46 straipsnis 📖 BDAR. Duomenų perdavimas taikant tinkamas apsaugos priemones

46 straipsnis BDAR. Duomenų perdavimas taikant tinkamas apsaugos priemones

1. Jeigu nėra priimtas sprendimas pagal 45 straipsnio 3 dalį, duomenų valdytojas arba duomenų tvarkytojas gali perduoti asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai tik tuo atveju, jeigu duomenų valdytojas arba duomenų tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis.

Jungtys

45 straipsnis BDAR. Duomenų perdavimas remiantis sprendimu dėl tinkamumo

[…]

3. Komisija, įvertinusi apsaugos lygio tinkamumą, gali nuspręsti, priimdama įgyvendinimo aktą, kad trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečiojoje valstybėje, arba tarptautinė organizacija užtikrina tinkamo lygio apsaugą, kaip apibrėžta šio straipsnio 2 dalyje. Įgyvendinimo akte numatomas periodinės peržiūros, atliekamos bent kas ketverius metus, kuria atsižvelgiama į visus atitinkamus pokyčius trečiojoje valstybėje ar tarptautinėje organizacijoje, mechanizmas. Įgyvendinimo akte nustatoma jo teritorinė ir sektorinė taikymo sritis ir, kai taikoma, nurodoma šio straipsnio 2 dalies b punkte nurodyta priežiūros institucija ar institucijos. Įgyvendinimo aktas priimamas laikantis 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros.

[…]

2. 1 dalyje nurodytos tinkamos apsaugos priemonės, nereikalaujant specialaus priežiūros institucijos leidimo, gali būti nustatomos:

Konstatuojamosios dalys

(108) jei sprendimas dėl tinkamumo nepriimtas, duomenų valdytojas arba duomenų tvarkytojas turėtų duomenų subjektams numatyti tinkamas apsaugos priemones nepakankamai duomenų apsaugai trečiojoje valstybėje kompensuoti. Tokios tinkamos apsaugos priemonės galėtų būti rėmimasis įmonei privalomomis taisyklėmis, Komisijos priimtomis standartinėmis duomenų apsaugos sąlygomis, priežiūros institucijos priimtomis standartinėmis duomenų apsaugos sąlygomis arba priežiūros institucijos pripažintomis sutarties sąlygomis. Tomis apsaugos priemonėmis turėtų būti užtikrinama, kad būtų laikomasi duomenų apsaugos reikalavimų, ir užtikrinamos tvarkant duomenis Sąjungoje tinkamos duomenų subjektų teisės, įskaitant galimybes naudotis vykdytinomis duomenų subjekto teisėmis ir veiksmingomis teisių gynimo priemonėmis, be kita ko, naudotis veiksmingomis administracinėmis ar teisminėmis teisių gynimo priemonėmis ir reikalauti kompensacijos Sąjungoje ar trečiojoje valstybėje. Jos turėtų būti susijusios visų pirma su bendrųjų asmens duomenų tvarkymo principų, pritaikytosios ir standartizuotosios duomenų apsaugos principų laikymųsi. Valdžios institucijos ar įstaigos taip pat gali perduoti duomenis valdžios institucijoms ar įstaigoms trečiosiose valstybėse arba tarptautinėms organizacijoms, turinčioms atitinkamas pareigas ar atliekančioms atitinkamas funkcijas, be kita ko, remdamosi nuostatomis, kurios turi būti įtrauktos į administracinius susitarimus, pavyzdžiui, susitarimo memorandumą, kuriais numatomos vykdytinos ir veiksmingos duomenų subjektų teisės. Kai apsaugos priemonės yra nustatytos teisiškai neprivalomuose administraciniuose susitarimuose, turėtų būti gautas kompetentingos priežiūros institucijos leidimas;

(109) galimybė duomenų valdytojui arba duomenų tvarkytojui remtis Komisijos ar priežiūros institucijos priimtomis standartinėmis duomenų apsaugos sąlygomis neturėtų užkirsti kelio duomenų valdytojams arba duomenų tvarkytojams standartines duomenų apsaugos sąlygas įtraukti į platesnes sutartis, tokias kaip duomenų tvarkytojo sutartis su kitais duomenų tvarkytojais, ar jas papildyti kitomis sąlygomis ar papildomomis apsaugos sąlygomis, jei jos tiesiogiai ar netiesiogiai neprieštarauja Komisijos ar priežiūros institucijos priimtoms standartinėms sutarčių sąlygoms ar nedaro poveikio duomenų subjektų pagrindinėms teisėms ir laisvėms. Duomenų valdytojai ir duomenų tvarkytojai turėtų būti skatinami taikyti dar griežtesnes apsaugos priemones numatant sutartinius įsipareigojimus, papildančius standartines duomenų apsaugos sąlygas;

a) teisiškai privalomu ir vykdytinu valdžios institucijų arba įstaigų tarpusavio dokumentu;

Gairės & Byla Teisė

(EN)

Document

EDPB, Guidelines 2/2020 on Articles 46(2)(a) and 46(3)(b) of Regulation 2016/679 for Transfers of Personal Data Between EEA and Non-EEA Public Authorities and Bodies (2020).

b) įmonėms privalomomis taisyklėmis pagal 47 straipsnį;

Jungtys

47 straipsnis BDAR. Įmonei privalomos taisyklės

c) standartinėmis duomenų apsaugos sąlygomis, kurias Komisija priima laikydamasi 93 straipsnio 2 dalyje nurodytos nagrinėjimo procedūros;

Gairės & Byla Teisė Jungtys

Gairės & Byla Teisė

(EN) FAQs in order to address some issues raised by the entry into force of the EU Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC- WP 176 (57 kB) (12.07.2010)

EU controller to non-EU or EEA controller

EU controller to non-EU or EEA processor

decision 2010/87/EU

Jungtys

93 straipsnis BDAR. Komiteto procedūra

[…]

2. Kai daroma nuoroda į šią dalį, taikomas Reglamento (ES) Nr. 182/2011 5 straipsnis.

[…]

d) standartinėmis duomenų apsaugos sąlygomis, kurias priima priežiūros institucija ir pagal 93 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą patvirtina Komisija;

Jungtys

93 straipsnis BDAR. Komiteto procedūra

[…]

2. Kai daroma nuoroda į šią dalį, taikomas Reglamento (ES) Nr. 182/2011 5 straipsnis.

[…]

e) patvirtintu elgesio kodeksu pagal 40 straipsnį kartu su privalomais ir vykdytinais duomenų valdytojo arba duomenų tvarkytojo trečiojoje valstybėje įsipareigojimais taikyti tinkamas apsaugos priemones, be kita ko, susijusias su duomenų subjektų teisėmis; arba

Jungtys

40 straipsnis BDAR. Elgesio kodeksai

f) patvirtintu sertifikavimo mechanizmu pagal 42 straipsnį kartu su privalomais ir vykdytinais duomenų valdytojo arba duomenų tvarkytojo trečiojoje valstybėje įsipareigojimais taikyti tinkamas apsaugos priemones, be kita ko, susijusias su duomenų subjektų teisėmis.

Jungtys

42 straipsnis BDAR. Sertifikavimas

3. Gavus kompetentingos priežiūros institucijos leidimą, 1 dalyje nurodytos tinkamos apsaugos priemonės taip pat gali būti nustatomos, visų pirma:

a) duomenų valdytojo arba duomenų tvarkytojo ir duomenų valdytojo, duomenų tvarkytojo arba asmens duomenų gavėjo trečiojoje valstybėje arba tarptautinės organizacijos sutarčių sąlygomis; arba

b) nuostatomis, kurios turi būti įtrauktos į valdžios institucijų arba įstaigų tarpusavio administracinius susitarimus, kuriais numatomos vykdytinos ir veiksmingos duomenų subjektų teisės.

Gairės & Byla Teisė

(EN)

Document

EDPB, Guidelines 2/2020 on Articles 46(2)(a) and 46(3)(b) of Regulation 2016/679 for Transfers of Personal Data Between EEA and Non-EEA Public Authorities and Bodies (2020).

4. Šio straipsnio 3 dalyje nurodytais atvejais priežiūros institucija taiko 63 straipsnyje nurodytą nuoseklumo užtikrinimo mechanizmą.

Jungtys

63 straipsnis BDAR. Nuoseklumo užtikrinimo mechanizmas

Siekdamos padėti nuosekliai taikyti šį reglamentą visoje Sąjungoje, priežiūros institucijos bendradarbiauja tarpusavyje ir tam tikrais atvejais su Komisija pagal šiame skirsnyje nustatytą nuoseklumo užtikrinimo mechanizmą.

5. Leidimai, kuriuos valstybė narė arba priežiūros institucija suteikė remdamasi Direktyvos 95/46/EB 26 straipsnio 2 dalimi, lieka galioti tol, kol ta priežiūros institucija prireikus juos iš dalies pakeis, pakeis naujais leidimais arba panaikins. Sprendimai, kuriuos Komisija priėmė remdamasi Direktyvos 95/46/EB 26 straipsnio 4 dalimi, lieka galioti tol, kol Komisijos sprendimu, priimtu pagal šio straipsnio 2 dalį, jie bus prireikus iš dalies pakeisti, pakeisti naujais sprendimais arba panaikinti.

Europos Sąjungos Bendrasis duomenų apsaugos reglamentas (BDAR)

ISO 27701 Konstatuojamosios dalys Gairės & Byla Teisė Palikite komentarą

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 46 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).

…

Prisijungti
norėdami pasiekti visą tekstą

Konstatuojamosios dalys

Gairės & Byla Teisė

(EN)

Documents

EDPB, Guidelines 2/2020 on Articles 46(2)(a) and 46(3)(b) of Regulation 2016/679 for Transfers of Personal Data Between EEA and Non-EEA Public Authorities and Bodies (2020).

EDPB, Guidelines 3/2020 on the Processing of Data Concerning Health for the Purpose of Scientific Research in the Context of the Covid-19 Outbreak (2020).

EDPS, Strategy for Union institutions, offices, bodies and agencies to comply with the ‘Schrems II’ Ruling (2020).

EDPB, Guidelines 2/2020 on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies (2020).

This document seeks to provide guidance as to the application of Articles 46 (2) (a) and 46 (3) (b) of the General Data Protection Regulation (GDPR) on transfers of personal data from EEA public authorities or bodies to public bodies in third countries or to international organisations, to the extent that these are not covered by an adequacy finding adopted by the European Commission.

EDPB, Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data (2021).

EDPB, Guidelines 2/2020 on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies (2020).

EDPB, Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR (2021).

EDPB, Government access to data in third countries (2022).