Dnia 16 lipca 2020 r. TSUE wydał wyrok w sprawie C‑311/18, znany jako Schrems II. Wyrokiem tym została unieważniona decyzja Komisji Europejskiej w sprawie tzw. Tarczy Prywatności, która zastąpiła wcześniej unieważnioną decyzję w sprawie tzw. Bezpiecznej Przystanie (Safe Harbour). Obie decyzje stanowiły jeden z instrumentów umożliwiających transfer danych do państwa trzeciego. Instrument ten jest opisany w art. 45 rodo (Decyzja w sprawie adekwatności). Na podstawie tego przepisu Komisja może wydać decyzję, w której stwierdzi, że państwo trzecie zapewnia odpowiedni (adekwatny) stopień ochrony. Aby to stwierdzić Komisja musi w szczególności zbadać ustawodawstwo i orzecznictwo w państwie trzecim, w tym czy osobie będą tam przysługiwały środki zaskarżenia dla ochrony prawa do prywatności.
Wyrok ma uzasadnienie złożone z ponad 200 punktów, przy czym najważniejsza część dotycząca Tarczy Prywatności zaczyna się od 163 pkt.
- Decyzja w sprawie adekwatności (art. 45 rodo)
- Standardowe klauzule umowne (SCC, art. 46 ust. 2 lit. c rodo)
- Przepisy
Decyzja w sprawie adekwatności (art. 45 rodo)
W Stanach Zjednoczonych obowiązują następujące akty prawne dotyczące bezpieczeństwa, które umożliwiają władzy publicznej żądanie dostępu do danych osobowych przechowywanych lub przesyłanych do USA:
- rozporządzenie wykonawcze nr 12333 [Executive Order 12333, signed on December 4, 1981 by U.S. President Ronald Reagan]
- art. 702 FISA [Foreign Intelligence Surveillance Act] (program nadzoru PRISM i UPSTREAM)
- PPD-28 [Presidential Policy Directive 28]
TSUE dokonał analizy ustawodawstwa USA i stwierdził, że prawo to nie zapewnia obywatelom UE odpowiedniego stopnia ochrony zgodnie z art. 45 ust. 1 rodo, w szczególności z tego powodu, że brak jest:
- egzekwowalnych wobec władz USA praw osób, których dane dotyczą
- sądowych środków zaskarżenia, w szczególności cech sądu nie posiada ustanowiony decyzją o Tarczy Prywatności Rzecznik ds. Tarczy Prywatności, który wprawdzie jest niezależny od służb wywiadowczych ale podlega sekretarzowi stanu (władzy wykonawczej USA)
Poniżej najciekawsze fragmenty uzasadnienia wyroku:
56 W dniu 24 maja 2016 r. komisarz opublikował „projekt decyzji” przedstawiający pokrótce wstępne wnioski z przeprowadzonego przezeń dochodzenia. W projekcie tym uznał on wstępnie, że istnieje prawdopodobieństwo, iż przekazywane do Stanów Zjednoczonych dane osobowe obywateli Unii mogą być udostępniane organom władz amerykańskich i przetwarzane przez nie w sposób niezgodny z art. 7 i 8 karty oraz że w prawie amerykańskim nie przewidziano dla tych obywateli środków zaskarżenia, które byłyby zgodne z art. 47 karty. Komisarz uznał, że brakowi temu nie mogą zaradzić standardowe klauzule ochrony danych zawarte w załączniku do decyzji w sprawie klauzul standardowych, ponieważ przewidują one w przypadku osób, których dane dotyczą, jedynie mające źródło w umowie uprawnienia, na które mogą się one powołać przeciwko podmiotom przekazującym i odbierającym dane, które to klauzule nie wiążą jednak władz amerykańskich.
65 Co się tyczy ochrony sądowej, sąd ten wskazuje, że obywatele Unii nie mają dostępu do tych samych sądowych środków prawnych, którymi mogą posłużyć się obywatele amerykańscy w obronie przeciwko przetwarzaniu danych osobowych przez władze amerykańskie, ponieważ czwarta poprawka do Constitution of the United States (konstytucji Stanów Zjednoczonych), będąca najważniejszym środkiem ochrony przed prowadzeniem niezgodnego z prawem nadzoru, nie znajduje w przypadku obywateli Unii zastosowania.
181 Zgodnie z ustaleniami zawartymi w decyzji w sprawie Tarczy Prywatności programy nadzoru mające za podstawę art. 702 FISA powinny niewątpliwie być wdrażane z poszanowaniem wymogów wynikających z PPD-28. Chociaż Komisja podkreśliła w motywach 69 i 77 decyzji w sprawie Tarczy Prywatności, że tego rodzaju wymogi mają dla organów amerykańskich służb wywiadowczych wiążący charakter, rząd amerykański w odpowiedzi na pytanie Trybunału przyznał, że PPD-28 nie przyznaje zainteresowanym osobom, których dane są przekazywane, praw, które mogłyby być egzekwowalne wobec władz amerykańskich przed sądami. Nie można zatem za jego pomocą zapewnić stopnia ochrony merytorycznie równoważnego temu wynikającemu z karty – wbrew wymogowi ustanowionemu w art. 45 ust. 2 lit. a) RODO, zgodnie z którym ocena, czy stopień ten jest odpowiedni, zależy w szczególności od istnienia skutecznych i egzekwowalnych praw osób, których dane są przekazywane do danego państwa trzeciego.
182 Co się tyczy programów nadzoru mających podstawę w rozporządzeniu wykonawczym nr 12333, z akt sprawy, którymi dysponuje Trybunał, wynika, że akt ten również nie przyznaje praw, które mogłyby być egzekwowalne wobec władz amerykańskich przed sądami.
183 Należy dodać, że PPD-28, którego należy przestrzegać w ramach stosowania programów, o których mowa w dwóch poprzednich punktach, umożliwia „»hurtowe« gromadzenie […] względnie dużego wolumenu informacji lub danych gromadzonych w wyniku rozpoznania radioelektronicznego, w sytuacji gdy Wspólnota Wywiadowcza nie może stosować identyfikatora związanego z namierzaną osobą […], by skupić gromadzenie danych na konkretnych celach”, jak zostało to wyjaśnione w piśmie z dnia 21 czerwca 2016 r., które zostało skierowane przez urząd dyrektora krajowych służb wywiadowczych (Office of the Director of National Intelligence) do departamentu handlu USA oraz do urzędu ds. handlu międzynarodowego, zawartym w załączniku VI do decyzji w sprawie Tarczy Prywatności. Możliwość ta, która oznacza w ramach programów nadzoru mających podstawę w rozporządzeniu wykonawczym nr 12333 udzielenie dostępu do danych, które są „w tranzycie” w kierunku terytorium Stanów Zjednoczonych, przy czym dostęp ten nie jest przedmiotem jakiegokolwiek nadzoru sądowego, w żadnym razie nie stanowi uregulowania w sposób wystarczająco jasny i precyzyjny zakresu takiego „hurtowego” gromadzenia danych osobowych.
184 Należy zatem uznać, że ani art. 702 FISA, ani rozporządzenie wykonawcze nr 12333 w związku z PPD-28 nie odpowiadają wymogom minimalnym związanym w prawie Unii z zasadą proporcjonalności, wobec czego nie można uznać, że programy oparte na tych przepisach nadzoru są ograniczone do tego, co ściśle konieczne.
197 W związku z tym fakt istnienia Rzecznika ds. Tarczy Prywatności, o którym mowa w decyzji w sprawie Tarczy Prywatności, nie daje możliwości podniesienia środka odwoławczego przed organem oferującego osobom, których dane są przekazywane do Stanów Zjednoczonych, zabezpieczenia merytorycznie równoważne tym wymaganym w art. 47 karty.
198 Tak więc, stwierdzając w art. 1 ust. 1 decyzji w sprawie Tarczy Prywatności, że Stany Zjednoczone zapewniają odpowiedni stopień ochrony danych osobowych przekazywanych z Unii podmiotom mającym siedzibę w tym państwie trzecim w ramach Tarczy Prywatności Unia Europejska–USA, Komisja naruszyła wymogi wynikające z art. 45 ust. 1 RODO w związku z art. 7, 8 i 47 karty.
199 Z powyższego wynika, że art. 1 decyzji w sprawie Tarczy Prywatności jest niezgodny z art. 45 ust. 1 RODO w związku z art. 7, 8 i 47 karty i z tego względu nieważny.
200 Skoro zaś art. 1 decyzji w sprawie Tarczy Prywatności jest nierozerwalnie związany z jej art. 2–6, a także z załącznikami do tej decyzji, nieważność art. 1 ma wpływ na ważność tej decyzji w całości.
201 W świetle wszystkich powyższych rozważań należy uznać, że decyzja w sprawie Tarczy Prywatności jest nieważna.
202 Co się tyczy kwestii, czy należy utrzymać w mocy skutki tej decyzji w celu uniknięcia powstania luki prawnej (zob. podobnie wyrok z dnia 28 kwietnia 2016 r., Borealis Polyolefine i in., C 191/14, C 192/14, C 295/14, C 389/14 i od C 391/14 do C 393/14, EU:C:2016:311, pkt 106), należy zauważyć, że w każdym razie, biorąc pod uwagę art. 49 RODO, stwierdzenie nieważności decyzji o odpowiednim stopniu ochrony, takiej jak decyzja w sprawie Tarczy Prywatności, nie może spowodować powstania takiej luki prawnej. W artykule tym określono bowiem w sposób precyzyjny warunki, na jakich może nastąpić przekazywanie danych osobowych do państw trzecich w przypadku braku decyzji stwierdzającej odpowiedni stopień ochrony na zasadach przewidzianych art. 45 ust. 3 tego rozporządzenia lub właściwych zabezpieczeń na zasadach przewidzianych w art. 46 tego rozporządzenia.
Standardowe klauzule umowne (SCC, art. 46 ust. 2 lit. c rodo)
TSUE otrzymał także pytanie odnośnie decyzji Komisji w sprawie SCC, czy jest ona ważna skoro nie wiąże władz publicznych państwa importera. Jak można się było spodziewać TSUE powiedział, że decyzja ta jest ważna, ale klauzule mogą nie stanowić wystarczającego środka dla legalizacji transferu, zagadnieniu temu zostały poświęcone uwagi w pkt 122-149 uzasadnienia.
Poniżej stosowane fragmenty:
126 Choć zatem istnieją sytuacje, w których, w zależności od stanu prawnego i praktyk stosowanych w danym państwie trzecim, podmiot odbierający przekazywane w ten sposób dane jest w stanie zagwarantować ochronę danych, która jest konieczna, na podstawie samych standardowych klauzul ochrony danych, to jednak zachodzą inne sytuacje, w których postanowienia zawarte w tych klauzulach mogą nie stanowić wystarczającego środka pozwalającego na zapewnienie w praktyce skutecznej ochrony danych osobowych przekazywanych do danego państwa trzeciego. Ma to miejsce w szczególności wówczas, gdy prawo tego państwa trzeciego pozwala organom jego władzy publicznej na ingerencję w prawa osób, których te dane dotyczą.
127 Powstaje zatem pytanie, czy wydana na podstawie art. 46 ust. 2 lit. c) RODO decyzja Komisji dotycząca standardowych klauzul ochrony danych jest nieważna w braku zawarcia w tej decyzji zabezpieczeń egzekwowalnych wobec organów władzy publicznej państw trzecich, do których dane osobowe są lub mogłyby być przekazywane na podstawie tych klauzul.
134 W tym względzie, jak zauważył Rzecznik generalny w pkt 126 opinii, przewidziany w art. 46 ust. 2 lit. c) RODO mechanizm kontraktowy opiera się na nałożeniu odpowiedzialności na mających siedzibę w Unii administratora danych lub podmiot przetwarzający, a także, pomocniczo, na właściwy organ nadzorczy. W związku z tym to do tego administratora danych lub podmiotu przetwarzającego należy sprawdzenie w każdym konkretnym przypadku i – gdy ma to zastosowanie – we współpracy z podmiotem odbierającym te dane, czy prawo państwa trzeciego przeznaczenia zapewnia właściwą, w świetle prawa Unii, ochronę danych osobowych przekazywanych na podstawie standardowych klauzul ochrony danych, udzielając w razie potrzeby zabezpieczeń dodatkowych w stosunku do tych zapewnianych w tych klauzulach.
135 W przypadku braku możliwości podjęcia przez mających siedzibę w Unii administratora danych lub podmiot przetwarzający dodatkowych środków odpowiednich dla zagwarantowania takiej ochrony, podmioty te lub, pomocniczo, właściwy organ nadzorczy, są zobowiązane do zawieszenia lub zakończenia przekazywania danych osobowych do danego państwa trzeciego. Jest tak w szczególności w przypadku, gdy prawo tego państwa trzeciego nakłada na podmiot odbierający te pochodzące z Unii dane osobowe zobowiązania, które pozostają w sprzeczności z tymi klauzulami i, co za tym idzie, mogą mieć negatywny wpływ na udzielone umownie zabezpieczenie odpowiedniego stopnia ochrony przed dostępem do tych danych ze strony organów władz publicznych tego państwa trzeciego.
136 Tak więc okoliczność polegająca na tym, że zawarte w wydanej przez Komisję na podstawie art. 46 ust. 2 lit. c) RODO decyzji standardowe klauzule ochrony danych, takie jak te zawarte w załączniku do decyzji w sprawie klauzul standardowych, nie wiążą organów władz państw trzecich, do których dane osobowe mogą zostać przekazane, pozostaje sama w sobie bez wpływu na ważność tej decyzji.
149 W świetle całości powyższych rozważań na pytania siódme i jedenaste należy odpowiedzieć, że badanie decyzji w sprawie klauzul standardowych w świetle art. 7, 8 i 47 karty nie doprowadziło do żadnych ustaleń, które mogłyby mieć wpływ na ważność tej decyzji.
Można odnieść wrażenie, że TSUE nie dość klarownie i stanowczo wypowiedział się w kwestii: jaki ma wpływ wydanie decyzji negatywnej przez Komisję (art. 45 ust. 5 rodo) albo orzeczenia unieważniającego decyzję w sprawie adekwatności przez TSUE (takiego jak właśnie Schrems II), na możliwość stosowania instrumentów transferu, o których mowa w art. 46 rodo, w szczególności najpopularniejszego jakim są SCC.
Otóż trzeba zauważyć, że zasadniczo SCC mogą legalizować transfer wtedy, kiedy władze wykonawcze lub sądownicze UE (Komisja, TSUE) nie zajmowały się badaniem ustawodawstwa państwa trzeciego, do którego transfer ma się odbywać. Zgodnie z art. 46 ust. 1 rodo aby transfer był możliwy, muszą być spełnione 3 warunki (punkty):
- odpowiednie zabezpieczenia (wprowadzone np. przez SCC),
- egzekwowalne prawa osób, których dane dotyczą,
- skuteczne środki ochrony prawnej.
Pkt 2 i 3 dotyczy ustawodawstwa państwa trzeciego, ponieważ choć same SCC (klauzula 2.a) stwierdzają że je zapewniają, to jest tak pod warunkiem, że ustawodawstwo (prawo stanowione) importera umożliwia wykonanie tego prawa umownego jakim są klauzule (klauzula 14.a). Można powiedzieć że SCC to takie umowne mini rodo, przyjęte między stronami z tego względu, że w państwie importera nie obowiązuje rodo.
Ocena ustawodawstwa państwa trzeciego przez organy UE
Jeśli więc Komisja albo TSUE stwierdzą takie braki w ustawodawstwie państwa importera, to exporter nie ma możliwości ich naprawić (zrekompensować), bo nie ma żadnego wpływu na władzę publiczną, która działa na podstawie tego ustawodawstwa. Exporter nie może też skutecznie polemizować z Komisją czy TSUE i twierdzić, że według niego prawo USA jest równie dobre jak UE, a może i lepsze (dokonać własnej, odmiennej oceny ustawodawstwa). Nie pomogą też tłumaczenia, że przecież nawet jak władze USA mają dostęp do danych, to nie są to cyberprzestępcy i ryzyko, że będą złośliwie wykorzystywać dane na szkodę obywateli UE jest niskie. Z drugiej strony nie można wykluczyć, że generalnie wadliwe ustawodawstwo, nie będzie miało zastosowania do konkretnego przekazania, np. ze względu na specyficzną branżę.
Jedynym remedium (środkiem uzupełniającym) na wadliwość ustawodawstwa w państwie trzecim są środki techniczne w postaci szyfrowania niemożliwego do złamania ze względu na niedostępną moc obliczeniową, przy czym klucza oczywiście nie może otrzymać importer. W takiej sytuacji importer zmuszony do wydania danych, wyda je zaszyfrowane a władze publiczne nie będą mogły ich sforsować i wykorzystać. Czyli chodziłoby o przechowywanie zaszyfrowanych danych w państwie trzecim, np. dla celów kopii zapasowej (ograniczone znaczenie praktyczne). Wątpliwe jest czy taka operacja w ogóle stanowi przekazanie do państwa trzeciego. Zgodnie z funkcjonalnym rozumieniem terminu „przekazanie”, chodzi tu o ujawnienie danych a nie o przekraczanie przez nie granic EOG. Art. 45 ust. 7 rodo wprost wskazuje, że negatywna ocena ustawodawstwa państwa trzeciego przez Komisję, nie wyklucza zastosowania art. 46 czy 49 rodo i w ten sposób zalegalizowania transferu, jednak co do art. 46 oznacza to karkołomne i karykaturalne zadanie:
- zabezpieczenia danych przed dostępem władz publicznych państwa importera, jednocześnie pozbawiając transfer doniosłości praktycznej, albo
- ustalenia w drodze analizy już ocenionego przez UE ustawodawstwa, że konkretne przekazanie wymyka się prawu lub praktyce państwa trzeciego (tak, Zalecenia 01/2020, s. 22).
Przy tym trzeba też odnotować, że nawet szyfrowanie nie daje nieskończonej gwarancji zachowania poufności danych, ponieważ, z czasem moc obliczeniowa może wzrosnąć w zasobach intruza do tego stopnia, że będzie w stanie przełamać zabezpieczenie. Korzystając z tego środka uzupełniającego należy więc uwzględniać kwestię czasu (tak, Zalecenia 01/2020, s. 32.)
Brak oceny ustawodawstwa państwa trzeciego przez organy UE
Natomiast jeśli nie ma generalnej decyzji o adekwatności z art. 45 rodo ani wyroku TSUE, to exporter ma obowiązek niejako zastąpić Komisję w ocenie ustawodawstwa państwa trzeciego i jeśli jakość prawa ochrony danych w tym państwie będzie na takim poziomie, że Komisja mogłaby wydać pozytywną decyzję o adekwatności (pkt 2 i 3) albo ustawodawstwo jest wprawdzie wadliwe ale nie dotknie konkretnego przekazania, to może zastosować instrumenty wymienione w art. 46 ust. 2 rodo, w tym SCC (pkt 1).
Z powyższego wynika, że legalność transferu do USA (który ma doniosłość praktyczną) można przywrócić tylko przez zmianę ustawodawstwa USA, ponowną ocenę tego ustawodawstwa przez Komisję w trybie art. 45 rodo i wydanie nowej decyzji o adekwatności, zastępującej unieważnioną Tarczę Prywatności – ten proces jest już w toku.
Przepisy
Artykuł 45 Przekazywanie na podstawie decyzji stwierdzającej odpowiedni stopień ochrony
1. Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia.
2. Oceniając, czy stopień ochrony jest odpowiedni, Komisja uwzględnia w szczególności następujące elementy:
a) praworządność, poszanowanie praw człowieka i podstawowych wolności, odpowiednie ustawodawstwo – zarówno ogólne, jak i sektorowe – w tym w dziedzinie bezpieczeństwa publicznego, obrony, bezpieczeństwa narodowego i prawa karnego oraz dostępu organów publicznych do danych osobowych, a także wdrażanie takiego ustawodawstwa, zasady ochrony danych osobowych, zasady dotyczące wykonywania zawodu, środki bezpieczeństwa, w tym zasady dalszego przekazywania danych osobowych do kolejnego państwa trzeciego lub innej organizacji międzynarodowej, których przestrzega się w tym państwie lub w organizacji międzynarodowej, orzecznictwo, a także istnienie skutecznych i egzekwowalnych praw osób, których dane dotyczą, oraz prawa osób, których dane dotyczą, których dane osobowe są przekazywane, do skutecznych administracyjnych i sądowych środków zaskarżenia;
b) istnienie i skuteczne działanie co najmniej jednego niezależnego organu nadzorczego w państwie trzecim lub w stosunku do organizacji międzynarodowej, mającego obowiązek zapewniać i egzekwować przestrzeganie przepisów o ochronie danych – w tym posiadające odpowiednie uprawnienia do egzekwowania przestrzegania przepisów – pomagać i doradzać osobom, których dane dotyczą, w toku wykonywania przysługujących im praw, a także współpracować z organami nadzorczymi państw członkowskich; oraz
c) międzynarodowe zobowiązania zaciągnięte przez dane państwo trzecie lub daną organizację międzynarodową lub inne obowiązki wynikające z prawnie wiążących konwencji lub instrumentów oraz z udziału w systemach wielostronnych lub regionalnych, w szczególności w dziedzinie ochrony danych osobowych.
3. Po dokonaniu oceny, czy stopień ochrony jest odpowiedni, Komisja może w drodze aktu wykonawczego przyjąć decyzję stwierdzającą, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni stopień ochrony w rozumieniu ust. 2 niniejszego artykułu. W akcie wykonawczym przewiduje się mechanizm okresowego przeglądu – przynajmniej raz na cztery lata – podczas którego uwzględnia się wszelkie mające znaczenie zmiany w państwie trzecim lub organizacji międzynarodowej. W akcie wykonawczym zostaje określony terytorialny i sektorowy zakres jego zastosowania, a gdy ma to zastosowanie wskazany zostaje organ nadzorczy lub organy nadzorcze, o których mowa w ust. 2 lit. b) niniejszego artykułu. Akt wykonawczy zostaje przyjęty zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2.
4. Komisja na bieżąco monitoruje zmiany w państwach trzecich i organizacjach międzynarodowych mogące wpłynąć na obowiązywanie decyzji przyjętych na mocy ust. 3 niniejszego artykułu oraz decyzji przyjętych na podstawie art. 25 ust. 6 dyrektywy 95/46/WE.
5. Jeżeli dostępne informacje na to wskazują, w szczególności po przeglądzie, o którym mowa w ust. 3 niniejszego artykułu, Komisja przyjmuje decyzję stwierdzającą, że państwo trzecie – lub terytorium lub jeden lub więcej określonych sektorów w tym państwie trzecim – lub organizacja międzynarodowa przestały zapewniać odpowiedni stopień ochrony w rozumieniu ust. 2 niniejszego artykułu, i w niezbędnym zakresie uchyla, zmienia lub zawiesza decyzję, o której mowa w ust. 3 niniejszego artykułu, w drodze aktów wykonawczych bez mocy wstecznej. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2.
W należycie uzasadnionych, szczególnie pilnych przypadkach Komisja przyjmuje zgodnie z procedurą, o której mowa w art. 93 ust. 3 akty wykonawcze mające natychmiastowe zastosowanie.
6. Komisja podejmuje konsultacje z państwem trzecim lub organizacją międzynarodową w celu zaradzenia sytuacji będącej przyczyną decyzji przyjętej na mocy ust. 5.
7. Decyzja przyjęta na mocy ust. 5 niniejszego artykułu pozostaje bez uszczerbku dla przekazywania danych osobowych do danego państwa trzeciego, terytorium lub określonego sektora lub określonych sektorów w tym państwie trzecim lub do danej organizacji międzynarodowej na mocy art. 46–49.
8. Komisja publikuje w Dzienniku Urzędowym Unii Europejskiej i na swojej stronie internetowej wykaz państw trzecich, terytoriów i określonych sektorów w państwie trzecim oraz organizacji międzynarodowych, co do których przyjęła decyzję stwierdzającą odpowiedni stopień ochrony lub jego brak.
9. Decyzje przyjęte przez Komisję na mocy art. 25 ust. 6 dyrektywy 95/46/WE pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia decyzją Komisji przyjętą zgodnie z ust. 3 lub 5 niniejszego artykułu.
Artykuł 46 Przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń
1. W razie braku decyzji na mocy art. 45 ust. 3 administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.
2. Odpowiednie zabezpieczenia, o których mowa w ust. 1, można zapewnić – bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego – za pomocą:
a) prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi;
b) wiążących reguł korporacyjnych zgodnie z art. 47;
c) standardowych klauzul ochrony danych przyjętych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2;
d) standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2;
e) zatwierdzonego kodeksu postępowania zgodnie z art. 40 wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą; lub
f) zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.
3. Z zastrzeżeniem zezwolenia właściwego organu nadzorczego odpowiednie zabezpieczenia, o których mowa w ust. 1, można także zapewnić w szczególności za pomocą:
a) klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej; lub
b) postanowień uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą.
4. W przypadkach, o których mowa w ust. 3 niniejszego artykułu, organ nadzorczy stosuje mechanizm spójności, o którym mowa w art. 63.
5. Zezwolenia wydane przez państwo członkowskie lub organ nadzorczy na podstawie art. 26 ust. 2 dyrektywy 95/46/WE zachowują ważność do czasu ich zmiany, zastąpienia lub uchylenia w razie potrzeby przez ten organ. Decyzje przyjęte przez Komisję na mocy art. 26 ust. 4 dyrektywy 95/46/WE pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia w razie potrzeby decyzją Komisji przyjętą zgodnie z ust. 2 niniejszego artykułu.