Artikkel 46. Nødvendige garantier

Overføring av personopplysninger til annet enn godkjent tredjeland etter artikkel 45 utenfor EØS kan kun gjøres dersom ett av grunnlagene («nødvendige garantier») som listes opp i nr. 2 i bestemmelsen og at de som personopplysningene gjelder har håndhevbare og effektive rettsmidler i landet som opplysningene overføres til. Garantiene kan også sikres ved avtalevilkår mellom behandlingsansvarlig/databehandler eller eksportør/importør av opplysningene eller administrative ordninger mellom offentlige myndigheter eller organer (se konsistensmekanismen i artikkel 63).

1. Dersom det ikke foreligger en beslutning i henhold til artikkel 45 nr. 3, kan en behandlingsansvarlig eller databehandler overføre personopplysninger til en tredjestat eller en internasjonal organisasjon bare dersom den behandlingsansvarlige eller databehandleren har gitt nødvendige garantier, og under forutsetning av at de registrerte har håndhevbare rettigheter og effektive rettsmidler.

2. De nødvendige garantiene nevnt i nr. 1 kan uten krav om særlig godkjenning fra en tilsynsmyndighet sikres ved hjelp av

a) et rettslig bindende og håndhevbart instrument mellom offentlige myndigheter eller organer,

b) bindende virksomhetsregler i samsvar med artikkel 47,

c) standard personvernbestemmelser vedtatt av Kommisjonen i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2,

d) standard personvernbestemmelser vedtatt av en tilsynsmyndighet og godkjent av Kommisjonen i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2,

e) godkjente atferdsnormer i henhold til artikkel 40 sammen med bindende og håndhevbare forpliktelser for den behandlingsansvarlige eller databehandleren i tredjestaten om å anvende nødvendige garantier, herunder med hensyn til de registrertes rettigheter, eller

f) en godkjent sertifiseringsmekanisme i henhold til artikkel 42 sammen med bindende og håndhevbare forpliktelser for den behandlingsansvarlige eller databehandleren i tredjestaten om å anvende nødvendige garantier, herunder med hensyn til de registrertes rettigheter.

3. Forutsatt godkjenning fra vedkommende tilsynsmyndighet kan de nødvendige garantiene nevnt i nr. 1 også sikres, særlig ved hjelp av

a) avtalevilkår mellom den behandlingsansvarlige eller databehandleren og den behandlingsansvarlige, databehandleren eller mottakeren av personopplysninger i tredjestaten eller den internasjonale organisasjonen, eller

b) bestemmelser som skal innføres i administrative ordninger mellom offentlige myndigheter eller organer, og som omfatter håndhevbare og effektive rettigheter for de registrerte.

4. Tilsynsmyndigheten skal anvende konsistensmekanismen nevnt i artikkel 63 i tilfellene nevnt i nr. 3 i denne artikkel.

5. Godkjenninger gitt av en medlemsstat eller tilsynsmyndighet på grunnlag av artikkel 26 nr. 2 i direktiv 95/46/EF skal fortsette å gjelde fram til de ved behov endres, erstattes eller oppheves av nevnte tilsynsmyndighet. Beslutninger truffet av Kommisjonen på grunnlag av artikkel 26 nr. 4 i direktiv 95/46/EF skal fortsette å gjelde fram til de ved behov endres, erstattes eller oppheves ved en kommisjonsbeslutning truffet i samsvar med nr. 2 i denne artikkel.

Article 46. Transfers subject to appropriate safeguards

1. In the absence of a decision pursuant to Article 45 (3), a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available.

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

(a) a legally binding and enforceable instrument between public authorities or bodies;

(b) binding corporate rules in accordance with Article 47;

(c) standard data protection clauses adopted by the Commission in accordance with the examination procedure referred to in Article 93 (2);

(d) standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93 (2);

(e) an approved code of conduct pursuant to Article 40 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights; or

(f) an approved certification mechanism pursuant to Article 42 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights.

3. Subject to the authorisation from the competent supervisory authority, the appropriate safeguards referred to in paragraph 1 may also be provided for, in particular, by:

(a) contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organisation; or

(b) provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights.

4. The supervisory authority shall apply the consistency mechanism referred to in Article 63 in the cases referred to in paragraph 3 of this Article.

5. Authorisations by a Member State or supervisory authority on the basis of Article 26 (2) of Directive 95/46/EC shall remain valid until amended, replaced or repealed, if necessary, by that supervisory authority. Decisions adopted by the Commission on the basis of Article 26 (4) of Directive 95/46/EC shall remain in force until amended, replaced or repealed, if necessary, by a Commission Decision adopted in accordance with paragraph 2 of this Article.

Fortalepunkter og bestemmelser

Primære fortalepunkter

Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, bør den behandlingsansvarlige eller databehandleren treffe tiltak for å kompensere for det manglende vernet av personopplysninger i en tredjestat i form av nødvendige garantier for den registrerte. Nødvendige garantier kan omfatte bruk av bindende virksomhetsregler, standard personvernbestemmelser vedtatt av Kommisjonen, standard personvernbestemmelser vedtatt av en tilsynsmyndighet eller avtalevilkår godkjent av en tilsynsmyndighet. Disse garantiene bør sikre samsvar med kravene til vern av personopplysninger og de registrertes rettigheter i forbindelse med behandling internt i Unionen, herunder om de registrerte har tilgang til håndhevbare rettigheter og effektive rettsmidler, herunder retten til effektiv administrativ eller rettslig prøving og til å kreve erstatning i Unionen eller i en tredjestat. Garantiene bør særlig omfatte samsvar med de allmenne prinsippene om behandling av personopplysninger og prinsippene om innebygd personvern og personvern som standardinnstilling. Offentlige myndigheter eller organer kan også foreta overføringer til offentlige myndigheter eller organer i tredjestater eller til internasjonale organisasjoner med tilsvarende oppgaver eller funksjoner, herunder på grunnlag av bestemmelser som skal innlemmes i administrative ordninger, f.eks. en programerklæring, som gir de registrerte håndhevbare og effektive rettigheter. Det bør innhentes godkjenning fra vedkommende tilsynsmyndighet når garantiene er fastsatt i administrative ordninger som ikke er rettslig bindende.

In the absence of an adequacy decision, the controller or processor should take measures to compensate for the lack of data protection in a third country by way of appropriate safeguards for the data subject. Such appropriate safeguards may consist of making use of binding corporate rules, standard data protection clauses adopted by the Commission, standard data protection clauses adopted by a supervisory authority or contractual clauses authorised by a supervisory authority. Those safeguards should ensure compliance with data protection requirements and the rights of the data subjects appropriate to processing within the Union, including the availability of enforceable data subject rights and of effective legal remedies, including to obtain effective administrative or judicial redress and to claim compensation, in the Union or in a third country. They should relate in particular to compliance with the general principles relating to personal data processing, the principles of data protection by design and by default. Transfers may also be carried out by public authorities or bodies with public authorities or bodies in third countries or with international organisations with corresponding duties or functions, including on the basis of provisions to be inserted into administrative arrangements, such as a memorandum of understanding, providing for enforceable and effective rights for data subjects. Authorisation by the competent supervisory authority should be obtained when the safeguards are provided for in administrative arrangements that are not legally binding.

Den behandlingsansvarliges eller databehandlerens mulighet til å benytte standardbestemmelser for vern av personopplysninger vedtatt av Kommisjonen eller av en tilsynsmyndighet bør ikke hindre de behandlingsansvarlige eller databehandlere i å innlemme standardbestemmelsene for vern av personopplysninger i en mer omfattende avtale, f.eks. en avtale mellom databehandleren og en annen databehandler, eller i å tilføye andre bestemmelser eller ytterligere garantier, forutsatt at de ikke direkte eller indirekte er i strid med standardavtalevilkårene vedtatt av Kommisjonen eller av en tilsynsmyndighet eller berører de registrertes grunnleggende rettigheter og friheter. Behandlingsansvarlige og databehandlere bør oppmuntres til å fastsette ytterligere garantier gjennom avtalefestede forpliktelser som utfyller standard personvernbestemmelser.

The possibility for the controller or processor to use standard data-protection clauses adopted by the Commission or by a supervisory authority should prevent controllers or processors neither from including the standard data-protection clauses in a wider contract, such as a contract between the processor and another processor, nor from adding other clauses or additional safeguards provided that they do not contradict, directly or indirectly, the standard contractual clauses adopted by the Commission or by a supervisory authority or prejudice the fundamental rights or freedoms of the data subjects. Controllers and processors should be encouraged to provide additional safeguards via contractual commitments that supplement standard protection clauses.

Uoffisielle overskrifter

Andre fortalepunkter

Strømmen av personopplysninger til og fra stater utenfor Unionen og internasjonale organisasjoner er nødvendig for å kunne utvide internasjonal handel og internasjonalt samarbeid. Denne strømmen har økt, og dette har skapt nye utfordringer og bekymringer med tanke på vern av personopplysninger. Når personopplysninger overføres fra Unionen til behandlingsansvarlige, databehandlere eller andre mottakere i tredjestater eller til internasjonale organisasjoner, bør det beskyttelsesnivået som fysiske personer ved denne forordning sikres i Unionen, imidlertid ikke undergraves, herunder i tilfeller der personopplysninger videreoverføres fra tredjestaten eller den internasjonale organisasjonen til behandlingsansvarlige eller databehandlere i den samme eller en annen tredjestat eller internasjonal organisasjon. Overføring til tredjestater og internasjonale organisasjoner må under alle omstendigheter bare skje i fullt samsvar med denne forordning. Med forbehold for de andre bestemmelsene i denne forordning kan en overføring bare finne sted dersom den behandlingsansvarlige eller databehandleren overholder vilkårene fastsatt i bestemmelsene i denne forordning om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner.

Flows of personal data to and from countries outside the Union and international organisations are necessary for the expansion of international trade and international cooperation. The increase in such flows has raised new challenges and concerns with regard to the protection of personal data. However, when personal data are transferred from the Union to controllers, processors or other recipients in third countries or to international organisations, the level of protection of natural persons ensured in the Union by this Regulation should not be undermined, including in cases of onward transfers of personal data from the third country or international organisation to controllers, processors in the same or another third country or international organisation. In any event, transfers to third countries and international organisations may only be carried out in full compliance with this Regulation. A transfer could take place only if, subject to the other provisions of this Regulation, the conditions laid down in the provisions of this Regulation relating to the transfer of personal data to third countries or international organisations are complied with by the controller or processor.

Kommisjonen kan fastslå at en tredjestat, et territorium eller en bestemt sektor i en tredjestat eller en internasjonal organisasjon ikke lenger sikrer et tilstrekkelig nivå for vern av personopplysninger. Overføringen av personopplysninger til nevnte tredjestat eller internasjonale organisasjon bør da forbys, med mindre kravene i denne forordning som gjelder overføringer som omfattes av nødvendige garantier, herunder bindende virksomhetsregler, og unntak for særlige situasjoner, er oppfylt. I slike tilfeller bør det fastsettes at det skal gjennomføres samråd mellom Kommisjonen og nevnte tredjestater eller internasjonale organisasjoner. Kommisjonen bør i rett tid underrette tredjestaten eller den internasjonale organisasjonen om årsakene og innlede samråd med den for å avhjelpe situasjonen.

The Commission may recognise that a third country, a territory or a specified sector within a third country, or an international organisation no longer ensures an adequate level of data protection. Consequently the transfer of personal data to that third country or international organisation should be prohibited, unless the requirements in this Regulation relating to transfers subject to appropriate safeguards, including binding corporate rules, and derogations for specific situations are fulfilled. In that case, provision should be made for consultations between the Commission and such third countries or international organisations. The Commission should, in a timely manner, inform the third country or international organisation of the reasons and enter into consultations with it in order to remedy the situation.

Et konsern eller en gruppe av foretak som utøver en felles økonomisk virksomhet, bør kunne anvende godkjente bindende virksomhetsregler når de foretar internasjonale overføringer fra Unionen til organisasjoner i samme konsern, eller gruppe av foretak som utøver en felles økonomisk virksomhet, forutsatt at nevnte virksomhetsregler omfatter alle grunnleggende prinsipper og håndhevbare rettigheter for å sikre nødvendige garantier for overføringer eller kategorier av overføringer av personopplysninger.

A group of undertakings, or a group of enterprises engaged in a joint economic activity, should be able to make use of approved binding corporate rules for its international transfers from the Union to organisations within the same group of undertakings, or group of enterprises engaged in a joint economic activity, provided that such corporate rules include all essential principles and enforceable rights to ensure appropriate safeguards for transfers or categories of transfers of personal data.

Uoffisielle overskrifter

Relaterte bestemmelser

Art. 28. Databehandler
Art. 40. Atferdsnormer
Art. 42. Sertifisering
Art. 44. Generelt prinsipp for overføring
Art. 45. Beslutning om tilstrekkelig beskyttelsesnivå
Art. 47. Bindende virksomhetsregler

Pol. § 13. Overføring til tredjestater

Meld feil / gi innspill

Meld feil eller gi innspill

Navn (frivillig)

Tilbakemelding

← Forrige Art. 45. Beslutning om tilstrekkelig beskyttelsesnivå ← Artikkel 45 ← Art. 45 Oversikt Neste → Art. 47. Bindende virksomhetsregler Artikkel 47 → Art. 47 →