32002D0002

Beschikking van de Commissie

van 20 december 2001

overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, betreffende de gepastheid van de bescherming van persoonsgegevens geboden door de Canadese Personal Information Protection and Electronic Documents Act

(kennisgeving geschied onder nummer C(2001) 4539)

(2002/2/EG)

DE COMMISSIE VAN DE EUROPESE GEMEENSCHAPPEN,

Gelet op het Verdrag tot oprichting van de Europese Gemeenschap,

Gelet op Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(1), en met name op artikel 25, lid 6,

Overwegende hetgeen volgt:

(1) Overeenkomstig Richtlijn 95/46/EG moeten de lidstaten bepalen dat persoonsgegevens slechts naar een derde land mogen worden doorgegeven, indien dat land een passend beschermingsniveau waarborgt en de wetgeving van de lidstaten die is vastgesteld ter uitvoering van de andere bepalingen van deze richtlijn al vóór de doorgifte wordt nageleefd.

(2) De Commissie kan vaststellen dat een derde land waarborgen voor een passend beschermingsniveau biedt. In dat geval kunnen persoonsgegevens zonder aanvullende garanties door de lidstaten worden doorgegeven.

(3) Overeenkomstig Richtlijn 95/46/EG dient het gegevensbeschermingsniveau te worden beoordeeld met inachtneming van alle omstandigheden waarin een gegevensdoorgifte of een categorie gegevensdoorgiften plaatsvindt en wordt in het bijzonder rekening gehouden met een aantal voorwaarden. De bij artikel 29 van Richtlijn 95/46/EG ingestelde Groep betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens heeft richtsnoeren voor een dergelijke beoordeling vastgesteld(2).

(4) Gezien de verschillende benaderingen van gegevensbescherming in derde landen moet er bij de beoordeling van de gepastheid en het nemen en uitvoeren van besluiten op grond van artikel 25, lid 6, van Richtlijn 95/46/EG op worden gelet dat hierdoor geen willekeurige of onverantwoorde discriminatie tegen of tussen derde landen waar gelijksoortige voorwaarden gelden, noch een verkapte handelsbelemmering ontstaat, rekening houdend met de huidige internationale verbintenissen van de Gemeenschap.

(5) De Canadese Personal Information Protection and Electronic Documents Act ("de Canadese wet") van 13 april 2000(3) is van toepassing op organisaties in de particuliere sector die in het kader van commerciële activiteiten persoonsgegevens verzamelen, gebruiken of verstrekken, en wordt in drie fasen ingevoerd:

Vanaf 1 januari 2001 is de Canadese wet van toepassing op persoonsgegevens, andere dan medische persoonsgegevens, die in het kader van een commerciële activiteit worden verzameld, gebruikt of verstrekt door organisaties die een op federaal niveau opererende onderneming zijn. Hiertoe behoren luchtvaartmaatschappijen, banken, omroepen, in meer dan één provincie opererende vervoersondernemingen en telecommunicatiebedrijven. De Canadese wet geldt ook voor alle organisaties die tegen betaling persoonsgegevens verstrekken aan ontvangers in een andere provincie of in een ander land en voor werknemersgegevens betreffende personeel van een op federaal niveau opererende onderneming.

Met ingang van 1 januari 2002 is de Canadese wet ook van toepassing op medische persoonsgegevens ten aanzien van de organisaties en activiteiten die onder de eerste fase vallen.

Met ingang van 1 januari 2004 zal de werkingssfeer van de Canadese wet worden uitgebreid tot iedere organisatie die persoonsgegevens verzamelt, gebruikt of verstrekt bij de uitoefening van een commerciële activiteit, ongeacht of de organisatie onder de federale regelgeving valt. De Canadese wet is niet van toepassing op organisaties die onder de Federal Privacy Act of onder de regelgeving van de provinciale overheid vallen, noch op non-profitorganisaties en liefdadigheidsinstellingen, tenzij deze commercieel actief zijn. Voorts is de wet niet van toepassing op werknemersgegevens die voor niet-commerciële doeleinden worden gebruikt, met uitzondering van werknemersgegevens betreffende personeel van particuliere bedrijven die onder de federale regelgeving vallen. De Canadese Federal Privacy Commissioner kan in dergelijke gevallen nadere informatie verstrekken.

(6) Teneinde het recht van de provincies te eerbiedigen om op de onder hun competentie vallende gebieden hun eigen wetgeving vast te stellen, is in de wet de bepaling opgenomen dat, wanneer een provincie wetgeving invoert die wezenlijk overeenkomt met de federale wetgeving, organisaties of activiteiten van de federale wet kunnen worden uitgezonderd en in plaats daarvan onder de provinciale privacywetgeving vallen. Indien de federale regering tot de conclusie is gekomen dat op een organisatie, een categorie organisaties, een activiteit of een categorie activiteiten provinciale wetgeving van toepassing is die wezenlijk overeenkomt met het betrokken deel van de federale wet, kan zij op grond van artikel 26, lid 2, van de Personal Information Protection and Electronic Documents Act die organisatie, activiteit of categorie van dat deel van de wet uitzonderen wat de verzameling, het gebruik of de verstrekking van persoonsgegevens binnen die provincie betreft. De Governor in Council (Canadese federale regering) kent door middel van een Order-in-Council uitzonderingen toe voor wezenlijk met de federale wet overeenkomende wetgeving.

(7) Wanneer een provincie wetgeving invoert die wezenlijk overeenkomt met die van de federale overheid, is de federale wet bij transacties binnen de provincie niet meer van toepassing op de desbetreffende organisaties, categorieën organisaties of activiteiten. De federale wet blijft van toepassing op het verzamelen, gebruik en de verstrekking van persoonsgegevens op interprovinciaal of internationaal niveau en wanneer de provincies geen of slechts gedeeltelijk wetgeving hebben ingevoerd die wezenlijk overeenkomt met de federale wetgeving.

(8) Op 29 juni 1984 sloot Canada zich formeel aan bij de uit 1980 daterende OESO-richtsnoeren inzake de bescherming van de privacy en het grensoverschrijdende verkeer van persoonsgegevens. Canada was een van de landen die hun steun gaven aan de richtsnoeren van de Verenigde Naties inzake computerbestanden van persoonsgegevens, die op 14 december 1990 door de Algemene Vergadering werden aangenomen.

(9) De Canadese wet bestrijkt alle basisbeginselen die essentieel zijn voor een gepaste bescherming van natuurlijke personen, ook al zijn een aantal uitzonderingen en beperkingen opgenomen om zwaarwegende algemene belangen te beschermen en om erkenning te geven aan bepaalde informatie, die deel uitmaakt van het publieke domein. Teneinde de toepassing van deze normen te garanderen staan rechtsmiddelen ter beschikking en wordt een onafhankelijk toezicht uitgeoefend door de autoriteiten, zoals de Federal Privacy Commissioner, die bevoegd is een onderzoek in te stellen en in te grijpen. Voorts zijn de bepalingen van de Canadese wetgeving inzake wettelijke aansprakelijkheid van toepassing bij een onrechtmatige verwerking die de betrokkenen schade toebrengt.

(10) Ter wille van de doorzichtigheid en teneinde te garanderen dat de bevoegde autoriteiten in de lidstaten de personen wier persoonsgegevens worden verwerkt, kunnen beschermen, moet in deze beschikking worden aangegeven in welke buitengewone omstandigheden het gerechtvaardigd is specifieke gegevensstromen op te schorten, ook al is een passend beschermingsniveau vastgesteld.

(11) De bij artikel 29 van Richtlijn 95/46/EG opgerichte Groep betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens heeft over het door de Canadese wet geboden beschermingsniveau een advies uitgebracht, waarmee bij de voorbereiding van deze beschikking rekening is gehouden(4).

(12) De in deze beschikking vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 31 van Richtlijn 95/46/EG ingestelde Comité,

HEEFT DE VOLGENDE BESCHIKKING GEGEVEN:

Artikel 1

Voor de toepassing van artikel 25, lid 2, van Richtlijn 95/46/EG wordt Canada geacht een passend beschermingsniveau te waarborgen voor de doorgifte van persoonsgegevens van de Gemeenschap naar ontvangers die onder de Personal Information Protection and Electronic Documents Act ("de Canadese wet") vallen.

Artikel 2

Deze beschikking heeft alleen betrekking op de gepastheid van de bescherming die in Canada door de Canadese wet wordt geboden, teneinde aan de vereisten van artikel 25, lid 1, van Richtlijn 95/46/EG te voldoen en laat andere voorwaarden of beperkingen tot uitvoering van andere bepalingen van die richtlijn die op de verwerking van persoonsgegevens in de lidstaten betrekking hebben, onverlet.

Artikel 3

1. Onverminderd hun bevoegdheden om maatregelen te nemen in verband met de naleving van nationale bepalingen die op grond van andere bepalingen dan artikel 25 van Richtlijn 95/46/EG zijn vastgesteld, kunnen de bevoegde autoriteiten in de lidstaten van hun bestaande bevoegdheden gebruik maken om gegevensstromen naar een ontvanger in Canada wiens activiteiten onder de Canadese wet vallen, op te schorten, teneinde personen ten aanzien van de verwerking van hun persoonsgegevens te beschermen wanneer:

a) een bevoegde Canadese autoriteit tot de conclusie is gekomen dat de ontvanger in strijd met de toepasselijke normen voor de gegevensbescherming handelt, of

b) het zeer waarschijnlijk is dat niet aan de normen voor gegevensbescherming wordt voldaan; er goede redenen zijn om aan te nemen dat de bevoegde Canadese autoriteit niet tijdig passende maatregelen neemt of zal nemen om het betrokken probleem op te lossen; zich een risico voordoet dat de betrokkenen ernstige schade wordt toegebracht wanneer verder gegevens worden doorgegeven; de bevoegde autoriteiten in de lidstaat zich naar omstandigheden redelijke inspanningen hebben getroost om de in Canada gevestigde partij die voor de verwerking verantwoordelijk is, van het probleem in kennis te stellen en de gelegenheid te geven te reageren.

De opschorting wordt beëindigd zodra de normen voor gegevensbescherming worden nageleefd en de bevoegde autoriteit in de Gemeenschap hiervan in kennis is gesteld.

2. De lidstaten stellen de Commissie onverwijld in kennis wanneer op grond van lid 1 maatregelen worden genomen.

3. De lidstaten stellen de Commissie tevens in kennis van gevallen waarin instanties die voor de naleving van de Canadese beschermingsnormen verantwoordelijk zijn, verzuimen een dergelijke naleving te garanderen.

4. Wanneer uit de overeenkomstig de leden 1, 2 en 3 verzamelde informatie mocht blijken dat een instantie die voor de naleving van de Canadese beschermingsnormen verantwoordelijk is, haar taak niet naar behoren vervult, stelt de Commissie de bevoegde Canadese autoriteit hiervan in kennis en stelt zij zo nodig, in overeenstemming met de in artikel 31, lid 2, van Richtlijn 95/46/EG bedoelde procedure, ontwerp-maatregelen voor om deze beschikking in te trekken of op te schorten dan wel de werkingssfeer ervan te beperken.

Artikel 4

1. Deze beschikking kan te allen tijde worden gewijzigd in het licht van de bij de werking ervan opgedane ervaringen of van wijzigingen in de Canadese wetgeving, met inbegrip van maatregelen tot erkenning van wezenlijke overeenstemming tussen de wetgeving van een Canadese provincie en de federale wetgeving. De Commissie evalueert op basis van de beschikbare informatie de werking van deze beschikking drie jaar nadat de lidstaten ervan in kennis zijn gesteld, en deelt alle relevante vaststellingen aan het bij artikel 31 van Richtlijn 95/46/EG ingestelde Comité mee, inclusief alle gegevens die van invloed kunnen zijn op de overeenkomstig artikel 1 van deze beschikking gedane vaststelling dat het beschermingsniveau passend is in de zin van artikel 25 van Richtlijn 95/46/EG, alsmede alle gegevens waaruit blijkt dat deze beschikking op discriminerende wijze wordt uitgevoerd.

2. De Commissie legt zo nodig overeenkomstig de in artikel 31, lid 2, van Richtlijn 95/46/EG bedoelde procedure een ontwerp van de te nemen maatregelen voor.

Artikel 5

De lidstaten nemen alle nodige maatregelen om uiterlijk negentig dagen na de kennisgeving ervan aan de lidstaten aan deze beschikking te voldoen.

Artikel 6

Deze beschikking is gericht tot de lidstaten.

Gedaan te Brussel, 20 december 2001.

Voor de Commissie

Frederik Bolkestein

Lid van de Commissie

(1) PB L 281 van 23.11.1995, blz. 31.

(2) WP 12: Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming, goedgekeurd door de Groep op 24 juli 1998. Beschikbaar op het volgende adres: http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wpdocs_98.htm.

(3) Voor een elektronische versie (met mogelijkheid tot afdrukken): http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-E.html en http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-F.html. Gedrukte exemplaren zijn verkrijgbaar bij: Public Works and Government Services Canada - Publishing, Ottawa, Canada K1A 0S9.

(4) Advies 2/2001 over de gepastheid van de Canadese Personal Information and Electronic Documents Act - WP 39 van 26 januari 2001. Beschikbaar op het volgende adres: http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm