第 40 條 📖 GDPR. 行為守則

第 40 條 GDPR. 行為守則

1. 會員國、監管機關、委員會及執委會對於行為守則之訂立，應給予鼓勵，以促進本規則之有效適用，並考量某些行業執行資料處理之特定特徵及微型、中小型企業之特定需求。

2. 組織與代表控管者或處理者類型之其他機構得備置行為守則或修改或擴張該守則以明確化本規則之適用範圍，例如：

献技

(89) 歐盟指令第 95/46/EC 號規範了向監管機關通知個人資料處理之一般性義務。然而該義務造成了行政與財政上之負擔，並非所有情形都對提升個人資料之保護有所助益。因此，該未加區別之普遍通知義務應予廢除，並改以注重依處理活動之本質、範圍、脈絡及目的等特徵區分容易對當事人權利與自由造成高風險之種類的更有效程序與機制加以取代。該處理活動之種類尤其可能是涉及新技術之使用，或未曾由控管者實施資料保護影響評估或基於自開始處理所經過之時間而有必要之新類型處理活動。

(90) 在此種情形，控管者應在處理之前進行資料保護影響評估，以評估高風險之特定可能性與嚴重性，並考量處理之本質、範圍、脈絡與目的及風險來源。該影響評估尤其應包括預計用以降低風險、確保個人資料保護與顯示遵循本規則之措施、保護措施與機制。

(a) 公正及透明之處理：

(b) 控管者於具體情況下追求之正當利益；

(c) 個人資料之蒐集；

(d) 個人資料之假名化；

(e) 提供大眾及資料主體之資訊；

(f) 資料主體權利之行使；

(g) 向兒童提供之資訊及對於兒童之保護，以及獲得其法定代理人同意之方式；

(h) 第 24 條及第 25 條所定之方式及程序，及第 32 條所定確保處理安全性之保護措施；

第 24 條 GDPR. 主旨與立法目的

1. 考量到處理之性質、範圍、內容及目的以及當事人之權利及自由所受之諸多可能且嚴重之風險，控管者應實施適當科技化且有組織的措施以確保並得證明其處理符合本規則規定。該等措施應得予審視，且必要時應予更新。

2. 與處理活動相適當之情況下，第 1 項所定措施應包括控管者適當資料保護政策之實施。

3. 遵守第 40 條所定經批准之行為守則或第 42 條所定經核准之認證機制得作為控管者遵守其義務之證明。

第 25 條 GDPR. 設計及預設之資料保護

1. 考量到現有技術、執行成本以及處理之性質、範圍、內容及目的以及處理對當事人之權利及自由所生諸多可能且嚴重之風險，不問係在決定處理方式時或係在處理中，控管者均應實施適當之科技化且有組織的措施，例如假名化，且該等措施旨在實現資料保護原則，如資料最少蒐集原則，並採取有效方式且將必要保護措施納入處理程序，以符合本規則之要求並保護資料主體之權利。

2. 控管者應實施適當之科技化且有組織的措施，以確保在預設情況下，僅處理一特定目的且必要限度範圍內之個人資料。該義務適用於所蒐集之個人資料之數量、處理之程度、儲存之期間及其可接近使用性。尤其是，該等措施於預設情況下，應確保個人資料不能經由人為干預而遭不特定人之接近使用。

3. 第 42 條所定經核准之認證機制得用以證明符合本條第 1 項及第 2 項所定之要求。

第 32 條 GDPR. 處理之安全

1. 考量現有技術、執行成本、處理之本質、範圍、脈絡及目的與對當事人權利及自由之風險變動之可能性與嚴重性，控管者及處理者應執行採取適當之科技化且有組織的措施，以確保對於風險之適當安全程度，包括但不限於適當之如下事項：

(a) 個人資料之假名化及加密；

(b) 確保處理系統及服務持續之機密性、完整性、可用性及彈性之能力；

(c) 在物理性或技術性事件中及時回復個人資料可用性及可接近性之能力；

(d) 定期測試，評估並衡量確保處理安全性之科技化且有組織之措施之有效性。

2. 於衡量適當之安全程度時，尤其應考量因處理而造成之風險，特別是來自意外或非法破壞、損失、改變、未獲授權之揭露、或經傳輸、儲存或其他處理之個人資料之接近權。

3. 恪守第 40 條所稱經核准之行為守則或第 42 條所稱經核准之認證機制，得作為顯示遵循本條第 1 項要求之斟酌因素之一。

4. 控管者及處理者應採取行動，確保任何受該取得個人資料之控管者或處理者指揮之個人不得為指示外之處理，但其受歐盟法或會員國法要求而為之者，不在此限。

(i) 向監管機關通知個人資料之侵害，以及將該等個人資料侵害通知資料主體；

(j) 個人資料移轉至第三國或國際組織；或

(k) 法庭外程序與其他爭端解決程序，用以解決控管者和資料主體間關於處理之爭議，而不損及第 77 條及第 79 條所定之資料主體之權利。

第 77 條 GDPR. 向監管機關提出申訴之權利

1. 在不影響任何其他行政或司法救濟之情況下，如資料主體認為與其有關之個人資料處理違反本規則者，資料主體應有權向監管機關提出申訴，尤其係向其住所地、工作地或受侵害地之會員國。

2. 受理申訴之監管機關應通知申訴人申訴之過程及結果，包括依第 78 條規定提起司法救濟之可能性。

第 79 條 GDPR. 對於控管者或處理者提出有效司法救濟之權利

1. 在不影響任何現有之行政或非司法救濟（包括依第 77 條向監管機關提出申訴之權利）之情況下，如資料主體認為其依本規則所定之權利因未遵守本規則處理其個人資料而遭受侵害者，資料主體應有權提出有效之司法救濟。

2. 對於控管者或處理者提起之訴訟應提交至該控管者或處理者設有分支機構之會員國法院。此外，除控管者或處理者係行使公權力之公務機關外，亦可向資料主體住所地之會員國法院提起之。

3. 本條第 5 項所定經核准及本條第 9 項所定具有一般規範效力之行為守則，除適用於受本規則拘束之控管者或處理者外，亦得適用於第 3 條所定不受本規則拘束之控管者或處理者，使其依第 46 條第 2 項第 e 點規定將個人資料移轉至第三國或國際組織時得以提供適當之保護措施。該等控管者或處理者應透過契約或其他具有法律拘束力之文書，做成具有拘束力且可得執行之承諾，以適用該等適當之保護措施，包括關於資料主體之權利。

第 3 條 GDPR. 領土適用範圍

1. 本規則適用於控管者或處理者在歐盟境內之分支機構所為之個人資料處理活動，不問該處理是否發生於歐盟境內。

2. 本規則適用於由非設立於歐盟境內之控管者或處理者對於歐盟境內之資料主體所為涉及如下事項之個人資料處理：

(a) 對歐盟境內之資料主體提供商品或服務，不問是否需要資料主體付款；

(b) 對於資料主體於歐盟內所為行為之監控。

3. 本規則適用於由非設立於歐盟境內之控管者，但在會員國法律依國際公法可得適用領域內所為之個人資料處理。

第 46 條 GDPR. 須遵守適當保護措施之移轉

[…]

2. 第 1項所稱之適當保護措施，於無監管機關為特定授權之情形下，得以下列方式提供：

[…]

(e) 依第 40 條經核准之行為守則，及第三國之控管者或處理者有拘束力且可執行之協約，以適用適當保護措施，包括關於資料主體之權利；或

4. 本條第 2項所定之行為守則應涵蓋得以使第 41 條第 1項所定機構對承諾遵守該等規範之控管者或處理者進行強制性監控之機制，而不損及第 55 條或 56 條所定主管監管機關之任務及權力。

第 41 條 GDPR. 經核准之行為守則之監管

1. 在不損及第 57 條及 58 條所定主管監管機關之任務及權力之情況下，得由機構進行第 40 條所定對行為守則遵守情況之監測，該機構應具備行為守則所涉及事件之適當程度之專業知識，且經主管監管機關認證。

[…]

第 55 條 GDPR. 權限

第 56 條 GDPR. 領導監管機關之權限

5. 本條第 2 項所定欲備置行為守則或修改或擴張現存行為守則之組織及其他機構，應將該行為守則草案、修正案或擴充案提交至第 55 條所定之主管監管機關。該監管機關應提供該草案、修正案或擴充案是否符合本規則之意見，如其認為已提供充分且適當之保護措施者，即應核准該草案、修正案或擴充案。

第 55 條 GDPR. 權限

6. 依第 5 項規定核准行為守則草案或修正案或擴充案，且該行為守則與多個會員國之處理活動無關者，監管機關應登記並公布該行為守則。

7. 如行為守則涉及多個會員國之處理活動者，第 55 條所定之主管監管機關於核准該草案、修正案或擴充案前，應依照第 63 條所定程序將之提交至委員會，使其就該草案、修正案或擴充案是否符合本規則之規定或是否已依本條第 3 項規定提供適當保護乙節表示意見。

第 55 條 GDPR. 權限

第 63 條 GDPR. 一致性機制

為有助於本規則於歐盟境內一致之適用，監管機關應透過本節所規定之一致性機制互相合作，並斟酌情形與執委會合作。

8. 第 7 項所定之意見確認該草案、修正案或擴充案符合本規則或已依照第 3 項規定提供適當保護者，委員會應將其意見提交至執委會。

9. 執委會得以施行法之方式，決定本條第 8 項所定經提交且核准之行為守則、修正案及擴充案於歐盟內具有一般規範效力。該等施行法應依照第 93 條第 2 項所定檢驗程序通過。

第 93 條 GDPR. 執委會之程序

[…]

2. 於本項情形，歐盟規則第 182/2011 號第 5 條應適用之。

[…]

10. 執委會應確保依照第 9項規定具有一般規範效力且經核准之行為守則之公示性。

11. 委員會應將所有經核准之行為守則、修正案及擴充案整理登錄，並應以適當方式公開之。

通用数据保护条例(EU GDPR)

Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30

ISO 27701 献技指南和案例法发表评论

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 40 GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

…

登入
访问全文

献技

(98) 應鼓勵組織與代表控管者或處理者類型之其他機構在合乎本規則之限制下訂立行為守則，以促進本規則之有效適用，並考量某些行業執行資料處理之特定特徵及微型、中小型企業之特定需求。尤其，此種行為守則可能標誌出控管者與處理者之義務，考量資料處理可能造成當事人之權利與自由的風險。

(99) 訂立行為守則或修改、擴張該守則時，組織與其他代表控管者或處理者類型之其他機構應諮詢利害關係人，包括如可行時之資料主體，並關注為回應此種諮詢所收到之意見及表達之觀點。

指南和案例法

(EN)

Document

EDPB, Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679 (2019).

EDPB, Guidelines 4/2021 on Codes of Conduct as Tools for Transfers (2021).

发表评论

[js-disqus]