Komisijos Sprendimas

2001 m. gruodžio 20 d.

dėl Kanados asmens duomenų apsaugos ir elektroninių dokumentų įstatyme numatytos tinkamos asmens duomenų apsaugos pagal Europos Parlamento ir Tarybos direktyvą 95/46/EB

(pranešta dokumentu Nr. C(2001) 4539)

(2002/2/EB)

EUROPOS BENDRIJŲ KOMISIJA,

atsižvelgdama į Europos bendrijos steigimo sutartį,

atsižvelgdama į 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvą 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo [1], ypač į jos 25 straipsnio 6 dalį,

kadangi:

(1) Pagal Direktyvą 95/46/EB valstybės narės turi numatyti, kad asmens duomenys trečiajai šaliai gali būti perduodami tik, jei ta trečioji šalis užtikrina tinkamą apsaugos lygį ir jei prieš jų perdavimą laikomasi valstybės narės įstatymų, įgyvendinančių kitas tos direktyvos nuostatas.

(2) Komisija gali nustatyti, kad trečioji šalis užtikrina tinkamą apsaugos lygį. Tuo atveju asmens duomenys iš valstybių narių gali būti perduodami nereikalaujant jokių papildomų garantijų.

(3) Pagal Direktyvą 95/46/EB duomenų apsaugos lygis turėtų būti įvertinamas atsižvelgiant į visas aplinkybes, susijusias su duomenų perdavimo operacija ar duomenų perdavimo operacijų grupe nustatytų sąlygų atžvilgiu. Pagal Direktyvos 95/46/EB 29 straipsnį įsteigta darbo grupė asmenų apsaugai tvarkant asmens duomenis yra išleidusi tokių įvertinimų atlikimo rekomendacinius nurodymus [2].

(4) Atsižvelgiant į skirtingus požiūrius į duomenų apsaugą trečiosiose šalyse, tinkamumas turėtų būti įvertinamas, o kiekvienas sprendimas, pagrįstas Direktyvos 95/46/EB 25 straipsnio 6 dalimi, turėtų būti priimamas ir vykdomas savavališkai ar nepagrįstai nediskriminuojant trečiųjų šalių, kuriose vyrauja panašios sąlygos, arba nesukeliant jų tarpusavio diskriminacijos, nei sudarant paslėptos prekybos kliūties, atsižvelgiant į dabartinius Bendrijos tarptautinius įsipareigojimus.

(5) 2000 m. balandžio 13 d. Kanados asmens duomenų apsaugos ir elektroninių dokumentų įstatymas [3] ("Kanados įstatymas") taikomas privataus sektoriaus organizacijoms, kurios renka, naudoja arba atskleidžia asmens duomenis, vykdydamos komercinę veiklą. Minėtasis įstatymas įsigalioja trimis etapais:

Nuo 2001 m. sausio 1 d. Kanados įstatymas taikomas asmens duomenims, išskyrus duomenis apie asmens sveikatą, kuriuos komercinės veiklos metu renka, naudoja ar atskleidžia organizacija, kuri yra federalinė įmonė, įmonė arba bendrovė. Minėtos organizacijos veikia avialinijų, bankų, transliavimo, vežimo tarp provincijų ir telekomunikacijų sektoriuose. Kanados įstatymas taip pat taikomas visoms organizacijoms, atskleidžiančioms asmens duomenis naudojimui už provincijos arba Kanados ribų, bei federalinės įmonės, įmonės ar bendrovės darbuotojų duomenims.

Nuo 2002 m. sausio 1 d. Kanados įstatymas taikomas organizacijų ir veiklos rūšių, kurioms įstatymas jau buvo taikomas pirmajame etape, duomenims apie asmens sveikatą.

Nuo 2004 m. sausio 1 d. Kanados įstatymas bus taikomas kiekvienai organizacijai, kuri, vykdydama komercinę veiklą, renka, naudoja arba atskleidžia asmens duomenis, nesvarbu, ar minėtoji organizacija yra federaliniu lygiu reglamentuojama įmonė. Kanados įstatymas netaikomas organizacijoms, kurioms taikomas Federalinis privatumo įstatymas arba kurių veiklą reglamentuoja valstybinis sektorius provincijos lygiu, bei nepelno organizacijoms ir labdarai, nebent ši veikla būtų komercinio pobūdžio. Be to, Kanados įstatymas taip pat neapima užimtumo duomenų, naudojamų nekomerciniais tikslais, išskyrus duomenis, susijusius su federaliniu lygiu reglamentuojamo privataus sektoriaus darbuotojais. Kanados Federalinio privatumo komisijos narys gali suteikti papildomos informacijos apie tokius atvejus.

(6) Atsižvelgiant į provincijų teisę leisti įstatymus savo jurisdikcijos srityse, Įstatyme numatyta, kad priėmus iš esmės panašius provincijų įstatymus, organizacijoms arba veiklos rūšims, kurioms bus taikomi provincijų privatumo įstatymai, gali būti numatoma išimtis. Asmens duomenų apsaugos ir elektroninių dokumentų įstatymo 26 skyriaus 2 dalyje federaliniam kabinetui suteikiami įgaliojimai "atleisti organizaciją, veiklos rūšį ar grupę nuo šios įstatymo dalies taikymo asmens duomenų rinkimui, naudojimui arba atskleidimui atitinkamoje provincijoje, įsitikinus, jog organizacijai ar organizacijų grupei, veiklos rūšiai ar jų grupei yra taikomi provincijos įstatymai, iš esmės atitinkantys šią įstatymo dalį". Tarybos pirmininkas (Kanados federalinio kabineto) priima Tarybos įsakus, leidžiančius taikyti išimtį iš esmės panašiems įstatymų reikalavimams.

(7) Kaskart, kai provincija priima iš esmės panašius įstatymus, organizacijoms, organizacijoms arba veiklos rūšių grupėms, kurioms taikomi tokie įstatymai, leidžia netaikyti federalinio įstatymo provincijoje vykdomiems sandoriams; federalinis įstatymas toliau taikomas asmens duomenų rinkimui, naudojimui ir atskleidimui tarp provincijų ir tarptautiniu lygiu bei tais atvejais, kai provincijos nėra priėmusios visai arba iš dalies federalinius įstatymus atitinkančių įstatymų.

(8) 1984 m. birželio 29 d. Kanada formaliai laikosi 1980 m. EBPO Gairių dėl privatumo ir tarpvalstybinių asmens duomenų srautų apsaugos. Kanada buvo viena iš šalių, palaikiusių Jungtinių Tautų Gaires dėl kompiuterinių asmens duomenų bylų, kurias Generalinė Asamblėja patvirtino 1990 m. gruodžio 14 d.

(9) Kanados įstatymas nustato visus pagrindinius principus, būtinus tinkamai fizinių asmenų apsaugai užtikrinti, net jei yra numatytos išimtys ir apribojimai, kuriais siekiama apsaugoti svarbius viešuosius interesus bei pripažinti tam tikrą viešajai sferai priklausančią informaciją. Šių standartų taikymas užtikrinamas teisės gynimo priemonėmis ir nepriklausoma priežiūra, kurią vykdo tokios institucijos, kaip Federalinis privatumo komisijos narys, turintis įgaliojimus vykdyti tyrimus ir įsiterpti. Be to, Kanados įstatymo nuostatos dėl civilinės atsakomybės taikomos neteisėto duomenų tvarkymo, pažeidžiančio susijusių asmenų teises, atveju.

(10) Siekiant skaidrumo ir norint išsaugoti valstybių narių kompetentingų institucijų gebėjimą užtikrinti asmenų apsaugą tvarkant asmens duomenis, šioje direktyvoje būtina nurodyti išimtines aplinkybes, kuriomis konkrečių duomenų srautų sustabdymas gali būti pateisinamas, neatsižvelgiant į išvadą dėl tinkamos apsaugos.

(11) Darbo grupė asmenų apsaugai tvarkant asmens duomenis, įsteigta Direktyvos 95/46/EB 29 straipsniu, pareiškė nuomonę dėl Kanados įstatyme numatytos apsaugos, į kurią buvo atsižvelgta rengiant šį sprendimą [4].

(12) Šiame sprendime numatytos priemonės atitinka Direktyvos 95/46/EB 31 straipsniu įsteigto Komiteto nuomonę,

PRIĖMĖ ŠĮ SPRENDIMĄ:

1 straipsnis

Taikant Direktyvos 95/46/EB 25 straipsnio 2 dalį, Kanada laikoma užtikrinančia tinkamą gavėjams Bendrijos perduodamų asmens duomenų apsaugos lygį pagal Asmens duomenų apsaugos ir elektroninių dokumentų įstatymą ("Kanados įstatymas").

2 straipsnis

Šis sprendimas yra susijęs tik su Kanadoje užtikrinamos apsaugos tinkamumu, siekiant įvykdyti Direktyvos 95/46/EB 25 straipsnio 1 dalies reikalavimus, ir neturi poveikio kitoms sąlygoms ar apribojimams, įgyvendinantiems kitas tos direktyvos nuostatas dėl asmens duomenų tvarkymo valstybėse narėse.

3 straipsnis

1. Nepažeisdamos savo įgaliojimų imtis veiksmų, užtikrinančių nacionalinių nuostatų, priimtų pagal kitas nuostatas nei Direktyvos 95/46/EB 25 straipsnis, laikymąsi, valstybių narių kompetentingos institucijos gali vykdyti savo turimus įgaliojimus sustabdyti Kanados gavėjui perduodamų duomenų srautus, kad apsaugotų asmenis tvarkant jų asmens duomenis tais atvejais, kai:

a) kompetentinga Kanados institucija yra nustačiusi, kad gavėjas nesilaiko taikomų apsaugos standartų; arba

b) yra pagrįsta tikimybė, kad apsaugos reikalavimai yra pažeidžiami; yra pagrįstų priežasčių manyti, kad kompetentinga Kanados institucija laiku nesiima arba nesiims atitinkamų priemonių iškilusiam klausimui išspręsti; tęsiant perdavimą atsirastų tiesioginis pavojus padaryti didelę žalą duomenų subjektams ir valstybių narių kompetentingos institucijos ėmėsi tomis aplinkybėmis protingų pastangų įspėti Kanadoje įsisteigusią šalį, atsakingą už duomenų tvarkymą, ir suteikti jai galimybę reaguoti.

Sustabdymas nustoja galioti, kai tik užtikrinamas apsaugos reikalavimų laikymasis, ir apie tai pranešama atitinkamai kompetentingai institucijai Bendrijoje.

2. Valstybės narės, patvirtinusios priemones pagal 1 dalį, apie tai nedelsdamos praneša Komisijai.

3. Valstybės narės ir Komisija taip pat informuoja viena kitą kiekvienu atveju, kai įstaigų, privalančių užtikrinti apsaugos standartų laikymąsi Kanadoje, veiksmai tokio laikymosi neužtikrina.

4. Jei pagal 1, 2 ir 3 dalis surinkta informacija patvirtina, kad įstaiga, privalanti užtikrinti apsaugos standartų laikymąsi Kanadoje, veiksmingai neatlieka savo vaidmens, Komisija informuoja kompetentingą Kanados instituciją ir prireikus Direktyvos 95/46/EB 31 straipsnio 2 dalyje nustatyta tvarka pateikia priemonių projektą dėl šio sprendimo panaikinimo, sustabdymo arba jo taikymo srities apribojimo.

4 straipsnis

1. Šis sprendimas bet kuriuo metu gali būti iš dalies keičiamas atsižvelgiant į patirtį, įgytą jį vykdant, arba į Kanados teisės aktų pakeitimus, įskaitant priemones pripažįstančias, kad Kanados provincijos įstatymai, iš esmės atitinka federalinius įstatymus. Komisija, remdamasi turima informacija, įvertina šio sprendimo vykdymą praėjus trejiems metams po jo pranešimo valstybėms narėms, perduodama Direktyvos 95/46/EB 31 straipsniu įsteigtam Komitetui visas svarbias išvadas, įskaitant įrodymus, galinčius turėti įtakos šio sprendimo 1 straipsnyje pateiktai išvadai dėl apsaugos Kanadoje tinkamumo, kaip apibrėžta Direktyvos 95/46/EB 25 straipsnyje, ir bet kuriuos įrodymus, kad šis sprendimas yra įgyvendinamas diskriminuojant.

2. Prireikus Direktyvos 95/46/EB 31 straipsnio 2 dalyje nustatyta tvarka Komisija pateikia priemonių projektą.

5 straipsnis

Valstybės narės imasi visų būtinų priemonių, kurios, įsigaliojusios ne vėliau kaip praėjus 90 dienų laikotarpiui po pranešimo apie jį valstybėms narėms, įgyvendina šį sprendimą.

6 straipsnis

Šis sprendimas skirtas valstybėms narėms.

Priimta Briuselyje, 2001 m. gruodžio 20 d.

Komisijos vardu

Frederik Bolkestein

Komisijos narys

[1] OL L 281, 1995 11 23, p. 31.

[2] WP 12: 1998 m. liepos 24 d. darbo grupės patvirtinta nuomonė "Asmens duomenų perdavimas trečiosioms šalims: ES duomenų apsaugos direktyvos 25 ir 26 straipsnių taikymas", su kuria galima susipažinti: http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/wpdocs_98.htm.

[3] Elektroninės įstatymo versijos (popieriuje ir tinklalapyje) pateikiamos adresu http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-E.html http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-F.html. Spausdintas įstatymo redakcijas galima įsigyti Public Works and Government Services Canada — Publishing, Ottawa, Canada K1A 0S9.

[4] 2001 m. sausio 26 d. darbo grupės 2001/2 nuomonė dėl Kanados asmens duomenų ir elektroninių dokumentų įstatymo tinkamumo, su kuria galima susipažinti http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.

--------------------------------------------------