Artikel 49 GDPR-efterlevnad: Bästa tillvägagångssätt för företag
GDPR Artikel 49 innehåller en lista över undantag – alltså undantag – som organisationer kan ansöka om vid eventuella internationella dataöverföringar till tredje parts länder, när ingen annan del av kapitel V GDPR är tillämplig.
GDPR Artikel 49 Lagtext
EU GDPR-version
Undantag för särskilda situationer
- I avsaknad av ett lämplighetsbeslut enligt artikel 45, eller av lämpliga skyddsåtgärder enligt artikel 3, inklusive bindande företagsregler, ska en överföring eller en uppsättning överföringar av personuppgifter till ett tredjeland eller en internationell organisation ske. endast på ett av följande villkor:
- a) Den registrerade har uttryckligen samtyckt till den föreslagna överföringen efter att ha informerats om de möjliga riskerna med sådana överföringar för den registrerade på grund av avsaknaden av ett adekvat beslut och lämpliga skyddsåtgärder.
- (b) Överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den registeransvarige eller för genomförandet av åtgärder före avtalsslutet som vidtas på den registrerades begäran.
- (c) Överföringen är nödvändig för ingående eller fullgörande av ett avtal som ingåtts i den registrerades intresse mellan den registeransvarige och en annan fysisk eller juridisk person.
- d) Överföringen är nödvändig av viktiga skäl av allmänintresse.
- (e) Överföringen är nödvändig för att fastställa, utöva eller försvara rättsliga anspråk.
- f) Överföringen är nödvändig för att skydda den registrerades eller andra personers vitala intressen, om den registrerade är fysiskt eller juridiskt oförmögen att ge sitt samtycke.
- g) överföringen görs från ett register som enligt unions- eller medlemsstatslagstiftningen är avsett att tillhandahålla information till allmänheten och som är öppet för konsultation antingen av allmänheten i allmänhet eller av varje person som kan visa ett berättigat intresse, men endast i den mån de villkor som anges i unions- eller medlemsstatslagstiftningen för samråd är uppfyllda i det särskilda fallet.
Om en överföring inte kunde grundas på en bestämmelse i artikel 45 eller 46, inklusive bestämmelserna om bindande företagsregler, och inget av undantagen för en specifik situation som avses i första stycket i denna punkt är tillämpligt, ska en överföring till en tredje land eller en internationell organisation får äga rum endast om överföringen inte är upprepad, endast avser ett begränsat antal registrerade, är nödvändig i syfte att tvinga fram legitima intressen som eftersträvas av den registeransvarige och som inte åsidosätts av intressen eller rättigheter och friheter hos den registrerade, och den personuppgiftsansvarige har bedömt alla omständigheter kring dataöverföringen och har utifrån den bedömningen tillhandahållit lämpliga skyddsåtgärder när det gäller skyddet av personuppgifter. Den registeransvarige ska informera tillsynsmyndigheten om överföringen. Den registeransvarige ska, förutom att tillhandahålla den information som avses i artiklarna 13 och 14, informera den registrerade om överföringen och om de tvingande legitima intressen som eftersträvas.
- En överföring enligt punkt 1 första stycket g ska inte omfatta alla personuppgifter eller hela kategorier av personuppgifter som finns i registret. Om registret är avsett för konsultation av personer med ett berättigat intresse, ska överföringen göras endast på begäran av dessa personer eller om de ska vara mottagare.
- Punkt 1 första stycket a, b och c och andra stycket i denna ska inte tillämpas på verksamhet som utförs av offentliga myndigheter under utövandet av deras offentliga befogenheter.
- Det allmänna intresse som avses i punkt 1 första stycket led d ska erkännas i unionslagstiftningen eller i lagstiftningen i den medlemsstat som den registeransvarige lyder under.
- I avsaknad av ett adekvat beslut kan unions- eller medlemsstatslagstiftningen, av viktiga skäl av allmänt intresse, uttryckligen sätta gränser för överföringen av specifika kategorier av personuppgifter till ett tredjeland eller en internationell organisation. Medlemsstaterna ska anmäla sådana bestämmelser till kommissionen.
- Den registeransvarige eller registerföraren ska dokumentera bedömningen och de lämpliga skyddsåtgärder som avses i punkt 1 andra stycket i denna artikel i de register som avses i artikel 30.
Storbritanniens GDPR-version
Undantag för särskilda situationer
- I avsaknad av lämplighetsregler enligt avsnitt 17A i 2018 års lag, eller av lämpliga skyddsåtgärder enligt artikel 46, inklusive bindande företagsregler, ska en överföring eller en uppsättning överföringar av personuppgifter till ett tredjeland eller en internationell organisation endast ske på något av följande villkor:
- a) Den registrerade har uttryckligen samtyckt till den föreslagna överföringen efter att ha informerats om de möjliga riskerna med sådana överföringar för den registrerade på grund av avsaknaden av ett adekvat beslut och lämpliga skyddsåtgärder.
- (b) Överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den registeransvarige eller för genomförandet av åtgärder före avtalsslutet som vidtas på den registrerades begäran.
- (c) Överföringen är nödvändig för ingående eller fullgörande av ett avtal som ingåtts i den registrerades intresse mellan den registeransvarige och en annan fysisk eller juridisk person.
- d) Överföringen är nödvändig av viktiga skäl av allmänintresse.
- (e) Överföringen är nödvändig för att fastställa, utöva eller försvara rättsliga anspråk.
- f) Överföringen är nödvändig för att skydda den registrerades eller andra personers vitala intressen, om den registrerade är fysiskt eller juridiskt oförmögen att ge sitt samtycke.
- g) överföringen görs från ett register som enligt nationell lagstiftning är avsett att tillhandahålla information till allmänheten och som är öppet för konsultation antingen av allmänheten i allmänhet eller av varje person som kan visa ett berättigat intresse, men endast för i den mån de villkor som ställs i nationell lagstiftning för samråd är uppfyllda i det särskilda fallet.
Om en överföring inte kunde grundas på en bestämmelse i artikel 45 eller 46, inklusive bestämmelserna om bindande företagsregler, och inget av undantagen för en specifik situation som avses i första stycket i denna punkt är tillämpligt, ska en överföring till en tredje land eller en internationell organisation får äga rum endast om överföringen inte är upprepad, endast avser ett begränsat antal registrerade, är nödvändig i syfte att tvinga fram legitima intressen som eftersträvas av den registeransvarige och som inte åsidosätts av intressen eller rättigheter och friheter hos den registrerade, och den personuppgiftsansvarige har bedömt alla omständigheter kring dataöverföringen och har utifrån den bedömningen tillhandahållit lämpliga skyddsåtgärder när det gäller skyddet av personuppgifter. Den registeransvarige ska informera kommissionären om överföringen. Den registeransvarige ska, förutom att tillhandahålla den information som avses i artiklarna 13 och 14, informera den registrerade om överföringen och om de tvingande legitima intressen som eftersträvas.
- En överföring enligt punkt 1 första stycket g ska inte omfatta alla personuppgifter eller hela kategorier av personuppgifter som finns i registret. Om registret är avsett för konsultation av personer med ett berättigat intresse, ska överföringen göras endast på begäran av dessa personer eller om de ska vara mottagare.
- Punkt 1 första stycket a, b och c och andra stycket i denna ska inte tillämpas på verksamhet som utförs av offentliga myndigheter under utövandet av deras offentliga befogenheter.
- Det allmänna intresse som avses i punkt 1 första stycket led d ska vara ett allmänintresse som är erkänt i nationell rätt (oavsett om det är i föreskrifter enligt 18 § första stycket i 1 års lag eller på annat sätt).
- Denna artikel och artikel 46 är föremål för begränsningar i föreskrifter enligt § 18(2) i 2018 års lag.
- Den registeransvarige eller registerföraren ska dokumentera bedömningen och de lämpliga skyddsåtgärder som avses i punkt 1 andra stycket i denna artikel i de register som avses i artikel 30.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Teknisk kommentar
Undantagen inom GDPR artikel 49 är tillämpliga på flera nyckelsituationer:
- När registrerade har samtyckt till överföring av sina uppgifter.
- Tekniska krav som gör det möjligt för organisationen att fullgöra sina avtalsförpliktelser gentemot en registrerad.
- Varje överföring som utförs i allmänhetens intresse (om än med en separat lista över begränsningar för sådana överföringar).
- Åtgärder som skyddar de registrerades "vitala intressen", men endast när personen är fysiskt oförmögen att ge samtycke till organisationen.
- Eventuella överföringar som utförs från ett offentligt register.
- Om den personuppgiftsansvarige har "tvingande legitima intressen".
ISO 27701 klausul 7.5.1 (Identifiera grund för Pii-överföring mellan jurisdiktioner) och EU GDPR artikel 49
I det här avsnittet talar vi om GDPR artiklarna 49 (1)(a), 49 (1)(b), 49 (1)(c), 49 (1)(d), 49 (1)(e), 49 ( 1)(f), 49 (1)(g), 49 (2), 49 (3), 49 (4), 49 (5) och 49 (6)
Då och då kan det uppstå behov av att överföra PII mellan två distinkta jurisdiktioner. När detta inträffar bör organisationer motivera och dokumentera behovet av att göra det.
Regionala lagar och regler varierar beroende på var informationen kommer ifrån och var den ska överföras.
Organisationer bör ta hänsyn till alla relevanta lagar, ramar och förordningar närhelst de behöver överföra data mellan jurisdiktioner, inklusive användning av en utsedd tillsynsmyndighet.
ISO 27701 klausul 8.5.1 (Bas för PII-överföring mellan jurisdiktioner) och EU GDPR artikel 49
I det här avsnittet talar vi om GDPR artiklarna 49 (1)(a), 49 (1)(b), 49 (1)(c), 49 (1)(d), 49 (1)(e), 49 ( 1)(f), 49 (1)(g), 49 (2), 49 (3), 49 (4), 49 (5) och 49 (6)
Närhelst PII ska överföras mellan jurisdiktioner måste organisationer informera kunden om det underliggande behovet av att göra det i tid.
Transferdestinationer kan inkludera:
- Leverantörer.
- Utomstående.
- Olika länder.
- Internationella organisationer.
Organisationer bör ge kunden adekvat meddelande om alla överföringar, så att invändningar kan göras och, under vissa omständigheter, begäran om uppsägning kan göras.
Organisationer behöver inte alltid informera kunder om ändringar i deras dataöverföringsarrangemang, men kontrakt bör tydligt beskriva de omständigheter under vilka de do måste ge förvarning.
När organisationer överför PII till ett annat land bör de överväga officiella mekanismer, såsom:
- Modellavtalsklausuler.
- Bindande företagsregler.
- Gränsöverskridande integritetsregler.
Index över länkade EU GDPR-artiklar och ISO 27701-klausuler
| GDPR-artikel | ISO 27701 klausul | ISO 27701 stödklausuler |
|---|---|---|
| EU GDPR artiklarna 49 (1) (a) till 49 (6) | ISO 27701 7.5.1 | Ingen |
| EU GDPR artiklarna 49 (1) (a) till 49 (6) | ISO 27701 8.5.1 | Ingen |
Hur ISMS.online Hjälp
ISMS.online-plattformen inkluderar inbyggd vägledning vid varje steg, kombinerat med vår implementeringsmetod 'Adoptera, anpassa, lägg till', så det är betydligt enklare att visa din GDPR-efterlevnad. Du kommer också att dra nytta av en rad kraftfulla tidsbesparande funktioner.
Genom att kartlägga ditt arbete över flera standarder och ramverk gör vår intuitiva plattform det enkelt att uppnå flera mål för informationssäkerhet och datasekretess.
Ta reda på mer av schemalägga en demo.
