(103) Az Unió egészére kiterjedő hatállyal a Bizottság dönthet úgy, hogy harmadik ország, egy harmadik ország valamely területe vagy meghatározott ágazata, illetve valamely nemzetközi szervezet megfelelő adatvédelmi szintet nyújt, így biztosítva az Unió egész területén a jogbiztonságot és az egységességet az ilyen védelmi szintet biztosító harmadik országok vagy nemzetközi szervezetek tekintetében. Ilyen esetekben a személyes adatok az említett országokba vagy nemzetközi szervezetek részére történő továbbítása további engedély beszerzése nélkül lehetséges. A Bizottság a harmadik országnak vagy nemzetközi szervezetnek küldött, teljes körű indokolással ellátott értesítést követően határozhat úgy is, hogy visszavonja ezt a döntést.
(104) A Bizottság – az Unió alapjául szolgáló alapvető értékekkel, így különösen az emberi jogok védelmével összhangban – a harmadik országra vagy egy harmadik ország valamely területére vagy meghatározott ágazatára vonatkozó értékelés elkészítésekor figyelembe veszi azt, hogy az adott harmadik országban mennyire tartják tiszteletben a jogállamiságot, az igazságszolgáltatáshoz való jogot, valamint a nemzetközi emberi jogi normákat és előírásokat, valamint megvizsgálja az adott ország általános és ágazati jogszabályait, ideértve a közbiztonságra, a védelemre és a nemzetbiztonságra vonatkozó jogszabályait, valamint közrendjét és büntetőjogát is. Az adott ország valamely területére vagy meghatározott ágazatára vonatkozó megfelelőségi határozat elfogadásakor olyan egyértelmű és objektív szempontokat szükséges figyelembe venni, mint például a konkrét adatkezelési tevékenységek, továbbá a harmadik országban alkalmazandó jogi normák és jogszabályok hatálya. A harmadik országnak olyan kötelezettséget kell vállalnia, amelyek megfelelő – az Unión belül biztosítottal lényegében megegyező – védelmi szintet biztosítanak, különösen amikor a személyes adatokat egy vagy több konkrét ágazatban kezelik. A harmadik országnak különösen gondoskodnia kell a tényleges, független adatvédelmi felügyeletről és tagállami adatvédelmi hatóságokkal való együttműködési mechanizmusairól, továbbá biztosítania kell, hogy az érintettek tényleges és érvényesíthető jogokkal, valamint hatékony közigazgatási és bírósági jogorvoslati lehetőségekkel rendelkezzenek.
(105) A harmadik ország vagy a nemzetközi szervezet által vállalt nemzetközi kötelezettségeken túl a Bizottság figyelembe veszi a harmadik ország vagy a nemzetközi szervezet egyéb, többoldalú vagy regionális rendszerekben való részvételéből eredő – különösen a személyes adatok védelmével kapcsolatos – kötelezettségeit is, továbbá az említett kötelezettségek végrehajtását. Különösen figyelembe kell venni azt, ha a harmadik ország csatlakozott a személyes adatok gépi feldolgozása során a természetes személyek védelméről szóló, 1981. január 28-i Európa tanácsi egyezményhez, valamint annak kiegészítő jegyzőkönyvéhez. A Bizottság a harmadik országok vagy a nemzetközi szervezetek által biztosított védelem szintjének értékelésekor konzultál a Testülettel.
(106) A Bizottság ellenőrzi a harmadik ország, a harmadik ország valamely területe vagy egy meghatározott ágazata, illetve valamely nemzetközi szervezet által biztosított védelem szintjével kapcsolatos határozatok működésének ellenőrzését, ideértve a 95/46/EK irányelv 25. cikk (6) vagy a 26. cikk (4) bekezdése alapján elfogadott határozatokat is. A megfelelőségi határozatokban a Bizottság rendelkezik a határozatok működésének időszakos felülvizsgálatát célzó mechanizmusról. Az időszakos felülvizsgálatot az említett harmadik országgal vagy nemzetközi szervezettel konzultálva kell elvégezni, és annak során a harmadik országgal vagy nemzetközi szervezettel kapcsolatos minden releváns fejleményt figyelembe kell venni. A nyomon követés és az időszakos felülvizsgálatok elvégzése céljából a Bizottság figyelembe veszi az Európai Parlament és a Tanács, valamint az egyéb érintett szervek és források véleményét és megállapításait. A Bizottság – észszerű határidőn belül – értékeli az utóbbi határozatok végrehajtását, és jelzi az e kérdést érintő megállapításait az e rendelet szerint létrehozott, a 182/2011/EU európai parlamenti és tanácsi rendelet (12) értelmében vett bizottság, valamint az Európai Parlament és a Tanács felé.
(107) A Bizottság azt is megállapíthatja, hogy az adott harmadik ország, a harmadik ország valamely területe vagy meghatározott ágazata, illetve valamely nemzetközi szervezet már nem biztosít megfelelő szintű adatvédelmet. Következésképpen a személyes adatok ilyen harmadik országba vagy nemzetközi szervezet részére történő továbbítását meg kell tiltani, kivéve, ha e rendeletbe foglalt, a személyes adatok továbbításra megfelelő garanciák alapján történik, ideértve a kötelező erejű vállalati szabályokat, és a meghatározott helyzetekben biztosított eltérésekre vonatkozó követelményeket. Erre az esetre a Bizottság és az ilyen harmadik országok vagy nemzetközi szervezetek közötti konzultációkra vonatkozó eljárásokról rendelkezni kell. A Bizottság megfelelő időben tájékoztatja az érintett harmadik országot vagy nemzetközi szervezetet az indokokról, és vele a helyzet orvoslása érdekében konzultációkat folytat.
ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 45 GDPR:
7.5.1 Identify basis for PII transfer between jurisdictions
Control
The organization should identify and document the relevant basis for transfers of PII between jurisdictions.
Implementation guidance
PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).
[…]
Sign in
to read the full text