32002D0002

Rozhodnutie Komisie

z 20. decembra 2001

podľa smernice 95/46/ES Európskeho parlamentu a Rady o primeranej ochrane osobných údajov poskytovaných kanadským Zákonom o ochrane osobných informácií a elektronických dokumentoch

(oznámené pod číslom dokumentu C(2001) 4539)

(2002/2/ES)

KOMISIA EURÓPSKYCH SPOLOČENSTIEV

so zreteľom na Zmluvu o založení Európskeho spoločenstva,

so zreteľom na smernicu 95/46/ES Európskeho parlamentu a Rady z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov [1] a najmä jej článok 25 ods. 6,

keďže:

(1) podľa smernice 95/46/ES sa od členských štátov vyžaduje, aby stanovili, že prenos osobných údajov do tretej krajiny sa môže uskutočniť len, ak príslušná tretia krajina zabezpečí primeranú úroveň ochrany a ak budú pred prenosom dodržané zákony členských štátov vykonávajúce ďalšie ustanovenia smernice;

(2) komisia môže rozhodnúť, že tretia krajina zabezpečuje primeranú úroveň ochrany. V takom prípade môžu byť osobné údaje prenesené z členského štátu bez potreby ďalších záruk;

(3) podľa smernice 95/46/ES má byť úroveň ochrany údajov zhodnotená z hľadiska všetkých okolností sprevádzajúcich operáciu prenosu údajov alebo súbor operácií prenosu údajov a vo vzťahu k daným podmienkam. Pracovná skupina pre ochranu osôb vo vzťahu k spracovaniu osobných údajov vytvorená podľa článku 29 smernice 95/46/ES vydala smernice o vykonávaní takýchto hodnotení [2];

(4) vzhľadom k odlišnému prístupu k ochrane údajov v tretích krajinách má byť zhodnotenie primeranosti uskutočnené a ľubovoľné rozhodnutie na základe článku 25 ods. 6 smernice 95/46/ES uskutočnené a vykonané spôsobom, ktorý svojvoľne a neoprávnene nediskriminuje tretie krajiny, kde prevažujú podobné podmienky, a medzi týmito krajinami, ani nepredstavuje skrytú prekážku obchodu, pričom bude braný ohľad na súčasné medzinárodné záväzky Spoločenstva;

(5) kanadský Zákon o ochrane osobných informácií a elektronických dokumentoch (ďalej len "kanadský zákon") z 13. apríla 2000 [3] sa týka organizácií súkromného sektora, ktoré zhromažďujú, využívajú, alebo zverejňujú osobné informácie v priebehu komerčnej činnosti. Platnosť nadobúda v troch etapách:

Od 1. januára 2001 sa kanadský zákon uplatní na osobné informácie, okrem osobných zdravotných informácií, ktoré organizácia, ktorá je federálnym závodom, podnikom, alebo obchodom, zhromažďuje, využíva, alebo uverejňuje v priebehu obchodnej činnosti. Tieto organizácie sa nachádzajú v takých sektoroch, ako sú letectvo, bankovníctvo, vysielanie, doprava a telekomunikácia medzi provinciami. Kanadský zákon sa taktiež uplatní na všetky organizácie, ktoré uverejňujú osobné informácie pre zváženie mimo provincie alebo mimo Kanady a na zamestnanecké údaje týkajúce sa zamestnanca vo federálnom závode, podniku, alebo obchode.

Od 1 januára 2002 sa kanadský zákon uplatní na osobné zdravotné informácie pre organizácie a činnosti, ktoré už boli zahrnuté v prvej etape.

Od 1. januára 2004 bude platnosť kanadského zákona rozšírená na každú organizáciu, ktorá zhromažďuje, využíva, alebo zverejňuje osobné informácie v priebehu komerčnej činnosti, bez ohľadu na to či táto organizácia je, alebo nie je federálne regulovaným obchodom. Kanadský zákon sa netýka organizácií, na ktoré sa vzťahuje federálny Zákon o ochrane súkromných údajov, ani organizácií, ktoré sú regulované verejným sektorom na úrovni provincie, ani neziskových organizácií a charitatívnych činností, pokiaľ nie sú komerčného charakteru. Podobne sa nevzťahuje na zamestnanecké údaje využívané na nekomerčné účely, okrem tých, ktoré sa týkajú zamestnancov vo federálne regulovanom súkromnom sektore. Kanadský federálny komisár pre ochranu súkromných údajov môže poskytnúť ďalšie informácie o takýchto prípadoch.

(6) aby bolo rešpektované právo provincií prijímať právne predpisy vo svojich oblastiach právomoci, stanovuje právny predpis, že po schválení zásadne podobných zákonov provincií je možné udeliť výnimku pre organizácie, alebo činnosti, na ktoré sa potom budú vzťahovať právne predpisy provincie týkajúce sa ochrany súkromných údajov. Oddiel 26 ods. 2 Zákona o ochrane osobných informácií a elektronických dokumentoch poskytuje federálnej vláde právomoc, "ak sa presvedčila, že sa právne predpisy provincie, ktoré sú podstatne podobné tejto časti, týkajú organizácie, kategórie organizácií, činnosti, alebo kategórie činností, oslobodiť organizáciu, kategóriu organizácií, činnosť, alebo kategóriu činností od uplatňovania tejto časti vo vzťahu k zhromažďovaniu, využívaniu, alebo zverejňovaniu osobných informácií, ku ktorému dochádza v rámci tejto provincie". Guvernér rady (Kanadská federálna vláda) udeľuje výnimky pre podstatne podobné právne predpisy prostredníctvom nariadenia Rady;

(7) vždy keď určitá provincia prijme právne predpisy, ktoré sú zásadne podobné, budú organizácie, kategórie organizácií, alebo činnosti, na ktoré sa vzťahuje oslobodenie od uplatňovania federálneho práva pre intraprovinciálne transakcie; federálne právo bude naďalej platiť pre každé interprovinciálne alebo medzinárodné zhromažďovanie, využívanie alebo uverejňovanie osobných informácií ako aj vo všetkých prípadoch, kde si provincie čiastočne alebo úplne nevytvorili podstatne podobné právne predpisy;

(8) Kanada dňa 29. júna 1984 formálne pristúpila na smernicu OECD z roku 1980 týkajúcu sa ochrany súkromia a cezhraničných tokov osobných údajov. Kanada je jednou z krajín, ktoré podporili smernice Spojených národov týkajúce sa počítačových súborov s osobnými údajmi, ktoré boli prijaté Valným zhromaždením dňa 14. decembra 1990;

(9) kanadský zákon zahrňuje všetky základné zásady potrebné pre primeranú ochranu fyzických osôb, aj keď sú taktiež stanovené výnimky a obmedzenia s cieľom ochrany dôležitých verejných záujmov a uznania niektorých informácií, ktoré sú vo verejnom vlastníctve. Uplatnenie týchto štandardov je garantované prostredníctvom súdneho opravného prostriedku a nezávislého dozoru vykonávaného orgánmi, ako je napr. federálny komisár pre ochranu súkromných údajov, ktorý je vybavený vyšetrovacími a intervenčnými právomocami. Okrem toho, ustanovenia kanadského práva týkajúce sa občianskoprávnej zodpovednosti sa uplatnia v prípade nezákonného spracovania, ktoré poškodzuje príslušné osoby;

(10) v záujme prehľadnosti a s cieľom zaručenia schopnosti príslušných orgánov v členských štátoch zabezpečiť ochranu jednotlivcov, pokiaľ ide o spracovanie ich osobných údajov, je potrebné špecifikovať v tomto rozhodnutí výnimočné okolnosti, za ktorých môže byť pozastavenie špecifických dátových tokov oprávnené, napriek zisteniu primeranej ochrany;

(11) pracovná skupina pre ochranu osôb vo vzťahu k spracovaniu osobných údajov vytvorená podľa článku 29 smernice 95/46/ES vyjadrila stanovisko týkajúce sa úrovne ochrany poskytovanej kanadským zákonom, ktoré bolo zohľadnené pri vypracovávaní tohto rozhodnutia [4].

(12) opatrenia stanovené v tomto rozhodnutí sú v súlade so stanoviskom výboru vytvoreného podľa článku 31 smernice 95/46/ES,

PRIJALA TOTO ROZHODNUTIE:

Článok 1

Pre účely článku 25 ods. 2 smernice 95/46/ES sa predpokladá, že Kanada poskytuje primeranú úroveň ochrany osobných údajov prevedených zo Spoločenstva na príjemcov v súlade so Zákonom o ochrane osobných informácií a elektronických dokumentoch ("kanadský zákon").

Článok 2

Toto rozhodnutie sa týka len primeranosti ochrany poskytovanej v Kanade kanadským zákonom s cieľom vyhovieť podmienkam článku 25 ods. 1 smernice 95/46/ES a neovplyvňuje iné podmienky alebo obmedzenia vykonávajúce ďalšie ustanovenia tejto smernice, ktoré sa týkajú spracovania osobných údajov v rámci členských štátov.

Článok 3

1. Bez dotknutia svojich právomocí podnikať opatrenia pre zabezpečenie dodržiavania vnútroštátnych ustanovení prijatých podľa iných ustanovení než je článok 25 smernice 95/46/ES môžu príslušné úrady v členských štátoch uplatniť svoje existujúce právomoci pre pozastavenie tokov údajov smerom k príjemcovi v Kanade, ktorého činnosti spadajú do pôsobnosti kanadského zákona, s cieľom ochrany osôb vo vzťahu k spracovaniu ich osobných údajov v prípadoch, ak:

a) príslušný kanadský úrad zistil, že príjemca porušuje použiteľné štandardy ochrany; alebo

b) existuje značná pravdepodobnosť, že štandardy ochrany sú porušované; existujú dostatočné dôvody domnievať sa, že príslušné kanadské úrady nepodnikajú a nepodniknú primerané a včasné opatrenia na urovnanie sporného prípadu; ďalší prevod by vytvoril bezprostredné riziko vážneho poškodenia predmetov údajov a príslušné úrady v členských štátoch vynaložili za daných okolností primerané úsilie na poskytnutie oznámenia strane podnikajúcej v Kanade, zodpovednej za spracovanie, a príležitosti na jej reakciu.

Pozastavenie bude ukončené, len čo bude úroveň ochrany zaistená a príslušný úrad v Spoločenstve bude o tom upovedomený.

2. Členské štáty budú Komisiu bezodkladne informovať, ak budú prijaté opatrenia na základe odseku 1.

3. Členské štáty a Komisia sa budú taktiež navzájom bezodkladne informovať o prípadoch, kde opatrenia orgánov zodpovedných za zabezpečenie dodržiavania úrovne ochrany v Kanade takéto dodržiavanie nezaistí.

4. Ak informácie zhromaždené podľa odsekov 1, 2 a 3 poskytnú dôkazy, že ľubovoľný orgán zodpovedný za zabezpečovanie dodržiavania štandardov ochrany v Kanade si neplní efektívne svoju úlohu, Komisia bude informovať príslušný kanadský úrad a v prípade potreby predloží návrh opatrení v súlade s postupom uvedeným v článku 31 ods. 2 smernice 95/46/ES s cieľom zrušiť, alebo pozastaviť toto rozhodnutie, alebo obmedziť jeho pôsobnosť.

Článok 4

1. Toto rozhodnutie môže byť kedykoľvek pozmenené z hľadiska skúseností s jeho pôsobením alebo zmien kanadských právnych predpisov, vrátane opatrení potvrdzujúcich, že kanadská provincia má podstatne podobné právne predpisy. Komisia zhodnotí pôsobenie tohto rozhodnutia na základe dostupných informácií tri roky po jeho oznámení členským štátom a podá správu o ľubovoľných príslušných zisteniach výboru vytvorenému podľa článku 31 smernice 95/46/ES, vrátane ľubovoľných dôkazov, ktoré by mohli ovplyvniť zistenie v článku 1 tohto rozhodnutia, že ochrana je v Kanade primeraná v zmysle článku 25 smernice 95/46/ES a dôkazov, že toto rozhodnutie je vykonávané diskriminačným spôsobom.

2. Komisia v prípade potreby predloží návrh opatrení v súlade s postupom uvedeným v článku 31 ods. 2 smernice 95/46/ES.

Článok 5

Členské štáty podniknú potrebné opatrenia, aby sa vyhovelo tomuto rozhodnutiu najneskôr na konci obdobia 90 dní od dátumu jeho oznámenia členským štátom.

Článok 6

Toto rozhodnutie je adresované členským štátom.

V Bruseli 20. decembra 2001

Za Komisiu

Frederik Bolkestein

člen Komisie

[1] Ú. v. ES L 281, 23.11.1995, s. 31.

[2] WP 12: Prevod osobných údajov do tretích krajín: uplatňovanie článkov 25 a 26 smernice EÚ o ochrane údajov, prijatej pracovnou skupinou dňa 24. júla 1998, dostupnej na adrese http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/wpdocs_98.htm

[3] Elektronicky zverejnené (papierové a webové) verzie zákona sú dostupné na adrese http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-E.html a http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-F.html. Tlačené verzie sú dostupné na adrese Public Works and Government Services Canada – Publishing, Ottawa, Canada K1A 0S9.

[4] Stanovisko 2/2001 o primeranosti kanadského Zákona o ochrane osobných informácií a elektronických dokumentoch – WP 39 z 26. januára 2001 dostupné na adrese http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm

--------------------------------------------------