Навигация
GDPR > Статья 46. Передача данных при условии осуществления надлежащих гарантий
Скачать в PDF

Статья 46 GDPR. Передача данных при условии осуществления надлежащих гарантий

Article 46 GDPR. Transfers subject to appropriate safeguards

1. При отсутствии решения об адекватности в соответствии со статьей 45(3), контролёр или процессор может передавать персональные данные в третью страну или международную организацию, только если контролёр или процессор обеспечивает соответствующие гарантии и при условии, что субъектам данных доступны обладающие силой принудительного исполнения права и эффективные средства правовой защиты.

1. In the absence of a decision pursuant to Article 45(3), a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available.

Связанные статьи

2. Надлежащие гарантии, указанные в параграфе 1, можно обеспечить (без необходимости получения специального разрешения от надзорного органа) с помощью:

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

Преамбулы

(108) При отсутствии решения о достаточности, контролёр или процессор должны принять меры для компенсации отсутствия защиты персональных данных в третьей стране посредством предоставления надлежащих гарантий субъектам данных. Такие надлежащие гарантии могут включать в себя применение обязательных корпоративных правил, принятых Европейской Комиссией, стандартных договорных условий по защите персональных данных, принятых надзорным органом, а также договорных условий, санкционированных надзорным органом. Эти гарантии должны обеспечивать соблюдение требований по защите персональных данных и прав субъектов данных, соответствующих обработке в рамках Союза, включая обладающие силой принудительного исполнения права субъекта данных и эффективные средства правовой защиты, в том числе право на получение эффективной административной или судебной защиты, а также требования компенсации, в Союзе или в третьей стране. Они должны относиться, в частности, к соблюдению общих принципов обработки персональных данных - принципов защиты персональных данных: спроектированной и по умолчанию. Передача персональных данных может также осуществляться государственными органами; структурами наделенными государственной властью; структурами третьей страны или международными организациями с соответствующими обязанностями или функциями, в том числе на основе положений, которые должны быть включены в административные соглашения, такие как меморандум о взаимопонимании, предусматривающий для субъектов данных эффективные права, обладающие силой принудительного исполнения. Если гарантии, предусмотренные в административных соглашениях, не имеют юридически обязательный характер, должны быть получено разрешение компетентного надзорного органа.

(108) In the absence of an adequacy decision, the controller or processor should take measures to compensate for the lack of data protection in a third country by way of appropriate safeguards for the data subject. Such appropriate safeguards may consist of making use of binding corporate rules, standard data protection clauses adopted by the Commission, standard data protection clauses adopted by a supervisory authority or contractual clauses authorised by a supervisory authority. Those safeguards should ensure compliance with data protection requirements and the rights of the data subjects appropriate to processing within the Union, including the availability of enforceable data subject rights and of effective legal remedies, including to obtain effective administrative or judicial redress and to claim compensation, in the Union or in a third country. They should relate in particular to compliance with the general principles relating to personal data processing, the principles of data protection by design and by default. Transfers may also be carried out by public authorities or bodies with public authorities or bodies in third countries or with international organisations with corresponding duties or functions, including on the basis of provisions to be inserted into administrative arrangements, such as a memorandum of understanding, providing for enforceable and effective rights for data subjects. Authorisation by the competent supervisory authority should be obtained when the safeguards are provided for in administrative arrangements that are not legally binding.

(109) Возможность контролёра или процессора использовать стандартные договорные условия защиты персональных данных, принятые Европейской Комиссией или надзорным органом, не должна препятствовать контролёрам или процессорам включать стандартные договорные условия защиты персональных данных в более крупный контракт (например, договор между процессором и другим процессором), равно как не должна препятствовать дополнять контракт иными условиями либо дополнительными гарантиями, при условии, что они не противоречат, прямо или косвенно, стандартным договорным условиям, утверждённым Европейской Комиссией или надзорным органом, или не противоречат основным правам и свободам субъектов данных. Контролёры или процессоры должны содействовать предоставлению дополнительных гарантий, путем включения в стандартные договорные условия защиты персональных данных дополнительных обязательства.

