כיצד להוכיח ציות ל-GDPR סעיף 40

קודים של התנהגות

הזמן הדגמה

קבוצה,של,שמחים,עמיתים לעבודה,דיונים,בחדר,וועידה

GDPR סעיף 40 עוסק במפורש בצורך של ארגונים לנסח קוד התנהגות - או מספר קודים התנהגותיים - הייחודיים לעסק שלהם, וישימים כלפי התפקידים השונים הכלולים בו.

קודים תומכים עשויים לכלול תרחישים כגון שימוש בנתונים אישיים למטרות שיווק, או למטרות בריאות.

GDPR סעיף 40 טקסט משפטי

גרסת GDPR של האיחוד האירופי

קודים של התנהגות

  1. המדינות החברות, רשויות הפיקוח, המועצה והנציבות יעודדו יצירת קודי התנהגות שנועדו לתרום ליישום תקין של תקנה זו, תוך התחשבות במאפיינים הספציפיים של מגזרי העיבוד השונים ובצרכים הספציפיים של המיקרו. , ארגונים קטנים ובינוניים.

  2. עמותות וגופים אחרים המייצגים קטגוריות של בקרים או מעבדים רשאים להכין קודים של התנהגות, או לתקן או להרחיב קודים כאלה, לצורך ציון היישום של תקנה זו, כגון לגבי:

    • (א) עיבוד הוגן ושקוף;

    • (ב) האינטרסים הלגיטימיים אותם רודפים בקרים בהקשרים ספציפיים;

    • (ג) איסוף נתונים אישיים;

    • (ד) הפצה בדוי של נתונים אישיים;

    • (ה) המידע הנמסר לציבור ולנושאי מידע;

    • (ו) מימוש זכויותיהם של נושאי מידע;

    • (ז) המידע הנמסר לילדים וההגנה עליהם והאופן שבו יש לקבל את הסכמתם של בעלי אחריות הורית על ילדים;

    • (ח) האמצעים והנהלים האמורים בסעיפים 24 ו-25 והאמצעים להבטחת אבטחת העיבוד האמורים בסעיף 32;

    • (i) הודעה על הפרות נתונים אישיים לרשויות הפיקוח והתקשורת של הפרות מידע אישיות אלה לנושאים הנתונים;

    • (י) העברת נתונים אישיים למדינות שלישיות או לארגונים בינלאומיים; אוֹ

    • (יא) הליכים מחוץ לבית המשפט והליכים אחרים ליישוב סכסוכים ליישוב סכסוכים בין בקרים ונושאי מידע בנוגע לעיבוד, מבלי לפגוע בזכויותיהם של נושאי המידע בהתאם לסעיפים 77 ו-79.

  3. בנוסף להקפדה על בקרים או מעבדים הכפופים לתקנה זו, ניתן לדבוק בקודי התנהגות שאושרו בהתאם לסעיף 5 לסעיף זה ובעלי תוקף כללי בהתאם לסעיף 9 לסעיף זה גם על ידי בקרים או מעבדים שאינם כפופים לסעיף זה. תקנה בהתאם לסעיף 3 על מנת לספק אמצעי הגנה מתאימים במסגרת העברת נתונים אישיים למדינות שלישיות או לארגונים בינלאומיים לפי התנאים האמורים בנקודה (ה) של סעיף 46(2). בקרים או מעבדים כאלה יקבלו התחייבויות מחייבות וניתנות לאכיפה, באמצעות מכשירים חוזיים או אחרים מחייבים מבחינה משפטית, ליישם את אותם אמצעי הגנה מתאימות לרבות לגבי זכויותיהם של נושאי מידע.

  4. קוד התנהגות הנזכר בסעיף 2 לסעיף זה יכיל מנגנונים המאפשרים לגוף האמור בסעיף 41(1) לבצע את הפיקוח המחייב על עמידה בהוראותיו על ידי הבקרים או המעבדים המתחייבים להחיל אותו, מבלי פגיעה במשימות ובסמכויות של רשויות פיקוח המוסמכות לפי סעיף 55 או 56.

  5. עמותות וגופים אחרים הנזכרים בסעיף 2 לסעיף זה אשר מתכוונים להכין קוד התנהגות או לתקן או להרחיב קוד קיים יגישו את טיוטת הקוד, התיקון או ההרחבה לרשות הפיקוח המוסמכת לפי סעיף 55. רשות הפיקוח תיתן חוות דעת אם טיוטת הקוד, התיקון או ההרחבה עומדים בתקנה זו ותאשר את טיוטת הקוד, התיקון או ההרחבה אם תמצא כי הם מספקים אמצעי הגנה נאותים מספקים.

  6. כאשר טיוטת הקוד, או התיקון או ההרחבה אושרו בהתאם לסעיף 5, וכאשר קוד ההתנהגות הנוגע בדבר אינו מתייחס לפעילויות עיבוד במספר מדינות חברות, רשות הפיקוח תרשום ותפרסם את הקוד.

  7. כאשר טיוטת קוד התנהגות מתייחסת לפעילויות עיבוד במספר מדינות חברות, רשות הפיקוח המוסמכת לפי סעיף 55 תגיש אותה, לפני שתאשר את טיוטת הקוד, התיקון או ההרחבה, בהליך האמור בסעיף 63 למועצה. אשר ייתן חוות דעת אם טיוטת הקוד, התיקון או ההרחבה תואמים תקנה זו או, במצב האמור בסעיף 3 לסעיף זה, מספקים אמצעי הגנה מתאימים.

  8. כאשר חוות הדעת האמורה בסעיף 7 מאשרת כי טיוטת הקוד, התיקון או ההרחבה תואמת תקנה זו, או, במצב האמור בסעיף 3, מספקת אמצעי הגנה מתאימים, המועצה תגיש את חוות דעתה לנציבות.

  9. הנציבות רשאית, בדרך של פעולות יישום, להחליט שלקוד ההתנהגות, התיקון או ההרחבה המאושרים שהוגשו לה בהתאם לסעיף 8 של סעיף זה יש תוקף כללי בתוך האיחוד. פעולות יישום אלה יאומצו בהתאם לנוהל הבדיקה הקבוע בסעיף 93(2).

  10. הועדה תדאג לפרסום מתאים לקודים המאושרים אשר הוחלט כבעלי תוקף כללי בהתאם לסעיף 9.

  11. המועצה תרכז את כל קודי ההתנהגות, התיקונים וההרחבות המאושרים במרשם ותהפוך אותם לזמינים לציבור באמצעים מתאימים.

גרסת GDPR בבריטניה

קודים של התנהגות

  1. הממונה יעודד יצירת קודים התנהגותיים שנועדו לתרום ליישום תקין של תקנה זו, תוך התחשבות במאפיינים הספציפיים של מגזרי העיבוד השונים ובצרכים הספציפיים של מיזמים זעירים, קטנים ובינוניים.

  2. עמותות וגופים אחרים המייצגים קטגוריות של בקרים או מעבדים רשאים להכין קודים של התנהגות, או לתקן או להרחיב קודים כאלה, לצורך ציון היישום של תקנה זו, כגון לגבי:

    • (א) עיבוד הוגן ושקוף;

    • (ב) האינטרסים הלגיטימיים אותם רודפים בקרים בהקשרים ספציפיים;

    • (ג) איסוף נתונים אישיים;

    • (ד) הפצה בדוי של נתונים אישיים;

    • (ה) המידע הנמסר לציבור ולנושאי מידע;

    • (ו) מימוש זכויותיהם של נושאי מידע;

    • (ז) המידע הנמסר לילדים וההגנה עליהם והאופן שבו יש לקבל את הסכמתם של בעלי אחריות הורית על ילדים;

    • (ח) האמצעים והנהלים האמורים בסעיפים 24 ו-25 והאמצעים להבטחת אבטחת העיבוד האמורים בסעיף 32;

    • (i) הודעה על הפרות נתונים אישיים לממונה והעברת הפרות מידע אישיות כאלה לנושאים הנתונים;

    • (י) העברת נתונים אישיים למדינות שלישיות או לארגונים בינלאומיים; אוֹ

    • (יא) הליכים מחוץ לבית המשפט והליכים אחרים ליישוב סכסוכים ליישוב סכסוכים בין בקרים ונושאי מידע בנוגע לעיבוד, מבלי לפגוע בזכויותיהם של נושאי המידע בהתאם לסעיפים 77 ו-79.

  3. בנוסף להקפדה על בקרים או מעבדים הכפופים לתקנה זו, ניתן לדבוק בקודי התנהגות שאושרו בהתאם לסעיף 5 לסעיף זה ובעלי תוקף כללי בהתאם לסעיף 9 לסעיף זה גם על ידי בקרים או מעבדים שאינם כפופים לסעיף זה. תקנה בהתאם לסעיף 3 על מנת לספק אמצעי הגנה מתאימים במסגרת העברת נתונים אישיים למדינות שלישיות או לארגונים בינלאומיים לפי התנאים האמורים בנקודה (ה) של סעיף 46(2). בקרים או מעבדים כאלה יקבלו התחייבויות מחייבות וניתנות לאכיפה, באמצעות מכשירים חוזיים או אחרים מחייבים מבחינה משפטית, ליישם את אותם אמצעי הגנה מתאימות לרבות לגבי זכויותיהם של נושאי מידע.

  4. קוד התנהגות הנזכר בסעיף 2 לסעיף זה יכיל מנגנונים המאפשרים לגוף האמור בסעיף 41(1) לבצע את הפיקוח המחייב על עמידה בהוראותיו על ידי הבקרים או המעבדים המתחייבים להחיל אותו, מבלי פגיעה במשימות ובסמכויותיו של הממונה.

  5. עמותות וגופים אחרים הנזכרים בסעיף 2 לסעיף זה אשר מתכוונים להכין קוד התנהגות או לתקן או להרחיב קוד קיים, יגישו את טיוטת הקוד, התיקון או ההרחבה לממונה. הממונה ייתן חוות דעת האם טיוטת הקוד, התיקון או ההרחבה עומדים בתקנה זו ויאשר את אותה טיוטת קוד, תיקון או הרחבה אם מצא כי הם מספקים אמצעי הגנה הולמים מספיקים.

  6. כאשר טיוטת הקוד, או התיקון או ההרחבה אושרו בהתאם לסעיף 5, ירשום הממונה ויפרסם את הקוד.
קפוץ לנושא
מהימן על ידי חברות בכל מקום
  • פשוט וקל לשימוש
  • תוכנן להצלחת ISO 27001
  • חוסך לך זמן וכסף
הזמן את ההדגמה שלך
img

פרשנות טכנית

סעיף 40 של GDPR מבקש מארגונים לשקול 8 תחומים עיקריים, בעת יישום קודים של התנהגות:

  1. מה הכוונה בקוד התנהגות, בשביל מה הם מיועדים, מי יכול לנסח אותם.

  2. הצרכים הספציפיים של הארגון שצריכים לתת מענה על ידי קוד התנהגות.

  3. עמותות או גופים אחרים בתעשייה העוסקים בקודי התנהגות החלים כלפי הארגון.

  4. מי קהל היעד שלהם.

  5. כיצד קודים של התנהגות מאושרים על ידי כל הרשויות הרלוונטיות.

  6. תנאים ספציפיים שיש לעמוד בהם, לפני שניתן לאשר קוד התנהגות (למשל הצהרת פתיחה).

  7. כיצד ניתן לפרסם קוד התנהגות לאחר אישורו.

  8. האם יש לרשום קוד התנהגות במרשם של קודים דומים או לא.

ISO 27701 סעיף 5.2.1 (הבנת הארגון וההקשר שלו) ו-EU GDPR סעיף 40

בסעיף זה אנו מדברים על סעיפים GDPR 40 (1), 40 (10), 40 (11), 40 (2)(א), 40 (2)(ב), 40 (2)(ג), 40 (2) )(ד), 40 (2)(ה), 40 (2)(ו), 40 (2)(ז), 40 (2)(ח), 40 (2)(i), 40 (2)( י), 40 (2)(ק), 40 (3), 40 (4), 40 (5), 40 (6), 40 (7), 40 (8), 40 (9)

הארגון צריך להיות מסוגל להבין כיצד הוא הולך להשיג את תוצאות ההגנה על הפרטיות שלו, ויש לזהות ולטפל בכל נושא שעומד בדרכו להגנה על PII.

לפני ניסיון לטפל בהגנה על הפרטיות ולהטמיע PII, ארגונים צריכים קודם כל להבין את החובות שלהם כבקר ו/או מעבד PII יחיד או משותף.

זה כולל:

  • סקירת כל חוקי הפרטיות, התקנות או 'החלטות שיפוטיות' הרווחות.

  • תוך התחשבות במערך הדרישות הייחודי של הארגון הנוגע לסוג המוצרים והשירות שהם מוכרים, ומסמכי ממשל, מדיניות ונהלים ספציפיים לחברה.

  • כל הגורמים האדמיניסטרטיביים, לרבות התנהלות שוטפת של החברה.

  • הסכמי צד שלישי או חוזי שירות שיש להם פוטנציאל להשפיע על PII והגנת הפרטיות.

אינדקס של מאמרי GDPR מקושרים של האיחוד האירופי וסעיפי ISO 27701

מאמר GDPRסעיף ISO 27701ISO 27701 סעיפים תומכים
האיחוד האירופי GDPR סעיפים 40 (1) עד 40 (9)ISO 27701 5.2.1ללא חתימה

כיצד ISMS.online עזרה

על ידי שילוב של אסטרטגיית ההטמעה 'אמץ, הסתגל, הוסף' עם פלטפורמת ISMS.online, המאמץ הדרוש כדי להשיג תאימות ל-GDPR מצטמצם באופן משמעותי. יש גם מספר תכונות חזקות שיחסכו לך זמן.

אנו הופכים את מיפוי הנתונים לקל. עם הכלי הדינמי המוגדר מראש של רשומות עיבוד פעילות, אתה יכול לעקוב בקלות אחר הכל.

למידע נוסף על ידי הזמנת הדגמה קצרה.

אני בהחלט ממליץ על ISMS.online, זה מקל על ההגדרה והניהול של ה-ISMS שלך.

פיטר ריסדון
CISO, ויטל

הזמן את ההדגמה שלך

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף