Стаття 46 📖 GDPR. Передавання з урахуванням належних гарантій

Стаття 46 GDPR. Передавання з урахуванням належних гарантій

Article 46 GDPR. Transfers subject to appropriate safeguards

1. За відсутності рішення відповідно до статті 45(3), контролер або оператор можуть передавати персональні дані до третьої країни чи міжнародної організації, лише якщо контролер або оператор надав належні гарантії, та за умови наявності прав суб’єктів даних, що підлягають забезпеченню їхньої реалізації, та дієвих засобів правового захисту для суб’єктів даних.

1. In the absence of a decision pursuant to Article 45(3), a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available.

Пов'язані норми

Стаття 45 GDPR. Передавання на підставі рішення про відповідність

Article 45 GDPR. Transfers on the basis of an adequacy decision

[…]

3. Комісія, після проведення оцінювання адекватності рівня захисту, може вирішити, у формі імплементаційного акту, що третя країна, територія чи один або декілька визначених секторів у межах третьої країни, або міжнародна організація забезпечує належний рівень захисту даних у значенні параграфа 2 цієї статті. Імплементаційний акт передбачає механізм періодичного перегляду, щонайменше кожні чотири роки, який повинен враховувати усі належні тенденції розвитку в третій країні чи міжнародній організації. Імплементаційний акт уточнює територіальне та секторальне застосування та, за необхідності, визначає наглядовий орган або органи, вказані в пункті (b) параграфа 2 цієї статті. Імплементаційний акт ухвалюють відповідно до експертної процедури, вказаної в статті 93(2).

3. The Commission, after assessing the adequacy of the level of protection, may decide, by means of implementing act, that a third country, a territory or one or more specified sectors within a third country, or an international organisation ensures an adequate level of protection within the meaning of paragraph 2 of this Article. The implementing act shall provide for a mechanism for a periodic review, at least every four years, which shall take into account all relevant developments in the third country or international organisation. The implementing act shall specify its territorial and sectoral application and, where applicable, identify the supervisory authority or authorities referred to in point (b) of paragraph 2 of this Article. The implementing act shall be adopted in accordance with the examination procedure referred to in Article 93(2).

[…]

2. Належні гарантії, вказані в параграфі 1, можна надавати без запиту на отримання від наглядового органу будь-якого спеціального дозволу:

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

Преамбули

(108) За відсутності рішення про відповідність, контролер або оператор повинні вживати заходів для компенсації недостатнього захисту даних у третій країні шляхом застосування відповідних гарантій до суб'єкта даних. Такі відповідні гарантії можуть становити застосування зобов'язальних корпоративних правил, стандартних положень про захист даних, ухвалених Комісією, стандартних положень про захист даних, ухвалених наглядовим органом, або договірних положень, дозвіл на які надано наглядовим органом. Ці гарантії повинні забезпечувати відповідність вимогам щодо захисту даних і правам суб'єктів даних, що відповідають опрацюванню в межах Союзу, в тому числі наявність прав суб'єкта даних, які можна реалізувати, та дієвих засобів правового захисту, в тому числі на отримання дієвих адміністративних чи судових засобів правового захисту та права вимоги відшкодування, в Союзі чи в третій країні. Вони повинні стосуватися, зокрема, відповідності загальним принципам щодо опрацювання персональних даних, принципам захисту даних за призначенням і за замовчуванням. Передавання також можуть здійснювати публічні органи до публічних органів у третіх країнах або міжнародних організацій з відповідними обов'язками чи функціями, в тому числі на підставі положень, що підлягають внесенню до адміністративних домовленостей, таких як меморандум про взаєморозуміння, що передбачають права, які можна реалізувати, та дієві права для суб'єктів даних. Необхідно отримати дозвіл компетентного наглядового органу у випадку, якщо гарантії передбачено адміністративними домовленостями, що не мають зобов'язальної сили.

