(111) turėtų būti numatyta galimybė duomenis perduoti tam tikromis aplinkybėmis, kai duomenų subjektas yra davęs aiškų sutikimą, kai duomenų perdavimas atliekamas nereguliariai ir yra būtinas dėl sutarties ar ieškinio, nepaisant to, ar jis pareikštas teisminėje ar administracinėje, ar bet kokioje kitoje neteisminėje procedūroje, įskaitant procedūras reguliavimo organuose. Taip pat turėtų būti numatyta galimybė perduoti duomenis, kai tai reikalinga dėl svarbių Sąjungos ar valstybės narės teisėje įtvirtintų viešojo intereso priežasčių, arba kai duomenys perduodami iš teisės aktu įsteigto registro, kuris skirtas naudoti visuomenei ar teisėtų interesų turintiems asmenims. Šiuo pastaruoju atveju neturėtų būti perduodama registre sukauptų asmens duomenų visuma arba ištisos jų kategorijos, o jeigu registras skirtas naudoti teisėtų interesų turintiems asmenims, duomenys turėtų būti perduodami tiktai tų asmenų prašymu arba jei jie yra duomenų gavėjai, visapusiškai atsižvelgiant į duomenų subjekto interesus ir pagrindines teises;
(112) šios nukrypti leidžiančios nuostatos pirmiausia turėtų būti taikomos tais atvejais, kai duomenis reikalaujama ir būtina perduoti siekiant dėl svarbių viešojo intereso priežasčių, pavyzdžiui, tarptautinio keitimosi duomenimis tarp konkurencijos institucijų, mokesčių arba muitų administracijų, tarp finansų priežiūros institucijų, tarp kompetentingų socialinės apsaugos ar visuomenės sveikatos tarnybų atvejais, pavyzdžiui, kontakto atveju siekiant atsekti užkrečiamas ligas arba siekiant sumažinti ir (arba) panaikinti dopingą sporte. Asmens duomenų perdavimas taip pat turėtų būti laikomas teisėtu, kai duomenis perduoti būtina norint apsaugoti gyvybinius duomenų subjekto ar kito asmens interesus, įskaitant fizinę neliečiamybę arba gyvybę, jei duomenų subjektas negali duoti sutikimo. Jei sprendimas dėl tinkamumo nepriimtas, Sąjungos arba valstybės narės teisėje dėl svarbių viešojo intereso priežasčių gali būti aiškiai nustatytos konkrečių kategorijų duomenų perdavimo į trečiąją valstybę ar tarptautinei organizacijai ribos. Valstybės narės apie tokias nuostatas turėtų pranešti Komisijai. Duomenų subjekto, kuris dėl fizinių ar teisinių priežasčių negali duoti sutikimo, asmens duomenų perdavimas tarptautinei humanitarinei organizacijai, kad būtų vykdoma pagal Ženevos konvencijas privaloma atlikti užduotis arba taikoma tarptautinė humanitarinė teisė, taikoma ginkluotų konfliktų metu, galėtų būti laikomas būtinu dėl svarbios viešojo intereso priežasties arba gyvybiškai svarbiu duomenų subjektui;
(113) duomenų perdavimas, kurį galima laikyti nepasikartojančiu ir kuris yra susijęs tik su tam tikru duomenų subjektų skaičiumi, taip pat galėtų būti galimas, kai duomenų valdytojas vadovaujasi įtikinamais teisėtais interesais, jeigu tų interesų neviršija duomenų subjekto interesai ar teisės ir laisvės ir jeigu duomenų valdytojas įvertino visas su duomenų perdavimu susijusias aplinkybes. Duomenų valdytojas turėtų atsižvelgti visų pirma į asmens duomenų pobūdį, siūlomos duomenų tvarkymo operacijos ar operacijų tikslą ir trukmę, taip pat padėtį kilmės šalyje, trečiojoje valstybėje ir galutinės paskirties šalyje ir turėtų būti nustatytos su asmens duomenų tvarkymu susijusios tinkamos fizinių asmenų pagrindinių teisių ir laisvių apsaugos priemonės. Toks duomenų perdavimas turėtų būti galimas tik likusiais atvejais, kai nėra taikytinos jokios kitos duomenų perdavimo priežastys. Tai darant mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais turėtų būti atsižvelgiama į teisėtus visuomenės lūkesčius, susijusius su žinių bazės didinimu. Duomenų valdytojas apie duomenų perdavimą turėtų informuoti priežiūros instituciją ir duomenų subjektą;
(114) bet kuriuo atveju, kai Komisija nėra priėmusi sprendimo dėl tinkamo duomenų apsaugos lygio trečiojoje valstybėje, duomenų valdytojas arba duomenų tvarkytojas turėtų rinktis tokias galimybes, kuriomis duomenų subjektams užtikrinamos vykdytinos ir veiksmingos teisės jų duomenų tvarkymo Sąjungoje atžvilgiu, kai tie duomenys yra perduoti, kad jie ir toliau galėtų naudotis pagrindinėmis teisėmis ir apsaugos priemonėmis;
(115) kai kurios trečiosios valstybės yra priėmusios įstatymus ir kitus teisės aktus, kuriais siekiama tiesiogiai reguliuoti valstybių narių jurisdikcijai priklausančią fizinių ir juridinių asmenų duomenų tvarkymo veiklą. Tai gali apimti teismų sprendimus arba administracinės valdžios institucijų trečiosiose valstybėse sprendimus, kuriais reikalaujama, kad duomenų valdytojas arba duomenų tvarkytojas perduotų ar atskleistų asmens duomenis, ir kurie nėra pagrįsti prašymą pateikusios trečiosios valstybės ir Sąjungos arba valstybės narės galiojančiu tarptautiniu susitarimu, kaip antai savitarpio teisinės pagalbos sutartis. Eksteritorialiu šių įstatymų ir kitų teisės aktų taikymu gali būti pažeista tarptautinė teisė ir trukdoma užtikrinti šiuo reglamentu Sąjungoje garantuojamą asmenų apsaugą. Perduoti duomenis turėtų būti leidžiama tik jeigu įvykdytos duomenų perdavimui į trečiąsias valstybes taikomos šiame reglamente nustatytos sąlygos. Taip gali būti, inter alia, jeigu atskleisti duomenis būtina dėl svarbios Sąjungos ar valstybės narės teisėje, taikytinoje duomenų valdytojui, pripažintos viešojo intereso priežasties;
ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 49 GDPR:
7.5.1 Identify basis for PII transfer between jurisdictions
Control
The organization should identify and document the relevant basis for transfers of PII between jurisdictions.
Implementation guidance
PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).
[…]
Sign in
to read the full text