О чём эта статья
Статья 46 — передача при наличии надлежащих гарантий. Самое часто используемое основание для трансатлантической передачи данных.
46(1) — Принцип
Если отсутствует решение об адекватности (Art. 45), контролёр или обработчик может передавать данные в третью страну только при условии надлежащих гарантий и при условии, что у субъектов есть обеспеченные правом права и эффективные средства правовой защиты.
46(2) — Виды гарантий, не требующих разрешения DPA
(a) юридически обязательный и подлежащий принудительному исполнению инструмент между публичными органами;
(b) обязательные корпоративные правила (BCR) по Art. 47;
(c) стандартные договорные положения (SCC), принятые Комиссией;
(d) стандартные положения, принятые надзорным органом и одобренные Комиссией;
(e) утверждённый кодекс поведения по Art. 40 с обязательными обязательствами;
(f) утверждённый механизм сертификации по Art. 42 с обязательными обязательствами.
46(3) — Виды гарантий, требующих разрешения DPA
(a) договорные положения между контролёром и получателем в третьей стране;
(b) положения, включаемые в административные договорённости между публичными органами.
46(5) — Действие предыдущих разрешений
Разрешения на передачу, выданные DPA до GDPR, остаются в силе до их изменения или отмены.
Почему это важно
После Schrems II (2020), большинство передач в США осуществляется через SCC + Transfer Impact Assessment (TIA). Но SCC сами по себе недостаточны, если законодательство США позволяет массовый доступ к данным (FISA 702, EO 12333). Поэтому контролёр должен принимать дополнительные меры: шифрование, псевдонимизация, юридический пушбэк.
В аудите проверка Art. 46 идёт через:
- Заявлен ли контролёром механизм передачи (обычно в политике конфиденциальности).
- Проведена ли TIA.
- Реализованы ли дополнительные меры.
Если ни одно из трёх — это нарушение Art. 46 (и Art. 44, и Art. 5(1)(a)).