Meer
Navigatie
HOOFDSTUK I Algemene bepalingen (1-4)
Artikel 1. Onderwerp en doelstellingenArtikel 2. Materieel toepassingsgebiedArtikel 3. Territoriaal toepassingsgebiedArtikel 4. Definities
HOOFDSTUK II Beginselen (5-11)
Artikel 5. Beginselen inzake verwerking van persoonsgegevensArtikel 6. Rechtmatigheid van de verwerkingArtikel 7. Voorwaarden voor toestemmingArtikel 8. Voorwaarden voor de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappijArtikel 9. Verwerking van bijzondere categorieën van persoonsgegevensArtikel 10. Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feitenArtikel 11. Verwerking waarvoor identificatie niet is vereist
HOOFDSTUK III Rechten van de betrokkene (12-23)
Artikel 12. Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkeneArtikel 13. Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameldArtikel 14. Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregenArtikel 15. Recht van inzage van de betrokkeneArtikel 16. Recht op rectificatieArtikel 17. Recht op gegevenswissing („recht op vergetelheid”)Artikel 18. Recht op beperking van de verwerkingArtikel 19. Kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperkingArtikel 20. Recht op overdraagbaarheid van gegevensArtikel 21. Recht van bezwaarArtikel 22. Geautomatiseerde individuele besluitvorming, waaronder profileringArtikel 23. Beperkingen
HOOFDSTUK IV Verwerkingsverantwoordelijke en verwerker (24-43)
Artikel 24. Onderwerp en doelstellingenArtikel 25. Gegevensbescherming door ontwerp en door standaardinstellingenArtikel 26. Gezamenlijke verwerkingsverantwoordelijkenArtikel 27. Vertegenwoordigers van niet in de Unie gevestigde verwerkingsverantwoordelijken of verwerkersArtikel 28. VerwerkerArtikel 29. Verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerkerArtikel 30. Register van de verwerkingsactiviteitenArtikel 31. Medewerking met de toezichthoudende autoriteitArtikel 32. Beveiliging van de verwerkingArtikel 33. Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteitArtikel 34. Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkeneArtikel 35. GegevensbeschermingseffectbeoordelingArtikel 36. Voorafgaande raadplegingArtikel 37. Aanwijzing van de functionaris voor gegevensbeschermingArtikel 38. Positie van de functionaris voor gegevensbeschermingArtikel 39. Taken van de functionaris voor gegevensbeschermingArtikel 40. GedragscodesArtikel 41. Toezicht op goedgekeurde gedragscodesArtikel 42. CertificeringArtikel 43. Certificeringsorganen
HOOFDSTUK V Doorgiften van persoonsgegevens aan derde landen of internationale organisaties (44-50)
Artikel 44. Algemeen beginsel inzake doorgiften
Artikel 45. Doorgiften op basis van adequaatheidsbesluiten
Artikel 46. Doorgiften op basis van passende waarborgenArtikel 47. Bindende bedrijfsvoorschriftenArtikel 48. Niet bij Unierecht toegestane doorgiften of verstrekkingenArtikel 49. Afwijkingen voor specifieke situatiesArtikel 50. Internationale samenwerking voor de bescherming van persoonsgegevens
HOOFDSTUK VI Onafhankelijke toezichthoudende autoriteiten (51-59)
Artikel 51. Toezichthoudende autoriteitArtikel 52. OnafhankelijkheidArtikel 53. Algemene voorwaarden voor de leden van de toezichthoudende autoriteitArtikel 54. Regels inzake de oprichting van de toezichthoudende autoriteitArtikel 55. CompetentieArtikel 56. Competentie van de leidende toezichthoudende autoriteitArtikel 57. TakenArtikel 58. BevoegdhedenArtikel 59. Activiteitenverslagen
HOOFDSTUK VII Samenwerking en coherentie (60-70)
Artikel 60. Samenwerking tussen de leidende toezichthoudende autoriteit en de andere betrokken toezichthoudende autoriteitenArtikel 61. Wederzijdse bijstandArtikel 62. Gezamenlijke werkzaamheden van toezichthoudende autoriteitenArtikel 63. CoherentiemechanismeArtikel 64. Advies van het ComitéArtikel 65. Geschillenbeslechting door het ComitéArtikel 66. SpoedprocedureArtikel 67. Uitwisseling van informatieArtikel 68. Europees Comité voor gegevensbeschermingArtikel 69. OnafhankelijkheidArtikel 70. Taken van het ComitéArtikel 71. RapportageArtikel 72. ProcedureArtikel 73. VoorzitterArtikel 74. Taken van de voorzitterArtikel 75. SecretariaatArtikel 76. Vertrouwelijkheid
HOOFDSTUK VIII Beroep, aansprakelijkheid en sancties (77-84)
Artikel 77. Recht om klacht in te dienen bij een toezichthoudende autoriteitArtikel 78. Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteitArtikel 79. Recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of een verwerkerArtikel 80. Vertegenwoordiging van betrokkenenArtikel 81. Schorsing van de procedureArtikel 82. Recht op schadevergoeding en aansprakelijkheidArtikel 83. Algemene voorwaarden voor het opleggen van administratieve geldboetenArtikel 84. Sancties
HOOFDSTUK IX Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking (85-91)
Artikel 85. Verwerking en vrijheid van meningsuiting en van informatieArtikel 86. Verwerking en recht van toegang van het publiek tot officiële documentenArtikel 87. Verwerking van het nationaal identificatienummerArtikel 88. Verwerking in het kader van de arbeidsverhoudingArtikel 89. Waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleindenArtikel 90. GeheimhoudingsplichtArtikel 91. Bestaande gegevensbeschermingsregels van kerken en religieuze verenigingen
HOOFDSTUK X Gedelegeerde handelingen en uitvoeringshandelingen (92-93)
Artikel 92. Uitoefening van de bevoegdheidsdelegatieArtikel 93. Comitéprocedure
HOOFDSTUK XI Slotbepalingen (94-95)
Artikel 94. Intrekking van Richtlijn 95/46/EGArtikel 95. Verhouding tot Richtlijn 2002/58/EGArtikel 96. Verhouding tot eerder gesloten overeenkomstenArtikel 97. CommissieverslagenArtikel 98. Toetsing van andere Unierechtshandelingen inzake gegevensbeschermingArtikel 99. Inwerkingtreding en toepassing
AVG (GDPR) > Artikel 45. Doorgiften op basis van adequaatheidsbesluiten
Download PDF

Artikel 45 AVG (GDPR). Doorgiften op basis van adequaatheidsbesluiten

Article 45 GDPR. Transfers on the basis of an adequacy decision

1. Een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie kan plaatsvinden wanneer de Commissie heeft besloten dat het derde land, een gebied of één of meerdere nader bepaalde sectoren in dat derde land, of de internationale organisatie in kwestie een passend beschermingsniveau waarborgt. Voor een dergelijke doorgifte is geen specifieke toestemming nodig.

1. A transfer of personal data to a third country or an international organisation may take place where the Commission has decided that the third country, a territory or one or more specified sectors within that third country, or the international organisation in question ensures an adequate level of protection. Such a transfer shall not require any specific authorisation.

Overwegingen
Overwegingen

(103) De Commissie kan besluiten, met rechtskracht voor de gehele Unie, dat een derde land, een gebied of een welbepaalde sector in een derde land, of een internationale organisatie een passend niveau van gegevensbescherming bieden, en daarmee in de gehele Unie rechtszekerheid en eenvormigheid verschaffen ten aanzien van het derde land dat of de internationale organisatie die wordt geacht een dergelijk beschermingsniveau te bieden. In zulke gevallen mogen persoonsgegevens naar dat derde land of die internationale organisatie worden doorgegeven zonder dat verdere toestemming noodzakelijk is. De Commissie kan eveneens besluiten om, nadat zij het derde land of de internationale organisatie daarvan in kennis heeft gesteld en een volledige toelichting van haar beweegredenen heeft gegeven, een dergelijk besluit in te trekken.

(103) The Commission may decide with effect for the entire Union that a third country, a territory or specified sector within a third country, or an international organisation, offers an adequate level of data protection, thus providing legal certainty and uniformity throughout the Union as regards the third country or international organisation which is considered to provide such level of protection. In such cases, transfers of personal data to that third country or international organisation may take place without the need to obtain any further authorisation. The Commission may also decide, having given notice and a full statement setting out the reasons to the third country or international organisation, to revoke such a decision.

2. Bij de beoordeling van de vraag of het beschermingsniveau adequaat is, houdt de Commissie met name rekening met de volgende aspecten:

2. When assessing the adequacy of the level of protection, the Commission shall, in particular, take account of the following elements:

Overwegingen
Overwegingen

(104) Overeenkomstig de fundamentele waarden waarop de Unie is gegrondvest, in het bijzonder de bescherming van de mensenrechten, dient de Commissie bij haar beoordeling van het derde land of van een grondgebied of een specifieke verwerkingssector binnen een derde land, in aanmerking te nemen in welke mate de rechtsstatelijkheid, de toegang tot de rechter en de internationale mensenrechtennormen en -regels in het derde land worden geëerbiedigd, en dient zij de algemene en sectorale wetgeving, waaronder de wetgeving betreffende openbare veiligheid, defensie en nationale veiligheid en openbare orde en strafrecht, van het land in aanmerking te nemen. Bij de vaststelling van een adequaatheidsbesluit (besluit waarbij het beschermingsniveau adequaat wordt verklaard) voor een grondgebied of een specifieke sector in een derde land, moeten er duidelijke en objectieve criteria worden vastgesteld, zoals specifieke verwerkingsactiviteiten en het toepassingsgebied van de geldende wettelijke normen en wetgeving in het derde land. Het derde land dient zich ertoe te verbinden een passend beschermingsniveau te waarborgen, in feite overeenkomend met het niveau dat in de Unie wordt verzekerd, vooral wanneer persoonsgegevens in één of meer specifieke sectoren worden verwerkt. Het derde land dient met name te zorgen voor effectief en onafhankelijk toezicht op de gegevensbescherming en voor mechanismen van samenwerking met de autoriteiten op het gebied van gegevensbescherming van de lidstaten. Voorts dienen de betrokkenen te beschikken over daadwerkelijke en afdwingbare rechten en daadwerkelijk administratief beroep en beroep in rechte te kunnen instellen.

(104) In line with the fundamental values on which the Union is founded, in particular the protection of human rights, the Commission should, in its assessment of the third country, or of a territory or specified sector within a third country, take into account how a particular third country respects the rule of law, access to justice as well as international human rights norms and standards and its general and sectoral law, including legislation concerning public security, defence and national security as well as public order and criminal law. The adoption of an adequacy decision with regard to a territory or a specified sector in a third country should take into account clear and objective criteria, such as specific processing activities and the scope of applicable legal standards and legislation in force in the third country. The third country should offer guarantees ensuring an adequate level of protection essentially equivalent to that ensured within the Union, in particular where personal data are processed in one or several specific sectors. In particular, the third country should ensure effective independent data protection supervision and should provide for cooperation mechanisms with the Member States' data protection authorities, and the data subjects should be provided with effective and enforceable rights and effective administrative and judicial redress.

(105) Afgezien van de internationale verplichtingen die het derde land of de internationale organisatie is aangegaan, dient de Commissie rekening te houden met de verplichtingen die voortvloeien uit de deelneming van het derde land of de internationale organisatie aan multilaterale of regionale regelingen, in het bijzonder wat de bescherming van persoonsgegevens betreft, alsook met de uitvoering van deze verplichtingen. Meer bepaald moet rekening worden gehouden met de toetreding van het derde land tot het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens en het bijbehorende Aanvullend Protocol. Bij de beoordeling van het beschermingsniveau in derde landen of internationale organisaties dient de Commissie overleg te plegen met het Comité.

(105) Apart from the international commitments the third country or international organisation has entered into, the Commission should take account of obligations arising from the third country's or international organisation's participation in multilateral or regional systems in particular in relation to the protection of personal data, as well as the implementation of such obligations. In particular, the third country's accession to the Council of Europe Convention of 28 January 1981 for the Protection of Individuals with regard to the Automatic Processing of Personal Data and its Additional Protocol should be taken into account. The Commission should consult the Board when assessing the level of protection in third countries or international organisations.

a) de rechtsstatelijkheid, de eerbiediging van de mensenrechten en de fundamentele vrijheden, de toepasselijke algemene en sectorale wetgeving, onder meer inzake openbare veiligheid, defensie, nationale veiligheid en strafrecht en de toegang van overheidsinstanties tot persoonsgegevens, evenals de tenuitvoerlegging van die wetgeving, gegevensbeschermingsregels, beroepsregels en veiligheidsmaatregelen, met inbegrip van regels voor de verdere doorgifte van persoonsgegevens aan een ander derde land of een andere internationale organisatie die in dat land of die internationale organisatie worden nageleefd, precedenten in de rechtspraak, alsmede het bestaan van effectieve en afdwingbare rechten van betrokkenen en effectieve mogelijkheden om administratief beroep of beroep in rechte in te stellen voor betrokkenen wier persoonsgegevens worden doorgegeven;

(a) the rule of law, respect for human rights and fundamental freedoms, relevant legislation, both general and sectoral, including concerning public security, defence, national security and criminal law and the access of public authorities to personal data, as well as the implementation of such legislation, data protection rules, professional rules and security measures, including rules for the onward transfer of personal data to another third country or international organisation which are complied with in that country or international organisation, case-law, as well as effective and enforceable data subject rights and effective administrative and judicial redress for the data subjects whose personal data are being transferred;

b) het bestaan en het effectief functioneren van een of meer onafhankelijke toezichthoudende autoriteiten in het derde land of waaraan een internationale organisatie is onderworpen, welke tot taak heeft of hebben de naleving van de gegevensbeschermingsregels te verzekeren en deze onder meer met passende handhavingsbevoegdheden te handhaven, betrokkenen bij de uitoefening van hun rechten bij te staan en te adviseren en met de toezichthoudende autoriteiten van de lidstaten samen te werken; en

(b) the existence and effective functioning of one or more independent supervisory authorities in the third country or to which an international organisation is subject, with responsibility for ensuring and enforcing compliance with the data protection rules, including adequate enforcement powers, for assisting and advising the data subjects in exercising their rights and for cooperation with the supervisory authorities of the Member States; and

c) de internationale toezeggingen die het derde land of de internationale organisatie in kwestie heeft gedaan, of andere verplichtingen die voortvloeien uit juridisch bindende overeenkomsten of instrumenten, alsmede uit de deelname van dat derde land of die internationale organisatie aan multilaterale of regionale regelingen, in het bijzonder met betrekking tot de bescherming van persoonsgegevens.

(c) the international commitments the third country or international organisation concerned has entered into, or other obligations arising from legally binding conventions or instruments as well as from its participation in multilateral or regional systems, in particular in relation to the protection of personal data.

3. De Commissie kan, na de beoordeling van de vraag of het beschermingsniveau adequaat is, door middel van een uitvoeringshandeling besluiten dat een derde land, een gebied of één of meerdere nader bepaalde sectoren in een derde land, of een internationale organisatie een passend beschermingsniveau in de zin van lid 2 van dit artikel waarborgt. De uitvoeringshandeling voorziet in een mechanisme voor periodieke toetsing, minstens om de vier jaar, waarbij alle relevante ontwikkelingen in het derde land of de internationale organisatie in aanmerking worden genomen. In de uitvoeringshandeling worden het territoriale en het sectorale toepassingsgebied vermeld, alsmede, in voorkomend geval, de in lid 2, punt b), van dit artikel genoemde toezichthoudende autoriteit(en). De uitvoeringshandeling wordt vastgesteld volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure.

3. The Commission, after assessing the adequacy of the level of protection, may decide, by means of implementing act, that a third country, a territory or one or more specified sectors within a third country, or an international organisation ensures an adequate level of protection within the meaning of paragraph 2 of this Article. The implementing act shall provide for a mechanism for a periodic review, at least every four years, which shall take into account all relevant developments in the third country or international organisation. The implementing act shall specify its territorial and sectoral application and, where applicable, identify the supervisory authority or authorities referred to in point (b) of paragraph 2 of this Article. The implementing act shall be adopted in accordance with the examination procedure referred to in Article 93(2).

Verbindingen
Verbindingen

4. De Commissie houdt doorlopend toezicht op ontwikkelingen in derde landen en internationale organisaties die mogelijk gevolgen hebben voor het functioneren van krachtens lid 3 van dit artikel vastgestelde besluiten en van op grond van artikel 25, lid 6, van Richtlijn 95/46/EG vastgestelde besluiten.

4. The Commission shall, on an ongoing basis, monitor developments in third countries and international organisations that could affect the functioning of decisions adopted pursuant to paragraph 3 of this Article and decisions adopted on the basis of Article 25(6) of Directive 95/46/EC.

Overwegingen
Overwegingen

(106) De Commissie dient toe te zien op de werking van de besluiten over het beschermingsniveau in een derde land, een gebied of welbepaalde sector in een derde land of in een internationale organisatie, en op de besluiten die zijn genomen op grond van artikel 25, lid 6, of artikel 26, lid 4, van Richtlijn 95/46/EG. De Commissie dient in haar adequaatheidsbesluiten waarbij het beschermingsniveau passend wordt verklaard een periodiek toetsingsmechanisme voor het functioneren ervan op te nemen. Die periodieke toetsing dient in overleg met het derde land of de internationale organisatie in kwestie te worden uitgevoerd en moet rekening houden met alle relevante ontwikkelingen in het derde land of de internationale organisatie. Met het oog op het toezicht en de uitvoering van de periodieke toetsingen, dient de Commissie rekening te houden met de opvattingen en bevindingen van het Europees Parlement en van de Raad, evenals met andere relevante organisaties en bronnen. De Commissie moet binnen een redelijke termijn de werking van laatstgenoemde besluiten evalueren en alle relevante vaststellingen rapporteren aan het comité in de zin van Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (12), als opgericht uit hoofde van de onderhavige verordening, aan het Europees Parlement en aan de Raad.

(106) The Commission should monitor the functioning of decisions on the level of protection in a third country, a territory or specified sector within a third country, or an international organisation, and monitor the functioning of decisions adopted on the basis of Article 25(6) or Article 26(4) of Directive 95/46/EC. In its adequacy decisions, the Commission should provide for a periodic review mechanism of their functioning. That periodic review should be conducted in consultation with the third country or international organisation in question and take into account all relevant developments in the third country or international organisation. For the purposes of monitoring and of carrying out the periodic reviews, the Commission should take into consideration the views and findings of the European Parliament and of the Council as well as of other relevant bodies and sources. The Commission should evaluate, within a reasonable time, the functioning of the latter decisions and report any relevant findings to the Committee within the meaning of Regulation (EU) No 182/2011 of the European Parliament and of the Council [12] as established under this Regulation, to the European Parliament and to the Council.

(12) Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:055:TOC

[12] Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by Member States of the Commission's exercise of implementing powers (OJ L 55, 28.2.2011, p. 13). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:055:TOC

5. De Commissie gaat, wanneer uit beschikbare informatie blijkt, in het bijzonder naar aanleiding van de in lid 3 van dit artikel bedoelde toetsing, dat een derde land, een gebied of één of meerdere nader bepaalde sectoren in een derde land, of een internationale organisatie niet langer een passend beschermingsniveau in de zin van lid 2 van dit artikel waarborgt, voor zover nodig, bij uitvoeringshandelingen zonder terugwerkende kracht over tot intrekking, wijziging of schorsing van het in lid 3 van dit artikel bedoelde besluit. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure.

5. The Commission shall, where available information reveals, in particular following the review referred to in paragraph 3 of this Article, that a third country, a territory or one or more specified sectors within a third country, or an international organisation no longer ensures an adequate level of protection within the meaning of paragraph 2 of this Article, to the extent necessary, repeal, amend or suspend the decision referred to in paragraph 3 of this Article by means of implementing acts without retro-active effect. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 93(2).

Verbindingen
Verbindingen

Om naar behoren gemotiveerde dwingende redenen van urgentie, stelt de Commissie onmiddellijk van toepassing zijnde uitvoeringshandelingen vast volgens de in artikel 93, lid 3, bedoelde procedure.

On duly justified imperative grounds of urgency, the Commission shall adopt immediately applicable implementing acts in accordance with the procedure referred to in Article 93(3).

Verbindingen
Verbindingen

6. De Commissie pleegt overleg met het derde land of de internationale organisatie om de situatie naar aanleiding waarvan het besluit overeenkomstig lid 5 is vastgesteld, te verhelpen.

6. The Commission shall enter into consultations with the third country or international organisation with a view to remedying the situation giving rise to the decision made pursuant to paragraph 5.

Overwegingen
Overwegingen

(107) De Commissie kan vaststellen dat een derde land, een gebied of een bepaalde verwerkingssector in een derde land, of een internationale organisatie geen passend beschermingsniveau meer waarborgt. De doorgifte van persoonsgegevens naar dat derde land of die internationale organisatie dient dan te worden verboden, tenzij aan de vereisten van deze verordening met betrekking tot doorgiften die onderworpen zijn aan passende waarborgen, met inbegrip van bindende bedrijfsvoorschriften, en afwijkingen voor specifieke situaties wordt voldaan. Er dient te worden geregeld dat er in die gevallen overleg plaatsvindt tussen de Commissie en de derde landen of internationale organisaties in kwestie. De Commissie moet het derde land of de internationale organisatie tijdig op de hoogte brengen van haar motivering en met de andere partij in overleg treden om de situatie te verhelpen.

(107) The Commission may recognise that a third country, a territory or a specified sector within a third country, or an international organisation no longer ensures an adequate level of data protection. Consequently the transfer of personal data to that third country or international organisation should be prohibited, unless the requirements in this Regulation relating to transfers subject to appropriate safeguards, including binding corporate rules, and derogations for specific situations are fulfilled. In that case, provision should be made for consultations between the Commission and such third countries or international organisations. The Commission should, in a timely manner, inform the third country or international organisation of the reasons and enter into consultations with it in order to remedy the situation.

7. Een overeenkomstig lid 5 van dit artikel vastgesteld besluit laat de doorgiften van persoonsgegevens aan het derde land, of een gebied of één of meerdere nader bepaalde sectoren in dat derde land, of de internationale organisatie in kwestie overeenkomstig de artikelen 46 tot en met 49 onverlet.

7. A decision pursuant to paragraph 5 of this Article is without prejudice to transfers of personal data to the third country, a territory or one or more specified sectors within that third country, or the international organisation in question pursuant to Articles 46 to 49.

Verbindingen
Verbindingen

8. De Commissie maakt in het Publicatieblad van de Europese Unie en op haar website een lijst bekend van de derde landen, gebieden en nader bepaalde sectoren in derde landen en internationale organisaties waarvoor zij bij besluit heeft vastgesteld dat deze wel of niet langer een passend beschermingsniveau waarborgen.

8. The Commission shall publish in the Official Journal of the European Union and on its website a list of the third countries, territories and specified sectors within a third country and international organisations for which it has decided that an adequate level of protection is or is no longer ensured.

9. De besluiten die de Commissie op grond van artikel 25, lid 6, van Richtlijn 95/46/EG heeft vastgesteld, blijven van kracht, totdat zij worden gewijzigd, vervangen of ingetrokken bij een overeenkomstig lid 3 of lid 5 van dit artikel vastgesteld besluit van de Commissie.

9. Decisions adopted by the Commission on the basis of Article 25(6) of Directive 95/46/EC shall remain in force until amended, replaced or repealed by a Commission Decision adopted in accordance with paragraph 3 or 5 of this Article.

Algemene verordening gegevensbescherming (AVG, GDPR)

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

ISO 27701 Overwegingen Richtlijnen & Case Law laat een reactie achter
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 45 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).

(EN) […]


to read the full text

Overwegingen

(103) De Commissie kan besluiten, met rechtskracht voor de gehele Unie, dat een derde land, een gebied of een welbepaalde sector in een derde land, of een internationale organisatie een passend niveau van gegevensbescherming bieden, en daarmee in de gehele Unie rechtszekerheid en eenvormigheid verschaffen ten aanzien van het derde land dat of de internationale organisatie die wordt geacht een dergelijk beschermingsniveau te bieden. In zulke gevallen mogen persoonsgegevens naar dat derde land of die internationale organisatie worden doorgegeven zonder dat verdere toestemming noodzakelijk is. De Commissie kan eveneens besluiten om, nadat zij het derde land of de internationale organisatie daarvan in kennis heeft gesteld en een volledige toelichting van haar beweegredenen heeft gegeven, een dergelijk besluit in te trekken.

(103) The Commission may decide with effect for the entire Union that a third country, a territory or specified sector within a third country, or an international organisation, offers an adequate level of data protection, thus providing legal certainty and uniformity throughout the Union as regards the third country or international organisation which is considered to provide such level of protection. In such cases, transfers of personal data to that third country or international organisation may take place without the need to obtain any further authorisation. The Commission may also decide, having given notice and a full statement setting out the reasons to the third country or international organisation, to revoke such a decision.

(104) Overeenkomstig de fundamentele waarden waarop de Unie is gegrondvest, in het bijzonder de bescherming van de mensenrechten, dient de Commissie bij haar beoordeling van het derde land of van een grondgebied of een specifieke verwerkingssector binnen een derde land, in aanmerking te nemen in welke mate de rechtsstatelijkheid, de toegang tot de rechter en de internationale mensenrechtennormen en -regels in het derde land worden geëerbiedigd, en dient zij de algemene en sectorale wetgeving, waaronder de wetgeving betreffende openbare veiligheid, defensie en nationale veiligheid en openbare orde en strafrecht, van het land in aanmerking te nemen. Bij de vaststelling van een adequaatheidsbesluit (besluit waarbij het beschermingsniveau adequaat wordt verklaard) voor een grondgebied of een specifieke sector in een derde land, moeten er duidelijke en objectieve criteria worden vastgesteld, zoals specifieke verwerkingsactiviteiten en het toepassingsgebied van de geldende wettelijke normen en wetgeving in het derde land. Het derde land dient zich ertoe te verbinden een passend beschermingsniveau te waarborgen, in feite overeenkomend met het niveau dat in de Unie wordt verzekerd, vooral wanneer persoonsgegevens in één of meer specifieke sectoren worden verwerkt. Het derde land dient met name te zorgen voor effectief en onafhankelijk toezicht op de gegevensbescherming en voor mechanismen van samenwerking met de autoriteiten op het gebied van gegevensbescherming van de lidstaten. Voorts dienen de betrokkenen te beschikken over daadwerkelijke en afdwingbare rechten en daadwerkelijk administratief beroep en beroep in rechte te kunnen instellen.

(104) In line with the fundamental values on which the Union is founded, in particular the protection of human rights, the Commission should, in its assessment of the third country, or of a territory or specified sector within a third country, take into account how a particular third country respects the rule of law, access to justice as well as international human rights norms and standards and its general and sectoral law, including legislation concerning public security, defence and national security as well as public order and criminal law. The adoption of an adequacy decision with regard to a territory or a specified sector in a third country should take into account clear and objective criteria, such as specific processing activities and the scope of applicable legal standards and legislation in force in the third country. The third country should offer guarantees ensuring an adequate level of protection essentially equivalent to that ensured within the Union, in particular where personal data are processed in one or several specific sectors. In particular, the third country should ensure effective independent data protection supervision and should provide for cooperation mechanisms with the Member States' data protection authorities, and the data subjects should be provided with effective and enforceable rights and effective administrative and judicial redress.

(105) Afgezien van de internationale verplichtingen die het derde land of de internationale organisatie is aangegaan, dient de Commissie rekening te houden met de verplichtingen die voortvloeien uit de deelneming van het derde land of de internationale organisatie aan multilaterale of regionale regelingen, in het bijzonder wat de bescherming van persoonsgegevens betreft, alsook met de uitvoering van deze verplichtingen. Meer bepaald moet rekening worden gehouden met de toetreding van het derde land tot het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens en het bijbehorende Aanvullend Protocol. Bij de beoordeling van het beschermingsniveau in derde landen of internationale organisaties dient de Commissie overleg te plegen met het Comité.

(105) Apart from the international commitments the third country or international organisation has entered into, the Commission should take account of obligations arising from the third country's or international organisation's participation in multilateral or regional systems in particular in relation to the protection of personal data, as well as the implementation of such obligations. In particular, the third country's accession to the Council of Europe Convention of 28 January 1981 for the Protection of Individuals with regard to the Automatic Processing of Personal Data and its Additional Protocol should be taken into account. The Commission should consult the Board when assessing the level of protection in third countries or international organisations.

(106) De Commissie dient toe te zien op de werking van de besluiten over het beschermingsniveau in een derde land, een gebied of welbepaalde sector in een derde land of in een internationale organisatie, en op de besluiten die zijn genomen op grond van artikel 25, lid 6, of artikel 26, lid 4, van Richtlijn 95/46/EG. De Commissie dient in haar adequaatheidsbesluiten waarbij het beschermingsniveau passend wordt verklaard een periodiek toetsingsmechanisme voor het functioneren ervan op te nemen. Die periodieke toetsing dient in overleg met het derde land of de internationale organisatie in kwestie te worden uitgevoerd en moet rekening houden met alle relevante ontwikkelingen in het derde land of de internationale organisatie. Met het oog op het toezicht en de uitvoering van de periodieke toetsingen, dient de Commissie rekening te houden met de opvattingen en bevindingen van het Europees Parlement en van de Raad, evenals met andere relevante organisaties en bronnen. De Commissie moet binnen een redelijke termijn de werking van laatstgenoemde besluiten evalueren en alle relevante vaststellingen rapporteren aan het comité in de zin van Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (12), als opgericht uit hoofde van de onderhavige verordening, aan het Europees Parlement en aan de Raad.

(106) The Commission should monitor the functioning of decisions on the level of protection in a third country, a territory or specified sector within a third country, or an international organisation, and monitor the functioning of decisions adopted on the basis of Article 25(6) or Article 26(4) of Directive 95/46/EC. In its adequacy decisions, the Commission should provide for a periodic review mechanism of their functioning. That periodic review should be conducted in consultation with the third country or international organisation in question and take into account all relevant developments in the third country or international organisation. For the purposes of monitoring and of carrying out the periodic reviews, the Commission should take into consideration the views and findings of the European Parliament and of the Council as well as of other relevant bodies and sources. The Commission should evaluate, within a reasonable time, the functioning of the latter decisions and report any relevant findings to the Committee within the meaning of Regulation (EU) No 182/2011 of the European Parliament and of the Council [12] as established under this Regulation, to the European Parliament and to the Council.

(12) Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:055:TOC

[12] Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by Member States of the Commission's exercise of implementing powers (OJ L 55, 28.2.2011, p. 13). https://eur-lex.europa.eu/legal-content/EN/AUTO/?uri=OJ:L:2011:055:TOC

(107) De Commissie kan vaststellen dat een derde land, een gebied of een bepaalde verwerkingssector in een derde land, of een internationale organisatie geen passend beschermingsniveau meer waarborgt. De doorgifte van persoonsgegevens naar dat derde land of die internationale organisatie dient dan te worden verboden, tenzij aan de vereisten van deze verordening met betrekking tot doorgiften die onderworpen zijn aan passende waarborgen, met inbegrip van bindende bedrijfsvoorschriften, en afwijkingen voor specifieke situaties wordt voldaan. Er dient te worden geregeld dat er in die gevallen overleg plaatsvindt tussen de Commissie en de derde landen of internationale organisaties in kwestie. De Commissie moet het derde land of de internationale organisatie tijdig op de hoogte brengen van haar motivering en met de andere partij in overleg treden om de situatie te verhelpen.

(107) The Commission may recognise that a third country, a territory or a specified sector within a third country, or an international organisation no longer ensures an adequate level of data protection. Consequently the transfer of personal data to that third country or international organisation should be prohibited, unless the requirements in this Regulation relating to transfers subject to appropriate safeguards, including binding corporate rules, and derogations for specific situations are fulfilled. In that case, provision should be made for consultations between the Commission and such third countries or international organisations. The Commission should, in a timely manner, inform the third country or international organisation of the reasons and enter into consultations with it in order to remedy the situation.

Richtlijnen & Case Law laat een reactie achter
[js-disqus]