32016D1250
Commission Implementing Decision (EU) 2016/1250 of 12 July 2016 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield
Framkvæmdarákvörðun framkvæmdastjórnarinnar (ESB) 2016/1250 frá 12. júlí 2016 samkvæmt tilskipun Evrópuþingsins og ráðsins 95/46/EB um fullnægjandi vernd sem Evrópusambandið og Bandaríkin hafa gert samkomulag um til varnar friðhelgi einkalífsins
-
Tillaga sem gæti verið EES-tæk
-
Gerð í skoðun hjá EES-EFTA ríkjunum
-
Drög að ákvörðun sameiginlegu nefndarinnar í skoðun
-
Ákvörðun sameiginlegu nefndarinnar samþykkt en hefur ekki öðlast gildi
-
Tekin upp í EES-samninginn og í gildi
-
Tekin upp í EES-samninginn en ekki lengur í gildi
Staða og svið tillögu/gerðar
| Staða tillögu/gerðar | ESB gerð sem hefur verið tekin upp í EES-samninginn en er ekki lengur í gildi |
|---|---|
| Svið (EES-samningur, viðauki) | 11 Rafræn fjarskipti, hljóð- og myndmiðlun og upplýsingasamfélagið, 11.03 Gagnavernd |
| Ákvörðun sameiginlegu nefndarinnar (JCD) | 144/2017 |
| Þennan dag skulu skilyrði uppfyllt á EES-svæðinu | |
| Staðfestur gildistökudagur | |
| Í gildi á EES-svæðinu | Nei |
Almennar upplýsingar
Útdráttur
Samkvæmt 25. gr. tilskipunar 95/46/EB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga, skulu EES-ríkin kveða á um að miðlun á persónuupplýsingum sem eru í vinnslu eða eru ætlaðar til vinnslu að miðlun lokinni til landa utan EES-svæðisins skuli því aðeins heimil að viðkomandi land tryggi nægilega vernd.
Nánari efnisumfjöllun
Samkvæmt 25. gr. tilskipunar 95/46/EB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga, skulu EES-ríkin kveða á um að miðlun á persónuupplýsingum sem eru í vinnslu eða eru ætlaðar til vinnslu að miðlun lokinni til landa utan EES-svæðisins skuli því aðeins heimil að viðkomandi land tryggi nægilega vernd.
Tilskipunin var tekin upp í EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar nr. 83/1999 og öðlaðist gildi 1. júlí 2000. Slík ákvörðun um Bandaríkin var tekin með ákvörðun framkvæmdastjórnarinnar nr. 2000/520/ESB frá 26. júlí 2000, einnig nefnd Safe Harbour. Hún var tekin upp í EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar nr. 108/2000.
Ákvörðun framkvæmdastjórnarinnar frá árinu 2000 var ógilt með dómi dómstóls Evrópusambandsins í máli C-362/14 (Schrems) frá 6. október 2015.
Niðurstaða dómsins var stjórnarskrá Evrópusambandsins og persónuverndartilskipunin tryggðu rétt til verndar persónuupplýsinga og að persónuverndaryfirvöldum bæri skylda til að framfylgja þeim rétti. Af þeim sökum gæti ákvörðun framkvæmdastjórnarinnar ekki hindrað persónuverndaryfirvöld í því að rannsaka kvartanir um að brot. Dómstóllinn vísaði til þess að við mat á gildi ákvörðunarinnar að löggjöf í Bandaríkjunum veiti öryggisstofnunum þar í landi víðtækan aðgang að persónuupplýsingum og að auki séu engin úrræði fyrir ríkisborgara ESB í Bandaríkjunum til að fá slík mál tekin fyrir dómstóla.
Um er m.a. að ræða alls kyns upplýsingar, m.a. um starfsmenn fyrirtækja sem hafa alþjóðlega starfssemi. Hingað til, eða í 16 ár, hafa upplýsingar af þessu tagi verið sendar frá Evrópu til Bandaríkjanna, en skv. ofangreindum dómi má það ekki lengur nema að tryggt sé með öðrum leiðum að upplýsingarnar séu verndaðar fullnægjandi. Einföld yfirlýsing þess efnis að Bandaríkin veiti fullnægjandi vernd, sbr. þau fyrirtæki sem tiltekin voru á listanum yfir hinar svokölluðu öruggar hafnir safe harbour dugar hins vegar ekki lengur.
Því er Evrópusambandið að semja við Bandaríkin um að gerðar verði ráðstafanir sem tryggi að persónuupplýsingar séu verndaðar með fullnægjandi hætti fyrir Evrópusambandið þannig að áfram verði unnt að senda þessar upplýsingar frá Evrópu til Bandaríkjanna. Það er sá samningur sem hér um ræðir (EU/US Privacy Shield) Í honum hefur tekist að fá tilgreint að samningurinn gildi einnig um EES EFTA-ríkin á grundvelli EES-samningsins.
Verði samningur Evrópusambandsins og Bandaríkjanna látinn ná til Íslands mun vinnsla persónuupplýsinga og vernd þeirra hér eftir sem hingað til verða í samræmi við 29. gr. laga um persónuvernd og meðferð persónuupplýsinga, nr. 77/2000 og þar með ekki um breytingar að ræða hér á landi.
Tilskipunin var tekin upp í EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar nr. 83/1999 og öðlaðist gildi 1. júlí 2000. Slík ákvörðun um Bandaríkin var tekin með ákvörðun framkvæmdastjórnarinnar nr. 2000/520/ESB frá 26. júlí 2000, einnig nefnd Safe Harbour. Hún var tekin upp í EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar nr. 108/2000.
Ákvörðun framkvæmdastjórnarinnar frá árinu 2000 var ógilt með dómi dómstóls Evrópusambandsins í máli C-362/14 (Schrems) frá 6. október 2015.
Niðurstaða dómsins var stjórnarskrá Evrópusambandsins og persónuverndartilskipunin tryggðu rétt til verndar persónuupplýsinga og að persónuverndaryfirvöldum bæri skylda til að framfylgja þeim rétti. Af þeim sökum gæti ákvörðun framkvæmdastjórnarinnar ekki hindrað persónuverndaryfirvöld í því að rannsaka kvartanir um að brot. Dómstóllinn vísaði til þess að við mat á gildi ákvörðunarinnar að löggjöf í Bandaríkjunum veiti öryggisstofnunum þar í landi víðtækan aðgang að persónuupplýsingum og að auki séu engin úrræði fyrir ríkisborgara ESB í Bandaríkjunum til að fá slík mál tekin fyrir dómstóla.
Um er m.a. að ræða alls kyns upplýsingar, m.a. um starfsmenn fyrirtækja sem hafa alþjóðlega starfssemi. Hingað til, eða í 16 ár, hafa upplýsingar af þessu tagi verið sendar frá Evrópu til Bandaríkjanna, en skv. ofangreindum dómi má það ekki lengur nema að tryggt sé með öðrum leiðum að upplýsingarnar séu verndaðar fullnægjandi. Einföld yfirlýsing þess efnis að Bandaríkin veiti fullnægjandi vernd, sbr. þau fyrirtæki sem tiltekin voru á listanum yfir hinar svokölluðu öruggar hafnir safe harbour dugar hins vegar ekki lengur.
Því er Evrópusambandið að semja við Bandaríkin um að gerðar verði ráðstafanir sem tryggi að persónuupplýsingar séu verndaðar með fullnægjandi hætti fyrir Evrópusambandið þannig að áfram verði unnt að senda þessar upplýsingar frá Evrópu til Bandaríkjanna. Það er sá samningur sem hér um ræðir (EU/US Privacy Shield) Í honum hefur tekist að fá tilgreint að samningurinn gildi einnig um EES EFTA-ríkin á grundvelli EES-samningsins.
Verði samningur Evrópusambandsins og Bandaríkjanna látinn ná til Íslands mun vinnsla persónuupplýsinga og vernd þeirra hér eftir sem hingað til verða í samræmi við 29. gr. laga um persónuvernd og meðferð persónuupplýsinga, nr. 77/2000 og þar með ekki um breytingar að ræða hér á landi.
Staða innan stjórnsýslunnar
| Stofnun hefur lokið yfirferð | Já |
|---|---|
| Þörf á aðlögun í ákvörðun sameiginlegu nefndarinnar | Ekki þörf á aðlögun |
| Fagráðuneyti hefur lokið vinnu við upplýsingablað og samþykkir drög að ákvörðun sameiginlegu nefndarinnar | Já |
| Utanríkisráðuneyti hefur veitt samþykki fyrir því að drög að ákvörðun sameiginlegu nefndarinnar séu send til ESB | Já |
Innleiðing
| Innleiðing | Engar laga- eða reglugerðabreytingar |
|---|---|
| Tilgreinið hvaða lög eða reglugerð þarf að setja eða breyta | Lagastoð er að finna í lögum um um persónuvernd og meðferð persónuupplýsinga, nr. 77/2000. Innleiðing fer fram með auglýsingu frá Persónuvernd í Stjórnartíðindum um flutning persónuupplýsinga til annarra landa um |
| Staða innleiðingarvinnu | Innleiðingarvinnu lokið (tilkynnt til ESA – form 1) eða þarfnast ekki innleiðingar |
Samráð
| Samráð | Nei |
|---|---|
| Hvaða hagsmunaaðilar | Samráð við persónuvernd |
| Niðurstöður samráðs | Sjá efnisútdrátt og innleiðingu |
Áhrif
| Áætlaður kostnaður hins opinbera | Innan fjárhagsáætlunar |
|---|---|
| Mat á áhrifum og sérstökum hagsmunum Íslands | Með innleiðingunni verður tryggt að ekki verður um breytingu að ræða hér á landi |
Ábyrgðaraðilar
| Ábyrgt ráðuneyti | Dómsmálaráðuneytið |
|---|---|
| Ábyrg stofnun | Persónuvernd |
Samþykktar gerðir birtar í Stjórnartíðindum ESB
| CELEX-númer | 32016D1250 |
|---|---|
| Þennan dag skulu skilyrði uppfyllt í ESB | |
| Samþykkt tilvísun í Stjórnartíðindi ESB | OJ L 207, 1.8.2016, p. 1 |
| Þennan dag skulu skilyrði uppfyllt í ESB |
Vinnslustig (pipeline stage)
| Dagsetning tillögu ESB | |
|---|---|
| C/D numer | D045249/12 |
| Dagsetning tillögu | |
| Samþykktardagur i ESB |
Ákvörðun sameiginlegu nefndarinnar
| Sendingardagur EFTA á drögum að ákvörðun sameiginlegu nefndarinnar til framkvæmdastjórnarinnar | |
|---|---|
| Staðfestur gildistökudagur | |
| Tilvísun í EES-viðbæti | EEA Supplement No 40, 16.5.2019, p. 45 |
| Tilvísun í stjórnartíðindi ESB | OJ L 128, 16.5.2019, p. 44 |