Aistriú Sonraí Pearsanta chuig Tríú Tíortha nó le hEagraíochtaí Idirnáisiúnta

Tá sreabhadh sonraí pearsanta chuig agus ón Aontas Eorpach (an "AE") riachtanach le haghaidh trádála idirnáisiúnta agus comhoibriú idirnáisiúnta. Mar sin féin, níor cheart go ndéanfadh aistriú sonraí pearsanta den sórt sin ón AE do rialaitheoirí agus do phróiseálaithe atá lonnaithe lasmuigh den AE i dtríú tíortha baint de bhonn cosanta na ndaoine aonair lena mbaineann, agus gur tír ar bith atá i dtríú tír lasmuigh den Limistéar Eorpach Eacnamaíoch (an "LEE"). Dá bhrí sin, ba cheart aistrithe chuig tríú tíortha nó le heagraíochtaí idirnáisiúnta a chomhlíonadh go hiomlán le Caibidil V den Rialachán Ginearálta maidir le Cosaint Sonraí, an "GDPR".

Tugann an nóta seo treoir achoimre ar na forálacha i gCaibidil V den GDPR, chomh maith le naisc le faisnéis agus treoir níos mionsonraithe.

Airteagal 45 - Aistrithe ar bhonn cinneadh leordhóthanachta

Is é an chéad rud a mheas nuair a aistríonn sonraí pearsanta chuig tríú tír má tá "cinneadh leordhóthanach" ann. Ciallaíonn cinneadh leordhóthanach go bhfuil cinneadh déanta ag an gCoimisiún Eorpach go gcinntíonn tríú tír nó eagraíocht idirnáisiúnta leibhéal leordhóthanach cosanta sonraí.

Agus measúnú á dhéanamh ar leordhóthanacht an leibhéal cosanta, cuireann an Coimisiún Eorpach san áireamh gnéithe cosúil le dlíthe, meas ar chearta an duine agus saoirsí, slándáil náisiúnta, rialacha um chosaint sonraí, go bhfuil údarás cosanta sonraí ann agus gealltanais cheangailteach a rinne na tír maidir le cosaint sonraí.

Is éard atá i gceist le glacadh le cinneadh leordhóthanach:

  • togra ón gCoimisiún Eorpach
  • tuairim ón mBord Eorpach um Chosaint Sonraí (EDPB)
  • formheas ó ionadaithe tíortha an AE; agus
  • glacadh leis an gcinneadh ag na Coimisinéirí Eorpacha

Is é éifeacht an chinnidh sin ná gur féidir le sonraí pearsanta sreabhadh ón LEE chuig an tríú tír sin gan aon chosaint breise a bheith riachtanach. I bhfocail eile, tá an t-aistriú mar an gcéanna dá ndéanfaí é laistigh den AE.

Is féidir liosta de thíortha a bhfuil cinneadh leordhóthanach a fháil anseo.

Airteagal 46 - Aistrithe faoi réir coimircí iomchuí

Mura bhfuil cinneadh leordhóthanachta ann, ní féidir leis an GDPR aistriú a cheadú má thug an rialaitheoir nó an próiseálaí "cosaintí iomchuí". D'fhéadfadh na coimircí seo a bheith san áireamh:

  • Clásail chaighdeánacha chonarthacha maidir le cosaint sonraí (SCCanna): I gcás formhór na n-eagraíochtaí, is iad na clásail seo an bunús dlí malartach is ábhartha chun cinneadh leordhóthanach. Is clásail shamhail iad cosaint sonraí atá ceadaithe ag an gCoimisiún Eorpach agus tá siad in ann sreabhadh sonraí pearsanta a chumasú nuair atá siad leabaithe i gconradh. Tá oibleagáidí conartha ag na clásail maidir leis an Onnmhaireoir Sonraí agus an Allmhaireoir Sonraí, agus cearta do dhaoine aonair a n-aistrítear a gcuid sonraí pearsanta. Tugtar 'clásail chaighdeánacha chonarthacha' orthu seo. Tá dhá shraith de chlásail chaighdeánacha chonarthacha le haghaidh aistrithe srianta idir rialaitheoir agus rialaitheoir, agus sraith amháin idir rialaitheoir agus próiseálaí. D’fhoilsigh an Coimisiún Eorpach dréacht-chlásail chaighdeánacha chonarthacha nuashonraithe. Tá ná clásail seo faoi chomhairliúchán agus beidh tuairim ón EDPB ag teastáil uathu. Go dtí sin, is féidir le rialtóirí sonraí atá bunaithe ar an AE dul i ngleic le conarthaí a chuimsíonn na clásail chaighdeánacha chonarthacha atá bunaithe ar Threoir 95/46 / CE an AE, a d'eisigh an GDPR roimh ré.

Nuair a bhaintear úsáid as SCCanna caithfidh go gcuirfí san áireamh an Breithiúnas a rinne Cúirt Bhreithiúnais an Aontais Eorpaigh i gcás Facebook Ireland Ltd agus Maximillian Schrems nuair a rinneadh bailíocht na SCCanna a scrúdú. Cé gur chin an Chúirt gur meicníocht bhailí iad na SCCanna, ní mór d’onnmhaireroirí sonraí measúnú a dhéanamh ar an tríú tír lena bhfuil na sonraí á n-aistriú aige le cinntiú an dtugann sí leibhéal cosanta atá coibhéiseach leis an leibhéal a dheimhnítear san AE. Má tá fadhbanna leis an leibhéal cosanta beidh ar an onnmhaireoir sonraí a fháil amach an bhfuil bearta breise go bhféadfaí cur i bhfeidhm in éineacht leis na SCCanna chun an leibhéal cosanta a choimeád. Mura féidir é seo a dhéanamh beidh ar an allmhaireoir sonraí an t-aistriú a chur ar fionraí nó a chríochnú. Tá Ceisteanna Coitianta[1] déanta ag an EDPB ar an mbreithiúnas agus moltaí[2] ar bhearta Breise, a bhféadfadh cuidiú le Rialaitheoirí Sonraí.

  • Rialacha corparáideacha ceangailteach “BCRanna”: [3]Is ionann BCRanna agus BCRanna cód iompair inmheánach atá ceangailteach ó thaobh dlí atá ag feidhmiú laistigh de ghrúpa ilnáisiúnta, a bhaineann le haistriú sonraí pearsanta ó eintiteas LEE an ghrúpa le heintitis neamh-LEE an ghrúpa. Féadfaidh an grúpa seo grúpa corparáideach nó grúpa gnóthais atá ag gabháil do chomhghníomhaíocht eacnamaíoch, mar shampla saincheadúnais nó comhfhiontair. Tá rialacha cosanta sonraí atá ceangailte go dlíthiúil ag BCRanna le cearta atá in-fhorfheidhmithe faoi réir na n-ábhar atá i gceart, atá ceadaithe ag an Údarás um Chosaint Sonraí inniúil. Tá dhá chineál BCR ann ar féidir iad a fhormheas - BCR do Rialaitheoirí a úsáideann an grúpaintiteas sonraí a aistriú go bhfuil siad freagrach as sonraí fostaithe nó soláthraí; agus BCR do Phróiseálaithe a úsáideann eintitis atá ag feidhmiú mar phróiseálaithe do rialtóirí eile agus de ghnáth cuirtear isteach mar atcríbhinn leis an gComhaontú Leibhéal Seirbhíse nó conradh Próiseálaí. . Leagtar amach forálacha breise maidir le húsáid BCRanna mar chosaint cuí d'aistrithe sonraí pearsanta in Airteagal 47 GDPR.

Molaimid go láidir go léifeá an Gnás comhoibrithe maidir le faomhadh “Rialacha Corparáideacha Ceangailteacha” (BCRanna) do rialaitheoirí agus próiseálaithe faoin GDPR, Meitheal Oibre 263 leasú 01, ina leagtar amach na critéir in Alt 1.2 chun Príomhúdarás Maoirseachta a roghnú. Sula gcuirfidh tú iarratas isteach, mholfaimis duit teagmháil a dhéanamh leis an Oifig seo, ag tabhairt ainm agus sonraí teagmhála d’eagraíochta agus d’ionadaithe dlíthiúla más bainteach, agus déanfaimid teagmháil leat chun a insint duit faoi na bearta atá le déanamh chun leanúint ar aghaidh le d’iarratas BCR.

  • Beidh tionchar ag an mbreithiúnas a luaitear sa mhír ar Chlásail Chaighdeánacha Chonarthacha chomh maith, sa tslí gur roimh aistrithe a dhéanamh laistigh den ghrúpa ó bhaill laistigh den LEE chuig baill i dtríú tíortha, is gá an measúnú céanna a dhéanamh ar an leibhéal cosanta agus an gá a d’fhéadfadh a bheith ann le bearta breise nó don aistriú a chur ar fionraí.

 

  • Cóid Iompraíochta Ceadaithe: Tugadh isteach an GDPR in úsáid uirlis Chód Iompair mar uirlis aistrithe, faoi imthosca sonracha in Airteagal 40 (3). Tá na Cóid deonach agus leagtar síos rialacha sonracha um chosaint sonraí do chatagóirí rialaitheoirí agus próiseálaithe. Féadfaidh siad a bheith ina uirlis chuntasachta úsáideach agus éifeachtach, ag cur síos mionsonraithe ar an iompar is cuí, dlí agus eiticiúil laistigh de earnáil. Ó thaobh cosanta sonraí, is féidir leis na cóid feidhmiú mar leabhar riail do rialaitheoirí agus do phróiseálaithe a dhéanann gníomhaíochtaí próiseála sonraí a chomhlíonann GDPR a chomhlíonann agus a thugann brí oibríochtúil do phrionsabail na cosanta sonraí atá leagtha amach sa dlí Eorpach agus an dlí náisiúnta. Cóid Iompraíochta a bhaineann le gníomhaíochtaí próiseála sonraí pearsanta ag rialaitheoirí agus próiseálaithe i níos mó ná Ballstát amháin den AE, agus a bhfuil gníomh cur chun feidhme ag Coimisiún an AE, mar aon le gealltanais cheangailteach agus infhorghníomhaithe an rialaitheora nó an phróiseálaí sa tríú tír, a úsáid mar uirlis aistrithe sa todhchaí. Molaimid go léifeá na treoirlínte seo a leanas ar Chóid iompraíochta arna nglacadh ag an EDPB.

 

  • Sásraí deimhnithe ceadaithe: Sainmhíníonn an ISO deimhniú mar "comhlacht neamhspleách de dhearbhú scríofa (deimhniú) go gcomhlíonann an táirge, an tseirbhís nó an córas atá i gceist ceanglais shonracha". Dá bhrí sin, mar a tugadh isteach sa GDPR in Airteagal 42 (2), féadfar meicníochtaí deimhniúcháin a fhorbairt chun a léiriú go bhfuil cosaintí cuí ann a sholáthraíonn rialtóirí agus próiseálaithe i dtríú tíortha. Chomhlíonfadh na rialaitheoirí agus na próiseálaithe seo gealltanais cheangailteach agus infhorghníomhaithe chun na cosaintí a chur i bhfeidhm, lena n-áirítear forálacha do chearta an ábhair sonraí. Molaimid go léifeá na treoirlínte seo a leanas, a ghlac an EDPB leo, maidir le Deimhniúchán mar uirlis le haghaidh aistriú: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-072022-certification-tool-transfers_en. Tabhair do d’aire go bhfuil comhairliúchán poiblí ar siúl faoi láthair maidir leis na treoirlínte seo, agus mar sin d’fhéadfaí iad a leasú a thuilleadh.

 

  • Ionstraim atá ceangailteach go dlíthiúil agus infhorghníomhaithe idir údaráis phoiblí nó comhlachtaí: Féadann eagraíocht aistriú srianta a dhéanamh más údarás poiblí nó comhlacht poiblí é agus go bhfuil sé ag aistriú chuig údarás poiblí nó comhlacht poiblí eile, agus le húdaráis phoiblí tar éis conradh nó ionstraim eile a shíniú atá ceangailteach ó thaobh dlí agus infhorghníomhaithe (Airteagal 46 (2) (a) GDPR). Caithfidh an conradh nó an ionstraim seo cearta in-fhorfheidhmithe agus leigheasanna éifeachtacha a chur ar fáil do dhaoine aonair a n-aistrítear a gcuid sonraí pearsanta. Ní cosaint iomchuí é seo más comhlacht príobháideach nó duine aonair an eagraíocht aistrithe nó an glacadóir. Más rud é nach bhfuil sé de chumhacht ag údarás poiblí nó comhlacht socruithe dlí atá ceangailteach go dlíthiúil a dhéanamh, féadfaidh sé breithniú a dhéanamh ar shocrú riaracháin lena n-áirítear cearta indibhidiúla infhorghníomhaithe agus éifeachtacha ina ionad sin (Airteagal 46 (3) (b) GDPR). Molaimid go léifeá na treoirlínte seo a leanas maidir le socrú riaracháin arna ghlacadh ag an EDPB.

Airteagal 49 - Maoluithe ar chásanna sonracha

Is díolúintí ón bprionsabal ginearálta iad maoluithe faoi Airteagal 49 nach féidir sonraí pearsanta a aistriú chuig tríú tír ach amháin má chuirtear leibhéal leordhóthanach cosanta ar fáil sa tríú tír sin. Ba chóir go n-iarrfadh Onnmhaireoir Sonraí an chéad uair ar aistrithe fráma le ceann de na meicníochtaí a ráthófar cosaintí leordhóthanacha a liostaítear thuas, agus mura n-úsáideann siad ach na maoluithe dá bhforáiltear in Airteagal 49 (1). Ceadaíonn na maoluithe nó na heisceachtaí seo aistrithe i gcásanna sonracha, ar nós toiliú bunaithe ar chonradh, nó chun críche conartha, chun éilimh dhlíthiúla a fheidhmiú, chun leasanna ríthábhachtacha an ábhair sonraí a chosaint nuair nach féidir leo toiliú a thabhairt nó ar chúiseanna tábhachtacha ar mhaithe le leas an phobail. Ba cheart dul i gcomhairle le cáipéis treorach an EDPB maidir leis na maoluithe seo i gcónaí lena chinntiú go bhféadfaí iad a bheith ag brath ar na cásanna ar leith atá ag déileáil le heagraíochtaí.

[1] https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118_en.pdf

[2] https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en

[3] Liosta BCRanna inar ghníomhaigh an DPC mar Phríomhúdarás Maoirseachta.