Стаття 42 📖 GDPR. Сертифікація

Стаття 42 GDPR. Сертифікація

Article 42 GDPR. Certification

1. Держави-члени, наглядові органи, Рада і Комісія заохочують, зокрема на рівні Союзу, запровадження механізмів сертифікації захисту даних та штампів і знаків захисту даних з метою підтвердження відповідності цьому Регламенту операцій опрацювання, які здійснюють контролери і оператори. Необхідно брати до уваги особливі потреби мікропідприємств, малих і середніх підприємств.

1. The Member States, the supervisory authorities, the Board and the Commission shall encourage, in particular at Union level, the establishment of data protection certification mechanisms and of data protection seals and marks, for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors. The specific needs of micro, small and medium-sized enterprises shall be taken into account.

2. Окрім дотримання контролерами або операторами відповідно до цього Регламенту, механізми сертифікації захисту даних, штампи і знаки, затверджені відповідно до параграфа 5 цієї статті, можна запровадити з метою підтвердження наявності належних гарантій, які надають контролери або оператори, на яких не поширюється дія цього Регламенту відповідно до статті 3 в межах передавання персональних даних до третіх країн чи міжнародних організацій на умовах, вказаних у пункті (f) статті 46(2). Такі контролери або оператори повинні взяти на себе зобов’язання, які є обов’язковими і можливими для виконання, за допомогою договірних або інших юридично зобов’язальних інструментів, для того, щоб застосувати зазначені належні гарантії, у тому числі, гарантії щодо прав суб’єктів даних.

2. In addition to adherence by controllers or processors subject to this Regulation, data protection certification mechanisms, seals or marks approved pursuant to paragraph 5 of this Article may be established for the purpose of demonstrating the existence of appropriate safeguards provided by controllers or processors that are not subject to this Regulation pursuant to Article 3 within the framework of personal data transfers to third countries or international organisations under the terms referred to in point (f) of Article 46(2). Such controllers or processors shall make binding and enforceable commitments, via contractual or other legally binding instruments, to apply those appropriate safeguards, including with regard to the rights of data subjects.

Пов'язані норми

Стаття 3 GDPR. Територіальна сфера дії

Article 3 GDPR. Territorial scope

Стаття 46 GDPR. Передавання з урахуванням належних гарантій

Article 46 GDPR. Transfers subject to appropriate safeguards

1. За відсутності рішення відповідно до статті 45(3), контролер або оператор можуть передавати персональні дані до третьої країни чи міжнародної організації, лише якщо контролер або оператор надав належні гарантії, та за умови наявності прав суб’єктів даних, що підлягають забезпеченню їхньої реалізації, та дієвих засобів правового захисту для суб’єктів даних.

1. In the absence of a decision pursuant to Article 45(3), a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available.

2. Належні гарантії, вказані в параграфі 1, можна надавати без запиту на отримання від наглядового органу будь-якого спеціального дозволу:

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

[…]

(f) затвердженим механізмом сертифікації відповідно до статті 42 в поєднанні із зобов’язаннями контролера або оператора в третій країні, що підлягають обов’язковому виконанню, щодо вжиття належних гарантій, у тому числі, в частині прав суб’єктів даних; або

(f) an approved certification mechanism pursuant to Article 42 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights.

[…]

3. Сертифікація є добровільною і доступною шляхом реалізації прозорого процесу.

3. The certification shall be voluntary and available via a process that is transparent.

4. Сертифікація відповідно до цієї статті не знижує ступінь відповідальності контролера або оператора щодо відповідності цьому Регламенту та не обмежує завдання і повноваження наглядових органів, що є компетентними відповідно до статті 55 чи 56.

4. A certification pursuant to this Article does not reduce the responsibility of the controller or the processor for compliance with this Regulation and is without prejudice to the tasks and powers of the supervisory authorities which are competent pursuant to Article 55 or 56.

Пов'язані норми

Стаття 55 GDPR. Компетенція

Article 55 GDPR. Competence

1. Кожен наглядовий орган має компетенцію для виконання завдань і реалізації повноважень, покладених на нього згідно з цим Регламентом на території його власної держави-члена.

1. Each supervisory authority shall be competent for the performance of the tasks assigned to and the exercise of the powers conferred on it in accordance with this Regulation on the territory of its own Member State.

2. Якщо опрацювання здійснюється публічними органами або приватними органами, які діють на підставі пункту (c) або (e) статті 6(1), компетенцію має наглядовий орган відповідної держави-члена. У таких випадках статтю 56 не застосовують.

2. Where processing is carried out by public authorities or private bodies acting on the basis of point (c) or (e) of Article 6(1), the supervisory authority of the Member State concerned shall be competent. In such cases Article 56 does not apply.

3. Наглядові органи не мають компетенції здійснювати нагляд за операціями опрацювання, які здійснюють суди, діючи як судові інстанції.

3. Supervisory authorities shall not be competent to supervise processing operations of courts acting in their judicial capacity.

Стаття 56 GDPR. Компетенція керівного наглядового органу

Article 56 GDPR. Competence of the lead supervisory authority

1. Без обмеження статті 55, наглядовий орган за головним осідком або єдиним осідком контролера або оператора має компетенцію діяти як керівний наглядовий орган для транскордонного опрацювання, що здійснює контролер або оператор відповідно до процедури, передбаченої у статті 60.

1. Without prejudice to Article 55, the supervisory authority of the main establishment or of the single establishment of the controller or processor shall be competent to act as lead supervisory authority for the cross-border processing carried out by that controller or processor in accordance with the procedure provided in Article 60.

2. Відступаючи від параграфа 1, кожний наглядовий орган має компетенцію розглядати скаргу, подану до нього, або можливе порушення положень цього Регламенту, якщо предмет стосується лише осідку в його державі-члені чи істотно впливає на суб’єктів даних лише в його державі-члені.

2. By derogation from paragraph 1, each supervisory authority shall be competent to handle a complaint lodged with it or a possible infringement of this Regulation, if the subject matter relates only to an establishment in its Member State or substantially affects data subjects only in its Member State.

3. У випадках, вказаних у параграфі 2 цієї статті, наглядовий орган повідомляє керівний наглядовий орган без затримки про таке питання. Протягом тритижневого періоду з дати отримання повідомлення керівний наглядовий орган повинен вирішити, чи розглядатиме справу згідно з процедурою, передбаченою в статті 60, зважаючи на те, чи знаходиться осідок контролера або оператора в державі-члені, з якої наглядовий орган повідомив про це.

3. In the cases referred to in paragraph 2 of this Article, the supervisory authority shall inform the lead supervisory authority without delay on that matter. Within a period of three weeks after being informed the lead supervisory authority shall decide whether or not it will handle the case in accordance with the procedure provided in Article 60, taking into account whether or not there is an establishment of the controller or processor in the Member State of which the supervisory authority informed it.

4. Якщо керівний наглядовий орган вирішує розглядати справу, застосовують процедуру, передбачену в статті 60. Наглядовий орган, який повідомив керівний наглядовий орган, може подати керівному наглядовому органу проект рішення. Керівний наглядовий орган звертає максимальну увагу на такий проект під час підготування проекту рішення, вказаного в статті 60(3).

4. Where the lead supervisory authority decides to handle the case, the procedure provided in Article 60 shall apply. The supervisory authority which informed the lead supervisory authority may submit to the lead supervisory authority a draft for a decision. The lead supervisory authority shall take utmost account of that draft when preparing the draft decision referred to in Article 60(3).

5. Якщо наглядовий орган вирішує не розглядати справу, наглядовий орган, який повідомив керівний наглядовий орган, повинен розглянути її відповідно до статей 61 і 62.

5. Where the lead supervisory authority decides not to handle the case, the supervisory authority which informed the lead supervisory authority shall handle it according to Articles 61 and 62.

6. Керівний наглядовий орган є єдиним посередником контролера або оператора в транскордонному опрацюванні, яке здійснює такий контролер або оператор.

6. The lead supervisory authority shall be the sole interlocutor of the controller or processor for the cross-border processing carried out by that controller or processor.

5. Сертифікацію відповідно до цієї статті видають органи сертифікації, вказані в статті 43, або компетентні наглядові органи, на підставі критеріїв, затверджених таким компетентним наглядовим органом згідно зі статтею 58(3) або Радою згідно зі статтею 63. Якщо критерії затверджено Радою, це може стати результатом запровадження спільної сертифікації, Європейського штампу захисту даних.

5. A certification pursuant to this Article shall be issued by the certification bodies referred to in Article 43 or by the competent supervisory authority, on the basis of criteria approved by that competent supervisory authority pursuant to Article 58(3) or by the Board pursuant to Article 63. Where the criteria are approved by the Board, this may result in a common certification, the European Data Protection Seal.

Пов'язані норми

Стаття 43 GDPR. Органи сертифікації

Article 43 GDPR. Certification bodies

Стаття 58 GDPR. Повноваження

Article 58 GDPR. Powers

[…]

3. Кожний наглядовий орган має всі дозвільні і консультативні повноваження, а саме:

3. Each supervisory authority shall have all of the following authorisation and advisory powers:

(a) консультувати контролера відповідно до процедури попередніх консультацій, вказаної в статті 36;

(a) to advise the controller in accordance with the prior consultation procedure referred to in Article 36;

(b) видавати, за власною ініціативою чи на запит, висновки для національного парламенту, уряду держави-члена чи, відповідно до законодавства держави-члена, інших установ і органів, а також громадськості щодо будь-якого питання, пов’язаного з захистом персональних даних;

