Статья 36. Передача на основании решения о соответствии. Директива Европейского Парламента и Совета Европейского Союза 2016/680 от 27.04.2016 о защите физических лиц при обработке персональных данных компетентными органами в целях предотвращения, расследования, выявления или уголовного преследования преступлений или исполнения уголовных наказаний, о свободном обращении таких данных, а также об отмене Рамочного Решения 2008/977/ПВД Совета ЕС (Брюссель, 27 апреля 2016 г.)

Статья 36
Передача на основании решения о соответствии

1. Государства-члены ЕС предусматривают, что передача персональных данных третьей стране или международной организации может осуществляться, если Европейская Комиссия приняла решение о том, что третья страна, территория, или один или несколько специфических секторов в указанной третьей стране, или соответствующая международная организация гарантируют надлежащий уровень защиты. Указанная передача не требует специального разрешения.

2. При оценке соответствия уровня защиты Европейская Комиссия должна, в частности, принять во внимание следующие элементы:

(a) верховенство закона, уважение прав и основных свобод человека, соответствующее законодательство, как общего характера, так и отраслевое, в том числе в отношении общественной безопасности, обороны, внутренней безопасности и уголовного права и доступа органов государственной власти к персональным данным, а также имплементацию указанного законодательства, норм о защите данных, профессиональных правил и мер безопасности, включая правила последующей передачи персональных данных другой третьей стране или международной организации, которые соблюдаются в указанной третьей стране или международной организации, прецедентное право, а также эффективные и подлежащие исполнению права субъектов данных и эффективные административные и судебные средства защиты для субъектов данных, персональные данные которых передаются;

(b) существование и эффективное функционирование одного или нескольких независимых надзорных органов в третьей стране или органов, в ведении которых находится международная организация, обладающих компетенцией в отношении обеспечения и реализации соблюдения норм о защите данных, включая надлежащие правоприменительные полномочия, а также в отношения содействия и консультирования субъектов данных при осуществлении ими своих прав и в отношении сотрудничества с надзорными органами государств-членов ЕС; и

(c) международные обязательства, которые взяли на себя третья страна или международная организация, или иные обязанности, вытекающие из юридически обязательных конвенций или нормативных документов, а также из участия в многосторонних или региональных системах, в частности, в отношении защиты персональных данных.

3. Европейская Комиссия, после оценки соответствия уровня защиты, может посредством имплементационного акта принять решение о том, что третья страна, территория, или один или несколько определенных секторов в указанной третьей стране, или соответствующая международная организация гарантируют надлежащий уровень защиты в значении параграфа 2 настоящей Статьи. Имплементационный акт должен предусматривать механизм периодической проверки как минимум каждые четыре года. Такая проверка должна учитывать все соответствующие изменения в третьей стране или международной организации. Имплементационный акт должен устанавливать территориальное или секторальное применение и при необходимости определять надзорный орган или органы, указанные в пункте (b) параграфа 2 настоящей Статьи. Имплементационный акт должен быть принят в соответствии с процедурой проверки, предусмотренной в Статье 58(2) настоящей Директивы.

4. Европейская Комиссия на постоянной основе контролирует изменения в третьих странах и международных организациях, которые могут повлиять на выполнение решений, принятых согласно параграфу 3 настоящей Статьи.

5. Европейская Комиссия при обнаружении соответствующей информации, в частности, в результате проверки, указанной в параграфе 3 настоящей Статьи, о том, что третья страна, территория, один или несколько определенных секторов в указанной третьей стране или соответствующая международная организация более не гарантирует в той мере, в какой это необходимо, надлежащий уровень защиты в значении параграфа 2 настоящей Статьи, должна отменить, внести изменение или приостановить действие решения, указанного в параграфе 3 настоящей Статьи, посредством имплементационных актов без эффекта обратной силы. Указанные имплементационные акты должны быть приняты в соответствии с процедурой проверки, предусмотренной в Статье 58(2) настоящей Директивы.

Исходя из соображений крайней необходимости, Европейская Комиссия должна незамедлительно принять имплементационные акты в соответствии с процедурой, предусмотренной в Статье 58(3) настоящей Директивы.

6. Европейская Комиссия должна начать консультации с третьей страной или международной организацией с тем, чтобы исправить ситуацию, которая привела к решению, принятому согласно параграфу 5.

7. Государства-члены ЕС предусматривают, что решение, принятое согласно параграфу 5 настоящей Статьи, действует без ущерба передаче персональных данных третьей стране, территории, одному или нескольким специфическим секторам в указанной третьей стране или соответствующей международной организации согласно Статьям 37 и 38 настоящей Директивы.

8. Европейская Комиссия должна опубликовать в Официальном Журнале Европейского Союза и на своем интернет-сайте перечень третьих стран, территорий и специфических секторов в третьей стране, а также международных организаций, в отношении которых она приняла решение о том, что они гарантируют или более не гарантируют надлежащий уровень защиты.