Hur man visar efterlevnad av GDPR artikel 41

Övervakning av godkända uppförandekoder

Boka en demo

grupp,av,glada,kollegor,diskutera,i,konferens,rum

GDPR Artikel 41 följer på artikel 40 (uppförandekoder) genom att föreskriva att efterlevnad av en uppförandekod måste övervakas av en lämplig myndighet, med ett lämpligt expertområde som rör organisationens affärspraxis och mål.

Organisationer bör erkänna övervakningsorganens auktoritet och nödvändiga förfaranden och sträva efter att alltid följa dem.

GDPR Artikel 41 Lagtext

EU GDPR-version

Övervakning av godkända uppförandekoder

  1. Utan att det påverkar den behöriga tillsynsmyndighetens uppgifter och befogenheter enligt artiklarna 57 och 58, får övervakningen av efterlevnaden av en uppförandekod enligt artikel 40 utföras av ett organ som har en lämplig expertnivå i förhållande till ämnet -fråga om koden och är ackrediterad för detta ändamål av den behöriga tillsynsmyndigheten.

  2. Ett organ som avses i punkt 1 kan ackrediteras för att övervaka efterlevnaden av en uppförandekod om det organet har:

    • a) visat sitt oberoende och sin expertis i förhållande till kodens ämnesområde på ett tillfredsställande sätt för den behöriga tillsynsmyndigheten.

    • b) Fastställda förfaranden som gör det möjligt för den att bedöma om de berörda registeransvariga och registerförare är behöriga att tillämpa koden, övervaka deras efterlevnad av dess bestämmelser och att regelbundet se över dess funktion.

    • (c) etablerade förfaranden och strukturer för att hantera klagomål om överträdelser av koden eller det sätt på vilket koden har implementerats eller implementeras av en registeransvarig eller registerförare, och för att göra dessa förfaranden och strukturer transparenta för registrerade och allmänheten ; och

    • d) visat på ett tillfredsställande sätt för den behöriga tillsynsmyndigheten att dess uppgifter och skyldigheter inte leder till en intressekonflikt.

  3. Den behöriga tillsynsmyndigheten ska överlämna utkastet till kriterier för ackreditering av ett organ som avses i punkt 1 i denna artikel till styrelsen i enlighet med den konsekvensmekanism som avses i artikel 63.

  4. Utan att det påverkar den behöriga tillsynsmyndighetens uppgifter och befogenheter och bestämmelserna i KAPITEL VIII, ska ett organ som avses i punkt 1 i denna artikel, med förbehåll för lämpliga skyddsåtgärder, vidta lämpliga åtgärder i fall av överträdelse av koden av en registeransvarig eller processor, inklusive avstängning eller uteslutning av den personuppgiftsansvarige eller processorn i fråga från koden. Den ska informera den behöriga tillsynsmyndigheten om sådana åtgärder och skälen till att de vidtagits.

  5. Den behöriga tillsynsmyndigheten ska återkalla den ackreditering av ett organ som avses i punkt 1 om villkoren för ackreditering inte är eller inte längre är uppfyllda eller om åtgärder som vidtagits av organet strider mot denna förordning.

  6. Denna artikel ska inte tillämpas på behandling som utförs av offentliga myndigheter och organ.

Storbritanniens GDPR-version

Övervakning av godkända uppförandekoder

  1. Utan att det påverkar kommissionsledamotens uppgifter och befogenheter enligt artiklarna 57 och 58, får övervakningen av efterlevnaden av en uppförandekod enligt artikel 40 utföras av ett organ som har en lämplig sakkunskapsnivå i förhållande till ämnet. i koden och är ackrediterad för detta ändamål av kommissionären.

  2. Ett organ som avses i punkt 1 kan ackrediteras för att övervaka efterlevnaden av en uppförandekod om det organet har:

    • a) visat sitt oberoende och sin expertis i förhållande till kodens ämne till kommissionärens tillfredsställelse.

    • b) Fastställda förfaranden som gör det möjligt för den att bedöma om de berörda registeransvariga och registerförare är behöriga att tillämpa koden, övervaka deras efterlevnad av dess bestämmelser och att regelbundet se över dess funktion.

