Kommissionens beslut

av den 20 december 2001

i enlighet med Europaparlamentets och rådets direktiv 95/46/EG om adekvat skydd för personuppgifter genom den kanadensiska lagen om elektroniska handlingar och skydd för personuppgifter (Personal Information Protection and Electronic Documents Act)

[delgivet med nr K(2001) 4539]

(2002/2/EG)

EUROPEISKA GEMENSKAPERNAS KOMMISSION HAR FATTAT DETTA BESLUT

med beaktande av Fördraget om upprättandet av Europeiska gemenskapen,

med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter(1), särskilt artikel 25.6 i detta, och

av följande skäl:

(1) Enligt direktiv 95/46/EG skall medlemsstaterna föreskriva att överföringen av personuppgifter till tredje land endast får ske om ifrågavarande tredje land säkerställer en adekvat skyddsnivå och om ifrågavarande medlemsstats lagstiftning som införlivar övriga bestämmelser i direktivet efterlevs innan överföringen.

(2) Kommissionen kan konstatera att ett tredje land har en skyddsnivå som är adekvat. I så fall får personuppgifter överföras från medlemsstaterna utan att det krävs några ytterligare garantier.

(3) Enligt direktiv 95/46/EG skall bedömningen av skyddsnivån ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter och med hänsyn till de förutsättningar som råder. Arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter, inrättad enligt artikel 29 i direktiv 95/46/EG, har utfärdat riktlinjer för hur sådana bedömningar skall göras(2).

(4) Eftersom sättet att se på uppgiftsskydd varierar mellan olika tredje länder bör skyddsnivån bedömas, och beslut som grundar sig på artikel 25.6 i direktiv 95/46/EG fattas och tillämpas, utan godtycklig eller obefogad diskriminering i förhållande till tredje land eller mellan tredje länder där liknande förhållanden råder samt på ett sätt som gör att det inte skapas några dolda handelshinder. Härvid bör hänsyn tas till gemenskapens nuvarande internationella åtaganden.

(5) Den kanadensiska lagen om elektroniska handlingar och skydd för personuppgifter (Personal Information Protection and Electronic Documents Act, nedan benämnd "den kanadensiska lagen") av den 13 april 2000(3) är tillämplig på organisationer i den privata sektorn som samlar in, använder eller lämnar ut personuppgifter i samband med kommersiell verksamhet. Den träder i kraft i tre etapper.

Från och med den 1 januari 2001 gäller den kanadensiska lagen för alla personuppgifter, utom personuppgifter som rör hälsa, som organisationer som bedriver federal verksamhet samlar in, använder eller lämnar ut i samband med kommersiell verksamhet. Dessa organisationer återfinns inom sektorer som luftfart, bankväsende, radio- och TV-produktion, transport mellan provinserna samt telekommunikation. Den kanadensiska lagen gäller även alla organisationer som lämnar ut personuppgifter mot ersättning utanför en provins eller utanför Kanada samt för alla personuppgifter om anställda i företag som bedriver federal verksamhet.

Den 1 januari 2002 skall den kanadensiska lagen börja tillämpas på personuppgifter som rör hälsa för de organisationer och verksamheter som den första etappen omfattar.

Från och med den 1 januari 2004 utvidgas den kanadensiska lagen till att gälla alla organisationer som samlar in, använder eller lämnar ut personuppgifter i samband med kommersiell verksamhet, oavsett om organisationen är federalt reglerad eller ej. Den kanadensiska lagen gäller inte organisationer på vilka den federala integritetsskyddslagen (Federal Privacy Act) är tillämplig eller organisationer som regleras av den offentliga sektorn på provinsnivå, och inte heller icke-vinstdrivande verksamheter eller välgörenhet, om de inte har kommersiell karaktär. På liknande sätt gäller lagen inte heller andra uppgifter om anställda som används för icke-kommersiella ändamål än sådana som avser anställda i den federalt reglerade privata sektorn. Den kanadensiske dataskyddsombudsmannen kan lämna ytterligare upplysningar i sådana fall.

(6) För att tillgodose provinsernas rätt att lagstifta inom sina kompetensområden får enligt lagen, efter det att i sak likvärdig provinslagstiftning har införts, undantag medges för organisationer eller verksamhet som då kommer att omfattas av provinslagstiftningen om integritetsskydd. I avsnitt 26.2 i lagen om elektroniska handlingar och skydd för personuppgifter anges att den federala regeringen, om den kommer fram till att lagstiftning i en provins som i sak motsvarar denna del av den federala lagen är tillämplig på en organisation, en kategori av organisationer, en verksamhet eller en kategori av verksamheter, får undanta ifrågavarande organisation, verksamhet eller kategori från tillämpningen av denna del av den federala lagen när det gäller insamling, användning eller utlämnande av personuppgifter som sker inom den provinsen. Den kanadensiska federala regeringen (Governor in Council) medger undantag för lagstiftning som är likvärdig i sak genom särskilt beslut (Order-in-Council).

(7) När en provins antar lagstiftning som i sak motsvarar den federala lagstiftningen undantas de organisationer, kategorier av organisationer eller verksamheter som omfattas från tillämpningen av den federala lagen i fråga om transaktioner inom provinsen. Den federala lagen är även fortsättningsvis tillämplig på all insamling, användning och utlämning av personuppgifter mellan provinserna och internationellt samt i samtliga fall då provinserna inte har infört lagstiftning som fullständigt eller delvis motsvarar den federala lagstiftningen i sak.

(8) Den 29 juni 1984 förpliktade sig Kanada formellt att följa OECD:s riktlinjer för integritetsskydd och gränsöverskridande flöden av personuppgifter. Kanada var ett av de länder som stödde FN:s riktlinjer avseende datoriserade personuppgifter, som antogs av Generalförsamlingen den 14 december 1990.

(9) Den kanadensiska lagen omfattar alla grundprinciper som krävs för att en adekvat skyddsnivå skall föreligga för fysiska personer, även om lagen också innehåller undantag och begränsningar för att skydda viktiga allmänna intressen och för att ta hänsyn till vissa allmänt tillgängliga uppgifter. Tillämpningen av dessa regler garanteras genom rättsliga medel och oberoende tillsyn som utövas av myndigheterna, såsom den federala dataskyddstjänsteman som har befogenhet att utreda och vidta åtgärder. Den kanadensiska lagens bestämmelser om civilrättsligt ansvar är dessutom tillämpliga om personer lider skada på grund av lagstridig behandling av personuppgifter.

(10) För att värna om öppenheten och se till att behöriga myndigheter i medlemsstaterna har möjlighet att garantera skyddet för enskilda med avseende på behandlingen av deras personuppgifter är det nödvändigt att i det här beslutet närmare ange under vilka särskilda omständigheter som det kan vara motiverat att tills vidare avbryta vissa uppgiftsöverföringar, oavsett om skyddsnivån har konstaterats vara adekvat.

(11) Arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter, inrättad enligt artikel 29 i direktiv 95/46/EG, har avgett ett yttrande om skyddsnivån i den kanadensiska lagen. Detta yttrande har beaktats vid utarbetandet av det här beslutet(4).

(12) De åtgärder som föreskrivs i det här beslutet är förenliga med yttrandet från den kommitté som inrättats enligt artikel 31 i direktiv 95/46/EG.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

För de ändamål som avses i artikel 25.2 i direktiv 95/46/EG anses Kanada erbjuda en adekvat skyddsnivå för personuppgifter som överförs från gemenskapen till mottagare som omfattas av lagen om elektroniska handlingar och skydd för personuppgifter (den kanadensiska lagen).

Artikel 2

Det här beslutet avser endast den skyddsnivå som garanteras i Kanada genom den kanadensiska lagen i syfte att uppfylla kraven i artikel 25.1 i direktiv 95/46/EG, men det påverkar inte andra villkor eller begränsningar varigenom övriga bestämmelser i direktivet genomförs med avseende på behandlingen av personuppgifter i medlemsstaterna.

Artikel 3

1. Behöriga myndigheter i medlemsstaterna får, utan att det påverkar tillämpningen av deras befogenheter att vidta åtgärder för att säkra efterlevnaden av nationella bestämmelser som antagits enligt andra bestämmelser än artikel 25 i direktiv 95/46/EG, utöva sina befintliga befogenheter att tills vidare avbryta uppgiftsöverföringar till en mottagare i Kanada vars verksamhet omfattas av den kanadensiska lagen i syfte att skydda enskilda med avseende på behandlingen av deras personuppgifter

a) om en behörig kanadensisk myndighet har fastställt att mottagaren bryter mot tillämpliga skyddsregler, eller

b) om sannolikheten för att skyddsreglerna inte efterlevs är stor; om det finns rimliga skäl att anta att behöriga kanadensiska myndigheter inte vidtar eller inte kommer att vidta adekvata åtgärder i tid för att lösa ärendet; om fortsatt överföring skulle innebära en överhängande risk för att de registrerade lider allvarlig skada och behöriga myndigheter i medlemsstaten under dessa omständigheter på lämpligt sätt har vidtagit åtgärder för att underrätta den instans i Kanada som ansvarar för behandlingen och givit denna tillfälle att yttra sig.

Avbrottet skall upphävas så snart skyddsreglerna efterlevs och behöriga myndigheter i gemenskapen har underrättats om detta.

2. Medlemsstaterna skall omedelbart underrätta kommissionen när åtgärder vidtas på grundval av punkt 1.

3. Medlemsstaterna och kommissionen skall även underrätta varandra om fall där de åtgärder som vidtas av organ med ansvar för efterlevnaden av skyddsreglerna i Kanada inte leder till att reglerna efterlevs.

4. Om den information som samlats in enligt punkterna 1-3 visar att organ med ansvar för efterlevnaden av skyddsreglerna i Kanada inte fullgör sin uppgift på ett verkningsfullt sätt, skall kommissionen underrätta behöriga kanadensiska myndigheter och vid behov lägga fram förslag till åtgärder i enlighet med det förfarande som anges i artikel 31.2 i direktiv 95/46/EG i syfte att tills vidare eller slutgiltigt upphäva det här beslutet eller begränsa dess tillämpningsområde.

Artikel 4

1. Det här beslutet får ändras närhelst så krävs mot bakgrund av de erfarenheter som görs i samband med dess tillämpning eller ändringar i den kanadensiska lagstiftningen, vilket även inbegriper eventuella åtgärder i vilka det konstateras att en kanadensisk provins har likvärdig lagstiftning i sak. Kommissionen skall utvärdera tillämpningen av det här beslutet, tre år efter det att det delgetts medlemsstaterna, på grundval av tillgänglig information och rapportera alla relevanta slutsatser till den kommitté som inrättats enligt artikel 31 i direktiv 95/46/EG, vilket även inbegriper alla omständigheter som kan påverka konstaterandet enligt artikel 1 i det här beslutet att det skydd som ges i Kanada är adekvat i den mening som avses i artikel 25 i direktiv 95/46/EG och alla omständigheter som visar att det här beslutet tillämpas på ett diskriminerande sätt.

2. Kommissionen skall vid behov lägga fram förslag till åtgärder i enlighet med det förfarande som avses i artikel 31.2 i direktiv 95/46/EG.

Artikel 5

Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa det här beslutet senast nittio dagar efter dagen för delgivningen till medlemsstaterna.

Artikel 6

Detta beslut riktar sig till medlemsstaterna.

Utfärdat i Bryssel den 20 december 2001.

På kommissionens vägnar

Frederik Bolkestein

Ledamot av kommissionen

(1) EGT L 281, 23.11.1995, s. 31.

(2) Arbetsdokument 12: Överföring av personuppgifter till tredje land: tillämpning av artiklarna 25 och 26 i EU:s dataskyddsdirektiv, antaget av arbetsgruppen den 24 juli 1998. Finns på Internet under följande adress: http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp12sv.pdf

(3) Elektroniska utgåvor (på papper och på webben) av den kanadensiska lagen finns på http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-E.html och http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-F.html. Trycka utgåvor kan fås från Public Works and Government Services Canada - Publishing, Ottawa, Canada K1A 0S9

(4) Yttrande 2/2001 om skyddsnivån i den kanadensiska lagen om personuppgifter och elektroniska handlingar - Arbetsdokument 39, antaget den 26 januari 2001. Finns på Internet under följande adress: http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp39sv.pdf