1. W razie braku decyzji na mocy art. 36 ust. 3 państwa członkowskie zapewniają, by dane osobowe mogły być przekazane do państwa trzeciego lub organizacji międzynarodowej, jeżeli:
a) w prawnie wiążącym akcie wprowadzono odpowiednie zabezpieczenia ochrony danych osobowych; lub
b) administrator ocenił wszystkie okoliczności związane z przekazaniem danych osobowych i stwierdził, że istnieją odpowiednie zabezpieczenia ochrony danych osobowych.
2. Administrator informuje organ nadzorczy o kategoriach przekazań, o których mowa w ust. 1 lit. b).
3. Jeżeli przekazanie odbywa się na podstawie ust. 1 lit. b), musi być udokumentowane, a dokumentacja, w tym data i godzina przekazania, informacje o właściwym organie odbierającym, uzasadnienie przekazania oraz przekazane dane osobowe, musi zostać udostępniona na żądanie organowi nadzorczemu.
(71) Przekazania nieprzeprowadzone na podstawie decyzji stwierdzającej odpowiedni stopień ochrony powinny być dopuszczalne jedynie wtedy, gdy w prawnie wiążącym akcie przewidziano odpowiednie zabezpieczenia zapewniające ochronę danych osobowych, lub gdy administrator ocenił wszystkie okoliczności towarzyszące przekazaniu danych i na podstawie tej oceny stwierdza, że istnieją odpowiednie zabezpieczenia w odniesieniu do ochrony danych osobowych. Takim prawnie wiążącym aktem może być przykładowo prawnie wiążąca umowa dwustronna, która została zawarta przez państwo członkowskie i wprowadzona przez nie do jego porządku prawnego, i która może być egzekwowana przez osoby, których dane dotyczą, i która zapewnia przestrzeganie wymogów ochrony danych oraz praw osób, której dane dotyczą, w tym prawa do skutecznych administracyjnych lub sądowych środków zaskarżenia. Oceniając wszystkie okoliczności towarzyszące przekazaniu danych, administrator powinien mieć możliwość uwzględnienia umów o współpracy zawartych przez Europol lub Eurojust z państwami trzecimi, pozwalających na wymianę danych osobowych. Administrator powinien też mieć możliwość uwzględnienia tego, czy przekazanie danych osobowych będzie podlegać obowiązkom zachowania poufności i zasadzie ograniczonego celu, tak aby dane nie były przetwarzane do celów innych niż cele, w których zostały przekazane. Ponadto administrator powinien wziąć pod uwagę to, czy dane osobowe nie posłużą do zażądania, orzeczenia lub wykonania kary śmierci ani do innego rodzaju okrutnego lub nieludzkiego traktowania. Jakkolwiek kryteria te można uznać za odpowiednie zabezpieczenia umożliwiające przekazanie danych, administrator powinien mieć możliwość zażądania dodatkowych zabezpieczeń.
Zobacz także: WYTYCZNE