DECYZJA KOMISJI
z dnia 20 grudnia 2001 r.
na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie odpowiedniej ochrony danych osobowych zapewnionej w ustawie kanadyjskiej o ochronie informacji osobowych i dokumentów elektronicznych
(notyfikowana jako dokument nr C(2001) 4539)
(2002/2/WE)
(ostatnia zmiana: DUUEL. z 2016 r., Nr 344, poz. 83)
KOMISJA WSPÓLNOT EUROPEJSKICH,
uwzględniając Traktat ustanawiający Wspólnotę Europejską,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (1), w szczególności jej art. 25 ust. 6,
a także mając na uwadze, co następuje:
(1) Na mocy dyrektywy 95/46/WE Państwa Członkowskie są zobowiązane do zabezpieczenia, aby przekazanie danych osobowych do państwa trzeciego mogło odbywać się tylko w sytuacji, gdy dane państwo trzecie zapewnia odpowiedni poziom ochrony i jeżeli przepisy prawne Państw Członkowskich wprowadzające pozostałe przepisy dyrektywy są zastosowane przed przekazaniem danych.
(2) Komisja może określić, że państwo trzecie zapewnia właściwy poziom ochrony. W takim przypadku dane osobowe mogą być przekazywane z Państw Członkowskich bez potrzeby dodatkowych gwarancji.
(3) Na mocy dyrektywy 95/46/WE poziom ochrony danych powinien być oceniany w świetle okoliczności towarzyszących operacji przekazywania danych lub zestawu operacji przekazywania danych oraz w odniesieniu do danych warunków. Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, ustanowiona na mocy art. 29 dyrektywy 95/46/WE, wydała wytyczne w sprawie wykonywania takich ocen (2).
(4) Mając na uwadze różne podejście do ochrony danych w państwach trzecich, należy przeprowadzić właściwą ocenę i podjąć decyzję na podstawie art. 25 ust. 6 dyrektywy 95/46/WE oraz zastosować ją w sposób, który nie powoduje arbitralnej lub nieuzasadnionej dyskryminacji państw trzecich ani żadnego z nich tam, gdzie przeważają podobne warunki ochrony, ani nie tworzy ukrytych barier rynkowych, przy jednoczesnym uwzględnieniu obecnych zobowiązań międzynarodowych Wspólnoty.
(5) Ustawa kanadyjska o ochronie informacji osobowych i dokumentów elektronicznych („ustawa kanadyjska”) z dnia 13 kwietnia 2000 r. (3) stosuje się do organizacji sektora prywatnego, które zbierają, wykorzystują lub ujawniają informacje osobowe w trakcie działalności komercyjnej. Wchodzi ona w życie w trzech etapach:
Począwszy od dnia 1 stycznia 2001 r., ustawa kanadyjska stosuje się do informacji osobowych, poza informacjami osobowymi o zdrowiu, które organizacja, będąca instytucją federalną, przedsiębiorstwem lub firmą, zbiera, wykorzystuje lub ujawnia w trakcie działalności komercyjnej. Organizacje te znajdują się w sektorach takich, jak linie lotnicze, bankowość, nadawcy radiowi i telewizyjni, transport międzyregionalny i telekomunikacja. Ustawę kanadyjską stosuje się również do wszystkich organizacji, które przekazują informacje osobowe do wykorzystania poza granicami prowincji lub Kanady oraz do informacji osobowych odnoszących się do pracowników instytucji federalnych, przedsiębiorstw lub firm.
Począwszy od dnia 1 stycznia 2002 r., ustawę kanadyjską stosuje się do informacji osobowych o zdrowiu w przypadku organizacji i przedsiębiorstw objętych pierwszym etapem.
Począwszy od dnia 1 stycznia 2004 r., ustawa kanadyjska obejmuje każdą organizację, która zbiera, wykorzystuje lub ujawnia informacje osobowe w trakcie działalności komercyjnej, niezależnie od tego, czy działa ona na prawie federalnym czy nie. Ustawa kanadyjska nie stosuje się do organizacji, do których stosuje się ustawę federalną o ochronie prywatności, lub które są regulowane przez sektor publiczny na poziomie prowincji, ani do organizacji typu non-profit i prowadzących działalność charytatywną, pod warunkiem że nie ma ona charakteru komercyjnego. Podobnie nie obejmuje danych pracowniczych w sektorze prywatnym działającym na prawie federalnym. Kanadyjski Federalny Komisarz ds. Ochrony Prywatności może w takich przypadkach dostarczyć dodatkowych informacji.
(6) W celu respektowania prawa prowincji do działań legislacyjnych w ich obszarach jurysdykcji, ustawa przewiduje, że przy uchwaleniu zasadniczo podobnych aktów prawnych prowincji wyłączone mogą być organizacje lub przedsiębiorstwa objęte ustawodawstwem prowincji o prywatności. Sekcja 26 ust. 2 ustawy kanadyjskiej o ochronie informacji osobowych i dokumentów elektronicznych daje pełnomocnictwo rządowi federalnemu „do włączenia organizacji, działalności grupy ze stosowania niniejszej części w odniesieniu do zbierania, wykorzystywania lub ujawniania informacji osobowych w obrębie prowincji, które są zasadniczo podobne do niniejszej części, stosują się do organizacji, grupy organizacji, działalności lub grupy działalności”. Przewodniczący Rady (kanadyjski rząd federalny) dokonuje wyłączenia dla zasadniczo podobnych aktów prawnych poprzez instrukcje wewnętrzne Rady.
(7) W przypadku gdy prowincja przyjmuje prawo podobne do federalnego, wówczas organizacje, grupy organizacji lub działalności są wyłączane ze stosowania prawa federalnego dla transakcji między prowincjami; prawo federalne nadal stosuje się do zbierania, wykorzystywania lub ujawniania informacji osobowych na szczeblu międzynarodowym i z prowincji, z jak również we wszystkich przypadkach gdy prowincje nie utworzyły zasadniczo podobnych przepisów prawnych w całości lub części.
(8) Kanada formalnie przystąpiła do Wytycznych OECD z 1980 r. w sprawie ochrony prywatności i transgranicznych przepływów danych osobowych z dnia 29 czerwca 1984 r. Kanada była jednym z państw, które poparły wytyczne Organizacji Narodów Zjednoczonych w sprawie skomputeryzowanych archiwów danych osobowych, przyjętych przez Zgromadzenie Ogólne dnia 14 grudnia 1990 r.
(9) Ustawa kanadyjska obejmuje podstawowe zasady niezbędne do zapewnienia właściwego poziomu ochrony dla osób fizycznych, nawet jeśli przewiduje wyjątki i ograniczenia w celu zabezpieczenia ważnych interesów publicznych oraz uznaje, że niektóre informacje należą do domeny publicznej. Stosowanie tych norm gwarantowane jest poprzez sądowe postępowanie odwoławcze oraz niezależny nadzór władz, takich jak Komisarz Federalny ds. Ochrony Prywatności, wyposażony w kompetencje do ścigania i interwencji. Poza tym przepisy prawa kanadyjskiego dotyczące odpowiedzialności cywilnej stosują się w przypadku nieuprawnionego przetwarzania, działającego na szkodę ludzi, których dotyczy.
(10) Dla przejrzystości i w celu zabezpieczenia zdolności właściwych władz w Państwach Członkowskich do zapewnienia ochrony osób fizycznych w zakresie przetwarzania ich danych osobowych, niezbędne jest określenie w niniejszej decyzji sytuacji wyjątkowych, w których usprawiedliwione jest zawieszenie ściśle określonych przepływów danych, niemniej szukając środków do właściwej ich ochrony.
(11) Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych ustanowiona na mocy art. 29 dyrektywy 95/46/WE, dostarczyła opinię w sprawie poziomu ochrony przewidzianej ustawą kanadyjską, która została uwzględniona w przygotowaniu niniejszej decyzji (4).
(12) Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu ustanowionego na mocy art. 31 dyrektywy 95/46/WE,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
Do celów art. 25 ust. 2 dyrektywy 95/46/WE, Kanada uznawana jest za kraj zapewniający odpowiedni poziom ochrony danych osobowych przekazywanych ze Wspólnoty do odbiorców objętych przepisami ustawy kanadyjskiej o ochronie informacji osobowych i dokumentów elektronicznych („ustawa kanadyjska” ).
Artykuł 2
Niniejsza decyzja dotyczy jedynie stwierdzenia, że ochrona przewidziana w Kanadzie na mocy ustawy kanadyjskiej jest odpowiednia z punktu widzenia spełnienia wymagań określonych w art. 25 ust. 1 dyrektywy 95/46/WE i nie ma wpływu na pozostałe warunki lub ograniczenia stosujące pozostałe przepisy tej dyrektywy, odnoszące się do przetwarzania danych osobowych w Państwach Członkowskich.
Artykuł 3
[1] W przypadku gdy właściwe organy w państwach członkowskich wykonują swoje uprawnienia na podstawie art. 28 ust. 3 dyrektywy 95/46/WE, co prowadzi do zawieszenia lub ostatecznego zakazu przepływu danych do odbiorcy w Kanadzie, którego działalność wchodzi w zakres kanadyjskiej ustawy o ochronie informacji osobowych i dokumentów elektronicznych, w celu ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, dane państwo członkowskie bezzwłocznie informuje o tym Komisję, która przekazuje tę informację pozostałym państwom członkowskim.
Artykuł 3a
[2] 1. Komisja na bieżąco monitoruje zmiany w kanadyjskim porządku prawnym, które mogłyby wpłynąć na funkcjonowanie niniejszej decyzji, w tym zmiany dotyczące dostępu organów publicznych do danych osobowych, aby ocenić, czy Kanada nadal zapewnia odpowiedni stopień ochrony danych osobowych.
2. Państwa członkowskie i Komisja informują się nawzajem o przypadkach, w których działania organów odpowiedzialnych za zapewnianie zgodności z normami ochrony w Kanadzie nie gwarantują takiej zgodności.
3. Państwa członkowskie i Komisja informują się nawzajem o wszelkich przesłankach wskazujących, że ingerencje kanadyjskich organów publicznych, które odpowiadają za bezpieczeństwo narodowe, egzekwowanie prawa lub realizację innych celów interesu publicznego, w prawo osób fizycznych do ochrony ich danych osobowych wykraczają poza to, co jest ściśle niezbędne, lub że nie zapewniono żadnej skutecznej ochrony prawnej przed takimi ingerencjami.
4. Jeżeli dowody wskazują, że odpowiedni poziom ochrony nie jest już zapewniony, w tym w sytuacjach, o których mowa w ust. 2 i 3 niniejszego artykułu, Komisja powiadamia właściwy organ kanadyjski oraz, w razie konieczności, przedstawia projekt środków zgodnie z procedurą, o której mowa w art. 31 ust. 2 dyrektywy 95/46/WE, w celu uchylenia, zawieszenia lub ograniczenia zakresu niniejszej decyzji.
Artykuł 4
1. Niniejsza decyzja może być zmieniona w dowolnym czasie, w świetle doświadczeń z jej działania lub zmian w ustawodawstwie kanadyjskim, włączając w to procedurę uznania, że kanadyjska prowincja posiada zasadniczo podobne przepisy prawne. Komisja oceni działanie niniejszej decyzji na podstawie danych dostępnych trzy lata po przekazaniu jej do wiadomości Państw Członkowskich oraz przedstawi Komitetowi ustanowionemu na mocy art. 31 dyrektywy 95/46/WE raport przedstawiający wnioski. Raport ten będzie zawierał wszelkie dane, które mogłyby wpłynąć na uznanie, w art. 1 niniejszej decyzji, że Kanada spełniania wymogi co do poziomu ochrony oraz wskazanie wszystkich przypadków, w których niniejsza decyzja została zastosowana w sposób dyskryminacyjny.
2. Komisja, jeśli zachodzi taka potrzeba, przedstawia projekt środków zgodnie z procedurą określoną w art. 31 ust. 2 dyrektywy 95/46/WE.
Artykuł 5
Państwa Członkowskie podejmują wszelkie środki niezbędne do zapewnienia zgodności z niniejszą decyzją nie później niż przed upływem 90 dni od daty jej notyfikacji Państwom Członkowskim.
Artykuł 6
Niniejsza decyzja skierowana jest do Państw Członkowskich.
Sporządzono w Brukseli, dnia 20 grudnia 2001 r.
(1) Dz.U. L 281 z 23.11.1995, str. 31.
(2) WP 12: Przekazywanie danych osobowych do państw trzecich: stosując art. 25 i 26 dyrektywy EU w sprawie ochrony danych, przyjęta przez grupę roboczą dnia 24 lipca 1998 r., dostępna na stronie http://europa.eu.int/comm/internal_ market/en/media/dataprot/wpdocs/wpdocs_98.htm
(3) Opublikowane wersje elektroniczne (drukowane lub w Internecie) ustawy są dostępne na stronie internetowej http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_ 4/C-6_cover-E.html oraz http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_ 4/C-6_cover-F.html. Drukowane wersje są dostępne w Public Works and Government Services Canada - Publishing, Ottawa, Canada K1A 0S9.
(4) Opinia 2/2001 w sprawie zapewniania odpowiedniego poziomu ochrony przez ustawę kanadyjską o ochronie informacji osobowych i dokumentów elektronicznych - WP 39, z dnia 26 stycznia 2001 r., dostępna na stronie internetowej: http://europa.eu.int/comm/internal_ market/en/media/dataprot/wpdocs/index.htm
[1] Art. 3 w brzmieniu ustalonym przez art. 2 pkt 1 decyzji wykonawczej Komisji (UE) 2016/2295 z dnia 16 grudnia 2016 r. zmieniającej decyzje 2000/518/WE, 2002/2/WE, 2003/490/WE, 2003/821/WE, 2004/411/WE, 2008/393/WE, 2010/146/UE, 2010/625/UE, 2011/61/UE oraz decyzje wykonawcze 2012/484/UE i 2013/65/UE w sprawie odpowiedniej ochrony danych osobowych przez niektóre państwa, na podstawie art. 25 ust. 6 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (Dz.Urz.UE L 344 z 17.12.2016, str. 83). Zmiana weszła w życie w dniu notyfikacji.
[2] Art. 3a dodany przez art. 2 pkt 2 decyzji wykonawczej Komisji (UE) 2016/2295 z dnia 16 grudnia 2016 r. zmieniającej decyzje 2000/518/WE, 2002/2/WE, 2003/490/WE, 2003/821/WE, 2004/411/WE, 2008/393/WE, 2010/146/UE, 2010/625/UE, 2011/61/UE oraz decyzje wykonawcze 2012/484/UE i 2013/65/UE w sprawie odpowiedniej ochrony danych osobowych przez niektóre państwa, na podstawie art. 25 ust. 6 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (Dz.Urz.UE L 344 z 17.12.2016, str. 83). Zmiana weszła w życie w dniu notyfikacji.
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00