Απόφαση της Επιτροπής

της 20ής Δεκεμβρίου 2001

βάσει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την επάρκεια της προστασίας των δεδομένων προσωπικού χαρακτήρα του καναδικού νόμου περί προστασίας των δεδομένων προσωπικού χαρακτήρα και ηλεκτρονικών εγγράφων

[κοινοποιηθείσα υπό τον αριθμό Ε(2001) 4539]

(2002/2/ΕΚ)

Η ΕΠΙΤΡΟΠΗ ΤΩΝ ΕΥΡΩΠΑΪΚΩΝ ΚΟΙΝΟΤΗΤΩΝ,

Έχοντας υπόψη:

τη συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας,

την οδηγία 95/46/EΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών(1), και ιδίως το άρθρο 25 παράγραφος 6,

Εκτιμώντας τα ακόλουθα:

(1) Σύμφωνα με την οδηγία 95/46/EΚ τα κράτη μέλη πρέπει να διασφαλίζουν ότι η διαβίβαση προς τρίτη χώρα δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνο εάν, τηρουμένων των εθνικών διατάξεων που θεσπίζονται σύμφωνα με τις λοιπές διατάξεις της οδηγίας, η εν λόγω τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας.

(2) Η Επιτροπή μπορεί να αποφανθεί ότι μια τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας. Στην περίπτωση αυτή, τα κράτη μέλη μπορούν να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα χωρίς να απαιτούνται πρόσθετες εγγυήσεις.

(3) Σύμφωνα με την οδηγία 95/46/EΚ το επίπεδο προστασίας των δεδομένων πρέπει να σταθμίζεται λαμβανομένων υπόψη όλων των περιστάσεων που επηρεάζουν μια διαβίβαση ή κατηγορία διαβιβάσεων δεδομένων, και σε σχέση με τις συγκεκριμένες συνθήκες. Η Ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που θεσπίσθηκε βάσει του άρθρου 29 της οδηγίας 95/46/ΕΚ, έχει εκδώσει κατευθυντήριες γραμμές για την πραγματοποίηση της εν λόγω στάθμισης(2).

(4) Δεδομένων των διαφορετικών προσεγγίσεων όσον αφορά την προστασία των δεδομένων σε τρίτες χώρες, η στάθμιση της επάρκειας πρέπει να διεξάγεται και οποιαδήποτε απόφαση που βασίζεται στο άρθρο 25 παράγραφος 6 της οδηγίας 95/46/EΚ πρέπει να εκδίδεται και να εφαρμόζεται κατά τρόπο ώστε να μην δημιουργεί αυθαίρετες ή αδικαιολόγητες διακρίσεις κατά ή μεταξύ τρίτων χωρών στις οποίες επικρατούν παρόμοιες συνθήκες ούτε να αποτελεί έμμεσο φραγμό στο εμπόριο, λαμβανομένων υπόψη των ισχυουσών διεθνών υποχρεώσεων της Κοινότητας.

(5) Ο καναδικός νόμος περί προστασίας των δεδομένων προσωπικού χαρακτήρα και ηλεκτρονικών εγγράφων ("καναδικός νόμος") της 13ης Απριλίου 2000(3) εφαρμόζεται σε οργανισμούς του ιδιωτικού τομέα οι οποίοι συλλέγουν, χρησιμοποιούν ή κοινολογούν δεδομένα προσωπικού χαρακτήρα κατά τις εμπορικές τους δραστηριότητες. Τίθεται σε ισχύ σε τρία στάδια:

