1. Без обмеження завдань і повноважень компетентного наглядового органу за статтями 57 і 58, моніторинг дотримання кодексу поведінки відповідно до статті 40 може здійснювати орган, що володіє належним рівнем експертних знань в сфері предмету кодексу та акредитований для такої цілі компетентним наглядовим органом.
2. Орган, як вказано в параграфі 1, може бути акредитований для моніторингу дотримання кодексу поведінки, якщо такий орган:
(a) довів свою незалежність та експертні знання в сфері предмету кодексу за повного виконання вимог компетентного наглядового органу;
(b) запровадив процедури, що дозволяють йому проводити оцінювання правоздатності залучених контролерів і операторів для застосування кодексу, моніторингу дотримання ними його положень та періодичного перегляду його дії;
(c) запровадив процедури та структури для розгляду скарг щодо порушень кодексу чи способу, у який було застосовано кодекс або який застосовує контролер або оператор, та надання таким процедурам і структурам прозорості для суб’єктів даних і громадськості; та
(d) довів за повного виконання вимог компетентного наглядового органу, що його завдання та обов’язки не призводять до конфлікту інтересів.
4. Без порушення завдань і повноважень компетентного наглядового органу та положень глави VIII, орган, як вказано в параграфі 1 цієї статті, з урахуванням належних гарантій, вживає необхідних дій у випадках порушення кодексу контролером або оператором, у тому числі призупинення роботи чи виключення залученого контролера або оператора з кодексу. Він повідомляє компетентний наглядовий орган про такі дії та причини їх вжиття.
Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 41 GDPR:
5.2.1 Понимание организации и ее контекста
Организация включает в число своих заинтересованных сторон (см. ISO/IEC 27001:2013, 4.2) те стороны, которые имеют интересы или обязанности, связанные с обработкой ПИИ, включая субъектов ПИИ.
…
Войти
для доступа к полному тексту