Kommisjonsbeslutning om standardavtalevilkår mellom behandlingsansvarlige og databehandler

Kommisjonsbeslutning (EU) 2021/915 av 4. juni 2021 om standardavtalevilkår mellom behandlingsansvarlige og databehandler i henhold til artikkel 28 nr. 7 i Europaparlamentets og rådets forordning (EU) 2016/679 og artikkel 29 nr. 7 i Europaparlamentets og rådets forordning (EU) 2018/1725

Commission Implementing Decision (EU) 2021/915 of 4 June 2021 on standard contractual clauses between controllers and processors under Article 28(7) of Regulation (EU) 2016/679 of the European Parliament and of the Council and Article 29(7) of Regulation (EU) 2018/1725 of the European Parliament and of the Council

Sakstrinn

  1. Faktanotat
  2. Foreløpig posisjonsnotat
  3. Posisjonsnotat
  4. Gjennomføringsnotat

Opprettet 04.10.2021

Spesialutvalg: Kommunikasjoner

Dato sist behandlet i spesialutvalg:

Hovedansvarlig(e) departement(er): Kommunal- og moderniseringsdepartementet

Vedlegg/protokoll i EØS-avtalen: Vedlegg XI. Elektronisk kommunikasjon, audiovisuelle tjenester og informasjonssamfunnstjenester

Kapittel i EØS-avtalen:

Status

Rettsakten ble publisert i Official Journal 7. juni 2021 og trådte i kraft i EU 27. juni 2021.

Sammendrag av innhold

Rettsakten oppstiller standardavtalevilkår for overføring av personopplysninger mellom behandlingsansvarlige og databehandler, gitt i vedlegg til beslutningen. Den oppstiller standardavtalevilkår for overføring etter både personvernforordningen (EU) 2016/679 og forordning (EU) 2018/1725 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger i Unionens institusjoner, organer, kontorer og agenturer og om fri utveksling av slike opplysninger. Sistnevnte forordning omhandler kun EU organer og omfattes ikke av EØS-avtalen. Kommisjonsbeslutningen er likevel relevant i sin helhet fordi beslutningen oppstiller ett sett standardbestemmelser som er ment for bruk etter begge forordningene fordi regelsettene er tilpasset for å gi likelydende krav. Alle bestemmelsene får dermed gyldighet også etter personvernforordningen.

Etter personvernforordningen artikkel 28 nr. 1 skal en behandlingsansvarlig bare bruke en databehandler som gir tilstrekkelige garantier for at de vil gjennomføre egnede teknisk og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i personvernforordningen og vern av den registrertes rettigheter. Dette skal sikres ved en avtale eller rettslig dokument, jf. nr. 3 og 4. I artikkel 28 nr. 7 gis Kommisjonen fullmakt til å fastsette standardavtalevilkår etter nr. 3 og 4 i bestemmelsen. I gjeldende rettsakt fastsetter Kommisjonen slike standardavtalevilkår.

Standardavtalevilkårene angir tilstrekkelige garantier til bruk i avtalen mellom behandlingsansvarlige og databehandler. Det stilles bl.a. krav til tilstrekkelig fagkunnskap, pålitelighet og ressurser til å gjennomføre teknisk og organisatoriske tiltak som er nødvendige. Vilkårene er angitt ved alternativer, og det forutsettes tilpasning ved den enkelte avtale. De kan brukes alene, eller som en del av en større kontrakt, forutsatt at supplerende kontraktsvilkår ikke inneholder bestemmelser som direkte eller indirekte er i strid med standardvilkårene. Standardavtalevilkårene gjelder ikke ved overføring av personopplysninger til tredjestater. Ved overføring til tredjestater må eventuelt Kommisjonens standard personvernbestemmelser for overføring til tredjestater benyttes.

Standardavtalevilkårene skal evalueres regelmessig i tilknytning til Kommisjonens rapporter etter personvernforordningen artikkel 97. 

Merknader
Rettslige konsekvenser

Beslutningen krever ingen endringer i norsk regelverk. Rettsakten er ikke omfattet av forskriften til personopplysningsloven § 2. Standardavtalevilkårene oppstiller et forenklet alternativ for avtale etter personvernforordningen artikkel 28 nr. 3, men andre avtaler som tilfredstiller regelverket vil også kunne benyttes. Det er frivillig for norske enheter å benytte seg av standardavtalevilkårene.

Økonomiske og administrative konsekvenser

Rettsakten medfører ingen særlige administrative eller økonomiske konsekvenser for Norge.

Rettsakten forenkler krav til overføring av personopplysninger ved å angi standard personvernbestemmelser som kan benyttes ved overføringen. Dette kan gi økonomiske og administrative besparelser for både næringslivet og offentlige organer ved at det forenkler inngåelsen av avtalen mellom behandlingsansvarlige og databehandler. 

Sakkyndige instansers merknader

Rettsakten ble sendt på skriftlig foreleggelse til Justisdepartementet som berørt departement. Det fremkom ingen materielle merknader til rettsakten.

Vurdering

Rettsakten er EØS-relevant og akseptabel.

Andre opplysninger

Nøkkelinformasjon

Institusjon: Kommisjonen
Type rettsakt: Vedtak/beslutning
KOM-nr.:
Rettsaktnr.: (EU)2021/0915
Basis rettsaktnr.:
Celexnr.: 32021D0915

EFTA-prosessen

Dato mottatt standardskjema: 14.06.2021
Frist returnering standardskjema: 18.10.2021
Dato returnert standardskjema:
EØS-relevant: Ja
Akseptabelt: Ja
Tekniske tilpasningstekster: Nei
Materielle tilpasningstekster: Nei
Art. 103-forbehold: Nei

Norsk regelverk

Endring av norsk regelverk: Nei
Høringsstart:
Høringsfrist:
Frist for gjennomføring:

Lenker