Nawigacja
RODO > Artyku艂 46. Przekazywanie z zastrze偶eniem odpowiednich zabezpiecze艅
Pobierz jako plik PDF

Artyku艂 46 RODO. Przekazywanie z zastrze偶eniem odpowiednich zabezpiecze艅

Article 46 GDPR. Transfers subject to appropriate safeguards

1. W razie braku decyzji na mocy art. 45 ust. 3 administrator lub podmiot przetwarzaj膮cy mog膮 przekaza膰 dane osobowe do pa艅stwa trzeciego lub organizacji mi臋dzynarodowej wy艂膮cznie, gdy zapewni膮 odpowiednie zabezpieczenia, i pod warunkiem, 偶e obowi膮zuj膮 egzekwowalne prawa os贸b, kt贸rych dane dotycz膮, i skuteczne 艣rodki ochrony prawnej.

1. In the absence of a decision pursuant to Article 45(3), a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available.

Powi膮zane teksty

2. Odpowiednie zabezpieczenia, o kt贸rych mowa w ust. 1, mo偶na zapewni膰 鈥 bez konieczno艣ci uzyskania specjalnego zezwolenia ze strony organu nadzorczego 鈥 za pomoc膮:

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

Motywy

(108) W razie braku stwierdzenia odpowiedniego stopnia ochrony danych administrator lub podmiot przetwarzaj膮cy powinni zastosowa膰 艣rodki rekompensuj膮ce brak ochrony danych w pa艅stwie trzecim, zapewniaj膮c osobie, kt贸rej dane dotycz膮, odpowiednie zabezpieczenia. Takie odpowiednie zabezpieczenia mog膮 polega膰 na skorzystaniu z wi膮偶膮cych regu艂 korporacyjnych, standardowych klauzul ochrony danych przyj臋tych przez Komisj臋, standardowych klauzul ochrony danych przyj臋tych przez organ nadzorczy lub klauzul umownych dopuszczonych przez organ nadzorczy. Zabezpieczenia te powinny zapewnia膰, by przestrzegane by艂y wymogi ochrony danych oraz prawa os贸b, kt贸rych dane dotycz膮, takie same jak w przypadku przetwarzania wewn膮trzunijnego, w tym zapewnia膰 dost臋pno艣膰 egzekwowalnych praw osoby, kt贸rej dane dotycz膮, i skutecznych 艣rodk贸w ochrony prawnej 鈥 w tym prawa do skutecznych administracyjnych lub s膮dowych 艣rodk贸w zaskar偶enia i do 偶膮dania odszkodowania 鈥 w Unii lub w pa艅stwie trzecim. Powinny one dotyczy膰 w szczeg贸lno艣ci przestrzegania og贸lnych zasad zwi膮zanych z przetwarzaniem danych osobowych oraz zasad uwzgl臋dniania ochrony danych w fazie projektowania i domy艣lnej ochrony danych. R贸wnie偶 organy lub podmioty publiczne mog膮 przekazywa膰 dane organom lub podmiotom publicznym w pa艅stwach trzecich lub organizacjom mi臋dzynarodowym o analogicznych obowi膮zkach lub funkcjach, w tym na podstawie przepis贸w, kt贸re powinny znale藕膰 si臋 w uzgodnieniach administracyjnych, takich jak protoko艂y ustale艅, i kt贸re powinny przewidywa膰 egzekwowalne i skuteczne prawa os贸b, kt贸rych dane dotycz膮. Je偶eli zabezpieczenia zawarte s膮 w niewi膮偶膮cych prawnie uzgodnieniach administracyjnych, nale偶y uzyska膰 zezwolenie w艂a艣ciwego organu nadzorczego.

(108) In the absence of an adequacy decision, the controller or processor should take measures to compensate for the lack of data protection in a third country by way of appropriate safeguards for the data subject. Such appropriate safeguards may consist of making use of binding corporate rules, standard data protection clauses adopted by the Commission, standard data protection clauses adopted by a supervisory authority or contractual clauses authorised by a supervisory authority. Those safeguards should ensure compliance with data protection requirements and the rights of the data subjects appropriate to processing within the Union, including the availability of enforceable data subject rights and of effective legal remedies, including to obtain effective administrative or judicial redress and to claim compensation, in the Union or in a third country. They should relate in particular to compliance with the general principles relating to personal data processing, the principles of data protection by design and by default. Transfers may also be carried out by public authorities or bodies with public authorities or bodies in third countries or with international organisations with corresponding duties or functions, including on the basis of provisions to be inserted into administrative arrangements, such as a memorandum of understanding, providing for enforceable and effective rights for data subjects. Authorisation by the competent supervisory authority should be obtained when the safeguards are provided for in administrative arrangements that are not legally binding.

(109) Mo偶liwo艣膰 korzystania przez administratora lub podmiot przetwarzaj膮cy ze standardowych klauzul ochrony danych przyj臋tych przez Komisj臋 lub organ nadzorczy nie powinna stanowi膰 dla administratora lub podmiotu przetwarzaj膮cego przeszkody, by standardowe klauzule ochrony danych w艂膮czy膰 do szerszej umowy, takiej jak umowa mi臋dzy wspomnianym podmiotem przetwarzaj膮cym a innym podmiotem przetwarzaj膮cym, ani by doda膰 inne klauzule lub dodatkowe zabezpieczenia, pod warunkiem 偶e nie s膮 one bezpo艣rednio lub po艣rednio sprzeczne ze standardowymi klauzulami umownymi przyj臋tymi przez Komisj臋 lub organ nadzorczy ani nie naruszaj膮 podstawowych praw lub wolno艣ci os贸b, kt贸rych dane dotycz膮. Nale偶y zach臋ca膰 administrator贸w i podmioty przetwarzaj膮ce, by w drodze zobowi膮za艅 umownych przewidywa艂y dodatkowe zabezpieczenia, stanowi膮ce uzupe艂nienie dla standardowych klauzul ochrony.

(109) The possibility for the controller or processor to use standard data-protection clauses adopted by the Commission or by a supervisory authority should prevent controllers or processors neither from including the standard data-protection clauses in a wider contract, such as a contract between the processor and another processor, nor from adding other clauses or additional safeguards provided that they do not contradict, directly or indirectly, the standard contractual clauses adopted by the Commission or by a supervisory authority or prejudice the fundamental rights or freedoms of the data subjects. Controllers and processors should be encouraged to provide additional safeguards via contractual commitments that supplement standard protection clauses.

a) prawnie wi膮偶膮cego i egzekwowalnego instrumentu mi臋dzy organami lub podmiotami publicznymi;

(a)聽a legally binding and enforceable instrument between public authorities or bodies;

b) wi膮偶膮cych regu艂 korporacyjnych zgodnie z art. 47;

(b)聽binding corporate rules in accordance with Article 47;

Powi膮zane teksty

c) standardowych klauzul ochrony danych przyj臋tych przez Komisj臋 zgodnie z procedur膮 sprawdzaj膮c膮, o kt贸rej mowa w art. 93 ust. 2;

(c)聽standard data protection clauses adopted by the Commission in accordance with the examination procedure referred to in Article 93(2);

Wytyczne & Case Law Powi膮zane teksty

d) standardowych klauzul ochrony danych przyj臋tych przez organ nadzorczy i zatwierdzonych przez Komisj臋 zgodnie z procedur膮 sprawdzaj膮c膮, o kt贸rej mowa w art. 93 ust. 2;

(d)聽standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article聽93(2);

Powi膮zane teksty

e) zatwierdzonego kodeksu post臋powania zgodnie z art. 40 wraz z wi膮偶膮cymi i egzekwowalnymi zobowi膮zaniami administratora lub podmiotu przetwarzaj膮cego w pa艅stwie trzecim do stosowania odpowiednich zabezpiecze艅, w tym w odniesieniu do praw os贸b, kt贸rych dane dotycz膮; lub

(e)聽an approved code of conduct pursuant to Article 40 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights; or

f) zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 wraz z wi膮偶膮cymi i egzekwowalnymi zobowi膮zaniami administratora lub podmiotu przetwarzaj膮cego w pa艅stwie trzecim do stosowania odpowiednich zabezpiecze艅, w tym w odniesieniu do praw os贸b, kt贸rych dane dotycz膮.

