Personvernforordningen (GDPR): gjennomføringsbestemmelser om standardavtalevilkår mellom behandlingsansvarlige og databehandler
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 17.11.2021)
Sammendrag av innhold
Rettsakten oppstiller standardavtalevilkår for overføring av personopplysninger mellom behandlingsansvarlige og databehandler, gitt i vedlegg til beslutningen. Den oppstiller standardavtalevilkår for overføring etter både personvernforordningen (EU) 2016/679 og forordning (EU) 2018/1725 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger i Unionens institusjoner, organer, kontorer og agenturer og om fri utveksling av slike opplysninger. Sistnevnte forordning omhandler kun EU organer og omfattes ikke av EØS-avtalen. Kommisjonsbeslutningen er likevel relevant i sin helhet fordi beslutningen oppstiller ett sett standardbestemmelser som er ment for bruk etter begge forordningene fordi regelsettene er tilpasset for å gi likelydende krav. Alle bestemmelsene får dermed gyldighet også etter personvernforordningen.
Etter personvernforordningen artikkel 28 nr. 1 skal en behandlingsansvarlig bare bruke en databehandler som gir tilstrekkelige garantier for at de vil gjennomføre egnede teknisk og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i personvernforordningen og vern av den registrertes rettigheter. Dette skal sikres ved en avtale eller rettslig dokument, jf. nr. 3 og 4. I artikkel 28 nr. 7 gis Kommisjonen fullmakt til å fastsette standardavtalevilkår etter nr. 3 og 4 i bestemmelsen. I gjeldende rettsakt fastsetter Kommisjonen slike standardavtalevilkår.
Standardavtalevilkårene angir tilstrekkelige garantier til bruk i avtalen mellom behandlingsansvarlige og databehandler. Det stilles bl.a. krav til tilstrekkelig fagkunnskap, pålitelighet og ressurser til å gjennomføre teknisk og organisatoriske tiltak som er nødvendige. Vilkårene er angitt ved alternativer, og det forutsettes tilpasning ved den enkelte avtale. De kan brukes alene, eller som en del av en større kontrakt, forutsatt at supplerende kontraktsvilkår ikke inneholder bestemmelser som direkte eller indirekte er i strid med standardvilkårene. Standardavtalevilkårene gjelder ikke ved overføring av personopplysninger til tredjestater. Ved overføring til tredjestater må eventuelt Kommisjonens standard personvernbestemmelser for overføring til tredjestater benyttes.
Standardavtalevilkårene skal evalueres regelmessig i tilknytning til Kommisjonens rapporter etter personvernforordningen artikkel 97.
Merknader
Rettslige konsekvenser
Beslutningen krever ingen endringer i norsk regelverk. Rettsakten er ikke omfattet av forskriften til personopplysningsloven § 2. Standardavtalevilkårene oppstiller et forenklet alternativ for avtale etter personvernforordningen artikkel 28 nr. 3, men andre avtaler som tilfredstiller regelverket vil også kunne benyttes. Det er frivillig for norske enheter å benytte seg av standardavtalevilkårene.
Økonomiske og administrative konsekvenser
Rettsakten medfører ingen særlige administrative eller økonomiske konsekvenser for Norge.
Rettsakten forenkler krav til overføring av personopplysninger ved å angi standard personvernbestemmelser som kan benyttes ved overføringen. Dette kan gi økonomiske og administrative besparelser for både næringslivet og offentlige organer ved at det forenkler inngåelsen av avtalen mellom behandlingsansvarlige og databehandler.
Sakkyndige instansers merknader
Rettsakten ble sendt på skriftlig foreleggelse til Justisdepartementet som berørt departement. Det fremkom ingen materielle merknader til rettsakten. Rettsakten har ikke vært behandlet i Spesialutvalget for kommunikasjoner.
Vurdering
Rettsakten er EØS-relevant og akseptabel.
Status
Rettsakten ble publisert i Official Journal 7. juni 2021 og trådte i kraft i EU 27. juni 2021.