第45条 基于认定具有充足保护的转移
1.当欧盟委员会作出认定,认为相关的第三国、第三国中的某区域或一个或多个特定部门、或国际组织具有充足保护,可以将个人数据转移到第三国或国际组织。此类转移不需要特定的授权。
2.当评估保护程度的充足性时,欧盟委员会应当特别考虑如下因素:
(a)法治、对人权与基本自由的尊重、包括关于公共安全、国防、国家安全、刑法和公共机构访问个人数据的一般性与部门性立法,以及此类立法的实施、数据保护规则、职业规则和安全措施,包括将个人数据转移到另一第三国或国际组织所必须遵循的第三国或国际组织的规则、判例法以及有效可执行的数据主体权利、对其个人数据正在转移的数据主体的司法救济;
(b)在国际组织是主体的情形中,第三国内存在一个或多个有效运作的独立监管机构,保证数据保护规则的实施,包括具有充分的执行权力,在数据主体行使其权利时和与成员国的监管机构合作时提供帮助和建议;
(c)第三国或国际组织已经许下的国际性承诺,或者承诺愿意承担有法律约束力的条约或法律文件所引起的其它责任,以及参加多边或地区性的体系,特别是和数据保护相关的体系所引起的其它责任。
3.在评估了保护程度的充足性之后,欧盟委员会可以通过制定实施性法案,确定本条第2段含义内的第三国、第三国内的领地或一个或多个特定部门或一个国际组织是否具有充足的保护。实施性法案应当提供一种周期性审查,至少每四年对第三国或国际组织的所有相关发展进行审查。实施性法案应当细化其领域性与部门性的实施,以及在适用的情况下确定本条第2段(b)点所规定的一个或多个监管机构。实施性法案的制定应当遵循第93(2)条所规定的验证程序。
4.欧盟委员会应当持续性地监控第三国或国际组织的某些可能会影响根据本条第3款而作出的决定和建立在95/46/EC指令第25(6)条基础之上的决定发挥作用的某些发展。
5.当已有信息显示,第三国或第三国内的一个或多个特殊部门或国际组织不再提供本条第2段所规定的充足的保护,欧盟委员会应当——尤其是在经过第3段所规定的核查后——通过制定不具有溯及力的实施性法案,在必要限度内废止、修正或中止本条第3段所规定的决定。此类实施性法案的制定应当遵循第93(2)条所规定的验证程序。
在具有高度正当性的紧急状态情形中,欧盟委员会应当立即根据第93(3)条规定的程序而制定实施性法案。
6.为了补救导致第5条决定的情形,欧盟委员会应当与第三国或国际组织磋商。
7.符合本条第5段的决定不会影响到将个人数据转移到第三国、第三国内的领地或一个或多个部门、或者第46条至49条所规定的相关国际组织。
8.欧盟委员会应当在欧盟的官方杂志及其网站上发表名单,列明其确定已经具备充足保护或不再具有充足保护的第三国、第三国内的特定部门和国际组织。
9.欧盟委员会在95/46/EC指令第25(6)条基础上而做出的决定,在被欧盟委员会根据本条第3段或第5段而修改、替代或废止前应具有效力。
