8. Наглядовий орган може ухвалити стандартні договірні положення з питань, вказаних у параграфах 3 і 4 цієї статті, та відповідно до механізму послідовності, вказаного в статті 63.
9. Договір або інший нормативно-правовий акт, як вказано в параграфах 3 і 4, повинні бути оформлені в письмовій формі, в тому числі, - в електронній.
10. З дотриманням положень статей 82, 83 і 84, у разі порушення оператором цього Регламенту шляхом визначення цілей і засобів опрацювання оператора необхідно вважати контролером для цілей такого опрацювання.
Стаття 29. Опрацювання під керівництвом контролера або оператора
Оператор або будь-яка особа, яка діє під керівництвом контролера або оператора, що має доступ до персональних даних, не повинні опрацьовувати такі дані без інструкцій контролера, за винятком відповідної вимоги законодавства Союзу або держави-члена.
Стаття 30. Записи опрацювання даних
1. Кожний контролер і, за необхідності, представник контролера повинні вести запис опрацювання даних, що належать до його сфери відповідальності. Такий запис повинен містити всю інформацію про:
(a) особу та контактні дані контролера та, за необхідності, об'єднаного контролера, представника контролера та співробітника з питань захисту даних;
(b) цілі цього Регламенту;
(c) опис категорій суб'єктів даних і категорій персональних даних;
(d) категорії одержувачів, яким персональні дані були або будуть розкриті, в тому числі одержувачі в третіх країнах або міжнародні організації;
(e) за необхідності, передавання персональних даних третій країні або міжнародній організації, в тому числі, ідентифікацію такої третьої країни чи міжнародної організації та, в разі актів передавання, вказаних у другому підпараграфі статті 49(1), документацію відповідних гарантій;
(f) за можливості, - передбачені часові обмеження для стирання різних категорій даних;
(g)за можливості, - загальний опис технічних і організаційних заходів безпеки, вказаних у статті 32(1).
2. Кожний оператор і, за необхідності, представник оператора повинні вести запис усіх категорій опрацювання, які здійснюють від імені контролера, що містить інформацію про:
(a) особу та контактні дані оператора чи операторів та кожного контролера, від імені якого діє оператор, та, за необхідності, представника контролера або представника оператора та співробітника з питань захисту даних;
(b) категорії опрацювання, що здійснюють від імені кожного контролера;
(c) за необхідності, передавання персональних даних третій країні або міжнародній організації, в тому числі, ідентифікацію такої третьої країни чи міжнародної організації та, в разі актів передавання, вказаних у другому підпараграфі статті 49(1), документацію відповідних гарантій;
(d) за можливості, - загальний опис технічних і організаційних заходів безпеки, вказаних у статті 32(1).
3. Записи, вказані в параграфах 1 і 2, повинні бути оформлені в письмовій формі, в тому числі, - в електронній.
4. Контролер або оператор і, за необхідності, представник контролера або оператора, повинні надавати запис на запит наглядового органу.
5. Обов'язки, вказані в параграфах 1 і 2, не можна застосовувати до підприємства чи організації з кількістю працівників, меншою за 250 осіб, за винятком, якщо здійснюване опрацювання може призвести до виникнення ризику для прав і свобод суб'єктів даних, призначене для окремого випадку, або якщо опрацювання передбачає спеціальні категорії даних, як зазначено в статті 9(1), або персональні дані про судимості і кримінальні злочини, вказані в статті 10.
Стаття 31. Співпраця із наглядовим органом
Контролер і оператор та, за необхідності, їхні представники, повинні співпрацювати, на запит, з наглядовим органом у виконанні своїх завдань.
Секція 2
Безпека персональних даних
Стаття 32. Безпека опрацювання
1. Зважаючи на сучасний рівень розвитку, витрати на реалізацію, специфіку, обсяги, контекст і цілі опрацювання, а також ризики різної ймовірності та тяжкості для прав і свобод фізичних осіб, які викликає опрацювання, контролер і оператор повинні вжити необхідних технічних і організаційних заходів для забезпечення рівня безпеки відповідно до ризику, в тому числі, між іншим, у належних випадках:
(a) використання псевдонімів і шифрування персональних даних;
(b) здатність забезпечувати безперервну конфіденційність, цілісність, наявність та стійкість систем та послуг опрацювання;
(c) здатність вчасно відновити наявність і доступ до персональних даних у випадку технічної аварії;
(d) процес для регулярного тестування, оцінювання та аналізу результативності технічних і організаційних заходів для гарантування безпеки опрацювання.
2. Оцінюючи належний рівень безпеки, необхідно враховувати, зокрема, ризики, пов'язані з опрацюванням, зокрема такі, що виникають внаслідок випадкового чи незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних, які передано, збережено або іншим чином опрацьовано.
3. Дотримання затверджених кодексів поведінки, як вказано в статті 40, чи затверджених механізмів сертифікації, як вказано в статті 42, можна використовувати як елемент підтвердження відповідності вимогам, встановленим у параграфі 1 цієї статті.
4. Контролер і оператор повинні вжити заходів для того, щоб забезпечити, що будь-яка фізична особа, яка діє під керівництвом контролера або оператора і має доступ до персональних даних, не опрацьовує їх, за винятком, якщо вона здійснює це за інструкціями контролера, окрім випадків, коли вона зобов'язана діяти таким чином відповідно до законодавства Союзу або держави-члена.
Стаття 33. Нотифікація наглядового органу про порушення захисту персональних даних
1. У випадку порушення захисту персональних даних, контролер повинен без необґрунтованої затримки та, за можливості, не пізніше, ніж протягом 72 години після того, як йому стало відомо про це, повідомити про порушення захисту персональних даних наглядовий орган, який є компетентним згідно зі статтею 55, якщо таке порушення навряд чи призведе до виникнення ризику для прав і свобод фізичних осіб. Якщо нотифікацію наглядового органу не здійснюють протягом 72 годин, необхідно надати супровідну інформацію про причини затримки.
