More
Navigation
ГЛАВА I. Общие положения (1-4)
Статья 1. Предмет и задачиСтатья 2. Материальная сфера действияСтатья 3. Территориальная сфера действияСтатья 4. Определения
ГЛАВА II. Принципы (5-11)
Статья 5. Принципы, касающиеся обработки персональных данныхСтатья 6. Законность обработкиСтатья 7. Условия согласияСтатья 8. Условия, применимые к согласию ребенка в случае оказания услуг информационного обществаСтатья 9. Обработка специальных категорий персональных данныхСтатья 10. Обработка персональных данных, касающихся судимостей и правонарушенийСтатья 11. Обработка, не требующая идентификации
ГЛАВА III. ПРАВА СУБЪЕКТА ДАННЫХ (12-23)
Статья 12. Прозрачное информирование и коммуникация, а также режим осуществления прав субъекта данныхСтатья 13. Информация, предоставляемая в случае сбора персональных данных от субъекта данныхСтатья 14. Информация, предоставляемая при получении персональных данных не от субъекта данныхСтатья 15. Право доступа субъекта данныхСтатья 16. Право на уточнение данныхСтатья 17. Право на удаление данных ("право быть забытым")Статья 18. Право на ограничение обработкиСтатья 19. Обязанность уведомления относительно изменения или уничтожения персональных данных или ограничения обработкиСтатья 20. Право на переносимость данныхСтатья 21. Право на возражениеСтатья 22. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилированиеСтатья 23. Ограничения
ГЛАВА IV. Контролёр и процессор (24-43)
Статья 24. Предмет и задачиСтатья 25. Защита персональных данных: проектируемая и по умолчаниюСтатья 26. Со-контролёрыСтатья 27. Представители контролёров или процессоров, не имеющих организационной единицы в СоюзеСтатья 28. ПроцессорСтатья 29. Обработка от имени контролёра или процессораСтатья 30. Учет деятельности по обработкеСтатья 31. Сотрудничество с надзорным органомСтатья 32. Безопасность обработкиСтатья 33. Уведомление надзорного органа о нарушении безопасности персональных данныхСтатья 34. Уведомление субъекта данных о нарушении безопасности персональных данныхСтатья 35. Оценка воздействия на защиту персональных данныхСтатья 36. Предварительная консультацияСтатья 37. Назначение инспектора по защите персональных данныхСтатья 38. Должность инспектора по защите персональных данныхСтатья 39. Задачи инспектора по защите персональных данныхСтатья 40. Кодексы поведенияСтатья 41. Мониторинг утвержденных кодексов поведенияСтатья 42. СертификацияСтатья 43. Органы по сертификации
ГЛАВА V. Передача персональных данных в третьи страны или международным организациям (44-50)
Статья 44. Общий принцип передачиСтатья 45. Передача данных на основании решения об адекватностиСтатья 46. Передача данных при условии осуществления надлежащих гарантий
Статья 47. Обязательные корпоративные правила
Статья 48. Передача или раскрытие данных, не разрешенное законодательством СоюзаСтатья 49. Отступление от соблюдения обязательств в особых случаяхСтатья 50. Международное сотрудничество в области защиты персональных данных
ГЛАВА VI. Независимые надзорные органы (51-59)
Статья 51. Надзорный органСтатья 52. НезависимостьСтатья 53. Общие условия для членов надзорного органаСтатья 54. Правила учреждения надзорного органаСтатья 55. КомпетенцияСтатья 56. Компетенция ведущего надзорного органаСтатья 57. ЗадачиСтатья 58. ПолномочияСтатья 59. Отчет о деятельности
ГЛАВА VII. Сотрудничество и согласованность (60-70)
Статья 60. Сотрудничество между ведущим надзорным органом и иными заинтересованными надзорными органамиСтатья 61. Взаимная помощьСтатья 62. Совместные операции надзорных органовСтатья 63. Механизм согласованияСтатья 64. Заключение Европейского совета по защите персональных данныхСтатья 65. Разрешение споров Европейским советом по защите персональных данныхСтатья 66. Процедура срочностиСтатья 67. Обмен информациейСтатья 68. Европейский совет по защите персональных данныхСтатья 69. НезависимостьСтатья 70. Задачи Европейского совета по защите персональных данныхСтатья 71. ОтчетыСтатья 72. ПроцедураСтатья 73. ПредседательСтатья 74. Задачи ПредседателяСтатья 75. СекретариатСтатья 76. Конфиденциальность
ГЛАВА VIII. Средства правовой защиты, ответственность и санкции (77-84)
Статья 77. Право подать жалобу в надзорный органСтатья 78. Право на эффективные средства судебной защиты против надзорного органаСтатья 79. Право на эффективные средства судебной защиты в отношении контролёра или процессораСтатья 80. Представительство субъектов данныхСтатья 81. Приостановление производства по делуСтатья 82. Ответственность и право на компенсациюСтатья 83. Общие условия для наложения административных штрафовСтатья 84. Санкции
ГЛАВА IX. Положения, касающиеся отдельных случаев обработки (85-91)
Статья 85. Обработка и свобода выражения мнений и распространения информацииСтатья 86. Обработка и доступ общественности к официальным документамСтатья 87. Обработка национального идентификационного номераСтатья 88. Обработка в контексте занятостиСтатья 89. Гарантии и изъятия касающиеся обработки для архивных целей в публичном интересе, для целей научного или исторического исследования или в статистических целяхСтатья 90. Обязательства сохранения секретностиСтатья 91. Действующие нормы защита персональных данных церквей и религиозных организаций
ГЛАВА X. Делегированные акты и исполнительные акты (92-93)
Статья 92. Реализация подзаконных актовСтатья 93. Процедура Комитета
ГЛАВА XI. Заключительные положения (94-95)
Статья 94. Отмена Директивы 95/46/ЕССтатья 95. Соотношение с Директивой 2002/58/ЕССтатья 96. Соотношение с ранее заключенными соглашениямиСтатья 97. Отчеты Европейской КомиссииСтатья 98. Пересмотр иных правовых актов Евросоюза о защита персональных данныхСтатья 99. Вступление в силу и применение
GDPR > Статья 47. Обязательные корпоративные правила
Download PDF

Статья 47 GDPR. Обязательные корпоративные правила

Article 47 GDPR. Binding corporate rules

1. Компетентный надзорный орган утверждает обязательные корпоративные правила в соответствии с механизмом согласованности, предусмотренным в статье 63, при условии, что:

1. The competent supervisory authority shall approve binding corporate rules in accordance with the consistency mechanism set out in Article 63, provided that they:

Related
Related

(a) они имеют юридически обязывающую силу и применяются к каждому из членов группы субъектов хозяйствования или группы предприятий, вовлеченных в совместную экономическую деятельность, включая их сотрудников;

(a) are legally binding and apply to and are enforced by every member concerned of the group of undertakings, or group of enterprises engaged in a joint economic activity, including their employees;

(b) явно признают за субъектами данных осуществимые права в отношении обработки их персональных данных; и

(b) expressly confer enforceable rights on data subjects with regard to the processing of their personal data; and

(c) соблюдают требования, установленные в параграфе 2.

(c) fulfil the requirements laid down in paragraph 2.

2. Обязательные корпоративные правила, упомянутые в параграфе 1, должны устанавливать как минимум:

2. The binding corporate rules referred to in paragraph 1 shall specify at least:

(a) структуру и реквизиты группы компаний или группы предприятий, осуществляющих совместную экономическую деятельность, а также каждого из их членов;

(a) the structure and contact details of the group of undertakings, or group of enterprises engaged in a joint economic activity and of each of its members;

(b) передачу данных или ряд таких передач, в том числе категории персональных данных, тип обработки и их цели, тип затронутых субъектов данных и наименование соответствующей третьей страны или стран;

(b) the data transfers or set of transfers, including the categories of personal data, the type of processing and its purposes, the type of data subjects affected and the identification of the third country or countries in question;

(c) их юридически обязательных характер, как внутренний, так и внешний;

(c) their legally binding nature, both internally and externally;

(d) применение общих принципов защиты персональных данных, в том числе, целевое ограничение, минимизация данных, ограничение сроков хранения, качество данных, защита персональных данных: спроектированная и по умолчанию, правовые основания для обработки, обработка специальных категорий персональных данных, меры обеспечения безопасности данных, а также требования, касающиеся дальнейшей передачи данных органам, не связанным обязательными корпоративными правилами;

(d) the application of the general data protection principles, in particular purpose limitation, data minimisation, limited storage periods, data quality, data protection by design and by default, legal basis for processing, processing of special categories of personal data, measures to ensure data security, and the requirements in respect of onward transfers to bodies not bound by the binding corporate rules;

Related
Related

(e) права субъектов данных в отношении обработки и средства осуществления этих прав, в том числе право не зависеть от решений, основанных исключительно на автоматизированной обработке, включая профилирование, в соответствии со Статей 22, а также право на подачу жалобы компетентному надзорному органу и в компетентные суды государств-членов, согласно Статье 79, и право на получение возмещения и, при необходимости, компенсации за нарушение обязательных корпоративных правил;

(e) the rights of data subjects in regard to processing and the means to exercise those rights, including the right not to be subject to decisions based solely on automated processing, including profiling in accordance with Article 22, the right to lodge a complaint with the competent supervisory authority and before the competent courts of the Member States in accordance with Article 79, and to obtain redress and, where appropriate, compensation for a breach of the binding corporate rules;

Related
Related

(f) принятие ответственности контролёром или процессором, учрежденных на территории государства-члена, за любые нарушения обязательных корпоративных правил любым заинтересованным членом, не учрежденным в Евросоюзе; контролёр или процессор полностью или частично освобождаются от указанной ответственности, только тогда, когда они докажут, что такой член не несет ответственности за событие, повлекшее за собой ущерб;

(f) the acceptance by the controller or processor established on the territory of a Member State of liability for any breaches of the binding corporate rules by any member concerned not established in the Union; the controller or the processor shall be exempt from that liability, in whole or in part, only if it proves that that member is not responsible for the event giving rise to the damage;

(g) каким образом информация об обязательных корпоративных правилах, в частности о положениях, указанных в пунктах (d), (e) и (f) настоящего параграфа, предоставляется субъектам данных в дополнение к Статьям 13 и 14;

(g) how the information on the binding corporate rules, in particular on the provisions referred to in points (d), (e) and (f) of this paragraph is provided to the data subjects in addition to Articles 13 and 14;

Related
Related

(h) задачи любого инспектора по защите данных, назначенного в соответствии со Статьей 37, или любого иного лица или организации, ответственных за мониторинг соблюдения обязательных корпоративных правил в группе компаний или группе предприятий, осуществляющих совместную экономическую деятельность, а также мониторинг подготовки и обработки жалоб;

(h) the tasks of any data protection officer designated in accordance with Article 37 or any other person or entity in charge of the monitoring compliance with the binding corporate rules within the group of undertakings, or group of enterprises engaged in a joint economic activity, as well as monitoring training and complaint-handling;

Related
Related

(i) процедуры рассмотрения жалоб;

(i) the complaint procedures;

(j) механизмы в рамках группы компаний или группы предприятий, осуществляющих совместную экономическую деятельность, для проверки соблюдения обязательных корпоративных правил. Такие механизмы должны охватывать аудиты защиты данных и методы, обеспечивающие устранение нарушений защиты прав субъектов данных. Результаты такой проверки должны быть представлены лицу или организации, указанных в пункте (h), и руководству, которое контролирует группу компаний или группу предприятий, осуществляющих совместную экономическую деятельность, а также должны быть доступны компетентному надзорному органу по его запросу;

(j) the mechanisms within the group of undertakings, or group of enterprises engaged in a joint economic activity for ensuring the verification of compliance with the binding corporate rules. Such mechanisms shall include data protection audits and methods for ensuring corrective actions to protect the rights of the data subject. Results of such verification should be communicated to the person or entity referred to in point (h) and to the board of the controlling undertaking of a group of undertakings, or of the group of enterprises engaged in a joint economic activity, and should be available upon request to the competent supervisory authority;

(k) механизмы отчетности и учета изменений правил, а также представления отчетности о таких изменениях в надзорный орган;

(k) the mechanisms for reporting and recording changes to the rules and reporting those changes to the supervisory authority;

(l) механизм сотрудничества с надзорным органом для обеспечения соблюдения любым членом группы компаний или группы предприятий, осуществляющих совместную экономическую деятельность, в том числе, посредством предоставления надзорному органу результатов проверок мер, предусмотренных пунктом (j);

(l) the cooperation mechanism with the supervisory authority to ensure compliance by any member of the group of undertakings, or group of enterprises engaged in a joint economic activity, in particular by making available to the supervisory authority the results of verifications of the measures referred to in point (j);

(m) механизмы отчетности для компетентных надзорных органов по любым правовым требованиям, применимым к членам группы компаний или группы предприятий, осуществляющих совместную экономическую деятельность, в третьей стране, и которые с высокой долей вероятности могут иметь существенное неблагоприятное воздействие по гарантиям, предусмотренным обязательными корпоративными правилами; и

(m) the mechanisms for reporting to the competent supervisory authority any legal requirements to which a member of the group of undertakings, or group of enterprises engaged in a joint economic activity is subject in a third country which are likely to have a substantial adverse effect on the guarantees provided by the binding corporate rules; and

(n) соответствующее обучение сотрудников, имеющих постоянный или регулярный доступ к персональным данным, в области защиты персональных данных.

(n) the appropriate data protection training to personnel having permanent or regular access to personal data.

3. Комиссия может детализировать формат и процедуры обмена информацией между контролёрами, процессорами и надзорными органами относительно обязательных корпоративных правил в соответствии со смыслом настоящей Статьи. Такие имплементирующие акты должны быть приняты в соответствии с процедура экспертизы, предусмотренной Статьей 93 (2).

3. The Commission may specify the format and procedures for the exchange of information between controllers, processors and supervisory authorities for binding corporate rules within the meaning of this Article. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article 93(2).

Related
Related
Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO – https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО “Дата Прайваси Офис”.

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

ISO 27701 Recitals Guidelines & Case Law Leave a comment
ISO 27701

ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 47 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).

[…]


to read the full text

Recitals

(110) Группа компаний или группа предприятий, участвующих в совместной экономической деятельности, должна иметь возможность использовать утверждённые обязательные корпоративные правила для передачи своих данных из Союза за границу организациям в рамках той же группы компаний или предприятий, при условии, что такие корпоративные правила включают в себя все ключевые принципы и права, обеспечивающие соблюдение соответствующих гарантий при передаче персональных данных.

(110) A group of undertakings, or a group of enterprises engaged in a joint economic activity, should be able to make use of approved binding corporate rules for its international transfers from the Union to organisations within the same group of undertakings, or group of enterprises engaged in a joint economic activity, provided that such corporate rules include all essential principles and enforceable rights to ensure appropriate safeguards for transfers or categories of transfers of personal data.

Guidelines & Case Law Leave a comment
[js-disqus]