This document is an excerpt from the EUR-Lex website
Document 32016D2295
Commission Implementing Decision (EU) 2016/2295 of 16 December 2016 amending Decisions 2000/518/EC, 2002/2/EC, 2003/490/EC, 2003/821/EC, 2004/411/EC, 2008/393/EC, 2010/146/EU, 2010/625/EU, 2011/61/EU and Implementing Decisions 2012/484/EU, 2013/65/EU on the adequate protection of personal data by certain countries, pursuant to Article 25(6) of Directive 95/46/EC of the European Parliament and of the Council (notified under document C(2016) 8353) (Text with EEA relevance )
Kommissionens gennemførelsesafgørelse (EU) 2016/2295 af 16. december 2016 om ændring af beslutning 2000/518/EF, 2002/2/EF, 2003/490/EF, 2003/821/EF, 2004/411/EF, 2008/393/EF, afgørelse 2010/146/EU, 2010/625/EU, 2011/61/EU og gennemførelsesafgørelse 2012/484/EU og 2013/65/EU om tilstrækkeligheden af beskyttelsesniveauet for personoplysninger i visse lande, i henhold til artikel 25, stk. 6, i Europa-Parlamentets og Rådets direktiv 95/46/EF (meddelt under nummer C(2016) 8353) (EØS-relevant tekst )
Kommissionens gennemførelsesafgørelse (EU) 2016/2295 af 16. december 2016 om ændring af beslutning 2000/518/EF, 2002/2/EF, 2003/490/EF, 2003/821/EF, 2004/411/EF, 2008/393/EF, afgørelse 2010/146/EU, 2010/625/EU, 2011/61/EU og gennemførelsesafgørelse 2012/484/EU og 2013/65/EU om tilstrækkeligheden af beskyttelsesniveauet for personoplysninger i visse lande, i henhold til artikel 25, stk. 6, i Europa-Parlamentets og Rådets direktiv 95/46/EF (meddelt under nummer C(2016) 8353) (EØS-relevant tekst )
C/2016/8353
EUT L 344 af 17.12.2016, p. 83–91
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
17.12.2016 |
DA |
Den Europæiske Unions Tidende |
L 344/83 |
KOMMISSIONENS GENNEMFØRELSESAFGØRELSE (EU) 2016/2295
af 16. december 2016
om ændring af beslutning 2000/518/EF, 2002/2/EF, 2003/490/EF, 2003/821/EF, 2004/411/EF, 2008/393/EF, afgørelse 2010/146/EU, 2010/625/EU, 2011/61/EU og gennemførelsesafgørelse 2012/484/EU og 2013/65/EU om tilstrækkeligheden af beskyttelsesniveauet for personoplysninger i visse lande, i henhold til artikel 25, stk. 6, i Europa-Parlamentets og Rådets direktiv 95/46/EF
(meddelt under nummer C(2016) 8353)
(EØS-relevant tekst)
EUROPA-KOMMISSIONEN HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde,
under henvisning til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (1), særlig artikel 25, stk. 6,
efter høring af Den Europæiske Tilsynsførende for Databeskyttelse, og
ud fra følgende betragtninger:
|
(1) |
I dom af 6. oktober 2015, sag C-362/14, Maximillian Schrems mod Data Protection Commissioner (2), fandt den Europæiske Unions Domstol, at Kommissionen ved vedtagelsen af artikel 3 beslutning 2000/520/EF (3) overskred de beføjelser, der er tillagt den ved artikel 25, stk. 6, i direktiv 95/46/EF, sammenholdt med chartret om grundlæggende rettigheder i Den Europæiske Union, og fastslog, at artikel 3 i beslutningen er ugyldig. |
|
(2) |
I artikel 3, stk. 1, første afsnit, i beslutning 2000/520/EF fastsatte Kommissionen restriktive betingelser for, hvornår nationale tilsynsmyndigheder kan beslutte at suspendere overførslen af oplysninger til en amerikansk virksomhed, der har gjort brug af selvcertificering, uanset Kommissionens konstatering af et tilstrækkeligt beskyttelsesniveau. |
|
(3) |
I Schrems-dommen præciserede Domstolen, at de nationale tilsynsmyndigheder fortsat har beføjelse til at føre tilsyn med overførslen af personoplysninger til et tredjeland, der har været genstand for en kommissionsbeslutning om tilstrækkeligheden af beskyttelsesniveauet, og at Kommissionen ikke har kompetence til at begrænse deres beføjelser i medfør af artikel 28 i direktiv 95/46/EF. I henhold til denne bestemmelse er de nævnte myndigheder således bl.a. tillagt beføjelser til at iværksætte undersøgelser, såsom beføjelsen til at tilvejebringe alle de oplysninger, der er nødvendige for at varetage deres tilsynsopgaver, beføjelser til at gribe effektivt ind, såsom beføjelsen til midlertidigt eller definitivt at forbyde en behandling af oplysninger, eller beføjelse til at indbringe sager for retsinstanserne (4). |
|
(4) |
Domstolen bemærkede i Schrems-dommen, at medlemsstaterne og deres organer i medfør af artikel 25, stk. 6, andet afsnit, i direktiv 95/46/EF skal træffe de nødvendige foranstaltninger for at overholde EU-institutionernes retsakter, da der i princippet gælder en formodning om, at disse retsakter er lovlige, og de afføder derfor retsvirkninger, så længe de ikke er blevet trukket tilbage, annulleret under et annullationssøgsmål eller erklæret ugyldige som følge af en præjudiciel forelæggelse eller en ulovlighedsindsigelse. |
|
(5) |
En kommissionsbeslutning om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 25, stk. 6, i direktiv 95/46/EF er følgelig bindende for alle organer i den medlemsstat, som den er rettet til, herunder deres uafhængige tilsynsmyndigheder, for så vidt som den bevirker, at der gives tilladelse til videregivelse af personoplysninger fra medlemsstaterne til det af beslutningen omfattede tredjeland (5). Det følger heraf, at de nationale tilsynsmyndigheder ikke kan vedtage foranstaltninger, der er i strid med en sådan beslutning, såsom retsakter, ved hvilke det med bindende virkning tilsigtes at konstatere, at det i beslutningen omhandlede tredjeland ikke sikrer et tilstrækkeligt beskyttelsesniveau. Som det præciseres i Schrems-dommen, er dette ikke til hinder for, at en national tilsynsmyndighed behandler henvendelser fra en person vedrørende niveauet for beskyttelse af personlige oplysninger i et tredjeland, der har været genstand for en kommissionsbeslutning om tilstrækkeligheden af beskyttelsen, og hvor den finder grundlag herfor at indbring en sag for de nationale retter, således at disse, såfremt de deler myndighedens tvivl vedrørende gyldigheden af Kommissionens beslutning, kan foretage en præjudiciel forelæggelse med henblik på en efterprøvelse af denne beslutnings gyldighed (6). |
|
(6) |
Kommissionens beslutninger 2000/518/EF (7), 2002/2/EF (8), 2003/490/EF (9), 2003/821/EF (10), 2004/411/EF (11) og 2008/393/EF (12), Kommissionens afgørelser 2010/146/EU (13), 2010/625/EU (14) og 2011/61/EU (15), Kommissionens gennemførelsesafgørelser 2012/484/EU (16) og 2013/65/EU, (17) som er beslutninger om tilstrækkeligheden af beskyttelsen, indeholder en lignende begrænsning af de nationale tilsynsmyndigheders beføjelser som den, der er fastsat i artikel 3, stk. 1, første afsnit, i beslutning 2000/520/EF, som Domstolen erklærede ugyldig. |
|
(7) |
Henset til Schrems-dommen og i henhold til traktatens artikel 266 skal bestemmelserne i disse beslutninger om begrænsning af de nationale tilsynsmyndigheders beføjelser derfor erstattes. |
|
(8) |
I Schrems-dommen præciserede Domstolen endvidere, at da det beskyttelsesniveau, som et tredjeland sikrer, kan ændre sig, påhviler det Kommissionen efter vedtagelse af en afgørelse i henhold til artikel 25, stk. 6, i direktiv 95/46/EF at undersøge med regelmæssige mellemrum, om konstateringen vedrørende det tilstrækkelige beskyttelsesniveau, som er sikret i det pågældende tredjeland, stadig er faktisk og retligt begrundet (18). Henset til Domstolens bemærkninger i dommen for så vidt angår offentlige myndigheders adgang til personoplysninger, skal der ligeledes føres tilsyn med de regler og den praksis, der gælder for en sådan adgang. |
|
(9) |
For de lande, for hvilke der er truffet en beslutning om, hvorvidt beskyttelsesniveauet er tilstrækkeligt, vil Kommissionen derfor løbende overvåge udviklingen såvel i lovgivningen som i praksis, idet den kan få indvirkning på sådanne beslutninger, herunder vedrørende offentlige myndigheders adgang til personoplysninger. |
|
(10) |
For at fremme et effektivt tilsyn med virkningen af de gældende beslutninger om tilstrækkeligheden af beskyttelsen, bør medlemslandende underrette Kommissionen om relevante foranstaltninger, der træffes af de nationale tilsynsmyndigheder. |
|
(11) |
Ved denne afgørelse er der taget hensyn til den udtalelse, som den ved artikel 29 i direktiv 95/46/EF nedsatte gruppe vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger har afgivet. |
|
(12) |
Foranstaltningerne i denne afgørelse er i overensstemmelse med udtalelse fra det udvalg, der blev nedsat ved artikel 31, stk. 1, i direktiv 95/46/EF. |
|
(13) |
Beslutning 2000/518/EF, 2002/2/EF, 2003/490/EF, 2003/821/EF, 2004/411/EF og 2008/393/EF, afgørelse 2010/146/EU, 2010/625/EU og 2011/61/EU, og gennemførelsesafgørelse 2012/484/EU og 2013/65/EU bør derfor ændres i overensstemmelse hermed — |
VEDTAGET DENNE AFGØRELSE:
Artikel 1
I beslutning 2000/518/EF foretages følgende ændringer:
|
1) |
Artikel 3 affattes således: »Artikel 3 Når de kompetente myndigheder i medlemsstaterne udøver deres beføjelser i medfør af artikel 28, stk. 3, i direktiv 95/46/EF, og dette fører til suspension eller et definitivt forbud mod overførsel af oplysninger til Schweiz for at beskytte personer i forbindelse med behandling af deres personoplysninger, underretter den berørte medlemsstat uden ugrundet ophold Kommissionen, der videresender oplysningerne til de øvrige medlemsstater.« |
|
2) |
Følgende artikel 3a indsættes: »Artikel 3a 1. Kommissionen fører løbende tilsyn med ændringer i den schweiziske retsorden, der kan påvirke denne beslutnings virkning, herunder tiltag vedrørende offentlige myndigheders adgang til personoplysninger, med henblik på at vurdere, om Schweiz fortsat sikrer et tilstrækkeligt beskyttelsesniveau med hensyn til personoplysninger. 2. Medlemsstaterne og Kommissionen underretter hinanden om tilfælde, hvor de organer, som er ansvarlige for overholdelsen af beskyttelsesnormerne i Schweiz, ikke sikrer en sådan overholdelse. 3. Medlemsstaterne og Kommissionen underretter hinanden om tilfælde, hvor der er tegn på, at de schweiziske myndigheder med ansvar for den nationale sikkerhed, retshåndhævelse eller andre offentlige interesser griber ind i den enkeltes ret til beskyttelse af sine personoplysninger ud over, hvad der er strengt nødvendigt, og/eller hvor der tilsyneladende ikke er en effektiv retsbeskyttelse mod sådanne indgreb. 4. Når der er grundlag for at antage, at der ikke længere er sikkerhed for et passende beskyttelsesniveau, herunder i de situationer, der er nævnt i stk. 2 og 3, underretter Kommissionen den kompetente schweiziske myndighed herom og forelægger om nødvendigt et udkast til foranstaltninger efter proceduren i artikel 31, stk. 2, i direktiv 95/46/EF med henblik på at ophæve eller suspendere denne beslutning eller begrænse dens rækkevidde.« |
Artikel 2
I beslutning 2002/2/EF foretages følgende ændringer:
|
1) |
Artikel 3 affattes således: »Artikel 3 Når de kompetente myndigheder i medlemsstaterne udøver deres beføjelser i medfør af artikel 28, stk. 3, i direktiv 95/46/EF, og dette fører til suspension eller et definitivt forbud mod overførsel af oplysninger til en modtager i Canada, hvis aktiviteter er omfattet af Canadas lov om beskyttelse af personoplysninger og elektroniske dokumenter, for at beskytte personer i forbindelse med behandling af deres personoplysninger, underretter den berørte medlemsstat uden ugrundet ophold Kommissionen, der videresender oplysningerne til de øvrige medlemsstater.« |
|
2) |
Følgende artikel 3a indsættes: »Artikel 3a 1. Kommissionen fører løbende tilsyn med ændringer i den canadiske retsorden, der kan påvirke denne beslutnings virkning, herunder tiltag vedrørende offentlige myndigheders adgang til personoplysninger, med henblik på at vurdere, om Canada fortsat sikrer et tilstrækkeligt beskyttelsesniveau med hensyn til personoplysninger. 2. Medlemsstaterne og Kommissionen underretter hinanden om tilfælde, hvor de organer, som er ansvarlige for overholdelsen af beskyttelsesnormerne i Canada, ikke sikrer en sådan overholdelse. 3. Medlemsstaterne og Kommissionen underretter gensidigt hinanden om tilfælde, hvor der er tegn på, at de canadiske myndigheder med ansvar for den nationale sikkerhed, retshåndhævelse eller andre offentlige interesser griber ind i den enkeltes ret til beskyttelse af sine personoplysninger ud over, hvad der er strengt nødvendigt, og/eller hvor der tilsyneladende ikke er en effektiv retsbeskyttelse mod sådanne indgreb. 4. Når der er grundlag for at antage, at der ikke længere er sikkerhed for et passende beskyttelsesniveau, herunder i de situationer, der er omfattet af stk. 2 og 3, underretter Kommissionen den kompetente canadiske myndighed herom og forelægger om nødvendigt et udkast til foranstaltninger efter proceduren i artikel 31, stk. 2, i direktiv 95/46/EF med henblik på at ophæve eller suspendere denne beslutning eller begrænse dens rækkevidde.« |
