Artikkel 49 GDPR-overholdelse: Beste praksis for bedrifter
GDPR Artikkel 49 inneholder en liste over unntak – dvs. unntak – som organisasjoner kan søke på eventuelle internasjonale dataoverføringer til tredjepartsland, når ingen annen del av kapittel V GDPR er gjeldende.
GDPR artikkel 49 juridisk tekst
EU GDPR-versjon
Unntak for spesifikke situasjoner
- I mangel av en adekvat beslutning i henhold til artikkel 45 nr. 3, eller av hensiktsmessige garantier i henhold til artikkel 46, inkludert bindende selskapsregler, skal en overføring eller et sett med overføringer av personopplysninger til et tredjeland eller en internasjonal organisasjon finne sted bare på én av følgende betingelser:
- (a) den registrerte har eksplisitt samtykket til den foreslåtte overføringen, etter å ha blitt informert om mulige risikoer for slike overføringer for den registrerte på grunn av fraværet av en tilstrekkelighetsbeslutning og passende sikkerhetstiltak;
- (b) overføringen er nødvendig for gjennomføringen av en kontrakt mellom den registrerte og den behandlingsansvarlige eller implementering av forhåndskontraktuelle tiltak som er tatt på den registrertes anmodning;
- (c) overføringen er nødvendig for inngåelse eller oppfyllelse av en kontrakt inngått i den registrertes interesse mellom behandlingsansvarlig og en annen fysisk eller juridisk person;
- (d) overføringen er nødvendig av viktige grunner av allmenn interesse;
- (e) overføringen er nødvendig for å etablere, utøve eller forsvare rettskrav;
- (f) overføringen er nødvendig for å beskytte de vitale interessene til den registrerte eller andre personer, der den registrerte er fysisk eller juridisk ute av stand til å gi samtykke;
- (g) overføringen skjer fra et register som i henhold til unions- eller medlemsstatslovgivning er ment å gi informasjon til allmennheten og som er åpent for konsultasjon enten av allmennheten generelt eller av enhver person som kan påvise en legitim interesse, men bare i den grad vilkårene fastsatt i unions- eller medlemsstatslovgivningen for konsultasjon er oppfylt i det enkelte tilfellet.
Når en overføring ikke kan baseres på en bestemmelse i artikkel 45 eller 46, herunder bestemmelsene om bindende selskapsregler, og ingen av unntakene for en spesifikk situasjon nevnt i første ledd i dette ledd kommer til anvendelse, skal en overføring til en tredje land eller en internasjonal organisasjon kan bare finne sted hvis overføringen ikke er gjentakende, kun gjelder et begrenset antall registrerte, er nødvendig for å tvinge legitime interesser forfulgt av den behandlingsansvarlige som ikke overstyres av interesser eller rettigheter og friheter den registrerte, og den behandlingsansvarlige har vurdert alle omstendighetene rundt dataoverføringen og har på bakgrunn av den vurderingen gitt egnede beskyttelsestiltak med hensyn til beskyttelse av personopplysninger. Den behandlingsansvarlige skal informere tilsynsmyndigheten om overføringen. Den behandlingsansvarlige skal, i tillegg til å gi opplysningene nevnt i artikkel 13 og 14, informere den registrerte om overføringen og om de tvingende legitime interesser som forfølges.
- En overføring i henhold til nr. 1 første ledd bokstav g) skal ikke omfatte hele personopplysningene eller hele kategorier av personopplysningene i registeret. Dersom registeret er ment for konsultasjon av personer som har en berettiget interesse, skal overføringen bare skje etter anmodning fra disse personene eller dersom de skal være mottakere.
- Punkt 1 (a), (b) og (c) i første ledd i nr. XNUMX og annet ledd i dette får ikke anvendelse på aktiviteter utført av offentlige myndigheter under utøvelse av deres offentlige fullmakter.
- Den allmenne interessen nevnt i nr. 1 første ledd bokstav d) skal anerkjennes i unionsretten eller i lovgivningen i medlemsstaten den behandlingsansvarlige er underlagt.
- I mangel av en beslutning om tilstrekkelighet, kan unions- eller medlemsstatslovgivning, av viktige allmenne hensyn, uttrykkelig sette grenser for overføring av bestemte kategorier av personopplysninger til et tredjeland eller en internasjonal organisasjon. Medlemsstatene skal underrette Kommisjonen om slike bestemmelser.
- Den behandlingsansvarlige eller databehandleren skal dokumentere vurderingen samt de passende sikkerhetstiltakene nevnt i andre ledd i nr. 1 i denne artikkel i registrene nevnt i artikkel 30.
UK GDPR-versjon
Unntak for spesifikke situasjoner
- I mangel av adekvansreguleringer under seksjon 17A i 2018-loven, eller av passende beskyttelsestiltak i henhold til artikkel 46, inkludert bindende selskapsregler, skal en overføring eller et sett med overføringer av personopplysninger til et tredjeland eller en internasjonal organisasjon bare finne sted på en av følgende betingelser:
- (a) den registrerte har eksplisitt samtykket til den foreslåtte overføringen, etter å ha blitt informert om mulige risikoer for slike overføringer for den registrerte på grunn av fraværet av en tilstrekkelighetsbeslutning og passende sikkerhetstiltak;
- (b) overføringen er nødvendig for gjennomføringen av en kontrakt mellom den registrerte og den behandlingsansvarlige eller implementering av forhåndskontraktuelle tiltak som er tatt på den registrertes anmodning;
- (c) overføringen er nødvendig for inngåelse eller oppfyllelse av en kontrakt inngått i den registrertes interesse mellom behandlingsansvarlig og en annen fysisk eller juridisk person;
- (d) overføringen er nødvendig av viktige grunner av allmenn interesse;
- (e) overføringen er nødvendig for å etablere, utøve eller forsvare rettskrav;
- (f) overføringen er nødvendig for å beskytte de vitale interessene til den registrerte eller andre personer, der den registrerte er fysisk eller juridisk ute av stand til å gi samtykke;
- (g) overføringen skjer fra et register som i henhold til nasjonal lovgivning er ment å gi informasjon til allmennheten og som er åpent for konsultasjon enten av allmennheten generelt eller av enhver person som kan påvise en legitim interesse, men bare for grad at vilkårene fastsatt i nasjonal rett for konsultasjon er oppfylt i det enkelte tilfellet.
Når en overføring ikke kan baseres på en bestemmelse i artikkel 45 eller 46, herunder bestemmelsene om bindende selskapsregler, og ingen av unntakene for en spesifikk situasjon nevnt i første ledd i dette ledd kommer til anvendelse, skal en overføring til en tredje land eller en internasjonal organisasjon kan bare finne sted hvis overføringen ikke er gjentakende, kun gjelder et begrenset antall registrerte, er nødvendig for å tvinge legitime interesser forfulgt av den behandlingsansvarlige som ikke overstyres av interesser eller rettigheter og friheter den registrerte, og den behandlingsansvarlige har vurdert alle omstendighetene rundt dataoverføringen og har på bakgrunn av den vurderingen gitt egnede beskyttelsestiltak med hensyn til beskyttelse av personopplysninger. Den behandlingsansvarlige skal informere kommissæren om overføringen. Den behandlingsansvarlige skal, i tillegg til å gi opplysningene nevnt i artikkel 13 og 14, informere den registrerte om overføringen og om de tvingende legitime interesser som forfølges.
- En overføring i henhold til nr. 1 første ledd bokstav g) skal ikke omfatte hele personopplysningene eller hele kategorier av personopplysningene i registeret. Dersom registeret er ment for konsultasjon av personer som har en berettiget interesse, skal overføringen bare skje etter anmodning fra disse personene eller dersom de skal være mottakere.
- Punkt 1 (a), (b) og (c) i første ledd i nr. XNUMX og annet ledd i dette får ikke anvendelse på aktiviteter utført av offentlige myndigheter under utøvelse av deres offentlige fullmakter.
- Den allmenne interessen nevnt i nr. 1 første ledd bokstav d) må være en allmenn interesse som er anerkjent i nasjonal rett (enten i forskrifter under § 18(1) i 2018-loven eller på annen måte).
- Denne artikkelen og artikkel 46 er underlagt begrensninger i forskrifter i henhold til § 18(2) i 2018-loven.
- Den behandlingsansvarlige eller databehandleren skal dokumentere vurderingen samt de passende sikkerhetstiltakene nevnt i andre ledd i nr. 1 i denne artikkel i registrene nevnt i artikkel 30.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
Teknisk kommentar
Unntakene i GDPR artikkel 49 gjelder for flere nøkkelsituasjoner:
- Når registrerte har samtykket til overføring av dataene deres.
- Tekniske krav som gjør at organisasjonen kan utføre sine kontraktsmessige forpliktelser overfor en registrert.
- Enhver overføring som utføres i allmennhetens interesse (om enn med en egen liste over begrensninger på slike overføringer).
- Handlinger som beskytter de registrertes 'vitale interesser', men bare der personen fysisk ikke er i stand til å gi samtykke til organisasjonen.
- Eventuelle overføringer som utføres fra et offentlig register.
- Der den behandlingsansvarlige har "overbevisende legitime interesser".
ISO 27701 klausul 7.5.1 (Identifiser grunnlag for Pii-overføring mellom jurisdiksjoner) og EU GDPR artikkel 49
I denne delen snakker vi om GDPR artikkel 49 (1)(a), 49 (1)(b), 49 (1)(c), 49 (1)(d), 49 (1)(e), 49 ( 1)(f), 49 (1)(g), 49 (2), 49 (3), 49 (4), 49 (5) og 49 (6)
Fra tid til annen kan det oppstå behov for å overføre PII mellom to distinkte jurisdiksjoner. Når dette skjer, bør organisasjoner begrunne og dokumentere behovet for å gjøre det.
Regionale reguleringer og juridiske regler varierer avhengig av hvor dataene kommer fra, og hvor de skal overføres til.
Organisasjoner bør ta alle relevante lover, rammer og forskrifter i betraktning når de trenger å overføre data mellom jurisdiksjoner, inkludert bruk av en utpekt tilsynsmyndighet.
ISO 27701 klausul 8.5.1 (grunnlag for PII-overføring mellom jurisdiksjoner) og EU GDPR artikkel 49
I denne delen snakker vi om GDPR artikkel 49 (1)(a), 49 (1)(b), 49 (1)(c), 49 (1)(d), 49 (1)(e), 49 ( 1)(f), 49 (1)(g), 49 (2), 49 (3), 49 (4), 49 (5) og 49 (6)
Når PII skal overføres mellom jurisdiksjoner, må organisasjoner informere kunden om det underliggende behovet for å gjøre det, i tide.
Overføringsdestinasjoner kan omfatte:
- Leverandører.
- Tredjeparter.
- Forskjellige land.
- Internasjonale organisasjoner.
Organisasjoner bør gi kunden tilstrekkelig varsel om eventuelle overføringer, slik at innvendinger kan reises og, under visse omstendigheter, kan oppsigelsesforespørsler fremsettes.
Organisasjoner trenger ikke alltid å informere kundene om endringer i dataoverføringsordningene deres, men kontrakter bør tydelig angi omstendighetene de do må gi forhåndsvarsel.
Når organisasjoner overfører PII til et annet land, bør organisasjoner vurdere offisielle mekanismer, for eksempel:
- Modellkontraktsklausuler.
- Bindende bedriftsregler.
- Personvernregler på tvers av landegrensene.
Indeks over tilknyttede EU GDPR-artikler og ISO 27701-klausuler
| GDPR-artikkel | ISO 27701 klausul | ISO 27701 Støtteklausuler |
|---|---|---|
| EU GDPR artikkel 49 (1) (a) til 49 (6) | ISO 27701 | none |
| EU GDPR artikkel 49 (1) (a) til 49 (6) | ISO 27701 | none |
Hvordan ISMS.online Hjelp
ISMS.online-plattformen inkluderer innebygd veiledning ved hvert trinn, kombinert med vår «Adopter, Adapt, Add»-implementeringstilnærming, så det er betydelig enklere å demonstrere at du overholder GDPR. Du vil også dra nytte av en rekke kraftige tidsbesparende funksjoner.
Ved å kartlegge arbeidet ditt på tvers av flere standarder og rammeverk, gjør vår intuitive plattform det enkelt å oppnå flere mål for informasjonssikkerhet og personvern.
Finn ut mer av planlegger en demo.
