GDPR 46 artiklassa sallitaan tietojen siirtäminen toiseen maahan tai kansainväliseen järjestöön ilman "päätöstä riittävyydestä" (katso 45 artikla).
Suurimmalla osalla maista, jotka voivat vastaanottaa tietoja Yhdistyneestä kuningaskunnasta tai EU:sta, ei ole omia tietosuojakehyksiä, joten 46 artiklalla on tärkeä rooli kansalaistettujen kansalaisten oikeuksien ja vapauksien turvaamisessa globaalissa taloudessa.
Siirrot asianmukaisten suojatoimenpiteiden mukaisesti
- Jos 45 artiklan 3 kohdan mukaista päätöstä ei ole tehty, rekisterinpitäjä tai henkilötietojen käsittelijä voi siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos rekisterinpitäjä tai henkilötietojen käsittelijä on antanut asianmukaiset takeet ja edellyttäen, että rekisteröidyn täytäntöönpanokelpoiset oikeudet ja rekisteröidyille on saatavilla tehokkaita oikeussuojakeinoja.
- Edellä 1 kohdassa tarkoitetut asianmukaiset suojatoimet voidaan säätää ilman valvontaviranomaisen erityistä lupaa:
- a) oikeudellisesti sitova ja täytäntöönpanokelpoinen väline viranomaisten tai elinten välillä;
- b) sitovat yhtiösäännöt 47 artiklan mukaisesti;
- c) vakiomuotoiset tietosuojalausekkeet, jotka komissio hyväksyy 93 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen;
- d) vakiomuotoiset tietosuojalausekkeet, jotka valvontaviranomainen on hyväksynyt ja jotka komissio on hyväksynyt 93 artiklan 2 kohdassa tarkoitetun tarkastelumenettelyn mukaisesti;
- e) 40 artiklan mukaiset hyväksytyt käytännesäännöt sekä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovat ja täytäntöönpanokelpoiset sitoumukset asianmukaisten suojatoimien soveltamisesta, mukaan lukien rekisteröityjen oikeudet; tai
- f) 42 artiklan mukainen hyväksytty varmennusmekanismi sekä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovat ja täytäntöönpanokelpoiset sitoumukset soveltaa asianmukaisia suojatoimia, mukaan lukien rekisteröityjen oikeudet.
- Toimivaltaisen valvontaviranomaisen luvalla voidaan myös säätää 1 kohdassa tarkoitetuista asianmukaisista suojatoimista erityisesti:
- a) sopimuslausekkeet rekisterinpitäjän tai henkilötietojen käsittelijän ja rekisterinpitäjän, henkilötietojen käsittelijän tai vastaanottajan välillä kolmannessa maassa tai kansainvälisessä järjestössä; tai
- b) säännöksiä, jotka on lisättävä viranomaisten tai elinten välisiin hallinnollisiin järjestelyihin, jotka sisältävät täytäntöönpanokelpoisia ja tehokkaita rekisteröityjen oikeuksia.
- Valvontaviranomaisen on sovellettava 63 artiklassa tarkoitettua johdonmukaisuusmekanismia tämän artiklan 3 kohdassa tarkoitetuissa tapauksissa.
- Jäsenvaltion tai valvontaviranomaisen direktiivin 26/2/EY 95 artiklan 46 kohdan nojalla myöntämät toimiluvat ovat voimassa, kunnes kyseinen valvontaviranomainen tarvittaessa muuttaa, korvaa tai kumoaa ne. Komission direktiivin 26/4/EY 95 artiklan 46 kohdan perusteella tekemät päätökset ovat voimassa, kunnes niitä muutetaan, korvataan tai kumotaan tarvittaessa tämän artiklan 2 kohdan mukaisesti tehdyllä komission päätöksellä.
Siirrot asianmukaisten suojatoimenpiteiden mukaisesti
- Jollei vuoden 17 lain 2018A §:n mukaisia riittävyyttä koskevia säännöksiä ole, rekisterinpitäjä tai henkilötietojen käsittelijä saa siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos rekisterinpitäjä tai henkilötietojen käsittelijä on antanut asianmukaiset takeet ja edellyttäen, että rekisteröidyn täytäntöönpanokelpoiset oikeudet ja rekisteröidyille on saatavilla tehokkaita oikeussuojakeinoja.
- Edellä 1 kohdassa tarkoitetut asianmukaiset takeet voidaan säätää ilman komission jäsenen erityistä lupaa:
- a) oikeudellisesti sitova ja täytäntöönpanokelpoinen väline viranomaisten tai elinten välillä;
- b) sitovat yhtiösäännöt 47 artiklan mukaisesti;
- c) valtiosihteerin vuoden 17 lain 2018C §:n mukaisesti antamissa määräyksissä määritellyt vakiomuotoiset tietosuojalausekkeet, jotka ovat voimassa toistaiseksi;
- (d) vakiomuotoiset tietosuojalausekkeet, jotka on määritelty komission jäsenen vuoden 119 lain 2018A §:n mukaisesti antamassa (ja ei peruutetussa) asiakirjassa ja toistaiseksi voimassa;
- e) 40 artiklan mukaiset hyväksytyt käytännesäännöt sekä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovat ja täytäntöönpanokelpoiset sitoumukset asianmukaisten suojatoimien soveltamisesta, mukaan lukien rekisteröityjen oikeudet; tai
- f) 42 artiklan mukainen hyväksytty varmennusmekanismi sekä kolmannen maan rekisterinpitäjän tai henkilötietojen käsittelijän sitovat ja täytäntöönpanokelpoiset sitoumukset soveltaa asianmukaisia suojatoimia, mukaan lukien rekisteröityjen oikeudet.
- Komission jäsenen luvalla voidaan myös säätää 1 kohdassa tarkoitetuista asianmukaisista takeista erityisesti:
- a) sopimuslausekkeet rekisterinpitäjän tai henkilötietojen käsittelijän ja rekisterinpitäjän, henkilötietojen käsittelijän tai vastaanottajan välillä kolmannessa maassa tai kansainvälisessä järjestössä; tai
- b) säännöksiä, jotka on lisättävä viranomaisten tai elinten välisiin hallinnollisiin järjestelyihin, jotka sisältävät täytäntöönpanokelpoisia ja tehokkaita rekisteröityjen oikeuksia.
ISMS.onlinen avulla versionhallintaan, käytäntöjen hyväksymiseen ja käytäntöjen jakamiseen liittyvät haasteet ovat menneisyyttä.
Keskustelu henkilötietojen siirtämisestä maihin, joissa ei ole asianmukaista riittävyyskehystä, jakautuu kuudelle avainalueelle:
Tässä osiossa puhumme GDPR-artikkeleista 46 (1), 46 (2) (a), 46 (2) (b), 46 (2) (c), 46 (2) (d), 46 (2) ( e), 46 (2) (f), 46 (3) (a), 46 (3) (b), 46 (4), 46 (5)
Alueelliset säädökset ja lait vaihtelevat sen mukaan, mistä tiedot ovat peräisin ja mihin ne aiotaan siirtää.
Organisaatioiden tulee ottaa huomioon kaikki asiaankuuluvat lait, puitteet ja määräykset aina, kun niiden on siirrettävä tietoja lainkäyttöalueiden välillä, mukaan lukien nimetyn valvontaviranomaisen käyttö.
Tässä osiossa puhumme GDPR-artikkeleista 46 (1), 46 (2) (a), 46 (2) (b), 46 (2) (c), 46 (2) (d), 46 (2) ( e), 46 (2) (f), 46 (3) (a) ja 46 (3) (b)
Asiakkaiden tulee pystyä milloin tahansa tarkastelemaan luetteloa mahdollisista vastaanottajamaista ja organisaatioista, mukaan lukien loki kaikista PII-alihankinnassa mukana olevista maista (katso ISO 27701, kohta 8.5.1).
Tietyissä olosuhteissa organisaatiot eivät aina pysty paljastamaan etukäteen, mistä siirtopyynnöt ovat peräisin – etenkään rikosoikeudellisissa tapauksissa. Tämä on väistämätöntä, ja lainvalvontaoperaation eheyden ylläpitämisen tulisi olla organisaation prioriteetti (katso ISO 27701:n kohdat 7.5.1, 8.5.4 ja 8.5.5).
| GDPR-artikkeli | ISO 27701 -lauseke | ISO 27701 -tukilausekkeet |
|---|---|---|
| EU:n GDPR:n artiklat 46 (1)–46 (5) | ISO 27701 7.5.1 | Ei eristetty |
| EU:n GDPR:n artikla 46 (1)–46 (3) (b) | ISO 27701 8.5.1 | ISO 27701 7.5.1 ISO 27701 8.5.4 ISO 27701 8.5.5 |
Tarjoamme sinulle ympäristön, joka on valmiiksi rakennettu kuvaamaan ja esittelemään lähestymistapaasi Euroopan ja Iso-Britannian asiakastietojesi suojaamiseen tavalla, joka sopii saumattomasti olemassa olevaan hallintajärjestelmääsi.
ISMS.onlinen avulla sinun on helppo hypätä suoraan matkalle kohti GDPR-vaatimustenmukaisuutta ja osoittaa helposti suojaustaso, joka ulottuu "kohtuullista" pidemmälle, yhdessä turvallisessa, aina päällä olevassa paikassa, johon pääset mistä tahansa.
Lisätietoja: ajoittamalla demo.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
