Kuinka osoittaa GDPR-artiklan 40 noudattaminen

Käytännesäännöt

Varaa demo

ryhmä,onnellisia,työtovereita,keskustelemassa,konferenssissa,huoneessa

GDPR Artikla 40 käsittelee nimenomaisesti organisaatioiden tarvetta laatia käytännesäännöt – tai useita käytännesääntöjä –, jotka ovat ainutlaatuisia niiden liiketoiminnalle ja soveltuvat sen sisältämiin eri rooleihin.

Tukikoodit voivat sisältää skenaarioita, kuten henkilötietojen käyttöä markkinointitarkoituksiin tai terveydenhuoltotarkoituksiin.

GDPR artiklan 40 lakiteksti

EU:n GDPR-versio

Käytännesäännöt

  1. Jäsenvaltiot, valvontaviranomaiset, hallintoneuvosto ja komissio rohkaisevat laatimaan käytännesääntöjä, joiden tarkoituksena on edistää tämän asetuksen asianmukaista soveltamista ottaen huomioon eri käsittelyalojen erityispiirteet ja mikroyritysten erityistarpeet. , pienet ja keskisuuret yritykset.

  2. Rekisterinpitäjien tai käsittelijöiden luokkia edustavat yhdistykset ja muut elimet voivat laatia käytännesääntöjä tai muuttaa tai laajentaa näitä sääntöjä tämän asetuksen soveltamisen täsmentämiseksi, esimerkiksi:

    • a) oikeudenmukainen ja avoin käsittely;

    • b) rekisterinpitäjien oikeutetut edut tietyissä yhteyksissä;

    • c) henkilötietojen kerääminen;

    • d) henkilötietojen pseudonymisointi;

    • e) yleisölle ja rekisteröidyille annetut tiedot;

    • f) rekisteröityjen oikeuksien käyttäminen;

    • g) lapsille annetut tiedot ja lasten suojelu sekä tapa, jolla lapsiin vanhempainvastuun haltijoiden suostumus on hankittava;

    • h) 24 ja 25 artiklassa tarkoitetut toimenpiteet ja menettelyt sekä 32 artiklassa tarkoitetut toimenpiteet käsittelyn turvallisuuden varmistamiseksi;

    • i) henkilötietojen tietoturvaloukkauksista ilmoittaminen valvontaviranomaisille ja tällaisista henkilötietojen tietoturvaloukkauksista ilmoittaminen rekisteröidyille;

    • j) henkilötietojen siirto kolmansiin maihin tai kansainvälisiin järjestöihin; tai

    • k) tuomioistuinten ulkopuoliset menettelyt ja muut riitojenratkaisumenettelyt rekisterinpitäjien ja rekisteröityjen välisten käsittelyä koskevien riitojen ratkaisemiseksi, sanotun kuitenkaan rajoittamatta rekisteröityjen 77 ja 79 artiklan mukaisia ​​oikeuksia.

  3. Sen lisäksi, että tämän asetuksen alaiset rekisterinpitäjät tai käsittelijät noudattavat, tämän artiklan 5 kohdan mukaisesti hyväksyttyjä ja tämän artiklan 9 kohdan mukaisesti yleisesti voimassa olevia käytännesääntöjä voivat noudattaa myös rekisterinpitäjät tai käsittelijät, jotka eivät kuulu tämän asetuksen soveltamisalaan. Asetus 3 artiklan mukaisesti, jotta voidaan tarjota asianmukaiset suojatoimet henkilötietojen siirron yhteydessä kolmansiin maihin tai kansainvälisiin järjestöihin 46 artiklan 2 kohdan e alakohdassa tarkoitettujen ehtojen mukaisesti. Tällaisten rekisterinpitäjien tai käsittelijöiden on tehtävä sitovia ja täytäntöönpanokelpoisia sitoumuksia sopimuksilla tai muilla oikeudellisesti sitovilla asiakirjoilla soveltaakseen kyseisiä asianmukaisia ​​suojatoimia, myös rekisteröityjen oikeuksien osalta.

  4. Tämän artiklan 2 kohdassa tarkoitettujen käytännesääntöjen on sisällettävä mekanismeja, joiden avulla 41 artiklan 1 kohdassa tarkoitettu elin voi pakollisesti valvoa, että niitä noudattavat rekisterinpitäjät tai käsittelijät noudattavat niitä ilman Tämä ei vaikuta 55 tai 56 artiklan mukaisesti toimivaltaisten valvontaviranomaisten tehtäviin ja valtuuksiin.

  5. Tämän artiklan 2 kohdassa tarkoitettujen yhdistysten ja muiden elinten, jotka aikovat valmistella käytännesääntöjä tai muuttaa tai laajentaa olemassa olevia sääntöjä, on toimitettava säännöstö-, muutos- tai laajennusluonnos valvontaviranomaiselle, joka on toimivaltainen 55 artiklan mukaisesti. Valvontaviranomaisen on annettava lausunto siitä, onko säännöstö-, muutos- tai laajennusluonnos tämän asetuksen mukainen, ja hyväksyttävä kyseinen säännöstö-, muutos- tai laajennusluonnos, jos se katsoo, että se tarjoaa riittävät asianmukaiset suojatoimet.

  6. Jos säännöstöluonnos, muutos tai laajennus hyväksytään 5 kohdan mukaisesti ja jos kyseiset käytännesäännöt eivät liity käsittelytoimiin useissa jäsenvaltioissa, valvontaviranomaisen on rekisteröitävä ja julkaistava säännöt.

  7. Jos käytännesääntöluonnos koskee käsittelytoimia useissa jäsenvaltioissa, 55 artiklan mukaisesti toimivaltaisen valvontaviranomaisen on ennen sääntö-, muutos- tai laajennusluonnoksen hyväksymistä toimitettava se lautakunnalle 63 artiklassa tarkoitetun menettelyn mukaisesti. joka antaa lausunnon siitä, onko säännöstö-, muutos- tai laajennusluonnos tämän asetuksen mukainen, tai tarjoaa tämän artiklan 3 kohdassa tarkoitetussa tilanteessa asianmukaiset takeet.

  8. Jos 7 kohdassa tarkoitetussa lausunnossa vahvistetaan, että säännöstö-, muutos- tai laajennusluonnos on tämän asetuksen mukainen, tai jos 3 kohdassa tarkoitetussa tilanteessa tarjotaan asianmukaiset takeet, lautakunnan on toimitettava lausuntonsa komissiolle.

  9. Komissio voi täytäntöönpanosäädöksillä päättää, että sille tämän artiklan 8 kohdan mukaisesti toimitetuilla hyväksytyillä käytännesäännöillä, muutoksilla tai laajennuksilla on yleinen pätevyys unionissa. Nämä täytäntöönpanosäädökset hyväksytään 93 artiklan 2 kohdassa säädettyä tarkastelumenettelyä noudattaen.

  10. Komissio varmistaa 9 kohdan mukaisesti yleisesti päteviksi päätettyjen hyväksyttyjen koodien asianmukaisen julkisuuden.

  11. Hallitus kokoaa kaikki hyväksytyt käytännesäännöt, muutokset ja laajennukset rekisteriin ja saattaa ne julkisesti saataville asianmukaisin keinoin.

Yhdistyneen kuningaskunnan GDPR-versio

Käytännesäännöt

  1. Komission jäsen kannustaa laatimaan käytännesääntöjä, joiden tarkoituksena on edistää tämän asetuksen asianmukaista soveltamista ottaen huomioon eri jalostusalojen erityispiirteet ja mikroyritysten sekä pienten ja keskisuurten yritysten erityistarpeet.

  2. Rekisterinpitäjien tai käsittelijöiden luokkia edustavat yhdistykset ja muut elimet voivat laatia käytännesääntöjä tai muuttaa tai laajentaa näitä sääntöjä tämän asetuksen soveltamisen täsmentämiseksi, esimerkiksi:

    • a) oikeudenmukainen ja avoin käsittely;

    • b) rekisterinpitäjien oikeutetut edut tietyissä yhteyksissä;

    • c) henkilötietojen kerääminen;

    • d) henkilötietojen pseudonymisointi;

    • e) yleisölle ja rekisteröidyille annetut tiedot;

    • f) rekisteröityjen oikeuksien käyttäminen;

    • g) lapsille annetut tiedot ja lasten suojelu sekä tapa, jolla lapsiin vanhempainvastuun haltijoiden suostumus on hankittava;

    • h) 24 ja 25 artiklassa tarkoitetut toimenpiteet ja menettelyt sekä 32 artiklassa tarkoitetut toimenpiteet käsittelyn turvallisuuden varmistamiseksi;

    • i) henkilötietojen tietoturvaloukkauksista ilmoittaminen komissaarille ja tällaisista henkilötietojen tietoturvaloukkauksista ilmoittaminen rekisteröidyille;

    • j) henkilötietojen siirto kolmansiin maihin tai kansainvälisiin järjestöihin; tai

    • k) tuomioistuinten ulkopuoliset menettelyt ja muut riitojenratkaisumenettelyt rekisterinpitäjien ja rekisteröityjen välisten käsittelyä koskevien riitojen ratkaisemiseksi, sanotun kuitenkaan rajoittamatta rekisteröityjen 77 ja 79 artiklan mukaisia ​​oikeuksia.

  3. Sen lisäksi, että tämän asetuksen alaiset rekisterinpitäjät tai käsittelijät noudattavat, tämän artiklan 5 kohdan mukaisesti hyväksyttyjä ja tämän artiklan 9 kohdan mukaisesti yleisesti voimassa olevia käytännesääntöjä voivat noudattaa myös rekisterinpitäjät tai käsittelijät, jotka eivät kuulu tämän asetuksen soveltamisalaan. Asetus 3 artiklan mukaisesti, jotta voidaan tarjota asianmukaiset suojatoimet henkilötietojen siirron yhteydessä kolmansiin maihin tai kansainvälisiin järjestöihin 46 artiklan 2 kohdan e alakohdassa tarkoitettujen ehtojen mukaisesti. Tällaisten rekisterinpitäjien tai käsittelijöiden on tehtävä sitovia ja täytäntöönpanokelpoisia sitoumuksia sopimuksilla tai muilla oikeudellisesti sitovilla asiakirjoilla soveltaakseen kyseisiä asianmukaisia ​​suojatoimia, myös rekisteröityjen oikeuksien osalta.

  4. Tämän artiklan 2 kohdassa tarkoitettujen käytännesääntöjen on sisällettävä mekanismeja, joiden avulla 41 artiklan 1 kohdassa tarkoitettu elin voi pakollisesti valvoa, että niitä noudattavat rekisterinpitäjät tai käsittelijät noudattavat niitä ilman Tämä ei vaikuta komission jäsenen tehtäviin ja valtuuksiin.

  5. Tämän artiklan 2 kohdassa tarkoitettujen yhdistysten ja muiden elinten, jotka aikovat valmistella käytännesääntöjä tai muuttaa tai laajentaa olemassa olevia sääntöjä, on toimitettava säännöstö-, muutos- tai laajennusluonnos komission jäsenelle. Komission jäsen antaa lausunnon siitä, onko säännöstö-, muutos- tai laajennusluonnos tämän asetuksen mukainen, ja hyväksyy kyseisen sääntö-, muutos- tai laajennusluonnoksen, jos se katsoo, että se tarjoaa riittävät asianmukaiset takeet.

