasks and powers of supervisory authorities competent pursuant to Article 55 or 56.

5. Асоціації та інші органи, вказані в параграфі 2 цієї статті, що мають намір підготувати кодекс поведінки чи внести зміни та доповнення або розширити наявний кодекс, подають проект кодексу, змін та доповнень або розширення до наглядового органу, що є компетентним відповідно до статті 55. Наглядовий орган надає висновок про те, чи відповідає проект кодексу, змін та доповнень або розширення цьому Регламенту, та затверджує такий проект кодексу, змін та доповнень або розширення, якщо з’ясовує, що в ньому передбачено достатні належні гарантії.

5. Associations and other bodies referred to in paragraph 2 of this Article which intend to prepare a code of conduct or to amend or extend an existing code shall submit the draft code, amendment or extension to the supervisory authority which is competent pursuant to Article 55. The supervisory authority shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation and shall approve that draft code, amendment or extension if it finds that it provides sufficient appropriate safeguards.

6. Якщо проект кодексу, змін та доповнень або розширення затверджують відповідно до параграфа 5, та якщо відповідний кодекс поведінки не стосується опрацювання даних в декількох державах-членах, наглядовий орган реєструє і опубліковує кодекс.

6. Where the draft code, or amendment or extension is approved in accordance with paragraph 5, and where the code of conduct concerned does not relate to processing activities in several Member States, the supervisory authority shall register and publish the code.

7. Якщо проект кодексу стосується опрацювання даних в декількох державах-членах, наглядовий орган, що є компетентним відповідно до статті 55, до затвердження проекту кодексу, змін та доповнень або розширення, подає його на процедуру, вказану в статті 63, до Ради, яка надає висновок щодо того, чи відповідає проект кодексу, змін та доповнень або розширення цьому Регламенту або, в ситуації, вказаній в параграфі 3 цієї статті, чи передбачено в ньому належні гарантії.

7. Where a draft code of conduct relates to processing activities in several Member States, the supervisory authority which is competent pursuant to Article 55 shall, before approving the draft code, amendment or extension, submit it in the procedure referred to in Article 63 to the Board which shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation or, in the situation referred to in paragraph 3 of this Article, provides appropriate safeguards.

8. Якщо висновок, вказаний у параграфі 7, підтверджує, що проект кодексу, змін та доповнення або розширення відповідає цьому Регламенту або, в ситуації, вказаній в параграфі З цієї статті, передбачає належні гарантії, Рада подає свій висновок до Комісії.

8. Where the opinion referred to in paragraph 7 confirms that the draft code, amendment or extension complies with this Regulation, or, in the situation referred to in paragraph 3, provides appropriate safeguards, the Board shall submit its opinion to the Commission.

9. Комісія може, за допомогою імплементаційних актів, вирішити, що затверджений кодекс поведінки, змін та доповнень або розширення, що подають їй відповідно до параграфа 8 цієї статті, мають загальну дію в межах Союзу. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, встановленої в статті 93(2).

9. The Commission may, by way of implementing acts, decide that the approved code of conduct, amendment or extension submitted to it pursuant to paragraph 8 of this Article have general validity within the Union. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article 93(2).

10. Комісія забезпечує належну публічність для затверджених кодексів, щодо яких було прийнято рішення про те, що вони мають загальну дію згідно з параграфом 9.

10. The Commission shall ensure appropriate publicity for the approved codes which have been decided as having general validity in accordance with paragraph 9.

11. Рада впорядковує усі затверджені кодекси поведінки, зміни та доповнення або розширення у формі реєстру і оприлюднює їх за допомогою належних засобів.

11. The Board shall collate all approved codes of conduct, amendments and extensions in a register and shall make them publicly available by way of appropriate means.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 40 GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

(98) Необхідно заохочувати асоціації чи інші органи, що представляють категорії контролерів або операторів, розробляти кодекси поведінки, в межах цього Регламенту, для сприяння дієвому застосуванню цього Регламенту, враховуючи особливі характеристики опрацювання, яке проводять в окремих секторах, а також - особливі потреби мікропідприємств, малих і середніх підприємств. Зокрема, такі кодекси поведінки можуть врегулювати обов'язки контролерів і операторів із врахуванням ризику, що ймовірно виникає внаслідок опрацювання, для прав і свобод фізичних осіб.

(98) Associations or other bodies representing categories of controllers or processors should be encouraged to draw up codes of conduct, within the limits of this Regulation, so as to facilitate the effective application of this Regulation, taking account of the specific characteristics of the processing carried out in certain sectors and the specific needs of micro, small and medium enterprises. In particular, such codes of conduct could calibrate the obligations of controllers and processors, taking into account the risk likely to result from the processing for the rights and freedoms of natural persons.

(99) Під час розроблення кодексу поведінки або внесення змін до такого кодексу чи його розширення, асоціації та інші органи, що представляють категорії контролерів або операторів, повинні проводити консультації з відповідними стейкхолдерами, в тому числі суб'єктами даних, за можливості, та враховувати отримані матеріали та позиції, висловлені у відповідь на такі консультації.

(99) When drawing up a code of conduct, or when amending or extending such a code, associations and other bodies representing categories of controllers or processors should consult relevant stakeholders, including data subjects where feasible, and have regard to submissions received and views expressed in response to such consultations.

