Оглавл.
Главная > Статья 40. Кодексы поведения
Скачать в PDF

Статья 40 GDPR. Кодексы поведения

Article 40 GDPR. Codes of conduct

1. Государства-члены, надзорные органы, Европейский совет по защите персональных данных и Европейская Комиссия должны содействовать разработке кодексов поведения, предназначенных для надлежащего применения настоящего Регламента, с учетом отдельных особенностей различных отраслей обработки и отдельных потребностей микро-, малых и средних предприятий.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation, taking account of the specific features of the various processing sectors and the specific needs of micro, small and medium-sized enterprises.

2. Ассоциации и другие органы, представляющие категории контролёров или процессоров, могут разрабатывать кодексы поведения, либо вносить в них изменения или расширять данные кодексы с целью уточнения применения настоящего Регламента, помимо прочего касательно следующего:

2. Associations and other bodies representing categories of controllers or processors may prepare codes of conduct, or amend or extend such codes, for the purpose of specifying the application of this Regulation, such as with regard to:

Преамбулы

(89) Директива 95/46/ЕС предусматривала общее обязательство по уведомлению надзорных органов об обработке персональных данных. Поскольку указанная обязанность связана с административной и финансовой нагрузкой, она не всегда содействовала улучшению защиты персональных данных. Поэтому такие неизбирательные общие обязательства по уведомлению должны быть отменены и заменены эффективными процедурами и механизмами, в которых основное внимание уделяется тем видам операций по переработке, которые с большой вероятностью могут привести к высокому риску для прав и свобод физических лиц в силу их характера, сферы охвата, контекстом и целями. Такими видами операций обработки могут быть те, которые, в частности, связаны с использованием новых технологий или которые сами по себе являются новыми, и когда контролёром раньше не проводилась оценка воздействия защиты данных или если они необходимы с учетом времени, которое прошло с момента первоначальной обработки.

(89) Directive 95/46/EC provided for a general obligation to notify the processing of personal data to the supervisory authorities. While that obligation produces administrative and financial burdens, it did not in all cases contribute to improving the protection of personal data. Such indiscriminate general notification obligations should therefore be abolished, and replaced by effective procedures and mechanisms which focus instead on those types of processing operations which are likely to result in a high risk to the rights and freedoms of natural persons by virtue of their nature, scope, context and purposes. Such types of processing operations may be those which in, particular, involve using new technologies, or are of a new kind and where no data protection impact assessment has been carried out before by the controller, or where they become necessary in the light of the time that has elapsed since the initial processing.

(90) В таких случаях оценка воздействия на защиту персональных данных должна быть проведена контролёром до начала обработки для того, чтобы оценить вероятность и серьезность высоты риска, принимая во внимание характер, сферу охвата, контекст и цели обработки, а также источники риска. Такая оценка воздействия должна включать в себя, в частности, меры, гарантии и механизмы, предусмотренные для минимизации этого риска, обеспечения защиты персональных данных и подтверждения соблюдения настоящего Регламента.

(90) In such cases, a data protection impact assessment should be carried out by the controller prior to the processing in order to assess the particular likelihood and severity of the high risk, taking into account the nature, scope, context and purposes of the processing and the sources of the risk. That impact assessment should include, in particular, the measures, safeguards and mechanisms envisaged for mitigating that risk, ensuring the protection of personal data and demonstrating compliance with this Regulation.

(a) справедливой и прозрачной обработки;

(a) fair and transparent processing;

(b) легитимных интересов контролёров в определенных контекстах;

(b) the legitimate interests pursued by controllers in specific contexts;

(c) сбора персональных данных;

(c) the collection of personal data;

(d) псевдонимизации персональных данных;

(d) the pseudonymisation of personal data;

(e) информации, предоставляемой общественности и субъектам данных;

(e) the information provided to the public and to data subjects;

(f) осуществления прав субъектов данных;

(f) the exercise of the rights of data subjects;

(g) информации, предоставляемой детям и защиты детей от информации, а также способа, с помощью которого получено согласие лиц, обладающих родительской ответственностью над детьми;

(g) the information provided to, and the protection of, children, and the manner in which the consent of the holders of parental responsibility over children is to be obtained;

(h) мер и процедур, указанных в статьях 24 и 25, а также мер обеспечения безопасности обработки, упомянутых в статье 32;

(h) the measures and procedures referred to in Articles 24 and 25 and the measures to ensure security of processing referred to in Article 32;

Связи

(i) уведомления надзорных органов о нарушениях безопасности персональных данных и информирование субъектов данных о таких нарушениях безопасности персональных данных;

(i) the notification of personal data breaches to supervisory authorities and the communication of such personal data breaches to data subjects;

(j) передачи персональных данных третьим странам или международным организациям; или

(j) the transfer of personal data to third countries or international organisations; or

(k) внесудебных процедур, а также иных процедур урегулирования споров, разрешающих споры между контролёрами и субъектами данных, связанных с обработкой, без ущерба правам субъектов данных в соответствии со Статьями 77 и 79.

(k) out-of-court proceedings and other dispute resolution procedures for resolving disputes between controllers and data subjects with regard to processing, without prejudice to the rights of data subjects pursuant to Articles 77 and 79.

Связи

3. В дополнение к соблюдению контролёрами или процессорами, на которых распространяется настоящий Регламент, кодексы поведения, которые были одобрены в соответствии с параграфом 5 настоящей Статьи и которые обладают всеобщим действием в соответствии с параграфом 9 настоящей Статьи, могут также соблюдаться контролёрами или процессорами, на которых согласно Статье 3 не распространяется настоящий Регламент, для того, чтобы обеспечить надлежащие гарантии в рамках передачи персональных данных третьим странам или международным организациям согласно пункту (е) Статьи 46(2). Указанные контролёры или процессоры должны посредством договорных или иных юридически обязывающих механизмов возложить на себя обязательства, имеющие принудительную силу и подлежащие неукоснительному соблюдению, применять такие надлежащие гарантии, в том числе в отношении прав субъектов данных.

3. In addition to adherence by controllers or processors subject to this Regulation, codes of conduct approved pursuant to paragraph 5 of this Article and having general validity pursuant to paragraph 9 of this Article may also be adhered to by controllers or processors that are not subject to this Regulation pursuant to Article 3 in order to provide appropriate safeguards within the framework of personal data transfers to third countries or international organisations under the terms referred to in point (e) of Article 46(2). Such controllers or processors shall make binding and enforceable commitments, via contractual or other legally binding instruments, to apply those appropriate safeguards including with regard to the rights of data subjects.

Связи

4. Кодекс поведения, предусмотренный параграфом 2 настоящей Статьи, должен содержать механизмы, которые позволят органу, указанному в Статье 41(1), осуществлять обязательный мониторинг соблюдения его положений контролёрами или процессорами, которые берут на себя обязательства применять его, без ущерба задачам и полномочиям надзорных органов, компетентных в соответствии со Статьей 55 или 56.

4. A code of conduct referred to in paragraph 2 of this Article shall contain mechanisms which enable the body referred to in Article 41(1) to carry out the mandatory monitoring of compliance with its provisions by the controllers or processors which undertake to apply it, without prejudice to the tasks and powers of supervisory authorities competent pursuant to Article 55 or 56.

Связи

5. Ассоциации и иные органы, указанные в параграфе 2 настоящей Статьи, которые намерены разработать кодекс поведения, изменить или дополнить существующий кодекс, должны представить проект кодекса, изменения или дополнения компетентному в соответствии со Статьей 55 надзорному органу. Надзорный орган должен предоставить заключение о том, соответствует ли проект кодекса, изменения или дополнения настоящему Регламенту, а также должен утвердить такой проект кодекса, его изменения или расширение, если посчитает, что это обеспечит достаточные надлежащие гарантии.

5. Associations and other bodies referred to in paragraph 2 of this Article which intend to prepare a code of conduct or to amend or extend an existing code shall submit the draft code, amendment or extension to the supervisory authority which is competent pursuant to Article 55. The supervisory authority shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation and shall approve that draft code, amendment or extension if it finds that it provides sufficient appropriate safeguards.

6. Если проект кодекса, его изменения или дополнения утвержден в соответствии с параграфом 5, и если соответствующий кодекс поведения не относится к обработке данных в нескольких государствах-членах, надзорный орган должен зарегистрировать и опубликовать кодекс.

6. Where the draft code, or amendment or extension is approved in accordance with paragraph 5, and where the code of conduct concerned does not relate to processing activities in several Member States, the supervisory authority shall register and publish the code.

7. В случае, если проект кодекса связан с обработкой данных в нескольких государствах-членах, надзорный орган, компетентный согласно Статье 55, должен до утверждения проекта кодекса, изменений или дополнений, передать его в соответствии с процедурой, указанной в Статье 63, Европейскому совету по защите персональных данных, который должен дать заключение о соответствии проекта кодекса, изменений или дополнений настоящему Регламенту, либо в случае, указанном в параграфе 3 настоящей Статьи, дать заключение, предусматривает ли он соответствующие гарантии.

7. Where a draft code of conduct relates to processing activities in several Member States, the supervisory authority which is competent pursuant to Article 55 shall, before approving the draft code, amendment or extension, submit it in the procedure referred to in Article 63 to the Board which shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation or, in the situation referred to in paragraph 3 of this Article, provides appropriate safeguards.

Связи

8. В случае, когда заключение, предусмотренное параграфом 7, подтверждает, что проект кодекса, его изменения или дополнения соответствует настоящему Регламенту, или в случае, указанном в параграфе 3, предусматривает соответствующие гарантии, Европейский совет по защите персональных данных должен представить свое заключение Европейской Комиссии.

8. Where the opinion referred to in paragraph 7 confirms that the draft code, amendment or extension complies with this Regulation, or, in the situation referred to in paragraph 3, provides appropriate safeguards, the Board shall submit its opinion to the Commission.

9. Европейская Комиссия посредством исполнительных актов может принять решение о том, что утвержденный кодекс поведения, изменения или дополнения, предоставленные ей на рассмотрение в соответствии с параграфом 8 настоящей Статьи, имеют всеобщее действие на территории Союза. Такие исполнительные акты утверждаются в соответствии с процедурой проверки, указанной в Статье 93(2).

9. The Commission may, by way of implementing acts, decide that the approved code of conduct, amendment or extension submitted to it pursuant to paragraph 8 of this Article have general validity within the Union. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article 93(2).

Связи

10. Европейская Комиссия должна обеспечить надлежащий доступ общественности к утвержденным кодексам, которые были определены как обладающие всеобщим действием в соответствии с параграфом 9.

10. The Commission shall ensure appropriate publicity for the approved codes which have been decided as having general validity in accordance with paragraph 9.

11. Европейский совет по защите персональных данных должен внести все утвержденные кодексы поведения, их изменения и дополнения в реестр и с помощью надлежащих мер довести их до всеобщего сведения.

11. The Board shall collate all approved codes of conduct, amendments and extensions in a register and shall make them publicly available by way of appropriate means.

ISO 27701 Преамбулы Офиц. документы и решения Оставьте комментарий
ISO 27701
Преамбулы

(98) Ассоциации или иные учреждения, представляющие отдельные категории контролёров или процессоров, могут в рамках настоящего Регламента разработать кодексы поведения для того, чтобы способствовать эффективному применению настоящего Регламента, учитывая при этом специфику обработки, осуществляемой в определенном секторе и с определенной целью микро-, малых и средних предприятий. В частности, такие кодексы поведения могут точно определять обязательства контролёров и процессоров, принимая во внимание риск для прав и свобод физических лиц, который с высокой вероятностью может наступить в результате обработки.

(98) Associations or other bodies representing categories of controllers or processors should be encouraged to draw up codes of conduct, within the limits of this Regulation, so as to facilitate the effective application of this Regulation, taking account of the specific characteristics of the processing carried out in certain sectors and the specific needs of micro, small and medium enterprises. In particular, such codes of conduct could calibrate the obligations of controllers and processors, taking into account the risk likely to result from the processing for the rights and freedoms of natural persons.

(99) При разработке кодексов поведения, при изменении или дополнении таких кодексов, ассоциации и иные учреждения, предоставляющие отдельные категории контролёров или процессоров, должны проконсультироваться с соответствующими заинтересованными лицами, включая, по возможности, субъектов данных, и принять во внимание полученные при этом заключения и мнения.

(99) When drawing up a code of conduct, or when amending or extending such a code, associations and other bodies representing categories of controllers or processors should consult relevant stakeholders, including data subjects where feasible, and have regard to submissions received and views expressed in response to such consultations.

Офиц. документы и решения Оставьте комментарий