KOMMISJONSVEDTAK. av 15. juni 2001

Like dokumenter
Nr. 23/388 EØS-tillegget til Den Europeiske Unions Tidende KOMMISJONSVEDTAK. av 27. desember 2001

Nr. 76/856 EØS-tillegget til Den europeiske unions tidende KOMMISJONSBESLUTNING. av 5. februar 2010

Nr. 62/128 EØS-tillegget til Den europeiske unions tidende KOMMISJONSVEDTAK. av 27. desember 2004

EØS-tillegget til Den europeiske unions tidende Nr. 87/11 KOMMISJONENS GJENNOMFØRINGSBESLUTNING (EU) 2015/1918. av 22.

EØS-tillegget til Den europeiske unions tidende Nr. 46/1 EØS-ORGANER EØS-KOMITEEN. EØS-KOMITEENS BESLUTNING nr. 154/2018. av 6.

Kunden er behandlingsansvarlig Unifaun er databehandler

EØS-tillegget til Den europeiske unions tidende. EØS-KOMITEENS BESLUTNING nr. 78/2011. av 1. juli 2011

Nr. 20/164 EØS-tillegget til De Europeiske Fellesskaps Tidende KOMMISJONSVEDTAK. av 31. mai 1999

EUROPAPARLAMENTS- OG RÅDSDIREKTIV 95/46/EF. av 24. oktober 1995

EØS-tillegget til Den europeiske unions tidende EUROPAPARLAMENTS- OG RÅDSDIREKTIV 2003/35/EF. av 26. mai 2003

2016/EØS/47/14 KOMMISJONEN FOR DE EUROPEISKE FELLESSKAP HAR

DATABEHANDLERAVTALE. , org. nr. («Behandlingsansvarlig»)

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

EØS-tillegget til Den europeiske unions tidende KOMMISJONSVEDTAK. av 12. desember 2007

EUROPAPARLAMENTS- OG RÅDSDIREKTIV 95/26/EF. av 29. juni 1995

Nr. 23/362 EØS-tillegget til De Europeiske Fellesskaps Tidende EUROPAPARLAMENTS- OG RÅDSDIREKTIV 2000/55/EF. av 18. september 2000

EØS-tillegget til Den europeiske unions tidende Nr. 4/301 DELEGERT KOMMISJONSFORORDNING (EU) 2015/514. av 18.

EØS-tillegget til Den europeiske unions tidende KOMMISJONSVEDTAK. av 15. april 2004

KOMMISJONSVEDTAK. av 27. mai 1997

EUROPAPARLAMENTS- OG RÅDSDIREKTIV 94/47/EF. av 26. oktober 1994

EØS-tillegget til Den europeiske unions tidende. KOMMISJONSFORORDNING (EF) nr. 1452/2003. av 14. august 2003

Nr. 29/282 EØS-tillegget til Den europeiske unions tidende. KOMMISJONSFORORDNING (EF) nr. 72/2010. av 26. januar 2010

KOMMISJONSDIREKTIV 98/68/EF. av 10. september 1998

RÅDSDIREKTIV. av 7. juli 1964

Nr. 15/58 EØS-tillegget til Den europeiske unions tidende. EØS-KOMITEENS BESLUTNING nr. 163/2011. av 19. desember 2011

(UOFFISIELL OVERSETTELSE)

EØS-tillegget til Den europeiske unions tidende RÅDSDIREKTIV 2003/61/EF. av 18. juni 2003

Nr. 37/162 EØS-tillegget til De Europeiske Fellesskaps Tidende. RÅDSFORORDNING (EF) nr. 659/1999. av 22. mars 1999

Nr. 23/410 EØS-tillegget til Den europeiske unions tidende. KOMMISJONSFORORDNING (EF) nr. 736/2006. av 16. mai 2006

Vedlegg til skjema for melding om kvalifisert tillitstjeneste Kvalifisert sertifikat for elektronisk signatur

NOR/306R T OJ L 84/06, p. 8-13

EØS-tillegget til De Europeiske Fellesskaps Tidende KOMMISJONSVEDTAK. av 3. juni 1999

KOMMISJONENS GJENNOMFØRINGSBESLUTNING (EU) 2018/1523. av 11. oktober 2018

EØS-tillegget til De Europeiske Fellesskaps Tidende KOMMISJONSREKOMMANDASJON. av 4. april 2001

EØS-KOMITEENS BESLUTNING nr. 200/2016. av 30. september om endring av vedlegg IX til EØS-avtalen (Finansielle tjenester)

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

EØS-tillegget til De Europeiske Fellesskaps Tidende RÅDSDIREKTIV 95/53/EF. av 25. oktober 1995

EØS-tillegget til Den europeiske unions tidende EUROPAPARLAMENTS- OG RÅDSFORORDNING (EF) NR. 631/2004. av 31. mars 2004

Den Behandlingsansvarlige og Databehandleren benevnes heretter samlet som "Parter" og hver for seg som "Part".

EØS-KOMITEENS BESLUTNING nr. 130/2004. av 24. september 2004

Vedlegg til skjema for melding om kvalifisert tillitstjeneste Kvalifisert sertifikat for nettstedsautentisering

EØS-KOMITEENS BESLUTNING. nr. 74/1999 av 28. mai 1999

EUROPAPARLAMENTS- OG RÅDSDIREKTIV 97/55/EF. av 6. oktober 1997

Personopplysningsvern med ProFundo som databehandler

UOFFISIELL OVERSETTELSE

Nr. 29/212 EØS-tillegget til Den europeiske unions tidende. EUROPAPARLAMENTS- OG RÅDSFORORDNING (EF) nr. 484/2002. av 1. mars 2002

Nr. 73/480 EØS-tillegget til Den europeiske unions tidende KOMMISJONSFORORDNING (EU) 2016/293. av 1. mars 2016

KOMMISJONSVEDTAK. av 2. oktober 2007

Nr. 79/236 EØS-tillegget til Den europeiske unions tidende EUROPAPARLAMENTS- OG RÅDSDIREKTIV 2014/60/EU. av 15.

EØS-KOMITEENS BESLUTNING. nr. 121/98 av 18. desember om endring av EØS-avtalens vedlegg XIII (Transport)

Forslag til ny lov om behandling av personopplysninger

COMMISSION REGULATION (EU) No 488/2012 of 8 June 2012 amending Regulation (EC) No 658/2007 concerning financial penalties for infringement of certain

Nr. 26/68 EØS-tillegget til De Europeiske Fellesskaps Tidende KOMMISJONSVEDTAK. av 25. juni 1999

EØS-tillegget til Den europeiske unions tidende Nr. 11/53. EØS-KOMITEENS BESLUTNING nr. 93/2017. av 5. mai 2017

Nr. 3/422 EØS-tillegget til De Europeiske Fellesskaps Tidende KOMMISJONSVEDTAK. av 27. januar 1999

EØS-KOMITEENS BESLUTNING nr. 93/2017 av 5. mai 2017 om endring av EØS-avtalens vedlegg IV (Energi)

Personvernforordningens krav til bruk av databehandlere

Publisert i EØS-tillegget nr. 33/2009, EØS-KOMITEENS BESLUTNING nr. 45/2009. av 9. juni 2009

EØS-tillegget til Den europeiske unions tidende EUROPAPARLAMENTS- OG RÅDSDIREKTIV 2004/24/EF. av 31. mars 2004

NOR/311D0155.grbo OJ L 63/11, p

COMMISSION IMPLEMENTING REGULATION (EU) 2016/9 of 5 January 2016 on joint submission of data and datasharing in accordance with Regulation (EC) No

(UOFFISIELL OVERSETTELSE)

Nr. 64/538 EØS-tillegget til Den europeiske unions tidende KOMMISJONENS GJENNOMFØRINGSBESLUTNING. av 21. september 2011

EUROPAPARLAMENTS- OG RÅDSDIREKTIV 2006/114/EF. av 12. desember om villedende og sammenlignende reklame

Nr. 3/118 EØS-tillegget til De Europeiske Fellesskaps Tidende KOMMISJONSVEDTAK. av 28. juli 1999

(UOFFISIELL OVERSETTELSE)

KOMMISJONSBESLUTNING. av 30. november 2010

COMMISSION DELEGATED REGULATION (EU) No 946/2012 of 12 July 2012 supplementing Regulation (EC) No 1060/2009 of the European Parliament and of the

Nr. 37/140 EØS-tillegget til De Europeiske Fellesskaps Tidende RÅDSDIREKTIV 2001/23/EF. av 12. mars 2001

Nr. 14/326 EØS-tillegget til Den europeiske unions tidende KOMMISJONSREKOMMANDASJON. av 7. april 2004

EØS-KOMITEENS BESLUTNING. nr. 15/2001 av 28. februar om endring av EØS-avtalens vedlegg IX (Finansielle tjenester)

NOR/306R T OJ X 92/06, p. 6-9

Nr. 27/292 EØS-tillegget til Den europeiske unions tidende KOMMISJONSFORORDNING (EF) NR. 1788/2001. av 7. september 2001

(UOFFISIELL OVERSETTELSE)

EØS-tillegget til Den europeiske unions tidende EØS-ORGANER EØS-KOMITEEN EUROPAPARLAMENTS- OG RÅDSDIREKTIV 2001/46/EF. av 23.

Vedlegg B. Vedrørende gjensidig administrativ bistand i tollsaker

BESLUTNING nr av 11. juni 1998

(UOFFISIELL OVERSETTELSE)

BESLUTNING nr av 13. desember 2000

Ny personopplysningslov - endringer av betydning for behandling av personopplysninger i forskningsprosjekter

NOR/306R T OJ L 129/år, p

EØS-komiteens beslutning nr. 250/2018 av 5. desember 2018 om endring av EØS-avtalens

EØS-KOMITEENS BESLUTNING nr. 79/2019 av 29. mars 2019 om endring av EØS-avtalens vedlegg IX (Finansielle tjenester)

Nr. 16/80 EØS-tillegget til Den europeiske unions tidende KOMMISJONSVEDTAK. av 8. september 2003

NOR/308R T OJ L 92/08, p

COMMISSION IMPLEMENTING REGULATION (EU) 2016/823 of 25 May 2016 amending Regulation (EC) No 771/2008 laying down the rules of organisation and

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

GDPR - viktige prinsipper og rettigheter

COMMISSION REGULATION (EU) 2016/293 of 1 March 2016 amending Regulation (EC) No 850/2004 of the European Parliament and of the Council on persistent

KOMMISJONSFORORDNING (EU) nr. 538/2011. av 1. juni 2011

NORSK utgave. EØS-tillegget til De Europeiske Fellesskaps Tidende

RÅDETS RETTSAKT. av 16. oktober 2001 (2001/C 326/01)

Vedlegg til skjema for melding om kvalifisert tillitstjeneste Kvalifisert elektronisk tidsstempel

Deres referanse Vår referanse Dato 15/ /JSK

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

EØS-KOMITEENS BESLUTNING nr. 134/2007. av 26. oktober 2007

Nr. 16/248 EØS-tillegget til Den europeiske unions tidende KOMMISJONSDIREKTIV 2003/125/EF. av 22. desember 2003

POWEL DATABEHANDLERAVTALE

Nr. 4/554 EØS-tillegget til Den europeiske unions tidende EUROPAPARLAMENTS- OG RÅDSDIREKTIV 2011/91/EF. av 13. desember 2011

NOR/ 310R T OJ L 23/2010, p. 1-5 COMMISSION REGULATION (EU) No 72/2010 of 26 January 2010 laying down procedures for conducting Commission

Transkript:

Nr. 47/78 EØS-tillegget til De Europeiske Fellesskaps Tidende KOMMISJONSVEDTAK av 15. juni 2001 om standardkontraktsvilkår for overføring av personopplysninger til tredjestater i henhold til direktiv 95/46/EF(*) [meddelt under nummer K(2001) 1539] (2001/497/EF) KOMMISJONEN FOR DE EUROPEISKE FELLESSKAP HAR under henvisning til traktaten om opprettelse av Det europeiske fellesskap, 2002/EØS/47/12 under henvisning til europaparlaments- og rådsdirektiv 95/46/EF av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger( 1 ) og ut fra følgende betraktninger: 1) I henhold til direktiv 95/46/EF skal medlemsstatene sørge for at overføring av personopplysninger til en tredjestat kan finne sted bare dersom den berørte tredjestaten sikrer et tilstrekkelig vernenivå for opplysningene og dersom medlemsstatens lovgivning, som er i samsvar med direktivets øvrige bestemmelser, overholdes før overføringen finner sted. 2) Medlemsstatene kan imidlertid i henhold til artikkel 26 nr. 2 i direktiv 95/46/EF gi tillatelse til en overføring eller en rekke overføringer av personopplysninger til en tredjestat som ikke sikrer et tilstrekkelig vernenivå, forutsatt at det stilles visse garantier. Slike garantier kan særlig framgå av passende kontraktsvilkår. 3) I henhold til direktiv 95/46/EF bør vurderingen av vernenivået foretas på bakgrunn av de forhold som har innflytelse på overføringen eller en type overføringer. Arbeidsgruppen for personvern i forbindelse med behandling av personopplysninger, som ble nedsatt i henhold til samme direktiv( 2 ), har utarbeidet retningslinjer for hvordan en slik vurdering skal foretas( 3 ). (*) Denne fellesskapsrettsakten, kunngjort i EFT L 181 av 4.7.2001, s. 19, er omhandlet i EØS-komiteens beslutning nr. 4/2002 av 1. februar 2002 om endring av EØS-avtalens vedlegg XI (Telekommunikasjonstjenester), se EØS-tillegget til De Europeiske Fellesskaps Tidende nr. 18 av 4.4.2002, s. 5. ( 1 ) EFT L 281 av 23.11.1995, s. 31. ( 2 ) Arbeidsgruppen har følgende internettadresse: http://www.europa.eu.int/comm/internal_market/en/medial/dataprot/wpdocs/index.htm. ( 3 ) WP 4 (5020/97) «Overføring av personopplysninger til tredjestater når er vernenivået tilstrekkelig?», diskusjonsgrunnlag vedtatt av arbeidsgruppen 26. juni 1997. WP 7 (5057/97) «Vurdering av selvregulering i næringslivet: når gir den et meningsfullt bidrag til vernenivået for opplysninger i en tredjestat?», arbeidsdokument vedtatt av arbeidsgruppen 14. januar 1998. WP 9 (3005/98) «Bruk av kontraktsvilkår ved overføring av personopplysninger til tredjestater», arbeidsdokument vedtatt av arbeidsgruppen 22. april 1998. WP 12: «Overføring av personopplysninger til tredjestater: anvendelse av artikkel 25 og 26 i EUs personverndirektiv», arbeidsdokument vedtatt av arbeidsgruppen 24. juli 1998, tilgjengelig på Europakommisjonens nettsted «europa.eu.int/comm/internal_market/en/media.dataprot/wpdocs/wp12/en».

EØS-tillegget til De Europeiske Fellesskaps Tidende Nr. 47/79 4) Artikkel 26 nr. 2 i direktiv 95/46/EF, som gir fleksibilitet for organisasjoner som ønsker å overføre opplysninger til tredjestater, og artikkel 26 nr. 4, der det er fastsatt standardkontraktsvilkår, er av vesentlig betydning for å kunne opprettholde den nødvendige strøm av personopplysninger mellom Fellesskapet og tredjestater uten at markedsdeltakerne belastes unødig. Disse artiklene er særlig viktige tatt i betraktning at Kommisjonen på kort, eller selv på mellomlang sikt, sannsynligvis vil kunne fastslå bare for et begrenset antall tredjestater at vernenivået for personopplysninger er tilstrekkelig i henhold til artikkel 25 nr. 6. 5) Disse standardkontraktsvilkårene utgjør sammen med artikkel 25 og artikkel 26 nr. 1 og 2 bare en av flere muligheter for lovmessig overføring av personopplysninger til tredjestater fastsatt i direktiv 95/46/EF. Dersom organisasjonene innarbeider standardkontraktsvilkårene i en kontrakt, vil det bli enklere for dem å overføre personopplysninger til tredjestater. Standardkontraktsvilkår får anvendelse bare på datasikring. Opplysningsoverføreren og opplysningsmottakeren står fritt til å innføre andre, forretningsmessige vilkår som de anser som relevante for kontrakten, som f.eks. vilkår om gjensidig bistand ved tvister med en registrert person eller en tilsynsmyndighet, såframt slike vilkår ikke er i strid med standardkontraktsvilkårene. 6) Dette vedtak bør ikke berøre nasjonale tillatelser medlemsstatene kan gi i samsvar med nasjonale bestemmelser om gjennomføring av artikkel 26 nr. 2 i direktiv 95/46/EF. Omstendighetene ved særlige overføringer kan medføre at behandlingsansvarlige stiller ulike garantier i henhold til artikkel 26 nr. 2. Under alle omstendigheter har dette vedtak bare den virkning at medlemsstatene ikke kan nekte å anerkjenne de kontraktsvilkår vedtaket omhandler som tilstrekkelige garantier, og det har dermed ingen innvirkning på andre kontraktsvilkår. 7) Dette vedtak er begrenset til å fastslå at vilkårene i vedlegget kan anvendes av en behandlingsansvarlig etablert i Fellesskapet for å stille tilstrekkelige garantier i henhold til artikkel 26 nr. 2 i direktiv 95/46/EF. Overføring av personopplysninger til tredjestater utgjør en behandling i en medlemsstat, og lovligheten av den er underlagt nasjonal lovgivning. Medlemsstatenes tilsynsmyndigheter bør innenfor rammen av sine oppgaver og sin myndighet i henhold til artikkel 28 i direktiv 94/46/EF, fortsatt ha ansvar for å vurdere om opplysningsoverføreren har overholdt nasjonal lovgivning om gjennomføring av bestemmelsene i direktiv 95/46/EF, og især eventuelle særlige regler for opplysningsplikt i henhold til nevnte direktiv. 8) Dette vedtak omfatter ikke overføring av personopplysninger fra behandlingsansvarlige etablert i Fellesskapet til mottakere som er etablert utenfor Fellesskapets territorium, og som bare behandler opplysningene. Slike overføringer krever ikke samme garantier, fordi databehandleren handler utelukkende på vegne av den behandlingsansvarlige. Kommisjonen har til hensikt å behandle den typen overføringer i et eget vedtak. 9) Det er hensiktsmessig å fastsette hvilke opplysninger partene minst skal oppgi i kontrakten om overføringen. Medlemsstatene bør beholde myndigheten til å spesifisere hvilke opplysninger partene skal oppgi. Anvendelsen av dette vedtak bør revideres i lys av erfaringene som gjøres. 10) Kommisjonen vil også i framtiden vurdere om standardkontraktsvilkår som framlegges av kommersielle organisasjoner eller andre berørte parter, utgjør tilstrekkelige garantier i henhold til direktiv 95/46/EF. 11) Selv om partene står fritt til å avtale hvilke datasikringsregler som skal overholdes av opplysningsmottakere, finnes det visse datasikringsprinsipper som skal anvendes uansett. 12) Opplysninger bør behandles og deretter brukes eller videreformidles bare for særlige formål, og bør ikke oppbevares lenger enn nødvendig. 13) I samsvar med artikkel 12 i direktiv 95/46/EF bør de registrerte ha rett til innsyn i alle opplysninger om dem og eventuelt til å få rettet, slettet eller sperret visse opplysninger.

Nr. 47/80 EØS-tillegget til De Europeiske Fellesskaps Tidende 14) Videreformidling av personopplysninger til en annen behandlingsansvarlig som er etablert i en tredjestat, bør være tillatt bare på visse vilkår, særlig for å sikre at registrerte personer gis riktig informasjon og har mulighet til å motsette seg, eller i visse tilfeller å unnlate å gi sitt samtykke. 15) I tillegg til å vurdere om overføringer til tredjestater skjer i samsvar med nasjonal lovgivning, bør tilsynsmyndighetene spille en nøkkelrolle i denne kontraktsordningen, ved at de garanterer at personopplysningene blir tilstrekkelig beskyttet etter overføringen. Under særlige omstendigheter bør medlemsstatenes tilsynsmyndigheter beholde myndigheten til å forby eller utsette en overføring eller en type overføring som er basert på standardkontraktsvilkår i de unntakstilfeller der det er fastslått at en overføring på grunnlag av kontraktsvilkår sannsynligvis vil ha betydelige negative virkninger på de garantier som skal sikre den registrerte tilstrekkelig vern. 16) Standardkontraktsvilkårene bør kunne håndheves ikke bare av de organisasjoner som er parter i avtalen, men også av de registrerte, særlig dersom disse påføres skade som følge av et kontraktsbrudd. 17) Kontrakten skal være underlagt lovgivningen i den medlemsstaten der opplysningsoverføreren er etablert, slik at en begunstiget tredjemann har mulighet til å håndheve kontrakten. Registrerte personer bør kunne la seg representere av sammenslutninger eller andre organer dersom de ønsker det og det er tillatt i henhold til nasjonal lovgivning. 18) For å minske de praktiske problemene som kan oppstå for registrerte når de søker å håndheve sine rettigheter i henhold til standardkontraktsvilkår, bør opplysningsoverføreren og opplysningsmottakeren være solidarisk ansvarlige for skade som skyldes enhver overtredelse av de bestemmelser som dekkes av vilkåret om begunstiget tredjemann. 19) Den registrerte har rett til å saksøke og få erstatning fra opplysningsoverføreren, opplysningsmottakeren eller begge, for enhver skade som skyldes en handling som er uforenlig med forpliktelsene i standardkontraktsvilkårene. Begge parter kan fritas fra erstatningsansvar dersom de kan bevise at ingen av dem var ansvarlig for skaden. 20) Solidarisk ansvar gjelder ikke for de bestemmelser som ikke omfattes av vilkåret om begunstiget tredjemann, og må ikke gjøre en part ansvarlig for skade som følge av den andre parts ulovlige behandling. Gjensidig regressansvar mellom partene er ikke en forutsetning for at beskyttelsen av de registrerte skal anses som tilstrekkelig, og kan dermed utelates av partene, men den er tatt med i standardkontraktsvilkårene av klarhetshensyn og for å unngå at partene selv må utarbeide slike vilkår. 21) Dersom det oppstår en tvist mellom partene og den registrerte som ikke kan løses ved forlik, og den registrerte påberoper seg vilkåret om begunstiget tredjemann, skal partene bli enige om å tilby den registrerte valget mellom mekling, voldgift og rettssak. For at den registrerte virkelig skal kunne velge fritt, må det finnes pålitelige og anerkjente systemer for mekling og voldgift. En valgmulighet bør være mekling som utføres av medlemsstatenes tilsynsmyndigheter, dersom de tilbyr slike tjenester. 22) Arbeidsgruppen for personvern i forbindelse med behandling av personopplysninger, som ble nedsatt ved artikkel 29 i direktiv 95/46/EF, har avgitt en uttalelse om vernenivået fastsatt i standardkontraktsvilkårene i vedlegget til dette vedtak, og det er tatt hensyn til uttalelsen ved utarbeidingen av dette vedtak( 1 ). 23) Tiltakene fastsatt i dette vedtak er i samsvar med uttalelse fra komiteen nedsatt ved artikkel 31 i direktiv 95/46/EF ( 1 ) Uttalelse nr. 1/2001 vedtatt av arbeidsgruppen 26. januar 2001 (DG MARKT 5102/00 WP 38), tilgjengelig på Europakommisjonens nettsted «Europa».

EØS-tillegget til De Europeiske Fellesskaps Tidende Nr. 47/81 GJORT DETTE VEDTAK: Artikkel 1 Standardkontraktsvilkårene i vedlegget til dette vedtak skal anses som tilstrekkelige garantier for personvern og vern av fysiske personers grunnleggende rettigheter og friheter samt for utøvelsen av tilsvarende rettigheter i henhold til i artikkel 26 nr. 2 i direktiv 95/46/EF. Artikkel 2 Dette vedtak gjelder bare spørsmålet om standardkontraktsvilkårene for overføring av personopplysninger som står oppført i vedlegget, gir tilstrekkelig vern. Vedtaket berører ikke anvendelsen av andre, nasjonale bestemmelser om gjennomføring av direktiv 95/46/EF som gjelder behandling av personopplysninger i medlemsstatene. Dette vedtak får ikke anvendelse på overføring av personopplysninger fra behandlingsansvarlige som er etablert i Fellesskapet, til mottakere som er etablert utenfor Fellesskapets territorium, og som bare behandler opplysningene. Artikkel 3 I dette vedtak a) får definisjonene i direktiv 95/46/EF anvendelse, b) menes med «særlige kategorier opplysninger» de opplysninger som er nevnt i artikkel 8 i nevnte direktiv, c) menes med «tilsynsmyndighet» den myndighet som er nevnt i artikkel 28 i nevnte direktiv, d) menes med «opplysningsoverfører» den behandlingsanvarlige som overfører personopplysningene, e) menes med «opplysningsmottaker» den behandlingsansvarlige som samtykker i å motta personopplysninger fra opplysningsoverføreren for videre behandling i samsvar med vilkårene i dette vedtak. Artikkel 4 1. Uten at det berører deres myndighet til å treffe tiltak for å sikre overholdelse av nasjonale bestemmelser vedtatt i henhold til kapittel II, III, V og VI i direktiv 95/46/EF, kan vedkommende myndigheter i medlemsstatene utøve sin myndighet til å forby eller innstille dataoverføringer til tredjestater for å beskytte fysiske personer med hensyn til behandling av deres personopplysninger i tilfeller der a) det er fastslått at den lovgivning som opplysningsmottakeren er underlagt, pålegger vedkommende krav om å fravike de relevante datasikringsregler, som går lenger enn de begrensninger som er nødvendige i et demokratisk samfunn som fastsatt i artikkel 13 i direktiv 95/46/EF, og disse kravene kan forventes å ha svært negativ innvirkning på de garantier som stilles i standardkontraktsvilkårene, eller b) en vedkommende myndighet har fastslått at opplysningsmottakeren ikke har oppfylt kontraktsvilkårene, eller c) det er stor sannsynlighet for at standardkontraktsvilkårene i vedlegget ikke er eller ikke vil bli oppfylt, og fortsatt overføring vil kunne medføre en overhengende fare for alvorlig skade for de registrerte. 2. Forbud eller innstilling som vedtas i henhold til nr. 1, skal oppheves så snart årsakene til forbudet eller innstillingen ikke lenger er til stede. 3. Når medlemsstatene vedtar tiltak i henhold til nr. 1 og 2, skal de umiddelbart underrette Kommisjonen, som igjen underretter de øvrige medlemsstatene.

Nr. 47/82 EØS-tillegget til De Europeiske Fellesskaps Tidende Artikkel 5 Kommisjonen skal vurdere anvendelsen av dette vedtak på bakgrunn av tilgjengelige opplysninger tre år etter at det er blitt meddelt medlemsstatene. Kommisjonen skal framlegge en rapport om resultatene for komiteen nedsatt ved artikkel 31 i direktiv 95/46/EF. Rapporten skal omfatte alle forhold som kan innvirke på vurderingen av om standardkontraktsvilkårene i vedlegget er hensiktsmessige samt alle forhold som tyder på at dette vedtak anvendes på en måte som medfører forskjellsbehandling. Dette vedtak får anvendelse fra 3. september 2001. Dette vedtak er rettet til medlemsstatene. Utferdiget i Brussel, 15. juni 2001. Artikkel 6 Artikkel 7 For Kommisjonen Frederik BOLKESTEIN Medlem av Kommisjonen

EØS-tillegget til De Europeiske Fellesskaps Tidende Nr. 47/83 VEDLEGG STANDARDKONTRAKTSVILKÅR i henhold til artikkel 26 nr. 2 i direktiv 95/46/EF for overføring av personopplysninger til tredjestater som ikke sikrer et tilstrekkelig vernenivå Navn på organisasjonen som overfører opplysninger:... Adresse:... Tlf.... Faks... E-post:... Andre opplysninger som er nødvendige for å identifisere organisasjonen:... (heretter kalt «opplysningsoverføreren») og Navn på organisasjonen som mottar opplysninger:... Adresse:... Tlf.... Faks... E-post:... Andre opplysninger som er nødvendige for å identifisere organisasjonen:... (heretter kalt «opplysningsmottakeren») ER BLITT ENIGE om følgende kontraktsvilkår (heretter kalt «vilkårene») for å kunne stille tilstrekkelige garantier for personvern og vern av fysiske personers grunnleggende rettigheter og friheter i forbindelse med overføring fra opplysningsoverfører til opplysningsmottaker av personopplysninger som spesifisert i tillegg 1: Vilkår 1 Definisjoner I disse vilkårene menes med a) «personopplysning», «særlige kategorier opplysninger», «behandle/behandling», «behandlingsansvarlig», «databehandler», «den registrerte» og «tilsynsmyndighet» det samme som i europaparlaments- og rådsdirektiv 95/46/EF av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (heretter kalt «direktivet»), b) «opplysningsoverfører» den behandlingsanvarlige som overfører personopplysninger, c) «opplysningsmottaker» den behandlingsanvarlige som samtykker i å motta personopplysninger fra opplysningsoverføreren til videre behandling i samsvar med disse vilkårene, og som ikke er underlagt et system i en tredjestat som gir tilstrekkelig vern. Vilkår 2 Opplysninger om overføringen Nærmere opplysninger om overføringen, særlig hvilken type personopplysninger det dreier seg om og for hvilke formål de overføres, oppgis i tillegg 1, som utgjør en integrert del av vilkårene.

Nr. 47/84 EØS-tillegget til De Europeiske Fellesskaps Tidende Vilkår 3 Vilkår om begunstiget tredjemann I egenskap av begunstiget tredjemann kan de registrerte håndheve dette vilkåret, vilkår 4 bokstav b), c) og d), vilkår 5 bokstav a), b), c) og e), vilkår 6 nr. 1 og 2 og vilkår 7, 9 og 11. Partene motsetter seg ikke at de registrerte lar seg representere av en sammenslutning eller andre organer dersom de ønsker det og det er tillatt i henhold til nasjonal lovgivning. Opplysningsoverførere samtykker i og garanterer at Vilkår 4 Opplysningsoverføreres forpliktelser a) deres behandling, herunder selve overføringen, av personopplysningene har vært og, fram til tidspunktet for overføringen, fortsatt vil bli utført i samsvar med relevante bestemmelser i den medlemsstaten der opplysningsoverføreren er etablert (og eventuelt er meldt til vedkommende myndigheter), og at behandlingen ikke er i strid med relevante bestemmelser i den staten, b) dersom overføringen omfatter særlige kategorier opplysninger, er den registrerte blitt underrettet eller vil bli underrettet før overføringen, om at disse opplysningene kan bli overført til en stat som ikke sikrer et tilstrekkelig vernenivå, c) de på anmodning vil gjøre tilgjengelig for de registrerte en kopi av vilkårene, og d) de innen rimelig tid og i den grad det er mulig vil svare på spørsmål fra tilsynsmyndigheten om opplysningsmottakerens behandling av de aktuelle personopplysningene, samt på alle spørsmål fra den registrerte om opplysningsmottakerens behandling av dennes personopplysninger. Vilkår 5 Opplysningsmottakeres forpliktelser Opplysningsmottakere samtykker i og garanterer at a) de ikke har noen grunn til å tro at den lovgivning de er underlagt hindrer dem i å oppfylle sine forpliktelser i henhold til denne kontrakten, og at de i tilfelle en endring i lovgivningen som sannsynligvis vil ha en betydelig negativ innvirkning på de garantier vilkårene stiller, vil underrette opplysningsoverføreren og tilsynsmyndigheten i den stat der opplysningsoverføreren er etablert om denne endringen, og opplysningsoverføreren har i slike tilfeller rett til å innstille overføringen av opplysninger og/eller heve kontrakten, b) de vil behandle personopplysningene i samsvar med de ufravikelige datasikringsprinsippene i tillegg 2, eller, dersom dette er uttrykkelig avtalt mellom partene ved avkryssing nedenfor og forutsatt at de ufravikelige datasikringsprinsippene i tillegg 3 overholdes, at de på alle andre måter vil behandle personopplysningene i samsvar med den nasjonale lovgivnings relevante bestemmelser vedlagt disse vilkårene om vern av fysiske personers grunnleggende rettigheter og friheter, og særlig deres rett til privatlivets fred med hensyn til behandling av personopplysninger, som gjelder for den behandlingsansvarlige i den staten der opplysningsoverføreren er etablert, eller de relevante bestemmelser i ethvert kommisjonsvedtak i henhold til artikkel 25 nr. 6 i direktiv 95/46/EF som fastslår at en tredjestat sikrer et tilstrekkelig vernenivå bare på visse virksomhetssektorer, forutsatt at opplysningsmottakeren er etablert i denne tredjestaten og ikke er underlagt disse bestemmelsene, i den grad disse bestemmelsene er av en slik art at de får anvendelse på den sektor som overføringen gjelder, c) de raskt og på riktig måte vil behandle alle rimelige forespørsler fra opplysningsoverføreren eller den registrerte i tilknytning til behandlingen av personopplysningene som skal overføres, og at de vil samarbeide med vedkommende tilsynsmyndighet når det gjelder alle dens forespørsler og følge tilsynsmyndighetens råd med hensyn til behandlingen av de opplysninger som overføres, d) de på anmodning fra opplysningsoverføreren vil underlegge sine databehandlingsanlegg kontroll som skal utføres av opplysningsoverføreren eller et inspeksjonsorgan som utpekes av opplysningsoverføreren, om nødvendig etter avtale med tilsynsmyndigheten, og som skal være sammensatt av uavhengige medlemmer som har de nødvendige faglige kvalifikasjoner, e) de på anmodning skal skaffe den registrerte en kopi av vilkårene og opplyse om hvilken myndighet som behandler klager. Vilkår 6 Erstatningsansvar 1. Partene er enige om at en dataregistrert som har lidd skade som følge av en overtredelse av bestemmelsene i vilkår 3, har rett til erstatning fra partene for skaden. Partene er enige om at de kan fritas fra erstatningsansvar bare dersom de kan bevise at ingen av dem er ansvarlig for overtredelsen av disse bestemmelsene.

EØS-tillegget til De Europeiske Fellesskaps Tidende Nr. 47/85 2. Opplysningsoverføreren og opplysningsmottakeren er enige om at de er solidarisk ansvarlige for skade som påføres den registrerte som følge av en av overtredelsene nevnt i nr. 1. Dersom en slik overtredelse forekommer, kan den registrerte saksøke opplysningsoverføreren, opplysningsmottakeren eller begge to. 3. Partene er enige om at dersom en av partene holdes ansvarlig av den annen part for en overtredelse nevnt i nr. 1, vil sistnevnte, i den grad denne er erstatningsansvarlig, holde førstnevnte skadesløs med hensyn til alle kostnader, gebyrer, skadeserstatningsbeløp, utgifter eller tap førstnevnte part har pådratt seg(*). Vilkår 7 Mekling og domsmyndighet 1. Partene er enige om at dersom det oppstår en tvist mellom en registrert og en av partene som ikke kan løses ved forlik, og den registrerte påberoper seg bestemmelsen om begunstiget tredjemann i vilkår 3, vil partene godta den registrertes avgjørelse om å a) henvise tvisten til mekling som skal foretas av en uavhengig person, eventuelt av tilsynsmyndigheten, b) bringe tvisten inn for en domstol i den medlemsstaten der opplysningsoverføreren er etablert. 2. Partene er enige om at en tvist etter avtale mellom den registrerte og den berørte parten, kan bringes inn for en voldgiftsinstans, dersom den berørte parten er etablert i en stat som har ratifisert New York-konvensjonen om fullbyrding av voldgiftskjennelser. 3. Partene er enige om at nr. 1 og 2 får anvendelse uten at det berører den registrertes materielle eller prosessuelle rettigheter med hensyn til å søke erstatning i samsvar med andre bestemmelser i nasjonal eller internasjonal rett. Vilkår 8 Samarbeid med tilsynsmyndigheter Partene er enige om å deponere et eksemplar av denne kontrakten hos tilsynsmyndigheten dersom denne anmoder om det, eller dersom slik deponering kreves i henhold til nasjonal lovgivning. Vilkår 9 Heving av vilkårene Partene er enige om at en heving av disse vilkårene uansett tidspunkt, omstendigheter og grunn, ikke fritar dem fra forpliktelsene og/eller betingelsene i henhold til vilkårene med hensyn til behandling av overførte opplysninger. Vilkår 10 Gjeldende lovgivning Vilkårene skal være underlagt lovgivningen i den medlemsstaten der opplysningsoverføreren er etablert, i dette tilfelle Vilkår 11 Endring av kontrakten Partene forplikter seg til ikke å endre ordlyden i vilkårene. På vegne av opplysningsoverføreren: Fullt navn:... Stilling:... Adresse:... (*) Nr. 3 er ikke obligatorisk.

Nr. 47/86 EØS-tillegget til De Europeiske Fellesskaps Tidende Andre opplysninger som er nødvendige for å gjøre kontrakten bindende (eventuelt):...... (underskrift) (organisasjonens stempel) På vegne av opplysningsmottakeren: Fullt navn:... Stilling:... Adresse:... Andre opplysninger som er nødvendige for å gjøre kontrakten bindende (eventuelt):...... (underskrift) (organisasjonens stempel)

EØS-tillegget til De Europeiske Fellesskaps Tidende Nr. 47/87 Tillegg 1 til standardkontraktsvilkårene Dette tillegg er en del av vilkårene og må fylles ut og underskrives av partene. (Medlemsstatene kan i samsvar med sine nasjonale framgangsmåter angi eller spesifisere ytterligere nødvendige opplysninger som skal inngå i dette tillegg.) Opplysningsoverfører Opplysningsoverføreren er (gi en kort beskrivelse av virksomhet av betydning for overføringen): Opplysningsmottaker Opplysningsmottakeren er (gi en kort beskrivelse av virksomhet av betydning for overføringen): Registrerte De overførte personopplysningene gjelder følgende kategorier registrerte personer (angi nærmere): Formålet med overføringen Overføringen er nødvendig for følgende formål (angi nærmere): Kategorier opplysninger De overførte personopplysningene gjelder følgende kategorier opplysninger (angi nærmere):

Nr. 47/88 EØS-tillegget til De Europeiske Fellesskaps Tidende Følsomme opplysninger (eventuelt): De overførte personopplysningene gjelder følgende kategori følsomme opplysninger (angi nærmere): Mottakere De overførte personopplysningene kan formidles bare til følgende mottakere eller kategorier mottakere (angi nærmere): Lagringstid De overførte personopplysningene kan ikke oppbevares lenger enn (angi nærmere):... måneder/år Opplysningsoverfører Opplysningsmottaker Navn:... Navn:...... (Underskrift etter fullmakt)... (Underskrift etter fullmakt)

EØS-tillegget til De Europeiske Fellesskaps Tidende Nr. 47/89 Tillegg 2 til standardkontraktsvilkårene Ufravikelige datasikringsprinsipper omhandlet i vilkår 5 bokstav b) første ledd Disse datasikringsprinsippene bør leses og tolkes på bakgrunn av bestemmelsene (prinsipper og relevante unntak) i direktiv 95/46/EF. Prinsippene får anvendelse med forbehold for ufravikelige krav i den nasjonale lovgivningen som opplysningsmottakeren er underlagt, og som ikke går lenger enn det som er nødvendig i et demokratisk samfunn på grunnlag av de interesser som angis i artikkel 13 nr. 1 i direktiv 95/46/EF, det vil si dersom de utgjør et tiltak som er nødvendig av hensyn til statens sikkerhet, forsvaret, offentlig sikkerhet, forebygging, etterforskning, avsløring og rettslig forfølging av straffbare handlinger eller brudd på yrkesetiske regler i lovregulerte yrker, en stats vesentlige økonomiske eller finansielle interesser eller vern av den registrertes interesser eller andres rettigheter og friheter. 1. Formålsbegrensning: Opplysningene skal behandles og deretter brukes eller videreformidles bare for de særlige formål som er angitt i tillegg 1 til vilkårene. Opplysningene skal ikke oppbevares lenger enn det som er nødvendig for formålet med overføringen. 2. Opplysningenes kvalitet og forholdsmessighet: Opplysningene skal være nøyaktige og, om nødvendig, ajourførte. Opplysningene skal være fyllestgjørende, relevante og ikke for omfattende i forhold til de formål de overføres og behandles for. 3. Innsyn: De registrerte skal ha informasjon om formålet med behandlingen og om identiteten til den behandlingsansvarlige i tredjestaten samt annen informasjon dersom dette er nødvendig for å sikre en rettferdig behandling, med mindre slik informasjon allerede er gitt av opplysningsoverføreren. 4. Sikkerhet og fortrolighet: Den behandlingsansvarlige må treffe tekniske og organisatoriske sikkerhetstiltak som er hensiktsmessige i forhold til farene behandlingen innebærer, som f.eks. ulovlig tilgang. 5. Rett til innsyn i samt til å få rettet, slettet og sperret opplysninger: Som fastsatt i artikkel 12 i direktiv 95/46/EF skal de registrerte ha rett til innsyn i alle opplysninger om dem som behandles, og etter omstendighetene til å få rettet, slettet eller sperret opplysninger som er blitt behandlet i strid med prinsippene i dette tillegg, særlig dersom opplysningene er ufullstendige eller unøyaktige. De registrerte skal også ha mulighet til å gjøre innsigelse mot behandling av opplysninger om dem dersom det foreligger tungtveiende, berettigede grunner som gjelder vedkommendes særlige situasjon. 6. Begrensing av videreformidling: Opplysningsmottakerens videreformidling av personopplysninger til en annen behandlingsansvarlig etablert i en tredjestat som ikke sikrer et tilfredsstillende vernenivå, eller som ikke er omfattet av et kommisjonsvedtak gjort i henhold til artikkel 25 nr. 6 i direktiv 95/46/EF, kan finne sted bare dersom a) de registrerte, med hensyn til særlige kategorier opplysninger, har gitt sitt utvetydige samtykke til videreformidling, eller, i andre tilfeller, har hatt mulighet til å gjøre innsigelse. De registrerte skal minst ha informasjon om følgende på et språk de forstår: formålet med videreformidlingen, identiteten til opplysningsoverføreren etablert i Fellesskapet, hvilke kategorier mottakere opplysningene videreformidles til og om bestemmelsesstatene, en merknad om at opplysningene etter videreformidlingen kan bli behandlet av en behandlingsansvarlig i en stat som ikke sikrer et tilstrekkelig vernenivå for personopplysninger, eller b) opplysningsoverføreren og opplysningsmottakeren er enige om at en annen behandlingsansvarlig slutter seg til standardvilkårene og dermed blir part i vilkårene og påtar seg de samme forpliktelser som opplysningsmottakeren. 7. Særlige kategorier opplysninger: Ved behandling av opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religiøs eller filosofisk overbevisning, fagforeningsmedlemskap samt opplysninger om helse og seksualliv og opplysninger om lovovertredelser, straffedommer eller sikkerhetstiltak, skal det stilles ytterligere garantier i henhold til direktiv 95/46/EF, særlig passende sikkerhetstiltak, som f.eks. sterk kryptering ved overføring eller registrering av dem som har tilgang til følsomme opplysninger. 8. Direkte markedsføring: Ved behandling av opplysninger for direkte markedsføring, skal det finnes virkningsfulle framgangsmåter som gir de registrerte mulighet til når som helst å reservere seg mot at opplysninger om dem brukes for slike formål.

Nr. 47/90 EØS-tillegget til De Europeiske Fellesskaps Tidende 9. Automatiserte individuelle beslutninger: De registrerte har rett til ikke å bli underlagt en beslutning som utelukkende er truffet på grunnlag av elektronisk behandling av opplysninger, med mindre det er truffet andre tiltak for å sikre den registrertes rettmessige interesser, som fastsatt i artikkel 15 i direktiv 95/46/EF. Dersom formålet med overføringen er å treffe en automatisert beslutning i henhold til artikkel 15 i direktiv 95/46/EF, som har rettsvirkning for den registrerte eller som berører vedkommende i vesentlig grad, og som utelukkende er truffet på grunnlag av elektronisk behandling av opplysninger med sikte på å vurdere visse personlige forhold som arbeidsinnsats, kredittverdighet, pålitelighet, atferd osv., har den registrerte rett til å få vite grunnen til denne beslutningen. Tillegg 3 til standardkontraktsvilkårene Ufravikelige datasikringsprinsipper nevnt i vilkår 5 bokstav b) annet ledd 1. Formålsbegrensning: Opplysningene skal behandles og deretter brukes eller videreformidles bare for de særlige formål som er angitt i tillegg 1 til vilkårene. Opplysningene skal ikke oppbevares lenger enn det som er nødvendig for formålet med overføringen. 2. Rett til innsyn i samt til å få rettet, slettet og sperret opplysninger: Som fastsatt i artikkel 12 i direktiv 95/46/EF skal de registrerte ha rett til innsyn i alle opplysninger om dem som behandles, og etter omstendighetene til å få rettet, slettet eller sperret opplysninger som er blitt behandlet i strid med prinsippene i dette tillegg, særlig dersom opplysningene er ufullstendige eller unøyaktige. De registrerte skal også ha mulighet til å gjøre innsigelse mot behandling av opplysninger om dem dersom det foreligger tungtveiende, rettmessige grunner som gjelder vedkommendes særlige situasjon. 3. Begrensing av videreformidling: Opplysningsmottakerens videreformidling av personopplysninger til en annen behandlingsansvarlig etablert i en tredjestat som ikke sikrer et tilfredsstillende vernenivå, eller som ikke omfattes av et kommisjonsvedtak gjort i henhold til artikkel 25 nr. 6 i direktiv 95/46/EF, kan finne sted bare dersom a) de registrerte, med hensyn til særlige kategorier opplysninger, har gitt sitt utvetydige samtykke til videreformidling, eller, i andre tilfeller, har hatt mulighet til å gjøre innsigelse. De registrerte skal minst ha informasjon om følgende på et språk de forstår: formålet med videreformidlingen, identiteten til opplysningsoverføreren etablert i Fellesskapet, hvilke kategorier mottakere opplysningene videreformidles til og om bestemmelsesstatene, en merknad om at opplysningene etter videreformidlingen kan bli behandlet av en behandlingsansvarlig i en stat som ikke sikrer et tilstrekkelig vernenivå for personopplysninger, eller b) opplysningsoverføreren og opplysningsmottakeren er enige om at en annen behandlingsansvarlig slutter seg til vilkårene og dermed blir part i vilkårene og påtar seg de samme forpliktelser som opplysningsmottakeren.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding