- (1) 加盟国、監督機関、欧州データ保護会議及び欧州委員会は、様々な取扱い部門の特性及び中小零細企業の特殊事情を考慮に入れた上で、本規則の適正な適用に貢献することを意図した行動規範の作成を奨励するものとする。
-
(2)
様々な類型の管理者又は処理者を代表する団体及びその他の組織は、以下のような事項に関し、本規則の適用を具体化する目的で、行動規範を用意、又はその規範を改正若しくは追補できる:
- 公正及び透明性のある取扱い;
- 具体的な場面において管理者が求める正当な利益;
- 個人データの収集;
- 個人データの仮名化;
- 公衆及びデータ主体に対して提供される情報;
- データ主体の権利の行使;
- 子どもに対して提供される情報及び子どもの保護、並びに、子どもに対して親権者としての責任を負う者から同意を得るための方法;
- 第24条及び第25条で定める措置及び手続、並びに、第32条に規定する取扱いの安全性を確保するための措置;
- 個人データ侵害の監督機関に対する通知及びデータ主体に対するその個人データ侵害の通知;
- 個人データの第三国又は国際機関への移転;
- または、第77条及び第79条によるデータ主体の権利を妨げることなく、管理者とデータ主体との間の取扱いに関する紛争を解決するための裁判外の手続及びそれ以外の紛争解決手続。
- (3) 本規則に服する管理者又は処理者による遵守に加え、本条の第5項により承認され、かつ、本条の第9項によって一般的な有効性をもつ行動規範は、第46条第2項(e)で定める条件に基づいて第三国又は国際機関への個人データを移転する枠組みの中における適切な保護措置を提供するために、第3条によって本規則の適用対象となっていない管理者又は処理者によっても遵守されうる。 そのような管理者又は処理者は、契約上又はそれ以外の法的拘束力のある法律文書を介して、データ主体の権利に関するものを含め、適切な保護措置を適用するための拘束力があり執行可能な約束を形成しなければならない。
- (4) 本条第2項で定める行動規範は、第41条第1項で定める組織が、監督機関の職務及び権限を妨げることなく、第55条 又は、その行動規範を適用している管理者又は処理者によるその行動規範の条項遵守を強制的に監視できるようにする仕組みを含めなければならない。
- (5) 本条第2項で定める団体及びその他の組織で、行動規範の準備又は既存の行動規範の改正若しくは追補を予定するものは、第55条により所轄の監督機関に対し、行動規範案、改正又は追補を送付しなければならない。 その監督機関は、その行動規範案、改正又は追補が本規則を遵守するものであるか否かに関する意見を述べ、かつ、それが十分に適切な保護措置を提供するものであると判断するときは、当該行動規範案、改正又は追補を承認するものとする。
- (6) 行動規範案、改正又は追補が第5項に従って承認される場合、及び、関係する行動規範が複数の加盟国内の取扱活動と関連するものではない場合、その監督機関は、その行動規範を登録し、それを公表するものとする。
- (7) 行動規範案が複数の加盟国内の取扱い活動と関連する場合、第55条により所轄の監督機関は、その行動規範案、改正又は追補を承認する前に、第63条で定める手続の中で、それを欧州データ保護会議に送付し、欧州データ保護会議は、その行動規範案、改正又は追補が本規則を遵守するものであるか否か、又は、本条の第3項で定める状況において適切な保護措置を提供するものか否かに関し、意見を述べるものとする。
- (8) 第7項で定める意見書が、その行動規範案、改正又は追補が本規則を遵守するものであることを確認するものである場合、又は、第3項で定める状況の下における適切な保護措置を提供することを確認するものである場合、欧州データ保護会議は、欧州委員会に対し、その意見を送付するものとする。
- (9) 欧州委員会は、実装法令によって、本条第8項により欧州委員会に対して送付された承認された行動規範、その改正及び追補がEU域内において一般的な有効性をもつと決定することができる。 その実装法令は、第93条第2項で規定される審議手続に従って採択されなければならない。
- (10) 欧州委員会は、第9項に従って一般的な有効性をもつと決定された承認された規範に関し、適切な周知を確保するものとする。
- (11) 欧州データ保護会議は、全ての承認された行動規範、その改正及び追補を登録簿に整理列挙し、かつ、適切な手段によって、公衆がそれを利用できるようにするものとする。
一般データ保護規則(GDPR)条項
第40条