欧盟通用数据保护条例GDPR译文(下).docVIP

欧盟通用数据保护条例GDPR（下） 第五章? 将个人数据转移到第三国或国际组织 第44条 转移的一般性原则 对于正在处理或计划进行处理的个人数据，将其转移到第三国或国际组织，包括将个人数据从第三国或国际组织转移到另一第三国或另一国际组织，控制者和处理者只有满足本条例的其他条款，以及满足本章规定的条件才能进行转移。为了保证本条例对于自然人的保护程度不会被削弱，本章的所有条款都应当被遵守。 第45条 基于认定具有充足保护的转移 1．当欧盟委员会作出认定，认为相关的第三国、第三国中的某区域或一个或多个特定部门、或国际组织具有充足保护，可以将个人数据转移到第三国或国际组织。此类转移不需要特定的授权。 2．当评估保护程度的充足性时，欧盟委员会应当特别考虑如下因素： (a)法治、对人权与基本自由的尊重、包括关于公共安全、国防、国家安全、刑法和公共机构访问个人数据的一般性与部门性立法，以及此类立法的实施、数据保护规则、职业规则和安全措施，包括将个人数据转移到另一第三国或国际组织所必须遵循的第三国或国际组织的规则、判例法以及有效可执行的数据主体权利、对其个人数据正在转移的数据主体的司法救济； (b)在国际组织是主体的情形中，第三国内存在一个或多个有效运作的独立监管机构，保证数据保护规则的实施，包括具有充分的执行权力，在数据主体行使其权利时和与成员国的监管机构合作时提供帮助和建议； (c)第三国或国际组织已经许下的国际性承诺，或者承诺愿意承担有法律约束力的条约或法律文件所引起的其它责任，以及参加多边或地区性的体系，特别是和数据保护相关的体系所引起的其它责任。 3．在评估了保护程度的充足性之后，欧盟委员会可以通过制定实施性法案，确定本条第2段含义内的第三国、第三国内的领地或一个或多个特定部门或一个国际组织是否具有充足的保护。实施性法案应当提供一种周期性审查，至少每四年对第三国或国际组织的所有相关发展进行审查。实施性法案应当细化其领域性与部门性的实施，以及在适用的情况下确定本条第2段（b）点所规定的一个或多个监管机构。实施性法案的制定应当遵循第93（2）条所规定的验证程序。 4．欧盟委员会应当持续性地监控第三国或国际组织的某些可能会影响根据本条第3款而作出的决定和建立在95/46/EC指令第25（6）条基础之上的决定发挥作用的某些发展。 5．当已有信息显示，第三国或第三国内的一个或多个特殊部门或国际组织不再提供本条第2段所规定的充足的保护，欧盟委员会应当——尤其是在经过第3段所规定的核查后——通过制定不具有溯及力的实施性法案，在必要限度内废止、修正或中止本条第3段所规定的决定。此类实施性法案的制定应当遵循第93（2）条所规定的验证程序。 在具有高度正当性的紧急状态情形中，欧盟委员会应当立即根据第93（3）条规定的程序而制定实施性法案。 6．为了补救导致第5条决定的情形，欧盟委员会应当与第三国或国际组织磋商。 7．符合本条第5段的决定不会影响到将个人数据转移到第三国、第三国内的领地或一个或多个部门、或者第46条至49条所规定的相关国际组织。 8．欧盟委员会应当在欧盟的官方杂志及其网站上发表名单，列明其确定已经具备充足保护或不再具有充足保护的第三国、第三国内的特定部门和国际组织。 9．欧盟委员会在95/46/EC指令第25（6）条基础上而做出的决定，在被欧盟委员会根据本条第3段或第5段而修改、替代或废止前应具有效力。 第46条 转移所需要的适当安全保障 1．如果没有根据第45（3）条而做出的决定，控制者或处理者只有提供适当的保障措施，以及为数据主体提供可执行的权利与有效的法律救济措施，才能将个人数据转移到第三国或一个国际组织。 2．在不要求监管机构提供任何具体授权的情形下，第1段所规定的适当保障措施可以如下方式提供： (a)公共机构或实体之间之间签订的具有法律约束力和可执行性的文件； (b)符合第47条的有约束力的公司规则； (c)欧盟委员会根据第93（2）条规定的核查程序而制定的数据保护标准条款； (d)监管机构根据第93（2）条规定的核查程序制定并且为欧盟委员会批准的数据保护标准条款； (e)根据第40条制定的行为准则，以及第三国的控制者或处理者为了采取合适的安全保障而做出的具有约束力和执行力的承诺，包括数据主体的权利；或者 (f)根据第42条而被批准的验证机制，以及第三国的控制者或处理者为了采取合适的安全保障而做出的具有约束力和执行力的承诺，包括数据主体的权利。 3．在需要有权监管机构授权的情形下，第1段所规定的合适安全措施尤其可以通过如下方式进行规定： (a)控制者或处理者与控制者、处理者或第三国或国际组织的个人数据接收者之间的合同条款；或者 (b)公共机构或公共实体之间在行政性安排中所插入的条款，包括可执行的与有效的数据主体权利。 4．在本条