Статья 40 📖 GDPR. Кодексы поведения

Статья 40 GDPR. Кодексы поведения

Article 40 GDPR. Codes of conduct

1. Государства-члены, надзорные органы, Европейский совет по защите персональных данных и Европейская Комиссия должны содействовать разработке кодексов поведения, предназначенных для надлежащего применения настоящего Регламента, с учетом отдельных особенностей различных отраслей обработки и отдельных потребностей микро-, малых и средних предприятий.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation, taking account of the specific features of the various processing sectors and the specific needs of micro, small and medium-sized enterprises.

2. Ассоциации и другие органы, представляющие категории контролёров или процессоров, могут разрабатывать кодексы поведения, либо вносить в них изменения или расширять данные кодексы с целью уточнения применения настоящего Регламента, помимо прочего касательно следующего:

2. Associations and other bodies representing categories of controllers or processors may prepare codes of conduct, or amend or extend such codes, for the purpose of specifying the application of this Regulation, such as with regard to:

Преамбулы

(89) Директива 95/46/ЕС предусматривала общее обязательство по уведомлению надзорных органов об обработке персональных данных. Поскольку указанная обязанность связана с административной и финансовой нагрузкой, она не всегда содействовала улучшению защиты персональных данных. Поэтому такие неизбирательные общие обязательства по уведомлению должны быть отменены и заменены эффективными процедурами и механизмами, в которых основное внимание уделяется тем видам операций по переработке, которые с большой вероятностью могут привести к высокому риску для прав и свобод физических лиц в силу их характера, сферы охвата, контекстом и целями. Такими видами операций обработки могут быть те, которые, в частности, связаны с использованием новых технологий или которые сами по себе являются новыми, и когда контролёром раньше не проводилась оценка воздействия защиты данных или если они необходимы с учетом времени, которое прошло с момента первоначальной обработки.

(89) Directive 95/46/EC provided for a general obligation to notify the processing of personal data to the supervisory authorities. While that obligation produces administrative and financial burdens, it did not in all cases contribute to improving the protection of personal data. Such indiscriminate general notification obligations should therefore be abolished, and replaced by effective procedures and mechanisms which focus instead on those types of processing operations which are likely to result in a high risk to the rights and freedoms of natural persons by virtue of their nature, scope, context and purposes. Such types of processing operations may be those which in, particular, involve using new technologies, or are of a new kind and where no data protection impact assessment has been carried out before by the controller, or where they become necessary in the light of the time that has elapsed since the initial processing.

(90) В таких случаях оценка воздействия на защиту персональных данных должна быть проведена контролёром до начала обработки для того, чтобы оценить вероятность и серьезность высоты риска, принимая во внимание характер, сферу охвата, контекст и цели обработки, а также источники риска. Такая оценка воздействия должна включать в себя, в частности, меры, гарантии и механизмы, предусмотренные для минимизации этого риска, обеспечения защиты персональных данных и подтверждения соблюдения настоящего Регламента.

(90) In such cases, a data protection impact assessment should be carried out by the controller prior to the processing in order to assess the particular likelihood and severity of the high risk, taking into account the nature, scope, context and purposes of the processing and the sources of the risk. That impact assessment should include, in particular, the measures, safeguards and mechanisms envisaged for mitigating that risk, ensuring the protection of personal data and demonstrating compliance with this Regulation.

(a) справедливой и прозрачной обработки;

(a) fair and transparent processing;

Связанные статьи

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0.

3.1 Прозрачность [24]

3.1 Transparency [24]

_{[24] Более подробно о том, как понимать концепцию прозрачности, можно прочитать в документе Рабочей группы по статье 29 «Руководящие принципы прозрачности согласно Регламенту 2016/679». WP 260 rev.01, 11 апреля 2018 года: ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025 — одобрено EDPB}

_{[24]Elaboration on how to understand the concept of transparency can be found in Article 29 Working Party. «Guidelines on transparency under Regulation 2016/679». WP 260 rev.01, 11 April 2018. ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025 — endorsed by the EDPB}

65. Контроллер должен быть ясным и открытым для субъектов данных в отношении того, как он будет собирать, использовать и распространять персональные данные. Прозрачность — это то, что позволяет субъектам данных понять и, если необходимо, использовать их права, закрепленные в статьях 15-22. Этот принцип закреплен в статьях 12, 13, 14 и 34 GDPR. Следует также принять меры и гарантии в поддержку принципа прозрачности для поддержания осуществления положений этих статей

65. The controller must be clear and open with the data subject about how they will collect, use and share personal data. Transparency is about enabling data subjects to understand, and if necessary, make use of their rights in Articles 15 to 22. The principle is embedded in Articles 12, 13, 14 and 34. Measures and safeguards put in place to support the principle of transparency should also support the implementation of these Articles.

65. Ключевые элементы спроектированной приватности по умолчанию в соответствии с принципом прозрачности могут включать в себя:

66. Key design and default elements for the principle of transparency may include:

•Ясность – информация должна быть изложена ясным и понятным языком, должна быть краткой и понятной.

•Clarity – Information shall be in clear and plain language, concise and intelligible.

•Семантика – коммуникация должна быть понятной для аудитории.

•Semantics – Communication should have a clear meaning to the audience in question.

•Доступность – информация должна быть легкодоступной для субъекта данных.

•Accessibility — Information shall be easily accessible for the data subject.

•Контекстуальная – информация должна предоставляться в соответствующее время и в надлежащее форме.

•Contextual – Information should be provided at the relevant time and in the appropriate form.

•Релевантность– информация должна быть релевантной и применимой к конкретному субъекту данных.

•Relevance – Information should be relevant and applicable to the specific data subject.

•Универсальная конструкция – информация должна быть доступна для всех субъектов данных, включая использование машиночитаемой информации для облегчения и автоматизации чтения и ясности.

•Universal design – Information shall be accessible to all data subjects, include use of machine readable languages to facilitate and automate readability and clarity.

•Понятность – субъекты данных должны иметь разумное понимание того, что они могут ожидать от обработки их персональных данных, особенно в тех случаях, когда субъекты данных являются детьми или другими уязвимыми группами населения.

•Comprehensible – Data subjects should have a fair understanding of what they can expect with regards to the processing of their personal data, particularly when the data subjects are children or other vulnerable groups.

•Многоканальность – информация должна предоставляться в различных каналах и средствах массовой информации, помимо текстовой, чтобы увеличить вероятность того, что информация эффективно достигнет субъекта данных.

• Multi-channel – Information should be provided in different channels and media, not only the textual, to increase the probability for the information to effectively reach the data subject.

• Многоуровневая — Информация должна быть многоуровневой, чтобы устранить противоречие между целостностью и пониманием, учитывая при этом обоснованные ожидания субъектов данных.

• Layered – The information should be layered in a manner that resolves the tension between completeness and understanding, while accounting for data subjects’ reasonable expectations.

(b) легитимных интересов контролёров в определенных контекстах;

(b) the legitimate interests pursued by controllers in specific contexts;

(c) сбора персональных данных;

(c) the collection of personal data;

(d) псевдонимизации персональных данных;

(d) the pseudonymisation of personal data;

(e) информации, предоставляемой общественности и субъектам данных;

(e) the information provided to the public and to data subjects;

(f) осуществления прав субъектов данных;

(f) the exercise of the rights of data subjects;

(g) информации, предоставляемой детям и защиты детей от информации, а также способа, с помощью которого получено согласие лиц, обладающих родительской ответственностью над детьми;

(g) the information provided to, and the protection of, children, and the manner in which the consent of the holders of parental responsibility over children is to be obtained;

(h) мер и процедур, указанных в статьях 24 и 25, а также мер обеспечения безопасности обработки, упомянутых в статье 32;

(h) the measures and procedures referred to in Articles 24 and 25 and the measures to ensure security of processing referred to in Article 32;

Связанные статьи

Статья 24 GDPR. Предмет и задачи

Article 24 GDPR. Subject-matter and objectives

1. Принимая во внимание характер, масштабы, контекст и цели обработки, а также риски, связанные с той или иной вероятностью и серьезностью нарушения прав и свобод физических лиц, контролёр принимает соответствующие технические и организационные меры для того, чтобы обеспечить и быть в состоянии продемонстрировать, что обработка выполняется в соответствии с настоящим Регламентом. При необходимости эти меры пересматриваются и обновляются.

1. Taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, the controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation. Those measures shall be reviewed and updated where necessary.

2. В тех случаях, когда они пропорциональны процессам обработки, меры, упомянутые в параграфе 1, включают в себя осуществление контролёрами соответствующих политик защиты данных.

2. Where proportionate in relation to processing activities, the measures referred to in paragraph 1 shall include the implementation of appropriate data protection policies by the controller.

3. Соблюдение утвержденных кодексов поведения, упомянутых в статье 40 или утвержденных механизмов сертификации, упомянутых в статье 42, может использоваться в качестве элемента для демонстрации соблюдения обязанностей контролёра.

3. Adherence to approved codes of conduct as referred to in Article 40 or approved certification mechanisms as referred to in Article 42 may be used as an element by which to demonstrate compliance with the obligations of the controller.

Статья 25 GDPR. Защита персональных данных: проектируемая и по умолчанию

Article 25 GDPR. Data protection by design and by default

1. Принимая во внимание текущий уровень научно-технического прогресса, затраты на внедрение, характер, масштаб, контекст и цель обработки, а также риски, связанные с той или иной вероятностью и серьезностью нарушения прав и свобод физических лиц, вызванные обработкой, контролёр, как во время определения средств обработки, так и во время самой обработки, внедряет надлежащие технические и организационные меры, например, псевдонимизацию, предназначенные для эффективного внедрения принципов защиты персональных данных, таких как минимизация данных, а также для интеграции необходимых гарантий в обработку с целью соблюдения требований настоящего Регламента и защиты прав субъектов данных.

1. Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects.

2. Контролёр внедряет надлежащие технические и организационные меры для обеспечения того, чтобы по умолчанию обрабатывались только персональные данные, обработка которых требуется для конкретной цели обработки. Это обязательство распространяется на количество собранных персональных данных, степень их обработки, срок их хранения и их доступность. В частности, такие меры должны гарантировать, что персональные данные не будут доступны без вмешательства лица для неопределенного круга физических лиц по умолчанию.

2. The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual’s intervention to an indefinite number of natural persons.

3. Утвержденный механизм сертификации, упомянутый в статье 42, может служить одним элементов для демонстрации соответствия требованиям, изложенным в параграфах 1 и 2 настоящей статьи.

3. An approved certification mechanism pursuant to Article 42 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2 of this Article.

Статья 32 GDPR. Безопасность обработки

Article 32 GDPR. Security of processing

1. Принимая во внимание текущий уровень научно-технического прогресса, стоимость внедрения и характер, масштабы, контекст и цели обработки, а также риски, связанные с той или иной вероятностью и серьезностью нарушения прав и свобод физических лиц, контролёр и процессор должны реализовать соответствующие технические и организационные меры для обеспечения уровня безопасности соответствующего данным рискам, включая в частности при необходимости:

1. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:

(a) псевдонимизацию и шифрование персональных данных;

(a) the pseudonymisation and encryption of personal data;

(b) способность обеспечить постоянную конфиденциальность, целостность, доступность и устойчивость систем и сервисов обработки;

(b) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;

(c) способность своевременно восстанавливать доступность персональных данных в случае возникновения физического или технического инцидента;

(c) the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident;

(d) регулярное тестирование, оценку и измерение эффективности технических и организационных мер по обеспечению безопасности обработки.

(d) a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing.

2. При оценке достаточности уровня безопасности необходимо учитывать риски, связанные с обработкой, в частности риски случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа к переданным, хранимым, или другим образом обрабатываемым персональным данным

2. In assessing the appropriate level of security account shall be taken in particular of the risks that are presented by processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to personal data transmitted, stored or otherwise processed.

3. Следование утвержденному кодексу поведения, указанному в статье 40, или утвержденному механизму сертификации, упомянутому в статье 42, может служить элементом демонстрации следования требованиям параграфа 1 настоящей статьи.

3. Adherence to an approved code of conduct as referred to in Article 40 or an approved certification mechanism as referred to in Article 42 may be used as an element by which to demonstrate compliance with the requirements set out in paragraph 1 of this Article.

4. Контролёр и процессор должны принимать меры для обеспечения того, чтобы любое физическое лицо, действующее от имени контролёра или процессора и имеющее доступ к персональным данным, обрабатывало их исключительно по распоряжениям, полученным от контролёра, за исключением случаев, когда обработка требуется согласно законодательству Союза или государства-члена.

4. The controller and processor shall take steps to ensure that any natural person acting under the authority of the controller or the processor who has access to personal data does not process them except on instructions from the controller, unless he or she is required to do so by Union or Member State law.

(i) уведомления надзорных органов о нарушениях безопасности персональных данных и информирование субъектов данных о таких нарушениях безопасности персональных данных;

(i) the notification of personal data breaches to supervisory authorities and the communication of such personal data breaches to data subjects;

(j) передачи персональных данных третьим странам или международным организациям; или

(j) the transfer of personal data to third countries or international organisations; or

(k) внесудебных процедур, а также иных процедур урегулирования споров, разрешающих споры между контролёрами и субъектами данных, связанных с обработкой, без ущерба правам субъектов данных в соответствии со Статьями 77 и 79.

(k) out-of-court proceedings and other dispute resolution procedures for resolving disputes between controllers and data subjects with regard to processing, without prejudice to the rights of data subjects pursuant to Articles 77 and 79.

Связанные статьи

Статья 77 GDPR. Право подать жалобу в надзорный орган

Article 77 GDPR. Right to lodge a complaint with a supervisory authority

1. Без ущерба для любых иных административных или судебных средств защиты, каждый субъект данных должен обладать правом подачи жалобы в надзорный орган, в том числе, в государстве-члене его/ее обычного места жительства, места работы или места предполагаемого нарушения, если субъект данных считает, что обработка относящихся к нему/ней персональных данных нарушает настоящий Регламент.

1. Without prejudice to any other administrative or judicial remedy, every data subject shall have the right to lodge a complaint with a supervisory authority, in particular in the Member State of his or her habitual residence, place of work or place of the alleged infringement if the data subject considers that the processing of personal data relating to him or her infringes this Regulation.

2. Надзорный орган, в который была подана жалоба, должен проинформировать заявителя о ходе и результатах жалобы, включая возможность судебной защиты прав в порядке Статьи 78.

2. The supervisory authority with which the complaint has been lodged shall inform the complainant on the progress and the outcome of the complaint including the possibility of a judicial remedy pursuant to Article 78.

Статья 79 GDPR. Право на эффективные средства судебной защиты в отношении контролёра или процессора

Article 79 GDPR. Right to an effective judicial remedy against a controller or processor

1. Без ущерба для любых иных административных или вне-судебных средств защиты, в том числе праву подачи жалобы в надзорный орган, согласно Статье 77, каждый субъект данных должен иметь право на эффективные средства судебной защиты, если он/она считает, что его/ее права по настоящему Регламенту были нарушены в результате обработки его/ее персональных данных в нарушение требований настоящего Регламента.

1. Without prejudice to any available administrative or non-judicial remedy, including the right to lodge a complaint with a supervisory authority pursuant to Article 77, each data subject shall have the right to an effective judicial remedy where he or she considers that his or her rights under this Regulation have been infringed as a result of the processing of his or her personal data in non-compliance with this Regulation.

2. Производство против контролёра или процессора должно быть передано в суд государства-члена, где контролёр или процессор имеют организационную единицу. Как альтернативный вариант, такое производство может быть передано в суд государства-члена, где субъект данных имеет его/ее обычное место жительства, кроме тех случаев, когда контролёр или процессор является органом власти государства-члена, действуя при осуществлении им публичных полномочий.

2. Proceedings against a controller or a processor shall be brought before the courts of the Member State where the controller or processor has an establishment. Alternatively, such proceedings may be brought before the courts of the Member State where the data subject has his or her habitual residence, unless the controller or processor is a public authority of a Member State acting in the exercise of its public powers.

3. В дополнение к соблюдению контролёрами или процессорами, на которых распространяется настоящий Регламент, кодексы поведения, которые были одобрены в соответствии с параграфом 5 настоящей Статьи и которые обладают всеобщим действием в соответствии с параграфом 9 настоящей Статьи, могут также соблюдаться контролёрами или процессорами, на которых согласно Статье 3 не распространяется настоящий Регламент, для того, чтобы обеспечить надлежащие гарантии в рамках передачи персональных данных третьим странам или международным организациям согласно пункту (е) Статьи 46(2). Указанные контролёры или процессоры должны посредством договорных или иных юридически обязывающих механизмов возложить на себя обязательства, имеющие принудительную силу и подлежащие неукоснительному соблюдению, применять такие надлежащие гарантии, в том числе в отношении прав субъектов данных.

3. In addition to adherence by controllers or processors subject to this Regulation, codes of conduct approved pursuant to paragraph 5 of this Article and having general validity pursuant to paragraph 9 of this Article may also be adhered to by controllers or processors that are not subject to this Regulation pursuant to Article 3 in order to provide appropriate safeguards within the framework of personal data transfers to third countries or international organisations under the terms referred to in point (e) of Article 46(2). Such controllers or processors shall make binding and enforceable commitments, via contractual or other legally binding instruments, to apply those appropriate safeguards including with regard to the rights of data subjects.

Связанные статьи

Статья 3 GDPR. Территориальная сфера действия

Article 3 GDPR. Territorial scope

1. Настоящий Регламент применяется к обработке персональных данных в контексте деятельности организационной единицы контролёра или процессора в Союзе, независимо от того, производится обработка в Союзе или нет.

1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.

2. Настоящий Регламент применяется к обработке персональных данных субъектов данных, находящихся в Союзе, контролёром или процессором, не имеющими организационной единицы в Союзе, если процессы обработки данных касаются:

2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

(a) предложения товаров и услуг субъектам данных, находящимся в Союзе, независимо от того, требуется ли от них оплата, или нет, либо

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(b) мониторинга их поведения, если такое поведение происходит в Союзе.

(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.

3. Настоящий Регламент применяются к обработке персональных данных контролёром, не имеющим организационной единицы в Союзе, но имеющим организационную единицу в том месте, где согласно международному публичному праву действует законодательство государства-члена.

3. This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law.

Статья 46 GDPR. Передача данных при условии осуществления надлежащих гарантий

Article 46 GDPR. Transfers subject to appropriate safeguards

[…]

2. Надлежащие гарантии, указанные в параграфе 1, можно обеспечить (без необходимости получения специального разрешения от надзорного органа) с помощью:

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

[…]

(e) утвержденного кодекса поведения согласно ст. 40 вместе с обязательными и обладающими силой принудительного исполнения обязательствами контролёра или процессора в третьей стране применить надлежащие меры, в том числе в отношении прав субъектов данных; или

(e) an approved code of conduct pursuant to Article 40 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights; or

4. Кодекс поведения, предусмотренный параграфом 2 настоящей Статьи, должен содержать механизмы, которые позволят органу, указанному в Статье 41(1), осуществлять обязательный мониторинг соблюдения его положений контролёрами или процессорами, которые берут на себя обязательства применять его, без ущерба задачам и полномочиям надзорных органов, компетентных в соответствии со Статьей 55 или 56.

4. A code of conduct referred to in paragraph 2 of this Article shall contain mechanisms which enable the body referred to in Article 41(1) to carry out the mandatory monitoring of compliance with its provisions by the controllers or processors which undertake to apply it, without prejudice to the tasks and powers of supervisory authorities competent pursuant to Article 55 or 56.

Связанные статьи

Статья 41 GDPR. Мониторинг утвержденных кодексов поведения

Article 41 GDPR. Monitoring of approved codes of conduct

1. Без ущерба для задач и полномочий компетентного надзорного органа, вытекающих из Статьи 57 и 58, мониторинг соблюдения кодекса поведения согласно Статьей 40 может осуществляться органом, обладающим соответствующим уровнем квалификации в сфере, регулируемой кодексом, а также аккредитованным для таких целей компетентным надзорным органом.

1. Without prejudice to the tasks and powers of the competent supervisory authority under Articles 57 and 58, the monitoring of compliance with a code of conduct pursuant to Article 40 may be carried out by a body which has an appropriate level of expertise in relation to the subject-matter of the code and is accredited for that purpose by the competent supervisory authority.

[…]

Статья 55 GDPR. Компетенция

Article 55 GDPR. Competence

Статья 56 GDPR. Компетенция ведущего надзорного органа

Article 56 GDPR. Competence of the lead supervisory authority

5. Ассоциации и иные органы, указанные в параграфе 2 настоящей Статьи, которые намерены разработать кодекс поведения, изменить или дополнить существующий кодекс, должны представить проект кодекса, изменения или дополнения компетентному в соответствии со Статьей 55 надзорному органу. Надзорный орган должен предоставить заключение о том, соответствует ли проект кодекса, изменения или дополнения настоящему Регламенту, а также должен утвердить такой проект кодекса, его изменения или расширение, если посчитает, что это обеспечит достаточные надлежащие гарантии.

5. Associations and other bodies referred to in paragraph 2 of this Article which intend to prepare a code of conduct or to amend or extend an existing code shall submit the draft code, amendment or extension to the supervisory authority which is competent pursuant to Article 55. The supervisory authority shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation and shall approve that draft code, amendment or extension if it finds that it provides sufficient appropriate safeguards.

Связанные статьи

Статья 55 GDPR. Компетенция

Article 55 GDPR. Competence

6. Если проект кодекса, его изменения или дополнения утвержден в соответствии с параграфом 5, и если соответствующий кодекс поведения не относится к обработке данных в нескольких государствах-членах, надзорный орган должен зарегистрировать и опубликовать кодекс.

6. Where the draft code, or amendment or extension is approved in accordance with paragraph 5, and where the code of conduct concerned does not relate to processing activities in several Member States, the supervisory authority shall register and publish the code.

7. В случае, если проект кодекса связан с обработкой данных в нескольких государствах-членах, надзорный орган, компетентный согласно Статье 55, должен до утверждения проекта кодекса, изменений или дополнений, передать его в соответствии с процедурой, указанной в Статье 63, Европейскому совету по защите персональных данных, который должен дать заключение о соответствии проекта кодекса, изменений или дополнений настоящему Регламенту, либо в случае, указанном в параграфе 3 настоящей Статьи, дать заключение, предусматривает ли он соответствующие гарантии.

7. Where a draft code of conduct relates to processing activities in several Member States, the supervisory authority which is competent pursuant to Article 55 shall, before approving the draft code, amendment or extension, submit it in the procedure referred to in Article 63 to the Board which shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation or, in the situation referred to in paragraph 3 of this Article, provides appropriate safeguards.

Связанные статьи

Статья 55 GDPR. Компетенция

Article 55 GDPR. Competence

Статья 63 GDPR. Механизм согласования

Article 63 GDPR. Consistency mechanism

С целью способствования согласованному применению настоящего Регламента в Союзе надзорные органы должны сотрудничать друг с другом и в соответствующих случаях с Комиссией посредством механизма согласования, указанного в настоящем Разделе.

In order to contribute to the consistent application of this Regulation throughout the Union, the supervisory authorities shall cooperate with each other and, where relevant, with the Commission, through the consistency mechanism as set out in this Section.

8. В случае, когда заключение, предусмотренное параграфом 7, подтверждает, что проект кодекса, его изменения или дополнения соответствует настоящему Регламенту, или в случае, указанном в параграфе 3, предусматривает соответствующие гарантии, Европейский совет по защите персональных данных должен представить свое заключение Европейской Комиссии.

8. Where the opinion referred to in paragraph 7 confirms that the draft code, amendment or extension complies with this Regulation, or, in the situation referred to in paragraph 3, provides appropriate safeguards, the Board shall submit its opinion to the Commission.

9. Европейская Комиссия посредством исполнительных актов может принять решение о том, что утвержденный кодекс поведения, изменения или дополнения, предоставленные ей на рассмотрение в соответствии с параграфом 8 настоящей Статьи, имеют всеобщее действие на территории Союза. Такие исполнительные акты утверждаются в соответствии с процедурой проверки, указанной в Статье 93(2).

9. The Commission may, by way of implementing acts, decide that the approved code of conduct, amendment or extension submitted to it pursuant to paragraph 8 of this Article have general validity within the Union. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article 93(2).

Связанные статьи

Статья 93 GDPR. Процедура Комитета

Article 93 GDPR. Committee procedure

[…]

2. В случае, когда сделана ссылка на настоящий параграф, должна применяться Статья 5 Регламента (ЕС) 182/2011.

2. Where reference is made to this paragraph, Article 5 of Regulation (EU) No 182/2011 shall apply.

[…]

10. Европейская Комиссия должна обеспечить надлежащий доступ общественности к утвержденным кодексам, которые были определены как обладающие всеобщим действием в соответствии с параграфом 9.

10. The Commission shall ensure appropriate publicity for the approved codes which have been decided as having general validity in accordance with paragraph 9.

11. Европейский совет по защите персональных данных должен внести все утвержденные кодексы поведения, их изменения и дополнения в реестр и с помощью надлежащих мер довести их до всеобщего сведения.

11. The Board shall collate all approved codes of conduct, amendments and extensions in a register and shall make them publicly available by way of appropriate means.

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 40 GDPR:

5.2.1 Понимание организации и ее контекста

Организация включает в число своих заинтересованных сторон (см. ISO/IEC 27001:2013, 4.2) те стороны, которые имеют интересы или обязанности, связанные с обработкой ПИИ, включая субъектов ПИИ.

…

Войти
для доступа к полному тексту

Преамбулы

(98) Ассоциации или иные учреждения, представляющие отдельные категории контролёров или процессоров, могут в рамках настоящего Регламента разработать кодексы поведения для того, чтобы способствовать эффективному применению настоящего Регламента, учитывая при этом специфику обработки, осуществляемой в определенном секторе и с определенной целью микро-, малых и средних предприятий. В частности, такие кодексы поведения могут точно определять обязательства контролёров и процессоров, принимая во внимание риск для прав и свобод физических лиц, который с высокой вероятностью может наступить в результате обработки.

(98) Associations or other bodies representing categories of controllers or processors should be encouraged to draw up codes of conduct, within the limits of this Regulation, so as to facilitate the effective application of this Regulation, taking account of the specific characteristics of the processing carried out in certain sectors and the specific needs of micro, small and medium enterprises. In particular, such codes of conduct could calibrate the obligations of controllers and processors, taking into account the risk likely to result from the processing for the rights and freedoms of natural persons.

(99) При разработке кодексов поведения, при изменении или дополнении таких кодексов, ассоциации и иные учреждения, предоставляющие отдельные категории контролёров или процессоров, должны проконсультироваться с соответствующими заинтересованными лицами, включая, по возможности, субъектов данных, и принять во внимание полученные при этом заключения и мнения.

(99) When drawing up a code of conduct, or when amending or extending such a code, associations and other bodies representing categories of controllers or processors should consult relevant stakeholders, including data subjects where feasible, and have regard to submissions received and views expressed in response to such consultations.

Руководство и прецедентное право

(EN)

Document

EDPB, Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679 (2019).

EDPB, Guidelines 4/2021 on Codes of Conduct as Tools for Transfers (2021).

Оставить комментарий

[js-disqus]