Article 47 📖 GDPR. Binding corporate rules

Статья 47 GDPR. Обязательные корпоративные правила

1. Компетентный надзорный орган утверждает обязательные корпоративные правила в соответствии с механизмом согласованности, предусмотренным в статье 63, при условии, что:

Статья 63 GDPR. Механизм согласования

С целью способствования согласованному применению настоящего Регламента в Союзе надзорные органы должны сотрудничать друг с другом и в соответствующих случаях с Комиссией посредством механизма согласования, указанного в настоящем Разделе.

(a) они имеют юридически обязывающую силу и применяются к каждому из членов группы субъектов хозяйствования или группы предприятий, вовлеченных в совместную экономическую деятельность, включая их сотрудников;

(b) явно признают за субъектами данных осуществимые права в отношении обработки их персональных данных; и

(c) соблюдают требования, установленные в параграфе 2.

2. Обязательные корпоративные правила, упомянутые в параграфе 1, должны устанавливать как минимум:

(a) структуру и реквизиты группы компаний или группы предприятий, осуществляющих совместную экономическую деятельность, а также каждого из их членов;

(b) передачу данных или ряд таких передач, в том числе категории персональных данных, тип обработки и их цели, тип затронутых субъектов данных и наименование соответствующей третьей страны или стран;

(c) их юридически обязательных характер, как внутренний, так и внешний;

(d) применение общих принципов защиты персональных данных, в том числе, целевое ограничение, минимизация данных, ограничение сроков хранения, качество данных, защита персональных данных: спроектированная и по умолчанию, правовые основания для обработки, обработка специальных категорий персональных данных, меры обеспечения безопасности данных, а также требования, касающиеся дальнейшей передачи данных органам, не связанным обязательными корпоративными правилами;

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

3.4 Ограничение целью [34]

_{[34] Рабочая группа по Статье 29 даёт руководство для понимания принципа ограничения целью в соответствии с Директивой 95/46 / ЕС. Несмотря на то, что это мнение не принято EDBP, оно все еще может быть актуальным, поскольку формулировка этого принципа остается такой же, как и в GDPR. Article 29 Working Party. “Opinion 03/2013 on purpose limitation”. WP 203, 2 April 2013.}

71. Контролер должен собирать данные для конкретных, отчетливых легитимных целей, а не для их дальнейшей обработки способом, несовместимым с изначальными целями, для которых эти данные были собраны. Поэтому план обработки формируется исходя из того, что является необходимым для достижения цели. Если требуется какая-либо дальнейшая обработка, контролер должен сначала убедиться в том, что эта обработка имеет цели, совместимые с исходными, и спроектировать такую обработку соответствующим образом. Совместима ли новая цель с исходной или нет, нужно оценивать по критериям статьи 6(4) GDPR.

_{[35] Статья 5.1.b GDPR}

(e) права субъектов данных в отношении обработки и средства осуществления этих прав, в том числе право не зависеть от решений, основанных исключительно на автоматизированной обработке, включая профилирование, в соответствии со Статей 22, а также право на подачу жалобы компетентному надзорному органу и в компетентные суды государств-членов, согласно Статье 79, и право на получение возмещения и, при необходимости, компенсации за нарушение обязательных корпоративных правил;

Статья 22 GDPR. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование

Статья 79 GDPR. Право на эффективные средства судебной защиты в отношении контролёра или процессора

1. Без ущерба для любых иных административных или вне-судебных средств защиты, в том числе праву подачи жалобы в надзорный орган, согласно Статье 77, каждый субъект данных должен иметь право на эффективные средства судебной защиты, если он/она считает, что его/ее права по настоящему Регламенту были нарушены в результате обработки его/ее персональных данных в нарушение требований настоящего Регламента.

2. Производство против контролёра или процессора должно быть передано в суд государства-члена, где контролёр или процессор имеют организационную единицу. Как альтернативный вариант, такое производство может быть передано в суд государства-члена, где субъект данных имеет его/ее обычное место жительства, кроме тех случаев, когда контролёр или процессор является органом власти государства-члена, действуя при осуществлении им публичных полномочий.

(f) принятие ответственности контролёром или процессором, учрежденных на территории государства-члена, за любые нарушения обязательных корпоративных правил любым заинтересованным членом, не учрежденным в Евросоюзе; контролёр или процессор полностью или частично освобождаются от указанной ответственности, только тогда, когда они докажут, что такой член не несет ответственности за событие, повлекшее за собой ущерб;

(g) каким образом информация об обязательных корпоративных правилах, в частности о положениях, указанных в пунктах (d), (e) и (f) настоящего параграфа, предоставляется субъектам данных в дополнение к Статьям 13 и 14;

Статья 13 GDPR. Информация, предоставляемая в случае сбора персональных данных от субъекта данных

Статья 14 GDPR. Информация, предоставляемая при получении персональных данных не от субъекта данных

(h) задачи любого инспектора по защите данных, назначенного в соответствии со Статьей 37, или любого иного лица или организации, ответственных за мониторинг соблюдения обязательных корпоративных правил в группе компаний или группе предприятий, осуществляющих совместную экономическую деятельность, а также мониторинг подготовки и обработки жалоб;

Статья 37 GDPR. Назначение инспектора по защите персональных данных

(i) процедуры рассмотрения жалоб;

(j) механизмы в рамках группы компаний или группы предприятий, осуществляющих совместную экономическую деятельность, для проверки соблюдения обязательных корпоративных правил. Такие механизмы должны охватывать аудиты защиты данных и методы, обеспечивающие устранение нарушений защиты прав субъектов данных. Результаты такой проверки должны быть представлены лицу или организации, указанных в пункте (h), и руководству, которое контролирует группу компаний или группу предприятий, осуществляющих совместную экономическую деятельность, а также должны быть доступны компетентному надзорному органу по его запросу;

(k) механизмы отчетности и учета изменений правил, а также представления отчетности о таких изменениях в надзорный орган;

(l) механизм сотрудничества с надзорным органом для обеспечения соблюдения любым членом группы компаний или группы предприятий, осуществляющих совместную экономическую деятельность, в том числе, посредством предоставления надзорному органу результатов проверок мер, предусмотренных пунктом (j);

(m) механизмы отчетности для компетентных надзорных органов по любым правовым требованиям, применимым к членам группы компаний или группы предприятий, осуществляющих совместную экономическую деятельность, в третьей стране, и которые с высокой долей вероятности могут иметь существенное неблагоприятное воздействие по гарантиям, предусмотренным обязательными корпоративными правилами; и

(n) соответствующее обучение сотрудников, имеющих постоянный или регулярный доступ к персональным данным, в области защиты персональных данных.

3. Комиссия может детализировать формат и процедуры обмена информацией между контролёрами, процессорами и надзорными органами относительно обязательных корпоративных правил в соответствии со смыслом настоящей Статьи. Такие имплементирующие акты должны быть приняты в соответствии с процедура экспертизы, предусмотренной Статьей 93 (2).

Статья 93 GDPR. Процедура Комитета

[…]

2. В случае, когда сделана ссылка на настоящий параграф, должна применяться Статья 5 Регламента (ЕС) 182/2011.

[…]

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO – https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО “Дата Прайваси Офис”.

ISO 27701 Recitals Guidelines & Case Law Leave a comment

ISO 27701

ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 47 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).

[…]

Recitals

(110) Группа компаний или группа предприятий, участвующих в совместной экономической деятельности, должна иметь возможность использовать утверждённые обязательные корпоративные правила для передачи своих данных из Союза за границу организациям в рамках той же группы компаний или предприятий, при условии, что такие корпоративные правила включают в себя все ключевые принципы и права, обеспечивающие соблюдение соответствующих гарантий при передаче персональных данных.

Guidelines & Case Law

Documents

Article 29 Working Party, Explanatory Document on the Processor Binding Corporate Rules (2015).

Article 29 Working Party, Working Document Setting Forth a Co-Operation Procedure for the Approval of “Binding Corporate Rules” for Controllers and Processors Under the GDPR (2018).

Article 29 Working Party, Recommendation on the Standard Application for Approval of Controller Binding Corporate Rules for the Transfer of Personal Data (2018).

Article 29 Working Party, Recommendation on the Standard Application form for Approval of Processor Binding Corporate Rules for the Transfer of Personal Data (2018).

Article 29 Working Party, Working Document Setting Up a Table with the Elements and Principles to Be Found in Binding Corporate Rules, no. WP 256 rev. 01 (2018).

Article 29 Working Party, Working Document Setting Up a Table with the Elements and Principles to Be Found in Binding Corporate Rules, no. WP 257 rev. 01 (2018).

Case Law

CJEU, Data Protection Commissioner/Facebook Ireland Ltd and Schrems, C-311/18 (2020).