(b) to issue, on its own initiative or on request, opinions to the national parliament, the Member State government or, in accordance with Member State law, to other institutions and bodies as well as to the public on any issue related to the protection of personal data;

(c) надавати дозвіл на опрацювання, вказане в статті 36(5), якщо законодавство держави-члена вимагає надання такого попереднього дозволу;

(c) to authorise processing referred to in Article 36(5), if the law of the Member State requires such prior authorisation;

(d) надавати висновок і затверджувати проекти кодексів поведінки відповідно до статті 40(5);

(d) to issue an opinion and approve draft codes of conduct pursuant to Article 40(5);

(e) надавати акредитацію органам сертифікації відповідно до статті 43;

(e) to accredit certification bodies pursuant to Article 43;

(f) видавати сертифікації та затверджувати критерії сертифікації відповідно до статті 42(5);

(f) to issue certifications and approve criteria of certification in accordance with Article 42(5);

(g) ухвалювати стандартні положення щодо захисту даних, вказані в статті 28(8) та пункті (d) статті 46(2);

(g) to adopt standard data protection clauses referred to in Article 28(8) and in point (d) of Article 46(2);

(h) надавати дозвіл на договірні положення, вказані в пункті (a) статті 46(3);

(h) to authorise contractual clauses referred to in point (a) of Article 46(3);

(i) надавати дозвіл на адміністративні домовленості, вказані в пункті (b) статті 46(3);

(i) to authorise administrative arrangements referred to in point (b) of Article 46(3);

(j) затверджувати зобов’язальні корпоративні правила відповідно до статті 47.

(j) to approve binding corporate rules pursuant to Article 47.

[…]

Стаття 63 GDPR. Механізм послідовності

Article 63 GDPR. Consistency mechanism

Для того, щоб сприяти послідовному застосуванню цього Регламенту в межах Союзу, наглядові органи повинні співпрацювати один з одним і, в належних випадках, з Комісією, через механізм послідовності, як встановлено в цій секції.

In order to contribute to the consistent application of this Regulation throughout the Union, the supervisory authorities shall cooperate with each other and, where relevant, with the Commission, through the consistency mechanism as set out in this Section.

6. Контролер або оператор, який подає своє опрацювання до механізму сертифікації, надає органу сертифікації, вказаному в статті 43, або, у разі необхідності, компетентному наглядовому органу, всю інформацію та доступ до опрацювання даних, що є необхідним для проведення процедури сертифікації.

6. The controller or processor which submits its processing to the certification mechanism shall provide the certification body referred to in Article 43, or where applicable, the competent supervisory authority, with all information and access to its processing activities which are necessary to conduct the certification procedure.

Пов'язані норми

Стаття 43 GDPR. Органи сертифікації

Article 43 GDPR. Certification bodies

7. Сертифікацію видають контролеру або оператору на строк до трьох років, її може бути поновлено на тих самих умовах, якщо і надалі буде виконано відповідні вимоги. Сертифікацію відкликають, у разі необхідності, органи сертифікації, вказані в статті 43, або компетентний наглядовий орган, якщо вимоги для сертифікації не виконано або більше не виконують.

7. Certification shall be issued to a controller or processor for a maximum period of three years and may be renewed, under the same conditions, provided that the relevant criteria continue to be met. Certification shall be withdrawn, as applicable, by the certification bodies referred to in Article 43 or by the competent supervisory authority where the criteria for the certification are not or are no longer met.

Пов'язані норми

Стаття 43 GDPR. Органи сертифікації

Article 43 GDPR. Certification bodies

8. Рада впорядковує усі механізми сертифікації та штампи і знаки захисту даних у формі реєстру і оприлюднює їх за допомогою належних засобів.

8. The Board shall collate all certification mechanisms and data protection seals and marks in a register and shall make them publicly available by any appropriate means.

Загальний регламент про захист даних (GDPR)

Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

ISO 27701 Преамбули Керівництво та прецедентне право Залишити коментар

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 42 GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

(EN) […]

(EN) Sign in
to read the full text

Преамбули

(100) Для посилення прозорості та відповідності цьому Регламенту необхідно заохочувати запровадження механізмів сертифікації та штампів і знаків захисту даних, що дозволятимуть суб'єктам даних швидко оцінювати рівень захисту даних відповідних продуктів і сервісів.

(100) In order to enhance transparency and compliance with this Regulation, the establishment of certification mechanisms and data protection seals and marks should be encouraged, allowing data subjects to quickly assess the level of data protection of relevant products and services.

Керівництво та прецедентне право

(EN)

Document

EDPB, Guidelines 1/2018 on Certification and Identifying Certification Criteria in Accordance with Articles 42 and 43 of the Regulation (2019).

EDPB, Opinion 1/2022on the draft decision of the Luxembourg Supervisory Authority regarding the GDPR – CARPA certification criteria (2022).

Залишити коментар

[js-disqus]