(109) The possibility for the controller or processor to use standard data-protection clauses adopted by the Commission or by a supervisory authority should prevent controllers or processors neither from including the standard data-protection clauses in a wider contract, such as a contract between the processor and another processor, nor from adding other clauses or additional safeguards provided that they do not contradict, directly or indirectly, the standard contractual clauses adopted by the Commission or by a supervisory authority or prejudice the fundamental rights or freedoms of the data subjects. Controllers and processors should be encouraged to provide additional safeguards via contractual commitments that supplement standard protection clauses.

(a) имеющего обязательную юридическую силу и обязательному к исполнению инструмента между органами государственной власти или ведомствами;

(a) a legally binding and enforceable instrument between public authorities or bodies;

(b) обязательных корпоративных правил согласно со статье 47;

(b) binding corporate rules in accordance with Article 47;

Связанные статьи

(с) стандартных условий о защите данных, принятых Комиссией в соответствии с процедурой экспертизы, указанной в статье 93(2);

(c) standard data protection clauses adopted by the Commission in accordance with the examination procedure referred to in Article 93(2);

Руководство и прецедентное право Связанные статьи

(d) стандартных условий о защите данных, принятых надзорным органом и утвержденных Комиссией в соответствии с процедурой экспертизы, указанной в статье 93(2);

(d) standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93(2);

Связанные статьи

(e) утвержденного кодекса поведения согласно ст. 40 вместе с обязательными и обладающими силой принудительного исполнения обязательствами контролёра или процессора в третьей стране применить надлежащие меры, в том числе в отношении прав субъектов данных; или

(e) an approved code of conduct pursuant to Article 40 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights; or

(f) утвержденного механизма сертификации согласно статье 42, вместе с обязательными и обладающими силой принудительного исполнения обязательствами контролёра или процессора в третьей стране применить надлежащие меры, в том числе в отношении прав субъектов данных;

(f) an approved certification mechanism pursuant to Article 42 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights.

3. При условии разрешения компетентного надзорного органа, надлежащие гарантии, указанные в параграфе 1, также могут быть обеспечены, в частности, с помощью:

3. Subject to the authorisation from the competent supervisory authority, the appropriate safeguards referred to in paragraph 1 may also be provided for, in particular, by:

(a) договорных условий между контролёром или процессором и контролёром, процессором или получателем персональных данных в третьей стране или международной организации; или

(a) contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organisation; or

(b) положений, содержащихся в административных соглашениях между органами государственной власти или ведомствами, которые включают обладающие силой принудительного исполнения и эффективные права субъектов данных.

(b) provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights.

4. В случаях, указанных в параграфе 3 настоящей статьи, надзорный орган применяет механизм согласованности, упомянутый в статье 63.

4. The supervisory authority shall apply the consistency mechanism referred to in Article 63 in the cases referred to in paragraph 3 of this Article.

Связанные статьи

5. Разрешения, выданные государством-членом или надзорным органом в соответствии со ст. 26(2) Директивы 95/46 /EC остаются в силе до их изменения, отмены или замены надзорным органом при необходимости. Решения, принятые Комиссией на основании статьи 26(4) Директивы 95/46/ЕС остаются в силе до внесения в них изменений, отмены или замены, в случае необходимости по решению Комиссии принятому в соответствии с параграфом 2 данной статьи.

5. Authorisations by a Member State or supervisory authority on the basis of Article 26(2) of Directive 95/46/EC shall remain valid until amended, replaced or repealed, if necessary, by that supervisory authority. Decisions adopted by the Commission on the basis of Article 26(4) of Directive 95/46/EC shall remain in force until amended, replaced or repealed, if necessary, by a Commission Decision adopted in accordance with paragraph 2 of this Article.

ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 46 GDPR:

7.5.1 Определить основание для передачи ПИИ между юрисдикциями

Средство управления

Организация должна определить и задокументировать соответствующее основание для передачи ПИИ между юрисдикциями.

Руководство по внедрению

Передача ПИИ может быть предметом законодательства и / или регулирования в зависимости от юрисдикции или международной организации, которой данные должны быть переданы (и откуда они происходят).


для доступа к полному тексту

Преамбулы

(108) При отсутствии решения о достаточности, контролёр или процессор должны принять меры для компенсации отсутствия защиты персональных данных в третьей стране посредством предоставления надлежащих гарантий субъектам данных. Такие надлежащие гарантии могут включать в себя применение обязательных корпоративных правил, принятых Европейской Комиссией, стандартных договорных условий по защите персональных данных, принятых надзорным органом, а также договорных условий, санкционированных надзорным органом. Эти гарантии должны обеспечивать соблюдение требований по защите персональных данных и прав субъектов данных, соответствующих обработке в рамках Союза, включая обладающие силой принудительного исполнения права субъекта данных и эффективные средства правовой защиты, в том числе право на получение эффективной административной или судебной защиты, а также требования компенсации, в Союзе или в третьей стране. Они должны относиться, в частности, к соблюдению общих принципов обработки персональных данных - принципов защиты персональных данных: спроектированной и по умолчанию. Передача персональных данных может также осуществляться государственными органами; структурами наделенными государственной властью; структурами третьей страны или международными организациями с соответствующими обязанностями или функциями, в том числе на основе положений, которые должны быть включены в административные соглашения, такие как меморандум о взаимопонимании, предусматривающий для субъектов данных эффективные права, обладающие силой принудительного исполнения. Если гарантии, предусмотренные в административных соглашениях, не имеют юридически обязательный характер, должны быть получено разрешение компетентного надзорного органа.

(108) In the absence of an adequacy decision, the controller or processor should take measures to compensate for the lack of data protection in a third country by way of appropriate safeguards for the data subject. Such appropriate safeguards may consist of making use of binding corporate rules, standard data protection clauses adopted by the Commission, standard data protection clauses adopted by a supervisory authority or contractual clauses authorised by a supervisory authority. Those safeguards should ensure compliance with data protection requirements and the rights of the data subjects appropriate to processing within the Union, including the availability of enforceable data subject rights and of effective legal remedies, including to obtain effective administrative or judicial redress and to claim compensation, in the Union or in a third country. They should relate in particular to compliance with the general principles relating to personal data processing, the principles of data protection by design and by default. Transfers may also be carried out by public authorities or bodies with public authorities or bodies in third countries or with international organisations with corresponding duties or functions, including on the basis of provisions to be inserted into administrative arrangements, such as a memorandum of understanding, providing for enforceable and effective rights for data subjects. Authorisation by the competent supervisory authority should be obtained when the safeguards are provided for in administrative arrangements that are not legally binding.

(109) Возможность контролёра или процессора использовать стандартные договорные условия защиты персональных данных, принятые Европейской Комиссией или надзорным органом, не должна препятствовать контролёрам или процессорам включать стандартные договорные условия защиты персональных данных в более крупный контракт (например, договор между процессором и другим процессором), равно как не должна препятствовать дополнять контракт иными условиями либо дополнительными гарантиями, при условии, что они не противоречат, прямо или косвенно, стандартным договорным условиям, утверждённым Европейской Комиссией или надзорным органом, или не противоречат основным правам и свободам субъектов данных. Контролёры или процессоры должны содействовать предоставлению дополнительных гарантий, путем включения в стандартные договорные условия защиты персональных данных дополнительных обязательства.

(109) The possibility for the controller or processor to use standard data-protection clauses adopted by the Commission or by a supervisory authority should prevent controllers or processors neither from including the standard data-protection clauses in a wider contract, such as a contract between the processor and another processor, nor from adding other clauses or additional safeguards provided that they do not contradict, directly or indirectly, the standard contractual clauses adopted by the Commission or by a supervisory authority or prejudice the fundamental rights or freedoms of the data subjects. Controllers and processors should be encouraged to provide additional safeguards via contractual commitments that supplement standard protection clauses.

Руководство и прецедентное право Оставить комментарий
[js-disqus]