|
17.12.2016 |
FI |
Euroopan unionin virallinen lehti |
L 344/100 |
KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) 2016/2297,
annettu 16 päivänä joulukuuta 2016,
Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisista, henkilötietojen siirtoa kolmansiin maihin ja tällaisten tietojen siirtoa kyseisiin maihin sijoittautuneille henkilötietojen käsittelijöille koskevista mallisopimuslausekkeista annettujen päätösten 2001/497/EY ja 2010/87/EU muuttamisesta
(tiedoksiannettu numerolla C(2016) 8471)
(ETA:n kannalta merkityksellinen teksti)
EUROOPAN KOMISSIO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,
ottaa huomioon yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (1) ja erityisesti sen 26 artiklan 4 kohdan,
on kuullut Euroopan tietosuojavaltuutettua,
sekä katsoo seuraavaa:
|
(1) |
Euroopan unionin tuomioistuin totesi 6 päivänä lokakuuta 2015 antamassaan tuomiossa, joka koski asiaa C-362/14, Maximillian Schrems v. tietosuojavaltuutettu (2), että komissio on hyväksyessään päätöksen 2000/520 (3) 3 artiklan ylittänyt toimivallan, joka sille on siirretty direktiivin 95/46/EY 25 artiklan 6 kohdassa (luettuna yhdessä Euroopan unionin perusoikeuskirjan kanssa). Euroopan unionin tuomioistuin julisti mainitun päätöksen 3 artiklan pätemättömäksi. |
|
(2) |
Päätöksen 2000/520 3 artiklan 1 kohdan ensimmäisessä alakohdassa säädetyillä ehdoilla rajoitettiin kansallisten valvontaviranomaisten mahdollisuutta keskeyttää tietovirrat yhdysvaltalaiselle oman varmennuksen antaneelle yritykselle ja poiketa näin tietosuojan tason riittävyyttä koskevasta päätöksestä. |
|
(3) |
Asiassa Schrems antamassaan tuomiossa unionin tuomioistuin selvensi, että kansalliset valvontaviranomaiset ovat toimivaltaisia valvomaan henkilötietojen siirtoa kolmanteen maahan, josta komissio on antanut tietosuojan tason riittävyyttä koskevan päätöksen, ja että komissiolla ei ole toimivaltaa rajoittaa direktiivin 95/46/EY 28 artiklassa kansallisille valvontaviranomaisille annettuja valtuuksia. Kyseisen artiklan mukaisesti näillä viranomaisilla on erityisesti tutkintavaltuudet, kuten valtuus kerätä kaikki valvontatehtävänsä suorittamiseksi tarvittavat tiedot, tehokkaat toimintavaltuudet, kuten valtuus kieltää henkilötietojen käsittely väliaikaisesti tai lopullisesti, ja valtuus osallistua oikeudellisiin menettelyihin (4). |
|
(4) |
Samassa tuomiossa unionin tuomioistuin muistutti, että direktiivin 95/46/EY 25 artiklan 6 kohdan toisen alakohdan mukaisesti jäsenvaltioiden ja niiden elinten on toteutettava tarvittavat toimenpiteet noudattaakseen unionin toimielinten säädöksiä, sillä kyseisten säädösten oletetaan periaatteessa olevan lainmukaisia ja niillä on näin ollen oikeusvaikutuksia niin kauan kuin säädöksiä ei ole peruutettu, kumottu kumoamiskanteen johdosta tai todettu pätemättömiksi ennakkoratkaisupyynnön tai lainvastaisuusväitteen seurauksena. |
|
(5) |
Vastaavasti direktiivin 95/46/EY 26 artiklan 4 kohdan mukainen komission päätös sitoo kaikkia niiden jäsenvaltioiden elimiä, joille se on osoitettu, mukaan lukien riippumattomat valvontaviranomaiset, siltä osin kuin päätöksessä vahvistetaan, että siirroissa, joissa hyödynnetään päätöksessä määriteltyjä mallisopimuslausekkeita, tarjotaan riittävät takeet siten kuin kyseisen direktiivin 26 artiklan 2 kohdassa edellytetään. Tämä ei estä kansallista valvontaviranomaista käyttämästä valtuuksiaan tietovirtojen valvonnassa, ja kyseinen viranomainen voi esimerkiksi keskeyttää tai kieltää henkilötietojen siirron, jos se katsoo, että tietojen siirrossa on rikottu EU:n tai kansallisen tietosuojalainsäädännön säännöksiä. Tällaisesta rikkomuksesta voi olla kyse esimerkiksi silloin, kun tietojen tuoja ei noudata mallisopimuslausekkeita. |
|
(6) |
Komission päätöksiin 2001/497/EY (5) ja 2010/87/EU (6) sisältyy rajoitus, joka kohdistuu kansallisten valvontaviranomaisten valtuuksiin. Kyseinen rajoitus on verrattavissa päätöksen 2000/520/EY 3 artiklan 1 kohdan ensimmäiseen alakohtaan, jonka unionin tuomioistuin on katsonut pätemättömäksi. |
|
(7) |
Asiassa Schrems annetun tuomion valossa ja perussopimuksen 266 artiklan mukaisesti kyseisten päätösten säännökset, joilla rajoitetaan kansallisten valvontaviranomaisten valtuuksia, olisi sen vuoksi korvattava. |
|
(8) |
Jotta olisi helpompaa valvoa tehokkaasti sitä, että tällä hetkellä voimassa olevat, mallisopimuslausekkeita koskevat päätökset ovat toimivia, jäsenvaltioiden olisi ilmoitettava komissiolle kansallisten valvontaviranomaisten toteuttamista asiaankuuluvista toimista. |
|
(9) |
Yksilöiden suojelua henkilötietojen käsittelyssä koskeva työryhmä, joka on perustettu direktiivin 95/46/EY 29 artiklan nojalla, on antanut lausunnon, joka on otettu huomioon tätä päätöstä valmisteltaessa. |
|
(10) |
Tässä päätöksessä säädetyt toimenpiteet ovat direktiivin 95/46/EY 31 artiklan 1 kohdassa perustetun komitean lausunnon mukaiset. |
|
(11) |
Sen vuoksi päätöksiä 2001/497/EY ja 2010/87/EU olisi muutettava, |
ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:
1 artikla
Korvataan päätöksen 2001/497/EY 4 artikla seuraavasti:
”4 artikla
Kun jäsenvaltioiden toimivaltaiset viranomaiset käyttävät direktiivin 95/46/EY 28 artiklan 3 kohdan mukaisia toimivaltuuksiaan ja tästä seuraa se, että tiedonsiirrot kolmansiin maihin keskeytetään väliaikaisesti tai kielletään kokonaan yksilöiden suojelemiseksi heidän henkilötietojensa käsittelyssä, asianomaisen jäsenvaltion on viipymättä ilmoitettava asiasta komissiolle, joka välittää tiedon edelleen muille jäsenvaltioille.”
2 artikla
Korvataan päätöksen 2010/87/EU 4 artikla seuraavasti:
”4 artikla
Kun jäsenvaltioiden toimivaltaiset viranomaiset käyttävät direktiivin 95/46/EY 28 artiklan 3 kohdan mukaisia toimivaltuuksiaan ja tästä seuraa se, että tiedonsiirrot kolmansiin maihin keskeytetään väliaikaisesti tai kielletään kokonaan yksilöiden suojelemiseksi heidän henkilötietojensa käsittelyssä, asianomaisen jäsenvaltion on viipymättä ilmoitettava asiasta komissiolle, joka välittää tiedon edelleen muille jäsenvaltioille.”
3 artikla
Tämä päätös on osoitettu kaikille jäsenvaltioille.
Tehty Brysselissä 16 päivänä joulukuuta 2016.
Komission puolesta
Věra JOUROVÁ
Komission jäsen
(1) EYVL L 281, 23.11.1995, s. 31.
(2) ECLI:EU:C:2015:650.
(3) Komission päätös 2000/520/EY, tehty 26 päivänä heinäkuuta 2000, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisesti yksityisyyden suojaa koskevien safe harbor -periaatteiden antaman suojan riittävyydestä ja niihin liittyvistä Yhdysvaltojen kauppaministeriön julkaisemista tavallisimmista kysymyksistä (EYVL L 215, 25.8.2000, s. 7).
(4) Schrems-tuomio, 40 kohta ja sitä seuraavat kohdat sekä 101, 102 ja 103 kohta.
(5) Komission päätös 2001/497/EY, annettu 15 päivänä kesäkuuta 2001, direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen kolmansiin maihin siirtoa varten (EYVL L 181, 4.7.2001, s. 19).
(6) Komission päätös, annettu 5 päivänä helmikuuta 2010, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille (EUVL L 39, 12.2.2010, s. 5).