DECYZJA WYKONAWCZA KOMISJI
z dnia 19 grudnia 2012 r.
na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie odpowiedniej ochrony danych osobowych w Nowej Zelandii
(notyfikowana jako dokument nr C(2012) 9557)
(Tekst mający znaczenie dla EOG)
(2013/65/UE)
(ostatnia zmiana: DUUEL. z 2016 r., Nr 344, poz. 83)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (1), w szczególności jej art. 25 ust. 6,
po konsultacji z Europejskim Inspektorem Ochrony Danych,
a także mając na uwadze, co następuje:
(1) Na mocy dyrektywy 95/46/WE państwa członkowskie są zobowiązane zagwarantować, że przekazanie danych osobowych do państwa trzeciego może się odbyć jedynie wtedy, gdy dany kraj trzeci zapewni odpowiedni poziom ochrony i gdy przed przekazaniem dopełni się wymogów zawartych w przepisach państw członkowskich wdrażających pozostałe przepisy wspomnianej dyrektywy.
(2) Komisja może stwierdzić, że państwo trzecie gwarantuje odpowiedni poziom ochrony. W takim przypadku dane osobowe można przekazywać z państw członkowskich bez konieczności zapewniania dodatkowych gwarancji.
(3) Na mocy dyrektywy 95/46/WE poziom ochrony danych osobowych powinien być oceniany w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zbioru takich operacji, ze szczególnym uwzględnieniem pewnych szczególnych czynników mających znaczenie przy przekazywaniu.
(4) Uwzględniając różne podejście do ochrony danych w krajach trzecich, należy ocenić, czy ochrona danych jest odpowiednia, natomiast wszelkie decyzje na podstawie dyrektywy 95/46/WE należy podejmować i wprowadzać w życie w sposób, który nie stanowi arbitralnej lub nieuzasadnionej dyskryminacji państw trzecich ani ich nierównego traktowania w podobnych przypadkach, ani też nie stanowi ukrytej bariery dla handlu, przy uwzględnieniu obecnych zobowiązań międzynarodowych Unii Europejskiej.
(5) Nowa Zelandia jest dawną kolonią brytyjską. W 1907 r. stała się niezależnym dominium, jednak do 1947 r. nie zerwała z Wielką Brytanią formalnie więzów konstytucyjnych. Nowa Zelandia jest państwem unitarnym bez konstytucji pisanej w tradycyjnym sensie szczególnie umocowanej ustawy zasadniczej. Obowiązującym ustrojem politycznym jest monarchia konstytucyjna z demokracją parlamentarną i systemem rządów ukształtowanym na wzór modelu westminsterskiego, a głową państwa jest królowa Nowej Zelandii.
(6) Nowa Zelandia funkcjonuje w myśl zasady suwerenności parlamentu. Zwyczajowo obowiązuje jednak zbiór aktów prawnych o szczególnym konstytucyjnym znaczeniu, które uznaje się za „akty wyższego rzędu”. Oznacza to, że stanowią one część systemu konstytucyjnego, wpływając na praktykę rządową i stanowienie prawa. Ponadto w razie zmiany lub uchylenia tych aktów prawnych oczekuje się ponadpartyjnego konsensusu. Do ochrony danych odnosi się kilka z tych aktów: Karta praw (Bill of Rights Act) z dnia 28 sierpnia 1990 r. (Public Act nr 109 z 1990 r.), ustawa o prawach człowieka (Human Rights Act) z dnia 10 sierpnia 1993 r. (Public Act nr 82 z 1993 r.) oraz ustawa o prywatności (Privacy Act) z dnia 17 maja 1993 r. (Public Act nr 28 z 1993 r.). Konstytucyjne znaczenie tych aktów odzwierciedla fakt, że należy je zwyczajowo uwzględniać w toku opracowywania lub przedkładania nowych aktów prawnych.
(7) Normy prawne ochrony danych osobowych w Nowej Zelandii są określone głównie w ustawie o prywatności zmienionej ustawą zmieniającą o prywatności (informacje transgraniczne) z dnia 7 września 2010 r. (Public Act nr 113 z 2010 r.). Akt ten został uchwalony przed dyrektywą 95/46/WE i nie ogranicza się do zautomatyzowanego przetwarzania danych lub danych uporządkowanych w zbiorze danych, ale dotyczy wszystkich danych osobowych w dowolnej postaci lub formie. Obejmuje cały sektor publiczny i prywatny, przewidując kilka konkretnych wyjątków dotyczących interesu publicznego, których można się spodziewać w społeczeństwie demokratycznym.
(8) W Nowej Zelandii istnieje szereg ram prawnych regulujących kwestię ochrony prywatności w kontekście polityki, zasad i właściwości organów, do których należy kierować skargi. Niektóre z nich są określone na mocy ustawy, podczas gdy inne przez samorządne podmioty w danym sektorze, w tym w odniesieniu do regulacji mediów, marketingu bezpośredniego, wysyłania niezamówionych wiadomości elektronicznych, badań rynkowych, zdrowia i niepełnosprawności, bankowości, ubezpieczeń i oszczędności.
(9) Oprócz ustawodawstwa uchwalanego przez parlament Nowej Zelandii, obowiązuje również obszerny zbiór przepisów prawa zwyczajowego (common law), które wywodzi się z angielskiego prawa zwyczajowego, obejmujący zasady prawa zwyczajowego i przepisy dotyczące ochrony danych. Jedną z podstawowych zasad prawa zwyczajowego jest zasada, że godność jednostki stanowi nadrzędną wartość prawną. Niniejsza zasada prawa zwyczajowego jest zasadniczo głównym elementem systemu wydawania rozstrzygnięć sądowych w Nowej Zelandii. Orzecznictwo Nowej Zelandii opierające się na prawie zwyczajowym uwzględnia szereg innych aspektów dotyczących prywatności, w tym naruszenia prywatności, naruszenia zasady poufności i kwestii incydentalnej ochrony danych w przypadku między innymi zniesławienia, zakłócania porządku, nękania, oszczerstwa, zaniedbania.
(10) Normy prawne dotyczące ochrony danych obowiązujące w Nowej Zelandii obejmują wszystkie podstawowe zasady konieczne do zapewnienia odpowiedniego poziomu ochrony osób fizycznych, określają jednak również wyjątki i ograniczenia w celu ochrony ważnych interesów publicznych. Te normy prawne i wyjątki w zakresie ochrony danych odzwierciedlają zasady ustanowione dyrektywą 95/46/WE.
(11) Stosowanie prawnych norm ochrony danych zapewnione jest przez administracyjne i sądowe środki prawne i przez niezależny nadzór prowadzony przez właściwy organ nadzoru, tj. komisarza ds. ochrony prywatności wyposażonego w rodzaj kompetencji, który został określony w art. 28 dyrektywy 95/46/WE, i działającego w sposób niezależny. Ponadto każda zainteresowana strona uprawniona jest do wystąpienia do sądu o odszkodowanie za szkodę poniesioną w wyniku bezprawnego przetwarzania jej danych osobowych.
(12) Należy zatem uznać, że Nowa Zelandia zapewnia odpowiedni poziom ochrony danych osobowych określony w dyrektywie 95/46/WE.
(13) Niniejsza decyzja powinna dotyczyć odpowiedniego poziomu ochrony zapewnianej przez Nową Zelandię w celu spełnienia wymogów określonych w art. 25 ust. 1 dyrektywy 95/46/WE. Nie powinna ona mieć wpływu na inne warunki lub ograniczenia wdrażające inne przepisy dyrektywy, dotyczące przetwarzania danych osobowych w państwach członkowskich.
(14) Do celów zachowania przejrzystości i zagwarantowania zdolności właściwych organów w państwach członkowskich do zapewnienia osobom fizycznym ochrony w zakresie przetwarzania ich danych osobowych konieczne jest określenie wyjątkowych okoliczności, w których uzasadnione może być zawieszenie przepływu określonych danych, niezależnie od uznania poziomu ochrony za odpowiedni.
(15) Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych ustanowiona na mocy art. 29 dyrektywy 95/46/WE wydała pozytywną opinię dotyczącą odpowiedniego poziomu ochrony w odniesieniu do danych osobowych w Nowej Zelandii (2), uwzględnioną w trakcie przygotowania niniejszej decyzji wykonawczej.
(16) Środki przewidziane w niniejszej decyzji są zgodne z opinią komitetu ustanowionego na mocy art. 31 ust. 1 dyrektywy 95/46/WE,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
1. Do celów art. 25 ust. 2 dyrektywy 95/46/WE Nową Zelandię uznaje się za państwo zapewniające odpowiedni poziom ochrony danych osobowych przekazywanych z Unii.
2. W załączniku do niniejszej decyzji określa się właściwy organ nadzorczy do celów stosowania norm prawnych dotyczących ochrony danych w Nowej Zelandii.
Artykuł 2
[1] W przypadku gdy właściwe organy w państwach członkowskich wykonują swoje uprawnienia na podstawie art. 28 ust. 3 dyrektywy 95/46/WE, co prowadzi do zawieszenia lub ostatecznego zakazu przepływu danych do Nowej Zelandii w celu ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, dane państwo członkowskie bezzwłocznie informuje o tym Komisję, która przekazuje tę informację pozostałym państwom członkowskim.
Artykuł 3
[2] 1. Komisja na bieżąco monitoruje zmiany w nowozelandzkim porządku prawnym, które mogłyby wpłynąć na funkcjonowanie niniejszej decyzji, w tym zmiany dotyczące dostępu organów publicznych do danych osobowych, aby ocenić, czy Nowa Zelandia nadal zapewnia odpowiedni stopień ochrony danych osobowych.
2. Państwa członkowskie i Komisja informują się nawzajem o przypadkach, w których działania organów odpowiedzialnych za zapewnianie zgodności z normami ochrony w Nowej Zelandii nie gwarantują takiej zgodności.
3. Państwa członkowskie i Komisja informują się nawzajem o wszelkich przesłankach wskazujących, że ingerencje nowozelandzkich organów publicznych, które odpowiadają za bezpieczeństwo narodowe, egzekwowanie prawa lub realizację innych celów interesu publicznego, w prawo osób fizycznych do ochrony ich danych osobowych wykraczają poza to, co jest ściśle niezbędne, lub że nie zapewniono żadnej skutecznej ochrony prawnej przed takimi ingerencjami.
4. Jeżeli dowody wskazują, że odpowiedni poziom ochrony nie jest już zapewniony, w tym w sytuacjach, o których mowa w ust. 2 i 3 niniejszego artykułu, Komisja powiadamia właściwy organ nowozelandzki oraz, w razie konieczności, przedstawia projekt środków zgodnie z procedurą, o której mowa w art. 31 ust. 2 dyrektywy 95/46/WE, w celu uchylenia, zawieszenia lub ograniczenia zakresu niniejszej decyzji.
Artykuł 4
Komisja monitoruje wprowadzanie w życie niniejszej decyzji i przekazuje wszelkie stosowne ustalenia komitetowi ustanowionemu na mocy art. 31 dyrektywy 95/46/WE, w tym także wszelkie dowody, które mogłyby podważać założenie przyjęte w art. 1 niniejszej decyzji, że ochrona danych w Nowej Zelandii jest odpowiednia w rozumieniu art. 25 dyrektywy 95/46/WE, oraz które mogą wykazywać, że niniejsza decyzja jest wykonywana w sposób dyskryminacyjny.
Artykuł 5
Państwa członkowskie podejmują wszelkie niezbędne środki w celu zastosowania się do niniejszej decyzji do dnia 20 marca 2013 r.
Artykuł 6
Niniejsza decyzja skierowana jest do państw członkowskich.
Sporządzono w Brukseli dnia 19 grudnia 2012 r.
(1) Dz.U. L 281 z 23.11.1995, s. 31.
(2) Opinia 11/2011 z dnia 4 kwietnia 2011 r. w sprawie stopnia ochrony danych osobowych w Nowej Zelandii. Dostępna na stronie internetowej: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp182_ pl.pdf
ZAŁĄCZNIK
Właściwy organ nadzorczy, o którym mowa w art. 1 ust. 2 niniejszej decyzji:
Privacy Commissioner
Te Mana Matapono Matatapu
Level 4
109–111 Featherston Street
Wellington 6143
Nowa Zelandia
Tel. +64-4-474 7590
E-mail: enquiries@privacy.org.nz
Adres strony internetowej: http://privacy.org.nz/
[1] Art. 2 w brzmieniu ustalonym przez art. 11 decyzji wykonawczej Komisji (UE) 2016/2295 z dnia 16 grudnia 2016 r. zmieniającej decyzje 2000/518/WE, 2002/2/WE, 2003/490/WE, 2003/821/WE, 2004/411/WE, 2008/393/WE, 2010/146/UE, 2010/625/UE, 2011/61/UE oraz decyzje wykonawcze 2012/484/UE i 2013/65/UE w sprawie odpowiedniej ochrony danych osobowych przez niektóre państwa, na podstawie art. 25 ust. 6 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (Dz.Urz.UE L 344 z 17.12.2016, str. 83). Zmiana weszła w życie w dniu notyfikacji.
[2] Art. 3 w brzmieniu ustalonym przez art. 11 decyzji wykonawczej Komisji (UE) 2016/2295 z dnia 16 grudnia 2016 r. zmieniającej decyzje 2000/518/WE, 2002/2/WE, 2003/490/WE, 2003/821/WE, 2004/411/WE, 2008/393/WE, 2010/146/UE, 2010/625/UE, 2011/61/UE oraz decyzje wykonawcze 2012/484/UE i 2013/65/UE w sprawie odpowiedniej ochrony danych osobowych przez niektóre państwa, na podstawie art. 25 ust. 6 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (Dz.Urz.UE L 344 z 17.12.2016, str. 83). Zmiana weszła w życie w dniu notyfikacji.
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00