W razie braku stwierdzenia odpowiedniego stopnia ochrony danych, administrator lub podmiot przetwarzający powinni zastosować środki rekompensujące brak ochrony danych w państwie trzecim, zapewniając osobie, której dane dotyczą, odpowiednie zabezpieczenia. Takie odpowiednie zabezpieczenia pozwolą mu na przekazywanie danych osobowych do danego państwa trzeciego.

Przesłanki przekazywania danych do państwa trzeciego

W razie braku decyzji stwierdzającej odpowiedni stopień ochrony, administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego wyłącznie:

1) gdy zapewnią odpowiednie zabezpieczenia; i

2) pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.

reklama

Odpowiednie zabezpieczenia

Samodzielne zapewnienie odpowiednich zabezpieczeń

Odpowiednie zabezpieczenia, można zapewnić – bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego – za pomocą:

1) prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi;

2) wiążących reguł korporacyjnych (BCR);

3) standardowych klauzul ochrony danych przyjętych przez Komisję (SCC);

4) standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję zgodnie z procedurą sprawdzającą;

5) zatwierdzonego kodeksu postępowania, wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń;

reklama

6) zatwierdzonego mechanizmu certyfikacji, wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń.

Zapewnienie odpowiednich zabezpieczeń po uzyskaniu zezwolenia

Odpowiednie zabezpieczenia, można zapewnić – po uzyskaniu specjalnego zezwolenia ze strony organu nadzorczego – za pomocą:

1) klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej; lub

2) postanowień i uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą.

Dotychczasowe zezwolenia

Zezwolenia wydane przez państwo członkowskie lub organ nadzorczy na mocy dotychczasowej dyrektywy (95/46/WE) zachowują ważność do czasu ich zmiany, zastąpienia lub uchylenia przez ten organ.

Dotychczasowe decyzje

Decyzje przyjęte przez Komisję na mocy dotychczasowej dyrektywy (95/46/WE), pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia decyzją Komisji.