DECYZJA KOMISJI
z dnia 31 stycznia 2011 r.
na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie odpowiedniej ochrony danych osobowych w Państwie Izrael w odniesieniu do zautomatyzowanego przetwarzania danych osobowych
(notyfikowana jako dokument nr C(2011) 332)
(Tekst mający znaczenie dla EOG)
(2011/61/UE)
(ostatnia zmiana: DUUEL. z 2016 r., Nr 344, poz. 83)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (1), w szczególności jej art. 25 ust. 6,
po zasięgnięciu opinii Europejskiego Inspektora Ochrony Danych,
a także mając na uwadze, co następuje:
(1) Na mocy dyrektywy 95/46/WE państwa członkowskie są zobowiązane zapewnić, aby przekazanie danych osobowych do państwa trzeciego miało miejsce tylko wtedy, gdy dane państwo trzecie zapewni odpowiedni poziom ochrony i gdy przed przekazaniem dopełni się wymogów zawartych w przepisach państw członkowskich wdrażających pozostałe przepisy dyrektywy.
(2) Komisja może stwierdzić, że państwo trzecie gwarantuje odpowiedni poziom ochrony. W takim przypadku dane osobowe można przekazywać z państw członkowskich bez konieczności zapewniania dodatkowych gwarancji.
(3) Na mocy dyrektywy 95/46/WE poziom ochrony danych osobowych powinien być oceniany w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zestawu takich operacji, ze szczególnym uwzględnieniem szeregu elementów mających znaczenie przy przekazywaniu, wyszczególnionych w art. 25 dyrektywy.
(4) Uwzględniając różne podejście do ochrony danych osobowych w krajach trzecich, należy przeprowadzać ocenę adekwatności ochrony, a każda decyzja na podstawie art. 25 ust. 6 dyrektywy 95/46/WE powinna być wydawana i wykonywana w sposób, który arbitralnie lub w sposób nieusprawiedliwiony nie prowadzi do dyskryminacji państw trzecich lub dyskryminacji między państwami trzecimi, w których występują podobne warunki, ani nie stwarza ukrytych barier handlowych, biorąc pod uwagę obecne zobowiązania międzynarodowe Unii Europejskiej.
(5) W izraelskim systemie prawnym nie istnieje konstytucja w formie pisemnej, ale zasady ustrojowe zostały ustanowione przez pewne „ustawy podstawowe” Sądu Najwyższego w Państwie Izrael. Te „ustawy podstawowe” zostały uzupełnione poprzez szeroki zbiór orzecznictwa, ponieważ system prawny Państwa Izrael jest w dużej mierze podobny do systemu prawa zwyczajowego. Prawo do prywatności jest zagwarantowane w „ustawie podstawowej: godność ludzka i wolność” w części 7.
(6) Normy prawne dotyczące ochrony danych osobowych w Państwie Izrael są w dużej mierze oparte na normach określonych w dyrektywie 95/46/WE oraz ustanowione w ustawie o ochronie prywatności 5741-1981, ostatnio zmienionej w 2007 r. w celu określenia nowych wymogów przetwarzania danych osobowych oraz szczegółowej struktury organu nadzoru.
(7) Prawodawstwo dotyczące ochrony danych zostało również uzupełnione poprzez decyzje rządowe w sprawie wprowadzenia w życie ustawy o ochronie prywatności 5741-1981 oraz struktury i funkcjonowania organu nadzoru, oparte w dużej mierze na zaleceniach sformułowanych w sprawozdaniu Komitetu ds. analizy przepisów dotyczących baz danych na zlecenie Ministerstwa Sprawiedliwości (tzw. sprawozdaniu Schoffmana).
(8) Przepisy o ochronie danych znajdują się także w szeregu aktów prawnych regulujących różne sektory, takich jak przepisy sektora finansowego, przepisy dotyczące zdrowia oraz rejestry publiczne.
(9) Obowiązujące w Państwie Izrael normy prawne dotyczące ochrony danych obejmują wszystkie podstawowe zasady konieczne do zapewnienia odpowiedniego poziomu ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zautomatyzowanych bazach danych. Rozdział 2 ustawy o ochronie prywatności 5741-1981, w którym określono zasady przetwarzania danych osobowych, nie dotyczy przetwarzania danych osobowych w bazach niezautomatyzowanych (bazach manualnych).
(10) Stosowanie tych prawnych norm ochrony danych zapewnione jest przez sądowe i administracyjne środki odwoławcze i przez niezależny nadzór prowadzony przez właściwy organ nadzoru – Izraelski Urząd ds. Prawa, Informacji i Technologii (ILITA), posiadający kompetencje w zakresie przeprowadzania dochodzeń i podejmowania działań interwencyjnych, działający zupełnie niezależnie.
(11) Organy ochrony danych w Państwie Izrael dostarczyły wyjaśnień oraz zapewnień odnośnie do wykładni ustawy Andory oraz zapewniły, że przepisy z zakresu ochrony danych w Państwie Izrael są wprowadzane w życie zgodnie z taką wykładnią. Niniejsza decyzja uwzględnia te wyjaśnienia oraz zapewnienia i dlatego jest od nich uzależniona.
