Artikel 49 GDPR Voldoening: Beste Praktyke vir Besighede
BBP Artikel 49 bevat 'n lys van afwykings – dws uitsonderings – wat organisasies kan toepas op enige internasionale data-oordragte na derdepartylande, wanneer geen ander deel van Hoofstuk V GDPR van toepassing is nie.
GDPR Artikel 49 Regstekst
EU GDPR weergawe
Afwykings vir spesifieke situasies
- In die afwesigheid van 'n toereikendheidsbesluit ingevolge artikel 45(3), of van toepaslike voorsorgmaatreëls ingevolge artikel 46, insluitend bindende korporatiewe reëls, sal 'n oordrag of 'n stel oordragte van persoonlike data na 'n derde land of 'n internasionale organisasie plaasvind slegs op een van die volgende voorwaardes:
- (a) die datasubjek uitdruklik tot die voorgestelde oordrag ingestem het, nadat hy ingelig is oor die moontlike risiko's van sodanige oordragte vir die datasubjek as gevolg van die afwesigheid van 'n toereikendheidsbesluit en toepaslike voorsorgmaatreëls;
- (b) die oordrag nodig is vir die uitvoering van 'n kontrak tussen die datasubjek en die kontroleerder of die implementering van prekontraktuele maatreëls wat op die datasubjek se versoek geneem is;
- (c) die oordrag is nodig vir die sluiting of uitvoering van 'n kontrak wat in die belang van die datasubjek tussen die kontroleerder en 'n ander natuurlike of regspersoon gesluit is;
- (d) die oordrag nodig is vir belangrike redes van openbare belang;
- (e) die oordrag nodig is vir die vestiging, uitoefening of verdediging van regseise;
- (f) die oordrag nodig is om die lewensbelangrike belange van die datasubjek of van ander persone te beskerm, waar die datasubjek fisies of wetlik onbevoeg is om toestemming te gee;
- (g) die oordrag geskied vanaf 'n register wat volgens die wet van die Unie of Lidstaat bedoel is om inligting aan die publiek te verskaf en wat oop is vir raadpleging deur die publiek in die algemeen of deur enige persoon wat 'n regmatige belang kan aantoon, maar slegs in die mate waarin die voorwaardes wat deur die Unie- of Lidstaatwetgewing vir konsultasie neergelê word in die spesifieke geval nagekom word.
Waar 'n oordrag nie op 'n bepaling in artikel 45 of 46 gebaseer kon word nie, insluitend die bepalings oor bindende korporatiewe reëls, en geen van die afwykings vir 'n spesifieke situasie bedoel in die eerste subparagraaf van hierdie paragraaf van toepassing is nie, is 'n oordrag na 'n derde land of 'n internasionale organisasie mag slegs plaasvind as die oordrag nie herhalend is nie, slegs 'n beperkte aantal datasubjekte aangaan, nodig is vir die doeleindes van dwingende wettige belange wat deur die kontroleerder nagestreef word wat nie deur die belange of regte en vryhede van die datasubjek, en die kontroleerder het al die omstandighede rondom die data-oordrag beoordeel en het op grond van daardie assessering geskikte voorsorgmaatreëls met betrekking tot die beskerming van persoonlike data verskaf. Die kontroleerder sal die toesighoudende owerheid van die oordrag in kennis stel. Die kontroleerder sal, benewens die verskaffing van die inligting waarna in artikels 13 en 14 verwys word, die datasubjek inlig oor die oordrag en oor die dwingende wettige belange wat nagestreef word.
- 'n Oordrag ingevolge punt (g) van die eerste subparagraaf van paragraaf 1 sal nie die geheel van die persoonlike data of hele kategorieë van die persoonlike data wat in die register vervat is, behels nie. Waar die register bedoel is vir raadpleging deur persone met 'n regmatige belang, sal die oordrag slegs op versoek van daardie persone gedoen word of indien hulle die ontvangers moet wees.
- Punte (a), (b) en (c) van die eerste subparagraaf van paragraaf 1 en die tweede subparagraaf daarvan is nie van toepassing op aktiwiteite wat deur openbare owerhede in die uitoefening van hul openbare bevoegdhede uitgevoer word nie.
- Die openbare belang waarna in punt (d) van die eerste subparagraaf van paragraaf 1 verwys word, word erken in die Uniereg of in die wet van die lidstaat waaraan die kontroleerder onderworpe is.
- In die afwesigheid van 'n toereikendheidsbesluit, kan Unie- of Lidstaatreg, om belangrike redes van openbare belang, uitdruklik perke stel op die oordrag van spesifieke kategorieë persoonlike data na 'n derde land of 'n internasionale organisasie. Lidstate moet sodanige bepalings aan die Kommissie in kennis stel.
- Die kontroleerder of verwerker moet die assessering sowel as die geskikte voorsorgmaatreëls in die tweede paragraaf van paragraaf 1 van hierdie Artikel in die rekords waarna in Artikel 30 verwys word, dokumenteer.
Britse GDPR-weergawe
Afwykings vir spesifieke situasies
- In die afwesigheid van toereikendheidsregulasies kragtens artikel 17A van die 2018-wet, of van toepaslike voorsorgmaatreëls ingevolge artikel 46, insluitend bindende korporatiewe reëls, sal 'n oordrag of 'n stel oordragte van persoonlike data na 'n derde land of 'n internasionale organisasie slegs plaasvind. op een van die volgende voorwaardes:
- (a) die datasubjek uitdruklik tot die voorgestelde oordrag ingestem het, nadat hy ingelig is oor die moontlike risiko's van sodanige oordragte vir die datasubjek as gevolg van die afwesigheid van 'n toereikendheidsbesluit en toepaslike voorsorgmaatreëls;
- (b) die oordrag nodig is vir die uitvoering van 'n kontrak tussen die datasubjek en die kontroleerder of die implementering van prekontraktuele maatreëls wat op die datasubjek se versoek geneem is;
- (c) die oordrag is nodig vir die sluiting of uitvoering van 'n kontrak wat in die belang van die datasubjek tussen die kontroleerder en 'n ander natuurlike of regspersoon gesluit is;
- (d) die oordrag nodig is vir belangrike redes van openbare belang;
- (e) die oordrag nodig is vir die vestiging, uitoefening of verdediging van regseise;
- (f) die oordrag nodig is om die lewensbelangrike belange van die datasubjek of van ander persone te beskerm, waar die datasubjek fisies of wetlik onbevoeg is om toestemming te gee;
- (g) die oordrag geskied uit 'n register wat volgens binnelandse reg bedoel is om inligting aan die publiek te verskaf en wat oop is vir raadpleging hetsy deur die publiek in die algemeen of deur enige persoon wat 'n regmatige belang kan aantoon, maar slegs vir die mate dat die voorwaardes wat deur die nasionale reg vir konsultasie neergelê word in die besondere geval vervul word.
Waar 'n oordrag nie op 'n bepaling in artikel 45 of 46 gebaseer kon word nie, insluitend die bepalings oor bindende korporatiewe reëls, en geen van die afwykings vir 'n spesifieke situasie bedoel in die eerste subparagraaf van hierdie paragraaf van toepassing is nie, is 'n oordrag na 'n derde land of 'n internasionale organisasie mag slegs plaasvind as die oordrag nie herhalend is nie, slegs 'n beperkte aantal datasubjekte aangaan, nodig is vir die doeleindes van dwingende wettige belange wat deur die kontroleerder nagestreef word wat nie deur die belange of regte en vryhede van die datasubjek, en die kontroleerder het al die omstandighede rondom die data-oordrag beoordeel en het op grond van daardie assessering geskikte voorsorgmaatreëls met betrekking tot die beskerming van persoonlike data verskaf. Die kontroleerder sal die Kommissaris van die oordrag in kennis stel. Die kontroleerder sal, benewens die verskaffing van die inligting waarna in artikels 13 en 14 verwys word, die datasubjek inlig oor die oordrag en oor die dwingende wettige belange wat nagestreef word.
- 'n Oordrag ingevolge punt (g) van die eerste subparagraaf van paragraaf 1 sal nie die geheel van die persoonlike data of hele kategorieë van die persoonlike data wat in die register vervat is, behels nie. Waar die register bedoel is vir raadpleging deur persone met 'n regmatige belang, sal die oordrag slegs op versoek van daardie persone gedoen word of indien hulle die ontvangers moet wees.
- Punte (a), (b) en (c) van die eerste subparagraaf van paragraaf 1 en die tweede subparagraaf daarvan is nie van toepassing op aktiwiteite wat deur openbare owerhede in die uitoefening van hul openbare bevoegdhede uitgevoer word nie.
- Die openbare belang waarna in punt (d) van die eerste subparagraaf van paragraaf 1 verwys word, moet 'n openbare belang wees wat in die nasionale reg erken word (hetsy in regulasies kragtens artikel 18(1) van die 2018-wet of andersins).
- Hierdie artikel en artikel 46 is onderhewig aan beperkings in regulasies kragtens artikel 18(2) van die 2018-wet.
- Die kontroleerder of verwerker moet die assessering sowel as die geskikte voorsorgmaatreëls in die tweede paragraaf van paragraaf 1 van hierdie Artikel in die rekords waarna in Artikel 30 verwys word, dokumenteer.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Tegniese Kommentaar
Die afwykings binne GDPR Artikel 49 is van toepassing op verskeie sleutelsituasies:
- Wanneer datasubjekte ingestem het tot die oordrag van hul data.
- Tegniese vereistes wat die organisasie toelaat om sy kontraktuele verpligtinge teenoor 'n datasubjek na te kom.
- Enige oordrag wat in die openbare belang uitgevoer word (al is dit met 'n aparte lys van beperkings op sulke oordragte).
- Aksies wat die 'noodsaaklike belange' van datasubjekte beskerm, maar slegs waar die subjek fisies nie in staat is om toestemming aan die organisasie te gee nie.
- Enige oordragte wat vanaf 'n openbare register uitgevoer word.
- Waar die databeheerder 'dwingende wettige belange' besit.
ISO 27701 Klousule 7.5.1 (Identifiseer basis vir Pii-oordrag tussen jurisdiksies) en EU GDPR Artikel 49
In hierdie afdeling praat ons oor GDPR Artikels 49 (1)(a), 49 (1)(b), 49 (1)(c), 49 (1)(d), 49 (1)(e), 49 ( 1)(f), 49 (1)(g), 49 (2), 49 (3), 49 (4), 49 (5) en 49 (6)
Van tyd tot tyd kan die behoefte ontstaan om PII tussen twee afsonderlike jurisdiksies oor te dra. Wanneer dit gebeur, moet organisasies die behoefte om dit te doen regverdig en dokumenteer.
Streeksregulerende en wetlike reëls verskil na gelang van waar die data vandaan kom, en waarheen dit oorgedra gaan word.
Organisasies moet alle relevante wette, raamwerke en regulasies in ag neem wanneer hulle data tussen jurisdiksies moet oordra, insluitend die gebruik van 'n aangewese toesighoudende owerheid.
ISO 27701 Klousule 8.5.1 (Basis vir PII-oordrag tussen jurisdiksies) en EU GDPR Artikel 49
In hierdie afdeling praat ons oor GDPR Artikels 49 (1)(a), 49 (1)(b), 49 (1)(c), 49 (1)(d), 49 (1)(e), 49 ( 1)(f), 49 (1)(g), 49 (2), 49 (3), 49 (4), 49 (5) en 49 (6)
Wanneer PII ook al tussen jurisdiksies oorgedra moet word, moet organisasies die kliënt betyds inlig oor die onderliggende behoefte om dit te doen.
Oordragbestemmings kan die volgende insluit:
- Verskaffers.
- Derde partye.
- Verskillende lande.
- Internasionale organisasies.
Organisasies moet die kliënt voldoende kennis gee van enige oordragte, sodat besware geopper kan word en, in sekere omstandighede, beëindigingsversoeke gerig kan word.
Organisasies hoef nie altyd kliënte in te lig oor veranderinge aan hul data-oordragreëlings nie, maar kontrakte moet die omstandighede waarin hulle duidelik uiteensit. do vooraf waarskuwing moet gee.
Wanneer PII na 'n ander land oorgedra word, moet organisasies amptelike meganismes oorweeg, soos:
- Modelkontrakklousules.
- Bindende Korporatiewe Reëls.
- Oorgrens-privaatheidsreëls.
Indeks van gekoppelde EU GDPR-artikels en ISO 27701-klousules
| GDPR artikel | ISO 27701-klousule | ISO 27701 Ondersteunende klousules |
|---|---|---|
| EU GDPR Artikels 49 (1)(a) tot 49 (6) | ISO 27701 7.5.1 | Geen |
| EU GDPR Artikels 49 (1)(a) tot 49 (6) | ISO 27701 8.5.1 | Geen |
Hoe ISMS.online Help
Die ISMS.aanlyn-platform bevat ingeboude leiding by elke stap, gekombineer met ons 'Adopt, Adapt, Add'-implementeringsbenadering, sodat dit aansienlik makliker is om jou GDPR-voldoening te demonstreer. Jy sal ook baat by 'n reeks kragtige tydbesparende kenmerke.
Deur jou werk oor verskeie standaarde en raamwerke te karteer, maak ons intuïtiewe platform dit maklik om verskeie inligtingsekuriteit- en dataprivaatheidsdoelwitte te bereik.
Vind meer uit deur skeduleer 'n demo.
