Sådan demonstrerer du overholdelse af GDPR artikel 40

Code of Conduct

Book en demo

gruppe,af,glade,kolleger,diskuterer,i,konference,værelse

GDPR artikel 40 beskæftiger sig eksplicit med organisationers behov for at udarbejde et adfærdskodeks – eller flere adfærdskodekser – som er/er unikke for deres virksomhed og gælder for de forskellige roller, der er indeholdt i den.

Understøttende koder kan involvere scenarier såsom brug af personlige data til markedsføringsformål eller sundhedsmæssige formål.

GDPR Artikel 40 Lovtekst

EU GDPR-version

Code of Conduct

  1. Medlemsstaterne, tilsynsmyndighederne, bestyrelsen og Kommissionen tilskynder udarbejdelsen af ​​adfærdskodekser, der skal bidrage til en korrekt anvendelse af denne forordning under hensyntagen til de forskellige forarbejdningssektorers særlige karakteristika og mikrobehov , små og mellemstore virksomheder.

  2. Sammenslutninger og andre organer, der repræsenterer kategorier af dataansvarlige eller databehandlere, kan udarbejde adfærdskodekser eller ændre eller udvide sådanne kodekser med det formål at specificere anvendelsen af ​​denne forordning, f.eks. med hensyn til:

    • a) retfærdig og gennemsigtig behandling

    • (b) de legitime interesser, som registeransvarlige forfølger i specifikke sammenhænge;

    • (c) indsamling af personoplysninger;

    • (d) pseudonymisering af personoplysninger;

    • e) de oplysninger, der gives til offentligheden og til registrerede;

    • (f) udøvelsen af ​​de registreredes rettigheder;

    • g) de oplysninger, der gives til og beskyttelsen af ​​børn, og den måde, hvorpå samtykke fra indehavere af forældremyndighed over børn skal indhentes

    • h) de foranstaltninger og procedurer, der er omhandlet i artikel 24 og 25, og de i artikel 32 omhandlede foranstaltninger til at sikre behandlingssikkerheden

    • (i) meddelelse om brud på persondatasikkerheden til tilsynsmyndigheder og meddelelse af sådanne brud på persondatasikkerheden til registrerede

    • (j) overførsel af personoplysninger til tredjelande eller internationale organisationer; eller

    • (k) udenretslige procedurer og andre tvistbilæggelsesprocedurer til bilæggelse af tvister mellem dataansvarlige og registrerede med hensyn til behandling, uden at dette berører de registreredes rettigheder i henhold til artikel 77 og 79.

  3. Ud over at dataansvarlige eller databehandlere, der er omfattet af denne forordning, overholder, kan adfærdskodekser, der er godkendt i henhold til stk. 5 i denne artikel, og som har generel gyldighed i henhold til stk. 9 i denne artikel, også overholdes af dataansvarlige eller databehandlere, der ikke er omfattet af denne artikel. forordning i henhold til artikel 3 for at give passende garantier inden for rammerne af overførsler af personoplysninger til tredjelande eller internationale organisationer i henhold til betingelserne i artikel 46, stk. 2, litra e). Sådanne dataansvarlige eller databehandlere skal via kontraktlige eller andre juridisk bindende instrumenter afgive bindende og håndhævelige tilsagn om at anvende disse passende sikkerhedsforanstaltninger, herunder med hensyn til de registreredes rettigheder.

  4. En adfærdskodeks omhandlet i stk. 2 i denne artikel skal indeholde mekanismer, der gør det muligt for det i artikel 41, stk. indskrænker tilsynsmyndighedernes opgaver og beføjelser, der er kompetente i henhold til artikel 1 eller 55.

  5. Sammenslutninger og andre organer omhandlet i stk. 2 i denne artikel, som har til hensigt at udarbejde en adfærdskodeks eller at ændre eller udvide en eksisterende kodeks, skal indsende udkastet til kodeks, ændring eller udvidelse til den tilsynsmyndighed, der er kompetent i henhold til artikel 55. tilsynsmyndigheden skal afgive en udtalelse om, hvorvidt udkastet til kodeks, ændring eller udvidelse er i overensstemmelse med denne forordning, og skal godkende udkastet til kodeks, ændring eller udvidelse, hvis den finder, at den giver tilstrækkelige passende garantier.

