Hvordan demonstrere samsvar med GDPR artikkel 45

GDPR Artikkel 45 omhandler det komplekse spørsmålet om internasjonale dataoverføringer. Enorme mengder data overføres til og fra Storbritannia og EU, og andre land, på daglig basis.

Artikkel 45 vedtar en rekke forholdsregler som beskytter dataene mens de behandles, og sikrer rettighetene og frihetene til alle individer som kan bli berørt av grenseoverskridende overføringer.

GDPR artikkel 45 juridisk tekst

EU GDPR-versjon

Overføringer på grunnlag av en tilstrekkelighetsbeslutning

1. En overføring av personopplysninger til et tredjeland eller en internasjonal organisasjon kan finne sted der Kommisjonen har besluttet at tredjelandet, et territorium eller en eller flere spesifiserte sektorer innenfor dette tredjelandet, eller den aktuelle internasjonale organisasjonen sikrer et tilstrekkelig nivå av beskyttelse. En slik overføring skal ikke kreve noen spesifikk autorisasjon.
2. Når kommisjonen vurderer om beskyttelsesnivået er tilstrekkelig, skal det særlig ta hensyn til følgende elementer:
• (a) rettsstaten, respekt for menneskerettigheter og grunnleggende friheter, relevant lovgivning, både generell og sektoriell, inkludert om offentlig sikkerhet, forsvar, nasjonal sikkerhet og strafferett og offentlige myndigheters tilgang til personopplysninger, samt implementering av slik lovgivning, databeskyttelsesregler, faglige regler og sikkerhetstiltak, inkludert regler for videre overføring av personopplysninger til et annet tredjeland eller internasjonal organisasjon som overholdes i det landet eller den internasjonale organisasjonen, rettspraksis, samt effektive og håndhevbare rettigheter for registrerte og effektiv administrativ og rettslig oppreisning for de registrerte hvis personopplysninger overføres;
• (b) eksistensen og den effektive funksjonen av en eller flere uavhengige tilsynsmyndigheter i tredjelandet eller som en internasjonal organisasjon er underlagt, med ansvar for å sikre og håndheve overholdelse av databeskyttelsesreglene, inkludert tilstrekkelige håndhevingsmyndigheter, for å bistå og gi råd de registrerte ved å utøve sine rettigheter og for samarbeid med tilsynsmyndighetene i medlemsstatene; og
• (c) de internasjonale forpliktelsene den berørte tredjestaten eller den internasjonale organisasjonen har inngått, eller andre forpliktelser som følger av juridisk bindende konvensjoner eller instrumenter, samt fra dets deltakelse i multilaterale eller regionale systemer, særlig i forhold til beskyttelse av personopplysninger.
3. Kommisjonen kan, etter å ha vurdert tilstrekkeligheten av beskyttelsesnivået, ved hjelp av en gjennomføringsrett beslutte at et tredjeland, et territorium eller en eller flere spesifiserte sektorer i et tredjeland, eller en internasjonal organisasjon sikrer et tilstrekkelig beskyttelsesnivå. i betydningen av nr. 2 i denne artikkelen. Gjennomføringsretten skal sørge for en mekanisme for en periodisk gjennomgang, minst hvert fjerde år, som skal ta hensyn til all relevant utvikling i tredjelandet eller den internasjonale organisasjonen. Gjennomføringsrettsakten skal spesifisere dens territorielle og sektorielle anvendelse og, der det er aktuelt, identifisere tilsynsmyndigheten eller tilsynsmyndighetene nevnt i nr. 2 bokstav b) i denne artikkel. Gjennomføringsrettsakten skal vedtas i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2.
4. Kommisjonen skal fortløpende overvåke utviklingen i tredjeland og internasjonale organisasjoner som kan påvirke funksjonen til vedtak fattet i henhold til nr. 3 i denne artikkel og vedtak vedtatt på grunnlag av artikkel 25 nr. 6 i direktiv 95/46/ EC.
5. Kommisjonen skal, der tilgjengelig informasjon avslører, særlig etter gjennomgangen nevnt i nr. 3 i denne artikkel, at et tredjeland, et territorium eller en eller flere spesifiserte sektorer i et tredjeland, eller en internasjonal organisasjon ikke lenger sikrer en tilstrekkelig beskyttelsesnivå i henhold til nr. 2 i denne artikkel, i den grad det er nødvendig, oppheve, endre eller suspendere vedtaket nevnt i nr. 3 i denne artikkelen ved hjelp av gjennomføringsrettsakter uten tilbakevirkende kraft. Disse gjennomføringsrettsaktene skal vedtas i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2.
   
   På behørig begrunnede tvingende grunner til at det haster, skal Kommisjonen vedta umiddelbart gjeldende gjennomføringsrettsakter i samsvar med prosedyren nevnt i artikkel 93 nr. 3.
6. Kommisjonen skal innlede konsultasjoner med tredjelandet eller den internasjonale organisasjonen med sikte på å avhjelpe situasjonen som er grunnlaget for beslutningen fattet i henhold til nr. 5.
7. En avgjørelse i henhold til nr. 5 i denne artikkelen berører ikke overføringer av personopplysninger til tredjelandet, et territorium eller en eller flere spesifiserte sektorer i det tredjelandet, eller den aktuelle internasjonale organisasjonen i henhold til artikkel 46 til 49.
8. Kommisjonen skal i Den europeiske unions tidende og på sin nettside offentliggjøre en liste over tredjeland, territorier og spesifiserte sektorer i et tredjeland og internasjonale organisasjoner som den har besluttet at et tilstrekkelig beskyttelsesnivå er eller ikke lenger er for. sikret.
9. Vedtak truffet av Kommisjonen på grunnlag av artikkel 25 nr. 6 i direktiv 95/46/EF skal forbli i kraft inntil de endres, erstattes eller oppheves av en kommisjonsvedtak vedtatt i samsvar med nr. 3 eller 5 i denne artikkel.

UK GDPR-versjon

Overføringer på grunnlag av en tilstrekkelighetsbeslutning

1. En overføring av personopplysninger til et tredjeland eller en internasjonal organisasjon kan finne sted der den er basert på adekvansreguleringer (se § 17A i 2018-loven).
2. Ved vurderingen av tilstrekkeligheten av beskyttelsesnivået, med henblikk på seksjonene 17A og 17B i loven av 2018, skal statssekretæren spesielt ta hensyn til følgende elementer:
• (a) rettsstaten, respekt for menneskerettigheter og grunnleggende friheter, relevant lovgivning, både generell og sektoriell, inkludert om offentlig sikkerhet, forsvar, nasjonal sikkerhet og strafferett og offentlige myndigheters tilgang til personopplysninger, samt implementering av slik lovgivning, databeskyttelsesregler, faglige regler og sikkerhetstiltak, inkludert regler for videre overføring av personopplysninger til et annet tredjeland eller internasjonal organisasjon som overholdes i det landet eller den internasjonale organisasjonen, rettspraksis, samt effektive og håndhevbare rettigheter for registrerte og effektiv administrativ og rettslig oppreisning for de registrerte hvis personopplysninger overføres;
• (b) eksistensen og den effektive funksjonen av en eller flere uavhengige tilsynsmyndigheter i tredjelandet eller som en internasjonal organisasjon er underlagt, med ansvar for å sikre og håndheve overholdelse av databeskyttelsesreglene, inkludert tilstrekkelige håndhevingsmyndigheter, for å bistå og gi råd de registrerte i å utøve sine rettigheter og for samarbeid med kommissæren; og
• (c) de internasjonale forpliktelsene den berørte tredjestaten eller den internasjonale organisasjonen har inngått, eller andre forpliktelser som følger av juridisk bindende konvensjoner eller instrumenter, samt fra dets deltakelse i multilaterale eller regionale systemer, særlig i forhold til beskyttelse av personopplysninger.
3. Endring eller tilbakekall av forskrifter i henhold til seksjon 17A i 2018-loven berører ikke overføringer av personopplysninger til tredjelandet, et territorium eller en eller flere spesifiserte sektorer innenfor det tredjelandet, eller den aktuelle internasjonale organisasjonen i henhold til artikkel 46 til 49.