Navigation
GDPR > Статья 45. Передача данных на основании решения об адекватности
Download PDF

Статья 45 GDPR. Передача данных на основании решения об адекватности

1. Передача персональных данных в третью страну или международную организацию может иметь место, когда Комиссия пришла к выводу о том, что третья страна, территория либо одна или несколько конкретных отраслей внутри этой третьей стране или эта международная организация обеспечивает адекватный уровень защиты. Такая передача не требует специального разрешения.

Recitals

(103) Комиссия может принять решение в отношении всего Союза о том, что третья страна, территория или особый сектор в третьей стране или международная организация предлагает адекватный уровень защиты данных, обеспечивая тем самым правовую определённость и единообразие на территории Союза в отношении третьей страны или международной организации, которая, как считается, обеспечивает такой уровень защиты. В этих случаях передача персональных данных в третью страну или международную организацию может осуществляться без обязательного получения какого-либо дополнительного разрешения. Европейская Комиссия может также отозвать такое решение, предоставив уведомление и полную информацию о причинах отмены, третьей стране или международной организации.

2. При оценке адекватности уровня защиты, Комиссии следует принимать во внимание, в частности, следующие элементы:

Recitals

(104) В соответствии с основополагающими ценностями Союза к которым, в том числе, относится защита прав человека, Европейская Комиссия при оценке третьей страны, территории или особого сектора в третьей стране должна учитывать то, каким образом третья страна соблюдает принципы правового государства, обеспечивает доступность правосудия, так же как и соблюдает нормы и стандарты международного права прав человека, равно как и его общего и отраслевого законодательства, включая законодательство, касающееся общественной безопасности, обороны и национальной безопасности, наряду с общественным порядком и уголовным правом. При принятии решения о достаточности мер в отношении территории или особого сектора в третьей стране следует учитывать чёткие и объективные критерии, например, конкретный вид обработки, область применения правовых стандартов и действующего в третьей стране законодательства. Третья страна должна предоставить гарантии, обеспечивающие соответствующий уровень защиты, соразмерный уровню, гарантированному в Союзе, в особенности, если персональные данные обрабатываются в одном или нескольких особых секторах. В частности, третья страна должна обеспечить эффективный независимый мониторинг защиты персональных данных, а также должна предусматривать механизмы сотрудничества с органами государств-членов по защите персональных данных, а субъектам данных должны быть предоставлены эффективные и обладающие силой принудительного исполнения права, а также эффективную административную и судебную защиту.

(105) Наряду с международными обязательствами, которые приняла на себя третья страна или международная организация, Европейская Комиссия должна принять во внимание обязательства, возникающие вследствие участия третьей страны или международной организации в многосторонних или региональных системах, в частности, в отношении защиты персональных данных, а также исполнение таких обязательств. В частности, необходимо учесть присоединение третьей страны к Конвенции Совета Европы от 28 января 1981 г. о защите физических лиц при автоматизированной обработке персональных данных и к ее дополнительному протоколу. Европейская Комиссия должна проконсультироваться с Европейским советом по защите персональных данных при оценке уровня защиты в третьих странах или международных организациях.

(a) верховенство закона, уважение прав человека и фундаментальных свобод, относящееся законодательство – как общее, так и отраслевое – в том числе касательно общественной безопасности, обороны, национальной безопасности и уголовного права, а также доступа органов государственной власти к персональным данным, а также применение этого законодательства, правила защиты персональных данных, профессиональные нормы, меры безопасности, в том числе правила дальнейшей передачи персональных данных в другую третью страну или другую международную организацию, которые должны соблюдаться в этой стране или международной организации, прецедентное право, и наличие действующих и осуществимых прав субъектов данных и эффективных административных и судебных средств правовой защиты субъектов данных, чьи персональные данные передаются;

(b) существование и эффективное функционирование в третьей стране или международной организации одного или нескольких независимых надзорных органов, обязанных обеспечивать и приводить в исполнение норм защиты персональных данных – в том числе, имеющих адекватные правоприменительные полномочия, и обязанных оказывать помощь и консультации субъектам данных в ходе реализации ими своих прав, а также сотрудничать с надзорными органами государств-членов; и

(c) международные обязательства, взятые на себя третьей страной или международной организацией, или другие обязательства, вытекающие из имеющих обязательную юридическую силу конвенций и документов, а также вытекающие из участия в многосторонних или региональных систем, в частности, в области защиты персональных данных.

3. После выполнения оценки адекватности степени защиты, Комиссия может посредством исполнительного акта принять решение о том, что третья страна, территория или одна или несколько определенных отраслей в этой третьей стране, международная организация обеспечивает адекватный уровень защиты в значении параграфа 2 данной статьи. Исполнительный акт должен предусматривать механизм периодической проверки – по крайней мере, каждые четыре года – в ходе которой должны учитываться все значимые изменения в третьей стране или международной организации. Исполнительный акт должен определять территориальную и отраслевую сферу своего действия, и, если применимо, определять надзорный орган или органы, указанные в пункте (b) параграфа 2 настоящей статьи. Исполнительный акт должен быть принят в соответствии с процедурой экспертизы, указанной статье 93(2).

