Secţiunea 5 - Coduri de conduită şi certificare - Regulamentul 679/27-apr-2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)
Acte UE
Jurnalul Oficial 119L
În vigoare Versiune de la: 23 Mai 2018
Secţiunea 5:Coduri de conduită şi certificare
Art. 40: Coduri de conduită
(1)Statele membre, autorităţile de supraveghere, comitetul şi Comisia încurajează elaborarea de coduri de conduită menite să contribuie la buna aplicare a prezentului regulament, ţinând seama de caracteristicile specifice ale diverselor sectoare de prelucrare şi de nevoile specifice ale microîntreprinderilor şi ale întreprinderilor mici şi mijlocii.
(2)Asociaţiile şi alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot pregăti coduri de conduită sau le pot modifica sau extinde pe cele existente, în scopul de a specifica modul de aplicare a prezentului regulament, cum ar fi în ceea ce priveşte:
a)prelucrarea în mod echitabil şi transparent;
b)interesele legitime urmărite de operatori în contexte specifice;
c)colectarea datelor cu caracter personal;
d)pseudonimizarea datelor cu caracter personal;
e)informarea publicului şi a persoanelor vizate;
f)exercitarea drepturilor persoanelor vizate;
g)informarea şi protejarea copiilor şi modalitatea în care trebuie obţinut consimţământul titularilor răspunderii părinteşti asupra copiilor;
h)măsurile şi procedurile menţionate la articolele 24 şi 25 şi măsurile de asigurare a securităţii prelucrării, menţionate la articolul 32;
i)notificarea autorităţilor de supraveghere cu privire la încălcările securităţii datelor cu caracter personal şi informarea persoanelor vizate cu privire la aceste încălcări;
j)transferul de date cu caracter personal către ţări terţe sau organizaţii internaţionale; sau
k)proceduri extrajudiciare şi alte proceduri de soluţionare a litigiilor pentru soluţionarea litigiilor între operatori şi persoanele vizate în ceea ce priveşte prelucrarea, fără a aduce atingere drepturilor persoanelor vizate, în temeiul articolelor 77 şi 79.
(3)La codurile de conduită aprobate în temeiul alineatului (5) din prezentul articol şi care au o valabilitate generală în temeiul alineatului (9) din prezentul articol pot adera nu numai operatorii sau persoanele împuternicite de operatori care fac obiectul prezentului regulament, ci şi operatorii sau persoanele împuternicite de operatori care nu fac obiectul prezentului regulament în temeiul articolului 3, în scopul de a oferi garanţii adecvate în cadrul transferurilor de date cu caracter personal către ţări terţe sau organizaţii internaţionale în condiţiile menţionate la articolul 46 alineatul (2) litera (e). Aceşti operatori sau persoane împuternicite de operatori îşi asumă angajamente cu caracter obligatoriu şi executoriu, prin intermediul unor instrumente contractuale sau al altor instrumente obligatorii din punct de vedere juridic, în scopul aplicării garanţiilor adecvate respective, inclusiv cu privire la drepturile persoanelor vizate.
(4)Codul de conduită prevăzut la alineatul (2) din prezentul articol cuprinde mecanisme care permit organismului menţionat la articolul 41 alineatul (1) să efectueze monitorizarea obligatorie a respectării dispoziţiilor acestuia de către operatorii sau persoanele împuternicite de operatori care se angajează să îl aplice, fără a aduce atingere sarcinilor şi competenţelor autorităţilor de supraveghere care sunt competente în temeiul articolului 55 sau 56.
(5)Asociaţiile şi alte organisme menţionate la alineatul (2) din prezentul articol care intenţionează să pregătească un cod de conduită sau să modifice sau să extindă un cod existent transmit proiectul de cod, de modificare sau de extindere autorităţii de supraveghere care este competentă în temeiul articolului 55. Autoritatea de supraveghere emite un aviz cu privire la conformitatea cu prezentul regulament a proiectului de cod, de modificare sau de extindere şi îl aprobă în cazul în care se constată că acesta oferă garanţii adecvate suficiente.
(6)În cazul în care proiectul de cod, de modificare sau de extindere este aprobat în conformitate cu alineatul (5), iar codul de conduită în cauză nu are legătură cu activităţile de prelucrare din mai multe state membre, autoritatea de supraveghere înregistrează şi publică codul.
(7)În cazul în care un proiect de cod de conduită, de modificare sau de extindere are legătură cu activităţile de prelucrare din mai multe state membre, înainte de aprobare, autoritatea de supraveghere competentă în temeiul articolului 55 îl transmite, prin procedura menţionată la articolul 63, comitetului, care emite un aviz cu privire la conformitatea cu prezentul regulament a proiectului respectiv, sau, în situaţia menţionată la alineatul (3) din prezentul articol, oferă garanţii adecvate.
(8)În cazul în care avizul menţionat la alineatul (7) confirmă conformitatea cu prezentul regulament a proiectului de cod, de modificare sau de extindere sau în cazul în care, în situaţia menţionată la alineatul (3), oferă garanţii adecvate, comitetul transmite avizul său Comisiei.
(9)Comisia poate adopta acte de punere în aplicare pentru a decide că codul de conduită, modificarea sau extinderea aprobate care i-au fost prezentate în temeiul alineatului (8) din prezentul articol au valabilitate generală în Uniune. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare prevăzută la articolul 93 alineatul (2).
(10)Comisia asigură publicitatea adecvată pentru codurile aprobate asupra cărora s-a decis că au valabilitate generală în conformitate cu alineatul (9).
(11)Comitetul regrupează toate codurile de conduită, modificările şi extinderile aprobate într-un registru şi le pune la dispoziţia publicului prin mijloace corespunzătoare.
Art. 41: Monitorizarea codurilor de conduită aprobate
(1)Fără a aduce atingere sarcinilor şi competenţelor autorităţii de supraveghere competente în temeiul articolelor 57 şi 58, monitorizarea respectării unui cod de conduită în temeiul articolului 40 poate fi realizată de un organism care dispune de un nivel adecvat de expertiză în legătură cu obiectul codului şi care este acreditat în acest scop de autoritatea de supraveghere competentă.
(2)Un organism menţionat la alineatul (1) poate fi acreditat pentru monitorizarea respectării unui cod de conduită dacă:
a)a demonstrat autorităţii de supraveghere competente, într-un mod satisfăcător, independenţa şi expertiza sa în legătură cu obiectul codului;
b)a instituit proceduri care îi permit să evalueze eligibilitatea operatorilor şi a persoanelor împuternicite de operatori în vederea aplicării codului, să monitorizeze respectarea de către aceştia a dispoziţiilor codului şi să revizuiască periodic funcţionarea acestuia;
c)a instituit proceduri şi structuri pentru tratarea plângerilor privind încălcări ale codului sau privind modul în care codul a fost sau este pus în aplicare de un operator sau o persoană împuternicită de operator, precum şi pentru asigurarea transparenţei acestor proceduri şi structuri pentru persoanele vizate şi pentru public; şi
d)a demonstrat autorităţii de supraveghere competente, într-un mod satisfăcător, că sarcinile şi atribuţiile sale nu creează conflicte de interese.
(3)Autoritatea de supraveghere competentă transmite proiectul de cerinţe pentru acreditarea unui organism menţionat la alineatul (1) din prezentul articol comitetului, în conformitate cu mecanismul pentru asigurarea coerenţei menţionat la articolul 63.
(4)Fără a aduce atingere sarcinilor şi competenţelor autorităţii de supraveghere competente şi dispoziţiilor capitolului VIII, un organism menţionat la alineatul (1) din prezentul articol ia măsuri corespunzătoare, sub rezerva unor garanţii adecvate, în cazul încălcării codului de către un operator sau o persoană împuternicită de operator, inclusiv prin suspendarea sau excluderea respectivului operator sau a respectivei persoane din cadrul codului. Organismul în cauză informează autoritatea de supraveghere competentă cu privire la aceste măsuri şi la motivele care le-au determinat.
(5)Autoritatea de supraveghere competentă revocă acreditarea unui organism menţionat la alineatul (1) în cazul în care nu mai sunt îndeplinite cerinţele pentru acreditare sau măsurile luate de organismul în cauză încalcă prezentul regulament.
(6)Prezentul articol nu se aplică prelucrării efectuate de autorităţi şi organisme publice.
Art. 42: Certificare
(1)Statele membre, autorităţile de supraveghere, comitetul şi Comisia încurajează, în special la nivelul Uniunii, instituirea de mecanisme de certificare în domeniul protecţiei datelor, precum şi de sigilii şi mărci în acest domeniu, care să permită demonstrarea faptului că operaţiunile de prelucrare efectuate de operatori şi de persoanele împuternicite de operatori respectă prezentul regulament. Sunt luate în considerare necesităţile specifice ale microîntreprinderilor şi ale întreprinderilor mici şi mijlocii.
(2)Mecanismele de certificare din domeniul protecţiei datelor, sigiliile sau mărcile aprobate în temeiul alineatului (5) din prezentul articol sunt instituite nu numai pentru a fi respectate de operatorii sau de persoanele împuternicite de operatori care fac obiectul prezentului regulament, ci şi pentru a demonstra existenţa unor garanţii adecvate oferite de operatorii sau de persoanele împuternicite de operatori care nu fac obiectul prezentului regulament, în temeiul articolului 3, în cadrul transferurilor de date cu caracter personal către ţări terţe sau organizaţii internaţionale în condiţiile menţionate la articolul 46 alineatul (2) litera (f). Aceşti operatori sau persoane împuternicite de operatori îşi asumă angajamente cu caracter obligatoriu şi executoriu, prin intermediul unor instrumente contractuale sau al altor instrumente obligatorii din punct de vedere juridic, în scopul aplicării garanţiilor adecvate respective, inclusiv cu privire la drepturile persoanelor vizate.
(3)Certificarea este voluntară şi disponibilă prin intermediul unui proces transparent.
(4)Certificarea în conformitate cu prezentul articol nu reduce responsabilitatea operatorului sau a persoanei împuternicite de operator de a respecta prezentul regulament şi nu aduce atingere sarcinilor şi competenţelor autorităţilor de supraveghere care sunt competente în temeiul articolului 55 sau 56.
(5)Organismele de certificare menţionate la articolul 43 sau autoritatea de supraveghere competentă emit o certificare în temeiul prezentului articol, pe baza criteriilor aprobate de către autoritatea de supraveghere competentă respectivă în temeiul articolului 58 alineatul (3), sau de către comitet în temeiul articolului 63. În cazul în care criteriile sunt aprobate de comitet, aceasta poate duce la o certificare comună, şi anume sigiliul european privind protecţia datelor.
(6)Operatorul sau persoana împuternicită de operator care supune activităţile sale de prelucrare mecanismului de certificare oferă organismului de certificare menţionat la articolul 43 sau, după caz, autorităţii de supraveghere competente, toate informaţiile necesare pentru desfăşurarea procedurii de certificare, precum şi accesul la activităţile de prelucrare respective.
(7)Certificarea este eliberată unui operator sau unei persoane împuternicite de operator pentru o perioadă maximă de trei ani şi poate fi reînnoită în aceleaşi condiţii, cu condiţia ca criteriile relevante să fie îndeplinite în continuare. Certificarea este retrasă, după caz, de către organismele de certificare menţionate la articolul 43 sau de către autoritatea de supraveghere competentă în cazul în care nu mai sunt îndeplinite criteriile pentru certificare.
(8)Comitetul regrupează toate mecanismele de certificare şi sigiliile şi mărcile de protecţie a datelor într-un registru şi le pune la dispoziţia publicului prin orice mijloc corespunzător.
Art. 43: Organisme de certificare
(1)Fără a aduce atingere sarcinilor şi competenţelor autorităţii de supraveghere competente, prevăzute la articolele 57 şi 58, organismele de certificare care dispun de un nivel adecvat de competenţă în domeniul protecţiei datelor, după ce informează autoritatea de supraveghere pentru a-i permite să îşi exercite competenţele în temeiul articolului 58 alineatul (2) litera (h), emit şi reînnoiesc certificarea. Statele membre se asigură că aceste organisme de certificare sunt acreditate de către una sau amândouă dintre următoarele entităţi:
a)autoritatea de supraveghere care este competentă în temeiul articolului 55 sau 56;
b)organismul naţional de acreditare desemnat în conformitate cu Regulamentul (CE) nr. 765/2008 al Parlamentului European şi al Consiliului (1) în conformitate cu standardul EN-ISO/IEC 17065/2012 şi cu cerinţele suplimentare stabilite de autoritatea de supraveghere care este competentă în temeiul articolului 55 sau 56.
(1)Regulamentul (CE) nr. 765/2008 al Parlamentului European şi al Consiliului din 9 iulie 2008 de stabilire a cerinţelor de acreditare şi de supraveghere a pieţei în ceea ce priveşte comercializarea produselor şi de abrogare a Regulamentului (CEE) nr. 339/93 (JO L 218, 13.8.2008, p. 30)
(2)Un organism de certificare menţionat la alineatul (1) este acreditat în conformitate cu alineatul respectiv numai dacă:
a)a demonstrat autorităţii de supraveghere competente, într-un mod satisfăcător, independenţa şi expertiza sa în legătură cu obiectul certificării;
b)s-a angajat să respecte criteriile menţionate la articolul 42 alineatul (5) şi aprobate de autoritatea de supraveghere care este competentă în temeiul articolului 55 sau 56, sau de către comitet în temeiul articolului 63;
c)a instituit proceduri pentru emiterea, revizuirea periodică şi retragerea certificării, a sigiliilor şi mărcilor din domeniul protecţiei datelor;
d)a instituit proceduri şi structuri pentru tratarea plângerilor privind încălcări ale certificării sau privind modul în care certificarea a fost sau este pusă în aplicare de un operator sau o persoană împuternicită de operator, precum şi pentru asigurarea transparenţei acestor proceduri şi structuri pentru persoanele vizate şi pentru public; şi
e)a demonstrat autorităţii de supraveghere competente, într-un mod satisfăcător, că sarcinile şi atribuţiile sale nu creează conflicte de interese.
(3)Acreditarea organismelor de certificare menţionate la alineatele (1) şi (2) din prezentul articol se realizează pe baza cerinţelor aprobate de către autoritatea de supraveghere care este competentă în temeiul articolului 55 sau 56, sau de către comitet în temeiul articolului 63. În cazul unei acreditări în temeiul alineatului (1) litera (b) din prezentul articol, aceste cerinţe le completează pe cele prevăzute în Regulamentul (CE) nr. 765/2008 şi normele tehnice care descriu metodele şi procedurile organismelor de certificare.
(4)Organismele de certificare menţionate la alineatul (1) sunt responsabile cu realizarea unei evaluări adecvate în vederea certificării sau retragerii acestei certificări, fără a aduce atingere responsabilităţii operatorului sau a persoanei împuternicite de operator de a respecta prezentul regulament. Acreditarea se eliberează pentru o perioadă maximă de cinci ani şi poate fi reînnoită în aceleaşi condiţii, cu condiţia ca organismul de certificare să îndeplinească cerinţele prevăzute în prezentul articol.
(5)Organismele de certificare menţionate la alineatul (1) transmite autorităţilor de supraveghere competente motivele acordării sau retragerii certificării solicitate.
(6)Cerinţele menţionate la alineatul (3) din prezentul articol şi criteriile menţionate la articolul 42 alineatul (5) se publică de către autoritatea de supraveghere într-o formă uşor de accesat. Autorităţile de supraveghere transmit, de asemenea, aceste cerinţe şi criterii comitetului.
(7)Fără a aduce atingere dispoziţiilor capitolului VIII, autoritatea de supraveghere competentă sau organismul naţional de acreditare revocă acreditarea acordată unui organism de certificare în temeiul alineatului (1) din prezentul articol în cazul în care nu sunt sau nu mai sunt îndeplinite condiţiile pentru acreditare sau măsurile luate de organismul de acreditare încalcă prezentul regulament.
(8)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 92, în scopul specificării cerinţelor care trebuie luate în considerare pentru mecanismele de certificare din domeniul protecţiei datelor, menţionate la articolul 42 alineatul (1).
(9)Comisia poate adopta acte de punere în aplicare pentru a stabili standarde tehnice pentru mecanismele de certificare şi pentru sigiliile şi mărcile din domeniul protecţiei datelor, precum şi mecanisme de promovare şi recunoaştere a acelor mecanisme de certificare, sigilii şi mărci. Actele de punere în aplicare respective se adoptă în conformitate cu procedura de examinare menţionată la articolul 93 alineatul (2).