2001/497/EG: Kommissionens beslut av den 15 juni 2001 om standardavtalsklausuler för överföring av personuppgifter till tredje land enligt direktiv 95/46/EG (Text av betydelse för EES) [delgivet med nr K(2001) 1539]
Europeiska gemenskapernas officiella tidning nr L 181 , 04/07/2001 s. 0019 - 0031
Kommissionens beslut av den 15 juni 2001 om standardavtalsklausuler för överföring av personuppgifter till tredje land enligt direktiv 95/46/EG [delgivet med nr K(2001) 1539] (Text av betydelse för EES) (2001/497/EG) EUROPEISKA GEMENSKAPERNAS KOMMISSION HAR FATTAT DETTA BESLUT med beaktande av Fördraget om upprättandet av Europeiska gemenskapen, med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter(1), särskilt artikel 26.4 i detta, och av följande skäl: (1) Enligt direktiv 95/46/EG är medlemsstaterna skyldiga att se till att överföring av personuppgifter till tredje land endast får ske om det tredje landet säkerställer en adekvat skyddsnivå och om medlemsstaternas lagar, genom vilka andra bestämmelser i direktivet genomförs, efterlevs före överföringen. (2) Enligt artikel 26.2 i direktiv 95/46/EG år medlemsstaterna, med förbehåll för vissa garantier, tillåta en överföring eller en grupp överföringar av personuppgifter till tredje länder som inte säkerställer en adekvat skyddsnivå. Sådana garantier kan särskilt framgå av lämpliga avtalsklausuler. (3) Enligt direktiv 95/46/EG skall bedömningen av skyddsnivån ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp överföringar av personuppgifter. Arbetsgruppen för skydd av enskilda med avseende på behandling av personuppgifter som inrättats genom det direktivet(2) har utfärdat riktlinjer för hur sådana bedömningar skall göras(3). (4) Artikel 26.2 i direktiv 95/46/EG, som erbjuder flexibilitet åt organisationer som vill överföra uppgifter till tredje land, och artikel 26.4, som gäller standardavtalsklausuler, är av avgörande betydelse för att det erforderliga flödet av personuppgifter mellan Europeiska gemenskapen och tredje land skall kunna upprätthållas utan att ekonomiska aktörer belastas i onödan. Dessa bestämmelser är särskilt viktiga med tanke på att kommissionen på kort eller medellång sikt sannolikt kommer att fatta beslut enligt artikel 25.6 om att skyddsnivån är adekvat för endast ett begränsat antal länder. (5) Standardavtalsklausulerna utgör bara en av flera möjligheter enligt direktiv 95/46/EG tillsammans med artikel 25 och artikel 26.1 och 26.2 för laglig överföring av uppgifter till tredje land. Det kommer att bli lättare för organisationer att överföra personuppgifter till tredje land genom att standardavtalsklausulerna infogas i ett avtal. Standardavtalsklausulerna rör endast uppgiftsskydd. Uppgiftsutföraren och uppgiftsinföraren får ta med andra klausuler om affärsrelaterade frågor, såsom klausuler om ömsesidigt bistånd vid tvister med en registrerad person eller med en tillsynsmyndighet, om de anser att sådana klausuler är relevanta för avtalet och under förutsättning att de inte strider mot standardavtalsklausulerna. (6) Beslutet bör inte påverka de nationella tillstånd som medlemsstaterna kan komma att bevilja i enlighet med nationella bestämmelser om genomförande av artikel 26.2 i direktiv 95/46/EG. Omständigheterna vid enskilda överföringar kan kräva att de registeransvariga ställer olika garantier i den mening som avses i artikel 26.2. Under alla omständigheter har detta beslut endast som verkan att medlemsstaterna inte får vägra erkänna att de angivna avtalsklausulerna ger tillräckliga garantier, och beslutet påverkar således inte andra avtalsklausuler. (7) Beslutet är begränsat till att fastställa att klausulerna i bilagan får användas av en registeransvarig etablerad i gemenskapen i syfte att ställa tillräckliga garantier i den mening som avses i artikel 26.2 i direktiv 95/46/EG. Överföring av personuppgifter till tredje land är en en åtgärd som vidtas i en medlemsstat, och dess lagenlighet regleras följaktligen i nationell lag. Medlemsstaternas tillsynsmyndigheter utövar sina befogenheter enligt artikel 28 i direktiv 95/46/EG och ansvarar för att avgöra huruvida uppgiftsutföraren följt nationell lagstiftning som genomför direktiv 95/46/EG, och i synnerhet bestämmelserna om informationsplikt enligt det direktivet. (8) Beslutet gäller inte överföring av personuppgifter från registeransvariga som är etablerade i gemenskapen till mottagare som är etablerade utanför gemenskapens territorium och som agerar endast som registerförare. Sådana överföringar kräver inte samma garantier, eftersom registerföraren agerar uteslutande för den registeransvariges räkning. Kommissionen anser att detta slag av överföringar bör tas upp i ett senare beslut. (9) Det är lämpligt att fastställa den information som parterna minst skall uppge i avtalet om överföring. Medlemsstaterna bör behålla sin befogenhet att mer ingående bestämma vilken information som parterna skall uppge. Tillämpningen av detta beslut bör utvärderas mot bakgrund av den erfarenhet som görs. (10) Kommissionen kommer senare att överväga huruvida standardavtalsklausuler som läggs fram av branschorganisationer eller andra berörda parter erbjuder tillräckliga garantier i enlighet med direktiv 95/46/EG. (11) Parterna bör visserligen ha rätt att komma överens om de huvudsakliga regler om uppgiftsskydd som uppgiftsinföraren skall följa, men det finns vissa principer om uppgiftsskydd som bör gälla under alla omständigheter. (12) Uppgifter får behandlas, användas och överföras endast för särskilt angivna ändamål och bör inte sparas längre än nödvändigt. (13) I enlighet med artikel 12 i direktiv 95/46/EG bör den registrerade ha rätt att ta del av alla uppgifter om honom och, i förekommande fall, att rätta, utplåna eller hindra tillgång till vissa uppgifter. (14) Ytterligare överföring av personuppgifter till en registeransvarig som är etablerad i ett tredje land får endast äga rum på vissa villkor, i synnerhet så att en registrerad erhåller korrekt information och ges möjlighet att göra invändningar eller i vissa fall att vägra ge sitt tillstånd. (15) Utöver bedömningar av om överföringar till tredje land är förenliga med nationell rätt har tillsynsmyndigheterna även en nyckelroll i denna avtalsmekanism när det gäller att se till att personuppgifter skyddas adekvat efter det att de överförts. I vissa fall bör medlemsstaternas tillsynsmyndigheter ha rätt att förbjuda eller tillfälligt avbryta en överföring av uppgifter eller en grupp överföringar som sker enligt standardavtalsklasuler i de undantagsfall där det fastställs att en överföring på avtalsbasis sannolikt har en avsevärt skadlig inverkan på garantierna om adekvat skydd för den registrerade. (16) Standardavtalsklausulerna bör kunna åberopas inte bara av de organisationer som är parter i avtalet utan även av de registrerade, i synnerhet om de registrerade vållas skada till följd av avtalsbrott. (17) Den lag som är tillämplig på avtalet bör vara lagen i den medlemsstat där uppgiftsutföraren är etablerad så att en berättigad tredje part har möjlighet att göra gällande ett avtal. Registrerade bör få biträdas av sammanslutningar eller andra organ om de så önskar och i den mån det är tillåtet enligt nationell rätt. (18) För att minska de praktiska problem som registrerade kan stöta på när de försöker göra gällande sina rättigheter enligt dessa standardavtalsklausuler bör uppgiftsutföraren och uppgiftsinföraren vara solidariskt ansvariga för skada som vållats av överträdelser av de bestämmelser som omfattas av klausulen om berättigad tredje part. (19) Den registrerade har rätt att väcka talan mot och få skadestånd från uppgiftsutföraren, från uppgiftsinföraren eller från båda för skada som vållats genom en handling som inte är förenlig med villkoren i standardavtalsklausulerna. Bägge parter kan gå fria från detta ansvar om de kan bevisa att ingen av dem var ansvarig. (20) Det solidariska ansvaret omfattar inte de bestämmelser som inte omfattas av klausulen om berättigad tredje part, och det behöver inte göra den ena parten ansvarig för skada som vållats av den andra partens otillåtna behandling. Ömsesidig ersättning mellan parterna är visserligen inte nödvändig för att skyddet av de registrerade skall anses vara adekvat och parterna får låta sådan ersättning utgå, men den har tagits med i standardavtalsklausulerna som ett förtydligande och för att parterna inte skall bli tvungna att själva förhandla fram ersättningsklausuler. (21) Om en tvist mellan parterna och den registrerade inte kan lösas i godo och den registrerade åberopar klausulen om berättigad tredje part, skall parterna enas om att låta den registrerade välja mellan medling, skiljeförfarande och att väcka talan vid domstol. För att den registrerade skall ha en faktisk valmöjlighet måste det finnas tillgång till tillförlitliga och erkända system för medling och skiljeförfarande. Medling av medlemsstaternas tillsynsmyndigheter kan vara ett alternativ, om de tillhandahåller sådana tjänster. (22) Den arbetsgrupp för skydd av enskilda med avseende på behandlingen av personuppgifter som inrättats enligt artikel 29 i direktiv 95/46/EG har avgett ett yttrande om den skyddsnivå som ges av de standardavtalsklausuler som bifogas detta beslut, vilket beaktats vid utarbetandet av detta beslut(4). (23) Åtgärderna i detta beslut överensstämmer med yttrandet från den kommitté som inrättats enligt artikel 31 i direktiv 95/46/EG. HÄRIGENOM FÖRESKRIVS FÖLJANDE. Artikel 1 De standardavtalsklausuler som anges i bilagan anses ge tillräckliga garantier för att privatliv och enskilda personers grundläggande fri- och rättigheter skyddas samt för utövningen av motsvarande rättigheter i enlighet med artikel 26.2 i direktiv 95/46/EG. Artikel 2 Detta beslut skall endast tillgodose att standardavtalsklausulerna om överföring av personuppgifter som anges i bilagan erbjuder ett tillräckligt skydd. Det påverkar inte tillämpningen av andra nationella bestämmelser som antagits för genomförande av direktiv 95/46/EG och som rör behandling av personuppgifter inom medlemsstaterna. Detta beslut skall inte gälla överföring av personuppgifter från registeransvariga som är etablerade i gemenskapen till mottagare som är etablerade utanför gemenskapens territorium och som agerar endast som registerförare. Artikel 3 Med avseende på detta beslut skall följande gälla: a) definitionerna i direktiv 95/46/EG skall följas, b) med särskilda kategorier av uppgifter avses sådana uppgifter som anges i artikel 8 i det direktivet, c) med tillsynsmyndighet avses sådan myndighet som anges i artikel 28 i det direktivet, d) med uppgiftsutförare avses den registeransvarige som överför personupgifterna, e) med uppgiftsutförare avses den registeransvarige som går med på att från uppgiftsutföraren ta emot personuppgifter för vidare behandling i enlighet med villkoren i detta beslut. Artikel 4 1. Utan att det påverkar rätten för medlemsstaternas behöriga myndigheter att se till att nationella bestämmelser som antagits i enlighet med kapitelen II, III, V och VI i direktiv 