32002D0002



Euroopa Liidu Teataja L 002 , 04/01/2002 Lk 0013 - 0016


Komisjoni otsus,

20. detsember 2001,

vastavalt Euroopa Parlamendi ja nõukogu direktiivile 95/46/EÜ isikuandmete piisava kaitse kohta, nagu on ette nähtud Kanada isikuandmete kaitse ja elektrooniliste dokumentide seadusega

(teatavaks tehtud numbri K(2001) 4539 all)

(2002/2/EÜ)

EUROOPA ÜHENDUSTE KOMISJON,

võttes arvesse Euroopa Ühenduse asutamislepingut,

võttes arvesse Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta, [1] eriti selle artikli 25 lõiget 6,

ning arvestades järgmist:

(1) Vastavalt direktiivile 95/46/EÜ peavad liikmesriigid sätestama, et isikuandmete edastamine kolmandasse riiki võib toimuda üksnes siis, kui kõnealune kolmas riik tagab andmekaitse piisava taseme ja kui enne andmete edastamist järgitakse liikmesriikide seadusi, millega rakendatakse kõnealuse direktiivi muid sätteid.

(2) Komisjon võib leida, et kolmas riik tagab andmekaitse piisava taseme. Sel juhul võib isikuandmeid edastada liikmesriikidest ilma lisatagatisteta.

(3) Vastavalt direktiivile 95/46/EÜ peaks andmekaitse taset hindama kõiki andmete edastamistoimingu või edastamistoimingute kogumi asjaolusid silmas pidades ning olemasolevatest tingimustest lähtudes. Direktiivi 95/46/EÜ artikli 29 alusel loodud töörühm üksikisikute kaitseks seoses isikuandmete töötlemisega on andnud välja juhised selliste hindamiste läbiviimise kohta. [2]

(4) Võttes arvesse kolmandate riikide erinevaid lähenemisi andmekaitsele, peaks läbi viima kaitse piisavuse hindamise ning vastu võtma ja jõustama direktiivi 95/46/EÜ artikli 25 lõikel 6 põhineva otsuse viisil, mis ei diskrimineeriks suvaliselt või põhjendamatult kolmandat riiki ja ei teeks vahet kolmandatel riikidel, kus on sarnased tingimused, ega looks ühenduse käesolevaid rahvusvahelisi kohustusi arvestades varjatud kaubandustõket.

(5) 13. aprilli 2000. aasta Kanada isikuandmete kaitse ja elektrooniliste dokumentide seadust (edaspidi "Kanada seadus") [3] kohaldatakse erasektori organisatsioonide suhtes, mis koguvad, kasutavad või avalikustavad isikuandmeid tulundustegevuse käigus. See jõustub kolmes etapis.

Alates 1. jaanuarist 2001 kehtib Kanada seadus isikuandmete (välja arvatud tervist käsitlevate isikuandmete) kohta, mida kogub, kasutab ja avalikustab tulundustegevuse käigus riigiettevõtte, eraettevõtte või äriühinguna tegutsev organisatsioon. Mainitud organisatsioone leidub sellistes sektorites nagu lennundus, pangandus, ringhääling, provintsidevaheline transport ja telekommunikatsioon. Kanada seadust kohaldatakse ka kõikide organisatsioonide suhtes, mis avalikustavad teenustasu eest isikuandmeid väljaspool provintsi või Kanadat, ning riigiettevõtte, eraettevõtte või äriühingu töötajaid puudutavate töövõtjate andmete kohta.

Alates 1. jaanuarist 2002 kehtib Kanada seadus tervist käsitlevate isikuandmete kohta organisatsioonide ja tegevuste suhtes, mida hõlmas juba esimene etapp.

Alates 1. jaanuarist 2004 laieneb Kanada seadus kõikidele organisatsioonidele, mis koguvad, kasutavad või avalikustavad isikuandmeid tulundustegevuse käigus sõltumata sellest, kas organisatsioon on föderaalseadustega reguleeritav ettevõte või mitte. Kanada seadust ei kohaldata organisatsioonide suhtes, mille kohta kehtib föderaalne andmekaitse seadus (Federal Privacy Act) või mida ei reguleeri avalik sektor provintsi tasandil, samuti ka mittetulundusorganisatsioonide või heategevusühenduste suhtes, välja arvatud juhul, kui nad on oma olemuselt ärilist laadi. Sarnaselt ei kehti seadus ka mitteärilistel eesmärkidel kasutatavate töövõtjate andmete kohta, välja arvatud juhtudel, mil on tegemist föderaalseadustega reguleeritava erasektori töövõtjate andmetega. Kanada föderaalne andmekaitsevolinik võib taoliste juhtude kohta lisateavet anda.

(6) Et tunnustada provintside õigust anda välja seadusi nende jurisdiktsiooni alla kuuluvates valdkondades, näeb seadus ette, et riikliku seadusega oluliselt sarnaste provintsi tasandil vastuvõetud seaduste korral võib organisatsioone ja tegevusi seaduse kohaldamisest vabastada, mida sel juhul hõlmab provintside andmekaitsealane seadusandlus. Isikuandmete kaitse ja elektrooniliste dokumentide seaduse paragrahvi 26 punkt 2 annab föderaalvalitsusele volitused, et "kui ollakse veendunud, et käesoleva osaga oluliselt sarnast provintsi seadusandlust kohaldatakse organisatsiooni, organisatsioonide liigi, tegevuse või tegevuste liigi suhtes, siis vabastatakse organisatsioon, tegevus või liik käesoleva osa kohaldamisest seoses kõnealuses provintsis toimuva isikuandmete kogumise, kasutamise ja avalikustamisega". Vabastusi oluliselt sarnaste õigusaktide kohaldamisest annab nõukogu juhataja (Kanada föderaalvalitsus) nõukogu vastavasisulise korraldusega.

(7) Kui provints võtab vastu riikliku seadusega oluliselt sarnase õigusakti, vabastatakse hõlmatud organisatsioonid, organisatsioonide või tegevuste liigid föderaalseaduse kohaldamisest provintsisiseste tehingute suhtes; föderaalseadust kohaldatakse jätkuvalt edasi kõigi provintside- ja rahvusvaheliste isikuandmete kogumise, kasutamise ja avalikustamise toimingute suhtes, samuti kõikidel juhtudel, kui provintsid ei ole loonud kas osaliselt või täielikult sarnase sisuga õigusakte.

(8) Ametlikult liitus Kanada 1980. aasta OECD isikuandmete kaitse ja piiriülese edastamise suunistega 29. juunil 1984. Kanada oli nende riikide hulgas, kes toetasid Ühinenud Rahvaste Organisatsiooni suuniseid isikuandmete elektrooniliste failide kohta, mille üldkogu võttis vastu 14. detsembril 1990.

(9) Kanada seadus hõlmab kõiki peamisi põhimõtteid, mis on vajalikud füüsiliste isikute andmekaitse piisava taseme tagamiseks, isegi kui samas on ette nähtud ka erandeid ja piiranguid, kaitsmaks tähtsaid avalikke huve ning tuvastamaks teatud üldkasutatavat teavet. Nende standardite kohaldamise tagavad õiguskaitsevahend ning ametivõimude teostatav sõltumatu järelevalve, nagu näiteks juurdluse ja sekkumise volitustega föderaalne andmekaitsevolinik. Lisaks sellele kehtivad Kanada õiguse tsiviilvastutust käsitlevad sätted asjaomaseid isikuid kahjustava isikuandmete ebaseadusliku töötlemise korral.

(10) Läbipaistvuse huvides ning selleks, tagada liikmesriikide pädevate asutuste võime kindlustada üksikisikute kaitset nende isikuandmete töötlemisel, on vaja määratleda käesolevas otsuses erandlikud asjaolud, mille puhul teatavate andmete edastamise peatamine võib olla õigustatud hoolimata sellest, et andmekaitse taset käsitatakse piisavana.

(11) Direktiivi 95/46/EÜ artikli 29 alusel loodud töörühm üksikisikute kaitseks seoses isikuandmete töötlemisega on esitanud arvamuse Kanada seadusega ettenähtud andmekaitse taseme kohta, mida on käesoleva otsuse ettevalmistamisel arvesse võetud. [4]

(12) Käesoleva otsusega ettenähtud meetmed on kooskõlas direktiivi 95/46/EÜ artikli 31 alusel loodud komitee arvamusega,

ON VASTU VÕTNUD KÄESOLEVA OTSUSE:

Artikkel 1

Direktiivi 95/46/EÜ artikli 25 lõike 2 kohaldamisel käsitletakse Kanadat kui piisavat isikuandmete kaitset pakkuvat riiki andmete edastamisel ühendusest vastuvõtjatele, kes alluvad isikuandmete kaitse ja elektrooniliste dokumentide seadusele (edaspidi "Kanada seadus").

Artikkel 2

Käesolev otsus käsitleb üksnes Kanada seaduse alusel Kanadas ettenähtud kaitse piisavust direktiivi 95/46/EÜ artikli 25 lõike 1 nõuetele vastavust silmas pidades ning ei mõjuta muid tingimusi või piiranguid, millega rakendatakse kõnealuse direktiivi teisi sätteid isikuandmete töötlemise kohta liikmesriikide piires.

Artikkel 3

1. Ilma et see piiraks liikmesriikide pädevate asutuste volitusi võtta meetmeid selleks, et tagada vastavus muude sätete kui direktiivi 95/46/EÜ artikli 25 kohaselt võetud siseriiklikele õigusnormidele, võivad nimetatud asutused kasutada olemasolevaid volitusi peatada andmete edastamine Kanadas asuvale vastuvõtjale, kelle tegevus kuulub Kanada seaduse reguleerimisalasse, et kaitsta üksikisikuid seoses nende isikuandmete töötlemisega juhul, kui:

a) pädev Kanada asutus on otsustanud, et vastuvõtja rikub kohaldatavaid kaitsestandardeid; või

b) on tõenäoline, et kaitsestandardeid rikutakse; on alust arvata, et pädev Kanada asutus ei võta asjakohaseid ja õigeaegseid meetmeid päevakorral oleva juhtumi lahendamiseks; jätkuv edastamine tekitaks otsese ohu tõsise kahju tekkimiseks andmesubjektidele ja liikmesriikide pädevad asutused on nendes oludes teinud mõistlikke pingutusi, et esitada Kanadas registreeritud andmete töötlemise eest vastutavale poolele teatis ning anda talle võimalus vastata.

Peatamine lõpeb kohe, kui kaitsestandardid on tagatud ning sellest on teavitatud ühenduse asjaomast pädevat asutust.

2. Liikmesriigid teatavad lõike 1 alusel võetud meetmetest viivitamata komisjonile.

3. Liikmesriigid ja komisjon teavitavad teineteist ka juhtumitest, mil Kanada kaitsestandardite järgimise eest vastutavate asutuste tegevusega ei suudeta mainitud järgimist tagada.

4. Kui lõigete 1, 2 ja 3 alusel kogutud teave osutab sellele, et mis tahes Kanada kaitsestandardite järgimise eest vastutav asutus ei täida oma ülesandeid tõhusalt, teatab komisjon sellest pädevale Kanada asutusele ja esitab vajadusel võetavate meetmete eelnõu direktiivi 95/46/EÜ artikli 31 lõikes 2 sätestatud korras, et tühistada või peatada käesolev otsus või piirata selle reguleerimisala.

Artikkel 4

1. Käesolevat otsust võib muuta igal ajal, võttes arvesse kogemusi selle toimimisel või muudatusi Kanada seadusandluses, sealhulgas meetmeid, mis tunnustavad, et Kanada provintsil on oluliselt sarnane seadusandlus. Komisjon hindab käesoleva otsuse toimivust kättesaadava teabe alusel kolme aasta pärast alates otsuse teatavakstegemisest liikmesriikidele ning annab direktiivi 95/46/EÜ artikli 31 alusel loodud komiteele aru asjakohaste tulemuste kohta, sealhulgas mis tahes tõendusmaterjali kohta, mis võiks mõjutada käesoleva otsuse artikli 1 järeldust, et Kanadas on andmekaitse piisav direktiivi 95/46/EÜ artikli 25 tähenduses, ning mis tahes tõendusmaterjali kohta, et käesolevat otsust kohaldatakse diskrimineerivalt.

2. Vajadusel esitab komisjon võetavate meetmete eelnõu direktiivi 95/46/EÜ artikli 31 lõikes 2 sätestatud korras.

Artikkel 5

Liikmesriigid võtavad kõik vajalikud meetmed, et järgida käesolevat otsust hiljemalt 90 päeva möödudes alates selle liikmesriikidele teatavakstegemise kuupäevast.

Artikkel 6

Käesolev otsus on adresseeritud liikmesriikidele.

Brüssel, 20. detsember 2001

Komisjoni nimel

komisjoni liige

Frederik Bolkestein

[1] EÜT L 281, 23.11.1995, lk 31.

[2] WP 12: Isikuandmete edastamine kolmandatesse riikidesse: ELi andmekaitse direktiivi artiklite 25 ja 26 kohaldamine, 24. juulil 1998 töörühma poolt vastu võetud, kättesaadav aadressil: http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/wpdocs_98.htm

[3] Seaduse elektrooniliselt avaldatud (paberil ja veebis) versioonid on kättesaadavad aadressidel: http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-E.html ja http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-F.html. Trükitud versioonid on kättesaadavad aadressil Public Works and Government Services Kanada — Publishing, Ottawa, Kanada K1A 0S9.

[4] Arvamus 2/2001 Kanada isikuandmete kaitse ja elektrooniliste dokumentide seaduse kohta — 26. jaanuari 2001 WP 39, mis on kättesaadav aadressil http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm

--------------------------------------------------