(12) Państwo Izrael należy zatem uznać za państwo zapewniające odpowiedni poziom ochrony danych osobowych, o którym mowa w dyrektywie 95/46/WE, w odniesieniu do zautomatyzowanego międzynarodowego przekazywania danych osobowych z Unii Europejskiej do Państwa Izrael, a także w odniesieniu do operacji niezautomatyzowanego przekazywania danych, w przypadku gdy dane te podlegają dalszemu automatycznemu przetwarzaniu w Państwie Izrael. Jednak międzynarodowe przekazywanie danych osobowych z UE do Państwa Izrael, jeśli samo przekazywanie, jak również późniejsze przetwarzanie danych, odbywa się wyłącznie za pomocą niezautomatyzowanych środków, nie powinno być objęte niniejszą decyzją.
(13) Z myślą o przejrzystości i do celów zabezpieczenia zdolności właściwych organów w państwach członkowskich do zagwarantowania osobom fizycznym ochrony w zakresie przetwarzania ich danych osobowych konieczne jest określenie wyjątkowych okoliczności, w których uzasadnione może być zawieszenie przepływu określonych danych, niezależnie od uznania poziomu ochrony za odpowiedni.
(14) Odpowiedni poziom ochrony, o której mowa w niniejszej decyzji, odnosi się do Państwa Izrael zdefiniowanego zgodnie z prawem międzynarodowym. Dalsze przekazywanie danych odbiorcom znajdującym się poza terytorium Państwa Izrael, zdefiniowanego zgodnie z prawem międzynarodowym, należy uznać za przekazywanie danych osobowych do państwa trzeciego.
(15) Grupa robocza ds. ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, ustanowiona na mocy art. 29 dyrektywy 95/46/WE, wydała pozytywną opinię na temat poziomu odpowiedniej ochrony danych osobowych w związku z zautomatyzowanym międzynarodowym przekazywaniem danych osobowych z UE lub operacjami niezautomatyzowanego przekazywania danych, w przypadku gdy dane te podlegają dalszemu automatycznemu przetwarzaniu w Państwie Izrael. W swojej pozytywnej opinii grupa robocza zachęciła władze Państwa Izrael do przyjęcia dalszych przepisów, które rozszerzą zakres stosowania prawodawstwa Państwa Izrael na manualne bazy danych, wyraźnie uznają stosowanie zasady proporcjonalności do przetwarzania danych osobowych w sektorze prywatnym oraz według których wykładnia wyjątków w międzynarodowym przekazywaniu danych będzie zgodna z kryteriami określonymi w jej dokumencie roboczym dotyczącym wspólnej wykładni art. 26 ust. 1 dyrektywy 95/46/WE (2). Opinia ta została uwzględniona podczas opracowywania niniejszej decyzji (3).
(16) Komitet ustanowiony na mocy art. 31 ust. 1 dyrektywy 95/46/WE nie przedstawił opinii w terminie określonym przez jego przewodniczącego,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
1. Na potrzeby art. 25 ust. 2 dyrektywy 95/46/WE Państwo Izrael uznaje się za państwo zapewniające odpowiedni poziom ochrony danych osobowych przekazywanych z Unii Europejskiej w związku z automatycznym międzynarodowym przekazywaniem danych osobowych z Unii Europejskiej, lub, jeśli operacje przekazywania nie są zautomatyzowane, są one przedmiotem dalszego zautomatyzowanego przetwarzania w Państwie Izrael.
2. Właściwym organem nadzoru w Państwie Izrael w dziedzinie stosowania prawnych norm ochrony danych w tym państwie jest Izraelski Urząd ds. Prawa, Informacji i Technologii (ILITA), o którym mowa w załączniku do niniejszej decyzji.
Artykuł 2
1. Niniejsza decyzja dotyczy jedynie odpowiedniej ochrony zapewnionej w Państwie Izrael zdefiniowanym zgodnie z prawem międzynarodowym w celu spełnienia wymogów art. 25 ust. 1 dyrektywy 95/46/WE i nie ma wpływu na pozostałe warunki lub ograniczenia wykonujące pozostałe przepisy tej dyrektywy, które odnoszą się do przetwarzania danych osobowych w państwach członkowskich.
2. Niniejsza decyzja ma zastosowanie zgodnie z prawem międzynarodowym. Zgodnie z przepisami prawa międzynarodowego nie stanowi ona uszczerbku dla statusu Wzgórz Golan, Strefy Gazy i Zachodniego Brzegu Jordanu, wraz ze Wschodnią Jerozolimą.
Artykuł 3
[1] W przypadku gdy właściwe organy w państwach członkowskich wykonują swoje uprawnienia na podstawie art. 28 ust. 3 dyrektywy 95/46/WE, co prowadzi do zawieszenia lub ostatecznego zakazu przepływu danych do Państwa Izrael w celu ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, dane państwo członkowskie bezzwłocznie informuje o tym Komisję, która przekazuje tę informację pozostałym państwom członkowskim.
Artykuł 4
[2] 1. Komisja na bieżąco monitoruje zmiany w izraelskim porządku prawnym, które mogłyby wpłynąć na funkcjonowanie niniejszej decyzji, w tym zmiany dotyczące dostępu organów publicznych do danych osobowych, aby ocenić, czy Państwo Izrael nadal zapewnia odpowiedni stopień ochrony danych osobowych.
2. Państwa członkowskie i Komisja informują się nawzajem o przypadkach, w których działania organów odpowiedzialnych za zapewnianie zgodności z normami ochrony w Państwie Izrael nie gwarantują takiej zgodności.
3. Państwa członkowskie i Komisja informują się nawzajem o wszelkich przesłankach wskazujących, że ingerencje izraelskich organów publicznych, które odpowiadają za bezpieczeństwo narodowe, egzekwowanie prawa lub realizację innych celów interesu publicznego, w prawo osób fizycznych do ochrony ich danych osobowych wykraczają poza to, co jest ściśle niezbędne, lub że nie zapewniono żadnej skutecznej ochrony prawnej przed takimi ingerencjami.
4. Jeżeli dowody wskazują, że odpowiedni poziom ochrony nie jest już zapewniony, w tym w sytuacjach, o których mowa w ust. 2 i 3 niniejszego artykułu, Komisja powiadamia właściwy organ izraelski oraz, w razie konieczności, przedstawia projekt środków zgodnie z procedurą, o której mowa w art. 31 ust. 2 dyrektywy 95/46/WE, w celu uchylenia, zawieszenia lub ograniczenia zakresu niniejszej decyzji.
Artykuł 5
Komisja monitoruje wprowadzanie w życie niniejszej decyzji i przekazuje wszelkie stosowne ustalenia komitetowi ustanowionemu na podstawie art. 31 dyrektywy 95/46/WE, w tym także wszelkie dowody, które mogłyby podważać założenie zawarte w art. 1 niniejszej decyzji, że ochrona danych w Państwie Izrael jest odpowiednia w rozumieniu art. 25 dyrektywy 95/46/WE, oraz które mogą wskazywać, że niniejsza decyzja jest wykonywana w sposób dyskryminacyjny. W szczególności Komisja monitoruje przetwarzanie danych osobowych w manualnych bazach danych.
Artykuł 6
Państwa członkowskie podejmują wszelkie niezbędne środki w celu zastosowania się do niniejszej decyzji w terminie trzech miesięcy od dnia jej notyfikacji.
Artykuł 7
Niniejsza decyzja skierowana jest do państw członkowskich.
Sporządzono w Brukseli dnia 31 stycznia 2011 r.
(1) Dz.U. L 281 z 23.11.1995, s. 31.
(2) Dokument grupy roboczej 114 z dnia 25 listopada 2005 r. Dostępny pod adresem: http://ec.europa.eu/justice_home/fsj/privacy/ docs/wpdocs/2005/wp114_ en.pdf
(3) Opinia 6/2009 w sprawie stopnia ochrony danych osobowych w Państwie Izrael. Dostępna pod adresem: http://ec.europa.eu/ justice_home/fsj/privacy/docs/wpdocs/2009/wp165_ en.pdf
ZAŁĄCZNIK
Właściwy organ nadzoru w Państwie Izrael, o którym mowa w art. 1 ust. 2 niniejszej decyzji:
The Israeli Law, Information and Technology Authority
The Government Campus
9th floor
125 Begin Rd.
Tel Aviv
Izrael
Adres pocztowy:
P.O. Box 7360
Tel Aviv, 61072
Tel. +972-3-7634050
Faks +972-2-6467064
E-mail: ILITA@justice.gov.il
Adres strony internetowej: http://www.justice.gov.il/MOJEng/RashutTech/default.htm
[1] Art. 3 w brzmieniu ustalonym przez art. 9 decyzji wykonawczej Komisji 2016/2295 z dnia 16 grudnia 2016 r. zmieniającej decyzje 2000/518/WE, 2002/2/WE, 2003/490/WE, 2003/821/WE, 2004/411/WE, 2008/393/WE, 2010/146/UE, 2010/625/UE, 2011/61/UE oraz decyzje wykonawcze 2012/484/UE i 2013/65/UE w sprawie odpowiedniej ochrony danych osobowych przez niektóre państwa, na podstawie art. 25 ust. 6 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (Dz.Urz.UE L 344 z 17.12.2016, str. 83). Zmiana weszła w dniu notyfikacji.
[2] Art. 4 w brzmieniu ustalonym przez art. 9 decyzji wykonawczej Komisji 2016/2295 z dnia 16 grudnia 2016 r. zmieniającej decyzje 2000/518/WE, 2002/2/WE, 2003/490/WE, 2003/821/WE, 2004/411/WE, 2008/393/WE, 2010/146/UE, 2010/625/UE, 2011/61/UE oraz decyzje wykonawcze 2012/484/UE i 2013/65/UE w sprawie odpowiedniej ochrony danych osobowych przez niektóre państwa, na podstawie art. 25 ust. 6 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (Dz.Urz.UE L 344 z 17.12.2016, str. 83). Zmiana weszła w dniu notyfikacji.
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00