32000D0519

Beschikking van de Commissie

van 26 juli 2000

overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de passende bescherming van persoonsgegevens in Hongarije

(Kennisgeving geschied onder nummer C(2000) 2305)

(Voor de EER relevante tekst)

(2000/519/EG)

DE COMMISSIE VAN DE EUROPESE GEMEENSCHAPPEN,

Gelet op het Verdrag tot oprichting van de Europese Gemeenschap,

Gelet op Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(1), en met name op artikel 25, lid 6,

Overwegende hetgeen volgt:

(1) Overeenkomstig Richtlijn 95/46/EG moeten de lidstaten bepalen dat persoonsgegevens slechts naar een derde land mogen worden doorgegeven, indien dat land een passend beschermingsniveau waarborgt en de wetgeving van de lidstaat die is vastgesteld ter uitvoering van andere bepalingen van deze richtlijn al vóór de doorgifte wordt nageleefd.

(2) De Commissie kan vaststellen dat een derde land waarborgen voor een passend beschermingsniveau biedt. In dat geval kunnen persoonsgegevens zonder aanvullende garanties door de lidstaten worden doorgegeven.

(3) Overeenkomstig Richtlijn 95/46/EG dient het niveau van de gegevensbescherming te worden beoordeeld met inachtneming van alle omstandigheden waarin een gegevensdoorgifte of een categorie gegevensdoorgiften plaatsvindt, en moet in het bijzonder rekening worden gehouden met een aantal voorwaarden. De bij de richtlijn ingestelde Groep betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens heeft richtsnoeren voor een dergelijke beoordeling vastgesteld(2).

(4) Gezien de verschillende benaderingen van gegevensbescherming in derde landen moet de beoordeling van de gepastheid respectievelijk de toepassing van de besluiten op grond van artikel 25, lid 6, van Richtlijn 95/46/EG worden uitgevoerd op een wijze die geen willekeurige of onverantwoorde discriminatie tegen of tussen derde landen waar gelijksoortige voorwaarden gelden, noch een verkapte handelsbelemmering vormt, rekening gehouden met de internationale verbintenissen van de Gemeenschap.

(5) In Hongarije gelden voor de bescherming van persoonsgegevens juridisch bindende wettelijke normen.

(6) De bescherming van de persoonlijke levenssfeer, met name wat de verwerking van persoonsgegevens betreft, is in artikel 59 van de Hongaarse grondwet vastgelegd. De wettelijke bepalingen zijn vastgesteld bij Wet LXIII van 17 november 1992, die op 1 mei 1993 in werking is getreden. Ook diverse sectorspecifieke wetten bevatten bepalingen met betrekking tot de bescherming van persoonsgegevens op verschillende gebieden, zoals statistiek, marktverkenning, wetenschappelijk onderzoek en gezondheid.

(7) Hongarije heeft het Verdrag van de Raad van Europa tot bescherming van personen inzake de geautomatiseerde verwerking van persoonsgegevens (Verdrag nr. 108)(3) geratificeerd, dat op 1 februari 1998 van kracht is geworden en tot doel heeft de bescherming van persoonsgegevens te verbeteren en het vrije verkeer tussen de verdragsluitende partijen te garanderen, onder voorbehoud van eventuele uitzonderingen die deze partijen toestaan. Hoewel dit verdrag niet rechtstreeks van toepassing is, legt het Hongarije internationale verplichtingen op. Deze verplichtingen betreffen niet alleen de fundamentele beginselen van de gegevensbescherming die door elke verdragsluitende partij in nationaal recht moeten worden omgezet, maar ook de mechanismen voor samenwerking tussen de verdragsluitende partijen. In het bijzonder moeten de bevoegde Hongaarse autoriteiten de autoriteiten van de andere verdragsluitende partijen op verzoek alle informatie over het recht en de administratieve praktijk inzake gegevensbescherming doen toekomen, alsook specifieke informatie over een bepaalde geautomatiseerde verwerking verstrekken. Zij moeten ook bijstand verlenen aan in het buitenland woonachtige personen bij de uitoefening van hun recht om in kennis te worden gesteld van verwerkingen van hen betreffende gegevens, hun recht op toegang tot deze gegevens, hun recht om te vragen dat deze worden gerectificeerd of vernietigd en hun recht om beroep in rechte in te stellen.

(8) De in Hongarije toepasselijke wettelijke normen omvatten alle fundamentele beginselen die voor een passend beschermingsniveau voor natuurlijke personen vereist zijn, ook al zijn uitzonderingen en beperkingen vastgelegd om zwaarwegende algemene belangen te beschermen. De toepassing van deze wettelijke normen wordt gegarandeerd door de mogelijkheid van een beroep in rechte en door de onafhankelijke controle door de overeenkomstig wet LXIII van 1992 door het Parlement aangestelde commissaris. Het recht op schadeloosstelling van personen die schade hebben geleden door het oneigenlijke gebruik van hun persoonsgegevens is bij wet gewaarborgd.

(9) Ter wille van de doorzichtigheid en teneinde te garanderen dat de bevoegde autoriteiten in de lidstaten de personen wier persoonsgegevens worden verwerkt, kunnen beschermen, moet in deze beschikking worden aangegeven in welke buitengewone omstandigheden het gerechtvaardigd is specifieke gegevensstromen op te schorten, ook al is een passend beschermingsniveau vastgesteld.

(10) De op grond van artikel 29 van de richtlijn opgerichte Groep betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens heeft over het beschermingsniveau dat door het Hongaarse recht wordt geboden, een advies uitgebracht waarmee bij de voorbereiding van deze beschikking rekening is gehouden(4).

(11) De in deze beschikking vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 31 van Richtlijn 95/46/EG ingestelde comité,

HEEFT DE VOLGENDE BESCHIKKING GEGEVEN:

Artikel 1

Voor de toepassing van artikel 25, lid 2, van Richtlijn 95/46/EG op alle onder die richtlijn vallende activiteiten wordt Hongarije geacht een passend beschermingsniveau voor vanuit de Gemeenschap doorgegeven persoonsgegevens te bieden.

Artikel 2

Deze beschikking heeft alleen betrekking op de gepastheid van de bescherming die in Hongarije wordt geboden, teneinde aan de vereisten van artikel 25, lid 1, van Richtlijn 95/46/EG te voldoen en laat de toepassing van andere bepalingen van die richtlijn die op de verwerking van persoonsgegevens in de lidstaten betrekking hebben, onverlet.

Artikel 3

1. Onverminderd hun bevoegdheden om maatregelen te nemen teneinde te zorgen voor de naleving van nationale bepalingen die overeenkomstig andere bepalingen dan die van artikel 25 van Richtlijn 96/46/EG zijn vastgesteld, kunnen de bevoegde autoriteiten van de lidstaten van hun bestaande bevoegdheden gebruikmaken om gegevensstromen naar een ontvanger in Hongarije op te schorten teneinde personen ten aanzien van de verwerking van hun persoonsgegevens te beschermen, wanneer:

a) een bevoegde Hongaarse autoriteit heeft vastgesteld dat de ontvanger de toepasselijke beschermingsnormen niet naleeft, of

b) het zeer waarschijnlijk is dat de beschermingsnormen worden geschonden; redelijkerwijs kan worden aangenomen dat de bevoegde Hongaarse autoriteit niet tijdig passende maatregelen neemt of zal nemen om het betrokken probleem op te lossen; zich een risico voordoet dat de betrokkenen ernstige schade wordt toegebracht wanneer verder gegevens worden doorgegeven, en de bevoegde autoriteiten in de lidstaten zich naar omstandigheden redelijke inspanning hebben getroost om de in Hongarije gevestigde partij die voor de verwerking verantwoordelijk is, van het probleem in kennis te stellen en de gelegenheid te geven te reageren.

De opschorting wordt beëindigd zodra vaststaat dat de beschermingsnormen worden gewaarborgd en de bevoegde autoriteit in de Gemeenschap hiervan in kennis is gesteld.

2. De lidstaten stellen de Commissie onverwijld in kennis, wanneer op grond van lid 1 maatregelen worden genomen.

3. De lidstaten en de Commissie stellen elkaar tevens in kennis van gevallen waarin instanties die voor het toezicht op de naleving van de beschermingsnormen in Hongarije verantwoordelijk zijn, verzuimen een dergelijke naleving te garanderen.

4. Wanneer uit de overeenkomstig de leden 1, 2 en 3 verzamelde informatie, mocht blijken dat een instantie die voor het toezicht op de naleving van beschermingsnormen in Hongarije verantwoordelijk is, zich niet naar behoren van haar taak kwijt, stelt de Commissie de bevoegde Hongaarse autoriteit daarvan in kennis en legt zij, zo nodig, volgens de procedure van artikel 31 van Richtlijn 95/46/EG een ontwerp voor van maatregelen om deze beschikking in te trekken of op te schorten dan wel de toepassing ervan te beperken.

Artikel 4

1. Deze beschikking kan te allen tijde in het licht van de bij de uitvoering ervan opgedane ervaringen of van wijzigingen in de Hongaarse wetgeving worden gewijzigd.

In ieder geval evalueert de Commissie op basis van de beschikbare informatie de uitvoering van deze beschikking drie jaar na de kennisgeving ervan aan de lidstaten, en deelt zij alle relevante vaststellingen aan het bij artikel 31 van Richtlijn 95/46/EG ingestelde comité mee, waaronder alle gegevens die van invloed kunnen zijn op de vaststelling in artikel 1 van deze beschikking dat het beschermingsniveau in Hongarije passend is in de zin van artikel 25 van Richtlijn 95/46/EG, en alle gegevens waaruit blijkt dat deze beschikking op discriminerende wijze wordt uitgevoerd.

2. Zo nodig legt de Commissie overeenkomstig de bij artikel 31 van de richtlijn vastgestelde procedure een ontwerp van de te nemen maatregelen voor.

Artikel 5

De lidstaten nemen alle nodige maatregelen om uiterlijk 90 dagen na de kennisgeving ervan aan de lidstaten aan deze beschikking te voldoen.

Artikel 6

Deze beschikking is gericht tot de lidstaten.

Gedaan te Brussel, 26 juli 2000.

Voor de Commissie

Frederik Bolkestein

Lid van de Commissie

(1) PB L 281 van 23.11.1995, blz. 31.

(2) Advies 12/98, door de werkgroep goedgekeurd op 24 juli 1998: "Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming" (DG MARKT D/5025/98), beschikbaar op de website http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.

(3) Beschikbaar op de website http://conventions.coe.int/treaty/EN/cadreintro.htm.

(4) Advies 6/99, door de werkgroep goedgekeurd op 7 september 1999 (DG MARKT 5070/99), beschikbaar op de website http://europa. eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.