ISO 27701
Premessi
(103) Il-Kummissjoni tista' tiddeċiedi b'effett għall-Unjoni kollha li pajjiż terz, territorju jew settur speċifikat f'pajjiż terz, jew organizzazzjoni internazzjonali, joffru livell adegwat ta' protezzjoni tad-data, u b'hekk jipprovdu ċertezza legali u uniformità madwar l-Unjoni fir-rigward tal-pajjiż terz jew l-organizzazzjoni internazzjonali li huma kkunsidrati li jipprovdu dan il-livell ta' protezzjoni. F'tali każijiet, it-trasferimenti ta' data personali lejn dak il-pajjiż terz jew organizzazzjoni internazzjonali jistgħu jsiru mingħajr il-ħtieġa li tinkiseb kwalunkwe awtorizzazzjoni oħra. Il-Kummissjoni tista' tiddeċiedi wkoll, meta tkun tat notifika u ġustifikazzjoni sħiħa li tagħti r-raġunijiet lill-pajjiż terz jew organizzazzjoni internazzjonali, li tirrevoka tali deċiżjoni.
(104) F'konformità mal-valuri fundamentali li fuqhom hija bbażata l-Unjoni, b'mod partikolari l-protezzjoni tad-drittijiet tal-bniedem, il-Kummissjoni, fil-valutazzjoni tagħha tal-pajjiż terz jew ta' territorju jew settur speċifikat f'pajjiż terz, għandha tikkunsidra kif pajjiż terz partikolari jirrispetta l-istat tad-dritt, l-aċċess għall-ġustizzja kif ukoll ir-regoli u l-istandards internazzjonali tad-drittijiet tal-bniedem u l-liġi ġenerali u settorjali tagħha, inkluż leġiżlazzjoni dwar is-sigurtà pubblika, id-difiża u s-sigurtà nazzjonali kif ukoll l-ordni pubbliku u l-liġi kriminali. L-adozzjoni ta' deċiżjoni ta' adegwatezza fir-rigward ta' territorju jew settur speċifikat f'pajjiż terz għandha tieħu kont ta' kriterji ċari u oġġettivi, bħall-attivitajiet ta' pproċessar speċifiċi u l-kamp ta' applikazzjoni tal-istandards legali applikabbli u l-leġiżlazzjoni fis-seħħ fil-pajjiż terz. Il-pajjiż terz għandu joffri garanziji li jiżguraw livell adegwat ta' protezzjoni essenzjalment ekwivalenti għal dak żgurat fl-Unjoni, b'mod partikolari fejn id-data personali tkun ipproċessata f'settur speċifiku wieħed jew aktar. B'mod partikolari, il-pajjiż terz għandu jiżgura superviżjoni effettiva u indipendenti tal-protezzjoni tad-data u għandu jipprevedi mekkaniżmi ta' kooperazzjoni mal-awtoritajiet tal-Istati Membri għall-protezzjoni tad-data, u s-suġġetti tad-data għandhom jingħataw drittijiet effettivi u infurzabbli u rimedju amministrattiv u ġudizzjarju effettiv.
(105) Minbarra l-impenji internazzjonali li jkun daħal għalihom il-pajjiż terz jew l-organizzazzjoni internazzjonali, il-Kummissjoni għandha tieħu kont tal-obbligi li jirriżultaw mill-parteċipazzjoni tal-pajjiż terz jew tal-organizzazzjoni internazzjonali f'sistemi multilaterali jew reġjonali b'mod partikolari fir-rigward tal-protezzjoni tad-data personali, kif ukoll l-implimentazzjoni ta' dawn l-obbligi. B'mod partikolari, għandu jittieħed kont tal-adeżjoni ta' pajjiż terz għall-Konvenzjoni tal-Kunsill tal-Ewropa tat-28 ta' Jannar 1981 dwar il-Protezzjoni tal-Individwi fir-rigward tal-Ipproċessar Awtomatiku tad-Data Personali u l-Protokoll Addizzjonali tagħha. Il-Kummissjoni għandha tikkonsulta mal-Bord meta tivvaluta l-livell ta' protezzjoni f'pajjiżi terzi jew organizzazzjonijiet internazzjonali.
(106) Il-Kummissjoni għandha tissorvelja l-funzjonament ta' deċiżjonijiet fil-livell tal-protezzjoni f'pajjiż terz, territorju jew settur speċifikat f'pajjiż terz, jew organizzazzjoni internazzjonali, u tissorvelja l-funzjonament ta' deċiżjonijiet adottati abbażi tal-Artikolu 25(6) jew l-Artikolu 26 (4) tad-Direttiva 95/46/KE. Fid-deċiżjonijiet ta' adegwatezza tagħha, il-Kummissjoni għandha tipprovdi mekkaniżmu ta' rieżami perjodiku tal-funzjonament tagħhom. Dak ir-rieżami perjodiku għandu jitwettaq b'konsultazzjoni mal-pajjiż terz jew organizzazzjoni internazzjonali inkwistjoni u jieħu kont tal-iżviluppi rilevanti kollha fil-pajjiż terz jew l-organizzazzjoni internazzjonali. Għall-iskopijiet ta' monitoraġġ u twettiq tar-rieżamijiet perjodiċi, il-Kummissjoni għandha tqis il-fehmiet u l-konklużjonijiet tal-Parlament Ewropew u tal-Kunsill kif ukoll ta' korpi rilevanti u sorsi oħra. Il-Kummissjoni għandha tevalwa, fi żmien raġonevoli, il-funzjonament ta' dawn id-deċiżjonijiet tal-aħħar u tirrapporta kwalunkwe konklużjoni rilevanti lill-Kumitat fis-sens tar-Regolament (UE) Nru 182/2011 tal-Parlament Ewropew u tal-Kunsill (12) kif stabbilit taħt dan ir-Regolament, lill-Parlament Ewropew u lill-Kunsill.
(12) Regolament (UE) Nru 182/2011 tal-Parlament Ewropew u tal-Kunsill tas-16 ta' Frar 2011 li jistabbilixxi r-regoli u l-prinċipji ġenerali dwar il-modalitajiet ta' kontroll mill-Istati Membri tal-eżerċizzju mill-Kummissjoni tas-setgħat ta' implimentazzjoni (ĠU L 55, 28.2.2011, p. 13). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:055:TOC
(107) Il-Kummissjoni tista' tirrikonoxxi li pajjiż terz, territorju jew settur speċifikat f'pajjiż terz, jew organizzazzjoni internazzjonali ma jibqgħux jiżguraw livell adegwat ta' protezzjoni tad-data. Konsegwentement, it-trasferiment ta' data personali lejn pajjiż terz jew organizzazzjoni internazzjonali għandu jkun ipprojbit, dment li r-rekwiżiti f'dan ir-Regolament relatati ma' trasferimenti suġġetti għal garanziji adegwati, inklużi regoli korporattivi vinkolanti, u derogi għal sitwazzjonijiet speċifiċi ma jiġux sodisfatti. F'dak il-każ, għandhom ikunu previsti konsultazzjonijiet bejn il-Kummissjoni u tali pajjiżi terzi jew tali organizzazzjonijiet internazzjonali. Il-Kummissjoni għandha tinforma fil-ħin lill-pajjiż terz jew l-organizzazzjoni internazzjonali bir-raġunijiet u tidħol f'konsultazzjonijiet miegħu/magħha sabiex tirrimedja għas-sitwazzjoni.
Linji ta 'Gwida & Ġurisprudenza
(EN)
Documents
Article 29 Working Party, Adequacy Referential (2018).
EDPS, Strategy for Union institutions, offices, bodies and agencies to comply with the ‘Schrems II’ Ruling (2020).
EDPB, Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data (2021).
EDPB, Recommendations 1/2021 on the Adequacy Referential under the Law Enforcement Directive (2021).
Case Law
CJEU, Schrems/Data Protection Commissioner, C-362/14 (2015).
CJEU, Draft Agreement between Canada and the European Union, opinion 1/15 (2017).
CJEU, Data Protection Commissioner/Facebook Ireland Ltd and Schrems, C-311/18 (2020).
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 45 GDPR:
7.5.1 Identify basis for PII transfer between jurisdictions
Control
The organization should identify and document the relevant basis for transfers of PII between jurisdictions.
Implementation guidance
PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).
(EN) […]
(EN) Sign in
to read the full text