Artikkel 46. Overføringer som omfattes av nødvendige garantier

Sammendrag: Overføring av personopplysninger til annet enn godkjent tredjeland etter artikkel 45 utenfor EØS kan kun gjøres dersom ett av grunnlagene («nødvendige garantier») som listes opp i nr. 2 i bestemmelsen og at de som personopplysningene gjelder har håndhevbare og effektive rettsmidler i landet som opplysningene overføres til. Garantiene kan også sikres ved avtalevilkår mellom behandlingsansvarlig/databehandler eller eksportør/importør av opplysningene eller administrative ordninger mellom offentlige myndigheter eller organer (se konsistensmekanismen i artikkel 63).

Primære fortalepunkter

Nødvendige garantier for overføring av personopplysninger til tredjestat mv.*

108. Dersom det ikke foreligger en beslutning om tilstrekkelig beskyttelsesnivå, bør den behandlingsansvarlige eller databehandleren treffe tiltak for å kompensere for det manglende vernet av personopplysninger i en tredjestat i form av nødvendige garantier for den registrerte. Nødvendige garantier kan omfatte bruk av bindende virksomhetsregler, standard personvernbestemmelser vedtatt av Kommisjonen, standard personvernbestemmelser vedtatt av en tilsynsmyndighet eller avtalevilkår godkjent av en tilsynsmyndighet. Disse garantiene bør sikre samsvar med kravene til vern av personopplysninger og de registrertes rettigheter i forbindelse med behandling internt i Unionen, herunder om de registrerte har tilgang til håndhevbare rettigheter og effektive rettsmidler, herunder retten til effektiv administrativ eller rettslig prøving og til å kreve erstatning i Unionen eller i en tredjestat. Garantiene bør særlig omfatte samsvar med de allmenne prinsippene om behandling av personopplysninger og prinsippene om innebygd personvern og personvern som standardinnstilling. Offentlige myndigheter eller organer kan også foreta overføringer til offentlige myndigheter eller organer i tredjestater eller til internasjonale organisasjoner med tilsvarende oppgaver eller funksjoner, herunder på grunnlag av bestemmelser som skal innlemmes i administrative ordninger, f.eks. en programerklæring, som gir de registrerte håndhevbare og effektive rettigheter. Det bør innhentes godkjenning fra vedkommende tilsynsmyndighet når garantiene er fastsatt i administrative ordninger som ikke er rettslig bindende.
*ikke offisiell overskrift

Andre aktuelle fortalepunkter

Behandling på grunnlag av berettiget interesse i konsern/sentralt organ*

48. Behandlingsansvarlige som er en del av et konsern, eller institusjoner som er tilknyttet et sentralt organ, kan ha en berettiget interesse av å overføre personopplysninger internt i konsernet med henblikk på interne administrative formål, herunder behandling av kunders eller arbeidstakeres personopplysninger. De allmenne prinsippene for overføring av personopplysninger i et konsern til et foretak i en tredjestat påvirkes ikke.
*ikke offisiell overskrift

Overføring av personopplysninger til tredjestater mv.*

101. Strømmen av personopplysninger til og fra stater utenfor Unionen og internasjonale organisasjoner er nødvendig for å kunne utvide internasjonal handel og internasjonalt samarbeid. Denne strømmen har økt, og dette har skapt nye utfordringer og bekymringer med tanke på vern av personopplysninger. Når personopplysninger overføres fra Unionen til behandlingsansvarlige, databehandlere eller andre mottakere i tredjestater eller til internasjonale organisasjoner, bør det beskyttelsesnivået som fysiske personer ved denne forordning sikres i Unionen, imidlertid ikke undergraves, herunder i tilfeller der personopplysninger videreoverføres fra tredjestaten eller den internasjonale organisasjonen til behandlingsansvarlige eller databehandlere i den samme eller en annen tredjestat eller internasjonal organisasjon. Overføring til tredjestater og internasjonale organisasjoner må under alle omstendigheter bare skje i fullt samsvar med denne forordning. Med forbehold for de andre bestemmelsene i denne forordning kan en overføring bare finne sted dersom den behandlingsansvarlige eller databehandleren overholder vilkårene fastsatt i bestemmelsene i denne forordning om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner.
*ikke offisiell overskrift

Standardbestemmelser om vern av personopplysninger kan inntas i mer omfattende avtale*

109. Den behandlingsansvarliges eller databehandlerens mulighet til å benytte standardbestemmelser for vern av personopplysninger vedtatt av Kommisjonen eller av en tilsynsmyndighet bør ikke hindre de behandlingsansvarlige eller databehandlere i å innlemme standardbestemmelsene for vern av personopplysninger i en mer omfattende avtale, f.eks. en avtale mellom databehandleren og en annen databehandler, eller i å tilføye andre bestemmelser eller ytterligere garantier, forutsatt at de ikke direkte eller indirekte er i strid med standardavtalevilkårene vedtatt av Kommisjonen eller av en tilsynsmyndighet eller berører de registrertes grunnleggende rettigheter og friheter. Behandlingsansvarlige og databehandlere bør oppmuntres til å fastsette ytterligere garantier gjennom avtalefestede forpliktelser som utfyller standard personvernbestemmelser.
*ikke offisiell overskrift

Sikring av personopplysninger ved overføring til tredjestater*

114. Dersom Kommisjonen ikke har truffet en beslutning om hvorvidt nivået for vern av personopplysninger i en tredjestat er tilstrekkelig, bør den behandlingsansvarlige eller databehandleren benytte løsninger som gir de registrerte håndhevbare og effektive rettigheter når det gjelder behandling av deres opplysninger i Unionen så snart nevnte opplysninger er blitt overført, slik at de fortsatt kan nyte godt av grunnleggende rettigheter og garantier.
*ikke offisiell overskrift

Engelsk tekst

Article 46. Transfers subject to appropriate safeguards

1. In the absence of a decision pursuant to Article 45 (3), a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available.

2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by:

(a) a legally binding and enforceable instrument between public authorities or bodies;

(b) binding corporate rules in accordance with Article 47;

(c) standard data protection clauses adopted by the Commission in accordance with the examination procedure referred to in Article 93 (2);

(d) standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93 (2);

(e) an approved code of conduct pursuant to Article 40 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights; or

(f) an approved certification mechanism pursuant to Article 42 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects’ rights.

3. Subject to the authorisation from the competent supervisory authority, the appropriate safeguards referred to in paragraph 1 may also be provided for, in particular, by:

(a) contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organisation; or

(b) provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights.

4. The supervisory authority shall apply the consistency mechanism referred to in Article 63 in the cases referred to in paragraph 3 of this Article.

5. Authorisations by a Member State or supervisory authority on the basis of Article 26 (2) of Directive 95/46/EC shall remain valid until amended, replaced or repealed, if necessary, by that supervisory authority. Decisions adopted by the Commission on the basis of Article 26 (4) of Directive 95/46/EC shall remain in force until amended, replaced or repealed, if necessary, by a Commission Decision adopted in accordance with paragraph 2 of this Article.

1. Dersom det ikke foreligger en beslutning i henhold til artikkel 45 nr. 3, kan en behandlingsansvarlig eller databehandler overføre personopplysninger til en tredjestat eller en internasjonal organisasjon bare dersom den behandlingsansvarlige eller databehandleren har gitt nødvendige garantier, og under forutsetning av at de registrerte har håndhevbare rettigheter og effektive rettsmidler.

2. De nødvendige garantiene nevnt i nr. 1 kan uten krav om særlig godkjenning fra en tilsynsmyndighet sikres ved hjelp av

a) et rettslig bindende og håndhevbart instrument mellom offentlige myndigheter eller organer,

b) bindende virksomhetsregler i samsvar med artikkel 47,

c) standard personvernbestemmelser vedtatt av Kommisjonen i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2,

d) standard personvernbestemmelser vedtatt av en tilsynsmyndighet og godkjent av Kommisjonen i samsvar med undersøkelsesprosedyren nevnt i artikkel 93 nr. 2,

e) godkjente atferdsnormer i henhold til artikkel 40 sammen med bindende og håndhevbare forpliktelser for den behandlingsansvarlige eller databehandleren i tredjestaten om å anvende nødvendige garantier, herunder med hensyn til de registrertes rettigheter, eller

f) en godkjent sertifiseringsmekanisme i henhold til artikkel 42 sammen med bindende og håndhevbare forpliktelser for den behandlingsansvarlige eller databehandleren i tredjestaten om å anvende nødvendige garantier, herunder med hensyn til de registrertes rettigheter.

3. Forutsatt godkjenning fra vedkommende tilsynsmyndighet kan de nødvendige garantiene nevnt i nr. 1 også sikres, særlig ved hjelp av

a) avtalevilkår mellom den behandlingsansvarlige eller databehandleren og den behandlingsansvarlige, databehandleren eller mottakeren av personopplysninger i tredjestaten eller den internasjonale organisasjonen, eller

b) bestemmelser som skal innføres i administrative ordninger mellom offentlige myndigheter eller organer, og som omfatter håndhevbare og effektive rettigheter for de registrerte.

4. Tilsynsmyndigheten skal anvende konsistensmekanismen nevnt i artikkel 63 i tilfellene nevnt i nr. 3 i denne artikkel.

5. Godkjenninger gitt av en medlemsstat eller tilsynsmyndighet på grunnlag av artikkel 26 nr. 2 i direktiv 95/46/EF skal fortsette å gjelde fram til de ved behov endres, erstattes eller oppheves av nevnte tilsynsmyndighet. Beslutninger truffet av Kommisjonen på grunnlag av artikkel 26 nr. 4 i direktiv 95/46/EF skal fortsette å gjelde fram til de ved behov endres, erstattes eller oppheves ved en kommisjonsbeslutning truffet i samsvar med nr. 2 i denne artikkel.

< Artikkel 45 | Artikkel 47 >

Kurs i GDPR