Den här webbplatsen är en del av
Ingång till EU-rätten
2002/16/EG: Kommissionens beslut av den 27 december 2001 om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredje land i enlighet med direktiv 95/46/EG (Text av betydelse för EES) [delgivet med nr K(2001) 4540]
EGT L 6, 10.1.2002, s. 52–62 (ES, DA, DE, EL, EN, FR, IT, NL, PT, FI, SV)
tjeckisk specialutgåva: Område 13 Volym 27 s. 168 - 178
estnisk specialutgåva: Område 13 Volym 27 s. 168 - 178
ungersk specialutgåva Område 13 Volym 27 s. 168 - 178
litauisk specialutgåva: Område 13 Volym 27 s. 168 - 178
lettisk specialutgåva: Område 13 Volym 27 s. 168 - 178
maltesisk specialutgåva: Område 13 Volym 27 s. 168 - 178
polsk specialutgåva: Område 13 Volym 27 s. 168 - 178
slovakisk specialutgåva: Område 13 Volym 27 s. 168 - 178
slovensk specialutgåva: Område 13 Volym 27 s. 168 - 178
bulgarisk specialutgåva: Område 13 Volym 33 s. 96 - 106
rumänsk specialutgåva: Område 13 Volym 33 s. 96 - 106
DA DE EL EN ES FI FR IT NL PT SV
| BG | ES | CS | DA | DE | ET | EL | EN | FR | GA | IT | LV | LT | HU | MT | NL | PL | PT | RO | SK | SL | FI | SV |
| html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | |
| tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff |
| Visa två språkversioner samtidigt: BG CS DA DE EL EN ES ET FI FR HU IT LT LV MT NL PL PT RO SK SL SV |
Kommissionens beslut
av den 27 december 2001
om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredje land i enlighet med direktiv 95/46/EG
[delgivet med nr K(2001) 4540]
(Text av betydelse för EES)
(2002/16/EG)
EUROPEISKA GEMENSKAPERNAS KOMMISSION HAR FATTAT DETTA BESLUT
med beaktande av Fördraget om upprättandet av Europeiska gemenskapen,
med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter(1), särskilt artikel 26.4 i detta, och
av följande skäl:
(1) Enligt direktiv 95/46/EG är medlemsstaterna skyldiga att se till att överföring av personuppgifter till tredje land endast får ske om det tredje landet garanterar en adekvat skyddsnivå och om medlemsstaternas lagar, vilka följer direktivets övriga bestämmelser, iakttas före överföringen.
(2) Enligt artikel 26.2 i direktiv 95/46/EG får dock medlemsstaterna, förutsatt att vissa garantier ställs, tillåta en överföring eller en gruppserie överföringar av personuppgifter till länder som inte säkerställer en adekvat skyddsnivå av uppgifter. Sådana garantier kan särskilt framgå av lämpliga avtalsklausuler.
(3) Enligt direktiv 95/46/EG skall bedömningen av skyddsnivån ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp överföringar av personuppgifter. Arbetsgruppen för skydd av enskilda med avseende på behandling av personuppgifter som inrättats genom det direktivet(2) har utfärdat riktlinjer för sådana bedömningar(3).
(4) Standardavtalsklausulerna rör endast uppgiftsskydd. Uppgiftsutföraren och uppgiftsinföraren får ta med sådana andra klausuler om affärsrelaterade frågor som de anser av betydelselämpliga för avtalet, under förutsättning att de så länge som dessa inte strider mot standardavtalsklausulerna.
(5) Beslutet bör inte påverkar de nationella tillstånd som medlemsstaterna kan komma att bevilja i enlighet med nationella bestämmelser om genomförande av artikel 26.2 i direktiv 95/46/EG. Det här beslutet har endast som verkan att medlemsstaterna inte får vägra att erkänna att de angivna avtalsklausulerna som här anges ger tillräckliga garantier och beslutet påverkar således inte andra avtalsklausuler.
(6) Beslutet skall endast fastställa att de angivna klausulerna i bilagan får användas av en registeransvarig etablerad i gemenskapen i syfte att ställa tillräckliga garantier i den mening som avses i artikel 26.2 i direktiv 95/46/EG vid överföringen av personuppgifter till en registerförare etablerad i tredje land.
(7) Beslutet bör fullgöra skyldigheten i artikel 17.3 i direktiv 95/46/EG och påverkar inte innehållet i ett sådant avtal eller en sådan rättsakt som upprättats i enlighet med den bestämmelsen. Några av standardavtalsklausulerna, i synnerhet de om uppgiftsutförarens skyldigheter, bör ingå för att klargöra vilka klausuler som kan tas med i ett avtal mellan en registeransvarig och en registerförare.
(8) Tillsynsmyndigheterna i medlemsstaterna har en nyckelroll i samband med denna avtalsmekanism för att se till att personuppgifter skyddas adekvat efter överföring. I de undantagsfall då uppgiftsutföraren vägrar eller inte kan ge uppgiftsinföraren korrekta instruktioner och det finns en överhängande risk för att de registrerade skadas, bör standardavtalsklausulerna medge tillsynsmyndigheterna rätten att utföra revision hos uppgiftsinförare och i förekommande fall fatta beslut som är bindande uppgiftsinföraren. Tillsynsmyndigheterna bör ha rätt att förbjuda eller avbryta en uppgiftsöverföring eller en serie överföringar som sker enligt standardavtalsklasuler i de undantagsfall där det fastställts att en överföring på avtalsbasis sannolikt har en avsevärt skadlig inverkan på de garantier och åtaganden som skall säkerställa adekvat skydd för den registrerade.
(9) Kommissionen kan senare komma att ta ställning till om standardavtalsklausuler avseende överföring av personuppgifter till registerförare i tredje land där adekvat skydd av personuppgifter saknas, som utarbetas av branschorganisationer eller andra berörda parter, erbjuder tillräckliga garantier i enlighet med artikel 26.2 i direktiv 95/46/EG.
(10) Utlämnande av personuppgifter till en registerförare etablerad utanför gemenskapen är en internationell överföring som skyddas i enlighet med bestämmelserna i kapitel IV i direktiv 95/46/EG. Det här beslutet omfattar inte överföring av personuppgifter från sådana registeransvariga som är etablerade i gemenskapen till sådana registerförare som är etablerade utanför gemenskapen och som inte omfattas av tillämpningsområdet för kommissionens beslut 2001/497/EG av den 15 juni 2001 om standardavtalsklausuler för överföring av personuppgifter till tredje land enligt direktiv 95/46/EG(4).
(11) Standardavtalsklausulerna bör innehålla bestämmelser om de tekniska och organisatoriska säkerhetsåtgärder som en registerförare, som är etablerad i ett tredje land utan adekvat skydd, måste vidta för att garantera en säkerhetsnivå som är anpassad till de risker behandlingen medför och till karaktären hos de uppgifter som skall behandlas. Parterna bör i avtalet ange de tekniska och organisatoriska åtgärder som, med hänsyn tagen till tillämplig uppgiftsskyddslagstiftning, den senaste tekniken och kostnaden för att vidta dem, är erforderliga för att skydda personuppgifter mot oavsiktlig eller olaglig utplåning, oavsiktlig förlust, ändring, otillåtet utlämnande eller otillåten tillgång eller varje annan form av olaglig behandling.
(12) För att underlätta flödet av uppgifter från gemenskapen bör registerförare som förser flera registeransvariga i gemenskapen med uppgiftsbehandlingstjänster tillåtas vidta samma tekniska och organisatoriska säkerhetsåtgärder, oavsett från vilken medlemsstat uppgiftsöverföringen kommer, i synnerhet i sådana fall där uppgiftsinföraren tar emot uppgifter för vidare behandling från flera av uppgiftsutförarens driftsställen i gemenskapen, varvid lagen i den ifrågavarande medlemsstat där driftsstället är beläget skall tillämpas.
(13) Det är lämpligt att fastställa vilka upplysningar parterna minst måste ange i avtalet om överföring. Medlemsstaterna bör ha befogenhet att närmare bestämma vilka upplysningar parterna måste lämna. Tillämpningen av det här beslutet bör ses över med ledning av erfarenheterna.
(14) Uppgiftsinföraren skall behandla överförda personuppgifter endast för uppgiftsutförarens räkning och i enlighet med hans instruktioner och de villkor som anges i klausulerna. I synnerhet bör uppgiftsinföraren inte lämna ut personuppgifterna till tredje man utom i enlighet med vissa villkor. Uppgiftsutföraren bör lämna instruktioner till uppgiftsinföraren under det att uppgiftsbehandlingen pågår om att uppgifterna skall behandlas i enlighet med hans instruktioner, tillämplig uppgiftsskyddslagstiftning och villkoren i klausulerna. Överföring av personuppgifter till registerförare som är etablerade utanför gemenskapen påverkar inte det förhållandet att behandling under alla omständigheter bör ske i enlighet med tillämplig uppgiftsskyddslagstiftning.
(15) Standardavtalsklausulerna måste kunna åberopas inte bara av de organisationer som är parter i avtalet utan även av de registrerade, i synnerhet om de registrerade vållas skada till följd av avtalsbrott.
(16) Den registrerade bör har rätt att väcka talan mot och om så är lämplig få skadestånd från den uppgiftsutförare som är registeransvarig för de personuppgifter som överförts. I undantagsfall bör den registrerade också få väcka talan och, om så är lämpligt, få skadestånd från uppgiftsinföraren, om denne inte fullgjort sina förpliktelser enligt klausul 3 andra stycket, i de fall uppgiftsutföraren har upphört att existera i faktisk eller rättslig mening.
(17) Om en tvist mellan parterna och den registrerade inte kan lösas i godo och den registrerade åberopar klausulen om tredjepartsberättigande, bör datainföraren låta parterna den registrerade får välja mellan medling, skiljeförfarande och att väcka talan vid domstol. För att den registrerade skall ha en faktisk valmöjlighet bör det finnas tillgång till tillförlitliga och erkända system för medling och skiljeförfarandedom. Medling utförd av tillsynsmyndigheten med ansvar för uppgiftsskydd i den medlemsstat där uppgiftsutföraren är etablerad bör vara ett alternativ, i de fall där en sådan tjänst erbjuds.
(18) Den lag som skall tillämpas på avtalet bör vara lagen i det land där uppgiftsutföraren är etablerad, så att en berättigad tredje part skall ha möjlighet att åberopa ett avtal. De registrerade bör ha möjlighet att företrädas av sammanslutningar eller andra organ, om de så önskar och om nationell lag medger det.
(19) Den arbetsgrupp för skydd av enskilda med avseende på behandlingen av personuppgifter som inrättats enligt artikel 29 i direktiv 95/46/EG har avgett ett yttrande om den skyddsnivå som ges av de standardavtalsklausuler som bifogas detta beslut, vilket beaktats vid utarbetandet av detta beslut(5).
(20) Åtgärderna i detta beslut överensstämmer med yttrandet från den kommitté som inrättats enligt artikel 31 i direktiv 95/46/EG.
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
De standardavtalsklausuler som anges i bilagan skall anses ge tillräckliga garantier för att privatliv och enskilda personers grundläggande fri- och rättigheter skyddas samt för utövandet av motsvarande rättigheter, i enlighet med artikel 26.2 i direktiv 95/46/EG.
Artikel 2
Detta beslut skall endast tillgodose att standardavtalsklausulerna i bilagan erbjuder ett tillräckligt skydd för överföring av personuppgifter till registerförare. Det påverkar inte tillämpningen av andra nationella bestämmelser som antagits för genomförande av direktiv 95/46/EG och som rör behandling av personuppgifter inom medlemsstaterna.
Detta beslut skall tillämpas på överföring av personuppgifter från sådana registeransvariga som är etablerade i gemenskapen till sådana mottagare som är etablerade utanför gemenskapens territorium och som endast verkar som registerförare.
Artikel 3
I detta beslut används följande beteckningar med de betydelser som här anges:
a) definitionerna i direktiv 95/46/EG skall följas,
b) särskilda kategorier av uppgifter: de uppgifter som avses i artikel 8 i direktivet,
c) tillsynsmyndighet: de myndigheter som avses i artikel 28 i direktivet,
d) uppgiftsutförare: den registeransvarige som överför personuppgifterna,
e) uppgiftsinförare: den registerförare som är etablerad i ett tredje land och som samtycker till att från uppgiftsutföraren ta emot personuppgifter avsedda för behandling för uppgiftsutförarens räkning efter överföringen, enligt dennes instruktioner och i enlighet med detta beslut, förutsatt att uppgiftsinföraren inte omfattas av ett system i tredje land som garanterar ett adekvat skydd,
f) tillämplig uppgiftsskyddslaglagstiftning: sådan lagstiftning som avser att skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras personliga integritet i samband med behandling av personuppgifter, och som är tillämplig på registeransvariga i den medlemsstat där uppgiftsutföraren är etablerad.
g) tekniska och organisatoriska säkerhetsåtgärder: åtgärder avsedda att skydda personuppgifter mot oavsiktlig eller olaglig utplåning, oavsiktlig förlust, ändring, otillåtet utlämnande eller otillåten tillgång, i synnerhet när behandlingen inbegriper överföring av uppgifter över ett nät, och mot varje annan form av olaglig behandling.
Artikel 4
1. Utan att det påverkar rätten för medlemsstaternas behöriga myndigheter att se till att nationella bestämmelser som antagits i enlighet med bestämmelserna i kapitlen II, III, V och VI i direktiv 95/46/EG följs, får de utöva sina befintliga befogenheter för att förbjuda eller avbryta flöden av uppgifter till tredje land för att skydda enskilda från behandling av personuppgifter om dem i fall där
a) det fastställs att den lag som är tillämplig på uppgiftsinföraren föreskriver att denne skall frångå tillämplig uppgiftsskyddslagstiftning och som går utöver de restriktioner som krävs i ett demokratiskt samhälle enligt artikel 13 i direktiv 95/46/EG, om dessa föreskrifter sannolikt har en avsevärt skadlig inverkan på de garantier som ställs i tillämplig uppgiftsskyddslagstiftning eller i standardavtalsklausulerna, eller
b) en behörig myndighet har fastställt att uppgiftsinföraren inte har följt avtalsklausulerna i bilagan, eller
c) det finns skälig grund att tro att standardavtalsklausulerna i bilagan inte följs eller inte kommer att följas och att fortsatt överföring skulle medföra en överhängande risk för allvarlig skada hos de registrerade.
2. Förbudet eller avbrottet enligt punkt 1 skall upphöra så snart som skälen för förbudet eller avbrottet inte längre föreligger.
3. När medlemsstaterna vidtar åtgärder i enlighet med punkterna 1 och 2 skall de utan dröjsmål underrätta kommissionen, som skall vidarebefordra underrättelsen till de andra medlemsstaterna.
Artikel 5
Kommissionen skall utvärdera genomförandet av detta beslut med ledning av tillgänglig information tre år efter det att det delgetts medlemsstaterna. Den skall lämna en rapport om resultaten till den kommitté som inrättats enligt artikel 31 i direktiv 95/46/EG. Den skall ta med alla omständigheter som kan påverka bedömningen att de bifogade standardavtalsklausulerna ger ett adekvat skydd och alla omständigheter som tyder på att detta beslut tillämpas på ett diskriminerande sätt.
Artikel 6
Detta beslut skall tillämpas från och med den 3 april 2002.
Artikel 7
Detta beslut riktar sig till medlemsstaterna.
Utfärdat i Bryssel den 27 december 2001.
På kommissionens vägnar
Frederik Bolkestein
Ledamot av kommissionen
(1) EGT L 281, 23.11.1995, s. 31.
(2) Arbetsgruppens webbadress är:
http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm.
(3) WP 4 (5020/97) Arbetsdokument 4: "En första orientering om överföring av personuppgifter till tredje land - möjligheter till en förbättrad bedömning av om skyddsnivån är adekvat", antaget av arbetsgruppen den 26 juni 1997.
WP 7 (5057/97) Arbetsdokument: "Bedömning av industrins självreglering: när lämnar den ett meningsfullt bidrag till nivån av uppgiftsskydd i ett tredje land?", antaget av arbetsgruppen den 14 januari 1998.
WP 9 (5005/98) Arbetsdokument: "Preliminära synpunkter på användningen av kontraktsbestämmelser vid överföring av personuppgifter till tredje land", antaget av arbetsgruppen den 22 april 1998.
WP 12: Överföring av personuppgifter till tredje land: Tillämpning av artiklarna 25 och 26 i EU:s direktiv om uppgiftsskydd, antaget av arbetsgruppen den 24 juli 1998 tillgängligt på Europeiska kommissionens webbplats
http:europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp12en.htm.
(4) EGT L 181, 4.7.2001, s. 19.
(5) Yttrande nr 7/2001 antaget av arbetsgruppen den 13 september 2001 (GD MARKT... ), tillgängligt på Europeiska kommissionens webbplats Europa.
BILAGA
>PIC FILE= "L_2002006SV.005702.TIF">
>PIC FILE= "L_2002006SV.005801.TIF">
>PIC FILE= "L_2002006SV.005901.TIF">
>PIC FILE= "L_2002006SV.006001.TIF">
Tillägg 1
>PIC FILE= "L_2002006SV.006102.TIF">
Tillägg 2
>PIC FILE= "L_2002006SV.006202.TIF">
| Upp |