Komission päätös,

tehty 20 päivänä joulukuuta 2001,

henkilötietojen suojaa ja sähköisiä asiakirjoja koskevan Kanadassa voimassaolevan lain tarjoaman tietosuojan riittävyydestä Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisesti

(tiedoksiannettu numerolla K(2001) 4539)

(2002/2/EY)

EUROOPAN YHTEISÖJEN KOMISSIO, joka

ottaa huomioon Euroopan yhteisön perustamissopimuksen,

ottaa huomioon yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY(1) ja erityisesti sen 25 artiklan 6 kohdan,

sekä katsoo seuraavaa:

(1) Direktiivin 95/46/EY mukaan jäsenvaltioiden on säädettävä siitä, että henkilötietoja voidaan siirtää kolmanteen maahan vain, jos kyseisessä kolmannessa maassa turvataan tietosuojan riittävä taso ja jos direktiivin muiden säännösten täytäntöönpanemiseksi annettuja jäsenvaltioiden lakeja noudatetaan ennen tietojen siirtämistä.

(2) Komissio voi todeta, että kolmas maa turvaa tietosuojan riittävän tason. Henkilötietoja voidaan tässä tapauksessa siirtää ilman lisätakeita.

(3) Direktiivin 95/46/EY mukaisesti tietosuojan taso olisi arvioitava kaikkien tiettyyn siirtoon tai siirtojen ryhmään liittyvien olosuhteiden osalta. Direktiivin 95/46/EY 29 artiklan mukaisesti perustettu tietosuojatyöryhmä on antanut arvioinnin tekemistä koskevia ohjeita(2).

(4) Koska kolmannet maat suhtautuvat eri tavoin tietosuojaan, tietosuojan riittävyyden arviointi olisi suoritettava ja kaikki direktiivin 95/46/EY 25 artiklan 6 kohtaan perustuvat päätökset olisi tehtävä ja pantava täytäntöön tavalla, joka ei mielivaltaisesti tai epäoikeudenmukaisesti syrji mitään kolmatta maata tai tee eroa niiden välillä, jos niissä vallitsevat samanlaiset olosuhteet, tai muodosta peiteltyä kaupan estettä, kun otetaan huomioon yhteisön nykyiset kansainväliset sitoumukset.

(5) Huhtikuun 13 päivänä 2000(3) Kanadassa annettua henkilötietojen suojaa ja sähköisiä asiakirjoja koskevaa lakia (The Personal Information Protection and Electronic Documents Act, jäljempänä "Kanadassa annettu laki") sovelletaan yksityissektorin organisaatioihin, jotka keräävät, käyttävät tai luovuttavat henkilötietoja kaupallisen toiminnan yhteydessä. Laki tulee voimaan kolmessa vaiheessa:

Lakia sovelletaan 1 päivästä tammikuuta 2001 alkaen kaikkiin sellaisten organisaatioiden kaupallisen toimintansa yhteydessä keräämiin, käyttämiin tai luovuttamiin henkilötietoihin, lukuun ottamatta terveyteen liittyviä henkilötietoja, jotka harjoittavat liittovaltion tasolla säänneltyä toimintaa. Tämäntyyppisiä organisaatioita toimii muun muassa lentoliikenteen, pankkitoiminnan, radio- ja televisiolähetystoiminnan, provinssien välisen liikenteen ja tietoliikenteen aloilla. Kanadassa annettua lakia sovelletaan lisäksi kaikkiin organisaatioihin, jotka luovuttavat henkilötietoja korvausta vastaan provinssin tai Kanadan ulkopuolelle, sekä sellaisten työntekijöiden henkilötietoihin, jotka ovat liittovaltion tasolla säänneltyä toimintaa harjoittavan laitoksen tai yrityksen palveluksessa.

Lakia sovelletaan 1 päivästä tammikuuta 2002 lähtien ensimmäisessä vaiheessa katettujen organisaatioiden ja toimintojen osalta myös yksityishenkilöiden terveystietoihin.

Lain soveltamisalaa laajennetaan 1 päivästä tammikuuta 2004 lähtien siten, että siihen kuuluvat kaikki organisaatiot, jotka keräävät, käyttävät tai luovuttavat henkilötietoja kaupallisen toiminnan yhteydessä siitä riippumatta, harjoittavatko kyseiset organisaatiot liittovaltion sääntelyn alaista toimintaa. Lain soveltamisalaan eivät kuulu liittovaltion tietosuojalain (Federal Privacy Act) piiriin kuuluvat organisaatiot tai organisaatiot, joiden sääntelystä vastaa provinssin tason julkinen sektori. Siihen ei myöskään kuulu voittoa tavoittelematon toiminta tai hyväntekeväisyystoiminta, ellei kyseinen toiminta ole luonteeltaan kaupallista. Lakia ei myöskään sovelleta työntekijöiden henkilötietoihin silloin, kun niitä käytetään muihin kuin kaupallisiin tarkoituksiin, lukuun ottamatta liittovaltion sääntelemän yksityissektorin työntekijöiden henkilötietoja. Kanadan liittovaltion tietosuojaviranomainen (Federal Privacy Commissioner) voi antaa lisätietoja näistä tapauksista.

(6) Laissa otetaan huomioon provinssien oikeus säätää lakeja niiden toimivaltaan kuuluvilla osa-alueilla ja siinä säädetään tämän vuoksi, että jos provinssissa annetaan olennaisilta osiltaan liittovaltion lainsäädäntöä vastaavaa lainsäädäntöä, sellaisiin organisaatioihin tai toimintoihin voidaan soveltaa poikkeusta, jotka kuuluvat kyseisen provinssissa annetun vastaavan tietosuojalainsäädännön piiriin. Henkilötietojen suojaa ja sähköisiä asiakirjoja koskevan lain (The Personal Information Protection and Electronic Documents Act) 26 jakson (Section) 2 kohdan mukaan liittovaltion hallituksella on "silloin, kun se katsoo, että olennaisilta osiltaan tätä osaa (Part) vastaavaa provinssin lainsäädäntöä sovelletaan organisaatioon, organisaatioluokkaan, toimintoon tai toimintoluokkaan, oikeus päättää, ettei tämän osan säännöksiä, jotka koskevat provinssin sisällä tapahtuvaa henkilötietojen keruuta, käyttöä ja luovuttamista, sovelleta kyseiseen organisaatioon, organisaatioluokkaan, toimintoon tai toimintoluokkaan". Kanadan liittovaltion hallitus (The Governor in Council) myöntää olennaisilta osiltaan vastaavaan sääntelyyn perustuvan poikkeuksen liittovaltion tason määräyksellä (Order-in-Council).

(7) Jos provinssissa säädetään olennaisilta osiltaan liittovaltion lakia vastaava laki, liittovaltion lakia ei poikkeuksen nojalla sovelleta kyseisen provinssin lain soveltamisalaan kuuluviin organisaatioihin, organisaatioluokkiin, toimintoihin tai toimintoluokkiin silloin, kun kyse on provinssin sisäisestä toiminnasta; liittovaltion lakia sovelletaan kuitenkin edelleen kaikkeen provinssien väliseen ja kansainväliseen henkilötietojen keruuseen, käyttöön ja luovuttamiseen sekä tapauksiin, joissa provinssit eivät ole säätäneet olennaisilta osiltaan vastaavia lakeja, jotka kattaisivat tarkastelun kohteena olevan osa-alueen joko kokonaan tai osittain.

(8) Kanada sitoutui 29 päivänä kesäkuuta 1984 virallisesti noudattamaan tietosuojaa ja kansainvälisiä tiedonsiirtoja koskevia OECD:n ohjeita vuodelta 1980 (1980 OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data). Kanada oli lisäksi niiden maiden joukossa, jotka puolsivat henkilötietoja sisältävistä tiedostoista annettuja Yhdistyneiden kansakuntien yleisohjeita (United Nations Guidelines Concerning Computerized Personal Data Files), jotka YK:n yleiskokous hyväksyi 14 päivänä joulukuuta 1990.

(9) Kanadassa annettu laki kattaa kaikki perusperiaatteet, jotka ovat välttämättömiä riittävän tietosuojan takaamiseksi luonnollisille henkilöille, vaikka lakiin sisältyy poikkeuksia ja rajoituksia tärkeiden yleisten etujen turvaamiseksi sekä tiettyjen julkisen sektorin käytössä olevien tietojen huomioonottamiseksi. Näiden periaatteiden soveltaminen taataan oikeudella vedota tuomioistuimeen sekä riippumattomalla valvonnalla, josta vastaavat viranomaiset, joilla on tutkinta- ja toimintavaltuudet ja joihin kuluu mm. liittovaltion tietosuojaviranomainen (Federal Privacy Commissioner). Lisäksi rekisteröidylle vahinkoa aiheuttavaan laittomaan henkilötietojen käsittelyyn sovelletaan Kanadan lainsäädäntöön sisältyviä siviilioikeudellista vastuuta koskevia säännöksiä.

(10) Avoimuuden takaamiseksi sekä sen varmistamiseksi, että jäsenvaltioiden toimivaltaiset viranomaiset pystyvät takaamaan rekisteröidyille tietosuojan näiden henkilötietojen käsittelyn osalta, tässä päätöksessä on tarpeen nimetä ne poikkeusolosuhteet, joissa tiettyjen tiedonsiirtojen keskeyttäminen voi olla perusteltua siitä huolimatta, että tietosuojan taso on todettu riittäväksi.

(11) Direktiivin 95/46/EY 29 artiklalla perustettu tietosuojatyöryhmä on antanut Kanadassa annetun lain tarjoaman tietosuojan tasosta lausunnot, jotka on otettu huomioon tämän päätöksen valmistelussa(4).

(12) Tässä päätöksessä säädetyt toimenpiteet ovat direktiivin 95/46/EY 31 artiklalla säädetyn komitean lausunnon mukaiset,

ON TEHNYT TÄMÄN PÄÄTÖKSEN:

1 artikla

Direktiivin 95/46/EY 25 artiklan 2 kohdan soveltamiseksi katsotaan, että Kanada tarjoaa riittävän suojan yhteisöstä sellaisille vastaanottajille siirretyille henkilötiedoille, jotka kuuluvat yksityisyyden suojaa ja sähköisiä asiakirjoja koskevan lain (Personal Information Protection and Electronic Documents Act, jäljempänä "Kanadassa annettu laki") soveltamisalaan.

2 artikla

Tämä päätös koskee ainoastaan Kanadassa annetun lain tarjoaman tietosuojan riittävyyttä suhteessa direktiivin 95/46/EY 25 artiklan 1 kohdan vaatimusten täyttymiseen, eikä sillä ole vaikutusta direktiivin muiden, henkilötietojen käsittelyä jäsenvaltioissa koskevien säännösten täytäntöönpanemiseksi vahvistettujen ehtojen tai rajoitusten soveltamiseen.

3 artikla

1. Rajoittamatta jäsenvaltioiden toimivaltaisten viranomaisten valtuuksia toteuttaa toimenpiteitä sen varmistamiseksi, että muiden säännösten kuin direktiivin 95/46/EY 25 artiklan noudattamiseksi annettuja kansallisia säännöksiä noudatetaan, jäsenvaltioiden toimivaltaiset viranomaiset voivat käyttää nykyisiä toimivaltuuksiaan keskeyttääkseen sellaiselle Kanadassa sijaitsevalle vastaanottajalle suunnatun tietojen siirron, jonka toiminta kuuluu Kanadassa annetun lain soveltamisalaan, suojellakseen yksityishenkilöitä näiden henkilötietojen käsittelyn osalta tapauksissa, joissa

a) toimivaltainen Kanadan viranomainen on todennut, että vastaanottaja ei noudata sovellettavia tietosuojavaatimuksia; tai

b) on erittäin todennäköistä, että tietosuojavaatimuksia ei noudateta; on perusteltua olettaa, että toimivaltainen Kanadan viranomainen ei parhaillaan tai jatkossa viipymättä toteuta vaadittavia toimenpiteitä asian ratkaisemiseksi; tiedonsiirron jatkaminen aiheuttaisi vakavan vaaran rekisteröidylle, ja jäsenvaltion toimivaltaiset viranomaiset ovat olosuhteisiin nähden kohtuullisessa määrin pyrkineet antamaan Kanadaan sijoittuneelle tietojenkäsittelystä vastaavalle osapuolelle ilmoituksen ja tilaisuuden vastata siihen.

Keskeytys lakkaa heti, kun tietosuojavaatimusten noudattaminen on varmistettu ja tästä on ilmoitettu asianomaiselle toimivaltaiselle viranomaiselle yhteisössä.

2. Jäsenvaltiot ilmoittavat viipymättä komissiolle 1 kohdan nojalla toteutetuista toimenpiteistä.

3. Jäsenvaltiot ja komissio tiedottavat toisilleen myös tapauksista, joissa tietosuojavaatimusten noudattamisesta Kanadassa vastuussa olevat elimet eivät pysty varmistamaan periaatteiden noudattamista.

4. Jos tämän artiklan 1, 2 ja 3 kohdan mukaisesti saadut tiedot osoittavat, että jokin tietosuojavaatimusten noudattamisesta Kanadassa vastuussa oleva elin ei tosiasiallisesti hoida tehtäväänsä, komissio tiedottaa asiasta toimivaltaiselle viranomaiselle Kanadassa ja tarvittaessa esittää direktiivin 95/46/EY 31 artiklan 2 kohdassa tarkoitetun menettelyn mukaisesti ehdotuksia toimenpiteistä, joiden tarkoituksena on peruuttaa tämä päätös tai lykätä sen soveltamista tai rajoittaa sen soveltamisalaa.

4 artikla

1. Tätä päätöstä voidaan milloin tahansa muuttaa sen soveltamisesta saatujen kokemusten perusteella tai Kanadan lainsäädännössä tapahtuneiden muutosten vuoksi mukaan luettuna kaikki ne toimenpiteet, joilla todetaan, että jossakin Kanadan provinssissa on voimassa olennaisilta osiltaan vastaavaa lainsäädäntöä. Komissio arvioi parhaiden käytettävissä olevien tietojen perusteella tämän päätöksen soveltamista, kun päätöksen tiedoksiantamisesta jäsenvaltioille on kulunut kolme vuotta, ja toimittaa direktiivin 95/46/EY 31 artiklan nojalla perustetulle komitealle kaikki asiaankuuluvat huomiot, mukaan luettuna kaikki seikat, jotka voivat vaikuttaa tämän päätöksen 1 artiklan mukaiseen arvioon, jonka mukaan tietosuojan taso Kanadassa on direktiivin 95/46/EY 25 artiklan mukaisessa merkityksessä riittävä, sekä kaikki todisteet päätöksen syrjivästä soveltamisesta.

2. Komissio tekee tarvittaessa ehdotuksen toteutettavista toimenpiteistä direktiivin 95/46/EY 31 artiklan 2 kohdassa tarkoitetun menettelyn mukaisesti.

5 artikla

Jäsenvaltioiden on toteutettava kaikki tämän päätöksen noudattamisen edellyttämät toimenpiteet viimeistään yhdeksänkymmenen päivän kuluttua siitä, kun päätös on annettu tiedoksi jäsenvaltioille.

6 artikla

Tämä päätös on osoitettu kaikille jäsenvaltioille.

Tehty Brysselissä 20 päivänä joulukuuta 2001.

Komission puolesta

Frederik Bolkestein

Komission jäsen

(1) EYVL L 281, 23.11.1995, s. 31.

(2) WP 12: Henkilötietojen siirto kolmansiin maihin: EU:n tietosuojadirektiivin 25 ja 26 artiklan soveltaminen. Työryhmän 24 päivänä heinäkuuta 1998 hyväksymä, saatavana osoitteessa: http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wpdocs_98.htm

(3) Lain sähköiset versiot (tulostettavassa muodossa ja verkkoversiona) ovat saatavana osoitteessa: http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-E.html ja http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-F.html Painotuote on saatavana osoitteesta Public Works and Government Services Canada - Publishing, Ottawa, Canada K1A 0S9.

(4) Lausunto 2/2001 - Kanadassa voimassa olevan henkilötietoja ja sähköisiä asiakirjoja koskevan lainsäädännön tarjoaman suojan riittävyydestä, annettu 26 päivänä tammikuuta 2001; saatavana osoitteessa: http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm