Статья 42 📖 GDPR. Сертификация

Статья 42 GDPR. Сертификация

Article 42 GDPR. Certification

1. Государства-члены, надзорные органы, Европейский совет защиты персональных данных и Европейская Комиссия поощряют, в частности на уровне Союза, учреждение механизмов сертификации защиты данных, а также печатей и маркировочных знаков защиты данных, предназначенных для демонстрации соблюдения настоящего Регламента при осуществлении операций по обработке данных контролёрами и процессорами. Принимаются во внимание особые потребности микро-, малых и средних предприятий.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage, in particular at Union level, the establishment of data protection certification mechanisms and of data protection seals and marks, for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors. The specific needs of micro, small and medium-sized enterprises shall be taken into account.

2. В дополнение к соблюдению контролёрами и процессорами, подпадающими под действие настоящего Регламента, могут быть установлены механизмы сертификации защиты данных, печати и маркировочные знаки, установленные параграфом 5 настоящей Статьи, с целью продемонстрировать наличие соответствующих гарантий, предоставляемых контролёрами или процессорами, которые не подпадают под действие настоящего Регламента согласно статье 3, в рамках передачи персональных данных третьим странам или международным организациям на основании пункта f статьи 46(2). Указанные контролёры или процессоры должны посредством договорных или иных юридически обязывающих механизмов возложить на себя обязательства, имеющие принудительную силу и подлежащие неукоснительному соблюдению, применять такие надлежащие гарантии, в том числе в отношении прав субъектов данных.

2. In addition to adherence by controllers or processors subject to this Regulation, data protection certification mechanisms, seals or marks approved pursuant to paragraph 5 of this Article may be established for the purpose of demonstrating the existence of appropriate safeguards provided by controllers or processors that are not subject to this Regulation pursuant to Article 3 within the framework of personal data transfers to third countries or international organisations under the terms referred to in point (f) of Article 46(2). Such controllers or processors shall make binding and enforceable commitments, via contractual or other legally binding instruments, to apply those appropriate safeguards, including with regard to the rights of data subjects.

Связанные статьи

Статья 3 GDPR. Территориальная сфера действия

Article 3 GDPR. Territorial scope

Статья 46 GDPR. Передача данных при условии осуществления надлежащих гарантий

Article 46 GDPR. Transfers subject to appropriate safeguards

1. При отсутствии решения об адекватности в соответствии со статьей 45(3), контролёр или процессор может передавать персональные данные в третью страну или международную организацию, только если контролёр или процессор обеспечивает соответствующие гарантии и при условии, что субъектам данных доступны обладающие силой принудительного исполнения права и эффективные средства правовой защиты.

1. In the absence of a decision pursuant to Article 45(3), a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available.

2. Надлежащие гарантии, указанные в параграфе 1, можно обеспечить (без необходимости получения специального разрешения от надзорного органа) с помощью:

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

[…]

(f) утвержденного механизма сертификации согласно статье 42, вместе с обязательными и обладающими силой принудительного исполнения обязательствами контролёра или процессора в третьей стране применить надлежащие меры, в том числе в отношении прав субъектов данных;

(f) an approved certification mechanism pursuant to Article 42 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights.

[…]

3. Сертификация должна быть добровольной и доступной посредством прозрачной процедуры.

3. The certification shall be voluntary and available via a process that is transparent.

4. Сертификация согласно настоящей Статье не уменьшает ответственность контролёра или процессора за соответствие настоящему Регламенту и не отменяет задачи и полномочия надзорных органов, которые компетентны в соответствии со статьей 55 и 56.

4. A certification pursuant to this Article does not reduce the responsibility of the controller or the processor for compliance with this Regulation and is without prejudice to the tasks and powers of the supervisory authorities which are competent pursuant to Article 55 or 56.

Связанные статьи

Статья 55 GDPR. Компетенция

Article 55 GDPR. Competence

1. Каждый надзорный орган должен обладать компетенцией по выполнению задач, возложенных на него, и осуществлению полномочий, предоставленных ему в соответствии с настоящим Регламентом, на территории его собственного государства-члена.

1. Each supervisory authority shall be competent for the performance of the tasks assigned to and the exercise of the powers conferred on it in accordance with this Regulation on the territory of its own Member State.

2. Если обработка осуществляется государственными органами или частными организациями, действующими на основании пункта (с) или (е) Статьи 6(1), ответственным является надзорный орган соответствующего государства-члена. В таких случаях Статья 56 не применяется.

2. Where processing is carried out by public authorities or private bodies acting on the basis of point (c) or (e) of Article 6(1), the supervisory authority of the Member State concerned shall be competent. In such cases Article 56 does not apply.

3. Контроль над обработкой данных, которая ведется судами в рамках осуществления правосудия, не входит в компетенцию надзорных органов.

3. Supervisory authorities shall not be competent to supervise processing operations of courts acting in their judicial capacity.

Статья 56 GDPR. Компетенция ведущего надзорного органа

Article 56 GDPR. Competence of the lead supervisory authority

1. Без ущерба действию Статьи 55 надзорный орган, курирующий основную организационную единицу или единственную организационную единицу контролёра или процессора, уполномочен выступать в качестве ведущего надзорного органа для трансграничной обработки, осуществляемой указанным контролёром или процессором, в порядке, предусмотренном в Статье 60.

1. Without prejudice to Article 55, the supervisory authority of the main establishment or of the single establishment of the controller or processor shall be competent to act as lead supervisory authority for the cross-border processing carried out by that controller or processor in accordance with the procedure provided in Article 60.

2. В порядке частичного отступления от части первой каждый надзорный орган уполномочен рассматривать поданные ему жалобы или возможные нарушения настоящего Регламента, если предмет рассмотрения относится только к организационной единице в его государстве-члене ЕС или существенно влияет на субъекты данных только в его государстве-члене ЕС.

2. By derogation from paragraph 1, each supervisory authority shall be competent to handle a complaint lodged with it or a possible infringement of this Regulation, if the subject matter relates only to an establishment in its Member State or substantially affects data subjects only in its Member State.

3. В случаях, указанных в части второй настоящей статьи, надзорный орган должен незамедлительно проинформировать ведущий надзорный орган об указанном обстоятельстве. В течение трех недель после получения соответствующей информации ведущий надзорный орган должен принять решение о рассмотрении указанного дела в порядке, предусмотренном в Статье 60, принимая во внимание тот факт, имеет ли контролёр или процессор организационную единицу в государстве-члене ЕС, надзорный орган которого проинформировал его.

3. In the cases referred to in paragraph 2 of this Article, the supervisory authority shall inform the lead supervisory authority without delay on that matter. Within a period of three weeks after being informed the lead supervisory authority shall decide whether or not it will handle the case in accordance with the procedure provided in Article 60, taking into account whether or not there is an establishment of the controller or processor in the Member State of which the supervisory authority informed it.

4. Если ведущий надзорный орган принимает решение о ведении дела, то применяется порядок, предусмотренный Статьей 60. Надзорный орган, который проинформировал ведущий надзорный орган, может предоставить ему проект решения. Ведущий надзорный орган должен уделить максимальное внимание указанному проекту при подготовке проекта решения, указанного в Статье 60(3).

4. Where the lead supervisory authority decides to handle the case, the procedure provided in Article 60 shall apply. The supervisory authority which informed the lead supervisory authority may submit to the lead supervisory authority a draft for a decision. The lead supervisory authority shall take utmost account of that draft when preparing the draft decision referred to in Article 60(3).

5. Если ведущий надзорный орган принимает решение не вести дело, то надзорный орган, который проинформировал ведущий надзорный орган, должен вести его согласно Статьям 61 и 62.

5. Where the lead supervisory authority decides not to handle the case, the supervisory authority which informed the lead supervisory authority shall handle it according to Articles 61 and 62.

6. Ведущий надзорный орган должен являться единственным контактным лицом контролёра или процессора по вопросам, связанным с трансграничной обработкой, осуществляемой указанным контролёром или процессором.

6. The lead supervisory authority shall be the sole interlocutor of the controller or processor for the cross-border processing carried out by that controller or processor.

5. Сертификация согласно настоящей Статье должна осуществляться органами по сертификации, указанными в Статье 43, или компетентным надзорным органом на основе критериев, утвержденных этим компетентным надзорным органом согласно Статье 58(3) или Европейским советом по защите персональных данных согласно Статье 63. Если критерии утверждаются Европейским советом по защите персональных данных, это может привести к всеобщей сертификации, то есть к Европейскому знаку защиты персональных данных.

5. A certification pursuant to this Article shall be issued by the certification bodies referred to in Article 43 or by the competent supervisory authority, on the basis of criteria approved by that competent supervisory authority pursuant to Article 58(3) or by the Board pursuant to Article 63. Where the criteria are approved by the Board, this may result in a common certification, the European Data Protection Seal.

Связанные статьи

Статья 43 GDPR. Органы по сертификации

Article 43 GDPR. Certification bodies

Статья 58 GDPR. Полномочия

Article 58 GDPR. Powers

[…]

3. Каждый надзорный орган должен располагать следующими разрешительными и консультативными полномочиями:

3. Each supervisory authority shall have all of the following authorisation and advisory powers:

(a) консультировать контролёра в соответствии с порядком предварительной консультации, предусмотренным Статьей 36;

(a) to advise the controller in accordance with the prior consultation procedure referred to in Article 36;

(b) по собственной инициативе или по запросу выдавать национальному парламенту, правительству государства-члена ЕС или, в соответствии с законодательством государства-члена ЕС, другим институтам или органам, а также общественности заключения по любому вопросу, связанному с защитой персональных данных;

