|
17.12.2016 |
PL |
Dziennik Urzędowy Unii Europejskiej |
L 344/83 |
DECYZJA WYKONAWCZA KOMISJI (UE) 2016/2295
z dnia 16 grudnia 2016 r.
zmieniająca decyzje 2000/518/WE, 2002/2/WE, 2003/490/WE, 2003/821/WE, 2004/411/WE, 2008/393/WE, 2010/146/UE, 2010/625/UE, 2011/61/UE oraz decyzje wykonawcze 2012/484/UE i 2013/65/UE w sprawie odpowiedniej ochrony danych osobowych przez niektóre państwa, na podstawie art. 25 ust. 6 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady
(notyfikowana jako dokument nr C(2016) 8353)
(Tekst mający znaczenie dla EOG)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (1), w szczególności jej art. 25 ust. 6,
po zasięgnięciu opinii Europejskiego Inspektora Ochrony Danych,
a także mając na uwadze, co następuje:
|
(1) |
W wyroku z dnia 6 października 2015 r. w sprawie C-362/14 Maximillian Schrems przeciwko Data Protection Commissioner (2), Trybunał Sprawiedliwości Unii Europejskiej stwierdził, że przyjmując art. 3 decyzji 2000/520/WE (3), Komisja przekroczyła granice kompetencji przyznanych jej w art. 25 ust. 6 dyrektywy 95/46/WE w związku z Kartą Praw Podstawowych Unii Europejskiej, oraz uznał art. 3 tej decyzji za nieważny. |
|
(2) |
W art. 3 ust. 1 akapit pierwszy decyzji 2000/520/WE określono restrykcyjne warunki, na jakich krajowe organy nadzorcze mogą podjąć decyzję o zawieszeniu przepływu danych do organizacji w USA, która złożyła zaświadczenie o przestrzeganiu zasad, niezależnie od ustaleń Komisji dotyczących odpowiedniej ochrony danych osobowych. |
|
(3) |
W wyroku w sprawie Schrems Trybunał Sprawiedliwości wyjaśnił, że krajowe organy nadzorcze są nadal właściwe do sprawowania kontroli nad przekazywaniem danych osobowych do państwa trzeciego, które było przedmiotem decyzji Komisji w sprawie odpowiedniej ochrony danych osobowych, i że kompetencje Komisji nie umożliwiają jej ograniczenia kompetencji krajowych organów nadzorczych przyznanych im na mocy art. 28 dyrektywy 95/46/WE. Zgodnie z tym artykułem organy te posiadają w szczególności: uprawnienia dochodzeniowe, takie jak prawo gromadzenia wszelkich informacji potrzebnych do wykonywania ich funkcji nadzorczych, skuteczne uprawnienia interwencyjne, takie jak prawo nakładania czasowego lub ostatecznego zakazu przetwarzania danych, a także prawo pozywania (4). |
|
(4) |
W wyroku w sprawie Schrems Trybunał Sprawiedliwości przypomniał, że zgodnie z art. 25 ust. 6 akapit drugi dyrektywy 95/46/WE państwa członkowskie i ich organy muszą podejmować środki niezbędne w celu zapewnienia zgodności z aktami instytucji unijnych, ponieważ co do zasady przyjmuje się, że akty te są zgodne z prawem, a zatem wywołują skutki prawne do czasu ich uchylenia, stwierdzenia ich nieważności w postępowaniu o stwierdzenie nieważności lub orzeczenia ich nieważności w następstwie wniosku o wydanie orzeczenia w trybie prejudycjalnym lub zarzutu niezgodności z prawem. |
|
(5) |
W rezultacie decyzja w sprawie odpowiedniej ochrony danych osobowych przyjęta przez Komisję na podstawie art. 25 ust. 6 dyrektywy 95/46/WE jest wiążąca dla wszystkich organów państw członkowskich, do których jest skierowana, w tym ich niezależnych organów nadzorczych, w zakresie, w jakim skutkuje ona upoważnieniem do przekazywania danych osobowych z określonych państw członkowskich do państwa trzeciego objętego tą decyzją (5). Z tego wynika, że krajowe organy nadzorcze nie mogą przyjmować środków sprzecznych z decyzją Komisji w sprawie odpowiedniej ochrony danych osobowych, takich jak akty uznające tę decyzję za nieważną lub akty zmierzające do stwierdzenia w sposób wiążący, że państwo trzecie, którego dotyczy decyzja, nie zapewnia odpowiedniego stopnia ochrony. Jak wyjaśniono w wyroku w sprawie Schrems, nic nie stoi na przeszkodzie, aby krajowy organ nadzorczy rozpatrzył skargę danej osoby, dotyczącą stopnia ochrony danych osobowych zapewnianej przez państwo trzecie będące przedmiotem decyzji Komisji w sprawie odpowiedniej ochrony danych osobowych, a w przypadku gdy uzna tę skargę za zasadną, zwrócił się do sądów krajowych, aby – jeśli podzielają wątpliwości tego organu co do ważności decyzji Komisji – wystąpiły z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym w celu zbadania ważności tej decyzji (6). |
|
(6) |
Decyzje Komisji 2000/518/WE (7), 2002/2/WE (8), 2003/490/WE (9), 2003/821/WE (10), 2004/411/WE (11), 2008/393/WE (12), 2010/146/UE (13), 2010/625/UE (14), 2011/61/UE (15) oraz decyzje wykonawcze Komisji 2012/484/UE (16) i 2013/65/UE (17), będące decyzjami w sprawie odpowiedniej ochrony danych osobowych, zawierają ograniczenie uprawnień krajowych organów nadzorczych porównywalne z przepisem art. 3 ust. 1 akapit pierwszy decyzji 2000/520/WE, który Trybunał Sprawiedliwości uznał za nieważny. |
|
(7) |
W świetle wyroku w sprawie Schrems i zgodnie z art. 266 Traktatu należy zatem zastąpić w wymienionych decyzjach przepisy ograniczające uprawnienia krajowych organów nadzorczych. |
|
(8) |
W wyroku w sprawie Schrems Trybunał Sprawiedliwości wyjaśnił ponadto, że w związku z tym, że poziom ochrony zapewniony w państwie trzecim może zmieniać się w czasie, do Komisji należy, po przyjęciu decyzji na podstawie art. 25 ust. 6 dyrektywy 95/46/WE, okresowe badanie, czy przy uwzględnieniu stanu faktycznego i prawnego ustalenia poczynione co do odpowiedniego stopnia ochrony zapewnionego przez dane państwo trzecie są nadal zasadne (18). W świetle ustaleń wyroku dotyczących dostępu organów publicznych do danych osobowych należy również monitorować przepisy i praktykę regulujące taki dostęp. |
|
(9) |
Z tego względu w przypadku państw, w odniesieniu do których Komisja przyjęła decyzję w sprawie odpowiedniej ochrony danych osobowych, będzie ona na bieżąco monitorować zmiany zarówno przepisów, jak i praktyki, które mogłyby wpłynąć na funkcjonowanie takich decyzji, w tym zmiany dotyczące dostępu organów publicznych do danych osobowych. |
|
(10) |
Aby ułatwić skuteczne monitorowanie funkcjonowania obowiązujących decyzji w sprawie odpowiedniej ochrony danych osobowych, państwa członkowskie powinny informować Komisję o istotnych działaniach podejmowanych przez krajowe organy nadzorcze. |
|
(11) |
Grupa Robocza ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, utworzona na mocy art. 29 dyrektywy 95/46/WE, przedstawiła swoją opinię, która została uwzględniona przy przygotowaniu niniejszej decyzji. |
|
(12) |
Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu ustanowionego na mocy art. 31 ust. 1 dyrektywy 95/46/WE. |
|
(13) |
Należy zatem odpowiednio zmienić decyzje 2000/518/WE, 2002/2/WE, 2003/490/WE, 2003/821/WE, 2004/411/WE, 2008/393/WE, 2010/146/UE, 2010/625/UE, 2011/61/UE oraz decyzje wykonawcze 2012/484/UE i 2013/65/UE, |
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
W decyzji 2000/518/WE wprowadza się następujące zmiany:
|
1) |
art. 3 otrzymuje brzmienie: „Artykuł 3 W przypadku gdy właściwe organy w państwach członkowskich wykonują swoje uprawnienia na podstawie art. 28 ust. 3 dyrektywy 95/46/WE, co prowadzi do zawieszenia lub ostatecznego zakazu przepływu danych do Szwajcarii w celu ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, dane państwo członkowskie bezzwłocznie informuje o tym Komisję, która przekazuje tę informację pozostałym państwom członkowskim.”; |
|
2) |
