17.12.2016   

SV

Europeiska unionens officiella tidning

L 344/100


KOMMISSIONENS GENOMFÖRANDEBESLUT (EU) 2016/2297

av den 16 december 2016

om ändring av beslut 2001/497/EG och 2010/87/EU rörande standardavtalsklausuler för överföring av personuppgifter till tredjeländer och till registerförare etablerade i tredjeländer i enlighet med Europaparlamentets och rådets direktiv 95/46/EG

[delgivet med nr C(2016) 8471]

(Text av betydelse för EES)

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (1), särskilt artikel 26.4,

efter samråd med Europeiska datatillsynsmannen, och

av följande skäl:

(1)

I sin dom av den 6 oktober 2015 i mål C-362/14, Maximillian Schrems mot Data Protection Commissioner (2), konstaterade Europeiska unionens domstol att kommissionen genom att anta artikel 3 i beslut 2000/520/EG (3) överskridit den befogenhet som kommissionen tilldelas i artikel 25.6 i direktiv 95/46/EG jämförd med Europeiska unionens stadga om de grundläggande rättigheterna, och att artikel 3 därmed är ogiltig.

(2)

I artikel 3.1 första stycket i beslut 2000/520/EG föreskrevs restriktiva villkor enligt vilka nationella tillsynsmyndigheter kunde besluta att tillfälligt förbjuda överföringen av uppgifter till en självcertifierad organisation i Förenta staterna, utan hinder av kommissionens beslut om adekvat skyddsnivå.

(3)

I sin dom i Schrems-målet klargjorde domstolen att nationella tillsynsmyndigheter har befogenhet att kontrollera överföringar av personuppgifter till ett tredjeland som omfattas av ett kommissionsbeslut om adekvat skyddsnivå och att kommissionen inte har rätt att inskränka tillsynsmyndigheternas befogenheter enligt artikel 28 i direktiv 95/46/EG. I enlighet med den artikeln har dessa myndigheter bland annat undersökningsbefogenheter, såsom befogenheten att inhämta alla uppgifter som är nödvändiga för att sköta tillsynen, effektiva befogenheter att ingripa, såsom befogenheten att besluta om tillfälligt eller slutligt förbud mot behandling av uppgifter, och även befogenhet att inleda rättsliga förfaranden (4).

(4)

I samma dom erinrade domstolen om att medlemsstaterna och deras organ, i enlighet med artikel 25.6 andra stycket i direktiv 95/46/EG, måste vidta de åtgärder som är nödvändiga för att följa rättsakter från unionens institutioner, eftersom dessa i princip antas vara lagenliga och ha rättsverkan så länge de inte har återkallats, eller förklarats vara ogiltiga efter en talan om ogiltigförklaring eller till följd av en begäran om förhandsavgörande eller invändning om rättsstridighet.

(5)

På motsvarande sätt är ett kommissionsbeslut som antagits i enlighet med artikel 26.4 i direktiv 95/46/EG bindande för alla organ i de medlemsstater till vilka det riktar sig, inbegripet deras oberoende tillsynsmyndigheter, i den mån beslutet innebär ett erkännande av att överföringar som görs på grundval av däri angivna standardavtalsklausuler ger tillräckliga garantier enligt artikel 26.2 i det direktivet. Detta hindrar inte en nationell tillsynsmyndighet från att utöva sina befogenheter att kontrollera dataflödena, inbegripet befogenheten att tillfälligt eller slutligt förbjuda överföring av personuppgifter, om den fastställer att överföringen sker i strid med EU:s eller nationell dataskyddslagstiftning, exempelvis om uppgiftsinföraren inte iakttar standardavtalsklausulerna.

(6)

Kommissionens beslut 2001/497/EG (5) och 2010/87/EU (6) innehåller en inskränkning av de nationella tillsynsmyndigheternas befogenheter som är jämförbar med den som föreskrevs i artikel 3.1 första stycket i beslut 2000/520/EG, som ogiltigförklarades av domstolen.

(7)

Mot bakgrund av domen i Schrems-målet och i enlighet med artikel 266 i fördraget bör de bestämmelser i dessa beslut som inskränker de nationella tillsynsmyndigheternas befogenheter därför ersättas.

(8)

För att underlätta en effektiv övervakning av hur de gällande besluten om standardavtalsklausuler fungerar, bör medlemsstaterna underrätta kommissionen om relevanta åtgärder som vidtas av nationella tillsynsmyndigheter.

(9)

Arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter, som inrättats genom artikel 29 i direktiv 95/46/EG, har avgett ett yttrande som har beaktats vid utarbetandet av detta beslut.

(10)

De åtgärder som föreskrivs i detta beslut är förenliga med yttrandet från den kommitté som inrättats enligt artikel 31.1 i direktiv 95/46/EG.

(11)

Kommissionens beslut 2001/497/EG och 2010/87/EU bör därför ändras i enlighet med detta.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Artikel 4 i beslut 2001/497/EG ska ersättas med följande:

”Artikel 4

När de behöriga myndigheterna i en medlemsstat utövar sina befogenheter enligt artikel 28.3 i direktiv 95/46/EG och detta leder till ett tillfälligt eller slutligt förbud mot dataflöden till tredjeländer i syfte att skydda enskilda personer med avseende på behandlingen av deras personuppgifter, ska den berörda medlemsstaten utan dröjsmål underrätta kommissionen och vidarebefordra underrättelsen till de övriga medlemsstaterna.”

Artikel 2

Artikel 4 i beslut 2010/87/EU ska ersättas med följande:

”Artikel 4

När de behöriga myndigheterna i en medlemsstat utövar sina befogenheter enligt artikel 28.3 i direktiv 95/46/EG och detta leder till ett tillfälligt eller slutligt förbud mot dataflöden till tredjeländer i syfte att skydda enskilda personer med avseende på behandlingen av deras personuppgifter, ska den berörda medlemsstaten utan dröjsmål underrätta kommissionen och vidarebefordra underrättelsen till de övriga medlemsstaterna.”

Artikel 3

Detta beslut riktar sig till medlemsstaterna.

Utfärdat i Bryssel den 16 december 2016.

På kommissionens vägnar

Věra JOUROVÁ

Ledamot av kommissionen


(1)  EGT L 281, 23.11.1995, s. 31.

(2)  ECLI:EU:C:2015:650.

(3)  Kommissionens beslut 2000/520/EG av den 26 juli 2000 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom de principer om integritetsskydd (Safe Harbor Privacy Principles) i kombination med frågor och svar som Förenta staternas handelsministerium utfärdat (EGT L 215, 25.8.2000, s. 7).

(4)  Schrems-målet, punkterna 40 ff samt punkterna 101–103.

(5)  Kommissionens beslut 2001/497/EG av den 15 juni 2001 om standardavtalsklausuler för överföring av personuppgifter till tredje land enligt direktiv 95/46/EG (EGT L 181, 4.7.2001, s. 19).

(6)  Kommissionens beslut 2010/87/EU av den 5 februari 2010 om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredjeland i enlighet med Europaparlamentets och rådets direktiv 95/46/EG (EUT L 39, 12.2.2010, s. 5).