Siirtyminen GDPR:n artiklaan 46: Kansainvälisen tiedonsiirron suojatoimenpiteet
GDPR 46 artiklassa sallitaan tietojen siirtäminen toiseen maahan tai kansainväliseen järjestöön ilman "päätöstä riittävyydestä" (katso 45 artikla).
Suurimmalla osalla maista, jotka voivat vastaanottaa tietoja Yhdistyneestä kuningaskunnasta tai EU:sta, ei ole omia tietosuojakehyksiä, joten 46 artiklalla on tärkeä rooli kansalaistettujen kansalaisten oikeuksien ja vapauksien turvaamisessa globaalissa taloudessa.
GDPR artiklan 46 lakiteksti
EU:n GDPR-versio
Siirrot asianmukaisten suojatoimenpiteiden mukaisesti
- Jos 45 artiklan 3 kohdan mukaista päätöstä ei ole tehty, rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos rekisterinpitäjä tai henkilötietojen käsittelijä on antanut asianmukaiset takeet ja edellyttäen, että rekisteröidyn täytäntöönpanokelpoiset oikeudet ja rekisteröidyille on saatavilla tehokkaita oikeussuojakeinoja.
- Edellä 1 kohdassa tarkoitetut asianmukaiset suojatoimet voidaan säätää ilman valvontaviranomaisen erityistä lupaa:
- a) oikeudellisesti sitova ja täytäntöönpanokelpoinen väline viranomaisten tai elinten välillä;
- b) sitovat yhtiösäännöt 47 artiklan mukaisesti;
- c) vakiomuotoiset tietosuojalausekkeet, jotka komissio hyväksyy 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen;
- d) vakiomuotoiset tietosuojalausekkeet, jotka valvontaviranomainen on hyväksynyt ja jotka komissio on hyväksynyt 93 artiklan 2 kohdassa tarkoitetun tarkastelumenettelyn mukaisesti;
- e) 40 artiklan mukaiset hyväksytyt käytännesäännöt sekä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovat ja täytäntöönpanokelpoiset sitoumukset asianmukaisten suojatoimien soveltamisesta, mukaan lukien rekisteröityjen oikeudet; tai
- f) 42 artiklan mukainen hyväksytty varmennusmekanismi sekä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovat ja täytäntöönpanokelpoiset sitoumukset soveltaa asianmukaisia suojatoimia, mukaan lukien rekisteröityjen oikeudet.
- Toimivaltaisen valvontaviranomaisen luvalla voidaan myös säätää 1 kohdassa tarkoitetuista asianmukaisista suojatoimista erityisesti:
- a) sopimuslausekkeet rekisterinpitäjän tai henkilötietojen käsittelijän ja rekisterinpitäjän, henkilötietojen käsittelijän tai vastaanottajan välillä kolmannessa maassa tai kansainvälisessä järjestössä; tai
- b) säännöksiä, jotka on lisättävä viranomaisten tai elinten välisiin hallinnollisiin järjestelyihin, jotka sisältävät täytäntöönpanokelpoisia ja tehokkaita rekisteröityjen oikeuksia.
- Valvontaviranomaisen on sovellettava 63 artiklassa tarkoitettua johdonmukaisuusmekanismia tämän artiklan 3 kohdassa tarkoitetuissa tapauksissa.
- Jäsenvaltion tai valvontaviranomaisen direktiivin 26/2/EY 95 artiklan 46 kohdan nojalla myöntämät toimiluvat ovat voimassa, kunnes kyseinen valvontaviranomainen tarvittaessa muuttaa, korvaa tai kumoaa ne. Komission direktiivin 26/4/EY 95 artiklan 46 kohdan perusteella tekemät päätökset ovat voimassa, kunnes niitä muutetaan, korvataan tai kumotaan tarvittaessa tämän artiklan 2 kohdan mukaisesti tehdyllä komission päätöksellä.
Yhdistyneen kuningaskunnan GDPR-versio
Siirrot asianmukaisten suojatoimenpiteiden mukaisesti
- Jollei vuoden 17 lain 2018A §:n mukaisia riittävyyttä koskevia säännöksiä ole, rekisterinpitäjä tai henkilötietojen käsittelijä saa siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos rekisterinpitäjä tai henkilötietojen käsittelijä on antanut asianmukaiset takeet ja edellyttäen, että rekisteröidyn täytäntöönpanokelpoiset oikeudet ja rekisteröidyille on saatavilla tehokkaita oikeussuojakeinoja.
- Edellä 1 kohdassa tarkoitetut asianmukaiset takeet voidaan säätää ilman komission jäsenen erityistä lupaa:
- a) oikeudellisesti sitova ja täytäntöönpanokelpoinen väline viranomaisten tai elinten välillä;
- b) sitovat yhtiösäännöt 47 artiklan mukaisesti;
- c) valtiosihteerin vuoden 17 lain 2018C §:n mukaisesti antamissa määräyksissä määritellyt vakiomuotoiset tietosuojalausekkeet, jotka ovat voimassa toistaiseksi;
- (d) vakiomuotoiset tietosuojalausekkeet, jotka on määritelty komission jäsenen vuoden 119 lain 2018A §:n mukaisesti antamassa (ja ei peruutetussa) asiakirjassa ja toistaiseksi voimassa;
- e) 40 artiklan mukaiset hyväksytyt käytännesäännöt sekä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovat ja täytäntöönpanokelpoiset sitoumukset asianmukaisten suojatoimien soveltamisesta, mukaan lukien rekisteröityjen oikeudet; tai
- f) 42 artiklan mukainen hyväksytty varmennusmekanismi sekä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovat ja täytäntöönpanokelpoiset sitoumukset soveltaa asianmukaisia suojatoimia, mukaan lukien rekisteröityjen oikeudet.
- Komission jäsenen luvalla voidaan myös säätää 1 kohdassa tarkoitetuista asianmukaisista takeista erityisesti:
- a) sopimuslausekkeet rekisterinpitäjän tai henkilötietojen käsittelijän ja rekisterinpitäjän, henkilötietojen käsittelijän tai vastaanottajan välillä kolmannessa maassa tai kansainvälisessä järjestössä; tai
- b) säännöksiä, jotka on lisättävä viranomaisten tai elinten välisiin hallinnollisiin järjestelyihin, jotka sisältävät täytäntöönpanokelpoisia ja tehokkaita rekisteröityjen oikeuksia.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Tekninen kommentti
Keskustelu henkilötietojen siirtämisestä maihin, joissa ei ole asianmukaista riittävyyskehystä, jakautuu kuudelle avainalueelle:
- Siirron laajuus.
- Luettelo tarvittavista asianmukaisista suojatoimista ilman ennakkolupa.
- Suojat, joita voidaan käyttää lupa.
- Käytettyjen suojatoimien toimittaminen asianmukaiselle tietosuojaviranomaiselle.
- Miten viranomaisten tulisi arvioida tarkastettavaksi lähetettyjen suojatoimien soveltuvuutta ja tehokkuutta?
- Kaikkien myönnettyjen lupien jatkuva tarkistus edellä olevien kohtien mukaisesti.
ISO 27701 -lauseke 7.5.1 (Tunnista peruste henkilökohtaisten tunnistetietojen siirtämiselle lainkäyttöalueiden välillä) ja EU:n GDPR:n artikla 46
Tässä osiossa puhumme GDPR-artikkeleista 46 (1), 46 (2) (a), 46 (2) (b), 46 (2) (c), 46 (2) (d), 46 (2) ( e), 46 (2) (f), 46 (3) (a), 46 (3) (b), 46 (4), 46 (5)
Alueelliset säädökset ja lait vaihtelevat sen mukaan, mistä tiedot ovat peräisin ja mihin ne aiotaan siirtää.
Organisaatioiden tulee ottaa huomioon kaikki asiaankuuluvat lait, puitteet ja määräykset aina, kun niiden on siirrettävä tietoja lainkäyttöalueiden välillä, mukaan lukien nimetyn valvontaviranomaisen käyttö.
ISO 27701 -lauseke 8.5.1 (Perusta henkilökohtaisten tunnistetietojen siirtämiselle lainkäyttöalueiden välillä) ja EU:n GDPR:n artikla 46
Tässä osiossa puhumme GDPR-artikkeleista 46 (1), 46 (2) (a), 46 (2) (b), 46 (2) (c), 46 (2) (d), 46 (2) ( e), 46 (2) (f), 46 (3) (a) ja 46 (3) (b)
Asiakkaiden tulee pystyä milloin tahansa tarkastelemaan luetteloa mahdollisista vastaanottajamaista ja organisaatioista, mukaan lukien loki kaikista PII-alihankinnassa mukana olevista maista (katso ISO 27701, kohta 8.5.1).
Tietyissä olosuhteissa organisaatiot eivät aina pysty paljastamaan etukäteen, mistä siirtopyynnöt ovat peräisin – etenkään rikosoikeudellisissa tapauksissa. Tämä on väistämätöntä, ja lainvalvontaoperaation eheyden ylläpitämisen tulisi olla organisaation prioriteetti (katso ISO 27701:n kohdat 7.5.1, 8.5.4 ja 8.5.5).
Tukee ISO 27701 -lausekkeita
- ISO 27701 7.5.1
- ISO 27701 8.5.1
- ISO 27701 8.5.4
- ISO 27701 8.5.5
Hakemisto linkitetyistä EU:n GDPR-artikkeleista ja ISO 27701 -lausekkeista
| GDPR-artikkeli | ISO 27701 -lauseke | ISO 27701 -tukilausekkeet |
|---|---|---|
| EU:n GDPR:n artiklat 46 (1)–46 (5) | ISO 27701 7.5.1 | Ei eristetty |
| EU:n GDPR:n artikla 46 (1)–46 (3) (b) | ISO 27701 8.5.1 |
ISO 27701 7.5.1 ISO 27701 8.5.4 ISO 27701 8.5.5 |
miten ISMS.online Ohje
Tarjoamme sinulle ympäristön, joka on valmiiksi rakennettu kuvaamaan ja esittelemään lähestymistapaasi Euroopan ja Iso-Britannian asiakastietojesi suojaamiseen tavalla, joka sopii saumattomasti olemassa olevaan hallintajärjestelmääsi.
ISMS.onlinen avulla sinun on helppo hypätä suoraan matkalle kohti GDPR-vaatimustenmukaisuutta ja osoittaa helposti suojaustaso, joka ulottuu "kohtuullista" pidemmälle, yhdessä turvallisessa, aina päällä olevassa paikassa, johon pääset mistä tahansa.
Lisätietoja: ajoittamalla demo.
