Навигация
GDPR > Статья 46. Передача данных при условии осуществления надлежащих гарантий
Скачать в PDF

Статья 46 GDPR. Передача данных при условии осуществления надлежащих гарантий

1. При отсутствии решения об адекватности в соответствии со статьей 45(3), контролёр или процессор может передавать персональные данные в третью страну или международную организацию, только если контролёр или процессор обеспечивает соответствующие гарантии и при условии, что субъектам данных доступны обладающие силой принудительного исполнения права и эффективные средства правовой защиты.

Связанные статьи

2. Надлежащие гарантии, указанные в параграфе 1, можно обеспечить (без необходимости получения специального разрешения от надзорного органа) с помощью:

Преамбулы

(108) При отсутствии решения о достаточности, контролёр или процессор должны принять меры для компенсации отсутствия защиты персональных данных в третьей стране посредством предоставления надлежащих гарантий субъектам данных. Такие надлежащие гарантии могут включать в себя применение обязательных корпоративных правил, принятых Европейской Комиссией, стандартных договорных условий по защите персональных данных, принятых надзорным органом, а также договорных условий, санкционированных надзорным органом. Эти гарантии должны обеспечивать соблюдение требований по защите персональных данных и прав субъектов данных, соответствующих обработке в рамках Союза, включая обладающие силой принудительного исполнения права субъекта данных и эффективные средства правовой защиты, в том числе право на получение эффективной административной или судебной защиты, а также требования компенсации, в Союзе или в третьей стране. Они должны относиться, в частности, к соблюдению общих принципов обработки персональных данных - принципов защиты персональных данных: спроектированной и по умолчанию. Передача персональных данных может также осуществляться государственными органами; структурами наделенными государственной властью; структурами третьей страны или международными организациями с соответствующими обязанностями или функциями, в том числе на основе положений, которые должны быть включены в административные соглашения, такие как меморандум о взаимопонимании, предусматривающий для субъектов данных эффективные права, обладающие силой принудительного исполнения. Если гарантии, предусмотренные в административных соглашениях, не имеют юридически обязательный характер, должны быть получено разрешение компетентного надзорного органа.

(109) Возможность контролёра или процессора использовать стандартные договорные условия защиты персональных данных, принятые Европейской Комиссией или надзорным органом, не должна препятствовать контролёрам или процессорам включать стандартные договорные условия защиты персональных данных в более крупный контракт (например, договор между процессором и другим процессором), равно как не должна препятствовать дополнять контракт иными условиями либо дополнительными гарантиями, при условии, что они не противоречат, прямо или косвенно, стандартным договорным условиям, утверждённым Европейской Комиссией или надзорным органом, или не противоречат основным правам и свободам субъектов данных. Контролёры или процессоры должны содействовать предоставлению дополнительных гарантий, путем включения в стандартные договорные условия защиты персональных данных дополнительных обязательства.

(a) имеющего обязательную юридическую силу и обязательному к исполнению инструмента между органами государственной власти или ведомствами;

(b) обязательных корпоративных правил согласно со статье 47;

Связанные статьи

(с) стандартных условий о защите данных, принятых Комиссией в соответствии с процедурой экспертизы, указанной в статье 93(2);

(d) стандартных условий о защите данных, принятых надзорным органом и утвержденных Комиссией в соответствии с процедурой экспертизы, указанной в статье 93(2);

Связанные статьи

(e) утвержденного кодекса поведения согласно ст. 40 вместе с обязательными и обладающими силой принудительного исполнения обязательствами контролёра или процессора в третьей стране применить надлежащие меры, в том числе в отношении прав субъектов данных; или

(f) утвержденного механизма сертификации согласно статье 42, вместе с обязательными и обладающими силой принудительного исполнения обязательствами контролёра или процессора в третьей стране применить надлежащие меры, в том числе в отношении прав субъектов данных;

3. При условии разрешения компетентного надзорного органа, надлежащие гарантии, указанные в параграфе 1, также могут быть обеспечены, в частности, с помощью:

(a) договорных условий между контролёром или процессором и контролёром, процессором или получателем персональных данных в третьей стране или международной организации; или

(b) положений, содержащихся в административных соглашениях между органами государственной власти или ведомствами, которые включают обладающие силой принудительного исполнения и эффективные права субъектов данных.

4. В случаях, указанных в параграфе 3 настоящей статьи, надзорный орган применяет механизм согласованности, упомянутый в статье 63.

Связанные статьи

5. Разрешения, выданные государством-членом или надзорным органом в соответствии со ст. 26(2) Директивы 95/46 /EC остаются в силе до их изменения, отмены или замены надзорным органом при необходимости. Решения, принятые Комиссией на основании статьи 26(4) Директивы 95/46/ЕС остаются в силе до внесения в них изменений, отмены или замены, в случае необходимости по решению Комиссии принятому в соответствии с параграфом 2 данной статьи.

ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 46 GDPR:

7.5.1 Определить основание для передачи ПИИ между юрисдикциями

Средство управления

Организация должна определить и задокументировать соответствующее основание для передачи ПИИ между юрисдикциями.

Руководство по внедрению

Передача ПИИ может быть предметом законодательства и / или регулирования в зависимости от юрисдикции или международной организации, которой данные должны быть переданы (и откуда они происходят).


для доступа к полному тексту

Преамбулы

(108) При отсутствии решения о достаточности, контролёр или процессор должны принять меры для компенсации отсутствия защиты персональных данных в третьей стране посредством предоставления надлежащих гарантий субъектам данных. Такие надлежащие гарантии могут включать в себя применение обязательных корпоративных правил, принятых Европейской Комиссией, стандартных договорных условий по защите персональных данных, принятых надзорным органом, а также договорных условий, санкционированных надзорным органом. Эти гарантии должны обеспечивать соблюдение требований по защите персональных данных и прав субъектов данных, соответствующих обработке в рамках Союза, включая обладающие силой принудительного исполнения права субъекта данных и эффективные средства правовой защиты, в том числе право на получение эффективной административной или судебной защиты, а также требования компенсации, в Союзе или в третьей стране. Они должны относиться, в частности, к соблюдению общих принципов обработки персональных данных - принципов защиты персональных данных: спроектированной и по умолчанию. Передача персональных данных может также осуществляться государственными органами; структурами наделенными государственной властью; структурами третьей страны или международными организациями с соответствующими обязанностями или функциями, в том числе на основе положений, которые должны быть включены в административные соглашения, такие как меморандум о взаимопонимании, предусматривающий для субъектов данных эффективные права, обладающие силой принудительного исполнения. Если гарантии, предусмотренные в административных соглашениях, не имеют юридически обязательный характер, должны быть получено разрешение компетентного надзорного органа.

(109) Возможность контролёра или процессора использовать стандартные договорные условия защиты персональных данных, принятые Европейской Комиссией или надзорным органом, не должна препятствовать контролёрам или процессорам включать стандартные договорные условия защиты персональных данных в более крупный контракт (например, договор между процессором и другим процессором), равно как не должна препятствовать дополнять контракт иными условиями либо дополнительными гарантиями, при условии, что они не противоречат, прямо или косвенно, стандартным договорным условиям, утверждённым Европейской Комиссией или надзорным органом, или не противоречат основным правам и свободам субъектов данных. Контролёры или процессоры должны содействовать предоставлению дополнительных гарантий, путем включения в стандартные договорные условия защиты персональных данных дополнительных обязательства.

Руководство и прецедентное право Оставить комментарий
[js-disqus]