1. En l’absence de décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 ou de l’article 36, paragraphe 3, de la directive (UE) 2016/680, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.
2. Les garanties appropriées visées au paragraphe 1 peuvent être fournies, sans que cela ne nécessite une autorisation particulière du Contrôleur européen de la protection des données, par:
| a) | un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics; |
| b) | des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d’examen visée à l’article 96, paragraphe 2; |
| c) | des clauses types de protection des données adoptées par le Contrôleur européen de la protection des données et approuvées par la Commission en conformité avec la procédure d’examen visée à l’article 96, paragraphe 2; |
| d) | lorsque le sous-traitant n’est ni une institution ni un organe de l’Union, des règles d’entreprise contraignantes, des codes de conduite ou des mécanismes de certification, en vertu de l’article 46, paragraphe 2, points b), e) et f), du règlement (UE) 2016/679. |
3. Sous réserve de l’autorisation du Contrôleur européen de la protection des données, les garanties appropriées visées au paragraphe 1 peuvent aussi être fournies, notamment, par:
| a) | des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l’organisation internationale; ou |
| b) | des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées. |
4. Les autorisations accordées par le Contrôleur européen de la protection des données sur le fondement de l’article 9, paragraphe 7, du règlement (CE) no 45/2001 demeurent valables jusqu’à leur modification, leur remplacement ou leur abrogation, si nécessaire, par le Contrôleur européen de la protection des données.
5. Les institutions et organes de l’Union informent le Contrôleur européen de la protection des données des catégories de cas dans lesquels le présent article a été appliqué.
Sauf indication contraire dans le registre d'informations, toute personne physique communiquant des informations personnelles à l'ESMA au moyen de formulaires papier ou électroniques est réputée avoir indubitablement donné son consentement au traitement ultérieur de ces données en application de l'article 7 du règlement. […] adopté conformément à l'article 48, paragraphe 3, du
Lire la suite…