제70조 📖 GDPR. 유럽 데이터보호이사회의 업무

Стаття 70 GDPR. Завдання Ради

1. Рада забезпечує послідовне застосування цього Регламенту. З цією метою Рада, за власною ініціативою, або, за необхідності, на запит Комісії, зокрема:

(a) здійснює моніторинг і забезпечує правильне застосування цього Регламенту у випадках, передбачених статтями 64 і 65, без обмеження завдань національних наглядових органів;

관련 교과서

Стаття 64 GDPR. Висновок Ради

Стаття 65 GDPR. Врегулювання спорів Радою

(b) консультує Комісію з будь-якого питання, пов’язаного з захистом персональних даних у Союзі, в тому числі, з будь-яких змін і доповнень, які запропоновано внести до цього Регламенту;

(c) консультує Комісію щодо формату і процедур для обміну інформацією між контролерами, операторами та наглядовими органами щодо зобов’язальних корпоративних правил;

(d) видає настанови, рекомендації та інформацію про кращу практику щодо процедур для стирання посилань, копій чи накладів персональних даних із загальнодоступних послуг зв’язку, вказаних у статті 17(2);

관련 교과서

Стаття 17 GDPR. Право на стирання ("право бути забутим")

[…]

2. У разі, якщо контролер оприлюднив персональні дані та є зобов’язаним відповідно до параграфа 1 стерти персональні дані, контролер, з урахуванням наявних технологій та витрат на їхню реалізацію, повинен вжити відповідних заходів, у тому числі, технічних заходів, для інформування контролерів, які опрацьовують персональні дані, про те, що суб’єкт даних направив запит на стирання такими контролерами будь-яких посилань на такі персональні дані, їхні копії чи відтворення.

[…]

(e) розглядає, за власною ініціативою, на запит одного з її членів або на запит Комісії, будь-яке питання, що охоплює застосування цього Регламенту та видає настанови, рекомендації та інформацію про кращу практику для того, щоб заохотити послідовне застосування цього Регламенту;

(f) видає настанови, рекомендації та інформацію про кращу практику згідно з пунктом (e) цього параграфа для подальшого визначення критеріїв і умов для рішень, що ґрунтуються на профайлінгу відповідно до статті 22(2);

관련 교과서

Стаття 22 GDPR. Автоматизоване індивідуальне вироблення й ухвалення рішень, у тому числі, профайлінг

[…]

2. Параграф 1 не застосовують, якщо рішення:

[…]

(a) є необхідним для укладення чи виконання договору між суб’єктом даних і контролером даних;

(b) дозволено законодавством Союзу або держави-члена, яке поширюється на контролера та яким також передбачено відповідні заходи для захисту прав і свобод та законних інтересів суб’єкта даних; або

(c) ґрунтується на прямо висловленій згоді.

(g) видає настанови, рекомендації та інформацію про кращу практику згідно з пунктом (e) цього параграфа для встановлення порушень захисту персональних даних і визначення неналежної затримки, вказаної в статті 33(1) і (2), та для конкретних обставин, за яких необхідно, щоб контролер або оператор повідомляли про порушення захисту персональних даних;

관련 교과서

Стаття 33 GDPR. Нотифікація наглядового органу про порушення захисту персональних даних

1. У випадку порушення захисту персональних даних, контролер повинен без необґрунтованої затримки та, за можливості, не пізніше, ніж протягом 72 години після того, як йому стало відомо про це, повідомити про порушення захисту персональних даних наглядовий орган, який є компетентним згідно зі статтею 55, якщо таке порушення навряд чи призведе до виникнення ризику для прав і свобод фізичних осіб. Якщо нотифікацію наглядового органу не здійснюють протягом 72 годин, необхідно надати супровідну інформацію про причини затримки.

2. Оператор повинен повідомити контролера без необґрунтованої затримки після того, як йому стало відомо про порушення захисту персональних даних.

[…]

(h) видає настанови, рекомендації та інформацію про кращу практику згідно з пунктом (e) цього параграфа щодо обставин, за яких порушення захисту персональних даних ймовірно створюватиме високий ризик для прав і свобод фізичних осіб, вказаних у статті 34(1).

