עבור לתוכן
ISMS.online

כיצד להוכיח ציות ל-GDPR סעיף 49

תאימות ל-GDPR סעיף 49 מתאר חריגים (חריגים) להעברת נתונים בינלאומיים כאשר אמצעי הגנה סטנדרטיים אינם זמינים, תוך שימת דגש על השימוש המגביל וההכרח בהסכמה מפורשת, ביצוע חוזה או אינטרס ציבורי.

מְחַבֵּר
דיוויד הולוואי
עודכן בספטמבר 30, 2025
4/5 כוכבים

סעיף 49 תאימות ל-GDPR: שיטות עבודה מומלצות לעסקים

GDPR סעיף 49 מכיל רשימה של חריגות - כלומר חריגים - שארגונים יכולים להחיל על כל העברות נתונים בינלאומיות למדינות צד שלישי, כאשר שום חלק אחר של פרק V GDPR אינו חל.

GDPR סעיף 49 טקסט משפטי

גרסת GDPR של האיחוד האירופי

חריגות לסיטואציות ספציפיות

  1. בהעדר החלטת הלימה בהתאם לסעיף 45(3), או של אמצעי הגנה מתאימים לפי סעיף 46, לרבות כללי תאגיד מחייבים, תתבצע העברה או קבוצה של העברות של נתונים אישיים למדינה שלישית או לארגון בינלאומי. רק באחד מהתנאים הבאים:

    • (א) נושא הנתונים הסכים במפורש להעברה המוצעת, לאחר שנודע לו על הסיכונים האפשריים של העברות אלה עבור נושא המידע בשל היעדר החלטת הלימה ואמצעי הגנה מתאימים;
    • (ב) ההעברה נחוצה לשם קיום חוזה בין נושא המידע לבין הבקר או יישום אמצעים טרום חוזיים שננקטו לבקשת נושא המידע;
    • (ג) ההעברה נחוצה לצורך כריתת או ביצוע חוזה שנכרת לטובת נושא המידע בין המבקר לבין אדם טבעי או משפטי אחר;
    • (ד) ההעברה נחוצה מטעמים חשובים של אינטרס ציבורי;
    • (ה) ההעברה נחוצה לביסוסן, למימושן או להגנה של תביעות משפטיות;
    • (ו) ההעברה נחוצה כדי להגן על האינטרסים החיוניים של נושא המידע או של אנשים אחרים, כאשר נשוא המידע אינו מסוגל פיזית או משפטית לתת הסכמה;
    • (ז) ההעברה נעשית ממרשם אשר על פי דיני האיחוד או המדינות החברות נועד לספק מידע לציבור ושפתוח להתייעצות בין הציבור בכללו ובין כל אדם שיכול להוכיח אינטרס לגיטימי, אך רק במידה שהתנאים שנקבעו בחוק האיחוד או במדינה החברות להתייעצות מתקיימים במקרה הספציפי.

      • כאשר העברה לא יכולה להתבסס על הוראה בסעיף 45 או 46, לרבות ההוראות בדבר כללי תאגיד מחייבים, ואין חלה אף אחת מהחריגות למצב ספציפי האמורות בפסקה הראשונה של פסקה זו, העברה לשלישי מדינה או ארגון בינלאומי יכולים להתבצע רק אם ההעברה אינה חוזרת על עצמה, נוגעת רק למספר מוגבל של נושאי מידע, נחוצה למטרות כפויות של אינטרסים לגיטימיים שנחקר על ידי הבקר, שאינם מתגברים על ידי האינטרסים או הזכויות והחירויות של נושא הנתונים, והבקר העריך את כל הנסיבות סביב העברת הנתונים ועל בסיס אותה הערכה סיפק אמצעי הגנה מתאימים בכל הנוגע להגנה על נתונים אישיים. המבקר יודיע לרשות המפקחת על ההעברה. הבקר יידע, בנוסף למסירת המידע האמור בסעיפים 13 ו-14, את נושא המידע על ההעברה ועל האינטרסים הלגיטימיים המשכנעים שנרדפים עליהם.

