Article 46 📖 GDPR. Transfers subject to appropriate safeguards

Статья 46 GDPR. Передача данных при условии осуществления надлежащих гарантий

1. При отсутствии решения об адекватности в соответствии со статьей 45(3), контролёр или процессор может передавать персональные данные в третью страну или международную организацию, только если контролёр или процессор обеспечивает соответствующие гарантии и при условии, что субъектам данных доступны обладающие силой принудительного исполнения права и эффективные средства правовой защиты.

Статья 45 GDPR. Передача данных на основании решения об адекватности

[…]

3. После выполнения оценки адекватности степени защиты, Комиссия может посредством исполнительного акта принять решение о том, что третья страна, территория или одна или несколько определенных отраслей в этой третьей стране, международная организация обеспечивает адекватный уровень защиты в значении параграфа 2 данной статьи. Исполнительный акт должен предусматривать механизм периодической проверки – по крайней мере, каждые четыре года – в ходе которой должны учитываться все значимые изменения в третьей стране или международной организации. Исполнительный акт должен определять территориальную и отраслевую сферу своего действия, и, если применимо, определять надзорный орган или органы, указанные в пункте (b) параграфа 2 настоящей статьи. Исполнительный акт должен быть принят в соответствии с процедурой экспертизы, указанной статье 93(2).

[…]

2. Надлежащие гарантии, указанные в параграфе 1, можно обеспечить (без необходимости получения специального разрешения от надзорного органа) с помощью:

Recitals

(108) При отсутствии решения о достаточности, контролёр или процессор должны принять меры для компенсации отсутствия защиты персональных данных в третьей стране посредством предоставления надлежащих гарантий субъектам данных. Такие надлежащие гарантии могут включать в себя применение обязательных корпоративных правил, принятых Европейской Комиссией, стандартных договорных условий по защите персональных данных, принятых надзорным органом, а также договорных условий, санкционированных надзорным органом. Эти гарантии должны обеспечивать соблюдение требований по защите персональных данных и прав субъектов данных, соответствующих обработке в рамках Союза, включая обладающие силой принудительного исполнения права субъекта данных и эффективные средства правовой защиты, в том числе право на получение эффективной административной или судебной защиты, а также требования компенсации, в Союзе или в третьей стране. Они должны относиться, в частности, к соблюдению общих принципов обработки персональных данных - принципов защиты персональных данных: спроектированной и по умолчанию. Передача персональных данных может также осуществляться государственными органами; структурами наделенными государственной властью; структурами третьей страны или международными организациями с соответствующими обязанностями или функциями, в том числе на основе положений, которые должны быть включены в административные соглашения, такие как меморандум о взаимопонимании, предусматривающий для субъектов данных эффективные права, обладающие силой принудительного исполнения. Если гарантии, предусмотренные в административных соглашениях, не имеют юридически обязательный характер, должны быть получено разрешение компетентного надзорного органа.

(109) Возможность контролёра или процессора использовать стандартные договорные условия защиты персональных данных, принятые Европейской Комиссией или надзорным органом, не должна препятствовать контролёрам или процессорам включать стандартные договорные условия защиты персональных данных в более крупный контракт (например, договор между процессором и другим процессором), равно как не должна препятствовать дополнять контракт иными условиями либо дополнительными гарантиями, при условии, что они не противоречат, прямо или косвенно, стандартным договорным условиям, утверждённым Европейской Комиссией или надзорным органом, или не противоречат основным правам и свободам субъектов данных. Контролёры или процессоры должны содействовать предоставлению дополнительных гарантий, путем включения в стандартные договорные условия защиты персональных данных дополнительных обязательства.

(a) имеющего обязательную юридическую силу и обязательному к исполнению инструмента между органами государственной власти или ведомствами;

Guidelines & Case Law

Document

EDPB, Guidelines 2/2020 on Articles 46(2)(a) and 46(3)(b) of Regulation 2016/679 for Transfers of Personal Data Between EEA and Non-EEA Public Authorities and Bodies (2020).

(b) обязательных корпоративных правил согласно со статье 47;

Статья 47 GDPR. Обязательные корпоративные правила

(с) стандартных условий о защите данных, принятых Комиссией в соответствии с процедурой экспертизы, указанной в статье 93(2);

Guidelines & Case Law Related

Guidelines & Case Law

FAQs in order to address some issues raised by the entry into force of the EU Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC- WP 176 (57 kB) (12.07.2010)

EU controller to non-EU or EEA controller

EU controller to non-EU or EEA processor

decision 2010/87/EU

Статья 93 GDPR. Процедура Комитета

[…]

2. В случае, когда сделана ссылка на настоящий параграф, должна применяться Статья 5 Регламента (ЕС) 182/2011.

[…]

(d) стандартных условий о защите данных, принятых надзорным органом и утвержденных Комиссией в соответствии с процедурой экспертизы, указанной в статье 93(2);

Статья 93 GDPR. Процедура Комитета

[…]

2. В случае, когда сделана ссылка на настоящий параграф, должна применяться Статья 5 Регламента (ЕС) 182/2011.

[…]

(e) утвержденного кодекса поведения согласно ст. 40 вместе с обязательными и обладающими силой принудительного исполнения обязательствами контролёра или процессора в третьей стране применить надлежащие меры, в том числе в отношении прав субъектов данных; или

Статья 40 GDPR. Кодексы поведения

(f) утвержденного механизма сертификации согласно статье 42, вместе с обязательными и обладающими силой принудительного исполнения обязательствами контролёра или процессора в третьей стране применить надлежащие меры, в том числе в отношении прав субъектов данных;

Статья 42 GDPR. Сертификация

3. При условии разрешения компетентного надзорного органа, надлежащие гарантии, указанные в параграфе 1, также могут быть обеспечены, в частности, с помощью:

(a) договорных условий между контролёром или процессором и контролёром, процессором или получателем персональных данных в третьей стране или международной организации; или

(b) положений, содержащихся в административных соглашениях между органами государственной власти или ведомствами, которые включают обладающие силой принудительного исполнения и эффективные права субъектов данных.

Guidelines & Case Law

Document

EDPB, Guidelines 2/2020 on Articles 46(2)(a) and 46(3)(b) of Regulation 2016/679 for Transfers of Personal Data Between EEA and Non-EEA Public Authorities and Bodies (2020).

4. В случаях, указанных в параграфе 3 настоящей статьи, надзорный орган применяет механизм согласованности, упомянутый в статье 63.

Статья 63 GDPR. Механизм согласования

С целью способствования согласованному применению настоящего Регламента в Союзе надзорные органы должны сотрудничать друг с другом и в соответствующих случаях с Комиссией посредством механизма согласования, указанного в настоящем Разделе.

5. Разрешения, выданные государством-членом или надзорным органом в соответствии со ст. 26(2) Директивы 95/46 /EC остаются в силе до их изменения, отмены или замены надзорным органом при необходимости. Решения, принятые Комиссией на основании статьи 26(4) Директивы 95/46/ЕС остаются в силе до внесения в них изменений, отмены или замены, в случае необходимости по решению Комиссии принятому в соответствии с параграфом 2 данной статьи.

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO – https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО “Дата Прайваси Офис”.

ISO 27701 Recitals Guidelines & Case Law Leave a comment

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 46 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).

[…]

Recitals

Guidelines & Case Law

Documents

EDPB, Guidelines 2/2020 on Articles 46(2)(a) and 46(3)(b) of Regulation 2016/679 for Transfers of Personal Data Between EEA and Non-EEA Public Authorities and Bodies (2020).

EDPB, Guidelines 3/2020 on the Processing of Data Concerning Health for the Purpose of Scientific Research in the Context of the Covid-19 Outbreak (2020).

EDPS, Strategy for Union institutions, offices, bodies and agencies to comply with the ‘Schrems II’ Ruling (2020).

EDPB, Guidelines 2/2020 on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies (2020).

This document seeks to provide guidance as to the application of Articles 46 (2) (a) and 46 (3) (b) of the General Data Protection Regulation (GDPR) on transfers of personal data from EEA public authorities or bodies to public bodies in third countries or to international organisations, to the extent that these are not covered by an adequacy finding adopted by the European Commission.

EDPB, Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data (2021).

EDPB, Guidelines 2/2020 on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies (2020).

EDPB, Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR (2021).

EDPB, Government access to data in third countries (2022).