Komission päätös,

tehty 26 päivänä heinäkuuta 2000,

Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisesti henkilötietojen riittävästä suojasta Sveitsissä

(tiedoksiannettu numerolla K(2000) 2304)

(ETA:n kannalta merkityksellinen teksti)

(2000/518/EY)

EUROOPAN YHTEISÖJEN KOMISSIO, joka

ottaa huomioon Euroopan yhteisön perustamissopimuksen,

ottaa huomioon yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY(1) ja erityisesti 25 artiklan 6 kohdan,

sekä katsoo seuraavaa:

(1) Direktiivin 95/46/EY mukaan jäsenvaltioiden on säädettävä siitä, että henkilötietoja voidaan siirtää kolmansiin maihin ainoastaan, jos kyseisessä kolmannessa maassa turvataan tietosuojan riittävä taso ja direktiivin muiden säännösten täytäntöönpanemiseksi annettuja jäsenvaltioiden lakeja noudatetaan ennen tietojen siirtämistä.

(2) Komissio voi todeta, että kolmas maa turvaa tietosuojan riittävän tason. Henkilötietojen siirtäminen jäsenvaltioista voidaan tässä tapauksessa sallia ilman lisätakeita.

(3) Direktiivin 95/46/EY mukaisesti tietosuojan taso olisi arvioitava kaikkien tiettyyn siirtoon tai siirtojen ryhmään liittyvien olosuhteiden osalta. Direktiivin mukaisesti perustettu tietosuojatyöryhmä on antanut ohjeet arvioinnin tekemisestä(2).

(4) Koska kolmannet maat suhtautuvat eri tavoin tietosuojaan, tietosuojan riittävyys olisi arvioitava ja kaikki direktiivin 95/46/EY 25 artiklan 6 kohtaan perustuvat päätökset olisi pantava täytäntöön tavalla, joka ei mielivaltaisesti tai epäoikeudenmukaisesti syrji mitään kolmatta maata tai tee eroa niiden välillä, jos niissä vallitsevat samanlaiset olosuhteet, tai muodosta peiteltyä kaupan estettä yhteisön nykyiset kansainväliset sitoumukset huomioon ottaen.

(5) Sveitsin valaliitossa on henkilötietojen suojan alalla voimassa oikeusnormit, joilla on sitova oikeusvaikutus sekä liittovaltion että kantonien tasolla.

(6) Liittovaltion perustuslailla, jota muutettiin kansanäänestyksellä 18 päivänä huhtikuuta 1999 ja joka tuli voimaan 1 päivänä tammikuuta 2000, turvataan kaikille henkilöille oikeus yksityisyyden suojaan ja erityisesti oikeus suojaan henkilötietojen väärinkäyttöä vastaan. Liittovaltion tuomioistuimen jo perustuslain, johon ei sisältynyt tällaista säännöstä, mukaan muotoutuneessa oikeuskäytännössä vahvistettin yleiset periaatteet, joita sovelletaan henkilötietojen käsittelyyn ja jotka koskevat erityisesti käsiteltyjen tietojen laatua, asianomaisten henkilöiden tiedonsaantioikeutta sekä oikeutta pyytää tietojen korjaamista tai hävittämistä. Niitä periaatteita sovelletaan sekä liittovaltion että kantonien tasolla.

(7) Tietosuojasta 19 päivänä kesäkuuta 1992 annettu Sveitsin liittovaltion laki tuli voimaan 1 päivänä heinäkuuta 1993. Liittoneuvosto on asetuksilla vahvistanut yksityiskohtaiset soveltamissäännöt tietyille lain säännöksille, jotka koskevat erityisesti henkilöiden tiedonsaantioikeutta, käsittelyn ilmoittamista riippumattomalle valvontaviranomaiselle tai tietojen siirtämistä ulkomaille. Lakia sovelletaan liittovaltion elinten ja koko yksityissektorin suorittamaan henkilötietojen käsittelyyn sekä kantonien elinten suorittamaan käsittelyyn liittovaltion lain mukaisesti, kun kyseisiin käsittelyihin ei sovelleta kantonien tietosuojaa koskevia säännöksiä.

(8) Useimmat kantonit ovat antaneet tietosuojaa koskevaa lainsäädäntöä aloilla, jotka kuuluvat niiden toimivaltaan ja joita ovat erityisesti yleiset sairaalat, opetus, kantonien perimät välittömät verot ja poliisitoimi. Muissa kantoneissa tietojen käsittelyä ohjaavat ohjesäännön tasoiset määräykset tai kantonien oikeuskäytännössä muotoutuneet periaatteet. Kantonien säännösten alkuperästä ja sisällöstä riippumatta tai kantonien säännösten puuttuessa kantonien on noudatettava perustuslaillisia periaatteita. Toimivaltaansa kuuluvilla aloilla kantonien viranomaiset voivat joutua siirtämään henkilötietoja naapurivaltioiden viranomaisille ensisijaisesti keskinäisen avun antamiseksi merkittävien yleisten etujen turvaamiseksi tai yleisten sairaaloiden ollessa kyseessä asianomaisten henkilöiden elämän suojelemiseksi.

(9) Sveitsi ratifioi 2 päivänä lokakuuta 1997 yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn Euroopan neuvoston yleissopimuksen (yleissopimus N:o 108)(3), jonka tarkoituksena on vahvistaa henkilötietojen suojaa ja varmistaa vapaa liikkuvuus sopimuspuolten välillä niiden asettamien ehtojen mukaisesti. Vaikka yleissopimusta ei sellaisenaan sovelleta, sillä määrätään sekä liittovaltion että kantonien kansainvälisistä sitoumuksista. Sitoumukset koskevat sekä suojan perusperiaatteita, jotka sopimuspuolten on saatettava voimaan lainsäädännössään, että sopimuspuolten keskinäisen yhteistyön mekanismeja. Sveitsin toimivaltaisten viranomaisten on erityisesti annettava muiden sopimuspuolten viranomaisille niiden pyynnöstä kaikki tiedot tietosuojaa koskevasta lainsäädännöstä ja hallinnollisesta käytännöstä sekä tiettyyn automaattiseen tietojenkäsittelyyn liittyvät tiedot. Niiden on myös autettava kaikkia ulkomailla asuvia henkilöitä käyttämään oikeuttaan saada tietää itseään koskevien rekisteritietojen käsittelystä, saada itseään koskevat tiedot, pyytää tietojen mahdollista korjaamista tai poistamista ja hakea muutosta.

(10) Sveitsissä sovellettaviin oikeusnormeihin sisältyvät kaikki perusperiaatteet, joita tarvitaan sen toteamiseksi, että luonnollisten henkilöiden suojelun taso on riittävä, vaikka tärkeiden yleisten etujen turvaamiseksi säädetään myös poikkeuksista ja rajoituksista. Näiden normien soveltaminen taataan muutoksenhakukeinoin ja riippumattomalla valvonnalla, jota suorittavat viranomaiset, kuten tutkinta- ja interventiovaltuudet omaava liittovaltion asiamies. Lisäksi vahinkoa aiheuttaneeseen laittomaan käsittelyyn sovelletaan Sveitsin lainsäädännön siviilioikeudelliseen vastuuseen liittyviä säännöksiä.

(11) Avoimuuden saavuttamiseksi ja sen turvaamiseksi, että jäsenvaltioiden toimivaltaiset viranomaiset kykenevät varmistamaan yksityishenkilöiden suojelun henkilötietoja käsiteltäessä, päätöksessä on tarpeen määritellä poikkeukselliset olot, joissa tiettyjen tiedonsiirtojen keskeyttäminen on perusteltua siitä huolimatta, että tietosuojan taso on todettu riittäväksi.

(12) Direktiivin 95/46/EY 29 artiklalla perustettu tietosuojatyöryhmä on antanut lausunnon Sveitsin lain tietosuojan tasosta(4), ja lausunto on otettu huomioon tätä päätöstä laadittaessa.

(13) Tässä päätöksessä säädetyt toimenpiteet ovat direktiivin 95/46/EY 31 artiklalla perustetun komitean lausunnon mukaiset,

ON TEHNYT TÄMÄN PÄÄTÖKSEN:

1 artikla

Direktiivin 95/46/EY 25 artiklan 2 kohdan osalta Sveitsin katsotaan tarjoavan kaikessa direktiivin soveltamisalaan kuuluvassa toiminnassa henkilötietojen suojan riittävän tason yhteisöstä siirrettäville henkilötiedoille.

2 artikla

Tämä päätös koskee ainoastaan Sveitsissä säädetyn tietosuojan riittävyyttä direktiivin 95/46/EY 25 artiklan 1 kohdan vaatimusten mukaisesti, eikä se vaikuta muihin sellaisiin ehtoihin tai rajoituksiin, joilla pannaan täytäntöön direktiivin muita, henkilötietojen käsittelyä jäsenvaltioissa koskevia säännöksiä.

3 artikla

1. Rajoittamatta jäsenvaltioiden toimivaltaisten viranomaisten valtuuksia toteuttaa toimenpiteitä direktiivin 95/46/EY muiden kuin 25 artiklan säännösten noudattamiseksi annettujen kansallisten säännösten noudattamisen varmistamiseksi, jäsenvaltioiden toimivaltaiset viranomaiset voivat käyttää nykyisiä valtuuksiaan Sveitsissä olevalle vastaanottajalle toimitettavien tietojen siirron keskeyttämiseksi yksityishenkilöiden suojelemiseksi heitä koskevien henkilötietojen käsittelemisen osalta tapauksissa, joissa:

a) Sveitsin toimivaltainen viranomainen on todennut, että tietojen vastaanottaja rikkoo sovellettavia suojanormeja; tai

b) on ilmeisen todennäköistä, että suojanormeja rikotaan; voidaan perustellusti olettaa, että Sveitsin toimivaltainen viranomainen ei ole toteuttanut tai toteuta ajoissa tarvittavia toimenpiteitä kyseessä olevan tapauksen ratkaisemiseksi; siirron jatkaminen aiheuttaisi välittömän, vakavan haitan vaaran rekisteröidyille ja jäsenvaltion toimivaltaiset viranomaiset ovat olosuhteisiin nähden kohtuullisessa määrin pyrkineet antamaan tietojen käsittelystä vastaavalle Sveitsiin sijoittautuneelle osapuolelle ilmoituksen ja tilaisuuden vastata siihen.

Keskeyttäminen lakkaa heti, kun suojanormien noudattaminen on varmistunut ja asianomaiselle yhteisön toimivaltaiselle viranomaiselle siitä ilmoitettu.

2. Jäsenvaltioiden on ilmoitettava viipymättä komissiolle 1 kohdan mukaisesti toteutetuista toimenpiteistä.

3. Jäsenvaltiot ja komissio ilmoittavat toisilleen myös tapauksista, joissa suojanormien noudattamisen varmistamisesta Sveitsissä vastuussa olevat elimet eivät voi varmistaa noudattamista.

4. Jos 1, 2 ja 3 kohdan mukaisesti saadut tiedot osoittavat, että jokin suojanormien noudattamisen varmistamisesta Sveitsissä vastuussa oleva elin ei tosiasiallisesti hoida tehtäväänsä, komissio tiedottaa asiasta Sveitsin toimivaltaiselle viranomaiselle ja esittää tarvittaessa direktiivin 95/46/EY 31 artiklassa säädettyä menettelyä noudattaen luonnoksen toimenpiteistä, joiden tarkoituksena on kumota tämä päätös tai lykätä sen soveltamista taikka rajoittaa sen soveltamisalaa.

4 artikla

1. Tätä päätöstä voidaan muuttaa milloin tahansa sen toiminnasta saatujen kokemusten perusteella tai Sveitsin lainsäädännön muuttuessa.

Komissio arvioi käytettävissä olevien tietojen perusteella tämän päätöksen toimintaa, kun päätöksen antamisesta tiedoksi jäsenvaltioille on kulunut kolme vuotta, ja toimittaa direktiivin 95/46/EY 31 artiklalla perustetulle komitealle kaikki olennaiset havainnot, myös kaikki todisteet, jotka voivat vaikuttaa tämän päätöksen 1 artiklan mukaiseen arvioon siitä, onko tietosuojan taso Sveitsissä direktiivin 95/46/EY 25 artiklassa tarkoitetussa merkityksessä riittävä, ja kaikki todisteet päätöksen syrjivästä soveltamisesta.

2. Komissio tekee tarvittaessa ehdotuksen toteutettavista toimenpiteistä direktiivin 95/46/EY 31 artiklassa säädettyä menettelyä noudattaen.

5 artikla

Jäsenvaltioiden on toteutettava kaikki tämän päätöksen noudattamisen edellyttämät toimenpiteet viimeistään yhdeksänkymmenen päivän kuluessa siitä päivästä, jona se on annettu tiedoksi jäsenvaltioille.

6 artikla

Tämä päätös on osoitettu kaikille jäsenvaltioille.

Tehty Brysselissä 26 päivänä heinäkuuta 2000.

Komission puolesta

Frederik Bolkestein

Komission jäsen

(1) EYVL L 281, 23.11.1995, s. 31.

(2) Työryhmän 24 päivänä heinäkuuta 1998 antama lausunto 12/98: "Henkilötietojen siirto kolmansiin maihin: EU:n tietosuojadirektiivin 25 ja 26 artiklan soveltaminen" (PO MARKT D/5025/98), ks. Internet-osoite http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.

(3) Ks. Internet-osoite http://conventions.coe.int/treaty/EN/cadreintro.htm.

(4) Työryhmän 7 päivänä kesäkuuta 1999 antama lausunto 5/99 (PO MARKT 5054/99), ks. Internet-osoite alaviitteessä 2.