Personvernforordningen (GDPR): gjennomføringsbestemmelser om standardavtalevilkår mellom behandlingsansvarlige og databehandler

Tittel

Kommisjonens gjennomføringsbeslutning (EU) 2021/915 av 4. juni 2021 om standardkontraktsvilkår mellom databehandlere og behandlingsansvarlige i henhold til artikkel 28 nr. 7 til europaparlaments- og rådsforordning (EU) 2016/679 og artikkel 29 nr. 7 til europaparlaments- og rådsforordning (EU) 2018/1725

Commission Implementing Decision (EU) 2021/915 of 4 June 2021 on standard contractual clauses between controllers and processors under Article 28 (7) of Regulation (EU) 2016/679 of the European Parliament and of the Council and Article 29 (7) of Regulation (EU) 2018/1725 of the European Parliament and of the Council

Siste nytt

EØS/EFTA-landenes utkast til EØS-komitebeslutning oversendt til Kommisjonen 28.9.2022

Nærmere omtale

BAKGRUNN (fra departementets EØS-notat, sist oppdatert 17.11.2021)

Sammendrag av innhold

Rettsakten oppstiller standardavtalevilkår for overføring av personopplysninger mellom behandlingsansvarlige og databehandler, gitt i vedlegg til beslutningen. Den oppstiller standardavtalevilkår for overføring etter både personvernforordningen (EU) 2016/679 og forordning (EU) 2018/1725 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger i Unionens institusjoner, organer, kontorer og agenturer og om fri utveksling av slike opplysninger. Sistnevnte forordning omhandler kun EU organer og omfattes ikke av EØS-avtalen. Kommisjonsbeslutningen er likevel relevant i sin helhet fordi beslutningen oppstiller ett sett standardbestemmelser som er ment for bruk etter begge forordningene fordi regelsettene er tilpasset for å gi likelydende krav. Alle bestemmelsene får dermed gyldighet også etter personvernforordningen.

Etter personvernforordningen artikkel 28 nr. 1 skal en behandlingsansvarlig bare bruke en databehandler som gir tilstrekkelige garantier for at de vil gjennomføre egnede teknisk og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i personvernforordningen og vern av den registrertes rettigheter. Dette skal sikres ved en avtale eller rettslig dokument, jf. nr. 3 og 4. I artikkel 28 nr. 7 gis Kommisjonen fullmakt til å fastsette standardavtalevilkår etter nr. 3 og 4 i bestemmelsen. I gjeldende rettsakt fastsetter Kommisjonen slike standardavtalevilkår.

Standardavtalevilkårene angir tilstrekkelige garantier til bruk i avtalen mellom behandlingsansvarlige og databehandler. Det stilles bl.a. krav til tilstrekkelig fagkunnskap, pålitelighet og ressurser til å gjennomføre teknisk og organisatoriske tiltak som er nødvendige. Vilkårene er angitt ved alternativer, og det forutsettes tilpasning ved den enkelte avtale. De kan brukes alene, eller som en del av en større kontrakt, forutsatt at supplerende kontraktsvilkår ikke inneholder bestemmelser som direkte eller indirekte er i strid med standardvilkårene. Standardavtalevilkårene gjelder ikke ved overføring av personopplysninger til tredjestater. Ved overføring til tredjestater må eventuelt Kommisjonens standard personvernbestemmelser for overføring til tredjestater benyttes.

Standardavtalevilkårene skal evalueres regelmessig i tilknytning til Kommisjonens rapporter etter personvernforordningen artikkel 97. 

Merknader
Rettslige konsekvenser

Beslutningen krever ingen endringer i norsk regelverk. Rettsakten er ikke omfattet av forskriften til personopplysningsloven § 2. Standardavtalevilkårene oppstiller et forenklet alternativ for avtale etter personvernforordningen artikkel 28 nr. 3, men andre avtaler som tilfredstiller regelverket vil også kunne benyttes. Det er frivillig for norske enheter å benytte seg av standardavtalevilkårene.

Økonomiske og administrative konsekvenser

Rettsakten medfører ingen særlige administrative eller økonomiske konsekvenser for Norge.

Rettsakten forenkler krav til overføring av personopplysninger ved å angi standard personvernbestemmelser som kan benyttes ved overføringen. Dette kan gi økonomiske og administrative besparelser for både næringslivet og offentlige organer ved at det forenkler inngåelsen av avtalen mellom behandlingsansvarlige og databehandler. 

Sakkyndige instansers merknader

Rettsakten ble sendt på skriftlig foreleggelse til Justisdepartementet som berørt departement. Det fremkom ingen materielle merknader til rettsakten. Rettsakten har ikke vært behandlet i Spesialutvalget for kommunikasjoner. 

Vurdering

Rettsakten er EØS-relevant og akseptabel.

Status

Rettsakten ble publisert i Official Journal 7. juni 2021 og trådte i kraft i EU 27. juni 2021.

Nøkkelinformasjon

EU



eu-flagg
Dokument (forberedende)
Kommisjonens framlegg
Dato
19.05.2021
EU-vedtak (CELEX-nr): viser også lenke til konsolidert versjon og om rettsakten er i kraft
Rettsakt på EU-språk
Dato
04.06.2021
Anvendelsesdato i EU
27.06.2021
Annen informasjon

EØS



EFTA/EØS-flagg
EØS-prosessen
Saksområde
Utkast til EØS-komitevedtak oversendt EU
28.09.2022

Norge



norge-flagg
Ansvarlig departement
Kommunal- og distriktsdepartementet
Informasjon fra departementet