Статья 49 📖 GDPR. Отступление от соблюдения обязательств в особых случаях

Статья 49 GDPR. Отступление от соблюдения обязательств в особых случаях

Article 49 GDPR. Derogations for specific situations

1. В случае отсутствия решения об адекватной защите согласно Статье 45(3) или соответствующих гарантий согласно Статье 46, включая обязательные корпоративные правила, передача или ряд передач персональных данных в третью страну или международную организацию должна осуществляться только при соблюдении одного из следующих условий:

1. In the absence of an adequacy decision pursuant to Article 45(3), or of appropriate safeguards pursuant to Article 46, including binding corporate rules, a transfer or a set of transfers of personal data to a third country or an international organisation shall take place only on one of the following conditions:

Связанные статьи

Статья 45 GDPR. Передача данных на основании решения об адекватности

Article 45 GDPR. Transfers on the basis of an adequacy decision

[…]

3. После выполнения оценки адекватности степени защиты, Комиссия может посредством исполнительного акта принять решение о том, что третья страна, территория или одна или несколько определенных отраслей в этой третьей стране, международная организация обеспечивает адекватный уровень защиты в значении параграфа 2 данной статьи. Исполнительный акт должен предусматривать механизм периодической проверки — по крайней мере, каждые четыре года — в ходе которой должны учитываться все значимые изменения в третьей стране или международной организации. Исполнительный акт должен определять территориальную и отраслевую сферу своего действия, и, если применимо, определять надзорный орган или органы, указанные в пункте (b) параграфа 2 настоящей статьи. Исполнительный акт должен быть принят в соответствии с процедурой экспертизы, указанной статье 93(2).

3. The Commission, after assessing the adequacy of the level of protection, may decide, by means of implementing act, that a third country, a territory or one or more specified sectors within a third country, or an international organisation ensures an adequate level of protection within the meaning of paragraph 2 of this Article. The implementing act shall provide for a mechanism for a periodic review, at least every four years, which shall take into account all relevant developments in the third country or international organisation. The implementing act shall specify its territorial and sectoral application and, where applicable, identify the supervisory authority or authorities referred to in point (b) of paragraph 2 of this Article. The implementing act shall be adopted in accordance with the examination procedure referred to in Article 93(2).

[…]

Статья 46 GDPR. Передача данных при условии осуществления надлежащих гарантий

Article 46 GDPR. Transfers subject to appropriate safeguards

(a) субъект данных отчетливо согласился на предлагаемую передачу персональных данных, будучи проинформированным о возможных рисках такой передачи персональных данных ввиду отсутствия решения об адекватной защите и соответствующих средствах защиты;

(a) the data subject has explicitly consented to the proposed transfer, after having been informed of the possible risks of such transfers for the data subject due to the absence of an adequacy decision and appropriate safeguards;

(b) передача необходима для выполнения договора между субъектом данных и контролёром или для осуществления преддоговорных мер, принимаемых по запросу субъекта данных;

(b) the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of pre-contractual measures taken at the data subject’s request;

Связанные статьи

Руководство по согласию в соответствии с Регламентом 2016/679

Guidelines on consent under Regulation 2016/679

30. Согласно Мнению от 06/2014 РГ29, термин «необходимо для исполнения контракта» подлежит строгому толкованию. Обработка персональных данных является необходимым элементом при исполнении контракта с каждым субъектом данных. Это может включать, например, обработку адресов субъекта данных, чтобы доставить продукты, которые были приобретены онлайн, или обработку данных кредитной карточки для удобной оплаты. В контексте занятости, это основание может применяться, например, при обработке информации о заработной плате и данных банковского счёта, чтобы заработная плата могла быть начислена.[22] Необходимо установить прямую и объективную связь между обработкой данных и целью исполнения контракта.

30. According to Opinion 06/2014 of WP29, the term “necessary for the performance of a contract” needs to be interpreted strictly. The processing must be necessary to fulfil the contract with each individual data subject. This may include, for example, processing the address of the data subject so that goods purchased online can be delivered, or processing credit card details in order to facilitate payment. In the employment context, this ground may allow, for example, the processing of salary information and bank account details so that wages can be paid.[22] There needs to be a direct and objective link between the processing of the data and the purpose of the execution of the contract.

_{[22] См. также статью 9(2) GDPR.}

_{[22] The appropriate lawful basis could then be Article 6(1)(b) (contract).}

(c) передача необходима для заключения или исполнения договора, заключенного в интересах субъекта данных между контролёром и другим физическим или юридическим лицом;

(c) the transfer is necessary for the conclusion or performance of a contract concluded in the interest of the data subject between the controller and another natural or legal person;

(d) передача необходима по важным причинам публичного интереса;

(d) the transfer is necessary for important reasons of public interest;

(e) передача необходима для заявления, осуществления или оспаривания правовых требований и исков;

(e) the transfer is necessary for the establishment, exercise or defence of legal claims;

(f) передача необходима для защиты жизненно важных интересов субъекта данных или других лиц, если субъект данных физически или юридически не способен дать свое согласие;

(f) the transfer is necessary in order to protect the vital interests of the data subject or of other persons, where the data subject is physically or legally incapable of giving consent;

(g) передача ведется из регистра, который согласно праву Союза или государства-члена предназначен для предоставления информации общественности и который открыт для ознакомления широкой общественностью или любым лицом, которое может продемонстрировать легитимный интерес, но только в той мере, насколько в каждом отдельном случае выполняются условия для ознакомления, установленные правом Союза или государства-члена.

(g) the transfer is made from a register which according to Union or Member State law is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate a legitimate interest, but only to the extent that the conditions laid down by Union or Member State law for consultation are fulfilled in the particular case.

В случае если передача не может основываться на положениях Статей 45 или 46, в том числе на положениях об обязательных корпоративных правилах, и если не применяются отступления от соблюдения обязательств в особых случаях согласно первому подпараграфу настоящего параграфа, передача персональных данных третьей стране или международной организации может осуществляться только, если передача не носит повторяющийся характер, касается только ограниченного количества субъектов данных, необходима в целях существенных легитимных интересов контролёра, которые не превалируют над интересами или правами и свободами субъектов данных, и контролёр оценил все обстоятельства, связанные с передачей персональных данных, и на основании указанной оценки предусмотрел соответствующие гарантии касательно защиты персональных данных. Контролёр информирует о передаче надзорный орган. В дополнение к предоставлению информации, указанной в Статьях 13 и 14, контролёр информирует субъекта данных о передаче персональных данных и о своих легитимных интересах.

Where a transfer could not be based on a provision in Article 45 or 46, including the provisions on binding corporate rules, and none of the derogations for a specific situation referred to in the first subparagraph of this paragraph is applicable, a transfer to a third country or an international organisation may take place only if the transfer is not repetitive, concerns only a limited number of data subjects, is necessary for the purposes of compelling legitimate interests pursued by the controller which are not overridden by the interests or rights and freedoms of the data subject, and the controller has assessed all the circumstances surrounding the data transfer and has on the basis of that assessment provided suitable safeguards with regard to the protection of personal data. The controller shall inform the supervisory authority of the transfer. The controller shall, in addition to providing the information referred to in Articles 13 and 14, inform the data subject of the transfer and on the compelling legitimate interests pursued.

Связанные статьи

Статья 45 GDPR. Передача данных на основании решения об адекватности

Article 45 GDPR. Transfers on the basis of an adequacy decision

Статья 46 GDPR. Передача данных при условии осуществления надлежащих гарантий

Article 46 GDPR. Transfers subject to appropriate safeguards

Статья 13 GDPR. Информация, предоставляемая в случае сбора персональных данных от субъекта данных

Article 13 GDPR. Information to be provided where personal data are collected from the data subject

Статья 14 GDPR. Информация, предоставляемая при получении персональных данных не от субъекта данных

Article 14 GDPR. Information to be provided where personal data have not been obtained from the data subject

2. Передача согласно пункту (g) первого подпараграфа параграфа 1 не должна включать в себя все персональные данные или все категории персональных данных, содержащихся в регистре. Если целью регистра является ознакомление лиц, имеющих легитимный интерес, передача осуществляется только по запросу указанных лиц или если эти лица являются получателями данных.

2. A transfer pursuant to point (g) of the first subparagraph of paragraph 1 shall not involve the entirety of the personal data or entire categories of the personal data contained in the register. Where the register is intended for consultation by persons having a legitimate interest, the transfer shall be made only at the request of those persons or if they are to be the recipients.

3. Пункты (a), (b) и (c) первого подпараграфа параграфа 1, а также второй подпараграф параграфа 1 не применяются к деятельности, осуществляемой государственными органами при выполнении ими своих властных полномочий.

3. Points (a), (b) and (c) of the first subparagraph of paragraph 1 and the second subparagraph thereof shall not apply to activities carried out by public authorities in the exercise of their public powers.

4. Публичный интерес указанный в пункте (d) первого подпараграфа параграфа 1 должен быть признан в праве Союза или в законодательстве государства-члена, под действие которого подпадает контролёр.

4. The public interest referred to in point (d) of the first subparagraph of paragraph 1 shall be recognised in Union law or in the law of the Member State to which the controller is subject.

5. В случае отсутствия решения об адекватности защиты, право Союза или государства-члена может по важным причинам публичного интереса предусмотреть ограничение передачи определенных категорий персональных данных третьей стране или международной организации. Государства-члены уведомляют о таких положениях Европейскую Комиссию.

5. In the absence of an adequacy decision, Union or Member State law may, for important reasons of public interest, expressly set limits to the transfer of specific categories of personal data to a third country or an international organisation. Member States shall notify such provisions to the Commission.

6. Контролёр или процессор регистрируют произведенную ими оценку и соответствующие гарантии, упомянутые во втором подпараграфе параграфа 1 настоящей статьи, в реестре, упомянутом в статье 30.

6. The controller or processor shall document the assessment as well as the suitable safeguards referred to in the second subparagraph of paragraph 1 of this Article in the records referred to in Article 30.

Связанные статьи

Статья 30 GDPR. Учет деятельности по обработке

Article 30 GDPR. Records of processing activities

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 49 GDPR:

7.5.1 Определить основание для передачи ПИИ между юрисдикциями

Средство управления

Организация должна определить и задокументировать соответствующее основание для передачи ПИИ между юрисдикциями.

Руководство по внедрению

Передача ПИИ может быть предметом законодательства и / или регулирования в зависимости от юрисдикции или международной организации, которой данные должны быть переданы (и откуда они происходят).

…

Войти
для доступа к полному тексту

Преамбулы

(111) В определенных случаях должна быть предусмотрена возможность передачи персональных данных, например, когда субъект данных дал свое явное согласие или, когда передача персональных данных является случайной и необходимой, в отношении контракта или судебного иска, независимо от того, происходит это в судебном, административном или внесудебном порядке, включая процедуры досудебного урегулирования. В отдельных случаях следует также предусмотреть возможность для передачи персональных данных, если это необходимо в публичных интересах, предусмотренных правом Союза или правом государства-члена, или же когда передача осуществляется из реестра, предусмотренного законом и предназначена для ознакомления общественности или лиц, имеющих легитимный интерес. В последнем случае такая передача не должна затрагивать все персональные данные или категории данных, содержащиеся в реестре, и, когда реестр предназначен для ознакомления лиц, имеющих легитимный интерес, передача должна осуществляться только по запросу этих лиц или, если они являются получателями, необходимо полностью учитывать интересы и фундаментальные права субъекта данных.

(111) Provisions should be made for the possibility for transfers in certain circumstances where the data subject has given his or her explicit consent, where the transfer is occasional and necessary in relation to a contract or a legal claim, regardless of whether in a judicial procedure or whether in an administrative or any out-of-court procedure, including procedures before regulatory bodies. Provision should also be made for the possibility for transfers where important grounds of public interest laid down by Union or Member State law so require or where the transfer is made from a register established by law and intended for consultation by the public or persons having a legitimate interest. In the latter case, such a transfer should not involve the entirety of the personal data or entire categories of the data contained in the register and, when the register is intended for consultation by persons having a legitimate interest, the transfer should be made only at the request of those persons or, if they are to be the recipients, taking into full account the interests and fundamental rights of the data subject.

(112) Такие изъятия должны применяться, в том числе, в отношении требуемой или необходимой по причине публичного интереса передачи данных, например, в случаях международного обмена персональными данными между антимонопольными, налоговыми и таможенными органами; между органами финансового надзора; между службами, отвечающими за социальное обеспечение или социальное здравоохранение, к примеру, в случае отслеживания контактов при инфекционных заболеваниях или в целях сокращения и/или исключения допинга в спорте. Передача персональных данных также считается законной, если она необходима для защиты жизненно важных интересов субъекта данных или иного лица, включая физическую неприкосновенность или жизнь, если субъект данных не в состоянии дать своё согласие. При отсутствии решения о достаточности мер, право Союза или право государства-члена может по причинам публичного интереса ограничить передачу особых категорий персональных данных третьей стране или международной организации. Государства-члены должны уведомить об указанных положениях Европейскую Комиссию. Любая передача международной гуманитарной организации персональных данных субъекта данных, который физически или юридически не в состоянии дать своё согласие, в целях выполнения задачи, возложенной Женевскими Конвенциями, или в целях соблюдения международного гуманитарного права, применяемого в период вооружённых конфликтов, может рассматриваться в качестве необходимой по причине публичного интереса или вследствие того, что она относится к жизненно важному интересу субъекта данных.

(112) Those derogations should in particular apply to data transfers required and necessary for important reasons of public interest, for example in cases of international data exchange between competition authorities, tax or customs administrations, between financial supervisory authorities, between services competent for social security matters, or for public health, for example in the case of contact tracing for contagious diseases or in order to reduce and/or eliminate doping in sport. A transfer of personal data should also be regarded as lawful where it is necessary to protect an interest which is essential for the data subject's or another person's vital interests, including physical integrity or life, if the data subject is incapable of giving consent. In the absence of an adequacy decision, Union or Member State law may, for important reasons of public interest, expressly set limits to the transfer of specific categories of data to a third country or an international organisation. Member States should notify such provisions to the Commission. Any transfer to an international humanitarian organisation of personal data of a data subject who is physically or legally incapable of giving consent, with a view to accomplishing a task incumbent under the Geneva Conventions or to complying with international humanitarian law applicable in armed conflicts, could be considered to be necessary for an important reason of public interest or because it is in the vital interest of the data subject.

(113) Передача персональных данных, которая не может быть квалифицирована как носящая повторяющийся характер и которая касается только ограниченного числа субъектов данных, также может быть возможна в легитимных интересах контролёра, если такие интересы не превалируют над интересами или правами и свободами субъекта данных, а также, когда контролёр оценил все обстоятельства, связанные с передачей данных. Контролёр должен уделить особое внимание характеру персональных данных, целям и продолжительности предлагаемой операции или операций по обработке, в том числе положению дел в стране происхождения персональных данных, третьей стране и стране конечного пункта назначения, а также должен обеспечить надлежащие гарантии для защиты фундаментальных прав и свобод физических лиц, в отношении обработки их персональных данных. Такая передача должна быть возможна только в крайних случаях, когда ни одно из других оснований не применимо. Для научных или исторических исследований, либо для статистических целей, легитимные ожидания общества, относительно расширения знаний, должны быть приняты во внимание. Контролёр должен проинформировать надзорный орган и субъекта данных о передаче данных.

(113) Transfers which can be qualified as not repetitive and that only concern a limited number of data subjects, could also be possible for the purposes of the compelling legitimate interests pursued by the controller, when those interests are not overridden by the interests or rights and freedoms of the data subject and when the controller has assessed all the circumstances surrounding the data transfer. The controller should give particular consideration to the nature of the personal data, the purpose and duration of the proposed processing operation or operations, as well as the situation in the country of origin, the third country and the country of final destination, and should provide suitable safeguards to protect fundamental rights and freedoms of natural persons with regard to the processing of their personal data. Such transfers should be possible only in residual cases where none of the other grounds for transfer are applicable. For scientific or historical research purposes or statistical purposes, the legitimate expectations of society for an increase of knowledge should be taken into consideration. The controller should inform the supervisory authority and the data subject about the transfer.

(114) В любом случае, если Европейская Комиссия не приняла решения о надлежащем уровне защиты персональных данных в третьей стране, контролёр или процессор должны использовать решения, посредством которых субъектам данных предоставляются эффективные права, обладающие силой принудительного исполнения, в отношении обработки их персональных данных в Союза после передачи таких данных с тем, чтобы они продолжали пользоваться фундаментальными правами и гарантиями.

(114) In any case, where the Commission has taken no decision on the adequate level of data protection in a third country, the controller or processor should make use of solutions that provide data subjects with enforceable and effective rights as regards the processing of their data in the Union once those data have been transferred so that that they will continue to benefit from fundamental rights and safeguards.

(115) Некоторые третьи страны принимают нормативные и иные правовые акты, которые направлены на непосредственное регулирование обработки персональных данных физическими и юридическими лицами, находящихся под юрисдикцией государств-членов. Это может включать в себя решения судов или трибуналов или решения административных органов в третьих странах, требующие от контролёра или процессора передачи или раскрытия персональных данных, и которые не основаны на международном договоре, таком как договор о взаимной правовой помощи, действующий между запрашивающей третьей страной и Союзом или государством-членом. Экстерриториальное применение таких нормативных и иных правовых актов, может нарушать международное право и может препятствовать защите физических лиц, гарантированной в Союзе настоящим Регламентом. Передача персональных данных должна быть разрешена только при условии соблюдения положений настоящего Регламента, касающихся передачи персональных данных в третьи страны. Это может иметь место, в частности, в тех случаях, когда раскрытие информации необходимо в публичных интересах, признанных в праве Союза или праве государства-члена, которое применяется к контролёру.

(115) Some third countries adopt laws, regulations and other legal acts which purport to directly regulate the processing activities of natural and legal persons under the jurisdiction of the Member States. This may include judgments of courts or tribunals or decisions of administrative authorities in third countries requiring a controller or processor to transfer or disclose personal data, and which are not based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State. The extraterritorial application of those laws, regulations and other legal acts may be in breach of international law and may impede the attainment of the protection of natural persons ensured in the Union by this Regulation. Transfers should only be allowed where the conditions of this Regulation for a transfer to third countries are met. This may be the case, inter alia, where disclosure is necessary for an important ground of public interest recognised in Union or Member State law to which the controller is subject.

Руководство и прецедентное право

(EN)

Document

EDPB, Guidelines 2/2018 on Derogations of Article 49 under Regulation 2016/679 (2018).

ICO, Guide on International Transfers (2019).

EDPB, Guidelines 3/2020 on the Processing of Data Concerning Health for the Purpose of Scientific Research in the Context of the Covid-19 Outbreak (2020).

Оставить комментарий

[js-disqus]