Personvernforordningen (GDPR): gjennomføringsbestemmelser om overføring av personopplysninger til tredjeland

Personvernforordningen (GDPR): gjennomføringsbestemmelser om overføring av personopplysninger til tredjeland

Kommisjonens gjennomføringsbeslutning (EU) 2021/914 av 4. juni 2021 om standardavtalevilkår for overføring av personopplysninger til tredjeland i henhold til europaparlaments- og rådsforordning (EU) 2016/679
Commission Implementing Decision (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council
Justis og innenriks
Les i Lovdata Pro

Progresjon

  1. EU-forslag
  2. EU-forslag vedtatt og publisert
  3. EØS/EFTA og EU diskuterer

  4. EØS-komitebeslutning vedtatt

    Forvaltningen: norske rettsregler under utarbeidelse
  5. Ferdigbehandlet

EØS-komitebeslutning 9.12.2022 om innlemmelse i EØS-avtalen

Nærmere omtale

BAKGRUNN (fra departementets EØS-notat, sist oppdatert 4.4.2022)

Sammendrag av innhold

Rettsakten angir standard personvernbestemmelser (standardkontrakt), som kan benyttes av behandlingsansvarlige eller databehandlere som ønsker å overføre personopplysninger til en tredjestat, dvs. et land utenfor EØS-område.

Etter personvernforordningen artikkel 46 nr. 1 kan en behandlingsansvarlig eller databehandler, i de tilfeller hvor det ikke foreligger en adekvansbeslutning etter artikkel 45 nr. 3,  bare overføre personopplysninger til en tredjestat når det kan gis nødvendig garanti for tilstrekkelig vern av personopplysningene og at rettighetene kan håndheves på en effektiv måte. En måte å gi slik garanti, er ved å benytte standard personvernbestemmelser (standardkontrakt) vedtatt av Kommisjonen etter personvernforordningen artikkel 46 nr. 2 bokstav c). I rettsakten fastsetter Kommisjonen slike standard personvernbestemmelser som et bilag til beslutningen.

De standard personvernbestemmelsene gir nødvendige garantier for personvernet. Det sikrer at personvernet ivaretas når personopplysninger overføres til et land utenfor EØS-området. Standardbestemmelsene kan brukes alene, eller som en del av en større kontrakt, forutsatt at supplerende kontraktsvilkår ikke inneholder bestemmelser som direkte eller indirekte er i strid med standardbestemmelsene. Det fremkommer av fortalen til beslutningen at behandlingsansvarlig og databehandler oppfordres til å fastsette ytterligere garantier som utfyller standardbestemmelsene. Dette fremgår også i fortalepunkt 109 til personvernforordningen. I tillegg til standardbestemmelsene må behandlingsansvarlig og databehandler også oppfylle de generelle forpliktelsene som ligger i personvernforordningen, slik som plikt til å opplyse den registrerte om at personopplysninger overføres til tredjestat og hvor informasjon om de nødvendige garantier er gjort tilgjengelig, jf. personvernforordningen artikkel 13 nr. 1 bokstav f) og art. 14 nr. 1 bokstav f).

Standardbestemmelsene er bygd opp som moduler, og det forutsettes at behandlingsansvarlig og databehandler tilpasser bestemmelsene til sitt bruk. Videre forutsettes at for å sikre nødvendige garantier etter bestemmelsene, må det sikres at personopplysninger som overføres gis et beskyttelsesnivå som i det vesentlige tilsvarer beskyttelsesnivået i EU. Dette innebærer bl.a. et ansvar for å sikre at lovverket i mottakerlandet ikke er til hinder for å overholde bestemmelsene om tilstrekkelig beskyttelsesnivå, f.eks. ved bestemmelser som gir offentlige myndigheter i mottakerlandet  tilgang til personopplysninger i strid med personvernforordningen.

De standard personvernbestemmelsene vil også kunne gi tilstrekkelige garantier etter personvernforordningen artikkel 28. Hvis en behandlingsansvarlig ønsker å overføre personopplysninger til en databehandler utenfor EØS-området, eller en databehandler innenfor EØS-området ønsker å overføre personopplysninger til en annen databehandler (underdatabehandler) som er utenfor EØS-området, vil standardbestemmelsene kunne benyttes for å gi tilstrekkelige garantier etter artikkel 28 nr. 3. og 4.

De standard personvernbestemmelsene skal evalueres regelmessig i tilknytning til Kommisjonens rapporter etter personvernforordningen artikkel 97.

Merknader
Rettslige konsekvenser

Beslutningen krever ingen endringer i norsk regelverk.

Økonomiske og administrative konsekvenser

Rettsakten medfører ingen direkte administrative eller økonomiske konsekvenser for Norge. 

Rettsakten forenkler krav til overføring av personopplysninger fra EØS-land til tredjestater ved å angi standard personvernbestemmelser som kan benyttes ved overføringen. Dette kan gi økonomiske og administrative besparelser for både næringslivet og offentlige organer.  

Sakkyndige instansers merknader

Rettsakten ble sendt på skriftlig foreleggelse til Justisdepartementet som berørt departement. Det framkom ingen materielle merknader til rettsakten. Rettsakten er ikke behandlet i Spesialutvalget for kommunikasjoner. 

Vurdering

Rettsakten er EØS-relevant og akseptabel.

Status

Rettsakten ble publisert i Official Journal 7. juni 2021 og trådte i kraft i EU 27. juni 2021.

Progresjon

  1. EU-forslag
  2. EU-forslag vedtatt og publisert
  3. EØS/EFTA og EU diskuterer

  4. EØS-komitebeslutning vedtatt

    Forvaltningen: norske rettsregler under utarbeidelse
  5. Ferdigbehandlet