  6. Jos säännöstöluonnos, muutos tai laajennus hyväksytään 5 kohdan mukaisesti, komission jäsen rekisteröi ja julkaisee koodin.
Siirry aiheeseen
Yritykset luottavat kaikkialla
  • Yksinkertainen ja helppokäyttöinen
  • Suunniteltu ISO 27001 -menestykseen
  • Säästät aikaa ja rahaa
Varaa esittelysi
img

Tekninen kommentti

GDPR:n artikla 40 pyytää organisaatioita ottamaan huomioon 8 pääaluetta, kun ne panevat täytäntöön käytännesääntöjä:

  1. Mitä käytännesäännöillä tarkoitetaan, mitä varten ne on tarkoitettu, kuka voi laatia ne.

  2. Organisaation erityistarpeet, jotka on otettava huomioon käytännesäännöillä.

  3. Yhdistykset tai muut toimialan elimet, jotka käsittelevät organisaatioon sovellettavia käytännesääntöjä.

  4. Kuka heidän kohdeyleisönsä on.

  5. Miten asiaankuuluvat viranomaiset hyväksyvät käytännesäännöt.

  6. Erityisehdot, jotka on täytettävä, ennen kuin käytännesäännöt voidaan hyväksyä (esim. aloituslausunto).

  7. Kuinka käytännesäännöt voidaan julkaista, kun ne on hyväksytty.

  8. Onko käytännesäännöt sisällytettävä vastaavien sääntöjen rekisteriin.

ISO 27701:n lauseke 5.2.1 (Organisaatiosta ja sen kontekstista) ja EU:n GDPR:n artikla 40

Tässä osiossa puhumme GDPR-artikkeleista 40 (1), 40 (10), 40 (11), 40 (2) (a), 40 (2) (b), 40 (2) (c), 40 (2). )(d), 40(2(e), 40(2)(f), 40(2(g)), 40(2(h)), 40(2(i)), 40(2)( j), 40 (2) (k), 40 (3), 40 (4), 40 (5), 40 (6), 40 (7), 40 (8), 40 (9)

Organisaation on kyettävä ymmärtämään, kuinka se aikoo saavuttaa tietosuojatuloksensa, ja kaikki asiat, jotka estävät henkilökohtaisten tunnistetietojen suojaamisen, tulee tunnistaa ja käsitellä.

Ennen kuin organisaatiot yrittävät käsitellä yksityisyyden suojaa ja ottaa käyttöön henkilökohtaisia ​​tunnistetietoja, niiden on ensin ymmärrettävä velvollisuutensa yksittäisenä tai yhteisenä henkilökohtaisten tunnistetietojen rekisterinpitäjänä ja/tai käsittelijänä.

Tämä sisältää:

  • Tarkistaa kaikki voimassa olevat yksityisyyttä koskevat lait, määräykset tai "oikeudelliset päätökset".

  • Ottaen huomioon organisaation ainutlaatuiset vaatimukset, jotka liittyvät myymien tuotteiden ja palvelujen laatuun, sekä yrityskohtaiset hallintoasiakirjat, politiikat ja menettelytavat.

  • Kaikki hallinnolliset tekijät, mukaan lukien yrityksen päivittäinen toiminta.

  • Kolmannen osapuolen sopimukset tai palvelusopimukset, jotka voivat vaikuttaa henkilökohtaisiin tunnistetietoihin ja yksityisyyden suojaan.

Hakemisto linkitetyistä EU:n GDPR-artikkeleista ja ISO 27701 -lausekkeista

GDPR-artikkeliISO 27701 -lausekeISO 27701 -tukilausekkeet
EU:n GDPR:n artiklat 40 (1)–40 (9)ISO 27701 5.2.1Ei eristetty

Miten ISMS.online Ohje

Yhdistämällä 'Ota, mukauta, lisää' -toteutusstrategiamme ISMS.online-alustaan, GDPR-vaatimustenmukaisuuden saavuttamiseen tarvittavat ponnistelut vähenevät merkittävästi. On myös useita tehokkaita ominaisuuksia, jotka säästävät aikaa.

Teemme tietojen kartoittamisesta helppoa. Valmiiksi määritetyn dynaamisen Processing Activity Records -työkalumme avulla voit helposti seurata kaikkea.

Lisätietoja: varata lyhyt demo.

Suosittelisin ehdottomasti ISMS.onlinea, sillä se tekee ISMS:n määrittämisestä ja hallinnasta niin helppoa kuin mahdollista.

Peter Risdon
CISO, Viital

Varaa esittelysi

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja