Navigatsioon
GDPR > Artikkel 46. Edastamine asjakohaste kaitsemeetmete kohaldamisel
Allalaadimine

Artikkel 46 GDPR. Edastamine asjakohaste kaitsemeetmete kohaldamisel

Article 46 GDPR. Transfers subject to appropriate safeguards

1. Artikli 45 lõike 3 kohase otsuse puudumisel võib vastutav töötleja või volitatud töötleja edastada isikuandmeid kolmandale riigile või rahvusvahelisele organisatsioonile üksnes juhul, kui vastutav töötleja või volitatud töötleja on sätestanud asjakohased kaitsemeetmed ning tingimusel, et andmesubjektide kohtulikult kaitstavad õigused ja tõhusad õiguskaitsevahendid on kättesaadavad.

1. In the absence of a decision pursuant to Article 45(3), a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available.

Ühendused

2. Lõikes 1 osutatud asjakohased kaitsemeetmed võib ilma järelevalveasutuselt mingit eriluba taotlemata ette näha

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

Põhjendustes

(108) Kaitse piisavuse otsuse puudumise korral peaks vastutav töötleja või volitatud töötleja võtma meetmed, et korvata kolmanda riigi andmekaitse puudulik tase asjakohaste andmesubjekti kaitsmise meetmetega. Sellised asjakohased kaitsemeetmed võivad hõlmata järgneva kasutamist: siduvad kontsernisisesed eeskirjad, komisjoni vastu võetud standardsed andmekaitseklauslid, järelevalveasutuse vastu võetud standardsed andmekaitseklauslid või järelevalveasutuse heaks kiidetud lepingu tüüptingimused. Need kaitsemeetmed peaksid tagama liidu siseseks töötlemiseks asjakohaste andmekaitsenõuete täitmise ja andmesubjektide õiguste kaitse, sealhulgas andmesubjektide kohtulikult kaitstavate õiguste ja tõhusate õiguskaitsevahendite kättesaadavuse, kaasa arvatud õiguse saada tõhusat haldus- või õiguskaitset ja nõuda hüvitist liidus või kolmandas riigis. Kaitsemeetmed peaksid olema eelkõige seotud vastavusega üldistele isikuandmete töötlemise põhimõtetele ning lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtetele. Andmeid võivad edastada ka avaliku sektori asutused või organid koos kolmandate riikide avaliku sektori asutuste või organitega või rahvusvaheliste organisatsioonidega, kellel on vastavad kohustused või funktsioonid, sealhulgas vastavalt sellistesse halduskokkulepetesse lisatavatele sätetele nagu vastastikuse mõistmise memorandum, nähes ette tõhusad ja kohtulikult kaitstavad õigused andmesubjektidele. Pädeva järelevalveasutuse luba tuleks saada siis, kui kaitsemeetmed on sätestatud õiguslikult mittesiduvates halduskokkulepetes.

(108) In the absence of an adequacy decision, the controller or processor should take measures to compensate for the lack of data protection in a third country by way of appropriate safeguards for the data subject. Such appropriate safeguards may consist of making use of binding corporate rules, standard data protection clauses adopted by the Commission, standard data protection clauses adopted by a supervisory authority or contractual clauses authorised by a supervisory authority. Those safeguards should ensure compliance with data protection requirements and the rights of the data subjects appropriate to processing within the Union, including the availability of enforceable data subject rights and of effective legal remedies, including to obtain effective administrative or judicial redress and to claim compensation, in the Union or in a third country. They should relate in particular to compliance with the general principles relating to personal data processing, the principles of data protection by design and by default. Transfers may also be carried out by public authorities or bodies with public authorities or bodies in third countries or with international organisations with corresponding duties or functions, including on the basis of provisions to be inserted into administrative arrangements, such as a memorandum of understanding, providing for enforceable and effective rights for data subjects. Authorisation by the competent supervisory authority should be obtained when the safeguards are provided for in administrative arrangements that are not legally binding.

(109) Vastutavale töötlejale või volitatud töötlejale antud võimalus kasutada komisjoni või järelevalveasutuse vastu võetud standardseid andmekaitseklausleid ei tohiks takistada vastutavat töötlejat või volitatud töötlejat lisamast standardsed andmekaitseklauslid laiemasse lepingusse, nagu näiteks kahe volitatud töötleja vahelisse lepingusse, ega lisamast muid klausleid või täiendavaid kaitsemeetmeid, tingimusel et need ei lähe otseselt ega kaudselt vastuollu komisjoni või järelevalveasutuse vastu võetud lepingu tüüptingimustega ega piira andmesubjektide põhiõigusi ja -vabadusi. Vastutavaid töötlejaid ja volitatud töötlejaid tuleks ergutada nägema ette täiendavaid kaitsemeetmeid lepinguliste kohustuste abil, mis täiendavad standardseid kaitseklausleid.

(109) The possibility for the controller or processor to use standard data-protection clauses adopted by the Commission or by a supervisory authority should prevent controllers or processors neither from including the standard data-protection clauses in a wider contract, such as a contract between the processor and another processor, nor from adding other clauses or additional safeguards provided that they do not contradict, directly or indirectly, the standard contractual clauses adopted by the Commission or by a supervisory authority or prejudice the fundamental rights or freedoms of the data subjects. Controllers and processors should be encouraged to provide additional safeguards via contractual commitments that supplement standard protection clauses.

a) õiguslikult siduva ja täitmisele pööratava dokumendiga avaliku sektori asutuste või organite vahel;

(a) a legally binding and enforceable instrument between public authorities or bodies;

b) siduvate kontsernisiseste eeskirjadega vastavalt artiklile 47;

(b) binding corporate rules in accordance with Article 47;

Ühendused

c) komisjoni poolt artikli 93 lõikes 2 osutatud kontrollimenetluse kohaselt vastu võetud standardsete andmekaitseklauslitega;

(c) standard data protection clauses adopted by the Commission in accordance with the examination procedure referred to in Article 93(2);

Suunised & Case Law Ühendused

d) järelevalveasutuse poolt vastu võetud ja komisjoni poolt artikli 93 lõikes 2 osutatud kontrollimenetluse kohaselt heaks kiidetud standardsete andmekaitseklauslitega;

(d) standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93(2);

Ühendused

e) artikli 40 kohase heakskiidetud toimimisjuhendiga, koos kolmanda riigi vastutava töötleja või volitatud töötleja siduvate ja täitmisele pööratavate kohustustega kehtestada asjakohased kaitsemeetmed, sealhulgas andmesubjekti õiguste osas, või

(e) an approved code of conduct pursuant to Article 40 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights; or

Ühendused

f) artikli 42 kohase heakskiidetud sertifitseerimismehhanismiga, koos kolmanda riigi vastutava töötleja või volitatud töötleja siduvate ja täitmisele pööratavate kohustustega kehtestada asjakohased kaitsemeetmed, sealhulgas andmesubjekti õiguste osas.

(f) an approved certification mechanism pursuant to Article 42 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights.

3. Pädeva järelevalveasutuse loal võib lõikes 1 osutatud asjakohased kaitsemeetmed sätestada ka eelkõige

3. Subject to the authorisation from the competent supervisory authority, the appropriate safeguards referred to in paragraph 1 may also be provided for, in particular, by:

a) vastutava töötleja või volitatud töötleja ning kolmanda riigi või rahvusvahelise organisatsiooni vastutava töötleja või volitatud töötleja või isikuandmete vastuvõtja vaheliste lepingutingimustega või

(a) contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organisation; or

b) sätetega, mis tuleb lisada avaliku sektori asutuste või organite vahelistesse halduskokkulepetesse ning mis hõlmavad andmesubjektide kohtulikult kaitstavaid ja tõhusaid õigusi.

(b) provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights.

4. Käesoleva artikli lõikes 3 osutatud juhtudel kohaldab järelevalveasutus artiklis 63 osutatud järjepidevuse mehhanismi.

4. The supervisory authority shall apply the consistency mechanism referred to in Article 63 in the cases referred to in paragraph 3 of this Article.

Ühendused

5. Liikmesriigi või järelevalveasutuse poolt direktiivi 95/46/EÜ artikli 26 lõike 2 alusel antud load jäävad kehtima, kuni järelevalveasutus neid vajaduse korral muudab, need asendab või need kehtetuks tunnistab. Otsused, mille komisjon on vastu võtnud vastavalt direktiivi 95/46/EÜ artikli 26 lõikele 4, jäävad jõusse, kuni neid käesoleva artikli lõike 2 kohaselt vastu võetud komisjoni otsusega vajaduse korral muudetakse, need asendatakse või kehtetuks tunnistatakse.

5. Authorisations by a Member State or supervisory authority on the basis of Article 26(2) of Directive 95/46/EC shall remain valid until amended, replaced or repealed, if necessary, by that supervisory authority. Decisions adopted by the Commission on the basis of Article 26(4) of Directive 95/46/EC shall remain in force until amended, replaced or repealed, if necessary, by a Commission Decision adopted in accordance with paragraph 2 of this Article.

ISO 27701 Põhjendustes Suunised & Case Law Jäta kommentaar
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 46 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).


terviktekstile juurdepääsuks

Põhjendustes

(108) Kaitse piisavuse otsuse puudumise korral peaks vastutav töötleja või volitatud töötleja võtma meetmed, et korvata kolmanda riigi andmekaitse puudulik tase asjakohaste andmesubjekti kaitsmise meetmetega. Sellised asjakohased kaitsemeetmed võivad hõlmata järgneva kasutamist: siduvad kontsernisisesed eeskirjad, komisjoni vastu võetud standardsed andmekaitseklauslid, järelevalveasutuse vastu võetud standardsed andmekaitseklauslid või järelevalveasutuse heaks kiidetud lepingu tüüptingimused. Need kaitsemeetmed peaksid tagama liidu siseseks töötlemiseks asjakohaste andmekaitsenõuete täitmise ja andmesubjektide õiguste kaitse, sealhulgas andmesubjektide kohtulikult kaitstavate õiguste ja tõhusate õiguskaitsevahendite kättesaadavuse, kaasa arvatud õiguse saada tõhusat haldus- või õiguskaitset ja nõuda hüvitist liidus või kolmandas riigis. Kaitsemeetmed peaksid olema eelkõige seotud vastavusega üldistele isikuandmete töötlemise põhimõtetele ning lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtetele. Andmeid võivad edastada ka avaliku sektori asutused või organid koos kolmandate riikide avaliku sektori asutuste või organitega või rahvusvaheliste organisatsioonidega, kellel on vastavad kohustused või funktsioonid, sealhulgas vastavalt sellistesse halduskokkulepetesse lisatavatele sätetele nagu vastastikuse mõistmise memorandum, nähes ette tõhusad ja kohtulikult kaitstavad õigused andmesubjektidele. Pädeva järelevalveasutuse luba tuleks saada siis, kui kaitsemeetmed on sätestatud õiguslikult mittesiduvates halduskokkulepetes.

(108) In the absence of an adequacy decision, the controller or processor should take measures to compensate for the lack of data protection in a third country by way of appropriate safeguards for the data subject. Such appropriate safeguards may consist of making use of binding corporate rules, standard data protection clauses adopted by the Commission, standard data protection clauses adopted by a supervisory authority or contractual clauses authorised by a supervisory authority. Those safeguards should ensure compliance with data protection requirements and the rights of the data subjects appropriate to processing within the Union, including the availability of enforceable data subject rights and of effective legal remedies, including to obtain effective administrative or judicial redress and to claim compensation, in the Union or in a third country. They should relate in particular to compliance with the general principles relating to personal data processing, the principles of data protection by design and by default. Transfers may also be carried out by public authorities or bodies with public authorities or bodies in third countries or with international organisations with corresponding duties or functions, including on the basis of provisions to be inserted into administrative arrangements, such as a memorandum of understanding, providing for enforceable and effective rights for data subjects. Authorisation by the competent supervisory authority should be obtained when the safeguards are provided for in administrative arrangements that are not legally binding.

(109) Vastutavale töötlejale või volitatud töötlejale antud võimalus kasutada komisjoni või järelevalveasutuse vastu võetud standardseid andmekaitseklausleid ei tohiks takistada vastutavat töötlejat või volitatud töötlejat lisamast standardsed andmekaitseklauslid laiemasse lepingusse, nagu näiteks kahe volitatud töötleja vahelisse lepingusse, ega lisamast muid klausleid või täiendavaid kaitsemeetmeid, tingimusel et need ei lähe otseselt ega kaudselt vastuollu komisjoni või järelevalveasutuse vastu võetud lepingu tüüptingimustega ega piira andmesubjektide põhiõigusi ja -vabadusi. Vastutavaid töötlejaid ja volitatud töötlejaid tuleks ergutada nägema ette täiendavaid kaitsemeetmeid lepinguliste kohustuste abil, mis täiendavad standardseid kaitseklausleid.

(109) The possibility for the controller or processor to use standard data-protection clauses adopted by the Commission or by a supervisory authority should prevent controllers or processors neither from including the standard data-protection clauses in a wider contract, such as a contract between the processor and another processor, nor from adding other clauses or additional safeguards provided that they do not contradict, directly or indirectly, the standard contractual clauses adopted by the Commission or by a supervisory authority or prejudice the fundamental rights or freedoms of the data subjects. Controllers and processors should be encouraged to provide additional safeguards via contractual commitments that supplement standard protection clauses.

Suunised & Case Law Jäta kommentaar