95/46/EG följs, får de utöva sina befintliga befogenheter för att förbjuda eller tillfälligt avbryta flöden av uppgifter till tredje land för att skydda enskilda med avseende på behandling av deras personuppgifter i fall där a) det fastställs att det i den lag som är tillämplig på uppgiftsinföraren ställs krav på att denne skall frångå relevanta bestämmelser om uppgiftsskydd, vilka går utöver de restriktioner som krävs i ett demokratiskt samhälle enligt artikel 13 i direktiv 95/46/EG, om sådana krav sannolikt har en avsevärt negativ inverkan på de garantier som ges i standardavtalsklausulerna, eller b) en behörig myndighet har fastställt att uppgiftsinföraren inte har följt avtalsklausulerna, eller c) det finns skälig grund att tro att standardavtalsklausulerna i bilagan inte följs eller inte kommer att följas och att fortsatt överföring skulle medföra en överhängande risk för allvarlig skada för de registrerade. 2. Förbudet eller det tillfälliga avbrottet skall upphöra så snart som skälen för förbudet eller avbrottet inte längre föreligger. 3. När medlemsstaterna vidtar åtgärder i enlighet med punkterna 1 och 2 skall de utan dröjsmål underrätta kommissionen, som skall vidarebefordra underrättelsen till de andra medlemsstaterna. Artikel 5 Kommissionen skall utvärdera tillämpningen av detta beslut med ledning av tillgänglig information tre år efter det att det delgetts medlemsstaterna. Den skall rapportera resultaten till den kommitté som inrättats enligt artikel 31 i direktiv 95/46/EG. Rapporten skall innefatta alla omständigheter som kan påverka utvärderingen av standardavtalsklausulernas lämplighet och alla omständigheter som tyder på att detta beslut tillämpas på ett diskriminerande sätt. Artikel 6 Detta beslut skall gälla från och med den 3 september 2001. Artikel 7 Detta beslut riktar sig till medlemsstaterna. Utfärdat i Bryssel den 15 juni 2001. På kommissionens vägnar Frederik Bolkestein Ledamot av kommissionen (1) EGT L 281, 23.11.1995, s. 31. (2) Arbetsgruppens Internet adress: http://www.europa.eu.int/comm/internal-market/en/media/dataprot/wpdocs/index.htm. (3) Arbetsdokument 4 (5020/97): "En första orientering om överföring av personuppgifter till tredje land - möjligheter till en förbättrad bedömning av om skyddsnivån är adekvat", antaget av arbetsgruppen den 26 juni 1997. Arbetsdokument 7 (5057/97): "Bedömning av branschers självreglering: när bidrar den på ett meningsfullt sätt till skyddsnivån för uppgifter i tredje land?", antaget av arbetsgruppen den 14 januari 1998. Arbetsdokument 9 (5005/98): "Användning av avtalsreglering vid överföring av personuppgifter till tredje land", antaget av arbetsgruppen den 22 april 1998. Arbetsdokument 12: "Överföring av personuppgifter till tredje land: tillämpning av artiklarna 25 och 26 i EU:s dataskyddsdirektiv", antaget av arbetsgruppen den 24 juli 1998, finns på Europeiska kommissionens webbplats Europa på adressen http://www.europa.eu. int/comm/internal-market/en/media/dataprot/wpdocs/wp 12sv.pdf. (4) Yttrande nr 1/2001 antaget av arbetsgruppen den 26 januari 2001 (GD MARKT 5102/00 WP 38), tillgängligt på Europeiska kommissionens webbplats Europa. BILAGA >PIC FILE= "L_2001181SV.002402.TIF"> >PIC FILE= "L_2001181SV.002501.TIF"> >PIC FILE= "L_2001181SV.002601.TIF"> >PIC FILE= "L_2001181SV.002701.TIF"> Tillägg 1 till standardavtalsklausulerna >PIC FILE= "L_2001181SV.002802.TIF"> >PIC FILE= "L_2001181SV.002901.TIF"> Tillägg 2 till standardavtalsklausulerna Obligatoriska principer om uppgiftsskydd som avses i klausul 5 b första stycket Dessa principer om uppgiftsskydd kall tolkas med ledning av bestämmelserna (principerna och undantagen) i direktiv 95/46/EG. Dessa principer skall gälla om inte annat följer av obligatoriska krav i nationell rätt som gäller för uppgiftsinföraren och om dessa krav inte går utöver vad som krävs i ett demokratiskt samhälle enligt någon av de grunder som anges i artikel 13.1 i direktiv 95/46/EG, det vill säga att de utgör en nödvändig åtgärd med hänsyn till statens säkerhet, försvaret, allmän säkerhet, förebyggande, undersökning, avslöjande av brott eller åtal för brott eller överträdelser av etiska regler som gäller för lagreglerade yrken, ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat eller skydd av den registrerades eller andras fri- och rättigheter. 1. Ändamålsbegränsning: Uppgifterna får behandlas, användas och överföras endast för de särskilda ändamål som anges i tillägg 1 till standardavtalsklausulerna. Uppgifterna får inte sparas längre än vad som är nödvändigt för de ändamål för vilka de överförs. 2. Uppgifternas kvalitet och proportionalitet: Uppgifterna skall vara korrekta och i förekommande fall hållas aktuella. Uppgifterna skall vara adekvata och relevanta och får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de överförs och vidarebehandlas. 3. Informationsplikt: De registrerade skall informeras om behandlingens syfte och identiteten på den registeransvarige i tredje land och om andra omständigheter i den mån det krävs för en korrekt behandling, om inte sådan information redan lämnats av uppgiftsutföraren. 4. Säkerhet och sekretess: Tekniska och organisatoriska säkerhetsåtgärder skall vidtas av den registeransvarige med hänsyn tagen till de risker, exempelvis obehörig tillgång, som behandlingen innebär. Alla som agerar för den registeransvariges räkning, även registerförare, får behandla uppgifter endast på den registeransvariges uppdrag. 5. Rätt till tillgång, rättelse, utplåning och invändning: I enlighet med artikel 12 i direktiv 95/46/EG skall den registrerade ha rätt att ta del av alla uppgifter om honom som behandlas, och i förekommande fall ha rätt att göra rättelser, utplåna eller hindra tillgången till uppgifter om behandlingen av dessa uppgifter inte följer principerna i detta tillägg, särskilt av det skälet att uppgifterna är ofullständiga eller felaktiga. Den registrerade skall också ha möjlighet att invända mot att uppgifter om honom behandlas om han har berättigade skäl som rör hans särskilda situation. 6. Begränsning av vidareöverföring: Ytterligare överföring av personuppgifter från uppgiftsinföraren till en annan registeransvarig som är etablerad i ett tredje land som inte tillhandahåller ett adekvat skydd eller som inte omfattas av ett beslut av kommissionen i enlighet med artikel 25.6 i direktiv 95/46/EG (vidareöverföring) får endast äga rum om något av följande villkor är uppfyllt: a) De registrerade har gett sitt otvetydiga samtycke till en vidareöverföring om särskilda kategorier av uppgifter berörs, eller har beretts möjlighet att invända mot vidareöverföringen i andra fall. De registrerade måste minst förses med följande information på ett språk som de förstår: - ändamålet med den vidareöverföringen, - identiteten på den i gemenskapen etablerade uppgiftsutföraren, - vilka kategorier mottagare som skall erhålla uppgifterna och vilka länder som uppgifterna skall vidareöverföras till, - ett påpekande att uppgifterna efter vidareöverföringen kan behandlas av en registeransvarig som är etablerad i ett land som inte säkerställer en adekvat skyddsnivå för personuppgifter. b) Uppgiftsutföraren och uppgiftsinföraren överenskommer om att en registeransvarig får ansluta sig till standardavtalsklausulerna varigenom denne blir ny part i dessa klausuler och får samma förpliktelser som uppgiftsinföraren. 7. Särskilda kategorier av uppgifter: Vid behandling av uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv samt uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder, skall ytterligare skyddsåtgärder vidtas i enlighet med direktiv 95/46/EG, särskilt säkerhetsåtgärder i forn av stark kryptering vid överföring eller registrering av vem som har haft tillgång till känsliga uppgifter. 8. Direkt marknadsföring: När uppgifter behandlas för direkt marknadsföring skall verkningsfulla rutiner finnas, vilka ger den registrerade möjlighet att när som helst hindra att uppgifter om honom används för detta ändamål. 9. Databehandlade beslut om enskilda: En registrerad har rätt att inte bli föremål för beslut som enbart grundas på automatisk behandling av uppgifter, om inte andra åtgärder vidtas för att tillvarata den enskildas berättigade intressen i enlighet med artikel 15.2 i direktiv 95/46/EG. Om syftet med överföringen är att ett databehandlat beslut i den bemärkelse som avses i artikel 15 i direktiv 95/46/EG skall fattas, vilket har rättsliga följder för den registrerade eller som märkbart påverkar honom och som enbart grundas på automatisk behandling av uppgifter som är avsedda att bedöma vissa personliga egenskaper hos honom, exempelvis hans arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande, har den enskilda rätt att känna till på vilka grunder beslutet fattas. Tillägg 3 till standardavtalsklausulerna Obligatoriska principer för uppgiftsskydd i enlighet med klausul 5 b andra stycket 1. Ändamålsbegränsning: Uppgifterna får behandlas, användas och överföras endast för de särskilda ändamål som anges i tillägg 1 till standardavtalsklausulerna. Uppgifterna får inte sparas längre än nödvändigt för de ändamål för vilka de överförs. 2. Rätt till tillgång, rättelse, utplåning och invändning: I enlighet med artikel 12 i direktiv 95/46/EG skall den registrerade ha rätt att ta del av alla uppgifter om honom som behandlas, och i förekommande fall rätt att göra rättelser, utplåna eller hindra tillgången till uppgifter om behandlingen av dessa uppgifter inte följer principerna i detta tillägg, särskilt av det skälet att uppgifterna är ofullständiga eller felaktiga. Den registrerade skall också ha möjlighet att invända mot att uppgifter om honom behandlas om han har berättigade skäl som rör hans särskilda situation. 3. Begränsning av vidareöverföring: Ytterligare överföring av personuppgifter från uppgiftsanföraren till en annan registeransvarig som är etablerad i ett tredje land som inte tillhandahåller ett adekvat skydd eller som inte omfattas av ett beslut av kommissionen i enlighet med artikel 25.6 i direktiv 95/46/EG (vidareöverföring) får endast äga rum om något av följande villkor är uppfyllt: a) De registrerade har gett sitt otvetydiga samtycke till en vidareöverföring om särskilda kategorier av uppgifter berörs, eller har beretts möjlighet att invända mot vidareöverföringen i andra fall. De registrerade måste minst förses med följande information på ett språk som de förstår: - Ändamålet med vidareöverföringen. - Identiteten på den i gemenskapen etablerade uppgiftsutföraren. - Vilka kategorier mottagare som skall erhålla uppgifterna och vilka länder som uppgifterna skall vidareöverföras till. - Ett påpekande att uppgifterna efter vidareöverföringen kan behandlas av en registeransvarig som är etablerad i ett land som inte säkerställer en adekvat skyddsnivå för personuppgifter. b) Uppgiftsutföraren och uppgiftsinföraren överenskommer om att en registeransvarig får ansluta sig till standardavtalsklausulerna varigenom denne blir ny part i dessa klausuler och får samma förpliktelser som uppgiftsinföraren.