GDPR Artikel 46 maakt de overdracht van gegevens naar een ander land of een andere internationale organisatie mogelijk zonder een ‘adequaatheidsbesluit’ (zie artikel 45).
De meerderheid van de landen die gegevens uit Groot-Brittannië of de EU kunnen ontvangen, beschikken niet over hun eigen gegevensbeschermingskaders. Als zodanig speelt artikel 46 een belangrijke rol bij het veiligstellen van de rechten en vrijheden van genaturaliseerde burgers in een wereldeconomie.
Overdrachten onderworpen aan passende waarborgen
- Bij ontstentenis van een besluit op grond van artikel 45, lid 3, mag een verwerkingsverantwoordelijke of verwerker persoonsgegevens alleen doorgeven aan een derde land of een internationale organisatie als de verwerkingsverantwoordelijke of verwerker passende waarborgen heeft geboden, en op voorwaarde dat afdwingbare rechten van de betrokkene en Er zijn effectieve rechtsmiddelen voor betrokkenen beschikbaar.
- De in lid 1 bedoelde passende waarborgen kunnen worden geboden, zonder dat daarvoor specifieke toestemming van een toezichthoudende autoriteit vereist is, door:
- a) een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties of -organen;
- b) bindende bedrijfsregels overeenkomstig artikel 47;
- c) standaardbepalingen inzake gegevensbescherming die door de Commissie zijn vastgesteld overeenkomstig de in artikel 93, lid 2, bedoelde onderzoeksprocedure;
- d) standaardbepalingen inzake gegevensbescherming die door een toezichthoudende autoriteit zijn vastgesteld en door de Commissie zijn goedgekeurd overeenkomstig de in artikel 93, lid 2, bedoelde onderzoeksprocedure;
- e) een goedgekeurde gedragscode overeenkomstig artikel 40, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of verwerker in het derde land om passende waarborgen toe te passen, onder meer met betrekking tot de rechten van de betrokkenen; of
- f) een goedgekeurd certificeringsmechanisme overeenkomstig artikel 42, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of verwerker in het derde land om passende waarborgen toe te passen, onder meer met betrekking tot de rechten van de betrokkenen.
- Onder voorbehoud van toestemming van de bevoegde toezichthoudende autoriteit kunnen de in lid 1 bedoelde passende waarborgen ook worden geboden, met name door:
- a) contractuele clausules tussen de verwerkingsverantwoordelijke of verwerker en de verwerkingsverantwoordelijke, verwerker of ontvanger van de persoonsgegevens in het derde land of de internationale organisatie; of
- b) bepalingen die moeten worden opgenomen in administratieve regelingen tussen overheidsinstanties of -organen, die afdwingbare en effectieve rechten van de betrokkenen omvatten.
- De toezichthoudende autoriteit past het in artikel 63 bedoelde consistentiemechanisme toe in de in lid 3 van dit artikel bedoelde gevallen.
- Vergunningen van een lidstaat of toezichthoudende autoriteit op grond van artikel 26, lid 2, van Richtlijn 95/46/EG blijven geldig totdat deze, indien nodig, door die toezichthoudende autoriteit worden gewijzigd, vervangen of ingetrokken. Beschikkingen die door de Commissie zijn aangenomen op basis van artikel 26, lid 4, van Richtlijn 95/46/EG blijven van kracht totdat zij, indien nodig, worden gewijzigd, vervangen of ingetrokken door een besluit van de Commissie dat is vastgesteld overeenkomstig lid 2 van dit artikel.
Overdrachten onderworpen aan passende waarborgen
- Bij gebrek aan adequaatheidsregelgeving op grond van artikel 17A van de Wet van 2018 mag een verwerkingsverantwoordelijke of verwerker alleen persoonsgegevens doorgeven aan een derde land of een internationale organisatie als de verwerkingsverantwoordelijke of verwerker passende waarborgen heeft geboden, en op voorwaarde dat afdwingbare rechten van betrokkenen en Er zijn effectieve rechtsmiddelen voor betrokkenen beschikbaar.
- In de in lid 1 bedoelde passende waarborgen kan worden voorzien, zonder dat enige specifieke toestemming van de commissaris vereist is, door:
- a) een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties of -organen;
- b) bindende bedrijfsregels overeenkomstig artikel 47;
- (c) standaardclausules inzake gegevensbescherming gespecificeerd in regelgeving opgesteld door de minister op grond van artikel 17C van de wet van 2018 en die momenteel van kracht zijn;
- (d) standaardclausules inzake gegevensbescherming gespecificeerd in een document uitgegeven (en niet ingetrokken) door de commissaris op grond van sectie 119A van de wet van 2018 en die momenteel van kracht zijn;
- e) een goedgekeurde gedragscode overeenkomstig artikel 40, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of verwerker in het derde land om passende waarborgen toe te passen, onder meer met betrekking tot de rechten van de betrokkenen; of
- f) een goedgekeurd certificeringsmechanisme overeenkomstig artikel 42, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of verwerker in het derde land om passende waarborgen toe te passen, onder meer met betrekking tot de rechten van de betrokkenen.
- Met toestemming van de commissaris kunnen de in lid 1 bedoelde passende waarborgen ook worden geboden, met name door:
- a) contractuele clausules tussen de verwerkingsverantwoordelijke of verwerker en de verwerkingsverantwoordelijke, verwerker of ontvanger van de persoonsgegevens in het derde land of de internationale organisatie; of
- b) bepalingen die moeten worden opgenomen in administratieve regelingen tussen overheidsinstanties of -organen, die afdwingbare en effectieve rechten van de betrokkenen omvatten.
Met ISMS.online behoren uitdagingen rondom versiebeheer, beleidsgoedkeuring en beleidsdeling tot het verleden.
De discussie over de overdracht van persoonsgegevens naar landen zonder een begeleidend adequaatheidskader is verspreid over zes belangrijke gebieden:
In deze sectie praten we over AVG Artikelen 46 (1), 46 (2)(a), 46 (2)(b), 46 (2)(c), 46 (2)(d), 46 (2)( e), 46 (2)(f), 46 (3)(a), 46 (3)(b), 46 (4), 46 (5)
Regionale regelgevende en wettelijke regels variëren afhankelijk van waar de gegevens vandaan komen en waar deze naartoe worden overgedragen.
Organisaties moeten rekening houden met alle relevante wetten, kaders en regelgeving wanneer zij gegevens tussen rechtsgebieden moeten overdragen, inclusief het gebruik van een aangewezen toezichthoudende autoriteit.
In deze sectie praten we over AVG Artikelen 46 (1), 46 (2)(a), 46 (2)(b), 46 (2)(c), 46 (2)(d), 46 (2)( e), 46 (2)(f), 46 (3)(a) en 46 (3)(b)
Klanten moeten op elk moment een lijst met potentiële ontvangende landen en organisaties kunnen bekijken, inclusief een logboek van alle landen die betrokken zijn bij de uitbesteding van PII (zie ISO 27701 clausule 8.5.1).
Onder bepaalde omstandigheden zullen organisaties niet altijd vooraf bekend kunnen maken waar overdrachtsverzoeken vandaan komen, vooral als het gaat om strafzaken. Dit is onvermijdelijk en het zou de prioriteit van de organisatie moeten zijn om de integriteit van een wetshandhavingsoperatie te handhaven (zie ISO 27701 clausules 7.5.1, 8.5.4 en 8.5.5).
| AVG-artikel | ISO 27701-clausule | ISO 27701 Ondersteunende clausules |
|---|---|---|
| EU AVG Artikelen 46 (1) tot 46 (5) | ISO 27701 7.5.1 | Geen |
| EU AVG Artikelen 46 (1) tot 46 (3)(b) | ISO 27701 8.5.1 | ISO 27701 7.5.1 ISO 27701 8.5.4 ISO 27701 8.5.5 |
Wij bieden u een omgeving die vooraf is gebouwd om uw aanpak voor het beschermen van uw Europese en Britse klantgegevens te beschrijven en te demonstreren op een manier die naadloos in uw bestaande beheersysteem past.
Met ISMS.online kunt u gemakkelijk direct aan de slag naar AVG-compliance en eenvoudig een beschermingsniveau aantonen dat verder gaat dan 'redelijk', en dat allemaal op één veilige, altijd beschikbare locatie waartoe u overal toegang hebt.
Meer informatie via een demo inplannen.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
