Перейти до змісту

ГЛАВА IV. Контролер і оператор

Секція 5. Кодекси поведінки та сертифікація


Стаття 40. Кодекс поведінки

  1. Держави-члени, наглядові органи, Рада і Комісія заохочують розроблення кодексів поведінки, спрямованих на сприяння належному застосуванню цього Регламенту, беручи до уваги особливі характеристики різних секторів опрацювання та конкретні потреби мікропідприємств, малих і середніх підприємств.
  2. Асоціації та інші органи, що представляють категорії контролерів або операторів можуть підготувати кодекси поведінки або внести зміни і доповнення, або розширити такі кодекси, з метою уточнення застосування цього Регламенту, зокрема, щодо:
    1. правомірного та прозорого опрацювання;
    2. законних інтересів контролерів у конкретних ситуаціях;
    3. збирання персональних даних;
    4. використання псевдонімів для персональних даних;
    5. інформації, яку надають громадськості та суб'єктам даних;
    6. реалізації прав суб'єктів даних;
    7. інформації, яку надають дітям, та їхнього захисту, і способу, яким необхідно отримувати згоду носіїв батьківської відповідальності щодо дітей;
    8. заходів і процедур, вказаних у статтях 24 і 25, і заходів для гарантування безпеки опрацювання, вказаних у статті 32;
    9. нотифікації наглядових органів про порушення захисту персональних даних та повідомлення суб'єктів даних про такі порушення захисту персональних даних;
    10. передавання персональних даних до третіх країн або міжнародних організацій; або
    11. позасудових процедур і інших процедур щодо врегулювання суперечок для врегулювання спорів між контролерами та суб'єктами даних у зв'язку з опрацюванням, без порушення прав суб'єктів даних відповідно до статей 77 і 79.
  3. Окрім дотримання контролерами або операторами відповідно до цього Регламенту, кодекси поведінки, що затверджені відповідно до параграфа 5 цієї статті та мають загальну дію відповідно до параграфа 9 цієї статті, також можна застосовувати до контролерів або операторів, на яких не поширюється дія цього Регламенту відповідно до статті 3 для того, щоб надати належні гарантії в межах передавання персональних даних до третіх країн чи міжнародних організацій на умовах, наведених у пункті (е) статті 46(2). Такі контролери або оператори повинні взяти на себе зобов'язання, які є обов'язковими і можливими для виконання, за допомогою договірних або інших юридично зобов'язальних інструментів, для того, щоб застосувати зазначені належні гарантії, у тому числі, гарантії щодо прав суб'єктів даних.
  4. Кодекс поведінки, вказаний у параграфі 2 цієї статті, повинен передбачати механізми, що дозволяють органу, вказаному в статті 41(1), здійснювати обов'язковий моніторинг дотримання його положень контролерами або операторами, які взяли на себе зобов'язання щодо його застосування, без обмеження завдань і повноважень наглядових органів, що є компетентними відповідно до статті 55 або 56.
  5. Асоціації та інші органи, вказані в параграфі 2 цієї статті, що мають намір підготувати кодекс поведінки чи внести зміни та доповнення або розширити наявний кодекс, подають проект кодексу, змін та доповнень або розширення до наглядового органу, що є компетентним відповідно до статті 55. Наглядовий орган надає висновок про те, чи відповідає проект кодексу, змін та доповнень або розширення цьому Регламенту, та затверджує такий проект кодексу, змін та доповнень або розширення, якщо з'ясовує, що в ньому передбачено достатні належні гарантії.
  6. Якщо проект кодексу, змін та доповнень або розширення затверджують відповідно до параграфа 5, та якщо відповідний кодекс поведінки не стосується опрацювання даних в декількох державах-членах, наглядовий орган реєструє і опубліковує кодекс.
  7. Якщо проект кодексу стосується опрацювання даних в декількох державах-членах, наглядовий орган, що є компетентним відповідно до статті 55, до затвердження проекту кодексу, змін та доповнень або розширення, подає його на процедуру, вказану в статті 63, до Ради, яка надає висновок щодо того, чи відповідає проект кодексу, змін та доповнень або розширення цьому Регламенту або, в ситуації, вказаній в параграфі 3 цієї статті, чи передбачено в ньому належні гарантії.
  8. Якщо висновок, вказаний у параграфі 7, підтверджує, що проект кодексу, змін та доповнення або розширення відповідає цьому Регламенту або, в ситуації, вказаній в параграфі 3 цієї статті, передбачає належні гарантії, Рада подає свій висновок до Комісії.
  9. Комісія може, за допомогою імплементаційних актів, вирішити, що затверджений кодекс поведінки, змін та доповнень або розширення, що подають їй відповідно до параграфа 8 цієї статті, мають загальну дію в межах Союзу. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, встановленої в статті 93(2).
  10. Комісія забезпечує належну публічність для затверджених кодексів, щодо яких було прийнято рішення про те, що вони мають загальну дію згідно з параграфом 9.
  11. Рада впорядковує усі затверджені кодекси поведінки, зміни та доповнення або розширення у формі реєстру і оприлюднює їх за допомогою належних засобів.