Kommissionens beslut

av den 27 december 2004

om ändring av beslut 2001/497/EG om standardavtalsklausuler för överföring av personuppgifter till tredje land

(delgivet med nr K(2004) 5271)

(Text av betydelse för EES)

(2004/915/EG)

EUROPEISKA GEMENSKAPERNAS KOMMISSION HAR FATTAT DETTA BESLUT

med beaktande av Fördraget om upprättandet av Europeiska gemenskapen,

med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter [1], särskilt artikel 26.4 i detta, och

av följande skäl:

(1) För att underlätta dataflöden från gemenskapen är det önskvärt att de registeransvariga kan överföra uppgifter globalt enligt en enda uppsättning dataskyddsbestämmelser. I brist på globala dataskyddsbestämmelser ger standardavtalsklausulerna ett viktigt verktyg som möjliggör överföring av personuppgifter från alla medlemsstater enligt en gemensam uppsättning bestämmelser. I kommissionens beslut 2001/497/EG av den 15 juni 2001 om standardavtalsklausuler för överföring av personuppgifter till tredje land enligt direktiv 95/46/EG [2] fastställs därför mallar till standardavtalsklausuler i vilka adekvata skyddsåtgärder för överföring av personuppgifter till tredje land säkerställs.

(2) Många erfarenheter har gjorts sedan det beslutet antogs. Dessutom har en grupp handelssammanslutningar [3] lämnat in en uppsättning alternativa standardavtalsklausuler som är utformade för att ge en dataskyddsnivå som motsvarar den som föreskrivs i de standardavtalsklausuler som fastställs i beslut 2001/497/EG samtidigt som man använder olika verktyg.

(3) Eftersom användningen av standardavtalsklausuler för internationella dataöverföringar är frivillig, då standardavtalsklausuler endast utgör en av flera möjligheter enligt direktiv 95/46/EG för att föra över personuppgifter till tredje land, bör datautförare inom gemenskapen och datainförare i tredje land fritt kunna välja en av dessa uppsättningar standardavtalsklausuler eller välja en annan rättslig grund för dataöverföring. Eftersom varje uppsättning utgör en mall, bör uppgiftsutförarna dock inte kunna ändra dessa uppsättningar eller delvis blanda dem på något sätt.

(4) De standardavtalsklausuler som handelssammanslutningarna har lagt fram har till syfte att öka tillämpningen av avtalsklausuler bland operatörerna genom mer flexibla redovisningskrav, mer detaljerade bestämmelser om rätten till tillgång.

(5) Som ett alternativ till systemet med solidariskt ansvar som föreskrivs i beslut 2001/497/EG, innehåller den uppsättning som nu har lagts fram dessutom ansvarsbestämmelser som grundas på skyldighet att handla i aktsamhet där uppgiftsutföraren och uppgiftsinföraren skall ansvara inför de registrerade för sina respektive överträdelser när det gäller deras skyldigheter enligt lag. Uppgiftsutföraren ansvarar även för det fall att han eller hon på rimligt sätt inte har ansträngt sig för att se till att uppgiftsinföraren kan fullgöra sina rättsliga skyldigheter enligt klausulerna (culpa in eligendo) och den registrerade kan väcka talan mot uppgiftsutföraren i detta avseende. Tillämpningen av klausul I punkt b i den nya uppsättningen av standardavtalsklausuler är av särskild betydelse i detta avseende, särskilt när det gäller möjligheten för uppgiftsutföraren att utföra revisioner i uppgiftsinförarnas lokaler eller begära in bevis för att dessa har tillräckliga ekonomiska resurser för att fullgöra sina skyldigheter.

(6) När det gäller de registrerades hantering av tredjemansberättiganden, blir uppgiftsutföraren i större omfattning indragen i behandlingen av de registrerades klagomål genom att uppgiftsutföraren är skyldig att ta kontakt med uppgiftsinföraren och vid behov tillämpa avtalen normalt inom en frist på en månad. Om uppgiftsutföraren vägrar att tillämpa avtalet och uppgiftsinförarens överträdelse av standardavtalsklausulerna fortfarande består, kan den registrerade tillämpa standardavtalen mot uppgiftsinföraren och slutligen väcka åtal i en medlemsstat. Godkännande av domstol och samtycke till att följa ett beslut från behörig domstol eller från tillsynsmyndigheten hindrar inte de uppgiftsinförare som är etablerade i tredje land att utöva sina processrättsliga rättigheter, t.ex. rätten att överklaga.

(7) För att förebygga att denna ökade flexibilitet missbrukas, är det dock lämpligt att se till att tillsynsmyndigheterna lättare kan förbjuda eller häva dataöverföringar som grundas på den nya uppsättningen standardavtalsklausuler i de fall där uppgiftsutföraren vägrar att vidta lämpliga åtgärder för att följa sina avtalsmässiga skyldigheter gentemot uppgiftsinförarna eller att de senare vägrar att samarbeta efter bästa förmåga med behöriga tillsynsmyndigheter för dataskydd.

(8) Tillämpningen av standardavtalsklausuler kommer att ske utan att det påverkar tillämpningen av nationella bestämmelser som antagits till följd av direktiv 95/46/EG eller direktiv 2002/58/EG om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) [4], särskilt när det gäller utsändande av marknadskommunikationer till EU-medborgare.

(9) På den grunden kan de garantier som återfinns i de framlagda standardavtalsklausulerna anses vara adekvata enligt artikel 26.2 i direktiv 95/46/EG.

(10) Arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter som inrättats i enlighet med artikel 29 i direktiv 95/46/EG har avgett ett yttrande [5] om den skyddsnivå som fastställs enligt de framlagda standardavtalsklausuler som har beaktats.

(11) För att bedöma hur ändringarna i beslut 2001/497/EG kommer att fungera, är det lämpligt att kommissionen utvärderar dem tre år efter att de har anmälts till medlemsstaterna.

(12) Beslut 2001/497/EG bör därför ändras.

(13) Åtgärderna i detta beslut överensstämmer med yttrandet från den kommitté som inrättas enligt artikel 31 i direktiv 95/46/EG.

HÄRIGENOM FÖRESKRIVS FÖLJANDE:

Artikel 1

Beslut 2001/497/EG ändras enligt följande:

1. I artikel 1 skall följande stycke läggas till:

"De registeransvariga får välja endera av standardavtalen I eller II i bilagan. De får dock inte ändra klausulerna eller kombinera enstaka klausuler eller uppsättningar."

2. I artikel 4 skall punkterna 2 och 3 ersättas med följande:

"2. När det gäller första stycket där den registeransvarige åberopar adekvata garantier på grundval av de standardavtalsklausuler som återfinns i standardavtal II i bilagan, är de behöriga dataskyddsmyndigheterna behöriga att utöva sina befintliga befogenheter att förbjuda eller upphäva dataflödena i följande fall:

a) Uppgiftsinföraren vägrar att samarbeta efter bästa förmåga med dataskyddsmyndigheterna eller fullgöra de skyldigheter som tydligt framgår av avtalet.

b) Uppgiftsutföraren vägrar att vidta adekvata åtgärder för att tillämpa avtalet gentemot uppgiftsinföraren inom den normala fristen på en månad efter meddelande från behörig tillsynsmyndighet till uppgiftsutföraren.

Uppgiftsinföraren skall när det gäller första stycket ovan inte anses vägra samarbete efter bästa förmåga eller att fullgöra avtalen, när ett sådant samarbete eller fullgörande strider mot obligatoriska krav i den nationella lagstiftning som gäller uppgiftsinföraren och som inte går längre än vad som är nödvändigt i ett demokratiskt samhälle på grundval av en av de grunder som nämns i artikel 13.1 i direktiv 95/46/EG, särskilt påföljder som fastställs i internationell och/eller nationell lagstiftning, krav på skatterapportering eller upplysningsplikt när det gäller bekämpning av penningtvätt.

Samarbetet skall när det gäller punkt a i första stycket bl.a. innebära att uppgiftsinföraren ger tillträde till sin databehandlingsutrustning för revision eller följer råd från tillsynsmyndigheten inom gemenskapen.

3. Förbudet eller upphävandet enligt punkterna 1 och 2 skall upphöra så snart som skälen för förbudet eller upphävandet inte längre föreligger.

4. När medlemsstaterna vidtar åtgärder i enlighet med punkterna 1, 2 och 3 skall de utan dröjsmål underrätta kommissionen, som skall vidarebefordra underrättelsen till de övriga medlemsstaterna."

3. I artikel 5 skall den första meningen ersättas med följande:

"Kommissionen skall utvärdera hur detta beslut fungerar på grundval av tillgänglig information tre år efter anmälan och efter anmälan av varje ändring av det till medlemsstaterna."

4. Bilagan skall ändras på följande sätt:

1. Efter titeln skall "STANDARDAVTAL I" föras in.

2. Texten i bilagan till detta beslut skall läggas till.

Artikel 2

Detta beslut skall tillämpas från och med den 1 april 2005.

Artikel 3

Detta beslut riktar sig till medlemsstaterna.

Utfärdat i Bryssel 27 december 2004.

På kommissionens vägnar

Charlie McCreevy

Ledamot av kommissionen

--------------------------------------------------

[1] EGT L 281, 23.11.1995, s. 31, direktiv ändrat genom förordning (EG) nr 1883/2003 (EGT L 284, 31.10.2003, s. 1).

[2] EGT L 181, 4.7.2001, s. 19.

[3] Internationella handelskammaren (ICC), Japan Business Council i Europa (JBCE), European Information and Communications Technology Association (EICTA), EU Committee of the American Chamber of Commerce i Belgien (Amcham), Confederation of British Industry (CBI), International Communication Round Table (ICRT) och Federation of European Direct Marketing Associations (FEDMA).

[4] EGT L 201, 31.7.2002, s. 37.

[5] Yttrande nr 8/2003, tillgängligt på följande adress: http://europa.eu.int/comm/privacy

--------------------------------------------------

+++++ ANNEX 1 +++++