Artikel 3
I beslutning 2003/490/EF foretages følgende ændringer:
|
1) |
Artikel 3 affattes således: »Artikel 3 Når de kompetente myndigheder i medlemsstaterne udøver deres beføjelser i medfør af artikel 28, stk. 3, i direktiv 95/46/EF, og dette fører til suspension eller et definitivt forbud mod overførsel af oplysninger til Argentina for at beskytte personer i forbindelse med behandling af deres personoplysninger, underretter den berørte medlemsstat uden ugrundet ophold Kommissionen, der videresender oplysningerne til de øvrige medlemsstater.« |
|
2) |
Følgende artikel 3a indsættes: »Artikel 3 a 1. Kommissionen fører løbende tilsyn med ændringer i den argentinske retsorden, der kan påvirke denne beslutnings virkning, herunder tiltag vedrørende offentlige myndigheders adgang til personoplysninger, med henblik på at vurdere, om Argentina fortsat sikrer et tilstrækkeligt beskyttelsesniveau med hensyn til personoplysninger. 2. Medlemsstaterne og Kommissionen underretter hinanden om tilfælde, hvor de organer, som er ansvarlige for overholdelsen af beskyttelsesnormerne i Argentina, ikke sikrer en sådan overholdelse. 3. Medlemsstaterne og Kommissionen underretter hinanden om tilfælde, hvor der er tegn på, at de argentinske myndigheder med ansvar for den nationale sikkerhed, retshåndhævelse eller andre offentlige interesser griber ind i den enkeltes ret til beskyttelse af sine personoplysninger ud over, hvad der er strengt nødvendigt, og/eller hvor der tilsyneladende ikke er en effektiv retsbeskyttelse mod sådanne indgreb. 4. Når der er grundlag for at antage, at der ikke længere er sikkerhed for et passende beskyttelsesniveau, herunder i de situationer, der er nævnt i stk. 2 og 3, underretter Kommissionen den kompetente argentinske myndighed herom og forelægger om nødvendigt et udkast til foranstaltninger efter proceduren i artikel 31, stk. 2, i direktiv 95/46/EF med henblik på at ophæve eller suspendere denne beslutning eller begrænse dens rækkevidde.« |
Artikel 4
I beslutning 2003/821/EF affattes artikel 3 og 4 således:
»Artikel 3
Når de kompetente myndigheder i medlemsstaterne udøver deres beføjelser i medfør af artikel 28, stk. 3, i direktiv 95/46/EF, og dette fører til suspension eller et definitivt forbud mod overførsel af oplysninger til Bailiwick of Guernsey for at beskytte personer i forbindelse med behandling af deres personoplysninger, underretter den berørte medlemsstat uden ugrundet ophold Kommissionen, der videresender oplysningerne til de øvrige medlemsstater.
Artikel 4
1. Kommissionen fører løbende tilsyn med ændringer i Guernseys retsorden, der kan påvirke denne beslutnings virkning, herunder tiltag vedrørende offentlige myndigheders adgang til personoplysninger, med henblik på at vurdere, om Guernsey fortsat sikrer et tilstrækkeligt beskyttelsesniveau med hensyn til personoplysninger.
2. Medlemsstaterne og Kommissionen underretter hinanden om tilfælde, hvor de organer, som er ansvarlige for overholdelsen af beskyttelsesnormerne i Guernsey, ikke sikrer en sådan overholdelse.
3. Medlemsstaterne og Kommissionen underretter hinanden om tilfælde, hvor der er tegn på, at Guernseys myndigheder med ansvar for den nationale sikkerhed, retshåndhævelse eller andre offentlige interesser griber ind i den enkeltes ret til beskyttelse af sine personoplysninger ud over, hvad der er strengt nødvendigt, og/eller hvor der tilsyneladende ikke er en effektiv retsbeskyttelse mod sådanne indgreb.
4. Når der er grundlag for at antage, at der ikke længere er sikkerhed for et passende beskyttelsesniveau, herunder i de situationer, der er nævnt i stk. 2 og 3, underretter Kommissionen den kompetente myndighed i Guernsey herom og forelægger om nødvendigt et udkast til foranstaltninger efter proceduren i artikel 31, stk. 2, i direktiv 95/46/EF med henblik på at ophæve eller suspendere denne beslutning eller begrænse dens rækkevidde.«
Artikel 5
I beslutning 2004/411/EF affattes artikel 3 og 4 således:
»Artikel 3
Når de kompetente myndigheder i medlemsstaterne udøver deres beføjelser i medfør af artikel 28, stk. 3, i direktiv 95/46/EF, og dette fører til suspension eller et definitivt forbud mod overførsel af oplysninger til Isle of Man for at beskytte personer i forbindelse med behandling af deres personoplysninger, underretter den berørte medlemsstat uden ugrundet ophold Kommissionen, der videresender oplysningerne til de øvrige medlemsstater.
Artikel 4
1. Kommissionen fører løbende tilsyn med ændringer i Isle of Mans retsorden, der kan påvirke denne beslutnings virkning, herunder tiltag vedrørende offentlige myndigheders adgang til personoplysninger, med henblik på at vurdere, om Isle of Man fortsat sikrer et tilstrækkeligt beskyttelsesniveau med hensyn til personoplysninger.
2. Medlemsstaterne og Kommissionen underretter hinanden om tilfælde, hvor de organer, som er ansvarlige for overholdelsen af beskyttelsesnormerne i Isle of Man, ikke sikrer en sådan overholdelse.
3. Medlemsstaterne og Kommissionen underretter hinanden om tilfælde, hvor der er tegn på, at Isle of Mans myndigheder med ansvar for den nationale sikkerhed, retshåndhævelse eller andre offentlige interesser griber ind i den enkeltes ret til beskyttelse af sine personoplysninger ud over, hvad der er strengt nødvendigt, og/eller hvor der tilsyneladende ikke er en effektiv retsbeskyttelse mod sådanne indgreb.
4. Når der er grundlag for at antage, at der ikke længere er sikkerhed for et passende beskyttelsesniveau, herunder i de situationer, der er nævnt i stk. 2 og 3, underretter Kommissionen den kompetente myndighed i Isle of Man herom og forelægger om nødvendigt et udkast til foranstaltninger efter proceduren i artikel 31, stk. 2, i direktiv 95/46/EF med henblik på at ophæve eller suspendere denne beslutning eller begrænse dens rækkevidde.«
Artikel 6
I beslutning 2008/393/EF affattes artikel 3 og 4 således:
»Artikel 3
Når de kompetente myndigheder i medlemsstaterne udøver deres beføjelser i medfør af artikel 28, stk. 3, i direktiv 95/46/EF, og dette fører til suspension eller et definitivt forbud mod overførsel af oplysninger til Jersey for at beskytte personer i forbindelse med behandling af deres personoplysninger, underretter den berørte medlemsstat uden ugrundet ophold Kommissionen, der videresender oplysningerne til de øvrige medlemsstater.
Artikel 4
1. Kommissionen fører løbende tilsyn med ændringer i Jerseys retsorden, der kan påvirke denne beslutnings virkning, herunder tiltag vedrørende offentlige myndigheders adgang til personoplysninger, med henblik på at vurdere, om Jersey fortsat sikrer et tilstrækkeligt beskyttelsesniveau med hensyn til personoplysninger.
2. Medlemsstaterne og Kommissionen underretter hinanden om tilfælde, hvor de organer, som er ansvarlige for overholdelsen af beskyttelsesnormerne på Jersey, ikke sikrer en sådan overholdelse.
3. Medlemsstaterne og Kommissionen underretter hinanden om tilfælde, hvor der er tegn på, at Jerseys myndigheder med ansvar for den nationale sikkerhed, retshåndhævelse eller andre offentlige interesser griber ind i den enkeltes ret til beskyttelse af sine personoplysninger ud over, hvad der er strengt nødvendigt, og/eller hvor der tilsyneladende ikke er en effektiv retsbeskyttelse mod sådanne indgreb.
4. Når der er grundlag for at antage, at der ikke længere er sikkerhed for et passende beskyttelsesniveau, herunder i de situationer, der er nævnt i stk. 2 og 3, underretter Kommissionen den kompetente myndighed på Jersey herom og forelægger om nødvendigt et udkast til foranstaltninger efter proceduren i artikel 31, stk. 2, i direktiv 95/46/EF med henblik på at ophæve eller suspendere denne beslutning eller begrænse dens rækkevidde.«
Artikel 7
I afgørelse 2010/146/EU affattes artikel 3 og 4 således:
»Artikel 3
Når de kompetente myndigheder i medlemsstaterne udøver deres beføjelser i medfør af artikel 28, stk. 3, i direktiv 95/46/EF, og dette fører til suspension eller et definitivt forbud mod overførsel af oplysninger til en modtager på Færøerne, hvis aktiviteter er omfattet af den færøske lov om behandling af personoplysninger, for at beskytte personer i forbindelse med behandling af deres personoplysninger, underretter den berørte medlemsstat uden ugrundet ophold Kommissionen, der videresender oplysningerne til de øvrige medlemsstater.
Artikel 4
1. Kommissionen fører løbende tilsyn med ændringer i Færøernes retsorden, der kan påvirke denne afgørelses virkning, herunder tiltag vedrørende offentlige myndigheders adgang til personoplysninger, med henblik på at vurdere, om Færøerne fortsat sikrer et tilstrækkeligt beskyttelsesniveau med hensyn til personoplysninger.
2. Medlemsstaterne og Kommissionen underretter hinanden om tilfælde, hvor de organer, som er ansvarlige for overholdelsen af beskyttelsesnormerne på Færøerne, ikke sikrer en sådan overholdelse.
3. Medlemsstaterne og Kommissionen underretter hinanden om tilfælde, hvor der er tegn på, at Færøernes myndigheder med ansvar for den nationale sikkerhed, retshåndhævelse eller andre offentlige interesser griber ind i den enkeltes ret til beskyttelse af sine personoplysninger ud over, hvad der er strengt nødvendigt, og/eller hvor der tilsyneladende ikke er en effektiv retsbeskyttelse mod sådanne indgreb.
4. Når der er grundlag for at antage, at der ikke længere er sikkerhed for et passende beskyttelsesniveau, herunder i de situationer, der er nævnt i stk. 2 og 3, underretter Kommissionen den kompetente myndighed på Færøerne herom og forelægger om nødvendigt et udkast til foranstaltninger efter proceduren i artikel 31, stk. 2, i direktiv 95/46/EF med henblik på at ophæve eller suspendere denne afgørelse eller begrænse dens rækkevidde.«
Artikel 8
I afgørelse 2010/625/EU affattes artikel 3 og 4 således:
»Artikel 3
Når de kompetente myndigheder i medlemsstaterne udøver deres beføjelser i medfør af artikel 28, stk. 3, i direktiv 95/46/EF, og dette fører til suspension eller et definitivt forbud mod overførsel af oplysninger til Andorra for at beskytte personer i forbindelse med behandling af deres personoplysninger, underretter den berørte medlemsstat uden ugrundet ophold Kommissionen, der videresender oplysningerne til de øvrige medlemsstater.
Artikel 4
1. Kommissionen fører løbende tilsyn med ændringer i Andorras retsorden, der kan påvirke denne afgørelses virkning, herunder tiltag vedrørende offentlige myndigheders adgang til personoplysninger, med henblik på at vurdere, om Andorra fortsat sikrer et tilstrækkeligt beskyttelsesniveau med hensyn til personoplysninger.
2. Medlemsstaterne og Kommissionen underretter hinanden om tilfælde, hvor de organer, som er ansvarlige for overholdelsen af beskyttelsesnormerne i Andorra, ikke sikrer en sådan overholdelse.
3. Medlemsstaterne og Kommissionen underretter hinanden om tilfælde, hvor der er tegn på, at Andorras myndigheder med ansvar for den nationale sikkerhed, retshåndhævelse eller andre offentlige interesser griber ind i den enkeltes ret til beskyttelse af sine personoplysninger ud over, hvad der er strengt nødvendigt, og/eller hvor der tilsyneladende ikke er en effektiv retsbeskyttelse mod sådanne indgreb.
4. Når der er grundlag for at antage, at der ikke længere er sikkerhed for et passende beskyttelsesniveau, herunder i de situationer, der er nævnt i stk. 2 og 3, underretter Kommissionen den kompetente myndighed i Andorra herom og forelægger om nødvendigt et udkast til foranstaltninger efter proceduren i artikel 31, stk. 2, i direktiv 95/46/EF med henblik på at ophæve eller suspendere denne afgørelse eller begrænse dens rækkevidde.«
Artikel 9
I afgørelse 2011/61/EU affattes artikel 3 og 4 således:
»Artikel 3
Når de kompetente myndigheder i medlemsstaterne udøver deres beføjelser i medfør af artikel 28, stk. 3, i direktiv 95/46/EF, og dette fører til suspension eller et definitivt forbud mod overførsel af oplysninger til Israel for at beskytte personer i forbindelse med behandling af deres personoplysninger, underretter den berørte medlemsstat uden ugrundet ophold Kommissionen, der videresender oplysningerne til de øvrige medlemsstater.
Artikel 4
1. Kommissionen fører løbende tilsyn med ændringer i Israels retsorden, der kan påvirke denne afgørelses virkning, herunder tiltag vedrørende offentlige myndigheders adgang til personoplysninger, med henblik på at vurdere, om Staten Israel fortsat sikrer et tilstrækkeligt beskyttelsesniveau med hensyn til personoplysninger.
2. Medlemsstaterne og Kommissionen underretter hinanden om tilfælde, hvor de organer, som er ansvarlige for overholdelsen af beskyttelsesnormerne i Israel, ikke sikrer en sådan overholdelse.
3. Medlemsstaterne og Kommissionen underretter hinanden om tilfælde, hvor der er tegn på, at Israels myndigheder med ansvar for den nationale sikkerhed, retshåndhævelse eller andre offentlige interesser griber ind i den enkeltes ret til beskyttelse af sine personoplysninger ud over, hvad der er strengt nødvendigt, og/eller hvor der tilsyneladende ikke er en effektiv retsbeskyttelse mod sådanne indgreb.
4. Når der er grundlag for at antage, at der ikke længere er sikkerhed for et passende beskyttelsesniveau, herunder i de situationer, der er nævnt i stk. 2 og 3, underretter Kommissionen den kompetente myndighed i Israel herom og forelægger om nødvendigt et udkast til foranstaltninger efter proceduren i artikel 31, stk. 2, i direktiv 95/46/EF med henblik på at ophæve eller suspendere denne afgørelse eller begrænse dens rækkevidde.«
Artikel 10
I gennemførelsesafgørelse 2012/484/EU affattes artikel 2 og 3 således:
»Artikel 2
Når de kompetente myndigheder i medlemsstaterne udøver deres beføjelser i medfør af artikel 28, stk. 3, i direktiv 95/46/EF, og dette fører til suspension eller et definitivt forbud mod overførsel af oplysninger til Den Østlige Republik Uruguay for at beskytte personer i forbindelse med behandling af deres personoplysninger, underretter den berørte medlemsstat uden ugrundet ophold Kommissionen, der videresender oplysningerne til de øvrige medlemsstater.
Artikel 3
1. Kommissionen fører løbende tilsyn med ændringer i Den Østlige Republik Uruguays retsorden, der kan påvirke denne beslutnings virkning, herunder tiltag vedrørende offentlige myndigheders adgang til personoplysninger, med henblik på at vurdere, om Den Østlige Republik Uruguay fortsat sikrer et tilstrækkeligt beskyttelsesniveau med hensyn til personoplysninger.
2. Medlemsstaterne og Kommissionen underretter hinanden om tilfælde, hvor de organer, som er ansvarlige for overholdelsen af beskyttelsesnormerne i Den Østlige Republik Uruguay, ikke sikrer en sådan overholdelse.
3. Medlemsstaterne og Kommissionen underretter hinanden om tilfælde, hvor der er tegn på, at Uruguays myndigheder med ansvar for den nationale sikkerhed, retshåndhævelse eller andre offentlige interesser griber ind i den enkeltes ret til beskyttelse af sine personoplysninger ud over, hvad der er strengt nødvendigt, og/eller hvor der tilsyneladende ikke er en effektiv retsbeskyttelse mod sådanne indgreb.
4. Når der er grundlag for at antage, at der ikke længere er sikkerhed for et passende beskyttelsesniveau, herunder i de situationer, der er nævnt i stk. 2 og 3, underretter Kommissionen den kompetente myndighed i Uruguay herom og forelægger om nødvendigt et udkast til foranstaltninger efter proceduren i artikel 31, stk. 2, i direktiv 95/46/EF med henblik på at ophæve eller suspendere denne afgørelse eller begrænse dens rækkevidde.«
Artikel 11
I gennemførelsesafgørelse 2013/65/EU affattes artikel 2 og 3 således:
»Artikel 2
Når de kompetente myndigheder i medlemsstaterne udøver deres beføjelser i medfør af artikel 28, stk. 3, i direktiv 95/46/EF, og dette fører til suspension eller et definitivt forbud mod overførsel af oplysninger til New Zealand for at beskytte personer i forbindelse med behandling af deres personoplysninger, underretter den berørte medlemsstat uden ugrundet ophold Kommissionen, der videresender oplysningerne til de øvrige medlemsstater.
Artikel 3
1. Kommissionen fører løbende tilsyn med ændringer i New Zealands retsorden, der kan påvirke denne afgørelses virkning, herunder tiltag vedrørende offentlige myndigheders adgang til personoplysninger, med henblik på at vurdere, om New Zealand fortsat sikrer et tilstrækkeligt beskyttelsesniveau med hensyn til personoplysninger.
2. Medlemsstaterne og Kommissionen underretter hinanden om tilfælde, hvor de organer, som er ansvarlige for overholdelsen af beskyttelsesnormerne i New Zealand, ikke sikrer en sådan overholdelse.
3. Medlemsstaterne og Kommissionen underretter hinanden om tilfælde, hvor der er tegn på, at New Zealands myndigheder med ansvar for den nationale sikkerhed, retshåndhævelse eller andre offentlige interesser griber ind i den enkeltes ret til beskyttelse af sine personoplysninger ud over, hvad der er strengt nødvendigt, og/eller hvor der tilsyneladende ikke er en effektiv retsbeskyttelse mod sådanne indgreb.
4. Når der er grundlag for at antage, at der ikke længere er sikkerhed for et passende beskyttelsesniveau, herunder i de situationer, der er nævnt i stk. 2 og 3, underretter Kommissionen den kompetente myndighed i New Zealand herom og forelægger om nødvendigt et udkast til foranstaltninger efter proceduren i artikel 31, stk. 2, i direktiv 95/46/EF med henblik på at ophæve eller suspendere denne afgørelse eller begrænse dens rækkevidde.«
Artikel 12
Denne afgørelse er rettet til medlemsstaterne.
Udfærdiget i Bruxelles, den 16. december 2016.
På Kommissionens vegne
Věra JOUROVÁ
Medlem af Kommissionen
(1) EFT L 281 af 23.11.1995, s. 31.
(2) ECLI:EU:C:2015:650.
(3) Kommissionens beslutning 2000/520/EF af 26. juli 2000 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af safe harbor-principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det amerikanske handelsministerium (EFT L 215 af 25.8.2000, s. 7).
(4) Schrems-dommen, præmis 40 ff., s. 101-103.
(5) Schrems-dommen, præmis 51, 52 og 62.
(6) Schrems-dommen, præmis 52, 62 og 65.
(7) Kommissionens beslutning 2000/518/EF af 26. juli 2000 i henhold til Europa-Parlamentets og Rådets direktiv 45/46/EF vedrørende tilstrækkeligheden af beskyttelsesniveauet for personoplysninger i Schweiz (EFT L 215 af 25.8.2000, s. 1).
(8) Kommissionens beslutning 2002/2/EF af 20. december 2001 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om tilstrækkeligheden af den beskyttelse af personoplysninger, der opnås ved hjælp af Canadas lov om beskyttelse af personoplysninger og elektroniske dokumenter (Canadian Personal Information Protection and Electronic Documents Act) (EFT L 2 af 4.1.2002, s. 13).
(9) Kommissionens beslutning 2003/490/EF af 30. juni 2003 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om tilstrækkeligheden af beskyttelsesniveauet for personoplysninger i Argentina (EUT L 168 af 5.7.2003, s. 19).
(10) Kommissionens beslutning 2003/821/EF af 21. november 2003 om tilstrækkeligheden af beskyttelsesniveauet for personoplysninger i Guernsey (EUT L 308 af 25.11.2003, s. 27).
(11) Kommissionens beslutning 2004/411/EF af 28. april 2004 om tilstrækkeligheden af beskyttelsesniveauet for personoplysninger i Isle of Man (EUT L 151 af 30.4.2004, s. 48).
(12) Kommissionens beslutning 2008/393/EF af 8. maj 2008 om tilstrækkeligheden af beskyttelsesniveauet for personoplysninger på Jersey i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF (EUT L 138 af 28.5.2008, s. 21).
(13) Kommissionens afgørelse 2010/146/EU af 5. marts 2010 om tilstrækkeligheden af det beskyttelsesniveau, der sikres ved den færøske lov om behandling af personoplysninger, jf. Europa-Parlamentets og Rådets direktiv 95/46/EF (EUT L 58 af 9.3.2010, s. 17).
(14) Kommissionens afgørelse 2010/625/EU af 19. oktober 2010 om tilstrækkeligheden af beskyttelsesniveauet for personoplysninger i Andorra i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF (EUT L 277 af 21.10.2010, s. 27).
(15) Kommissionens afgørelse 2011/61/EU af 31. januar 2011 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om, hvorvidt staten Israel yder en tilstrækkelig beskyttelse af personoplysninger i forbindelse med automatisk behandling af personoplysninger (EUT L 27 af 1.2.2011, s. 39).
(16) Kommissionens gennemførelsesafgørelse 2012/484/EU af 21. august 2012 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om, hvorvidt Den Østlige Republik Uruguay yder en tilstrækkelig beskyttelse af personoplysninger i forbindelse med automatisk behandling af personoplysninger (EUT L 227 af 23.8.2012, s. 11).
(17) Kommissionens gennemførelsesafgørelse 2013/65/EU af 19. december 2012 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om, hvorvidt New Zealand yder tilstrækkelig beskyttelse af personoplysninger (EUT L 28 af 30.1.2013, s. 12).
(18) Schrems-dommen, præmis 76. En sådan undersøgelse skal under alle omstændighed foretages, når Kommissionen modtager oplysninger, der giver anledning til begrundet tvivl i denne henseende.