Videregivelse af personoplysninger til tredjelande: Standardkontraktbestemmelser

RESUMÉ AF:

Afgørelse 2010/87/EU om standardkontraktbestemmelser for videregivelse af personoplysninger til registerførere etableret i tredjelande i henhold til direktiv 95/46/EF

HVAD ER FORMÅLET MED AFGØRELSEN?

Den fastsætter standardkontraktbestemmelser, som kan bruges af registeransvarlige* (eksportører) i EU, der videregiver personoplysninger* til registerførere* (importører) etableret uden for EU eller EØS, til at give passende databeskyttelsesgarantier og derved overholde kravene i EU’s lovgivning om beskyttelse af personoplysninger — forordning (EU) 2016/679 — se resumé).

HOVEDPUNKTER

Standardkontraktbestemmelserne er fastsat i bilaget til afgørelsen som følger. Standardkontraktbestemmelser vedrører kun databeskyttelse og kan medtages af parterne i en bredere kontrakt eller suppleres med andre bestemmelser eller yderligere garantier, forudsat at de ikke, direkte eller indirekte, strider imod standardkontraktbestemmelserne.

Standardbestemmelse 1: Definitioner

Der er fastsat definitioner på centrale begreber i standardkontraktbestemmelserne.

Standardbestemmelse 2: Nærmere oplysninger om videregivelsen

Parterne bør i et bilag til kontraktbestemmelserne anføre oplysninger om videregivelserne, herunder de relevante aktiviteter hos dataimportøren og -eksportøren, de kategorier af personoplysninger, der videregives, samt den behandling, som personoplysningerne underkastes efter videregivelsen.

Standardbestemmelse 3: Tredjemandsløfte

Med denne standardbestemmelse kan den registrerede håndhæve flere standardbestemmelser over for dataeksportøren, dataimportøren eller den underkontraherede registerfører som tredjemand. Den foreskriver desuden, at parterne ikke gør indsigelse mod, at en registreret lader sig repræsentere af en forening eller andre organer, hvis det er tilladt i henhold til national ret.

Standardbestemmelse 4: Dataeksportørens pligter

Denne standardbestemmelse fastsætter dataeksportørens pligter, idet denne skal acceptere og garantere at:

behandle personoplysningerne i overensstemmelse med databeskyttelseslovgivningen
instruere dataimportøren om kun at behandle oplysningerne på dataeksportørens vegne og i overensstemmelse med databeskyttelseslovgivningen og standardbestemmelserne
stille (og overholde) tilstrækkelige garantier med hensyn til de tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte personoplysningerne mod hændelig eller ulovlig tilintetgørelse, hændeligt tab, ændring, uautoriseret videregivelse eller adgang, især når behandlingen omfatter dataoverførsel i et net
informere den registrerede, hvis særlige kategorier af data kan videregives til et tredjeland med utilstrækkelig databeskyttelse
videresende den meddelelse, som han har modtaget fra dataimportøren om dennes manglende evne til at overholde standardbestemmelserne til den kompetente tilsynsmyndighed hvis han beslutter at fortsætte videregivelsen
han efter anmodning vil stille et eksemplar af standardbestemmelserne til rådighed for de registrerede samt en kortfattet beskrivelse af sikkerhedsforanstaltningerne
den underkontraherede registerfører, i tilfælde af udlicitering, skal yde samme beskyttelsesniveau for personoplysninger som dataimportøren.

Standardbestemmelse 5: Dataimportørens pligter

Denne standardbestemmelse fastsætter dataimportørens pligter, idet denne skal acceptere og garantere at:

behandle personoplysningerne på dataeksportørens vegne og i overensstemmelse med dennes instrukser og standardbestemmelserne
han ikke har grund til at tro, at han ifølge den lovgivning, han er underlagt, er forhindret i at følge de instrukser, han har modtaget fra dataeksportøren, og overholde sine forpligtelser i henhold til kontrakten
såfremt denne lovgivning ændres således, at det sandsynligvis vil få en væsentlig negativ indvirkning på de garantier og forpligtelser, der opnås ved hjælp af standardbestemmelserne, straks at give meddelelse herom, hvorefter dataeksportøren i så fald har ret til at suspendere dataoverførslen og/eller ophæve kontrakten
gennemføre tekniske og organisatoriske sikkerhedsforanstaltninger før behandling af de videregivne personoplysninger
straks give dataeksportøren meddelelse om retshåndhævende myndigheders anmodninger om videregivelse af personoplysninger, utilsigtet eller uautoriseret adgang og anmodninger, der modtages direkte fra de registrerede, og som han ikke har besvaret, medmindre han på anden måde er bemyndiget dertil
straks og behørigt at behandle alle dataeksportørens forespørgsler og følge tilsynsmyndighedens anbefalinger
han på dataeksportørens anmodning vil lade sine databehandlingsfaciliteter underkaste inspektion, som omfatter den i standardbestemmelserne omhandlede databehandling
han efter anmodning vil stille et eksemplar af standardbestemmelserne til rådighed for de registrerede samt en kortfattet beskrivelse af sikkerhedsforanstaltningerne
kun at ansætte en underkontraherende registerfører med forudgående skriftligt samtykke.