(b) to issue, on its own initiative or on request, opinions to the national parliament, the Member State government or, in accordance with Member State law, to other institutions and bodies as well as to the public on any issue related to the protection of personal data;

(c) разрешать обработку, указанную в Статье 36(5), если в соответствии с законодательством государства-члена ЕС требуется такое предварительное разрешение;

(c) to authorise processing referred to in Article 36(5), if the law of the Member State requires such prior authorisation;

(d) выдавать заключение и утверждать проекты кодексов поведения согласно Статье 40(5);

(d) to issue an opinion and approve draft codes of conduct pursuant to Article 40(5);

(e) аккредитовывать сертификационные органы согласно Статье 43;

(e) to accredit certification bodies pursuant to Article 43;

(f) выдавать сертификаты и утверждать критерии сертификации в соответствии со Статьей 42(5);

(f) to issue certifications and approve criteria of certification in accordance with Article 42(5);

(g) принимать стандартные условия по защите данных, указанные в Статье 28(8) и в пункте (d) Статьи 46(2);

(g) to adopt standard data protection clauses referred to in Article 28(8) and in point (d) of Article 46(2);

(h) утверждать договорные условия, указанные в пункте (a) Статьи 46(3);

(h) to authorise contractual clauses referred to in point (a) of Article 46(3);

(i) утверждать административные соглашения, указанные в пункте (b) Статьи 46(3);

(i) to authorise administrative arrangements referred to in point (b) of Article 46(3);

(j) утверждать обязательные корпоративные правила согласно Статье 47.

(j) to approve binding corporate rules pursuant to Article 47.

[…]

Статья 63 GDPR. Механизм согласования

Article 63 GDPR. Consistency mechanism

С целью способствования согласованному применению настоящего Регламента в Союзе надзорные органы должны сотрудничать друг с другом и в соответствующих случаях с Комиссией посредством механизма согласования, указанного в настоящем Разделе.

In order to contribute to the consistent application of this Regulation throughout the Union, the supervisory authorities shall cooperate with each other and, where relevant, with the Commission, through the consistency mechanism as set out in this Section.

6. Контролёр или процессор, которые представляют осуществляемую им обработку механизму сертификации, предоставляют органу по сертификации, указанному в Статье 43, или в соответствующих случаях компетентному надзорному органу всю информацию и доступ к деятельности по обработке, что необходимо для проведения процедуры сертификации.

6. The controller or processor which submits its processing to the certification mechanism shall provide the certification body referred to in Article 43, or where applicable, the competent supervisory authority, with all information and access to its processing activities which are necessary to conduct the certification procedure.

Связанные статьи

Статья 43 GDPR. Органы по сертификации

Article 43 GDPR. Certification bodies

7. Сертификация предоставляется контролёру или процессору на срок не более трех лет и может быть продлена на тех же самых условиях в случае, если соответствующие требования продолжают соблюдаться. Сертификация должна быть отозвана органами по сертификации, указанными в Статье 43, или компетентным надзорным органом, если требования для сертификации больше не соблюдаются или больше не выполняются.

7. Certification shall be issued to a controller or processor for a maximum period of three years and may be renewed, under the same conditions, provided that the relevant criteria continue to be met. Certification shall be withdrawn, as applicable, by the certification bodies referred to in Article 43 or by the competent supervisory authority where the criteria for the certification are not or are no longer met.

Связанные статьи

Статья 43 GDPR. Органы по сертификации

Article 43 GDPR. Certification bodies

8. Европейский совет по защите персональных данных должен внести все механизмы сертификации, печати и маркировочные знаки о защите данных в реестр и опубликовать их соответствующим способом.

8. The Board shall collate all certification mechanisms and data protection seals and marks in a register and shall make them publicly available by any appropriate means.

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 42 GDPR:

5.2.1 Понимание организации и ее контекста

Организация включает в число своих заинтересованных сторон (см. ISO/IEC 27001:2013, 4.2) те стороны, которые имеют интересы или обязанности, связанные с обработкой ПИИ, включая субъектов ПИИ.

…

Войти
для доступа к полному тексту

Преамбулы

(100) Для того чтобы повысить прозрачность и улучшить соблюдение настоящего Регламента, необходимо содействовать установлению сертификационных механизмов, а также печатей и маркировочных знаков о защите данных, которые позволят субъектам данных быстро оценить уровень защищенности данных в соответствующем продукте или услуге.

(100) In order to enhance transparency and compliance with this Regulation, the establishment of certification mechanisms and data protection seals and marks should be encouraged, allowing data subjects to quickly assess the level of data protection of relevant products and services.

Руководство и прецедентное право

(EN)

Document

EDPB, Guidelines 1/2018 on Certification and Identifying Certification Criteria in Accordance with Articles 42 and 43 of the Regulation (2019).

EDPB, Opinion 1/2022on the draft decision of the Luxembourg Supervisory Authority regarding the GDPR – CARPA certification criteria (2022).

Оставить комментарий

[js-disqus]