    • (c) etablerade förfaranden och strukturer för att hantera klagomål om överträdelser av koden eller det sätt på vilket koden har implementerats eller implementeras av en registeransvarig eller registerförare, och för att göra dessa förfaranden och strukturer transparenta för registrerade och allmänheten ; och

    • (d) visat till kommissionärens tillfredsställelse att dess uppgifter och plikter inte leder till en intressekonflikt.

  3. Utan att det påverkar kommissionärens uppgifter och befogenheter och bestämmelserna för ett organ som avses i punkt 1 i denna artikel ska, med förbehåll för lämpliga skyddsåtgärder, vidta lämpliga åtgärder i fall av överträdelse av koden av en registeransvarig eller registerförare, inklusive avstängning eller uteslutning av den personuppgiftsansvarige eller personuppgiftsbiträdet från koden. Den ska informera kommissionsledamoten om sådana åtgärder och skälen till att de vidtagits.

  4. Kommissionären ska återkalla ackrediteringen av ett organ som avses i punkt 1 om villkoren för ackreditering inte är eller inte längre är uppfyllda eller om åtgärder som vidtagits av organet strider mot denna förordning.

  5. Denna artikel ska inte tillämpas på behandling som utförs av offentliga myndigheter och organ.
Hoppa till ämne

Vi är kostnadseffektiva och snabba

Upptäck hur det kommer att öka din ROI
Få din offert

Teknisk kommentar

GDPR Artikel 41 diskuterar övervakningsorganets lämplighet och funktion inom 5 nyckelområden:

  1. Den underliggande roll som kontrollorganet spelar.

  2. En lämplig mängd expertis som krävs för att utföra en övervakande roll.

  3. Hur oberoende ett organ är från de organisationer som det är satt att övervaka.

  4. En etablerad uppsättning rutiner för övervakning av organisationer.

  5. Hur påskrift/ackreditering kan återkallas.

ISO 27701 klausul 5.2.1 (Förstå organisationen och dess sammanhang) och EU GDPR artikel 41

I det här avsnittet talar vi om GDPR artiklarna 41 (1), 41 (2) (a), 41 (2) (b), 41 (2) (c), 41 (2) (d), 41 (3), 41 (4), 41 (5), 41 (6)

Organisationer måste genomgå en kartläggningsövning som listar både interna och externa faktorer relaterade till implementeringen av ett PIMS.

Organisationen måste kunna förstå hur den ska uppnå sina resultat för integritetsskydd, och alla problem som står i vägen för att skydda PII bör identifieras och åtgärdas.

Innan organisationer försöker ta itu med integritetsskydd och implementera en PII måste de först få en förståelse för sina skyldigheter som en enskild eller gemensam PII-kontrollant och/eller processor.

Detta inkluderar:

  • Granska alla rådande integritetslagar, förordningar eller "rättsliga beslut".

  • Med hänsyn till organisationens unika kravuppsättning avseende den typ av produkter och tjänster de säljer, och företagsspecifika styrdokument, policyer och procedurer.

  • Eventuella administrativa faktorer, inklusive den dagliga driften av företaget.

  • Tredjepartsavtal eller tjänstekontrakt som har potential att påverka PII och integritetsskydd.

Index över länkade EU GDPR-artiklar och ISO 27701-klausuler

GDPR-artikelISO 27701 klausulISO 27701 stödklausuler
EU GDPR artiklarna 41 (1) till 41 (6)ISO 27701 5.2.1Ingen

Hur ISMS.online Hjälp

Uppnå överensstämmelse med EU och Storbritannien GDPR. Vår förbyggda miljö passar sömlöst in i ditt ledningssystem och gör att du kan beskriva och demonstrera ditt sätt att skydda dina europeiska och brittiska kunddata.

Med ISMS.online kan du enkelt visa en nivå av integritetsskydd som går utöver "rimligt", allt på en säker, alltid-på plats.

Ta reda på mer av boka en kort demo.

ISMS.online gör det så enkelt som möjligt att installera och hantera ditt ISMS.

Peter Risdon
CISO, Viital

Boka din demo

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer