Navigering
GDPR > Статья 46. Передача данных при условии осуществления надлежащих гарантий
Hämta PDF

Статья 46 GDPR. Передача данных при условии осуществления надлежащих гарантий

1. При отсутствии решения об адекватности в соответствии со статьей 45(3), контролёр или процессор может передавать персональные данные в третью страну или международную организацию, только если контролёр или процессор обеспечивает соответствующие гарантии и при условии, что субъектам данных доступны обладающие силой принудительного исполнения права и эффективные средства правовой защиты.

Relaterade texter

2. Надлежащие гарантии, указанные в параграфе 1, можно обеспечить (без необходимости получения специального разрешения от надзорного органа) с помощью:

Skälen

(108) При отсутствии решения о достаточности, контролёр или процессор должны принять меры для компенсации отсутствия защиты персональных данных в третьей стране посредством предоставления надлежащих гарантий субъектам данных. Такие надлежащие гарантии могут включать в себя применение обязательных корпоративных правил, принятых Европейской Комиссией, стандартных договорных условий по защите персональных данных, принятых надзорным органом, а также договорных условий, санкционированных надзорным органом. Эти гарантии должны обеспечивать соблюдение требований по защите персональных данных и прав субъектов данных, соответствующих обработке в рамках Союза, включая обладающие силой принудительного исполнения права субъекта данных и эффективные средства правовой защиты, в том числе право на получение эффективной административной или судебной защиты, а также требования компенсации, в Союзе или в третьей стране. Они должны относиться, в частности, к соблюдению общих принципов обработки персональных данных - принципов защиты персональных данных: спроектированной и по умолчанию. Передача персональных данных может также осуществляться государственными органами; структурами наделенными государственной властью; структурами третьей страны или международными организациями с соответствующими обязанностями или функциями, в том числе на основе положений, которые должны быть включены в административные соглашения, такие как меморандум о взаимопонимании, предусматривающий для субъектов данных эффективные права, обладающие силой принудительного исполнения. Если гарантии, предусмотренные в административных соглашениях, не имеют юридически обязательный характер, должны быть получено разрешение компетентного надзорного органа.

(109) Возможность контролёра или процессора использовать стандартные договорные условия защиты персональных данных, принятые Европейской Комиссией или надзорным органом, не должна препятствовать контролёрам или процессорам включать стандартные договорные условия защиты персональных данных в более крупный контракт (например, договор между процессором и другим процессором), равно как не должна препятствовать дополнять контракт иными условиями либо дополнительными гарантиями, при условии, что они не противоречат, прямо или косвенно, стандартным договорным условиям, утверждённым Европейской Комиссией или надзорным органом, или не противоречат основным правам и свободам субъектов данных. Контролёры или процессоры должны содействовать предоставлению дополнительных гарантий, путем включения в стандартные договорные условия защиты персональных данных дополнительных обязательства.

(a) имеющего обязательную юридическую силу и обязательному к исполнению инструмента между органами государственной власти или ведомствами;

(b) обязательных корпоративных правил согласно со статье 47;

Relaterade texter

(с) стандартных условий о защите данных, принятых Комиссией в соответствии с процедурой экспертизы, указанной в статье 93(2);

Riktlinjer & Case Law Relaterade texter

(d) стандартных условий о защите данных, принятых надзорным органом и утвержденных Комиссией в соответствии с процедурой экспертизы, указанной в статье 93(2);

Relaterade texter

(e) утвержденного кодекса поведения согласно ст. 40 вместе с обязательными и обладающими силой принудительного исполнения обязательствами контролёра или процессора в третьей стране применить надлежащие меры, в том числе в отношении прав субъектов данных; или

(f) утвержденного механизма сертификации согласно статье 42, вместе с обязательными и обладающими силой принудительного исполнения обязательствами контролёра или процессора в третьей стране применить надлежащие меры, в том числе в отношении прав субъектов данных;

3. При условии разрешения компетентного надзорного органа, надлежащие гарантии, указанные в параграфе 1, также могут быть обеспечены, в частности, с помощью:

(a) договорных условий между контролёром или процессором и контролёром, процессором или получателем персональных данных в третьей стране или международной организации; или

(b) положений, содержащихся в административных соглашениях между органами государственной власти или ведомствами, которые включают обладающие силой принудительного исполнения и эффективные права субъектов данных.

4. В случаях, указанных в параграфе 3 настоящей статьи, надзорный орган применяет механизм согласованности, упомянутый в статье 63.

Relaterade texter

5. Разрешения, выданные государством-членом или надзорным органом в соответствии со ст. 26(2) Директивы 95/46 /EC остаются в силе до их изменения, отмены или замены надзорным органом при необходимости. Решения, принятые Комиссией на основании статьи 26(4) Директивы 95/46/ЕС остаются в силе до внесения в них изменений, отмены или замены, в случае необходимости по решению Комиссии принятому в соответствии с параграфом 2 данной статьи.

ISO 27701 Skälen Riktlinjer & Case Law Lämna en kommentar
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 46 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).


för att komma åt hela textenу

Skälen

(108) При отсутствии решения о достаточности, контролёр или процессор должны принять меры для компенсации отсутствия защиты персональных данных в третьей стране посредством предоставления надлежащих гарантий субъектам данных. Такие надлежащие гарантии могут включать в себя применение обязательных корпоративных правил, принятых Европейской Комиссией, стандартных договорных условий по защите персональных данных, принятых надзорным органом, а также договорных условий, санкционированных надзорным органом. Эти гарантии должны обеспечивать соблюдение требований по защите персональных данных и прав субъектов данных, соответствующих обработке в рамках Союза, включая обладающие силой принудительного исполнения права субъекта данных и эффективные средства правовой защиты, в том числе право на получение эффективной административной или судебной защиты, а также требования компенсации, в Союзе или в третьей стране. Они должны относиться, в частности, к соблюдению общих принципов обработки персональных данных - принципов защиты персональных данных: спроектированной и по умолчанию. Передача персональных данных может также осуществляться государственными органами; структурами наделенными государственной властью; структурами третьей страны или международными организациями с соответствующими обязанностями или функциями, в том числе на основе положений, которые должны быть включены в административные соглашения, такие как меморандум о взаимопонимании, предусматривающий для субъектов данных эффективные права, обладающие силой принудительного исполнения. Если гарантии, предусмотренные в административных соглашениях, не имеют юридически обязательный характер, должны быть получено разрешение компетентного надзорного органа.

(109) Возможность контролёра или процессора использовать стандартные договорные условия защиты персональных данных, принятые Европейской Комиссией или надзорным органом, не должна препятствовать контролёрам или процессорам включать стандартные договорные условия защиты персональных данных в более крупный контракт (например, договор между процессором и другим процессором), равно как не должна препятствовать дополнять контракт иными условиями либо дополнительными гарантиями, при условии, что они не противоречат, прямо или косвенно, стандартным договорным условиям, утверждённым Европейской Комиссией или надзорным органом, или не противоречат основным правам и свободам субъектов данных. Контролёры или процессоры должны содействовать предоставлению дополнительных гарантий, путем включения в стандартные договорные условия защиты персональных данных дополнительных обязательства.

Riktlinjer & Case Law Lämna en kommentar
[js-disqus]