Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32016D2295

Kommissionens genomförandebeslut (EU) 2016/2295 av den 16 december 2016 om ändring av beslut 2000/518/EG, 2002/2/EG, 2003/490/EG, 2003/821/EG, 2004/411/EG, 2008/393/EG, 2010/146/EU, 2010/625/EU, 2011/61/EU samt genomförandebeslut 2012/484/EU och 2013/65/EU rörande adekvat skydd för personuppgifter i vissa länder i enlighet med artikel 25.6 i Europaparlamentets och rådets direktiv 95/46/EG [delgivet med nr C(2016) 8353] (Text av betydelse för EES )

C/2016/8353

OJ L 344, 17.12.2016, p. 83–91 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

ELI: http://data.europa.eu/eli/dec_impl/2016/2295/oj

17.12.2016   

SV

Europeiska unionens officiella tidning

L 344/83


KOMMISSIONENS GENOMFÖRANDEBESLUT (EU) 2016/2295

av den 16 december 2016

om ändring av beslut 2000/518/EG, 2002/2/EG, 2003/490/EG, 2003/821/EG, 2004/411/EG, 2008/393/EG, 2010/146/EU, 2010/625/EU, 2011/61/EU samt genomförandebeslut 2012/484/EU och 2013/65/EU rörande adekvat skydd för personuppgifter i vissa länder i enlighet med artikel 25.6 i Europaparlamentets och rådets direktiv 95/46/EG

[delgivet med nr C(2016) 8353]

(Text av betydelse för EES)

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (1), särskilt artikel 25.6,

efter samråd med Europeiska datatillsynsmannen, och

av följande skäl:

(1)

I sin dom av den 6 oktober 2015 i mål C-362/14, Maximillian Schrems mot Data Protection Commissioner (2), konstaterade Europeiska unionens domstol att kommissionen genom att anta artikel 3 i beslut 2000/520/EG (3) överskridit den befogenhet som kommissionen tilldelas i artikel 25.6 i direktiv 95/46/EG jämförd med Europeiska unionens stadga om de grundläggande rättigheterna, och att artikel 3 därmed är ogiltig.

(2)

I artikel 3.1 första stycket i beslut 2000/520/EG föreskrevs restriktiva villkor enligt vilka nationella tillsynsmyndigheter kunde besluta att tillfälligt förbjuda överföringen av uppgifter till en självcertifierad organisation i Förenta staterna, utan hinder av kommissionens beslut om adekvat skyddsnivå.

(3)

I sin dom i Schrems-målet klargjorde domstolen att nationella tillsynsmyndigheter har befogenhet att kontrollera överföringar av personuppgifter till ett tredjeland som omfattas av ett kommissionsbeslut om adekvat skyddsnivå och att kommissionen inte har rätt att inskränka tillsynsmyndigheternas befogenheter enligt artikel 28 i direktiv 95/46/EG. I enlighet med den artikeln har dessa myndigheter bland annat undersökningsbefogenheter, såsom befogenheten att inhämta alla uppgifter som är nödvändiga för att sköta tillsynen, effektiva befogenheter att ingripa, såsom befogenheten att besluta om tillfälligt eller slutligt förbud mot behandling av uppgifter, och även befogenhet att inleda rättsliga förfaranden (4).

(4)

Domstolen erinrade i sin dom i Schrems-målet om att medlemsstaterna och deras organ, i enlighet med artikel 25.6 andra stycket i direktiv 95/46/EG, måste vidta de åtgärder som är nödvändiga för att följa rättsakter från unionens institutioner, eftersom dessa i princip presumeras vara lagenliga och ha rättsverkan så länge de inte har återkallats, eller förklarats vara ogiltiga efter en talan om ogiltigförklaring eller till följd av en begäran om förhandsavgörande eller invändning om rättsstridighet.

(5)

Ett kommissionsbeslut om adekvat skyddsnivå som har antagits med stöd av artikel 25.6 i direktiv 95/46/EG är bindande för alla organ i de medlemsstater som det riktar sig till, däribland deras oberoende tillsynsmyndigheteter, i den utsträckning det medför tillåtelse att överföra personuppgifter från medlemsstaterna till det tredjeland som avses i beslutet (5). Av detta följer att nationella tillsynsmyndigheter inte kan anta åtgärder som strider mot ett kommissionsbeslut om adekvat skyddsnivå, såsom rättsakter i vilka det beslutet ogiltigförklaras eller i vilka det med bindande verkan konstateras att det tredjeland som avses i beslutet inte säkerställer en adekvat skyddsnivå. Såsom klargörs i domen i Schrems-målet hindrar detta inte en nationell tillsynsmyndighet från att pröva en begäran från en enskild person rörande den skyddsnivå för personuppgifter som säkerställs i ett tredjeland som omfattas av ett kommissionsbeslut om adekvat skyddsnivå och, om den anser att det finns fog för begäran, inleda rättsliga förfaranden vid nationella domstolar, så att dessa, om de delar tvivlen angående kommissionsbeslutets giltighet, kan hänskjuta en begäran om förhandsavgörande för att pröva beslutets giltighet (6).

(6)

Kommissionens beslut 2000/518/EG (7), 2002/2/EG (8), 2003/490/EG (9), 2003/821/EG (10), 2004/411/EG (11), 2008/393/EG (12), 2010/146/EU (13), 2010/625/EU (14) och 2011/61/EU (15) samt kommissionens genomförandebeslut 2012/484/EU (16) och 2013/65/EU (17), vilka är beslut om adekvat skyddsnivå, innehåller en inskränkning av de nationella tillsynsmyndigheternas befogenheter som är jämförbar med den som föreskrevs i artikel 3.1 första stycket i beslut 2000/520/EG, som ogiltigförklarades av domstolen.

(7)

Mot bakgrund av domen i Schrems-målet och i enlighet med artikel 266 i fördraget bör de bestämmelser i dessa beslut som inskränker de nationella tillsynsmyndigheternas befogenheter därför ersättas.

(8)

I Schrems-målet klargjorde domstolen vidare att det, eftersom den skyddsnivå som säkerställs i ett tredjeland kan komma att förändras, ankommer på kommissionen, efter att den har antagit ett beslut med stöd av artikel 25.6 i direktiv 95/46/EG, att regelbundet kontrollera att konstaterandet att det aktuella tredjelandet säkerställer en adekvat skyddsnivå fortfarande är sakligt och rättsligt motiverat (18). Mot bakgrund av vad som fastslås i denna dom i fråga om offentliga myndigheters tillgång till personuppgifter bör de regler och den praxis som gäller för denna tillgång också övervakas.

(9)

Med avseende på de länder som omfattas av ett beslut om adekvat skyddsnivå kommer kommissionen därför att fortlöpande övervaka förändringar, både i lagstiftning och i praxis, som skulle kunna påverka sådana besluts funktionssätt, inklusive förändringar vad gäller offentliga myndigheters tillgång till personuppgifter.

(10)

För att underlätta en effektiv övervakning av hur de gällande besluten om adekvat skyddsnivå fungerar, bör medlemsstaterna underrätta kommissionen om relevanta åtgärder som vidtas av nationella tillsynsmyndigheter.

(11)

Arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter, som inrättats genom artikel 29 i direktiv 95/46/EG, har avgett ett yttrande som har beaktats vid utarbetandet av detta beslut.

(12)

De åtgärder som föreskrivs i detta beslut är förenliga med yttrandet från den kommitté som inrättats enligt artikel 31.1 i direktiv 95/46/EG.

(13)

Beslut 2000/518/EG, 2002/2/EG, 2003/490/EG, 2003/821/EG, 2004/411/EG, 2008/393/EG, 2010/146/EU, 2010/625/EU och 2011/61/EU samt genomförandebeslut 2012/484/EU och 2013/65/EU bör därför ändras i enlighet med detta.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Beslut 2000/518/EG ska ändras på följande sätt:

1.

Artikel 3 ska ersättas med följande:

”Artikel 3

När de behöriga myndigheterna i medlemsstaterna utövar sina befogenheter enligt artikel 28.3 i direktiv 95/46/EG och detta leder till ett tillfälligt eller slutligt förbud mot dataflöden till Schweiz i syfte att skydda enskilda personer med avseende på behandlingen av deras personuppgifter, ska den berörda medlemsstaten utan dröjsmål underrätta kommissionen, som vidarebefordrar underrättelsen till de övriga medlemsstaterna.”

2.

Följande artikel ska införas som artikel 3a:

”Artikel 3a

1.   Kommissionen ska fortlöpande övervaka förändringar i den schweiziska rättsordningen som skulle kunna påverka detta besluts funktionssätt, inklusive förändringar vad gäller offentliga myndigheters tillgång till personuppgifter, för att bedöma om Schweiz fortsätter att garantera en adekvat skyddsnivå för personuppgifter.

2.   Medlemsstaterna och kommissionen ska underrätta varandra om fall där de åtgärder som vidtas av organ med ansvar för efterlevnaden av skyddsreglerna i Schweiz inte har kunnat säkerställa att reglerna efterlevs.

3.   Medlemsstaterna och kommissionen ska underrätta varandra om varje indikation på att schweiziska offentliga myndigheter med ansvar för nationell säkerhet, brottsbekämpning eller andra allmänintressen ingriper i enskilda personers rätt till skydd av sina personuppgifter på ett sätt som går utöver vad som är absolut nödvändigt, eller på att det inte finns något effektivt rättsligt skydd mot sådana ingrepp.

4.   Om det finns bevis för att en adekvat skyddsnivå inte längre säkerställs, inbegripet i situationer som avses i punkterna 2 och 3 i denna artikel, ska kommissionen underrätta den behöriga schweiziska myndigheten om detta och vid behov lägga fram förslag till åtgärder i enlighet med förfarandet i artikel 31.2 i direktiv 95/46/EG i syfte att helt eller tills vidare upphäva detta beslut eller begränsa dess tillämpningsområde.”

Artikel 2

Beslut 2002/2/EG ska ändras på följande sätt:

1.

Artikel 3 ska ersättas med följande:

”Artikel 3

När de behöriga myndigheterna i en medlemsstat utövar sina befogenheter enligt artikel 28.3 i direktiv 95/46/EG och detta leder till ett tillfälligt eller slutligt förbud mot dataflöden till en mottagare i Kanada vars verksamhet omfattas av den kanadensiska lagen i syfte att skydda enskilda personer med avseende på behandlingen av deras personuppgifter, ska den berörda medlemsstaten utan dröjsmål underrätta kommissionen, som vidarebefordrar underrättelsen till de övriga medlemsstaterna.”

2.

Följande artikel ska införas som artikel 3a:

”Artikel 3a

1.   Kommissionen ska fortlöpande övervaka förändringar i den kanadensiska rättsordningen som skulle kunna påverka detta besluts funktionssätt, inklusive förändringar vad gäller offentliga myndigheters tillgång till personuppgifter, för att bedöma om Kanada fortsätter att garantera en adekvat skyddsnivå för personuppgifter.

2.   Medlemsstaterna och kommissionen ska underrätta varandra om fall där de åtgärder som vidtas av organ med ansvar för efterlevnaden av skyddsreglerna i Kanada inte har kunnat säkerställa att reglerna efterlevs.

3.   Medlemsstaterna och kommissionen ska underrätta varandra om varje indikation på att kanadensiska offentliga myndigheter med ansvar för nationell säkerhet, brottsbekämpning eller andra allmänintressen ingriper i enskilda personers rätt till skydd av sina personuppgifter på ett sätt som går utöver vad som är absolut nödvändigt, eller på att det inte finns något effektivt rättsligt skydd mot sådana ingrepp.

4.   Om det finns bevis för att en adekvat skyddsnivå inte längre säkerställs, inbegripet i situationer som omfattas av punkterna 2 och 3 i denna artikel, ska kommissionen underrätta den behöriga kanadensiska myndigheten om detta och vid behov lägga fram förslag till åtgärder i enlighet med förfarandet i artikel 31.2 i direktiv 95/46/EG i syfte att helt eller tills vidare upphäva detta beslut eller begränsa dess tillämpningsområde.”

Artikel 3

Beslut 2003/490/EG ska ändras på följande sätt:

1.

Artikel 3 ska ersättas med följande:

”Artikel 3

När de behöriga myndigheterna i en medlemsstat utövar sina befogenheter enligt artikel 28.3 i direktiv 95/46/EG och detta leder till ett tillfälligt eller slutligt förbud mot dataflöden till Argentina i syfte att skydda enskilda personer med avseende på behandlingen av deras personuppgifter, ska den berörda medlemsstaten utan dröjsmål underrätta kommissionen, som vidarebefordrar underrättelsen till de övriga medlemsstaterna.”

2.

Följande artikel ska införas som artikel 3a:

”Artikel 3a

1.   Kommissionen ska fortlöpande övervaka förändringar i den argentinska rättsordningen som skulle kunna påverka detta besluts funktionssätt, inklusive förändringar vad gäller offentliga myndigheters tillgång till personuppgifter, för att bedöma om Argentina fortsätter att garantera en adekvat skyddsnivå för personuppgifter.

2.   Medlemsstaterna och kommissionen ska underrätta varandra om fall där de åtgärder som vidtas av organ med ansvar för efterlevnaden av skyddsreglerna i Argentina inte har kunnat säkerställa att reglerna efterlevs.

3.   Medlemsstaterna och kommissionen ska underrätta varandra om varje indikation på att argentinska offentliga myndigheter med ansvar för nationell säkerhet, brottsbekämpning eller andra allmänintressen ingriper i enskilda personers rätt till skydd av sina personuppgifter på ett sätt som går utöver vad som är absolut nödvändigt, eller på att det inte finns något effektivt rättsligt skydd mot sådana ingrepp.

4.   Om det finns bevis för att en adekvat skyddsnivå inte längre säkerställs, inbegripet i situationer som avses i punkterna 2 och 3 i denna artikel, ska kommissionen underrätta den behöriga argentinska myndigheten om detta och vid behov lägga fram förslag till åtgärder i enlighet med förfarandet i artikel 31.2 i direktiv 95/46/EG i syfte att helt eller tills vidare upphäva detta beslut eller begränsa dess tillämpningsområde.”

Artikel 4

Artiklarna 3 och 4 i beslut 2003/821/EG ska ersättas med följande:

”Artikel 3

När de behöriga myndigheterna i en medlemsstat utövar sina befogenheter enligt artikel 28.3 i direktiv 95/46/EG och detta leder till ett tillfälligt eller slutligt förbud mot dataflöden till Bailiwick of Guernsey i syfte att skydda enskilda personer med avseende på behandlingen av deras personuppgifter, ska den berörda medlemsstaten utan dröjsmål underrätta kommissionen, som vidarebefordrar underrättelsen till de övriga medlemsstaterna.

Artikel 4

1.   Kommissionen ska fortlöpande övervaka förändringar i Guernseys rättsordning som skulle kunna påverka detta besluts funktionssätt, inklusive förändringar vad gäller offentliga myndigheters tillgång till personuppgifter, för att bedöma om Guernsey fortsätter att garantera en adekvat skyddsnivå för personuppgifter.

2.   Medlemsstaterna och kommissionen ska underrätta varandra om fall där de åtgärder som vidtas av organ med ansvar för efterlevnaden av skyddsreglerna i Guernsey inte har kunnat säkerställa att reglerna efterlevs.

3.   Medlemsstaterna och kommissionen ska underrätta varandra om varje indikation på att Guernseys offentliga myndigheter med ansvar för nationell säkerhet, brottsbekämpning eller andra allmänintressen ingriper i enskilda personers rätt till skydd av sina personuppgifter på ett sätt som går utöver vad som är absolut nödvändigt, eller på att det inte finns något effektivt rättsligt skydd mot sådana ingrepp.

4.   Om det finns bevis för att en adekvat skyddsnivå inte längre säkerställs, inbegripet i situationer som avses i punkterna 2 och 3 i denna artikel, ska kommissionen underrätta Guernseys behöriga myndighet om detta och vid behov lägga fram förslag till åtgärder i enlighet med förfarandet i artikel 31.2 i direktiv 95/46/EG i syfte att helt eller tills vidare upphäva detta beslut eller begränsa dess tillämpningsområde.”

Artikel 5

Artiklarna 3 och 4 i beslut 2004/411/EG ska ersättas med följande:

”Artikel 3

När de behöriga myndigheterna i en medlemsstat utövar sina befogenheter enligt artikel 28.3 i direktiv 95/46/EG och detta leder till ett tillfälligt eller slutligt förbud mot dataflöden till Isle of Man i syfte att skydda enskilda personer med avseende på behandlingen av deras personuppgifter, ska den berörda medlemsstaten utan dröjsmål underrätta kommissionen, som vidarebefordrar underrättelsen till de övriga medlemsstaterna.

Artikel 4

1.   Kommissionen ska fortlöpande övervaka förändringar i Isle of Mans rättsordning som skulle kunna påverka detta besluts funktionssätt, inklusive förändringar vad gäller offentliga myndigheters tillgång till personuppgifter, för att bedöma om Isle of Man fortsätter att garantera en adekvat skyddsnivå för personuppgifter.

2.   Medlemsstaterna och kommissionen ska underrätta varandra om fall där de åtgärder som vidtas av organ med ansvar för efterlevnaden av skyddsreglerna i Isle of Man inte har kunnat säkerställa att reglerna efterlevs.

3.   Medlemsstaterna och kommissionen ska underrätta varandra om varje indikation på att Isle of Mans offentliga myndigheter med ansvar för nationell säkerhet, brottsbekämpning eller andra allmänintressen ingriper i enskilda personers rätt till skydd av sina personuppgifter på ett sätt som går utöver vad som är absolut nödvändigt, eller på att det inte finns något effektivt rättsligt skydd mot sådana ingrepp.

4.   Om det finns bevis för att en adekvat skyddsnivå inte längre säkerställs, inbegripet i situationer som avses i punkterna 2 och 3 i denna artikel, ska kommissionen underrätta Isle of Mans behöriga myndighet om detta och vid behov lägga fram förslag till åtgärder i enlighet med förfarandet i artikel 31.2 i direktiv 95/46/EG i syfte att helt eller tills vidare upphäva detta beslut eller begränsa dess tillämpningsområde.”

Artikel 6

Artiklarna 3 och 4 i beslut 2008/393/EG ska ersättas med följande:

”Artikel 3

När de behöriga myndigheterna i en medlemsstat utövar sina befogenheter enligt artikel 28.3 i direktiv 95/46/EG och detta leder till ett tillfälligt eller slutligt förbud mot dataflöden till Jersey i syfte att skydda enskilda personer med avseende på behandlingen av deras personuppgifter, ska den berörda medlemsstaten utan dröjsmål underrätta kommissionen, som vidarebefordrar underrättelsen till de övriga medlemsstaterna.

Artikel 4

1.   Kommissionen ska fortlöpande övervaka förändringar i Jerseys rättsordning som skulle kunna påverka detta besluts funktionssätt, inklusive förändringar vad gäller offentliga myndigheters tillgång till personuppgifter, för att bedöma om Jersey fortsätter att garantera en adekvat skyddsnivå för personuppgifter.

2.   Medlemsstaterna och kommissionen ska underrätta varandra om fall där de åtgärder som vidtas av organ med ansvar för efterlevnaden av skyddsreglerna i Jersey inte har kunnat säkerställa att reglerna efterlevs.

3.   Medlemsstaterna och kommissionen ska underrätta varandra om varje indikation på att Jerseys offentliga myndigheter med ansvar för nationell säkerhet, brottsbekämpning eller andra allmänintressen ingriper i enskilda personers rätt till skydd av sina personuppgifter på ett sätt som går utöver vad som är absolut nödvändigt, eller på att det inte finns något effektivt rättsligt skydd mot sådana ingrepp.

4.   Om det finns bevis för att en adekvat skyddsnivå inte längre säkerställs, inbegripet i situationer som avses i punkterna 2 och 3 i denna artikel, ska kommissionen underrätta Jerseys behöriga myndighet om detta och vid behov lägga fram förslag till åtgärder i enlighet med förfarandet i artikel 31.2 i direktiv 95/46/EG i syfte att helt eller tills vidare upphäva detta beslut eller begränsa dess tillämpningsområde.”

Artikel 7

Artiklarna 3 och 4 i beslut 2010/146/EU ska ersättas med följande:

”Artikel 3

När de behöriga myndigheterna i en medlemsstat utövar sina befogenheter enligt artikel 28.3 i direktiv 95/46/EG och detta leder till ett tillfälligt eller slutligt förbud mot dataflöden till en mottagare i Färöarna vars verksamhet omfattas av den färöiska lagen i syfte att skydda enskilda personer med avseende på behandlingen av deras personuppgifter, ska den berörda medlemsstaten utan dröjsmål underrätta kommissionen, som vidarebefordrar underrättelsen till de övriga medlemsstaterna.

Artikel 4

1.   Kommissionen ska fortlöpande övervaka förändringar i den färöiska rättsordningen som skulle kunna påverka detta besluts funktionssätt, inklusive förändringar vad gäller offentliga myndigheters tillgång till personuppgifter, för att bedöma om Färöarna fortsätter att garantera en adekvat skyddsnivå för personuppgifter.

2.   Medlemsstaterna och kommissionen ska underrätta varandra om fall där de åtgärder som vidtas av organ med ansvar för efterlevnaden av skyddsreglerna i Färöarna inte har kunnat säkerställa att reglerna efterlevs.

3.   Medlemsstaterna och kommissionen ska underrätta varandra om varje indikation på att färöiska offentliga myndigheter med ansvar för nationell säkerhet, brottsbekämpning eller andra allmänintressen ingriper i enskilda personers rätt till skydd av sina personuppgifter på ett sätt som går utöver vad som är absolut nödvändigt, eller på att det inte finns något effektivt rättsligt skydd mot sådana ingrepp.

4.   Om det finns bevis för att en adekvat skyddsnivå inte längre säkerställs, inbegripet i situationer som avses i punkterna 2 och 3 i denna artikel, ska kommissionen underrätta den behöriga färöiska myndigheten om detta och vid behov lägga fram förslag till åtgärder i enlighet med förfarandet i artikel 31.2 i direktiv 95/46/EG i syfte att helt eller tills vidare upphäva detta beslut eller begränsa dess tillämpningsområde.”

Artikel 8

Artiklarna 3 och 4 i beslut 2010/625/EU ska ersättas med följande:

”Artikel 3

När de behöriga myndigheterna i en medlemsstat utövar sina befogenheter enligt artikel 28.3 i direktiv 95/46/EG och detta leder till ett tillfälligt eller slutligt förbud mot dataflöden till Andorra i syfte att skydda enskilda personer med avseende på behandlingen av deras personuppgifter, ska den berörda medlemsstaten utan dröjsmål underrätta kommissionen, som vidarebefordrar underrättelsen till de övriga medlemsstaterna.

Artikel 4

1.   Kommissionen ska fortlöpande övervaka förändringar i den andorranska rättsordningen som skulle kunna påverka detta besluts funktionssätt, inklusive förändringar vad gäller offentliga myndigheters tillgång till personuppgifter, för att bedöma om Andorra fortsätter att garantera en adekvat skyddsnivå för personuppgifter.

2.   Medlemsstaterna och kommissionen ska underrätta varandra om fall där de åtgärder som vidtas av organ med ansvar för efterlevnaden av skyddsreglerna i Andorra inte har kunnat säkerställa att reglerna efterlevs.

3.   Medlemsstaterna och kommissionen ska underrätta varandra om varje indikation på att andorranska offentliga myndigheter med ansvar för nationell säkerhet, brottsbekämpning eller andra allmänintressen ingriper i enskilda personers rätt till skydd av sina personuppgifter på ett sätt som går utöver vad som är absolut nödvändigt, eller på att det inte finns något effektivt rättsligt skydd mot sådana ingrepp.

4.   Om det finns bevis för att en adekvat skyddsnivå inte längre säkerställs, inbegripet i situationer som avses i punkterna 2 och 3 i denna artikel, ska kommissionen underrätta den behöriga andorranska myndigheten om detta och vid behov lägga fram förslag till åtgärder i enlighet med förfarandet i artikel 31.2 i direktiv 95/46/EG i syfte att helt eller tills vidare upphäva detta beslut eller begränsa dess tillämpningsområde.”

Artikel 9

Artiklarna 3 och 4 i beslut 2011/61/EU ska ersättas med följande:

”Artikel 3

När de behöriga myndigheterna i en medlemsstat utövar sina befogenheter enligt artikel 28.3 i direktiv 95/46/EG och detta leder till ett tillfälligt eller slutligt förbud mot dataflöden till Staten Israel i syfte att skydda enskilda personer med avseende på behandlingen av deras personuppgifter, ska den berörda medlemsstaten utan dröjsmål underrätta kommissionen, som vidarebefordrar underrättelsen till de övriga medlemsstaterna.

Artikel 4

1.   Kommissionen ska fortlöpande övervaka förändringar i den israeliska rättsordningen som skulle kunna påverka detta besluts funktionssätt, inklusive förändringar vad gäller offentliga myndigheters tillgång till personuppgifter, för att bedöma om Staten Israel fortsätter att garantera en adekvat skyddsnivå för personuppgifter.

2.   Medlemsstaterna och kommissionen ska underrätta varandra om fall där de åtgärder som vidtas av organ med ansvar för efterlevnaden av skyddsreglerna i Staten Israel inte har kunnat säkerställa att reglerna efterlevs.

3.   Medlemsstaterna och kommissionen ska underrätta varandra om varje indikation på att israeliska offentliga myndigheter med ansvar för nationell säkerhet, brottsbekämpning eller andra allmänintressen ingriper i enskilda personers rätt till skydd av sina personuppgifter på ett sätt som går utöver vad som är absolut nödvändigt, eller på att det inte finns något effektivt rättsligt skydd mot sådana ingrepp.

4.   Om det finns bevis för att en adekvat skyddsnivå inte längre säkerställs, inbegripet i situationer som avses i punkterna 2 och 3 i denna artikel, ska kommissionen underrätta den behöriga israeliska myndigheten om detta och vid behov lägga fram förslag till åtgärder i enlighet med förfarandet i artikel 31.2 i direktiv 95/46/EG i syfte att helt eller tills vidare upphäva detta beslut eller begränsa dess tillämpningsområde.”

Artikel 10

Artiklarna 2 och 3 i genomförandebeslut 2012/484/EU ska ersättas med följande:

”Artikel 2

När de behöriga myndigheterna i en medlemsstat utövar sina befogenheter enligt artikel 28.3 i direktiv 95/46/EG och detta leder till ett tillfälligt eller slutligt förbud mot dataflöden till Uruguay i syfte att skydda enskilda personer med avseende på behandlingen av deras personuppgifter, ska den berörda medlemsstaten utan dröjsmål underrätta kommissionen, som vidarebefordrar underrättelsen till de övriga medlemsstaterna.

Artikel 3

1.   Kommissionen ska fortlöpande övervaka förändringar i den uruguayanska rättsordningen som skulle kunna påverka detta besluts funktionssätt, inklusive förändringar vad gäller offentliga myndigheters tillgång till personuppgifter, för att bedöma om Uruguay fortsätter att garantera en adekvat skyddsnivå för personuppgifter.

2.   Medlemsstaterna och kommissionen ska underrätta varandra om fall där de åtgärder som vidtas av organ med ansvar för efterlevnaden av skyddsreglerna i Uruguay inte har kunnat säkerställa att reglerna efterlevs.

3.   Medlemsstaterna och kommissionen ska underrätta varandra om varje indikation på att uruguayanska offentliga myndigheter med ansvar för nationell säkerhet, brottsbekämpning eller andra allmänintressen ingriper i enskilda personers rätt till skydd av sina personuppgifter på ett sätt som går utöver vad som är absolut nödvändigt, eller på att det inte finns något effektivt rättsligt skydd mot sådana ingrepp.

4.   Om det finns bevis för att en adekvat skyddsnivå inte längre säkerställs, inbegripet i situationer som avses i punkterna 2 och 3 i denna artikel, ska kommissionen underrätta den behöriga uruguayanska myndigheten om detta och vid behov lägga fram förslag till åtgärder i enlighet med förfarandet i artikel 31.2 i direktiv 95/46/EG i syfte att helt eller tills vidare upphäva detta beslut eller begränsa dess tillämpningsområde.”

Artikel 11

Artiklarna 2 och 3 i genomförandebeslut 2013/65/EU ska ersättas med följande:

”Artikel 2

När de behöriga myndigheterna i en medlemsstat utövar sina befogenheter enligt artikel 28.3 i direktiv 95/46/EG och detta leder till ett tillfälligt eller slutligt förbud mot dataflöden till Nya Zeeland i syfte att skydda enskilda personer med avseende på behandlingen av deras personuppgifter, ska den berörda medlemsstaten utan dröjsmål underrätta kommissionen, som vidarebefordrar underrättelsen till de övriga medlemsstaterna.

Artikel 3

1.   Kommissionen ska fortlöpande övervaka förändringar i den nyzeeländska rättsordningen som skulle kunna påverka detta besluts funktionssätt, inklusive förändringar vad gäller offentliga myndigheters tillgång till personuppgifter, för att bedöma om Nya Zeeland fortsätter att garantera en adekvat skyddsnivå för personuppgifter.

2.   Medlemsstaterna och kommissionen ska underrätta varandra om fall där de åtgärder som vidtas av organ med ansvar för efterlevnaden av skyddsreglerna i Nya Zeeland inte har kunnat säkerställa att reglerna efterlevs.

3.   Medlemsstaterna och kommissionen ska underrätta varandra om varje indikation på att nyzeeländska offentliga myndigheter med ansvar för nationell säkerhet, brottsbekämpning eller andra allmänintressen ingriper i enskilda personers rätt till skydd av sina personuppgifter på ett sätt som går utöver vad som är absolut nödvändigt, eller på att det inte finns något effektivt rättsligt skydd mot sådana ingrepp.

4.   Om det finns bevis för att en adekvat skyddsnivå inte längre säkerställs, inbegripet i situationer som avses i punkterna 2 och 3 i denna artikel, ska kommissionen underrätta den behöriga nyzeeländska myndigheten om detta och vid behov lägga fram förslag till åtgärder i enlighet med förfarandet i artikel 31.2 i direktiv 95/46/EG i syfte att helt eller tills vidare upphäva detta beslut eller begränsa dess tillämpningsområde.”

Artikel 12

Detta beslut riktar sig till medlemsstaterna.

Utfärdat i Bryssel den 16 december 2016.

På kommissionens vägnar

Věra JOUROVÁ

Ledamot av kommissionen


(1)  EGT L 281, 23.11.1995, s. 31.

(2)  ECLI:EU:C:2015:650.

(3)  Kommissionens beslut 2000/520/EG av den 26 juli 2000 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom de principer om integritetsskydd (Safe Harbor Privacy Principles) i kombination med frågor och svar som Förenta staternas handelsministerium utfärdat (EGT L 215, 25.8.2000, s. 7).

(4)  Schrems-målet, punkterna 40 ff samt punkterna 101–103.

(5)  Schrems-målet, punkterna 51, 52 och 62.

(6)  Schrems-målet, punkterna 52, 62 och 65.

(7)  Kommissionens beslut 2000/518/EG av den 26 juli 2000 enligt Europaparlamentets och rådets direktiv 95/46/EG om adekvat skydd av personuppgifter i Schweiz (EGT L 215, 25.8.2000, s. 1).

(8)  Kommissionens beslut 2002/2/EG av den 20 december 2001 i enlighet med Europaparlamentets och rådets direktiv 95/46/EG om adekvat skydd för personuppgifter genom den kanadensiska lagen om elektroniska handlingar och skydd för personuppgifter (Personal Information Protection and Electronic Documents Act) (EGT L 2, 4.1.2002, s. 13).

(9)  Kommissionens beslut 2003/490/EG av den 30 juni 2003 i enlighet med Europaparlamentets och rådets direktiv 95/46/EG om adekvat skydd för personuppgifter i Argentina (EUT L 168, 5.7.2003, s. 19).

(10)  Kommissionens beslut 2003/821/EG av den 21 november 2003 om skyddsnivån för personuppgifter på Guernsey (EUT L 308, 25.11.2003, s. 27).

(11)  Kommissionens beslut 2004/411/EG av den 28 april 2004 om skyddsnivån för personuppgifter på Isle of Man (EUT L 151, 30.4.2004, s. 48).

(12)  Kommissionens beslut 2008/393/EG av den 8 maj 2008 i enlighet med Europaparlamentets och rådets direktiv 95/46/EG om adekvat skydd för personuppgifter på Jersey (EUT L 138, 28.5.2008, s. 21).

(13)  Kommissionens beslut 2010/146/EU av den 5 mars 2010 i enlighet med Europaparlamentets och rådets direktiv 95/46/EG om en adekvat skyddsnivå genom den färöiska lagen om behandling av personuppgifter (EUT L 58, 9.3.2010, s. 17).

(14)  Kommissionens beslut 2010/625/EU av den 19 oktober 2010 i enlighet med Europaparlamentets och rådets direktiv 95/46/EG om adekvat skydd för personuppgifter i Andorra (EUT L 277, 21.10.2010, s. 27).

(15)  Kommissionens beslut 2011/61/EU av den 31 januari 2011 i enlighet med Europaparlamentets och rådets direktiv 95/46/EG om en adekvat skyddsnivå vid automatiserad behandling av personuppgifter i Staten Israel (EUT L 27, 1.2.2011, s. 39).

(16)  Kommissionens genomförandebeslut 2012/484/EU av den 21 augusti 2012 i enlighet med Europaparlamentets och rådets direktiv 95/46/EG om en adekvat skyddsnivå vid automatiserad behandling av personuppgifter i Republiken Uruguay (EUT L 227, 23.8.2012, s. 11).

(17)  Kommissionens genomförandebeslut 2013/65/EU av den 19 december 2012 i enlighet med Europaparlamentets och rådets direktiv 95/46/EG om ett adekvat skydd av personuppgifter i Nya Zeeland (EUT L 28, 30.1.2013, s. 12).

(18)  Schrems-målet, punkt 76. En sådan kontroll krävs under alla förhållanden när kommissionen får uppgifter som ger upphov till ett motiverat tvivel i detta hänseende.


Top