Navigasjon
GDPR > Artikkel 49. Unntak for særlige situasjoner
Last ned PDF

Artikkel 49 GDPR. Unntak for særlige situasjoner

Article 49 GDPR. Derogations for specific situations

1. Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå i henhold til artikkel 45 nr. 3 eller nødvendige garantier i henhold til artikkel 46, herunder bindende virksomhetsregler, skal en overføring eller en rekke av overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon bare finne sted på et av følgende vilkår:

1. In the absence of an adequacy decision pursuant to Article 45(3), or of appropriate safeguards pursuant to Article 46, including binding corporate rules, a transfer or a set of transfers of personal data to a third country or an international organisation shall take place only on one of the following conditions:

Relaterte tekster

a) den registrerte uttrykkelig har samtykket til den foreslåtte overføringen etter å ha blitt informert om de mulige risikoene nevnte overføringer kan innebære for vedkommende når det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå og nødvendige garantier,

(a) the data subject has explicitly consented to the proposed transfer, after having been informed of the possible risks of such transfers for the data subject due to the absence of an adequacy decision and appropriate safeguards;

b) overføringen er nødvendig for å oppfylle en avtale mellom den registrerte og den behandlingsansvarlige eller for å gjennomføre tiltak som treffes før avtaleinngåelse på den registrertes anmodning,

(b) the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of pre-contractual measures taken at the data subject’s request;

Relaterte tekster

c) overføringen er nødvendig for å inngå eller oppfylle en avtale inngått i den registrertes interesse mellom den behandlingsansvarlige og en annen fysisk eller juridisk person,

(c) the transfer is necessary for the conclusion or performance of a contract concluded in the interest of the data subject between the controller and another natural or legal person;

d) overføringen er nødvendig av hensyn til viktige allmenne interesser,

(d) the transfer is necessary for important reasons of public interest;

e) overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav,

(e) the transfer is necessary for the establishment, exercise or defence of legal claims;

f) overføringen er nødvendig for å verne den registrertes eller andre personers vitale interesser i tilfeller der den registrerte fysisk eller juridisk ikke er i stand til å gi samtykke,

(f) the transfer is necessary in order to protect the vital interests of the data subject or of other persons, where the data subject is physically or legally incapable of giving consent;

g) overføringen finner sted fra et register som i henhold til unionsretten eller medlemsstatenes nasjonale rett er beregnet på å gi informasjon til allmennheten, og som er tilgjengelig for allmennheten eller for enhver person som kan gjøre gjeldende en berettiget interesse, men bare i den utstrekning vilkårene for offentlig tilgjengelighet fastsatt i unionsretten eller medlemsstatenes nasjonale rett er oppfylt i det særskilte tilfellet.

(g) the transfer is made from a register which according to Union or Member State law is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate a legitimate interest, but only to the extent that the conditions laid down by Union or Member State law for consultation are fulfilled in the particular case.

Dersom en overføring ikke kan baseres på en bestemmelse i artikkel 45 eller 46, herunder bestemmelsene om bindende virksomhetsregler, og ingen av unntakene for særlige situasjoner nevnt i første ledd i dette nummer får anvendelse, kan en overføring til en tredjestat eller en internasjonal organisasjon finne sted bare dersom overføringen ikke er gjentakende, bare gjelder et begrenset antall registrerte, er nødvendig av hensyn til de tvingende berettigede interessene som forfølges av den behandlingsansvarlige, og den registrertes interesser eller rettigheter og friheter ikke går foran, og den behandlingsansvarlige har vurdert alle omstendigheter i forbindelse med overføringen og på grunnlag av nevnte vurdering har gitt nødvendige garantier med hensyn til vern av personopplysninger. Den behandlingsansvarlige skal underrette tilsynsmyndigheten om overføringen. I tillegg til informasjonen nevnt i artikkel 13 og 14 skal den behandlingsansvarlige underrette den registrerte om overføringen og om de tvingende berettigede interessene som forfølges.

Where a transfer could not be based on a provision in Article 45 or 46, including the provisions on binding corporate rules, and none of the derogations for a specific situation referred to in the first subparagraph of this paragraph is applicable, a transfer to a third country or an international organisation may take place only if the transfer is not repetitive, concerns only a limited number of data subjects, is necessary for the purposes of compelling legitimate interests pursued by the controller which are not overridden by the interests or rights and freedoms of the data subject, and the controller has assessed all the circumstances surrounding the data transfer and has on the basis of that assessment provided suitable safeguards with regard to the protection of personal data. The controller shall inform the supervisory authority of the transfer. The controller shall, in addition to providing the information referred to in Articles 13 and 14, inform the data subject of the transfer and on the compelling legitimate interests pursued.

Relaterte tekster

2. En overføring i henhold til nr. 1 første ledd bokstav g) skal ikke omfatte alle personopplysningene eller hele kategorier av personopplysninger i registeret. Når registeret er ment å være tilgjengelig for personer som har en berettiget interesse i det, skal overføring bare skje på anmodning fra nevnte personer, eller dersom de selv skal være mottakere.

2. A transfer pursuant to point (g) of the first subparagraph of paragraph 1 shall not involve the entirety of the personal data or entire categories of the personal data contained in the register. Where the register is intended for consultation by persons having a legitimate interest, the transfer shall be made only at the request of those persons or if they are to be the recipients.

3. Nr. 1 første ledd bokstav a), b) og c) og nr. 1 annet ledd får ikke anvendelse på aktiviteter som utføres av offentlige myndigheter når de utøver offentlig myndighet.

3. Points (a), (b) and (c) of the first subparagraph of paragraph 1 and the second subparagraph thereof shall not apply to activities carried out by public authorities in the exercise of their public powers.

4. De viktige allmenne interessene nevnt i nr. 1 første ledd bokstav d) skal anerkjennes i unionsretten eller nasjonal rett i medlemsstaten som den behandlingsansvarlige er underlagt.

4. The public interest referred to in point (d) of the first subparagraph of paragraph 1 shall be recognised in Union law or in the law of the Member State to which the controller is subject.

5. Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, kan det i unionsretten eller medlemsstatenes nasjonale rett av hensyn til viktige allmenne interesser uttrykkelig fastsettes grenser for overføring av spesifikke kategorier av personopplysninger til en tredjestat eller en internasjonal organisasjon. Medlemsstatene skal underrette Kommisjonen om nevnte bestemmelser.

5. In the absence of an adequacy decision, Union or Member State law may, for important reasons of public interest, expressly set limits to the transfer of specific categories of personal data to a third country or an international organisation. Member States shall notify such provisions to the Commission.

6. Den behandlingsansvarlige eller databehandleren skal dokumentere vurderingen og de nødvendige garantiene nevnt i nr. 1 annet ledd i denne artikkel i protokollene nevnt i artikkel 30.

6. The controller or processor shall document the assessment as well as the suitable safeguards referred to in the second subparagraph of paragraph 1 of this Article in the records referred to in Article 30.

Relaterte tekster
ISO 27701 Fortalepunkter Retningslinjer og rettspraksis Legg igjen en kommentar
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 49 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).


for å få tilgang til hele teksten

Fortalepunkter

111) Det bør fastsettes bestemmelser om at overføringer i visse tilfeller skal være mulig dersom den registrerte har gitt sitt uttrykkelige samtykke, og dersom overføringen skjer leilighetsvis og er nødvendig i forbindelse med en avtale eller et rettslig krav, uavhengig av om det skjer i forbindelse med en rettssak, forvaltningssak eller utenrettslig prosedyre, herunder prosedyrer ved reguleringsorganer. Det bør også fastsettes bestemmelser om muligheten for overføring dersom viktige allmenne interesser nedfelt i unionsretten eller medlemsstatenes nasjonale rett krever det, eller dersom overføringen skjer fra et register som er opprettet ved lov, og som allmennheten eller personer med en berettiget interesse kan konsultere. I sistnevnte tilfelle bør en slik overføring ikke omfatte alle personopplysninger eller hele kategorier av opplysninger i registeret, og dersom nevnte register skal kunne konsulteres av personer med en berettiget interesse, bør overføringen skje bare på anmodning fra nevnte personer eller, dersom de selv er mottakere, ved å ta behørig hensyn til de registrertes interesser og grunnleggende rettigheter.

(111) Provisions should be made for the possibility for transfers in certain circumstances where the data subject has given his or her explicit consent, where the transfer is occasional and necessary in relation to a contract or a legal claim, regardless of whether in a judicial procedure or whether in an administrative or any out-of-court procedure, including procedures before regulatory bodies. Provision should also be made for the possibility for transfers where important grounds of public interest laid down by Union or Member State law so require or where the transfer is made from a register established by law and intended for consultation by the public or persons having a legitimate interest. In the latter case, such a transfer should not involve the entirety of the personal data or entire categories of the data contained in the register and, when the register is intended for consultation by persons having a legitimate interest, the transfer should be made only at the request of those persons or, if they are to be the recipients, taking into full account the interests and fundamental rights of the data subject.

112) Disse unntakene bør særlig få anvendelse på overføring av opplysninger som er nødvendig av hensyn til viktige allmenne interesser, f.eks. ved internasjonal utveksling av opplysninger mellom konkurransemyndigheter, skatte- eller tollmyndigheter, mellom finanstilsynsmyndigheter, mellom kompetente trygdemyndigheter eller folkehelsemyndigheter, f.eks. ved kontaktsporing i forbindelse med smittsomme sykdommer eller for å redusere og/eller avskaffe doping i idrett. En overføring av personopplysninger bør også anses som lovlig dersom den er nødvendig for å verne en interesse av avgjørende betydning for den registrertes eller en annen persons vitale interesser, herunder fysisk integritet eller liv, dersom den registrerte ikke er i stand til å gi sitt samtykke. Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, kan det, av hensyn til viktige allmenne interesser, i unionsretten eller medlemsstatenes nasjonale rett uttrykkelig fastsettes grenser for overføring av spesifikke kategorier av opplysninger til en tredjestat eller en internasjonal organisasjon. Medlemsstatene bør underrette Kommisjonen om nevnte bestemmelser. Enhver overføring til en internasjonal humanitær organisasjon av personopplysninger om en registrert som fysisk eller juridisk ikke er i stand til å gi sitt samtykke, med det formål å utføre en oppgave i henhold til Genève-konvensjonene eller overholde internasjonalt humanitært regelverk som får anvendelse i væpnede konflikter, kan anses for å være nødvendig av hensyn til viktige allmenne interesser eller fordi det er av vital interesse for den registrerte.

(112) Those derogations should in particular apply to data transfers required and necessary for important reasons of public interest, for example in cases of international data exchange between competition authorities, tax or customs administrations, between financial supervisory authorities, between services competent for social security matters, or for public health, for example in the case of contact tracing for contagious diseases or in order to reduce and/or eliminate doping in sport. A transfer of personal data should also be regarded as lawful where it is necessary to protect an interest which is essential for the data subject's or another person's vital interests, including physical integrity or life, if the data subject is incapable of giving consent. In the absence of an adequacy decision, Union or Member State law may, for important reasons of public interest, expressly set limits to the transfer of specific categories of data to a third country or an international organisation. Member States should notify such provisions to the Commission. Any transfer to an international humanitarian organisation of personal data of a data subject who is physically or legally incapable of giving consent, with a view to accomplishing a task incumbent under the Geneva Conventions or to complying with international humanitarian law applicable in armed conflicts, could be considered to be necessary for an important reason of public interest or because it is in the vital interest of the data subject.

113) Overføringer som kan klassifiseres som ikke-gjentakende, og som bare gjelder et begrenset antall registrerte, bør også være mulig av hensyn til de tvingende berettigede interessene som forfølges av den behandlingsansvarlige, dersom den registrertes interesser eller rettigheter og friheter ikke går foran nevnte interesser, og dersom den behandlingsansvarlige har foretatt en vurdering av alle omstendighetene rundt overføringen. Den behandlingsansvarlige bør ta særlig hensyn til personopplysningenes art, formålet med og varigheten av den foreslåtte behandlingen samt situasjonen i opprinnelsesstaten, tredjestaten og den endelige bestemmelsesstaten, og bør fastsette nødvendige garantier for å verne fysiske personers grunnleggende rettigheter og friheter i forbindelse med behandling av deres personopplysninger. Nevnte overføringer bør bare være mulig i visse tilfeller der ingen av de andre grunnene til overføring får anvendelse. For formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål bør det tas hensyn til samfunnets berettigede forventninger om økt kunnskap. Den behandlingsansvarlige bør underrette tilsynsmyndigheten og den registrerte om overføringen.

(113) Transfers which can be qualified as not repetitive and that only concern a limited number of data subjects, could also be possible for the purposes of the compelling legitimate interests pursued by the controller, when those interests are not overridden by the interests or rights and freedoms of the data subject and when the controller has assessed all the circumstances surrounding the data transfer. The controller should give particular consideration to the nature of the personal data, the purpose and duration of the proposed processing operation or operations, as well as the situation in the country of origin, the third country and the country of final destination, and should provide suitable safeguards to protect fundamental rights and freedoms of natural persons with regard to the processing of their personal data. Such transfers should be possible only in residual cases where none of the other grounds for transfer are applicable. For scientific or historical research purposes or statistical purposes, the legitimate expectations of society for an increase of knowledge should be taken into consideration. The controller should inform the supervisory authority and the data subject about the transfer.

114) Dersom Kommisjonen ikke har truffet en beslutning om hvorvidt nivået for vern av personopplysninger i en tredjestat er tilstrekkelig, bør den behandlingsansvarlige eller databehandleren benytte løsninger som gir de registrerte håndhevbare og effektive rettigheter når det gjelder behandling av deres opplysninger i Unionen så snart nevnte opplysninger er blitt overført, slik at de fortsatt kan nyte godt av grunnleggende rettigheter og garantier.

(114) In any case, where the Commission has taken no decision on the adequate level of data protection in a third country, the controller or processor should make use of solutions that provide data subjects with enforceable and effective rights as regards the processing of their data in the Union once those data have been transferred so that that they will continue to benefit from fundamental rights and safeguards.

115) Visse tredjestater vedtar lover, forskrifter og andre rettsakter med det formål direkte å regulere behandlingsaktiviteter som utføres av fysiske og juridiske personer underlagt medlemsstatenes jurisdiksjon. Dette kan omfatte rettsavgjørelser fra domstoler eller avgjørelser fra administrative myndigheter i tredjestater der det kreves at en behandlingsansvarlig eller databehandler skal overføre eller utlevere personopplysninger, og som ikke bygger på en internasjonal avtale, f.eks. en traktat om gjensidig juridisk bistand, mellom den anmodende tredjestat og Unionen eller en medlemsstat. En anvendelse av nevnte lover, forskrifter og andre rettsakter på andre staters territorium kan være i strid med folkeretten og hindre oppnåelsen av det vernet av fysiske personer som ved denne forordning sikres i Unionen. Overføring bør bare være tillatt dersom vilkårene for overføring til tredjestater i denne forordning er oppfylt. Dette kan blant annet være tilfellet dersom utlevering er nødvendig av hensyn til viktige allmenne interesser som er anerkjent i unionsretten eller medlemsstatenes nasjonale rett, og som den behandlingsansvarlige er underlagt.

(115) Some third countries adopt laws, regulations and other legal acts which purport to directly regulate the processing activities of natural and legal persons under the jurisdiction of the Member States. This may include judgments of courts or tribunals or decisions of administrative authorities in third countries requiring a controller or processor to transfer or disclose personal data, and which are not based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State. The extraterritorial application of those laws, regulations and other legal acts may be in breach of international law and may impede the attainment of the protection of natural persons ensured in the Union by this Regulation. Transfers should only be allowed where the conditions of this Regulation for a transfer to third countries are met. This may be the case, inter alia, where disclosure is necessary for an important ground of public interest recognised in Union or Member State law to which the controller is subject.

Retningslinjer og rettspraksis Legg igjen en kommentar