1. При отсутствии решения об адекватности в соответствии со статьей 45(3), контролёр или процессор может передавать персональные данные в третью страну или международную организацию, только если контролёр или процессор обеспечивает соответствующие гарантии и при условии, что субъектам данных доступны обладающие силой принудительного исполнения права и эффективные средства правовой защиты.
2. Надлежащие гарантии, указанные в параграфе 1, можно обеспечить (без необходимости получения специального разрешения от надзорного органа) с помощью:
(108) При отсутствии решения о достаточности, контролёр или процессор должны принять меры для компенсации отсутствия защиты персональных данных в третьей стране посредством предоставления надлежащих гарантий субъектам данных. Такие надлежащие гарантии могут включать в себя применение обязательных корпоративных правил, принятых Европейской Комиссией, стандартных договорных условий по защите персональных данных, принятых надзорным органом, а также договорных условий, санкционированных надзорным органом. Эти гарантии должны обеспечивать соблюдение требований по защите персональных данных и прав субъектов данных, соответствующих обработке в рамках Союза, включая обладающие силой принудительного исполнения права субъекта данных и эффективные средства правовой защиты, в том числе право на получение эффективной административной или судебной защиты, а также требования компенсации, в Союзе или в третьей стране. Они должны относиться, в частности, к соблюдению общих принципов обработки персональных данных - принципов защиты персональных данных: спроектированной и по умолчанию. Передача персональных данных может также осуществляться государственными органами; структурами наделенными государственной властью; структурами третьей страны или международными организациями с соответствующими обязанностями или функциями, в том числе на основе положений, которые должны быть включены в административные соглашения, такие как меморандум о взаимопонимании, предусматривающий для субъектов данных эффективные права, обладающие силой принудительного исполнения. Если гарантии, предусмотренные в административных соглашениях, не имеют юридически обязательный характер, должны быть получено разрешение компетентного надзорного органа.
(109) Возможность контролёра или процессора использовать стандартные договорные условия защиты персональных данных, принятые Европейской Комиссией или надзорным органом, не должна препятствовать контролёрам или процессорам включать стандартные договорные условия защиты персональных данных в более крупный контракт (например, договор между процессором и другим процессором), равно как не должна препятствовать дополнять контракт иными условиями либо дополнительными гарантиями, при условии, что они не противоречат, прямо или косвенно, стандартным договорным условиям, утверждённым Европейской Комиссией или надзорным органом, или не противоречат основным правам и свободам субъектов данных. Контролёры или процессоры должны содействовать предоставлению дополнительных гарантий, путем включения в стандартные договорные условия защиты персональных данных дополнительных обязательства.
(с) стандартных условий о защите данных, принятых Комиссией в соответствии с процедурой экспертизы, указанной в статье 93(2);
3. При условии разрешения компетентного надзорного органа, надлежащие гарантии, указанные в параграфе 1, также могут быть обеспечены, в частности, с помощью:
(a) договорных условий между контролёром или процессором и контролёром, процессором или получателем персональных данных в третьей стране или международной организации; или
5. Разрешения, выданные государством-членом или надзорным органом в соответствии со ст. 26(2) Директивы 95/46 /EC остаются в силе до их изменения, отмены или замены надзорным органом при необходимости. Решения, принятые Комиссией на основании статьи 26(4) Директивы 95/46/ЕС остаются в силе до внесения в них изменений, отмены или замены, в случае необходимости по решению Комиссии принятому в соответствии с параграфом 2 данной статьи.
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO – https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО “Дата Прайваси Офис”.
(108) При отсутствии решения о достаточности, контролёр или процессор должны принять меры для компенсации отсутствия защиты персональных данных в третьей стране посредством предоставления надлежащих гарантий субъектам данных. Такие надлежащие гарантии могут включать в себя применение обязательных корпоративных правил, принятых Европейской Комиссией, стандартных договорных условий по защите персональных данных, принятых надзорным органом, а также договорных условий, санкционированных надзорным органом. Эти гарантии должны обеспечивать соблюдение требований по защите персональных данных и прав субъектов данных, соответствующих обработке в рамках Союза, включая обладающие силой принудительного исполнения права субъекта данных и эффективные средства правовой защиты, в том числе право на получение эффективной административной или судебной защиты, а также требования компенсации, в Союзе или в третьей стране. Они должны относиться, в частности, к соблюдению общих принципов обработки персональных данных - принципов защиты персональных данных: спроектированной и по умолчанию. Передача персональных данных может также осуществляться государственными органами; структурами наделенными государственной властью; структурами третьей страны или международными организациями с соответствующими обязанностями или функциями, в том числе на основе положений, которые должны быть включены в административные соглашения, такие как меморандум о взаимопонимании, предусматривающий для субъектов данных эффективные права, обладающие силой принудительного исполнения. Если гарантии, предусмотренные в административных соглашениях, не имеют юридически обязательный характер, должны быть получено разрешение компетентного надзорного органа.
(109) Возможность контролёра или процессора использовать стандартные договорные условия защиты персональных данных, принятые Европейской Комиссией или надзорным органом, не должна препятствовать контролёрам или процессорам включать стандартные договорные условия защиты персональных данных в более крупный контракт (например, договор между процессором и другим процессором), равно как не должна препятствовать дополнять контракт иными условиями либо дополнительными гарантиями, при условии, что они не противоречат, прямо или косвенно, стандартным договорным условиям, утверждённым Европейской Комиссией или надзорным органом, или не противоречат основным правам и свободам субъектов данных. Контролёры или процессоры должны содействовать предоставлению дополнительных гарантий, путем включения в стандартные договорные условия защиты персональных данных дополнительных обязательства.
(EN)
EDPS, Strategy for Union institutions, offices, bodies and agencies to comply with the ‘Schrems II’ Ruling (2020).
This document seeks to provide guidance as to the application of Articles 46 (2) (a) and 46 (3) (b) of the General Data Protection Regulation (GDPR) on transfers of personal data from EEA public authorities or bodies to public bodies in third countries or to international organisations, to the extent that these are not covered by an adequacy finding adopted by the European Commission.
EDPB, Government access to data in third countries (2022).
CJEU, Data Protection Commissioner/Facebook Ireland Ltd and Schrems, C-311/18 (2020).
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 46 GDPR:
7.5.1 Identify basis for PII transfer between jurisdictions
Control
The organization should identify and document the relevant basis for transfers of PII between jurisdictions.
Implementation guidance
PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).
…
Logga in
för att komma åt hela textenу