Related

4 Европейская Комиссия должна, на регулярной основе, осуществлять мониторинг изменений в третьих странах и международных организациях, которые могут повлиять на выполнение решений, принятых согласно параграфу 3 настоящей Статьи, а также решений, принятых на основе Статьи 25(6) Директивы 95/46/ЕС.

Recitals

(106) Европейская Комиссия должна осуществлять мониторинг исполнения решений касательно уровня защиты в третьей стране, на территории или особом секторе третьей страны или в международной организации, а также осуществлять мониторинг исполнения решений, принятых в порядке Статьи 25(6) или Статьи 26(4) Директивы 95/46/ЕС. В своих решениях о достаточности мер Европейская Комиссия должна предусмотреть механизм периодической проверки их исполнения. Периодическая проверка должна проводиться по согласованию с третьей страной или международной организацией и учитывать все соответствующие изменения в третьей стране или международной организации. В целях мониторинга и осуществления периодических проверок Европейская Комиссия должна учитывать мнения и замечания Европейского Парламента и Европейского Совета, а также всех других соответствующих органов и источников. Европейская Комиссия в приемлемый срок должна оценить исполнение таких решений и направить отчёт со всеми соответствующими выводами Комитету, предусмотренному положениями Регламента (ЕС) 182/2011 Европейского Парламента и Европейского Совета ЕС [12] а также Европейскому Парламенту и Европейскому Совету в порядке, предусмотренном настоящим.

[12] Регламент (ЕС) 182/2011 Европейского Парламента и Совета ЕС от 16 февраля 2011 г., устанавливающий правила и общие принципы механизмов контроля со стороны государств-членов ЕС за осуществлением Европейской Комиссией имплементационных полномочий (Официальный журнал Европейского союза N L 55, 28.02.2011, стр. 13). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:055:TOC

5. Европейская Комиссия при обнаружении информации, в том числе в результате проверки согласно в параграфу 3 настоящей Статьи, о том, что третья страна, территория, или одна или несколько определенных отраслей третьей страны либо международная организация, больше не обеспечивают надлежащий уровень защиты в значении параграфа 2 настоящей Статьи, должна на столько, на сколько это необходимо, отменить, изменить или приостановить решение, упомянутое в параграфе 3 настоящей Статьи, посредством исполнительных актов, не имеющих обратную силу. Такие исполнительные акты должны приниматься в соответствии с процедурой проверки, предусмотренной Статьей 93 (2).

Related

Исходя из надлежащим образом обоснованных соображений крайней необходимости Европейская Комиссия должна принять исполнительные акты немедленного действия в соответствии с процедурой, упомянутой в статье 93 (3).

Related

6. Европейская Комиссия должна начать консультации с третьей страной или международной организацией в целях исправления ситуации, которая привела к принятию решения в соответствии с параграфом 5.

Recitals

(107) Европейская Комиссия может признать, что третья страна, территория, отдельный сектор в третьей стране или международная организация больше не гарантируют соответствующий уровень защиты персональных данных. Следовательно, передача персональных данных указанной третьей стране или международной организации должна быть запрещена, за исключением случаев, когда требования настоящего Регламента, касательно передачи персональных данных в соответствии с надлежащими гарантиями соблюдаются, включая обязательные корпоративные правила, и изъятия в конкретных ситуациях. В этом случае следует предусмотреть консультации между Европейской Комиссией и такими третьими странами или международными организациями. Европейская Комиссия своевременно должна проинформировать третью страну или международную организацию о причинах и начать консультацию для устранения возникших затруднений.

7. Решение, принятое в соответствии с параграфом 5 настоящей Статьи, действует без ущерба передаче персональных данных третьей стране, территории, или одной или нескольким определенным отраслям третьей страны либо соответствующей международной организации в соответствии со Статьями 46-49.

Related

8. Европейская Комиссия должна опубликовать в Официальном Журнале Европейского Союза, а также на своем интернет-сайте список третьих стран, территорий и определенных отраслей третьей страны и международных организаций, в отношении которых она приняла решение о наличии адекватного уровня защиты либо его отсутствии.

9. Решения, принятые Европейской Комиссией на основании Статьи 25(6) Директивы 95/46/ЕС, остаются в силе до тех пор, пока они не изменены, заменены или отменены Решением Европейской Комиссии, принятым в соответствии с параграфом 3 или 5 настоящей Статьи.

ISO 27701 Recitals Guidelines & Case Law Leave a comment
ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 45 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).

[…]


to read the full text

Recitals

(103) Комиссия может принять решение в отношении всего Союза о том, что третья страна, территория или особый сектор в третьей стране или международная организация предлагает адекватный уровень защиты данных, обеспечивая тем самым правовую определённость и единообразие на территории Союза в отношении третьей страны или международной организации, которая, как считается, обеспечивает такой уровень защиты. В этих случаях передача персональных данных в третью страну или международную организацию может осуществляться без обязательного получения какого-либо дополнительного разрешения. Европейская Комиссия может также отозвать такое решение, предоставив уведомление и полную информацию о причинах отмены, третьей стране или международной организации.

(104) В соответствии с основополагающими ценностями Союза к которым, в том числе, относится защита прав человека, Европейская Комиссия при оценке третьей страны, территории или особого сектора в третьей стране должна учитывать то, каким образом третья страна соблюдает принципы правового государства, обеспечивает доступность правосудия, так же как и соблюдает нормы и стандарты международного права прав человека, равно как и его общего и отраслевого законодательства, включая законодательство, касающееся общественной безопасности, обороны и национальной безопасности, наряду с общественным порядком и уголовным правом. При принятии решения о достаточности мер в отношении территории или особого сектора в третьей стране следует учитывать чёткие и объективные критерии, например, конкретный вид обработки, область применения правовых стандартов и действующего в третьей стране законодательства. Третья страна должна предоставить гарантии, обеспечивающие соответствующий уровень защиты, соразмерный уровню, гарантированному в Союзе, в особенности, если персональные данные обрабатываются в одном или нескольких особых секторах. В частности, третья страна должна обеспечить эффективный независимый мониторинг защиты персональных данных, а также должна предусматривать механизмы сотрудничества с органами государств-членов по защите персональных данных, а субъектам данных должны быть предоставлены эффективные и обладающие силой принудительного исполнения права, а также эффективную административную и судебную защиту.

(105) Наряду с международными обязательствами, которые приняла на себя третья страна или международная организация, Европейская Комиссия должна принять во внимание обязательства, возникающие вследствие участия третьей страны или международной организации в многосторонних или региональных системах, в частности, в отношении защиты персональных данных, а также исполнение таких обязательств. В частности, необходимо учесть присоединение третьей страны к Конвенции Совета Европы от 28 января 1981 г. о защите физических лиц при автоматизированной обработке персональных данных и к ее дополнительному протоколу. Европейская Комиссия должна проконсультироваться с Европейским советом по защите персональных данных при оценке уровня защиты в третьих странах или международных организациях.

(106) Европейская Комиссия должна осуществлять мониторинг исполнения решений касательно уровня защиты в третьей стране, на территории или особом секторе третьей страны или в международной организации, а также осуществлять мониторинг исполнения решений, принятых в порядке Статьи 25(6) или Статьи 26(4) Директивы 95/46/ЕС. В своих решениях о достаточности мер Европейская Комиссия должна предусмотреть механизм периодической проверки их исполнения. Периодическая проверка должна проводиться по согласованию с третьей страной или международной организацией и учитывать все соответствующие изменения в третьей стране или международной организации. В целях мониторинга и осуществления периодических проверок Европейская Комиссия должна учитывать мнения и замечания Европейского Парламента и Европейского Совета, а также всех других соответствующих органов и источников. Европейская Комиссия в приемлемый срок должна оценить исполнение таких решений и направить отчёт со всеми соответствующими выводами Комитету, предусмотренному положениями Регламента (ЕС) 182/2011 Европейского Парламента и Европейского Совета ЕС [12] а также Европейскому Парламенту и Европейскому Совету в порядке, предусмотренном настоящим.

[12] Регламент (ЕС) 182/2011 Европейского Парламента и Совета ЕС от 16 февраля 2011 г., устанавливающий правила и общие принципы механизмов контроля со стороны государств-членов ЕС за осуществлением Европейской Комиссией имплементационных полномочий (Официальный журнал Европейского союза N L 55, 28.02.2011, стр. 13). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:055:TOC

(107) Европейская Комиссия может признать, что третья страна, территория, отдельный сектор в третьей стране или международная организация больше не гарантируют соответствующий уровень защиты персональных данных. Следовательно, передача персональных данных указанной третьей стране или международной организации должна быть запрещена, за исключением случаев, когда требования настоящего Регламента, касательно передачи персональных данных в соответствии с надлежащими гарантиями соблюдаются, включая обязательные корпоративные правила, и изъятия в конкретных ситуациях. В этом случае следует предусмотреть консультации между Европейской Комиссией и такими третьими странами или международными организациями. Европейская Комиссия своевременно должна проинформировать третью страну или международную организацию о причинах и начать консультацию для устранения возникших затруднений.

Guidelines & Case Law Leave a comment
[js-disqus]