관련 교과서

Стаття 33 GDPR. Нотифікація наглядового органу про порушення захисту персональних даних

(i) видає настанови, рекомендації та інформацію про кращу практику згідно з пунктом (e) цього параграфа з метою подальшого визначення критеріїв і вимог для передавання персональних даних на підставі зобов’язальних корпоративних правил, яких дотримуються контролери, і зобов’язальних корпоративних правил, яких дотримуються оператори, а також подальших вимог, необхідних для забезпечення захисту персональних даних залучених суб’єктів даних, вказаних у статті 47;

관련 교과서

Стаття 47 GDPR. Зобов'язальні корпоративні правила

(j) видає настанови, рекомендації та інформацію про кращу практику згідно з пунктом (e) цього параграфа для подальшого уточнення критеріїв і вимог для передавання персональних даних на підставі статті 49(1);

관련 교과서

Стаття 49 GDPR. Відступи для спеціальних ситуацій

1. За відсутності рішення про відповідність згідно зі статтею 45(3) або належних гарантій відповідно до статті 46, в тому числі зобов’язальних корпоративних правил, передавання чи низка актів передавання персональних даних до третьої країни чи міжнародної організації відбувається лише за однієї з таких умов:

(a) суб’єкт даних надав чітку згоду на запропоноване передавання після того, як його було повідомлено про можливі ризики такого передавання для суб’єкта даних, зважаючи на відсутність рішення про відповідність та належних гарантій;

(b) передавання є необхідним для виконання контракту між суб’єктом даних і контролером або реалізації переддоговірних заходів, вжитих на запит суб’єкта даних;

(c) передавання є необхідним для укладення чи виконання договору, укладеного в інтересах суб’єкта даних між контролером та іншою фізичною чи юридичною особою;

(d) передавання є необхідним на важливих підставах суспільного інтересу;

(e) передавання є необхідним для формування, здійснення або захисту правових претензій;

(g) передавання здійснюють з реєстру, що, відповідно до законодавства Союзу або держави-члена, призначений для надання інформації громадськості та є відкритим для доступу як громадськості загалом, так і будь-якої іншої особи, яка може довести законний інтерес, але лише тією мірою, якою в конкретному випадку доступу виконано умови, встановлені законодавством Союзу або держави-члена.

(f) передавання є необхідним для захисту життєво важливих інтересів суб’єкта даних або інших осіб, якщо суб’єкт даних фізично чи юридично неспроможний надати згоду;

Якщо передавання не можна обґрунтувати на підставі положення статті 45 чи 46, в тому числі положень про зобов’язальні корпоративні правила, та жодний з відступів, застосовних до спеціальної ситуації, вказаної в першому підпараграфі цього параграфа, не є застосовним, передавання до третьої країни чи до міжнародної організації може мати місце лише у разі, якщо передавання не є повторюваним, стосується лише обмеженої кількості суб’єктів даних, є необхідним для цілей істотних законних інтересів контролера, над якими не переважають інтереси чи права і свободи суб’єкта даних, і контролер оцінив усі обставини, що супроводжують передавання даних, і на підставі такої оцінки надав належні гарантії щодо захисту персональних даних. Контролер повинен поінформувати наглядовий орган про передавання. Окрім надання інформації, вказаної в статтях 13 і 14, контролер інформує суб’єкта даних про передавання та свої істотні законні інтереси, що їх він переслідує.

(k) розробляє настанови для наглядових органів щодо застосування заходів, вказаних у статті 58(1), (2) і (3), та встановлення адміністративних штрафів відповідно до статті 83;

관련 교과서

Стаття 58 GDPR. Повноваження

1. Кожний наглядовий орган має всі слідчі повноваження, а саме:

2. Кожний наглядовий орган має всі виправні повноваження, а саме:

3. Кожний наглядовий орган має всі дозвільні і консультативні повноваження, а саме:

Стаття 83 GDPR. Загальні умови для накладання адміністративних штрафів

(l) переглядає практичне застосування настанов, рекомендацій і прикладів кращої практики, вказаних у пунктах (e) і (f);

(m) видає настанови, рекомендації та інформацію про кращу практику згідно з пунктом (e) цього параграфа для запровадження спільних процедур через звітування фізичними особами про порушення цього Регламенту згідно зі статтею 54(2);

관련 교과서

Стаття 54 GDPR. Правила заснування наглядового органу

[…]

2. На члена або членів та персонал кожного наглядового органу поширюється, згідно з законодавством Союзу або держави-члена, обов’язок збереження професійної таємниці як протягом, так і після строку їхніх повноважень, щодо будь-якої конфіденційної інформації, про яку вони дізналися під час виконання своїх завдань або реалізації своїх повноважень. Під час строку їхніх повноважень, такий обов’язок збереження професійної таємниці, зокрема, застосовують до звітування фізичних осіб про порушення за цим Регламентом.

(n) заохочує розроблення кодексів поведінки та запровадження механізмів сертифікації захисту даних та штампів і знаків захисту даних згідно зі статтями 40 і 42;

관련 교과서

Стаття 40 GDPR. Кодекс поведінки

Стаття 42 GDPR. Сертифікація

(o) проводить акредитацію органів сертифікації, здійснює періодичний перегляд відповідно до статті 43, веде публічний реєстр акредитованих органів відповідно до статті 43(6) та акредитованих контролерів або операторів, які мають свої осідки в третіх країнах згідно зі статтею 42(7);

관련 교과서

Стаття 43 GDPR. Органи сертифікації

[…]

6. Наглядовий орган повинен у доступній формі оприлюднити вимоги, вказані в параграфі З цієї статті, та критерії, вказані в статті 42(5). Наглядові органи також передають ці вимоги та критерії Раді. Рада впорядковує усі механізми сертифікації та штампи захисту даних у формі реєстру і оприлюднює їх належними засобами.

[…]

Стаття 42 GDPR. Сертифікація

[…]

7. Сертифікацію видають контролеру або оператору на строк до трьох років, її може бути поновлено на тих самих умовах, якщо і надалі буде виконано відповідні вимоги. Сертифікацію відкликають, у разі необхідності, органи сертифікації, вказані в статті 43, або компетентний наглядовий орган, якщо вимоги для сертифікації не виконано або більше не виконують.

[…]

(p) визначає вимоги, вказані в статті 43(3), для акредитації органів сертифікації згідно зі статтею 42;

관련 교과서

Стаття 43 GDPR. Органи сертифікації

[…]

3. Акредитацію органів сертифікації, як вказано в параграфах 1 і 2 цієї статті, здійснюють на підставі критеріїв, затверджених наглядовим органом, що є компетентним згідно зі статтею 55 чи 56 або Радою відповідно до статті 63. У випадку акредитації відповідно до пункту (b) параграфа 1 цієї статті, ці вимоги доповнюють ті, що передбачені в Регламенті (ЄС) N 765/2008, і технічні норми, що описують методи та процедури органів сертифікації.

[…]

Стаття 42 GDPR. Сертифікація

(q) надає Комісії висновок щодо вимог до сертифікації, вказаних у статті 43(8);

관련 교과서

Стаття 43 GDPR. Органи сертифікації

[…]

8. Комісія повинна мати повноваження ухвалювати делеговані акти згідно зі статтею 92 з метою уточнення вимог, які необхідно врахувати щодо механізмів сертифікації захисту даних, вказаних у статті 42(1).

[…]

(r) надає Комісії висновок щодо іконок, вказаних у статті 12(7);

관련 교과서

Стаття 12 GDPR. Прозора інформація, повідомлення та форми реалізації прав суб'єкта даних

[…]

7. Інформацію, яку необхідно надати суб’єктам даних відповідно до статей 13 і 14, можна надавати в поєднанні зі стандартизованими іконками для того, щоб надати конструктивний огляд призначеного опрацювання у видимий, доступний для розуміння та чіткий спосіб. У випадку електронного представлення іконок, – вони повинні легко зчитуватися машиною.

[…]

(s) надає Комісії висновок для оцінювання належного рівня захисту в третій країні чи міжнародній організації, в тому числі для оцінювання, чи не забезпечує більше третя країна, територія чи один або декілька визначених секторів у межах третьої країни, чи міжнародна організація належний рівень захисту даних. З цією метою, Комісія надає Раді всю необхідну документацію, в тому числі кореспонденцію з урядом третьої країни, щодо такої третьої країни, території чи визначеного сектору, чи з міжнародною організацією.

