GDPR Artikel 46 giver mulighed for overførsel af data til et andet land eller international organisation uden en "beslutning om tilstrækkelighed" (se artikel 45).
De fleste lande, der kan modtage data fra Storbritannien eller EU, har ikke deres egne databeskyttelsesrammer på plads, som sådan spiller artikel 46 en vigtig rolle i at sikre naturaliserede borgeres rettigheder og friheder i en global økonomi.
Overførsler er underlagt passende sikkerhedsforanstaltninger
- I mangel af en afgørelse i henhold til artikel 45, stk. 3, må en dataansvarlig eller databehandler kun overføre personoplysninger til et tredjeland eller en international organisation, hvis den dataansvarlige eller databehandler har ydet passende garantier, og på betingelse af, at håndhævede registreredes rettigheder og effektive retsmidler for registrerede er tilgængelige.
- De passende sikkerhedsforanstaltninger, der er omhandlet i stk. 1, kan stilles til rådighed, uden at det kræver nogen særlig tilladelse fra en tilsynsmyndighed, af:
- (a) et retligt bindende og eksigibelt instrument mellem offentlige myndigheder eller organer
- (b) bindende virksomhedsregler i overensstemmelse med artikel 47;
- c) standarddatabeskyttelsesklausuler vedtaget af Kommissionen i overensstemmelse med undersøgelsesproceduren i artikel 93, stk.
- d) standarddatabeskyttelsesklausuler vedtaget af en tilsynsmyndighed og godkendt af Kommissionen i henhold til undersøgelsesproceduren i artikel 93, stk.
- e) en godkendt adfærdskodeks i henhold til artikel 40 sammen med bindende og håndhævede tilsagn fra den dataansvarlige eller databehandler i tredjelandet om at anvende de passende sikkerhedsforanstaltninger, herunder med hensyn til registreredes rettigheder eller
- f) en godkendt certificeringsmekanisme i henhold til artikel 42 sammen med bindende og håndhævelige tilsagn fra den dataansvarlige eller databehandler i tredjelandet om at anvende de passende sikkerhedsforanstaltninger, herunder med hensyn til registreredes rettigheder.
- Med forbehold af tilladelse fra den kompetente tilsynsmyndighed kan de i stk. 1 omhandlede passende garantier også være fastsat af:
- a) kontraktklausuler mellem den dataansvarlige eller databehandleren og den dataansvarlige, databehandleren eller modtageren af personoplysningerne i tredjelandet eller den internationale organisation eller
- b) bestemmelser, der skal indsættes i administrative ordninger mellem offentlige myndigheder eller organer, og som omfatter håndhævede og effektive rettigheder for den registrerede.
- Tilsynsmyndigheden anvender den i artikel 63 omhandlede sammenhængsmekanisme i de tilfælde, der er omhandlet i stk. 3 i denne artikel.
- Godkendelser fra en medlemsstat eller tilsynsmyndighed på grundlag af artikel 26, stk. 2, i direktiv 95/46/EF forbliver gyldige, indtil de ændres, erstattes eller om nødvendigt ophæves af den pågældende tilsynsmyndighed. Beslutninger vedtaget af Kommissionen på grundlag af artikel 26, stk. 4, i direktiv 95/46/EF, forbliver i kraft, indtil de ændres, erstattes eller om nødvendigt ophæves ved en kommissionsafgørelse vedtaget i overensstemmelse med stk. 2 i denne artikel.
Overførsler er underlagt passende sikkerhedsforanstaltninger
- I mangel af tilstrækkelighedsregler i henhold til paragraf 17A i 2018-loven, må en dataansvarlig eller databehandler kun overføre personoplysninger til et tredjeland eller en international organisation, hvis den dataansvarlige eller databehandler har ydet passende sikkerhedsforanstaltninger, og på betingelse af, at håndhævede registreredes rettigheder og effektive retsmidler for registrerede er tilgængelige.
- De passende sikkerhedsforanstaltninger, der er omhandlet i stk. 1, kan stilles til rådighed uden at kræve nogen specifik tilladelse fra kommissæren af:
- (a) et retligt bindende og eksigibelt instrument mellem offentlige myndigheder eller organer
- (b) bindende virksomhedsregler i overensstemmelse med artikel 47;
- (c) standarddatabeskyttelsesklausuler specificeret i regler udstedt af Secretary of State i henhold til sektion 17C i 2018-loven og for øjeblikket i kraft;
- (d) standarddatabeskyttelsesklausuler specificeret i et dokument udstedt (og ikke trukket tilbage) af kommissæren i henhold til paragraf 119A i 2018-loven og for øjeblikket er i kraft;
- e) en godkendt adfærdskodeks i henhold til artikel 40 sammen med bindende og håndhævede tilsagn fra den dataansvarlige eller databehandler i tredjelandet om at anvende de passende sikkerhedsforanstaltninger, herunder med hensyn til registreredes rettigheder eller
- f) en godkendt certificeringsmekanisme i henhold til artikel 42 sammen med bindende og håndhævelige tilsagn fra den dataansvarlige eller databehandler i tredjelandet om at anvende de passende sikkerhedsforanstaltninger, herunder med hensyn til registreredes rettigheder.
- Med tilladelse fra kommissæren kan de i stk. 1 omhandlede passende garantier også tilvejebringes, især af:
- a) kontraktklausuler mellem den dataansvarlige eller databehandleren og den dataansvarlige, databehandleren eller modtageren af personoplysningerne i tredjelandet eller den internationale organisation eller
- b) bestemmelser, der skal indsættes i administrative ordninger mellem offentlige myndigheder eller organer, og som omfatter håndhævede og effektive rettigheder for den registrerede.
Med ISMS.online er udfordringer omkring versionskontrol, politikgodkendelse og politikdeling fortid.
Diskussionen om overførsel af personoplysninger til lande uden en medfølgende ramme for tilstrækkelighed er spredt på 6 nøgleområder:
I dette afsnit taler vi om GDPR artikel 46(1), 46(2)(a), 46(2)(b), 46(2)(c), 46(2)(d), 46(2)( e), 46 (2)(f), 46 (3)(a), 46 (3)(b), 46 (4), 46 (5)
Regionale lovgivningsmæssige og juridiske regler varierer afhængigt af, hvor dataene stammer fra, og hvor de skal overføres til.
Organisationer bør tage alle relevante love, rammer og bestemmelser i betragtning, når de har behov for at overføre data mellem jurisdiktioner, herunder brugen af en udpeget tilsynsmyndighed.
I dette afsnit taler vi om GDPR artikel 46(1), 46(2)(a), 46(2)(b), 46(2)(c), 46(2)(d), 46(2)( e), 46(2)(f), 46(3)(a) og 46(3)(b)
Kunder bør være i stand til at se en liste over potentielle modtagerlande og -organisationer på ethvert givet tidspunkt, herunder en log over alle lande, der er involveret i PII-underleverandører (se ISO 27701 paragraf 8.5.1).
Under visse omstændigheder vil organisationer ikke altid være i stand til på forhånd at oplyse, hvor anmodninger om overførsel stammer fra – især i tilfælde af straffesager. Dette er uundgåeligt, og det bør være organisationens prioritet at opretholde integriteten af en retshåndhævende operation (se ISO 27701 paragraf 7.5.1, 8.5.4 og 8.5.5).
| GDPR artikel | ISO 27701 klausul | ISO 27701 understøttende klausuler |
|---|---|---|
| EU GDPR artikel 46 (1) til 46 (5) | ISO 27701 7.5.1 | Ingen |
| EU GDPR artikel 46 (1) til 46 (3) (b) | ISO 27701 8.5.1 | ISO 27701 7.5.1 ISO 27701 8.5.4 ISO 27701 8.5.5 |
Vi giver dig et miljø, der er blevet bygget på forhånd for at beskrive og demonstrere din tilgang til at beskytte dine europæiske og britiske kundedata på en måde, der passer problemfrit ind i dit eksisterende administrationssystem.
Med ISMS.online er det nemt for dig at springe direkte ind på rejsen til GDPR-overholdelse og nemt at demonstrere et beskyttelsesniveau, der rækker ud over 'rimeligt', alt sammen på én sikker, altid aktiv placering, som du kan få adgang til fra hvor som helst.
Find ud af mere ved planlægning af en demo.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
