Стаття 42 📖 GDPR. Сертифікація

Стаття 42 GDPR. Сертифікація

1. Держави-члени, наглядові органи, Рада і Комісія заохочують, зокрема на рівні Союзу, запровадження механізмів сертифікації захисту даних та штампів і знаків захисту даних з метою підтвердження відповідності цьому Регламенту операцій опрацювання, які здійснюють контролери і оператори. Необхідно брати до уваги особливі потреби мікропідприємств, малих і середніх підприємств.

2. Окрім дотримання контролерами або операторами відповідно до цього Регламенту, механізми сертифікації захисту даних, штампи і знаки, затверджені відповідно до параграфа 5 цієї статті, можна запровадити з метою підтвердження наявності належних гарантій, які надають контролери або оператори, на яких не поширюється дія цього Регламенту відповідно до статті 3 в межах передавання персональних даних до третіх країн чи міжнародних організацій на умовах, вказаних у пункті (f) статті 46(2). Такі контролери або оператори повинні взяти на себе зобов’язання, які є обов’язковими і можливими для виконання, за допомогою договірних або інших юридично зобов’язальних інструментів, для того, щоб застосувати зазначені належні гарантії, у тому числі, гарантії щодо прав суб’єктів даних.

Пов'язані норми

Стаття 3 GDPR. Територіальна сфера дії

Стаття 46 GDPR. Передавання з урахуванням належних гарантій

1. За відсутності рішення відповідно до статті 45(3), контролер або оператор можуть передавати персональні дані до третьої країни чи міжнародної організації, лише якщо контролер або оператор надав належні гарантії, та за умови наявності прав суб’єктів даних, що підлягають забезпеченню їхньої реалізації, та дієвих засобів правового захисту для суб’єктів даних.

2. Належні гарантії, вказані в параграфі 1, можна надавати без запиту на отримання від наглядового органу будь-якого спеціального дозволу:

[…]

(f) затвердженим механізмом сертифікації відповідно до статті 42 в поєднанні із зобов’язаннями контролера або оператора в третій країні, що підлягають обов’язковому виконанню, щодо вжиття належних гарантій, у тому числі, в частині прав суб’єктів даних; або

[…]

3. Сертифікація є добровільною і доступною шляхом реалізації прозорого процесу.

4. Сертифікація відповідно до цієї статті не знижує ступінь відповідальності контролера або оператора щодо відповідності цьому Регламенту та не обмежує завдання і повноваження наглядових органів, що є компетентними відповідно до статті 55 чи 56.

Пов'язані норми

Стаття 55 GDPR. Компетенція

1. Кожен наглядовий орган має компетенцію для виконання завдань і реалізації повноважень, покладених на нього згідно з цим Регламентом на території його власної держави-члена.

2. Якщо опрацювання здійснюється публічними органами або приватними органами, які діють на підставі пункту (c) або (e) статті 6(1), компетенцію має наглядовий орган відповідної держави-члена. У таких випадках статтю 56 не застосовують.

3. Наглядові органи не мають компетенції здійснювати нагляд за операціями опрацювання, які здійснюють суди, діючи як судові інстанції.

Стаття 56 GDPR. Компетенція керівного наглядового органу

1. Без обмеження статті 55, наглядовий орган за головним осідком або єдиним осідком контролера або оператора має компетенцію діяти як керівний наглядовий орган для транскордонного опрацювання, що здійснює контролер або оператор відповідно до процедури, передбаченої у статті 60.

2. Відступаючи від параграфа 1, кожний наглядовий орган має компетенцію розглядати скаргу, подану до нього, або можливе порушення положень цього Регламенту, якщо предмет стосується лише осідку в його державі-члені чи істотно впливає на суб’єктів даних лише в його державі-члені.

3. У випадках, вказаних у параграфі 2 цієї статті, наглядовий орган повідомляє керівний наглядовий орган без затримки про таке питання. Протягом тритижневого періоду з дати отримання повідомлення керівний наглядовий орган повинен вирішити, чи розглядатиме справу згідно з процедурою, передбаченою в статті 60, зважаючи на те, чи знаходиться осідок контролера або оператора в державі-члені, з якої наглядовий орган повідомив про це.

4. Якщо керівний наглядовий орган вирішує розглядати справу, застосовують процедуру, передбачену в статті 60. Наглядовий орган, який повідомив керівний наглядовий орган, може подати керівному наглядовому органу проект рішення. Керівний наглядовий орган звертає максимальну увагу на такий проект під час підготування проекту рішення, вказаного в статті 60(3).