dodaje się art. 3a w brzmieniu: „Artykuł 3a 1. Komisja na bieżąco monitoruje zmiany w szwajcarskim porządku prawnym, które mogłyby wpłynąć na funkcjonowanie niniejszej decyzji, w tym zmiany dotyczące dostępu organów publicznych do danych osobowych, aby ocenić, czy Szwajcaria nadal zapewnia odpowiedni stopień ochrony danych osobowych. 2. Państwa członkowskie i Komisja informują się nawzajem o przypadkach, w których działania organów odpowiedzialnych za zapewnianie zgodności z normami ochrony w Szwajcarii nie gwarantują takiej zgodności. 3. Państwa członkowskie i Komisja informują się nawzajem o wszelkich przesłankach wskazujących, że ingerencje szwajcarskich organów publicznych, które odpowiadają za bezpieczeństwo narodowe, egzekwowanie prawa lub realizację innych celów interesu publicznego, w prawo osób fizycznych do ochrony ich danych osobowych wykraczają poza to, co jest ściśle niezbędne, lub że nie zapewniono żadnej skutecznej ochrony prawnej przed takimi ingerencjami. 4. Jeżeli dowody wskazują, że odpowiedni poziom ochrony nie jest już zapewniony, w tym w sytuacjach, o których mowa w ust. 2 i 3 niniejszego artykułu, Komisja powiadamia właściwy organ szwajcarski oraz, w razie konieczności, przedstawia projekt środków zgodnie z procedurą, o której mowa w art. 31 ust. 2 dyrektywy 95/46/WE, w celu uchylenia, zawieszenia lub ograniczenia zakresu niniejszej decyzji.”. |
Artykuł 2
W decyzji 2002/2/WE wprowadza się następujące zmiany:
|
1) |
art. 3 otrzymuje brzmienie: „Artykuł 3 W przypadku gdy właściwe organy w państwach członkowskich wykonują swoje uprawnienia na podstawie art. 28 ust. 3 dyrektywy 95/46/WE, co prowadzi do zawieszenia lub ostatecznego zakazu przepływu danych do odbiorcy w Kanadzie, którego działalność wchodzi w zakres kanadyjskiej ustawy o ochronie informacji osobowych i dokumentów elektronicznych, w celu ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, dane państwo członkowskie bezzwłocznie informuje o tym Komisję, która przekazuje tę informację pozostałym państwom członkowskim.”; |
|
2) |
dodaje się art. 3a w brzmieniu: „Artykuł 3a 1. Komisja na bieżąco monitoruje zmiany w kanadyjskim porządku prawnym, które mogłyby wpłynąć na funkcjonowanie niniejszej decyzji, w tym zmiany dotyczące dostępu organów publicznych do danych osobowych, aby ocenić, czy Kanada nadal zapewnia odpowiedni stopień ochrony danych osobowych. 2. Państwa członkowskie i Komisja informują się nawzajem o przypadkach, w których działania organów odpowiedzialnych za zapewnianie zgodności z normami ochrony w Kanadzie nie gwarantują takiej zgodności. 3. Państwa członkowskie i Komisja informują się nawzajem o wszelkich przesłankach wskazujących, że ingerencje kanadyjskich organów publicznych, które odpowiadają za bezpieczeństwo narodowe, egzekwowanie prawa lub realizację innych celów interesu publicznego, w prawo osób fizycznych do ochrony ich danych osobowych wykraczają poza to, co jest ściśle niezbędne, lub że nie zapewniono żadnej skutecznej ochrony prawnej przed takimi ingerencjami. 4. Jeżeli dowody wskazują, że odpowiedni poziom ochrony nie jest już zapewniony, w tym w sytuacjach, o których mowa w ust. 2 i 3 niniejszego artykułu, Komisja powiadamia właściwy organ kanadyjski oraz, w razie konieczności, przedstawia projekt środków zgodnie z procedurą, o której mowa w art. 31 ust. 2 dyrektywy 95/46/WE, w celu uchylenia, zawieszenia lub ograniczenia zakresu niniejszej decyzji.”. |
Artykuł 3
W decyzji 2003/490/WE wprowadza się następujące zmiany:
|
1) |
art. 3 otrzymuje brzmienie: „Artykuł 3 W przypadku gdy właściwe organy w państwach członkowskich wykonują swoje uprawnienia na podstawie art. 28 ust. 3 dyrektywy 95/46/WE, co prowadzi do zawieszenia lub ostatecznego zakazu przepływu danych do Argentyny w celu ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, dane państwo członkowskie bezzwłocznie informuje o tym Komisję, która przekazuje tę informację pozostałym państwom członkowskim.”; |
|
2) |
dodaje się art. 3a w brzmieniu: „Artykuł 3a 1. Komisja na bieżąco monitoruje zmiany w argentyńskim porządku prawnym, które mogłyby wpłynąć na funkcjonowanie niniejszej decyzji, w tym zmiany dotyczące dostępu organów publicznych do danych osobowych, aby ocenić, czy Argentyna nadal zapewnia odpowiedni stopień ochrony danych osobowych. 2. Państwa członkowskie i Komisja informują się nawzajem o przypadkach, w których działania organów odpowiedzialnych za zapewnianie zgodności z normami ochrony w Argentynie nie gwarantują takiej zgodności. 3. Państwa członkowskie i Komisja informują się nawzajem o wszelkich przesłankach wskazujących, że ingerencje argentyńskich organów publicznych, które odpowiadają za bezpieczeństwo narodowe, egzekwowanie prawa lub realizację innych celów interesu publicznego, w prawo osób fizycznych do ochrony ich danych osobowych wykraczają poza to, co jest ściśle niezbędne, lub że nie zapewniono żadnej skutecznej ochrony prawnej przed takimi ingerencjami. 4. Jeżeli dowody wskazują, że odpowiedni poziom ochrony nie jest już zapewniony, w tym w sytuacjach, o których mowa w ust. 2 i 3 niniejszego artykułu, Komisja powiadamia właściwy organ argentyński oraz, w razie konieczności, przedstawia projekt środków zgodnie z procedurą, o której mowa w art. 31 ust. 2 dyrektywy 95/46/WE, w celu uchylenia, zawieszenia lub ograniczenia zakresu niniejszej decyzji.”. |
Artykuł 4
W decyzji 2003/821/WE art. 3 i 4 otrzymują brzmienie:
„Artykuł 3
W przypadku gdy właściwe organy w państwach członkowskich wykonują swoje uprawnienia na podstawie art. 28 ust. 3 dyrektywy 95/46/WE, co prowadzi do zawieszenia lub ostatecznego zakazu przepływu danych do Baliwatu Guernsey w celu ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, dane państwo członkowskie bezzwłocznie informuje o tym Komisję, która przekazuje tę informację pozostałym państwom członkowskim.
Artykuł 4
1. Komisja na bieżąco monitoruje zmiany w porządku prawnym Guernsey, które mogłyby wpłynąć na funkcjonowanie niniejszej decyzji, w tym zmiany dotyczące dostępu organów publicznych do danych osobowych, aby ocenić, czy Guernsey nadal zapewnia odpowiedni stopień ochrony danych osobowych.
2. Państwa członkowskie i Komisja informują się nawzajem o przypadkach, w których działania organów odpowiedzialnych za zapewnianie zgodności z normami ochrony w Guernsey nie gwarantują takiej zgodności.
3. Państwa członkowskie i Komisja informują się nawzajem o wszelkich przesłankach wskazujących, że ingerencje organów publicznych Guernsey, które odpowiadają za bezpieczeństwo narodowe, egzekwowanie prawa lub realizację innych celów interesu publicznego, w prawo osób fizycznych do ochrony ich danych osobowych wykraczają poza to, co jest ściśle niezbędne, lub że nie zapewniono żadnej skutecznej ochrony prawnej przed takimi ingerencjami.
4. Jeżeli dowody wskazują, że odpowiedni poziom ochrony nie jest już zapewniony, w tym w sytuacjach, o których mowa w ust. 2 i 3 niniejszego artykułu, Komisja powiadamia właściwy organ Guernsey oraz, w razie konieczności, przedstawia projekt środków zgodnie z procedurą, o której mowa w art. 31 ust. 2 dyrektywy 95/46/WE, w celu uchylenia, zawieszenia lub ograniczenia zakresu niniejszej decyzji.”.
Artykuł 5
W decyzji 2004/411/WE art. 3 i 4 otrzymują brzmienie:
„Artykuł 3
W przypadku gdy właściwe organy w państwach członkowskich wykonują swoje uprawnienia na podstawie art. 28 ust. 3 dyrektywy 95/46/WE, co prowadzi do zawieszenia lub ostatecznego zakazu przepływu danych na Wyspę Man w celu ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, dane państwo członkowskie bezzwłocznie informuje o tym Komisję, która przekazuje tę informację pozostałym państwom członkowskim.
Artykuł 4
1. Komisja na bieżąco monitoruje zmiany w porządku prawnym Wyspy Man, które mogłyby wpłynąć na funkcjonowanie niniejszej decyzji, w tym zmiany dotyczące dostępu organów publicznych do danych osobowych, aby ocenić, czy Wyspa Man nadal zapewnia odpowiedni stopień ochrony danych osobowych.
2. Państwa członkowskie i Komisja informują się nawzajem o przypadkach, w których działania organów odpowiedzialnych za zapewnianie zgodności z normami ochrony na Wyspie Man nie gwarantują takiej zgodności.
3. Państwa członkowskie i Komisja informują się nawzajem o wszelkich przesłankach wskazujących, że ingerencje organów publicznych Wyspy Man, które odpowiadają za bezpieczeństwo narodowe, egzekwowanie prawa lub realizację innych celów interesu publicznego, w prawo osób fizycznych do ochrony ich danych osobowych wykraczają poza to, co jest ściśle niezbędne, lub że nie zapewniono żadnej skutecznej ochrony prawnej przed takimi ingerencjami.
4. Jeżeli dowody wskazują, że odpowiedni poziom ochrony nie jest już zapewniony, w tym w sytuacjach, o których mowa w ust. 2 i 3 niniejszego artykułu, Komisja powiadamia właściwy organ Wyspy Man oraz, w razie konieczności, przedstawia projekt środków zgodnie z procedurą, o której mowa w art. 31 ust. 2 dyrektywy 95/46/WE, w celu uchylenia, zawieszenia lub ograniczenia zakresu niniejszej decyzji.”.
Artykuł 6
W decyzji 2008/393/WE art. 3 i 4 otrzymują brzmienie:
„Artykuł 3
W przypadku gdy właściwe organy w państwach członkowskich wykonują swoje uprawnienia na podstawie art. 28 ust. 3 dyrektywy 95/46/WE, co prowadzi do zawieszenia lub ostatecznego zakazu przepływu danych na Jersey w celu ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, dane państwo członkowskie bezzwłocznie informuje o tym Komisję, która przekazuje tę informację pozostałym państwom członkowskim.
Artykuł 4
1. Komisja na bieżąco monitoruje zmiany w porządku prawnym Jersey, które mogłyby wpłynąć na funkcjonowanie niniejszej decyzji, w tym zmiany dotyczące dostępu organów publicznych do danych osobowych, aby ocenić, czy Jersey nadal zapewnia odpowiedni stopień ochrony danych osobowych.
2. Państwa członkowskie i Komisja informują się nawzajem o przypadkach, w których działania organów odpowiedzialnych za zapewnianie zgodności z normami ochrony na Jersey nie gwarantują takiej zgodności.
3. Państwa członkowskie i Komisja informują się nawzajem o wszelkich przesłankach wskazujących, że ingerencje organów publicznych Jersey, które odpowiadają za bezpieczeństwo narodowe, egzekwowanie prawa lub realizację innych celów interesu publicznego, w prawo osób fizycznych do ochrony ich danych osobowych wykraczają poza to, co jest ściśle niezbędne, lub że nie zapewniono żadnej skutecznej ochrony prawnej przed takimi ingerencjami.
4. Jeżeli dowody wskazują, że odpowiedni poziom ochrony nie jest już zapewniony, w tym w sytuacjach, o których mowa w ust. 2 i 3 niniejszego artykułu, Komisja powiadamia właściwy organ Jersey oraz, w razie konieczności, przedstawia projekt środków zgodnie z procedurą, o której mowa w art. 31 ust. 2 dyrektywy 95/46/WE, w celu uchylenia, zawieszenia lub ograniczenia zakresu niniejszej decyzji.”.
Artykuł 7
W decyzji Komisji 2010/146/UE art. 3 i 4 otrzymują brzmienie:
„Artykuł 3
W przypadku gdy właściwe organy w państwach członkowskich wykonują swoje uprawnienia na podstawie art. 28 ust. 3 dyrektywy 95/46/WE, co prowadzi do zawieszenia lub ostatecznego zakazu przepływu danych do odbiorcy na Wyspach Owczych, którego działalność wchodzi w zakres ustawy Wysp Owczych w sprawie ochrony danych osobowych, w celu ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, dane państwo członkowskie bezzwłocznie informuje o tym Komisję, która przekazuje tę informację pozostałym państwom członkowskim.
Artykuł 4
1. Komisja na bieżąco monitoruje zmiany w porządku prawnym Wysp Owczych, które mogłyby wpłynąć na funkcjonowanie niniejszej decyzji, w tym zmiany dotyczące dostępu organów publicznych do danych osobowych, aby ocenić, czy Wyspy Owcze nadal zapewniają odpowiedni stopień ochrony danych osobowych.
2. Państwa członkowskie i Komisja informują się nawzajem o przypadkach, w których działania organów odpowiedzialnych za zapewnianie zgodności z normami ochrony na Wyspach Owczych nie gwarantują takiej zgodności.
3. Państwa członkowskie i Komisja informują się nawzajem o wszelkich przesłankach wskazujących, że ingerencje organów publicznych Wysp Owczych, które odpowiadają za bezpieczeństwo narodowe, egzekwowanie prawa lub realizację innych celów interesu publicznego, w prawo osób fizycznych do ochrony ich danych osobowych wykraczają poza to, co jest ściśle niezbędne, lub że nie zapewniono żadnej skutecznej ochrony prawnej przed takimi ingerencjami.
4. Jeżeli dowody wskazują, że odpowiedni poziom ochrony nie jest już zapewniony, w tym w sytuacjach, o których mowa w ust. 2 i 3 niniejszego artykułu, Komisja powiadamia właściwy organ Wysp Owczych oraz, w razie konieczności, przedstawia projekt środków zgodnie z procedurą, o której mowa w art. 31 ust. 2 dyrektywy 95/46/WE, w celu uchylenia, zawieszenia lub ograniczenia zakresu niniejszej decyzji.”.
Artykuł 8
W decyzji 2010/625/UE art. 3 i 4 otrzymują brzmienie:
„Artykuł 3
W przypadku gdy właściwe organy w państwach członkowskich wykonują swoje uprawnienia na podstawie art. 28 ust. 3 dyrektywy 95/46/WE, co prowadzi do zawieszenia lub ostatecznego zakazu przepływu danych do Andory w celu ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, dane państwo członkowskie bezzwłocznie informuje o tym Komisję, która przekazuje tę informację pozostałym państwom członkowskim.
Artykuł 4
1. Komisja na bieżąco monitoruje zmiany w porządku prawnym Andory, które mogłyby wpłynąć na funkcjonowanie niniejszej decyzji, w tym zmiany dotyczące dostępu organów publicznych do danych osobowych, aby ocenić, czy Andora nadal zapewnia odpowiedni stopień ochrony danych osobowych.
2. Państwa członkowskie i Komisja informują się nawzajem o przypadkach, w których działania organów odpowiedzialnych za zapewnianie zgodności z normami ochrony w Andorze nie gwarantują takiej zgodności.
3. Państwa członkowskie i Komisja informują się nawzajem o wszelkich przesłankach wskazujących, że ingerencje organów publicznych Andory, które odpowiadają za bezpieczeństwo narodowe, egzekwowanie prawa lub realizację innych celów interesu publicznego, w prawo osób fizycznych do ochrony ich danych osobowych wykraczają poza to, co jest ściśle niezbędne, lub że nie zapewniono żadnej skutecznej ochrony prawnej przed takimi ingerencjami.
4. Jeżeli dowody wskazują, że odpowiedni poziom ochrony nie jest już zapewniony, w tym w sytuacjach, o których mowa w ust. 2 i 3 niniejszego artykułu, Komisja powiadamia właściwy organ Andory oraz, w razie konieczności, przedstawia projekt środków zgodnie z procedurą, o której mowa w art. 31 ust. 2 dyrektywy 95/46/WE, w celu uchylenia, zawieszenia lub ograniczenia zakresu niniejszej decyzji.”.
Artykuł 9
W decyzji 2011/61/UE art. 3 i 4 otrzymują brzmienie:
„Artykuł 3
W przypadku gdy właściwe organy w państwach członkowskich wykonują swoje uprawnienia na podstawie art. 28 ust. 3 dyrektywy 95/46/WE, co prowadzi do zawieszenia lub ostatecznego zakazu przepływu danych do Państwa Izrael w celu ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, dane państwo członkowskie bezzwłocznie informuje o tym Komisję, która przekazuje tę informację pozostałym państwom członkowskim.
Artykuł 4
1. Komisja na bieżąco monitoruje zmiany w izraelskim porządku prawnym, które mogłyby wpłynąć na funkcjonowanie niniejszej decyzji, w tym zmiany dotyczące dostępu organów publicznych do danych osobowych, aby ocenić, czy Państwo Izrael nadal zapewnia odpowiedni stopień ochrony danych osobowych.
2. Państwa członkowskie i Komisja informują się nawzajem o przypadkach, w których działania organów odpowiedzialnych za zapewnianie zgodności z normami ochrony w Państwie Izrael nie gwarantują takiej zgodności.
3. Państwa członkowskie i Komisja informują się nawzajem o wszelkich przesłankach wskazujących, że ingerencje izraelskich organów publicznych, które odpowiadają za bezpieczeństwo narodowe, egzekwowanie prawa lub realizację innych celów interesu publicznego, w prawo osób fizycznych do ochrony ich danych osobowych wykraczają poza to, co jest ściśle niezbędne, lub że nie zapewniono żadnej skutecznej ochrony prawnej przed takimi ingerencjami.
4. Jeżeli dowody wskazują, że odpowiedni poziom ochrony nie jest już zapewniony, w tym w sytuacjach, o których mowa w ust. 2 i 3 niniejszego artykułu, Komisja powiadamia właściwy organ izraelski oraz, w razie konieczności, przedstawia projekt środków zgodnie z procedurą, o której mowa w art. 31 ust. 2 dyrektywy 95/46/WE, w celu uchylenia, zawieszenia lub ograniczenia zakresu niniejszej decyzji.”.
Artykuł 10
W decyzji wykonawczej 2012/484/UE art. 2 i 3 otrzymują brzmienie:
„Artykuł 2
W przypadku gdy właściwe organy w państwach członkowskich wykonują swoje uprawnienia na podstawie art. 28 ust. 3 dyrektywy 95/46/WE, co prowadzi do zawieszenia lub ostatecznego zakazu przepływu danych do Wschodniej Republiki Urugwaju w celu ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, dane państwo członkowskie bezzwłocznie informuje o tym Komisję, która przekazuje tę informację pozostałym państwom członkowskim.
Artykuł 3
1. Komisja na bieżąco monitoruje zmiany w porządku prawnym Wschodniej Republiki Urugwaju, które mogłyby wpłynąć na funkcjonowanie niniejszej decyzji, w tym zmiany dotyczące dostępu organów publicznych do danych osobowych, aby ocenić, czy Wschodnia Republika Urugwaju nadal zapewnia odpowiedni stopień ochrony danych osobowych.
2. Państwa członkowskie i Komisja informują się nawzajem o przypadkach, w których działania organów odpowiedzialnych za zapewnianie zgodności z normami ochrony we Wschodniej Republice Urugwaju nie gwarantują takiej zgodności.
3. Państwa członkowskie i Komisja informują się nawzajem o wszelkich przesłankach wskazujących, że ingerencje urugwajskich organów publicznych, które odpowiadają za bezpieczeństwo narodowe, egzekwowanie prawa lub realizację innych celów interesu publicznego, w prawo osób fizycznych do ochrony ich danych osobowych wykraczają poza to, co jest ściśle niezbędne, lub że nie zapewniono żadnej skutecznej ochrony prawnej przed takimi ingerencjami.
4. Jeżeli dowody wskazują, że odpowiedni poziom ochrony nie jest już zapewniony, w tym w sytuacjach, o których mowa w ust. 2 i 3 niniejszego artykułu, Komisja powiadamia właściwy organ urugwajski oraz, w razie konieczności, przedstawia projekt środków zgodnie z procedurą, o której mowa w art. 31 ust. 2 dyrektywy 95/46/WE, w celu uchylenia, zawieszenia lub ograniczenia zakresu niniejszej decyzji.”.
Artykuł 11
W decyzji wykonawczej 2013/65/UE art. 2 i 3 otrzymują brzmienie:
„Artykuł 2
W przypadku gdy właściwe organy w państwach członkowskich wykonują swoje uprawnienia na podstawie art. 28 ust. 3 dyrektywy 95/46/WE, co prowadzi do zawieszenia lub ostatecznego zakazu przepływu danych do Nowej Zelandii w celu ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, dane państwo członkowskie bezzwłocznie informuje o tym Komisję, która przekazuje tę informację pozostałym państwom członkowskim.
Artykuł 3
1. Komisja na bieżąco monitoruje zmiany w nowozelandzkim porządku prawnym, które mogłyby wpłynąć na funkcjonowanie niniejszej decyzji, w tym zmiany dotyczące dostępu organów publicznych do danych osobowych, aby ocenić, czy Nowa Zelandia nadal zapewnia odpowiedni stopień ochrony danych osobowych.
2. Państwa członkowskie i Komisja informują się nawzajem o przypadkach, w których działania organów odpowiedzialnych za zapewnianie zgodności z normami ochrony w Nowej Zelandii nie gwarantują takiej zgodności.
3. Państwa członkowskie i Komisja informują się nawzajem o wszelkich przesłankach wskazujących, że ingerencje nowozelandzkich organów publicznych, które odpowiadają za bezpieczeństwo narodowe, egzekwowanie prawa lub realizację innych celów interesu publicznego, w prawo osób fizycznych do ochrony ich danych osobowych wykraczają poza to, co jest ściśle niezbędne, lub że nie zapewniono żadnej skutecznej ochrony prawnej przed takimi ingerencjami.
4. Jeżeli dowody wskazują, że odpowiedni poziom ochrony nie jest już zapewniony, w tym w sytuacjach, o których mowa w ust. 2 i 3 niniejszego artykułu, Komisja powiadamia właściwy organ nowozelandzki oraz, w razie konieczności, przedstawia projekt środków zgodnie z procedurą, o której mowa w art. 31 ust. 2 dyrektywy 95/46/WE, w celu uchylenia, zawieszenia lub ograniczenia zakresu niniejszej decyzji.”.
Artykuł 12
Niniejsza decyzja skierowana jest do państw członkowskich.
Sporządzono w Brukseli dnia 16 grudnia 2016 r.
W imieniu Komisji
Věra JOUROVÁ
Członek Komisji
(1) Dz.U. L 281 z 23.11.1995, s. 31.
(2) ECLI:EU:C:2015:650.
(3) Decyzja Komisji 2000/520/WE z dnia 26 lipca 2000 r. przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach „bezpiecznej przystani” oraz przez odnoszące się do nich najczęściej zadawane pytania, wydane przez Departament Handlu USA (Dz.U. L 215 z 25.8.2000, s. 7).
(4) Wyrok w sprawie Schrems, pkt 40 i nast., pkt 101–103.
(5) Wyrok w sprawie Schrems, pkt 51, 52 i 62.
(6) Wyrok w sprawie Schrems, pkt 52, 62 i 65.
(7) Decyzja Komisji 2000/518/WE z dnia 26 lipca 2000 r. na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie właściwej ochrony danych osobowych w Szwajcarii (Dz.U. L 215 z 25.8.2000, s. 1).
(8) Decyzja Komisji 2002/2/WE z dnia 20 grudnia 2001 r. na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie odpowiedniej ochrony danych osobowych zapewnionej w ustawie kanadyjskiej o ochronie informacji osobowych i dokumentów elektronicznych (Dz.U. L 2 z 4.1.2002, s. 13).
(9) Decyzja Komisji 2003/490/WE z dnia 30 czerwca 2003 r. na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie właściwej ochrony danych osobowych w Argentynie (Dz.U. L 168 z 5.7.2003, s. 19).
(10) Decyzja Komisji 2003/821/WE z dnia 21 listopada 2003 r. w sprawie właściwej ochrony danych osobowych w Guernsey (Dz.U. L 308 z 25.11.2003, s. 27).
(11) Decyzja Komisji 2004/411/WE z dnia 28 kwietnia 2004 r. w sprawie właściwej ochrony danych osobowych na Wyspie Man (Dz.U. L 151 z 30.4.2004, s. 48).
(12) Decyzja Komisji 2008/393/WE z dnia 8 maja 2008 r. na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie właściwej ochrony danych osobowych na Jersey (Dz.U. L 138 z 28.5.2008, s. 21).
(13) Decyzja Komisji 2010/146/UE z dnia 5 marca 2010 r. na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie właściwej ochrony na podstawie ustawy Wysp Owczych w sprawie ochrony danych osobowych (Dz.U. L 58 z 9.3.2010, s. 17).
(14) Decyzja Komisji 2010/625/UE z dnia 19 października 2010 r. na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie właściwej ochrony danych osobowych w Andorze (Dz.U. L 277 z 21.10.2010, s. 27).
(15) Decyzja Komisji 2011/61/UE z dnia 31 stycznia 2011 r. na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie odpowiedniej ochrony danych osobowych w Państwie Izrael w odniesieniu do zautomatyzowanego przetwarzania danych osobowych (Dz.U. L 27 z 1.2.2011, s. 39).
(16) Decyzja wykonawcza Komisji 2012/484/UE z dnia 21 sierpnia 2012 r. na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie odpowiedniej ochrony danych osobowych przez Wschodnią Republikę Urugwaju w odniesieniu do zautomatyzowanego przetwarzania danych osobowych (Dz.U. L 227 z 23.8.2012, s. 11).
(17) Decyzja wykonawcza Komisji 2013/65/UE z dnia 19 grudnia 2012 r. na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie właściwej ochrony danych osobowych w Nowej Zelandii (Dz.U. L 28 z 30.1.2013, s. 12).
(18) Wyrok w sprawie Schrems, pkt 76. Taka kontrola jest wymagana w każdym przypadku, gdy Komisja pozyska informacje budzące uzasadnione wątpliwości w tym kontekście.