Hur man visar efterlevnad av GDPR artikel 45

GDPR Artikel 45 behandlar den komplexa frågan om internationella dataöverföringar. Stora mängder data överförs dagligen till och från Storbritannien och EU och andra länder.

Artikel 45 antar ett antal försiktighetsåtgärder som skyddar uppgifterna medan de behandlas, och säkrar rättigheterna och friheterna för alla individer som kan påverkas av gränsöverskridande överföringar.

GDPR Artikel 45 Lagtext

EU GDPR-version

Överföringar på grundval av ett lämplighetsbeslut

1. En överföring av personuppgifter till ett tredjeland eller en internationell organisation får äga rum om kommissionen har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer inom det tredjelandet eller den internationella organisationen i fråga säkerställer en adekvat nivå av skydd. En sådan överföring kräver inte något särskilt tillstånd.
2. När kommissionen bedömer om skyddsnivån är adekvat, ska den särskilt ta hänsyn till följande faktorer:
• a) Rättsstatsprincipen, respekten för mänskliga rättigheter och grundläggande friheter, relevant lagstiftning, både allmän och sektoriell, inbegripet om allmän säkerhet, försvar, nationell säkerhet och straffrätt och offentliga myndigheters tillgång till personuppgifter, samt genomförande av sådan lagstiftning, dataskyddsregler, professionella regler och säkerhetsåtgärder, inklusive regler för vidare överföring av personuppgifter till ett annat tredjeland eller internationell organisation som efterlevs i det landet eller den internationella organisationen, rättspraxis, samt effektiv och verkställbara registrerade rättigheter och effektiv administrativ och rättslig prövning för de registrerade vars personuppgifter överförs;
• b) förekomsten och effektiv funktion av en eller flera oberoende tillsynsmyndigheter i det tredje land eller som en internationell organisation lyder under, med ansvar för att säkerställa och se till att dataskyddsreglerna efterlevs, inklusive tillräckliga tillsynsbefogenheter, för att bistå och ge råd de registrerade när de utövar sina rättigheter och för samarbete med medlemsstaternas tillsynsmyndigheter. och
• c) de internationella åtaganden som det berörda tredjelandet eller den internationella organisationen har ingått, eller andra förpliktelser som härrör från rättsligt bindande konventioner eller instrument samt från dess deltagande i multilaterala eller regionala system, särskilt när det gäller skydd av personuppgifter.
3. Kommissionen kan, efter att ha bedömt lämpligheten av skyddsnivån, genom en genomförandeakt besluta att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom ett tredjeland, eller en internationell organisation säkerställer en adekvat skyddsnivå. i den mening som avses i punkt 2 i denna artikel. Genomförandeakten ska tillhandahålla en mekanism för en periodisk översyn, minst vart fjärde år, som ska ta hänsyn till all relevant utveckling i tredjelandet eller den internationella organisationen. Genomförandeakten ska specificera dess territoriella och sektoriella tillämpning och, i tillämpliga fall, identifiera den eller de tillsynsmyndigheter som avses i punkt 2 b i denna artikel. Genomförandeakten ska antas i enlighet med det granskningsförfarande som avses i artikel 93.
4. Kommissionen ska fortlöpande övervaka utvecklingen i tredjeländer och internationella organisationer som kan påverka hur beslut som antas i enlighet med punkt 3 i denna artikel och beslut som antas på grundval av artikel 25 i direktiv 6/95/ EC.
5. Kommissionen ska, om tillgänglig information visar, särskilt efter den översyn som avses i punkt 3 i denna artikel, att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom ett tredjeland, eller en internationell organisation inte längre garanterar en adekvat skyddsnivå i den mening som avses i punkt 2 i denna artikel, i den utsträckning det är nödvändigt, upphäva, ändra eller tillfälligt upphäva det beslut som avses i punkt 3 i denna artikel genom genomförandeakter utan retroaktiv verkan. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 93.
   
   Vid vederbörligen motiverade tvingande skäl av brådska ska kommissionen anta omedelbart tillämpliga genomförandeakter i enlighet med det förfarande som avses i artikel 93.
6. Kommissionen ska inleda samråd med tredjelandet eller den internationella organisationen i syfte att avhjälpa den situation som ligger till grund för det beslut som fattats enligt punkt 5.
7. Ett beslut enligt punkt 5 i denna artikel påverkar inte överföringar av personuppgifter till tredjelandet, ett territorium eller en eller flera specificerade sektorer inom det tredjelandet eller den internationella organisationen i fråga enligt artiklarna 46–49.
8. Kommissionen ska i Europeiska unionens officiella tidning och på sin webbplats offentliggöra en förteckning över tredjeländer, territorier och specificerade sektorer inom ett tredjeland och internationella organisationer för vilka den har beslutat att en adekvat skyddsnivå är eller inte längre är säkerställts.
9. Beslut som antas av kommissionen på grundval av artikel 25 i direktiv 6/95/EG ska fortsätta att gälla tills de ändras, ersätts eller upphävs av ett kommissionsbeslut som antas i enlighet med punkterna 46 eller 3 i denna artikel.

Storbritanniens GDPR-version

Överföringar på grundval av ett lämplighetsbeslut

1. En överföring av personuppgifter till ett tredjeland eller en internationell organisation kan ske där den grundar sig på adekvata bestämmelser (se 17A § i 2018 års lag).
2. Vid bedömningen av lämpligheten av skyddsnivån, för tillämpningen av avsnitten 17A och 17B i 2018 års lag, ska statssekreteraren särskilt ta hänsyn till följande faktorer:
• a) Rättsstatsprincipen, respekten för mänskliga rättigheter och grundläggande friheter, relevant lagstiftning, både allmän och sektoriell, inbegripet om allmän säkerhet, försvar, nationell säkerhet och straffrätt och offentliga myndigheters tillgång till personuppgifter, samt genomförande av sådan lagstiftning, dataskyddsregler, professionella regler och säkerhetsåtgärder, inklusive regler för vidare överföring av personuppgifter till ett annat tredjeland eller internationell organisation som efterlevs i det landet eller den internationella organisationen, rättspraxis, samt effektiv och verkställbara registrerade rättigheter och effektiv administrativ och rättslig prövning för de registrerade vars personuppgifter överförs;
• b) förekomsten och effektiv funktion av en eller flera oberoende tillsynsmyndigheter i det tredje land eller som en internationell organisation lyder under, med ansvar för att säkerställa och se till att dataskyddsreglerna efterlevs, inklusive tillräckliga tillsynsbefogenheter, för att bistå och ge råd de registrerade när de utövar sina rättigheter och för samarbete med kommissionären; och
• c) de internationella åtaganden som det berörda tredjelandet eller den internationella organisationen har ingått, eller andra förpliktelser som härrör från rättsligt bindande konventioner eller instrument samt från dess deltagande i multilaterala eller regionala system, särskilt när det gäller skydd av personuppgifter.
3. Ändringen eller upphävandet av föreskrifter enligt 17A § i 2018 års lag påverkar inte överföringar av personuppgifter till tredjelandet, ett territorium eller en eller flera angivna sektorer inom det tredjelandet, eller den internationella organisationen i fråga enligt artiklarna 46 till 49.