Standardbestemmelse 6: Erstatningsansvar

I henhold til standardbestemmelserne skal parterne være enige om, at registrerede, der har lidt skade som følge af en overtrædelse af forpligtelserne har ret til erstatning fra dataeksportøren for den lidte skade.

Standardbestemmelse 7: Mægling og værneting

Dataimportøren skal acceptere, at hvis den registrerede gør tredjemandsløftet gældende over for dataimportøren og/eller kræver skadeserstatning, at denne accepterer den registreredes beslutning om at henvise sagen til mægling foretaget af en uvildig person eller til domstolene i det EU-land, hvor dataeksportøren er etableret (med ret til at søge forholdet afhjulpet i overensstemmelse med andre bestemmelser i national eller international ret).

Standardbestemmelse 8: Samarbejde med tilsynsmyndighederne

Denne standardbestemmelse regulerer samarbejdet med den kompetente tilsynsmyndighed ved at fastsætte, at:

tilsynsmyndigheden har ret til at foretage en inspektion af dataimportøren og en eventuel underkontraheret registerfører
dataimportøren straks underretter dataeksportøren om evt. lovgivning, der forhindrer en inspektion af dataimportøren. I så fald har dataeksportøren ret til at suspendere dataoverførslen og/eller ophæve kontrakten.

Standardbestemmelse 9: Lovvalg

Standardbestemmelserne er underlagt lovgivningen i det EU-land, hvor dataeksportøren er etableret.

Standardbestemmelse 10: Ændring af kontrakten

Parterne må ikke ændre eller indføje bestemmelser, der strider mod standardbestemmelserne.

Standardbestemmelse 11: Udlicitering

Bestemmelserne vedrørende udlicitering er underlagt lovgivningen i det EU-land, hvor dataeksportøren er etableret.

Standardbestemmelse 12: Forpligtelser efter afsluttet databehandling af personoplysninger

Denne standardbestemmelse regulerer parternes forpligtelser efter afsluttet databehandling. Navnlig skal parterne være enige om, at dataimportøren og den underkontraherede registerfører, efter afsluttet databehandling af personoplysninger, skal returnere (eller på anmodning destruere) alle videregivne personoplysninger, medmindre lovgivningen forhindrer dette.

HVORNÅR GÆLDER AFGØRELSEN FRA?

Den trådte i kraft den 15. maj 2010.

BAGGRUND

Bemærk: denne afgørelse var underlagt en anmodning om præjudiciel afgørelse, der førte til dom afsagt af EU-Domstolen (sag C-311/18) af 16. juli 2020, hvor Domstolen bekræftede afgørelsens gyldighed.
Europa-Kommissionen har også udstedt to sæt standardkontraktbestemmelser for videregivelse af oplysninger fra registeransvarlige i EU til registeransvarlige etableret uden for EU eller EØS.
Se desuden:
- Databeskyttelse (Europa-Kommissionen).

VIGTIGE BEGREBER

Registeransvarlig: fysisk eller juridisk person, offentlig myndighed, agentur eller andet organ, der bestemmer formål og metode for behandling af personoplysninger.

Personoplysninger: oplysninger om en person (registreret), som kan identificeres, direkte eller indirekte, ved et navn, identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.

Registerfører: fysisk eller juridisk person, offentlig myndighed, agentur eller andet organ, der behandler personoplysninger på vegne af den registeransvarlige.

HOVEDDOKUMENT

Kommissionens afgørelse 2010/87/EU af 5. februar 2010 om standardkontraktbestemmelser for videregivelse af personoplysninger til registerførere etableret i tredjelande i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF (EUT L 39 af 12.2.2010, s. 5-18).

Efterfølgende ændringer af afgørelse 2010/87/EU er indarbejdet i grundteksten. Denne konsoliderede udgave har ingen retsvirkning.

TILHØRENDE DOKUMENTER

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1-88).

Se den konsoliderede udgave.

Kommissionens beslutning 2004/915/EF af 27. december 2004 om ændring af beslutning 2001/497/EF for at indføre en alternativ standardkontrakt om overførsel af personoplysninger til tredjelande (EUT L 385 af 29.12.2004, s. 74-84).

Kommissionens beslutning 2001/497/EF af 15. juni 2001 om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande i henhold til direktiv 95/46/EF (EFT L 181 af 4.7.2001, s. 19-31).

Se den konsoliderede udgave.

Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281 af 23.11.1995, s. 31-50).

Se den konsoliderede udgave.

seneste ajourføring 07.10.2020