Kommissionens beslutning

af 20. december 2001

i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om tilstrækkeligheden af den beskyttelse af personoplysninger, der opnås ved hjælp af Canadas lov om beskyttelse af personoplysninger og elektroniske dokumenter (Canadian Personal Information Protection and Electronic Documents Act)

(meddelt under nummer K(2001) 4539)

(2002/2/EF)

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABET HAR -

under henvisning til traktaten om oprettelse af Det Europæiske Fællesskab,

under henvisning til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger(1), særlig artikel 25, stk. 6, og

ud fra følgende betragtninger:

(1) Medlemsstaterne skal i henhold til direktiv 95/46/EF sørge for, at overførsel af personoplysninger til et tredjeland kun finder sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, og hvis medlemsstaternes lovgivning til gennemførelse af direktivets andre bestemmelser overholdes forud for overførslen.

(2) Kommissionen kan fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau. I så fald kan der overføres personoplysninger fra medlemsstaterne, uden at det er nødvendigt, at der stilles yderligere garantier.

(3) Vurderingen af, om beskyttelsesniveauet er tilstrækkeligt, skal i henhold til direktiv 95/46/EF ske på grundlag af samtlige de forhold, der har indflydelse på en overførsel eller en type overførsel af oplysninger og under hensyntagen til den pågældende situation. Den ved artikel 29 i direktiv 95/46/EF nedsatte Gruppe vedrørende Beskyttelse af Personer i Forbindelse med Behandling af Personoplysninger har udgivet retningslinjer for, hvorledes denne vurdering skal foretages(2).

(4) På grund af tredjelandenes forskellige fremgangsmåder med hensyn til databeskyttelse bør man foretage og håndhæve vurderingen af, om beskyttelsesniveauet er tilstrækkeligt, og gennemføre enhver beslutning, der træffes i medfør af artikel 25, stk. 6, i direktiv 95/46/EF, på en sådan måde, at der ikke vilkårligt eller uberettiget diskrimineres mod eller mellem tredjelande, hvor forholdene er de samme, eller at der skabes skjulte handelshindringer under hensyntagen til Fællesskabets nuværende internationale forpligtelser.

(5) Den canadiske lov om beskyttelse af personoplysninger og elektroniske dokumenter (The Canadian Personal Information Protection and Electronic Documents Act) af 13. april 2000(3) finder anvendelse på foretagender inden for den private sektor, som indsamler, anvender eller videregiver personoplysninger i forbindelse med kommercielle aktiviteter. Dens ikrafttræden foregår i tre etaper:

Den canadiske lov har fra den 1. januar 2001 ud over helbredsoplysninger også fundet anvendelse på personoplysninger, som ethvert foretagende, der driver erhvervsvirksomhed føderalt, indsamler, anvender eller videregiver i forbindelse med sine kommercielle aktiviteter. Disse foretagender findes inden for sektorer som luftfart, bankvæsen, tv- og radiospredning, transport mellem provinserne og telekommunikation. Den canadiske lov finder ligeledes anvendelse på alle foretagender, som mod vederlag videregiver personoplysninger uden for en provins eller uden for Canada, og på personoplysninger om ansatte i foretagender, der driver erhvervsvirksomhed føderalt.

Fra den 1. januar 2002 vil den canadiske lov desuden finde anvendelse på helbredsoplysninger inden for de foretagender og aktiviteter, som allerede var dækket under 1. etape.

Fra den 1. januar 2004 udvides den canadiske lov til at gælde for ethvert foretagende, som indsamler, anvender eller videregiver personoplysninger i forbindelse med kommercielle aktiviteter, uanset om det pågældende foretagende er en virksomhed, som er underlagt føderal lovgivning. Den canadiske lov finder ikke anvendelse på foretagender, der er omfattet af den føderale lov om beskyttelse af privatlivets fred (Federal Privacy Act), eller som er reguleret af den offentlige sektor på provinsniveau, eller på nonprofit- og velgørenhedsaktiviteter, medmindre de er af kommerciel karakter. Loven finder desuden heller ikke anvendelse på personaleoplysninger, der anvendes til andre ikke-kommercielle formål end dem, der vedrører ansatte i den føderalt regulerede private sektor. Canadas Federal Privacy Commissioner kan give yderligere oplysninger om sådanne tilfælde.

(6) For ikke at tilsidesætte provinsernes ret til at lovgive inden for deres kompetenceområde fastsættes det i loven, at i de tilfælde, hvor en provins vedtager lovgivning, som i hovedsagen er enslydende med den føderale lovgivning, kan foretagender eller aktiviteter undtages, således at de forbliver underlagt provinsens lov om beskyttelse af privatlivets fred. Det canadiske forbundskabinet har i henhold til sektion 26(2) i loven om beskyttelse af personoplysninger og elektroniske dokumenter beføjelse til, "såfremt det kan konstatere, at lovgivningen i en provins, der i hovedsagen er enslydende med denne del af loven, finder anvendelse på et foretagende, en kategori af foretagender, en aktivitet eller en kategori af aktiviteter, at undtage det pågældende foretagende, den pågældende aktivitet eller den pågældende kategori fra denne del af loven for så vidt angår den indsamling, anvendelse eller videregivelse af personoplysninger, der finder sted i denne provins". Governor in Council (det canadiske forbundskabinet) kan ved hjælp af en Order-in-Council gøre undtagelser for lovgivninger, der i hovedsagen er enslydende.

(7) Når en provins vedtager en lovgivning, som i hovedsagen er enslydende med den føderale lovgivning, undtages foretagender eller kategorier af foretagender eller aktiviteter fra den føderale lov for så vidt angår transaktioner inden for den pågældende provins. Den føderale lov vil fortsat finde anvendelse på al indsamling, anvendelse og videregivelse af personoplysninger mellem provinserne og internationalt samt i alle tilfælde, hvor provinserne ikke helt eller delvis har indført en lovgivning, der i hovedsagen er enslydende med den føderale lovgivning.

(8) Canada tilsluttede sig formelt OECD's retningslinjer af 1980 om beskyttelse af privatlivets fred og grænseoverskridende overførsel af personoplysninger (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data) den 29. juni 1984. Canada var blandt de lande, der støttede De Forenede Nationers retningslinjer vedrørende databaser indeholdende personoplysninger, som blev vedtaget på generalforsamlingen den 14. december 1990.

(9) Den canadiske lov indeholder alle de grundlæggende principper, der er nødvendige for at sikre et tilstrækkeligt beskyttelsesniveau for fysiske personer, også selvom loven indeholder en række undtagelser og begrænsninger med henblik på at beskytte vigtige offentlige interesser og anerkende visse oplysninger, der findes inden for det offentlige område. Anvendelsen af disse principper sikres gennem adgangen til domstolsprøvelse og den uvildige kontrol, der foretages af myndighederne, herunder Federal Privacy Commissioner, der har både undersøgelses- og interventionsbeføjelser. Desuden indeholder den canadiske lov bestemmelser om erstatningsansvar over for personer, der har lidt skade som følge af en ulovlig behandling af personoplysninger.

(10) Af hensyn til princippet om gennemsigtighed og for at beskytte de kompetente myndigheders muligheder for i medlemsstaterne at beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger bør det i beslutningen specificeres, under hvilke særlige omstændigheder det er muligt at suspendere specifikke dataoverførsler, uanset om det pågældende databeskyttelsesniveau anses for tilstrækkeligt.

(11) Denne beslutning tager højde for den udtalelse, som den ved artikel 29 i direktiv 95/46/EF nedsatte Gruppe vedrørende Beskyttelse af Personer i Forbindelse med Behandling af Personoplysninger har afgivet om det beskyttelsesniveau, der sikres på grundlag af den canadiske lov(4).

(12) De i denne beslutning fastsatte foranstaltninger er i overensstemmelse med udtalelse fra det i henhold til artikel 31 i direktiv 95/46/EF nedsatte udvalg -

VEDTAGET FØLGENDE BESLUTNING:

Artikel 1

Canada anses for så vidt angår formålet med artikel 25, stk. 2, i direktiv 95/46/EF at give et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra Fællesskabet til modtagere, der er omfattet af loven om beskyttelse af personoplysninger og elektroniske dokumenter ("den canadiske lov").

Artikel 2

Denne beslutning vedrører kun tilstrækkeligheden af den beskyttelse, der opnås i Canada ved hjælp af den canadiske lov, med henblik på at opfylde kravene i artikel 25, stk. 1, i direktiv 95/46/EF, og den har ingen indvirkning på andre betingelser eller begrænsninger til gennemførelse af andre bestemmelser i direktivet, som vedrører behandlingen af personoplysninger i medlemsstaterne.

Artikel 3

1. De kompetente myndigheder i medlemsstaterne kan, uden at dette berører deres beføjelser til at træffe foranstaltninger for at sikre overholdelse af de nationale bestemmelser, der vedtages i overensstemmelse med andre bestemmelser end artikel 25 i direktiv 95/46/EF, gøre brug af deres eksisterende beføjelser med henblik på at suspendere overførslen af oplysninger til en modtager i Canada, hvis aktiviteter er omfattet af den canadiske lov, for at beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger,

a) når en kompetent canadisk myndighed fastslår, at den pågældende modtager overtræder de gældende beskyttelsesprincipper, eller

b) når der er stor sandsynlighed for, at beskyttelsesprincipperne overtrædes, når der er tilstrækkelig grund til at antage, at den kompetente canadiske myndighed ikke træffer eller ikke agter at træffe passende og rettidige foranstaltninger for at løse den pågældende sag, når der ved fortsat overførsel af personoplysninger er stor risiko for på betydelig vis at skade de registrerede, og når de kompetente myndigheder i medlemsstaterne forholdene taget i betragtning på passende vis har bestræbt sig på at underrette den pågældende databehandler, der er etableret i Canada, og give denne mulighed for at svare.

Suspenderingen skal straks ophøre, når beskyttelsesprincipperne igen overholdes, og når den kompetente myndighed i Fællesskabet er blevet underrettet derom.

2. Medlemsstaterne skal straks underrette Kommissionen, når der træffes foranstaltninger i medfør af stk. 1.

3. Medlemsstaterne og Kommissionen skal ligeledes underrette hinanden om tilfælde, hvor de organer, som er ansvarlige for håndhævelsen af beskyttelsesprincipperne i Canada, ikke er i stand til at sikre, at principperne overholdes.

4. Hvis det fremgår af de oplysninger, der skal udveksles i henhold til stk. 1-3, at et organ, der er ansvarlig for håndhævelse af beskyttelsesprincipperne i Canada, ikke opfylder sin rolle effektivt, skal Kommissionen underrette den kompetente canadiske myndighed og, hvis det er nødvendigt, forelægge et udkast til foranstaltninger i overensstemmelse med proceduren i artikel 31, stk. 2, i direktiv 95/46/EF med henblik på at ophæve eller suspendere nærværende beslutning eller begrænse dens anvendelsesområde.

Artikel 4

1. Denne beslutning kan til enhver tid blive ændret på grundlag af erfaringerne i forbindelse med dens gennemførelse eller som følge af ændringer i den canadiske lovgivning, herunder enhver foranstaltning, hvormed det konstateres, at en canadisk provins har en i hovedsagen enslydende lovgivning. Kommissionen skal evaluere gennemførelsen af denne beslutning på grundlag af alle tilgængelige oplysninger tre år efter, at den pågældende medlemsstat har fået meddelelse derom, og rapportere om ethvert relevant forhold til det ved artikel 31 i direktiv 95/46/EF nedsatte udvalg, herunder om ethvert forhold, der kan påvirke den i artikel 1 i nærværende beslutning anførte vurdering af, at beskyttelsen i Canada er tilstrækkelig i henhold til artikel 25 i direktiv 95/46/EF, samt om ethvert forhold, hvoraf det fremgår, at beslutningen gennemføres på en diskriminerende måde.

2. Kommissionen skal, hvis det er nødvendigt, fremlægge forslag til foranstaltninger i henhold til proceduren i artikel 31, stk. 2, i direktiv 95/46/EF.

Artikel 5

Medlemsstaterne træffer de nødvendige foranstaltninger for at efterkomme denne beslutning senest halvfems dage efter, at den er meddelt.

Artikel 6

Denne beslutning er rettet til medlemsstaterne.

Udfærdiget i Bruxelles, den 20. december 2001.

På Kommissionens vegne

Frederik Bolkestein

Medlem af Kommissionen

(1) EFT L 281 af 23.11.1995, s. 31.

(2) WP 12: Videregivelse af personoplysninger til tredjelande: anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv, vedtaget af gruppen den 24. juli 1998, tilgængelig på: http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wpdocs_98.htm

(3) Elektronisk offentliggjorte (papirformat og Internet) udgaver af loven er tilgængelige på http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-E.html og http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-F.html. De trykte udgaver er tilgængelige hos Public Works and Government Services Canada - Publishing, Ottawa, Canada K1A 0S9.

(4) Udtalelse 2/2001 om beskyttelsesniveauet i den canadiske lov om beskyttelse af personoplysninger og elektroniske dokumenter - WP 39 af 26. januar 2001, tilgængelig på: http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm