17.12.2016   

SV

Europeiska unionens officiella tidning

L 344/100

(1)

I sin dom av den 6 oktober 2015 i mål C-362/14, Maximillian Schrems mot Data Protection Commissioner (2), konstaterade Europeiska unionens domstol att kommissionen genom att anta artikel 3 i beslut 2000/520/EG (3) överskridit den befogenhet som kommissionen tilldelas i artikel 25.6 i direktiv 95/46/EG jämförd med Europeiska unionens stadga om de grundläggande rättigheterna, och att artikel 3 därmed är ogiltig.

(2)

I artikel 3.1 första stycket i beslut 2000/520/EG föreskrevs restriktiva villkor enligt vilka nationella tillsynsmyndigheter kunde besluta att tillfälligt förbjuda överföringen av uppgifter till en självcertifierad organisation i Förenta staterna, utan hinder av kommissionens beslut om adekvat skyddsnivå.

(3)

I sin dom i Schrems-målet klargjorde domstolen att nationella tillsynsmyndigheter har befogenhet att kontrollera överföringar av personuppgifter till ett tredjeland som omfattas av ett kommissionsbeslut om adekvat skyddsnivå och att kommissionen inte har rätt att inskränka tillsynsmyndigheternas befogenheter enligt artikel 28 i direktiv 95/46/EG. I enlighet med den artikeln har dessa myndigheter bland annat undersökningsbefogenheter, såsom befogenheten att inhämta alla uppgifter som är nödvändiga för att sköta tillsynen, effektiva befogenheter att ingripa, såsom befogenheten att besluta om tillfälligt eller slutligt förbud mot behandling av uppgifter, och även befogenhet att inleda rättsliga förfaranden (4).

(4)

I samma dom erinrade domstolen om att medlemsstaterna och deras organ, i enlighet med artikel 25.6 andra stycket i direktiv 95/46/EG, måste vidta de åtgärder som är nödvändiga för att följa rättsakter från unionens institutioner, eftersom dessa i princip antas vara lagenliga och ha rättsverkan så länge de inte har återkallats, eller förklarats vara ogiltiga efter en talan om ogiltigförklaring eller till följd av en begäran om förhandsavgörande eller invändning om rättsstridighet.

(5)

På motsvarande sätt är ett kommissionsbeslut som antagits i enlighet med artikel 26.4 i direktiv 95/46/EG bindande för alla organ i de medlemsstater till vilka det riktar sig, inbegripet deras oberoende tillsynsmyndigheter, i den mån beslutet innebär ett erkännande av att överföringar som görs på grundval av däri angivna standardavtalsklausuler ger tillräckliga garantier enligt artikel 26.2 i det direktivet. Detta hindrar inte en nationell tillsynsmyndighet från att utöva sina befogenheter att kontrollera dataflödena, inbegripet befogenheten att tillfälligt eller slutligt förbjuda överföring av personuppgifter, om den fastställer att överföringen sker i strid med EU:s eller nationell dataskyddslagstiftning, exempelvis om uppgiftsinföraren inte iakttar standardavtalsklausulerna.

(6)

Kommissionens beslut 2001/497/EG (5) och 2010/87/EU (6) innehåller en inskränkning av de nationella tillsynsmyndigheternas befogenheter som är jämförbar med den som föreskrevs i artikel 3.1 första stycket i beslut 2000/520/EG, som ogiltigförklarades av domstolen.

(7)

Mot bakgrund av domen i Schrems-målet och i enlighet med artikel 266 i fördraget bör de bestämmelser i dessa beslut som inskränker de nationella tillsynsmyndigheternas befogenheter därför ersättas.

(8)

För att underlätta en effektiv övervakning av hur de gällande besluten om standardavtalsklausuler fungerar, bör medlemsstaterna underrätta kommissionen om relevanta åtgärder som vidtas av nationella tillsynsmyndigheter.

(9)

Arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter, som inrättats genom artikel 29 i direktiv 95/46/EG, har avgett ett yttrande som har beaktats vid utarbetandet av detta beslut.

(10)

De åtgärder som föreskrivs i detta beslut är förenliga med yttrandet från den kommitté som inrättats enligt artikel 31.1 i direktiv 95/46/EG.

(11)

Kommissionens beslut 2001/497/EG och 2010/87/EU bör därför ändras i enlighet med detta.