Standard avtalevilkår for overføring av personopplysninger til utlandet

Tittel

Kommisjonens gjennomføringsbeslutning (EU) 2016/2297 av 16. desember 2016 om endring av vedtak 2001/497/EF om standard avtalevilkår for overføring av personopplysninger til utlandet og for registerførere etablert i tredjeland i henhold til europaparlaments- og rådsdirektiv 95/46/EF

Commission Implementing Decision (EU) 2016/2297 of 16 December 2016 amending Decisions 2001/497/EC and 2010/87/EU on standard contractual clauses for the transfer of personal data to third countries and to processors established in such countries, under Directive 95/46/EC of the European Parliament and of the Council

Siste nytt

EØS-komitebeslutning 5.5.2017 om innlemmelse i EØS-avtalen

Behandlende organ


 
 

Nærmere omtale

BAKGRUNN (fra departementets EØS-notat, sist oppdatert 21.2.2017)

Sammendrag av innhold
6. oktober 2015 fattet EU-domstolen sin avgjørelse i sak c-362/14 Maximillian Schrems v Data Protection Commissioner. Dommen slo fast at flere av vilkårene i Komisjonens ulike beslutninger om overføring av personopplysninger til tredjeland ikke var i samsvar med overordnet regelverk, herunder Charter of Fundamental Rights of the European Union. Blant annet ble det slått fast at bestemmelsene i artikkel 3 i den tidligere Safe Harbor-avtalen mellom EU og USA om overføring av personopplysninger til USA (2000/520/EC) ikke var i samsvar med charteret. Denne bestemmelsern begrenset de nasjonale tilsynsmyndighetens kompetanse til å gripe inn overfor bestemte overføringer av personopplysninger. Safe Harbor-avtalen ble, som følge av dommen, i sin helhet erstattet av Privacy Shield-rammeverket 12. juli 2016.

Bestemmelser som tilsvarer Safe Harbor-avtalens artikkel 3 finnes også i kommisjonsbeslutning 2001/497 om overføring av personopplysninger til tredjeland og kommisjonsbeslutning 2010/87/EU om overføring av personopplysninger til databehandlere i tredjeland, nærmere bestemt artikkel 4 i begge regelverk. Disse kommisjonsbeslutningene gjelder for Norge jf. personopplysningsforskriften § 6-1 første ledd, og kan benyttes av norske behandlingsansvarlige som grunnlag for overføring av personopplysninger til tredjeland.

Som følge av EU-domstolens avgjørelse i sak c-362/14 har EU-kommisjonen besluttet endringer i kommisjonsbeslutning 2001/497 om overføring av personopplysninger til tredjeland artikkel 4 og kommisjonsbslutning 2010/87/EU om overføring av personopplysninger til databehandlere i tredjeland artikkel 4. Endringene innebærer at de nasjonale tilsynsmyndighetene nå står fritt til å vurdere og, midlertidig eller permanent, stanse overføringer av personopplysninger til tredjeland dersom det vurderes som nødvendig for å beskytte enkeltpersoner. Den nasjonale tilsynsmyndigheten skal varsle Kommisjonen om sine vedtak, hvorpå Kommisjonen vil videreformidle informasjonen til de øvrige medlemsstater.

Vurdering
Endringen innebærer at Datatilsynet vil ha full kompetanse til å føre tilsyn med og gripe inn overfor overføring av personopplysninger til tredjejand i samsvar med Kommisjonens beslutninger om slike overføringer dersom tilsynet vurderer det som nødvendig for å beskytte enkeltpersoner. Beslutningen vurderes ikke å endre de gjeldende og grunnleggende nasjonale reglene om behandling av personopplysninger. Beslutningen vurderes derimot å styrke Datatilsynets kompetanse for så vidt gjelder tilsyn med overføring av personoplysninger til tredjeland.

Status
Rettsakten skal innlemmes i EØS-avtalen etter forenklet prosedyre.

Nøkkelinformasjon

EU



eu-flagg
EU-vedtak (CELEX-nr): viser også om rettsakten er i kraft
Dato
16.12.2016
Anvendelsesdato i EU
06.01.2017

EØS



EFTA/EØS-flagg
EØS-prosessen
Saksområde
EØS- komitebeslutning
EØS-beslutningens ikrafttredelse
06.05.2017
Frist for implementering (anvendelse) i EØS
06.05.2017

Norge



norge-flagg
Ansvarlig departement
Kommunal- og moderniseringsdepartementet
Informasjon fra departementet