BBP Artikel 46 maak voorsiening vir die oordrag van data na 'n ander land of internasionale organisasie sonder 'n 'toereikendheidsbesluit' (sien Artikel 45).
Die meerderheid lande wat data van die VK of die EU kan ontvang, het nie hul eie databeskermingsraamwerke in plek nie, as sodanig speel artikel 46 'n belangrike rol in die beveiliging van die regte en vryhede van genaturaliseerde burgers in 'n globale ekonomie.
Oordragte Onderhewig aan toepaslike voorsorgmaatreëls
- In die afwesigheid van 'n besluit ingevolge artikel 45(3), kan 'n kontroleerder of verwerker persoonlike data na 'n derde land of 'n internasionale organisasie oordra slegs indien die kontroleerder of verwerker toepaslike voorsorgmaatreëls verskaf het, en op voorwaarde dat afdwingbare datasubjekregte en effektiewe regsmiddels vir datasubjekte beskikbaar is.
- Daar kan voorsiening gemaak word vir die toepaslike voorsorgmaatreëls waarna in paragraaf 1 verwys word, sonder dat enige spesifieke magtiging van 'n toesighoudende owerheid vereis word, deur:
- (a) 'n wetlik bindende en afdwingbare instrument tussen openbare owerhede of liggame;
- (b) bindende korporatiewe reëls ooreenkomstig Artikel 47;
- (c) standaarddatabeskermingsklousules wat deur die Kommissie aangeneem is ooreenkomstig die ondersoekprosedure waarna in Artikel 93(2) verwys word;
- (d) standaarddatabeskermingsklousules wat deur 'n toesighoudende owerheid aangeneem is en deur die Kommissie goedgekeur is ooreenkomstig die ondersoekprosedure waarna in Artikel 93(2) verwys word;
- (e) 'n goedgekeurde gedragskode ingevolge Artikel 40 tesame met bindende en afdwingbare verbintenisse van die kontroleerder of verwerker in die derde land om die toepaslike voorsorgmaatreëls toe te pas, insluitend met betrekking tot datasubjekte se regte; of
- (f) 'n goedgekeurde sertifiseringsmeganisme ingevolge Artikel 42 tesame met bindende en afdwingbare verpligtinge van die kontroleerder of verwerker in die derde land om die toepaslike voorsorgmaatreëls toe te pas, insluitend met betrekking tot datasubjekte se regte.
- Onderhewig aan die magtiging van die bevoegde toesighoudende owerheid, kan die toepaslike voorsorgmaatreëls waarna in paragraaf 1 verwys word, ook voorsien word, veral deur:
- (a) kontraktuele klousules tussen die kontroleerder of verwerker en die kontroleerder, verwerker of die ontvanger van die persoonlike data in die derde land of internasionale organisasie; of
- (b) bepalings wat in administratiewe reëlings tussen openbare owerhede of liggame ingevoeg moet word wat afdwingbare en effektiewe datasubjekregte insluit.
- Die toesighoudende owerheid sal die konsekwentheidsmeganisme waarna in Artikel 63 verwys word, toepas in die gevalle waarna in paragraaf 3 van hierdie Artikel verwys word.
- Magtigings deur 'n lidstaat of toesighoudende owerheid op grond van artikel 26(2) van Richtlijn 95/46/EG bly geldig totdat dit gewysig, vervang of herroep word, indien nodig, deur daardie toesighoudende owerheid. Besluite wat deur die Kommissie aangeneem is op grond van Artikel 26(4) van Richtlijn 95/46/EG bly van krag totdat dit gewysig, vervang of herroep word, indien nodig, deur 'n Kommissie-besluit wat in ooreenstemming met paragraaf 2 van hierdie Artikel aangeneem is.
Oordragte Onderhewig aan toepaslike voorsorgmaatreëls
- In die afwesigheid van toereikendheidsregulasies kragtens artikel 17A van die 2018-wet, kan 'n kontroleerder of verwerker persoonlike data na 'n derde land of 'n internasionale organisasie oordra slegs indien die kontroleerder of verwerker toepaslike voorsorgmaatreëls verskaf het, en op voorwaarde dat afdwingbare datasubjekregte en effektiewe regsmiddels vir datasubjekte beskikbaar is.
- Daar kan voorsiening gemaak word vir die toepaslike voorsorgmaatreëls waarna in paragraaf 1 verwys word, sonder dat enige spesifieke magtiging van die Kommissaris vereis word, deur:
- (a) 'n wetlik bindende en afdwingbare instrument tussen openbare owerhede of liggame;
- (b) bindende korporatiewe reëls ooreenkomstig Artikel 47;
- (c) standaard databeskermingsklousules gespesifiseer in regulasies gemaak deur die Staatsekretaris kragtens artikel 17C van die 2018 Wet en vir die tyd van krag;
- (d) standaard databeskermingsklousules gespesifiseer in 'n dokument uitgereik (en nie teruggetrek nie) deur die Kommissaris kragtens artikel 119A van die 2018 Wet en vir die tyd van krag;
- (e) 'n goedgekeurde gedragskode ingevolge Artikel 40 tesame met bindende en afdwingbare verbintenisse van die kontroleerder of verwerker in die derde land om die toepaslike voorsorgmaatreëls toe te pas, insluitend met betrekking tot datasubjekte se regte; of
- (f) 'n goedgekeurde sertifiseringsmeganisme ingevolge Artikel 42 tesame met bindende en afdwingbare verpligtinge van die kontroleerder of verwerker in die derde land om die toepaslike voorsorgmaatreëls toe te pas, insluitend met betrekking tot datasubjekte se regte.
- Met magtiging van die Kommissaris kan daar ook voorsiening gemaak word vir die toepaslike voorsorgmaatreëls waarna in paragraaf 1 verwys word, veral deur:
- (a) kontraktuele klousules tussen die kontroleerder of verwerker en die kontroleerder, verwerker of die ontvanger van die persoonlike data in die derde land of internasionale organisasie; of
- (b) bepalings wat in administratiewe reëlings tussen openbare owerhede of liggame ingevoeg moet word wat afdwingbare en effektiewe datasubjekregte insluit.
Met ISMS.online is uitdagings rondom weergawebeheer, beleidsgoedkeuring en beleiddeel iets van die verlede.
Die bespreking oor die oordrag van persoonlike data na lande sonder 'n gepaardgaande toereikendheidsraamwerk is oor 6 sleutelareas versprei:
In hierdie afdeling praat ons oor GDPR Artikels 46 (1), 46 (2)(a), 46 (2)(b), 46 (2)(c), 46 (2)(d), 46 (2)( e), 46 (2)(f), 46 (3)(a), 46 (3)(b), 46 (4), 46 (5)
Streeksregulerende en wetlike reëls verskil na gelang van waar die data vandaan kom, en waarheen dit oorgedra gaan word.
Organisasies moet alle relevante wette, raamwerke en regulasies in ag neem wanneer hulle data tussen jurisdiksies moet oordra, insluitend die gebruik van 'n aangewese toesighoudende owerheid.
In hierdie afdeling praat ons oor GDPR Artikels 46 (1), 46 (2)(a), 46 (2)(b), 46 (2)(c), 46 (2)(d), 46 (2)( e), 46 (2)(f), 46 (3)(a) en 46 (3)(b)
Kliënte moet op enige gegewe tyd 'n lys van potensiële ontvangerlande en organisasies kan sien, insluitend 'n log van alle lande wat betrokke is by PII-subkontraktering (sien ISO 27701-klousule 8.5.1).
In sekere omstandighede sal organisasies nie altyd vooraf kan bekend maak waar oordragversoeke afkomstig is nie – veral wat gevalle van strafregtelike verrigtinge behels. Dit is onvermydelik, en dit behoort die organisasie se prioriteit te wees om die integriteit van 'n wetstoepassingsoperasie te handhaaf (sien ISO 27701 klousules 7.5.1, 8.5.4 en 8.5.5).
| GDPR artikel | ISO 27701-klousule | ISO 27701 Ondersteunende klousules |
|---|---|---|
| EU GDPR artikels 46 (1) tot 46 (5) | ISO 27701 7.5.1 | Geen |
| EU GDPR Artikels 46 (1) tot 46 (3)(b) | ISO 27701 8.5.1 | ISO 27701 7.5.1 ISO 27701 8.5.4 ISO 27701 8.5.5 |
Ons voorsien u van 'n omgewing wat vooraf gebou is om u benadering tot die beskerming van u Europese en Britse kliëntedata te beskryf en te demonstreer op 'n manier wat naatloos by u bestaande bestuurstelsel inpas.
Met ISMS.online is dit maklik vir jou om reguit in die pad na GDPR-voldoening te spring en om maklik 'n vlak van beskerming te demonstreer wat verder strek as 'redelik', alles in een veilige, altyd-aan-plek waartoe jy toegang kan verkry vanaf enige plek.
Vind meer uit deur skeduleer 'n demo.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
