Uradni list L 215 , 25/08/2000 str. 0001 - 0003
Odločba Komisije z dne 26. julija 2000 po Direktivi 95/46/ES Evropskega parlamenta in Sveta o primernosti zaščite osebnih podatkov v Švici (notificirana pod dokumentarno številko K(2000)2304) (Besedilo velja za EGP) (2000/518/ES) KOMISIJA EVROPSKIH SKUPNOSTI JE – ob upoštevanju Pogodbe o ustanovitvi Evropske skupnosti, ob upoštevanju Direktive 95/46/ES Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov [1] ter zlasti člena 25(6) Direktive, ob upoštevanju naslednjega: (1) Po Direktivi 95/46/ES morajo države članice zagotoviti, da se prenos osebnih podatkov v tretjo državo lahko izvede samo, če zadevna tretja država zagotovi ustrezno raven zaščite in če se pred prenosom upoštevajo predpisi države članice o izvajanju drugih določb Direktive. (2) Komisija lahko ugotovi, da tretja država zagotavlja ustrezno raven zaščite. V tem primeru se lahko osebni podatki prenesejo iz držav članic, ne da bi bila potrebna dodatna jamstva. (3) Po Direktivi 95/46/ES je treba raven zaščite podatkov oceniti glede na vse okoliščine, v katerih poteka postopek ali postopki prenosa podatkov, in glede na dane razmere. Delovna skupina o varstvu posameznikov pri obdelavi osebnih podatkov, ki je bila ustanovljena z navedeno direktivo, je objavila smernice za takšno ocenjevanje [2]. (4) Glede na različne pristope do zaščite podatkov v tretjih državah morata biti ocena primernosti zaščite in uveljavitev vseh odločb na podlagi člena 25(6) Direktive 95/46/ES izvedena na način, ki ni niti samovoljno ali neupravičeno diskriminacijski do tretjih držav ali med tretjimi državami, v katerih prevladujejo podobne razmere, niti ne pomeni prikrite ovire za trgovino, pri čemer se upoštevajo sedanje mednarodne obveznosti Skupnosti. (5) V švicarski konfederaciji so pravni standardi glede zaščite osebnih podatkov pravno zavezujoči na zvezni in kantonski ravni. (6) Zvezna ustava, ki je bila z referendumom spremenjena 18. aprila 1999 in je začela veljati 1. januarja 2000, daje vsaki osebi pravico do spoštovanja njene zasebnosti in zlasti pravico do zaščite pred zlorabo osebnih podatkov. Zvezno sodišče je na podlagi prejšnje ustave, ki take določbe ni vsebovala, razvilo sodno prakso, ki določa splošna načela za obdelavo osebnih podatkov, zlasti v zvezi s kakovostjo obdelanih podatkov, s pravico zadevne osebe do dostopa do podatkov in pravico, da zahteva popravek ali uničenje podatkov. Ta načela so zavezujoča za federacijo in za vse kantone. (7) Švicarski zakon o zaščiti podatkov z dne 19. junija 1992 je začel veljati 1. julija 1993. Zvezni svet je z uredbo določil izvedbena pravila za nekatere določbe zakona, zlasti v zvezi s pravico zadevne osebe do dostopa do podatkov, z obveščanjem neodvisnega nadzornega organa o postopkih obdelave podatkov in s prenosom podatkov v tujo državo. Zakon se uporablja za obdelavo podatkov v zveznih organih in v celotnem zasebnem sektorju ter za obdelavo podatkov, ki jo v skladu z zveznim zakonom opravljajo kantonski organi, kadar za to obdelavo ne veljajo kantonske določbe o zaščiti podatkov. (8) Večina kantonov je sprejela zakonodajo glede zaščite podatkov za tista področja, za katera so pristojni, zlasti za javne bolnišnice, šolstvo, neposredne kantonske pristojbine in policijo. Preostali kantoni urejajo obdelavo teh podatkov z ureditvenimi akti ali po načelih kantonske sodne prakse. Ne