PDF to HTML - Convert PDF files to HTML files

Europaudvalget 2000-01
EUU Alm.del Bilag 1002
Offentligt

Modtaget via elektronisk post. Der tages forbehold for evt. fejl

Europaudvalget

(Alm. del - bilag 1002)

retlige og indre anliggender ministerråd

(Offentligt)

_____________________________________________

REU, Alm. del - bilag 653 (Løbenr. 14677)

Medlemmerne af Folketingets Europaudvalg

og deres stedfortrædere

Bilag

Journalnummer

400.C.2-0

Kontor

EU-sekr.

26. marts 2001

Til underretning for Folketingets Europaudvalg vedlægges Justitsministeriets notat om udkast til Europa-

Kommissionens beslutning om standardkontraktbestemmelser for overførelse af personoplysninger til 3.lande,

jf. artikel 26, stk. 4, i Europa-Parlamentets og Rådets direktiv 95/46/EF (persondatadirektivet).

<DOCUMENT_START>

Notat til Folketingets Europaudvalg om udkast til Europa-Kommissionens beslutning om

standardkontraktbestemmelser for overførelse af personoplysninger til 3.lande, jf. artikel 26, stk. 4, i

Europa-Parlamentets og Rådets direktiv 95/46/EF (persondatadirektivet).

Udkastet til kommissionsbeslutning er beskrevet i vedlagte aktuelle notat.

Kommissionen har sat udkastet på dagsordenen til mødet i den såkaldte artikel 31-komité den 27. marts 2001.

Det ventes, at forslaget vil blive vedtaget uden afstemning.

Forslaget vedrører overførsel af personoplysninger til et 3.land. Ifølge artikel 26, stk. 4, i det nævnte direktiv

kan Kommissionen således efter en særlig procedure fastslå, at visse standardkontraktbestemmelser frembyder

tilstrækkelige garantier til, at en sådan overførelse kan ske, og at kontraktbestemmelser mellem

"dataeksportøren" og "dataimportøren", som er indgået på baggru nd af sådanne standarder, derfor indebærer,

at der kan gives tilladelse til overførelse.

En vedtagelse af udkastet til kommissionsbeslutning vil for Danmarks vedkommende indebære, at

tilsynsmyndigheden (Datatilsynet) på grundlag af kontraktbestemmelser som nævnt ovenfor kan give en dansk

virksomhed tilladelse til i nødvendigt omfang at overføre oplysninger til en virksomhed i 3.land.

Efter drøftelser med Datatilsynet er det Justitsministeriets opfattelse, at det foreliggende forslag til

standardkontraktbestemmelser sikrer et tilstrækkeligt beskyttelsesniveau. Bestemmelserne vil således bl.a.

indebære, at danske virksomheder efter en forholdsvis lempelig og håndterbar procedure i nødvendigt omfang

kan overføre oplysninger til 3.land samtidig med, at det sikres, at der er et tilstrækkeligt beskyttelsesniveau hos

den, de r modtager oplysningerne (dataimportøren).

PDF to HTML - Convert PDF files to HTML files

Regeringen kan på den baggrund støtte Kommissionens forslag.

AKTUELT NOTAT

Udkast til Europa-Kommissionens beslutning om standardkontraktbestemmelser for overførelse af

personoplysninger til 3.lande, jf. artikel 26, stk. 4, i Europa-Parlamentets og Rådets direktiv 95/46/EF

(persondatadirektivet).

1. Baggrund.

Ved direktiv 95/46/EF om beskyttelse af fysiske personer i forbindelse med behandling af

personoplysninger og om fri udveksling af sådanne oplysninger (persondatadirektivet) er der fastsat

regler, som sikrer beskyttelse i medlemsstaterne af personoplysninger, der er omfattet af direktivet.

Direktivet er i Danmark gennemført ved lov nr. 429 af 31. maj 2000 om behandling af

personoplysninger.

Loven indeholder i § 27 bestemmelser om overførelse af oplysninger til 3.lande. Udgangspunktet er, at en

sådan overførelse kun kan ske, hvis det pågældende 3.land sikrer et tilstrækkeligt beskyttelsesniveau, jf. §

27, stk. 1.

Der gælder undtagelser til denne hovedregel, jf. § 27, stk. 3 og 4. Efter stk. 4 gælder således, at

tilsynsmyndigheden (Datatilsynet) kan give tilladelse til overførelse, såfremt den dataansvarlige yder

tilstrækkelige garantier for beskyttelse af de registreredes rettigheder. I bemærkningerne til lovforslaget (L

44 af 8. oktober 1998, side 104) er det nærmere beskrevet, at sådanne garantier navnlig kan "fremgå af

passende k ontraktsbestemmelser, som medfører, at det beskyttelsesniveau, som loven tilsigter at sikre,

ikke forringes væsentligt."

Det fremgår endvidere af de nævnte bemærkninger, at Europa-Kommissionen efter direktivets artikel 26,

stk. 4, efter en særlig procedure kan fastslå, at visse standardkontraktbestemmelser frembyder

tilstrækkelige garantier, og at kontraktbestemmelser, som udarbejdes på baggrund af sådanne standarder,

derfor vil opfylde kravet om fornødne garantier.

Kommissionen har på denne baggrund udarbejdet udkast til standardkontraktbestemmelser.

Kommissionen er blevet bistået af en komité, der er nedsat efter direktivets artikel 31, og som består af

repræsentanter for medlemsstaternes regeringer.

Standardkontraktbestemmelserne vil i praksis navnlig have betydning for virksomheder i lande, der er

omfattet af direktivet, og som har behov for at overføre oplysninger til virksomheder i et 3.land.

Udkastet forventes {{SPA}} eventuelt med enkelte, mindre ændringer {{SPA}} vedtaget af komitéen på

et møde den 27. marts 2001. Kommissionen forventes herefter at træffe beslutning efter den nævnte

bestemmelse i direktivets artikel 26, stk. 4.

Udkastet til Europa-Kommissionens beslutning.

Udkastet til beslutning (vedlagt) indebærer, at de standardkontraktbestemmelser, der fremgår af bilaget til

beslutningen, opfylder kravene i direktivets artikel 26, stk. 2. Der henvises nærmere til udkastets artikel 1.

Det betyder, at en medlemsstat kan give tilladelse til overførsel af personoplysninger til et 3.land, såfremt

der mellem "dataeksportøren" og "dataimportøren" er indgået aftale på grundlag af disse bestemmelser.

PDF to HTML - Convert PDF files to HTML files

I artikel 2 i udkastet til beslutning bestemmes det, at beslutningen alene vedrører tilstrækkeligheden af

den beskyttelse, som opnås ved overførsel af personoplysninger ved brug af de omhandlede

standardkontraktbestemmelser, men at beslutningen ingen indvirkning har på anvendelsen af de

nationale bestemmelser til gennemførelse af persondatadirektivet, som vedrører behandling af

personoplysninger i medlemsstaterne.

Det betyder, at f.eks. en dansk virksomhed, der ønsker at overføre personoplysninger til et 3.land, under

alle omstændigheder skal opfylde de almindelige betingelser i lov om behandling af personoplysninger for

at behandle oplysninger. Standardkontraktbestemmelserne indebærer således ingen begrænsning af de

pligter, som loven indeholder med hensyn til behandling af oplysninger her i landet.

Endelig indebærer bestemmelsen i udkastets artikel 3, at tilsynsmyndigheden (Datatilsynet), uanset at der

er indgået aftale i overensstemmelse med standardkontraktbestemmelserne, under nærmere betingelser

kan gøre brug af sine beføjelser med henblik på at forbyde eller suspendere overførsel til 3.lande for at

beskytte fysiske personer med hensyn til behandling af personoplysninger.

Det gælder bl.a., hvis dataimportøren ikke overholder kontraktbestemmelserne, eller hvis den lovgivning,

som dataimportøren er underlagt, pålægger den pågældende at fravige de databeskyttelsesregler, der

fremgår af standardkontraktbestemmelserne.

Selve standardkontraktbestemmelserne indebærer, at dataeksportøren og dataimportøren både i forhold

til hinanden og i forhold til den registrerede påtager sig at indestå for, at personoplysningerne bliver

behandlet således, at privatlivets fred og de grundlæggende rettigheder og frihedsrettigheder for fysiske

personer respekteres. Bestemmelserne indeholder i den forbindelse bl.a. nærmere regler om de garantier,

som dataeksportø ;ren afgiver, om de garantier, som dataimportøren afgiver, og om mægling og

værneting m.v. i tilfælde af uenighed mellem parterne indbyrdes eller mellem parterne og den

registrerede.

I bilaget til standardkontraktbestemmelserne er der fastsat en række obligatoriske

databeskyttelsesprincipper for behandling af personoplysninger, som foretages af dataimportøren i det

pågældende 3.land. Det drejer sig bl.a. om den nærmere sikkerhed ved behandlingen af oplysningerne,

om ret for den registrerede til indsigt, berigtigelse og sletning m.v. og om begrænsning i dataimportørens

adgang til at videreoverføre oplysningerne.

Lovgivningsmæssige, statsfinansielle, erhvervsøkonomiske og samfundsmæssige konsekvenser.

Forslaget har ikke lovgivningsmæssige eller statsfinansielle konsekvenser.

Standardkontraktbestemmelserne må derimod antages at få betydning for erhvervslivet. Bestemmelserne vil

således bl.a. have den virkning, at danske virksomheder efter en forholdsvis lempelig og håndterbar procedure i

nødvendigt omgang kan overføre oplysninger til 3.land samtidig med, at det sikres, at der er et tilstrækkeligt

beskyttelsesniveau hos den, der modtager oplysningerne (dataimportøren).

Det tilføjes i den forbindelse, at udkastet indebærer, at der tre år efter, at beslutningen er blevet meddelt til

medlemsstaterne, skal foretages en evaluering af beslutningens gennemførelse. Der vil i den forbindelse kunne

ske tilretning af standardkontraktbestemmelserne.

PDF to HTML - Convert PDF files to HTML files