Endring av EU-kommisjonens beslutninger om adekvat beskyttelse av personopplysninger i visse tredjeland

Kommisjonsbeslutning (EU) 2016/2295 16. desember 2016 om endring av beslutning 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU og 2011/61/EU, samt gjennomføringsavgjørelse 2012/484/EU og 2013/65/EU om adekvat beskyttelse av personopplysninger i visse tredjeland

Commission Implementing Decision (EU) 2016/2295 of 16 December 2016 amending Decisions 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU, 2011/61/EU and Implementing Decisions 2012/484/EU, 2013/65/EU on the adequate protection of personal data by certain countries, pursuant to Article 25(6) of Directive 95/46/EC of the European Parliament and of the Council

Sakstrinn

  1. Faktanotat
  2. Foreløpig posisjonsnotat
  3. Posisjonsnotat
  4. Gjennomføringsnotat

Opprettet 13.02.2017

Spesialutvalg: Kommunikasjoner

Dato sist behandlet i spesialutvalg:

Hovedansvarlig(e) departement(er): Kommunal- og moderniseringsdepartementet

Vedlegg/protokoll i EØS-avtalen: Vedlegg XI. Elektronisk kommunikasjon, audiovisuelle tjenester og informasjonssamfunnstjenester

Kapittel i EØS-avtalen:

Status

Rettsakten følger hurtigprosedyren, og behandles ikke i Spesialutvalget for kommunikasjoner. Ansvarlig departement finner rettsakten EØS-relevant og akseptabel.

Sammendrag av innhold

Kommisjonsbeslutningen endrer beslutning 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU og 2011/61/EU samt gjennomføringsavgjørelse 2012/484/EU og 2013/65/EU om adekvat beskyttelse av personopplysninger i visse tredjeland (hhv. Sveits, Canada, Argentina, Guernsey, Isle of Man, Jersey, Færøyene, Andorra, Israel, Uruguay og New Zealand).

Endringene kommer som en følge av EU-domstolens avgjørelse av 6. oktober 2015 i sak C-362/14 Maximillian Schrems v Data Protection Commissioner. Dommen slo fast at flere av vilkårene i Kommisjonens ulike beslutninger om overføring av personopplysninger til tredjeland ikke var i samsvar med overordnet regelverk, herunder EU-charteret om grunnleggende rettigheter. Blant annet ble det slått fast at bestemmelsene i artikkel 3 i den tidligere Safe Harbor-avtalen mellom EU og USA om overføring av personopplysninger til USA (2000/520/EC) ikke var i samsvar med charteret. Denne bestemmelsen begrenset de nasjonale tilsynsmyndighetenes kompetanse til å gripe inn overfor bestemte overføringer av personopplysninger. Safe Harbor-avtalen ble, som følge av dommen, i sin helhet erstattet av Privacy Shield-rammeverket 12. juli 2016.

Beslutning 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU og 2011/61/EU, samt gjennomføringsavgjørelse 2012/484/EU og 2013/65/EU inneholder tilsvarende bestemmelser som artikkel 3 i Safe Harbor-avtalen. Disse kommisjonsbeslutningene gjelder for Norge, jf. personopplysningsforskriften § 6-1 første ledd, og kan benyttes av norske behandlingsansvarlige som grunnlag for overføring av personopplysninger til visse tredjeland.   

Som en følge av EU-domstolens avgjørelse i sak C-362/14, har EU-kommisjonen besluttet endringer i de nevnte rettsaktene. Nærmere bestemt gjøres det endringer i artikkel 3 og artikkel 3a i beslutning 2000/518/EC, 2002/2/EC og 2003/490/EC, i artikkel 3 og artikkel 4 i beslutning 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU og 2011/61/EU, samt i artikkel 2 og artikkel 3 i gjennomføringsavgjørelse 2012/484/EU og 2013/65/EU. Endringene innebærer at de nasjonale tilsynsmyndighetene nå står fritt til å vurdere og, midlertidig eller permanent, stanse overføringer av personopplysninger til hhv. Sveits, Canada, Argentina, Guernsey, Isle of Man, Jersey, Færøyene, Andorra, Israel, Uruguay og New Zealand dersom det vurderes som nødvendig for å beskytte enkeltpersoner. Kommisjonen skal løpende monitorere utviklingen i landenes lovgivning og praksis i den grad det kan påvirke adekvansbeslutningene, inkludert nasjonale myndigheters tilgang til opplysningene. Nasjonale tilsynsmyndigheter skal varsle Kommisjonen om eventuelle vedtak, hvorpå Kommisjonen vil videreformidle informasjonen til de øvrige medlemsstater.

Merknader
Rettslige konsekvenser

Rettsakten krever ikke lov- eller forskriftsendringer.

Økonomiske og administrative konsekvenser

Sakkyndige instansers merknader

Rettsakten følger hurtigprosedyren, og behandles ikke i Spesialutvalget for kommunikasjoner. Ansvarlig departement finner rettsakten EØS-relevant og akseptabel.

Vurdering

Endringene innebærer at Datatilsynet vil ha full kompetanse til å føre tilsyn med og gripe inn overfor overføring av personopplysninger til Andorra, Argentina, Canada, Færøyene, Guernsey, Isle of Man, Israel, Jersey, New Zealand, Sveits og Uruguay i samsvar med Kommisjonens beslutninger om slike overføringer, dersom tilsynet vurderer det som nødvendig for å beskytte enkeltpersoner. Beslutningen vurderes ikke å endre de gjeldende og grunnleggende nasjonale reglene om behandling av personopplysninger. Beslutningen vurderes derimot å styrke Datatilsynets kompetanse for så vidt gjelder tilsyn med overføring av personopplysninger til de aktuelle tredjelandene.

Andre opplysninger

Beslutningen endrer følgende basis rettsakter: 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU, 2011/61/EU, 2012/484/EU og 2013/65/EU.

Nøkkelinformasjon

Institusjon: Kommisjonen
Type rettsakt: Vedtak/beslutning
KOM-nr.:
Rettsaktnr.: (EU) 2016/2295
Basis rettsaktnr.:
Celexnr.: 32016D2295

EFTA-prosessen

Dato mottatt standardskjema: 20.12.2016
Frist returnering standardskjema: 31.01.2017
Dato returnert standardskjema:
EØS-relevant: Ja
Akseptabelt: Ja
Tekniske tilpasningstekster: Nei
Materielle tilpasningstekster: Nei
Art. 103-forbehold: Nei

Norsk regelverk

Endring av norsk regelverk: Nei
Høringsstart:
Høringsfrist:
Frist for gjennomføring:

Fylker og kommuner

Berører fylker og kommuner i vesentlig grad.

Lenker