Kommissionens beslut

Commission Decision

av den 27 december 2004

of 27 December 2004

om ändring av beslut 2001/497/EG om standardavtalsklausuler för överföring av personuppgifter till tredje land

amending Decision 2001/497/EC as regards the introduction of an alternative set of standard contractual clauses for the transfer of personal data to third countries

(delgivet med nr K(2004) 5271)

(notified under document number C(2004) 5271)

(Text av betydelse för EES)

(Text with EEA relevance)

(2004/915/EG)

(2004/915/EC)

EUROPEISKA GEMENSKAPERNAS KOMMISSION HAR FATTAT DETTA BESLUT

THE COMMISSION OF THE EUROPEAN COMMUNITIES,

med beaktande av Fördraget om upprättandet av Europeiska gemenskapen,

Having regard to the Treaty establishing the European Community,

med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter [1], särskilt artikel 26.4 i detta, och

Having regard to Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data [1], and in particular Article 26(4) thereof,

av följande skäl:

Whereas:

(1) För att underlätta dataflöden från gemenskapen är det önskvärt att de registeransvariga kan överföra uppgifter globalt enligt en enda uppsättning dataskyddsbestämmelser. I brist på globala dataskyddsbestämmelser ger standardavtalsklausulerna ett viktigt verktyg som möjliggör överföring av personuppgifter från alla medlemsstater enligt en gemensam uppsättning bestämmelser. I kommissionens beslut 2001/497/EG av den 15 juni 2001 om standardavtalsklausuler för överföring av personuppgifter till tredje land enligt direktiv 95/46/EG [2] fastställs därför mallar till standardavtalsklausuler i vilka adekvata skyddsåtgärder för överföring av personuppgifter till tredje land säkerställs.

(1) In order to facilitate data flows from the Community, it is desirable for data controllers to be able to perform data transfers globally under a single set of data protection rules. In the absence of global data protection standards, standard contractual clauses provide an important tool allowing the transfer of personal data from all Member States under a common set of rules. Commission Decision 2001/497/EC of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries under Directive 95/46/EC [2] therefore lays down a model set of standard contractual clauses which ensures adequate safeguards for the transfer of data to third countries.

(2) Många erfarenheter har gjorts sedan det beslutet antogs. Dessutom har en grupp handelssammanslutningar [3] lämnat in en uppsättning alternativa standardavtalsklausuler som är utformade för att ge en dataskyddsnivå som motsvarar den som föreskrivs i de standardavtalsklausuler som fastställs i beslut 2001/497/EG samtidigt som man använder olika verktyg.

(2) Much experience has been gained since the adoption of that Decision. In addition, a coalition of business associations [3] has submitted a set of alternative standard contractual clauses designed to provide a level of data protection equivalent to that provided for by the set of standard contractual clauses laid down in Decision 2001/497/EC while making use of different mechanisms.

(3) Eftersom användningen av standardavtalsklausuler för internationella dataöverföringar är frivillig, då standardavtalsklausuler endast utgör en av flera möjligheter enligt direktiv 95/46/EG för att föra över personuppgifter till tredje land, bör datautförare inom gemenskapen och datainförare i tredje land fritt kunna välja en av dessa uppsättningar standardavtalsklausuler eller välja en annan rättslig grund för dataöverföring. Eftersom varje uppsättning utgör en mall, bör uppgiftsutförarna dock inte kunna ändra dessa uppsättningar eller delvis blanda dem på något sätt.

(3) Since the use of standard contractual clauses for international data transfers is voluntary as standard contractual clauses are only one of several possibilities under Directive 95/46/EC, for lawfully transferring personal data to a third country, data exporters in the Community and data importers in third countries should be free to choose any of the sets of standard contractual clauses, or to choose some other legal basis for data transfer. As each set as a whole forms a model, data exporters should not, however, be allowed to amend these sets or totally or partially merge them in any manner.

(4) De standardavtalsklausuler som handelssammanslutningarna har lagt fram har till syfte att öka tillämpningen av avtalsklausuler bland operatörerna genom mer flexibla redovisningskrav, mer detaljerade bestämmelser om rätten till tillgång.

(4) The standard contract clauses submitted by the business associations aim at increasing the use of contractual clauses among operators by mechanisms such as more flexible auditing requirements and more detailed rules on the right of access.

(5) Som ett alternativ till systemet med solidariskt ansvar som föreskrivs i beslut 2001/497/EG, innehåller den uppsättning som nu har lagts fram dessutom ansvarsbestämmelser som grundas på skyldighet att handla i aktsamhet där uppgiftsutföraren och uppgiftsinföraren skall ansvara inför de registrerade för sina respektive överträdelser när det gäller deras skyldigheter enligt lag. Uppgiftsutföraren ansvarar även för det fall att han eller hon på rimligt sätt inte har ansträngt sig för att se till att uppgiftsinföraren kan fullgöra sina rättsliga skyldigheter enligt klausulerna (culpa in eligendo) och den registrerade kan väcka talan mot uppgiftsutföraren i detta avseende. Tillämpningen av klausul I punkt b i den nya uppsättningen av standardavtalsklausuler är av särskild betydelse i detta avseende, särskilt när det gäller möjligheten för uppgiftsutföraren att utföra revisioner i uppgiftsinförarnas lokaler eller begära in bevis för att dessa har tillräckliga ekonomiska resurser för att fullgöra sina skyldigheter.

(5) Moreover, as an alternative to the system of joint and several liability provided for in Decision 2001/497/EC, the set now submitted contains a liability regime based on due diligence obligations where the data exporter and the data importer would be liable vis-à-vis the data subjects for their respective breach of their contractual obligations; the data exporter is also liable for not using reasonable efforts to determine that the data importer is able to satisfy its legal obligations under the clauses (culpa in eligendo) and the data subject can take action against the data exporter in this respect. The enforcement of clause I(b) of the new set of standard contractual clauses is of particular importance in this regard, in particular in connection with the possibility for the data exporter to carry out audits on the data importers’ premises or to request evidence of sufficient financial resources to fulfil its responsibilities.

(6) När det gäller de registrerades hantering av tredjemansberättiganden, blir uppgiftsutföraren i större omfattning indragen i behandlingen av de registrerades klagomål genom att uppgiftsutföraren är skyldig att ta kontakt med uppgiftsinföraren och vid behov tillämpa avtalen normalt inom en frist på en månad. Om uppgiftsutföraren vägrar att tillämpa avtalet och uppgiftsinförarens överträdelse av standardavtalsklausulerna fortfarande består, kan den registrerade tillämpa standardavtalen mot uppgiftsinföraren och slutligen väcka åtal i en medlemsstat. Godkännande av domstol och samtycke till att följa ett beslut från behörig domstol eller från tillsynsmyndigheten hindrar inte de uppgiftsinförare som är etablerade i tredje land att utöva sina processrättsliga rättigheter, t.ex. rätten att överklaga.

(6) As regards the exercise of third party beneficiary rights by the data subjects, greater involvement of the data exporter in the resolution of data subjects' complaints is provided for, with the data exporter being obliged to make contact with the data importer and, if necessary, enforce the contract within the normal period of one month. If the data exporter refused to enforce the contract and the breach by the data importer still continues, the data subject may then enforce the clauses against the data importer and eventually sue him in a Member State. This acceptance of jurisdiction and the agreement to comply with a decision of a competent court or data protection authority does not prejudice any procedural rights of data importers established in third countries, such as rights of appeal.

(7) För att förebygga att denna ökade flexibilitet missbrukas, är det dock lämpligt att se till att tillsynsmyndigheterna lättare kan förbjuda eller häva dataöverföringar som grundas på den nya uppsättningen standardavtalsklausuler i de fall där uppgiftsutföraren vägrar att vidta lämpliga åtgärder för att följa sina avtalsmässiga skyldigheter gentemot uppgiftsinförarna eller att de senare vägrar att samarbeta efter bästa förmåga med behöriga tillsynsmyndigheter för dataskydd.

(7) In order, however, to prevent abuses with this additional flexibility, it is appropriate to provide that data protection authorities can more easily prohibit or suspend data transfers based on the new set of standard contractual clauses in those cases where the data exporter refuses to take appropriate steps to enforce contractual obligations against the data importer or the latter refuses to cooperate in good faith with competent supervisory data protection authorities.

(8) Tillämpningen av standardavtalsklausuler kommer att ske utan att det påverkar tillämpningen av nationella bestämmelser som antagits till följd av direktiv 95/46/EG eller direktiv 2002/58/EG om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) [4], särskilt när det gäller utsändande av marknadskommunikationer till EU-medborgare.

(8) The use of standard contractual clauses will be made without prejudice to the application of national provisions adopted pursuant to Directive 95/46/EC or to Directive 2002//58/EC of the European Parliament and of the Council concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) [4], in particular as far as the sending of commercial communications for the purposes of direct marketing is concerned.

(9) På den grunden kan de garantier som återfinns i de framlagda standardavtalsklausulerna anses vara adekvata enligt artikel 26.2 i direktiv 95/46/EG.

(9) On that basis, the safeguards contained in the submitted standard contractual clauses can be considered as adequate within the meaning of Article 26(2) of Directive 95/46/EC.

(10) Arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter som inrättats i enlighet med artikel 29 i direktiv 95/46/EG har avgett ett yttrande [5] om den skyddsnivå som fastställs enligt de framlagda standardavtalsklausuler som har beaktats.

(10) The Working Party on the Protection of Individuals with regard to the Processing of Personal Data established under Article 29 of Directive 95/46/EC has delivered an opinion [5] on the level of protection provided under the submitted standard contractual clauses which has been taken into account.

(11) För att bedöma hur ändringarna i beslut 2001/497/EG kommer att fungera, är det lämpligt att kommissionen utvärderar dem tre år efter att de har anmälts till medlemsstaterna.

(11) In order to assess the operation of the amendments to Decision 2001/497/EC, it is appropriate that the Commission evaluates them three years after their notification to the Member States

(12) Beslut 2001/497/EG bör därför ändras.

(12) Decision 2001/497/EC should be amended accordingly.

(13) Åtgärderna i detta beslut överensstämmer med yttrandet från den kommitté som inrättas enligt artikel 31 i direktiv 95/46/EG.

(13) The measures provided for in this Decision are in accordance with the opinion of the Committee established under Article 31 of Directive 95/46/EC,

HÄRIGENOM FÖRESKRIVS FÖLJANDE:

HAS ADOPTED THIS DECISION:

Artikel 1

Article 1

Beslut 2001/497/EG ändras enligt följande:

Decision 2001/497/EC is amended as follows:

1. I artikel 1 skall följande stycke läggas till:

1. In Article 1 the following paragraph is added:

"De registeransvariga får välja endera av standardavtalen I eller II i bilagan. De får dock inte ändra klausulerna eller kombinera enstaka klausuler eller uppsättningar."

"Data controllers may choose either of the sets I or II in the Annex. However, they may not amend the clauses nor combine individual clauses or the sets."

2. I artikel 4 skall punkterna 2 och 3 ersättas med följande:

2. In Article 4 paragraphs 2 and 3 are replaced by the following:

"2. När det gäller första stycket där den registeransvarige åberopar adekvata garantier på grundval av de standardavtalsklausuler som återfinns i standardavtal II i bilagan, är de behöriga dataskyddsmyndigheterna behöriga att utöva sina befintliga befogenheter att förbjuda eller upphäva dataflödena i följande fall:

"2. For the purposes of paragraph 1, where the data controller adduces adequate safeguards on the basis of the standard contractual clauses contained in set II in the Annex, the competent data protection authorities are entitled to exercise their existing powers to prohibit or suspend data flows in either of the following cases:

a) Uppgiftsinföraren vägrar att samarbeta efter bästa förmåga med dataskyddsmyndigheterna eller fullgöra de skyldigheter som tydligt framgår av avtalet.

(a) refusal of the data importer to cooperate in good faith with the data protection authorities, or to comply with their clear obligations under the contract;

b) Uppgiftsutföraren vägrar att vidta adekvata åtgärder för att tillämpa avtalet gentemot uppgiftsinföraren inom den normala fristen på en månad efter meddelande från behörig tillsynsmyndighet till uppgiftsutföraren.

(b) refusal of the data exporter to take appropriate steps to enforce the contract against the data importer within the normal period of one month after notice by the competent data protection authority to the data exporter.

Uppgiftsinföraren skall när det gäller första stycket ovan inte anses vägra samarbete efter bästa förmåga eller att fullgöra avtalen, när ett sådant samarbete eller fullgörande strider mot obligatoriska krav i den nationella lagstiftning som gäller uppgiftsinföraren och som inte går längre än vad som är nödvändigt i ett demokratiskt samhälle på grundval av en av de grunder som nämns i artikel 13.1 i direktiv 95/46/EG, särskilt påföljder som fastställs i internationell och/eller nationell lagstiftning, krav på skatterapportering eller upplysningsplikt när det gäller bekämpning av penningtvätt.

For the purposes of the first subparagraph, refusal in bad faith or refusal to enforce the contract by the data importer shall not include cases in which cooperation or enforcement would conflict with mandatory requirements of the national legislation applicable to the data importer which do not go beyond what is necessary in a democratic society on the basis of one of the interests listed in Article 13(1) of Directive 95/46/EC, in particular sanctions as laid down in international and/or national instruments, tax-reporting requirements or anti-money-laundering reporting requirements.

Samarbetet skall när det gäller punkt a i första stycket bl.a. innebära att uppgiftsinföraren ger tillträde till sin databehandlingsutrustning för revision eller följer råd från tillsynsmyndigheten inom gemenskapen.

For the purposes of point (a) of the first subparagraph cooperation may include, in particular, the submission of the data importer’s data processing facilities for audit or the obligation to abide by the advice of the data protection supervisory authority in the Community.

3. Förbudet eller upphävandet enligt punkterna 1 och 2 skall upphöra så snart som skälen för förbudet eller upphävandet inte längre föreligger.

3. The prohibition or suspension pursuant to paragraphs 1 and 2 shall be lifted as soon as the reasons for the prohibition or suspension no longer exist.

4. När medlemsstaterna vidtar åtgärder i enlighet med punkterna 1, 2 och 3 skall de utan dröjsmål underrätta kommissionen, som skall vidarebefordra underrättelsen till de övriga medlemsstaterna."

4. When Member States adopt measures pursuant to paragraphs 1, 2 and 3, they shall without delay inform the Commission which will forward the information to the other Member States.".

3. I artikel 5 skall den första meningen ersättas med följande:

3. In Article 5 the first sentence is replaced by the following:

"Kommissionen skall utvärdera hur detta beslut fungerar på grundval av tillgänglig information tre år efter anmälan och efter anmälan av varje ändring av det till medlemsstaterna."

"The Commission shall evaluate the operation of this Decision on the basis of available information three years after its notification and the notification of any amendment thereto to the Member States.".

4. Bilagan skall ändras på följande sätt:

4. The Annex is amended as follows:

1. Efter titeln skall "STANDARDAVTAL I" föras in.

1. After the title the term "SET I" is inserted.

2. Texten i bilagan till detta beslut skall läggas till.

2. The text set out in the Annex to this Decision is added.

Artikel 2

Article 2

Detta beslut skall tillämpas från och med den 1 april 2005.

This Decision shall apply from 1 April 2005.

Artikel 3

Article 3

Detta beslut riktar sig till medlemsstaterna.

This Decision is addressed to the Member States.

Utfärdat i Bryssel 27 december 2004.

Done at Brussels, 27 December 2004.

På kommissionens vägnar

For the Commission

Charlie McCreevy

Charlie McCreevy

Ledamot av kommissionen

Member of the Commission

--------------------------------------------------

--------------------------------------------------

[1] EGT L 281, 23.11.1995, s. 31, direktiv ändrat genom förordning (EG) nr 1883/2003 (EGT L 284, 31.10.2003, s. 1).

[1] OJ L 281, 23.11.95, p. 31. Directive as amended by Regulation (EC) No 1883/2003 (OJ L 284, 31.10.2003, p. 1).

[2] EGT L 181, 4.7.2001, s. 19.

[2] OJ L 181, 4.7.2001, p. 19.

[3] Internationella handelskammaren (ICC), Japan Business Council i Europa (JBCE), European Information and Communications Technology Association (EICTA), EU Committee of the American Chamber of Commerce i Belgien (Amcham), Confederation of British Industry (CBI), International Communication Round Table (ICRT) och Federation of European Direct Marketing Associations (FEDMA).

[3] The International Chamber of Commerce (ICC), Japan Business Council in Europe (JBCE), European Information and Communications Technology Association (EICTA), EU Committee of the American Chamber of Commerce in Belgium (Amcham), Confederation of British Industry (CBI), International Communication Round Table (ICRT) and the Federation of European Direct Marketing Associations (FEDMA).

[4] EGT L 201, 31.7.2002, s. 37.

[4] OJ L 201, 31.7.2002, p. 37.

[5] Yttrande nr 8/2003, tillgängligt på följande adress: http://europa.eu.int/comm/privacy

[5] Opinion No 8/2003, available at: http://europa.eu.int/comm/privacy

--------------------------------------------------

--------------------------------------------------

+++++ ANNEX 1 +++++

+++++ ANNEX 1 +++++