Απόφαση της Επιτροπής

της 26ης Ιουλίου 2000

δυνάμει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια της προστασίας των δεδομένων προσωπικού χρακτήρα που παρέχεται στην Ελβετία

[κοινοποιηθείσα υπό τον αριθμό Ε(2000) 2304]

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

(2000/518/ΕΚ)

Η ΕΠΙΤΡΟΠΗ ΤΩΝ ΕΥΡΩΠΑΪΚΩΝ ΚΟΙΝΟΤΗΤΩΝ,

Έχοντας υπόψη:

τη συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας,

την οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων(1), και ιδίως το άρθρο 25 παράγραφος 6,

Εκτιμώντας τα ακόλουθα:

(1) Σύμφωνα με την οδηγία 95/46/ΕΚ απαιτείται από τα κράτη μέλη να προβλέπουν ότι η διαβίβαση προς τρίτη χώρα δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνον εάν η εν λόγω τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας και οι νόμοι του κράτους μέλους, που εφαρμόζουν άλλες διατάξεις της οδηγίας, τηρούνται πριν από τη διαβίβαση.

(2) Η Επιτροπή δύναται να αποφαίνεται ότι μια τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας. Στην περίπτωση αυτή επιτρέπεται να διαβιβάζονται τα δεδομένα προσωπικού χαρακτήρα από τα κράτη μέλη, χωρίς να είναι απαραίτητη η παροχή πρόσθετων εγγυήσεων.

(3) Σύμφωνα με την οδηγία 95/46/ΕΚ, το επίπεδο της προστασίας των δεδομένων πρέπει να σταθμίζεται λαμβανομένων υπόψη όλων των περιστάσεων που επηρεάζουν μια διαβίβαση ή μια σειρά διαβιβάσεων δεδομένων, τηρουμένων ορισμένων προϋποθέσεων. Η ομάδα προτασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που συστάθηκε βάσει της οδηγίας, έχει εκδώσει κατευθυντήριες γραμμές σχετικά με τη διενέργεια των εν λόγω αξιολογήσεων(2).

(4) Δεδομένων των διαφορετικών προσεγγίσεων που ακολουθούνται όσον αφορά την προστασία των δεδομένων στις τρίτες χώρες, πρέπει η αξιολόγηση για την επάρκεια της προστασίας και η επιβολή της εφαρμογής κάθε απόφασης, που βασίζεται στο άρθρο 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ, να γίνονται με τρόπο που να μην επιφέρει αυθαίρετες ή αδικαιολόγητες διακρίσεις εις βάρος ή μεταξύ τρίτων χωρών στις οποίες επικρατούν παρόμοιες συνθήκες ούτε να αποτελεί συγκεκαλυμμένο εμπόδιο για τις εμπορικές συναλλαγές, λαμβανομένων υπόψη των σημερινών διεθνών δεσμεύσεων της Κοινότητας.

(5) Όσον αφορά την Ελβετική Συνομοσπονδία, οι κανόνες δικαίου στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα παράγουν δεσμευτικές έννομες συνέπειες τόσο σε ομοσπονδιακό επίπεδο όσο και σε επίπεδο καντονίων.

(6) Το ομοσπονδιακό σύνταγμα, το οποίο τροποποιήθηκε με δημοψήφισμα στις 18 Απριλίου 1999 με έναρξη ισχύος την 1η Ιανουαρίου 2000, αναγνωρίζει σε κάθε άτομο το δικαίωμα σεβασμού της ιδιωτικής του ζωής, και ιδιαίτερα το δικαίωμα να προστατεύεται από την καταχρηστική χρήση των δεδομένων που το αφορούν. Το ομοσπονδιακό δικαστήριο έχει αναπτύξει, βάσει της προηγούμενης διατύπωσης του συντάγματος, η οποία δεν περιείχε ανάλογη διάταξη, νομολογία η οποία καθορίζει τις γενικές αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα όσον αφορά, ειδικότερα, την ποιότητα των δεδομένων που υποβάλλονται σε επεξεργασία, το δικαίωμα πρόσβασης των θιγομένων ατόμων και το δικαίωμά τους να ζητήσουν τη διόρθωση ή την καταστροφή των δεδομένων. Οι αρχές αυτές είναι δεσμευτικές τόσο για την Ελβετική Συνομοσπονδία όσο και για κάθε καντόνι.

(7) Ο ελβετικός νόμος για την προστασία των δεδομένων, της 19ης Ιουνίου 1992, άρχισε να ισχύει την 1η Ιουλίου 1993. Οι λεπτομέρειες εφαρμογής ορισμένων διατάξεων του νόμου, που αφορούν, ειδικότερα, το δικαίωμα πρόσβασης των ατόμων, τη δήλωση της επεξεργασίας στην αρμόδια ελεγκτική αρχή ή τη διαβίβαση δεδομένων στην αλλοδαπή, καθορίστηκαν με αποφάσεις του Ομοσπονδιακού Συμβουλίου. Ο νόμος καλύπτει τις επεξεργασίες δεδομένων προσωπικού χαρακτήρα που πραγματοποιούνται από τα ομοσπονδιακά όργανα και από το σύνολο του ιδιωτικού τομέα, καθώς και τις επεξεργασίες που πραγματοποιούνται από τα όργανα των καντονίων σύμφωνα με το ομοσπονδιακό δίκαιο, όταν αυτή η επεξεργασία δεν υπόκειται σε διατάξεις προστασίας των δεδομένων των καντονίων.

(8) Τα περισσότερα καντόνια έχουν εκδώσει νομοθεσία για την προστασία των δεδομένων στους τομείς που εμπίπτουν στις αρμοδιότητές τους και οι οποίοι αφορούν, ειδικότερα, τα δημόσια νοσοκομεία, την παιδεία, τους άμεσους φόρους και την αστυνομία. Στα άλλα καντόνια, η επεξεργασία των δεδομένων διέπεται από πράξεις κανονιστικής φύσης ή από τις αρχές που έχει αναπτύξει η νομολογία. Τα καντόνια, ανεξάρτητα από την πηγή και το περιεχόμενο των διατάξεών τους, ή ακόμη και αν δεν υπάρχουν σχετικές διατάξεις, πρέπει να σέβονται τις συνταγματικές αρχές. Στο πλαίσιο των αρμοδιοτήτων τους, οι αρχές των καντονίων ενδέχεται να χρειαστεί να διαβιβάσουν δεδομένα προσωπικού χαρακτήρα στις δημόσιες αρχές των γειτονικών χωρών, κυρίως για το σκοπό της αμοιβαίας συνδρομής με σκοπό την προάσπιση σημαντικών δημοσίων συμφερόντων ή, στην περίπτωση των δημόσιων νοσοκομείων, τη διαφύλαξη ζωτικού συμφέροντος των ενδιαφερομένων προσώπων.

(9) Η Ελβετία κύρωσε, στις 2 Οκτωβρίου 1997, τη σύμβαση του Συμβουλίου της Ευρώπης για την προστασία των φυσικών προσώπων από την αυτόματη επεξεργασία δεδομένων προσωπικού χαρακτήρα (σύμβαση αριθ. 108)(3), η οποία αποβλέπει στην ενίσχυση της προστασίας των δεδομένων προσωπικού χαρακτήρα και στη διασφάλιση της ελεύθερης κυκλοφορίας μεταξύ των συμβαλλομένων μερών, με την επιφύλαξη των εξαιρέσεων που ενδέχεται να προβλέψουν τα εν λόγω μέρη. Η σύμβαση αυτή, χωρίς να είναι άμεσα εφαρμοστέα, επιβάλλει ωστόσο διεθνείς υποχρεώσεις τόσο στην ομοσπονδία όσο και στα καντόνια. Οι υποχρεώσεις αυτές αφορούν τόσο τις βασικές αρχές προστασίας τις οποίες πρέπει να εφαρμόζει κάθε συμβαλλόμενο μέρος στο εσωτερικό δίκαιό του, όσο και τους μηχανισμούς συνεργασίας μεταξύ των συμβαλλομένων μερών. Ειδικότερα, οι αρμόδιες ελβετικές αρχές πρέπει να παρέχουν, στις αρχές των άλλων συμβαλλομένων μερών που το ζητούν, κάθε πληροφορία για τη νομική και διοικητική πρακτική σχετικά με την προστασία των δεδομένων και όλους τους ειδικούς φορείς αυτόματης επεξεργασίας των δεδομένων. Οι εν λόγω αρχές πρέπει επίσης να παρέχουν αρωγή σε κάθε φυσικό πρόσωπο που κατοικεί στην αλλοδαπή για την άσκηση του δικαιώματός του να ενημερώνεται σχετικά με την ύπαρξη μιας επεξεργασίας δεδομένων που το αφορά, του δικαιώματός του να έχει πρόσβαση στα δεδομένα αυτά, του δικαιώματός του να ζητά, εφόσον συντρέχει περίπτωση, τη διόρθωση ή τη διαγραφή των εν λόγω δεδομένων, καθώς και του δικαιώματός του για έννομη προστασία.

(10) Οι κανόνες δικαίου που ισχύουν στην Ελβετία περιλαμβάνουν όλες τις βασικές αρχές που απαιτούνται για την εξασφάλιση ικανοποιητικού επιπέδου προστασίας των φυσικών προσώπων, παρά το γεγονός ότι προβλέπονται εξαιρέσεις και περιορισμοί προκειμένου να διασφαλιστούν σημαντικά δημόσια συμφέροντα. Η εφαρμογή των εν λόγω κανόνων δικαίου κατοχυρώνεται με έννομη προστασία, καθώς και από τον ανεξάρτητο έλεγχο τον οποίο ασκούν οι αρχές, όπως ο ομοσπονδιακός επίτροπος που διαθέτει εξουσίες έρευνας και παρέμβασης. Επιπροσθέτως, οι διατάξεις του ελβετικού δικαίου σχετικά με την αστική ευθύνη ισχύουν στην περίπτωση αθέμιτης επεξεργασίας η οποία θίγει τα ενδιαφερόμενα πρόσωπα.

(11) Για λόγους διαφάνειεας και προκειμένου να διαφυλαχθεί η δυνατότητα των αρμόδιων αρχών των κρατών μελών να διασφαλίζουν την προστασία των προσώπων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα που τα αφορούν, είναι απαραίτητο να ορίζονται στην απόφαση οι εξαιρετικές περιστάσεις κάτω από τις οποίες πρέπει να δικαιολογείται η αναστολή συγκεκριμένων διαβιβάσεων δεδομένων, παρά τη διαπίστωση περί ικανοποιητικού επιπέδου προστασίας.

(12) Η ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που συστάθηκε βάσει του άρθρου 29 της οδηγίας 95/46/ΕΚ, έχει διατυπώσει γνωμοδότηση σχετικά με το επίπεδο της προστασίας που παρέχει το ελβετικό δίκαιο. Η γνωμοδότηση αυτή ελήφθη υπόψη κατά την εκπόνηση της παρούσας απόφασης(4).

(13) Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνώμη της επιτροπής που συστάθηκε βάσει του άρθρου 31 της οδηγίας 95/46/ΕΚ,

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:

Άρθρο 1

Για τους σκοπούς του άρθρου 25 παράγραφος 2 της οδηγίας 95/46/ΕΚ, για όλες τις δραστηριότητες που εμπίπτουν στο πεδίο εφαρμογής της οδηγίας, η Ελβετική Συνομοσπονδία θεωρείται ότι εξασφαλίζει ικανοποιητικό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα τα οποία διαβιβάζονται από την Κοινότητα.

Άρθρο 2

Η παρούσα απόφαση αφορά μόνο την επάρκεια της προστασίας που παρέχεται στην Ελβετία από άποψη τήρησης των απαιτήσεων του άρθρου 25 παράγραφος 1 της οδηγίας 95/46/ΕΚ και δεν επηρεάζει την εφαρμογή άλλων προϋποθέσεων ή περιορισμών, κατ' εφαρμογή άλλων διατάξεων της εν λόγω οδηγίας, οι οποίες αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη.

Άρθρο 3

1. Με την επιφύλαξη των εξουσιών τους να αναλαμβάνουν δράση ώστε να διασφαλίζουν την τήρηση των εθνικών διατάξεων που εκδίδονται βάσει διατάξεων άλλων εκτός του άρθρου 25 της οδηγίας 95/46/ΕΚ, οι αρμόδιες αρχές των κρατών μελών δύνανται να ασκούν τις εξουσίες που διαθέτουν για να αναστέλλουν τη ροή δεδομένων προς αποδέκτη που βρίσκεται στην Ελβετία, προκειμένου να προτατεύουν τα φυσικά πρόσωπα έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, στις περιπτώσεις όπου:

α) αρμόδια ελβετική αρχή έχει διαπιστώσει ότι ο αποδέκτης παραβιάζει τους εφαρμοστέους κανόνες δικαίου προστασίας, ή

β) υπάρχει βάσιμη πιθανότητα παραβίασης των κανόνων δικαίου προστασίας· υπάρχει βάσιμη πεποίθηση ότι η αρμόδια ελβετική αρχή δεν προέβη ή δεν πρόκειται να προβεί εγκαίρως στις ενδεικνυόμενες ενέργειες ώστε να διευθετήσει το επίμαχο ζήτημα· η συνεχιζόμενη διαβίβαση ενδέχεται να προκαλέσει άμεσο κίνδυνο σοβαρής ζημίας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα και οι αρμόδιες αρχές του κράτους μέλους κατέβαλαν, υπό τις επικρατούσες περιστάσεις, κάθε δυνατή προσπάθεια για να απευθύνουν προειδοποίηση στο αρμόδιο για την επεξεργασία μέρος που είναι εγκατεστημένο στην Ελβετία και να του δώσουν τη δυνατότητα να αντιδράσει.

Η αναστολή της ροής δεδομένων λήγει αμέσως μόλις εξασφαλιστεί η τήρηση των κανόνων προστασίας και ενημερωθεί σχετικά με οικεία αρμόδια αρχή της Κοινότητας.

2. Τα κράτη μέλη ενημερώνουν την Επιτροπή αμελλητί στις περιπτώσεις όπου λαμβάνονται μέτρα βάσει της παραγράφου 1.

3. Τα κράτη μέλη και η Επιτροπή ενημερώνονται αμοιβαία για τις περιπτώσεις όπου η δράση των φορέων που είναι αρμόδιοι για τη διασφάλιση συμμόρφωσης προς τους κανόνες προστασίας στην Ελβετία αποτυγχάνει να διασφαλίσει την εν λόγω συμμόρφωση.

4. Αν από τις πληροφορίες που συλλέγονται, δυνάμει των διατάξεων των παραγράφων 1, 2 και 3, προκύπτει ότι οποιοσδήποτε φορέας που είναι αρμόδιος για τη διασφάλιση συμμόρφωσης προς τους κανόνες προστασίας στην Ελβετία δεν εκπληρώνει αποτελεσματικά την αποστολή του, η Επιτροπή ενημερώνει σχετικά την αρμόδια ελβετική αρχή και, εάν κρίνεται απαραίτητο, υποβάλλει σχέδιο μέτρων σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 31 της οδηγίας 95/46/ΕΚ με σκοπό την κατάργηση ή την αναστολή της παρούσας απόφασης ή τον περιορισμό του πεδίου εφαρμογής της.

Άρθρο 4

1. Η παρούσα απόφαση δύναται να τροποποιείται ανά πάσα στιγμή υπό το φως των εμπειριών που αφορούν την εφαρμογή της ή αλλαγών στην ελβετική νομοθεσία.

Η Επιτροπή αξιολογεί την εφαρμογή της παρούσας απόφασης, βάσει των διαθέσιμων πληροφοριών, τρία χρόνια μετά την κοινοποίησή της στα κράτη μέλη και ανακοινώνει τα σχετικά πορίσματα στην επιτροπή που συστάθηκε δυνάμει του άρθρου 31 της οδηγίας 95/46/ΕΚ, συμπεριλαμβανομένων οποιωνδήποτε αποδεικτικών στοιχείων τα οποία θα ήταν δυνατόν να επηρεάσουν την εκτίμηση, βάσει του άρθρου 1 της παρούσας απόφασης, σύμφωνα με την οποία η Ελβετία παρέχει ικανοποιητικό επίπεδο προστασίας, κατά την έννοια του άρθρου 25 της οδηγίας 95/46/ΕΚ, καθώς και οποιωνδήποτε αποδεικτικών στοιχείων ότι η απόφαση εφαρμόζεται κατά τρόπο που επιφέρει διακρίσεις.

2. Η Επιτροπή υποβάλλει, εφόσον χρειάζεται, σχέδιο μέτρων σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 31 της οδηγίας 95/46/ΕΚ.

Άρθρο 5

Τα κράτη μέλη λαμβάνουν όλα τα απαραίτητα μέτρα για να συμμορφωθούν με την παρούσα απόφαση το αργότερο εντός 90 ημερών μετά την ημερομηνία κοινοποίησής της στα κράτη μέλη.

Άρθρο 6

Η παρούσα απόφαση απευθύνεται στα κράτη μέλη.

Βρυξέλλες, 26 Ιουλίου 2000.

Για την Επιτροπή

Frederik Bolkestein

Μέλος της Επιτροπής

(1) ΕΕ L 281 της 23.11.1995, σ. 31.

(2) Γνώμη 12/98, η οποία εκδόθηκε από την ομάδα προστασίας στις 24 Ιουλίου 1998: "Διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες, κατ' εφαρμογή των άρθρων 25 και 26 της κοινοτικής οδηγίας για την προστασία των δεδομένων" (ΓΔ MARKT D/5025/98). Βλέπε διαδίκτυο στην ακόλουθη διεύθυνση: http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.

(3) Βλέπε διαδίκτυο στη διεύθυνση: http://conventions.coe.int/treaty/EN/cadreintro.htm.

(4) Γνώμη 5/1999 που εξέδωσε η ομάδα προστασίας στις 7 Ιουνίου 1999 (ΓΔ MARKT 5054/1999). Βλέπε διαδίκτυο στη διεύθυνση που αναφέρεται στην υποσημείωση 2.