第46条 转移所需要的适当安全保障

  1.如果没有根据第45(3)条而做出的决定,控制者或处理者只有提供适当的保障措施,以及为数据主体提供可执行的权利与有效的法律救济措施,才能将个人数据转移到第三国或一个国际组织。

  2.在不要求监管机构提供任何具体授权的情形下,第1段所规定的适当保障措施可以如下方式提供:

  (a)公共机构或实体之间之间签订的具有法律约束力和可执行性的文件;

  (b)符合第47条的有约束力的公司规则;

  (c)欧盟委员会根据第93(2)条规定的核查程序而制定的数据保护标准条款;

  (d)监管机构根据第93(2)条规定的核查程序制定并且为欧盟委员会批准的数据保护标准条款;

  (e)根据第40条制定的行为准则,以及第三国的控制者或处理者为了采取合适的安全保障而做出的具有约束力和执行力的承诺,包括数据主体的权利;或者

  (f)根据第42条而被批准的验证机制,以及第三国的控制者或处理者为了采取合适的安全保障而做出的具有约束力和执行力的承诺,包括数据主体的权利。

  3.在需要有权监管机构授权的情形下,第1段所规定的合适安全措施尤其可以通过如下方式进行规定:

  (a)控制者或处理者与控制者、处理者或第三国或国际组织的个人数据接收者之间的合同条款;或者

  (b)公共机构或公共实体之间在行政性安排中所插入的条款,包括可执行的与有效的数据主体权利。

  4.在本条第3段所规定的情形中,监管机构应当适用第63段所规定的一致性机制。

  5.成员国或监管机构根据95/46/EC指令的第26(2)条而做出的授权,在被监管机构修改、替代或废止之前应当一直有效。欧盟委员会根据95/46/EC指令第26(4)条而做出的决定,在欧盟委员会按照本条第2段做出必要性的修改、替换或废止决定前应当一直有效。