Navigera i GDPR Artikel 46: Säkerhetsåtgärder för internationella dataöverföringar
GDPR Artikel 46 tillåter överföring av uppgifter till ett annat land eller internationell organisation utan ett ”beslut om adekvathet” (se artikel 45).
Majoriteten av länder som kan ta emot data från Storbritannien eller EU har inte sina egna dataskyddsramar på plats, som sådan spelar artikel 46 en viktig roll för att säkerställa rättigheter och friheter för naturaliserade medborgare i en global ekonomi.
GDPR Artikel 46 Lagtext
EU GDPR-version
Överföringar är föremål för lämpliga skyddsåtgärder
- I avsaknad av ett beslut enligt artikel 45 får en personuppgiftsansvarig eller registerförare överföra personuppgifter till ett tredjeland eller en internationell organisation endast om den personuppgiftsansvarige eller registerföraren har tillhandahållit lämpliga skyddsåtgärder, och på villkor att verkställbara registrerade rättigheter och effektiva rättsmedel för registrerade finns tillgängliga.
- De lämpliga skyddsåtgärder som avses i punkt 1 kan tillhandahållas, utan att något särskilt tillstånd från en tillsynsmyndighet krävs, av:
- a) Ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter eller organ.
- (b) Bindande företagsregler i enlighet med artikel 47.
- c) Standardklausuler för dataskydd som antagits av kommissionen i enlighet med det granskningsförfarande som avses i artikel 93.
- d) Standardklausuler för dataskydd som antagits av en tillsynsmyndighet och godkänts av kommissionen i enlighet med det granskningsförfarande som avses i artikel 93.
- e) En godkänd uppförandekod enligt artikel 40 tillsammans med bindande och verkställbara åtaganden från den registeransvarige eller registerföraren i tredjelandet att tillämpa lämpliga skyddsåtgärder, inklusive när det gäller registrerades rättigheter. eller
- f) En godkänd certifieringsmekanism i enlighet med artikel 42 tillsammans med bindande och verkställbara åtaganden från den registeransvarige eller registerföraren i tredjelandet att tillämpa lämpliga skyddsåtgärder, inklusive när det gäller registrerades rättigheter.
- Med förbehåll för tillstånd från den behöriga tillsynsmyndigheten kan de lämpliga skyddsåtgärder som avses i punkt 1 också tillhandahållas, särskilt av:
- a) Avtalsklausuler mellan den registeransvarige eller registerföraren och den registeransvarige, registerföraren eller mottagaren av personuppgifterna i tredjelandet eller den internationella organisationen. eller
- (b) Bestämmelser som ska införas i administrativa överenskommelser mellan offentliga myndigheter eller organ som inkluderar verkställbara och effektiva rättigheter för registrerade.
- Tillsynsmyndigheten ska tillämpa den konsekvensmekanism som avses i artikel 63 i de fall som avses i punkt 3 i denna artikel.
- Tillstånd från en medlemsstat eller tillsynsmyndighet på grundval av artikel 26 i direktiv 2/95/EG ska förbli giltiga tills de ändras, ersätts eller vid behov upphävs av den tillsynsmyndigheten. Beslut som antas av kommissionen på grundval av artikel 46 i direktiv 26/4/EG ska fortsätta att gälla tills de ändras, ersätts eller vid behov upphävs genom ett kommissionsbeslut som antas i enlighet med punkt 95 i denna artikel.
Storbritanniens GDPR-version
Överföringar är föremål för lämpliga skyddsåtgärder
- I avsaknad av tillräcklighetsregler enligt avsnitt 17A i 2018 års lag får en personuppgiftsansvarig eller registerförare överföra personuppgifter till ett tredjeland eller en internationell organisation endast om den registeransvarige eller registerföraren har tillhandahållit lämpliga skyddsåtgärder, och på villkor att verkställbara registrerade rättigheter och effektiva rättsmedel för registrerade finns tillgängliga.
- De lämpliga skyddsåtgärder som avses i punkt 1 kan tillhandahållas, utan att något särskilt tillstånd från kommissionären krävs, av:
- a) Ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter eller organ.
- (b) Bindande företagsregler i enlighet med artikel 47.
- (c) standardklausuler för dataskydd som specificeras i förordningar som utfärdats av Secretary of State enligt avsnitt 17C i 2018 års lag och för närvarande är i kraft;
- (d) standardklausuler för dataskydd som specificeras i ett dokument som utfärdats (och inte återkallats) av kommissionären enligt avsnitt 119A i 2018 års lag och för närvarande är i kraft;
- e) En godkänd uppförandekod enligt artikel 40 tillsammans med bindande och verkställbara åtaganden från den registeransvarige eller registerföraren i tredjelandet att tillämpa lämpliga skyddsåtgärder, inklusive när det gäller registrerades rättigheter. eller
- f) En godkänd certifieringsmekanism i enlighet med artikel 42 tillsammans med bindande och verkställbara åtaganden från den registeransvarige eller registerföraren i tredjelandet att tillämpa lämpliga skyddsåtgärder, inklusive när det gäller registrerades rättigheter.
- Med tillstånd från kommissionsledamoten kan de lämpliga skyddsåtgärder som avses i punkt 1 också tillhandahållas, särskilt av:
- a) Avtalsklausuler mellan den registeransvarige eller registerföraren och den registeransvarige, registerföraren eller mottagaren av personuppgifterna i tredjelandet eller den internationella organisationen. eller
- (b) Bestämmelser som ska införas i administrativa överenskommelser mellan offentliga myndigheter eller organ som inkluderar verkställbara och effektiva rättigheter för registrerade.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Teknisk kommentar
Diskussionen om överföring av personuppgifter till länder utan åtföljande ramverk för adekvathet är spridd över 6 nyckelområden:
- Överlåtelsens omfattning.
- En lista över lämpliga skyddsåtgärder som ska användas utan förhandstillstånd.
- Skyddsanordningar som kan användas med tillstånd.
- Inlämning av eventuella skyddsåtgärder som används till lämplig dataskyddsmyndighet.
- Hur myndigheter bör bedöma lämpligheten och effektiviteten av eventuella skyddsåtgärder som lämnas in för granskning.
- En fortlöpande granskning av alla beviljade tillstånd, i linje med ovanstående punkter.
ISO 27701 klausul 7.5.1 (Identifiera grund för PII-överföring mellan jurisdiktioner) och EU GDPR artikel 46
I det här avsnittet talar vi om GDPR artiklarna 46 (1), 46 (2) (a), 46 (2) (b), 46 (2) (c), 46 (2) (d), 46 (2)( e), 46 (2)(f), 46 (3)(a), 46 (3)(b), 46 (4), 46 (5)
Regionala lagar och regler varierar beroende på var informationen kommer ifrån och var den ska överföras.
Organisationer bör ta hänsyn till alla relevanta lagar, ramar och förordningar närhelst de behöver överföra data mellan jurisdiktioner, inklusive användning av en utsedd tillsynsmyndighet.
ISO 27701 klausul 8.5.1 (Bas för PII-överföring mellan jurisdiktioner) och EU GDPR artikel 46
I det här avsnittet talar vi om GDPR artiklarna 46 (1), 46 (2) (a), 46 (2) (b), 46 (2) (c), 46 (2) (d), 46 (2)( e), 46 (2) (f), 46 (3) (a) och 46 (3) (b)
Kunder bör kunna se en lista över potentiella mottagarländer och organisationer vid varje given tidpunkt, inklusive en logg över alla länder som är involverade i PII-underleverantörer (se ISO 27701 klausul 8.5.1).
Under vissa omständigheter kommer organisationer inte alltid att kunna avslöja i förväg var förfrågningar om överföring har kommit från – särskilt när det gäller fall av brottmål. Detta är oundvikligt, och det bör vara organisationens prioritet att upprätthålla integriteten hos en brottsbekämpande operation (se ISO 27701 paragraferna 7.5.1, 8.5.4 och 8.5.5).
Stöder ISO 27701 klausuler
- ISO 27701 7.5.1
- ISO 27701 8.5.1
- ISO 27701 8.5.4
- ISO 27701 8.5.5
Index över länkade EU GDPR-artiklar och ISO 27701-klausuler
| GDPR-artikel | ISO 27701 klausul | ISO 27701 stödklausuler |
|---|---|---|
| EU GDPR artiklarna 46 (1) till 46 (5) | ISO 27701 7.5.1 | Ingen |
| EU GDPR artiklarna 46 (1) till 46 (3) (b) | ISO 27701 8.5.1 |
ISO 27701 7.5.1 ISO 27701 8.5.4 ISO 27701 8.5.5 |
hur ISMS.online Hjälp
Vi förser dig med en miljö som har byggts i förväg för att beskriva och demonstrera ditt sätt att skydda dina europeiska och brittiska kunddata på ett sätt som sömlöst passar in i ditt befintliga ledningssystem.
Med ISMS.online är det enkelt för dig att hoppa direkt in på resan till GDPR-efterlevnad och att enkelt demonstrera en skyddsnivå som sträcker sig utöver "rimligt", allt på en säker, alltid tillgänglig plats som du kan komma åt var som helst.
Ta reda på mer av schemalägga en demo.
