1. Без обмеження завдань і повноважень компетентного наглядового органу за статтями 57 і 58, моніторинг дотримання кодексу поведінки відповідно до статті 40 може здійснювати орган, що володіє належним рівнем експертних знань в сфері предмету кодексу та акредитований для такої цілі компетентним наглядовим органом.
2. Орган, як вказано в параграфі 1, може бути акредитований для моніторингу дотримання кодексу поведінки, якщо такий орган:
(a) довів свою незалежність та експертні знання в сфері предмету кодексу за повного виконання вимог компетентного наглядового органу;
(b) запровадив процедури, що дозволяють йому проводити оцінювання правоздатності залучених контролерів і операторів для застосування кодексу, моніторингу дотримання ними його положень та періодичного перегляду його дії;
(c) запровадив процедури та структури для розгляду скарг щодо порушень кодексу чи способу, у який було застосовано кодекс або який застосовує контролер або оператор, та надання таким процедурам і структурам прозорості для суб’єктів даних і громадськості; та
(d) довів за повного виконання вимог компетентного наглядового органу, що його завдання та обов’язки не призводять до конфлікту інтересів.
4. Без порушення завдань і повноважень компетентного наглядового органу та положень глави VIII, орган, як вказано в параграфі 1 цієї статті, з урахуванням належних гарантій, вживає необхідних дій у випадках порушення кодексу контролером або оператором, у тому числі призупинення роботи чи виключення залученого контролера або оператора з кодексу. Він повідомляє компетентний наглядовий орган про такі дії та причини їх вжиття.
Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf
(EN)
EDPB, Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679 (2019).
(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.
Here is the relevant paragraph to article 41 GDPR:
5.2.1 Understanding the organization and its context
The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.
(EN) […]
(EN) Sign in
to read the full text