Navigation
GDPR > Статья 40. Кодексы поведения
Download PDF

Статья 40 GDPR. Кодексы поведения

1. Государства-члены, надзорные органы, Европейский совет по защите персональных данных и Европейская Комиссия должны содействовать разработке кодексов поведения, предназначенных для надлежащего применения настоящего Регламента, с учетом отдельных особенностей различных отраслей обработки и отдельных потребностей микро-, малых и средних предприятий.

2. Ассоциации и другие органы, представляющие категории контролёров или процессоров, могут разрабатывать кодексы поведения, либо вносить в них изменения или расширять данные кодексы с целью уточнения применения настоящего Регламента, помимо прочего касательно следующего:

Recitals

(89) Директива 95/46/ЕС предусматривала общее обязательство по уведомлению надзорных органов об обработке персональных данных. Поскольку указанная обязанность связана с административной и финансовой нагрузкой, она не всегда содействовала улучшению защиты персональных данных. Поэтому такие неизбирательные общие обязательства по уведомлению должны быть отменены и заменены эффективными процедурами и механизмами, в которых основное внимание уделяется тем видам операций по переработке, которые с большой вероятностью могут привести к высокому риску для прав и свобод физических лиц в силу их характера, сферы охвата, контекстом и целями. Такими видами операций обработки могут быть те, которые, в частности, связаны с использованием новых технологий или которые сами по себе являются новыми, и когда контролёром раньше не проводилась оценка воздействия защиты данных или если они необходимы с учетом времени, которое прошло с момента первоначальной обработки.

(90) В таких случаях оценка воздействия на защиту персональных данных должна быть проведена контролёром до начала обработки для того, чтобы оценить вероятность и серьезность высоты риска, принимая во внимание характер, сферу охвата, контекст и цели обработки, а также источники риска. Такая оценка воздействия должна включать в себя, в частности, меры, гарантии и механизмы, предусмотренные для минимизации этого риска, обеспечения защиты персональных данных и подтверждения соблюдения настоящего Регламента.

(a) справедливой и прозрачной обработки;

Related

(b) легитимных интересов контролёров в определенных контекстах;

(c) сбора персональных данных;

(d) псевдонимизации персональных данных;

(e) информации, предоставляемой общественности и субъектам данных;

(f) осуществления прав субъектов данных;

(g) информации, предоставляемой детям и защиты детей от информации, а также способа, с помощью которого получено согласие лиц, обладающих родительской ответственностью над детьми;

(h) мер и процедур, указанных в статьях 24 и 25, а также мер обеспечения безопасности обработки, упомянутых в статье 32;

Related

(i) уведомления надзорных органов о нарушениях безопасности персональных данных и информирование субъектов данных о таких нарушениях безопасности персональных данных;

(j) передачи персональных данных третьим странам или международным организациям; или

(k) внесудебных процедур, а также иных процедур урегулирования споров, разрешающих споры между контролёрами и субъектами данных, связанных с обработкой, без ущерба правам субъектов данных в соответствии со Статьями 77 и 79.

Related

3. В дополнение к соблюдению контролёрами или процессорами, на которых распространяется настоящий Регламент, кодексы поведения, которые были одобрены в соответствии с параграфом 5 настоящей Статьи и которые обладают всеобщим действием в соответствии с параграфом 9 настоящей Статьи, могут также соблюдаться контролёрами или процессорами, на которых согласно Статье 3 не распространяется настоящий Регламент, для того, чтобы обеспечить надлежащие гарантии в рамках передачи персональных данных третьим странам или международным организациям согласно пункту (е) Статьи 46(2). Указанные контролёры или процессоры должны посредством договорных или иных юридически обязывающих механизмов возложить на себя обязательства, имеющие принудительную силу и подлежащие неукоснительному соблюдению, применять такие надлежащие гарантии, в том числе в отношении прав субъектов данных.

Related

4. Кодекс поведения, предусмотренный параграфом 2 настоящей Статьи, должен содержать механизмы, которые позволят органу, указанному в Статье 41(1), осуществлять обязательный мониторинг соблюдения его положений контролёрами или процессорами, которые берут на себя обязательства применять его, без ущерба задачам и полномочиям надзорных органов, компетентных в соответствии со Статьей 55 или 56.

Related

5. Ассоциации и иные органы, указанные в параграфе 2 настоящей Статьи, которые намерены разработать кодекс поведения, изменить или дополнить существующий кодекс, должны представить проект кодекса, изменения или дополнения компетентному в соответствии со Статьей 55 надзорному органу. Надзорный орган должен предоставить заключение о том, соответствует ли проект кодекса, изменения или дополнения настоящему Регламенту, а также должен утвердить такой проект кодекса, его изменения или расширение, если посчитает, что это обеспечит достаточные надлежащие гарантии.

Related

6. Если проект кодекса, его изменения или дополнения утвержден в соответствии с параграфом 5, и если соответствующий кодекс поведения не относится к обработке данных в нескольких государствах-членах, надзорный орган должен зарегистрировать и опубликовать кодекс.

7. В случае, если проект кодекса связан с обработкой данных в нескольких государствах-членах, надзорный орган, компетентный согласно Статье 55, должен до утверждения проекта кодекса, изменений или дополнений, передать его в соответствии с процедурой, указанной в Статье 63, Европейскому совету по защите персональных данных, который должен дать заключение о соответствии проекта кодекса, изменений или дополнений настоящему Регламенту, либо в случае, указанном в параграфе 3 настоящей Статьи, дать заключение, предусматривает ли он соответствующие гарантии.

Related

8. В случае, когда заключение, предусмотренное параграфом 7, подтверждает, что проект кодекса, его изменения или дополнения соответствует настоящему Регламенту, или в случае, указанном в параграфе 3, предусматривает соответствующие гарантии, Европейский совет по защите персональных данных должен представить свое заключение Европейской Комиссии.

9. Европейская Комиссия посредством исполнительных актов может принять решение о том, что утвержденный кодекс поведения, изменения или дополнения, предоставленные ей на рассмотрение в соответствии с параграфом 8 настоящей Статьи, имеют всеобщее действие на территории Союза. Такие исполнительные акты утверждаются в соответствии с процедурой проверки, указанной в Статье 93(2).

Related

10. Европейская Комиссия должна обеспечить надлежащий доступ общественности к утвержденным кодексам, которые были определены как обладающие всеобщим действием в соответствии с параграфом 9.

11. Европейский совет по защите персональных данных должен внести все утвержденные кодексы поведения, их изменения и дополнения в реестр и с помощью надлежащих мер довести их до всеобщего сведения.

ISO 27701 Recitals Guidelines & Case Law Leave a comment
ISO 27701

ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 40 GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

[…]


to read the full text

Recitals

(98) Ассоциации или иные учреждения, представляющие отдельные категории контролёров или процессоров, могут в рамках настоящего Регламента разработать кодексы поведения для того, чтобы способствовать эффективному применению настоящего Регламента, учитывая при этом специфику обработки, осуществляемой в определенном секторе и с определенной целью микро-, малых и средних предприятий. В частности, такие кодексы поведения могут точно определять обязательства контролёров и процессоров, принимая во внимание риск для прав и свобод физических лиц, который с высокой вероятностью может наступить в результате обработки.

(99) При разработке кодексов поведения, при изменении или дополнении таких кодексов, ассоциации и иные учреждения, предоставляющие отдельные категории контролёров или процессоров, должны проконсультироваться с соответствующими заинтересованными лицами, включая, по возможности, субъектов данных, и принять во внимание полученные при этом заключения и мнения.

Guidelines & Case Law Leave a comment
[js-disqus]