Статья 47 📖 GDPR. Обязательные корпоративные правила

Статья 47 GDPR. Обязательные корпоративные правила

1. Компетентный надзорный орган утверждает обязательные корпоративные правила в соответствии с механизмом согласованности, предусмотренным в статье 63, при условии, что:

Связанные статьи

Статья 63 GDPR. Механизм согласования

С целью способствования согласованному применению настоящего Регламента в Союзе надзорные органы должны сотрудничать друг с другом и в соответствующих случаях с Комиссией посредством механизма согласования, указанного в настоящем Разделе.

(a) они имеют юридически обязывающую силу и применяются к каждому из членов группы субъектов хозяйствования или группы предприятий, вовлеченных в совместную экономическую деятельность, включая их сотрудников;

(b) явно признают за субъектами данных осуществимые права в отношении обработки их персональных данных; и

(c) соблюдают требования, установленные в параграфе 2.

2. Обязательные корпоративные правила, упомянутые в параграфе 1, должны устанавливать как минимум:

(a) структуру и реквизиты группы компаний или группы предприятий, осуществляющих совместную экономическую деятельность, а также каждого из их членов;

(b) передачу данных или ряд таких передач, в том числе категории персональных данных, тип обработки и их цели, тип затронутых субъектов данных и наименование соответствующей третьей страны или стран;

(c) их юридически обязательных характер, как внутренний, так и внешний;

(d) применение общих принципов защиты персональных данных, в том числе, целевое ограничение, минимизация данных, ограничение сроков хранения, качество данных, защита персональных данных: спроектированная и по умолчанию, правовые основания для обработки, обработка специальных категорий персональных данных, меры обеспечения безопасности данных, а также требования, касающиеся дальнейшей передачи данных органам, не связанным обязательными корпоративными правилами;

Связанные статьи

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

3.4 Ограничение целью [34]

_{[34] Рабочая группа по Статье 29 даёт руководство для понимания принципа ограничения целью в соответствии с Директивой 95/46 / ЕС. Несмотря на то, что это мнение не принято EDBP, оно все еще может быть актуальным, поскольку формулировка этого принципа остается такой же, как и в GDPR. Article 29 Working Party. «Opinion 03/2013 on purpose limitation». WP 203, 2 April 2013.}

71. Контролер должен собирать данные для конкретных, отчетливых легитимных целей, а не для их дальнейшей обработки способом, несовместимым с изначальными целями, для которых эти данные были собраны. Поэтому план обработки формируется исходя из того, что является необходимым для достижения цели. Если требуется какая-либо дальнейшая обработка, контролер должен сначала убедиться в том, что эта обработка имеет цели, совместимые с исходными, и спроектировать такую обработку соответствующим образом. Совместима ли новая цель с исходной или нет, нужно оценивать по критериям статьи 6(4) GDPR.

_{[35] Статья 5.1.b GDPR}

(e) права субъектов данных в отношении обработки и средства осуществления этих прав, в том числе право не зависеть от решений, основанных исключительно на автоматизированной обработке, включая профилирование, в соответствии со Статей 22, а также право на подачу жалобы компетентному надзорному органу и в компетентные суды государств-членов, согласно Статье 79, и право на получение возмещения и, при необходимости, компенсации за нарушение обязательных корпоративных правил;

Связанные статьи

Статья 22 GDPR. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование

Статья 79 GDPR. Право на эффективные средства судебной защиты в отношении контролёра или процессора

1. Без ущерба для любых иных административных или вне-судебных средств защиты, в том числе праву подачи жалобы в надзорный орган, согласно Статье 77, каждый субъект данных должен иметь право на эффективные средства судебной защиты, если он/она считает, что его/ее права по настоящему Регламенту были нарушены в результате обработки его/ее персональных данных в нарушение требований настоящего Регламента.

2. Производство против контролёра или процессора должно быть передано в суд государства-члена, где контролёр или процессор имеют организационную единицу. Как альтернативный вариант, такое производство может быть передано в суд государства-члена, где субъект данных имеет его/ее обычное место жительства, кроме тех случаев, когда контролёр или процессор является органом власти государства-члена, действуя при осуществлении им публичных полномочий.

(f) принятие ответственности контролёром или процессором, учрежденных на территории государства-члена, за любые нарушения обязательных корпоративных правил любым заинтересованным членом, не учрежденным в Евросоюзе; контролёр или процессор полностью или частично освобождаются от указанной ответственности, только тогда, когда они докажут, что такой член не несет ответственности за событие, повлекшее за собой ущерб;

(g) каким образом информация об обязательных корпоративных правилах, в частности о положениях, указанных в пунктах (d), (e) и (f) настоящего параграфа, предоставляется субъектам данных в дополнение к Статьям 13 и 14;

Связанные статьи

Статья 13 GDPR. Информация, предоставляемая в случае сбора персональных данных от субъекта данных

Статья 14 GDPR. Информация, предоставляемая при получении персональных данных не от субъекта данных

(h) задачи любого инспектора по защите данных, назначенного в соответствии со Статьей 37, или любого иного лица или организации, ответственных за мониторинг соблюдения обязательных корпоративных правил в группе компаний или группе предприятий, осуществляющих совместную экономическую деятельность, а также мониторинг подготовки и обработки жалоб;

Связанные статьи

Статья 37 GDPR. Назначение инспектора по защите персональных данных

(i) процедуры рассмотрения жалоб;

(j) механизмы в рамках группы компаний или группы предприятий, осуществляющих совместную экономическую деятельность, для проверки соблюдения обязательных корпоративных правил. Такие механизмы должны охватывать аудиты защиты данных и методы, обеспечивающие устранение нарушений защиты прав субъектов данных. Результаты такой проверки должны быть представлены лицу или организации, указанных в пункте (h), и руководству, которое контролирует группу компаний или группу предприятий, осуществляющих совместную экономическую деятельность, а также должны быть доступны компетентному надзорному органу по его запросу;

(k) механизмы отчетности и учета изменений правил, а также представления отчетности о таких изменениях в надзорный орган;

(l) механизм сотрудничества с надзорным органом для обеспечения соблюдения любым членом группы компаний или группы предприятий, осуществляющих совместную экономическую деятельность, в том числе, посредством предоставления надзорному органу результатов проверок мер, предусмотренных пунктом (j);

(m) механизмы отчетности для компетентных надзорных органов по любым правовым требованиям, применимым к членам группы компаний или группы предприятий, осуществляющих совместную экономическую деятельность, в третьей стране, и которые с высокой долей вероятности могут иметь существенное неблагоприятное воздействие по гарантиям, предусмотренным обязательными корпоративными правилами; и

(n) соответствующее обучение сотрудников, имеющих постоянный или регулярный доступ к персональным данным, в области защиты персональных данных.

3. Комиссия может детализировать формат и процедуры обмена информацией между контролёрами, процессорами и надзорными органами относительно обязательных корпоративных правил в соответствии со смыслом настоящей Статьи. Такие имплементирующие акты должны быть приняты в соответствии с процедура экспертизы, предусмотренной Статьей 93 (2).

Связанные статьи

Статья 93 GDPR. Процедура Комитета

[…]

2. В случае, когда сделана ссылка на настоящий параграф, должна применяться Статья 5 Регламента (ЕС) 182/2011.

[…]

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».

ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 44 GDPR:

7.5.1 Определить основание для передачи ПИИ между юрисдикциями

Средство управления

Организация должна определить и задокументировать соответствующее основание для передачи ПИИ между юрисдикциями.

Руководство по внедрению

Передача ПИИ может быть предметом законодательства и / или регулирования в зависимости от юрисдикции или международной организации, которой данные должны быть переданы (и откуда они происходят).

…

Войти
для доступа к полному тексту

Преамбулы

(110) Группа компаний или группа предприятий, участвующих в совместной экономической деятельности, должна иметь возможность использовать утверждённые обязательные корпоративные правила для передачи своих данных из Союза за границу организациям в рамках той же группы компаний или предприятий, при условии, что такие корпоративные правила включают в себя все ключевые принципы и права, обеспечивающие соблюдение соответствующих гарантий при передаче персональных данных.

Руководство и прецедентное право

(EN)