  2. העברה לפי סעיף (ז) של הפסקה הראשונה של סעיף 1 לא תכלול את מכלול הנתונים האישיים או קטגוריות שלמות של הנתונים האישיים הכלולים במרשם. מקום בו נועד המרשם להתייעצות של אנשים בעלי אינטרס לגיטימי, ההעברה תיעשה רק לבקשת אותם אנשים או אם הם יהיו הנמענים.
  3. נקודות (א), (ב) ו-(ג) של הסעיף הראשון של פסקה 1 ושל הסעיף השני שלה לא יחולו על פעילויות המבוצעות על ידי רשויות ציבוריות תוך הפעלת סמכויותיהן הציבוריות.
  4. האינטרס הציבורי הנזכר בנקודה (ד) של הפסקה הראשונה של סעיף 1 יוכר בדיני האיחוד או בחוק של המדינה החברית שאליה כפוף הבקר.
  5. בהיעדר החלטת הלימה, חוקי האיחוד או המדינות החברות עשויות, מסיבות חשובות של אינטרס ציבורי, להגביל במפורש גבולות להעברת קטגוריות ספציפיות של נתונים אישיים למדינה שלישית או לארגון בינלאומי. המדינות החברות יודיעו על הוראות אלה לנציבות.
  6. הבקר או המעבד יתעד את ההערכה וכן את אמצעי ההגנה המתאימים הנזכרים בסעיף השני של סעיף 1 של סעיף זה ברשומות האמורות בסעיף 30.

גרסת GDPR בבריטניה

חריגות לסיטואציות ספציפיות

  1. בהיעדר תקנות הלימה לפי סעיף 17א לחוק משנת 2018, או של אמצעי הגנה מתאימים בהתאם לסעיף 46, לרבות כללי תאגיד מחייבים, יתבצע העברה או קבוצה של העברות של נתונים אישיים למדינה שלישית או לארגון בינלאומי בלבד. באחד מהתנאים הבאים:

    • (א) נושא הנתונים הסכים במפורש להעברה המוצעת, לאחר שנודע לו על הסיכונים האפשריים של העברות אלה עבור נושא המידע בשל היעדר החלטת הלימה ואמצעי הגנה מתאימים;
    • (ב) ההעברה נחוצה לשם קיום חוזה בין נושא המידע לבין הבקר או יישום אמצעים טרום חוזיים שננקטו לבקשת נושא המידע;
    • (ג) ההעברה נחוצה לצורך כריתת או ביצוע חוזה שנכרת לטובת נושא המידע בין המבקר לבין אדם טבעי או משפטי אחר;
    • (ד) ההעברה נחוצה מטעמים חשובים של אינטרס ציבורי;
    • (ה) ההעברה נחוצה לביסוסן, למימושן או להגנה של תביעות משפטיות;
    • (ו) ההעברה נחוצה כדי להגן על האינטרסים החיוניים של נושא המידע או של אנשים אחרים, כאשר נשוא המידע אינו מסוגל פיזית או משפטית לתת הסכמה;
    • (ז) ההעברה נעשית ממרשם אשר על פי הדין הפנימי נועד למסור מידע לציבור ואשר פתוח לעיון בציבור בכלל ובין של כל אדם שיכול להוכיח אינטרס לגיטימי, אך רק בפני במידה שהתנאים שנקבעו בחוק הפנימי להתייעצות מתקיימים במקרה הספציפי.

      • כאשר העברה לא יכולה להתבסס על הוראה בסעיף 45 או 46, לרבות ההוראות בדבר כללי תאגיד מחייבים, ואין חלה אף אחת מהחריגות למצב ספציפי האמורות בפסקה הראשונה של פסקה זו, העברה לשלישי מדינה או ארגון בינלאומי יכולים להתבצע רק אם ההעברה אינה חוזרת על עצמה, נוגעת רק למספר מוגבל של נושאי מידע, נחוצה למטרות כפויות של אינטרסים לגיטימיים שנחקר על ידי הבקר, שאינם מתגברים על ידי האינטרסים או הזכויות והחירויות של נושא הנתונים, והבקר העריך את כל הנסיבות סביב העברת הנתונים ועל בסיס אותה הערכה סיפק אמצעי הגנה מתאימים בכל הנוגע להגנה על נתונים אישיים. המבקר יודיע לממונה על ההעברה. הבקר יידע, בנוסף למסירת המידע האמור בסעיפים 13 ו-14, את נושא המידע על ההעברה ועל האינטרסים הלגיטימיים המשכנעים שנרדפים עליהם.

  2. העברה לפי סעיף (ז) של הפסקה הראשונה של סעיף 1 לא תכלול את מכלול הנתונים האישיים או קטגוריות שלמות של הנתונים האישיים הכלולים במרשם. מקום בו נועד המרשם להתייעצות של אנשים בעלי אינטרס לגיטימי, ההעברה תיעשה רק לבקשת אותם אנשים או אם הם יהיו הנמענים.
  3. נקודות (א), (ב) ו-(ג) של הסעיף הראשון של פסקה 1 ושל הסעיף השני שלה לא יחולו על פעילויות המבוצעות על ידי רשויות ציבוריות תוך הפעלת סמכויותיהן הציבוריות.
  4. האינטרס הציבורי האמור בנקודה (ד) של סעיף ראשון של פסקה 1 חייב להיות אינטרס ציבורי המוכר במשפט הפנימי (בין אם בתקנות לפי סעיף 18(1) לחוק משנת 2018 ובין אם אחר).
  5. סעיף זה וסעיף 46 כפופים להגבלות בתקנות לפי סעיף 18(2) לחוק משנת 2018.
  6. הבקר או המעבד יתעד את ההערכה וכן את אמצעי ההגנה המתאימים הנזכרים בסעיף השני של סעיף 1 של סעיף זה ברשומות האמורות בסעיף 30.


ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

ניהול כל דרישות התאימות, הכל במקום אחד

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך


פרשנות טכנית

ההחרגות במסגרת סעיף 49 של GDPR חלות על מספר מצבי מפתח:

  1. כאשר נושאי המידע הסכימו להעברת הנתונים שלהם.
  2. דרישות טכניות המאפשרות לארגון לבצע את התחייבויותיו החוזיות כלפי נושא מידע.
  3. כל העברה המתבצעת למען האינטרס הציבורי (אם כי עם רשימה נפרדת של מגבלות על העברות כאלה).
  4. פעולות המגנות על 'האינטרסים החיוניים' של נושאי המידע, אך רק כאשר הנבדק אינו מסוגל פיזית לספק הסכמה לארגון.
  5. כל העברות המבוצעות ממרשם ציבורי.
  6. כאשר לבקר הנתונים יש "אינטרסים לגיטימיים משכנעים".

ISO 27701 סעיף 7.5.1 (זיהוי בסיס להעברת Pii בין תחומי שיפוט) ו-EU GDPR סעיף 49

בסעיף זה אנו מדברים על GDPR סעיפים 49 (1)(א), 49 (1)(ב), 49 (1)(ג), 49 (1)(ד), 49 (1)(ה), 49 ( 1)(ו), 49 (1)(ז), 49 (2), 49 (3), 49 (4), 49 (5) ו-49 (6)

מעת לעת, עשוי להתעורר צורך בהעברת PII בין שתי תחומי שיפוט נפרדים. כאשר זה קורה, ארגונים צריכים להצדיק ולתעד את הצורך לעשות זאת.

הכללים הרגולטוריים והחוקיים האזוריים משתנים בהתאם למקור הנתונים, ולאן הם הולכים להיות מועברים.

ארגונים צריכים לקחת בחשבון את כל החוקים, המסגרות והתקנות הרלוונטיים בכל פעם שהם צריכים להעביר נתונים בין תחומי שיפוט, לרבות שימוש ברשות פיקוח ייעודית.

ISO 27701 סעיף 8.5.1 (בסיס להעברת PII בין תחומי שיפוט) וסעיף 49 של ה-EU GDPR

בסעיף זה אנו מדברים על GDPR סעיפים 49 (1)(א), 49 (1)(ב), 49 (1)(ג), 49 (1)(ד), 49 (1)(ה), 49 ( 1)(ו), 49 (1)(ז), 49 (2), 49 (3), 49 (4), 49 (5) ו-49 (6)

בכל פעם שיש להעביר PII בין תחומי שיפוט, ארגונים צריכים ליידע את הלקוח על הצורך הבסיסי לעשות זאת, בזמן.

יעדי העברה יכולים לכלול:

  • ספקים.
  • צד שלישי.
  • מדינות שונות.
  • ארגונים בינלאומיים.

ארגונים צריכים לתת ללקוח הודעה מספקת על כל העברות, כדי שיוכלו להעלות התנגדויות ובנסיבות מסוימות, ניתן יהיה להגיש בקשות סיום.

ארגונים לא תמיד צריכים להודיע ​​ללקוחות על שינויים בהסדרי העברת הנתונים שלהם, אבל חוזים צריכים לפרט בבירור את הנסיבות שבהן הם do צריך להציע אזהרה מוקדמת.

בעת העברת PII למדינה אחרת, ארגונים צריכים לשקול מנגנונים רשמיים, כגון:

  1. סעיפי חוזה לדוגמה.
  2. כללי תאגיד מחייבים.
  3. כללי פרטיות חוצי גבולות.

אינדקס של מאמרי GDPR מקושרים של האיחוד האירופי וסעיפי ISO 27701

מאמר GDPR סעיף ISO 27701 ISO 27701 סעיפים תומכים
סעיפים GDPR של האיחוד האירופי 49 (1)(א) עד 49 (6) ISO 27701 7.5.1 ללא חתימה
סעיפים GDPR של האיחוד האירופי 49 (1)(א) עד 49 (6) ISO 27701 8.5.1 ללא חתימה

כיצד ISMS.online עזרה

פלטפורמת ISMS.online כוללת הדרכה מובנית בכל שלב, בשילוב עם גישת ההטמעה 'אמץ, הסתגל, הוסף' שלנו, כך שהדגמת תאימות ה-GDPR שלך קלה משמעותית. תוכל גם ליהנות ממגוון תכונות חזקות לחיסכון בזמן.

על ידי מיפוי העבודה שלך על פני מספר תקנים ומסגרות, הפלטפורמה האינטואיטיבית שלנו מקלה על השגת יעדי אבטחת מידע ופרטיות נתונים מרובים.

למידע נוסף על ידי תזמון הדגמה.

דיוויד הולוואי

סמנכ"ל שיווק

דיוויד הולוואי הוא מנהל השיווק הראשי ב-ISMS.online, עם למעלה מארבע שנות ניסיון בתחום תאימות ואבטחת מידע. כחלק מצוות ההנהגה, דיוויד מתמקד בהעצמת ארגונים לנווט בנופים רגולטוריים מורכבים בביטחון, תוך קידום אסטרטגיות שמתאימות יעדים עסקיים לפתרונות בעלי השפעה. הוא גם מנחה שותף של הפודקאסט Phishing For Trouble, שם הוא מתעמק באירועי אבטחת סייבר מתוקשרים וחולק לקחים חשובים שיעזרו לעסקים לחזק את נוהלי האבטחה והתאימות שלהם.

לינקדין

מאמרים בנושא GDPR

GDPR לעומק

אנחנו מובילים בתחומנו

4/5 כוכבים
משתמשים אוהבים אותנו
לידר - סתיו 2025
עסק קטן, בעלי ביצועים גבוהים - סתיו 2025 בריטניה
מנהיג אזורי - סתיו 2025 אירופה
מנהיג אזורי - סתיו 2025 EMEA
מנהיג אזורי - סתיו 2025 בריטניה
ביצועים גבוהים - סתיו 2025 אירופה שוק בינוני

"ISMS.Online, כלי יוצא מן הכלל לציות לתקנות"

— ג'ים מ.

"הופך את הביקורת החיצונית לפשוטה ומקשרת את כל ההיבטים של ה-ISMS שלך יחד בצורה חלקה"

— קארן סי.

"פתרון חדשני לניהול ISO והסמכות אחרות"

— בן ה.

צא לסיור וירטואלי

התחל עכשיו את ההדגמה האינטראקטיבית החינמית שלך בת 2 דקות ותראה
ISMS.online בפעולה!

נסה את זה עכשיו
לוח מחוונים פלטפורמה מלא על גביש

מוכן להתחיל?

הזמן הדגמה