2. Оператор повинен повідомити контролера без необґрунтованої затримки після того, як йому стало відомо про порушення захисту персональних даних.
3. Нотифікація, вказана в параграфі 1, повинна принаймні:
(a) описувати специфіку порушення захисту персональних даних, у тому числі, за можливості, категорії та приблизну кількість зацікавлених суб'єктів даних і категорії та приблизну кількість записів персональних даних, яких це стосується;
(b) повідомляти особу та контактні дані співробітника з питань захисту даних або іншого координаційного органу, де можна отримати більше інформації;
(c) описувати ймовірні наслідки порушення захисту персональних даних;
(d) описувати заходи, яких було вжито чи яких запропоновано вжити контролером для реагування на порушення захисту персональних даних, у тому числі, в разі необхідності, заходи для зниження його потенційних негативних наслідків.
4. Якщо і оскільки є неможливим надати інформацію одночасно, інформацію можна надавати поетапно без подальшої необґрунтованої затримки.
5. Контролер повинен зафіксувати будь-які порушення захисту персональних даних, збираючи факти, що стосуються порушення захисту персональних даних, його наслідків та вжитих заходів щодо виправлення ситуації. Документація надає можливість наглядовому органу перевірити відповідність цій статті.
Стаття 34. Повідомлення суб'єкта даних про порушення захисту персональних даних
1. Якщо порушення захисту персональних даних ймовірно призведе до виникнення високого ризику для прав і свобод фізичних осіб, контролер повинен повідомити суб'єкта даних про порушення захисту персональних даних без необґрунтованої затримки.
2. Повідомлення суб'єкта даних, вказане в параграфі 1 цієї статті, описує, з використанням чітких і простих формулювань, специфіку порушення захисту персональних даних і містить принаймні інформацію та заходи, вказані в пунктах (b), (c) і (d) статті 33(3).
3. Повідомлення суб'єкта даних, вказане в параграфі 1, є необов'язковим у разі виконання однієї з наведених нижче вимог:
(a) контролер вжив необхідних технічних та організаційних заходів захисту, і такі заходи було застосовано до персональних даних, на які вплинуло порушення захисту персональних даних, зокрема ті, що унеможливлюють розуміння персональних даних будь-якою особою, яка не має дозволу на доступ до них, наприклад, шифрування;
(b) контролер вжив наступних заходів, що гарантують, що високий ризик для прав і свобод суб'єктів даних, вказаний у параграфі 1, ймовірно більше не матеріалізується;
(c) воно передбачатиме докладання надмірних зусиль. У такому разі замість нього надають публічне повідомлення чи подібний інструмент, за допомогою якого повідомляють суб'єктів даних у рівноцінно дієвий спосіб.
4. Якщо контролер ще не повідомив суб'єкта даних про порушення захисту персональних даних, наглядовий орган, розглянувши ймовірність спричинення порушенням захисту персональних даних високого ризику, може вимагати зробити це чи може вирішити, що будь-яку з умов, вказаних в параграфі 3, виконано.
Секція 3
Оцінювання впливу на захист даних і попередня консультація
Стаття 35. Оцінювання впливу на захист даних
1. тип опрацювання, зокрема з використанням нових технологій, і зважаючи на специфіку, обсяг, контекст і цілі опрацювання, ймовірно призведе до виникнення високого ризику для прав і свобод фізичних осіб, контролер, до здійснення опрацювання, повинен провести оцінювання впливу передбачених операцій опрацювання на захист персональних даних. Єдине оцінювання може стосуватися низки подібних операцій опрацювання, що становлять подібні високі ризики.
2. Контролер повинен звернутися за рекомендаціями до співробітника з питань захисту даних, якщо його призначено, у ході проведення оцінювання впливу на захист даних.
3. Оцінювання впливу на захист даних, вказане в параграфі 1, є необхідним, зокрема, у випадку:
(a) систематичного та масштабного оцінювання персональних аспектів, що стосуються фізичних осіб, яке ґрунтується на автоматизованому опрацюванні, в тому числі, профайлінгу, та на якому ґрунтуються рішення, що мають юридичні наслідки щодо фізичної особи чи подібним чином істотно впливають на фізичну особу;
(b) широкомасштабного опрацювання спеціальних категорій даних, вказаних у статті 9(1), та персональних даних про судимості і кримінальні злочини, вказані в статті 10; або
(c) систематичного та широкомасштабного моніторингу зони, що знаходиться у відкритому доступі.
4. Наглядовий орган повинен розробити і оприлюднити перелік операцій опрацювання, на які поширюється вимога проведення оцінювання впливу на захист даних відповідно до параграфа 1. Наглядовий орган повідомляє Раду про такі переліки, як вказано в статті 68.
5. Наглядовий орган може також розробляти і оприлюднювати перелік операцій опрацювання, на які не поширюється вимога проведення оцінювання впливу на захист даних. Наглядовий орган повинен повідомляти Раду про такі переліки.
6. До ухвалення переліків, вказаних у параграфах 4 і 5, компетентний наглядовий орган повинен застосовувати механізм послідовності, вказаний у статті 63, якщо такі переліки включають опрацювання даних, пов'язане з пропонуванням товарів або послуг суб'єктам даних або моніторингом їхньої поведінки в декількох державах-членах, або можуть істотно впливати на вільний рух персональних даних у межах Союзу.
7. Оцінювання повинне містити принаймні:
(a) систематичний опис передбачених операцій опрацювання та цілі опрацювання, в тому числі, за необхідності, законний інтерес контролера;
(b) оцінювання необхідності та пропорційності операцій опрацювання щодо цілей;
(c) оцінювання ризиків для прав і свобод суб'єктів даних, вказаних у параграфі 1; та
(d) заходи, передбачені для боротьби з ризиками, в тому числі, гарантії, заходи безпеки та механізми забезпечення захисту персональних даних та доведення відповідності цьому Регламенту, з урахуванням прав і законних інтересів суб'єктів даних та інших залучених осіб.
8. Необхідно належним чином враховувати дотримання відповідними контролерами або операторами затверджених кодексів поведінки, вказаних у статті 40, під час оцінювання впливу операцій опрацювання, які здійснюють такі контролери або оператори, зокрема, для цілей оцінювання впливу на захист даних.
9. У разі необхідності, контролер повинен ознайомитися з думками суб'єктів даних або їхніх представників щодо запланованого опрацювання, без обмеження захисту комерційних або суспільних інтересів або безпеки операцій опрацювання.
10. Якщо опрацювання відповідно пункту (c) або (e) статті 6(1) має законодавчу базу відповідно до законодавства Союзу або законодавства держави-члена, яке поширюється на контролера, таке законодавство регулює конкретну операцію опрацювання чи відповідну низку операцій, і якщо оцінювання впливу на захист даних вже було проведено як частину загального оцінювання впливу в контексті ухвалення такої законодавчої бази, параграфи 1-7 не застосовують, за винятком, якщо держави-члени вважають за необхідне провести таке оцінювання до здійснення опрацювання даних.
11. У разі необхідності, контролер повинен провести перевірку, щоб пересвідчитися, чи здійснюють опрацювання з урахуванням оцінювання впливу на захист даних, принаймні - у разі зміни ризику, який становлять операції опрацювання.
Стаття 36. Попередня консультація
1. Контролер повинен надати консультацію наглядовому органу до початку здійснення опрацювання, якщо оцінка впливу на захист даних за статтею 35 свідчить про те, що опрацювання призведе до виникнення високого ризику в разі відсутності заходів, які вживає контролер для зниження ризику.
2. Якщо наглядовий орган вважає, що заплановане опрацювання, вказане в параграфі 1, може порушити цей Регламент, зокрема, якщо контролер недостатньо ідентифікував або знизив ризик, наглядовий орган, протягом періоду до восьми тижнів після отримання запиту на консультацію, повинен надати контролеру письмові рекомендації та, в разі необхідності, оператору, а також може використовувати будь-які свої повноваження, вказані в статті 58. Цей період може бути подовжено на шість тижнів, з огляду складність запланованого опрацювання. Наглядовий орган інформує контролера та, в разі необхідності оператора, про будь-яке таке подовження протягом одного місяця з дати отримання запиту на консультацію разом з інформацією про причини такої затримки. Такі періоди може бути призупинено до отримання наглядовим органом інформації, яку він запитував для цілей консультації.
3. Надаючи консультацію наглядовому органу відповідно до параграфа 1, контролер повинен надати наглядовому органу:
(a) в разі необхідності, інформацію про відповідні обов'язки контролера, об'єднаних контролерів і операторів, залучених до опрацювання, зокрема, для опрацювання в межах групи підприємств;
(b) цілі та засоби запланованого опрацювання;
(c) засоби та гарантії, передбачені для захисту прав і свобод суб'єктів даних відповідно до цього Регламенту;
(d) в разі необхідності, контактні дані співробітника з питань захисту даних;
(e) оцінку впливу на захист даних, передбачену в статті 35; і
(f) будь-яку іншу інформацію, яку запитує наглядовий орган.
4. Держави-члени повинні надати наглядовому органу консультацію під час підготування пропозиції для законодавчого інструменту, який повинен ухвалити національний парламент, або регуляторного інструменту на підставі такого законодавчого інструменту, що стосується опрацювання.
5. Без обмеження положень параграфа 1, законодавство держав-членів може вимагати від контролерів проводити консультації та отримувати попередній дозвіл від наглядового органу щодо опрацювання контролером для реалізації завдання, яке виконує контролер для цілей суспільного інтересу, в тому числі, опрацювання в сфері соціального захисту і охорони суспільного здоров'я.
Секція 4
Співробітник з питань захисту даних
Стаття 37. Призначення співробітника з питань захисту даних
1. Контролер і оператор призначають співробітника з питань захисту даних у будь-якому з наведених нижче випадків:
(a) опрацювання здійснює публічний орган або установа, за винятком судів, що діють як судові інстанції;
(b) основні види діяльності контролера або оператора становлять операції опрацювання, які, в силу їхньої специфіки, обсягів та/чи цілей, вимагають регулярного, систематичного і широкомасштабного моніторингу суб'єктів даних; або
(c) основні види діяльності контролера або оператора становлять широкомасштабне опрацювання спеціальних категорій даних відповідно до статті 9 та персональних даних про судимості і кримінальні злочині, вказані в статті 10.
2. Група підприємств може призначити єдиного співробітника з питань захисту даних за умови, що в кожному осідку існує доступ до співробітника з питань захисту даних.
3. Якщо контролер або оператор є публічним органом або установою, єдиного співробітника з питань захисту даних можна призначати для декількох таких органів або установ, з урахуванням їхньої організаційної структури та розміру.
4. У ситуаціях, відмінних від тих, що вказано в параграфі 1, контролер або оператор чи асоціації та інші органи, що представляють категорії контролерів або операторів можуть або, відповідно до вимог законодавства Союзу або держави-члена, повинні призначити співробітника з питань захисту даних. Співробітник з питань захисту даних може працювати на такі асоціації та інші органи, що представляють контролерів або операторів.
5. Співробітника з питань захисту даних призначають на підставі професійних якостей і, зокрема, експертних знань із права та практики захисту даних, а також здатності виконувати завдання, вказані в статті 39.
6. Співробітник з питань захисту даних може бути членом персоналу контролера або оператора, або виконувати завдання на підставі договору про надання послуг.
7. Контролер або оператор повинен опублікувати контактні дані співробітника з питань захисту даних і повідомити їх наглядовому органу.
Стаття 38. Позиція співробітника з питань захисту даних
1. Контролер і оператор забезпечують, щоб співробітника з питань захисту даних залучали, належним чином і вчасно, до усіх питань, що стосуються захисту персональних даних.
2. Контролер і оператор надають підтримку співробітнику з питань захисту даних у виконанні завдань, вказаних у статті 39, шляхом надання ресурсів, необхідних для реалізації таких завдань і доступу до персональних даних, операцій опрацювання, та для підтримання рівня його експертних знань.
3. Контролер і оператор забезпечують, щоб співробітник з питань захисту даних не отримував жодних інструкцій щодо виконання цих завдань. Контролер або оператор не має права відсторонити або оштрафувати таку особу за виконання їхніх завдань. Співробітник з питань захисту даних безпосередньо звітує до найвищого управлінського рівня контролера або оператора.
4. Суб'єкти даних можуть звертатися до співробітника з питань захисту даних щодо усіх питань, пов'язаних з опрацюванням їхніх персональних даних і реалізацією їхніх прав за цим Регламентом.
5. Співробітник з питань захисту даних зобов'язаний зберігати таємницю або конфіденційність щодо виконання своїх завдань відповідно до законодавства Союзу або держави-члена.
6. Співробітник з питань захисту даних може виконувати інші завдання і обов'язки. Контролер або оператор забезпечують, щоб жодні такі завдання та обов'язки не призвели до конфлікту інтересів.
Стаття 39. Завдання співробітника з питань захисту даних
1. Співробітник з питань захисту даних має щонайменше такі завдання:
(a) інформувати та надавати рекомендації контролеру або оператору і працівникам, які здійснюють опрацювання, щодо їхніх обов'язків відповідно до цього Регламенту та інших положень про захист даних Союзу чи держави-члена.
(b) здійснювати моніторинг відповідності цього Регламенту іншим положенням про захист даних Союзу або держави-члена та політиці контролера або оператора щодо захисту персональних даних, у тому числі, розподілу обов'язків, підвищення обізнаності та підготовки персоналу, залученого до операцій опрацювання, та відповідних перевірок;
(c) на запит, надавати рекомендації щодо оцінювання впливу на захист даних і здійснювати моніторинг його проведення відповідно до статті 35;
(d) співпрацювати із наглядовим органом;
(e) діяти як координаційний центр для наглядового органу з питань, що стосуються опрацювання, в тому числі, попередньої консультації, вказаної в статті 36, і надавати консультації за необхідності, щодо будь-якого іншого питання.
2. Під час виконання своїх завдань співробітник з питань захисту даних повинен належним чином враховувати ризик, пов'язаний із операціями опрацювання, зважаючи на специфіку, обсяг, контекст і цілі опрацювання.
Секція 5
Кодекси поведінки та сертифікація
Стаття 40. Кодекс поведінки
1. Держави-члени, наглядові органи, Рада і Комісія заохочують розроблення кодексів поведінки, спрямованих на сприяння належному застосуванню цього Регламенту, беручи до уваги особливі характеристики різних секторів опрацювання та конкретні потреби мікропідприємств, малих і середніх підприємств.
2. Асоціації та інші органи, що представляють категорії контролерів або операторів можуть підготувати кодекси поведінки або внести зміни і доповнення, або розширити такі кодекси, з метою уточнення застосування цього Регламенту, зокрема, щодо:
(a) правомірного та прозорого опрацювання;
(b) законних інтересів контролерів у конкретних ситуаціях;
(c) збирання персональних даних;
(d) використання псевдонімів для персональних даних;
(e) інформації, яку надають громадськості та суб'єктам даних;
(f) реалізації прав суб'єктів даних;
(g) інформації, яку надають дітям, та їхнього захисту, і способу, яким необхідно отримувати згоду носіїв батьківської відповідальності щодо дітей;
(h) заходів і процедур, вказаних у статтях 24 і 25, і заходів для гарантування безпеки опрацювання, вказаних у статті 32;
(i) нотифікації наглядових органів про порушення захисту персональних даних та повідомлення суб'єктів даних про такі порушення захисту персональних даних;
(j) передавання персональних даних до третіх країн або міжнародних організацій; або
(k) позасудових процедур і інших процедур щодо врегулювання суперечок для врегулювання спорів між контролерами та суб'єктами даних у зв'язку з опрацюванням, без порушення прав суб'єктів даних відповідно до статей 77 і 79.
3. Окрім дотримання контролерами або операторами відповідно до цього Регламенту, кодекси поведінки, що затверджені відповідно до параграфа 5 цієї статті та мають загальну дію відповідно до параграфа 9 цієї статті, також можна застосовувати до контролерів або операторів, на яких не поширюється дія цього Регламенту відповідно до статті 3 для того, щоб надати належні гарантії в межах передавання персональних даних до третіх країн чи міжнародних організацій на умовах, наведених у пункті (е) статті 46(2). Такі контролери або оператори повинні взяти на себе зобов'язання, які є обов'язковими і можливими для виконання, за допомогою договірних або інших юридично зобов'язальних інструментів, для того, щоб застосувати зазначені належні гарантії, у тому числі, гарантії щодо прав суб'єктів даних.
4. Кодекс поведінки, вказаний у параграфі 2 цієї статті, повинен передбачати механізми, що дозволяють органу, вказаному в статті 41(1), здійснювати обов'язковий моніторинг дотримання його положень контролерами або операторами, які взяли на себе зобов'язання щодо його застосування, без обмеження завдань і повноважень наглядових органів, що є компетентними відповідно до статті 55 або 56.
5. Асоціації та інші органи, вказані в параграфі 2 цієї статті, що мають намір підготувати кодекс поведінки чи внести зміни та доповнення або розширити наявний кодекс, подають проект кодексу, змін та доповнень або розширення до наглядового органу, що є компетентним відповідно до статті 55. Наглядовий орган надає висновок про те, чи відповідає проект кодексу, змін та доповнень або розширення цьому Регламенту, та затверджує такий проект кодексу, змін та доповнень або розширення, якщо з'ясовує, що в ньому передбачено достатні належні гарантії.
6. Якщо проект кодексу, змін та доповнень або розширення затверджують відповідно до параграфа 5, та якщо відповідний кодекс поведінки не стосується опрацювання даних в декількох державах-членах, наглядовий орган реєструє і опубліковує кодекс.
7. Якщо проект кодексу стосується опрацювання даних в декількох державах-членах, наглядовий орган, що є компетентним відповідно до статті 55, до затвердження проекту кодексу, змін та доповнень або розширення, подає його на процедуру, вказану в статті 63, до Ради, яка надає висновок щодо того, чи відповідає проект кодексу, змін та доповнень або розширення цьому Регламенту або, в ситуації, вказаній в параграфі 3 цієї статті, чи передбачено в ньому належні гарантії.
8. Якщо висновок, вказаний у параграфі 7, підтверджує, що проект кодексу, змін та доповнення або розширення відповідає цьому Регламенту або, в ситуації, вказаній в параграфі 3 цієї статті, передбачає належні гарантії, Рада подає свій висновок до Комісії.
9. Комісія може, за допомогою імплементаційних актів, вирішити, що затверджений кодекс поведінки, змін та доповнень або розширення, що подають їй відповідно до параграфа 8 цієї статті, мають загальну дію в межах Союзу. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, встановленої в статті 93(2).
10. Комісія забезпечує належну публічність для затверджених кодексів, щодо яких було прийнято рішення про те, що вони мають загальну дію згідно з параграфом 9.
11. Рада впорядковує усі затверджені кодекси поведінки, зміни та доповнення або розширення у формі реєстру і оприлюднює їх за допомогою належних засобів.
Стаття 41. Моніторинг затверджених кодексів поведінки
1. Без обмеження завдань і повноважень компетентного наглядового органу за статтями 57 і 58, моніторинг дотримання кодексу поведінки відповідно до статті 40 може здійснювати орган, що володіє належним рівнем експертних знань в сфері предмету кодексу та акредитований для такої цілі компетентним наглядовим органом.
2. Орган, як вказано в параграфі 1, може бути акредитований для моніторингу дотримання кодексу поведінки, якщо такий орган:
(a) довів свою незалежність та експертні знання в сфері предмету кодексу за повного виконання вимог компетентного наглядового органу;
(b) запровадив процедури, що дозволяють йому проводити оцінювання правоздатності залучених контролерів і операторів для застосування кодексу, моніторингу дотримання ними його положень та періодичного перегляду його дії;
(c) запровадив процедури та структури для розгляду скарг щодо порушень кодексу чи способу, у який було застосовано кодекс або який застосовує контролер або оператор, та надання таким процедурам і структурам прозорості для суб'єктів даних і громадськості; та
(d) довів за повного виконання вимог компетентного наглядового органу, що його завдання та обов'язки не призводять до конфлікту інтересів.
3. Компетентний наглядовий орган подає проект критеріїв для акредитації органу, як вказано в параграфі 1 цієї статті, до Ради відповідно до механізму послідовності, вказаного в статті 63.
4. Без порушення завдань і повноважень компетентного наглядового органу та положень глави VIII, орган, як вказано в параграфі 1 цієї статті, з урахуванням належних гарантій, вживає необхідних дій у випадках порушення кодексу контролером або оператором, у тому числі призупинення роботи чи виключення залученого контролера або оператора з кодексу. Він повідомляє компетентний наглядовий орган про такі дії та причини їх вжиття.
5. Компетентний наглядовий орган відкликає акредитацію органу, як вказано в параграфі 1, якщо умови для акредитації не виконано чи більше не виконують, або якщо дії, яких вживає орган, порушують цей Регламент.
6. Цю статтю не застосовують до опрацювання, яке здійснюють публічні органи.
Стаття 42. Сертифікація
1. Держави-члени, наглядові органи, Рада і Комісія заохочують, зокрема на рівні Союзу, запровадження механізмів сертифікації захисту даних та штампів і знаків захисту даних з метою підтвердження відповідності цьому Регламенту операцій опрацювання, які здійснюють контролери і оператори. Необхідно брати до уваги особливі потреби мікропідприємств, малих і середніх підприємств.
2. Окрім дотримання контролерами або операторами відповідно до цього Регламенту, механізми сертифікації захисту даних, штампи і знаки, затверджені відповідно до параграфа 5 цієї статті, можна запровадити з метою підтвердження наявності належних гарантій, які надають контролери або оператори, на яких не поширюється дія цього Регламенту відповідно до статті 3 в межах передавання персональних даних до третіх країн чи міжнародних організацій на умовах, вказаних у пункті (f) статті 46(2). Такі контролери або оператори повинні взяти на себе зобов'язання, які є обов'язковими і можливими для виконання, за допомогою договірних або інших юридично зобов'язальних інструментів, для того, щоб застосувати зазначені належні гарантії, у тому числі, гарантії щодо прав суб'єктів даних.
3. Сертифікація є добровільною і доступною шляхом реалізації прозорого процесу.
4. Сертифікація відповідно до цієї статті не знижує ступінь відповідальності контролера або оператора щодо відповідності цьому Регламенту та не обмежує завдання і повноваження наглядових органів, що є компетентними відповідно до статті 55 чи 56.
5. Сертифікацію відповідно до цієї статті видають органи сертифікації, вказані в статті 43, або компетентні наглядові органи, на підставі критеріїв, затверджених таким компетентним наглядовим органом згідно зі статтею 58(3) або Радою згідно зі статтею 63. Якщо критерії затверджено Радою, це може стати результатом запровадження спільної сертифікації, Європейського штампу захисту даних.
6. Контролер або оператор, який подає своє опрацювання до механізму сертифікації, надає органу сертифікації, вказаному в статті 43, або, у разі необхідності, компетентному наглядовому органу, всю інформацію та доступ до опрацювання даних, що є необхідним для проведення процедури сертифікації.
7. Сертифікацію видають контролеру або оператору на строк до трьох років, її може бути поновлено на тих самих умовах, якщо і надалі буде виконано відповідні вимоги. Сертифікацію відкликають, у разі необхідності, органи сертифікації, вказані в статті 43, або компетентний наглядовий орган, якщо вимоги для сертифікації не виконано або більше не виконують.
8. Рада впорядковує усі механізми сертифікації та штампи і знаки захисту даних у формі реєстру і оприлюднює їх за допомогою належних засобів.
Стаття 43. Органи сертифікації
1. Без обмеження завдань і повноважень компетентного наглядового органу за статтями 57 і 58, органи сертифікації, що володіють необхідним рівнем експертних знань в сфері захисту даних, після повідомлення наглядового органу для надання йому можливості здійснювати свої повноваження згідно з пунктом (її) статті 58(2) у разі необхідності, видають і оновлюють сертифікацію. Держави-члени забезпечують, щоб такі органи сертифікації були акредитовані одним або обома з наведених нижче органом:
(a) наглядовим органом, що є компетентним згідно зі статтею 55 чи 56;
(b) національним органом з акредитації, названим відповідно до Регламенту Європейського Парламенту і Ради (ЄС) № 765/2008 (- 1) згідно з EN-ISO/IEC 17065/2012 та додатковими вимогами, встановленими наглядовим органом, що є компетентним згідно зі статтею 55 чи 56.
__________
(-1) Регламент Європейського Парламенту і Ради (ЄС) № 765/2008 від 9 липня 2008 року про вимоги до акредитації та ринкового нагляду стосовно реалізації продуктів, та про скасування Регламенту (ЄЕС) № 339/93 (OB L 218, 13.08.2008, с. 30).
2. Органи сертифікації, вказані в параграфі 1, необхідно акредитувати згідно з цим параграфом, лише якщо вони:
(a) довели свою незалежність та експертні знання в сфері предмету сертифікації за повного виконання вимог компетентного наглядового органу;
(b) зобов'язались поважати критерії, вказані в статті 42(5) і затверджені наглядовим органом, що є компетентним згідно зі статтею 55 чи 56 або Радою відповідно до статті 63;
(c) розробили процедури для видачі, періодичної перевірки та відкликання сертифікації захисту даних, штампів і знаків;
(d) запровадили процедури та структури для розгляду скарг щодо порушень сертифікації чи способу, в який сертифікацію було здійснено чи здійснює контролер або оператор, та для забезпечення прозорості таких процедур і структур для суб'єктів даних і громадськості; та
(e) довели, за повного виконання вимог компетентного наглядового органу, що їхні завдання та обов'язки не призводять до конфлікту інтересів.
3. Акредитацію органів сертифікації, як вказано в параграфах 1 і 2 цієї статті, здійснюють на підставі критеріїв, затверджених наглядовим органом, що є компетентним згідно зі статтею 55 чи 56 або Радою відповідно до статті 63. У випадку акредитації відповідно до пункту (b) параграфа 1 цієї статті, ці вимоги доповнюють ті, що передбачені в Регламенті (ЄС) № 765/2008, і технічні норми, що описують методи та процедури органів сертифікації.
4. Органи сертифікації, вказані в параграфі 1, несуть відповідальність за належне оцінювання, в результаті якого можна видати або відкликати сертифікацію без обмеження відповідальності контролера або оператора за дотримання цього Регламенту. Акредитацію видають на строк до п'яти років, її можна поновлювати на тих самих умовах, якщо орган сертифікації відповідає вимогам, встановленим в цій статті.
5. Органи сертифікації, вказані в параграфі 1, повинні надати компетентним наглядовим органам інформацію про причини надання або відкликання сертифікації, про яку запитують.
6. Наглядовий орган повинен у доступній формі оприлюднити вимоги, вказані в параграфі 3 цієї статті, та критерії, вказані в статті 42(5). Наглядові органи також передають ці вимоги та критерії Раді. Рада впорядковує усі механізми сертифікації та штампи захисту даних у формі реєстру і оприлюднює їх належними засобами.
7. Дотримуючись положень глави VIII, компетентний наглядовий орган або національний орган з акредитації анулює акредитацію органу сертифікації відповідно до параграфа 1 цієї статті, якщо умови для акредитації виконано або їх більше не виконують, або якщо дії, яких вживає орган сертифікації, порушують положення цього Регламенту.
8. Комісія повинна мати повноваження ухвалювати делеговані акти згідно зі статтею 92 з метою уточнення вимог, які необхідно врахувати щодо механізмів сертифікації захисту даних, вказаних у статті 42(1).
9. Комісія може ухвалювати імплементаційні акти про технічні стандарти для механізмів сертифікації та штампів і знаків захисту даних, та механізмів сприяння та визнання таких механізмів сертифікації, штампів і знаків. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, вказаної в статті 93(2).
ГЛАВА V
Передавання персональних даних до третіх країн або міжнародних організацій
Стаття 44. Загальні принципи передавання
Будь-яке передавання персональних даних, що перебувають в процесі опрацювання чи призначені для опрацювання після передавання до третьої країни чи міжнародної організації, повинне відбуватися лише у разі, якщо з урахуванням інших положень цього Регламенту контролер і оператор дотримуються умов, встановлених в цій главі, в тому числі, для наступних актів передавання персональних даних з третьої країни чи міжнародної організації до іншої третьої країни чи міжнародної організації. Усі положення в цій главі застосовують з метою забезпечення відсутності порушення рівня захисту фізичних осіб, який гарантує цей Регламент.
Стаття 45. Передавання на підставі рішення про відповідність
1. Передавання персональних даних до третьої країни чи міжнародної організації може відбуватися, якщо Комісія вирішила, що третя країна, територія чи один або декілька визначених секторів у межах такої третьої країни, або відповідна міжнародна організація, забезпечує належний рівень захисту. Таке передавання не вимагає отримання будь-якого спеціального дозволу.
2. Під час оцінювання відповідності рівня захисту, Комісія, зокрема, враховує такі елементи:
(a) верховенство права, повагу до прав людини та фундаментальних свобод, відповідне законодавство, як загальне, так і секторальне, в тому числі щодо громадської безпеки, оборони, національної безпеки та кримінального права і доступу органів публічної влади до персональних даних, а також імплементацію такого законодавства, норми про захист даних, правила професійної діяльності та заходи з безпеки, в тому числі, правила для наступного передавання персональних даних до іншої третьої країни чи міжнародної організації, яких дотримуються в такій країні чи міжнародній організації, судову практику, а також дієві права суб'єкта даних, які можна реалізувати, та дієвий адміністративний і судовий захист для суб'єктів даних, чиї персональні дані передають;
(b) існування та дієве функціонування незалежних наглядових органів у третій країні чи тих, яким підпорядковується міжнародна організація, із відповідальністю за забезпечення та дотримання норм про захист даних, у тому числі, належними правозастосовними повноваженнями, для надання допомоги та рекомендацій суб'єктам даних під час реалізації їхніх прав і для співпраці з наглядовими органами держав-членів; і
(c) міжнародні зобов'язання, що взяли на себе третя країна або відповідна міжнародна організація, або інші зобов'язання, що випливають із юридично зобов'язальних конвенцій або інструментів, а також із їхньої участі в багатосторонніх або регіональних системах, зокрема в сфері захисту персональних даних.
3. Комісія, після проведення оцінювання адекватності рівня захисту, може вирішити, у формі імплементаційного акту, що третя країна, територія чи один або декілька визначених секторів у межах третьої країни, або міжнародна організація забезпечує належний рівень захисту даних у значенні параграфа 2 цієї статті. Імплементаційний акт передбачає механізм періодичного перегляду, щонайменше кожні чотири роки, який повинен враховувати усі належні тенденції розвитку в третій країні чи міжнародній організації. Імплементаційний акт уточнює територіальне та секторальне застосування та, за необхідності, визначає наглядовий орган або органи, вказані в пункті (b) параграфа 2 цієї статті. Імплементаційний акт ухвалюють відповідно до експертної процедури, вказаної в статті 93(2).
4. Комісія, на постійній основі, здійснює моніторинг тенденцій розвитку в третіх країнах і міжнародних організаціях, що можуть вплинути на рішення, ухвалені відповідно до параграфа 3 статті та рішення, ухвалені на підставі статті 25(6) Директиви 95/46/ЄС;
5. Комісія, якщо наявна інформація відображає, зокрема після перегляду, як вказано в параграфі 3 цієї статті, що третя країна, територія чи один або декілька визначених секторів в межах третьої країни, чи міжнародна організація більше не забезпечує належний рівень захисту в значенні параграфа 2 цієї статті, необхідною мірою, скасовує, вносить зміни та доповнення, або призупиняє рішення, вказане в параграфі 3 цієї статті за шляхом ухвалення імплементаційних актів, що не мають зворотної сили. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, вказаної в статті 93(2).
Зважаючи на належним чином підтверджену термінову необхідність, Комісія повинна негайно ухвалити застосовні імплементаційні акти у порядку, як це вказано в статті 93(3).
6. Комісія проводить консультації з третьою країною чи міжнародною організацією з метою виправлення ситуації, що призвела до рішення, ухваленого відповідно до параграфа 5.
7. Рішення відповідно до параграфа 5 цієї статті не обмежує передавання персональних даних до третьої країни, території чи одного або декількох визначених секторів у межах такої третьої країни, чи відповідної міжнародної організації згідно зі статтями 46-49.
8. Комісія опубліковує в Офіційному віснику Європейського Союзу та розміщує на своїй сторінці в мережі Інтернет список третіх країн, територій і визначених секторів у межах третьої країни та міжнародних організацій, щодо яких було ухвалено рішення про те, що більше не забезпечується належний рівень захисту.
9. Рішення, ухвалені Комісією на підставі статті 25(6) Директиви 95/46/ЄС, залишаються чинними до внесення змін і доповнень, заміни або скасування Рішенням Комісії, ухваленим згідно з параграфом 3 або 5 цієї статті.
Стаття 46. Передавання з урахуванням належних гарантій
1. За відсутності рішення відповідно до статті 45(3), контролер або оператор можуть передавати персональні дані до третьої країни чи міжнародної організації, лише якщо контролер або оператор надав належні гарантії, та за умови наявності прав суб'єктів даних, що підлягають забезпеченню їхньої реалізації, та дієвих засобів правового захисту для суб'єктів даних.
2. Належні гарантії, вказані в параграфі 1, можна надавати без запиту на отримання від наглядового органу будь-якого спеціального дозволу:
(a) юридично зобов'язальним інструментом, що підлягає застосуванню, між публічними органами чи організаціями;
(b) зобов'язальними корпоративними правилами згідно зі статтею 47;
(c) стандартними положеннями щодо захисту даних, ухваленими Комісією відповідно до експертної процедури, зазначеної в статті 93(2);
(d) стандартними положеннями щодо захисту даних, ухваленими наглядовим органом і затвердженими Комісією відповідно до експертної процедури, зазначеної в статті 93(2);
(e) затвердженим кодексом поведінки відповідно до статті 40 в поєднанні із зобов'язаннями контролера або оператора в третій країні, що підлягають обов'язковому виконанню, щодо вжиття належних гарантій, у тому числі, в частині прав суб'єктів даних; або
(f) затвердженим механізмом сертифікації відповідно до статті 42 в поєднанні із зобов'язаннями контролера або оператора в третій країні, що підлягають обов'язковому виконанню, щодо вжиття належних гарантій, у тому числі, в частині прав суб'єктів даних; або
3. З урахуванням дозволу компетентного наглядового органу, належні гарантії, вказані в параграфі 1, можна також надавати, зокрема:
(a) положеннями договору між контролером або оператором та контролером, оператором або одержувачем персональних даних у третій країні чи міжнародною організацією; або
(b) положеннями, які необхідно включити до адміністративних домовленостей між публічними органами чи організаціями, що містять дієві та можливі для виконання права суб'єкта даних.
4. Наглядовий орган застосовує механізм послідовності, вказаний у статті 63 у випадках, вказаних у параграфі 3 цієї статті.
5. Надання дозволів державою-членом або наглядовим органом на підставі статті 26(2) Директиви 95/46/ЄС залишаються чинними до внесення таким наглядовим органом змін та доповнень, заміни або скасування, за необхідності. Рішення, ухвалені Комісією на підставі статті 26(4) Директиви 95/46/ЄС, залишаються чинними до внесення змін чи доповнень, заміни або скасування, за необхідності, Рішенням Комісії, ухваленим згідно з параграфом 2 цієї статті.
Стаття 47. Зобов'язальні корпоративні правила
1. Компетентний наглядовий орган затверджує зобов'язальні корпоративні правила відповідно до механізму послідовності, встановленого в статті 63, за умови, що вони:
(a) мають обов'язкову юридичну силу, їх застосовує і забезпечує їх виконання кожний зацікавлений член групи підприємств або групи підприємств, що здійснюють спільну господарську діяльність, в тому числі, їхні працівники;
(b) прямо надають суб'єктам даних права, як можна реалізувати, у зв'язку з опрацюванням їхніх персональних даних; і
(c) відповідають вимогам, встановленим у параграфі 2.
2. Зобов'язальні корпоративні правила, вказані в параграфі 1, повинні чітко визначати принаймні:
(a) структуру та контактні дані групи підприємств або групи підприємств, що здійснюють спільну господарську діяльність, та кожного з їхніх членів;
(b) передавання даних чи низку актів передавання, у тому числі категорії персональних даних, тип опрацювання і його цілі, тип суб'єктів даних, що зазнали впливу, та визначення відповідної третьої країни чи країн;
(c) їхню обов'язкову юридичну природу, як внутрішню, так і зовнішню;
(d) застосування загальних принципів захисту даних, зокрема, цільове обмеження, мінімізацію даних, обмежені періоди зберігання, якість даних, захист даних за призначенням і за замовчуванням, законодавчу базу опрацювання, опрацювання спеціальних категорій персональних даних, заходи для гарантування безпеки даних і вимоги щодо наступних актів передавання до органів, що не пов'язані зобов'язальними корпоративними правилами;
(e) права суб'єктів даних у сфері опрацювання і засоби реалізації таких прав, у тому числі, права не підлягати рішенням, що ґрунтуються винятково на автоматизованому опрацюванні, в тому числі, профайлінгу відповідно до статті 22, права подавати скаргу до компетентного наглядового органу та компетентних судів держав-членів згідно зі статтею 79, та отримувати правовий захист і, за необхідності, відшкодування за порушення зобов'язальних корпоративних правил;
(f) визнання контролером або оператором, що має осідок на території держави-члена, відповідальності за будь-які порушення зобов'язальних корпоративних правил будь-яким залученим членом, що перебуває поза межами Союзу; контролер або оператор звільняються від такої відповідальності, частково або повністю лише за умов доведення, що такий член не несе відповідальності за подію, внаслідок якої заподіяно шкоду;
(g) як інформацію про зобов'язальні корпоративні правила, зокрема про положення, вказані в пунктах (d), (e) і (f) цього параграфа, надають суб'єктам даних, в доповнення до статей 13 і 14;
(h) завдання будь-якого співробітника з питань захисту даних, призначеного відповідно до статті 37, або будь-якої іншої особи чи установи, відповідальної за моніторинг дотримання зобов'язальних корпоративних правил в межах групи підприємств або групи підприємств, що здійснюють спільну господарську діяльність, а також моніторинг підготування та розгляду скарг;
(i) процедури подання і розгляду скарг;
(j) механізми в межах групи підприємств або групи підприємств, що здійснюють спільну господарську діяльність, для забезпечення перевірки відповідності зобов'язальним корпоративним правилам. Такі механізми передбачають перевірки захисту даних і методи забезпечення вжиття виправних дій для захисту прав суб'єкта даних. Результати такої перевірки необхідно повідомляти особі чи установі, вказаній в пункті (h), і раді контролюючого підприємства групи підприємств чи групи підприємств, що здійснюють спільну господарську діяльність, та надавати на запит компетентного наглядового органу;
(k) механізми для звітування та запису змін до правил і звітування про такі зміни до наглядового органу;
(l) механізм співпраці з наглядовим органом для забезпечення дотримання будь-яким членом групи підприємств або групи підприємств, що здійснюють спільну господарську діяльність, зокрема шляхом надання наглядовому органу результатів перевірок заходів, вказаних у пункті (j);
(m) механізми для звітування до компетентного наглядового органу про будь-які законні вимоги, які поширюються на члена групи підприємств або групи підприємств, що здійснюють спільну господарську діяльність в третій країні, що ймовірно матимуть суттєві негативні наслідки для гарантій, передбачених зобов'язальними корпоративними правилами; та
(n) відповідне навчання з питань захисту даних для персоналу, що має постійний або регулярний доступ до персональних даних.
3. Комісія має право визначити формат і процедури для обміну інформацією між контролерами, операторами і наглядовими органами для виконання зобов'язальних корпоративних правил у значенні цієї статті. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, встановленої в статті 93(2).
Стаття 48. Передавання або розкриття, не дозволені законодавством Союзу
Будь-яке рішення суду або трибуналу та будь-яке рішення адміністративного органу в третій країні, що вимагає від контролера або оператора передати чи розкрити персональні дані, може бути визнане чи виконане у будь-який спосіб, якщо воно базується на міжнародній угоді, такій як договір про взаємну правову допомогу, яка є чинною для третьої країни, що подає запит, і Союзом або державою-членом, без обмеження інших підстав для передавання відповідно до цієї глави.
Стаття 49. Відступи для спеціальних ситуацій
1. За відсутності рішення про відповідність згідно зі статтею 45(3) або належних гарантій відповідно до статті 46, в тому числі зобов'язальних корпоративних правил, передавання чи низка актів передавання персональних даних до третьої країни чи міжнародної організації відбувається лише за однієї з таких умов:
(a) суб'єкт даних надав чітку згоду на запропоноване передавання після того, як його було повідомлено про можливі ризики такого передавання для суб'єкта даних, зважаючи на відсутність рішення про відповідність та належних гарантій;
