32016D2295
Commission Implementing Decision (EU) 2016/2295 of 16 December 2016 amending Decisions 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU, 2011/61/EU and Implementing Decisions 2012/484/EU, 2013/65/EU on the adequate protection of personal data by certain countries, pursuant to Article 25(6) of Directive 95/46/EC of the European Parliament and of the Council
Framkvæmdarákvörðun framkvæmdastjórnarinnar (ESB) 2016/2295 frá 16. desember 2016 um breytingu á ákvörðunum 2000/518/EB, 2002/2/EB, 2003/490/EB, 2003/821/EB, 2004/411/EB, 2008/393/EB, 2010/146/ESB, 2010/625/ESB, 2011/61/ESB og framkvæmdarákvörðunum 2012/484/ESB og 2013/65/ESB um fullnægjandi vernd persónuupplýsinga í tilteknum löndum skv. 6. mgr. 25. gr. tilskipunar Evrópuþingsins og ráðsins 95/46/EB
-
Tillaga sem gæti verið EES-tæk
-
Gerð í skoðun hjá EES-EFTA ríkjunum
-
Drög að ákvörðun sameiginlegu nefndarinnar í skoðun
-
Ákvörðun sameiginlegu nefndarinnar samþykkt en hefur ekki öðlast gildi
-
Tekin upp í EES-samninginn og í gildi
-
Tekin upp í EES-samninginn en ekki lengur í gildi
Staða og svið tillögu/gerðar
Staða tillögu/gerðar | ESB gerð sem hefur verið tekin upp í EES-samninginn og er í gildi |
---|---|
Svið (EES-samningur, viðauki) | 11 Rafræn fjarskipti, hljóð- og myndmiðlun og upplýsingasamfélagið, 11.03 Gagnavernd |
Ákvörðun sameiginlegu nefndarinnar (JCD) | 095/2017 |
Þennan dag skulu skilyrði uppfyllt á EES-svæðinu | |
Staðfestur gildistökudagur | |
Í gildi á EES-svæðinu | Já |
Almennar upplýsingar
Útdráttur
Með dómi Evrópudómstólsins í máli C-362/14 Schrems v Data Protection Commissioner voru ákvæði 1. og 3. gr. ákvörðunar 2000/520/EB dæmd ógild. Í dóminum er komist að þeirri niðurstöðu að þrátt fyrir að framkvæmdastjórn ESB hafi ákveðið að löggjöf í tilteknum ríkjum utan ESB tryggi fullnægjandi vernd persónuupplýsinga þá dragi það ekki úr valdi persónuverndarstofnana í hverju ríki fyrir sig að rannsaka það sjálfstætt hvort tiltekið öruggt þriðja ríki veiti persónuupplýsingum fullnægjandi vernd í tilteknu máli sem það hefur til meðferðar.
Nánari efnisumfjöllun
Að tryggja fullnægjandi vernd persónuupplýsinga í löndum utan Evrópusambandsins og EFTA-landanna sem skv. ákvörðunum framkvæmdastjórnar ESB hafa verið talin örugg í þeim efnum.
Með dómi Evrópudómstólsins í máli C-362/14 Schrems v Data Protection Commissioner voru ákvæði 1. og 3. gr. ákvörðunar 2000/520/EB dæmd ógild. Í dóminum er komist að þeirri niðurstöðu að þrátt fyrir að framkvæmdastjórn ESB hafi ákveðið að löggjöf í tilteknum ríkjum utan ESB tryggi fullnægjandi vernd persónuupplýsinga þá dragi það ekki úr valdi persónuverndarstofnana í hverju ríki fyrir sig að rannsaka það sjálfstætt hvort tiltekið öruggt þriðja ríki veiti persónuupplýsingum fullnægjandi vernd í tilteknu máli sem það hefur til meðferðar. Taldi dómstóllinn m.a. að framkvæmdastjórn ESB hefði, með innleiðingu ákvörðunarinnar, farið út fyrir valdheimildir sínar eins og þær væru skilgreindar í 25. gr. tilskipunar 95/46/EB. Í aðfararorðum ákvörðunar 2016/2295 er vikið að niðurstöðu dómsins og í ljósi þess að orðalag ákvarðana 2000/518/EB, 2002/2/EB, 2003/490/EB, 2003/821/EB, 2004/411/EB, 2008/393/EB, 2010/146/ESB, 2010/625/ESB, 2011/61/ESB og 2012/484/ESB, 2013/65/ESB sé sambærilegt orðalagi ákvörðunar 2000/520/EB séu einnig gerðar breytingar á ákvæðum framangreindra gerða í samræmi við niðurstöðu dómsins.
Með ákvörðuninni er eftirlitsstofnun í hverju aðildarríki gert skylt að tilkynna framkvæmdastjórninni þegar tekin er ákvörðun um að stöðva eða banna flutning persónuupplýsinga til þeirra landa sem teljast örugg þriðju lönd skv. þeim ákvörðunum sem talin eru upp í heiti gerðarinnar. Þá er framkvæmdastjórninni gert skylt að fylgjast með því að þau ríki sem teljast til öruggra þriðju landa tryggi fullnægjandi vernd persónuupplýsinga með reglubundnum hætti, m.a. hvað varðar aðgang stjórnvalda að persónuupplýsingum. Einnig er gert ráð fyrir upplýsingaskiptum milli framkvæmdastjórnarinnar og aðildarríkja ef vart verður við brot gegn viðeigandi ákvörðun.
Helstu breytingar sem verða hér á landi eru þær að Persónuvernd mun geta tekið til efnislegrar meðferðar mál um flutning persónuupplýsinga til öruggra þriðju landa og það hvort að viðkomandi ríki veiti fullnægjandi vernd. Gert er ráð fyrir að niðurstöður slíkra mála verði tilkynntar til ESA í samræmi við bókun 1 um altæka aðlögun.
Ekki er gert ráð fyrir að umfang ákvörðunarinnar sé mikið eða hún hafi mikil áhrif. Berist kvartanir vegna þessara mála og Persónuvernd þarf að sinna þeim gæti það breyst. Gera má ráð fyrir að umfangið falli innan ramma reglubundinnar starfssemi persónuverndar.
Með dómi Evrópudómstólsins í máli C-362/14 Schrems v Data Protection Commissioner voru ákvæði 1. og 3. gr. ákvörðunar 2000/520/EB dæmd ógild. Í dóminum er komist að þeirri niðurstöðu að þrátt fyrir að framkvæmdastjórn ESB hafi ákveðið að löggjöf í tilteknum ríkjum utan ESB tryggi fullnægjandi vernd persónuupplýsinga þá dragi það ekki úr valdi persónuverndarstofnana í hverju ríki fyrir sig að rannsaka það sjálfstætt hvort tiltekið öruggt þriðja ríki veiti persónuupplýsingum fullnægjandi vernd í tilteknu máli sem það hefur til meðferðar. Taldi dómstóllinn m.a. að framkvæmdastjórn ESB hefði, með innleiðingu ákvörðunarinnar, farið út fyrir valdheimildir sínar eins og þær væru skilgreindar í 25. gr. tilskipunar 95/46/EB. Í aðfararorðum ákvörðunar 2016/2295 er vikið að niðurstöðu dómsins og í ljósi þess að orðalag ákvarðana 2000/518/EB, 2002/2/EB, 2003/490/EB, 2003/821/EB, 2004/411/EB, 2008/393/EB, 2010/146/ESB, 2010/625/ESB, 2011/61/ESB og 2012/484/ESB, 2013/65/ESB sé sambærilegt orðalagi ákvörðunar 2000/520/EB séu einnig gerðar breytingar á ákvæðum framangreindra gerða í samræmi við niðurstöðu dómsins.
Með ákvörðuninni er eftirlitsstofnun í hverju aðildarríki gert skylt að tilkynna framkvæmdastjórninni þegar tekin er ákvörðun um að stöðva eða banna flutning persónuupplýsinga til þeirra landa sem teljast örugg þriðju lönd skv. þeim ákvörðunum sem talin eru upp í heiti gerðarinnar. Þá er framkvæmdastjórninni gert skylt að fylgjast með því að þau ríki sem teljast til öruggra þriðju landa tryggi fullnægjandi vernd persónuupplýsinga með reglubundnum hætti, m.a. hvað varðar aðgang stjórnvalda að persónuupplýsingum. Einnig er gert ráð fyrir upplýsingaskiptum milli framkvæmdastjórnarinnar og aðildarríkja ef vart verður við brot gegn viðeigandi ákvörðun.
Helstu breytingar sem verða hér á landi eru þær að Persónuvernd mun geta tekið til efnislegrar meðferðar mál um flutning persónuupplýsinga til öruggra þriðju landa og það hvort að viðkomandi ríki veiti fullnægjandi vernd. Gert er ráð fyrir að niðurstöður slíkra mála verði tilkynntar til ESA í samræmi við bókun 1 um altæka aðlögun.
Ekki er gert ráð fyrir að umfang ákvörðunarinnar sé mikið eða hún hafi mikil áhrif. Berist kvartanir vegna þessara mála og Persónuvernd þarf að sinna þeim gæti það breyst. Gera má ráð fyrir að umfangið falli innan ramma reglubundinnar starfssemi persónuverndar.
Staða innan stjórnsýslunnar
Stofnun hefur lokið yfirferð | Já |
---|---|
Þörf á aðlögun í ákvörðun sameiginlegu nefndarinnar | Ekki þörf á aðlögun |
Fagráðuneyti hefur lokið vinnu við upplýsingablað og samþykkir drög að ákvörðun sameiginlegu nefndarinnar | Nei |
Utanríkisráðuneyti hefur veitt samþykki fyrir því að drög að ákvörðun sameiginlegu nefndarinnar séu send til ESB | Já |
Innleiðing
Innleiðing | Reglugerð - breyting eða ný |
---|---|
Tilgreinið hvaða lög eða reglugerð þarf að setja eða breyta | lagastoð er að finna í 2. mgr. 29. gr. laga um persónuvernd, 77/2000. Innleiðing fer fram með birtingu á heimasíðu Persónuverndar í lista yfir örugg lönd auk þess sem birt verður auglýsing í stjórnartíðindum með vísan til ofangr heimildar |
Staða innleiðingarvinnu | Innleiðingarvinnu lokið (tilkynnt til ESA – form 1) eða þarfnast ekki innleiðingar |
Samráð
Samráð | Nei |
---|
Áhrif
Áætlaður kostnaður hins opinbera | Enginn |
---|---|
Mat á áhrifum og sérstökum hagsmunum Íslands | Sjá efnisútdrátt |
Ábyrgðaraðilar
Ábyrgt ráðuneyti | Dómsmálaráðuneytið |
---|---|
Ábyrg stofnun | Persónuvernd |
Samþykktar gerðir birtar í Stjórnartíðindum ESB
CELEX-númer | 32016D2295 |
---|---|
Þennan dag skulu skilyrði uppfyllt í ESB | |
Samþykkt tilvísun í Stjórnartíðindi ESB | OJ L 344, 17.12.2016, p. 83 |
Þennan dag skulu skilyrði uppfyllt í ESB |
Vinnslustig (pipeline stage)
Samþykktardagur i ESB |
---|
Ákvörðun sameiginlegu nefndarinnar
Sendingardagur EFTA á drögum að ákvörðun sameiginlegu nefndarinnar til framkvæmdastjórnarinnar | |
---|---|
Staðfestur gildistökudagur | |
Tilvísun í EES-viðbæti | EEA Supplement No 11, 7.2.2019, p. 64 |
Tilvísun í stjórnartíðindi ESB | OJ L 36, 7.2.2019, p. 54 |