(103) Комиссия может принять решение в отношении всего Союза о том, что третья страна, территория или особый сектор в третьей стране или международная организация предлагает адекватный уровень защиты данных, обеспечивая тем самым правовую определённость и единообразие на территории Союза в отношении третьей страны или международной организации, которая, как считается, обеспечивает такой уровень защиты. В этих случаях передача персональных данных в третью страну или международную организацию может осуществляться без обязательного получения какого-либо дополнительного разрешения. Европейская Комиссия может также отозвать такое решение, предоставив уведомление и полную информацию о причинах отмены, третьей стране или международной организации.
(104) В соответствии с основополагающими ценностями Союза к которым, в том числе, относится защита прав человека, Европейская Комиссия при оценке третьей страны, территории или особого сектора в третьей стране должна учитывать то, каким образом третья страна соблюдает принципы правового государства, обеспечивает доступность правосудия, так же как и соблюдает нормы и стандарты международного права прав человека, равно как и его общего и отраслевого законодательства, включая законодательство, касающееся общественной безопасности, обороны и национальной безопасности, наряду с общественным порядком и уголовным правом. При принятии решения о достаточности мер в отношении территории или особого сектора в третьей стране следует учитывать чёткие и объективные критерии, например, конкретный вид обработки, область применения правовых стандартов и действующего в третьей стране законодательства. Третья страна должна предоставить гарантии, обеспечивающие соответствующий уровень защиты, соразмерный уровню, гарантированному в Союзе, в особенности, если персональные данные обрабатываются в одном или нескольких особых секторах. В частности, третья страна должна обеспечить эффективный независимый мониторинг защиты персональных данных, а также должна предусматривать механизмы сотрудничества с органами государств-членов по защите персональных данных, а субъектам данных должны быть предоставлены эффективные и обладающие силой принудительного исполнения права, а также эффективную административную и судебную защиту.
(105) Наряду с международными обязательствами, которые приняла на себя третья страна или международная организация, Европейская Комиссия должна принять во внимание обязательства, возникающие вследствие участия третьей страны или международной организации в многосторонних или региональных системах, в частности, в отношении защиты персональных данных, а также исполнение таких обязательств. В частности, необходимо учесть присоединение третьей страны к Конвенции Совета Европы от 28 января 1981 г. о защите физических лиц при автоматизированной обработке персональных данных и к ее дополнительному протоколу. Европейская Комиссия должна проконсультироваться с Европейским советом по защите персональных данных при оценке уровня защиты в третьих странах или международных организациях.
(106) Европейская Комиссия должна осуществлять мониторинг исполнения решений касательно уровня защиты в третьей стране, на территории или особом секторе третьей страны или в международной организации, а также осуществлять мониторинг исполнения решений, принятых в порядке Статьи 25(6) или Статьи 26(4) Директивы 95/46/ЕС. В своих решениях о достаточности мер Европейская Комиссия должна предусмотреть механизм периодической проверки их исполнения. Периодическая проверка должна проводиться по согласованию с третьей страной или международной организацией и учитывать все соответствующие изменения в третьей стране или международной организации. В целях мониторинга и осуществления периодических проверок Европейская Комиссия должна учитывать мнения и замечания Европейского Парламента и Европейского Совета, а также всех других соответствующих органов и источников. Европейская Комиссия в приемлемый срок должна оценить исполнение таких решений и направить отчёт со всеми соответствующими выводами Комитету, предусмотренному положениями Регламента (ЕС) 182/2011 Европейского Парламента и Европейского Совета ЕС [12] а также Европейскому Парламенту и Европейскому Совету в порядке, предусмотренном настоящим.
[12] Регламент (ЕС) 182/2011 Европейского Парламента и Совета ЕС от 16 февраля 2011 г., устанавливающий правила и общие принципы механизмов контроля со стороны государств-членов ЕС за осуществлением Европейской Комиссией имплементационных полномочий (Официальный журнал Европейского союза N L 55, 28.02.2011, стр. 13). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:055:TOC
(107) Европейская Комиссия может признать, что третья страна, территория, отдельный сектор в третьей стране или международная организация больше не гарантируют соответствующий уровень защиты персональных данных. Следовательно, передача персональных данных указанной третьей стране или международной организации должна быть запрещена, за исключением случаев, когда требования настоящего Регламента, касательно передачи персональных данных в соответствии с надлежащими гарантиями соблюдаются, включая обязательные корпоративные правила, и изъятия в конкретных ситуациях. В этом случае следует предусмотреть консультации между Европейской Комиссией и такими третьими странами или международными организациями. Европейская Комиссия своевременно должна проинформировать третью страну или международную организацию о причинах и начать консультацию для устранения возникших затруднений.
ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 45 GDPR:
7.5.1 Identify basis for PII transfer between jurisdictions
Control
The organization should identify and document the relevant basis for transfers of PII between jurisdictions.
Implementation guidance
PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).
[…]
Sign in
to read the full text