Kommissionens beslutning
af 26. juli 2000
i henhold til Europa-Parlamentets og Rådets direktiv 45/46/EF vedrørende tilstrækkeligheden af beskyttelsesniveauet for personoplysninger i Schweiz
(meddelt under nummer K(2000) 2304)
(EØS-relevant tekst)
(2000/518/EF)
KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER HAR -
under henvisning til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger(1), særlig artikel 25, stk. 6, og
ud fra følgende betragtninger:
(1) Medlemsstaterne skal i henhold til direktiv 95/46/EF fastsætte bestemmelser om, at videregivelse af personoplysninger til et tredjeland kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, og medlemsstatens lovgivning til gennemførelse af direktivets øvrige bestemmelser overholdes, inden videregivelsen finder sted.
(2) Kommissionen kan konstatere, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau. Som følge af denne konstatering kan personoplysninger videregives fra medlemsstaterne, uden at yderligere garantier er påkrævet.
(3) Vurderingen af, om beskyttelsesniveauet for personoplysninger er tilstrækkeligt, skal i henhold til direktivet ske på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger under overholdelse af betingelserne herfor. Gruppen vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger har udarbejdet en vejledning i denne vurdering(2).
(4) Vurderingen af, om beskyttelsesniveauet er tilstrækkeligt, og gennemførelsen af enhver beslutning i henhold til artikel 25, stk. 6, skal på grund af tredjelandenes forskellige opfattelser af begrebet beskyttelse af personoplysninger foretages ud fra en række kriterier, der skal sikre, at der ikke vilkårligt eller uberettiget diskrimineres mod eller mellem tredjelande, hvor lignende forhold gør sig gældende, eller skabes skjulte handlingshindringer under hensyntagen til Fællesskabets gældende internationale forpligtelser.
(5) Schweiz har med hensyn til beskyttelse af personoplysninger en række retsnormer, der har bindende virkning, både på føderalt og kantonalt niveau.
(6) Forbundsforfatningen, der blev ændret ved folkeafstemning den 18. april 1999 og trådte i kraft den 1. januar 2000, giver enhver person ret til beskyttelse af privatlivets fred og navnlig ret til beskyttelse mod misbrug af oplysninger, som vedrører den pågældende. Forbundsdomstolen har på grundlag af den tidligere forfatning, der ikke omfattede en sådan bestemmelse, allerede udviklet retspraksis indeholdende de overordnede principper for behandling af personoplysninger, herunder med hensyn til de behandlede oplysningers pålidelighed, de berørte fysiske personers ret til indsigt og retten til berigtigelse eller tilintetgørelse af oplysningerne; disse principper finder anvendelse både på føderalt og kantonalt niveau.
(7) Den schweiziske lov om databeskyttelse af 19. juni 1992 trådte i kraft den 1. juli 1993. Gennemførelsesbestemmelserne for visse bestemmelser i loven vedrørende bl.a. de pågældende personers ret til indsigt, anmeldelse om behandling til den uafhængige tilsynsmyndighed eller videregivelse af oplysninger til udlandet er blevet fastsat i forbundsrådets kendelser. Loven finder anvendelse på behandlingen af personoplysninger, der foretages af de føderale organer og af hele den private sektor, og på den behandling, der foretages af de kantonale organer i medfør af den føderale lovgivning, i det omfang hvor de kantonale organer ikke foretager denne behandling i overensstemmelse med de kantonale bestemmelser om databeskyttelse.
(8) De fleste kantoner har vedtaget lovgivning om databeskyttelse for de områder, der hører under deres kompetence, herunder især det offentlige hospitalsvæsen, undervisning, de direkte kantonale skatter og politiet. I de øvrige kantoner er databehandling underlagt administrative forskrifter eller de generelle principper, der fremgår af kantonernes retspraksis. De forfatningsmæssige principper skal desuden overholdes uanset de kantonale bestemmelsers hjemmel eller indhold eller i tilfælde af, at der ikke findes nogen relevante kantonale bestemmelser. De kantonale myndigheder kan inden for deres kompetenceområde eventuelt se sig foranlediget til at videregive personoplysninger til offentlige myndigheder i nabolandene med henblik på især gensidig bistand til beskyttelse af vigtige offentlige interesser eller i tilfælde af de offentlige sygehuse med henblik på at beskytte de pågældende personers vitale interesser.
(9) Schweiz ratificerede den 2. oktober 1997 Europarådets konvention om personbeskyttelse i forbindelse med behandling af personoplysninger (konvention nr. 108)(3), der har til formål at styrke beskyttelsen af personoplysninger og sikre den fri bevægelse mellem kontraherende parter med forbehold af eventuelle undtagelser, som fastsættes af disse. Uden at være direkte anvendelig pålægger konventionen såvel forbundsstaten som kantonerne en række internationale forpligtelser. Disse forpligtelser vedrører både de grundlæggende principper for databeskyttelse, som de kontraherende parter hver især skal anvende i national ret, og samarbejdsmetoderne mellem de kontraherende parter. Navnlig skal de kompetente schweiziske myndigheder efter anmodning give de øvrige kontraherende parters myndigheder enhver oplysning om lovgivningen om og administrativ praksis med hensyn til beskyttelse af personoplysninger samt konkrete oplysninger vedrørende enhver bestemt automatiseret behandling. De skal ligeledes bistå enhver person, der er bosiddende i udlandet, og som ønsker at gøre sin ret gældende til at blive underrettet, hvis personoplysninger om vedkommende er genstand for behandling, til at få indsigt i sine personoplysninger, til at anmode om en eventuel berigtigelse eller tilintetgørelse og til at klage.
(10) Den lovgivning, der finder anvendelse i Schweiz, omfatter alle de grundlæggende principper, som er nødvendige for at konstatere, at niveauet af den beskyttelse, der gives fysiske personer, er tilstrækkeligt, selv om der er fastsat undtagelser og begrænsninger for at beskytte vigtige offentlige interesser. Anvendelsen af disse normer sikres gennem adgangen til domstolsprøvelse og den uvildige kontrol, der foretages af myndighederne, herunder den føderale ansvarlige for databeskyttelse, der har beføjelse til at undersøge og gribe ind. Desuden finder de schweiziske bestemmelser om civilretligt erstatningsansvar anvendelse, hvis en person har lidt skade som følge af en ulovlig behandling af personoplysninger.
(11) Af hensyn til princippet om gennemsigtighed og for at beskytte de kompetente myndigheders muligheder for i medlemsstaterne at beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger er det nødvendigt at specificere, under hvilke særlige omstændigheder det er muligt at suspendere specifikke dataoverførsler, uanset om det pågældende databeskyttelsesniveau anses for tilstrækkeligt.
(12) Gruppen vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger nedsat ved artikel 29 i direktiv 95/46/EF har afgivet udtalelse om beskyttelsesniveauet i henhold til svejtsisk lovgivning, som er blevet taget i betragtning ved udarbejdelsen af nærværende beslutning(4).
(13) De i denne beslutning fastsatte foranstaltninger er i overensstemmelse med udtalelse fra det ved artikel 31 i direktiv 95/46/EF nedsatte udvalg -
VEDTAGET FØLGENDE BESLUTNING:
Artikel 1
For så vidt angår artikel 25, stk. 2, i direktiv 95/46/EF anses Schweiz med hensyn til al virksomhed, der falder ind under direktivets anvendelsesområde, for at sikre et tilstrækkeligt beskyttelsesniveau for personoplysninger, der videregives fra Den Europæiske Union.
Artikel 2
Denne beslutning vedrører kun spørgsmålet, om Schweiz sikrer tilstrækkelig beskyttelse med hensyn til at opfylde kravene i artikel 25, stk. 1, i direktiv 95/46/EF og berører ikke andre betingelser eller begrænsninger i forbindelse med gennemførelsen af andre bestemmelser i direktivet, der vedrører behandlingen af personoplysninger i medlemsstaterne.
Artikel 3
1. Uden at det har nogen indvirkning på deres beføjelser til at træffe foranstaltninger for at sikre overensstemmelse med nationale bestemmelser, der er udstedt i henhold til andre bestemmelser end direktivets artikel 25, kan de kompetente myndigheder i medlemsstaterne gøre brug af deres nuværende beføjelser til at suspendere den fortsatte videregivelse af oplysninger til en modtager i Schweiz for at beskytte fysiske personer med hensyn til behandlingen af deres personoplysninger:
a) når den kompetente schweiziske myndighed finder, at modtageren overtræder gældende beskyttelsesnormer, eller
b) når der er væsentlig sandsynlighed for, at beskyttelsesnormerne overtrædes, når der er grund til at antage, at den kompetente schweiziske myndighed ikke tager eller ikke agter at tage passende og rettidige skridt for at afgøre forholdet, når en fortsat videregivelse vil kunne skabe overhængende risiko for alvorlig skade for de registrerede, og når de kompetente myndigheder i medlemsstaterne på passende vis har forsøgt at advare den ansvarlige for behandlingen i Schweiz og give vedkommende mulighed for at svare.
Suspenderingen ophæves, når beskyttelsesnormerne overholdes, og den pågældende kompetente myndighed i EF underrettes herom.
2. Medlemsstaterne skal hurtigst muligt underrette Kommissionen, hvis der træffes foranstaltninger i henhold til stk. 1.
3. Medlemsstaterne og Kommissionen skal også underrette hinanden om tilfælde, hvor de schweiziske organer, der har ansvaret for, at beskyttelsesnormerne overholdes, ikke sikrer denne overholdelse.
4. Hvis det ifølge de oplysninger, der fremkommer i henhold til artikel 2, stk. 1, 2 og 3, kan godtgøres, at et organ, der har ansvaret for at sikre, at beskyttelsesnormerne i Schweiz overholdes, ikke effektivt udfører sin opgave, underretter Kommissionen den kompetente schweiziske myndighed herom og forelægger om nødvendigt et udkast til foranstaltninger efter proceduren i artikel 31 i direktiv 95/46/EF med henblik på at ophæve eller suspendere nærværende beslutning eller begrænse dens anvendelsesområde.
Artikel 4
1. Denne beslutning kan til enhver tid ændres på grundlag af erfaringerne i forbindelse med dens anvendelse eller lovændringer i Schweiz.
Kommissionen skal tre år efter denne beslutnings meddelelse til medlemsstaterne på grundlag af de oplysninger, den råder over, foretage en vurdering af beslutningens anvendelse og fremsende enhver relevant konstatering til det udvalg, der er nedsat i henhold til artikel 31 i direktiv 95/46/EF, herunder ethvert forhold der kan påvirke den vurdering, der foretages i henhold til artikel 1 i denne beslutning om, at beskyttelsen i Schweiz er tilstrækkelig efter direktivets artikel 25, og ethvert forhold, der viser, at beslutningen gennemføres på diskriminerende måde.
2. Kommissionen skal i givet fald fremlægge et udkast til foranstaltninger efter proceduren i artikel 31 i direktiv 95/46/EF.
Artikel 5
Medlemsstaterne træffer de nødvendige foranstaltninger for at efterkomme denne beslutning senest 90 dage efter dens meddelelse til medlemsstaterne.
Artikel 6
Denne beslutning er rettet til medlemsstaterne.
Udfærdiget i Bruxelles, den 26. juli 2000.
På Kommissionens vegne
Frederik Bolkestein
Medlem af Kommissionen
(1) EFT L 281 af 23.11.1995, s. 31.
(2) Udtalelse 12/98, vedtaget af gruppen den 24. juli 1998: "Videregivelse af personoplysninger til tredjelande: anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv" (GD MARKT D/5025/98); tilgængelig på Europa-Kommissionens websted "Europa". http://europa. eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.
(3) http://conventions.coe.int/treaty/EN/cadreintro.htm.
(4) Udtalelse 5/99, vedtaget af gruppen den 7. juni 1999 (GD MARKT 5054/99); tilgængelig på Europa-Kommissionens websted "Europa", se fodnote 2.
