Nawigacja
RODO > Artyku艂 40. Kodeksy post臋powania
Pobierz jako plik PDF

Artyku艂 40 RODO. Kodeksy post臋powania

Article 40 GDPR. Codes of conduct

1. Pa艅stwa cz艂onkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zach臋caj膮 do sporz膮dzania kodeks贸w post臋powania maj膮cych pom贸c we w艂a艣ciwym stosowaniu niniejszego rozporz膮dzenia 鈥 z uwzgl臋dnieniem specyfiki r贸偶nych sektor贸w dokonuj膮cych przetwarzania oraz szczeg贸lnych potrzeb mikroprzedsi臋biorstw oraz ma艂ych i 艣rednich przedsi臋biorstw.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation, taking account of the specific features of the various processing sectors and the specific needs of micro, small and medium-sized enterprises.

2. Zrzeszenia i inne podmioty reprezentuj膮ce okre艣lone kategorie administrator贸w lub podmioty przetwarzaj膮ce mog膮 opracowywa膰 lub zmienia膰 kodeksy post臋powania lub rozszerza膰 ich zakres, aby doprecyzowa膰 zastosowanie niniejszego rozporz膮dzenia, mi臋dzy innymi w odniesieniu do:

2. Associations and other bodies representing categories of controllers or processors may prepare codes of conduct, or amend or extend such codes, for the purpose of specifying the application of this Regulation, such as with regard to:

Motywy

(89) Dyrektywa 95/46/WE przewidywa艂a og贸lny obowi膮zek zawiadamiania organ贸w nadzorczych o przetwarzaniu danych osobowych. Obowi膮zek ten powoduj膮c jednak obci膮偶enia administracyjne i finansowe i nie zawsze przyczynia艂 si臋 do poprawy ochrony danych osobowych. Dlatego nale偶y znie艣膰 te powszechne, og贸lne obowi膮zki zawiadamiania i zast膮pi膰 je skutecznymi procedurami i mechanizmami koncentruj膮cymi si臋 w zamian na tych rodzajach operacji przetwarzania, kt贸re ze wzgl臋du na sw贸j charakter, zakres, kontekst i cele mog膮 powodowa膰 wysokie ryzyko naruszenia praw lub wolno艣ci os贸b fizycznych. Takie rodzaje operacji przetwarzania obejmuj膮 w szczeg贸lno艣ci operacje, kt贸re wi膮偶膮 si臋 w szczeg贸lno艣ci z u偶yciem nowych technologii lub kt贸re s膮 nowe i nie zosta艂y jeszcze poddane przez administratora ocenie skutk贸w dla ochrony danych lub sta艂y si臋 niezb臋dne z uwagi na up艂yw czasu od pierwotnego przetwarzania.

(89) Directive 95/46/EC provided for a general obligation to notify the processing of personal data to the supervisory authorities. While that obligation produces administrative and financial burdens, it did not in all cases contribute to improving the protection of personal data. Such indiscriminate general notification obligations should therefore be abolished, and replaced by effective procedures and mechanisms which focus instead on those types of processing operations which are likely to result in a high risk to the rights and freedoms of natural persons by virtue of their nature, scope, context and purposes. Such types of processing operations may be those which in, particular, involve using new technologies, or are of a new kind and where no data protection impact assessment has been carried out before by the controller, or where they become necessary in the light of the time that has elapsed since the initial processing.

(90) W takim przypadku administrator powinien przed przetwarzaniem dokona膰 oceny skutk贸w dla ochrony danych, aby oceni膰 konkretne prawdopodobie艅stwo i powag臋 tego wysokiego ryzyka, uwzgl臋dniaj膮c charakter, zakres, kontekst i cele przetwarzania oraz 藕r贸d艂a ryzyka. Ocena skutk贸w powinna w szczeg贸lno艣ci obejmowa膰 planowane 艣rodki, zabezpieczenia i mechanizmy maj膮ce minimalizowa膰 to ryzyko, zapewnia膰 ochron臋 danych osobowych oraz wykaza膰 przestrzeganie niniejszego rozporz膮dzenia.

(90) In such cases, a data protection impact assessment should be carried out by the controller prior to the processing in order to assess the particular likelihood and severity of the high risk, taking into account the nature, scope, context and purposes of the processing and the sources of the risk. That impact assessment should include, in particular, the measures, safeguards and mechanisms envisaged for mitigating that risk, ensuring the protection of personal data and demonstrating compliance with this Regulation.

a) rzetelnego i przejrzystego przetwarzania;

(a)聽fair and transparent processing;

Powi膮zane teksty

b) prawnie uzasadnionych interes贸w realizowanych przez administrator贸w w okre艣lonych kontekstach;

(b)聽the legitimate interests pursued by controllers in specific contexts;

c) zbierania danych osobowych;

(c)聽the collection of personal data;

d) pseudonimizacji danych osobowych;

(d)聽the pseudonymisation of personal data;

e) informowania opinii publicznej i os贸b, kt贸rych dane dotycz膮;

(e)聽the information provided to the public and to data subjects;

f) wykonywania przez osoby, kt贸rych dane dotycz膮, przys艂uguj膮cych im praw;

(f)聽the exercise of the rights of data subjects;

g) informowania i ochrony dzieci oraz sposobu pozyskiwania zgody osoby sprawuj膮cej w艂adz臋 rodzicielsk膮 lub opiek臋 nad dzieckiem;

(g)聽the information provided to, and the protection of, children, and the manner in which the consent of the holders of parental responsibility over children is to be obtained;

h) 艣rodk贸w i procedur, o kt贸rych mowa w art. 24 i 25, oraz 艣rodk贸w zapewniaj膮cych bezpiecze艅stwo przetwarzania, o kt贸rych mowa w art. 32;

(h)聽the measures and procedures referred to in Articles 24 and 25 and the measures to ensure security of processing referred to in Article 32;

Powi膮zane teksty

i) zg艂aszania organowi nadzorczemu narusze艅 ochrony danych osobowych oraz zawiadamiania o takich naruszeniach os贸b, kt贸rych dane dotycz膮;

(i)聽the notification of personal data breaches to supervisory authorities and the communication of such personal data breaches to data subjects;

j) przekazywania danych osobowych do pa艅stw trzecich lub organizacji mi臋dzynarodowych; lub

(j)聽the transfer of personal data to third countries or international organisations; or

k) post臋powa艅 pozas膮dowych oraz innych tryb贸w rozstrzygania spor贸w w celu rozstrzygania spor贸w mi臋dzy administratorami a osobami, kt贸rych dane dotycz膮, w zakresie przetwarzania, bez uszczerbku dla praw os贸b, kt贸rych dane dotycz膮, na mocy art. 77 i 79.

(k)聽out-of-court proceedings and other dispute resolution procedures for resolving disputes between controllers and data subjects with regard to processing, without prejudice to the rights of data subjects pursuant to Articles 77 and 79.

Powi膮zane teksty

3. Poza administratorami lub podmiotami przetwarzaj膮cymi, kt贸rzy podlegaj膮 niniejszemu rozporz膮dzeniu, kodeks贸w post臋powania zatwierdzonych na mocy ust. 5 niniejszego artyku艂u i powszechnie obowi膮zuj膮cych zgodnie z ust. 9 niniejszego artyku艂u, mog膮 przestrzega膰 tak偶e administratorzy lub podmioty przetwarzaj膮ce, kt贸rzy zgodnie z art. 3 nie podlegaj膮 niniejszemu rozporz膮dzeniu, w celu zapewnienia odpowiednich zabezpiecze艅 w ramach przekazywania danych osobowych do pa艅stw trzecich lub organizacji mi臋dzynarodowych na warunkach okre艣lonych w art. 46 ust. 2 lit. e). Tacy administratorzy lub takie podmioty przetwarzaj膮ce podejmuj膮 wi膮偶膮ce i egzekwowalne zobowi膮zanie 鈥 w drodze umowy lub poprzez inne prawnie wi膮偶膮ce instrumenty 鈥 do stosowania tych odpowiednich zabezpiecze艅, w tym w odniesieniu do praw os贸b, kt贸rych dane dotycz膮.

3. In addition to adherence by controllers or processors subject to this Regulation, codes of conduct approved pursuant to paragraph 5 of this Article and having general validity pursuant to paragraph 9 of this Article may also be adhered to by controllers or processors that are not subject to this Regulation pursuant to Article聽3 in order to provide appropriate safeguards within the framework of personal data transfers to third countries or international organisations under the terms referred to in point (e) of Article聽46(2). Such controllers or processors shall make binding and enforceable commitments, via contractual or other legally binding instruments, to apply those appropriate safeguards including with regard to the rights of data subjects.

Powi膮zane teksty

4. Kodeks post臋powania, o kt贸rym mowa w ust. 2 niniejszego artyku艂u, przewiduje mechanizmy pozwalaj膮ce podmiotowi, o kt贸rym mowa w art. 41 ust. 1, prowadzi膰 obowi膮zkowe monitorowanie przestrzegania przepis贸w kodeksu przez administrator贸w lub podmioty przetwarzaj膮ce, kt贸rzy podj臋li si臋 jego stosowania, bez uszczerbku dla zada艅 i uprawnie艅 organ贸w nadzorczych w艂a艣ciwych na mocy art. 55 lub 56.

4. A code of conduct referred to in paragraph 2 of this Article shall contain mechanisms which enable the body referred to in Article聽41(1) to carry out the mandatory monitoring of compliance with its provisions by the controllers or processors which undertake to apply it, without prejudice to the tasks and powers of supervisory authorities competent pursuant to Article聽55 or 56.

Powi膮zane teksty

5. Zrzeszenia i inne podmioty, o kt贸rych mowa w ust. 2 niniejszego artyku艂u, chc膮ce opracowa膰 kodeks post臋powania lub zmieni膰 lub rozszerzy膰 zakres kodeksu ju偶 obowi膮zuj膮cego przedk艂adaj膮 projekt kodeksu, zmiany lub rozszerzenia organowi nadzorczemu w艂a艣ciwemu na mocy art. 55. Organ nadzorczy wydaje opini臋 o zgodno艣ci projektu kodeksu, zmiany lub rozszerzenia z niniejszym rozporz膮dzeniem i zatwierdza taki projekt kodeksu, zmiany lub rozszerzenia, je偶eli uzna, 偶e stanowi膮 one odpowiednie zabezpieczenia.

5. Associations and other bodies referred to in paragraph 2 of this Article which intend to prepare a code of conduct or to amend or extend an existing code shall submit the draft code, amendment or extension to the supervisory authority which is competent pursuant to Article聽55. The supervisory authority shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation and shall approve that draft code, amendment or extension if it finds that it provides sufficient appropriate safeguards.

6. W przypadku zatwierdzenia zgodnie z ust. 5 projektu kodeksu, zmiany lub rozszerzenia, organ nadzorczy rejestruje i publikuje ten kodeks, o ile nie dotyczy on czynno艣ci przetwarzania prowadzonych w kilku pa艅stwach cz艂onkowskich.

6. Where the draft code, or amendment or extension is approved in accordance with paragraph聽5, and where the code of conduct concerned does not relate to processing activities in several Member聽States, the supervisory authority shall register and publish the code.

7. Je偶eli projekt kodeksu post臋powania dotyczy czynno艣ci przetwarzania prowadzonych w kilku pa艅stwach cz艂onkowskich, organ nadzorczy w艂a艣ciwy na mocy art. 55 przed zatwierdzeniem projektu kodeksu, zmiany lub rozszerzenia przedk艂ada go zgodnie z procedur膮, o kt贸rej mowa w art. 63, Europejskiej Radzie Ochrony Danych, kt贸ra wydaje opini臋 o zgodno艣ci projektu kodeksu, zmiany lub rozszerzenia z niniejszym rozporz膮dzeniem lub w sytuacji okre艣lonej w ust. 3 niniejszego artyku艂u opini臋 o tym, czy stanowi膮 one odpowiednie zabezpieczenia.

7. Where a draft code of conduct relates to processing activities in several Member聽States, the supervisory authority which is competent pursuant to Article 55 shall, before approving the draft code, amendment or extension, submit it in the procedure referred to in Article聽63 to the Board which shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation or, in the situation referred to in paragraph聽3 of this Article, provides appropriate safeguards.

Powi膮zane teksty

8. Je偶eli opinia, o kt贸rej mowa w ust. 7, potwierdza, 偶e projekt kodeksu, zmiany lub rozszerzenia jest zgodny z niniejszym rozporz膮dzeniem lub w sytuacji okre艣lonej w ust. 3 stanowi膮 odpowiednie zabezpieczenia, Europejska Rada Ochrony Danych przedk艂ada t臋 opini臋 Komisji.

