Mer
Navigering
KAPITEL I Allmänna bestämmelser (1-4)
Artikel 1. SyfteArtikel 2. Materiellt tillämpningsområdeArtikel 3. Territoriellt tillämpningsområdeArtikel 4. Definitioner
KAPITEL II Principer (5-11)
Artikel 5. Principer för behandling av personuppgifterArtikel 6. Laglig behandling av personuppgifterArtikel 7. Villkor för samtyckeArtikel 8. Villkor som gäller barns samtycke avseende informationssamhällets tjänsterArtikel 9. Behandling av särskilda kategorier av personuppgifterArtikel 10. Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelserArtikel 11. Behandling som inte kräver identifiering
KAPITEL III Den registrerades rättigheter (12-23)
Artikel 12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheterArtikel 13. Information som ska tillhandahållas om personuppgifterna samlas in från den registreradeArtikel 14. Information som ska tillhandahållas om personuppgifterna inte har erhållits från den registreradeArtikel 15. Den registrerades rätt till tillgångArtikel 16. Rätt till rättelseArtikel 17. Rätt till radering (”rätten att bli bortglömd”)Artikel 18. Rätt till begränsning av behandlingArtikel 19. Anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandlingArtikel 20. Rätt till dataportabilitetArtikel 21. Rätt att göra invändningarArtikel 22. Automatiserat individuellt beslutsfattande, inbegripet profileringArtikel 23. Begränsningar
KAPITEL IV Personuppgiftsansvarig och personuppgiftsbiträde (24-43)
Artikel 24. SyfteArtikel 25. Inbyggt dataskydd och dataskydd som standardArtikel 26. Gemensamt personuppgiftsansvarigaArtikel 27. Företrädare för personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade i unionenArtikel 28. PersonuppgiftsbiträdenArtikel 29. Behandling under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseendeArtikel 30. Register över behandlingArtikel 31. Samarbete med tillsynsmyndighetenArtikel 32. Säkerhet i samband med behandlingenArtikel 33. Anmälan av en personuppgiftsincident till tillsynsmyndighetenArtikel 34. Information till den registrerade om en personuppgiftsincidentArtikel 35. Konsekvensbedömning avseende dataskyddArtikel 36. FörhandssamrådArtikel 37. Utnämning av dataskyddsombudetArtikel 38. Dataskyddsombudets ställningArtikel 39. Dataskyddsombudets uppgifter
Artikel 40. Uppförandekoder
Artikel 41. Övervakning av godkända uppförandekoderArtikel 42. CertifieringArtikel 43. Certifieringsorgan
KAPITEL V Överföring av personuppgifter till tredjeländer eller internationella organisationer (44-50)
Artikel 44. Allmän princip för överföring av uppgifterArtikel 45. Överföring på grundval av ett beslut om adekvat skyddsnivåArtikel 46. Överföring som omfattas av lämpliga skyddsåtgärderArtikel 47. Bindande företagsbestämmelserArtikel 48. Överföringar och utlämnanden som inte är tillåtna enligt unionsrättenArtikel 49. Undantag i särskilda situationerArtikel 50. Internationellt samarbete för skydd av personuppgifter
KAPITEL VI Oberoende tillsynsmyndigheter (51-59)
Artikel 51. TillsynsmyndighetArtikel 52. OberoendeArtikel 53. Allmänna villkor för tillsynsmyndighetens ledamöterArtikel 54. Regler för inrättandet av en tillsynsmyndighetArtikel 55. BehörighetArtikel 56. Den ansvariga tillsynsmyndighetens behörighetArtikel 57. UppgifterArtikel 58. BefogenheterArtikel 59. Verksamhetsrapporter
KAPITEL VII Samarbete och enhetlighet (60-70)
Artikel 60. Samarbete mellan den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheternaArtikel 61. Ömsesidigt biståndArtikel 62. Tillsynsmyndigheters gemensamma insatserArtikel 63. Mekanism för enhetlighetArtikel 64. Yttrande från StyrelsenArtikel 65. Tvistlösning genom styrelsenArtikel 66. Skyndsamt förfarandeArtikel 67. Utbyte av informationArtikel 68. Europeiska dataskyddsstyrelsenArtikel 69. OberoendeArtikel 70. Styrelsens uppgifterArtikel 71. RapporterArtikel 72. FörfarandeArtikel 73. OrdförandeArtikel 74. Ordförandens uppgifterArtikel 75. SekretariatetArtikel 76. Konfidentialitet
KAPITEL VIII Rättsmedel, ansvar och sanktioner (77-84)
Artikel 77. Rätt att lämna in klagomål till en tillsynsmyndighetArtikel 78. Rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslutArtikel 79. Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträdeArtikel 80. Företrädande av registreradeArtikel 81. Vilandeförklaring av förfarandenArtikel 82. Ansvar och rätt till ersättningArtikel 83. Allmänna villkor för påförande av administrativa sanktionsavgifterArtikel 84. Sanktioner
KAPITEL IX Bestämmelser om särskilda behandlingssituationer (85-91)
Artikel 85. Behandling och yttrande- och informationsfrihetenArtikel 86. Behandling och allmänhetens tillgång till allmänna handlingarArtikel 87. Behandling av nationella identifikationsnummerArtikel 88. Behandling i anställningsförhållandenArtikel 89. Skyddsåtgärder och undantag för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamålArtikel 90. TystnadspliktArtikel 91. Befintliga bestämmelser om dataskydd inom kyrkor och religiösa samfund
KAPITEL X Delegerade akter och genomförandeakter (92-93)
Artikel 92. Utövande av delegeringenArtikel 93. Kommittéförfarande
KAPITEL XI Slutbestämmelser (94-95)
Artikel 94. Upphävande av direktiv 95/46/EGArtikel 95. Förhållande till direktiv 2002/58/EGArtikel 96. Förhållande till tidigare ingångna avtalArtikel 97. KommissionsrapporterArtikel 98. Översyn av andra unionsrättsakter om dataskyddArtikel 99. Ikraftträdande och tillämpning
GDPR > Artikel 40. Uppförandekoder
Hämta PDF

Artikel 40 GDPR. Uppförandekoder

1. Medlemsstaterna, tillsynsmyndigheterna, styrelsen och kommissionen ska uppmuntra utarbetandet av uppförandekoder avsedda att bidra till att denna förordning genomförs korrekt, med hänsyn till särdragen hos de olika sektorer där behandling sker, och de särskilda behoven hos mikroföretag samt små och medelstora företag.

2. Sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden får utarbeta uppförandekoder, eller ändra eller utöka sådana koder, i syfte att specificera tillämpningen av denna förordning, till exempel när det gäller

Skälen
Skälen

(89) Direktiv 95/46/EG föreskrev en allmän skyldighet att anmäla behandling av personuppgifter till tillsynsmyndigheterna. Denna skyldighet medförde administrativa och ekonomiska bördor, men förbättrade inte alltid personuppgiftsskyddet. Sådana övergripande och allmänna anmälningsskyldigheter bör därför avskaffas och ersättas av effektiva förfaranden och mekanismer som i stället inriktas på de typer av behandlingar som sannolikt innebär en hög risk för fysiska personers rättigheter och friheter, i kraft av deras art, omfattning, sammanhang och ändamål. Dessa behandlingar kan vara sådana som särskilt inbegriper användning av ny teknik eller är av en ny typ, för vilken konsekvensbedömning avseende uppgiftsskydd inte tidigare har genomförts av den personuppgiftsansvarige, eller som blir nödvändiga på grund av den tid som har förflutit sedan den ursprungliga behandlingen.

(90) I sådana fall bör den personuppgiftsansvarige före behandlingen, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt upphovet till risken, göra en konsekvensbedömning avseende dataskydd i syfte att bedöma den höga riskens specifika sannolikhetsgrad och allvar samt dess ursprung. Konsekvensbedömningen bör främst innefatta de planerade åtgärder, skyddsåtgärder och mekanismer som ska minska denna risk, säkerställa personuppgiftskyddet och visa att denna förordning efterlevs.

a) rättvis och öppen behandling,

Relaterade texter
Relaterade texter

b) personuppgiftsansvarigas berättigade intressen i särskilda sammanhang,

c) insamling av personuppgifter,

d) pseudonymisering av personuppgifter,

e) information till allmänheten och de registrerade,

f) utövande av registrerades rättigheter,

g) information till och skydd av barn samt metoderna för att erhålla samtycke från de personer som har föräldraansvar för barn,

h) åtgärder och förfaranden som avses i artiklarna 24 och 25 samt åtgärder för att säkerställa säkerhet vid behandling i enlighet med artikel 32,

Relaterade texter
Relaterade texter

i) anmälan av personuppgiftsincidenter till tillsynsmyndigheter och meddelande av sådana personuppgiftsincidenter till registrerade,

j) överföring av personuppgifter till tredjeländer eller internationella organisationer,

k) utomrättsliga förfaranden och andra tvistlösningsförfaranden för lösande av tvister mellan personuppgiftsansvariga och registrerade när det gäller behandling, utan att detta påverkar registrerades rättigheter enligt artiklarna 77 och 79.

Relaterade texter
Relaterade texter

3. Uppförandekoder som är godkända i enlighet med punkt 5 i denna artikel och som har allmän giltighet enligt punkt 9 i denna artikel får, förutom att de iakttas av personuppgiftsansvariga eller personuppgiftsbiträden som omfattas av denna förordning, även iakttas av personuppgiftsansvariga eller personuppgiftsbiträden som inte omfattas av denna förordning enligt artikel 3, för att tillhandahålla lämpliga garantier inom ramen för överföringar av personuppgifter till tredjeländer eller internationella organisationer enligt villkoren i artikel 46.2 e. Sådana personuppgiftsansvariga eller personuppgiftsbiträden ska göra bindande och verkställbara åtaganden, genom avtal eller andra rättsligt bindande instrument, att tillämpa dessa lämpliga garantier inbegripet när det gäller registrerades rättigheter.

Relaterade texter
Relaterade texter

4. Den uppförandekod som avses i punkt 2 i den här artikeln ska innehålla mekanismer som gör det möjligt för det organ som avses i artikel 41.1 att utföra den obligatoriska övervakningen av att dess bestämmelser efterlevs av personuppgiftsansvariga och personuppgiftsbiträden som tillämpar den, utan att det påverkar uppgifter eller befogenheter för de tillsynsmyndigheter som är behöriga enligt artikel 55 eller 56.

Relaterade texter
Relaterade texter

5. Sammanslutningar och andra organ som avses i punkt 2 i den här artikeln som avser att utarbeta en uppförandekod eller ändra eller utöka befintliga uppförandekoder ska inge utkastet till uppförandekod, ändringen eller utökningen till den tillsynsmyndighet som är behörig enligt artikel 55. Tillsynsmyndigheten ska yttra sig om huruvida utkastet till uppförandekod, ändring eller utökning överensstämmer med denna förordning och ska godkänna ett det utkastet till kod, ändring eller utökning om den finner att tillräckliga garantier tillhandahålls.

Relaterade texter
Relaterade texter

6. Om utkastet till kod, eller en ändring eller utökning, godkänns i enlighet med punkt 5, och om den berörda uppförandekoden inte avser behandling i flera medlemsstater, ska tillsynsmyndigheten registrera och offentliggöra uppförandekoden.

7. Om ett utkast till uppförandekod avser behandling i flera medlemsstater ska den tillsynsmyndighet som är behörig enligt artikel 55 innan den godkänner utkastet till kod, ändring eller utökning, inom ramen för det förfarande som avses i artikel 63 överlämna det till styrelsen som ska avge ett yttrande om huruvida utkastet till kod, ändring eller utökning är förenlig med denna förordning eller, i de fall som avses i punkt 3 i den här artikeln, tillhandahåller lämpliga garantier.

Relaterade texter
Relaterade texter

8. Om det i det yttrande som avses i punkt 7 bekräftas att utkastet till kod, ändring eller utökning är förenligt med denna förordning, eller, i de fall som avses i punkt 3, tillhandahåller lämpliga garantier, ska styrelsen inlämna sitt yttrande till kommissionen.

9. Kommissionen får, genom genomförandeakter, besluta att den godkända koden, ändringen eller utökningen som getts in till den enligt punkt 8 i den här artikeln har allmän giltighet inom unionen. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.2.

Relaterade texter
Relaterade texter

10. Kommissionen ska se till att de godkända koder om vilka det har beslutats att de har allmän giltighet enligt punkt 9 offentliggörs på lämpligt sätt.

11. Styrelsen ska samla alla godkända uppförandekoder, ändringar och utökningar i ett register och offentliggöra dem på lämpligt sätt.

Allmän dataskyddsförordning (GDPR)

ISO 27701 Skälen Riktlinjer & Case Law Lämna en kommentar
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 40 GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.


för att komma åt hela textenу

Skälen

(98) Sammanslutningar eller andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden bör uppmuntras att utarbeta uppförandekoder inom gränserna för denna förordning, så att tillämpningen av denna förordning effektiviseras, med beaktande av särdragen hos den behandling som sker inom vissa sektorer och de särskilda behov som finns inom mikroföretag samt inom små och medelstora företag. I synnerhet skulle man genom sådana uppförandekoder kunna anpassa personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter, med beaktande av den risk som behandlingen sannolikt innebär för fysiska personers rättigheter och friheter.

(99) Vid utformningen av en uppförandekod eller vid ändring eller utvidgning av en befintlig sådan kod bör sammanslutningar och andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden samråda med berörda intressenter, i möjligaste mån inbegripet registrerade, och beakta de inlagor som mottas och de åsikter som framförs som svar på samråden.

Riktlinjer & Case Law Lämna en kommentar
[js-disqus]