32002D0016

Kommissionens beslutning

af 27. december 2001

om standardkontraktbestemmelser for overførsel af personoplysninger til registerførere etableret i tredjelande i henhold til direktiv 95/46/EF

(meddelt under nummer K(2001) 4540)

(EØS-relevant tekst)

(2002/16/EF)

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER HAR -

under henvisning til traktaten om oprettelse af Det Europæiske Fællesskab,

under henvisning til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger(1), særlig artikel 26, stk. 4, og

ud fra følgende betragtninger:

(1) Medlemsstaterne skal i henhold til direktiv 95/46/EF sørge for, at overførsel af personoplysninger til et tredjeland kun finder sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt databeskyttelsesniveau, og hvis den pågældende medlemsstats lovgivning, der er i overensstemmelse med direktivets andre bestemmelser, overholdes forud for overførslen.

(2) Medlemsstaterne kan dog i henhold til artikel 26, stk. 2, i direktiv 95/46/EF og med forbehold af visse garantier give tilladelse til en overførsel eller en type overførsel af personoplysninger til tredjelande, der ikke sikrer et tilstrækkeligt beskyttelsesniveau. Sådanne garantier kan især fremgå af passende kontraktbestemmelser.

(3) Vurderingen af, om databeskyttelsesniveauet er tilstrækkeligt, bør i henhold til direktiv 95/46/EF ske på grundlag af samtlige de forhold, der har indflydelse på en overførsel eller en type overførsel af oplysninger. Den ved direktivet nedsatte Gruppe vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger(2) har udgivet retningslinjer for, hvorledes denne vurdering skal foretages(3).

(4) Standardkontraktbestemmelserne vedrører kun databeskyttelse. Dataeksportøren og dataimportøren kan frit tilføje enhver anden kommerciel bestemmelse, som de anser for at være af betydning for kontrakten, så længe den pågældende bestemmelse ikke er i strid med standardkontraktbestemmelserne.

(5) Denne beslutning berører ikke nationale tilladelser, som medlemsstaterne måtte give i henhold til nationale bestemmelser til gennemførelse af artikel 26, stk. 2, i direktiv 95/46/EF. Denne beslutning har kun den virkning, at medlemsstaterne ikke må nægte at anerkende, at de heri fastsatte kontraktbestemmelser giver tilstrækkelige garantier, og den har således ingen indvirkning på andre kontraktbestemmelser.

(6) Anvendelsesområdet for denne beslutning er begrænset til at fastslå, at standardbestemmelserne som fastsættes kan anvendes af en registeransvarlig, der er etableret i Fællesskabet, med henblik på at frembyde tilstrækkelige garantier i overensstemmelse med artikel 26, stk. 2, i direktiv 95/46/EF for overførsel af personoplysninger til en registerfører etableret i et tredjeland.

(7) Denne beslutning bør opfylde den i artikel 17, stk. 3, i direktiv 95/46/EF omhandlede forpligtelse og berører ikke indholdet i kontrakterne eller de retligt bindende dokumenter udarbejdet i henhold til denne bestemmelse. Nogle af standardkontrakt-bestemmelserne, særlig med hensyn til dataeksportørens pligter, bør imidlertid indsættes for at præcisere hvilke bestemmelser, der kan være omfattet af en kontrakt mellem en registeransvarlig og en registerfører.

(8) Medlemsstaternes tilsynsmyndigheder spiller en central rolle i denne kontraktbaserede mekanisme ved at sikre, at personoplysninger beskyttes på tilstrækkelig vis efter overførslen. I særlige tilfælde, hvor dataeksportører nægter eller ikke er i stand til at instruere dataimportøren behørigt, med overhængende risiko for alvorlig skade for de registrerede til følge, bør standardkontraktbestemmelserne give tilsynsmyndighederne adgang til at foretage inspektion hos dataimportørerne og i givet fald at træffe beslutninger, som er bindende for dataimportørerne. Tilsynsmyndighederne bør have lov til at forbyde eller suspendere en overførsel eller en type overførsel af personoplysninger, der foregår på grundlag af standardkontraktbestemmelserne, når der foreligger særlige tilfælde, hvor det er konstateret, at en overførsel på grundlag af kontraktbestemmelser kan forventes at have en betydelig negativ effekt på de garantier og forpligtelser, hvormed den registrerede sikres en passende beskyttelse.

(9) Kommissionen kan også på et senere tidspunkt overveje, om standard-kontrakt-bestemmelser for overførsel af personoplysninger til registerførere etableret i tredjelande, der ikke frembyder et tilstrækkeligt databeskyttelsesniveau, som fremlægges af erhvervsdrivende organisationer eller andre interesserede parter, frembyder tilstrækkelige garantier i henhold til artikel 26, stk. 2, i direktiv 95/46/EF.

(10) En videregivelse af personoplysninger til en registerfører etableret i et tredjeland er en international overførsel, som er beskyttet i henhold til kapitel IV i direktiv 95/46/EF. Denne beslutning finder derfor ikke anvendelse på overførslen af personoplysninger fra registeransvarlige etableret i Fællesskabet til registeransvarlige etableret uden for Fællesskabets område, som falder ind under anvendelsesområdet for Kommissionens beslutning 2001/497/EF af 15. juni 2001 om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande i henhold til direktiv 95/46/EF(4).

(11) Standardkontraktbestemmelserne bør fastsætte de tekniske og organisatoriske sikkerhedsforanstaltninger, som sikrer et passende sikkerhedsniveau i forhold til de risici, behandlingen og arten af de oplysninger, der skal beskyttes, indebærer, og som en registerfører etableret i et tredjeland, som ikke frembyder et tilstrækkeligt beskyttelsesniveau, skal iværksætte. Parterne bør i kontrakten fastsætte de tekniske og organisatoriske foranstaltninger, som under hensyn til den gældende databeskyttelses-lovgivning, det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse, er nødvendige for at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, hændeligt tab, ændring, uautoriseret videregivelse eller adgang eller enhver anden form for ulovlig behandling.

(12) For at fremme datastrømmen fra Fællesskabet vil det være hensigtsmæssigt, hvis registerførere, som leverer databehandlingstjenester til flere registeransvarlige i Fællesskabet, får tilladelse til at anvende de samme tekniske og organisatoriske sikkerhedsforanstaltninger, uanset hvilken medlemsstat dataoverførslen stammer fra, især i de tilfælde, hvor dataimportøren modtager data til yderligere behandling fra dataeksportørens forskellige foretagender i Fællesskabet, i hvilket tilfælde lovgivningen i den medlemsstat, som er hjemstedsstaten, finder anvendelse.

(13) Det er hensigtsmæssigt at beskrive de minimumsoplysninger, som parterne skal specificere i kontrakten om overførsel. Medlemsstaterne bør bevare retten til nærmere at specificere, hvilke oplysninger parterne skal give. Denne beslutning bør på grundlag af erfaringerne tages op til fornyet overvejelse.

(14) Dataimportøren bør udelukkende behandle de overførte personoplysninger på vegne af dataeksportøren og i overensstemmelse med dennes instrukser og de forpligtelser, der fremgår af standardkontraktbestemmelserne; dataimportøren bør især ikke videregive personoplysninger til tredjemand, medmindre det sker i henhold til visse betingelser. Dataeksportøren bør under hele databehandlingsforløbet instruere dataimportøren om at behandle oplysningerne i overensstemmelse med hans instrukser, den gældende databeskyttelseslovgivning og de forpligtelser, der fremgår af standardkontrakt-bestemmelserne. Overførslen af personoplysninger til registerførere etableret i et tredjeland berører ikke, at databehandling under alle omstændigheder bør være underlagt den gældende databeskyttelseslovgivning.

(15) Standardkontraktbestemmelserne bør ikke alene kunne håndhæves af de foretagender, der er parter i kontrakten, men også af de registrerede, og dette især, når de registrerede lider skade som følge af kontraktbrud.

(16) Den registrerede bør være berettiget til at anlægge sag og i givet fald modtage erstatning fra dataeksportøren, der er registeransvarlig for de overførte personoplysninger. Den registrerede bør undtagelsesvist også være berettiget til at anlægge sag, og i givet fald modtage erstatning fra dataimportøren, i sager rejst i forbindelse med, at dataimportøren overtræder sine forpligtelser i henhold til standardbestemmelse 3, andet afsnit, når dataeksportøren faktisk eller retligt set er ophørt med at eksistere eller er insolvent.

(17) Såfremt der opstår en tvist mellem den registrerede, som påberåber sig tredjemandsløftet, og dataimportøren, der ikke afgøres i mindelighed, bør dataimportøren indvillige i at give den registrerede valget mellem mægling, voldgift eller retssagsbehandling. Om den registrerede har en egentlig valgmulighed, bør afhænge af, i hvilket omfang der er pålidelige og anerkendte mæglingsinstanser og voldgiftsretter til rådighed. Mægling foretaget af databeskyttelsesmyndighederne i den medlemsstat, hvori dataeksportøren er etableret, bør være en mulighed, når de tilbyder dette.

(18) Kontrakten bør være underlagt lovgivningen i den medlemsstat, hvor dataeksportøren er etableret, hvilket giver tredjemand, der er omfattet af et tredjemandsløfte, mulighed for at håndhæve en kontrakt. De registrerede bør, såfremt de ønsker det og det er tilladt i henhold til den nationale lovgivning, kunne lade sig repræsentere af foreninger eller andre organer.

(19) Den udtalelse, som Gruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger, der er nedsat ved artikel 29 i direktiv 95/46/EF, har afgivet om beskyttelsesniveauet, der opnås ved hjælp af de i bilaget til denne beslutning anførte standardkontraktbestemmelser, er blevet taget i betragtning ved udarbejdelsen af denne beslutning(5).

(20) De i denne beslutning fastsatte foranstaltninger er i overensstemmelse med udtalelse fra det udvalg, der er nedsat ved artikel 31 i direktiv 95/46/EF -

VEDTAGET FØLGENDE BESLUTNING:

Artikel 1

De i bilaget fastsatte standardkontraktbestemmelser anses for at tilvejebringe passende garantier med hensyn til beskyttelse af privatlivets fred og de grundlæggende rettigheder og frihedsrettigheder for fysiske personer samt for udøvelsen af de dertil knyttede rettigheder i henhold til artikel 26, stk. 2, i direktiv 95/46/EF.

Artikel 2

Denne beslutning vedrører kun tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af de i bilaget fastsatte standardkontraktbestemmelser for overførsel af personoplysninger. Den har ingen indvirkning på anvendelsen af andre nationale bestemmelser til gennemførelse af direktiv 95/46/EF, som vedrører behandling af personoplysninger i medlemsstaterne.

Denne beslutning finder anvendelse ved overførsel af personoplysninger fra registeransvarlige, der er etableret i Fællesskabet, til modtagere, som er etableret uden for Fællesskabets område, og som blot foretager behandling af disse oplysninger.

Artikel 3

I denne beslutning:

a) finder definitionerne i direktiv 95/46/EF anvendelse

b) forstås ved "særlige kategorier af oplysninger" de oplysninger, der er omhandlet i direktivets artikel 8

c) forstås ved "tilsynsmyndighed" den myndighed, der er omhandlet i direktivets artikel 28

d) forstås ved "dataeksportør" den registeransvarlige, der overfører person-oplysningerne

e) forstås ved "dataimportør" den registerfører etableret i et tredjeland, som indvilliger i at modtage personoplysninger fra dataeksportøren med henblik på efter overførslen at foretage behandling på dataeksportørens vegne i overensstemmelse med dennes instrukser og denne beslutning, og som ikke er underlagt et tredjelands system, der sikrer et tilstrækkeligt beskyttelsesniveau

f) forstås ved "den gældende databeskyttelseslovgivning" lovgivningen til beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til beskyttelse af privatlivets fred med hensyn til behandling af personoplysninger, der gælder for en registeransvarlig i den medlemsstat, hvor dataeksportøren er etableret

g) forstås ved "tekniske og organisatoriske sikkerhedsforanstaltninger" de foran-staltninger, der har til formål at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, hændeligt tab, ændring, uautoriseret videregivelse eller adgang, især hvor behandlingen omfatter overførsel af oplysninger i et net, samt mod enhver anden form for ulovlig behandling.

Artikel 4

1. De kompetente myndigheder i medlemsstaterne kan, uden at dette berører deres beføjelse til at træffe foranstaltninger for at sikre overholdelse af de nationale bestemmelser, der vedtages i overensstemmelse med kapitel II, III, V og VI i direktiv 95/46/EF, gøre brug af deres beføjelser med henblik på at forbyde eller suspendere datastrømmen til tredjelande for at beskytte fysiske personer med hensyn til behandling af deres personoplysninger:

a) når det er fastslået, at den lovgivning, som dataimportøren er underlagt, pålægger dataimportøren krav om at fravige den gældende databeskyttelses-lovgivning i en grad, som er mere vidtgående end de restriktioner, der er nødvendige i et demokratisk samfund som fastsat i artikel 13 i direktiv 95/46/EF, når disse krav kan formodes at have en betydelig negativ virkning på den sikkerhed, der opnås ved hjælp af den gældende databeskyttelseslovgivning og standardkontraktbestemmelserne

b) når en kompetent myndighed har fastslået, at dataimportøren ikke har overholdt kontraktbestemmelserne i bilaget, eller

c) når der er stor sandsynlighed for, at standardkontraktbestemmelserne i bilaget ikke overholdes eller ikke vil blive overholdt, og at en fortsat overførsel vil kunne skabe en overhængende risiko for alvorlig skade for de registrerede.

2. Forbud eller suspendering efter stk. 1 ophæves straks, når grundene til forbuddet eller suspenderingen ikke længere eksisterer.

3. Når medlemsstaterne vedtager foranstaltninger i overensstemmelse med stk. 1 og 2, underretter de straks Kommissionen, som igen underretter de øvrige medlemsstater.

Artikel 5

Kommissionen evaluerer gennemførelsen af denne beslutning på grundlag af alle tilgængelige oplysninger tre år efter, at medlemsstaterne har fået meddelelse om beslutningen. Den fremlægger en rapport om resultaterne til det ved artikel 31 i direktiv 95/46/EF nedsatte udvalg. Rapporten skal indeholde ethvert relevant forhold, der kan påvirke vurderingen af tilstrækkeligheden af de i bilaget fastsatte standardkontraktbestemmelser, og ethvert forhold, hvoraf det fremgår, at beslutningen gennemføres på en diskriminerende måde.

Artikel 6

Denne beslutning finder anvendelse fra den 3. april 2002.

Artikel 7

Denne beslutning er rettet til medlemsstaterne.

Udfærdiget i Bruxelles, den 27. december 2001.

På Kommissionens vegne

Frederik Bolkestein

Medlem af Kommissionen

(1) EFT L 281 af 23.11.1995, s. 31.

(2) Gruppens internetadresse er:

http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm.

(3) WP 4 (5020/97) "Udlevering af personoplysninger til tredjelande - hvornår er beskyttelsesniveauet tilstrækkeligt?", diskussionsoplæg vedtaget af gruppen den 26. juni 1997.

WP 7 (5057/97) Arbejdsdokument: "Vurdering af selvregulering i erhvervslivet: hvornår yder den et meningsfuldt bidrag til databeskyttelsesniveauet i et tredjeland?", vedtaget af gruppen den 14. januar 1998.

WP 9 (5005/98) Arbejdsdokument: "Foreløbige synspunkter om brug af kontraktbestemmelser ved videregivelse af personoplysninger til tredjelande", vedtaget af gruppen den 22. april 1998.

WP 12 "Videregivelse af personoplysninger til tredjelande: anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv", vedtaget af gruppen den 24. juli 1998, tilgængelig på Kommissionens websted:

http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp12en.htm.

(4) EFT L 181 af 4.7.2001, s. 19.

(5) Udtalelse nr. 7/2001, vedtaget af gruppen den 13. september 2001 (Generaldirektoratet for det Indre Marked...), tilgængelig på Europa-Kommissionens websted "Europa".

BILAG

>PIC FILE= "L_2002006DA.005702.TIF">

>PIC FILE= "L_2002006DA.005801.TIF">

>PIC FILE= "L_2002006DA.005901.TIF">

>PIC FILE= "L_2002006DA.006001.TIF">

Tillæg 1

>PIC FILE= "L_2002006DA.006102.TIF">

Tillæg 2

>PIC FILE= "L_2002006DA.006202.TIF">