(108) In the absence of an adequacy decision, the controller or processor should take measures to compensate for the lack of data protection in a third country by way of appropriate safeguards for the data subject. Such appropriate safeguards may consist of making use of binding corporate rules, standard data protection clauses adopted by the Commission, standard data protection clauses adopted by a supervisory authority or contractual clauses authorised by a supervisory authority. Those safeguards should ensure compliance with data protection requirements and the rights of the data subjects appropriate to processing within the Union, including the availability of enforceable data subject rights and of effective legal remedies, including to obtain effective administrative or judicial redress and to claim compensation, in the Union or in a third country. They should relate in particular to compliance with the general principles relating to personal data processing, the principles of data protection by design and by default. Transfers may also be carried out by public authorities or bodies with public authorities or bodies in third countries or with international organisations with corresponding duties or functions, including on the basis of provisions to be inserted into administrative arrangements, such as a memorandum of understanding, providing for enforceable and effective rights for data subjects. Authorisation by the competent supervisory authority should be obtained when the safeguards are provided for in administrative arrangements that are not legally binding.

(109) Можливість контролера або оператора застосовувати стандартні положення про захист даних, ухвалені Комісією чи наглядовим органом, не повинні утримувати контролерів або операторів ані від внесення стандартних положень про захист даних у більш всебічний договір, такий як договір між оператором і іншим оператором, ані від додавання інших положень або додаткових гарантій за умови, що вони не суперечать, прямо чи опосередковано, договірним положенням, ухваленим Комісією чи наглядовим органом, або не обмежують фундаментальні права чи свободи суб'єктів даних. Необхідно заохочувати контролерів і операторів надавати додаткові гарантії через договірні зобов'язання, що доповнюють стандартні положення про захист.

(109) The possibility for the controller or processor to use standard data-protection clauses adopted by the Commission or by a supervisory authority should prevent controllers or processors neither from including the standard data-protection clauses in a wider contract, such as a contract between the processor and another processor, nor from adding other clauses or additional safeguards provided that they do not contradict, directly or indirectly, the standard contractual clauses adopted by the Commission or by a supervisory authority or prejudice the fundamental rights or freedoms of the data subjects. Controllers and processors should be encouraged to provide additional safeguards via contractual commitments that supplement standard protection clauses.

(a) юридично зобов’язальним інструментом, що підлягає застосуванню, між публічними органами чи організаціями;

(a) a legally binding and enforceable instrument between public authorities or bodies;

Керівництво та прецедентне право

(EN)

Document

EDPB, Guidelines 2/2020 on Articles 46(2)(a) and 46(3)(b) of Regulation 2016/679 for Transfers of Personal Data Between EEA and Non-EEA Public Authorities and Bodies (2020).

(b) зобов’язальними корпоративними правилами згідно зі статтею 47;

(b) binding corporate rules in accordance with Article 47;

Пов'язані норми

Стаття 47 GDPR. Зобов'язальні корпоративні правила

Article 47 GDPR. Binding corporate rules

(c) стандартними положеннями щодо захисту даних, ухваленими Комісією відповідно до експертної процедури, зазначеної в статті 93(2);

(c) standard data protection clauses adopted by the Commission in accordance with the examination procedure referred to in Article 93(2);

Керівництво та прецедентне право Пов'язані норми

Керівництво та прецедентне право

(EN) FAQs in order to address some issues raised by the entry into force of the EU Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC- WP 176 (57 kB) (12.07.2010)

EU controller to non-EU or EEA controller

EU controller to non-EU or EEA processor

decision 2010/87/EU

Пов'язані норми

Стаття 93 GDPR. Процедура Комітету

Article 93 GDPR. Committee procedure

[…]

2. У разі покликання на цей параграф необхідно застосовувати статтю 5 Регламенту (ЄЄ) N 182/2011.

2. Where reference is made to this paragraph, Article 5 of Regulation (EU) No 182/2011 shall apply.

[…]

(d) стандартними положеннями щодо захисту даних, ухваленими наглядовим органом і затвердженими Комісією відповідно до експертної процедури, зазначеної в статті 93(2);

(d) standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93(2);

Пов'язані норми

Стаття 93 GDPR. Процедура Комітету

Article 93 GDPR. Committee procedure

[…]

2. У разі покликання на цей параграф необхідно застосовувати статтю 5 Регламенту (ЄЄ) N 182/2011.

2. Where reference is made to this paragraph, Article 5 of Regulation (EU) No 182/2011 shall apply.

[…]

(e) затвердженим кодексом поведінки відповідно до статті 40 в поєднанні із зобов’язаннями контролера або оператора в третій країні, що підлягають обов’язковому виконанню, щодо вжиття належних гарантій, у тому числі, в частині прав суб’єктів даних; або

(e) an approved code of conduct pursuant to Article 40 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights; or

Пов'язані норми

Стаття 40 GDPR. Кодекс поведінки

Article 40 GDPR. Codes of conduct

(f) затвердженим механізмом сертифікації відповідно до статті 42 в поєднанні із зобов’язаннями контролера або оператора в третій країні, що підлягають обов’язковому виконанню, щодо вжиття належних гарантій, у тому числі, в частині прав суб’єктів даних; або

(f) an approved certification mechanism pursuant to Article 42 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights.

Пов'язані норми

Стаття 42 GDPR. Сертифікація

Article 42 GDPR. Certification

3. З урахуванням дозволу компетентного наглядового органу, належні гарантії, вказані в параграфі 1, можна також надавати, зокрема:

3. Subject to the authorisation from the competent supervisory authority, the appropriate safeguards referred to in paragraph 1 may also be provided for, in particular, by:

(a) положеннями договору між контролером або оператором та контролером, оператором або одержувачем персональних даних у третій країні чи міжнародною організацією; або

(a) contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organisation; or

(b) положеннями, які необхідно включити до адміністративних домовленостей між публічними органами чи організаціями, що містять дієві та можливі для виконання права суб’єкта даних.

(b) provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights.

Керівництво та прецедентне право

(EN)

Document

EDPB, Guidelines 2/2020 on Articles 46(2)(a) and 46(3)(b) of Regulation 2016/679 for Transfers of Personal Data Between EEA and Non-EEA Public Authorities and Bodies (2020).

4. Наглядовий орган застосовує механізм послідовності, вказаний у статті 63 у випадках, вказаних у параграфі 3 цієї статті.

4. The supervisory authority shall apply the consistency mechanism referred to in Article 63 in the cases referred to in paragraph 3 of this Article.

Пов'язані норми

Стаття 63 GDPR. Механізм послідовності

Article 63 GDPR. Consistency mechanism

Для того, щоб сприяти послідовному застосуванню цього Регламенту в межах Союзу, наглядові органи повинні співпрацювати один з одним і, в належних випадках, з Комісією, через механізм послідовності, як встановлено в цій секції.

In order to contribute to the consistent application of this Regulation throughout the Union, the supervisory authorities shall cooperate with each other and, where relevant, with the Commission, through the consistency mechanism as set out in this Section.

5. Надання дозволів державою-членом або наглядовим органом на підставі статті 26(2) Директиви 95/46/ЄС залишаються чинними до внесення таким наглядовим органом змін та доповнень, заміни або скасування, за необхідності. Рішення, ухвалені Комісією на підставі статті 26(4) Директиви 95/46/ЄС, залишаються чинними до внесення змін чи доповнень, заміни або скасування, за необхідності, Рішенням Комісії, ухваленим згідно з параграфом 2 цієї статті.

5. Authorisations by a Member State or supervisory authority on the basis of Article 26(2) of Directive 95/46/EC shall remain valid until amended, replaced or repealed, if necessary, by that supervisory authority. Decisions adopted by the Commission on the basis of Article 26(4) of Directive 95/46/EC shall remain in force until amended, replaced or repealed, if necessary, by a Commission Decision adopted in accordance with paragraph 2 of this Article.

Загальний регламент про захист даних (GDPR)

Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

ISO 27701 Преамбули Керівництво та прецедентне право Залишити коментар

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 46 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).

(EN) […]

(EN) Sign in
to read the full text

Преамбули

Керівництво та прецедентне право

(EN)

Documents

EDPB, Guidelines 2/2020 on Articles 46(2)(a) and 46(3)(b) of Regulation 2016/679 for Transfers of Personal Data Between EEA and Non-EEA Public Authorities and Bodies (2020).

EDPB, Guidelines 3/2020 on the Processing of Data Concerning Health for the Purpose of Scientific Research in the Context of the Covid-19 Outbreak (2020).

EDPS, Strategy for Union institutions, offices, bodies and agencies to comply with the ‘Schrems II’ Ruling (2020).

EDPB, Guidelines 2/2020 on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies (2020).

This document seeks to provide guidance as to the application of Articles 46 (2) (a) and 46 (3) (b) of the General Data Protection Regulation (GDPR) on transfers of personal data from EEA public authorities or bodies to public bodies in third countries or to international organisations, to the extent that these are not covered by an adequacy finding adopted by the European Commission.

EDPB, Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data (2021).

EDPB, Guidelines 2/2020 on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies (2020).

EDPB, Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR (2021).

EDPB, Government access to data in third countries (2022).