Daugiau
Navigacija
第一章 總則 (1-4)
第 1 條. 主旨與立法目的第 2 條. 實體適用範圍第 3 條. 領土適用範圍第 4 條. 定義
第二章 原則 (5-11)
第 5 條. 個人資料處理原則第 6 條. 處理之合法性第七條. 同意條件第 8 條. 涉及資訊社會服務適用兒童同意之條件第 9 條. 特殊類型之個人資料處理第 10 條. 涉及前科及犯罪之個人資料處理第 11 條. 不須識別之處理
第三章 資料主體之權利 (12-23)
第 12 條. 資料主體為行使其權利之透明資訊、溝通及管道第 13 條. 蒐集資料主體之個人資料時所提供之資訊第 14 條. 尚未自資料主體取得個人資料時所應提供之資訊第 15 條. 資料主體之接近使用權第 16 條. 更正權第 17 條. 刪除權(「被遺忘權」)第 18 條. 限制處理權第 19 條. 關於更正或刪除個人資料或限制處理之通知義務第 20 條. 資料可攜性權利第 21 條. 拒絕權第 22 條. 個人化之自動決策,包括建檔第 23 條. 限制
第四章 控管者及處理者 (24-43)
第 24 條. 主旨與立法目的第 25 條. 設計及預設之資料保護第 26 條. 共同控管者第 27 條. 非設立於歐盟境內控管者或處理者之代表第 28 條. 處理者第 29 條. 控管者或處理者之處理權限第 30 條. 處理活動之紀錄第 31 條. 與監管機關之合作第 32 條. 處理之安全第 33 條. 向監管機關進行個人資料侵害之通報第 34 條. 向資料主體為個人資料侵害之溝通第 35 條. 資料保護影響評估第 36 條. 事前諮詢第 37 條. 資料保護員之指定第 38 條. 資料保護員之職位第 39 條. 資料保護員之職務
第 40 條. 行為守則
第 41 條. 經核准之行為守則之監管第 42 條. 認證第 43 條. 認證機構
第五章 個人資料移轉至第三國或國際組織 (44-50)
第 44 條. 移轉之一般原則第 45 條. 基於充足程度保護決定之移轉第 46 條. 須遵守適當保護措施之移轉第 47 條. 有拘束力之企業守則第 48 條. 未獲歐盟法授權之移轉或揭露第 49 條. 特定情形下之例外第 50 條. 個人資料保護之國際合作
第六章 獨立監管機關 (51-59)
第 51 條. 監管機關第 52 條. 獨立第 53 條. 監管機關成員之一般條款第 54 條. 監管機關設立之規則第 55 條. 權限第 56 條. 領導監管機關之權限第 57 條. 職務第 58 條. 權力第 59 條. 活動報告
第七章 合作及一致性 (60-70)
第 60 條. 領導監管機關與其他相關監管機關間之合作第 61 條. 互助第 62 條. 監管機關之聯合作業第 63 條. 一致性機制第 64 條. 委員會之意見第 65 條. 委員會之爭議解決第 66 條. 緊急程序第 67 條. 資訊交換第 68 條. 歐洲資料保護委員會第 69 條. 獨立性第 70 條. 委員會之任務第 71 條. 報告第 72 條. 程序第 73 條. 主席第 74 條. 主席之任務第 75 條. 秘書處第 76 條. 保密性
第 8 章 救濟、義務及處罰 (77-84)
第 77 條. 向監管機關提出申訴之權利第 78 條. 對監管機關提起有效司法救濟之權利第 79 條. 對於控管者或處理者提出有效司法救濟之權利第 80 條. 資料主體之代表第 81 條. 停止訴訟程序第 82 條. 賠償請求權及義務第 83 條. 裁處行政罰鍰之一般要件第 84 條. 罰則
第九章 特殊處理情況之規範 (85-91)
第 85 條. 處理與言論及資訊自由第 86 條. 官方文件之處理與公眾接近使用第 87 條. 國民身分證字號之處理第 88 條. 僱傭關係下之處理第 89 條. 為實現公共利益、科學或歷史研究目的或統計目的所為 處理之保護措施及例外規定第 90 條. 保密義務第 91 條. 教會及宗教組織現存之資料保護規定
第十章 授權法及施行法 (92-93)
第 92 條. 授權之行使第 93 條. 執委會之程序
第十一章 最終條款 (94-95)
第 94 條. 歐盟指令第 95/46/EU 號之廢止第 95 條. 與歐盟指令第 2002/58/EC 號之關係第 96 條. 與已締結之協議之關係第 97 條. 執委會報告第 98 條. 對其他資料保護歐盟法案之審查第 99 條. 生效及適用
BDAR (GDPR) > 第 40 條. 行為守則
Atsisiųsti kaip PDF

第 40 條 GDPR. 行為守則

1. 會員國、監管機關、委員會及執委會對於行為守則之訂立,應給 予鼓勵,以促進本規則之有效適用,並考量某些行業執行資料處理之 特定特徵及微型、中小型企業之特定需求。

2. 組織與代表控管者或處理者類型之其他機構得備置行為守則或修 改或擴張該守則以明確化本規則之適用範圍,例如:

Konstatuojamosios dalys
Konstatuojamosios dalys

(89) 歐盟指令第 95/46/EC 號規範了向監管機關通知個人資料處理之 一般性義務。然而該義務造成了行政與財政上之負擔,並非所有情形 都對提升個人資料之保護有所助益。因此,該未加區別之普遍通知義 務應予廢除,並改以注重依處理活動之本質、範圍、脈絡及目的等特 徵區分容易對當事人權利與自由造成高風險之種類的更有效程序與 機制加以取代。該處理活動之種類尤其可能是涉及新技術之使用,或 未曾由控管者實施資料保護影響評估或基於自開始處理所經過之時間而有必要之新類型處理活動。

(90) 在此種情形,控管者應在處理之前進行資料保護影響評估,以 評估高風險之特定可能性與嚴重性,並考量處理之本質、範圍、脈絡 與目的及風險來源。該影響評估尤其應包括預計用以降低風險、確保 個人資料保護與顯示遵循本規則之措施、保護措施與機制。

(a) 公正及透明之處理:

Jungtys
Jungtys

(b) 控管者於具體情況下追求之正當利益;

(c) 個人資料之蒐集;

(d) 個人資料之假名化;

(e) 提供大眾及資料主體之資訊;

(f) 資料主體權利之行使;

(g) 向兒童提供之資訊及對於兒童之保護,以及獲得其法定代理人同 意之方式;

(h) 第 24 條及第 25 條所定之方式及程序,及第 32 條所定確保處理 安全性之保護措施;

Jungtys
Jungtys

(i) 向監管機關通知個人資料之侵害,以及將該等個人資料侵害通知 資料主體;

(j) 個人資料移轉至第三國或國際組織;或

(k) 法庭外程序與其他爭端解決程序,用以解決控管者和資料主體間 關於處理之爭議,而不損及第 77 條及第 79 條所定之資料主體之權 利。

Jungtys
Jungtys

3. 本條第 5 項所定經核准及本條第 9 項所定具有一般規範效力之行 為守則,除適用於受本規則拘束之控管者或處理者外,亦得適用於第 3 條所定不受本規則拘束之控管者或處理者,使其依第 46 條第 2 項 第 e 點規定將個人資料移轉至第三國或國際組織時得以提供適當之 保護措施。該等控管者或處理者應透過契約或其他具有法律拘束力之 文書,做成具有拘束力且可得執行之承諾,以適用該等適當之保護措 施,包括關於資料主體之權利。

Jungtys
Jungtys

4. 本條第 2項所定之行為守則應涵蓋得以使第 41 條第 1項所定機構 對承諾遵守該等規範之控管者或處理者進行強制性監控之機制,而不 損及第 55 條或 56 條所定主管監管機關之任務及權力。

Jungtys
Jungtys

5. 本條第 2 項所定欲備置行為守則或修改或擴張現存行為守則之組 織及其他機構,應將該行為守則草案、修正案或擴充案提交至第 55 條所定之主管監管機關。該監管機關應提供該草案、修正案或擴充案 是否符合本規則之意見,如其認為已提供充分且適當之保護措施者, 即應核准該草案、修正案或擴充案。

Jungtys
Jungtys

6. 依第 5 項規定核准行為守則草案或修正案或擴充案,且該行為守 則與多個會員國之處理活動無關者,監管機關應登記並公布該行為守 則。

7. 如行為守則涉及多個會員國之處理活動者,第 55 條所定之主管監管機關於核准該草案、修正案或擴充案前,應依照第 63 條所定程序 將之提交至委員會,使其就該草案、修正案或擴充案是否符合本規則 之規定或是否已依本條第 3 項規定提供適當保護乙節表示意見。

Jungtys
Jungtys

8. 第 7 項所定之意見確認該草案、修正案或擴充案符合本規則或已 依照第 3 項規定提供適當保護者,委員會應將其意見提交至執委會。

9. 執委會得以施行法之方式,決定本條第 8 項所定經提交且核准之 行為守則、修正案及擴充案於歐盟內具有一般規範效力。該等施行法 應依照第 93 條第 2 項所定檢驗程序通過。

Jungtys
Jungtys

10. 執委會應確保依照第 9項規定具有一般規範效力且經核准之行為 守則之公示性。

11. 委員會應將所有經核准之行為守則、修正案及擴充案整理登錄, 並應以適當方式公開之。

通用数据保护条例(EU GDPR)

Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30

ISO 27701 Konstatuojamosios dalys Gairės & Byla Teisė Palikite komentarą
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 40 GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.


norėdami pasiekti visą tekstą

Konstatuojamosios dalys

(98) 應鼓勵組織與代表控管者或處理者類型之其他機構在合乎本規 則之限制下訂立行為守則,以促進本規則之有效適用,並考量某些行 業執行資料處理之特定特徵及微型、中小型企業之特定需求。尤其, 此種行為守則可能標誌出控管者與處理者之義務,考量資料處理可能 造成當事人之權利與自由的風險。

(99) 訂立行為守則或修改、擴張該守則時,組織與其他代表控管者 或處理者類型之其他機構應諮詢利害關係人,包括如可行時之資料主 體,並關注為回應此種諮詢所收到之意見及表達之觀點。

Gairės & Byla Teisė Palikite komentarą
[js-disqus]