glede na vir in vsebino kantonskih določb, in tudi kadar kantonskih določb ni, se morajo kantoni držati ustavnih načel. V okviru svojih pristojnosti bodo kantonske oblasti morda morale prenesti osebne podatke javnim organom v sosednjih državah, zlasti za namene medsebojne pomoči pri varovanju pomembnih javnih koristi ali, v primeru javnih bolnišnic, pri varstvu življenjsko pomembnih interesov zadevnih oseb. (9) Švica je 2. oktobra 1997 ratificirala Konvencijo Sveta Evrope o varstvu posameznikov pri avtomatski obdelavi osebnih podatkov (Konvencija št. 108) [3], ki si prizadeva okrepiti zaščito osebnih podatkov in zagotoviti prosti pretok podatkov med pogodbenicami ob upoštevanju vseh izjem, ki jih te pogodbenice lahko predvidijo. Čeprav se Konvencija ne uporablja neposredno, pa določa mednarodne obveznosti federacije in kantonov. Te obveznosti ne zadevajo zgolj osnovnih načel zaščite podatkov, ki jih mora vsaka pogodbenica uveljaviti v svoji notranji zakonodaji, temveč tudi mehanizme sodelovanja med pogodbenicami. Zlasti morajo pristojni švicarski organi priskrbeti organom drugih pogodbenic, če tako zahtevajo, vse informacije o zakonodaji in upravni praksi v zvezi z zaščito podatkov ter informacije o katerem koli posameznem primeru avtomatske obdelave podatkov. Prav tako morajo pomagati vsaki v tujini bivajoči osebi pri uveljavljanju njene pravice do obveščenosti o postopkih obdelave njenih osebnih podatkov, pravice do dostopa do podatkov in do zahteve, da se jih popravi ali uniči, in pravice do pravnega sredstva. (10) Pravni standardi, ki se uporabljajo v Švici, zajemajo vsa osnovna načela, ki so nujna za ustrezno stopnjo zaščite za fizične osebe, tudi kadar so predvidene izjeme in omejitve, da bi se zavarovale pomembne javne koristi. Uporaba teh standardov je zajamčena s pravnim sredstvom in neodvisnim nadzorom, ki ga izvajajo organi, kot je zvezni komisar, ki ima pooblastila za preiskavo in intervencijo. Poleg tega se v primeru nezakonite obdelave podatkov, ki škodi zadevnim osebam, uporabljajo določbe švicarske zakonodaje o civilnopravni odgovornosti. (11) Zaradi preglednosti in za zavarovanje sposobnosti pristojnih organov v državah članicah, da zagotovijo varstvo posameznika glede obdelave njegovih osebnih podatkov, je treba s to odločbo podrobno opredeliti izjemne okoliščine, ki lahko upravičijo začasno ukinitev tokov posebnih podatkov, ne glede na ugotovitve o ustrezni zaščiti. (12) Delovna skupina za varstvo posameznikov pri obdelavi osebnih podatkov, ustanovljena na podlagi člena 29 Direktive 95/46/ES, je dala mnenja o stopnji zaščite podatkov po švicarski zakonodaji, ki so se upoštevala pri pripravi te odločbe [4]. (13) Ukrepi iz te odločbe, so v skladu z mnenjem odbora, ki je bil ustanovljen po členu 31 Direktive 95/46/ES – SPREJELA NASLEDNJO ODLOČBO: Člen 1 Za namene člena 25(2) Direktive 95/46/ES se za vse dejavnosti, ki jih zajema ta direktiva, šteje, da Švica zagotavlja ustrezno raven zaščite osebnih podatkov, ki se prenesejo vanjo iz Skupnosti. Člen 2 Ta odločba zadeva zgolj primernost zaščite podatkov v Švici glede izpolnjevanja zahtev iz člena 25(1) Direktive 95/46/ES ter ne vpliva na druge pogoje in omejitve pri izvajanju drugih določb navedene direktive, ki zadevajo obdelavo osebnih podatkov v državah članicah. Člen 3 1. Brez poseganja v pooblastila organov v državah članicah, da ukrepajo zaradi zagotovitve skladnosti z nacionalnimi predpisi, sprejetimi po drugih določbah, kakor so tiste iz člena 25 Direktive 95/46/ES, lahko navedeni organi izvršijo obstoječa pooblastila za prekinitev prenosa podatkov do prejemnika v Švici, da bi zaščitili posameznike pri obdelavi njihovih osebnih podatkov v primerih, kadar: (a) pristojni švicarski organ ugotovi, da prejemnik krši veljavne standarde za zaščito podatkov; ali (b) obstaja precejšnja verjetnost, da so kršeni standardi za zaščito podatkov; obstaja utemeljena podlaga za prepričanje, da pristojni švicarski organ ne sprejema ali ne bo sprejel ustreznih in pravočasnih ukrepov za rešitev spornega primera; bi nadaljnji prenos podatkov povzročil neposredno nevarnost za nastanek velike škode za subjekte podatkov in so si pristojni organi v državah članicah v danih okoliščinah razumno prizadevali, da bi pristojne za obdelavo podatkov v Švici obvestili in jim dali priložnost za odgovor. Prekinitev preneha takoj, ko so zagotovljeni standardi za zaščito podatkov in je zadevni organ v Skupnosti o tem uradno obveščen. 2. Kadar države članice sprejmejo ukrepe na podlagi odstavka 1, o tem nemudoma obvestijo Komisijo. 3. Države članice in Komisija se prav tako medsebojno obvestijo, kadar ukrepanje organov, ki so v Švici odgovorni za zagotavljanje skladnosti s standardi za zaščito podatkov, takšne skladnosti ne zagotovi. 4. Če informacije, zbrane po odstavkih 1, 2 in 3, dokazujejo, da katerikoli organ, ki je v Švici odgovoren za zagotavljanje skladnosti s standardi za zaščito podatkov, njegove naloge ne opravlja učinkovito, Komisija obvesti pristojni švicarski organ in po potrebi po postopku iz člena 31 Direktive 95/46/ES predloži osnutek ukrepov za razveljavitev ali odložitev te odločbe ali omejitev področja njene uporabe. Člen 4 1. Ta odločba se lahko kadarkoli spremeni glede na izkušnje z njeno uporabo ali glede na spremembe v švicarski zakonodaji. Komisija oceni izvajanje te odločbe na podlagi razpoložljivih informacij tri leta po uradnem obvestilu držav članic o odločbi in poroča odboru, ustanovljenemu po členu 31 Direktive 95/46/ES, o vseh ustreznih ugotovitvah, vključno z vsemi dokazi, ki bi lahko vplivali na oceno, da določbe iz člena 1 te odločbe zagotavljajo ustrezno zaščito podatkov v Švici v smislu člena 25 Direktive 95/46/ES, in s kakršnim koli dokazom, da se ta odločba uporablja diskriminatorno. 2. Komisija po potrebi predloži osnutek ukrepov po postopku iz člena 31 Direktive 95/46/ES. Člen 5 Države članice sprejmejo potrebne ukrepe za uskladitev s to odločbo najpozneje v 90. dneh od datuma uradnega obvestila državam članicam. Člen 6 Ta odločba je naslovljena na države članice. V Bruslju, 26. julija 2000 Za Komisijo Frederik Bolkestein Član Komisije [1] UL L 281, 23.11.1995, str. 31. [2] Mnenje 12/98, ki ga je sprejela delovna skupina 24.7.1998: "Prenos osebnih podatkov v tretje države. Uporaba členov 25 in 26 Direktive EU o varstvu podatkov" (DG MARKT D/5025/98), dosegljivo na Europa, spletni strani Evropske komisije: http://europa.eu.int/comm/internal_market/en/media/dataprot/ wpdocs/ index.htm. [3] Dosegljiva na spletni strani: http://conventions.coe.int/treaty/EN/ cadreintro.htm. [4] Mnenje 5/99, ki ga je sprejela delovna skupina 7.6.1999 (DG MARKT 5054/99), dosegljivo na spletni strani Europa, navedeni v opombi 2. --------------------------------------------------