Стаття 46 GDPR. Передавання з урахуванням належних гарантій
Стаття 47 GDPR. Зобов'язальні корпоративні правила
Стаття 49 GDPR. Відступи для спеціальних ситуацій
1. За відсутності рішення про відповідність згідно зі статтею 45(3) або належних гарантій відповідно до статті 46, в тому числі зобов’язальних корпоративних правил, передавання чи низка актів передавання персональних даних до третьої країни чи міжнародної організації відбувається лише за однієї з таких умов:
[…]
Якщо передавання не можна обґрунтувати на підставі положення статті 45 чи 46, в тому числі положень про зобов’язальні корпоративні правила, та жодний з відступів, застосовних до спеціальної ситуації, вказаної в першому підпараграфі цього параграфа, не є застосовним, передавання до третьої країни чи до міжнародної організації може мати місце лише у разі, якщо передавання не є повторюваним, стосується лише обмеженої кількості суб’єктів даних, є необхідним для цілей істотних законних інтересів контролера, над якими не переважають інтереси чи права і свободи суб’єкта даних, і контролер оцінив усі обставини, що супроводжують передавання даних, і на підставі такої оцінки надав належні гарантії щодо захисту персональних даних. Контролер повинен поінформувати наглядовий орган про передавання. Окрім надання інформації, вказаної в статтях 13 і 14, контролер інформує суб’єкта даних про передавання та свої істотні законні інтереси, що їх він переслідує.
[…]
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 14(2)(a) GDPR:
7.4.7 Retention
Control
The organization should not retain PII for longer than is necessary for the purposes for which the PII is processed.
Implementation guidance
The organization should develop and maintain retention schedules for information it retains, taking into account the requirement to retain PII for no longer than is necessary.
(EN) […]
(EN) Sign in
to read the full text