(t) видає висновки щодо проектів рішень наглядових органів відповідно до механізму послідовності, вказаного в статті 64(1), щодо питань, поданих відповідно до статті 64(2), та видає зобов’язальні рішення відповідно до статті 65, у тому числі у випадках, вказаних у статті 66;

관련 교과서

Стаття 64 GDPR. Висновок Ради

1. Рада ухвалює висновок, за яким компетентний наглядовий орган має намір ухвалити будь-який з інструментів, зазначених нижче. З цією метою компетентний наглядовий орган повідомляє проект рішення Ради, якщо воно:

(a) спрямоване на ухвалення списку операцій опрацювання, з урахуванням вимог для оцінювання впливу на захист даних згідно зі статтею 35(4);

(b) стосується питання відповідно до статті 40(7) про те, чи відповідає проект кодексу поведінки чи зміни або розширення кодексу поведінки цьому Регламенту;

(c) спрямоване на затвердження критеріїв для акредитації органу згідно зі статтею 41(3) чи органу сертифікації згідно зі статтею 43(3);

(e) спрямоване на надання дозволу на договірні положення, вказані в пункті (a) статті 46(3); чи

(f) спрямоване на ухвалення зобов’язальних корпоративних правил у значенні статті 47;

2. Будь-який наглядовий орган, Голова Ради чи Комісія можуть направити запит про те, щоб будь-яке питання загального застосування або таке, що породжує наслідки у декількох державах-членах, було розглянуто Радою, з метою отримання висновку, зокрема, якщо компетентний наглядовий орган не дотримується обов’язків щодо взаємної допомоги згідно зі статтею 61 або щодо об’єднаних операцій згідно зі статтею 62.

[…]

Стаття 65 GDPR. Врегулювання спорів Радою

Стаття 66 GDPR. Екстрена процедура

(u) заохочує співпрацю та ефективний двосторонній і багатосторонній обмін інформацією та кращою практикою між наглядовими органами;

(v) сприяє спільним навчальним програмам і забезпечує можливість обмінів персоналом між наглядовими органами та, за необхідності, з наглядовими органами третіх країн або з міжнародними організаціями;

(w) сприяє обміну знаннями та документацією щодо законодавства із захисту даних і практикою з органами нагляду за захистом даних у всьому світі;

(x) видає висновки щодо кодексів поведінки, розроблених на рівні Союзу відповідно до статті 40(9); і

관련 교과서

Стаття 40 GDPR. Кодекс поведінки

9. Комісія може, за допомогою імплементаційних актів, вирішити, що затверджений кодекс поведінки, змін та доповнень або розширення, що подають їй відповідно до параграфа 8 цієї статті, мають загальну дію в межах Союзу. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, встановленої в статті 93(2).

[…]

(y) веде загальнодоступний електронний реєстр рішень, ухвалених наглядовими органами та судами щодо питань, які розглядали за механізмом послідовності.

2. Якщо Комісія надає запит на консультацію Ради, вона може вказати часове обмеження, беручи до уваги терміновий характер питання.

3. Рада передає свої висновки, настанови, рекомендації та інформацію про кращу практику Комісії та комітету, вказаному в статті 93, і опубліковує їх.

관련 교과서

Стаття 93 GDPR. Процедура Комітету

1. Комісії допомагає комітет. Комітет є комітетом у значенні Регламенту (ЄЄ) N 182/2011.

2. У разі покликання на цей параграф необхідно застосовувати статтю 5 Регламенту (ЄЄ) N 182/2011.

3. У разі покликання на цей параграф необхідно застосовувати статтю 8 Регламенту (ЄЄ) N 182/2011 у поєднанні зі статтею 5.

4. Рада, за необхідності, консультує відповідні сторони та забезпечує їх можливістю надавати коментарі у розумний строк. Рада, без обмеження статті 76, оприлюднює результати процедури консультації.

관련 교과서

Стаття 76 GDPR. Конфіденційність

1. Обговорення Ради є конфіденційними, якщо Рада вважає це за необхідне, як передбачено в її правилах процедури.

2. Доступ до документів, поданих до членів Ради, експертів і представників третіх сторін, регулюється Регламентом Європейського Парламенту і Ради (ЄС) N 1049/2001 [21].

Загальний регламент про захист даних (GDPR)

Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf

코멘트를 남겨주세요

[js-disqus]