第40条 行为准则
1.成员国、监管机构以及欧盟数据保护委员会与欧盟委员会鼓励在考虑不同处理部门的特征以及微型、小型以及中型经济主体的特定需求的基础上起草促进本条例合理适用的行为准则。
2.协会以及其它代表某类控制者或处理者的实体为了对适用本规则进行细化,可以起草行为准则,或修正或延长此类准则,例如,它们可以起草涉及到如下事项的准则:
(a)合理与透明的处理;
(b)在特定情境下控制者所追求的正当利益;
(c)对个人数据的收集;
(d)对个人数据进行匿名化处置;
(e)提供给公众与数据主体的信息;
(f)数据主体权利的行使;
(g)提供给儿童和保护儿童的信息,以及为了获取儿童监护人同意所采取的形式;
(h)第24条和第25条所规定的措施与程序,以及为了保障第32条所规定的处理安全所采取的措施;
(i)向监管机构通报个人数据泄露,以及将此类个人数据泄露告知数据主体;
(j)将个人数据转移到第三国或国际组织;或者
(k)不影响第77条和第99条所规定的数据主体权利的庭外诉讼性活动,以及为了解决控制者与数据主体在处理相关事项中争议的纠纷解决程序。
3.控制者或处理者除了受本条例约束之外,对于根据第3条不受本条例约束的情形,为了保证在第46(2)条(e)点所规定的将个人数据转移到第三国或国际组织的框架中提供合适的安全措施,也可以受本条第5段所规定的已生效的行为准则约束,或者受本条第9段规定的具有一般性效力的行为准则所约束。为了提供此类合适的安全措施,包括和数据主体权利相关的安全措施,此类控制者或处理者应当通过合同或其他具有法律强制力的措施制定有约束力和可执行的承诺。
4.在不影响第55或56条所规定的有权监管机构的任务与权利的前提下,本条第2段所规定的行为准则应当包括使第41(1)条所规定的实体能履行其监管任务的有效措施,保证负责实施行为准则的控制者或处理者遵循其条款的规定。
5.本条第2段所规定的计划起草、修改行为准则或延长现有准则的协会或其他实体,应当将准则草案、修正案或延期提议提交给符合第55条的有权监管机构。监管机构应当提供一份意见书,表明草案、修正案或延期提议是否符合本条例的规定,如果监管机构认定已经采取了足够和适当的安全保障,其应当批准草案、修正案或延期提议。
6.当准则草案、或修正案或延期提议是根据第5段的规定而被批准的,并且行为准则不涉及多个成员国的处理活动,监管机构应当进行登记并发表准则。
7.当行为准则的草案涉及到多个国家的处理活动,第55条所规定的有权监管机构应当在批准准则草案、修订或延期之前将其按照第63条规定的程序提交给欧盟数据保护委员会,并应提供一份意见书,表明准则草案、修正案或延期是否遵循了本条例,或者——在第3段所规定的情形中——是否提供了恰当的安全措施。
8.当第7段中规定的意见书确认了准则草案、修正案或延期遵循了本条例,或者——在第3段所规定的情形中——提供了恰当的安全措施,欧盟数据保护委员会应当将意见书提交给欧盟委员会。
9.欧盟委员会应当通过制定实施法案确定,根据第8段规定而提交的已生效的行为准则、修正案或延期是否在欧盟具有一般效力。此类法案的制定应当符合第94(2)条所规定的核查程序。
10.对于已经被认定符合第9段中所规定的具有一般有效性的已生效准则,欧盟委员会应当保证其具有适当的公开性。
11.欧盟数据保护委员会应当核查所有登记的已生效行为准则、修正案以及延期,并且应当以恰当的方式使得公众能够获取。
