Rina Steenkamp | My annotated GDPR | Additional information | Directive 95/46/EC

Chapter IV Transfer of personal data to third countries

Article 26 Derogations

Article 26(1)

1. By way of derogation from Article 25 and save where otherwise provided by domestic law governing particular cases, Member States shall provide that a transfer or a set of transfers of personal data to a third country which does not ensure an adequate level of protection within the meaning of Article 25 (2) may take place on condition that:

(a) the data subject has given his consent unambiguously to the proposed transfer; or
(b) the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of precontractual measures taken in response to the data subject's request; or
(c) the transfer is necessary for the conclusion or performance of a contract concluded in the interest of the data subject between the controller and a third party; or
(d) the transfer is necessary or legally required on important public interest grounds, or for the establishment, exercise or defence of legal claims; or
(e) the transfer is necessary in order to protect the vital interests of the data subject; or
(f) the transfer is made from a register which according to laws or regulations is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate legitimate interest, to the extent that the conditions laid down in law for consultation are fulfilled in the particular case.

Article 26(2)

2. Without prejudice to paragraph 1, a Member State may authorize a transfer or a set of transfers of personal data to a third country which does not ensure an adequate level of protection within the meaning of Article 25 (2), where the controller adduces adequate safeguards with respect to the protection of the privacy and fundamental rights and freedoms of individuals and as regards the exercise of the corresponding rights; such safeguards may in particular result from appropriate contractual clauses.

Article 26(3)

3. The Member State shall inform the Commission and the other Member States of the authorizations it grants pursuant to paragraph 2.

If a Member State or the Commission objects on justified grounds involving the protection of the privacy and fundamental rights and freedoms of individuals, the Commission shall take appropriate measures in accordance with the procedure laid down in Article 31 (2).

Member States shall take the necessary measures to comply with the Commission's decision.

Article 26(4)

4. Where the Commission decides, in accordance with the procedure referred to in Article 31 (2), that certain standard contractual clauses offer sufficient safeguards as required by paragraph 2, Member States shall take the necessary measures to comply with the Commission's decision.

[Source: Directive 95/46/EC]

Cross-reference

Article 26(1) point (a)

Article 26(1) point (a) Directive 95/46/EC	Article 44(1) point (a) GDPR
1. By way of derogation from Article 25 and save where otherwise provided by domestic law governing particular cases, Member States shall provide that a transfer or a set of transfers of personal data to a third country which does not ensure an adequate level of protection within the meaning of Article 25 (2) may take place on condition that: (a) the data subject has given his consent unambiguously to the proposed transfer;	1. In the absence of an adequacy decision pursuant to Article 41 or of appropriate safeguards pursuant to Article 42, a transfer or a set of transfers of personal data to a third country or an international organisation may take place only on condition that: (a) the data subject has consented to the proposed transfer, after having been informed of the risks of such transfers due to the absence of an adequacy decision and appropriate safeguards;
	Artikel 77 lid 1 sub a Wbp
1. In afwijking van artikel 25 en behoudens andersluidende bepalingen van hun nationale recht betreffende specifieke gevallen, bepalen de Lid-Staten dat een doorgifte of categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau in de zin van artikel 25, lid 2, biedt, mag plaatsvinden mits: a) de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven	1. In afwijking van artikel 76 kan een doorgifte of een categorie van doorgiften van persoonsgegevens naar een derde land dat geen waarborgen biedt voor een passend beschermingsniveau, plaatsvinden indien: a. de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven;

Article 26(1) point (a) Directive 95/46/EC

Article 44(1) point (a) GDPR

(a) the data subject has given his consent unambiguously to the proposed transfer;

1. In the absence of an adequacy decision pursuant to Article 41 or of appropriate safeguards pursuant to Article 42, a transfer or a set of transfers of personal data to a third country or an international organisation may take place only on condition that:

(a) the data subject has consented to the proposed transfer, after having been informed of the risks of such transfers due to the absence of an adequacy decision and appropriate safeguards;

Artikel 77 lid 1 sub a Wbp

1. In afwijking van artikel 25 en behoudens andersluidende bepalingen van hun nationale recht betreffende specifieke gevallen, bepalen de Lid-Staten dat een doorgifte of categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau in de zin van artikel 25, lid 2, biedt, mag plaatsvinden mits:

a) de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven

1. In afwijking van artikel 76 kan een doorgifte of een categorie van doorgiften van persoonsgegevens naar een derde land dat geen waarborgen biedt voor een passend beschermingsniveau, plaatsvinden indien:

a. de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven;

[Context: Article 44 GDPR, Artikel 77 Wbp]

Article 26(1) point (b)

Article 26(1) point (b) Directive 95/46/EC	Article 44(1) point (b) GDPR
(b) the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of precontractual measures taken in response to the data subject's request;	(b) the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of pre-contractual measures taken at the data subject's request;
	Artikel 77 lid 1 sub b Wbp
b) de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de voor de verwerking verantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen	b. de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;

[Context: Article 44 GDPR, Artikel 77 Wbp]

Article 26(1) point (c)

Article 26(1) point (c) Directive 95/46/EC	Article 44(1) point (c) GDPR
(c) the transfer is necessary for the conclusion or performance of a contract concluded in the interest of the data subject between the controller and a third party;	(c) the transfer is necessary for the conclusion or performance of a contract concluded in the interest of the data subject between the controller and another natural or legal person
	Artikel 77 lid 1 sub c Wbp
c) de doorgifte noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de voor de verwerking verantwoordelijke en een derde gesloten of te sluiten overeenkomst	c. de doorgifte noodzakelijk is voor de sluiting of uitvoering van een in het belang van de betrokkene tussen de verantwoordelijke en een derde gesloten of te sluiten overeenkomst;

[Context: Article 44 GDPR, Artikel 77 Wbp]

Article 26(1) point (d)

Article 26(1) point (d) Directive 95/46/EC	Article 44(1) points (d) and (e) GDPR
(d) the transfer is necessary or legally required on important public interest grounds, or for the establishment, exercise or defence of legal claims;	(d) the transfer is necessary for important grounds of public interest; or (e) the transfer is necessary for the establishment, exercise or defence of legal claims;
	Artikel 77 lid 1 sub d Wbp
d) de doorgifte noodzakelijk of wettelijk verplicht is vanwege een zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte	d. de doorgifte noodzakelijk is vanwege een zwaarwegend algemeen belang, of voor de vaststelling, de uitvoering of de verdediging in rechte van enig recht;

[Context: Article 44 GDPR, Artikel 77 Wbp]

Article 26(1) point (e)

Article 26(1) point (e) Directive 95/46/EC	Article 44(1) point (f) GDPR
(e) the transfer is necessary in order to protect the vital interests of the data subject;	(f) the transfer is necessary in order to protect the vital interests of the data subject or of another person, where the data subject is physically or legally incapable of giving consent;
	Artikel 77 lid 1 sub e Wbp
e) de doorgifte noodzakelijk is ter vrijwaring van het vitale belang van de betrokkene	e. de doorgifte noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene,

[Context: Article 44 GDPR, Artikel 77 Wbp]

Article 26(1) point (f)

Article 26(1) point (f) Directive 95/46/EC	Article 44(1) point (g) GDPR
(f) the transfer is made from a register which according to laws or regulations is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate legitimate interest, to the extent that the conditions laid down in law for consultation are fulfilled in the particular case.	g) the transfer is made from a register which according to Union or Member State law is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate legitimate interest, to the extent that the conditions laid down in Union or Member State law for consultation are fulfilled in the particular case;
	Artikel 77 lid 1 sub f Wbp
f) de doorgifte geschiedt vanuit een openbaar register dat krachtens wettelijke of bestuursrechtelijke bepalingen bedoeld is om het publiek voor te lichten en dat door een ieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, voor zover in het betrokken geval is voldaan aan de wettelijke voorwaarden voor raadpleging	f. de doorgifte geschiedt vanuit een register dat bij wettelijk voorschrift is ingesteld en dat door een ieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, voor zover in het betrokken geval is voldaan aan de wettelijke voorwaarden voor raadpleging.

[Context: Article 44 GDPR, Artikel 77 Wbp]

Article 26(2)

Article 26(2) Directive 95/46/EC	Article 42(1) GDPR
2. Without prejudice to paragraph 1, a Member State may authorize a transfer or a set of transfers of personal data to a third country which does not ensure an adequate level of protection within the meaning of Article 25 (2), where the controller adduces adequate safeguards with respect to the protection of the privacy and fundamental rights and freedoms of individuals and as regards the exercise of the corresponding rights; such safeguards may in particular result from appropriate contractual clauses.	1. Where the Commission has taken no decision pursuant to Article 41, or decides that a third country, or a territory or processing sector within that third country, or an international organisation does not ensure an adequate level of protection in accordance with Article 41(5), a controller or processor may not transfer personal data to a third country, territory or an international organisation unless the controller or processor has adduced appropriate safeguards with respect to the protection of personal data in a legally binding instrument.
	Artikel 77 lid 2 Wbp
2. Onverminderd het bepaalde in lid 1 kan een Lid-Staat toestemming geven voor een doorgifte of een categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau in de zin van artikel 25, lid 2, biedt, indien de voor de verwerking verantwoordelijke voldoende waarborgen biedt ten aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de daaraan verbonden rechten; deze waarborgen kunnen met name voortvloeien uit passende contractuele bepalingen.	2. In afwijking van het eerste lid, kan Onze Minister, gehoord het College, een vergunning geven voor een doorgifte of een categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt. Aan de vergunning worden de nadere voorschriften verbonden die nodig zijn om de bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van personen, alsmede de uitoefening van de daarmee verband houdende rechten te waarborgen.

[Context: Article 42 GDPR, Artikel 77 Wbp]

Article 26(3)

Artikel 26 lid 3 Richtlijn 95/46/EG	Artikel 78 lid 1 sub b Wbp
3. De Lid-Staat stelt de Commissie en de overige Lid-Staten in kennis van de toestemmingen die hij op grond van lid 2 verleent. [...]	1. Onze Minister stelt de Commissie van de Europese Gemeenschappen in kennis van: [...] b. van een vergunning als bedoeld in artikel 77, tweede lid.
	Artikel 78 lid 2 sub c Wbp
[...] De Lid-Staten nemen de nodige maatregelen om zich naar het besluit van de Commissie te voegen.	2. Indien zulks voortvloeit uit een besluit van de Commissie van de Europese Gemeenschappen of de Raad van de Europese Unie, bepaalt Onze Minister bij ministeriële regeling of bij beschikking dat: [...] c. een op grond van artikel 77, tweede lid, verleende vergunning wordt ingetrokken of gewijzigd.

Artikel 26 lid 3 Richtlijn 95/46/EG

Artikel 78 lid 1 sub b Wbp

3. De Lid-Staat stelt de Commissie en de overige Lid-Staten in kennis van de toestemmingen die hij op grond van lid 2 verleent. [...]

1. Onze Minister stelt de Commissie van de Europese Gemeenschappen in kennis van: [...]

b. van een vergunning als bedoeld in artikel 77, tweede lid.

Artikel 78 lid 2 sub c Wbp

[...] De Lid-Staten nemen de nodige maatregelen om zich naar het besluit van de Commissie te voegen.

2. Indien zulks voortvloeit uit een besluit van de Commissie van de Europese Gemeenschappen of de Raad van de Europese Unie, bepaalt Onze Minister bij ministeriële regeling of bij beschikking dat: [...]

c. een op grond van artikel 77, tweede lid, verleende vergunning wordt ingetrokken of gewijzigd.

[Context: Artikel 78 Wbp]

Article 26(4)

Article 26(4) Directive 95/46/EC	Article 42(3) GDPR
4. Where the Commission decides, in accordance with the procedure referred to in Article 31 (2), that certain standard contractual clauses offer sufficient safeguards as required by paragraph 2, Member States shall take the necessary measures to comply with the Commission's decision.	3. A transfer based on standard data protection clauses [...] or binding corporate rules as referred to in points (a) [...] or (c) of paragraph 2 shall not require any specific authorisation.

[Context: Article 42 GDPR]

My annotated General Data Protection Regulation

[Article 26]

Chapter IV Transfer of personal data to third countries

Article 26 Derogations

Article 26(1)

Article 26(2)

Article 26(3)

Article 26(4)

Cross-reference

Article 26(1) point (a)

Article 26(1) point (b)

Article 26(1) point (c)

Article 26(1) point (d)

Article 26(1) point (e)

Article 26(1) point (f)

Article 26(2)

Article 26(3)

Article 26(4)