Sådan demonstrerer du overholdelse af GDPR artikel 41

Overvågning af godkendte adfærdskodekser

Book en demo

gruppe,af,glade,kolleger,diskuterer,i,konference,værelse

GDPR Artikel 41 følger efter artikel 40 (adfærdskodeks) ved at bestemme, at overholdelse af en adfærdskodeks skal overvåges af en passende myndighed med et passende ekspertiseområde i forhold til organisationens forretningspraksis og målsætninger.

Organisationer bør anerkende overvågningsorganernes autoritet og nødvendige procedurer og til enhver tid søge at overholde dem.

GDPR Artikel 41 Lovtekst

EU GDPR-version

Overvågning af godkendte adfærdskodekser

  1. Uden at det berører den kompetente tilsynsmyndigheds opgaver og beføjelser i henhold til artikel 57 og 58, kan overvågningen af ​​overholdelsen af ​​en adfærdskodeks i henhold til artikel 40 udføres af et organ, som har et passende ekspertiseniveau i forhold til emnet -spørgsmålet om koden og er akkrediteret til dette formål af den kompetente tilsynsmyndighed.

  2. Et organ som omhandlet i stk. 1 kan akkrediteres til at overvåge overholdelsen af ​​en adfærdskodeks, hvis dette organ har:

    • a) demonstreret sin uafhængighed og ekspertise i forhold til kodeksens emne til den kompetente tilsynsmyndigheds tilfredshed

    • b) etablerede procedurer, der gør det muligt for den at vurdere de berørte registeransvarliges og databehandleres berettigelse til at anvende koden, at overvåge deres overholdelse af dens bestemmelser og regelmæssigt at revidere dens funktion

    • (c) etablerede procedurer og strukturer til at håndtere klager over overtrædelser af kodeksen eller den måde, hvorpå kodeksen er blevet eller bliver implementeret af en dataansvarlig eller databehandler, og for at gøre disse procedurer og strukturer gennemsigtige for registrerede og offentligheden ; og

    • d) påvist til den kompetente tilsynsmyndigheds tilfredshed, at dens opgaver og pligter ikke resulterer i en interessekonflikt.

  3. Den kompetente tilsynsmyndighed forelægger udkastet til kriterier for akkreditering af et organ som omhandlet i stk. 1 i denne artikel til bestyrelsen i henhold til sammenhængsmekanismen, der er omhandlet i artikel 63.

  4. Uden at det berører den kompetente tilsynsmyndigheds opgaver og beføjelser og bestemmelserne i KAPITEL VIII, skal et organ som omhandlet i denne artikels stk. eller databehandler, herunder suspension eller udelukkelse af den pågældende dataansvarlige eller databehandler fra koden. Den underretter den kompetente tilsynsmyndighed om sådanne foranstaltninger og årsagerne til at træffe dem.

  5. Den kompetente tilsynsmyndighed tilbagekalder akkrediteringen af ​​et organ som omhandlet i stk. 1, hvis betingelserne for akkreditering ikke er eller ikke længere er opfyldt, eller hvis handlinger truffet af organet er i strid med denne forordning.

  6. Denne artikel finder ikke anvendelse på behandling udført af offentlige myndigheder og organer.

UK GDPR-version

Overvågning af godkendte adfærdskodekser

  1. Uden at det berører kommissærens opgaver og beføjelser i henhold til artikel 57 og 58, kan overvågningen af ​​overholdelsen af ​​en adfærdskodeks i henhold til artikel 40 udføres af et organ, som har et passende ekspertiseniveau i forhold til emnet. i kodeksen og er akkrediteret til det formål af kommissæren.

  2. Et organ som omhandlet i stk. 1 kan akkrediteres til at overvåge overholdelsen af ​​en adfærdskodeks, hvis dette organ har:

    • a) demonstreret sin uafhængighed og ekspertise i forhold til kodeksens emne til kommissærens tilfredshed

    • b) etablerede procedurer, der gør det muligt for den at vurdere de berørte registeransvarliges og databehandleres berettigelse til at anvende koden, at overvåge deres overholdelse af dens bestemmelser og regelmæssigt at revidere dens funktion

    • (c) etablerede procedurer og strukturer til at håndtere klager over overtrædelser af kodeksen eller den måde, hvorpå kodeksen er blevet eller bliver implementeret af en dataansvarlig eller databehandler, og for at gøre disse procedurer og strukturer gennemsigtige for registrerede og offentligheden ; og

    • (d) påvist til kommissærens tilfredshed, at dens opgaver og pligter ikke resulterer i en interessekonflikt.

