32000D0518

A Bizottság határozata

(2000. július 26.)

a 95/46/EK európai parlamenti és tanácsi irányelv alapján, a személyes adatok Svájcban biztosított megfelelő védelméről

(az értesítés a C(2000) 2304. számú dokumentummal történt)

(EGT vonatkozású szöveg)

(2000/518/EK)

AZ EURÓPAI KÖZÖSSÉGEK BIZOTTSÁGA,

tekintettel az Európai Közösséget létrehozó szerződésre,

tekintettel a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvre [1], és különösen annak 25. cikke (6) bekezdésére,

mivel:

(1) A 95/46/EK irányelv értelmében a tagállamoknak rendelkezniük kell arról, hogy személyes adatok harmadik országba történő továbbítása csak akkor történhet meg, ha a szóban forgó harmadik ország megfelelő szintű védelmet biztosít, és ha az irányelv egyéb rendelkezéseit végrehajtó tagállami jogszabályoknak a továbbítást megelőzően eleget tettek.

(2) A Bizottság megállapíthatja, hogy a harmadik ország megfelelő szintű védelmet biztosít. Ilyen esetben a személyes adatok a tagállamokból anélkül továbbíthatók, hogy további garanciákra lenne szükség.

(3) A 95/46/EK irányelv alapján az adatvédelem szintjét az adattovábbítási művelettel vagy adattovábbítási műveletsorozattal kapcsolatos körülmények fényében, valamint az adott feltételek vonatkozásában kell értékelni. Az irányelv alapján létrehozott, a személyesadat-feldolgozás vonatko zásában az egyének védelmével foglalkozó munkacsoport útmutatást [2] adott ki az ilyen értékelések elkészítésére vonatkozóan.

(4) Tekintettel a harmadik országoknak az adatvédelem terén eltérő megközelítési módjára, a megfelelőség értékelését olyan módon kell elvégezni, valamint a 95/46/EK irányelv 25. cikkének (6) bekezdésén alapuló bármely határozatot oly módon kell végrehajtani, hogy az ne jelentsen önkényes vagy indokolatlan megkülönböztetést azon harmadik országokkal szemben vagy között, amelyekben hasonló feltételek állnak fent, és ne képezzenek leplezett kereskedelmi akadályt, tekintettel a Közösség jelenlegi nemzetközi kötelezettségeire is.

(5) A svájci konföderáció tekintetében a személyes adatok védelmére vonatkozó jogi normák kötelező jogi hatállyal rendelkeznek mind szövetségi, mind kantonális szinten.

(6) A szövetségi alkotmány, amelyet az 1999. április 18-i népszavazással módosítottak, és amely 2000. január 1-jén lépett hatályba, minden személynek biztosítja a magánélet tiszteletben tartásához való jogot, és különösen a rá vonatkozó adatokkal való visszaéléssel szembeni védelmet. A szövetségi bíróság – az előző alkotmány alapján, amely nem tartalmazott ilyen jellegű rendelkezéseket – olyan esetjogot dolgozott ki, amely megállapítja a személyes adatok feldolgozására vonatkozó általános elveket, különösen a kezelt adatok minőségére, az érintettek hozzáféréshez való jogára, illetve az adatok helyesbítése vagy megsemmisítése kérelmezésének jogára vonatkozóan. Ezek az elvek mind a Szövetségre, mind a kantonokra nézve kötelezők.

(7) Az 1992. június 19-i svájci adatvédelmi törvény 1993. július 1-jén lépett hatályba. A törvény egyes rendelkezéseire – különösen az érintettek hozzáférési jogára, a független felügyelő hatóságnak az adatfeldolgozási műveletekről való értesítésére, illetve az adatok külföldre történő továbbítására – vonatkozó végrehajtási szabályok megállapítását a Szövetségi Tanács rendelte el. A törvény a szövetségi szervek és a magánszektor egésze által végzett személyesadat-feldolgozásra, illetve a kantonális szervek által a szövetségi jogszabályok alapján végzett adatfeldolgozási műveletekre vonatkozik, amennyiben az ilyen adatfeldolgozás nem tartozik az adatvédelemről szóló kantonális rendelkezések hatálya alá.

(8) A legtöbb kanton adatvédelmi jogszabályokat fogadott el azokon a területeken – különösen az állami kórházakra, az oktatásra, a közvetlen kantonális adókra és a rendőrségre vonatkozóan – amelyek a hatáskörükbe tartoznak. A többi kantonban az ilyen adatfeldolgozásra szabályozó jellegű jogi aktusok vagy a kantonális esetjog elvei vonatkoznak. Bármi is a kantonális rendelkezések forrása és tartalma, illetve, ha nem is léteznek kantonális rendelkezések, a kantonoknak ragaszkodniuk kell az alkotmányos elvekhez. A hatáskörükbe tartozó területeken a kantonális hatóságok továbbíthatnak személyes adatokat a környező országok hatóságai részére, főként fontos közérdek védelmét szolgáló kölcsönös jogsegély céljából vagy, állami kórházak esetében, az érintettek létfontosságú érdekeinek védelme céljából.

(9) 1997. október 2-án Svájc ratifikálta az Európa Tanács az egyéneknek a személyes adataik gépi feldolgozása során való védelméről szóló egyezményét (108. egyezmény) [3], amelynek célja a személyes adatok védelmének megerősítése és a szerződő felek közötti szabad információáramlás biztosítása, azokra a kivételekre is figyelemmel, amelyekről a felek rendelkezhetnek. Anélkül, hogy közvetlenül alkalmazandó lenne, az egyezmény megállapítja mind a szövetség, mind a kantonok nemzetközi kötelezettségvállalásait. E kötelezettségvállalások nemcsak az adatvédelem azon alapelveire vonatkoznak, amelyeket minden szerződő félnek saját nemzeti jogalkotásában meg kell valósítania, hanem a szerződő felek közötti együttműködés mechanizmusaira is. Különösen, az illetékes svájci hatóságoknak meg kell adniuk a többi szerződő fél hatóságai részére – amennyiben ezt ők kérik – az adatvédelemmel kapcsolatos jogszabályokra és közigazgatási gyakorlatra vonatkozó minden információt, valamint az automatizált adatfeldolgozás minden különleges esetére vonatkozó tájékoztatást. Továbbá támogatniuk kell a külföldön lakó személyek azon jogának gyakorlását, hogy tájékoztatást kapjanak a rájuk vonatkozó adatfeldolgozási műveletekről, hozzáférhessenek az adataikhoz, és kérhessék azok helyesbítését vagy törlését, valamint jogorvoslathoz való jogukat.

(10) A Svájcban alkalmazandó jogi normák kiterjednek a természetes személyek adatainak megfelelő szintű védelméhez szükséges összes alapelvre, még akkor is, ha fontos közérdekek biztosítása érdekében kivételek és korlátozások kerülnek meghatározásra. E normák alkalmazását a jogorvoslat és a hatóságok – mint például a vizsgálati és beavatkozási hatáskörrel felruházott szövetségi biztos – által végzett független felügyelet szavatolja. Ezenfelül a svájci jog polgári jogi felelősségre vonatkozó rendelkezéseit kell alkalmazni az olyan jogellenes adatfeldolgozás esetén, amely az érintettekre nézve hátrányos következményekkel jár.

(11) Az átláthatóság, illetve annak érdekében, hogy a tagállamok hatáskörrel rendelkező hatóságai biztosítani tudják az egyének védelmét személyes adataik feldolgozása tekintetében, ebben a határozatban meg kell határozni azokat a rendkívüli körülményeket, amelyek esetén indokolt a különleges adatok áramlásának felfüggesztése, annak ellenére, hogy a védelem megfelelő mivolta megállapításra került.

(12) A 95/46/EK irányelv 29. cikke alapján a személyesadat-feldolgozás vonatkozásában az egyének védelmével foglalkozó munkacsoport többször véleményt nyilvánított a svájci jog által biztosított védelem szintjéről, amelyeket ennek a határozatnak az elkészítésekor figyelembe vettek [4].

(13) Az e határozatban foglalt intézkedések összhangban vannak a 95/46/EK irányelv 31. cikke alapján létrehozott bizottság véleményével.

ELFOGADTA EZT A HATÁROZATOT:

1. cikk

A 95/46/EK irányelv 25. cikkének (2) bekezdése alkalmazásában, az említett irányelv hatálya alá tartozó valamennyi tevékenység tekintetében Svájcot olyan országnak kell tekinteni, amely a Közösségből továbbított személyes adatok szempontjából megfelelő szintű védelmet biztosít.

2. cikk

Ez a határozat kizárólag abban a tekintetben vonatkozik a Svájcban biztosított védelem megfelelő szintjére, hogy az megfelel-e a 95/46/EK irányelv 25. cikke (1) bekezdése követelményeinek, és nem érinti az említett irányelv egyéb rendelkezéseit végrehajtó olyan egyéb feltételeket vagy korlátozásokat, amelyek a tagállamokon belüli személyesadat-feldolgozással kapcsolatosak.

3. cikk

(1) A tagállamok hatáskörrel rendelkező hatóságai – a 95/46/EK irányelv 25. cikkétől eltérő rendelkezések alapján elfogadott nemzeti rendelkezések teljesítését szolgáló intézkedések megtételére vonatkozó hatásköreik sérelme nélkül – jelenleg is meglévő hatásköreiket gyakorolhatják a svájci címzettek felé irányuló adatáramlás felfüggesztésére annak érdekében, hogy biztosítsák az egyének védelmét személyes adataik feldolgozása tekintetében olyan esetekben, amikor:

a) a hatáskörrel rendelkező svájci hatóság megállapította, hogy a címzett megszegi az adatvédelem alkalmazandó normáit; vagy

b) nagy a valószínűsége annak, hogy az adatvédelemre vonatkozó normákat megsértik; alapos okkal feltételezhető, hogy a hatáskörrel rendelkező svájci hatóság nem teszi meg vagy nem fogja megtenni a megfelelő és kellő időben történő lépéseket az adott eset rendezésére; fennáll a fenyegető veszélye annak, hogy a folytatódó adattovábbítás az érintettek érdekeinek komoly sérelmét okozná, és a tagállam hatáskörrel rendelkező hatóságai a körülményekhez képest jelentős erőfeszítéseket tettek, hogy az adatfeldolgozásért felelős, Svájcban letelepedett felet értesítsék, és részére biztosítsák a válaszadás lehetőségét.

A felfüggesztést meg kell szüntetni, amint az adatvédelem normái biztosítottá válnak, és arról értesíteni kell a Közösség érintett, hatáskörrel rendelkező hatóságát.

(2) A tagállamok haladéktalanul tájékoztatják a Bizottságot, amikor intézkedések kerülnek elfogadásra az (1) bekezdés alapján.

(3) A tagállamok és a Bizottság egymást is tájékoztatják azokról az esetekről, amikor az adatvédelem normái teljesítésének biztosításáért felelős svájci szerveknek a normák teljesülését nem sikerül biztosítaniuk.

(4) Ha az (1), (2) és (3) bekezdés alapján gyűjtött adatok bizonyítékot szolgáltatnak arra nézve, hogy adatvédelem normái teljesülésének biztosításáért felelős, bármely svájci szerv nem hatékonyan tölti be e szerepét, a Bizottság tájékoztatja az illetékes svájci hatóságot, és amennyiben szükséges, a 95/46/EK irányelv 31. cikkében említett eljárással összhangban, ezen határozat hatályon kívül helyezése vagy felfüggesztése, illetve hatályának korlátozása céljából intézkedés-tervezetet nyújt be.

4. cikk

(1) Ez a határozat a működésével kapcsolatos tapasztalat vagy a svájci törvényalkotás változásainak figyelembevételével bármikor módosítható.

A Bizottság, a rendelkezésre álló adatok alapján, a tagállamok értesítése után három évvel kiértékeli ennek a határozatnak a működését, és beszámol a 95/46/EK irányelv 31. cikke alapján létrehozott bizottságnak minden vonatkozó megállapításról, beleértve bármilyen olyan tényt, amely hatással lehet az ezen határozat 1. cikkének azon megállapítására, hogy a 95/46/EK irányelv 25. cikke értelmében Svájcban az adatvédelem szintje megfelelő, illetve bármely olyan tényt, amely azt bizonyítja, hogy ezt a határozatot diszkriminatív módon hajtják végre.

(2) A Bizottság, szükség esetén, a 95/46/EK irányelv 31. cikkében megállapított eljárással összhangban intézkedés-tervezetet nyújt be.

5. cikk

A tagállamok megtesznek az e határozat végrehajtásához szükséges minden intézkedést legkésőbb annak a tagállamokkal való közlése időpontjától számított 90 napos határidő lejártán belül.

6. cikk

Ennek a határozatnak a tagállamok a címzettjei.

Kelt Brüsszelben, 2000. július 26-án.

a Bizottság részéről

Frederik Bolkestein

a Bizottság tagja

[1] HL L 281., 1995.11.23., 31. o.

[2] A munkacsoport által 1998. július 24-én elfogadott 12/98 vélemény: "A személyes adatok továbbítása harmadik országokba. Az Európai Unió adatvédelmi irányelve 25. és 26. cikkének alkalmazása." (DG MARKT D/5025/98), hozzáférhető az Európai Bizottság által fenntartott "Europa" internetes oldalon: http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/ index.htm.

[3] Hozzáférhető a következő internetes oldalon: http//conventions.coe.int/treaty/EN/cadreintro.htm.

[4] A munkacsoport által 19 99.06.07-én elfogadott 5/99 vélemény (DG MARKT 5054/99), hozzáférhető a 2. oldal 1. lábjegyzetében említett, "Europa" internetes oldalon.

--------------------------------------------------