- (1) 第三国、第三国内の地域又は一若しくは複数の特定の部門、又は、国際機関が十分なデータ保護の水準を確保していると欧州委員会が決定した場合、当該第三国又は国際機関への個人データの移転を行うことができる。 その移転は、いかなる個別の許可も要しない。
-
(2)
保護水準の十分性を評価する場合、欧州委員会は、とりわけ、以下の要素を考慮に入れる:
- 法の支配、人権及び基本的自由の尊重、一般的又は分野別の関連立法(公共の安全、国防、国家安全保障及び犯罪法並びに公的機関による個人データへのアクセスに関するものを含む)並びにそのような立法の実装、当該第三国又は国際機関において遵守されているデータ保護規則、職業上の準則及び保護措置(他の第三国又は国際機関への個人データの再移転に関する規則を含む)、判例法、並びに、効果的で執行可能なデータ主体の権利及び、その個人データが移転されつつあるデータ主体のための効果的な行政上及び司法上の救済;
- 適切な執行権限を含め、データ保護法令の遵守を確保し及び執行すること、データ主体がその権利を行使する際に支援し助言すること、並びに加盟国の監督機関と協力することについて責任を負う、第三国内の又は国際機関が服する一つ又は複数の独立した監督機関が存在し、かつ、それが効果的に機能していること;
- 当該第三国若しくは国際機関が加入している国際的な取決め、特に、個人データの保護に関する法的拘束力のある条約若しくは法律文書から生ずるそれ以外の義務、並びに多国間システム又は地域システムへの参加から生ずる義務。
- (3) 欧州委員会は、保護のレベルの十分性を評価した後、実装行為により、第三国、第三国内の地域又は一若しくは複数の特定の部門、又は、国際機関が、本条第2項の趣旨における十分なレベルの保護を確保している旨を決定することができる。 当該実装行為は、少なくとも4年毎の定期的な見渡しの仕組みを定め、その見直しは、その第三国又は国際機関の関係する全ての進展を考慮に入れるものとする。 当該実装行為は、その領域上及び部門上の適用範囲を特定し、適用可能なときは、本条第2項の(b)に定める監督機関を明らかにしなければならない。 当該実装行為は、第93条第2項に定める審査手続に従って採択されなければならない。
- (4) 欧州委員会は、継続的に、第三国及び国際機関における進展のうち、本条第3項に従って採択された決定及び指令95/46/ECの第25条第6項に基づいて採択された決定の機能に影響を及ぼしうるものを監視しなければならない。
- (5) 欧州委員会は、利用可能な情報から、特に本条第3項に定める見直しの結果に照らして、第三国、第三国内の地域又は一若しくは複数の特定の部門、又は、国際機関が本条第2項の趣旨における十分なレベルの保護を確保していないことが明らかになった場合、必要な範囲内で、遡及効を持つことなく、実装行為により、本条第3項に定める決定を取り消し、修正し、又は、停止しなければならない。 これらの実装行為は、第93条第2項に定める審査手続に従って採択されなければならない。
- (6) 欧州委員会は、第5項に基づく決定を生じさせている状況を救済するという観点から、第三国又は国際機関と協議に入らなければならない。
- (7) 本条第5項に基づく決定は、当該第三国、第三国内の地域又は一若しくは複数の特定の部門、又は、当該国際機関に対して第46条から第49条に従って行われる個人データの移転を妨げるものではない。
- (8) 欧州委員会は、EU官報及びそのウェブサイト上において、十分なレベルの保護がある旨の決定がなされ、又は、確保されていない旨の決定がなされた第三国、第三国内の地域若しくは特定の部門及び国際機関の一覧を公表する。
- (9) 指令95/46/ECの第25条第6項に基づいて欧州委員会によって採択された決定は、本条第3項又は第5項に従って採択される欧州委員会の決定によって修正され、差し替え、又は、廃止されるまで、その効力を維持しなければならない。
一般データ保護規則(GDPR)条項
第45条