Kommisjonsbeslutning om standard personvernbestemmelser for overføring til tredjestater

Kommisjonsbeslutning (EU) 2021/914 av 4. juni 2021 om standard personvernbestemmelser for overføring av personopplysninger til tredjestater i henhold til Europaparlamentets og Rådets forordning (EU) 2016/679

Commission Implementing Decision (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council

Sakstrinn

  1. Faktanotat
  2. Foreløpig posisjonsnotat
  3. Posisjonsnotat
  4. Gjennomføringsnotat

Opprettet 04.10.2021

Spesialutvalg: Kommunikasjoner

Dato sist behandlet i spesialutvalg:

Hovedansvarlig(e) departement(er): Kommunal- og moderniseringsdepartementet

Vedlegg/protokoll i EØS-avtalen: Vedlegg XI. Elektronisk kommunikasjon, audiovisuelle tjenester og informasjonssamfunnstjenester

Kapittel i EØS-avtalen:

Status

Rettsakten ble publisert i Official Journal 7. juni 2021 og trådte i kraft i EU 27. juni 2021.

Sammendrag av innhold

Rettsakten angir standard personvernbestemmelser (standardkontrakt), som kan benyttes av behandlingsansvarlige eller databehandlere som ønsker å overføre personopplysninger til en tredjestat, dvs. et land utenfor EØS-område.

Etter personvernforordningen artikkel 46 nr. 1 kan en behandlingsansvarlig eller databehandler, i de tilfeller hvor det ikke foreligger en adekvansbeslutning etter artikkel 45 nr. 3,  bare overføre personopplysninger til en tredjestat når det kan gis nødvendig garanti for tilstrekkelig vern av personopplysningene og at rettighetene kan håndheves på en effektiv måte. En måte å gi slik garanti, er ved å benytte standard personvernbestemmelser (standardkontrakt) vedtatt av Kommisjonen etter personvernforordningen artikkel 46 nr. 2 bokstav c). I rettsakten fastsetter Kommisjonen slike standard personvernbestemmelser som et bilag til beslutningen.

De standard personvernbestemmelsene gir nødvendige garantier for personvernet. Det sikrer at personvernet ivaretas når personopplysninger overføres til et land utenfor EØS-området. Standardbestemmelsene kan brukes alene, eller som en del av en større kontrakt, forutsatt at supplerende kontraktsvilkår ikke inneholder bestemmelser som direkte eller indirekte er i strid med standardbestemmelsene. Det fremkommer av fortalen til beslutningen at behandlingsansvarlig og databehandler oppfordres til å fastsette ytterligere garantier som utfyller standardbestemmelsene. Dette fremgår også i fortalepunkt 109 til personvernforordningen. I tillegg til standardbestemmelsene må behandlingsansvarlig og databehandler også oppfylle de generelle forpliktelsene som ligger i personvernforordningen, slik som plikt til å opplyse den registrerte om at personopplysninger overføres til tredjestat og hvor informasjon om de nødvendige garantier er gjort tilgjengelig, jf. personvernforordningen artikkel 13 nr. 1 bokstav f) og art. 14 nr. 1 bokstav f).

Standardbestemmelsene er bygd opp som moduler, og det forutsettes at behandlingsansvarlig og databehandler tilpasser bestemmelsene til sitt bruk. Videre forutsettes at for å sikre nødvendige garantier etter bestemmelsene, må det sikres at personopplysninger som overføres gis et beskyttelsesnivå som i det vesentlige tilsvarer beskyttelsesnivået i EU. Dette innebærer bl.a. et ansvar for å sikre at lovverket i mottakerlandet ikke er til hinder for å overholde bestemmelsene om tilstrekkelig beskyttelsesnivå, f.eks. ved bestemmelser som gir offentlige myndigheter i mottakerlandet  tilgang til personopplysninger i strid med personvernforordningen.

De standard personvernbestemmelsene vil også kunne gi tilstrekkelige garantier etter personvernforordningen artikkel 28. Hvis en behandlingsansvarlig ønsker å overføre personopplysninger til en databehandler utenfor EØS-området, eller en databehandler innenfor EØS-området ønsker å overføre personopplysninger til en annen databehandler (underdatabehandler) som er utenfor EØS-området, vil standardbestemmelsene kunne benyttes for å gi tilstrekkelige garantier etter artikkel 28 nr. 3. og 4.

De standard personvernbestemmelsene skal evalueres regelmessig i tilknytning til Kommisjonens rapporter etter personvernforordningen artikkel 97.

Merknader
Rettslige konsekvenser

Beslutningen krever ingen endringer i norsk regelverk.

Økonomiske og administrative konsekvenser

Rettsakten medfører ingen direkte administrative eller økonomiske konsekvenser for Norge. 

Rettsakten forenkler krav til overføring av personopplysninger fra EØS-land til tredjestater ved å angi standard personvernbestemmelser som kan benyttes ved overføringen. Dette kan gi økonomiske og administrative besparelser for både næringslivet og offentlige organer.  

Sakkyndige instansers merknader

Rettsakten ble sendt på skriftlig foreleggelse til Justisdepartementet som berørt departement. Det framkom ingen materielle merknader til rettsakten.

Vurdering

Rettsakten er EØS-relevant og akseptabel.

Andre opplysninger

Nøkkelinformasjon

Institusjon: Kommisjonen
Type rettsakt: Vedtak/beslutning
KOM-nr.:
Rettsaktnr.: (EU)2021/0914
Basis rettsaktnr.:
Celexnr.: 32021D0914

EFTA-prosessen

Dato mottatt standardskjema: 14.06.2021
Frist returnering standardskjema: 18.10.2021
Dato returnert standardskjema:
EØS-relevant: Ja
Akseptabelt: Ja
Tekniske tilpasningstekster: Nei
Materielle tilpasningstekster: Nei
Art. 103-forbehold: Nei

Norsk regelverk

Endring av norsk regelverk: Nei
Høringsstart:
Høringsfrist:
Frist for gjennomføring:

Lenker