Článok 46 GDPR. Prenosy vyžadujúce primerané záruky
Article 46 GDPR. Transfers subject to appropriate safeguards
Článok 47 GDPR. Záväzné vnútropodnikové pravidlá
Article 47 GDPR. Binding corporate rules
Článok 49 GDPR. Výnimky pre osobitné situácie
Article 49 GDPR. Derogations for specific situations
1. Ak neexistuje rozhodnutie o primeranosti podľa článku 45 ods. 3 alebo ak neexistujú primerané záruky podľa článku 46 vrátane záväzných vnútropodnikových pravidiel, prenos alebo súbor prenosov osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa uskutoční len za jednej z týchto podmienok:
1. In the absence of an adequacy decision pursuant to Article 45(3), or of appropriate safeguards pursuant to Article 46, including binding corporate rules, a transfer or a set of transfers of personal data to a third country or an international organisation shall take place only on one of the following conditions:
[…]
[…]
Ak by sa prenos nemohol zakladať na ustanovení článku 45 alebo 46 vrátane ustanovení o záväzných vnútropodnikových pravidlách a neuplatňuje sa žiadna výnimka pre osobitnú situáciu uvedená v prvom pododseku tohto odseku, prenos do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, len ak prenos nie je opakujúcej sa povahy, týka sa len obmedzeného počtu dotknutých osôb, je nevyhnutný na účely závažných oprávnených záujmov, ktoré sleduje prevádzkovateľ a nad ktorými neprevažujú záujmy alebo práva a slobody dotknutej osoby, a prevádzkovateľ posúdil všetky okolnosti sprevádzajúce prenos údajov a na základe tohto posúdenia poskytol vhodné záruky, pokiaľ ide o ochranu osobných údajov. Prevádzkovateľ informuje o prenose dozorný orgán. Prevádzkovateľ okrem poskytnutia informácií uvedených v článkoch 13 a 14 informuje dotknutú osobu o prenose a o závažných oprávnených záujmoch, ktoré sleduje.
Where a transfer could not be based on a provision in Article 45 or 46, including the provisions on binding corporate rules, and none of the derogations for a specific situation referred to in the first subparagraph of this paragraph is applicable, a transfer to a third country or an international organisation may take place only if the transfer is not repetitive, concerns only a limited number of data subjects, is necessary for the purposes of compelling legitimate interests pursued by the controller which are not overridden by the interests or rights and freedoms of the data subject, and the controller has assessed all the circumstances surrounding the data transfer and has on the basis of that assessment provided suitable safeguards with regard to the protection of personal data. The controller shall inform the supervisory authority of the transfer. The controller shall, in addition to providing the information referred to in Articles 13 and 14, inform the data subject of the transfer and on the compelling legitimate interests pursued.
[…]
[…]
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 14(2)(a) GDPR:
7.4.7 Retention
Control
The organization should not retain PII for longer than is necessary for the purposes for which the PII is processed.
Implementation guidance
The organization should develop and maintain retention schedules for information it retains, taking into account the requirement to retain PII for no longer than is necessary.
(EN) […]
(EN) Sign in
to read the full text