  3. Uden at det berører kommissærens opgaver og beføjelser og bestemmelserne i et organ som omhandlet i stk. 1 i denne artikel træffer passende foranstaltninger i tilfælde af overtrædelse af kodeksen fra en dataansvarlig eller databehandler, med forbehold af passende sikkerhedsforanstaltninger, herunder suspension eller udelukkelse af den pågældende dataansvarlige eller databehandler fra koden. Den underretter kommissæren om sådanne foranstaltninger og årsagerne til at træffe dem.

  4. Kommissæren tilbagekalder akkrediteringen af ​​et organ som omhandlet i stk. 1, hvis betingelserne for akkreditering ikke er eller ikke længere er opfyldt, eller hvis handlinger truffet af organet er i strid med denne forordning.

  5. Denne artikel finder ikke anvendelse på behandling udført af offentlige myndigheder og organer.
Gå til emne

Vi er omkostningseffektive og hurtige

Find ud af, hvordan det vil øge dit investeringsafkast
Få dit tilbud

Teknisk kommentar

GDPR artikel 41 diskuterer overvågningsorganets egnethed og funktion inden for 5 nøgleområder:

  1. Den underliggende rolle, som overvågningsorganet spiller.

  2. En passende mængde ekspertise, der kræves for at udføre en overvågningsrolle.

  3. Hvor uafhængigt et organ er fra de organisationer, det er sat til at overvåge.

  4. Et etableret sæt procedurer for overvågning af organisationer.

  5. Hvordan påtegning/akkreditering kan tilbagekaldes.

ISO 27701 paragraf 5.2.1 (Forståelse af organisationen og dens kontekst) og EU GDPR artikel 41

I dette afsnit taler vi om GDPR artikel 41(1), 41(2)(a), 41(2)(b), 41(2)(c), 41(2)(d), 41(3), 41 (4), 41 (5), 41 (6)

Organisationer skal gennemgå en kortlægningsøvelse, der viser både interne og eksterne faktorer i forbindelse med implementeringen af ​​et PIMS.

Organisationen skal være i stand til at forstå, hvordan den vil opnå sine resultater med beskyttelse af privatlivets fred, og eventuelle problemer, der står i vejen for at beskytte PII, bør identificeres og behandles.

Før organisationer forsøger at behandle privatlivsbeskyttelse og implementere en PII, skal organisationer først opnå en forståelse af deres forpligtelser som en enkelt eller fælles PII-controller og/eller -behandler.

Dette omfatter:

  • Gennemgang af gældende love, regler eller 'retlige afgørelser'.

  • Under hensyntagen til organisationens unikke sæt af krav i forhold til den type produkter og service, de sælger, og virksomhedsspecifikke styringsdokumenter, politikker og procedurer.

  • Eventuelle administrative faktorer, herunder den daglige drift af virksomheden.

  • Tredjepartsaftaler eller servicekontrakter, der har potentiale til at påvirke PII og privatlivsbeskyttelse.

Indeks over linkede EU GDPR-artikler og ISO 27701-klausuler

GDPR artikelISO 27701 klausulISO 27701 understøttende klausuler
EU GDPR artikel 41 (1) til 41 (6)ISO 27701 5.2.1Ingen

Hvordan ISMS.online Hjælp

Opnå overholdelse af EU og UK GDPR. Vores præbyggede miljø passer problemfrit ind i dit ledelsessystem og giver dig mulighed for at beskrive og demonstrere din tilgang til beskyttelse af dine europæiske og britiske kundedata.

Med ISMS.online kan du nemt demonstrere et niveau af beskyttelse af privatlivets fred, der rækker ud over 'rimeligt', alt sammen på én sikker, altid aktiv placering.

Find ud af mere ved booking af en kort demo.

ISMS.online gør opsætning og administration af dit ISMS så nemt som muligt.

Peter Risdon
CISO, Viital

Book din demo

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere