RGPD L'article 46 autorise le transfert de données vers un autre pays ou une organisation internationale sans « décision d'adéquation » (voir article 45).
La majorité des pays capables de recevoir des données du Royaume-Uni ou de l'UE ne disposent pas de leur propre cadre de protection des données. En tant que tel, l'article 46 joue un rôle important dans la garantie des droits et libertés des citoyens naturalisés dans une économie mondialisée.
Transferts soumis à des garanties appropriées
- En l'absence de décision en vertu de l'article 45, paragraphe 3, un responsable du traitement ou un sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou une organisation internationale que s'il a fourni des garanties appropriées et à condition que les droits et droits exécutoires de la personne concernée soient respectés. des recours juridiques efficaces sont disponibles pour les personnes concernées.
- Les garanties appropriées visées au paragraphe 1 peuvent être prévues, sans nécessiter aucune autorisation spécifique d'une autorité de contrôle, par :
- (a) un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics ;
- (b) des règles d'entreprise contraignantes conformément à l'article 47 ;
- c) les clauses types de protection des données adoptées par la Commission conformément à la procédure d'examen visée à l'article 93, paragraphe 2;
- d) les clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission conformément à la procédure d'examen visée à l'article 93, paragraphe 2;
- (e) un code de conduite approuvé conformément à l'article 40 ainsi que des engagements contraignants et exécutoires du responsable du traitement ou du sous-traitant dans le pays tiers à appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées; ou
- (f) un mécanisme de certification approuvé conformément à l'article 42 ainsi que des engagements contraignants et exécutoires du responsable du traitement ou du sous-traitant dans le pays tiers à appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.
- Sous réserve de l'autorisation de l'autorité de contrôle compétente, les garanties appropriées visées au paragraphe 1 peuvent également être prévues, notamment par:
- (a) les clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l'organisation internationale ; ou
- (b) des dispositions à insérer dans les arrangements administratifs entre autorités ou organismes publics qui incluent des droits exécutoires et effectifs des personnes concernées.
- L'autorité de contrôle applique le mécanisme de cohérence visé à l'article 63 dans les cas visés au paragraphe 3 du présent article.
- Les autorisations délivrées par un État membre ou une autorité de contrôle sur la base de l'article 26, paragraphe 2, de la directive 95/46/CE restent valables jusqu'à ce qu'elles soient modifiées, remplacées ou abrogées, si nécessaire, par cette autorité de contrôle. Les décisions adoptées par la Commission sur la base de l'article 26, paragraphe 4, de la directive 95/46/CE restent en vigueur jusqu'à ce qu'elles soient modifiées, remplacées ou abrogées, si nécessaire, par une décision de la Commission adoptée conformément au paragraphe 2 du présent article.
Transferts soumis à des garanties appropriées
- En l'absence de réglementation d'adéquation en vertu de l'article 17A de la loi de 2018, un responsable du traitement ou un sous-traitant ne peut transférer des données personnelles vers un pays tiers ou une organisation internationale que s'il a fourni des garanties appropriées, et à condition que les droits et droits exécutoires de la personne concernée soient respectés. des recours juridiques efficaces sont disponibles pour les personnes concernées.
- Les garanties appropriées visées au paragraphe 1 peuvent être prévues, sans nécessiter aucune autorisation particulière du commissaire, par :
- (a) un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics ;
- (b) des règles d'entreprise contraignantes conformément à l'article 47 ;
- (c) les clauses types de protection des données spécifiées dans les règlements pris par le secrétaire d'État en vertu de l'article 17C de la loi de 2018 et actuellement en vigueur ;
- (d) les clauses types de protection des données spécifiées dans un document délivré (et non retiré) par le commissaire en vertu de l'article 119A de la loi de 2018 et actuellement en vigueur ;
- (e) un code de conduite approuvé conformément à l'article 40 ainsi que des engagements contraignants et exécutoires du responsable du traitement ou du sous-traitant dans le pays tiers à appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées; ou
- (f) un mécanisme de certification approuvé conformément à l'article 42 ainsi que des engagements contraignants et exécutoires du responsable du traitement ou du sous-traitant dans le pays tiers à appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.
- Avec l'autorisation du commissaire, les garanties appropriées visées au paragraphe 1 peuvent également être prévues, notamment par :
- (a) les clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l'organisation internationale ; ou
- (b) des dispositions à insérer dans les arrangements administratifs entre autorités ou organismes publics qui incluent des droits exécutoires et effectifs des personnes concernées.
Avec ISMS.online, les défis liés au contrôle de version, à l'approbation et au partage de politiques appartiennent au passé.
La discussion concernant le transfert de données personnelles vers des pays sans cadre d’adéquation associé s’étend sur 6 domaines clés :
Dans cette section, nous parlons des articles 46 (1) du RGPD, 46 (2)(a), 46 (2)(b), 46 (2)(c), 46 (2)(d), 46 (2)( e), 46 (2)(f), 46 (3)(a), 46 (3)(b), 46 (4), 46 (5)
Les règles réglementaires et juridiques régionales varient en fonction de l'origine des données et de l'endroit où elles seront transférées.
Les organisations doivent prendre en compte toutes les lois, cadres et réglementations pertinents chaque fois qu'elles ont besoin de transférer des données entre juridictions, y compris le recours à une autorité de contrôle désignée.
Dans cette section, nous parlons des articles 46 (1) du RGPD, 46 (2)(a), 46 (2)(b), 46 (2)(c), 46 (2)(d), 46 (2)( e), 46 (2)(f), 46 (3)(a) et 46 (3)(b)
Les clients doivent pouvoir consulter à tout moment une liste des pays et organisations destinataires potentiels, y compris un journal de tous les pays impliqués dans la sous-traitance des informations personnelles (voir la clause 27701 de la norme ISO 8.5.1).
Dans certaines circonstances, les organisations ne seront pas toujours en mesure de divulguer à l’avance l’origine des demandes de transfert – notamment en cas de procédure pénale. Ceci est inévitable et la priorité de l'organisation devrait être de maintenir l'intégrité d'une opération d'application de la loi (voir les clauses 27701, 7.5.1 et 8.5.4 de la norme ISO 8.5.5).
| Article RGPD | Article ISO 27701 | Clauses complémentaires ISO 27701 |
|---|---|---|
| RGPD de l'UE, articles 46 (1) à 46 (5) | ISO 27701 7.5.1 | Aucun |
| RGPD de l’UE, articles 46 (1) à 46 (3)(b) | ISO 27701 8.5.1 | ISO 27701 7.5.1 ISO 27701 8.5.4 ISO 27701 8.5.5 |
Nous mettons à votre disposition un environnement pré-construit afin de décrire et de démontrer votre approche de la protection de vos données clients européennes et britanniques d'une manière qui s'intègre parfaitement dans votre système de gestion existant.
Avec ISMS.online, il vous est facile de vous lancer directement dans la démarche de conformité au RGPD et de démontrer facilement un niveau de protection qui va au-delà du « raisonnable », le tout dans un emplacement sécurisé et toujours disponible auquel vous pouvez accéder de n'importe où.
En savoir plus par planifier une démo.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