8. Where the opinion referred to in paragraph 7 confirms that the draft code, amendment or extension complies with this Regulation, or, in the situation referred to in paragraph聽3, provides appropriate safeguards, the Board shall submit its opinion to the Commission.

9. Komisja mo偶e, w drodze akt贸w wykonawczych, stwierdzi膰, 偶e zatwierdzony kodeks post臋powania, zmiana lub rozszerzenie przed艂o偶one jej na mocy ust. 8 niniejszego artyku艂u s膮 powszechnie obowi膮zuj膮ce w Unii. Te akty wykonawcze s膮 przyjmowane zgodnie z procedur膮 sprawdzaj膮c膮, o kt贸rej mowa w art. 93 ust. 2.

9. The Commission may, by way of implementing acts, decide that the approved code of conduct, amendment or extension submitted to it pursuant to paragraph聽8 of this Article have general validity within the Union. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article聽93(2).

Powi膮zane teksty

10. Komisja zapewnia odpowiednie upowszechnianie zatwierdzonych kodeks贸w, kt贸rych powszechne obowi膮zywanie stwierdzi艂a zgodnie z ust. 9.

10. The Commission shall ensure appropriate publicity for the approved codes which have been decided as having general validity in accordance with paragraph 9.

11. Europejska Rada Ochrony Danych gromadzi w rejestrze wszystkie zatwierdzone kodeksy podst臋powania, zmiany i rozszerzenia i udost臋pnia je opinii publicznej za pomoc膮 odpowiednich 艣rodk贸w.

11. The Board shall collate all approved codes of conduct, amendments and extensions in a register and shall make them publicly available by way of appropriate means.

ISO 27701 Motywy Wytyczne & Case Law zostaw komentarz
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 40 GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.


aby uzyska膰 dost臋p do pe艂nego tekstu

Motywy

(98) Nale偶y zach臋ca膰 zrzeszenia lub inne organy reprezentuj膮ce kategorie administrator贸w lub podmiot贸w przetwarzaj膮cych do sporz膮dzania kodeks贸w post臋powania, w granicach niniejszego rozporz膮dzenia, by u艂atwia膰 skuteczne stosowanie niniejszego rozporz膮dzenia, z uwzgl臋dnieniem szczeg贸lnych cech przetwarzania prowadzonego w niekt贸rych sektorach i szczeg贸lnych potrzeb mikroprzedsi臋biorstw oraz ma艂ych i 艣rednich przedsi臋biorstw. W takich kodeksach mo偶na w szczeg贸lno艣ci dopasowa膰 obowi膮zki administrator贸w i podmiot贸w przetwarzaj膮cych do ryzyka naruszenia praw lub wolno艣ci os贸b fizycznych, jakie mo偶e powodowa膰 przetwarzanie.

(98) Associations or other bodies representing categories of controllers or processors should be encouraged to draw up codes of conduct, within the limits of this Regulation, so as to facilitate the effective application of this Regulation, taking account of the specific characteristics of the processing carried out in certain sectors and the specific needs of micro, small and medium enterprises. In particular, such codes of conduct could calibrate the obligations of controllers and processors, taking into account the risk likely to result from the processing for the rights and freedoms of natural persons.

(99) Sporz膮dzaj膮c kodeks post臋powania b膮d藕 zmieniaj膮c go lub rozszerzaj膮c jego zakres, zrzeszenia i inne organy reprezentuj膮ce kategorie administrator贸w lub podmiot贸w przetwarzaj膮cych powinny konsultowa膰 si臋 z odpowiednimi stronami, kt贸rych sprawa dotyczy, w tym je偶eli jest to wykonalne, z osobami, kt贸rych dane dotycz膮, oraz mie膰 na wzgl臋dzie uwagi i opinie otrzymane w ramach takich konsultacji.

(99) When drawing up a code of conduct, or when amending or extending such a code, associations and other bodies representing categories of controllers or processors should consult relevant stakeholders, including data subjects where feasible, and have regard to submissions received and views expressed in response to such consultations.

Wytyczne & Case Law zostaw komentarz
[js-disqus]