Artikel 49 GDPR-overholdelse: Bedste praksis for virksomheder
GDPR artikel 49 indeholder en liste over undtagelser – altså undtagelser – som organisationer kan anvende til enhver international dataoverførsel til tredjemandslande, når ingen anden del af kapitel V GDPR er gældende.
GDPR Artikel 49 Lovtekst
EU GDPR-version
Undtagelser for specifikke situationer
- I mangel af en afgørelse om tilstrækkelighed i henhold til artikel 45, stk. 3, eller af passende sikkerhedsforanstaltninger i henhold til artikel 46, herunder bindende virksomhedsregler, skal der finde en overførsel eller et sæt overførsler af personoplysninger til et tredjeland eller en international organisation sted kun på én af følgende betingelser:
- a) den registrerede har udtrykkeligt givet sit samtykke til den foreslåede overførsel efter at være blevet informeret om de mulige risici ved sådanne overførsler for den registrerede på grund af fraværet af en tilstrækkelighedsbeslutning og passende sikkerhedsforanstaltninger
- b) overførslen er nødvendig for opfyldelsen af en kontrakt mellem den registrerede og den registeransvarlige eller gennemførelsen af prækontraktuelle foranstaltninger, der træffes på den registreredes anmodning
- (c) overførslen er nødvendig for indgåelse eller opfyldelse af en kontrakt, der er indgået i den registreredes interesse mellem den dataansvarlige og en anden fysisk eller juridisk person;
- d) overførslen er nødvendig af vigtige almene hensyn;
- (e) overførslen er nødvendig for at fastlægge, udøve eller forsvare retskrav;
- f) overførslen er nødvendig for at beskytte den registreredes eller andre personers vitale interesser, hvor den registrerede er fysisk eller juridisk ude af stand til at give samtykke
- g) overførslen sker fra et register, som i henhold til EU- eller medlemsstatsretten har til formål at give offentligheden oplysninger, og som er åbent for høring enten af offentligheden generelt eller af enhver person, der kan påvise en legitim interesse, men kun i det omfang, betingelserne i EU- eller medlemsstatsretten for høring er opfyldt i det konkrete tilfælde.
Hvis en overførsel ikke kan baseres på en bestemmelse i artikel 45 eller 46, herunder bestemmelserne om bindende selskabsregler, og ingen af undtagelserne for en specifik situation, der er nævnt i første afsnit i dette stykke, finder anvendelse, kan en overførsel til en tredje land eller en international organisation må kun finde sted, hvis overførslen ikke er gentagen, kun vedrører et begrænset antal registrerede, er nødvendig med henblik på tvingende legitime interesser, som den dataansvarlige forfølger, og som ikke tilsidesættes af interesser eller rettigheder og frihedsrettigheder. den registrerede, og den dataansvarlige har vurderet alle omstændighederne omkring dataoverførslen og har på baggrund af denne vurdering givet passende garantier med hensyn til beskyttelsen af personoplysninger. Den registeransvarlige underretter tilsynsmyndigheden om overførslen. Den registeransvarlige skal ud over at give de oplysninger, der er omhandlet i artikel 13 og 14, informere den registrerede om overførslen og om de tvingende legitime interesser, der forfølges.
- En videregivelse i henhold til stk. 1, første afsnit, litra g), omfatter ikke alle personoplysningerne eller hele kategorier af personoplysninger indeholdt i registret. Hvis registret er beregnet til søgning af personer, der har en legitim interesse, sker overførslen kun efter anmodning fra disse personer, eller hvis de skal være modtagere.
- 1, første afsnit, litra a), b) og c), og andet afsnit finder ikke anvendelse på aktiviteter, der udføres af offentlige myndigheder under udøvelsen af deres offentlige beføjelser.
- Den offentlige interesse, der er omhandlet i stk. 1, første afsnit, litra d), skal anerkendes i EU-retten eller i lovgivningen i den medlemsstat, som den registeransvarlige er underlagt.
- I mangel af en afgørelse om tilstrækkelighed kan EU- eller medlemsstatslovgivningen af vigtige almene hensyn udtrykkeligt sætte grænser for overførsel af specifikke kategorier af personoplysninger til et tredjeland eller en international organisation. Medlemsstaterne giver Kommissionen meddelelse om sådanne bestemmelser.
- Den registeransvarlige eller databehandleren skal dokumentere vurderingen samt de passende sikkerhedsforanstaltninger, der er omhandlet i stk. 1, andet afsnit, i denne artikel i de registre, der er omhandlet i artikel 30.
UK GDPR-version
Undtagelser for specifikke situationer
- I mangel af tilstrækkelighedsregler i henhold til paragraf 17A i 2018-loven eller passende sikkerhedsforanstaltninger i henhold til artikel 46, herunder bindende virksomhedsregler, må en overførsel eller et sæt overførsler af personoplysninger til et tredjeland eller en international organisation kun finde sted på en af følgende betingelser:
- a) den registrerede har udtrykkeligt givet sit samtykke til den foreslåede overførsel efter at være blevet informeret om de mulige risici ved sådanne overførsler for den registrerede på grund af fraværet af en tilstrækkelighedsbeslutning og passende sikkerhedsforanstaltninger
- b) overførslen er nødvendig for opfyldelsen af en kontrakt mellem den registrerede og den registeransvarlige eller gennemførelsen af prækontraktuelle foranstaltninger, der træffes på den registreredes anmodning
- (c) overførslen er nødvendig for indgåelse eller opfyldelse af en kontrakt, der er indgået i den registreredes interesse mellem den dataansvarlige og en anden fysisk eller juridisk person;
- d) overførslen er nødvendig af vigtige almene hensyn;
- (e) overførslen er nødvendig for at fastlægge, udøve eller forsvare retskrav;
- f) overførslen er nødvendig for at beskytte den registreredes eller andre personers vitale interesser, hvor den registrerede er fysisk eller juridisk ude af stand til at give samtykke
- g) overførslen sker fra et register, der i henhold til national ret har til formål at give offentligheden oplysninger, og som er åbent for høring enten af offentligheden i almindelighed eller af enhver person, der kan påvise en legitim interesse, men kun for i det omfang de betingelser, der er fastsat i national ret for høring, er opfyldt i det konkrete tilfælde.
Hvis en overførsel ikke kan baseres på en bestemmelse i artikel 45 eller 46, herunder bestemmelserne om bindende selskabsregler, og ingen af undtagelserne for en specifik situation, der er nævnt i første afsnit i dette stykke, finder anvendelse, kan en overførsel til en tredje land eller en international organisation må kun finde sted, hvis overførslen ikke er gentagen, kun vedrører et begrænset antal registrerede, er nødvendig med henblik på tvingende legitime interesser, som den dataansvarlige forfølger, og som ikke tilsidesættes af interesser eller rettigheder og frihedsrettigheder. den registrerede, og den dataansvarlige har vurderet alle omstændighederne omkring dataoverførslen og har på baggrund af denne vurdering givet passende garantier med hensyn til beskyttelsen af personoplysninger. Den registeransvarlige underretter Commissioner om overførslen. Den registeransvarlige skal ud over at give de oplysninger, der er omhandlet i artikel 13 og 14, informere den registrerede om overførslen og om de tvingende legitime interesser, der forfølges.
- En videregivelse i henhold til stk. 1, første afsnit, litra g), omfatter ikke alle personoplysningerne eller hele kategorier af personoplysninger indeholdt i registret. Hvis registret er beregnet til søgning af personer, der har en legitim interesse, sker overførslen kun efter anmodning fra disse personer, eller hvis de skal være modtagere.
- 1, første afsnit, litra a), b) og c), og andet afsnit finder ikke anvendelse på aktiviteter, der udføres af offentlige myndigheder under udøvelsen af deres offentlige beføjelser.
- Den offentlige interesse, der er omhandlet i stk. 1, første afsnit, litra d), skal være en offentlig interesse, der er anerkendt i national ret (uanset om det er i bestemmelser i henhold til § 18, stk. 1, i 2018-loven eller på anden måde).
- Denne artikel og artikel 46 er underlagt begrænsninger i reglerne i henhold til § 18(2) i 2018-loven.
- Den registeransvarlige eller databehandleren skal dokumentere vurderingen samt de passende sikkerhedsforanstaltninger, der er omhandlet i stk. 1, andet afsnit, i denne artikel i de registre, der er omhandlet i artikel 30.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Teknisk kommentar
Undtagelserne i GDPR artikel 49 gælder for flere nøglesituationer:
- Når registrerede har givet samtykke til overførsel af deres data.
- Tekniske krav, der gør det muligt for organisationen at opfylde sine kontraktlige forpligtelser over for en registreret.
- Enhver overførsel, der udføres i offentlighedens interesse (omend med en særskilt liste over begrænsninger for sådanne overførsler).
- Handlinger, der beskytter de registreredes 'vitale interesser', men kun hvor subjektet er fysisk ude af stand til at give samtykke til organisationen.
- Eventuelle overførsler, der udføres fra et offentligt register.
- Hvor den dataansvarlige har "tvingende legitime interesser".
ISO 27701 paragraf 7.5.1 (Identificer grundlag for Pii-overførsel mellem jurisdiktioner) og EU GDPR artikel 49
I dette afsnit taler vi om GDPR artikel 49(1)(a), 49(1)(b), 49(1)(c), 49(1)(d), 49(1)(e), 49( 1)(f), 49 (1)(g), 49 (2), 49 (3), 49 (4), 49 (5) og 49 (6)
Fra tid til anden kan der opstå behov for at overføre PII mellem to adskilte jurisdiktioner. Når dette sker, bør organisationer begrunde og dokumentere behovet for at gøre det.
Regionale lovgivningsmæssige og juridiske regler varierer afhængigt af, hvor dataene stammer fra, og hvor de skal overføres til.
Organisationer bør tage alle relevante love, rammer og bestemmelser i betragtning, når de har behov for at overføre data mellem jurisdiktioner, herunder brugen af en udpeget tilsynsmyndighed.
ISO 27701 paragraf 8.5.1 (grundlag for PII-overførsel mellem jurisdiktioner) og EU GDPR artikel 49
I dette afsnit taler vi om GDPR artikel 49(1)(a), 49(1)(b), 49(1)(c), 49(1)(d), 49(1)(e), 49( 1)(f), 49 (1)(g), 49 (2), 49 (3), 49 (4), 49 (5) og 49 (6)
Når PII skal overføres mellem jurisdiktioner, skal organisationer informere kunden om det underliggende behov for at gøre det rettidigt.
Overførselsdestinationer kan omfatte:
- Leverandører.
- Tredje partier.
- Forskellige lande.
- Internationale organisationer.
Organisationer bør give kunden passende meddelelse om eventuelle overførsler, så der kan rejses indsigelser, og under visse omstændigheder kan anmodninger om opsigelse fremsættes.
Organisationer behøver ikke altid at informere kunderne om ændringer i deres dataoverførselsordninger, men kontrakter bør klart skitsere de omstændigheder, hvorunder de do skal give en forhåndsadvarsel.
Når de overfører PII til et andet land, bør organisationer overveje officielle mekanismer, såsom:
- Modelkontraktklausuler.
- Bindende virksomhedsregler.
- Grænseoverskridende privatlivsregler.
Indeks over linkede EU GDPR-artikler og ISO 27701-klausuler
| GDPR artikel | ISO 27701 klausul | ISO 27701 understøttende klausuler |
|---|---|---|
| EU GDPR artikel 49 (1)(a) til 49 (6) | ISO 27701 7.5.1 | Ingen |
| EU GDPR artikel 49 (1)(a) til 49 (6) | ISO 27701 8.5.1 | Ingen |
Hvordan ISMS.online Hjælp
ISMS.online platformen inkluderer indbygget vejledning ved hvert trin, kombineret med vores 'Adopter, Adapt, Add' implementeringstilgang, så det er væsentligt nemmere at demonstrere din GDPR-overholdelse. Du vil også drage fordel af en række kraftfulde tidsbesparende funktioner.
Ved at kortlægge dit arbejde på tværs af flere standarder og rammer gør vores intuitive platform det nemt at nå flere mål for informationssikkerhed og databeskyttelse.
Find ud af mere ved planlægning af en demo.
