GDPR Artikla 40 käsittelee nimenomaisesti organisaatioiden tarvetta laatia käytännesäännöt – tai useita käytännesääntöjä –, jotka ovat ainutlaatuisia niiden liiketoiminnalle ja soveltuvat sen sisältämiin eri rooleihin.
Tukikoodit voivat sisältää skenaarioita, kuten henkilötietojen käyttöä markkinointitarkoituksiin tai terveydenhuoltotarkoituksiin.
Käytännesäännöt
- Jäsenvaltiot, valvontaviranomaiset, hallintoneuvosto ja komissio rohkaisevat laatimaan käytännesääntöjä, joiden tarkoituksena on edistää tämän asetuksen asianmukaista soveltamista ottaen huomioon eri käsittelyalojen erityispiirteet ja mikroyritysten erityistarpeet. , pienet ja keskisuuret yritykset.
- Rekisterinpitäjien tai käsittelijöiden luokkia edustavat yhdistykset ja muut elimet voivat laatia käytännesääntöjä tai muuttaa tai laajentaa näitä sääntöjä tämän asetuksen soveltamisen täsmentämiseksi, esimerkiksi:
- a) oikeudenmukainen ja avoin käsittely;
- b) rekisterinpitäjien oikeutetut edut tietyissä yhteyksissä;
- c) henkilötietojen kerääminen;
- d) henkilötietojen pseudonymisointi;
- e) yleisölle ja rekisteröidyille annetut tiedot;
- f) rekisteröityjen oikeuksien käyttäminen;
- g) lapsille annetut tiedot ja lasten suojelu sekä tapa, jolla lapsiin vanhempainvastuun haltijoiden suostumus on hankittava;
- h) 24 ja 25 artiklassa tarkoitetut toimenpiteet ja menettelyt sekä 32 artiklassa tarkoitetut toimenpiteet käsittelyn turvallisuuden varmistamiseksi;
- i) henkilötietojen tietoturvaloukkauksista ilmoittaminen valvontaviranomaisille ja tällaisista henkilötietojen tietoturvaloukkauksista ilmoittaminen rekisteröidyille;
- j) henkilötietojen siirto kolmansiin maihin tai kansainvälisiin järjestöihin; tai
- k) tuomioistuinten ulkopuoliset menettelyt ja muut riitojenratkaisumenettelyt rekisterinpitäjien ja rekisteröityjen välisten käsittelyä koskevien riitojen ratkaisemiseksi, sanotun kuitenkaan rajoittamatta rekisteröityjen 77 ja 79 artiklan mukaisia oikeuksia.
- Sen lisäksi, että tämän asetuksen alaiset rekisterinpitäjät tai käsittelijät noudattavat, tämän artiklan 5 kohdan mukaisesti hyväksyttyjä ja tämän artiklan 9 kohdan mukaisesti yleisesti voimassa olevia käytännesääntöjä voivat noudattaa myös rekisterinpitäjät tai käsittelijät, jotka eivät kuulu tämän asetuksen soveltamisalaan. Asetus 3 artiklan mukaisesti, jotta voidaan tarjota asianmukaiset suojatoimet henkilötietojen siirron yhteydessä kolmansiin maihin tai kansainvälisiin järjestöihin 46 artiklan 2 kohdan e alakohdassa tarkoitettujen ehtojen mukaisesti. Tällaisten rekisterinpitäjien tai käsittelijöiden on tehtävä sitovia ja täytäntöönpanokelpoisia sitoumuksia sopimuksilla tai muilla oikeudellisesti sitovilla asiakirjoilla soveltaakseen kyseisiä asianmukaisia suojatoimia, myös rekisteröityjen oikeuksien osalta.
- Tämän artiklan 2 kohdassa tarkoitettujen käytännesääntöjen on sisällettävä mekanismeja, joiden avulla 41 artiklan 1 kohdassa tarkoitettu elin voi pakollisesti valvoa, että niitä noudattavat rekisterinpitäjät tai käsittelijät noudattavat niitä ilman Tämä ei vaikuta 55 tai 56 artiklan mukaisesti toimivaltaisten valvontaviranomaisten tehtäviin ja valtuuksiin.
- Tämän artiklan 2 kohdassa tarkoitettujen yhdistysten ja muiden elinten, jotka aikovat valmistella käytännesääntöjä tai muuttaa tai laajentaa olemassa olevia sääntöjä, on toimitettava säännöstö-, muutos- tai laajennusluonnos valvontaviranomaiselle, joka on toimivaltainen 55 artiklan mukaisesti. Valvontaviranomaisen on annettava lausunto siitä, onko säännöstö-, muutos- tai laajennusluonnos tämän asetuksen mukainen, ja hyväksyttävä kyseinen säännöstö-, muutos- tai laajennusluonnos, jos se katsoo, että se tarjoaa riittävät asianmukaiset suojatoimet.
- Jos säännöstöluonnos, muutos tai laajennus hyväksytään 5 kohdan mukaisesti ja jos kyseiset käytännesäännöt eivät liity käsittelytoimiin useissa jäsenvaltioissa, valvontaviranomaisen on rekisteröitävä ja julkaistava säännöt.
- Jos käytännesääntöluonnos koskee käsittelytoimia useissa jäsenvaltioissa, 55 artiklan mukaisesti toimivaltaisen valvontaviranomaisen on ennen sääntö-, muutos- tai laajennusluonnoksen hyväksymistä toimitettava se lautakunnalle 63 artiklassa tarkoitetun menettelyn mukaisesti. joka antaa lausunnon siitä, onko säännöstö-, muutos- tai laajennusluonnos tämän asetuksen mukainen, tai tarjoaa tämän artiklan 3 kohdassa tarkoitetussa tilanteessa asianmukaiset takeet.
- Jos 7 kohdassa tarkoitetussa lausunnossa vahvistetaan, että säännöstö-, muutos- tai laajennusluonnos on tämän asetuksen mukainen, tai jos 3 kohdassa tarkoitetussa tilanteessa tarjotaan asianmukaiset takeet, lautakunnan on toimitettava lausuntonsa komissiolle.
- Komissio voi täytäntöönpanosäädöksillä päättää, että sille tämän artiklan 8 kohdan mukaisesti toimitetuilla hyväksytyillä käytännesäännöillä, muutoksilla tai laajennuksilla on yleinen pätevyys unionissa. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa säädettyä tarkastelumenettelyä noudattaen.
- Komissio varmistaa 9 kohdan mukaisesti yleisesti päteviksi päätettyjen hyväksyttyjen koodien asianmukaisen julkisuuden.
- Hallitus kokoaa kaikki hyväksytyt käytännesäännöt, muutokset ja laajennukset rekisteriin ja saattaa ne julkisesti saataville asianmukaisin keinoin.
Käytännesäännöt
- Komission jäsen kannustaa laatimaan käytännesääntöjä, joiden tarkoituksena on edistää tämän asetuksen asianmukaista soveltamista ottaen huomioon eri jalostusalojen erityispiirteet ja mikroyritysten sekä pienten ja keskisuurten yritysten erityistarpeet.
- Rekisterinpitäjien tai käsittelijöiden luokkia edustavat yhdistykset ja muut elimet voivat laatia käytännesääntöjä tai muuttaa tai laajentaa näitä sääntöjä tämän asetuksen soveltamisen täsmentämiseksi, esimerkiksi:
- a) oikeudenmukainen ja avoin käsittely;
- b) rekisterinpitäjien oikeutetut edut tietyissä yhteyksissä;
- c) henkilötietojen kerääminen;
- d) henkilötietojen pseudonymisointi;
- e) yleisölle ja rekisteröidyille annetut tiedot;
- f) rekisteröityjen oikeuksien käyttäminen;
- g) lapsille annetut tiedot ja lasten suojelu sekä tapa, jolla lapsiin vanhempainvastuun haltijoiden suostumus on hankittava;
- h) 24 ja 25 artiklassa tarkoitetut toimenpiteet ja menettelyt sekä 32 artiklassa tarkoitetut toimenpiteet käsittelyn turvallisuuden varmistamiseksi;
- i) henkilötietojen tietoturvaloukkauksista ilmoittaminen komissaarille ja tällaisista henkilötietojen tietoturvaloukkauksista ilmoittaminen rekisteröidyille;
- j) henkilötietojen siirto kolmansiin maihin tai kansainvälisiin järjestöihin; tai
- k) tuomioistuinten ulkopuoliset menettelyt ja muut riitojenratkaisumenettelyt rekisterinpitäjien ja rekisteröityjen välisten käsittelyä koskevien riitojen ratkaisemiseksi, sanotun kuitenkaan rajoittamatta rekisteröityjen 77 ja 79 artiklan mukaisia oikeuksia.
