Hur man visar efterlevnad av GDPR artikel 40

Uppförandekoder

Boka en demo

grupp,av,glada,kollegor,diskutera,i,konferens,rum

GDPR Artikel 40 behandlar uttryckligen behovet för organisationer att utarbeta en uppförandekod – eller flera uppförandekoder – som är unika för deras verksamhet och tillämpliga på de olika roller som ingår i den.

Stödkoder kan innefatta scenarier som användning av personuppgifter för marknadsföringsändamål eller hälsovårdsändamål.

GDPR Artikel 40 Lagtext

EU GDPR-version

Uppförandekoder

  1. Medlemsstaterna, tillsynsmyndigheterna, styrelsen och kommissionen ska uppmuntra utarbetandet av uppförandekoder som är avsedda att bidra till en korrekt tillämpning av denna förordning, med hänsyn tagen till de olika bearbetningssektorernas särdrag och de specifika behoven hos mikroföretag. , små och medelstora företag.

  2. Föreningar och andra organ som representerar kategorier av registeransvariga eller registerförare kan utarbeta uppförandekoder, eller ändra eller utöka sådana koder, i syfte att specificera tillämpningen av denna förordning, till exempel med avseende på:

    • a) Rättvis och transparent behandling.

    • (b) De legitima intressen som eftersträvas av registeransvariga i specifika sammanhang.

    • (c) Insamling av personuppgifter;

    • (d) Pseudonymisering av personuppgifter.

    • e) Den information som ges till allmänheten och till registrerade.

    • (f) Utövandet av de registrerades rättigheter.

    • g) Den information som lämnas till och skyddet av barn och det sätt på vilket samtycke från innehavare av föräldraansvar över barn ska erhållas.

    • h) De åtgärder och förfaranden som avses i artiklarna 24 och 25 och de åtgärder för att säkerställa behandlingens säkerhet enligt artikel 32.

    • (i) Underrättelse om personuppgiftsintrång till tillsynsmyndigheter och meddelande av sådana personuppgiftsintrång till registrerade.

    • (j) Överföring av personuppgifter till tredjeländer eller internationella organisationer. eller

    • (k) Utomrättsliga förfaranden och andra tvistlösningsförfaranden för att lösa tvister mellan registeransvariga och registrerade med avseende på behandling, utan att det påverkar de registrerades rättigheter enligt artiklarna 77 och 79.

  3. Utöver att registeransvariga eller registerförare som omfattas av denna förordning följs, kan uppförandekoder som godkänts i enlighet med punkt 5 i denna artikel och som har allmän giltighet enligt punkt 9 i denna artikel också följas av registeransvariga eller registerförare som inte omfattas av detta förordning enligt artikel 3 för att tillhandahålla lämpliga skyddsåtgärder inom ramen för överföringar av personuppgifter till tredjeländer eller internationella organisationer enligt de villkor som avses i artikel 46 e. Sådana registeransvariga eller personuppgiftsbiträden ska göra bindande och verkställbara åtaganden, genom avtal eller andra rättsligt bindande instrument, för att tillämpa dessa lämpliga skyddsåtgärder, inklusive med hänsyn till de registrerades rättigheter.

  4. En uppförandekod som avses i punkt 2 i denna artikel ska innehålla mekanismer som gör det möjligt för det organ som avses i artikel 41 att utföra den obligatoriska övervakningen av efterlevnaden av dess bestämmelser av de registeransvariga eller registerförare som åtar sig att tillämpa den, utan att att tillsynsmyndigheter som är behöriga enligt artikel 1 eller 55 påverkas av uppgifterna och befogenheterna.

  5. Föreningar och andra organ som avses i punkt 2 i denna artikel som avser att utarbeta en uppförandekod eller att ändra eller utöka en befintlig kod ska överlämna förslaget till kod, ändring eller utvidgning till den tillsynsmyndighet som är behörig enligt artikel 55. tillsynsmyndigheten ska avge ett yttrande om huruvida utkastet till kod, ändring eller utvidgning överensstämmer med denna förordning och ska godkänna utkastet till kod, ändring eller utvidgning om den finner att det ger tillräckliga lämpliga skyddsåtgärder.

  6. Om utkastet till kod, eller ändringen eller utvidgningen godkänns i enlighet med punkt 5, och om den berörda uppförandekoden inte avser behandlingsverksamhet i flera medlemsstater, ska tillsynsmyndigheten registrera och offentliggöra koden.

  7. Om ett utkast till uppförandekod avser behandlingsverksamhet i flera medlemsstater, ska den tillsynsmyndighet som är behörig enligt artikel 55, innan den godkänner utkastet till uppförandekod, ändring eller utvidgning, överlämna det till styrelsen enligt det förfarande som avses i artikel 63. som ska avge ett yttrande om huruvida utkastet till kod, ändring eller utvidgning överensstämmer med denna förordning eller, i den situation som avses i punkt 3 i denna artikel, tillhandahåller lämpliga skyddsåtgärder.

  8. Om det yttrande som avses i punkt 7 bekräftar att utkastet till kod, ändring eller utvidgning överensstämmer med denna förordning, eller, i den situation som avses i punkt 3, ger lämpliga garantier, ska styrelsen lämna sitt yttrande till kommissionen.

  9. Kommissionen får genom genomförandeakter besluta att den godkända uppförandekoden, ändringen eller förlängningen som lämnats in till den i enlighet med punkt 8 i denna artikel har allmän giltighet inom unionen. Dessa genomförandeakter ska antas i enlighet med granskningsförfarandet i artikel 93.

  10. Kommissionen ska säkerställa lämplig publicitet för de godkända koder som har beslutats vara allmänt giltiga i enlighet med punkt 9.

  11. Styrelsen ska samla alla godkända uppförandekoder, ändringar och tillägg i ett register och ska göra dem allmänt tillgängliga på lämpligt sätt.

Storbritanniens GDPR-version

Uppförandekoder

  1. Kommissionsledamoten ska uppmuntra utarbetandet av uppförandekoder som är avsedda att bidra till en korrekt tillämpning av denna förordning, med hänsyn till de olika bearbetningssektorernas särdrag och de särskilda behoven hos mikroföretag, små och medelstora företag.

  2. Föreningar och andra organ som representerar kategorier av registeransvariga eller registerförare kan utarbeta uppförandekoder, eller ändra eller utöka sådana koder, i syfte att specificera tillämpningen av denna förordning, till exempel med avseende på:

    • a) Rättvis och transparent behandling.

    • (b) De legitima intressen som eftersträvas av registeransvariga i specifika sammanhang.

    • (c) Insamling av personuppgifter;

    • (d) Pseudonymisering av personuppgifter.

    • e) Den information som ges till allmänheten och till registrerade.

    • (f) Utövandet av de registrerades rättigheter.

    • g) Den information som lämnas till och skyddet av barn och det sätt på vilket samtycke från innehavare av föräldraansvar över barn ska erhållas.

    • h) De åtgärder och förfaranden som avses i artiklarna 24 och 25 och de åtgärder för att säkerställa behandlingens säkerhet enligt artikel 32.

    • (i) underrättelse om personuppgiftsintrång till kommissionären och meddelande av sådana personuppgiftsintrång till registrerade;

    • (j) Överföring av personuppgifter till tredjeländer eller internationella organisationer. eller

    • (k) Utomrättsliga förfaranden och andra tvistlösningsförfaranden för att lösa tvister mellan registeransvariga och registrerade med avseende på behandling, utan att det påverkar de registrerades rättigheter enligt artiklarna 77 och 79.

  3. Utöver att registeransvariga eller registerförare som omfattas av denna förordning följs, kan uppförandekoder som godkänts i enlighet med punkt 5 i denna artikel och som har allmän giltighet enligt punkt 9 i denna artikel också följas av registeransvariga eller registerförare som inte omfattas av detta förordning enligt artikel 3 för att tillhandahålla lämpliga skyddsåtgärder inom ramen för överföringar av personuppgifter till tredjeländer eller internationella organisationer enligt de villkor som avses i artikel 46 e. Sådana registeransvariga eller personuppgiftsbiträden ska göra bindande och verkställbara åtaganden, genom avtal eller andra rättsligt bindande instrument, för att tillämpa dessa lämpliga skyddsåtgärder, inklusive med hänsyn till de registrerades rättigheter.

