(111) Ba cheart foráil a dhéanamh go bhféadfaí sonraí a aistriú i gcúinsí áirithe i gcás ina bhfuil toiliú sainráite tugtha ag an ábhar sonraí, i gcás ina bhfuil an t-aistriú ócáideach agus riachtanach i ndáil le conradh nó le héileamh dlíthiúil, bíodh sin i nós imeachta breithiúnach nó ná bíodh, nó bíodh sé i nós imeachta riaracháin nó in aon nós imeachta lasmuigh den chúirt nó ná bíodh, lena n-áirítear nósanna imeachta os comhair comhlachtaí rialála. Ba cheart foráil a dhéanamh freisin go bhféadfaí sonraí a aistriú i gcás ina gceanglaítear amhlaidh le forais thábhachtacha leasa phoiblí a leagtar síos le dlí an Aontais nó le dlí Ballstáit nó i gcás ina ndéantar an t-aistriú ó chlár arna bhunú le dlí agus a bheartaítear chun go bhféadfaidh an pobal nó daoine a bhfuil leas dlisteanach acu é a cheadú. Sa chás deireanach sin, níor cheart aistriú den sórt sin a bheith ag baint leis na sonraí pearsanta ina n-iomláine ná le catagóirí iomlána na sonraí atá sa chlár agus, i gcás ina mbeartaítear go bhféadfaidh daoine a bhfuil leas dlisteanach acu an clár a cheadú, níor cheart an t-aistriú a dhéanamh ach arna iarraidh sin do na daoine sin nó más iad siúd atá le bheith ina bhfaighteoirí, agus lán-aird á tabhairt ar leasanna agus ar chearta bunúsacha an ábhair sonraí.
(112) Ba cheart feidhm a bheith ag na maoluithe sin, go háirithe maidir le haistrithe sonraí a bhfuil gá leo agus atá riachtanach ar fhorais thábhachtacha leasa phoiblí, mar shampla i gcásanna malartaithe idirnáisiúnta sonraí idir údaráis iomaíochta, idir riaracháin chánach nó idir riaracháin chustaim, idir údaráis mhaoirseachta airgeadais, idir seirbhísí atá inniúil ar ábhair maidir leis an tslándáil shóisialta, nó maidir leis an tsláinte phoiblí, mar shampla i gcás rianú teagmhála maidir le galair thógálacha nó chun dópáil sa spórt a laghdú agus/nó a dhíothú. Ba cheart a mheas go bhfuil aistriú sonraí pearsanta dleathach freisin i gcás inar gá é a dhéanamh chun leas a chosaint ar leas é atá riachtanach do leasanna ríthábhachtacha an ábhair sonraí nó duine eile, lena n-áirítear sláine fhisiciúil nó saol, mura bhféadfaidh an t-ábhar sonraí toiliú a thabhairt. In éagmais cinneadh leordhóthanachta, féadfaidh dlí an Aontais nó dlí Ballstáit, ar fhorais thábhachtacha leasa phoiblí, teorannacha a leagan síos go sainráite ar aistriú catagóirí sonracha sonraí chuig tríú tír nó chuig eagraíocht idirnáisiúnta. Ba cheart do na Ballstáit fógra a thabhairt don Choimisiún faoi fhorálacha den sórt sin. Aon aistriú chuig eagraíocht dhaonnúil idirnáisiúnta a dhéantar maidir le sonraí pearsanta ábhair sonraí nach bhfuil ar a chumas nó ar a cumas, ó thaobh fisiciúil nó dlíthiúil, toiliú a thabhairt, d'fhonn tasc atá riachtanach faoi Choinbhinsiúin na Ginéive a chomhlíonadh nó d'fhonn an dlí daonnúil idirnáisiúnta is infheidhme i gcoinbhleachtaí armtha a chomhlíonadh, d'fhéadfaí a mheas go bhfuil an t-aistriú sin riachtanach ar chúis thábhachtach a bhaineann le leas an phobail nó mar go bhfuil sé ríthábhachtach ó thaobh leas an ábhair sonraí.
(113) Maidir le haistrithe is féidir a cháiliú mar aistrithe neamhatriallacha agus nach mbaineann ach le líon teoranta ábhar sonraí, d'fhéadfaí iad a dhéanamh freisin chun críocha na leasanna dlisteanacha tathantacha atá á saothrú ag an rialaitheoir, nuair nach bhfuil sáraíocht ag leasanna nó ag cearta agus ag saoirsí an ábhair sonraí ar na leasanna sin agus nuair atá measúnú déanta ag an rialaitheoir ar na himthosca ar fad a bhaineann le haistriú na sonraí. Ba cheart don rialaitheoir aird ar leith a thabhairt ar chineál na sonraí pearsanta, ar chuspóir agus ar ré na hoibríochta próiseála a bheartaítear nó na n-oibríochtaí próiseála a bheartaítear, agus freisin ar an staid sa tír thionscnaimh, sa tríú tír agus i dtír an chinn scríbe, agus ba cheart dó coimircí oiriúnacha a chur ar fáil chun cearta bunúsacha agus saoirsí bunúsacha daoine nádúrtha a chosaint i ndáil lena sonraí pearsanta a chosaint. Níor cheart a bheith in ann aistrithe den sórt sin a dhéanamh ach amháin i gcásanna iarmharacha nuair nach bhfuil feidhm ag aon cheann de na forais eile maidir le haistriú. Chun críocha taighde eolaíoch nó stairiúil nó chun críocha staidrimh, ba cheart ionchais dhlisteanacha na sochaí a chur san áireamh maidir le heolas a mhéadú. Ba cheart don rialaitheoir an t-údarás maoirseachta agus an t-ábhar sonraí a chur ar an eolas maidir leis an aistriú.
(114) Ar aon chaoi, i gcás nach bhfuil aon chinneadh glactha ag an gCoimisiún maidir leis an leibhéal leordhóthanach cosanta sonraí i dtríú tír, ba cheart don rialaitheoir nó don phróiseálaí úsáid a bhaint as réitigh lena gcuirtear cearta in-fhorfheidhmithe éifeachtacha ar fáil do na hábhair sonraí i ndáil leis an bpróiseáil a dhéantar ar a gcuid sonraí san Aontas a luaithe a ndéantar na sonraí sin a aistriú le go leanfaidh siad de leas a bhaint as cearta bunúsacha agus as coimircí.
(115) Glacann roinnt tríú tíortha dlíthe, rialacháin agus gníomhartha dlí eile a cheaptar le gníomhaíochtaí próiseála sonraí daoine nádúrtha agus daoine dlítheanacha a rialáil go díreach faoi dhlínse na mBallstát. D'fhéadfaí a áireamh leis sin breithiúnais ó chúirteanna nó ó bhinsí nó cinntí ó údaráis riaracháin i dtríú tíortha lena gceanglaítear ar rialaitheoir nó ar phróiseálaí sonraí pearsanta a aistriú nó a nochtadh, agus nach bhfuil bunaithe ar chomhaontú idirnáisiúnta, amhail conradh ar chúnamh dlíthiúil frithpháirteach, i bhfeidhm idir an tríú tír iarrthach agus an tAontas nó Ballstát. D'fhéadfadh sé go sárófaí dlí idirnáisiúnta dá gcuirfí na dlíthe, na rialacháin agus na gníomhartha dlí eile sin i bhfeidhm lasmuigh de dhlínse na dtíortha sin agus d'fhéadfadh sé cur isteach ar an gcosaint do dhaoine nádúrtha a áirithítear san Aontas leis an Rialachán seo. Níor cheart aistrithe a cheadú ach i gcás ina gcomhlíontar coinníollacha an Rialacháin seo maidir le haistrithe chuig tríú tíortha. Féadfaidh an cás a bheith amhlaidh, inter alia, má tá gá leis an nochtadh ar fhoras tábhachtach leasa phoiblí a aithnítear i ndlí an Aontais nó i ndlí Ballstáit a bhfuil an rialaitheoir faoina réir.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 49 GDPR:
7.5.1 Identify basis for PII transfer between jurisdictions
Control
The organization should identify and document the relevant basis for transfers of PII between jurisdictions.
Implementation guidance
PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).
(EN) […]
(EN) Sign in
to read the full text