Hvordan demonstrere samsvar med GDPR artikkel 40

Etiske retningslinjer

Bestill en demonstrasjon

gruppe,med,glade,kolleger,diskuterer,i,konferanse,rom

GDPR Artikkel 40 omhandler eksplisitt behovet for at organisasjoner utarbeider en etiske retningslinjer – eller flere etiske retningslinjer – som er/er unike for virksomheten deres, og gjelder for de ulike rollene den inneholder.

Støttekoder kan involvere scenarier som bruk av personopplysninger til markedsføringsformål eller helseformål.

GDPR artikkel 40 juridisk tekst

EU GDPR-versjon

Etiske retningslinjer

  1. Medlemsstatene, tilsynsmyndighetene, styret og Kommisjonen skal oppmuntre til utarbeidelse av etiske retningslinjer som skal bidra til riktig anvendelse av denne forordning, idet det tas hensyn til de spesifikke egenskapene til de ulike behandlingssektorene og de spesifikke behovene til mikro. , små og mellomstore bedrifter.

  2. Sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere kan utarbeide etiske retningslinjer, eller endre eller utvide slike regler, med det formål å spesifisere anvendelsen av denne forordningen, for eksempel med hensyn til:

    • (a) rettferdig og gjennomsiktig behandling;

    • (b) de legitime interessene som forfølges av behandlingsansvarlige i spesifikke sammenhenger;

    • (c) innsamling av personopplysninger;

    • (d) pseudonymisering av personopplysninger;

    • (e) informasjonen gitt til offentligheten og til registrerte;

    • (f) utøvelsen av rettighetene til registrerte personer;

    • (g) informasjonen gitt til og beskyttelsen av barn, og måten samtykket fra innehaverne av foreldreansvaret for barn skal innhentes på;

    • (h) tiltakene og prosedyrene nevnt i artikkel 24 og 25 og tiltakene for å sikre behandlingssikkerheten nevnt i artikkel 32;

    • (i) varsling om brudd på personopplysninger til tilsynsmyndigheter og formidling av slike brudd på personopplysninger til registrerte;

    • (j) overføring av personopplysninger til tredjeland eller internasjonale organisasjoner; eller

    • (k) utenomrettslige prosedyrer og andre tvisteløsningsprosedyrer for å løse tvister mellom behandlingsansvarlige og registrerte med hensyn til behandling, uten at det berører de registrertes rettigheter i henhold til artikkel 77 og 79.

  3. I tillegg til overholdelse av behandlingsansvarlige eller databehandlere underlagt denne forordning, kan atferdskoder godkjent i henhold til nr. 5 i denne artikkel og som har generell gyldighet i henhold til nr. 9 i denne artikkel, også følges av behandlingsansvarlige eller behandlere som ikke er underlagt denne Forordning i henhold til artikkel 3 for å gi hensiktsmessige garantier innenfor rammen av personopplysningsoverføringer til tredjeland eller internasjonale organisasjoner i henhold til vilkårene nevnt i nr. e) i artikkel 46 nr. 2. Slike behandlingsansvarlige eller databehandlere skal gjøre bindende og håndhevbare forpliktelser, via kontraktsmessige eller andre juridisk bindende instrumenter, for å anvende de passende sikkerhetstiltakene, inkludert med hensyn til rettighetene til registrerte personer.

  4. En atferdskodeks nevnt i nr. 2 i denne artikkel skal inneholde mekanismer som gjør det mulig for organet nevnt i artikkel 41 nr. 1 å utføre den obligatoriske overvåkingen av at dens bestemmelser overholdes av de behandlingsansvarlige eller databehandlerne som forplikter seg til å anvende den, uten på vegne av oppgavene og myndighetene til tilsynsmyndigheter som er kompetente i henhold til artikkel 55 eller 56.

  5. Foreninger og andre organer nevnt i nr. 2 i denne artikkel som har til hensikt å utarbeide en atferdskodeks eller å endre eller utvide en eksisterende kodeks, skal sende utkastet til kode, endring eller utvidelse til tilsynsmyndigheten som er kompetent i henhold til artikkel 55. tilsynsmyndigheten skal gi en uttalelse om hvorvidt utkastet til kode, endring eller utvidelse er i samsvar med denne forordning, og skal godkjenne utkastet til kode, endring eller utvidelse dersom den finner at det gir tilstrekkelige hensiktsmessige beskyttelsestiltak.

  6. Dersom utkastet til kode, endring eller utvidelse godkjennes i samsvar med nr. 5, og der den aktuelle etiske retningslinjen ikke gjelder behandlingsvirksomhet i flere medlemsstater, skal tilsynsmyndigheten registrere og offentliggjøre kodene.

  7. Når et utkast til atferdskodeks gjelder behandlingsvirksomhet i flere medlemsstater, skal tilsynsmyndigheten som er kompetent i henhold til artikkel 55, før den godkjenner utkastet til kodeks, endring eller utvidelse, fremlegge det i prosedyren nevnt i artikkel 63 til styret. som skal gi en uttalelse om hvorvidt utkastet til kode, endring eller utvidelse er i samsvar med denne forordning eller, i situasjonen nevnt i nr. 3 i denne artikkel, gir passende beskyttelsestiltak.

  8. Dersom uttalelsen nevnt i nr. 7 bekrefter at utkastet til kode, endring eller utvidelse er i samsvar med denne forordning, eller, i situasjonen nevnt i nr. 3, gir passende garantier, skal styret avgi sin uttalelse til Kommisjonen.

  9. Kommisjonen kan ved hjelp av gjennomføringsrettsakter bestemme at den godkjente atferdskodeksen, endringen eller utvidelsen som er forelagt den i henhold til nr. 8 i denne artikkel, har generell gyldighet i Unionen. Disse gjennomføringsrettsaktene skal vedtas i samsvar med undersøkelsesprosedyren fastsatt i artikkel 93 nr. 2.

  10. Kommisjonen skal sørge for hensiktsmessig offentlighet for de godkjente kodene som er besluttet å ha generell gyldighet i samsvar med nr. 9.

  11. Styret skal samle alle godkjente etiske retningslinjer, endringer og utvidelser i et register og skal gjøre dem offentlig tilgjengelige ved hjelp av passende midler.

UK GDPR-versjon

Etiske retningslinjer

  1. Kommisjonæren skal oppmuntre til utarbeidelse av etiske retningslinjer som skal bidra til riktig anvendelse av denne forordning, idet det tas hensyn til de spesifikke egenskapene til de ulike prosesssektorene og de spesifikke behovene til mikro, små og mellomstore bedrifter.

  2. Sammenslutninger og andre organer som representerer kategorier av behandlingsansvarlige eller databehandlere kan utarbeide etiske retningslinjer, eller endre eller utvide slike regler, med det formål å spesifisere anvendelsen av denne forordningen, for eksempel med hensyn til:

    • (a) rettferdig og gjennomsiktig behandling;

    • (b) de legitime interessene som forfølges av behandlingsansvarlige i spesifikke sammenhenger;

    • (c) innsamling av personopplysninger;

    • (d) pseudonymisering av personopplysninger;

    • (e) informasjonen gitt til offentligheten og til registrerte;

    • (f) utøvelsen av rettighetene til registrerte personer;

    • (g) informasjonen gitt til og beskyttelsen av barn, og måten samtykket fra innehaverne av foreldreansvaret for barn skal innhentes på;

    • (h) tiltakene og prosedyrene nevnt i artikkel 24 og 25 og tiltakene for å sikre behandlingssikkerheten nevnt i artikkel 32;

    • (i) varsel om brudd på personopplysninger til kommisjonæren og formidling av slike brudd på personopplysninger til registrerte;

    • (j) overføring av personopplysninger til tredjeland eller internasjonale organisasjoner; eller

    • (k) utenomrettslige prosedyrer og andre tvisteløsningsprosedyrer for å løse tvister mellom behandlingsansvarlige og registrerte med hensyn til behandling, uten at det berører de registrertes rettigheter i henhold til artikkel 77 og 79.

  3. I tillegg til overholdelse av behandlingsansvarlige eller databehandlere underlagt denne forordning, kan atferdskoder godkjent i henhold til nr. 5 i denne artikkel og som har generell gyldighet i henhold til nr. 9 i denne artikkel, også følges av behandlingsansvarlige eller behandlere som ikke er underlagt denne Forordning i henhold til artikkel 3 for å gi hensiktsmessige garantier innenfor rammen av personopplysningsoverføringer til tredjeland eller internasjonale organisasjoner i henhold til vilkårene nevnt i nr. e) i artikkel 46 nr. 2. Slike behandlingsansvarlige eller databehandlere skal gjøre bindende og håndhevbare forpliktelser, via kontraktsmessige eller andre juridisk bindende instrumenter, for å anvende de passende sikkerhetstiltakene, inkludert med hensyn til rettighetene til registrerte personer.

  4. En atferdskodeks nevnt i nr. 2 i denne artikkel skal inneholde mekanismer som gjør det mulig for organet nevnt i artikkel 41 nr. 1 å utføre den obligatoriske overvåkingen av at dens bestemmelser overholdes av de behandlingsansvarlige eller databehandlerne som forplikter seg til å anvende den, uten på vegne av kommissærens oppgaver og fullmakter.

  5. Foreninger og andre organer nevnt i nr. 2 i denne artikkel som har til hensikt å utarbeide en atferdskodeks eller å endre eller utvide en eksisterende kodeks, skal sende utkastet til kode, endring eller utvidelse til kommissæren. Kommissæren skal gi en uttalelse om hvorvidt utkastet til kode, endring eller utvidelse er i samsvar med denne forordning, og skal godkjenne utkastet til kode, endring eller utvidelse dersom den finner at det gir tilstrekkelige hensiktsmessige beskyttelsestiltak.

  6. Dersom utkastet til kode, endring eller utvidelse er godkjent i samsvar med nr. 5, skal kommissæren registrere og offentliggjøre koden.
Gå til emnet
Betrodd av selskaper overalt
  • Enkel og lett å bruke
  • Designet for ISO 27001 suksess
  • Sparer deg for tid og penger
Bestill demoen din
img

Teknisk kommentar

GDPR artikkel 40 ber organisasjoner vurdere åtte hovedområder når de implementerer etiske retningslinjer:

  1. Hva menes med etiske retningslinjer, hva de er til for, hvem kan utforme dem.

  2. De spesifikke behovene til organisasjonen som må dekkes av en atferdskodeks.

  3. Foreninger eller andre bransjeorganer som behandler etiske retningslinjer som gjelder overfor organisasjonen.

  4. Hvem målgruppen deres er.

  5. Hvordan etiske retningslinjer godkjennes av relevante myndigheter.

  6. Spesifikke vilkår som må oppfylles før en atferdskodeks kan godkjennes (f.eks. en åpningserklæring).

  7. Hvordan en atferdskodeks kan publiseres når den er godkjent.

  8. Hvorvidt en atferdskode skal oppføres i et register over lignende regler eller ikke.

ISO 27701 klausul 5.2.1 (Forstå organisasjonen og dens kontekst) og EU GDPR artikkel 40

I denne delen snakker vi om GDPR artikkel 40 (1), 40 (10), 40 (11), 40 (2)(a), 40 (2)(b), 40 (2)(c), 40 (2) )(d), 40 (2)(e), 40 (2)(f), 40 (2)(g), 40 (2)(h), 40 (2)(i), 40 (2)( j), 40 (2) (k), 40 (3), 40 (4), 40 (5), 40 (6), 40 (7), 40 (8), 40 (9)

Organisasjonen må være i stand til å forstå hvordan den skal oppnå sine personvernresultater, og eventuelle problemer som står i veien for å ivareta PII bør identifiseres og adresseres.

Før de forsøker å adressere personvern og implementere en PII, må organisasjoner først få en forståelse av deres forpliktelser som en enkelt eller felles PII-kontrollør og/eller -behandler.

Dette inkluderer:

  • Gjennomgang av gjeldende personvernlover, forskrifter eller "rettslige avgjørelser".

  • Ta hensyn til organisasjonens unike sett med krav knyttet til hva slags produkter og tjenester de selger, og selskapsspesifikke styringsdokumenter, retningslinjer og prosedyrer.

  • Eventuelle administrative faktorer, inkludert den daglige driften av selskapet.

  • Tredjepartsavtaler eller tjenestekontrakter som har potensial til å påvirke PII og personvern.

Indeks over tilknyttede EU GDPR-artikler og ISO 27701-klausuler

GDPR-artikkelISO 27701 klausulISO 27701 Støtteklausuler
EU GDPR artikkel 40 (1) til 40 (9)ISO 27701none

Hvordan ISMS.online Hjelp

Ved å kombinere implementeringsstrategien vår 'Adopter, Adapt, Add' med ISMS.online-plattformen, reduseres innsatsen som trengs for å oppnå GDPR-overholdelse betydelig. Det finnes også en rekke kraftige funksjoner som vil spare deg for tid.

Vi gjør datakartlegging enkelt. Med vårt forhåndskonfigurerte dynamiske Records of Processing Activity-verktøy kan du enkelt holde styr på det hele.

Finn ut mer av bestille en kort demo.

Jeg vil absolutt anbefale ISMS.online, det gjør oppsett og administrasjon av ISMS så enkelt som det kan bli.

Peter Risdon
CISO, Viital

Bestill demoen din

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer