Aistriú sonraí pearsanta chuig tríú tíortha nó le heagraíochtaí idirnáisiúnta

Tá sreabhadh sonraí pearsanta chuig agus ón Aontas Eorpach (an "AE") riachtanach le haghaidh trádála idirnáisiúnta agus comhoibriú idirnáisiúnta. Mar sin féin, níor cheart go ndéanfadh aistriú sonraí pearsanta den sórt sin ón AE do rialtóirí agus do phróiseálaithe atá lonnaithe lasmuigh den AE i dtríú tíortha bonn cosanta na ndaoine aonair lena mbaineann, agus gur tír ar bith atá i dtríú tír lasmuigh den Limistéar Eorpach Eacnamaíoch (an "EEA "). Dá bhrí sin, ba cheart aistrithe chuig tríú tíortha nó le heagraíochtaí idirnáisiúnta a chomhlíonadh go hiomlán le Caibidil V den Rialachán Ginearálta um Chosaint Sonraí, an "GDPR".

Tugann an nóta seo treoir achoimre ar na forálacha i gCaibidil V den GDPR, chomh maith le naisc le faisnéis agus treoir níos mionsonraithe.

Airteagal 45 - Aistrithe ar bhonn cinneadh leordhóthanachta

Is é an chéad rud a mheas nuair a aistríonn sonraí pearsanta chuig tríú tír má tá "cinneadh leordhóthanach" ann. Ciallaíonn cinneadh leordhóthanach go bhfuil cinneadh déanta ag an gCoimisiún Eorpach go gcinntíonn tríú tír nó eagraíocht idirnáisiúnta leibhéal leordhóthanach cosanta sonraí.

Agus measúnú á dhéanamh ar leordhóthanacht an leibhéal cosanta, cuireann an Coimisiún Eorpach san áireamh gnéithe cosúil le dlíthe, meas ar chearta an duine agus saoirsí, slándáil náisiúnta, rialacha um chosaint sonraí, go bhfuil údarás cosanta sonraí ann agus gealltanais cheangailteach a rinne na tír maidir le cosaint sonraí.

Is éard atá i gceist le glacadh le cinneadh leordhóthanach togra ón gCoimisiún Eorpach

  • tuairim ón mBord Eorpach um Chosaint Sonraí (mBECS)
  • formheas ó ionadaithe tíortha an AE
  • glacadh leis an gcinneadh ag na Coimisinéirí Eorpacha

Is é éifeacht an chinnidh sin ná gur féidir le sonraí pearsanta sreabhadh ón LEE chuig an tríú tír sin gan aon chosaint breise a bheith riachtanach. I bhfocail eile, tá an t-aistriú mar an gcéanna dá ndéanfaí é laistigh den AE.

Is féidir liosta de thíortha a bhfuil cinneadh leordhóthanach a fháil anseo.

Airteagal 46 - Aistrithe faoi réir coimircí iomchuí

Mura bhfuil cinneadh leordhóthanachta ann, ní féidir leis an RGCSaistriú a cheadú má thug an rialaitheoir nó an próiseálaí "cosaintí iomchuí". D'fhéadfadh na coimircí seo a bheith san áireamh:

  • Clásail chaighdeánacha sonraí maidir le cosaint sonraí I gcás formhór na n-eagraíochtaí, is iad na clásail seo an bunús dlí malartach is ábhartha chun cinneadh leordhóthanach. Is clásail shamhail iad cosaint sonraí atá ceadaithe ag an gCoimisiún Eorpach agus tá siad in ann sreabhadh sonraí pearsanta a chumasú nuair atá siad leabaithe i gconradh. Tá oibleagáidí conartha ag na clásail maidir leis an Onnmhaireoir Sonraí agus an Allmhaireoir Sonraí, agus cearta do dhaoine aonair a n-aistrítear a gcuid sonraí pearsanta. Is féidir le daoine aonair na cearta sin a fhorfheidhmiú go díreach in aghaidh an Allmhaireora Sonraí agus an Onnmhaireoir Sonraí. Tugtar 'clásail chaighdeánacha conarthacha' orthu seo. Tá dhá shraith de chlásail chaighdeánacha conarthacha le haghaidh aistrithe srianta idir rialtóir agus rialtóir, agus sraith amháin idir rialtóir agus próiseálaí (nasctha anseo). Thug an Coimisiún Eorpach comhairle don BECS go bhfuil sé beartaithe na clásail chaighdeánacha conarthacha atá ann faoi láthair a thabhairt cothrom le dáta don GDPR. Go dtí sin, is féidir le rialtóirí sonraí atá bunaithe ar an AE dul i ngleic le conarthaí a chuimsíonn na clásail chaighdeánacha conarthacha atá bunaithe ar Threoir 95/46 / CE an AE, a d'eisigh an RGCSroimh ré.
  • Rialacha corparáideacha ceangailteach Is ionann BCRanna agus BCRanna cód iompair inmheánach atá ceangailteach ó thaobh dlí atá ag feidhmiú laistigh de ghrúpa ilnáisiúnta, a bhaineann le haistriú sonraí pearsanta ó eintiteas LEE an ghrúpa le heintitis neamh-LEE an ghrúpa. Féadfaidh an grúpa seo grúpa corparáideach nó grúpa gnóthais atá ag gabháil do chomhghníomhaíocht eacnamaíoch, mar shampla saincheadúnais nó comhfhiontair. Tá rialacha cosanta sonraí atá ceangailte go dlíthiúil ag BCRanna le cearta atá in-fhorfheidhmithe faoi réir na n-ábhar atá i gceart, atá ceadaithe ag an Údarás um Chosaint Sonraí inniúil. Tá dhá chineál BCR ann ar féidir iad a fhormheas - BCR do Rialaitheoirí a úsáideann an grúpaintiteas sonraí a aistriú go bhfuil siad freagrach as sonraí fostaithe nó soláthraí; agus BCR do Phróiseálaithe a úsáideann eintitis atá ag feidhmiú mar phróiseálaithe do rialtóirí eile agus de ghnáth cuirtear isteach mar atcríbhinn leis an gComhaontú Leibhéal Seirbhíse nó conradh Próiseálaí. . Leagtar amach forálacha breise maidir le húsáid BCRanna mar chosaint cuí d'aistrithe sonraí pearsanta in Airteagal 47 GDPR.

Molaimid go láidir go léifeá an gnás comhoibrithe maidir le faomhadh “Rialacha Corparáideacha Ceangailteacha” (“RCCanna) do rialaitheoirí agus próiseálaithe faoin RGCS, Meitheal Oibre 263 leasú 01. ina leagtar amach na critéir in Alt 1.2 chun Príomhúdarás Maoirseachta a roghnú. Sula gcuirfidh tú iarratas isteach, mholfaimis duit teagmháil a dhéanamh leis an Oifig seo, ag tabhairt ainm agus sonraí teagmhála d’eagraíochta agus d’ionadaithe dlíthiúla más bainteach, agus déanfaimid teagmháil leat chun a insint duit faoi na bearta atá le déanamh chun leanúint ar aghaidh le d’iarratas RCC

  • Cóid Iompraíochta Ceadaithe Tugadh isteach an RGCSin úsáid uirlis Chód Iompair mar uirlis aistrithe, faoi imthosca sonracha in Airteagal 40 (3). Tá na Cóid deonach agus leagtar síos rialacha sonracha um chosaint sonraí do chatagóirí rialaitheoirí agus próiseálaithe. Féadfaidh siad a bheith ina uirlis chuntasachta úsáideach agus éifeachtach, ag cur síos mionsonraithe ar an iompar is cuí, dlí agus eiticiúil laistigh de earnáil. Ó thaobh cosanta sonraí, is féidir leis na cóid feidhmiú mar leabhar riail do rialtóirí agus do phróiseálaithe a dhéanann gníomhaíochtaí próiseála sonraí a chomhlíonann RGCSa chomhlíonann agus a thugann brí oibríochtúil do phrionsabail na cosanta sonraí atá leagtha amach sa dlí Eorpach agus an dlí náisiúnta. Cóid Iompraíochta a bhaineann le gníomhaíochtaí próiseála sonraí pearsanta ag rialtóirí agus próiseálaithe i níos mó ná Ballstát amháin den AE, agus a bhfuil gníomh cur chun feidhme ag Coimisiún an AE, mar aon le gealltanais cheangailteach agus infhorghníomhaithe an rialaitheora nó an phróiseálaí sa tríú tír, a úsáid mar uirlis aistrithe sa todhchaí. Tá sé beartaithe ag BECS treoir shonrach ar leith a eisiúint, maidir le Cóid Iompraíochta a úsáid mar uirlis aistrithe, ar dháta níos déanaí.
  • Sásraí deimhnithe ceadaithe Sainmhíníonn an ISO deimhniú mar "comhlacht neamhspleách de dhearbhú scríofa (deimhniú) go gcomhlíonann an táirge, an tseirbhís nó an córas atá i gceist ceanglais shonracha". Dá bhrí sin, mar a tugadh isteach sa RGCSin Airteagal 42 (2), féadfar meicníochtaí deimhniúcháin a fhorbairt chun a léiriú go bhfuil cosaintí cuí ann a sholáthraíonn rialtóirí agus próiseálaithe i dtríú tíortha. Chomhlíonfadh na rialtóirí agus na próiseálaithe seo gealltanais cheangailteach agus infhorghníomhaithe chun na cosaintí a chur i bhfeidhm, lena n-áirítear forálacha do chearta an ábhair sonraí. Tá sé beartaithe ag an BECS treoir shonrach ar leith a eisiúint maidir le húsáid sásraí deimhniúcháin mar uirlis aistrithe.
  • Ionstraim atá ceangailteach go dlíthiúil agus infhorghníomhaithe idir údaráis phoiblí nó comhlachtaí Féadann eagraíocht aistriú srianta a dhéanamh más údarás poiblí nó comhlacht poiblí é agus go bhfuil sé ag aistriú chuig údarás poiblí nó comhlacht poiblí eile, agus le húdaráis phoiblí tar éis conradh nó ionstraim eile a shíniú atá ceangailteach ó thaobh dlí agus infhorghníomhaithe (Airteagal 46 (2) (a) GDPR). Caithfidh an conradh nó an ionstraim seo cearta in-fhorfheidhmithe agus leigheasanna éifeachtacha a chur ar fáil do dhaoine aonair a n-aistrítear a gcuid sonraí pearsanta. Ní cosaint iomchuí é seo más comhlacht príobháideach nó duine aonair an eagraíocht aistrithe nó an glacadóir. Más rud é nach bhfuil sé de chumhacht ag údarás poiblí nó comhlacht socruithe dlí atá ceangailteach go dlíthiúil a dhéanamh, féadfaidh sé breithniú a dhéanamh ar shocrú riaracháin lena n-áirítear cearta indibhidiúla infhorghníomhaithe agus éifeachtacha ina ionad sin (Airteagal 46 (3) (b) GDPR). Tá an BECS ag obair faoi láthair ar threoir nuashonraithe maidir leis na huirlisí aistrithe seo.

Airteagal 49 - Maoluithe ar chásanna sonracha

Is díolúintí ón bprionsabal ginearálta iad maoluithe faoi Airteagal 49 nach féidir sonraí pearsanta a aistriú chuig tríú tír ach amháin má chuirtear leibhéal leordhóthanach cosanta ar fáil sa tríú tír sin. Ba chóir go n-iarrfadh Onnmhaireoir Sonraí an chéad uair ar aistrithe fráma le ceann de na meicníochtaí a ráthófar cosaintí leordhóthanacha a liostaítear thuas, agus mura n-úsáideann siad ach na maoluithe dá bhforáiltear in Airteagal 49 (1). Ceadaíonn na maoluithe nó na heisceachtaí seo aistrithe i gcásanna sonracha, ar nós toiliú bunaithe ar chonradh, nó chun críche conartha, chun éilimh dhlíthiúla a fheidhmiú, chun leasanna ríthábhachtacha an ábhair sonraí a chosaint nuair nach féidir leo toiliú a thabhairt nó ar chúiseanna tábhachtacha ar mhaithe le leas an phobail. Ba cheart dul i gcomhairle le cáipéis treorach an BECS maidir leis na maoluithe seo i gcónaí lena chinntiú go bhféadfaí iad a bheith ag brath ar na cásanna ar leith atá ag déileáil le heagraíochtaí.