  4. En uppförandekod som avses i punkt 2 i denna artikel ska innehålla mekanismer som gör det möjligt för det organ som avses i artikel 41 att utföra den obligatoriska övervakningen av efterlevnaden av dess bestämmelser av de registeransvariga eller registerförare som åtar sig att tillämpa den, utan att inverkan på kommissionärens uppgifter och befogenheter.

  5. Föreningar och andra organ som avses i punkt 2 i denna artikel som avser att utarbeta en uppförandekod eller att ändra eller utöka en befintlig kod ska överlämna förslaget till kod, ändring eller utvidgning till kommissionären. Kommissionären ska avge ett yttrande om huruvida utkastet till kod, ändring eller utvidgning överensstämmer med denna förordning och ska godkänna utkastet till kod, ändring eller utvidgning om den finner att den ger tillräckliga lämpliga skyddsåtgärder.

  6. Om utkastet till kod, ändring eller utvidgning godkänns i enlighet med punkt 5, ska kommissionären registrera och offentliggöra koden.
Hoppa till ämne
Betrodd av företag överallt
  • Enkel och enkel att använda
  • Designad för ISO 27001 framgång
  • Sparar tid och pengar
Boka din demo
img

Teknisk kommentar

GDPR Artikel 40 uppmanar organisationer att överväga 8 huvudområden när de implementerar uppförandekoder:

  1. Vad menas med en uppförandekod, vad de är till för, vem kan utarbeta dem.

  2. Organisationens specifika behov som måste tillgodoses genom en uppförandekod.

  3. Föreningar eller andra branschorgan som arbetar med uppförandekoder som gäller för organisationen.

  4. Vem deras målgrupp är.

  5. Hur uppförandekoder godkänns av relevanta myndigheter.

  6. Specifika villkor som måste uppfyllas innan en uppförandekod kan godkännas (t.ex. ett inledande uttalande).

  7. Hur en uppförandekod kan publiceras när den väl har godkänts.

  8. Huruvida en uppförandekod ska föras upp i ett register över liknande koder.

ISO 27701 klausul 5.2.1 (Förstå organisationen och dess sammanhang) och EU GDPR artikel 40

I det här avsnittet talar vi om GDPR artiklarna 40 (1), 40 (10), 40 (11), 40 (2) (a), 40 (2) (b), 40 (2) (c), 40 (2) )(d), 40 (2)(e), 40 (2)(f), 40 (2)(g), 40 (2)(h), 40 (2)(i), 40 (2)( j), 40 (2)(k), 40 (3), 40 (4), 40 (5), 40 (6), 40 (7), 40 (8), 40 (9)

Organisationen måste kunna förstå hur den ska uppnå sina resultat för integritetsskydd, och alla problem som står i vägen för att skydda PII bör identifieras och åtgärdas.

Innan organisationer försöker ta itu med integritetsskydd och implementera en PII måste de först få en förståelse för sina skyldigheter som en enskild eller gemensam PII-kontrollant och/eller processor.

Detta inkluderar:

  • Granska alla rådande integritetslagar, förordningar eller "rättsliga beslut".

  • Med hänsyn till organisationens unika kravuppsättning avseende den typ av produkter och tjänster de säljer, och företagsspecifika styrdokument, policyer och procedurer.

  • Eventuella administrativa faktorer, inklusive den dagliga driften av företaget.

  • Tredjepartsavtal eller tjänstekontrakt som har potential att påverka PII och integritetsskydd.

Index över länkade EU GDPR-artiklar och ISO 27701-klausuler

GDPR-artikelISO 27701 klausulISO 27701 stödklausuler
EU GDPR artiklarna 40 (1) till 40 (9)ISO 27701 5.2.1Ingen

Hur ISMS.online Hjälp

Genom att kombinera vår implementeringsstrategi 'Adoptera, anpassa, lägg till' med ISMS.online-plattformen, minskar ansträngningen som krävs för att uppnå GDPR-efterlevnad avsevärt. Det finns också ett antal kraftfulla funktioner som sparar tid.

Vi gör datakartläggning enkelt. Med vårt förkonfigurerade dynamiska verktyg för registrering av bearbetningsaktivitet kan du enkelt hålla reda på allt.

Ta reda på mer av boka en kort demo.

Jag skulle verkligen rekommendera ISMS.online, det gör att konfigurera och hantera ditt ISMS så enkelt som det kan bli.

Peter Risdon
CISO, Viital

Boka din demo

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer