Artikel 49 AVG-naleving: beste praktijken voor bedrijven
GDPR Artikel 49 bevat een lijst met afwijkingen – dat wil zeggen uitzonderingen – die organisaties kunnen toepassen op internationale gegevensoverdrachten naar derde landen, wanneer geen enkel ander deel van Hoofdstuk V AVG van toepassing is.
AVG Artikel 49 Wettelijke tekst
EU AVG-versie
Afwijkingen voor specifieke situaties
- Bij ontstentenis van een adequaatheidsbesluit overeenkomstig artikel 45, lid 3, of van passende waarborgen overeenkomstig artikel 46, met inbegrip van bindende bedrijfsregels, vindt een overdracht of een reeks overdrachten van persoonsgegevens aan een derde land of een internationale organisatie plaats. alleen onder een van de volgende voorwaarden:
- a) de betrokkene heeft expliciet ingestemd met de voorgestelde doorgifte, nadat hij op de hoogte is gesteld van de mogelijke risico's van dergelijke doorgiften voor de betrokkene als gevolg van het ontbreken van een adequaatheidsbesluit en passende waarborgen;
- (b) de overdracht is noodzakelijk voor de uitvoering van een contract tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van precontractuele maatregelen die op verzoek van de betrokkene zijn genomen;
- (c) de doorgifte is noodzakelijk voor het sluiten of uitvoeren van een contract dat in het belang van de betrokkene is gesloten tussen de verantwoordelijke voor de verwerking en een andere natuurlijke of rechtspersoon;
- d) de doorgifte is noodzakelijk om belangrijke redenen van openbaar belang;
- (e) de overdracht is noodzakelijk voor het instellen, uitoefenen of verdedigen van juridische claims;
- f) de doorgifte is noodzakelijk om de vitale belangen van de betrokkene of van andere personen te beschermen, wanneer de betrokkene fysiek of juridisch niet in staat is toestemming te geven;
- g) de doorgifte vindt plaats vanuit een register dat volgens de wetgeving van de Unie of de lidstaten bedoeld is om informatie aan het publiek te verstrekken en dat openstaat voor raadpleging door het publiek in het algemeen of door iedere persoon die een legitiem belang kan aantonen, maar alleen voor zover in het specifieke geval aan de door de wetgeving van de Unie of de lidstaten gestelde voorwaarden voor overleg is voldaan.
Indien een overdracht niet kan worden gebaseerd op een bepaling in artikel 45 of 46, met inbegrip van de bepalingen inzake bindende bedrijfsregels, en geen van de afwijkingen voor een specifieke situatie bedoeld in de eerste alinea van dit lid van toepassing is, kan een overdracht aan een derde land of een internationale organisatie mag alleen plaatsvinden als de doorgifte niet repetitief is, slechts een beperkt aantal betrokkenen betreft, noodzakelijk is voor de doeleinden van dwingende legitieme belangen die door de verwerkingsverantwoordelijke worden nagestreefd en die niet terzijde worden geschoven door de belangen of rechten en vrijheden van de betrokkene, en de verantwoordelijke heeft alle omstandigheden rond de gegevensdoorgifte beoordeeld en op basis van die beoordeling passende waarborgen geboden met betrekking tot de bescherming van persoonsgegevens. De verwerkingsverantwoordelijke brengt de toezichthoudende autoriteit op de hoogte van de overdracht. De verwerkingsverantwoordelijke informeert, naast het verstrekken van de in de artikelen 13 en 14 bedoelde informatie, de betrokkene over de doorgifte en over de dwingende legitieme belangen die worden nagestreefd.
- Een doorgifte overeenkomstig lid 1, eerste alinea, onder g), heeft geen betrekking op het geheel van de persoonsgegevens of op gehele categorieën van persoonsgegevens die in het register zijn opgenomen. Wanneer het register bedoeld is voor raadpleging door personen met een legitiem belang, vindt de overdracht uitsluitend plaats op verzoek van deze personen of indien zij de ontvangers zullen zijn.
- De punten a), b) en c) van de eerste alinea van lid 1 en de tweede alinea daarvan zijn niet van toepassing op activiteiten die door overheidsinstanties worden verricht bij de uitoefening van hun publieke bevoegdheden.
- Het in lid 1, eerste alinea, onder d), bedoelde openbaar belang wordt erkend in het recht van de Unie of in het recht van de lidstaat waaraan de voor de verwerking verantwoordelijke onderworpen is.
- Bij ontstentenis van een adequaatheidsbesluit kan het recht van de Unie of de lidstaten, om belangrijke redenen van openbaar belang, uitdrukkelijk grenzen stellen aan de overdracht van specifieke categorieën persoonsgegevens aan een derde land of een internationale organisatie. De lidstaten stellen de Commissie van dergelijke bepalingen in kennis.
- De verwerkingsverantwoordelijke of verwerker documenteert de beoordeling en de passende waarborgen als bedoeld in lid 1, tweede alinea, van dit artikel in de in artikel 30 bedoelde administratie.
Britse AVG-versie
Afwijkingen voor specifieke situaties
- Bij gebrek aan adequaatheidsregels op grond van artikel 17A van de Wet van 2018, of van passende waarborgen op grond van artikel 46, inclusief bindende bedrijfsregels, mag een overdracht of een reeks overdrachten van persoonsgegevens aan een derde land of een internationale organisatie alleen plaatsvinden op een van de volgende voorwaarden:
- a) de betrokkene heeft expliciet ingestemd met de voorgestelde doorgifte, nadat hij op de hoogte is gesteld van de mogelijke risico's van dergelijke doorgiften voor de betrokkene als gevolg van het ontbreken van een adequaatheidsbesluit en passende waarborgen;
- (b) de overdracht is noodzakelijk voor de uitvoering van een contract tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van precontractuele maatregelen die op verzoek van de betrokkene zijn genomen;
- (c) de doorgifte is noodzakelijk voor het sluiten of uitvoeren van een contract dat in het belang van de betrokkene is gesloten tussen de verantwoordelijke voor de verwerking en een andere natuurlijke of rechtspersoon;
- d) de doorgifte is noodzakelijk om belangrijke redenen van openbaar belang;
- (e) de overdracht is noodzakelijk voor het instellen, uitoefenen of verdedigen van juridische claims;
- f) de doorgifte is noodzakelijk om de vitale belangen van de betrokkene of van andere personen te beschermen, wanneer de betrokkene fysiek of juridisch niet in staat is toestemming te geven;
- g) de overdracht vindt plaats vanuit een register dat volgens het nationale recht bedoeld is om informatie aan het publiek te verstrekken en dat openstaat voor raadpleging, hetzij door het publiek in het algemeen, hetzij door iedere persoon die een legitiem belang kan aantonen, maar alleen aan de voor zover in het specifieke geval aan de door het nationale recht gestelde voorwaarden voor overleg is voldaan.
Indien een overdracht niet kan worden gebaseerd op een bepaling in artikel 45 of 46, met inbegrip van de bepalingen inzake bindende bedrijfsregels, en geen van de afwijkingen voor een specifieke situatie bedoeld in de eerste alinea van dit lid van toepassing is, kan een overdracht aan een derde land of een internationale organisatie mag alleen plaatsvinden als de doorgifte niet repetitief is, slechts een beperkt aantal betrokkenen betreft, noodzakelijk is voor de doeleinden van dwingende legitieme belangen die door de verwerkingsverantwoordelijke worden nagestreefd en die niet terzijde worden geschoven door de belangen of rechten en vrijheden van de betrokkene, en de verantwoordelijke heeft alle omstandigheden rond de gegevensdoorgifte beoordeeld en op basis van die beoordeling passende waarborgen geboden met betrekking tot de bescherming van persoonsgegevens. De verwerkingsverantwoordelijke brengt de commissaris op de hoogte van de overdracht. De verwerkingsverantwoordelijke informeert, naast het verstrekken van de in de artikelen 13 en 14 bedoelde informatie, de betrokkene over de doorgifte en over de dwingende legitieme belangen die worden nagestreefd.
- Een doorgifte overeenkomstig lid 1, eerste alinea, onder g), heeft geen betrekking op het geheel van de persoonsgegevens of op gehele categorieën van persoonsgegevens die in het register zijn opgenomen. Wanneer het register bedoeld is voor raadpleging door personen met een legitiem belang, vindt de overdracht uitsluitend plaats op verzoek van deze personen of indien zij de ontvangers zullen zijn.
- De punten a), b) en c) van de eerste alinea van lid 1 en de tweede alinea daarvan zijn niet van toepassing op activiteiten die door overheidsinstanties worden verricht bij de uitoefening van hun publieke bevoegdheden.
- Het in lid 1, eerste alinea, punt d), bedoelde openbaar belang moet een openbaar belang zijn dat wordt erkend in het nationale recht (hetzij in regelgeving krachtens artikel 18, lid 1, van de wet van 2018, hetzij anderszins).
- Dit artikel en artikel 46 zijn onderworpen aan beperkingen in de regelgeving op grond van artikel 18, lid 2, van de wet van 2018.
- De verwerkingsverantwoordelijke of verwerker documenteert de beoordeling en de passende waarborgen als bedoeld in lid 1, tweede alinea, van dit artikel in de in artikel 30 bedoelde administratie.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Technisch commentaar
De afwijkingen binnen artikel 49 van de AVG zijn van toepassing op verschillende belangrijke situaties:
- Wanneer betrokkenen hebben ingestemd met de overdracht van hun gegevens.
- Technische vereisten waarmee de organisatie haar contractuele verplichtingen jegens een betrokkene kan nakomen.
- Elke overdracht die wordt uitgevoerd in het algemeen belang (zij het met een aparte lijst van beperkingen op dergelijke overdrachten).
- Acties die de ‘vitale belangen’ van betrokkenen beschermen, maar alleen als de betrokkene fysiek niet in staat is toestemming te geven aan de organisatie.
- Alle overdrachten die worden uitgevoerd vanuit een openbaar register.
- Wanneer de verantwoordelijke voor de verwerking ‘dwingende legitieme belangen’ bezit.
ISO 27701 Clausule 7.5.1 (Identificeer de basis voor Pii-overdracht tussen rechtsgebieden) en EU AVG Artikel 49
In deze sectie praten we over AVG Artikelen 49 (1)(a), 49 (1)(b), 49 (1)(c), 49 (1)(d), 49 (1)(e), 49 ( 1)(f), 49 (1)(g), 49 (2), 49 (3), 49 (4), 49 (5) en 49 (6)
Van tijd tot tijd kan de noodzaak ontstaan om PII tussen twee verschillende rechtsgebieden over te dragen. Wanneer dit gebeurt, moeten organisaties de noodzaak daartoe rechtvaardigen en documenteren.
Regionale regelgevende en wettelijke regels variëren afhankelijk van waar de gegevens vandaan komen en waar deze naartoe worden overgedragen.
Organisaties moeten rekening houden met alle relevante wetten, kaders en regelgeving wanneer zij gegevens tussen rechtsgebieden moeten overdragen, inclusief het gebruik van een aangewezen toezichthoudende autoriteit.
ISO 27701 Clausule 8.5.1 (Basis voor PII-overdracht tussen rechtsgebieden) en EU AVG Artikel 49
In deze sectie praten we over AVG Artikelen 49 (1)(a), 49 (1)(b), 49 (1)(c), 49 (1)(d), 49 (1)(e), 49 ( 1)(f), 49 (1)(g), 49 (2), 49 (3), 49 (4), 49 (5) en 49 (6)
Wanneer PII tussen rechtsgebieden moet worden overgedragen, moeten organisaties de klant tijdig informeren over de onderliggende noodzaak om dit te doen.
Transferbestemmingen kunnen zijn:
- Leveranciers.
- Derden.
- Verschillende landen.
- Internationale organisaties.
Organisaties moeten de klant voldoende op de hoogte stellen van eventuele overdrachten, zodat er bezwaar kan worden gemaakt en, in bepaalde omstandigheden, beëindigingsverzoeken kunnen worden ingediend.
Organisaties hoeven klanten niet altijd te informeren over wijzigingen in hun regelingen voor gegevensoverdracht, maar contracten moeten duidelijk de omstandigheden schetsen waarin zij do moeten vooraf waarschuwen.
Bij het overdragen van PII naar een ander land moeten organisaties rekening houden met officiële mechanismen, zoals:
- Modelcontractclausules.
- Bindende bedrijfsregels.
- Grensoverschrijdende privacyregels.
Index van gekoppelde EU AVG-artikelen en ISO 27701-clausules
| AVG-artikel | ISO 27701-clausule | ISO 27701 Ondersteunende clausules |
|---|---|---|
| EU AVG Artikelen 49 (1)(a) tot 49 (6) | ISO 27701 7.5.1 | Geen |
| EU AVG Artikelen 49 (1)(a) tot 49 (6) | ISO 27701 8.5.1 | Geen |
Hoe ISMS.online helpt
Het ISMS.online-platform bevat ingebouwde begeleiding bij elke stap, gecombineerd met onze 'Adopt, Adapt, Add'-implementatieaanpak, zodat het aantonen van uw AVG-compliance aanzienlijk eenvoudiger is. U profiteert ook van een reeks krachtige tijdbesparende functies.
Door uw werk in meerdere standaarden en raamwerken in kaart te brengen, maakt ons intuïtieve platform het gemakkelijk om meerdere doelstellingen op het gebied van informatiebeveiliging en gegevensprivacy te bereiken.
Meer informatie via een demo inplannen.
