Стаття 40 📖 GDPR. Кодекс поведінки

Стаття 40 GDPR. Кодекс поведінки

Article 40 GDPR. Codes of conduct

1. Держави-члени, наглядові органи, Рада і Комісія заохочують розроблення кодексів поведінки, спрямованих на сприяння належному застосуванню цього Регламенту, беручи до уваги особливі характеристики різних секторів опрацювання та конкретні потреби мікропідприємств, малих і середніх підприємств.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation, taking account of the specific features of the various processing sectors and the specific needs of micro, small and medium-sized enterprises.

2. Асоціації та інші органи, що представляють категорії контролерів або операторів можуть підготувати кодекси поведінки або внести зміни і доповнення, або розширити такі кодекси, з метою уточнення застосування цього Регламенту, зокрема, щодо:

2. Associations and other bodies representing categories of controllers or processors may prepare codes of conduct, or amend or extend such codes, for the purpose of specifying the application of this Regulation, such as with regard to:

Преамбули

(89) Директивою 95/46/ЄС передбачено загальний обов'язок повідомляти наглядові органи про опрацювання персональних даних. Незважаючи на те, що цей обов'язок породжує адміністративний та фінансовий тягарі, він необов'язково сприяв покращенню у сфері захисту персональних даних. Тому, такі недискримінаційні загальні обов'язки щодо надання повідомлення необхідно скасувати та замінити дієвими процедурами і механізмами, що, натомість, зосереджуються на тих типах операцій опрацювання, які ймовірно створять високий ризик для прав і свобод фізичних осіб в силу їхньої специфіки, масштабу, контексту та цілей. Такими типами операцій опрацювання можуть бути операції, які, зокрема, передбачають використання нових технологій або є новими і такими, щодо яких контролер раніше не проводив жодного оцінювання впливу на захист даних, або такими, що стають необхідними в аспекті часу, що минув з моменту первинного опрацювання.

(89) Directive 95/46/EC provided for a general obligation to notify the processing of personal data to the supervisory authorities. While that obligation produces administrative and financial burdens, it did not in all cases contribute to improving the protection of personal data. Such indiscriminate general notification obligations should therefore be abolished, and replaced by effective procedures and mechanisms which focus instead on those types of processing operations which are likely to result in a high risk to the rights and freedoms of natural persons by virtue of their nature, scope, context and purposes. Such types of processing operations may be those which in, particular, involve using new technologies, or are of a new kind and where no data protection impact assessment has been carried out before by the controller, or where they become necessary in the light of the time that has elapsed since the initial processing.

(90) У таких випадках контролер повинен провести оцінювання впливу на захист даних до моменту опрацювання для того, щоб визначити конкретну ймовірність і ступінь тяжкості високого ризику, враховуючи специфіку, обсяг, контекст і цілі опрацювання та джерела ризику. У такій оцінці необхідно вказати, зокрема, заходи, гарантії та механізми, передбачені для зниження такого ризику, які забезпечують захист персональних даних і підтверджують відповідність цьому Регламенту.

(90) In such cases, a data protection impact assessment should be carried out by the controller prior to the processing in order to assess the particular likelihood and severity of the high risk, taking into account the nature, scope, context and purposes of the processing and the sources of the risk. That impact assessment should include, in particular, the measures, safeguards and mechanisms envisaged for mitigating that risk, ensuring the protection of personal data and demonstrating compliance with this Regulation.

(a) правомірного та прозорого опрацювання;

(a) fair and transparent processing;

Пов'язані норми

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0.

3.1 Transparency [24]

_{[24]Elaboration on how to understand the concept of transparency can be found in Article 29 Working Party. “Guidelines on transparency under Regulation 2016/679”. WP 260 rev.01, 11 April 2018. ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025 – endorsed by the EDPB}

65. The controller must be clear and open with the data subject about how they will collect, use and share personal data. Transparency is about enabling data subjects to understand, and if necessary, make use of their rights in Articles 15 to 22. The principle is embedded in Articles 12, 13, 14 and 34. Measures and safeguards put in place to support the principle of transparency should also support the implementation of these Articles.

66. Key design and default elements for the principle of transparency may include:

•Clarity – Information shall be in clear and plain language, concise and intelligible.

•Semantics – Communication should have a clear meaning to the audience in question.

•Accessibility – Information shall be easily accessible for the data subject.

