Navigacija
SUVP (GDPR) > Artikkel 40. Atferdsnormer
Prenos PDF

Artikkel 40 GDPR. Atferdsnormer

1. Medlemsstatene, tilsynsmyndighetene, Personvernrådet og Kommisjonen skal oppmuntre til at det utarbeides atferdsnormer som skal bidra til riktig anvendelse av denne forordning, idet det tas hensyn til de særlige forholdene i de forskjellige behandlingssektorene og de særlige behovene til svært små, små og mellomstore bedrifter.

2. Sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere, kan utarbeide atferdsnormer, eller endre eller utvide omfanget av slike regler, for å angi anvendelsen av denne forordning nærmere, f.eks. med hensyn til

Uvodne izjave

89) Ved direktiv 95/46/EF ble det fastsatt en generell plikt til å melde behandlingen av personopplysningene til tilsynsmyndighetene. Denne plikten har medført en administrativ og økonomisk byrde, men har ikke alltid bidratt til å bedre vernet av personopplysninger. En slik vilkårlig og generell meldingsplikt bør derfor avskaffes og erstattes av effektive framgangsmåter og mekanismer, der det isteden fokuseres på den typen behandlingsaktiviteter som kan medføre en høy risiko for fysiske personers rettigheter og friheter i kraft av aktivitetenes art, omfang, formål og sammenhengen de utføres i. Denne typen behandlingsaktiviteter kan være aktiviteter som især innebærer bruk av ny teknologi, eller som er av en ny type, og der den behandlingsansvarlige ikke tidligere har gjennomført en vurdering av personvernkonsekvenser, eller dersom de blir nødvendige på grunn av tiden som har gått siden den opprinnelige behandlingen.

90) I slike tilfeller bør den behandlingsansvarlige før behandlingen gjennomføre en vurdering av personvernkonsekvenser for å vurdere sannsynligheten for at det vil oppstå en høy risiko, samt alvorlighetsgraden av denne, idet det tas hensyn til behandlingens art, omfang, formål, sammenhengen den utføres i, og kildene til risikoen. Nevnte konsekvensvurdering bør særlig omfatte planlagte tiltak, garantier og mekanismer for å begrense risikoen, sikre vern av personopplysningene og påvise at denne forordning overholdes.

a) rettferdig og åpen behandling,

b) de berettigede interessene som forfølges av behandlingsansvarlige i bestemte sammenhenger,

c) innsamling av personopplysninger,

d) pseudonymisering av personopplysninger,

e) informasjonen som gis allmennheten og de registrerte,

f) utøvelsen av registrertes rettigheter,

g) informasjonen som gis til barn, og vern av barn, samt måten samtykke fra de personer som har foreldreansvar for barn, innhentes på,

h) tiltakene og framgangsmåtene nevnt i artikkel 24 og 25 og tiltakene for å ivareta sikkerheten ved behandlingen nevnt i artikkel 32,

Povezana besedila

i) melding av brudd på personopplysningssikkerheten til tilsynsmyndigheter og underretning av registrerte om nevnte brudd,

j) overføring av personopplysninger til tredjestater eller internasjonale organisasjoner eller

k) utenrettslige prosesser og andre mekanismer for tvisteløsning mellom behandlingsansvarlige og registrerte med hensyn til behandling, uten at det berører de registrertes rettigheter i henhold til artikkel 77 og 79.

Povezana besedila

3. Atferdsnormer som er godkjent i henhold til nr. 5 i denne artikkel, og som har allmenn gyldighet i henhold til nr. 9 i denne artikkel, kan, i tillegg til at behandlingsansvarlige eller databehandlere som omfattes av denne forordning, overholder dem, også overholdes av behandlingsansvarlige eller databehandlere som ikke omfattes av denne forordning i henhold til artikkel 3, med henblikk på å gi nødvendige garantier i forbindelse med overføring av personopplysninger til tredjestater eller internasjonale organisasjoner i henhold til vilkårene nevnt i artikkel 46 nr. 2 bokstav e). Nevnte behandlingsansvarlige eller databehandlere skal, gjennom avtaler eller andre rettslig bindende virkemidler, inngå bindende og håndhevbare forpliktelser om å anvende slike nødvendige garantier, herunder med hensyn til de registrertes rettigheter.

Povezana besedila

4. Atferdsnormene nevnt i nr. 2 i denne artikkel skal inneholde mekanismer som gjør det mulig for organet nevnt i artikkel 41 nr. 1 å utføre det obligatoriske tilsynet med at behandlingsansvarlige eller databehandlere som forplikter seg til å anvende atferdsnormene, overholder dem, uten at det berører oppgavene og myndigheten til tilsynsmyndighetene som har kompetanse i henhold til artikkel 55 eller 56.

Povezana besedila

5. Sammenslutninger og andre organer nevnt i nr. 2 i denne artikkel som har til hensikt å utarbeide atferdsnormer eller endre eller utvide eksisterende atferdsnormer, skal framlegge utkastet til, endringen eller utvidelsen av atferdsnormene for tilsynsmyndigheten som har kompetanse i henhold til artikkel 55. Tilsynsmyndigheten skal avgi uttalelse om hvorvidt utkastet til, endringen eller utvidelsen av atferdsnormene oppfyller kravene i denne forordning, og skal godkjenne nevnte utkast til, endring eller utvidelse av atferdsnormene dersom den finner at de inneholder tilstrekkelige og nødvendige garantier.

6. Dersom utkastet til, endringen eller utvidelsen av atferdsnormene godkjennes i samsvar med nr. 5, og dersom de berørte atferdsnormene ikke gjelder behandlingsaktiviteter i flere medlemsstater, skal tilsynsmyndigheten registrere og offentliggjøre atferdsnormene.

7. Dersom et utkast til atferdsnormer gjelder behandlingsaktiviteter i flere medlemsstater, skal tilsynsmyndigheten som har kompetanse i henhold til artikkel 55, før utkastet til, endringen eller utvidelsen av atferdsnormene godkjennes, oversende dem i henhold til framgangsmåten nevnt i artikkel 63 til Personvernrådet, som skal avgi uttalelse om hvorvidt utkastet til, endringen eller utvidelsen av atferdsnormene oppfyller kravene i denne forordning eller, i tilfellet nevnt i nr. 3 i denne artikkel, inneholder nødvendige garantier.

Povezana besedila

8. Dersom uttalelsen nevnt i nr. 7 bekrefter at utkastet til, endringen eller utvidelsen av atferdsnormene er i samsvar med denne forordning eller, i tilfellet nevnt i nr. 3, inneholder nødvendige garantier, skal Personvernrådet framlegge sin uttalelse for Kommisjonen.

9. Kommisjonen kan ved hjelp av gjennomføringsrettsakter beslutte at de godkjente atferdsnormene, endringen eller utvidelsen av dem som den har mottatt i henhold til nr. 8 i denne artikkel, har allmenn gyldighet i Unionen. Disse gjennomføringsrettsaktene skal vedtas i samsvar med undersøkelsesprosedyren fastsatt i artikkel 93 nr. 2.

Povezana besedila

10. Kommisjonen skal sørge for at de godkjente atferdsnormene som det er besluttet har allmenn gyldighet i samsvar med nr. 9, offentliggjøres på egnet måte.

11. Personvernrådet skal samle alle godkjente atferdsnormer, endringer og utvidelser av dem i et register, og skal gjøre dem offentlig tilgjengelig på egnet måte.

ISO 27701 Uvodne izjave Smernice in sodna praksa Pustite komentar
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 40 GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

(EN) […]


to read the full text

Uvodne izjave

98) Sammenslutninger eller andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere, bør oppmuntres til å utarbeide atferdsnormer innenfor rammen av denne forordning for å fremme en effektiv anvendelse av denne forordning, idet det tas hensyn til de særlige kjennetegnene ved behandling som utføres i visse sektorer, og de særlige behovene til svært små, små og mellomstore bedrifter. I slike atferdsnormer bør de behandlingsansvarliges og databehandlernes plikter defineres, idet det tas hensyn til risikoen for fysiske personers rettigheter og friheter som behandlingen kan medføre.

99) Ved utarbeiding av atferdsnormer, eller ved endring eller utvidelse av atferdsnormer, bør sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere, rådføre seg med relevante berørte parter, herunder registrerte når det er mulig, og ta hensyn til bemerkninger og synspunkter framsatt i forbindelse med slik rådføring.

Smernice in sodna praksa Pustite komentar
[js-disqus]