|
13/Sv. 057 |
HR |
Službeni list Europske unije |
171 |
32002D0002
|
L 002/13 |
SLUŽBENI LIST EUROPSKE UNIJE |
20.12.2001. |
ODLUKA KOMISIJE
od 20. prosinca 2001.
u skladu s Direktivom 95/46/EZ Europskog parlamenta i Vijeća o odgovarajućoj zaštiti osobnih podataka propisanoj u Zakonu o zaštiti osobnih podataka i elektroničkih dokumenata Kanade
(priopćena pod brojem dokumenta C(2001) 4539)
(2002/2/EZ)
KOMISIJA EUROPSKIH ZAJEDNICA,
uzimajući u obzir Ugovor o osnivanju Europske zajednice,
uzimajući u obzir Direktivu 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (1), a posebno njezin članak 25. stavak 6.,
budući da:
|
(1) |
Sukladno Direktivi 95/46/EZ od država članica se zahtijeva da se prijenos osobnih podataka trećoj zemlji dopušta samo ako ta treća zemlja ima odgovarajući stupanj zaštite i ako se prije prijenosa uskladi sa zakonima država članica kojima se provode druge odredbe Direktive. |
|
(2) |
Komisija može utvrditi da treća zemlja ima zadovoljavajući stupanj zaštite. U tom se slučaju osobni podaci smiju prenositi iz država članica bez dodatnih jamstava. |
|
(3) |
Sukladno Direktivi 95/46/EZ stupanj se zaštite podataka procjenjuje uzimajući u obzir sve okolnosti koje se odnose na postupak prijenosa podataka ili višestrukih postupaka prijenosa podataka uz poštovanje propisanih uvjeta. Radna grupa za zaštitu pojedinaca s obzirom na obradu osobnih podataka utvrđena prema članku 29. Direktive 95/46/EZ izdala je upute za procjene te vrste (2). |
|
(4) |
Uzimajući u obzir različite pristupe zaštiti podataka u trećim zemljama se vrši odgovarajuća procjena te se svaka odluka koja se temelji na članku 25. stavku 6. Direktive 95/46/EZ donosi i provodi na način koji ni proizvoljno ni neopravdano ne diskriminira treću zemlju ili, gdje prevladavaju slični uvjeti, treće zemlje međusobno, te ne čini prikrivenu prepreku trgovanju, u pogledu postojećih međunarodnih obveza Zajednice. |
|
(5) |
Zakon o zaštiti osobnih podataka i elektroničkih dokumenata Kanade („Kanadski zakon”) od 13. travnja 2000. (3) se odnosi na organizacije u privatnom sektoru koje prikupljaju, upotrebljavaju ili otkrivaju osobne podatke tijekom komercijalnih djelatnosti. On stupa na snagu u tri faze: Od 1. siječnja 2001. Kanadski se zakon primjenjuje na osobne podatke osim osobnih podataka o zdravlju koje organizacija, koja je državna služba, poduzeće ili posao, prikuplja, upotrebljava i otkriva u smislu komercijalnih djelatnosti. Te su organizacije dio sektora u koji spadaju zrakoplovne kompanije, bankarstvo, radiodifuzija, međuprovincijski prijevoz i telekomunikacije. Kanadski se zakon također odnosi na sve organizacije koje otkrivaju osobne podatke za razmatranje izvan provincije ili izvan Kanade i podatke o zaposlenicima koji se odnose na zaposlenika u državnoj službi, poduzeću ili poslu. Od 1. siječnja 2002. Kanadski se zakon kod organizacija i djelatnosti koje su spomenute u prvoj fazi primjenjuje i na osobne podatke o zdravlju. Od 1. siječnja 2004. Kanadski se zakon primjenjuje kod svih organizacija koje prikupljaju, upotrebljavaju ili otkrivaju osobne podatke u smislu komercijalne djelatnosti, bila ta organizacija državna ili ne. Kanadski se zakon ne primjenjuje na organizacije na koje se primjenjuje Državni zakon o zaštiti podataka ili koje se nalaze u javnom sektoru na razini provincije ili na neprofitne organizacije i dobrotvorne djelatnosti ako one nisu komercijalne prirode. Isto tako, on se ne odnosi na podatke kod zapošljavanja koji se ne koriste u komercijalne svrhe osim kad se oni odnose na zaposlenike u privatnom sektoru kojim upravlja država. Kanadski državni povjerenik za privatnost u tim slučajevima može osigurati više podataka. |
|
(6) |
U smislu poštovanja prava provincija da donose pravne propise na svom području nadležnosti, Zakon propisuje da u slučaju se donesu u osnovi slični provincijski propisi, izuzeće se dodjeljuje organizacijama i djelatnostima na koje se odnose pravni propisi provincije o privatnosti. Odjeljak 26. stavak 2. Zakona o zaštiti osobnih podataka i elektroničkih dokumenata ovlašćuje Guvernera Vijeća da „u slučaju da je ustanovio da su zakonski propisi provincije usklađeni s ovim dijelom zakonodavstva i da se odnose na organizaciju, vrstu organizacije, djelatnost ili vrstu djelatnosti, on tu organizaciju, djelatnost ili vrstu može izuzeti od primjene tog dijela zakonodavstva vezano uz prikupljanje, uporabu ili otkrivanje osobnih podataka koji se javljaju u toj provinciji.” Guverner Vijeća (Kanadski državni kabinet) dodjeljuje izuzeće za takvo u osnovi slično zakonodavstvo putem Odluke Vijeća. |
|
(7) |
Gdje i kad provincija donese zakonodavstvo koje je u osnovi slično, organizacije, vrste organizacija i djelatnosti na koje se ono odnosi, izuzimaju se od primjene državnog zakonodavstva za transakcije unutar provincije; se državno zakonodavstvo i nadalje primjenjuje na međuprovincijsko i međunarodno prikupljanje, uporabu i otkrivanje osobnih podataka kao i u svim instancama gdje provincije nisu donijele propise koji su, djelomično ili u cijelosti, u osnovi slični. |
|
(8) |
Kanada se samo formalno pridržavala Smjernica iz 1980. o zaštiti privatnosti i međugraničnom protoku osobnih podataka Organizacije za gospodarsku suradnju i razvoj 29. lipnja 1984. Kanada je bila jedna od država koje su podupirale Smjernice Ujedinjenih naroda o računalnim dokumentima koji sadrže osobne podatke koji su doneseni na Općoj skupštini od 14. prosinca 1990. |
|
(9) |
Kanadski se zakon odnosi na sva osnovna načela koja su potrebna da bi se postigao odgovarajući stupanj zaštite fizičkih osoba, čak i ako postoje iznimke i ograničenja u smislu zaštite bitnih javnih interesa i prepoznavanja određenih podataka koji se odnose na javnost. Primjena tih standarda zajamčena je pravnim lijekom i nezavisnim nadzornim tijelom, kao što je Državni povjerenik za privatnost koji ima ovlasti za istragu i intervenciju. Osim toga, odredbe kanadskog zakonodavstva u vezi s građanskom odgovornošću primjenjuju se u slučaju nezakonite obrade koja šteti osobama na koje se ona odnosi. |
|
(10) |
U interesu je transparentnosti i kako bi se zaštitila sposobnost nadležnih tijela država članica da osiguraju zaštitu pojedinaca s obzirom na obradu njihovih osobnih podataka, u toj je Odluci potrebno točno odrediti iznimne okolnosti koje opravdavaju prekidanje određenih protoka podataka, bez obzira na uspostavljanje odgovarajuće zaštite. |
|
(11) |
Radna grupa za zaštitu pojedinaca s obzirom na obradu osobnih podataka osnovana prema članku 29. Direktive 95/46/EZ dala je mišljenje o stupnju zaštite koji je propisan Kanadskim zakonom, a koji je uzet u obzir tijekom pripreme ove Odluke (4). |
|
(12) |
Mjere propisane ovom Odlukom u skladu su s mišljenjem Odbora osnovanog na temelju članka 31. Direktive 95/46/EZ, |
DONIJELA JE OVU DIREKTIVU:
Članak 1.
U smislu članka 25. stavka 2. Direktive 95/46/EZ smatra se da Kanada osigurava odgovarajući stupanj zaštite osobnih podataka koji se iz Zajednice prenose primateljima prema Zakonu o zaštiti osobnih podataka i elektroničkih dokumenata („Kanadski zakon”).
Članak 2.
Ova Odluka se odnosi samo na primjerenost zaštite u Kanadi koju propisuje Kanadski zakon s namjerom ispunjavanja zahtjeva članka 25. stavka 1. Direktive 95/46/EZ, i neće utjecati na ostale uvjete ili ograničenja koje provode ostale odredbe te Direktive, a koje se odnose na obradu osobnih podataka u državama članicama.
Članak 3.
1. Ne dovodeći u pitanje njihove ovlasti da poduzmu mjere za osiguranje sukladnosti s nacionalnim odredbama koje su donesene sukladno ostalim odredbama Direktive 95/46/EZ osim onih u članku 25., nadležne vlasti država članica mogu provoditi svoje postojeće ovlasti u smislu prekidanja protoka podataka primateljima u Kanadi čije djelatnosti spadaju u područje primjene Kanadskog zakona kako bi se zaštitili pojedinci s obzirom na obradu njihovih osobnih podataka u slučajevima kad:
|
(a) |
je nadležno kanadsko tijelo utvrdilo da primatelj krši primjenjive standarde zaštite; ili |
|
(b) |
postoji velika vjerojatnost da se standardi zaštite krše; postoje opravdani razlozi za vjerovanje da nadležna kanadska tijela ne poduzimaju ili neće poduzimati odgovarajuće i pravovremene mjere u svrhu rješavanja spornog predmeta; nastavak prijenosa bi predstavljao neposredan rizik s posljedicom ozbiljne štete osobama na koje se podaci odnose, a države članice su poduzele opravdane napore da, u postojećim okolnostima, stranu odgovornu za obradu podataka do koje je došlo u Kanadi upozore i daju joj mogućnost odgovora. |
Prekid će prestati čim se osiguraju standardi zaštite i o tome se obavijeste nadležna tijela u Zajednici.
2. Kada se donesu mjere na temelju stavka 1., države članice o tome odmah obavješćuju Komisiju.
3. Države članice i Komisija se također odmah međusobno obavješćuju o slučajevima kada poduzete mjere nadležnih tijela koja su odgovorna za sukladnost sa standardima zaštite u Kanadi ne uspiju osigurati tu sukladnost.
4. Ako podaci koji se nalaze u stavcima 1., 2. i 3. dokazuju da bilo koje tijelo nadležno za sukladnost sa standardima zaštite u Kanadi neuspješno obavlja svoju ulogu, Komisija će o tome obavijestiti nadležna kanadska tijela i ako to smatra potrebnim, navesti prijedlog mjera u skladu s postupcima utvrđenima u članku 31. stavku 2. Direktive 95/46/EZ kako bi se stavila izvan snage ili obustavila ova Odluka ili ograničilo njezino područje primjene.
Članak 4.
1. Ovu je Odluku moguće izmijeniti u bilo kojem trenutku s obzirom na iskustvo s njezinom provedbom ili s obzirom na promjene kanadskog zakonodavstva, uključujući i mjere koje priznaju da kanadske provincije imaju u osnovi slično zakonodavstvo. Komisija će ocijeniti provedbu ove Odluke na temelju postojećih podataka 3 godine nakon njezine notifikacije državama članicama i izvijestiti Vijeće o svim povezanim zaključcima kako je utvrđeno člankom 31. Direktive 95/46/EZ, uključujući i sve dokaze koji bi mogli utjecati na mišljenje navedeno u članku 1. ove Odluke da je zaštita u Kanadi sukladna značenju članka 25. Direktive 95/46/EZ i sve dokaze da je ova Odluka provođena na diskriminirajući način.
2. Komisija će, ako to smatra potrebnim, predstaviti nacrt mjera u skladu s postupkom prema članku 31. stavku 2. Direktive 95/46/EZ.
Članak 5.
Države članice poduzimaju sve mjere potrebne za usklađivanje s ovom Odlukom najkasnije u razdoblju od 90 dana od dana njezine notifikacije državama članicama.
Članak 6.
Ova je Odluka upućena državama članicama.
Sastavljeno u Bruxellesu 20. prosinca 2001.
Za Komisiju
Frederik BOLKESTEIN
Član Komisije
(1) SL L 281, 23.11.1995., str. 31.
(2) WP 12: Prijenos osobnih podataka u treće zemlje: primjenjuju se članci 25. i 26. Direktive o zaštiti podataka EU; koje je donijela Radna grupa 24. srpnja 1998., dostupne na
http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/wpdocs_98.htm
(3) Elektronička izdanja (tisak i internetske stranice) Zakona dostupna su na
http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-E.html i
http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-F.html. Tiskane inačice moguće je dobiti kod Radne komisije i Vladine službe Kanade – Nakladništvo, Ottawa, Kanada K1A 0S9.
Mišljenje 2/2001 o prikladnosti Kanadskog zakona o osobnim podacima i elektroničkim dokumentima – WP 39 od 26. siječnja 2001. koji je dostupan na
(4) http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm