32016D2297
Commission Implementing Decision (EU) 2016/2297 of 16 December 2016 amending Decisions 2001/497/EC and 2010/87/EU on standard contractual clauses for the transfer of personal data to third countries and to processors established in such countries, under Directive 95/46/EC of the European Parliament and of the Council
Framkvæmdarákvörðun framkvæmdastjórnarinnar (ESB) 2016/2297 frá 16. desember 2016 um breytingu á ákvörðunum 2001/497/EB og 2010/87/ESB um föst samningsákvæði um flutning persónuupplýsinga til þriðju landa og vinnsluaðila með staðfestu í þeim löndum í samræmi við tilskipun Evrópuþingsins og ráðsins 95/46/EB
-
Tillaga sem gæti verið EES-tæk
-
Gerð í skoðun hjá EES-EFTA ríkjunum
-
Drög að ákvörðun sameiginlegu nefndarinnar í skoðun
-
Ákvörðun sameiginlegu nefndarinnar samþykkt en hefur ekki öðlast gildi
-
Tekin upp í EES-samninginn og í gildi
-
Tekin upp í EES-samninginn en ekki lengur í gildi
Staða og svið tillögu/gerðar
| Staða tillögu/gerðar | ESB gerð sem hefur verið tekin upp í EES-samninginn og er í gildi |
|---|---|
| Svið (EES-samningur, viðauki) | 11 Rafræn fjarskipti, hljóð- og myndmiðlun og upplýsingasamfélagið, 11.03 Gagnavernd |
| Ákvörðun sameiginlegu nefndarinnar (JCD) | 095/2017 |
| Þennan dag skulu skilyrði uppfyllt á EES-svæðinu | |
| Staðfestur gildistökudagur | |
| Í gildi á EES-svæðinu | Já |
Almennar upplýsingar
Útdráttur
Markmiðið er að tryggja fullnægjandi vernd persónuupplýsinga í löndum utan Evrópusambandsins og EFTA-landanna sem skv. ákvörðunum framkvæmdastjórnar ESB hafa verið talin örugg í þeim efnum þegar notast er við staðlaða samningsskilmála, standard contractual clauses
Með dómi Evrópudómstólsins í máli C-362/14 Schrems v Data Protection Commissioner voru ákvæði 1. og 3. gr. ákvörðunar 2000/520/EB dæmd ógild. Í dóminum er komist að þeirri niðurstöðu að þrátt fyrir að framkvæmdastjórn ESB hafi ákveðið að löggjöf í tilteknum ríkjum utan ESB tryggi fullnægjandi vernd persónuupplýsinga þá dragi það ekki úr valdi persónuverndarstofnana í hverju ríki fyrir sig að rannsaka það sjálfstætt hvort tiltekið öruggt þriðja ríki veiti persónuupplýsingum fullnægjandi vernd í tilteknu máli sem það hefur til meðferðar.
Með dómi Evrópudómstólsins í máli C-362/14 Schrems v Data Protection Commissioner voru ákvæði 1. og 3. gr. ákvörðunar 2000/520/EB dæmd ógild. Í dóminum er komist að þeirri niðurstöðu að þrátt fyrir að framkvæmdastjórn ESB hafi ákveðið að löggjöf í tilteknum ríkjum utan ESB tryggi fullnægjandi vernd persónuupplýsinga þá dragi það ekki úr valdi persónuverndarstofnana í hverju ríki fyrir sig að rannsaka það sjálfstætt hvort tiltekið öruggt þriðja ríki veiti persónuupplýsingum fullnægjandi vernd í tilteknu máli sem það hefur til meðferðar.
Nánari efnisumfjöllun
Markmiðið er að tryggja fullnægjandi vernd persónuupplýsinga í löndum utan Evrópusambandsins og EFTA-landanna sem skv. ákvörðunum framkvæmdastjórnar ESB hafa verið talin örugg í þeim efnum þegar notast er við staðlaða samningsskilmála, standard contractual clauses
Með dómi Evrópudómstólsins í máli C-362/14 Schrems v Data Protection Commissioner voru ákvæði 1. og 3. gr. ákvörðunar 2000/520/EB dæmd ógild. Í dóminum er komist að þeirri niðurstöðu að þrátt fyrir að framkvæmdastjórn ESB hafi ákveðið að löggjöf í tilteknum ríkjum utan ESB tryggi fullnægjandi vernd persónuupplýsinga þá dragi það ekki úr valdi persónuverndarstofnana í hverju ríki fyrir sig að rannsaka það sjálfstætt hvort tiltekið öruggt þriðja ríki veiti persónuupplýsingum fullnægjandi vernd í tilteknu máli sem það hefur til meðferðar. Taldi dómstóllinn m.a. að framkvæmdastjórn ESB hefði, með innleiðingu ákvörðunarinnar, farið út fyrir valdheimildir sínar eins og þær væru skilgreindar í 25. gr. tilskipunar 95/46/EB. Í aðfararorðum ákvörðunar 2016/2297 er vikið að niðurstöðu dómsins og í ljósi hans og 266. gr. ESB-sáttmálans hafa þau ákvæði sem takmarka völd persónuverndarstofnana verið felld brott.
Með ákvörðuninni er eftirlitsstofnun í hverju aðildarríki gert skylt að tilkynna framkvæmdastjórninni þegar tekin er ákvörðun um að stöðva eða banna flutning persónuupplýsinga til þeirra landa sem teljast örugg þriðju lönd skv. þeim ákvörðunum sem talin eru upp í heiti gerðarinnar. Þá er framkvæmdastjórninni gert skylt að fylgjast með því að þau ríki sem teljast til öruggra þriðju landa tryggi fullnægjandi vernd persónuupplýsinga með reglubundnum hætti, m.a. hvað varðar aðgang stjórnvalda að persónuupplýsingaum. Einnig er gert ráð fyrir upplýsingaskiptum milli framkvæmdastjórnarinnar og aðildarríkja ef vart verður við brot gegn viðeigandi ákvörðun.
Helstu breytingar hér á landi eru þær að Persónuvernd mun geta tekið til efnislegrar meðferðar mál um flutning persónuupplýsinga til öruggra þriðju landa á grundvelli staðlaðra samningsskilmála og það hvort að viðkomandi ríki veiti fullnægjandi vernd. Gert er ráð fyrir að niðurstöður slíkra mála verði tilkynntar til ESA í samræmi við bókun 1 um altæka aðlögun.
Ekki er gert ráð fyrir að umfang ákvörðunarinnar sé mikið eða hún hafi mikil áhrif. Berist kvartanir vegna þessara mála og Persónuvernd þarf að sinna þeim gæti það breyst. Gera má ráð fyrir að umfangið falli innan ramma reglubundinnar starfssemi persónuverndar.
Markmiðið er að tryggja fullnægjandi vernd persónuupplýsinga í löndum utan Evrópusambandsins og EFTA-landanna sem skv. ákvörðunum framkvæmdastjórnar ESB hafa verið talin örugg í þeim efnum þegar notast er við staðlaða samningsskilmála, standard contractual clauses
Með dómi Evrópudómstólsins í máli C-362/14 Schrems v Data Protection Commissioner voru ákvæði 1. og 3. gr. ákvörðunar 2000/520/EB dæmd ógild. Í dóminum er komist að þeirri niðurstöðu að þrátt fyrir að framkvæmdastjórn ESB hafi ákveðið að löggjöf í tilteknum ríkjum utan ESB tryggi fullnægjandi vernd persónuupplýsinga þá dragi það ekki úr valdi persónuverndarstofnana í hverju ríki fyrir sig að rannsaka það sjálfstætt hvort tiltekið öruggt þriðja ríki veiti persónuupplýsingum fullnægjandi vernd í tilteknu máli sem það hefur til meðferðar. Taldi dómstóllinn m.a. að framkvæmdastjórn ESB hefði, með innleiðingu ákvörðunarinnar, farið út fyrir valdheimildir sínar eins og þær væru skilgreindar í 25. gr. tilskipunar 95/46/EB. Í aðfararorðum ákvörðunar 2016/2297 er vikið að niðurstöðu dómsins og í ljósi hans og 266. gr. ESB-sáttmálans hafa þau ákvæði sem takmarka völd persónuverndarstofnana verið felld brott.
Með ákvörðuninni er eftirlitsstofnun í hverju aðildarríki gert skylt að tilkynna framkvæmdastjórninni þegar tekin er ákvörðun um að stöðva eða banna flutning persónuupplýsinga til þeirra landa sem teljast örugg þriðju lönd skv. þeim ákvörðunum sem talin eru upp í heiti gerðarinnar. Þá er framkvæmdastjórninni gert skylt að fylgjast með því að þau ríki sem teljast til öruggra þriðju landa tryggi fullnægjandi vernd persónuupplýsinga með reglubundnum hætti, m.a. hvað varðar aðgang stjórnvalda að persónuupplýsingaum. Einnig er gert ráð fyrir upplýsingaskiptum milli framkvæmdastjórnarinnar og aðildarríkja ef vart verður við brot gegn viðeigandi ákvörðun.
Helstu breytingar hér á landi eru þær að Persónuvernd mun geta tekið til efnislegrar meðferðar mál um flutning persónuupplýsinga til öruggra þriðju landa á grundvelli staðlaðra samningsskilmála og það hvort að viðkomandi ríki veiti fullnægjandi vernd. Gert er ráð fyrir að niðurstöður slíkra mála verði tilkynntar til ESA í samræmi við bókun 1 um altæka aðlögun.
Ekki er gert ráð fyrir að umfang ákvörðunarinnar sé mikið eða hún hafi mikil áhrif. Berist kvartanir vegna þessara mála og Persónuvernd þarf að sinna þeim gæti það breyst. Gera má ráð fyrir að umfangið falli innan ramma reglubundinnar starfssemi persónuverndar.
Með dómi Evrópudómstólsins í máli C-362/14 Schrems v Data Protection Commissioner voru ákvæði 1. og 3. gr. ákvörðunar 2000/520/EB dæmd ógild. Í dóminum er komist að þeirri niðurstöðu að þrátt fyrir að framkvæmdastjórn ESB hafi ákveðið að löggjöf í tilteknum ríkjum utan ESB tryggi fullnægjandi vernd persónuupplýsinga þá dragi það ekki úr valdi persónuverndarstofnana í hverju ríki fyrir sig að rannsaka það sjálfstætt hvort tiltekið öruggt þriðja ríki veiti persónuupplýsingum fullnægjandi vernd í tilteknu máli sem það hefur til meðferðar. Taldi dómstóllinn m.a. að framkvæmdastjórn ESB hefði, með innleiðingu ákvörðunarinnar, farið út fyrir valdheimildir sínar eins og þær væru skilgreindar í 25. gr. tilskipunar 95/46/EB. Í aðfararorðum ákvörðunar 2016/2297 er vikið að niðurstöðu dómsins og í ljósi hans og 266. gr. ESB-sáttmálans hafa þau ákvæði sem takmarka völd persónuverndarstofnana verið felld brott.
Með ákvörðuninni er eftirlitsstofnun í hverju aðildarríki gert skylt að tilkynna framkvæmdastjórninni þegar tekin er ákvörðun um að stöðva eða banna flutning persónuupplýsinga til þeirra landa sem teljast örugg þriðju lönd skv. þeim ákvörðunum sem talin eru upp í heiti gerðarinnar. Þá er framkvæmdastjórninni gert skylt að fylgjast með því að þau ríki sem teljast til öruggra þriðju landa tryggi fullnægjandi vernd persónuupplýsinga með reglubundnum hætti, m.a. hvað varðar aðgang stjórnvalda að persónuupplýsingaum. Einnig er gert ráð fyrir upplýsingaskiptum milli framkvæmdastjórnarinnar og aðildarríkja ef vart verður við brot gegn viðeigandi ákvörðun.
Helstu breytingar hér á landi eru þær að Persónuvernd mun geta tekið til efnislegrar meðferðar mál um flutning persónuupplýsinga til öruggra þriðju landa á grundvelli staðlaðra samningsskilmála og það hvort að viðkomandi ríki veiti fullnægjandi vernd. Gert er ráð fyrir að niðurstöður slíkra mála verði tilkynntar til ESA í samræmi við bókun 1 um altæka aðlögun.
Ekki er gert ráð fyrir að umfang ákvörðunarinnar sé mikið eða hún hafi mikil áhrif. Berist kvartanir vegna þessara mála og Persónuvernd þarf að sinna þeim gæti það breyst. Gera má ráð fyrir að umfangið falli innan ramma reglubundinnar starfssemi persónuverndar.
Markmiðið er að tryggja fullnægjandi vernd persónuupplýsinga í löndum utan Evrópusambandsins og EFTA-landanna sem skv. ákvörðunum framkvæmdastjórnar ESB hafa verið talin örugg í þeim efnum þegar notast er við staðlaða samningsskilmála, standard contractual clauses
Með dómi Evrópudómstólsins í máli C-362/14 Schrems v Data Protection Commissioner voru ákvæði 1. og 3. gr. ákvörðunar 2000/520/EB dæmd ógild. Í dóminum er komist að þeirri niðurstöðu að þrátt fyrir að framkvæmdastjórn ESB hafi ákveðið að löggjöf í tilteknum ríkjum utan ESB tryggi fullnægjandi vernd persónuupplýsinga þá dragi það ekki úr valdi persónuverndarstofnana í hverju ríki fyrir sig að rannsaka það sjálfstætt hvort tiltekið öruggt þriðja ríki veiti persónuupplýsingum fullnægjandi vernd í tilteknu máli sem það hefur til meðferðar. Taldi dómstóllinn m.a. að framkvæmdastjórn ESB hefði, með innleiðingu ákvörðunarinnar, farið út fyrir valdheimildir sínar eins og þær væru skilgreindar í 25. gr. tilskipunar 95/46/EB. Í aðfararorðum ákvörðunar 2016/2297 er vikið að niðurstöðu dómsins og í ljósi hans og 266. gr. ESB-sáttmálans hafa þau ákvæði sem takmarka völd persónuverndarstofnana verið felld brott.
Með ákvörðuninni er eftirlitsstofnun í hverju aðildarríki gert skylt að tilkynna framkvæmdastjórninni þegar tekin er ákvörðun um að stöðva eða banna flutning persónuupplýsinga til þeirra landa sem teljast örugg þriðju lönd skv. þeim ákvörðunum sem talin eru upp í heiti gerðarinnar. Þá er framkvæmdastjórninni gert skylt að fylgjast með því að þau ríki sem teljast til öruggra þriðju landa tryggi fullnægjandi vernd persónuupplýsinga með reglubundnum hætti, m.a. hvað varðar aðgang stjórnvalda að persónuupplýsingaum. Einnig er gert ráð fyrir upplýsingaskiptum milli framkvæmdastjórnarinnar og aðildarríkja ef vart verður við brot gegn viðeigandi ákvörðun.
Helstu breytingar hér á landi eru þær að Persónuvernd mun geta tekið til efnislegrar meðferðar mál um flutning persónuupplýsinga til öruggra þriðju landa á grundvelli staðlaðra samningsskilmála og það hvort að viðkomandi ríki veiti fullnægjandi vernd. Gert er ráð fyrir að niðurstöður slíkra mála verði tilkynntar til ESA í samræmi við bókun 1 um altæka aðlögun.
Ekki er gert ráð fyrir að umfang ákvörðunarinnar sé mikið eða hún hafi mikil áhrif. Berist kvartanir vegna þessara mála og Persónuvernd þarf að sinna þeim gæti það breyst. Gera má ráð fyrir að umfangið falli innan ramma reglubundinnar starfssemi persónuverndar.
Staða innan stjórnsýslunnar
| Stofnun hefur lokið yfirferð | Já |
|---|---|
| Þörf á aðlögun í ákvörðun sameiginlegu nefndarinnar | Ekki þörf á aðlögun |
| Fagráðuneyti hefur lokið vinnu við upplýsingablað og samþykkir drög að ákvörðun sameiginlegu nefndarinnar | Nei |
| Utanríkisráðuneyti hefur veitt samþykki fyrir því að drög að ákvörðun sameiginlegu nefndarinnar séu send til ESB | Já |
Innleiðing
| Innleiðing | Engar laga- eða reglugerðabreytingar |
|---|---|
| Tilgreinið hvaða lög eða reglugerð þarf að setja eða breyta | lagastoð er að finna í 2. mgr. 29. gr. laga um persónuvernd, 77/2000. Innleiðing fer fram með birtingu á heimasíðu Persónuverndar í lista yfir örugg lönd auk þess sem birt verður auglýsing í stjórnartíðindum með vísan til ofangr heimildar |
| Staða innleiðingarvinnu | Innleiðingarvinnu lokið (tilkynnt til ESA – form 1) eða þarfnast ekki innleiðingar |
Samráð
| Samráð | Nei |
|---|
Áhrif
| Áætlaður kostnaður hins opinbera | Enginn |
|---|
Ábyrgðaraðilar
| Ábyrgt ráðuneyti | Dómsmálaráðuneytið |
|---|---|
| Ábyrg stofnun | Persónuvernd |
Samþykktar gerðir birtar í Stjórnartíðindum ESB
| CELEX-númer | 32016D2297 |
|---|---|
| Þennan dag skulu skilyrði uppfyllt í ESB | |
| Samþykkt tilvísun í Stjórnartíðindi ESB | OJ L 344, 17.12.2016, p. 100 |
| Þennan dag skulu skilyrði uppfyllt í ESB |
Vinnslustig (pipeline stage)
| Samþykktardagur i ESB |
|---|
Ákvörðun sameiginlegu nefndarinnar
| Sendingardagur EFTA á drögum að ákvörðun sameiginlegu nefndarinnar til framkvæmdastjórnarinnar | |
|---|---|
| Staðfestur gildistökudagur | |
| Tilvísun í EES-viðbæti | EEA Supplement No 11, 7.2.2019, p. 64 |
| Tilvísun í stjórnartíðindi ESB | OJ L 36, 7.2.2019, p. 54 |