GDPR Artikkel 46 åpner for overføring av data til et annet land eller internasjonal organisasjon uten en "adekvansebeslutning" (se artikkel 45).
De fleste land som kan motta data fra Storbritannia eller EU, har ikke egne databeskyttelsesrammer på plass, som sådan spiller artikkel 46 en viktig rolle i å sikre rettighetene og frihetene til naturaliserte borgere i en global økonomi.
Overføringer underlagt passende sikkerhetstiltak
- I mangel av en beslutning i henhold til artikkel 45 nr. 3, kan en behandlingsansvarlig eller databehandler overføre personopplysninger til et tredjeland eller en internasjonal organisasjon bare dersom den behandlingsansvarlige eller databehandleren har gitt hensiktsmessige garantier, og på betingelse av at håndhevbare rettigheter for registrerte og effektive rettsmidler for registrerte er tilgjengelige.
- De hensiktsmessige sikkerhetstiltakene nevnt i nr. 1 kan gis, uten å kreve noen spesifikk tillatelse fra en tilsynsmyndighet, av:
- (a) et juridisk bindende og håndhevbart instrument mellom offentlige myndigheter eller organer;
- (b) bindende selskapsregler i samsvar med artikkel 47;
- c) standard databeskyttelsesklausuler vedtatt av Kommisjonen i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2;
- d) standard databeskyttelsesklausuler vedtatt av en tilsynsmyndighet og godkjent av Kommisjonen i henhold til undersøkelsesprosedyren nevnt i artikkel 93 nr. 2;
- (e) en godkjent atferdskodeks i henhold til artikkel 40 sammen med bindende og håndhevbare forpliktelser fra den behandlingsansvarlige eller databehandleren i tredjelandet for å anvende passende sikkerhetstiltak, inkludert når det gjelder registrertes rettigheter; eller
- (f) en godkjent sertifiseringsmekanisme i henhold til artikkel 42, sammen med bindende og håndhevbare forpliktelser fra den behandlingsansvarlige eller databehandleren i tredjelandet for å anvende passende sikkerhetstiltak, inkludert når det gjelder registrertes rettigheter.
- Med forbehold om tillatelse fra den kompetente tilsynsmyndigheten, kan de passende sikkerhetstiltakene nevnt i nr. 1 også gis, særlig av:
- (a) kontraktsbestemmelser mellom behandlingsansvarlig eller databehandler og behandlingsansvarlig, databehandler eller mottaker av personopplysningene i tredjelandet eller den internasjonale organisasjonen; eller
- (b) bestemmelser som skal settes inn i administrative ordninger mellom offentlige myndigheter eller organer som inkluderer håndhevbare og effektive rettigheter for registrerte.
- Tilsynsmyndigheten skal anvende konsistensmekanismen nevnt i artikkel 63 i tilfellene nevnt i nr. 3 i denne artikkel.
- Tillatelser fra en medlemsstat eller tilsynsmyndighet på grunnlag av artikkel 26 nr. 2 i direktiv 95/46/EF skal forbli gyldige inntil de endres, erstattes eller om nødvendig oppheves av denne tilsynsmyndigheten. Vedtak truffet av Kommisjonen på grunnlag av artikkel 26 nr. 4 i direktiv 95/46/EF skal forbli i kraft inntil de endres, erstattes eller om nødvendig oppheves av en kommisjonsvedtak vedtatt i samsvar med nr. 2 i denne artikkel.
Overføringer underlagt passende sikkerhetstiltak
- I mangel av adekvansreguleringer i henhold til paragraf 17A i 2018-loven, kan en behandlingsansvarlig eller databehandler overføre personopplysninger til et tredjeland eller en internasjonal organisasjon bare hvis behandlingsansvarlig eller databehandler har gitt hensiktsmessige sikkerhetstiltak, og på betingelse av at håndhevbare datasubjekts rettigheter og effektive rettsmidler for registrerte er tilgjengelige.
- De hensiktsmessige sikkerhetstiltakene nevnt i nr. 1 kan gis, uten å kreve noen spesifikk tillatelse fra kommissæren, av:
- (a) et juridisk bindende og håndhevbart instrument mellom offentlige myndigheter eller organer;
- (b) bindende selskapsregler i samsvar med artikkel 47;
- (c) standard databeskyttelsesklausuler spesifisert i forskrifter laget av utenriksministeren i henhold til seksjon 17C i 2018-loven og for øyeblikket i kraft;
- (d) standard databeskyttelsesklausuler spesifisert i et dokument utstedt (og ikke trukket tilbake) av kommissæren i henhold til seksjon 119A i 2018-loven og for øyeblikket i kraft;
- (e) en godkjent atferdskodeks i henhold til artikkel 40 sammen med bindende og håndhevbare forpliktelser fra den behandlingsansvarlige eller databehandleren i tredjelandet for å anvende passende sikkerhetstiltak, inkludert når det gjelder registrertes rettigheter; eller
- (f) en godkjent sertifiseringsmekanisme i henhold til artikkel 42, sammen med bindende og håndhevbare forpliktelser fra den behandlingsansvarlige eller databehandleren i tredjelandet for å anvende passende sikkerhetstiltak, inkludert når det gjelder registrertes rettigheter.
- Med tillatelse fra kommissæren kan de passende sikkerhetstiltakene nevnt i nr. 1 også gis, særlig av:
- (a) kontraktsbestemmelser mellom behandlingsansvarlig eller databehandler og behandlingsansvarlig, databehandler eller mottaker av personopplysningene i tredjelandet eller den internasjonale organisasjonen; eller
- (b) bestemmelser som skal settes inn i administrative ordninger mellom offentlige myndigheter eller organer som inkluderer håndhevbare og effektive rettigheter for registrerte.
Med ISMS.online er utfordringer rundt versjonskontroll, policygodkjenning og policydeling en saga blott.
Diskusjonen om overføring av personopplysninger til land uten medfølgende rammeverk for tilstrekkelighet er spredt over 6 nøkkelområder:
I denne delen snakker vi om GDPR artikkel 46 (1), 46 (2)(a), 46 (2)(b), 46 (2)(c), 46 (2)(d), 46 (2)( e), 46 (2)(f), 46 (3)(a), 46 (3)(b), 46 (4), 46 (5)
Regionale reguleringer og juridiske regler varierer avhengig av hvor dataene kommer fra, og hvor de skal overføres til.
Organisasjoner bør ta alle relevante lover, rammer og forskrifter i betraktning når de trenger å overføre data mellom jurisdiksjoner, inkludert bruk av en utpekt tilsynsmyndighet.
I denne delen snakker vi om GDPR artikkel 46 (1), 46 (2)(a), 46 (2)(b), 46 (2)(c), 46 (2)(d), 46 (2)( e), 46 (2)(f), 46 (3)(a) og 46 (3)(b)
Kunder bør kunne se en liste over potensielle mottakerland og organisasjoner til enhver tid, inkludert en logg over alle land som er involvert i PII-underleverandører (se ISO 27701 paragraf 8.5.1).
Under visse omstendigheter vil ikke organisasjoner alltid være i stand til å avsløre på forhånd hvor overføringsforespørsler stammer fra – særlig når det gjelder straffesaker. Dette er uunngåelig, og det bør være organisasjonens prioritet å opprettholde integriteten til en rettshåndhevelsesoperasjon (se ISO 27701 klausuler 7.5.1, 8.5.4 og 8.5.5).
| GDPR-artikkel | ISO 27701 klausul | ISO 27701 Støtteklausuler |
|---|---|---|
| EU GDPR artikkel 46 (1) til 46 (5) | ISO 27701 | none |
| EU GDPR artikkel 46 (1) til 46 (3) (b) | ISO 27701 | ISO 27701 ISO 27701 ISO 27701 |
Vi gir deg et miljø som er forhåndsbygd for å beskrive og demonstrere din tilnærming til å beskytte dine europeiske og britiske kundedata på en måte som passer sømløst inn i ditt eksisterende styringssystem.
Med ISMS.online er det enkelt for deg å hoppe rett inn på reisen til GDPR-samsvar og enkelt demonstrere et beskyttelsesnivå som strekker seg utover "rimelig", alt på ett sikkert sted som alltid er på som du kan få tilgang til fra hvor som helst.
Finn ut mer av planlegger en demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