5. Якщо наглядовий орган вирішує не розглядати справу, наглядовий орган, який повідомив керівний наглядовий орган, повинен розглянути її відповідно до статей 61 і 62.

6. Керівний наглядовий орган є єдиним посередником контролера або оператора в транскордонному опрацюванні, яке здійснює такий контролер або оператор.

5. Сертифікацію відповідно до цієї статті видають органи сертифікації, вказані в статті 43, або компетентні наглядові органи, на підставі критеріїв, затверджених таким компетентним наглядовим органом згідно зі статтею 58(3) або Радою згідно зі статтею 63. Якщо критерії затверджено Радою, це може стати результатом запровадження спільної сертифікації, Європейського штампу захисту даних.

Пов'язані норми

Стаття 43 GDPR. Органи сертифікації

Стаття 58 GDPR. Повноваження

[…]

3. Кожний наглядовий орган має всі дозвільні і консультативні повноваження, а саме:

(a) консультувати контролера відповідно до процедури попередніх консультацій, вказаної в статті 36;

(b) видавати, за власною ініціативою чи на запит, висновки для національного парламенту, уряду держави-члена чи, відповідно до законодавства держави-члена, інших установ і органів, а також громадськості щодо будь-якого питання, пов’язаного з захистом персональних даних;

(c) надавати дозвіл на опрацювання, вказане в статті 36(5), якщо законодавство держави-члена вимагає надання такого попереднього дозволу;

(d) надавати висновок і затверджувати проекти кодексів поведінки відповідно до статті 40(5);

(e) надавати акредитацію органам сертифікації відповідно до статті 43;

(f) видавати сертифікації та затверджувати критерії сертифікації відповідно до статті 42(5);

(g) ухвалювати стандартні положення щодо захисту даних, вказані в статті 28(8) та пункті (d) статті 46(2);

(h) надавати дозвіл на договірні положення, вказані в пункті (a) статті 46(3);

(i) надавати дозвіл на адміністративні домовленості, вказані в пункті (b) статті 46(3);

(j) затверджувати зобов’язальні корпоративні правила відповідно до статті 47.

[…]

Стаття 63 GDPR. Механізм послідовності

Для того, щоб сприяти послідовному застосуванню цього Регламенту в межах Союзу, наглядові органи повинні співпрацювати один з одним і, в належних випадках, з Комісією, через механізм послідовності, як встановлено в цій секції.

6. Контролер або оператор, який подає своє опрацювання до механізму сертифікації, надає органу сертифікації, вказаному в статті 43, або, у разі необхідності, компетентному наглядовому органу, всю інформацію та доступ до опрацювання даних, що є необхідним для проведення процедури сертифікації.

Пов'язані норми

Стаття 43 GDPR. Органи сертифікації

7. Сертифікацію видають контролеру або оператору на строк до трьох років, її може бути поновлено на тих самих умовах, якщо і надалі буде виконано відповідні вимоги. Сертифікацію відкликають, у разі необхідності, органи сертифікації, вказані в статті 43, або компетентний наглядовий орган, якщо вимоги для сертифікації не виконано або більше не виконують.

Пов'язані норми

Стаття 43 GDPR. Органи сертифікації

8. Рада впорядковує усі механізми сертифікації та штампи і знаки захисту даних у формі реєстру і оприлюднює їх за допомогою належних засобів.

Загальний регламент про захист даних (GDPR)

Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf

ISO 27701 Преамбули Керівництво та прецедентне право Залишити коментар

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 42 GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

(EN) […]

(EN) Sign in
to read the full text

Преамбули

(100) Для посилення прозорості та відповідності цьому Регламенту необхідно заохочувати запровадження механізмів сертифікації та штампів і знаків захисту даних, що дозволятимуть суб'єктам даних швидко оцінювати рівень захисту даних відповідних продуктів і сервісів.

Керівництво та прецедентне право

(EN)

Document

EDPB, Guidelines 1/2018 on Certification and Identifying Certification Criteria in Accordance with Articles 42 and 43 of the Regulation (2019).

EDPB, Opinion 1/2022on the draft decision of the Luxembourg Supervisory Authority regarding the GDPR – CARPA certification criteria (2022).

Залишити коментар

[js-disqus]