Больше
Навигация
ГЛАВА I Загальні положення (1-4)
Стаття 1. Предмет і ціліСтаття 2. Матеріальна сфера діїСтаття 3. Територіальна сфера діїСтаття 4. Терміни та означення
ГЛАВА II Принципи (5-11)
Стаття 5. Принципи опрацювання персональних данихСтаття 6. Законність опрацюванняСтаття 7. Умови надання згодиСтаття 8. Умови, застосовні до згоди дитини в сфері послуг інформаційного суспільстваСтаття 9. Опрацювання спеціальних категорій персональних данихСтаття 10. Опрацювання персональних даних про судимості і кримінальні злочиниСтаття 11. Опрацювання, що не вимагає ідентифікації
ГЛАВА III Права суб'єкта даних (12-23)
Стаття 12. Прозора інформація, повідомлення та форми реалізації прав суб'єкта данихСтаття 13. Інформація, яку необхідно надати у разі збирання персональних даних від суб'єкта данихСтаття 14. Інформація, яку необхідно надати у разі отримання персональних даних не від суб'єкта данихСтаття 15. Право суб'єкта даних на доступСтаття 16. Право на виправленняСтаття 17. Право на стирання ("право бути забутим")Стаття 18. Право на обмеження опрацюванняСтаття 19. Зобов'язання щодо повідомлення про виправлення чи стирання персональних даних або обмеження опрацюванняСтаття 20. Право на мобільність данихСтаття 21. Право на запереченняСтаття 22. Автоматизоване індивідуальне вироблення й ухвалення рішень, у тому числі, профайлінгСтаття 23. Обмеження
ГЛАВА IV Контролер і оператор (24-43)
Стаття 24. Предмет і ціліСтаття 25. Захист даних за призначенням і за замовчуваннямСтаття 26. Спільні контролериСтаття 27. Представники контролерів або операторів, які не мають осідків у СоюзіСтаття 28. ОператорСтаття 29. Опрацювання під керівництвом контролера або оператораСтаття 30. Записи опрацювання данихСтаття 31. Співпраця із наглядовим органомСтаття 32. Безпека опрацюванняСтаття 33. Нотифікація наглядового органу про порушення захисту персональних данихСтаття 34. Повідомлення суб'єкта даних про порушення захисту персональних данихСтаття 35. Оцінювання впливу на захист данихСтаття 36. Попередня консультаціяСтаття 37. Призначення співробітника з питань захисту данихСтаття 38. Позиція співробітника з питань захисту данихСтаття 39. Завдання співробітника з питань захисту данихСтаття 40. Кодекс поведінкиСтаття 41. Моніторинг затверджених кодексів поведінкиСтаття 42. СертифікаціяСтаття 43. Органи сертифікації
ГЛАВА V Передавання персональних даних до третіх країн або міжнародних організацій (44-50)
Стаття 44. Загальні принципи передаванняСтаття 45. Передавання на підставі рішення про відповідністьСтаття 46. Передавання з урахуванням належних гарантій
Стаття 47. Зобов'язальні корпоративні правила
Стаття 48. Передавання або розкриття, не дозволені законодавством СоюзуСтаття 49. Відступи для спеціальних ситуаційСтаття 50. Міжнародна співпраця у сфері захисту персональних даних
ГЛАВА VI Незалежні наглядові органи (51-59)
Стаття 51. Наглядовий органСтаття 52. НезалежністьСтаття 53. Загальні умови для членів наглядового органуСтаття 54. Правила заснування наглядового органуСтаття 55. КомпетенціяСтаття 56. Компетенція керівного наглядового органуСтаття 57. ЗавданняСтаття 58. ПовноваженняСтаття 59. Звіти про виконану роботу
ГЛАВА VII Співпраця і послідовність (60-70)
Стаття 60. Співпраця між керівним наглядовим органом і іншими відповідними наглядовими органамиСтаття 61. Взаємна допомогаСтаття 62. Спільні операції наглядових органівСтаття 63. Механізм послідовностіСтаття 64. Висновок РадиСтаття 65. Врегулювання спорів РадоюСтаття 66. Екстрена процедураСтаття 67. Обмін інформацієюСтаття 68. Європейська рада із захисту данихСтаття 69. НезалежністьСтаття 70. Завдання РадиСтаття 71. ЗвітиСтаття 72. ПроцедураСтаття 73. ГоловаСтаття 74. Завдання ГоловиСтаття 75. СекретаріатСтаття 76. Конфіденційність
ГЛАВА VIII Засоби правового захисту, відповідальність і санкції (77-84)
Стаття 77. Право на подання скарги до наглядового органуСтаття 78. Право на дієвий судовий засіб правового захисту проти наглядового органуСтаття 79. Право на дієвий судовий засіб правового захисту проти контролера або оператораСтаття 80. Представництво суб'єктів данихСтаття 81. Призупинення провадженняСтаття 82. Право на відшкодування та відповідальністьСтаття 83. Загальні умови для накладання адміністративних штрафівСтаття 84. Санкції
ГЛАВА IX Положення про спеціальні ситуації опрацювання (85-91)
Стаття 85. Опрацювання і свобода вияву поглядів та свобода інформаціїСтаття 86. Опрацювання та доступ громадськості до офіційних документівСтаття 87. Опрацювання національного ідентифікаційного номеруСтаття 88. Опрацювання в контексті зайнятостіСтаття 89. Гарантії та відступи, що стосуються опрацювання для досягнення цілей суспільного інтересу, цілей наукового чи історичного дослідження або статистичних цілейСтаття 90. Обов'язки збереження таємниціСтаття 91. Чинні правила захисту даних церков і релігійних асоціацій
ГЛАВА X Делеговані акти та імплементаційні акти (92-93)
Стаття 92. Здійснення делегуванняСтаття 93. Процедура Комітету
ГЛАВА XI Прикінцеві положення (94-95)
Стаття 94. Скасування Директиви 95/46/ЄССтаття 95. Взаємозв'язок із Директивою 2002/58/ЄССтаття 96. Взаємозв'язок із попередньо укладеними УгодамиСтаття 97. Звіти КомісіїСтаття 98. Перевірка застосування інших нормативно-правових актів Союзу щодо захисту данихСтаття 99. Набуття чинності та застосування
GDPR > Стаття 47. Зобов'язальні корпоративні правила
Скачать в PDF

Стаття 47 GDPR. Зобов'язальні корпоративні правила

1. Компетентний наглядовий орган затверджує зобов’язальні корпоративні правила відповідно до механізму послідовності, встановленого в статті 63, за умови, що вони:

Связанные статьи
Связанные статьи

(a) мають обов’язкову юридичну силу, їх застосовує і забезпечує їх виконання кожний зацікавлений член групи підприємств або групи підприємств, що здійснюють спільну господарську діяльність, в тому числі, їхні працівники;

(b) прямо надають суб’єктам даних права, як можна реалізувати, у зв’язку з опрацюванням їхніх персональних даних; і

(c) відповідають вимогам, встановленим у параграфі 2.

2. Зобов’язальні корпоративні правила, вказані в параграфі 1, повинні чітко визначати принаймні:

(a) структуру та контактні дані групи підприємств або групи підприємств, що здійснюють спільну господарську діяльність, та кожного з їхніх членів;

(b) передавання даних чи низку актів передавання, у тому числі категорії персональних даних, тип опрацювання і його цілі, тип суб’єктів даних, що зазнали впливу, та визначення відповідної третьої країни чи країн;

(c) їхню обов’язкову юридичну природу, як внутрішню, так і зовнішню;

(d) застосування загальних принципів захисту даних, зокрема, цільове обмеження, мінімізацію даних, обмежені періоди зберігання, якість даних, захист даних за призначенням і за замовчуванням, законодавчу базу опрацювання, опрацювання спеціальних категорій персональних даних, заходи для гарантування безпеки даних і вимоги щодо наступних актів передавання до органів, що не пов’язані зобов’язальними корпоративними правилами;

Связанные статьи
Связанные статьи

(e) права суб’єктів даних у сфері опрацювання і засоби реалізації таких прав, у тому числі, права не підлягати рішенням, що ґрунтуються винятково на автоматизованому опрацюванні, в тому числі, профайлінгу відповідно до статті 22, права подавати скаргу до компетентного наглядового органу та компетентних судів держав-членів згідно зі статтею 79, та отримувати правовий захист і, за необхідності, відшкодування за порушення зобов’язальних корпоративних правил;

Связанные статьи
Связанные статьи

(f) визнання контролером або оператором, що має осідок на території держави-члена, відповідальності за будь-які порушення зобов’язальних корпоративних правил будь-яким залученим членом, що перебуває поза межами Союзу; контролер або оператор звільняються від такої відповідальності, частково або повністю лише за умов доведення, що такий член не несе відповідальності за подію, внаслідок якої заподіяно шкоду;

(g) як інформацію про зобов’язальні корпоративні правила, зокрема про положення, вказані в пунктах (d), (e) і (f) цього параграфа, надають суб’єктам даних, в доповнення до статей 13 і 14;

Связанные статьи
Связанные статьи

(h) завдання будь-якого співробітника з питань захисту даних, призначеного відповідно до статті 37, або будь-якої іншої особи чи установи, відповідальної за моніторинг дотримання зобов’язальних корпоративних правил в межах групи підприємств або групи підприємств, що здійснюють спільну господарську діяльність, а також моніторинг підготування та розгляду скарг;

Связанные статьи
Связанные статьи

(i) процедури подання і розгляду скарг;

(j) механізми в межах групи підприємств або групи підприємств, що здійснюють спільну господарську діяльність, для забезпечення перевірки відповідності зобов’язальним корпоративним правилам. Такі механізми передбачають перевірки захисту даних і методи забезпечення вжиття виправних дій для захисту прав суб’єкта даних. Результати такої перевірки необхідно повідомляти особі чи установі, вказаній в пункті (h), і раді контролюючого підприємства групи підприємств чи групи підприємств, що здійснюють спільну господарську діяльність, та надавати на запит компетентного наглядового органу;

(k) механізми для звітування та запису змін до правил і звітування про такі зміни до наглядового органу;

(l) механізм співпраці з наглядовим органом для забезпечення дотримання будь-яким членом групи підприємств або групи підприємств, що здійснюють спільну господарську діяльність, зокрема шляхом надання наглядовому органу результатів перевірок заходів, вказаних у пункті (j);

(m) механізми для звітування до компетентного наглядового органу про будь-які законні вимоги, які поширюються на члена групи підприємств або групи підприємств, що здійснюють спільну господарську діяльність в третій країні, що ймовірно матимуть суттєві негативні наслідки для гарантій, передбачених зобов’язальними корпоративними правилами; та

(n) відповідне навчання з питань захисту даних для персоналу, що має постійний або регулярний доступ до персональних даних.

3. Комісія має право визначити формат і процедури для обміну інформацією між контролерами, операторами і наглядовими органами для виконання зобов’язальних корпоративних правил у значенні цієї статті. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, встановленої в статті 93(2).

Связанные статьи
Связанные статьи
Загальний регламент про захист даних (GDPR)

Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf

ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 44 GDPR:

7.5.1 Определить основание для передачи ПИИ между юрисдикциями

Средство управления

Организация должна определить и задокументировать соответствующее основание для передачи ПИИ между юрисдикциями.

Руководство по внедрению

Передача ПИИ может быть предметом законодательства и / или регулирования в зависимости от юрисдикции или международной организации, которой данные должны быть переданы (и откуда они происходят).


для доступа к полному тексту

Преамбулы

(110) Група підприємств або група підприємств, що здійснюють спільну господарську діяльність, повинні мати можливість застосовувати зобов'язальні корпоративні правила для здійснення ними міжнародного передавання з Союзу до організацій у межах тієї самої групи підприємств або групи підприємств, що здійснюють спільну господарську діяльність, за умови, що такі корпоративні правила містять усі суттєві принципи та права, які можна реалізувати, з метою надання відповідних гарантій для передавання або категорій передавання персональних даних.

Руководство и прецедентное право Оставить комментарий
[js-disqus]