GDPR סעיף 46 מאפשר העברת נתונים למדינה אחרת או לארגון בינלאומי ללא 'החלטת נאותות' (ראה סעיף 45).
לרוב המדינות המסוגלות לקבל נתונים מבריטניה או מהאיחוד האירופי אין מסגרות משלהן להגנת מידע, כיוון שסעיף 46 ממלא תפקיד חשוב בהבטחת הזכויות והחירויות של אזרחים מתאזרחים בכלכלה גלובלית.
העברות כפופות לאמצעי הגנה מתאימים
- בהעדר החלטה לפי סעיף 45(3), בקר או מעבד רשאים להעביר נתונים אישיים למדינה שלישית או לארגון בינלאומי רק אם הבקר או המעבד סיפקו אמצעי הגנה מתאימים, ובתנאי שזכויות נושא הנתונים הניתנות לאכיפה. זמינים סעדים משפטיים יעילים עבור נושאי מידע.
- ניתן לקבוע את אמצעי ההגנה המתאימים הנזכרים בסעיף 1, ללא צורך באישור ספציפי כלשהו מרשות מפקחת, על ידי:
- (א) מכשיר מחייב מבחינה משפטית וניתן לאכיפה בין רשויות או גופים ציבוריים;
- (ב) כללי תאגיד מחייבים בהתאם לסעיף 47;
- (ג) סעיפי הגנת מידע סטנדרטיים שאומצה על ידי הנציבות בהתאם לנוהל הבדיקה האמור בסעיף 93(2);
- (ד) סעיפי הגנה על נתונים סטנדרטיים שננקטו על ידי רשות מפקחת ואושרו על ידי הנציבות בהתאם לנוהל הבדיקה האמור בסעיף 93(2);
- (ה) קוד התנהגות מאושר בהתאם לסעיף 40 יחד עם התחייבויות מחייבות וניתנות לאכיפה של הבקר או המעבד במדינה השלישית להחיל את אמצעי ההגנה המתאימים, לרבות בכל הנוגע לזכויות של נושאי מידע; אוֹ
- (ו) מנגנון אישור מאושר בהתאם לסעיף 42 יחד עם התחייבויות מחייבות וניתנות לאכיפה של הבקר או המעבד במדינה השלישית להחיל את אמצעי ההגנה המתאימים, לרבות בכל הנוגע לזכויות של נושאי מידע.
- בכפוף לאישור מרשות הפיקוח המוסמכת, ניתן גם לקבוע את אמצעי ההגנה המתאימים הנזכרים בסעיף 1, בפרט, על ידי:
- (א) סעיפים חוזיים בין הבקר או המעבד לבין הבקר, המעבד או מקבל הנתונים האישיים במדינה השלישית או בארגון הבינלאומי; אוֹ
- (ב) הוראות שיוכנסו להסדרים מינהליים בין רשויות או גופים ציבוריים הכוללות זכויות ניתנות לאכיפה ויעילות של נושא המידע.
- רשות הפיקוח תחיל את מנגנון העקביות האמור בסעיף 63 במקרים הנזכרים בסעיף 3 לסעיף זה.
- אישורים של מדינה חברה או רשות פיקוח על בסיס סעיף 26(2) של הוראה 95/46/EC יישארו בתוקף עד לתיקון, החלפה או ביטול, במידת הצורך, על ידי אותה רשות פיקוח. החלטות שנתקבלו על ידי הנציבות על בסיס סעיף 26(4) של הוראה 95/46/EC יישארו בתוקף עד לתיקון, החלפה או ביטול, במידת הצורך, על ידי החלטת ועדה שהתקבלה בהתאם לסעיף 2 של סעיף זה.
העברות כפופות לאמצעי הגנה מתאימים
- בהיעדר תקנות הלימה לפי סעיף 17א לחוק משנת 2018, בקר או מעבד רשאים להעביר נתונים אישיים למדינה שלישית או לארגון בינלאומי רק אם הבקר או המעבד סיפקו אמצעי הגנה מתאימים, ובתנאי שזכויות נושא הנתונים הניתנות לאכיפה. זמינים סעדים משפטיים יעילים עבור נושאי מידע.
- ניתן לקבוע את אמצעי ההגנה המתאימים הנזכרים בסעיף 1, ללא צורך באישור ספציפי כלשהו מהממונה, על ידי:
- (א) מכשיר מחייב מבחינה משפטית וניתן לאכיפה בין רשויות או גופים ציבוריים;
- (ב) כללי תאגיד מחייבים בהתאם לסעיף 47;
- (ג) סעיפי הגנת מידע סטנדרטיים המפורטים בתקנות שקבע מזכיר המדינה לפי סעיף 17ג לחוק 2018 ולפי שעה בתוקף;
- (ד) סעיפי הגנת מידע סטנדרטיים המפורטים במסמך שהונפק (ולא חזר בו) על ידי הממונה לפי סעיף 119א לחוק 2018 ולפי שעה בתוקף;
- (ה) קוד התנהגות מאושר בהתאם לסעיף 40 יחד עם התחייבויות מחייבות וניתנות לאכיפה של הבקר או המעבד במדינה השלישית להחיל את אמצעי ההגנה המתאימים, לרבות בכל הנוגע לזכויות של נושאי מידע; אוֹ
- (ו) מנגנון אישור מאושר בהתאם לסעיף 42 יחד עם התחייבויות מחייבות וניתנות לאכיפה של הבקר או המעבד במדינה השלישית להחיל את אמצעי ההגנה המתאימים, לרבות בכל הנוגע לזכויות של נושאי מידע.
- בהרשאת הממונה, ניתן גם לקבוע את אמצעי ההגנה המתאימים האמורים בסעיף 1, בפרט, על ידי:
- (א) סעיפים חוזיים בין הבקר או המעבד לבין הבקר, המעבד או מקבל הנתונים האישיים במדינה השלישית או בארגון הבינלאומי; אוֹ
- (ב) הוראות שיוכנסו להסדרים מינהליים בין רשויות או גופים ציבוריים הכוללות זכויות ניתנות לאכיפה ויעילות של נושא המידע.
עם ISMS.online, אתגרים סביב בקרת גרסאות, אישור מדיניות ושיתוף מדיניות הם נחלת העבר.
הדיון בנוגע להעברת נתונים אישיים למדינות ללא מסגרת הלימה נלווית מתפרס על פני 6 תחומים מרכזיים:
בסעיף זה אנו מדברים על GDPR סעיפים 46 (1), 46 (2)(א), 46 (2)(ב), 46 (2)(ג), 46 (2)(ד), 46 (2)( ה), 46 (2)(ו), 46 (3)(א), 46 (3)(ב), 46 (4), 46 (5)
הכללים הרגולטוריים והחוקיים האזוריים משתנים בהתאם למקור הנתונים, ולאן הם הולכים להיות מועברים.
ארגונים צריכים לקחת בחשבון את כל החוקים, המסגרות והתקנות הרלוונטיים בכל פעם שהם צריכים להעביר נתונים בין תחומי שיפוט, לרבות שימוש ברשות פיקוח ייעודית.
בסעיף זה אנו מדברים על GDPR סעיפים 46 (1), 46 (2)(א), 46 (2)(ב), 46 (2)(ג), 46 (2)(ד), 46 (2)( ה), 46 (2)(ו), 46 (3)(א) ו-46 (3)(ב)
לקוחות צריכים להיות מסוגלים להציג רשימה של מדינות וארגונים נמענים פוטנציאליים בכל זמן נתון, כולל יומן של כל המדינות המעורבות בקבלנות משנה PII (ראה סעיף 27701 של ISO 8.5.1).
בנסיבות מסוימות, ארגונים לא תמיד יוכלו לחשוף מראש מהיכן הגיעו בקשות העברה - במיוחד כאשר מדובר במקרים של הליכים פליליים. זה בלתי נמנע, וזה צריך להיות בראש סדר העדיפויות של הארגון לשמור על שלמות פעולת אכיפת החוק (ראה ISO 27701 סעיפים 7.5.1, 8.5.4 ו-8.5.5).
מאמר GDPR | סעיף ISO 27701 | ISO 27701 סעיפים תומכים |
---|---|---|
האיחוד האירופי GDPR סעיפים 46 (1) עד 46 (5) | ISO 27701 7.5.1 | ללא חתימה |
סעיפים 46 (1) עד 46 (3)(ב) של האיחוד האירופי GDPR | ISO 27701 8.5.1 | ISO 27701 7.5.1 ISO 27701 8.5.4 ISO 27701 8.5.5 |
אנו מספקים לך סביבה שנבנתה מראש על מנת לתאר ולהדגים את הגישה שלך להגנה על נתוני הלקוחות האירופים והאנגליים שלך בצורה שתשתלב בצורה חלקה במערכת הניהול הקיימת שלך.
עם ISMS.online, קל לך לקפוץ ישר אל המסע אל תאימות ל-GDPR ולהפגין בקלות רמת הגנה החורגת מעבר ל'סביר', והכל במיקום מאובטח אחד, תמיד פועל שאליו תוכל לגשת מכל מקום.
למידע נוסף על ידי תזמון הדגמה.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך