Article 42 📖 GDPR. Certification

Статья 42 GDPR. Сертификация

1. Государства-члены, надзорные органы, Европейский совет защиты персональных данных и Европейская Комиссия поощряют, в частности на уровне Союза, учреждение механизмов сертификации защиты данных, а также печатей и маркировочных знаков защиты данных, предназначенных для демонстрации соблюдения настоящего Регламента при осуществлении операций по обработке данных контролёрами и процессорами. Принимаются во внимание особые потребности микро-, малых и средних предприятий.

2. В дополнение к соблюдению контролёрами и процессорами, подпадающими под действие настоящего Регламента, могут быть установлены механизмы сертификации защиты данных, печати и маркировочные знаки, установленные параграфом 5 настоящей Статьи, с целью продемонстрировать наличие соответствующих гарантий, предоставляемых контролёрами или процессорами, которые не подпадают под действие настоящего Регламента согласно статье 3, в рамках передачи персональных данных третьим странам или международным организациям на основании пункта f статьи 46(2). Указанные контролёры или процессоры должны посредством договорных или иных юридически обязывающих механизмов возложить на себя обязательства, имеющие принудительную силу и подлежащие неукоснительному соблюдению, применять такие надлежащие гарантии, в том числе в отношении прав субъектов данных.

Статья 3 GDPR. Территориальная сфера действия

Статья 46 GDPR. Передача данных при условии осуществления надлежащих гарантий

1. При отсутствии решения об адекватности в соответствии со статьей 45(3), контролёр или процессор может передавать персональные данные в третью страну или международную организацию, только если контролёр или процессор обеспечивает соответствующие гарантии и при условии, что субъектам данных доступны обладающие силой принудительного исполнения права и эффективные средства правовой защиты.

2. Надлежащие гарантии, указанные в параграфе 1, можно обеспечить (без необходимости получения специального разрешения от надзорного органа) с помощью:

[…]

(f) утвержденного механизма сертификации согласно статье 42, вместе с обязательными и обладающими силой принудительного исполнения обязательствами контролёра или процессора в третьей стране применить надлежащие меры, в том числе в отношении прав субъектов данных;

[…]

3. Сертификация должна быть добровольной и доступной посредством прозрачной процедуры.

4. Сертификация согласно настоящей Статье не уменьшает ответственность контролёра или процессора за соответствие настоящему Регламенту и не отменяет задачи и полномочия надзорных органов, которые компетентны в соответствии со статьей 55 и 56.

Статья 55 GDPR. Компетенция

1. Каждый надзорный орган должен обладать компетенцией по выполнению задач, возложенных на него, и осуществлению полномочий, предоставленных ему в соответствии с настоящим Регламентом, на территории его собственного государства-члена.

2. Если обработка осуществляется государственными органами или частными организациями, действующими на основании пункта (с) или (е) Статьи 6(1), ответственным является надзорный орган соответствующего государства-члена. В таких случаях Статья 56 не применяется.

3. Контроль над обработкой данных, которая ведется судами в рамках осуществления правосудия, не входит в компетенцию надзорных органов.

Статья 56 GDPR. Компетенция ведущего надзорного органа

1. Без ущерба действию Статьи 55 надзорный орган, курирующий основную организационную единицу или единственную организационную единицу контролёра или процессора, уполномочен выступать в качестве ведущего надзорного органа для трансграничной обработки, осуществляемой указанным контролёром или процессором, в порядке, предусмотренном в Статье 60.

2. В порядке частичного отступления от части первой каждый надзорный орган уполномочен рассматривать поданные ему жалобы или возможные нарушения настоящего Регламента, если предмет рассмотрения относится только к организационной единице в его государстве-члене ЕС или существенно влияет на субъекты данных только в его государстве-члене ЕС.

3. В случаях, указанных в части второй настоящей статьи, надзорный орган должен незамедлительно проинформировать ведущий надзорный орган об указанном обстоятельстве. В течение трех недель после получения соответствующей информации ведущий надзорный орган должен принять решение о рассмотрении указанного дела в порядке, предусмотренном в Статье 60, принимая во внимание тот факт, имеет ли контролёр или процессор организационную единицу в государстве-члене ЕС, надзорный орган которого проинформировал его.

4. Если ведущий надзорный орган принимает решение о ведении дела, то применяется порядок, предусмотренный Статьей 60. Надзорный орган, который проинформировал ведущий надзорный орган, может предоставить ему проект решения. Ведущий надзорный орган должен уделить максимальное внимание указанному проекту при подготовке проекта решения, указанного в Статье 60(3).

5. Если ведущий надзорный орган принимает решение не вести дело, то надзорный орган, который проинформировал ведущий надзорный орган, должен вести его согласно Статьям 61 и 62.

6. Ведущий надзорный орган должен являться единственным контактным лицом контролёра или процессора по вопросам, связанным с трансграничной обработкой, осуществляемой указанным контролёром или процессором.

5. Сертификация согласно настоящей Статье должна осуществляться органами по сертификации, указанными в Статье 43, или компетентным надзорным органом на основе критериев, утвержденных этим компетентным надзорным органом согласно Статье 58(3) или Европейским советом по защите персональных данных согласно Статье 63. Если критерии утверждаются Европейским советом по защите персональных данных, это может привести к всеобщей сертификации, то есть к Европейскому знаку защиты персональных данных.

Статья 43 GDPR. Органы по сертификации

Статья 58 GDPR. Полномочия

[…]

3. Каждый надзорный орган должен располагать следующими разрешительными и консультативными полномочиями:

(a) консультировать контролёра в соответствии с порядком предварительной консультации, предусмотренным Статьей 36;

(b) по собственной инициативе или по запросу выдавать национальному парламенту, правительству государства-члена ЕС или, в соответствии с законодательством государства-члена ЕС, другим институтам или органам, а также общественности заключения по любому вопросу, связанному с защитой персональных данных;

(c) разрешать обработку, указанную в Статье 36(5), если в соответствии с законодательством государства-члена ЕС требуется такое предварительное разрешение;

(d) выдавать заключение и утверждать проекты кодексов поведения согласно Статье 40(5);

(e) аккредитовывать сертификационные органы согласно Статье 43;

(f) выдавать сертификаты и утверждать критерии сертификации в соответствии со Статьей 42(5);

(g) принимать стандартные условия по защите данных, указанные в Статье 28(8) и в пункте (d) Статьи 46(2);

(h) утверждать договорные условия, указанные в пункте (a) Статьи 46(3);

(i) утверждать административные соглашения, указанные в пункте (b) Статьи 46(3);

(j) утверждать обязательные корпоративные правила согласно Статье 47.

[…]

Статья 63 GDPR. Механизм согласования

С целью способствования согласованному применению настоящего Регламента в Союзе надзорные органы должны сотрудничать друг с другом и в соответствующих случаях с Комиссией посредством механизма согласования, указанного в настоящем Разделе.

6. Контролёр или процессор, которые представляют осуществляемую им обработку механизму сертификации, предоставляют органу по сертификации, указанному в Статье 43, или в соответствующих случаях компетентному надзорному органу всю информацию и доступ к деятельности по обработке, что необходимо для проведения процедуры сертификации.

Статья 43 GDPR. Органы по сертификации

7. Сертификация предоставляется контролёру или процессору на срок не более трех лет и может быть продлена на тех же самых условиях в случае, если соответствующие требования продолжают соблюдаться. Сертификация должна быть отозвана органами по сертификации, указанными в Статье 43, или компетентным надзорным органом, если требования для сертификации больше не соблюдаются или больше не выполняются.

Статья 43 GDPR. Органы по сертификации

8. Европейский совет по защите персональных данных должен внести все механизмы сертификации, печати и маркировочные знаки о защите данных в реестр и опубликовать их соответствующим способом.

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO – https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО “Дата Прайваси Офис”.

ISO 27701 Recitals Guidelines & Case Law Leave a comment

ISO 27701

ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 42 GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

[…]

Recitals

(100) Для того чтобы повысить прозрачность и улучшить соблюдение настоящего Регламента, необходимо содействовать установлению сертификационных механизмов, а также печатей и маркировочных знаков о защите данных, которые позволят субъектам данных быстро оценить уровень защищенности данных в соответствующем продукте или услуге.

Guidelines & Case Law

Document

EDPB, Guidelines 1/2018 on Certification and Identifying Certification Criteria in Accordance with Articles 42 and 43 of the Regulation (2019).

EDPB, Opinion 1/2022on the draft decision of the Luxembourg Supervisory Authority regarding the GDPR – CARPA certification criteria (2022).