  6. Hvis udkastet til kodeks, ændring eller udvidelse godkendes i overensstemmelse med stk. 5, og hvor den pågældende adfærdskodeks ikke vedrører behandlingsaktiviteter i flere medlemsstater, skal tilsynsmyndigheden registrere og offentliggøre kodeksen.

  7. Hvis et udkast til adfærdskodeks vedrører behandlingsaktiviteter i flere medlemsstater, skal den tilsynsmyndighed, der er kompetent i henhold til artikel 55, før godkendelse af udkastet til kodeks, ændring eller udvidelse, forelægge det i den procedure, der er omhandlet i artikel 63, for bestyrelsen. som skal afgive udtalelse om, hvorvidt udkastet til kodeks, ændring eller udvidelse er i overensstemmelse med denne forordning eller, i den situation, der er nævnt i stk. 3 i denne artikel, giver passende garantier.

  8. Hvis udtalelsen omhandlet i stk. 7 bekræfter, at udkastet til kodeks, ændring eller udvidelse er i overensstemmelse med denne forordning, eller, i den situation, der er nævnt i stk. 3, giver passende garantier, forelægger bestyrelsen sin udtalelse til Kommissionen.

  9. Kommissionen kan ved hjælp af gennemførelsesretsakter beslutte, at den godkendte adfærdskodeks, ændring eller udvidelse, der forelægges den i henhold til stk. 8 i denne artikel, har generel gyldighed i Unionen. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 93, stk.

  10. Kommissionen sørger for passende offentliggørelse af de godkendte koder, der er blevet besluttet at have generel gyldighed i overensstemmelse med stk.

  11. Bestyrelsen samler alle godkendte adfærdskodekser, ændringer og udvidelser i et register og gør dem offentligt tilgængelige ved hjælp af passende midler.

UK GDPR-version

Code of Conduct

  1. Kommissæren tilskynder til udarbejdelse af adfærdskodekser, der skal bidrage til en korrekt anvendelse af denne forordning under hensyntagen til de særlige forhold i de forskellige forarbejdningssektorer og mikro-, små og mellemstore virksomheders særlige behov.

  2. Sammenslutninger og andre organer, der repræsenterer kategorier af dataansvarlige eller databehandlere, kan udarbejde adfærdskodekser eller ændre eller udvide sådanne kodekser med det formål at specificere anvendelsen af ​​denne forordning, f.eks. med hensyn til:

    • a) retfærdig og gennemsigtig behandling

    • (b) de legitime interesser, som registeransvarlige forfølger i specifikke sammenhænge;

    • (c) indsamling af personoplysninger;

    • (d) pseudonymisering af personoplysninger;

    • e) de oplysninger, der gives til offentligheden og til registrerede;

    • (f) udøvelsen af ​​de registreredes rettigheder;

    • g) de oplysninger, der gives til og beskyttelsen af ​​børn, og den måde, hvorpå samtykke fra indehavere af forældremyndighed over børn skal indhentes

    • h) de foranstaltninger og procedurer, der er omhandlet i artikel 24 og 25, og de i artikel 32 omhandlede foranstaltninger til at sikre behandlingssikkerheden

    • (i) meddelelse om brud på persondatasikkerheden til kommissæren og meddelelse om sådanne brud på persondatasikkerheden til de registrerede;

    • (j) overførsel af personoplysninger til tredjelande eller internationale organisationer; eller

    • (k) udenretslige procedurer og andre tvistbilæggelsesprocedurer til bilæggelse af tvister mellem dataansvarlige og registrerede med hensyn til behandling, uden at dette berører de registreredes rettigheder i henhold til artikel 77 og 79.

  3. Ud over at dataansvarlige eller databehandlere, der er omfattet af denne forordning, overholder, kan adfærdskodekser, der er godkendt i henhold til stk. 5 i denne artikel, og som har generel gyldighed i henhold til stk. 9 i denne artikel, også overholdes af dataansvarlige eller databehandlere, der ikke er omfattet af denne artikel. forordning i henhold til artikel 3 for at give passende garantier inden for rammerne af overførsler af personoplysninger til tredjelande eller internationale organisationer i henhold til betingelserne i artikel 46, stk. 2, litra e). Sådanne dataansvarlige eller databehandlere skal via kontraktlige eller andre juridisk bindende instrumenter afgive bindende og håndhævelige tilsagn om at anvende disse passende sikkerhedsforanstaltninger, herunder med hensyn til de registreredes rettigheder.

