Статья 40 📖 GDPR. Кодексы поведения

Статья 40 GDPR. Кодексы поведения

1. Государства-члены, надзорные органы, Европейский совет по защите персональных данных и Европейская Комиссия должны содействовать разработке кодексов поведения, предназначенных для надлежащего применения настоящего Регламента, с учетом отдельных особенностей различных отраслей обработки и отдельных потребностей микро-, малых и средних предприятий.

2. Ассоциации и другие органы, представляющие категории контролёров или процессоров, могут разрабатывать кодексы поведения, либо вносить в них изменения или расширять данные кодексы с целью уточнения применения настоящего Регламента, помимо прочего касательно следующего:

Преамбулы

(89) Директива 95/46/ЕС предусматривала общее обязательство по уведомлению надзорных органов об обработке персональных данных. Поскольку указанная обязанность связана с административной и финансовой нагрузкой, она не всегда содействовала улучшению защиты персональных данных. Поэтому такие неизбирательные общие обязательства по уведомлению должны быть отменены и заменены эффективными процедурами и механизмами, в которых основное внимание уделяется тем видам операций по переработке, которые с большой вероятностью могут привести к высокому риску для прав и свобод физических лиц в силу их характера, сферы охвата, контекстом и целями. Такими видами операций обработки могут быть те, которые, в частности, связаны с использованием новых технологий или которые сами по себе являются новыми, и когда контролёром раньше не проводилась оценка воздействия защиты данных или если они необходимы с учетом времени, которое прошло с момента первоначальной обработки.

(90) В таких случаях оценка воздействия на защиту персональных данных должна быть проведена контролёром до начала обработки для того, чтобы оценить вероятность и серьезность высоты риска, принимая во внимание характер, сферу охвата, контекст и цели обработки, а также источники риска. Такая оценка воздействия должна включать в себя, в частности, меры, гарантии и механизмы, предусмотренные для минимизации этого риска, обеспечения защиты персональных данных и подтверждения соблюдения настоящего Регламента.

(a) справедливой и прозрачной обработки;

Связанные статьи

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

3.1 Прозрачность [24]

_{[24] Более подробно о том, как понимать концепцию прозрачности, можно прочитать в документе Рабочей группы по статье 29 «Руководящие принципы прозрачности согласно Регламенту 2016/679». WP 260 rev.01, 11 апреля 2018 года: ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025 — одобрено EDPB}

65. Контроллер должен быть ясным и открытым для субъектов данных в отношении того, как он будет собирать, использовать и распространять персональные данные. Прозрачность — это то, что позволяет субъектам данных понять и, если необходимо, использовать их права, закрепленные в статьях 15-22. Этот принцип закреплен в статьях 12, 13, 14 и 34 GDPR. Следует также принять меры и гарантии в поддержку принципа прозрачности для поддержания осуществления положений этих статей

65. Ключевые элементы спроектированной приватности по умолчанию в соответствии с принципом прозрачности могут включать в себя:

•Ясность – информация должна быть изложена ясным и понятным языком, должна быть краткой и понятной.

•Семантика – коммуникация должна быть понятной для аудитории.

•Доступность – информация должна быть легкодоступной для субъекта данных.

•Контекстуальная – информация должна предоставляться в соответствующее время и в надлежащее форме.

•Релевантность– информация должна быть релевантной и применимой к конкретному субъекту данных.

•Универсальная конструкция – информация должна быть доступна для всех субъектов данных, включая использование машиночитаемой информации для облегчения и автоматизации чтения и ясности.

•Понятность – субъекты данных должны иметь разумное понимание того, что они могут ожидать от обработки их персональных данных, особенно в тех случаях, когда субъекты данных являются детьми или другими уязвимыми группами населения.

•Многоканальность – информация должна предоставляться в различных каналах и средствах массовой информации, помимо текстовой, чтобы увеличить вероятность того, что информация эффективно достигнет субъекта данных.

• Многоуровневая — Информация должна быть многоуровневой, чтобы устранить противоречие между целостностью и пониманием, учитывая при этом обоснованные ожидания субъектов данных.

(b) легитимных интересов контролёров в определенных контекстах;

(c) сбора персональных данных;

(d) псевдонимизации персональных данных;

(e) информации, предоставляемой общественности и субъектам данных;

(f) осуществления прав субъектов данных;

(g) информации, предоставляемой детям и защиты детей от информации, а также способа, с помощью которого получено согласие лиц, обладающих родительской ответственностью над детьми;

(h) мер и процедур, указанных в статьях 24 и 25, а также мер обеспечения безопасности обработки, упомянутых в статье 32;

Связанные статьи

Статья 24 GDPR. Предмет и задачи

1. Принимая во внимание характер, масштабы, контекст и цели обработки, а также риски, связанные с той или иной вероятностью и серьезностью нарушения прав и свобод физических лиц, контролёр принимает соответствующие технические и организационные меры для того, чтобы обеспечить и быть в состоянии продемонстрировать, что обработка выполняется в соответствии с настоящим Регламентом. При необходимости эти меры пересматриваются и обновляются.

2. В тех случаях, когда они пропорциональны процессам обработки, меры, упомянутые в параграфе 1, включают в себя осуществление контролёрами соответствующих политик защиты данных.

3. Соблюдение утвержденных кодексов поведения, упомянутых в статье 40 или утвержденных механизмов сертификации, упомянутых в статье 42, может использоваться в качестве элемента для демонстрации соблюдения обязанностей контролёра.

Статья 25 GDPR. Защита персональных данных: проектируемая и по умолчанию

1. Принимая во внимание текущий уровень научно-технического прогресса, затраты на внедрение, характер, масштаб, контекст и цель обработки, а также риски, связанные с той или иной вероятностью и серьезностью нарушения прав и свобод физических лиц, вызванные обработкой, контролёр, как во время определения средств обработки, так и во время самой обработки, внедряет надлежащие технические и организационные меры, например, псевдонимизацию, предназначенные для эффективного внедрения принципов защиты персональных данных, таких как минимизация данных, а также для интеграции необходимых гарантий в обработку с целью соблюдения требований настоящего Регламента и защиты прав субъектов данных.

2. Контролёр внедряет надлежащие технические и организационные меры для обеспечения того, чтобы по умолчанию обрабатывались только персональные данные, обработка которых требуется для конкретной цели обработки. Это обязательство распространяется на количество собранных персональных данных, степень их обработки, срок их хранения и их доступность. В частности, такие меры должны гарантировать, что персональные данные не будут доступны без вмешательства лица для неопределенного круга физических лиц по умолчанию.

3. Утвержденный механизм сертификации, упомянутый в статье 42, может служить одним элементов для демонстрации соответствия требованиям, изложенным в параграфах 1 и 2 настоящей статьи.

Статья 32 GDPR. Безопасность обработки

1. Принимая во внимание текущий уровень научно-технического прогресса, стоимость внедрения и характер, масштабы, контекст и цели обработки, а также риски, связанные с той или иной вероятностью и серьезностью нарушения прав и свобод физических лиц, контролёр и процессор должны реализовать соответствующие технические и организационные меры для обеспечения уровня безопасности соответствующего данным рискам, включая в частности при необходимости:

(a) псевдонимизацию и шифрование персональных данных;

(b) способность обеспечить постоянную конфиденциальность, целостность, доступность и устойчивость систем и сервисов обработки;

(c) способность своевременно восстанавливать доступность персональных данных в случае возникновения физического или технического инцидента;

(d) регулярное тестирование, оценку и измерение эффективности технических и организационных мер по обеспечению безопасности обработки.

2. При оценке достаточности уровня безопасности необходимо учитывать риски, связанные с обработкой, в частности риски случайного или незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа к переданным, хранимым, или другим образом обрабатываемым персональным данным

3. Следование утвержденному кодексу поведения, указанному в статье 40, или утвержденному механизму сертификации, упомянутому в статье 42, может служить элементом демонстрации следования требованиям параграфа 1 настоящей статьи.

4. Контролёр и процессор должны принимать меры для обеспечения того, чтобы любое физическое лицо, действующее от имени контролёра или процессора и имеющее доступ к персональным данным, обрабатывало их исключительно по распоряжениям, полученным от контролёра, за исключением случаев, когда обработка требуется согласно законодательству Союза или государства-члена.

(i) уведомления надзорных органов о нарушениях безопасности персональных данных и информирование субъектов данных о таких нарушениях безопасности персональных данных;

(j) передачи персональных данных третьим странам или международным организациям; или

(k) внесудебных процедур, а также иных процедур урегулирования споров, разрешающих споры между контролёрами и субъектами данных, связанных с обработкой, без ущерба правам субъектов данных в соответствии со Статьями 77 и 79.

Связанные статьи

Статья 77 GDPR. Право подать жалобу в надзорный орган

1. Без ущерба для любых иных административных или судебных средств защиты, каждый субъект данных должен обладать правом подачи жалобы в надзорный орган, в том числе, в государстве-члене его/ее обычного места жительства, места работы или места предполагаемого нарушения, если субъект данных считает, что обработка относящихся к нему/ней персональных данных нарушает настоящий Регламент.

2. Надзорный орган, в который была подана жалоба, должен проинформировать заявителя о ходе и результатах жалобы, включая возможность судебной защиты прав в порядке Статьи 78.

Статья 79 GDPR. Право на эффективные средства судебной защиты в отношении контролёра или процессора

1. Без ущерба для любых иных административных или вне-судебных средств защиты, в том числе праву подачи жалобы в надзорный орган, согласно Статье 77, каждый субъект данных должен иметь право на эффективные средства судебной защиты, если он/она считает, что его/ее права по настоящему Регламенту были нарушены в результате обработки его/ее персональных данных в нарушение требований настоящего Регламента.

2. Производство против контролёра или процессора должно быть передано в суд государства-члена, где контролёр или процессор имеют организационную единицу. Как альтернативный вариант, такое производство может быть передано в суд государства-члена, где субъект данных имеет его/ее обычное место жительства, кроме тех случаев, когда контролёр или процессор является органом власти государства-члена, действуя при осуществлении им публичных полномочий.

3. В дополнение к соблюдению контролёрами или процессорами, на которых распространяется настоящий Регламент, кодексы поведения, которые были одобрены в соответствии с параграфом 5 настоящей Статьи и которые обладают всеобщим действием в соответствии с параграфом 9 настоящей Статьи, могут также соблюдаться контролёрами или процессорами, на которых согласно Статье 3 не распространяется настоящий Регламент, для того, чтобы обеспечить надлежащие гарантии в рамках передачи персональных данных третьим странам или международным организациям согласно пункту (е) Статьи 46(2). Указанные контролёры или процессоры должны посредством договорных или иных юридически обязывающих механизмов возложить на себя обязательства, имеющие принудительную силу и подлежащие неукоснительному соблюдению, применять такие надлежащие гарантии, в том числе в отношении прав субъектов данных.

Связанные статьи

Статья 3 GDPR. Территориальная сфера действия

1. Настоящий Регламент применяется к обработке персональных данных в контексте деятельности организационной единицы контролёра или процессора в Союзе, независимо от того, производится обработка в Союзе или нет.

2. Настоящий Регламент применяется к обработке персональных данных субъектов данных, находящихся в Союзе, контролёром или процессором, не имеющими организационной единицы в Союзе, если процессы обработки данных касаются:

(a) предложения товаров и услуг субъектам данных, находящимся в Союзе, независимо от того, требуется ли от них оплата, или нет, либо

(b) мониторинга их поведения, если такое поведение происходит в Союзе.

3. Настоящий Регламент применяются к обработке персональных данных контролёром, не имеющим организационной единицы в Союзе, но имеющим организационную единицу в том месте, где согласно международному публичному праву действует законодательство государства-члена.

Статья 46 GDPR. Передача данных при условии осуществления надлежащих гарантий

[…]

2. Надлежащие гарантии, указанные в параграфе 1, можно обеспечить (без необходимости получения специального разрешения от надзорного органа) с помощью:

[…]

(e) утвержденного кодекса поведения согласно ст. 40 вместе с обязательными и обладающими силой принудительного исполнения обязательствами контролёра или процессора в третьей стране применить надлежащие меры, в том числе в отношении прав субъектов данных; или

4. Кодекс поведения, предусмотренный параграфом 2 настоящей Статьи, должен содержать механизмы, которые позволят органу, указанному в Статье 41(1), осуществлять обязательный мониторинг соблюдения его положений контролёрами или процессорами, которые берут на себя обязательства применять его, без ущерба задачам и полномочиям надзорных органов, компетентных в соответствии со Статьей 55 или 56.

Связанные статьи

Статья 41 GDPR. Мониторинг утвержденных кодексов поведения

1. Без ущерба для задач и полномочий компетентного надзорного органа, вытекающих из Статьи 57 и 58, мониторинг соблюдения кодекса поведения согласно Статьей 40 может осуществляться органом, обладающим соответствующим уровнем квалификации в сфере, регулируемой кодексом, а также аккредитованным для таких целей компетентным надзорным органом.

[…]

Статья 55 GDPR. Компетенция

Статья 56 GDPR. Компетенция ведущего надзорного органа

5. Ассоциации и иные органы, указанные в параграфе 2 настоящей Статьи, которые намерены разработать кодекс поведения, изменить или дополнить существующий кодекс, должны представить проект кодекса, изменения или дополнения компетентному в соответствии со Статьей 55 надзорному органу. Надзорный орган должен предоставить заключение о том, соответствует ли проект кодекса, изменения или дополнения настоящему Регламенту, а также должен утвердить такой проект кодекса, его изменения или расширение, если посчитает, что это обеспечит достаточные надлежащие гарантии.

Связанные статьи

Статья 55 GDPR. Компетенция

6. Если проект кодекса, его изменения или дополнения утвержден в соответствии с параграфом 5, и если соответствующий кодекс поведения не относится к обработке данных в нескольких государствах-членах, надзорный орган должен зарегистрировать и опубликовать кодекс.

7. В случае, если проект кодекса связан с обработкой данных в нескольких государствах-членах, надзорный орган, компетентный согласно Статье 55, должен до утверждения проекта кодекса, изменений или дополнений, передать его в соответствии с процедурой, указанной в Статье 63, Европейскому совету по защите персональных данных, который должен дать заключение о соответствии проекта кодекса, изменений или дополнений настоящему Регламенту, либо в случае, указанном в параграфе 3 настоящей Статьи, дать заключение, предусматривает ли он соответствующие гарантии.

Связанные статьи

Статья 55 GDPR. Компетенция

Статья 63 GDPR. Механизм согласования

С целью способствования согласованному применению настоящего Регламента в Союзе надзорные органы должны сотрудничать друг с другом и в соответствующих случаях с Комиссией посредством механизма согласования, указанного в настоящем Разделе.

8. В случае, когда заключение, предусмотренное параграфом 7, подтверждает, что проект кодекса, его изменения или дополнения соответствует настоящему Регламенту, или в случае, указанном в параграфе 3, предусматривает соответствующие гарантии, Европейский совет по защите персональных данных должен представить свое заключение Европейской Комиссии.

9. Европейская Комиссия посредством исполнительных актов может принять решение о том, что утвержденный кодекс поведения, изменения или дополнения, предоставленные ей на рассмотрение в соответствии с параграфом 8 настоящей Статьи, имеют всеобщее действие на территории Союза. Такие исполнительные акты утверждаются в соответствии с процедурой проверки, указанной в Статье 93(2).

Связанные статьи

Статья 93 GDPR. Процедура Комитета

[…]

2. В случае, когда сделана ссылка на настоящий параграф, должна применяться Статья 5 Регламента (ЕС) 182/2011.

[…]

10. Европейская Комиссия должна обеспечить надлежащий доступ общественности к утвержденным кодексам, которые были определены как обладающие всеобщим действием в соответствии с параграфом 9.

11. Европейский совет по защите персональных данных должен внести все утвержденные кодексы поведения, их изменения и дополнения в реестр и с помощью надлежащих мер довести их до всеобщего сведения.

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».

ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 40 GDPR:

5.2.1 Понимание организации и ее контекста

Организация включает в число своих заинтересованных сторон (см. ISO/IEC 27001:2013, 4.2) те стороны, которые имеют интересы или обязанности, связанные с обработкой ПИИ, включая субъектов ПИИ.

…

Войти
для доступа к полному тексту

Преамбулы

(98) Ассоциации или иные учреждения, представляющие отдельные категории контролёров или процессоров, могут в рамках настоящего Регламента разработать кодексы поведения для того, чтобы способствовать эффективному применению настоящего Регламента, учитывая при этом специфику обработки, осуществляемой в определенном секторе и с определенной целью микро-, малых и средних предприятий. В частности, такие кодексы поведения могут точно определять обязательства контролёров и процессоров, принимая во внимание риск для прав и свобод физических лиц, который с высокой вероятностью может наступить в результате обработки.

(99) При разработке кодексов поведения, при изменении или дополнении таких кодексов, ассоциации и иные учреждения, предоставляющие отдельные категории контролёров или процессоров, должны проконсультироваться с соответствующими заинтересованными лицами, включая, по возможности, субъектов данных, и принять во внимание полученные при этом заключения и мнения.

Руководство и прецедентное право

(EN)

Document

EDPB, Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679 (2019).

EDPB, Guidelines 4/2021 on Codes of Conduct as Tools for Transfers (2021).

Оставить комментарий

[js-disqus]