(f)聽an approved certification mechanism pursuant to Article聽42 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights.

3. Z zastrze偶eniem zezwolenia w艂a艣ciwego organu nadzorczego odpowiednie zabezpieczenia, o kt贸rych mowa w ust. 1, mo偶na tak偶e zapewni膰 w szczeg贸lno艣ci za pomoc膮:

3. Subject to the authorisation from the competent supervisory authority, the appropriate safeguards referred to in paragraph聽1 may also be provided for, in particular, by:

a) klauzul umownych mi臋dzy administratorem lub podmiotem przetwarzaj膮cym a administratorem, podmiotem przetwarzaj膮cym lub odbiorc膮 danych osobowych w pa艅stwie trzecim lub organizacji mi臋dzynarodowej; lub

(a)聽contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organisation; or

b) postanowie艅 uzgodnie艅 administracyjnych mi臋dzy organami lub podmiotami publicznymi, w kt贸rych przewidziane b臋d膮 egzekwowalne i skuteczne prawa os贸b, kt贸rych dane dotycz膮.

(b)聽provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights.

4. W przypadkach, o kt贸rych mowa w ust. 3 niniejszego artyku艂u, organ nadzorczy stosuje mechanizm sp贸jno艣ci, o kt贸rym mowa w art. 63.

4. The supervisory authority shall apply the consistency mechanism referred to in Article聽63 in the cases referred to in paragraph聽3 of this Article.

Powi膮zane teksty

5. Zezwolenia wydane przez pa艅stwo cz艂onkowskie lub organ nadzorczy na podstawie art. 26 ust. 2 dyrektywy 95/46/WE zachowuj膮 wa偶no艣膰 do czasu ich zmiany, zast膮pienia lub uchylenia w razie potrzeby przez ten organ. Decyzje przyj臋te przez Komisj臋 na mocy art. 26 ust. 4 dyrektywy 95/46/WE pozostaj膮 w mocy do czasu ich zmiany, zast膮pienia lub uchylenia w razie potrzeby decyzj膮 Komisji przyj臋t膮 zgodnie z ust. 2 niniejszego artyku艂u.

5. Authorisations by a Member State or supervisory authority on the basis of Article聽26(2) of Directive 95/46/EC shall remain valid until amended, replaced or repealed, if necessary, by that supervisory authority. Decisions adopted by the Commission on the basis of Article聽26(4) of Directive聽95/46/EC shall remain in force until amended, replaced or repealed, if necessary, by a Commission Decision adopted in accordance with paragraph聽2 of this Article.

ISO 27701 Motywy Wytyczne & Case Law zostaw komentarz
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 46 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).


aby uzyska膰 dost臋p do pe艂nego tekstu

Motywy

(108) W razie braku stwierdzenia odpowiedniego stopnia ochrony danych administrator lub podmiot przetwarzaj膮cy powinni zastosowa膰 艣rodki rekompensuj膮ce brak ochrony danych w pa艅stwie trzecim, zapewniaj膮c osobie, kt贸rej dane dotycz膮, odpowiednie zabezpieczenia. Takie odpowiednie zabezpieczenia mog膮 polega膰 na skorzystaniu z wi膮偶膮cych regu艂 korporacyjnych, standardowych klauzul ochrony danych przyj臋tych przez Komisj臋, standardowych klauzul ochrony danych przyj臋tych przez organ nadzorczy lub klauzul umownych dopuszczonych przez organ nadzorczy. Zabezpieczenia te powinny zapewnia膰, by przestrzegane by艂y wymogi ochrony danych oraz prawa os贸b, kt贸rych dane dotycz膮, takie same jak w przypadku przetwarzania wewn膮trzunijnego, w tym zapewnia膰 dost臋pno艣膰 egzekwowalnych praw osoby, kt贸rej dane dotycz膮, i skutecznych 艣rodk贸w ochrony prawnej 鈥 w tym prawa do skutecznych administracyjnych lub s膮dowych 艣rodk贸w zaskar偶enia i do 偶膮dania odszkodowania 鈥 w Unii lub w pa艅stwie trzecim. Powinny one dotyczy膰 w szczeg贸lno艣ci przestrzegania og贸lnych zasad zwi膮zanych z przetwarzaniem danych osobowych oraz zasad uwzgl臋dniania ochrony danych w fazie projektowania i domy艣lnej ochrony danych. R贸wnie偶 organy lub podmioty publiczne mog膮 przekazywa膰 dane organom lub podmiotom publicznym w pa艅stwach trzecich lub organizacjom mi臋dzynarodowym o analogicznych obowi膮zkach lub funkcjach, w tym na podstawie przepis贸w, kt贸re powinny znale藕膰 si臋 w uzgodnieniach administracyjnych, takich jak protoko艂y ustale艅, i kt贸re powinny przewidywa膰 egzekwowalne i skuteczne prawa os贸b, kt贸rych dane dotycz膮. Je偶eli zabezpieczenia zawarte s膮 w niewi膮偶膮cych prawnie uzgodnieniach administracyjnych, nale偶y uzyska膰 zezwolenie w艂a艣ciwego organu nadzorczego.

(108) In the absence of an adequacy decision, the controller or processor should take measures to compensate for the lack of data protection in a third country by way of appropriate safeguards for the data subject. Such appropriate safeguards may consist of making use of binding corporate rules, standard data protection clauses adopted by the Commission, standard data protection clauses adopted by a supervisory authority or contractual clauses authorised by a supervisory authority. Those safeguards should ensure compliance with data protection requirements and the rights of the data subjects appropriate to processing within the Union, including the availability of enforceable data subject rights and of effective legal remedies, including to obtain effective administrative or judicial redress and to claim compensation, in the Union or in a third country. They should relate in particular to compliance with the general principles relating to personal data processing, the principles of data protection by design and by default. Transfers may also be carried out by public authorities or bodies with public authorities or bodies in third countries or with international organisations with corresponding duties or functions, including on the basis of provisions to be inserted into administrative arrangements, such as a memorandum of understanding, providing for enforceable and effective rights for data subjects. Authorisation by the competent supervisory authority should be obtained when the safeguards are provided for in administrative arrangements that are not legally binding.

(109) Mo偶liwo艣膰 korzystania przez administratora lub podmiot przetwarzaj膮cy ze standardowych klauzul ochrony danych przyj臋tych przez Komisj臋 lub organ nadzorczy nie powinna stanowi膰 dla administratora lub podmiotu przetwarzaj膮cego przeszkody, by standardowe klauzule ochrony danych w艂膮czy膰 do szerszej umowy, takiej jak umowa mi臋dzy wspomnianym podmiotem przetwarzaj膮cym a innym podmiotem przetwarzaj膮cym, ani by doda膰 inne klauzule lub dodatkowe zabezpieczenia, pod warunkiem 偶e nie s膮 one bezpo艣rednio lub po艣rednio sprzeczne ze standardowymi klauzulami umownymi przyj臋tymi przez Komisj臋 lub organ nadzorczy ani nie naruszaj膮 podstawowych praw lub wolno艣ci os贸b, kt贸rych dane dotycz膮. Nale偶y zach臋ca膰 administrator贸w i podmioty przetwarzaj膮ce, by w drodze zobowi膮za艅 umownych przewidywa艂y dodatkowe zabezpieczenia, stanowi膮ce uzupe艂nienie dla standardowych klauzul ochrony.

(109) The possibility for the controller or processor to use standard data-protection clauses adopted by the Commission or by a supervisory authority should prevent controllers or processors neither from including the standard data-protection clauses in a wider contract, such as a contract between the processor and another processor, nor from adding other clauses or additional safeguards provided that they do not contradict, directly or indirectly, the standard contractual clauses adopted by the Commission or by a supervisory authority or prejudice the fundamental rights or freedoms of the data subjects. Controllers and processors should be encouraged to provide additional safeguards via contractual commitments that supplement standard protection clauses.

Wytyczne & Case Law zostaw komentarz
[js-disqus]