  4. En adfærdskodeks omhandlet i stk. 2 i denne artikel skal indeholde mekanismer, der gør det muligt for det i artikel 41, stk. tilsidesættelse af kommissærens opgaver og beføjelser.

  5. Sammenslutninger og andre organer omhandlet i stk. 2 i denne artikel, som har til hensigt at udarbejde en adfærdskodeks eller at ændre eller udvide en eksisterende kodeks, skal forelægge udkastet til kodeks, ændring eller udvidelse til kommissæren. Kommissæren skal afgive udtalelse om, hvorvidt udkastet til kodeks, ændring eller udvidelse er i overensstemmelse med denne forordning, og skal godkende udkastet til kodeks, ændring eller udvidelse, hvis den finder, at den giver tilstrækkelige passende garantier.

  6. Hvis udkastet til kode, ændring eller udvidelse godkendes i overensstemmelse med stk. 5, skal kommissæren registrere og offentliggøre koden.
Gå til emne
Betroet af virksomheder overalt
  • Enkel og nem at bruge
  • Designet til ISO 27001 succes
  • Sparer dig tid og penge
Book din demo
img

Teknisk kommentar

GDPR artikel 40 beder organisationer om at overveje 8 hovedområder, når de implementerer adfærdskodekser:

  1. Hvad menes med en adfærdskodeks, hvad de er til, hvem kan udarbejde dem.

  2. Organisationens specifikke behov, som skal imødekommes af en adfærdskodeks.

  3. Foreninger eller andre brancheorganer, der beskæftiger sig med adfærdskodekser gældende over for organisationen.

  4. Hvem deres målgruppe er.

  5. Hvordan adfærdskodekser godkendes af relevante myndigheder.

  6. Specifikke betingelser, der skal være opfyldt, før en adfærdskodeks kan godkendes (f.eks. en åbningserklæring).

  7. Hvordan en adfærdskodeks kan offentliggøres, når den er blevet godkendt.

  8. Hvorvidt en adfærdskodeks skal opføres i et register over lignende kodekser.

ISO 27701 paragraf 5.2.1 (Forståelse af organisationen og dens kontekst) og EU GDPR artikel 40

I dette afsnit taler vi om GDPR artikel 40 (1), 40 (10), 40 (11), 40 (2)(a), 40 (2)(b), 40 (2)(c), 40 (2) )(d), 40 (2)(e), 40 (2)(f), 40 (2)(g), 40 (2)(h), 40 (2)(i), 40 (2)( j), 40 (2)(k), 40 (3), 40 (4), 40 (5), 40 (6), 40 (7), 40 (8), 40 (9)

Organisationen skal være i stand til at forstå, hvordan den vil opnå sine resultater med beskyttelse af privatlivets fred, og eventuelle problemer, der står i vejen for at beskytte PII, bør identificeres og behandles.

Før organisationer forsøger at behandle privatlivsbeskyttelse og implementere en PII, skal organisationer først opnå en forståelse af deres forpligtelser som en enkelt eller fælles PII-controller og/eller -behandler.

Dette omfatter:

  • Gennemgang af gældende love, regler eller 'retlige afgørelser'.

  • Under hensyntagen til organisationens unikke sæt af krav i forhold til den type produkter og service, de sælger, og virksomhedsspecifikke styringsdokumenter, politikker og procedurer.

  • Eventuelle administrative faktorer, herunder den daglige drift af virksomheden.

  • Tredjepartsaftaler eller servicekontrakter, der har potentiale til at påvirke PII og privatlivsbeskyttelse.

Indeks over linkede EU GDPR-artikler og ISO 27701-klausuler

GDPR artikelISO 27701 klausulISO 27701 understøttende klausuler
EU GDPR artikel 40 (1) til 40 (9)ISO 27701 5.2.1Ingen

Hvordan ISMS.online Hjælp

Ved at kombinere vores 'Adopter, Adapt, Add' implementeringsstrategi med ISMS.online platformen, reduceres den nødvendige indsats for at opnå GDPR compliance markant. Der er også en række kraftfulde funktioner, som vil spare dig tid.

Vi gør datakortlægning let. Med vores forudkonfigurerede dynamiske Records of Processing Activity-værktøj kan du nemt holde styr på det hele.

Find ud af mere ved booking af en kort demo.

Jeg vil bestemt anbefale ISMS.online, det gør opsætning og administration af dit ISMS så nemt som det kan blive.

Peter Risdon
CISO, Viital

Book din demo

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere