30.1.2013   

BG

Официален вестник на Европейския съюз

L 28/12


РЕШЕНИЕ ЗА ИЗПЪЛНЕНИЕ НА КОМИСИЯТА

от 19 декември 2012 година

съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета относно достатъчната степен на защита на личните данни от страна на Нова Зеландия

(нотифицирано под номер C(2012) 9557)

(текст от значение за ЕИП)

(2013/65/ЕС)

ЕВРОПЕЙСКАТА КОМИСИЯ,

като взе предвид Договора за функционирането на Европейския съюз,

като взе предвид Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (1), и по-специално член 25, параграф 6 от нея,

след консултация с Европейския надзорен орган по защита на данните,

като има предвид, че:

(1)

Съгласно Директива 95/46/ЕО от държавите членки се изисква да предвидят, че предаването на лични данни на трета страна може да се извършва само ако въпросната трета страна гарантира достатъчна степен на защита и ако законодателствата на държавите членки по прилагане на други разпоредби от директивата бъдат спазени преди предаването.

(2)

Комисията може да установи, че третата страна гарантира достатъчна степен на защита. В такъв случай държавите членки могат да предават лични данни, без да са необходими допълнителни гаранции.

(3)

Директива 95/46/ЕО изисква степента на защита на данните да бъде преценявана с оглед на всички обстоятелства, свързани с операцията по предаване на данни или набора от операции по предаване на данни, като се обръща специално внимание на определени елементи, посочени в директивата, които са свързани с предаването.

(4)

Поради съществуващите различни подходи в третите страни по отношение на защитата на данните, е необходимо извършването на оценката за адекватност и приемането и изпълнението на всяко решение, основаващо се на Директива 95/46/ЕО, да стават по начин, който не води до произволна или необоснована дискриминация по отношение на или между трети страни, в които съществуват сходни условия, нито представлява скрита пречка за търговията съгласно действащите международни ангажименти на Съюза.

(5)

Нова Зеландия е бивша британска колония. Тя става независим доминион през 1907 г., но до 1947 г. конституционните ѝ връзки с Великобритания официално не са прекъснати. Нова Зеландия е унитарна държава и няма писана конституция в общоприетия смисъл на утвърден конститутивен документ. Тя е конституционна монархия и парламентарна демокрация по уестминстърския модел, като неин държавен глава е кралицата на Нова Зеландия.

(6)

В страната се прилага принципът на парламентарния суверенитет. По традиция обаче съществуват известен брой закони с особено конституционно значение, които се считат за „върховно законодателство“ (higher law). Това означава, че те са част от конституционната основа или среда и оказват влияние върху практиките на държавните органи и приемането на останалото законодателство. Освен това за изменението или отменянето на въпросното законодателство е необходим общ политически консенсус. Няколко такива закона — Хартата за правата (Bill of Rights Act) от 28 август 1990 г. (общ закон (Public Act) № 109 от 1990 г.), Законът за правата на човека (Human Rights Act) от 10 август 1993 г. (общ закон (Public Act) № 82 от 1993 г.) и Законът за правото на неприкосновеност на личния живот (Privacy Act) от 17 май 1993 г. (общ закон (Public Act) № 28 от 1993 г.) — са свързани със защитата на данните. Конституционното значение на това законодателство проличава от традицията, според която то трябва да бъде взето предвид при изготвянето или предлагането на ново законодателство.

(7)

Правните норми за защитата на личните данни в Нова Зеландия са установени предимно в Закона за правото на неприкосновеност на личния живот, изменен със Закона за изменение на Закона за правото на неприкосновеност на личния живот (трансгранично информиране) (Privacy (Cross-border Information) Amendment Act) от 7 септември 2010 г. (общ закон (Public Act) № 113 от 2010 г.). Този по-ранен от Директива 95/46/ЕО закон не се ограничава до автоматизирано обработваните данни или съдържащите се във файл структурирани данни, а обхваща цялата лична информация, независимо от нейното естество или форма. Той се прилага спрямо публичния и частния сектор в тяхната цялост, с няколко специфични изключения от обществен интерес, каквито може да се очакват в едно демократично общество.

(8)

В Нова Зеландия съществуват няколко правни уредби, посветени на въпросите относно правото на неприкосновеност на личния живот, от гледна точка на политика, разпоредби или юрисдикции, компетентни да разглеждат оплаквания. Някои от тях са регламентирани в законодателството, докато други зависят от саморегулиращи се професионални образувания, като например в областта на медиите, директния маркетинг, нежеланите електронни съобщения, пазарните проучвания, здравословното състояние и уврежданията, банковото и застрахователното дело и спестяванията.

(9)

В допълнение към законодателството, приемано от парламента на Нова Зеландия, съществува и внушителен корпус от правила на обичайното право, които произтичат от английското обичайно право и в който са обхванати релевантни за защитата на данните принципи и разпоредби на обичайното право. Сред основните принципи на обичайното право е принципът, че достойнството на личността е от първостепенно значение за правото. Този принцип на обичайното право е ключов елемент от общия контекст при постановяването на съдебните решения в Нова Зеландия. От съдебната практика на тази страна, основаваща се на обичайното право, също могат да се изведат редица други аспекти на неприкосновеността на личния живот, сред които са накърняването на неприкосновеността на личния живот, злоупотребата с доверие и инцидентната защита в случай на клевета, нарушаване на обществения ред, тормоз, злонамерена лъжа, небрежност и други.

(10)

Правните норми за защита на данните, приложими в Нова Зеландия, обхващат всички основни принципи, необходими за осигуряването на достатъчна степен на защита на физическите лица, като в тях се предвиждат и изключения и ограничения с цел защитата на важни обществени интереси. Тези правни норми за защита на данните и изключенията отразяват принципите, установени в Директива 95/46/ЕО.

(11)

Прилагането на правните норми за защита на данните се гарантира чрез административни и съдебни средства за защита и чрез независим надзор, осъществяван от надзорен орган — Комисаря по въпросите на неприкосновеността на личния живот, който разполага с подобни на предвидените в член 28 от Директива 95/46/ЕО правомощия и който действа като независим орган. Освен това всяка заинтересована страна може да търси защита по съдебен ред за обезщетяване на вреди, възникнали в резултат на незаконно обработване на личните ѝ данни.

(12)

Поради това следва да се счита, че Нова Зеландия осигурява достатъчна степен на защита на личните данни съгласно предвиденото в Директива 95/46/ЕО.

(13)

Настоящото решение следва да се отнася до достатъчния характер на степента на защита, предоставяна в Нова Зеландия, с оглед на спазването на изискванията на член 25, параграф 1 от Директива 95/46/ЕО. То не трябва да засяга други условия или ограничения за прилагането на други разпоредби от директивата, отнасящи се до обработването на лични данни в държавите членки.

(14)

В интерес на прозрачността, а и за да се обезпечи възможността компетентните органи в държавите членки да осигурят защитата на лицата по отношение на обработването на техните лични данни, е необходимо да се укажат извънредните обстоятелства, при които спирането на определени потоци от данни може да бъде счетено за основателно въпреки констатацията за наличие на достатъчна степен на защита.

(15)

Работната група за защита на лицата при обработването на лични данни, създадена съгласно член 29 от Директива 95/46/ЕО, даде положително становище относно степента на защита в Нова Зеландия по отношение на личните данни (2). Това становище бе взето предвид при подготовката на настоящото решение за изпълнение.

(16)

Мерките, предвидени в настоящото решение, са в съответствие със становището на комитета, учреден съгласно член 31, параграф 1 от Директива 95/46/ЕО,

ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:

Член 1

1.   За целите на член 25, параграф 2 от Директива 95/46/ЕО се счита, че Нова Зеландия осигурява достатъчна степен на защита на личните данни, предавани от Съюза.

2.   Компетентният надзорен орган за прилагането на правните норми за защита на данните в Нова Зеландия е посочен в приложението към настоящото решение.

Член 2

1.   Без да се засягат правомощията им да предприемат действия за гарантиране на спазването на националното законодателство, прието на основание на разпоредби, различни от член 25 от Директива 95/46/ЕО, компетентните органи на държавите членки могат да упражняват правомощията, с които разполагат, за да спрат потоците от данни към получател в Нова Зеландия с цел защита на лицата по отношение на обработването на техните лични данни в следните случаи:

а)

когато компетентен орган на Нова Зеландия е установил, че получателят нарушава приложимите норми за защита; или

б)

когато е много вероятно, че нормите за защита се нарушават, има основателни причини да се смята, че компетентният орган в Нова Зеландия не взема или няма да вземе подходящи и навременни мерки за разрешаване на случая, продължаването на предаването на данни би довело до неизбежен риск от сериозно увреждане на субектите на данни и при дадените обстоятелства компетентните органи на държавата членка са положили достатъчни усилия да предупредят отговарящия за обработването, който е установен в Нова Зеландия, и да му дадат възможност за отговор.

2.   Спирането престава да действа веднага щом бъде осигурено спазването на нормите за защита и компетентният орган в съответните държави членки бъде уведомен за това.

Член 3

1.   Държавите членки уведомяват незабавно Комисията за мерките, приети на основание член 2.

2.   Държавите членки и Комисията се информират взаимно за случаите, при които действията на органите, отговорни за гарантиране на спазването на нормите за защита в Нова Зеландия, не са достатъчни за осигуряване на такова спазване.

3.   Ако информация, събрана съгласно член 2, параграф 1 и параграфи 1 и 2 от настоящия член, показва, че даден орган, натоварен със задачата да гарантира спазването на нормите за защита в Нова Зеландия, не изпълнява ефикасно функциите си, Комисията уведомява компетентния орган в Нова Зеландия и, ако е необходимо, представя проект за мерки съгласно процедурата по член 31, параграф 2 от Директива 95/46/ЕО с оглед отменяне или спиране на действието на настоящото решение или ограничаване на неговото приложно поле.

Член 4

Комисията наблюдава прилагането на настоящото решение и съобщава съответните констатации на комитета, учреден съгласно член 31 от Директива 95/46/ЕО, включително всяка информация, която би могла да има отражение върху съдържащата се в член 1 от настоящото решение констатация, че защитата в Нова Зеландия е достатъчна по смисъла на член 25 от Директива 95/46/ЕО, както и всяка информация, че решението се прилага по дискриминационен начин.

Член 5

Държавите членки предприемат всички необходими мерки, за да се съобразят с настоящото решение до 20 март 2013 г.

Член 6

Адресати на настоящото решение са държавите членки.

Съставено в Брюксел на 19 декември 2012 година.

За Комисията

Viviane REDING

Заместник-председател


(1)  ОВ L 281, 23.11.1995 г., стр. 31.

(2)  Становище 11/2011 от 4 април 2011 г. относно степента на защита на личните данни в Нова Зеландия. Становището може да бъде намерено на адрес http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp182_bg.pdf.


ПРИЛОЖЕНИЕ

Компетентен надзорен орган по член 1, параграф 2 от настоящото решение:

Privacy Commissioner:

Te Mana Matapono Matatapu

Level 4

109-111 Featherston Street

Wellington 6143

New Zealand

Тел.: +64-4-474 7590

Електронна поща за контакти: enquiries@privacy.org.nz

Уебсайт: http://privacy.org.nz/