GDPR Artikel 46 tillåter överföring av uppgifter till ett annat land eller internationell organisation utan ett ”beslut om adekvathet” (se artikel 45).
Majoriteten av länder som kan ta emot data från Storbritannien eller EU har inte sina egna dataskyddsramar på plats, som sådan spelar artikel 46 en viktig roll för att säkerställa rättigheter och friheter för naturaliserade medborgare i en global ekonomi.
Överföringar är föremål för lämpliga skyddsåtgärder
- I avsaknad av ett beslut enligt artikel 45 får en personuppgiftsansvarig eller registerförare överföra personuppgifter till ett tredjeland eller en internationell organisation endast om den personuppgiftsansvarige eller registerföraren har tillhandahållit lämpliga skyddsåtgärder, och på villkor att verkställbara registrerade rättigheter och effektiva rättsmedel för registrerade finns tillgängliga.
- De lämpliga skyddsåtgärder som avses i punkt 1 kan tillhandahållas, utan att något särskilt tillstånd från en tillsynsmyndighet krävs, av:
- a) Ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter eller organ.
- (b) Bindande företagsregler i enlighet med artikel 47.
- c) Standardklausuler för dataskydd som antagits av kommissionen i enlighet med det granskningsförfarande som avses i artikel 93.
- d) Standardklausuler för dataskydd som antagits av en tillsynsmyndighet och godkänts av kommissionen i enlighet med det granskningsförfarande som avses i artikel 93.
- e) En godkänd uppförandekod enligt artikel 40 tillsammans med bindande och verkställbara åtaganden från den registeransvarige eller registerföraren i tredjelandet att tillämpa lämpliga skyddsåtgärder, inklusive när det gäller registrerades rättigheter. eller
- f) En godkänd certifieringsmekanism i enlighet med artikel 42 tillsammans med bindande och verkställbara åtaganden från den registeransvarige eller registerföraren i tredjelandet att tillämpa lämpliga skyddsåtgärder, inklusive när det gäller registrerades rättigheter.
- Med förbehåll för tillstånd från den behöriga tillsynsmyndigheten kan de lämpliga skyddsåtgärder som avses i punkt 1 också tillhandahållas, särskilt av:
- a) Avtalsklausuler mellan den registeransvarige eller registerföraren och den registeransvarige, registerföraren eller mottagaren av personuppgifterna i tredjelandet eller den internationella organisationen. eller
- (b) Bestämmelser som ska införas i administrativa överenskommelser mellan offentliga myndigheter eller organ som inkluderar verkställbara och effektiva rättigheter för registrerade.
- Tillsynsmyndigheten ska tillämpa den konsekvensmekanism som avses i artikel 63 i de fall som avses i punkt 3 i denna artikel.
- Tillstånd från en medlemsstat eller tillsynsmyndighet på grundval av artikel 26 i direktiv 2/95/EG ska förbli giltiga tills de ändras, ersätts eller vid behov upphävs av den tillsynsmyndigheten. Beslut som antas av kommissionen på grundval av artikel 46 i direktiv 26/4/EG ska fortsätta att gälla tills de ändras, ersätts eller vid behov upphävs genom ett kommissionsbeslut som antas i enlighet med punkt 95 i denna artikel.
Överföringar är föremål för lämpliga skyddsåtgärder
- I avsaknad av tillräcklighetsregler enligt avsnitt 17A i 2018 års lag får en personuppgiftsansvarig eller registerförare överföra personuppgifter till ett tredjeland eller en internationell organisation endast om den registeransvarige eller registerföraren har tillhandahållit lämpliga skyddsåtgärder, och på villkor att verkställbara registrerade rättigheter och effektiva rättsmedel för registrerade finns tillgängliga.
- De lämpliga skyddsåtgärder som avses i punkt 1 kan tillhandahållas, utan att något särskilt tillstånd från kommissionären krävs, av:
- a) Ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter eller organ.
- (b) Bindande företagsregler i enlighet med artikel 47.
- (c) standardklausuler för dataskydd som specificeras i förordningar som utfärdats av Secretary of State enligt avsnitt 17C i 2018 års lag och för närvarande är i kraft;
- (d) standardklausuler för dataskydd som specificeras i ett dokument som utfärdats (och inte återkallats) av kommissionären enligt avsnitt 119A i 2018 års lag och för närvarande är i kraft;
- e) En godkänd uppförandekod enligt artikel 40 tillsammans med bindande och verkställbara åtaganden från den registeransvarige eller registerföraren i tredjelandet att tillämpa lämpliga skyddsåtgärder, inklusive när det gäller registrerades rättigheter. eller
- f) En godkänd certifieringsmekanism i enlighet med artikel 42 tillsammans med bindande och verkställbara åtaganden från den registeransvarige eller registerföraren i tredjelandet att tillämpa lämpliga skyddsåtgärder, inklusive när det gäller registrerades rättigheter.
- Med tillstånd från kommissionsledamoten kan de lämpliga skyddsåtgärder som avses i punkt 1 också tillhandahållas, särskilt av:
- a) Avtalsklausuler mellan den registeransvarige eller registerföraren och den registeransvarige, registerföraren eller mottagaren av personuppgifterna i tredjelandet eller den internationella organisationen. eller
- (b) Bestämmelser som ska införas i administrativa överenskommelser mellan offentliga myndigheter eller organ som inkluderar verkställbara och effektiva rättigheter för registrerade.
Med ISMS.online är utmaningar kring versionskontroll, policygodkännande och policydelning ett minne blott.
Diskussionen om överföring av personuppgifter till länder utan åtföljande ramverk för adekvathet är spridd över 6 nyckelområden:
I det här avsnittet talar vi om GDPR artiklarna 46 (1), 46 (2) (a), 46 (2) (b), 46 (2) (c), 46 (2) (d), 46 (2)( e), 46 (2)(f), 46 (3)(a), 46 (3)(b), 46 (4), 46 (5)
Regionala lagar och regler varierar beroende på var informationen kommer ifrån och var den ska överföras.
Organisationer bör ta hänsyn till alla relevanta lagar, ramar och förordningar närhelst de behöver överföra data mellan jurisdiktioner, inklusive användning av en utsedd tillsynsmyndighet.
I det här avsnittet talar vi om GDPR artiklarna 46 (1), 46 (2) (a), 46 (2) (b), 46 (2) (c), 46 (2) (d), 46 (2)( e), 46 (2) (f), 46 (3) (a) och 46 (3) (b)
Kunder bör kunna se en lista över potentiella mottagarländer och organisationer vid varje given tidpunkt, inklusive en logg över alla länder som är involverade i PII-underleverantörer (se ISO 27701 klausul 8.5.1).
Under vissa omständigheter kommer organisationer inte alltid att kunna avslöja i förväg var förfrågningar om överföring har kommit från – särskilt när det gäller fall av brottmål. Detta är oundvikligt, och det bör vara organisationens prioritet att upprätthålla integriteten hos en brottsbekämpande operation (se ISO 27701 paragraferna 7.5.1, 8.5.4 och 8.5.5).
| GDPR-artikel | ISO 27701 klausul | ISO 27701 stödklausuler |
|---|---|---|
| EU GDPR artiklarna 46 (1) till 46 (5) | ISO 27701 7.5.1 | Ingen |
| EU GDPR artiklarna 46 (1) till 46 (3) (b) | ISO 27701 8.5.1 | ISO 27701 7.5.1 ISO 27701 8.5.4 ISO 27701 8.5.5 |
Vi förser dig med en miljö som har byggts i förväg för att beskriva och demonstrera ditt sätt att skydda dina europeiska och brittiska kunddata på ett sätt som sömlöst passar in i ditt befintliga ledningssystem.
Med ISMS.online är det enkelt för dig att hoppa direkt in på resan till GDPR-efterlevnad och att enkelt demonstrera en skyddsnivå som sträcker sig utöver "rimligt", allt på en säker, alltid tillgänglig plats som du kan komma åt var som helst.
Ta reda på mer av schemalägga en demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
