Kommissionens beslut

av den 26 juli 2000

enligt Europaparlamentets och rådets direktiv 95/46/EG om adekvat skydd av personuppgifter i Schweiz

[delgivet med nr K(2000) 2304]

(Text av betydelse för EES)

(2000/518/EG)

EUROPEISKA KOMMISSIONEN HAR FATTAT DETTA BESLUT

med beaktande av Fördraget om upprättandet av Europeiska gemenskapen,

med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter(1), särskilt artikel 25.6 i detta, och

av följande skäl:

(1) Enligt direktiv 95/46/EG skall medlemsstaterna föreskriva att överföring av personuppgifter till tredje land endast får ske om ifrågavarande tredje land säkerställer en adekvat skyddsnivå och om medlemsstatens lagstiftning genom vilken andra bestämmelser i direktivet genomförs, följs innan överföringen sker.

(2) Kommissionen kan konstatera att ett tredje land har en adekvat skyddsnivå. I sådana fall får personuppgifter överföras från medlemsstaterna utan att det behövs några ytterligare garantier.

(3) Enligt direktiv 95/46/EG skall bedömningen av skyddsnivån ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter och vissa omständigheter skall särskilt beaktas. Arbetsgruppen för skydd av enskilda med avseende på behandling av personuppgifter som inrättats genom det direktivet har utfärdat riktlinjer för hur sådana bedömningar skall göras(2).

(4) Mot bakgrund av de olika sätten att se på frågan om uppgiftsskydd i olika tredje länder bör bedömningen av om skyddsnivån är adekvat ske och beslut som grundar sig på artikel 25.6 i direktiv 95/46/EG verkställas utan godtycklig eller obefogad diskriminering i förhållande till tredje land eller mellan tredje länder där liknande villkor råder, och så att den inte utgör ett förtäckt handelshinder, med hänsyn tagen till gemenskapens nuvarande internationella åtaganden.

(5) När det gäller Schweiziska edsförbundet har de rättsliga standarderna i fråga om skydd av personuppgifter rättsligt bindande verkan både på federal och kantonal nivå.

(6) I den federala konstitutionen, som ändrades genom folkomröstning den 18 april 1999 och trädde i kraft den 1 januari 2000, ges envar rätt till skydd av sitt privatliv och i synnerhet rätt till skydd mot missbruk av personuppgifter. Den federala domstolen har på grundval av konstitutionen i dess tidigare lydelse som inte innehöll någon sådan bestämmelse utvecklat en rättspraxis med allmänna principer för behandling av personuppgifter särskilt när det gäller kvaliteten på de behandlade uppgifterna, de registrerades rätt att ta del av uppgifterna och rätt att begära rättelse eller utplåning av uppgifterna. Dessa principer är bindande både för edsförbundet och för varje enskild kanton.

(7) Den schweiziska lagen om skydd av personuppgifter av den 19 juni 1992 trädde i kraft den 1 juli 1993. Tillämpningsföreskrifter till vissa bestämmelser i lagen har fastställts av det federala rådet och rör bl.a. de registrerades rätt att ta del av uppgifterna, underrättelse om behandling av uppgifter till en oberoende tillsynsmyndighet och överföring av uppgifter till utlandet. Lagen gäller behandling av personuppgifter som utförs av federala organ och av hela den privata sektorn, och av kantonala organ som agerar i kraft av federal lag, om sådan behandling inte omfattas av kantonala bestämmelser.

(8) De flesta kantonerna har antagit lagstiftning till skydd för personuppgifter för de områden som omfattas av deras behörighet, t.ex. offentliga sjukhus, undervisning, direkt kantonal beskattning och polisväsende. I övriga kantoner regleras skyddet av personuppgifter i handlingar av förvaltningskaraktär eller enligt kantonal rättspraxis. Oavsett de kantonala bestämmelsernas ursprung och innehåll eller t.o.m. om det inte finns några kantonala bestämmelser skall kantonerna följa de konstitutionella principerna. De kantonala myndigheterna kan inom sina ansvarsområden bli föranledda att överföra personuppgifter till myndigheter i angränsande länder, främst för ömsesidig hjälp till skydd av viktiga allmänna intressen, eller i fråga om offentliga sjukhus för att skydda de berörda personernas vitala intressen.

(9) Schweiz ratificerade den 2 oktober 1997 Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (konvention nr 108)(3), som syftar till att öka skyddet för personuppgifter och säkerställa fri rörlighet mellan de konventionsslutande parterna med förbehåll för eventuella undantag som dessa kan komma överens om. Även om konventionen inte är direkt tillämplig innehåller den internationella åtaganden både för edsförbundet och för kantonerna. Dessa åtaganden rör inte bara de grundläggande principerna för skydd som varje konventionsslutande part skall genomföra i sin nationella lagstiftning utan också mekanismer för samarbete mellan de konventionsslutande parterna. Särskilt skall de behöriga schweiziska myndigheterna bistå de myndigheter i andra konventionsslutande stater som begär det, med all information om lagstiftning och administrativ praxis i fråga om uppgiftsskydd, och med information om enskilda fall av automatisk uppgiftsbehandling. De skall även bistå alla utomlands bosatta att utöva sin rätt att informeras om behandling av uppgifter om sig själva, liksom rätten att få tillgång till dessa uppgifter, rätten att begära rättelse av dem eller att få dem utplånade samt rätten att få tillgång till rättsmedel.

(10) De tillämpliga rättsreglerna i Schweiz omfattar alla grundläggande principer som behövs för en adekvat skyddsnivå för fysiska personer, även om det också finns undantag och begränsningar för att skydda vissa viktiga allmänna intressen. Tillämpningen av dessa rättsregler garanteras genom rättsmedel och genom oberoende tillsyn om utövas av myndigheterna, exempelvis Préposé fédéral som har befogenhet att utföra undersökningar och att ingripa. Vidare är schweizisk lag om skadeståndsansvar tillämplig i de fall där olovlig behandling ägt rum och registrerade vållats skada.

(11) I öppenhetens intresse och för att skydda möjligheten för de behöriga myndigheterna i medlemsstaterna att säkerställa skyddet av enskilda med avseende på behandling av personuppgifter är det nödvändigt att i beslutet ange de särskilda omständigheter under vilka det kan vara berättigat att avbryta vissa enskilda överföringar av uppgifter, även om det har visat sig att det finns adekvat skydd.

(12) Arbetsgruppen för skydd av enskilda med avseende på behandling av personuppgifter som inrättats genom artikel 29 i direktiv 95/46/EG har avgett ett yttrande om nivån på skyddet för personuppgifter i Schweiz, som har beaktats vid utarbetandet av detta beslut(4).

(13) De åtgärder som föreskrivs i detta beslut är förenliga med yttrandet från den kommitté som inrättats genom artikel 31 i direktiv 95/46/EG.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

För det ändamål som avses i artikel 25.2 i direktiv 95/46/EG anses Schweiziska edsförbundet, för alla de verksamheter som omfattas av det direktivet, erbjuda en adekvat skyddsnivå för personuppgifter som införs från gemenskapen.

Artikel 2

Detta beslut rör endast skyddsgraden i Schweiz med avseende på att uppfylla kraven i artikel 25.1 i direktiv 95/46/EG och skall inte påverka tillämpningen av andra villkor eller begränsningar genom vilka andra bestämmelser i det direktivet som gäller behandling av personuppgifter i medlemsstaterna genomförs.

Artikel 3

1. Utan att det påverkar de befogenheter som behöriga myndigheter i medlemsstaterna har att vidta åtgärder för att säkerställa efterlevnaden av nationella bestämmelser som antagits enligt andra bestämmelser i direktiv 95/46/EG än artikel 25 får dessa myndigheter utöva sina gällande befogenheter för att tillfälligt avbryta flöden av uppgifter till en mottagare i Schweiz för att skydda enskilda med avseende på behandling av personuppgifter om dem, om

a) en behörig schweizisk myndighet har funnit att mottagaren bryter mot tillämpliga skyddsregler, eller

b) det är i hög grad sannolikt att skyddsreglerna överträds; det finns välgrundad anledning att tro att en behörig schweizisk myndighet inte vidtar eller inte i tid kommer att vidta de åtgärder som behövs för att lösa problemet, en fortsatt överföring av uppgifterna skulle innebära en överhängande risk för att registrerade åsamkas allvarlig skada, och medlemsstaternas behöriga myndigheter har gjort vad som under rådande omständigheter rimligen kan begäras för att anmärka mot den i Schweiz etablerade part som är ansvarig för behandlingen och ge denna möjlighet att svara.

Det tillfälliga avbrytandet skall upphöra så snart det har säkerställts att skyddsreglerna följs och de behöriga myndigheterna i gemenskapen underrättats om detta.

2. Medlemsstaterna skall utan dröjsmål underrätta kommissionen om åtgärder som vidtagits enligt punkt 1.

3. Medlemsstaterna och kommissionen skall också underrätta varandra om fall där sådana schweiziska organ som är ansvariga för att skyddsreglerna följs inte har kunnat säkerställa detta.

4. Om den information som inhämtats enligt punkterna 1, 2 och 3 visar att något organ i Schweiz som har ansvar för att skyddsreglerna följs inte fullgör denna uppgift på ett effektivt sätt, skall kommissionen underrätta den behöriga schweiziska myndigheten om detta och vid behov föreslå bestämmelser enligt förfarandet i artikel 31 i direktiv 95/46/EG i syfte att helt eller tills vidare upphäva detta beslut eller begränsa dess tillämpningsområde.

Artikel 4

1. Detta beslut kan vid vilken tidpunkt som helst ändras på grundval av erfarenheterna av genomförandet eller till följd av ändringar i schweizisk lagstiftning.

Kommissionen skall utvärdera genomförandet av detta beslut på grundval av tillgänglig information tre år efter det att det beslutet delgivits medlemsstaterna, och skall underrätta den kommitté som inrättats genom artikel 31 i direktiv 95/46/EG, om alla iakttagelser av betydelse, däribland omständigheter som kan påverka den gjorda bedömningen att bestämmelserna i artikel 1 i detta beslut ger ett adekvat skydd i Schweiz i den mening som avses i artikel 25 i direktiv 95/46/EG samt varje omständighet som tyder på att detta beslut tillämpas på ett sätt som innebär diskriminering.

2. Kommissionen skall vid behov föreslå åtgärder enligt förfarandet i artikel 31 i direktiv 95/46/EG.

Artikel 5

Medlemsstaterna skall vidta alla åtgärder som är nödvändiga för att följa detta beslut senast 90 dagar efter det att beslutet har delgivits medlemsstaterna.

Artikel 6

Detta beslut riktar sig till alla medlemsstater.

Utfärdat i Bryssel den 26 juli 2000.

På kommissionens vägnar

Frederik Bolkestein

Ledamot av kommissionen

(1) EGT L 281, 23.11.1995, s. 31.

(2) Yttrande 12/98, antaget av arbetsgruppen den 24 juli 1998: "Överföring av personuppgifter till tredje land. Tillämpning av artiklarna 25 och 26 i EU:s dataskyddsdirektiv" (DG MARKT D/5025/98), tillgängligt på Internetadress http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.

(3) Tillgänglig på Internetadress http://conventions.coe.int/treaty/EN/cadreintro.htm.

(4) Yttrande 5/99, antaget av arbetsgruppen den 7 juni 1999, (DG MARKT 5054/99), tillgängligt på den Internetadress som anges i fotnot 2.