32000D0518

Komisjoni otsus,

26. juuli 2000,

isikuandmete piisava kaitse kohta Šveitsis vastavalt Euroopa Parlamendi ja nõukogu direktiivile 95/46/EÜ

(teatavaks tehtud numbri K(2000) 2304 all)

(EMPs kohaldatav tekst)

(2000/518/EÜ)

EUROOPA ÜHENDUSTE KOMISJON,

võttes arvesse Euroopa Ühenduse asutamislepingut,

võttes arvesse Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta, [1] eriti selle artikli 25 lõiget 6,

ning arvestades järgmist:

(1) Direktiivi 95/46/EÜ kohaselt peavad liikmesriigid sätestama, et isikuandmeid võib kolmandasse riiki edastada üksnes juhul, kui kõnealuses kolmandas riigis on tagatud nende kaitse piisav tase ning enne andmete edastamist järgitakse direktiivi muude sätete rakendamist käsitlevaid liikmesriigi õigusakte.

(2) Komisjon võib jõuda järeldusele, et kolmas riik tagab kaitse piisava taseme. Sel juhul võib liikmesriikidest isikuandmeid edastada ilma lisatagatisteta.

(3) Direktiivi 95/46/EÜ kohaselt tuleb andmekaitse taseme hindamisel silmas pidada kõiki andmete edastamise toimingute või andmete edastamise toimingute kogumi asjaolusid ning konkreetseid tingimusi. Kõnealuse direktiivi kohaselt moodustatud töörühm üksikisikute kaitseks seoses isikuandmete töötlemisega on välja andnud selliseid hindamisi käsitlevad juhised [2].

(4) Kuna kolmandad riigid suhtuvad andmekaitsesse erineval viisil, tuleks hinnata andmekaitse piisavust ning jõustada kõik direktiivi 95/46/EÜ artikli 25 lõikel 6 põhinevad otsused viisil, mis ei tekitaks meelevaldset või põhjendamatut diskrimineerimist selliste kolmandate riikide vastu või vahel, kus valitsevad samasugused tingimused, või kaubanduse varjatud piiramist, võttes arvesse ühenduse kehtivaid rahvusvahelisi kohustusi.

(5) Šveitsi Konföderatsioonis on isikuandmete kaitset käsitlevad õigusnormid õiguslikult siduvad nii föderaalsel kui ka kantonite tasandil.

(6) Föderaalse põhiseadusega, mida muudeti 18. aprilli 1999. aasta rahvahääletusel ning mis jõustus 1. jaanuaril 2000, on igale isikule tagatud õigus eraelu puutumatuse kaitsele ning eelkõige kaitsele tema isikuandmete väärkasutamise eest. Eelmise põhiseaduse alusel, mis ei sisaldanud selliseid sätteid, lõi föderaalne kohus pretsedendiõiguse, milles sätestatakse isikuandmete töötlemisel kohaldatavad üldised põhimõtted, mis käsitlevadeelkõige töödeldavate andmete kvaliteeti, asjaomaste isikute õigust tutvuda andmetega ning õigust taotleda andmete parandamist või hävitamist. Need põhimõtted on siduvad nii föderaalsel kui ka kantonite tasandil.

(7) Šveitsi Konföderatsiooni 19. juuni 1992. aasta andmekaitseseadus jõustus 1. juulil 1993. Liidunõukogu korraldusega on sätestatud selle seaduse teatavate sätete rakenduseeskirjad, mis käsitlevad eelkõige asjaomaste isikute õigust tutvuda andmetega, sõltumatu järelevalveasutuse teavitamist andmetöötlustoimingutest ning andmete edastamist välisriiki. Seadust kohaldatakse föderaalorganite ja kogu erasektori teostatavate isikuandmete töötlemise toimingute suhtes ning kantoni asutuste teostatavate andmetöötlustoimingute suhtes kooskõlas föderaalõigusega, kui sellise töötlemise suhtes ei kohaldata kantonites kehtivaid andmekaitsesätteid.

(8) Enamik kantoneid on vastu võtnud andmekaitset käsitlevad õigusaktid nende pädevusse kuuluvates valdkondades, mis hõlmavad eelkõige riigihaiglaid, haridust, kantonite otseseid makse ja politseitegevust. Ülejäänud kantonites kohaldatakse andmekaitse suhtes reguleerivaid akte või kantonite pretsedendiõigusest tulenevaid põhimõtteid. Kantonite õigusnormide päritolust ja sisust hoolimata ning samuti kantonite õigusnormide puudumisel peavad kantonid siiski järgima põhiseaduslikke põhimõtteid. Võib osutuda vajalikuks, et kantoni ametiasutused peavad oma vastutusala raames edastama isikuandmeid naaberriikide riigiasutustele peamiselt vastastikuse abi eesmärgil tähtsate üldiste huvide kaitseks või, kui tegemist on riigihaiglatega, asjaomaste isikute eluliste huvide kaitseks.

(9) 2. oktoobril 1997 ratifitseeris Šveits Euroopa Nõukogu konventsiooni isikute kaitse kohta isikuandmete automatiseeritud töötlemisel [3] (konventsioon nr 108), mille eesmärk on kindlustada isikuandmete kaitset ja tagada lepinguosaliste vaheline vaba ringlus kooskõlas nende poolt sätestatavate võimalike eranditega. Ehkki konventsioon ei ole vahetult kohaldatav, on selles sätestatud nii föderatsiooni kui ka kantonite rahvusvahelised kohustused. Lisaks andmekaitse üldpõhimõtetele, mida iga lepinguosaline peab oma siseriikliku õiguse raames rakendama, hõlmavad need kohustused ka lepinguosaliste koostöömehhanisme. Šveitsi pädevad ametiasutused on eelkõige kohustatud esitama teiste lepinguosaliste ametiasutustele nende taotluse korral igasugust teavet andmekaitset käsitlevate õigusaktide ja haldustavade kohta ning teavet andmete automatiseeritud töötlemise konkreetsete juhtude kohta. Lisaks peavad nad abistama välismaal elavaid isikuid, kes soovivad kasutada oma õigust saada teavet enda isikuandmete võimaliku töötlemise kohta, õigust saada juurdepääs oma isikuandmetele või taotleda nende parandamist või hävitamist, ning õigust kasutada õiguskaitsevahendeid.

(10) Šveitsis kohaldatavad õigusnormid hõlmavad kõiki üldpõhimõtteid, mis on vajalikud füüsiliste isikute kaitse piisava taseme tagamiseks, kuid samal ajal sätestatakse tähtsate üldiste huvide kaitse eesmärgil ka teatavad erandid ja piirangud. Nende normide kohaldamine tagatakse õiguskaitsevahendite kaudu ja sõltumatu järelevalve abil, mida teostavad ametiasutused, näiteks uurimis- ja sekkumisvolitusi omav föderatsiooni volinik. Peale selle kohaldatakse asjaomastele isikutele kahju tekitanud õigusvastase töötlemise korral Šveitsis kehtivaid tsiviilvastutust käsitlevaid sätteid.

(11) Selguse ja arusaadavuse huvides ning võimaldamaks liikmesriikide pädevatel ametiasutustel tagada üksikisikute kaitset nende isikuandmete töötlemisel, tuleb käesolevas otsuses kindlaks määrata need erandlikud asjaolud, mille korral teatava andmevahetuse peatamine on põhjendatud olenemata sellest, et andmete kaitsetase on tunnistatud piisavaks.

(12) Direktiivi 95/47/EÜ artikli 29 kohaselt moodustatud töörühm üksikisikute kaitseks seoses isikuandmete töötlemisega on esitanud arvamuse Šveitsi seadustega tagatud kaitsetaseme kohta, ning seda arvamust on arvesse võetud käesoleva otsuse koostamisel [4].

(13) Käesoleva otsusega ettenähtud meetmed on kooskõlas direktiivi 95/46/EÜ artikli 31 alusel loodud komitee arvamusega,

ON VASTU VÕTNUD KÄESOLEVA OTSUSE:

Artikkel 1

Direktiivi 95/46/EÜ artikli 25 lõike 2 kohaldamisel leitakse, et Šveitsis on kõigi kõnealuse direktiivi reguleerimisalasse kuuluvate toimingute puhul tagatud ühendusest saadavate isikuandmete kaitse piisav tase.

Artikkel 2

Käesolev otsus käsitleb üksnes Šveitsis tagatava kaitse piisavat taset kooskõlas direktiivi95/46/EÜ artikli 25 lõike 1 nõuetega ning see ei mõjuta muid selliseid tingimusi või piiranguid, millega rakendatakse kõnealuse direktiivi muid sätteid, mis käsitlevad isikuandmete töötlemist liikmesriikides.

Artikkel 3

1. Ilma et see piiraks liikmesriikide pädevate ametiasutuste volitusi võtta meetmeid selliste siseriiklike sätete järgimise tagamiseks, mis on vastu võetud muude sätete alusel peale direktiivi 95/46/EÜ artikli 25, võivad need ametiasutused järgmistel juhtudel kasutada oma volitusi ka Šveitsis asuvale andmesaajale edastatavate andmete peatamiseks, et tagada üksikisikute kaitse seoses nende isikuandmete töötlemisega:

a) Šveitsi pädev ametiasutus on kindlaks teinud, et andmesaaja rikub kehtivaid kaitsenõudeid; või

b) on väga tõenäoline, et kaitsenõudeid rikutakse; on põhjust arvata, et Šveitsi pädev ametiasutus ei võta ega kavatse võtta õigeaegselt asjakohaseid meetmeid kõnealuse olukorra lahendamiseks; andmeedastuse jätkamine võib kujutada andmesubjektide jaoks vältimatut tõsise kahju ohtu ning liikmesriikide pädevad ametiasutused on asjaolusid arvestades võtnud piisavaid meetmeid Šveitsis asuva töötlemise eest vastutava osapoole teavitamiseks ja andnud talle võimaluse vastata.

Peatamine lõpetatakse kohe, kui on tagatud kaitsenõuete järgimine ning ühenduse asjaomasele pädevale ametiasutusele on sellest teatatud.

2. Liikmesriigid teatavad lõike 1 alusel võetud meetmetest viivitamata komisjonile.

3. Liikmesriigid ja komisjon teatavad üksteisele ka juhtudest, mil Šveitsis kaitsenõuete järgimise tagamise eest vastutavad organid ei suuda oma tegevuse kaudu nõuete järgimist tagada.

4. Kui lõigete 1, 2 ja 3 kohaselt kogutud teave tõendab, et mõni Šveitsis kaitsenõuete järgimise tagamise eest vastutav organ ei täida oma ülesandeid tõhusalt, teavitab komisjon Šveitsi pädevat ametiasutust ning esitab vajaduse korral direktiivi 95/46/EÜ artiklis 31 sätestatud korras eelnõud meetmete kohta, mille eesmärk on käesolev otsus kehtetuks tunnistada või peatada või piirata selle reguleerimisala.

Artikkel 4

1. Käesolevat otsust võib igal ajal muuta, võttes arvesse selle toimimisega seoses saadud kogemusi või Šveitsi õigusaktides tehtud muudatusi.

Kolm aastat pärast käesoleva otsuse teatavakstegemist liikmesriikidele hindab komisjon kättesaadava teabe alusel selle toimimist ning esitab direktiivi 95/46/EÜ artikli 31 alusel moodustatud komiteele aruande kõigi asjakohaste järelduste kohta, sealhulgas tõendid, mis võivad mõjutada käesoleva otsuse artiklis 1 esitatud järeldust, et Šveitsis pakutav kaitse on direktiivi 95/46/EÜ artikli 25 tähenduses piisav, ning tõendid selle kohta, et käesolevat otsust rakendatakse diskrimineerival viisil.

2. Komisjon esitab vajaduse korral meetmete eelnõud direktiivi 95/46/EÜ artiklis 31 sätestatud korras.

Artikkel 5

Liikmesriigid võtavad kõik käesoleva otsuse järgimiseks vajalikud meetmed hiljemalt 90 päeva möödumisel selle teatavaks tegemisest liikmesriikidele.

Artikkel 6

Käesolev otsus on adresseeritud liikmesriikidele.

Brüssel, 26. juuli 2000

Komisjoni nimel

komisjoni liige

Frederik Bolkestein

[1] EÜT L 281, 23.11.1995, lk 31.

[2] Arvamus 12/98, töörühma poolt vastu võetud 24.7.1998: "Isikuandmete edastamine kolmandatesse riikidesse. EL andmekaitsedirektiivi artiklite 25 ja 26 kohaldamine" (PD MARKT D/5025/98), kättesaadav Euroopa Komisjoni hallataval võrguleheküljel "Europa" järgmisel aadressil: http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.

[3] Kättesaadav võrguleheküljel järgmisel aadressil: http://conventions.coe.int/treaty/EN/cadreintro.htm.

[4] Arvamus 5/99, töörühma poolt vastu võetud 7.6.1999 (PD MARKT 5054/99), kättesaadav võrguleheküljel "Europa", vt joonealune märkus 2.

--------------------------------------------------