Článok 40 📖 GDPR. Kódexy správania

Článok 40 GDPR. Kódexy správania

Article 40 GDPR. Codes of conduct

1. Členské štáty, dozorné orgány, výbor a Komisia podporia vypracovanie kódexov správania určených na to, aby prispeli k správnemu uplatňovaniu tohto nariadenia, pričom vezmú do úvahy osobitné črty rôznych sektorov spracúvania a osobitné potreby mikropodnikov a malých a stredných podnikov.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation, taking account of the specific features of the various processing sectors and the specific needs of micro, small and medium-sized enterprises.

2. Združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov môžu vypracovať kódexy správania alebo zmeniť či rozšíriť takéto kódexy, a to na účely spresnenia uplatňovania tohto nariadenia, ako napríklad v súvislosti s:

2. Associations and other bodies representing categories of controllers or processors may prepare codes of conduct, or amend or extend such codes, for the purpose of specifying the application of this Regulation, such as with regard to:

Odôvodnenia

(89) V smernici 95/46/ES bola stanovená všeobecná povinnosť oznamovať spracúvanie osobných údajov dozorným orgánom. Uvedená povinnosť spôsobuje administratívnu a finančnú záťaž, a pritom neprispela vždy k zlepšeniu ochrany osobných údajov. Takéto nerozlišujúce všeobecné oznamovacie povinnosti by sa preto mali zrušiť a mali by sa nahradiť efektívnymi postupmi a mechanizmami zameranými namiesto toho na tie typy spracovateľských operácií, ktoré pravdepodobne povedú k vysokému riziku pre práva a slobody fyzických osôb z dôvodu ich povahy, rozsahu, kontextu a účelu. Takýmito typmi spracovateľských operácií môžu byť najmä tie, ktoré používajú nové technológie, alebo tie, ktoré sú nového druhu a v súvislosti s ktorými prevádzkovateľ ešte nevykonal posúdenie vplyvu na ochranu údajov, alebo ak sa stanú nevyhnutnými vzhľadom na čas, ktorý uplynul od prvotného spracúvania.

(89) Directive 95/46/EC provided for a general obligation to notify the processing of personal data to the supervisory authorities. While that obligation produces administrative and financial burdens, it did not in all cases contribute to improving the protection of personal data. Such indiscriminate general notification obligations should therefore be abolished, and replaced by effective procedures and mechanisms which focus instead on those types of processing operations which are likely to result in a high risk to the rights and freedoms of natural persons by virtue of their nature, scope, context and purposes. Such types of processing operations may be those which in, particular, involve using new technologies, or are of a new kind and where no data protection impact assessment has been carried out before by the controller, or where they become necessary in the light of the time that has elapsed since the initial processing.

(90) V takých prípadoch by prevádzkovateľ mal pred spracúvaním vykonať posúdenie vplyvu na ochranu údajov, aby posúdil osobitnú pravdepodobnosť a závažnosť vysokého rizika, pričom zohľadní povahu, rozsah, kontext a účely spracúvania a zdroje rizika. Uvedené posúdenie vplyvu by malo zahŕňať najmä plánované opatrenia, záruky a mechanizmy na zmiernenie daného rizika, na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením.

(90) In such cases, a data protection impact assessment should be carried out by the controller prior to the processing in order to assess the particular likelihood and severity of the high risk, taking into account the nature, scope, context and purposes of the processing and the sources of the risk. That impact assessment should include, in particular, the measures, safeguards and mechanisms envisaged for mitigating that risk, ensuring the protection of personal data and demonstrating compliance with this Regulation.

a) spravodlivým a transparentným spracúvaním;

(a) fair and transparent processing;

Súvisiace texty

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0.

3.1 Transparency [24]

_{[24]Elaboration on how to understand the concept of transparency can be found in Article 29 Working Party. „Guidelines on transparency under Regulation 2016/679“. WP 260 rev.01, 11 April 2018. ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025 – endorsed by the EDPB}

65. The controller must be clear and open with the data subject about how they will collect, use and share personal data. Transparency is about enabling data subjects to understand, and if necessary, make use of their rights in Articles 15 to 22. The principle is embedded in Articles 12, 13, 14 and 34. Measures and safeguards put in place to support the principle of transparency should also support the implementation of these Articles.

66. Key design and default elements for the principle of transparency may include:

•Clarity – Information shall be in clear and plain language, concise and intelligible.

•Semantics – Communication should have a clear meaning to the audience in question.

•Accessibility – Information shall be easily accessible for the data subject.

•Contextual – Information should be provided at the relevant time and in the appropriate form.

•Relevance – Information should be relevant and applicable to the specific data subject.

•Universal design – Information shall be accessible to all data subjects, include use of machine readable languages to facilitate and automate readability and clarity.

•Comprehensible – Data subjects should have a fair understanding of what they can expect with regards to the processing of their personal data, particularly when the data subjects are children or other vulnerable groups.

• Multi-channel – Information should be provided in different channels and media, not only the textual, to increase the probability for the information to effectively reach the data subject.

• Layered – The information should be layered in a manner that resolves the tension between completeness and understanding, while accounting for data subjects’ reasonable expectations.

b) oprávnenými záujmami, ktoré prevádzkovatelia sledujú v konkrétnych situáciách;

(b) the legitimate interests pursued by controllers in specific contexts;

c) získavaním osobných údajov;

(c) the collection of personal data;

d) pseudonymizáciou osobných údajov;

(d) the pseudonymisation of personal data;

e) informovaním verejnosti a dotknutých osôb;

(e) the information provided to the public and to data subjects;

f) uplatnením práv dotknutých osôb;

(f) the exercise of the rights of data subjects;

g) informovaním a ochranou detí a spôsobom získania súhlasu nositeľov rodičovských práv a povinností;

(g) the information provided to, and the protection of, children, and the manner in which the consent of the holders of parental responsibility over children is to be obtained;

h) opatreniami a postupmi uvedenými v článkoch 24 a 25 a opatreniami na zaistenie bezpečnosti spracúvania podľa článku 32;

(h) the measures and procedures referred to in Articles 24 and 25 and the measures to ensure security of processing referred to in Article 32;

Súvisiace texty

Článok 24 GDPR. Predmet úpravy a ciele

Article 24 GDPR. Subject-matter and objectives

1. S ohľadom na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb prevádzkovateľ prijme vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať, že spracúvanie sa vykonáva v súlade s týmto nariadením. Uvedené opatrenia sa podľa potreby preskúmajú a aktualizujú.

1. Taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, the controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation. Those measures shall be reviewed and updated where necessary.

2. Ak je to primerané vzhľadom na spracovateľské činnosti, opatrenia uvedené v odseku 1 zahŕňajú zavedenie primeraných politík ochrany údajov zo strany prevádzkovateľa.

2. Where proportionate in relation to processing activities, the measures referred to in paragraph 1 shall include the implementation of appropriate data protection policies by the controller.

3. Dodržiavanie schválených kódexov správania uvedených v článku 40 alebo schválených certifikačných mechanizmov uvedených v článku 42 sa môže použiť ako prvok na preukázanie splnenia povinností prevádzkovateľa.

3. Adherence to approved codes of conduct as referred to in Article 40 or approved certification mechanisms as referred to in Article 42 may be used as an element by which to demonstrate compliance with the obligations of the controller.

Článok 25 GDPR. Špecificky navrhnutá a štandardná ochrana údajov

Article 25 GDPR. Data protection by design and by default

1. So zreteľom na najnovšie poznatky. náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie predstavuje pre práva a slobody fyzických osôb, prevádzkovateľ v čase určenia prostriedkov spracúvania aj v čase samotného spracúvania prijme primerané technické a organizačné opatrenia, ako je napríklad pseudonymizácia, ktoré sú určené na účinné zavedenie zásad ochrany údajov, ako je minimalizácia údajov, a začlení do spracúvania nevyhnutné záruky s cieľom splniť požiadavky tohto nariadenia a chrániť práva dotknutých osôb.

1. Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects.

2. Prevádzkovateľ vykoná primerané technické a organizačné opatrenia, aby zabezpečil, že štandardne sa spracúvajú len osobné údaje, ktoré sú nevyhnutné pre každý konkrétny účel spracúvania. Uvedená povinnosť sa vzťahuje na množstvo získaných osobných údajov, rozsah ich spracúvania, dobu ich uchovávania a ich dostupnosť. Konkrétne sa takýmito opatreniami zabezpečí, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.

2. The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual’s intervention to an indefinite number of natural persons.

3. Schválený certifikačný mechanizmus podľa článku 42 sa môže použiť ako prvok na preukázanie súladu s požiadavkami uvedenými v odsekoch 1 a 2 tohto článku.

3. An approved certification mechanism pursuant to Article 42 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2 of this Article.

Článok 32 GDPR. Bezpečnosť spracúvania

Article 32 GDPR. Security of processing

1. Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku, pričom uvedené opatrenia prípadne zahŕňajú aj:

1. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:

a) pseudonymizáciu a šifrovanie osobných údajov;

(a) the pseudonymisation and encryption of personal data;

b) schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;

(b) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;

c) schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu;

(c) the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident;

d) proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.

(d) a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing.

2. Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada predovšetkým na riziká, ktoré predstavuje spracúvanie, a to najmä v dôsledku náhodného alebo nezákonného zničenia, straty, zmeny, neoprávneného poskytnutia osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávneného prístupu k takýmto údajom.

2. In assessing the appropriate level of security account shall be taken in particular of the risks that are presented by processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to personal data transmitted, stored or otherwise processed.

3. Dodržiavanie schváleného kódexu správania uvedeného v článku 40 alebo schváleného certifikačného mechanizmu uvedeného v článku 42 sa môže použiť ako prvok na preukázanie súladu s požiadavkami uvedenými v odseku 1 tohto článku.

3. Adherence to an approved code of conduct as referred to in Article 40 or an approved certification mechanism as referred to in Article 42 may be used as an element by which to demonstrate compliance with the requirements set out in paragraph 1 of this Article.

4. Prevádzkovateľ a sprostredkovateľ podniknú kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa s výnimkou prípadov, keď sa to od nej vyžaduje podľa práva Únie alebo práva členského štátu.

4. The controller and processor shall take steps to ensure that any natural person acting under the authority of the controller or the processor who has access to personal data does not process them except on instructions from the controller, unless he or she is required to do so by Union or Member State law.

i) oznámením porušenia ochrany osobných údajov dozorným orgánom a informovaním dotknutých osôb o takýchto porušeniach ochrany osobných údajov;

(i) the notification of personal data breaches to supervisory authorities and the communication of such personal data breaches to data subjects;

j) prenosom osobných údajov do tretích krajín alebo medzinárodným organizáciám alebo

(j) the transfer of personal data to third countries or international organisations; or

k) mimosúdnym konaním a inými postupmi riešenia sporov zameranými na riešenie sporov medzi prevádzkovateľmi a dotknutými osobami v súvislosti so spracúvaním bez toho, aby boli dotknuté práva dotknutých osôb podľa článkov 77 a 79.

(k) out-of-court proceedings and other dispute resolution procedures for resolving disputes between controllers and data subjects with regard to processing, without prejudice to the rights of data subjects pursuant to Articles 77 and 79.

Súvisiace texty

Článok 77 GDPR. Právo podať sťažnosť dozornému orgánu

Article 77 GDPR. Right to lodge a complaint with a supervisory authority

1. Bez toho, aby boli dotknuté akékoľvek iné správne alebo súdne prostriedky nápravy, má každá dotknutá osoba právo podať sťažnosť dozornému orgánu, najmä v členskom štáte svojho obvyklého pobytu, mieste výkonu práce alebo v mieste údajného porušenia, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore s týmto nariadením.

1. Without prejudice to any other administrative or judicial remedy, every data subject shall have the right to lodge a complaint with a supervisory authority, in particular in the Member State of his or her habitual residence, place of work or place of the alleged infringement if the data subject considers that the processing of personal data relating to him or her infringes this Regulation.

2. Dozorný orgán, ktorému sa sťažnosť podala, informuje sťažovateľa o pokroku a výsledku sťažnosti vrátane možnosti podať súdny prostriedok nápravy podľa článku 78.

2. The supervisory authority with which the complaint has been lodged shall inform the complainant on the progress and the outcome of the complaint including the possibility of a judicial remedy pursuant to Article 78.

Článok 79 GDPR. Právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo sprostredkovateľovi

Article 79 GDPR. Right to an effective judicial remedy against a controller or processor

1. Bez toho, aby bol dotknutý akýkoľvek dostupný správny alebo mimosúdny prostriedok nápravy vrátane práva na podanie sťažnosti dozornému orgánu podľa článku 77, každá dotknutá osoba má právo na účinný súdny prostriedok nápravy, ak sa domnieva, že v dôsledku spracúvania jej osobných údajov v rozpore s týmto nariadením došlo k porušeniu jej práv ustanovených v tomto nariadení.

1. Without prejudice to any available administrative or non-judicial remedy, including the right to lodge a complaint with a supervisory authority pursuant to Article 77, each data subject shall have the right to an effective judicial remedy where he or she considers that his or her rights under this Regulation have been infringed as a result of the processing of his or her personal data in non-compliance with this Regulation.

2. Návrh na začatie konania proti prevádzkovateľovi alebo sprostredkovateľovi sa podáva na súdoch členského štátu, v ktorom má prevádzkovateľ alebo sprostredkovateľ prevádzkareň. Návrh na začatie takéhoto konania možno podať aj na súdoch členského štátu, v ktorom má dotknutá osoba svoj obvyklý pobyt, pokiaľ prevádzkovateľom alebo sprostredkovateľom nie je orgán verejnej moci členského štátu konajúci v rámci výkonu verejnej moci.

2. Proceedings against a controller or a processor shall be brought before the courts of the Member State where the controller or processor has an establishment. Alternatively, such proceedings may be brought before the courts of the Member State where the data subject has his or her habitual residence, unless the controller or processor is a public authority of a Member State acting in the exercise of its public powers.

3. Okrem dodržiavania predpisov prevádzkovateľmi alebo sprostredkovateľmi, ktorí podliehajú tomuto nariadeniu, kódexy správania schválené podľa odseku 5 tohto článku, a ktoré majú všeobecnú pôsobnosť podľa odseku 9 tohto článku, môžu dodržiavať aj prevádzkovatelia alebo sprostredkovatelia, na ktorých sa toto nariadenie nevzťahuje podľa článku 3, aby sa zabezpečili primerané záruky v rámci prenosov osobných údajov do tretích krajín alebo medzinárodným organizáciám podľa podmienok uvedených v článku 46 ods. 2 písm. e). Takíto prevádzkovatelia alebo sprostredkovatelia prijmú záväzné a vykonateľné záväzky prostredníctvom zmluvných alebo iných právne záväzných nástrojov, aby uplatnili uvedené primerané záruky, a to aj pokiaľ ide o práva dotknutých osôb.

3. In addition to adherence by controllers or processors subject to this Regulation, codes of conduct approved pursuant to paragraph 5 of this Article and having general validity pursuant to paragraph 9 of this Article may also be adhered to by controllers or processors that are not subject to this Regulation pursuant to Article 3 in order to provide appropriate safeguards within the framework of personal data transfers to third countries or international organisations under the terms referred to in point (e) of Article 46(2). Such controllers or processors shall make binding and enforceable commitments, via contractual or other legally binding instruments, to apply those appropriate safeguards including with regard to the rights of data subjects.

Súvisiace texty

Článok 3 GDPR. Územná pôsobnosť

Article 3 GDPR. Territorial scope

1. Toto nariadenie sa vzťahuje na spracúvanie osobných údajov v rámci činnosti prevádzky prevádzkovateľa alebo sprostredkovateľa v Únii, a to bez ohľadu na to, či sa spracúvanie vykonáva v Únii alebo nie.

1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.

2. Toto nariadenie sa vzťahuje na spracúvanie osobných údajov dotknutých osôb, ktoré sa nachádzajú v Únii, prevádzkovateľom alebo sprostredkovateľom, ktorý nie je usadený v Únii, pričom spracovateľská činnosť súvisí:

2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

a) s ponukou tovaru alebo služieb týmto dotknutým osobám v Únii bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba, alebo

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

b) so sledovaním ich správania, pokiaľ ide o ich správanie na území Únie.

(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.

3. Toto nariadenie sa vzťahuje na spracúvanie osobných údajov prevádzkovateľom, ktorý nie je usadený v Únii, ale na mieste, kde sa na základe medzinárodného práva verejného uplatňuje právo členského štátu.

3. This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law.

Článok 46 GDPR. Prenosy vyžadujúce primerané záruky

Article 46 GDPR. Transfers subject to appropriate safeguards

[…]

2. Primerané záruky uvedené v odseku 1 sa môžu ustanoviť bez toho, aby sa dozorný orgán žiadal o akékoľvek osobitné povolenie, prostredníctvom:

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

[…]

e) schváleného kódexu správania podľa článku 40 spolu so záväznými a vymáhateľnými záväzkami prevádzkovateľa alebo sprostredkovateľa v tretej krajine spočívajúcimi v uplatňovaní primeraných záruk, a to aj pokiaľ ide o práva dotknutých osôb, alebo

(e) an approved code of conduct pursuant to Article 40 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects‘ rights; or

4. Kódex správania uvedený v odseku 2 tohto článku obsahuje mechanizmy, ktoré umožňujú subjektu uvedenému v článku 41 ods. 1 vykonávať povinné monitorovanie dodržiavania jeho ustanovení zo strany prevádzkovateľov alebo sprostredkovateľov, ktorí sa rozhodli uplatňovať ho, pričom tým nie sú dotknuté úlohy a právomoci dozorného orgánu, ktorý je príslušný podľa článku 55 alebo 56.

4. A code of conduct referred to in paragraph 2 of this Article shall contain mechanisms which enable the body referred to in Article 41(1) to carry out the mandatory monitoring of compliance with its provisions by the controllers or processors which undertake to apply it, without prejudice to the tasks and powers of supervisory authorities competent pursuant to Article 55 or 56.

Súvisiace texty

Článok 41 GDPR. Monitorovanie schválených kódexov správania

Article 41 GDPR. Monitoring of approved codes of conduct

1. Bez toho, aby boli dotknuté úlohy a právomoci príslušného dozorného orgánu podľa článkov 57 a 58, monitorovanie súladu s kódexom správania podľa článku 40 môže vykonávať subjekt, ktorý má primeranú úroveň odborných znalostí vo vzťahu k predmetu úpravy kódexu a na tento účel je akreditovaný príslušným dozorným orgánom.

1. Without prejudice to the tasks and powers of the competent supervisory authority under Articles 57 and 58, the monitoring of compliance with a code of conduct pursuant to Article 40 may be carried out by a body which has an appropriate level of expertise in relation to the subject-matter of the code and is accredited for that purpose by the competent supervisory authority.

[…]

Článok 55 GDPR. Príslušnosť

Article 55 GDPR. Competence

Článok 56 GDPR. Príslušnosť hlavného dozorného orgánu

Article 56 GDPR. Competence of the lead supervisory authority

5. Združenia a iné subjekty uvedené v odseku 2 tohto článku, ktoré majú v úmysle vypracovať kódex správania, alebo existujúci kódex zmeniť alebo rozšíriť, predložia návrh kódexu, zmeny alebo rozšírenia dozornému orgánu, ktorý je príslušný podľa článku 55. Dozorný orgán vydá stanovisko, či je návrh kódexu, zmeny alebo rozšírenia v súlade s týmto nariadením a takýto návrh kódexu, zmeny alebo rozšírenia schváli, ak dôjde k záveru, že poskytuje dostatočné primerané záruky.

5. Associations and other bodies referred to in paragraph 2 of this Article which intend to prepare a code of conduct or to amend or extend an existing code shall submit the draft code, amendment or extension to the supervisory authority which is competent pursuant to Article 55. The supervisory authority shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation and shall approve that draft code, amendment or extension if it finds that it provides sufficient appropriate safeguards.

Súvisiace texty

Článok 55 GDPR. Príslušnosť

Article 55 GDPR. Competence

6. Ak je návrh kódexu alebo zmeny alebo rozšírenia schválený v súlade s odsekom 5 a ak sa predmetný kódex správania netýka spracovateľských činností vo viacerých členských štátoch, dozorný orgán tento kódex zaregistruje a uverejní.

6. Where the draft code, or amendment or extension is approved in accordance with paragraph 5, and where the code of conduct concerned does not relate to processing activities in several Member States, the supervisory authority shall register and publish the code.

7. Ak sa návrh kódexu správania týka spracovateľských činností vo viacerých členských štátoch, dozorný orgán, ktorý je príslušný podľa článku 55, ho pred schválením návrhu kódexu, zmeny alebo rozšírenia predloží v rámci postupu uvedenom v článku 63 výboru, ktorý vydá stanovisko, či je návrh kódexu, zmeny alebo rozšírenia v súlade s týmto nariadením, alebo či v situácii uvedenej v odseku 3 tohto článku poskytuje primerané záruky.

7. Where a draft code of conduct relates to processing activities in several Member States, the supervisory authority which is competent pursuant to Article 55 shall, before approving the draft code, amendment or extension, submit it in the procedure referred to in Article 63 to the Board which shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation or, in the situation referred to in paragraph 3 of this Article, provides appropriate safeguards.

Súvisiace texty

Článok 55 GDPR. Príslušnosť

Article 55 GDPR. Competence

Článok 63 GDPR. Mechanizmus konzistentnosti

Article 63 GDPR. Consistency mechanism

S cieľom prispievať ku konzistentnému uplatňovaniu tohto nariadenia v celej Únii dozorné orgány spolupracujú navzájom a v relevantných prípadoch s Komisiou prostredníctvom mechanizmu konzistentnosti, ako sa stanovuje v tomto oddiele.

In order to contribute to the consistent application of this Regulation throughout the Union, the supervisory authorities shall cooperate with each other and, where relevant, with the Commission, through the consistency mechanism as set out in this Section.

8. Ak sa v stanovisku uvedenom v odseku 7 potvrdí, že návrh kódexu, zmeny alebo rozšírenia je v súlade s týmto nariadením alebo v situácii uvedenej v odseku 3 poskytuje primerané záruky, výbor predloží svoje stanovisko Komisii.

8. Where the opinion referred to in paragraph 7 confirms that the draft code, amendment or extension complies with this Regulation, or, in the situation referred to in paragraph 3, provides appropriate safeguards, the Board shall submit its opinion to the Commission.

9. Komisia môže prostredníctvom vykonávacích aktov rozhodnúť, že schválený kódex správania, zmena alebo rozšírenie, ktoré jej boli predložené podľa odseku 8 tohto článku, majú všeobecnú platnosť v rámci Únie. Uvedené vykonávacie akty sa prijmú v súlade s postupom preskúmania uvedeným v článku 93 ods. 2.

9. The Commission may, by way of implementing acts, decide that the approved code of conduct, amendment or extension submitted to it pursuant to paragraph 8 of this Article have general validity within the Union. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article 93(2).

Súvisiace texty

Článok 93 GDPR. Postup výboru

Article 93 GDPR. Committee procedure

[…]

2. Ak sa odkazuje na tento odsek, uplatňuje sa článok 5 nariadenia (EÚ) č. 182/2011.

2. Where reference is made to this paragraph, Article 5 of Regulation (EU) No 182/2011 shall apply.

[…]

10. Komisia zaistí náležité zverejnenie schválených kódexov, o ktorých bolo v súlade s odsekom 9 rozhodnuté, že majú všeobecnú platnosť.

10. The Commission shall ensure appropriate publicity for the approved codes which have been decided as having general validity in accordance with paragraph 9.

11. Výbor zhromažďuje všetky schválené kódexy správania, zmeny a rozšírenia v registri a zverejňuje ich akýmkoľvek primeraným spôsobom.

11. The Board shall collate all approved codes of conduct, amendments and extensions in a register and shall make them publicly available by way of appropriate means.

Všeobecné nariadenie o ochrane údajov (GDPR)

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

ISO 27701 Odôvodnenia Pokyny & Case Law Zanechať komentár

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 40 GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

(EN) […]

(EN) Sign in
to read the full text

Odôvodnenia

(98) Združenia alebo iné orgány zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov by sa mali podnecovať k tomu, aby vypracovali kódexy správania v rámci ustanovení tohto nariadenia, aby sa uľahčilo účinné uplatňovanie tohto nariadenia, pričom by sa zohľadnili osobitné črty spracúvania v určitých odvetviach a osobitné potreby mikropodnikov a malých a stredných podnikov. V takýchto kódexoch správania by sa mohli najmä nastaviť povinnosti prevádzkovateľov a sprostredkovateľov so zreteľom na riziko, ktoré pravdepodobne vyplýva zo spracúvania, pokiaľ ide o práva a slobody fyzických osôb.

(98) Associations or other bodies representing categories of controllers or processors should be encouraged to draw up codes of conduct, within the limits of this Regulation, so as to facilitate the effective application of this Regulation, taking account of the specific characteristics of the processing carried out in certain sectors and the specific needs of micro, small and medium enterprises. In particular, such codes of conduct could calibrate the obligations of controllers and processors, taking into account the risk likely to result from the processing for the rights and freedoms of natural persons.

(99) Pri vypracúvaní kódexu správania alebo pri zmene alebo rozšírení takého kódexu by mali združenia a iné subjekty reprezentujúce kategórie prevádzkovateľov alebo sprostredkovateľov konzultovať s príslušnými zainteresovanými stranami, a to podľa potreby aj s dotknutými osobami, a mali by zohľadniť doručené podania a názory vyjadrené v reakcii na takéto konzultácie.

(99) When drawing up a code of conduct, or when amending or extending such a code, associations and other bodies representing categories of controllers or processors should consult relevant stakeholders, including data subjects where feasible, and have regard to submissions received and views expressed in response to such consultations.

Pokyny & Case Law

(EN)

Document

EDPB, Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679 (2019).

EDPB, Guidelines 4/2021 on Codes of Conduct as Tools for Transfers (2021).

Zanechať komentár

[js-disqus]