Utveksling og beskyttelse av personopplysninger: endringsbestemmelser

Tittel

Kommisjonens gjennomføringsbeslutning (EU) 2016/2295 av 16. desember 2016 om endring av vedtak 2000/518/EF, 2002/2/EF, 2003/490/EF, 2003/821/EF, 2004/411/EF og 2008/393/EF, beslutning 2010/146/EU, 2010/625/EU og 2011/61/EU, samt gjennomføringsbeslutning 2012/484/EU og 2013/65/EU om adekvat beskyttelse av personopplysninger i visse tredjeland, i henhold til artikkel 25, stk. 6, i europaparlaments- og rådsdirektiv 95/46/EF

Commission Implementing Decision (EU) 2016/2295 of 16 December 2016 amending Decisions 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU, 2011/61/EU and Implementing Decisions 2012/484/EU, 2013/65/EU on the adequate protection of personal data by certain countries, pursuant to Article 25(6) of Directive 95/46/EC of the European Parliament and of the Council

Siste nytt

EØS-komitebeslutning 5.5.2017 om innlemmelse i EØS-avtalen

Behandlende organ


 
 

Nærmere omtale

BAKGRUNN (fra departementets EØS-notat, sist oppdatert 20.2.2017)

Sammendrag av innhold
Kommisjonsbeslutningen endrer beslutning 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU og 2011/61/EU samt gjennomføringsavgjørelse 2012/484/EU og 2013/65/EU om adekvat beskyttelse av personopplysninger i visse tredjeland (hhv. Sveits, Canada, Argentina, Guernsey, Isle of Man, Jersey, Færøyene, Andorra, Israel, Uruguay og New Zealand).

Endringene kommer som en følge av EU-domstolens avgjørelse av 6. oktober 2015 i sak C-362/14 Maximillian Schrems v Data Protection Commissioner. Dommen slo fast at flere av vilkårene i Kommisjonens ulike beslutninger om overføring av personopplysninger til tredjeland ikke var i samsvar med overordnet regelverk, herunder EU-charteret om grunnleggende rettigheter. Blant annet ble det slått fast at bestemmelsene i artikkel 3 i den tidligere Safe Harbor-avtalen mellom EU og USA om overføring av personopplysninger til USA (2000/520/EC) ikke var i samsvar med charteret. Denne bestemmelsen begrenset de nasjonale tilsynsmyndighetenes kompetanse til å gripe inn overfor bestemte overføringer av personopplysninger. Safe Harbor-avtalen ble, som følge av dommen, i sin helhet erstattet av Privacy Shield-rammeverket 12. juli 2016.

Beslutning 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU og 2011/61/EU, samt gjennomføringsavgjørelse 2012/484/EU og 2013/65/EU inneholder tilsvarende bestemmelser som artikkel 3 i Safe Harbor-avtalen. Disse kommisjonsbeslutningene gjelder for Norge, jf. personopplysningsforskriften § 6-1 første ledd, og kan benyttes av norske behandlingsansvarlige som grunnlag for overføring av personopplysninger til visse tredjeland.

Som en følge av EU-domstolens avgjørelse i sak C-362/14, har EU-kommisjonen besluttet endringer i de nevnte rettsaktene. Nærmere bestemt gjøres det endringer i artikkel 3 og artikkel 3a i beslutning 2000/518/EC, 2002/2/EC og 2003/490/EC, i artikkel 3 og artikkel 4 i beslutning 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU og 2011/61/EU, samt i artikkel 2 og artikkel 3 i gjennomføringsavgjørelse 2012/484/EU og 2013/65/EU. Endringene innebærer at de nasjonale tilsynsmyndighetene nå står fritt til å vurdere og, midlertidig eller permanent, stanse overføringer av personopplysninger til hhv. Sveits, Canada, Argentina, Guernsey, Isle of Man, Jersey, Færøyene, Andorra, Israel, Uruguay og New Zealand dersom det vurderes som nødvendig for å beskytte enkeltpersoner. Kommisjonen skal løpende monitorere utviklingen i landenes lovgivning og praksis i den grad det kan påvirke adekvansbeslutningene, inkludert nasjonale myndigheters tilgang til opplysningene. Nasjonale tilsynsmyndigheter skal varsle Kommisjonen om eventuelle vedtak, hvorpå Kommisjonen vil videreformidle informasjonen til de øvrige medlemsstater.

Merknader

Rettslige konsekvenser
Rettsakten krever ikke lov- eller forskriftsendringer.

Sakkyndige instansers merknader
Rettsakten følger hurtigprosedyren, og behandles ikke i Spesialutvalget for kommunikasjoner. Ansvarlig departement finner rettsakten EØS-relevant og akseptabel.

Vurdering
Endringene innebærer at Datatilsynet vil ha full kompetanse til å føre tilsyn med og gripe inn overfor overføring av personopplysninger til Andorra, Argentina, Canada, Færøyene, Guernsey, Isle of Man, Israel, Jersey, New Zealand, Sveits og Uruguay i samsvar med Kommisjonens beslutninger om slike overføringer, dersom tilsynet vurderer det som nødvendig for å beskytte enkeltpersoner. Beslutningen vurderes ikke å endre de gjeldende og grunnleggende nasjonale reglene om behandling av personopplysninger. Beslutningen vurderes derimot å styrke Datatilsynets kompetanse for så vidt gjelder tilsyn med overføring av personopplysninger til de aktuelle tredjelandene.

Andre opplysninger
Beslutningen endrer følgende basis rettsakter: 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU, 2011/61/EU, 2012/484/EU og 2013/65/EU.

Status
Rettsakten følger hurtigprosedyren, og behandles ikke i Spesialutvalget for kommunikasjoner. Ansvarlig departement finner rettsakten EØS-relevant og akseptabel.

Nøkkelinformasjon

EU



eu-flagg
EU-vedtak (CELEX-nr): viser også om rettsakten er i kraft
Dato
16.12.2016
Anvendelsesdato i EU
06.01.2017

EØS



EFTA/EØS-flagg
EØS-prosessen
Saksområde
EØS- komitebeslutning
EØS-beslutningens ikrafttredelse
06.05.2017
Frist for implementering (anvendelse) i EØS
06.05.2017

Norge



norge-flagg
Ansvarlig departement
Kommunal- og moderniseringsdepartementet
Informasjon fra departementet