Статья 64 GDPR. Заключение Европейского совета по защите персональных данных

Статья 65 GDPR. Разрешение споров Европейским советом по защите персональных данных

Статья 17 GDPR. Право на удаление данных ("право быть забытым")

[…]

2. Если контролёр обнародовал персональные данные и он согласно параграфу 1 обязан удалить персональные данные, контролёр, принимая во внимание имеющихся технологические возможности и расходы на внедрение должен принять разумные меры, в том числе технические меры, чтобы проинформировать контролёров, которые обрабатывают персональные данные, о том, что субъект данных затребовал от них удаление любых ссылок, копий или точных повторений указанных персональных данных.

[…]

Статья 22 GDPR. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование

[…]

2. Параграф 1 не применяется, если решение:

[…]

(а) необходимо для заключения или исполнения договора между субъектом данных и контролёром данных;

(b) разрешено законодательством Союза или государства-члена, которому подчиняется контролёр, и которое также устанавливают надлежащие меры защиты прав, свобод и законных интересов субъекта данных; или

(с) основывается на отчетливом согласии субъекта данных.

Статья 33 GDPR. Уведомление надзорного органа о нарушении безопасности персональных данных

1. В случае нарушения безопасности персональных данных, контролёр без неоправданной задержки – по возможности не позднее чем через 72 часа после обнаружения данного нарушения – должен уведомлять о ней компетентный надзорный орган в соответствии со статьей 55, за исключением случаев, когда маловероятно, что оно приведет к какому-либо риску для прав и свобод физических лиц. В случае, если уведомление не было сделано в течение 72 часов, его необходимо сопроводить объяснением причин задержки.

2. Без неоправданной задержки после обнаружения нарушения безопасности персональных данных процессор обязан уведомить о ней контролёра.

[…]

Статья 33 GDPR. Уведомление надзорного органа о нарушении безопасности персональных данных

1. В случае нарушения безопасности персональных данных, контролёр без неоправданной задержки – по возможности не позднее чем через 72 часа после обнаружения данного нарушения – должен уведомлять о ней компетентный надзорный орган в соответствии со статьей 55, за исключением случаев, когда маловероятно, что оно приведет к какому-либо риску для прав и свобод физических лиц. В случае, если уведомление не было сделано в течение 72 часов, его необходимо сопроводить объяснением причин задержки.

2. Без неоправданной задержки после обнаружения нарушения безопасности персональных данных процессор обязан уведомить о ней контролёра.

Статья 47 GDPR. Обязательные корпоративные правила

Статья 49 GDPR. Отступление от соблюдения обязательств в особых случаях

1. В случае отсутствия решения об адекватной защите согласно Статье 45(3) или соответствующих гарантий согласно Статье 46, включая обязательные корпоративные правила, передача или ряд передач персональных данных в третью страну или международную организацию должна осуществляться только при соблюдении одного из следующих условий:

(a) субъект данных отчетливо согласился на предлагаемую передачу персональных данных, будучи проинформированным о возможных рисках такой передачи персональных данных ввиду отсутствия решения об адекватной защите и соответствующих средствах защиты;

(b) передача необходима для выполнения договора между субъектом данных и контролёром или для осуществления преддоговорных мер, принимаемых по запросу субъекта данных;

(c) передача необходима для заключения или исполнения договора, заключенного в интересах субъекта данных между контролёром и другим физическим или юридическим лицом;

(d) передача необходима по важным причинам публичного интереса;

(e) передача необходима для заявления, осуществления или оспаривания правовых требований и исков;

(g) передача ведется из регистра, который согласно праву Союза или государства-члена предназначен для предоставления информации общественности и который открыт для ознакомления широкой общественностью или любым лицом, которое может продемонстрировать легитимный интерес, но только в той мере, насколько в каждом отдельном случае выполняются условия для ознакомления, установленные правом Союза или государства-члена.

(f) передача необходима для защиты жизненно важных интересов субъекта данных или других лиц, если субъект данных физически или юридически не способен дать свое согласие;

В случае если передача не может основываться на положениях Статей 45 или 46, в том числе на положениях об обязательных корпоративных правилах, и если не применяются отступления от соблюдения обязательств в особых случаях согласно первому подпараграфу настоящего параграфа, передача персональных данных третьей стране или международной организации может осуществляться только, если передача не носит повторяющийся характер, касается только ограниченного количества субъектов данных, необходима в целях существенных легитимных интересов контролёра, которые не превалируют над интересами или правами и свободами субъектов данных, и контролёр оценил все обстоятельства, связанные с передачей персональных данных, и на основании указанной оценки предусмотрел соответствующие гарантии касательно защиты персональных данных. Контролёр информирует о передаче надзорный орган. В дополнение к предоставлению информации, указанной в Статьях 13 и 14, контролёр информирует субъекта данных о передаче персональных данных и о своих легитимных интересах.

Статья 58 GDPR. Полномочия

1. Каждый надзорный орган должен располагать следующими полномочиями по расследованию:

2. Каждый надзорный орган должен располагать следующими корректирующими полномочиями:

3. Каждый надзорный орган должен располагать следующими разрешительными и консультативными полномочиями:

Статья 83 GDPR. Общие условия для наложения административных штрафов

Статья 54 GDPR. Правила учреждения надзорного органа

[…]

2. Член или члены, а также персонал каждого надзорного органа должны, в соответствии с правом Евросоюза или правом государства-члена, подпадать под действие обязанности соблюдения профессиональной тайны, как во время, так и после истечения срока их полномочий, в отношении любой конфиденциальной информации, которая стала известна им в ходе выполнения своих задач или осуществления своих полномочий. В течение срока их полномочий такая обязанность соблюдения профессиональной тайны должна, в том числе, применяться к сообщениям физических лиц о нарушениях настоящего Регламента.

Статья 40 GDPR. Кодексы поведения

Статья 42 GDPR. Сертификация

Статья 43 GDPR. Органы по сертификации

[…]

6. Требования, указанные в параграфе 3 настоящей Статьи, и критерии, указанные в Статье 42(5), публикуются надзорным органом в легкодоступной форме. Надзорные органы также представляют эти требования и критерии Совета. Совет вносит все механизмы сертификации и печати о защите данных в реестр и публикует его соответствующим способом.

[…]

Статья 42 GDPR. Сертификация

[…]

7. Сертификация предоставляется контролёру или процессору на срок не более трех лет и может быть продлена на тех же самых условиях в случае, если соответствующие требования продолжают соблюдаться. Сертификация должна быть отозвана органами по сертификации, указанными в Статье 43, или компетентным надзорным органом, если требования для сертификации больше не соблюдаются или больше не выполняются.

[…]

Статья 43 GDPR. Органы по сертификации

[…]

3. Аккредитация органов по сертификации, указанных в параграфах 1 и 2 настоящей Статьи, осуществляется на основе критериев, одобренных надзорным органом, компетентным согласно Статье 55 или 56, или Советом согласно Статье 63. В случае аккредитации согласно пункту (b) параграфа 1 настоящей Статьи, эти требования должны дополнять требования, предусмотренные Регламентом 765/2008 и техническими правилам, которые описывают методы и процедуры органов по сертификации.

[…]

Статья 42 GDPR. Сертификация

Статья 43 GDPR. Органы по сертификации

[…]

8. Европейская Комиссия уполномочена принимать делегированные акты в соответствии со Статьей 92 для определения требований, которые необходимо учесть для механизмов сертификации защиты данных, указанных в Статье 42(1).

[…]

Статья 12 GDPR. Прозрачное информирование и коммуникация, а также режим осуществления прав субъекта данных

[…]

7. Информация, которая предоставляется субъектам данных в соответствии со статьями 13 и 14, может снабжаться стандартизированными пиктограммами для того, чтобы в легко понятной, ясной и удобочитаемой форме сделать обзор предполагаемой обработки. Если эти символы представлены в электронном виде, они должны быть машиночитаемыми.

[…]

Статья 64 GDPR. Заключение Европейского совета по защите персональных данных

1. Европейский совет по защите персональных данных дает свое заключение, если компетентный надзорный орган намерен принять любую из нижеуказанных мер. В этих целях, компетентный надзорный орган передает Европейскому совету по защите персональных данных проект решения, когда оно касается:

(a) утверждения перечня операций по обработке, с учетом требований оценки воздействия на защиту персональных данных в соответствии со Статьей 35(4);

(b) принятия решения согласно Статье 40(7), соответствует ли настоящему Регламенту проект кодекса поведения либо его изменение или расширение;

(c) утверждения критериев аккредитации организаций, согласно Статье 41(3), или органа сертификации согласно Статье 43(3);

(e) утверждения стандартных договорные условий защиты персональных данных, указанных в пункте (a) Статьи 46(3); или

(f) одобрения обязательных корпоративных правил в понимании Статьи 47.

2. Любой надзорный орган, Председатель Европейского совета по защите персональных данных или Европейская Комиссия могут потребовать, чтобы любой вопрос общего применения или порождающий последствия в нескольких государствах-членах, был изучен Европейским Советом по защите персональных данных на предмет получения заключения, в том числе когда компетентный надзорный орган не выполняет обязательств по оказанию взаимной помощи в соответствии со Статьей 61 или по совместным действиям в соответствии со Статьей 62.

[…]

Статья 65 GDPR. Разрешение споров Европейским советом по защите персональных данных

Статья 66 GDPR. Процедура срочности

Статья 40 GDPR. Кодексы поведения

9. Европейская Комиссия посредством исполнительных актов может принять решение о том, что утвержденный кодекс поведения, изменения или дополнения, предоставленные ей на рассмотрение в соответствии с параграфом 8 настоящей Статьи, имеют всеобщее действие на территории Союза. Такие исполнительные акты утверждаются в соответствии с процедурой проверки, указанной в Статье 93(2).

[…]

Статья 93 GDPR. Процедура Комитета

1. Европейская Комиссия должна оказывать содействие Комитету. Такой Комитет должен являться комитетом в значении Регламента (ЕС) 182/2011.

2. В случае, когда сделана ссылка на настоящий параграф, должна применяться Статья 5 Регламента (ЕС) 182/2011.

3. В случае, когда сделана ссылка на настоящий параграф, должна применяться Статья 8 Регламента (ЕС) 182/2011 во взаимосвязи с положениями Статьи 5 названного Регламента.

Статья 76 GDPR. Конфиденциальность

1. Обсуждения Европейского совета по защите персональных данных должны быть конфиденциальными, если он сочтет это необходимым, в соответствии с порядком, предусмотренным его правилам процедур.

2. Доступ к документам, представленным на рассмотрение членам Европейского совета по защите персональных данных, экспертам и представителям третьих сторон, регулируется Регламентом (ЕС) 1049/2001 Европейского Парламента и Совета ЕС [21].