Kuinka osoittaa GDPR-artiklan 49 noudattaminen

GDPR:n artiklan 49 noudattaminen: parhaat käytännöt yrityksille

GDPR Artikla 49 sisältää luettelon poikkeuksista eli poikkeuksista, joita organisaatiot voivat soveltaa kaikkiin kansainvälisiin tiedonsiirtoihin kolmansiin maihin, kun GDPR:n V luvun muuta osaa ei sovelleta.

GDPR artiklan 49 lakiteksti

EU:n GDPR-versio

Poikkeukset erityistilanteita varten

1. Jos 45 artiklan 3 kohdan mukaista riittävyyttä koskevaa päätöstä tai 46 artiklan mukaisia ​​asianmukaisia ​​suojatoimia, mukaan lukien sitovat yrityssäännöt, ei ole tehty, on suoritettava henkilötietojen siirto tai joukko siirtoja kolmanteen maahan tai kansainväliselle järjestölle. vain jollakin seuraavista ehdoista:
• a) rekisteröity on nimenomaisesti suostunut ehdotettuun siirtoon sen jälkeen, kun hänelle on ilmoitettu tällaisten siirtojen mahdollisista riskeistä rekisteröidylle, koska riittävyyttä koskevaa päätöstä ja asianmukaisia ​​suojatoimia ei ole tehty;
• b) siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täyttämiseksi tai rekisteröidyn pyynnöstä toteutettujen sopimusta edeltävien toimenpiteiden toteuttamiseksi;
• c) siirto on tarpeen rekisteröidyn edun mukaisesti rekisterinpitäjän ja toisen luonnollisen henkilön tai oikeushenkilön välillä tehdyn sopimuksen tekemiseksi tai täytäntöönpanemiseksi;
• d) siirto on tarpeen yleistä etua koskevista tärkeistä syistä;
• e) siirto on tarpeen oikeudellisten vaatimusten esittämiseksi, esittämiseksi tai puolustamiseksi;
• f) siirto on tarpeen rekisteröidyn tai muiden henkilöiden elintärkeiden etujen suojelemiseksi, jos rekisteröity on fyysisesti tai oikeudellisesti kyvytön antamaan suostumustaan;
• g) siirto tapahtuu rekisteristä, jonka tarkoituksena on unionin tai jäsenvaltion lainsäädännön mukaan antaa tietoja yleisölle ja joka on avoin joko suurelle yleisölle tai kenelle tahansa henkilölle, joka voi osoittaa olevansa oikeutettu, mutta vain siltä osin kuin unionin tai jäsenvaltion lainsäädännössä säädetyt kuulemisen edellytykset täyttyvät kyseisessä tapauksessa.

Jos siirto ei voinut perustua 45 tai 46 artiklan säännökseen, mukaan lukien sitovia yhtiösääntöjä koskevat säännökset, eikä mitään tämän kohdan ensimmäisessä alakohdassa tarkoitetuista erityistilanteista poikkeuksista voida soveltaa, siirto kolmannelle maa tai kansainvälinen järjestö voi tapahtua vain, jos siirto ei ole toistuvaa, koskee vain rajoitettua määrää rekisteröityjä, on tarpeen rekisterinpitäjän tavoittelemien pakottavien oikeutettujen etujen vuoksi, joita eivät syrjäytä rekisterinpitäjän edut tai oikeudet ja vapaudet. rekisteröity ja rekisterinpitäjä on arvioinut kaikki tietojen siirtoon liittyvät olosuhteet ja tämän arvion perusteella antanut asianmukaiset takeet henkilötietojen suojaamiseksi. Rekisterinpitäjän on ilmoitettava siirrosta valvontaviranomaiselle. Rekisterinpitäjän on 13 ja 14 artiklassa tarkoitettujen tietojen toimittamisen lisäksi ilmoitettava rekisteröidylle siirrosta ja vaadituista pakottavista oikeutetuista eduista.

2. Edellä 1 kohdan ensimmäisen alakohdan g alakohdan mukainen siirto ei saa koskea kaikkia rekisteriin sisältyviä henkilötietoja tai kokonaisia ​​henkilötietojen luokkia. Jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joilla on oikeutettu etu, siirto suoritetaan vain näiden henkilöiden pyynnöstä tai jos he ovat vastaanottajia.
3. Edellä 1 kohdan ensimmäisen alakohdan a, b ja c alakohtaa ja sen toista alakohtaa ei sovelleta toimiin, joita viranomaiset toteuttavat käyttäessään julkista valtaansa.
4. Edellä 1 kohdan ensimmäisen alakohdan d alakohdassa tarkoitettu yleinen etu on tunnustettava unionin oikeudessa tai sen jäsenvaltion lainsäädännössä, jonka alainen rekisterinpitäjä on.
5. Jos riittävyyttä koskevaa päätöstä ei ole tehty, unionin tai jäsenvaltion lainsäädännössä voidaan tärkeistä yleisen edun mukaisista syistä asettaa nimenomaisia ​​rajoituksia tiettyjen henkilötietojen ryhmien siirrolle kolmanteen maahan tai kansainväliselle järjestölle. Jäsenvaltioiden on ilmoitettava näistä säännöksistä komissiolle.
6. Rekisterinpitäjän tai käsittelijän on dokumentoitava arviointi sekä tämän artiklan 1 kohdan toisessa alakohdassa tarkoitetut asianmukaiset suojatoimet 30 artiklassa tarkoitettuihin asiakirjoihin.

Yhdistyneen kuningaskunnan GDPR-versio

Poikkeukset erityistilanteita varten

1. Jollei vuoden 17 lain 2018A §:n mukaisia ​​riittävyyttä koskevia säännöksiä tai 46 artiklan mukaisia ​​asianmukaisia ​​takeita, mukaan lukien sitovat yrityssäännöt, ei ole, henkilötietojen siirto tai joukko siirtoja kolmanteen maahan tai kansainväliselle järjestölle saa tapahtua vain jollakin seuraavista ehdoista:
• a) rekisteröity on nimenomaisesti suostunut ehdotettuun siirtoon sen jälkeen, kun hänelle on ilmoitettu tällaisten siirtojen mahdollisista riskeistä rekisteröidylle, koska riittävyyttä koskevaa päätöstä ja asianmukaisia ​​suojatoimia ei ole tehty;
• b) siirto on tarpeen rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täyttämiseksi tai rekisteröidyn pyynnöstä toteutettujen sopimusta edeltävien toimenpiteiden toteuttamiseksi;
• c) siirto on tarpeen rekisteröidyn edun mukaisesti rekisterinpitäjän ja toisen luonnollisen henkilön tai oikeushenkilön välillä tehdyn sopimuksen tekemiseksi tai täytäntöönpanemiseksi;
• d) siirto on tarpeen yleistä etua koskevista tärkeistä syistä;
• e) siirto on tarpeen oikeudellisten vaatimusten esittämiseksi, esittämiseksi tai puolustamiseksi;
• f) siirto on tarpeen rekisteröidyn tai muiden henkilöiden elintärkeiden etujen suojelemiseksi, jos rekisteröity on fyysisesti tai oikeudellisesti kyvytön antamaan suostumustaan;
• g) siirto tapahtuu rekisteristä, jonka tarkoituksena on kansallisen lainsäädännön mukaan antaa tietoa yleisölle ja joka on avoin joko yleisölle tai kenelle tahansa henkilölle, joka voi osoittaa oikeutetun edun, mutta vain siltä osin kuin kansallisessa lainsäädännössä asetetut edellytykset kuulemiselle täyttyvät kyseisessä tapauksessa.

Jos siirto ei voinut perustua 45 tai 46 artiklan säännökseen, mukaan lukien sitovia yhtiösääntöjä koskevat säännökset, eikä mitään tämän kohdan ensimmäisessä alakohdassa tarkoitetuista erityistilanteista poikkeuksista voida soveltaa, siirto kolmannelle maa tai kansainvälinen järjestö voi tapahtua vain, jos siirto ei ole toistuvaa, koskee vain rajoitettua määrää rekisteröityjä, on tarpeen rekisterinpitäjän tavoittelemien pakottavien oikeutettujen etujen vuoksi, joita eivät syrjäytä rekisterinpitäjän edut tai oikeudet ja vapaudet. rekisteröity ja rekisterinpitäjä on arvioinut kaikki tietojen siirtoon liittyvät olosuhteet ja tämän arvion perusteella antanut asianmukaiset takeet henkilötietojen suojaamiseksi. Rekisterinpitäjä ilmoittaa siirrosta komissaarille. Rekisterinpitäjän on 13 ja 14 artiklassa tarkoitettujen tietojen toimittamisen lisäksi ilmoitettava rekisteröidylle siirrosta ja vaadituista pakottavista oikeutetuista eduista.

2. Edellä 1 kohdan ensimmäisen alakohdan g alakohdan mukainen siirto ei saa koskea kaikkia rekisteriin sisältyviä henkilötietoja tai kokonaisia ​​henkilötietojen luokkia. Jos rekisteri on tarkoitettu sellaisten henkilöiden käyttöön, joilla on oikeutettu etu, siirto suoritetaan vain näiden henkilöiden pyynnöstä tai jos he ovat vastaanottajia.
3. Edellä 1 kohdan ensimmäisen alakohdan a, b ja c alakohtaa ja sen toista alakohtaa ei sovelleta toimiin, joita viranomaiset toteuttavat käyttäessään julkista valtaansa.
4. Edellä 1 kohdan ensimmäisen alakohdan d alakohdassa tarkoitetun yleisen edun on oltava kansallisessa lainsäädännössä tunnustettu yleinen etu (joko vuoden 18 lain 1 §:n 2018 momentin mukaisissa määräyksissä tai muuten).
5. Tähän artiklaan ja 46 §:ään sovelletaan vuoden 18 lain 2 §:n 2018 momentin mukaisia ​​rajoituksia.
6. Rekisterinpitäjän tai käsittelijän on dokumentoitava arviointi sekä tämän artiklan 1 kohdan toisessa alakohdassa tarkoitetut asianmukaiset suojatoimet 30 artiklassa tarkoitettuihin asiakirjoihin.

Tekninen kommentti

GDPR-asetuksen 49 artiklan poikkeuksia voidaan soveltaa useisiin keskeisiin tilanteisiin:

1. Kun rekisteröidyt ovat antaneet suostumuksensa tietojensa siirtämiseen.
2. Tekniset vaatimukset, joiden avulla organisaatio voi suorittaa sopimusvelvoitteensa rekisteröityä kohtaan.
3. Kaikki siirrot, jotka suoritetaan yleisen edun nimissä (vaikkakin tällaisia ​​siirtoja koskevista rajoituksista on erillinen luettelo).
4. Toimet, jotka suojelevat rekisteröityjen "tärkeitä etuja", mutta vain silloin, kun rekisteröity on fyysisesti kyvytön antamaan suostumustaan ​​organisaatiolle.
5. Kaikki siirrot, jotka suoritetaan julkisesta rekisteristä.
6. Kun rekisterinpitäjällä on "pakottavia oikeutettuja etuja".

ISO 27701:n lauseke 7.5.1 (Tunnista lainkäyttöalueiden välisen Pii-siirron peruste) ja EU:n GDPR:n artikla 49

Tässä osiossa puhumme GDPR-artikkeleista 49 (1) (a), 49 (1) (b), 49 (1) (c), 49 (1) (d), 49 (1) (e), 49 ( 1) (f), 49 (1) (g), 49 (2), 49 (3), 49 (4), 49 (5) ja 49 (6)

Ajoittain saattaa ilmetä tarve siirtää henkilökohtaisia ​​tunnistetietoja kahden erillisen lainkäyttöalueen välillä. Kun näin tapahtuu, organisaatioiden tulee perustella ja dokumentoida sen tarve.

Alueelliset säädökset ja lait vaihtelevat sen mukaan, mistä tiedot ovat peräisin ja mihin ne aiotaan siirtää.

Organisaatioiden tulee ottaa huomioon kaikki asiaankuuluvat lait, puitteet ja määräykset aina, kun niiden on siirrettävä tietoja lainkäyttöalueiden välillä, mukaan lukien nimetyn valvontaviranomaisen käyttö.

ISO 27701 -lauseke 8.5.1 (Perusta henkilökohtaisten tunnistetietojen siirtämiselle lainkäyttöalueiden välillä) ja EU:n GDPR:n artikla 49

Tässä osiossa puhumme GDPR-artikkeleista 49 (1) (a), 49 (1) (b), 49 (1) (c), 49 (1) (d), 49 (1) (e), 49 ( 1) (f), 49 (1) (g), 49 (2), 49 (3), 49 (4), 49 (5) ja 49 (6)

Aina kun henkilökohtaisia ​​tunnistetietoja siirretään lainkäyttöalueiden välillä, organisaatioiden on ilmoitettava asiakkaalle taustalla olevasta tarpeesta ajoissa.

Siirtokohteita voivat olla:

• Toimittajat.
• Kolmannet osapuolet.
• Eri maat.
• Kansainväliset järjestöt.

Organisaatioiden tulee ilmoittaa asiakkaalle hyvissä ajoin kaikista siirroista, jotta voidaan esittää vastalauseita ja tietyissä olosuhteissa tehdä irtisanomispyyntöjä.

Organisaatioiden ei aina tarvitse ilmoittaa asiakkaille tiedonsiirtojärjestelyjen muutoksista, mutta sopimuksissa tulee selkeästi hahmotella olosuhteet, joissa ne tapahtuvat. do pitää antaa ennakkovaroitus.

Siirrettäessä henkilökohtaisia ​​tunnistetietoja toiseen maahan organisaatioiden tulee harkita virallisia mekanismeja, kuten:

1. Mallisopimuslausekkeet.
2. Yrityksen sitovat säännöt.
3. Rajat ylittävät tietosuojasäännöt.

Hakemisto linkitetyistä EU:n GDPR-artikkeleista ja ISO 27701 -lausekkeista

Miten ISMS.online Ohje

ISMS.online-alusta sisältää sisäänrakennetut ohjeet jokaisessa vaiheessa yhdistettynä 'Ota käyttöön, mukauta, lisää' -toteutustapaamme, joten GDPR-vaatimustenmukaisuuden osoittaminen on huomattavasti helpompaa. Hyödynnät myös useita tehokkaita aikaa säästäviä ominaisuuksia.

Kartoittamalla työsi useiden standardien ja kehysten pohjalta, intuitiivinen alustamme helpottaa useiden tietoturva- ja tietosuojatavoitteiden saavuttamista.

Lisätietoja: ajoittamalla demo.