Överföring av personuppgifter till länder utanför EU: standardavtalsklausuler

 

SAMMANFATTNING AV FÖLJANDE DOKUMENT:

Beslut 2010/87/EU om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredjeland i enlighet med direktiv 95/46/EG

VILKET SYFTE HAR BESLUTET?

I beslutet fastställs standardavtalsklausuler som kan användas av registeransvariga* (uppgiftsutförare) i EU som överför personuppgifter* till personuppgiftsbiträden* (uppgiftsinförare) som är etablerade utanför EU eller EES, för att tillhandahålla lämpliga dataskyddsåtgärder och därmed uppfylla kraven i EU:s uppgiftsskyddslagstiftning (den allmänna dataskyddsförordningen – förordning (EU) 2016/679 – se sammanfattning).

VIKTIGA PUNKTER

Standardavtalsklausulerna anges i bilagan till beslutet enligt följande. Standardavtalsklausuler avser endast uppgiftsskydd och kan inkluderas av parterna i ett vidare avtal eller kompletteras med andra bestämmelser eller ytterligare skyddsåtgärder, under förutsättning att de inte direkt eller indirekt står i strid med de standardavtalsklausuler som antas genom detta beslut.

Klausul 1: Definitioner

Definitioner av centrala begrepp som används i standardavtalsklausulerna anges.

Klausul 2: Information om överföringen

Parterna bör i en bilaga till avtalsklausulerna förteckna närmare information om överföringarna, inbegripet uppgiftsinförarens och uppgiftsutförarens relevanta verksamhet, de typer av personuppgifter som överförs och den behandling som personuppgifterna kommer att bli föremål för efter överföringen.

Klausul 3: Tredjepartsberättigande

Klausulen gör det möjligt för registrerade i egenskap av berättigad tredjepart att åberopa flera av klausulerna mot uppgiftsutföraren, uppgiftsinföraren eller underentreprenören. Vidare anges det att parterna inte har någonting att invända mot att en registrerad företräds av sammanslutningar eller andra organ i den mån det är tillåtet enligt nationell rätt.

Klausul 4: Uppgiftsutförarens skyldigheter

I denna klausul anges avtalsförpliktelserna för uppgiftsutföraren, som måste godta och garantera att

• behandlingen endast sker i enlighet med uppgiftsskyddslagstiftningen,
• instruera uppgiftsinföraren att behandla uppgifterna endast för uppgiftsutförarens räkning och i enlighet med uppgiftsskyddslagstiftningen och klausulerna,
• ge (och överensstämma med) tillräckliga garantier vad gäller tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter mot oavsiktlig eller olaglig utplåning, förlust, ändring, otillåtet utlämnande eller otillåten åtkomst, i synnerhet när behandlingen sker över ett nätverk,
• informera den registrerade om särskilda kategorier av uppgifter kan komma att överföras till ett land utanför EU som inte tillhandahåller adekvat uppgiftsskydd,
• till den behöriga tillsynsmyndigheten vidarebefordra anmälan från uppgiftsinföraren om uppgiftsinförarens oförmåga att följa klausulerna om uppgiftsutföraren beslutar att fortsätta överföringen,
• på begäran tillhandahålla de registrerade en kopia av klausulerna och en sammanfattande beskrivning av säkerhetsåtgärderna,
• underentreprenören vid en eventuell utläggning på entreprenad måste tillhandahålla åtminstone samma skyddsnivå för personuppgifter som uppgiftsinföraren.

Klausul 5: Uppgiftsinförarens skyldigheter

I denna klausul fastställs avtalsförpliktelser för uppgiftsinföraren, som måste godta och garantera att

• personuppgifter endast behandlas för uppgiftsutförarens räkning och i enlighet med dennes instruktioner samt klausulerna,
• han inte har anledning att förmoda att den lagstiftning som är tillämplig på honom hindrar honom från att fullfölja uppdragsutförarens instruktioner och sina skyldigheter enligt avtalet,
• utan dröjsmål anmäla eventuella ändringar av lagstiftningen som sannolikt har en avsevärt skadlig inverkan på de garantier som klausulerna innebär, varvid uppgiftsutföraren har rätt att avbryta överföringen av uppgifter och/eller häva avtalet,
• vidta angivna tekniska och organisatoriska säkerhetsåtgärder innan de överförda personuppgifterna behandlas,
• utan dröjsmål underrätta uppgiftsutföraren om varje begäran från rättsliga myndigheter om utlämnande av personuppgifter, om varje oavsiktlig eller otillåten åtkomst och om varje förfrågan direkt från de registrerade, utan att svara på förfrågan såvida inte annat medges,
• utan dröjsmål handlägga alla frågor från uppgiftsutföraren och att rätta sig efter tillsynsmyndighetens rekommendationer,
• på uppgiftsutförarens begäran ställa sin databehandlingsutrustning till förfogande för granskning av den uppgiftsbehandling som klausulerna avser,
• på begäran tillhandahålla de registrerade en kopia av klausulerna och en sammanfattande beskrivning av säkerhetsåtgärderna,
• anlita en underentreprenör endast om uppgiftsutföraren har gett sitt skriftliga förhandsgodkännande.

Klausul 6: Ansvar

Enligt klausulerna ska parterna vara överens om att en registrerad som har lidit skada till följd av brott mot skyldigheterna har rätt till ersättning från uppgiftsutföraren för den skada som lidits.

Klausul 7: Medling och forum

Uppgiftsinföraren måste samtycka till att, om den registrerade åberopar tredje parts rättigheter och/eller kräver ersättning för skador, godta den registrerades beslut att inleda medling av tredje part eller att hänskjuta tvisten till domstol i det EU-land där uppgiftsutföraren är etablerad (med rätt att söka gottgörelse i enlighet med andra bestämmelser i nationell eller internationell lagstiftning).

Klausul 8: Samarbetet med tillsynsmyndigheterna

Denna klausul reglerar samarbetet med den behöriga tillsynsmyndigheten genom att föreskriva att

• tillsynsmyndigheten har rätt att genomföra inspektioner hos uppgiftsinföraren och uppgiftsinförarens eventuella underentreprenörer,
• uppgiftsinföraren samtycker till att informera uppgiftsutföraren om eventuell lagstiftning som hindrar en inspektion av uppgiftsinföraren. I sådant fall ska uppgiftsutföraren ha rätt att avbryta överföringen av uppgifter eller häva avtalet.

Klausul 9: Tillämplig lag

Klausulerna omfattas av lagen i det EU-land där uppgiftsutföraren är etablerad.

Klausul 10: Ändring av avtalet

Parterna får inte ändra eller bryta mot klausulerna.

Klausul 11: Utläggning på entreprenad

Bestämmelserna som rör utläggning på entreprenad omfattas av lagen i det EU-land där uppgiftsutföraren är etablerad.

Klausul 12: Skyldigheter efter det att behandlingen av personuppgifter har upphört

Denna klausul reglerar parternas skyldigheter efter det att databehandlingen har upphört. Parterna bör särskilt komma överens om att uppgiftsinföraren och underentreprenören efter behandlingens upphörande måste återlämna (eller på begäran förstöra) alla personuppgifter som överförts, såvida lagstiftningen inte hindrar dem från att göra detta.

VILKEN PERIOD GÄLLER BESLUTET FÖR?

Beslutet har gällt sedan den 15 maj 2010.

BAKGRUND

• Anm.: Detta beslut var föremål för en begäran om förhandsavgörande som ledde till EU-domstolens dom (i mål C-311/18) av den 16 juli 2020, där domstolen bekräftade beslutets giltighet.
• Europeiska kommissionen har också utfärdat två uppsättningar standardavtalsklausuler för dataöverföringar från registeransvariga i EU till registeransvariga som är etablerade utanför EU eller EES.
• Se även:
  • Uppgiftsskydd (Europeiska kommissionen).

VIKTIGA BEGREPP

HUVUDDOKUMENT

Kommissionens beslut 2010/87/EU av den 5 februari 2010 om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredjeland i enlighet med Europaparlamentets och rådets direktiv 95/46/EG (EUT L 39, 12.2.2010, s. 5).

Fortlöpande ändringar av beslut 2010/87/EU har införlivats i originaltexten. Denna konsoliderade version har endast dokumentationsvärde.

ANKNYTANDE DOKUMENT

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

Se den konsoliderade versionen.

Kommissionens beslut 2004/915/EG av den 27 december 2004 om ändring av beslut 2001/497/EG om standardavtalsklausuler för överföring av personuppgifter till tredje land (EUT L 385, 29.12.2004, s. 74).

Kommissionens beslut 2001/497/EG av den 15 juni 2001 om standardavtalsklausuler för överföring av personuppgifter till tredje land enligt direktiv 95/46/EG (EGT L 181, 4.7.2001, s. 19).

Se den konsoliderade versionen.

Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31).

Se den konsoliderade versionen.

Senast ändrat 07.10.2020