Článek 46 ONOOÚ (GDPR). Předávání založené na vhodných zárukách
Article 46 GDPR. Transfers subject to appropriate safeguards
Článek 47 ONOOÚ (GDPR). Závazná podniková pravidla
Article 47 GDPR. Binding corporate rules
Článek 49 ONOOÚ (GDPR). Výjimky pro specifické situace
Article 49 GDPR. Derogations for specific situations
1. Jestliže neexistuje rozhodnutí o odpovídající ochraně podle čl. 45 odst. 3 ani vhodné záruky podle článku 46, včetně závazných podnikových pravidel, může se předání nebo soubor předání osobních údajů do třetí země nebo mezinárodní organizaci uskutečnit pouze při splnění jedné z následujících podmínek:
1. In the absence of an adequacy decision pursuant to Article 45(3), or of appropriate safeguards pursuant to Article 46, including binding corporate rules, a transfer or a set of transfers of personal data to a third country or an international organisation shall take place only on one of the following conditions:
[…]
[…]
Jestliže by některé předání nemohlo být založeno na některém z ustanovení článku 45 nebo 46, včetně ustanovení o závazných podnikových pravidlech, a žádná z výjimek pro specifickou situaci uvedených v prvním pododstavci není použitelná, může k předání do třetí země nebo mezinárodní organizaci dojít pouze tehdy, pokud tento převod není opakovaný, týká se pouze omezeného počtu subjektů údajů, je nezbytný pro účely závažných oprávněných zájmů správce, které nejsou převáženy zájmy nebo právy a svobodami subjektu údajů, a pokud správce posoudil všechny okolnosti daného předání údajů a na základě tohoto posouzení poskytl vhodné záruky pro ochranu osobních údajů. Správce o takovém předání informuje dozorový úřad. Správce musí kromě poskytnutí informací uvedených v článcích 13 a 14 subjekt údajů informovat o předání a o závažných legitimních zájmech, které sledoval.
Where a transfer could not be based on a provision in Article 45 or 46, including the provisions on binding corporate rules, and none of the derogations for a specific situation referred to in the first subparagraph of this paragraph is applicable, a transfer to a third country or an international organisation may take place only if the transfer is not repetitive, concerns only a limited number of data subjects, is necessary for the purposes of compelling legitimate interests pursued by the controller which are not overridden by the interests or rights and freedoms of the data subject, and the controller has assessed all the circumstances surrounding the data transfer and has on the basis of that assessment provided suitable safeguards with regard to the protection of personal data. The controller shall inform the supervisory authority of the transfer. The controller shall, in addition to providing the information referred to in Articles 13 and 14, inform the data subject of the transfer and on the compelling legitimate interests pursued.
[…]
[…]
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 14(2)(a) GDPR:
7.4.7 Retention
Control
The organization should not retain PII for longer than is necessary for the purposes for which the PII is processed.
Implementation guidance
The organization should develop and maintain retention schedules for information it retains, taking into account the requirement to retain PII for no longer than is necessary.
(EN) […]
(EN) Sign in
to read the full text