Статья 45 GDPR. Передача данных на основании решения об адекватности
[…]
3. После выполнения оценки адекватности степени защиты, Комиссия может посредством исполнительного акта принять решение о том, что третья страна, территория или одна или несколько определенных отраслей в этой третьей стране, международная организация обеспечивает адекватный уровень защиты в значении параграфа 2 данной статьи. Исполнительный акт должен предусматривать механизм периодической проверки — по крайней мере, каждые четыре года — в ходе которой должны учитываться все значимые изменения в третьей стране или международной организации. Исполнительный акт должен определять территориальную и отраслевую сферу своего действия, и, если применимо, определять надзорный орган или органы, указанные в пункте (b) параграфа 2 настоящей статьи. Исполнительный акт должен быть принят в соответствии с процедурой экспертизы, указанной статье 93(2).
[…]
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 46 GDPR:
7.5.1 Определить основание для передачи ПИИ между юрисдикциями
Средство управления
Организация должна определить и задокументировать соответствующее основание для передачи ПИИ между юрисдикциями.
Руководство по внедрению
Передача ПИИ может быть предметом законодательства и / или регулирования в зависимости от юрисдикции или международной организации, которой данные должны быть переданы (и откуда они происходят).
…
Войти
для доступа к полному тексту