- Sen lisäksi, että tämän asetuksen alaiset rekisterinpitäjät tai käsittelijät noudattavat, tämän artiklan 5 kohdan mukaisesti hyväksyttyjä ja tämän artiklan 9 kohdan mukaisesti yleisesti voimassa olevia käytännesääntöjä voivat noudattaa myös rekisterinpitäjät tai käsittelijät, jotka eivät kuulu tämän asetuksen soveltamisalaan. Asetus 3 artiklan mukaisesti, jotta voidaan tarjota asianmukaiset suojatoimet henkilötietojen siirron yhteydessä kolmansiin maihin tai kansainvälisiin järjestöihin 46 artiklan 2 kohdan e alakohdassa tarkoitettujen ehtojen mukaisesti. Tällaisten rekisterinpitäjien tai käsittelijöiden on tehtävä sitovia ja täytäntöönpanokelpoisia sitoumuksia sopimuksilla tai muilla oikeudellisesti sitovilla asiakirjoilla soveltaakseen kyseisiä asianmukaisia suojatoimia, myös rekisteröityjen oikeuksien osalta.
- Tämän artiklan 2 kohdassa tarkoitettujen käytännesääntöjen on sisällettävä mekanismeja, joiden avulla 41 artiklan 1 kohdassa tarkoitettu elin voi pakollisesti valvoa, että niitä noudattavat rekisterinpitäjät tai käsittelijät noudattavat niitä ilman Tämä ei vaikuta komission jäsenen tehtäviin ja valtuuksiin.
- Tämän artiklan 2 kohdassa tarkoitettujen yhdistysten ja muiden elinten, jotka aikovat valmistella käytännesääntöjä tai muuttaa tai laajentaa olemassa olevia sääntöjä, on toimitettava säännöstö-, muutos- tai laajennusluonnos komission jäsenelle. Komission jäsen antaa lausunnon siitä, onko säännöstö-, muutos- tai laajennusluonnos tämän asetuksen mukainen, ja hyväksyy kyseisen sääntö-, muutos- tai laajennusluonnoksen, jos se katsoo, että se tarjoaa riittävät asianmukaiset takeet.
- Jos säännöstöluonnos, muutos tai laajennus hyväksytään 5 kohdan mukaisesti, komission jäsen rekisteröi ja julkaisee koodin.
GDPR:n artikla 40 pyytää organisaatioita ottamaan huomioon 8 pääaluetta, kun ne panevat täytäntöön käytännesääntöjä:
Tässä osiossa puhumme GDPR-artikkeleista 40 (1), 40 (10), 40 (11), 40 (2) (a), 40 (2) (b), 40 (2) (c), 40 (2). )(d), 40(2(e), 40(2)(f), 40(2(g)), 40(2(h)), 40(2(i)), 40(2)( j), 40 (2) (k), 40 (3), 40 (4), 40 (5), 40 (6), 40 (7), 40 (8), 40 (9)
Organisaation on kyettävä ymmärtämään, kuinka se aikoo saavuttaa tietosuojatuloksensa, ja kaikki asiat, jotka estävät henkilökohtaisten tunnistetietojen suojaamisen, tulee tunnistaa ja käsitellä.
Ennen kuin organisaatiot yrittävät käsitellä yksityisyyden suojaa ja ottaa käyttöön henkilökohtaisia tunnistetietoja, niiden on ensin ymmärrettävä velvollisuutensa yksittäisenä tai yhteisenä henkilökohtaisten tunnistetietojen rekisterinpitäjänä ja/tai käsittelijänä.
Tämä sisältää:
GDPR-artikkeli | ISO 27701 -lauseke | ISO 27701 -tukilausekkeet |
---|---|---|
EU:n GDPR:n artiklat 40 (1)–40 (9) | ISO 27701 5.2.1 | Ei eristetty |
Yhdistämällä 'Ota, mukauta, lisää' -toteutusstrategiamme ISMS.online-alustaan, GDPR-vaatimustenmukaisuuden saavuttamiseen tarvittavat ponnistelut vähenevät merkittävästi. On myös useita tehokkaita ominaisuuksia, jotka säästävät aikaa.
Teemme tietojen kartoittamisesta helppoa. Valmiiksi määritetyn dynaamisen Processing Activity Records -työkalumme avulla voit helposti seurata kaikkea.
Lisätietoja: varata lyhyt demo.
Suosittelisin ehdottomasti ISMS.onlinea, sillä se tekee ISMS:n määrittämisestä ja hallinnasta niin helppoa kuin mahdollista.
Pyydä tarjous