•Contextual – Information should be provided at the relevant time and in the appropriate form.

•Relevance – Information should be relevant and applicable to the specific data subject.

•Universal design – Information shall be accessible to all data subjects, include use of machine readable languages to facilitate and automate readability and clarity.

•Comprehensible – Data subjects should have a fair understanding of what they can expect with regards to the processing of their personal data, particularly when the data subjects are children or other vulnerable groups.

• Multi-channel – Information should be provided in different channels and media, not only the textual, to increase the probability for the information to effectively reach the data subject.

• Layered – The information should be layered in a manner that resolves the tension between completeness and understanding, while accounting for data subjects’ reasonable expectations.

(b) законних інтересів контролерів у конкретних ситуаціях;

(b) the legitimate interests pursued by controllers in specific contexts;

(c) збирання персональних даних;

(c) the collection of personal data;

(d) використання псевдонімів для персональних даних;

(d) the pseudonymisation of personal data;

(e) інформації, яку надають громадськості та суб’єктам даних;

(e) the information provided to the public and to data subjects;

(f) реалізації прав суб’єктів даних;

(f) the exercise of the rights of data subjects;

(g) інформації, яку надають дітям, та їхнього захисту, і способу, яким необхідно отримувати згоду носіїв батьківської відповідальності щодо дітей;

(g) the information provided to, and the protection of, children, and the manner in which the consent of the holders of parental responsibility over children is to be obtained;

(h) заходів і процедур, вказаних у статтях 24 і 25, і заходів для гарантування безпеки опрацювання, вказаних у статті 32;

(h) the measures and procedures referred to in Articles 24 and 25 and the measures to ensure security of processing referred to in Article 32;

Пов'язані норми

Стаття 24 GDPR. Предмет і цілі

Article 24 GDPR. Subject-matter and objectives

1. Зважаючи на специфіку, обсяг, контекст і цілі опрацювання, а також ризики різної ймовірності та тяжкості для прав і свобод фізичних осіб, контролер повинен вжити необхідних технічних і організаційних заходів для того, щоб гарантувати та бути здатним довести, що опрацювання здійснюють згідно з цим Регламентом. За необхідності, такі заходи необхідно переглядати та оновлювати.

1. Taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, the controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation. Those measures shall be reviewed and updated where necessary.

2. У разі їхньої пропорційності щодо опрацювання даних, вказані в параграфі 1 заходи повинні передбачати реалізацію відповідних політик щодо захисту даних контролером.

2. Where proportionate in relation to processing activities, the measures referred to in paragraph 1 shall include the implementation of appropriate data protection policies by the controller.

3. Дотримання затверджених кодексів поведінки, як вказано в статті 40, чи затверджених механізмів сертифікації, як вказано в статті 42, можна використовувати як елемент підтвердження відповідності обов’язкам контролера.

3. Adherence to approved codes of conduct as referred to in Article 40 or approved certification mechanisms as referred to in Article 42 may be used as an element by which to demonstrate compliance with the obligations of the controller.

Стаття 25 GDPR. Захист даних за призначенням і за замовчуванням

Article 25 GDPR. Data protection by design and by default

1. Зважаючи на сучасний рівень розвитку, витрати на реалізацію, специфіку, обсяг, контекст і цілі опрацювання, а також ризики різної ймовірності та тяжкості для прав і свобод фізичних осіб, які може спричинити опрацювання, контролер повинен, у момент визначення засобів опрацювання та в момент власне опрацювання, вжити необхідних технічних і організаційних заходів, таких як використання псевдонімів, призначених для результативної реалізації принципів захисту даних, зокрема, мінімізації даних, і включення необхідних гарантій до опрацювання для досягнення відповідності вимогам цього Регламенту та забезпечення захисту прав суб’єктів даних.

1. Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects.

2. Контролер повинен вжити відповідних технічних і організаційних заходів для гарантування того, що за замовчуванням опрацьовують лише ті персональні дані, які є необхідними для кожної спеціальної цілі опрацювання. Такий обов’язок застосовують до кількості зібраних персональних даних, ступеня їхнього опрацювання, періоду їхнього зберігання та їхньої доступності. Зокрема, такими заходами необхідно гарантувати ненадання за замовчуванням доступу до персональних даних без звернення особи до невизначеної кількості фізичних осіб.

2. The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual’s intervention to an indefinite number of natural persons.

3. Затверджений механізм сертифікації, відповідно до статті 42, можна використовувати як елемент підтвердження відповідності вимогам, встановленим у параграфах 1 та 2 цієї статті.

3. An approved certification mechanism pursuant to Article 42 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2 of this Article.

Стаття 32 GDPR. Безпека опрацювання

Article 32 GDPR. Security of processing

1. Зважаючи на сучасний рівень розвитку, витрати на реалізацію, специфіку, обсяги, контекст і цілі опрацювання, а також ризики різної ймовірності та тяжкості для прав і свобод фізичних осіб, які викликає опрацювання, контролер і оператор повинні вжити необхідних технічних і організаційних заходів для забезпечення рівня безпеки відповідно до ризику, в тому числі, між іншим, у належних випадках:

1. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:

(a) використання псевдонімів і шифрування персональних даних;

(a) the pseudonymisation and encryption of personal data;

(b) здатність забезпечувати безперервну конфіденційність, цілісність, наявність та стійкість систем та послуг опрацювання;

(b) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;

(c) здатність вчасно відновити наявність і доступ до персональних даних у випадку технічної аварії;

(c) the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident;

(d) процес для регулярного тестування, оцінювання та аналізу результативності технічних і організаційних заходів для гарантування безпеки опрацювання.

(d) a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing.

2. Оцінюючи належний рівень безпеки, необхідно враховувати, зокрема, ризики, пов’язані з опрацюванням, зокрема такі, що виникають внаслідок випадкового чи незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних, які передано, збережено або іншим чином опрацьовано.

2. In assessing the appropriate level of security account shall be taken in particular of the risks that are presented by processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to personal data transmitted, stored or otherwise processed.

3. Adherence to an approved code of conduct as referred to in Article 40 or an approved certification mechanism as referred to in Article 42 may be used as an element by which to demonstrate compliance with the requirements set out in paragraph 1 of this Article.

4. Контролер і оператор повинні вжити заходів для того, щоб забезпечити, що будь-яка фізична особа, яка діє під керівництвом контролера або оператора і має доступ до персональних даних, не опрацьовує їх, за винятком, якщо вона здійснює це за інструкціями контролера, окрім випадків, коли вона зобов’язана діяти таким чином відповідно до законодавства Союзу або держави-члена.

4. The controller and processor shall take steps to ensure that any natural person acting under the authority of the controller or the processor who has access to personal data does not process them except on instructions from the controller, unless he or she is required to do so by Union or Member State law.

(i) нотифікації наглядових органів про порушення захисту персональних даних та повідомлення суб’єктів даних про такі порушення захисту персональних даних;

(i) the notification of personal data breaches to supervisory authorities and the communication of such personal data breaches to data subjects;

(j) передавання персональних даних до третіх країн або міжнародних організацій; або

(j) the transfer of personal data to third countries or international organisations; or

(k) позасудових процедур і інших процедур щодо врегулювання суперечок для врегулювання спорів між контролерами та суб’єктами даних у зв’язку з опрацюванням, без порушення прав суб’єктів даних відповідно до статей 77 і 79.

(k) out-of-court proceedings and other dispute resolution procedures for resolving disputes between controllers and data subjects with regard to processing, without prejudice to the rights of data subjects pursuant to Articles 77 and 79.

Пов'язані норми

Стаття 77 GDPR. Право на подання скарги до наглядового органу

Article 77 GDPR. Right to lodge a complaint with a supervisory authority

1. Без обмеження будь-якого іншого адміністративного або судового засобу правового захисту, кожний суб’єкт даних повинен мати право на подання скарги до наглядового органу, зокрема, в державі-члені за місцем постійного проживання, місцем роботи чи місцем заявленого порушення, якщо суб’єкт даних вважає, що опрацювання його або її персональних даних порушує положення цього Регламенту.

1. Without prejudice to any other administrative or judicial remedy, every data subject shall have the right to lodge a complaint with a supervisory authority, in particular in the Member State of his or her habitual residence, place of work or place of the alleged infringement if the data subject considers that the processing of personal data relating to him or her infringes this Regulation.

2. Наглядовий орган, до якого було подано скаргу, повідомляє позивача про стан і результати розгляду скарги, в тому числі, про можливість судового засобу правового захисту відповідно до статті 78.

2. The supervisory authority with which the complaint has been lodged shall inform the complainant on the progress and the outcome of the complaint including the possibility of a judicial remedy pursuant to Article 78.

Стаття 79 GDPR. Право на дієвий судовий засіб правового захисту проти контролера або оператора

Article 79 GDPR. Right to an effective judicial remedy against a controller or processor

1. Без обмеження будь-якого наявного адміністративного або судового засобу правового захисту, в тому числі права на подання скарги до наглядового органу відповідно до статті 77, кожний суб’єкт даних повинен мати право на дієвий судовий засіб правового захисту, якщо він вважає, що його права за цим Регламентом було порушено внаслідок опрацювання його персональних даних, що не відповідає цьому Регламенту.

1. Without prejudice to any available administrative or non-judicial remedy, including the right to lodge a complaint with a supervisory authority pursuant to Article 77, each data subject shall have the right to an effective judicial remedy where he or she considers that his or her rights under this Regulation have been infringed as a result of the processing of his or her personal data in non-compliance with this Regulation.

2. Провадження щодо контролера або оператора здійснюють в судах держави-члена, де має осідок контролер або оператор. Крім того, таке провадження можна здійснювати в судах держави-члена, за місцем постійного проживання суб’єкта даних, за винятком випадків, коли контролер або оператор є публічним органом держави-члена, що діє у процесі виконання своїх публічних повноважень.

2. Proceedings against a controller or a processor shall be brought before the courts of the Member State where the controller or processor has an establishment. Alternatively, such proceedings may be brought before the courts of the Member State where the data subject has his or her habitual residence, unless the controller or processor is a public authority of a Member State acting in the exercise of its public powers.

3. Окрім дотримання контролерами або операторами відповідно до цього Регламенту, кодекси поведінки, що затверджені відповідно до параграфа 5 цієї статті та мають загальну дію відповідно до параграфа 9 цієї статті, також можна застосовувати до контролерів або операторів, на яких не поширюється дія цього Регламенту відповідно до статті 3 для того, щоб надати належні гарантії в межах передавання персональних даних до третіх країн чи міжнародних організацій на умовах, наведених у пункті (e) статті 46(2). Такі контролери або оператори повинні взяти на себе зобов’язання, які є обов’язковими і можливими для виконання, за допомогою договірних або інших юридично зобов’язальних інструментів, для того, щоб застосувати зазначені належні гарантії, у тому числі, гарантії щодо прав суб’єктів даних.

3. In addition to adherence by controllers or processors subject to this Regulation, codes of conduct approved pursuant to paragraph 5 of this Article and having general validity pursuant to paragraph 9 of this Article may also be adhered to by controllers or processors that are not subject to this Regulation pursuant to Article 3 in order to provide appropriate safeguards within the framework of personal data transfers to third countries or international organisations under the terms referred to in point (e) of Article 46(2). Such controllers or processors shall make binding and enforceable commitments, via contractual or other legally binding instruments, to apply those appropriate safeguards including with regard to the rights of data subjects.

Пов'язані норми

Стаття 3 GDPR. Територіальна сфера дії

Article 3 GDPR. Territorial scope

1. Цей Регламент застосовують до опрацювання персональних даних в контексті діяльності осідку контролера або оператора в Союзі, незалежно від того, чи відбувається власне опрацювання в межах Союзу чи ні.

1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.

2. Цей Регламент застосовують до опрацювання персональних даних суб’єктів даних, які перебувають у Союзі, контролером або оператором, який має осідок поза межами Союзу, якщо опрацювання даних пов’язано з:

2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

(a) постачанням товарів чи наданням послуг таким суб’єктам даних у Союзі, незалежно від того, чи вимагають оплату від таких суб’єктів даних; або

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(b) моніторингом поведінки суб’єктів даних, якщо така поведінка має місце у межах Союзу.

(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.

3. Цей Регламент застосовують до опрацювання персональних даних контролером, що має осідок поза межами Союзу, але в місці, де застосовується законодавство держави-члена в силу публічного міжнародного права.

3. This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law.

Стаття 46 GDPR. Передавання з урахуванням належних гарантій

Article 46 GDPR. Transfers subject to appropriate safeguards

[…]

2. Належні гарантії, вказані в параграфі 1, можна надавати без запиту на отримання від наглядового органу будь-якого спеціального дозволу:

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

[…]

(e) затвердженим кодексом поведінки відповідно до статті 40 в поєднанні із зобов’язаннями контролера або оператора в третій країні, що підлягають обов’язковому виконанню, щодо вжиття належних гарантій, у тому числі, в частині прав суб’єктів даних; або

(e) an approved code of conduct pursuant to Article 40 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights; or

4. Кодекс поведінки, вказаний у параграфі 2 цієї статті, повинен передбачати механізми, що дозволяють органу, вказаному в статті 41(1), здійснювати обов’язковий моніторинг дотримання його положень контролерами або операторами, які взяли на себе зобов’язання щодо його застосування, без обмеження завдань і повноважень наглядових органів, що є компетентними відповідно до статті 55 або 56.

4. A code of conduct referred to in paragraph 2 of this Article shall contain mechanisms which enable the body referred to in Article 41(1) to carry out the mandatory monitoring of compliance with its provisions by the controllers or processors which undertake to apply it, without prejudice to the tasks and powers of supervisory authorities competent pursuant to Article 55 or 56.

Пов'язані норми

Стаття 41 GDPR. Моніторинг затверджених кодексів поведінки

Article 41 GDPR. Monitoring of approved codes of conduct

1. Без обмеження завдань і повноважень компетентного наглядового органу за статтями 57 і 58, моніторинг дотримання кодексу поведінки відповідно до статті 40 може здійснювати орган, що володіє належним рівнем експертних знань в сфері предмету кодексу та акредитований для такої цілі компетентним наглядовим органом.

1. Without prejudice to the tasks and powers of the competent supervisory authority under Articles 57 and 58, the monitoring of compliance with a code of conduct pursuant to Article 40 may be carried out by a body which has an appropriate level of expertise in relation to the subject-matter of the code and is accredited for that purpose by the competent supervisory authority.

[…]

Стаття 55 GDPR. Компетенція

Article 55 GDPR. Competence

Стаття 56 GDPR. Компетенція керівного наглядового органу

Article 56 GDPR. Competence of the lead supervisory authority

5. Асоціації та інші органи, вказані в параграфі 2 цієї статті, що мають намір підготувати кодекс поведінки чи внести зміни та доповнення або розширити наявний кодекс, подають проект кодексу, змін та доповнень або розширення до наглядового органу, що є компетентним відповідно до статті 55. Наглядовий орган надає висновок про те, чи відповідає проект кодексу, змін та доповнень або розширення цьому Регламенту, та затверджує такий проект кодексу, змін та доповнень або розширення, якщо з’ясовує, що в ньому передбачено достатні належні гарантії.

5. Associations and other bodies referred to in paragraph 2 of this Article which intend to prepare a code of conduct or to amend or extend an existing code shall submit the draft code, amendment or extension to the supervisory authority which is competent pursuant to Article 55. The supervisory authority shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation and shall approve that draft code, amendment or extension if it finds that it provides sufficient appropriate safeguards.

Пов'язані норми

Стаття 55 GDPR. Компетенція

Article 55 GDPR. Competence

6. Якщо проект кодексу, змін та доповнень або розширення затверджують відповідно до параграфа 5, та якщо відповідний кодекс поведінки не стосується опрацювання даних в декількох державах-членах, наглядовий орган реєструє і опубліковує кодекс.

6. Where the draft code, or amendment or extension is approved in accordance with paragraph 5, and where the code of conduct concerned does not relate to processing activities in several Member States, the supervisory authority shall register and publish the code.

7. Якщо проект кодексу стосується опрацювання даних в декількох державах-членах, наглядовий орган, що є компетентним відповідно до статті 55, до затвердження проекту кодексу, змін та доповнень або розширення, подає його на процедуру, вказану в статті 63, до Ради, яка надає висновок щодо того, чи відповідає проект кодексу, змін та доповнень або розширення цьому Регламенту або, в ситуації, вказаній в параграфі 3 цієї статті, чи передбачено в ньому належні гарантії.

7. Where a draft code of conduct relates to processing activities in several Member States, the supervisory authority which is competent pursuant to Article 55 shall, before approving the draft code, amendment or extension, submit it in the procedure referred to in Article 63 to the Board which shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation or, in the situation referred to in paragraph 3 of this Article, provides appropriate safeguards.

Пов'язані норми

Стаття 55 GDPR. Компетенція

Article 55 GDPR. Competence

Стаття 63 GDPR. Механізм послідовності

Article 63 GDPR. Consistency mechanism

Для того, щоб сприяти послідовному застосуванню цього Регламенту в межах Союзу, наглядові органи повинні співпрацювати один з одним і, в належних випадках, з Комісією, через механізм послідовності, як встановлено в цій секції.

In order to contribute to the consistent application of this Regulation throughout the Union, the supervisory authorities shall cooperate with each other and, where relevant, with the Commission, through the consistency mechanism as set out in this Section.

8. Якщо висновок, вказаний у параграфі 7, підтверджує, що проект кодексу, змін та доповнення або розширення відповідає цьому Регламенту або, в ситуації, вказаній в параграфі З цієї статті, передбачає належні гарантії, Рада подає свій висновок до Комісії.

8. Where the opinion referred to in paragraph 7 confirms that the draft code, amendment or extension complies with this Regulation, or, in the situation referred to in paragraph 3, provides appropriate safeguards, the Board shall submit its opinion to the Commission.

9. Комісія може, за допомогою імплементаційних актів, вирішити, що затверджений кодекс поведінки, змін та доповнень або розширення, що подають їй відповідно до параграфа 8 цієї статті, мають загальну дію в межах Союзу. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, встановленої в статті 93(2).

9. The Commission may, by way of implementing acts, decide that the approved code of conduct, amendment or extension submitted to it pursuant to paragraph 8 of this Article have general validity within the Union. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article 93(2).

Пов'язані норми

Стаття 93 GDPR. Процедура Комітету

Article 93 GDPR. Committee procedure

[…]

2. У разі покликання на цей параграф необхідно застосовувати статтю 5 Регламенту (ЄЄ) N 182/2011.

2. Where reference is made to this paragraph, Article 5 of Regulation (EU) No 182/2011 shall apply.

[…]

10. Комісія забезпечує належну публічність для затверджених кодексів, щодо яких було прийнято рішення про те, що вони мають загальну дію згідно з параграфом 9.

10. The Commission shall ensure appropriate publicity for the approved codes which have been decided as having general validity in accordance with paragraph 9.

11. Рада впорядковує усі затверджені кодекси поведінки, зміни та доповнення або розширення у формі реєстру і оприлюднює їх за допомогою належних засобів.

11. The Board shall collate all approved codes of conduct, amendments and extensions in a register and shall make them publicly available by way of appropriate means.

Загальний регламент про захист даних (GDPR)

Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

ISO 27701 Преамбули Керівництво та прецедентне право Залишити коментар

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 40 GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

(EN) […]

(EN) Sign in
to read the full text

Преамбули

(98) Необхідно заохочувати асоціації чи інші органи, що представляють категорії контролерів або операторів, розробляти кодекси поведінки, в межах цього Регламенту, для сприяння дієвому застосуванню цього Регламенту, враховуючи особливі характеристики опрацювання, яке проводять в окремих секторах, а також - особливі потреби мікропідприємств, малих і середніх підприємств. Зокрема, такі кодекси поведінки можуть врегулювати обов'язки контролерів і операторів із врахуванням ризику, що ймовірно виникає внаслідок опрацювання, для прав і свобод фізичних осіб.

(98) Associations or other bodies representing categories of controllers or processors should be encouraged to draw up codes of conduct, within the limits of this Regulation, so as to facilitate the effective application of this Regulation, taking account of the specific characteristics of the processing carried out in certain sectors and the specific needs of micro, small and medium enterprises. In particular, such codes of conduct could calibrate the obligations of controllers and processors, taking into account the risk likely to result from the processing for the rights and freedoms of natural persons.

(99) Під час розроблення кодексу поведінки або внесення змін до такого кодексу чи його розширення, асоціації та інші органи, що представляють категорії контролерів або операторів, повинні проводити консультації з відповідними стейкхолдерами, в тому числі суб'єктами даних, за можливості, та враховувати отримані матеріали та позиції, висловлені у відповідь на такі консультації.

(99) When drawing up a code of conduct, or when amending or extending such a code, associations and other bodies representing categories of controllers or processors should consult relevant stakeholders, including data subjects where feasible, and have regard to submissions received and views expressed in response to such consultations.

Керівництво та прецедентне право

(EN)

Document

EDPB, Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679 (2019).

EDPB, Guidelines 4/2021 on Codes of Conduct as Tools for Transfers (2021).

Залишити коментар

[js-disqus]