RGPD L'article 45 traite de la question complexe des transferts internationaux de données. Des quantités massives de données sont transférées quotidiennement vers et depuis le Royaume-Uni, l’UE et d’autres pays.
L'article 45 édicte un certain nombre de mesures de précaution qui protègent les données pendant leur traitement et garantissent les droits et libertés de toute personne susceptible d'être affectée par des transferts transfrontaliers.
Transferts sur la base d'une décision d'adéquation
- Un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale peut avoir lieu lorsque la Commission a décidé que le pays tiers, un territoire ou un ou plusieurs secteurs spécifiés au sein de ce pays tiers, ou l'organisation internationale en question assure un niveau adéquat de protection. Un tel transfert ne nécessite aucune autorisation spécifique.
- Lors de l'évaluation du caractère adéquat du niveau de protection, la Commission tient notamment compte des éléments suivants:
- (a) l'état de droit, le respect des droits de l'homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en matière de sécurité publique, de défense, de sécurité nationale et de droit pénal et l'accès des autorités publiques aux données à caractère personnel, ainsi que mise en œuvre de cette législation, des règles en matière de protection des données, des règles professionnelles et des mesures de sécurité, y compris les règles relatives au transfert ultérieur de données à caractère personnel vers un autre pays tiers ou une organisation internationale, qui sont respectées dans ce pays ou cette organisation internationale, la jurisprudence ainsi que les et des droits exécutoires des personnes concernées et des recours administratifs et judiciaires efficaces pour les personnes concernées dont les données personnelles sont transférées ;
- (b) l'existence et le fonctionnement efficace d'une ou plusieurs autorités de contrôle indépendantes dans le pays tiers ou auxquelles une organisation internationale est soumise, chargées d'assurer et de faire respecter les règles en matière de protection des données, y compris des pouvoirs d'exécution adéquats, pour assister et conseiller les personnes concernées dans l'exercice de leurs droits et pour la coopération avec les autorités de contrôle des États membres ; et
- c) les engagements internationaux que le pays tiers ou l'organisation internationale concernée a contractés, ou d'autres obligations découlant de conventions ou d'instruments juridiquement contraignants ainsi que de sa participation à des systèmes multilatéraux ou régionaux, notamment en matière de protection des données à caractère personnel.
- La Commission, après avoir évalué le caractère adéquat du niveau de protection, peut décider, au moyen d'un acte d'exécution, qu'un pays tiers, un territoire ou un ou plusieurs secteurs déterminés au sein d'un pays tiers, ou une organisation internationale assure un niveau de protection adéquat. au sens du paragraphe 2 du présent article. L'acte d'exécution prévoit un mécanisme de réexamen périodique, au moins tous les quatre ans, qui tient compte de toutes les évolutions pertinentes dans le pays tiers ou l'organisation internationale. L'acte d'exécution précise son application territoriale et sectorielle et, le cas échéant, identifie la ou les autorités de contrôle visées au paragraphe 2, point b), du présent article. L'acte d'exécution est adopté en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.
- La Commission suit en permanence les évolutions dans les pays tiers et les organisations internationales qui pourraient affecter le fonctionnement des décisions adoptées en vertu du paragraphe 3 du présent article et des décisions adoptées sur la base de l'article 25, paragraphe 6, de la directive 95/46/ CE.
- La Commission, lorsque les informations disponibles révèlent, notamment à la suite de l'examen visé au paragraphe 3 du présent article, qu'un pays tiers, un territoire ou un ou plusieurs secteurs déterminés au sein d'un pays tiers, ou une organisation internationale, n'assure plus une niveau de protection au sens du paragraphe 2 du présent article, dans la mesure nécessaire, abroger, modifier ou suspendre la décision visée au paragraphe 3 du présent article au moyen d'actes d'exécution sans effet rétroactif. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.
Pour des raisons d'urgence impératives dûment justifiées, la Commission adopte des actes d'exécution immédiatement applicables conformément à la procédure visée à l'article 93, paragraphe 3.- La Commission engage des consultations avec le pays tiers ou l'organisation internationale en vue de remédier à la situation ayant donné lieu à la décision prise en vertu du paragraphe 5.
- Une décision prise en vertu du paragraphe 5 du présent article est sans préjudice des transferts de données à caractère personnel vers le pays tiers, un territoire ou un ou plusieurs secteurs déterminés au sein de ce pays tiers, ou l'organisation internationale en question conformément aux articles 46 à 49.
- La Commission publie au Journal officiel de l'Union européenne et sur son site Internet une liste des pays tiers, des territoires et des secteurs spécifiés au sein d'un pays tiers et des organisations internationales pour lesquels elle a décidé qu'un niveau de protection adéquat est ou n'est plus. assuré.
- Les décisions adoptées par la Commission sur la base de l'article 25, paragraphe 6, de la directive 95/46/CE restent en vigueur jusqu'à ce qu'elles soient modifiées, remplacées ou abrogées par une décision de la Commission adoptée conformément au paragraphe 3 ou 5 du présent article.
Transferts sur la base d'une décision d'adéquation
- Un transfert de données personnelles vers un pays tiers ou une organisation internationale peut avoir lieu lorsqu'il est fondé sur des règles d'adéquation (voir article 17A de la loi de 2018).
- Lors de l’évaluation de l’adéquation du niveau de protection, aux fins des articles 17A et 17B de la loi de 2018, le secrétaire d’État tient notamment compte des éléments suivants :
- (a) l'état de droit, le respect des droits de l'homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en matière de sécurité publique, de défense, de sécurité nationale et de droit pénal et l'accès des autorités publiques aux données à caractère personnel, ainsi que mise en œuvre de cette législation, des règles en matière de protection des données, des règles professionnelles et des mesures de sécurité, y compris les règles relatives au transfert ultérieur de données à caractère personnel vers un autre pays tiers ou une organisation internationale, qui sont respectées dans ce pays ou cette organisation internationale, la jurisprudence ainsi que les et des droits exécutoires des personnes concernées et des recours administratifs et judiciaires efficaces pour les personnes concernées dont les données personnelles sont transférées ;
- (b) l'existence et le fonctionnement efficace d'une ou plusieurs autorités de contrôle indépendantes dans le pays tiers ou auxquelles une organisation internationale est soumise, chargées d'assurer et de faire respecter les règles en matière de protection des données, y compris des pouvoirs d'exécution adéquats, pour assister et conseiller les personnes concernées dans l'exercice de leurs droits et pour la coopération avec le commissaire ; et
- c) les engagements internationaux que le pays tiers ou l'organisation internationale concernée a contractés, ou d'autres obligations découlant de conventions ou d'instruments juridiquement contraignants ainsi que de sa participation à des systèmes multilatéraux ou régionaux, notamment en matière de protection des données à caractère personnel.
- La modification ou la révocation des réglementations en vertu de l'article 17A de la loi de 2018 est sans préjudice des transferts de données personnelles vers le pays tiers, un territoire ou un ou plusieurs secteurs spécifiés au sein de ce pays tiers, ou l'organisation internationale en question conformément aux articles 46 à 49.
L'adéquation est un terme clé qui apparaît tout au long de l'article 45 du RGPD. Le terme « niveau de protection adéquat » signifie que le destinataire des données garantit un niveau de protection qui peut être considéré comme « essentiellement équivalent » au RGPD.
L’adéquation est traitée dans 6 domaines clés :
Dans cette section, nous parlons des articles 45 (1) du RGPD, 45 (2)(a), 45 (2)(b), 45 (2)(c), 45 (3), 45 (4), 45 (5). ), 45 (6), 45 (7), 45 (8), 45 (9)
Les règles réglementaires et juridiques régionales varient en fonction de l'origine des données et de l'endroit où elles seront transférées.
Les organisations doivent prendre en compte toutes les lois, cadres et réglementations pertinents chaque fois qu'elles ont besoin de transférer des données entre juridictions, y compris le recours à une autorité de contrôle désignée.
| Article RGPD | Article ISO 27701 | Clauses complémentaires ISO 27701 |
|---|---|---|
| RGPD de l'UE, articles 45 (1) à 45 (9) | ISO 27701 7.5.1 | Aucun |
Avec ISMS.online, vous pouvez facilement démontrer un niveau de protection de la vie privée qui va au-delà du « raisonnable », le tout dans un emplacement sécurisé et toujours disponible.
La plateforme ISMS.online comprend des conseils intégrés à chaque étape, combinés à notre approche de mise en œuvre « Adopter, Adapter, Ajouter », ce qui facilite considérablement la démonstration de votre conformité au RGPD. Une large gamme d’outils permettant de gagner du temps sera également mise à votre disposition.
En savoir plus par planifier une démo.
Cela nous aide à adopter un comportement positif qui fonctionne pour nous.
& notre culture.
