RODO > Стаття 45. Передавання на підставі рішення про відповідність
Стаття 45 GDPR. Передавання на підставі рішення про відповідність

Article 45 GDPR. Transfers on the basis of an adequacy decision

1. Передавання персональних даних до третьої країни чи міжнародної організації може відбуватися, якщо Комісія вирішила, що третя країна, територія чи один або декілька визначених секторів у межах такої третьої країни, або відповідна міжнародна організація, забезпечує належний рівень захисту. Таке передавання не вимагає отримання будь-якого спеціального дозволу.

1. A transfer of personal data to a third country or an international organisation may take place where the Commission has decided that the third country, a territory or one or more specified sectors within that third country, or the international organisation in question ensures an adequate level of protection. Such a transfer shall not require any specific authorisation.


(103) Комісія може ухвалити рішення, дія якого поширюється на весь Союз про те, що третя країна, територія чи визначений сектор у межах третьої країни, або міжнародна організація забезпечує належний рівень захисту даних, таким чином гарантуючи правову визначеність і однорідність у межах Союзу в тому, що стосується третьої країни чи міжнародної організації, що, як вважається, забезпечує такий рівень захисту. У таких випадках акти передавання персональних даних до такої третьої країни чи міжнародної організації можуть відбуватися без потреби отримання подальшого дозволу. Комісія може також ухвалити рішення, повідомивши та надавши повний звіт із викладенням причин для третьої країни чи міжнародної організації про скасування такого рішення.

(103) The Commission may decide with effect for the entire Union that a third country, a territory or specified sector within a third country, or an international organisation, offers an adequate level of data protection, thus providing legal certainty and uniformity throughout the Union as regards the third country or international organisation which is considered to provide such level of protection. In such cases, transfers of personal data to that third country or international organisation may take place without the need to obtain any further authorisation. The Commission may also decide, having given notice and a full statement setting out the reasons to the third country or international organisation, to revoke such a decision.

2. Під час оцінювання відповідності рівня захисту, Комісія, зокрема, враховує такі елементи:

2. When assessing the adequacy of the level of protection, the Commission shall, in particular, take account of the following elements:


(104) У світлі фундаментальних цінностей, на яких засновано Союз, зокрема, захисту прав людини, Комісія повинна, у своїй оцінці третьої країни чи території або визначеного сектору в межах третьої країни, враховувати те, як певна третя країна поважає верховенство права, доступ до правосуддя, а також міжнародні норми та стандарти прав людини і її загальне та секторальне право, в тому числі законодавство щодо громадської безпеки, оборони та національної безпеки, а також публічний порядок і кримінальне право. Під час ухвалення рішення про відповідність щодо території чи визначеного сектору в третій країні необхідно враховувати чіткі та об'єктивні критерії, такі як спеціальні види опрацювання даних та масштаб застосовних правових стандартів, а також - чинне законодавство в третій країні. Третя країна повинна надати гарантії, що забезпечують належний рівень захисту, який суттєво відповідає тому, що забезпечується в межах Союзу, зокрема в разі опрацювання персональних даних в одному або декількох визначених секторах. Зокрема, третя країна повинна забезпечити дієвий незалежний нагляд за захистом даних і передбачити механізми співпраці з органами із захисту даних держав-членів, а суб'єктам даних - надати дієві права, які можна реалізувати, та дієві адміністративні і судові засоби правового захисту.

(104) In line with the fundamental values on which the Union is founded, in particular the protection of human rights, the Commission should, in its assessment of the third country, or of a territory or specified sector within a third country, take into account how a particular third country respects the rule of law, access to justice as well as international human rights norms and standards and its general and sectoral law, including legislation concerning public security, defence and national security as well as public order and criminal law. The adoption of an adequacy decision with regard to a territory or a specified sector in a third country should take into account clear and objective criteria, such as specific processing activities and the scope of applicable legal standards and legislation in force in the third country. The third country should offer guarantees ensuring an adequate level of protection essentially equivalent to that ensured within the Union, in particular where personal data are processed in one or several specific sectors. In particular, the third country should ensure effective independent data protection supervision and should provide for cooperation mechanisms with the Member States' data protection authorities, and the data subjects should be provided with effective and enforceable rights and effective administrative and judicial redress.

(105) Крім міжнародних зобов'язань, що взяли на себе третя країна чи міжнародна організація, Комісія повинна брати до уваги зобов'язання, що виникають у ході участі третьої країни чи міжнародної організації в багатосторонній або регіональній системах, зокрема, в зв'язку з захистом персональних даних, а також виконання таких зобов'язань. Зокрема, необхідно враховувати приєднання третьої країни до Конвенції Ради Європи про захист фізичних осіб у зв'язку з автоматизованим опрацюванням персональних даних від 28 січня 1981 року та її додаткових протоколів. Комісія повинна провести консультації з радою, оцінюючи рівень захисту в третіх країнах або міжнародних організаціях.

(105) Apart from the international commitments the third country or international organisation has entered into, the Commission should take account of obligations arising from the third country's or international organisation's participation in multilateral or regional systems in particular in relation to the protection of personal data, as well as the implementation of such obligations. In particular, the third country's accession to the Council of Europe Convention of 28 January 1981 for the Protection of Individuals with regard to the Automatic Processing of Personal Data and its Additional Protocol should be taken into account. The Commission should consult the Board when assessing the level of protection in third countries or international organisations.

(a) верховенство права, повагу до прав людини та фундаментальних свобод, відповідне законодавство, як загальне, так і секторальне, в тому числі щодо громадської безпеки, оборони, національної безпеки та кримінального права і доступу органів публічної влади до персональних даних, а також імплементацію такого законодавства, норми про захист даних, правила професійної діяльності та заходи з безпеки, в тому числі, правила для наступного передавання персональних даних до іншої третьої країни чи міжнародної організації, яких дотримуються в такій країні чи міжнародній організації, судову практику, а також дієві права суб’єкта даних, які можна реалізувати, та дієвий адміністративний і судовий захист для суб’єктів даних, чиї персональні дані передають;

(a) the rule of law, respect for human rights and fundamental freedoms, relevant legislation, both general and sectoral, including concerning public security, defence, national security and criminal law and the access of public authorities to personal data, as well as the implementation of such legislation, data protection rules, professional rules and security measures, including rules for the onward transfer of personal data to another third country or international organisation which are complied with in that country or international organisation, case-law, as well as effective and enforceable data subject rights and effective administrative and judicial redress for the data subjects whose personal data are being transferred;

(b) існування та дієве функціонування незалежних наглядових органів у третій країні чи тих, яким підпорядковується міжнародна організація, із відповідальністю за забезпечення та дотримання норм про захист даних, у тому числі, належними правозастосовними повноваженнями, для надання допомоги та рекомендацій суб’єктам даних під час реалізації їхніх прав і для співпраці з наглядовими органами держав-членів; і

(b) the existence and effective functioning of one or more independent supervisory authorities in the third country or to which an international organisation is subject, with responsibility for ensuring and enforcing compliance with the data protection rules, including adequate enforcement powers, for assisting and advising the data subjects in exercising their rights and for cooperation with the supervisory authorities of the Member States; and

(c) міжнародні зобов’язання, що взяли на себе третя країна або відповідна міжнародна організація, або інші зобов’язання, що випливають із юридично зобов’язальних конвенцій або інструментів, а також із їхньої участі в багатосторонніх або регіональних системах, зокрема в сфері захисту персональних даних.

(c) the international commitments the third country or international organisation concerned has entered into, or other obligations arising from legally binding conventions or instruments as well as from its participation in multilateral or regional systems, in particular in relation to the protection of personal data.

3. Комісія, після проведення оцінювання адекватності рівня захисту, може вирішити, у формі імплементаційного акту, що третя країна, територія чи один або декілька визначених секторів у межах третьої країни, або міжнародна організація забезпечує належний рівень захисту даних у значенні параграфа 2 цієї статті. Імплементаційний акт передбачає механізм періодичного перегляду, щонайменше кожні чотири роки, який повинен враховувати усі належні тенденції розвитку в третій країні чи міжнародній організації. Імплементаційний акт уточнює територіальне та секторальне застосування та, за необхідності, визначає наглядовий орган або органи, вказані в пункті (b) параграфа 2 цієї статті. Імплементаційний акт ухвалюють відповідно до експертної процедури, вказаної в статті 93(2).

3. The Commission, after assessing the adequacy of the level of protection, may decide, by means of implementing act, that a third country, a territory or one or more specified sectors within a third country, or an international organisation ensures an adequate level of protection within the meaning of paragraph 2 of this Article. The implementing act shall provide for a mechanism for a periodic review, at least every four years, which shall take into account all relevant developments in the third country or international organisation. The implementing act shall specify its territorial and sectoral application and, where applicable, identify the supervisory authority or authorities referred to in point (b) of paragraph 2 of this Article. The implementing act shall be adopted in accordance with the examination procedure referred to in Article 93(2).

4. Комісія, на постійній основі, здійснює моніторинг тенденцій розвитку в третіх країнах і міжнародних організаціях, що можуть вплинути на рішення, ухвалені відповідно до параграфа 3 статті та рішення, ухвалені на підставі статті 25(6) Директиви 95/46/ЄС;

4. The Commission shall, on an ongoing basis, monitor developments in third countries and international organisations that could affect the functioning of decisions adopted pursuant to paragraph 3 of this Article and decisions adopted on the basis of Article 25(6) of Directive 95/46/EC.


(106) Комісія повинна відстежувати дієвість рішень щодо рівня захисту в третій країні, на території або у визначеному секторі в межах третьої країни, або міжнародній організації та відстежувати дієвість рішень, ухвалених на підставі статті 25(6) або статті 26(4) Директиви 95/46/ЄС. У своїх рішеннях про відповідність, Комісія повинна передбачити механізм періодичної перевірки їхньої дієвості. Таку періодичну перевірку необхідно проводити під час консультації з відповідною третьою країною чи міжнародною організацією, в ній необхідно врахувати всі відповідні розробки в третій країні чи міжнародній організації. Для цілей моніторингу та проведення періодичних перевірок, Комісія повинна враховувати думки та висновки Європейського Парламенту і Ради, а також інших відповідних органів і джерел. Комісія повинна оцінювати, протягом розумного строку, дієвість останніх рішень і звітувати про будь-які відповідні висновки до Комісії у значенні Регламенту Європейського Парламенту і Ради (ЄС) N 182/2011 [12], як встановлено цим Регламентом, до Європейського Парламенту і Ради.

(106) The Commission should monitor the functioning of decisions on the level of protection in a third country, a territory or specified sector within a third country, or an international organisation, and monitor the functioning of decisions adopted on the basis of Article 25(6) or Article 26(4) of Directive 95/46/EC. In its adequacy decisions, the Commission should provide for a periodic review mechanism of their functioning. That periodic review should be conducted in consultation with the third country or international organisation in question and take into account all relevant developments in the third country or international organisation. For the purposes of monitoring and of carrying out the periodic reviews, the Commission should take into consideration the views and findings of the European Parliament and of the Council as well as of other relevant bodies and sources. The Commission should evaluate, within a reasonable time, the functioning of the latter decisions and report any relevant findings to the Committee within the meaning of Regulation (EU) No 182/2011 of the European Parliament and of the Council [12] as established under this Regulation, to the European Parliament and to the Council.

[12] Регламент Європейського Парламенту і Ради (ЄС) N 182/2011 від 16 лютого 2011 року про норми та загальні принципи механізмів контролю з боку держав-членів щодо реалізації Комісією виконавчих повноважень (OB L 55, 28.02.2011, с. 13).

[12] Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by Member States of the Commission's exercise of implementing powers (OJ L 55, 28.2.2011, p. 13).

5. Комісія, якщо наявна інформація відображає, зокрема після перегляду, як вказано в параграфі 3 цієї статті, що третя країна, територія чи один або декілька визначених секторів в межах третьої країни, чи міжнародна організація більше не забезпечує належний рівень захисту в значенні параграфа 2 цієї статті, необхідною мірою, скасовує, вносить зміни та доповнення, або призупиняє рішення, вказане в параграфі 3 цієї статті за шляхом ухвалення імплементаційних актів, що не мають зворотної сили. Такі імплементаційні акти ухвалюють відповідно до експертної процедури, вказаної в статті 93(2).

5. The Commission shall, where available information reveals, in particular following the review referred to in paragraph 3 of this Article, that a third country, a territory or one or more specified sectors within a third country, or an international organisation no longer ensures an adequate level of protection within the meaning of paragraph 2 of this Article, to the extent necessary, repeal, amend or suspend the decision referred to in paragraph 3 of this Article by means of implementing acts without retro-active effect. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 93(2).

Зважаючи на належним чином підтверджену термінову необхідність, Комісія повинна негайно ухвалити застосовні імплементаційні акти у порядку, як це вказано в статті 93(3).

On duly justified imperative grounds of urgency, the Commission shall adopt immediately applicable implementing acts in accordance with the procedure referred to in Article 93(3).

6. Комісія проводить консультації з третьою країною чи міжнародною організацією з метою виправлення ситуації, що призвела до рішення, ухваленого відповідно до параграфа 5.

6. The Commission shall enter into consultations with the third country or international organisation with a view to remedying the situation giving rise to the decision made pursuant to paragraph 5.


(107) Комісія може визнати, що третя країна, територія чи визначений сектор у межах третьої країни, чи міжнародна організація більше не забезпечує належний рівень захисту даних. Відповідно, необхідно заборонити передавання персональних даних до такої третьої країни чи міжнародної організації, за винятком, якщо виконано вимоги цього Регламенту щодо актів передавання, що передбачають застосування відповідних гарантій, у тому числі зобов'язальних корпоративних правил, і дотримано відступів для спеціальних ситуацій. У такому разі необхідно забезпечити проведення консультацій між Комісією та такими третіми країнами чи міжнародними організаціями. Комісія повинна своєчасно повідомити третю країну чи міжнародну організацію про причини та розпочати консультації з ними для того, щоб виправити ситуацію.

(107) The Commission may recognise that a third country, a territory or a specified sector within a third country, or an international organisation no longer ensures an adequate level of data protection. Consequently the transfer of personal data to that third country or international organisation should be prohibited, unless the requirements in this Regulation relating to transfers subject to appropriate safeguards, including binding corporate rules, and derogations for specific situations are fulfilled. In that case, provision should be made for consultations between the Commission and such third countries or international organisations. The Commission should, in a timely manner, inform the third country or international organisation of the reasons and enter into consultations with it in order to remedy the situation.

7. Рішення відповідно до параграфа 5 цієї статті не обмежує передавання персональних даних до третьої країни, території чи одного або декількох визначених секторів у межах такої третьої країни, чи відповідної міжнародної організації згідно зі статтями 46 – 49.

7. A decision pursuant to paragraph 5 of this Article is without prejudice to transfers of personal data to the third country, a territory or one or more specified sectors within that third country, or the international organisation in question pursuant to Articles 46 to 49.

8. Комісія опубліковує в Офіційному віснику Європейського Союзу та розміщує на своїй сторінці в мережі Інтернет список третіх країн, територій і визначених секторів у межах третьої країни та міжнародних організацій, щодо яких було ухвалено рішення про те, що більше не забезпечується належний рівень захисту.

8. The Commission shall publish in the Official Journal of the European Union and on its website a list of the third countries, territories and specified sectors within a third country and international organisations for which it has decided that an adequate level of protection is or is no longer ensured.

9. Рішення, ухвалені Комісією на підставі статті 25(6) Директиви 95/46/ЄС, залишаються чинними до внесення змін і доповнень, заміни або скасування Рішенням Комісії, ухваленим згідно з параграфом 3 або 5 цієї статті.

9. Decisions adopted by the Commission on the basis of Article 25(6) of Directive 95/46/EC shall remain in force until amended, replaced or repealed by a Commission Decision adopted in accordance with paragraph 3 or 5 of this Article.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 45 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions


The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates).