Από την 1η Ιανουαρίου 2001, ο καναδικός νόμος εφαρμόζεται στα δεδομένα προσωπικού χαρακτήρα, εκτός από εκείνα που αφορούν την υγεία, τα οποία ένας φορέας που ενεργεί ως ομοσπονδιακή υπηρεσία, δραστηριότητα ή επιχείρηση συλλέγει, χρησιμοποιεί ή κοινολογεί κατά την εμπορική του δραστηριότητα. Οι φορείς αυτοί είναι κυρίως αεροπορικές εταιρείες, τράπεζες, ραδιοτηλεοπτικοί οργανισμοί, διεπαρχιακοί οργανισμοί μεταφορών και τηλεπικοινωνιακοί φορείς. Ο καναδικός νόμος εφαρμόζεται επίσης σε όλους τους οργανισμούς που κοινολογούν δεδομένα προσωπικού χαρακτήρα έξω από τα όρια μιας επαρχίας ή εκτός Καναδά καθώς και σε δεδομένα που αφορούν εργαζομένους σε ομοσπονδιακές επιχειρήσεις.

Από την 1η Ιανουαρίου 2002, ο καναδικός νόμος θα εφαρμόζεται σε δεδομένα προσωπικού χαρακτήρα για την υγεία όσον αφορά τους οργανισμούς και τις δραστηριότητες που καλύπτονται ήδη στο πρώτο στάδιο.

Από την 1η Ιανουαρίου 2004, ο καναδικός νόμος θα επεκταθεί σε κάθε φορέα που συλλέγει, χρησιμοποιεί ή κοινολογεί δεδομένα προσωπικού χαρακτήρα κατά την εμπορική του δραστηριότητα, ανεξαρτήτως του αν ο φορέας αυτός αναπτύσσει δραστηριότητα που ρυθμίζεται σε ομοσπονδιακό επίπεδο ή όχι. Ο καναδικός νόμος δεν εφαρμόζεται σε οργανισμούς στους οποίους εφαρμόζεται ο ομοσπονδιακός νόμος για την προστασία της ιδιωτικής ζωής ή οι οποίοι υπάγονται στο δημόσιο τομέα σε επαρχιακό επίπεδο, ούτε σε μη κερδοσκοπικούς οργανισμούς και φιλανθρωπικά ιδρύματα, εκτός εάν αναπτύσσουν εμπορική δραστηριότητα. Επίσης, ο καναδικός νόμος δεν εφαρμόζεται σε δεδομένα που αφορούν εργαζομένους και προορίζονται για μη εμπορικούς σκοπούς εκτός από τα δεδομένα που αφορούν εργαζομένους στον ιδιωτικό τομέα ο οποίος υπάγεται στην αρμοδιότητα της ομοσπονδιακής κυβέρνησης. Ο καναδός ομοσπονδιακός επίτροπος για την προστασία της ιδιωτικής ζωής μπορεί να παρέχει περισσότερες πληροφορίες σε παρόμοιες περιπτώσεις.

(6) Στα πλαίσια του δικαιώματος των επαρχιών να νομοθετούν στους τομείς δικαιοδοσίας τους, ο νόμος προβλέπει ότι αν υπάρχουν επαρχιακοί νόμοι όμοιοι κατ' ουσία, μπορεί να χορηγείται εξαίρεση σε οργανισμούς οι οποίοι πλέον καλύπτονται από την επαρχιακή νομοθεσία περί προστασίας της ιδιωτικής ζωής. Το τμήμα 26, παράγραφος 2 του νόμου περί προστασίας των δεδομένων προσωπικού χαρακτήρα και ηλεκτρονικών εγγράφων παρέχει στην ομοσπονδιακή κυβέρνηση τη δυνατότητα, "εφόσον θεωρεί ότι η νομοθεσία μιας επαρχίας που είναι κατ' ουσίαν όμοια με το παρόν τμήμα εφαρμόζεται σε έναν οργανισμό, μια κατηγορία οργανισμών, μια δραστηριότητα ή μια κατηγορία δραστηριοτήτων, να εξαιρέσει τον οργανισμό, τη δραστηριότητα ή την κατηγορία από την εφαρμογή του παρόντος τμήματος όσον αφορά τη συλλογή, χρήση ή κοινολόγηση δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στα πλαίσια της εν λόγω επαρχίας". Ο πρόεδρος του Συμβουλίου (καναδική ομοσπονδιακή κυβέρνηση) αποφασίζει εξαίρεση για περιπτώσεις ύπαρξης όμοιας κατ' ουσίαν νομοθεσίας εκδίδοντας απόφαση του Συμβουλίου.

(7) Εφόσον και οποτεδήποτε μια επαρχία εκδίδει νομοθεσία όμοια κατ' ουσίαν, οι καλυπτόμενες οργανώσεις, κατηγορίες οργανώσεων ή δραστηριότητες εξαιρούνται από την εφαρμογή του ομοσπονδιακού νόμου όσον αφορά τις διεπαρχιακές συναλλαγές· ο ομοσπονδιακός νόμος εξακολουθεί να εφαρμόζεται στη διεπαρχιακή και διεθνή συλλογή, χρήση και κοινολόγηση δεδομένων προσωπικού χαρακτήρα καθώς και σε κάθε περίπτωση στην οποία οι επαρχίες δεν έχουν θεσπίσει όμοια κατ' ουσίαν νομοθεσία εν όλω ή εν μέρει.

(8) Ο Καναδάς προσχώρησε επίσημα στις κατευθυντήριες γραμμές του ΟΟΣΑ του 1980 για την προστασία της ιδιωτικής ζωής και τη διασυνοριακή ροή δεδομένων προσωπικού χαρακτήρα στις 29 Ιουνίου 1984. Ο Καναδάς υπήρξε μεταξύ των χωρών που υποστήριξαν τις κατευθυντήριες γραμμές των Ηνωμένων Εθνών όσον αφορά τα μηχανογραφημένα αρχεία δεδομένων προσωπικού χαρακτήρα, οι οποίες εγκρίθηκαν από τη γενική συνέλευση στις 14 Δεκεμβρίου 1990.

(9) Ο καναδικός νόμος καλύπτει όλες τις βασικές αρχές που απαιτούνται για ένα ικανοποιητικό επίπεδο προστασίας όσον αφορά τα φυσικά πρόσωπα, παρόλο που προβλέπονται επίσης εξαιρέσεις και περιορισμοί για τη διασφάλιση σημαντικών δημοσίων συμφερόντων και για την επισήμανση ορισμένων πληροφοριακών στοιχείων στο δημόσιο τομέα. Η εφαρμογή των ανωτέρω εγγυήσεων διασφαλίζεται με δικαστικά μέσα καθώς και με την ανεξάρτητη εποπτεία που πραγματοποιείται από τις αρχές, όπως ο ομοσπονδιακός επίτροπος για την προστασία της ιδιωτικής ζωής ο οποίος διαθέτει εξουσίες έρευνας και παρέμβασης. Εξάλλου, σε περίπτωση παράνομης επεξεργασίας δεδομένων σε βάρος συγκεκριμένων προσώπων εφαρμόζονται οι διατάξεις του καναδικού νόμου περί αστικής ευθύνης.

(10) Για λόγους διαφάνειας καθώς και για την εξασφάλιση της ευχέρειας των αρμόδιων αρχών των κρατών μελών να διασφαλίζουν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, είναι αναγκαίο να ορισθούν στην παρούσα απόφαση οι εξαιρετικές περιστάσεις στις οποίες δικαιολογείται η αναστολή της ροής συγκεκριμένων δεδομένων, ανεξάρτητα από την ύπαρξη ικανοποιητικής προστασίας.

(11) Η ομάδα εργασίας για την προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που θεσπίσθηκε βάσει του άρθρου 29 της οδηγίας 95/46/EΚ εξέδωσε γνωμοδότηση σχετικά με το επίπεδο προστασίας που παρέχει ο καναδικός νόμος, η οποία ελήφθη υπόψη κατά την εκπόνηση της παρούσας απόφασης(4).

(12) Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι συμβατά με τη γνωμοδότηση της επιτροπής που θεσπίσθηκε βάσει του άρθρου 31 της οδηγίας 95/46/EΚ,

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:

Άρθρο 1

Για τους σκοπούς του άρθρου 25 παράγραφος 2, της οδηγίας 95/46/EΚ, ο Καναδάς θεωρείται ότι εξασφαλίζει ικανοποιητικό επίπεδο προστασίας όσον αφορά τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από την Κοινότητα σε παραλήπτες οι οποίοι θα υπόκεινται στις διατάξεις του νόμου περί προστασίας των δεδομένων προσωπικού χαρακτήρα και ηλεκτρονικών εγγράφων ("καναδικός νόμος").

Άρθρο 2

Η παρούσα απόφαση αφορά μόνο την επάρκεια της προστασίας που παρέχεται στον Καναδά από τον καναδικό νόμο όσον αφορά την πλήρωση των απαιτήσεων του άρθρου 25 παράγραφος 1 της οδηγίας 95/46/EΚ και δεν επηρεάζει άλλους όρους ή περιορισμούς που σχετίζονται με άλλες διατάξεις της εν λόγω οδηγίας οι οποίες εφαρμόζονται κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη.

Άρθρο 3

1. Με την επιφύλαξη της ευχέρειάς τους να λαμβάνουν μέτρα προκειμένου να διασφαλίζουν τη συμμόρφωση με τις εθνικές διατάξεις που θεσπίσθηκαν δυνάμει των διατάξεων εκτός του άρθρου 25 της οδηγίας 95/46/EΚ, οι αρμόδιες αρχές των κρατών μελών δύνανται να ασκούν τις εξουσίες που διαθέτουν για να αναστείλουν τη ροή δεδομένων προς αποδέκτη που βρίσκεται στον Καναδά του οποίου οι δραστηριότητες εμπίπτουν στο πεδίο εφαρμογής του καναδικού νόμου με στόχο την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, στις περιπτώσεις στις οποίες:

α) αρμόδια καναδική αρχή έχει διαπιστώσει ότι ο αποδέκτης παραβιάζει τα ισχύοντα πρότυπα προστασίας, ή

β) υπάρχει βάσιμη πιθανότητα παραβίασης των προτύπων προστασίας· υπάρχει εύλογη βάση για τον ισχυρισμό ότι η αρμόδια καναδική αρχή δεν αναλαμβάνει ή δεν πρόκειται να αναλάβει εγκαίρως την ενδεικνυόμενη δράση ώστε να διευθετήσει το υπό εξέταση ζήτημα· η συνεχιζόμενη διαβίβαση ενδέχεται να προκαλέσει άμεσο κίνδυνο σοβαρής ζημίας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα ενώ οι αρμόδιες αρχές στα κράτη μέλη έχουν καταβάλει αξιόλογες προσπάθειες υπό τις επικρατούσες συνθήκες με σκοπό να απευθύνουν προειδοποίηση στο αρμόδιο για την επεξεργασία μέρος που είναι εγκατεστημένο στον Καναδά και να του δώσουν τη δυνατότητα να αντιδράσει.

Η αναστολή θα παύσει να ισχύει μόλις τα πρότυπα προστασίας διασφαλισθούν και η οικεία αρμόδια αρχή της ΕΕ ενημερωθεί σχετικώς.

2. Τα κράτη μέλη ενημερώνουν την Επιτροπή αμελλητί στις περιπτώσεις όπου εγκρίνονται μέτρα βάσει της παραγράφου 1.

3. Tα κράτη μέλη και η Επιτροπή πρέπει επίσης να αλληλοενημερώνονται για τις περιπτώσεις όπου η δράση των φορέων που είναι αρμόδιοι για τη διασφάλιση συμμόρφωσης προς τα πρότυπα προστασίας στον Καναδά αδυνατεί να διασφαλίσει τη συμμόρφωση αυτή.

4. Εάν οι συλλεγόμενες πληροφορίες δυνάμει των παραγράφων 1, 2 και 3 αποδεικνύουν ότι ο οποιοσδήποτε φορέας που είναι αρμόδιος για τη διασφάλιση συμμόρφωσης προς τα πρότυπα ασφάλειας στον Καναδά δεν επιτελεί αποτελεσματικά τα καθήκοντά του, η Επιτροπή ενημερώνει σχετικώς την αρμόδια καναδική αρχή και, εάν κριθεί απαραίτητο, υποβάλλει σχέδια μέτρων σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 31 παράγραφος 2 της οδηγίας 95/46/ΕΚ με σκοπό να ανατραπεί ή να ανασταλεί η παρούσα απόφαση ή να περιορισθεί το πεδίο εφαρμογής της.

Άρθρο 4

1. Η παρούσα απόφαση δύναται να αποτελέσει αντικείμενο αναθεώρησης οποτεδήποτε, βάσει της εμπειρίας που θα προκύψει από την εφαρμογή της ή μεταβολών στην καναδική νομοθεσία, περιλαμβανομένων μέτρων βάσει των οποίων αναγνωρίζεται ότι μια καναδική επαρχία διαθέτει όμοια κατ' ουσίαν νομοθεσία. Η Επιτροπή αξιολογεί την εφαρμογή της παρούσας απόφασης βάσει των διαθέσιμων πληροφοριών τρία χρόνια μετά την κοινοποίησή της στα κράτη μέλη και αναφέρει κάθε σχετικό πόρισμα της επιτροπής που θεσπίσθηκε δυνάμει του άρθρου 31 της οδηγίας 95/46/ΕΚ, περιλαμβανομένων οποιωνδήποτε αποδεικτικών στοιχείων τα οποία θα ήταν δυνατόν να επηρεάσουν την αξιολόγηση του άρθρου 1 της παρούσας απόφασης σύμφωνα με την οποία ο Καναδάς παρέχει ικανοποιητικό επίπεδο προστασίας κατά την έννοια του άρθρου 25 της οδηγίας 95/46/ΕΚ, καθώς και οποιωνδήποτε αποδεικτικών στοιχείων ότι η απόφαση εφαρμόζεται κατά τρόπο που οδηγεί σε διακρίσεις.

2. Η Επιτροπή, εάν κρίνεται απαραίτητο, υποβάλλει σχέδια μέτρων σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 31 παράγραφος 2 της οδηγίας 95/46/EΚ.

Άρθρο 5

Τα κράτη μέλη λαμβάνουν όλα τα απαραίτητα μέτρα για να συμμορφωθούν με την παρούσα απόφαση το αργότερο στο τέλος της περιόδου ενενήντα ημερών από την ημερομηνία κοινοποίησής της στα κράτη μέλη.

Άρθρο 6

Η παρούσα απόφαση απευθύνεται στα κράτη μέλη.

Βρυξέλλες, 20 Δεκεμβρίου 2001.

Για την Επιτροπή

Frederik Bolkestein

Μέλος της Επιτροπής

(1) ΕΕ L 281 της 23.11.1995, σ. 31.

(2) WP 12: Διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες: εφαρμογή των άρθρων 25 και 26 της οδηγίας της ΕΕ για την προστασία των δεδομένων· εγκρίθηκε από την ομάδα εργασίας την 24η Ιουλίου 1998 και διατίθεται στη διεύθυνση: http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/wpdocs_98.htm http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wpdocs_98.htm.

(3) Ηλεκτρονικά δημοσιευμένες (έντυπη και διαδικτυακή) εκδόσεις του νόμου διατίθενται στις διευθύνσεις: http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-E.html http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-E.html και http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-F.html. Έντυπες εκδόσεις διατίθενται στη διεύθυνση Public Works and Government Services Canada - Publishing, Ottawa, Canada K1A 0S9.

(4) Γνωμοδότηση 2/2001 σχετικά με την επάρκεια του καναδικού νόμου περί δεδομένων προσωπικού χαρακτήρα και ηλεκτρονικών εγγράφων - WP 39 της 26ης Ιανουαρίου 2001 που διατίθεται στη διεύθυνση http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm.