Kommissionens beslutning

af 27. december 2004

om ændring af beslutning 2001/497/EF for at indføre en alternativ standardkontrakt om overførsel af personoplysninger til tredjelande

(meddelt under nummer K(2004) 5271)

(EØS-relevant tekst)

(2004/915/EF)

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER HAR —

under henvisning til traktaten om oprettelse af Det Europæiske Fællesskab,

under henvisning til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger [1], særlig artikel 26, stk. 4, og

ud fra følgende betragtninger:

(1) For at gøre det nemmere at overføre data fra Fællesskabet bør de registeransvarlige være i stand til at foretage internationale dataoverførsler i henhold til et enkelt sæt databeskyttelsesregler. I mangel af sådanne internationalt vedtagne databeskyttelsesregler er standardkontraktbestemmelser imidlertid en god løsning for at overføre personoplysninger fra alle medlemsstater i henhold til et fælles regelsæt. Kommissionens beslutning 2001/497/EF af 15. juni 2001 om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande i henhold til direktiv 95/46/EF [2] indeholder derfor standardkontraktbestemmelser, der giver en tilstrækkelig beskyttelse ved overførsel af personoplysninger til tredjelande.

(2) Dels er erfaringerne blevet betydeligt udbygget siden vedtagelsen af denne beslutning, dels har en gruppe erhvervssammenslutninger [3] fremlagt alternative standardkontraktbestemmelser, der ved hjælp af andre metoder skal givesamme databeskyttelsesniveau som de første standardkontraktbestemmelser, der er fastsat i beslutning 2001/497/EF.

(3) Anvendelsen af standardkontraktbestemmelser i forbindelse med internationale dataoverførsler er frivillig, eftersom sådanne bestemmelser kun er én ud af flere muligheder i henhold til direktiv 95/46/EF for på lovlig vis at overføre personoplysninger til et tredjeland, og dataeksportører i Fællesskabet og dataimportører i tredjelandene bør således frit kunne vælge en af de to standardkontrakter eller et helt tredje retsgrundlag for dataoverførslen. Da hver standardkontrakt udgør et særskilt dokument, bør dataeksportørerne dog ikke kunne foretage ændringer i disse kontrakter eller kombinere alle eller en del af standardkontraktbestemmelserne.

(4) Formålet med de standardkontraktbestemmelser, der fremlægges af erhvervssammenslutningerne, er at fremme anvendelsen af kontraktbestemmelser blandt de berørte aktører ved hjælp af alternative mekanismer som f.eks. mere fleksible kontrolbestemmelser og mere detaljerede regler om ret til indsigt.

(5) Som et alternativ til et system baseret på solidarisk hæftelse som foreskrevet i beslutning 2001/497/EF indeholder de standardkontraktbestemmelser, der nu fremlægges, desuden ansvarsregler, der bygger på princippet om fornøden omhu, hvor dataeksportøren og dataimportøren er erstatningsansvarlige over for de registrerede ved overtrædelse af deres respektive kontraktforpligtelser. Dataeksportøren kan også drages til ansvar for ikke på passende vis at have bestræbt sig på at fastslå, om dataimportøren er i stand til at opfylde sine retlige forpligtelser i henhold til bestemmelserne (culpa in eligendo), og den registrerede kan anlægge sag mod dataeksportøren i denne henseende. Håndhævelsen af bestemmelse I, litra b), i de nye standardkontraktbestemmelser er af særlig betydning i denne henseende, især i forbindelse med dataeksportørens mulighed for at foretage kontrol af dataimportørens databehandlingsfaciliteter eller for at anmode om dokumentation for, at dataimportøren råder over tilstrækkelige finansielle ressourcer til at opfylde sine forpligtelser.

(6) Hvad angår de registreredes påberåbelse af tredjemandsløftet bliver dataeksportøren i højere grad inddraget i behandlingen af de registreredes klager, således at dataeksportøren er forpligtet til at tage kontakt til dataimportøren og om nødvendigt at gennemtvinge kontrakten inden for den normale frist på en måned. Hvis dataeksportøren nægter at gennemtvinge kontrakten, og dataimportørens overtrædelse af standardkontraktbestemmelserne ikke ophører, kan den registrerede påberåbe sig standardkontrakten over for dataimportøren og i sidste instans anlægge sag mod denne i en medlemsstat. Denne accept af værneting og samtykke til at efterkomme en afgørelse, truffet af en kompetent domstol eller databeskyttelsesmyndighed, præjudicerer imidlertid ikke processuelle rettigheder for dataimportører i et tredjeland, f.eks. retten til at indgive appel.

(7) For imidlertid at undgå, at denne større fleksibilitet misbruges, bør der fastsættes bestemmelser, der giver databeskyttelsesmyndighederne mulighed for nemmere at forbyde eller suspendere dataoverførsler, der foretages på grundlag af de nye standardkontraktbestemmelser, når dataeksportøren nægter på passende vis at gennemtvinge kontrakten over for dataimportøren, eller når dataimportøren nægter at samarbejde efter bedste evne med de kompetente datatilsynsmyndigheder.

(8) Anvendelsen af standardkontraktbestemmelser berører ikke anvendelsen af nationale bestemmelser, der vedtages i medfør af direktiv 95/46/EF eller direktiv 2002/58/EF [4] om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikation (direktiv om beskyttelse af privatlivets fred og elektronisk kommunikation), især for så vidt angår fremsendelse af kommerciel kommunikation med henblik på direkte markedsføring.

(9) De garantier, som de fremlagte standardkontraktbestemmelser giver, kan på dette grundlag anses for tilstrækkelige i henhold til artikel 26, stk. 2, i direktiv 95/46/EF.

(10) Den udtalelse [5], som gruppen vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger, der er nedsat ved artikel 29 i direktiv 95/46/EF, har afgivet om det beskyttelsesniveau, der opnås ved hjælp af de fremlagte standardkontraktbestemmelser, er blevet taget i betragtning ved udarbejdelsen af denne beslutning.

(11) For at vurdere gennemførelsen af ændringerne til beslutning 2001/497/EF, bør Kommissionen foretage en evaluering heraf tre år efter, at de er blevet meddelt medlemsstaterne.

(12) Beslutning 2001/497/EF bør ændres i overensstemmelse hermed.

(13) De i denne beslutning fastsatte foranstaltninger er i overensstemmelse med udtalelse fra det udvalg, der er nedsat ved artikel 31 i direktiv 95/46/EF —

VEDTAGET FØLGENDE BESLUTNING:

Artikel 1

I beslutning nr. 2001/497/EF foretages følgende ændringer:

(1) I artikel 1 indsættes følgende stykke:

"Registeransvarlige kan vælge mellem standardkontrakt I eller II i bilaget. De må dog ikke ændre disse bestemmelser eller kombinere bestemte bestemmelser eller de to kontrakter."

(2) Artikel 4, stk. 2 og 3, affattes således:

"2. Når den registeransvarlige yder tilstrækkelige garantier på grundlag af standardkontrakt II i bilaget, kan de kompetente databeskyttelsesmyndigheder i forbindelse med stk. 1 gøre brug af deres beføjelser til at forbyde eller suspendere datastrømmen:

a) når dataimportøren nægter at samarbejde efter bedste evne med databeskyttelsesmyndighederne eller at opfylde de forpligtelser, der tydeligt fremgår af kontrakten

b) når dataeksportøren nægter på passende vis at gennemtvinge kontrakten over for dataimportøren inden for den normale frist på en måned, efter at dataeksportøren har modtaget en meddelelse fra den kompetente databeskyttelsesmyndighed.

Dataimportøren vil i forbindelse med første afsnit ikke blive anset for at nægte at samarbejde efter bedste evne eller at gennemtvinge kontrakten, når et sådant samarbejde eller en sådan gennemtvingelse er i strid med de obligatoriske krav i den nationale lovgivning, som dataimportøren er underlagt, og som ikke er mere vidtgående end, hvad der er nødvendigt i et demokratisk samfund på basis af en af de grunde, der er nævnt i artikel 13, stk. 1, i direktiv 95/46/EF, særlig sanktioner i henhold til international og/eller national lovgivning, oplysningspligt i skattesager eller oplysningspligt til bekæmpelse af hvidvaskning af penge.

Samarbejde skal i forbindelse med første afsnit, litra a), forstås således, at det især omfatter, at dataimportøren giver adgang til sine databehandlingsfaciliteter med henblik på kontrol eller retter sig efter en anbefaling fra databeskyttelsesmyndigheden i Fællesskabet.

3. Forbud eller suspension i henhold til stk. 1 og 2 ophæves straks, når grundene til forbuddet eller suspenderingen ikke længere eksisterer.

4. Når medlemsstaterne vedtager foranstaltninger i overensstemmelse med stk. 1, 2 og 3, underretter de straks Kommissionen, som underretter de øvrige medlemsstater.".

(3) Artikel 5, første punktum, affattes således:

"Kommissionen evaluerer gennemførelsen af denne beslutning på grundlag af alle tilgængelige oplysninger tre år efter, at medlemsstaterne har fået meddelt beslutningen og enhver ændring heraf.".

(4) Bilaget ændres således:

1. Titlen "STANDARDKONTRAKTBESTEMMELSER" erstattes med "STANDARDKONTRAKT I".

2. Teksten i bilaget til denne beslutning indsættes.

Artikel 2

Denne beslutning anvendes fra den 1. april 2005.

Artikel 3

Denne beslutning er rettet til medlemsstaterne.

Udfærdiget i Bruxelles, den 27. december 2004.

På Kommissionens vegne

Charlie McCreevy

Medlem af Kommissionen

--------------------------------------------------

[1] EFT L 281 af 23.11.1995, s. 31. Ændret ved forordning (EF) nr. 1883/2003 (EUT L 284 af 31.10.2003, s. 1).

[2] EFT L 181 af 4.7.2001, s. 19.

[3] Det Internationale Handelskammer (ICC), Japan Business Council in Europe (JBCE), European Information and Communications Technology Association (EICTA), EU Committee of the American Chamber of Commerce In Belgium (Amcham), Confederation of British Industry (CBI), International Communication Round Table (ICRT) og Federation of European Direct Marketing Associations (FEDMA).

[4] EFT L 201 af 31.7.2002, s. 37.

[5] Udtalelse nr. 8/2003, tilgængelig på: http://europa.eu.int/comm/privacy

--------------------------------------------------

+++++ ANNEX 1 +++++