Komisijos Sprendimas

2000 m. liepos 26 d.

dėl Šveicarijoje teikiamos pakankamos asmens duomenų apsaugos pagal Europos Parlamento ir Tarybos direktyvą 95/46/EB

(pranešta dokumentu Nr. C(2000) 2304)

(tekstas svarbus EEE)

(2000/518/EB)

EUROPOS BENDRIJŲ KOMISIJA,

atsižvelgdama į Europos bendrijos steigimo sutartį,

atsižvelgdama į 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvą 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo [1], ypač į jos 25 straipsnio 6 dalį,

kadangi:

(1) Pagal Direktyvą 95/46/EB valstybės narės privalo imtis priemonių, kad asmens duomenys būtų perduodami trečiajai šaliai tik tuomet, jei ta trečioji šalis užtikrina pakankamą apsaugos lygį ir prieš perduodant duomenis atsižvelgiama į tos valstybės narės įstatymus, įgyvendinančius kitas tos direktyvos nuostatas.

(2) Komisija gali nustatyti, kad trečioji šalis užtikrina pakankamą apsaugos lygį. Tuomet asmens duomenys gali būti perduodami iš valstybių narių nereikalaujant papildomų garantijų.

(3) Pagal Direktyvą 95/46/EB duomenų apsaugos lygį reikia įvertinti atsižvelgiant į visas su duomenų perdavimo operacija arba duomenų perdavimo operacijų rinkiniu susijusias aplinkybes ir esamas sąlygas. Pagal šią direktyvą įkurta Darbo grupė asmenų apsaugai tvarkant asmens duomenis išleido vadovą tokiems įvertinimams [2].

(4) Turint omenyje įvairius požiūrius į duomenų apsaugą trečiosiose šalyse, pakankamumas turėtų būti įvertinamas ir kiekvienas sprendimas, priimtas vadovaujantis Direktyvos 95/46/EB 25 straipsnio 6 dalimi, turėtų būti įgyvendinamas taip, kad savavališkai ar nepagrįstai nediskriminuotų trečiųjų šalių tais atvejais, kai vyrauja panašios sąlygos, nei taptų paslėpta prekybos kliūtimi, atsižvelgiant į dabartinius Bendrijos tarptautinius įsipareigojimus.

(5) Šveicarijos Konfederacijoje asmens duomenų apsaugos teisiniai reikalavimai yra teisiškai privalomi ir federaliniu, ir kantonų lygmeniu.

(6) Federalinė Konstitucija, kurios pataisos referendumu buvo priimtos 1999 m. balandžio 18 d. ir kuri įsigaliojo nuo 2000 m. sausio 1 d., kiekvienam asmeniui suteikia teisę į privatų gyvenimą ir konkrečiai būti apsaugotam nuo netinkamo jo duomenų naudojimo. Federalinis Teismas, remdamasis ankstesne Konstitucija, kurioje nebuvo tokios nuostatos, sukūrė precedentinę teisę, nustatančią pagrindinius asmens duomenų tvarkymo principus,ypač dėl tvarkomų duomenų kokybės, susijusių asmenų teisės su jais susipažinti ir teisės reikalauti, kad duomenys būtų pataisyti ar sunaikinti. Šie principai yra privalomi ir Federacijai, ir kiekvienam kantonui.

(7) 1992 m. birželio 19 d. Šveicarijos duomenų apsaugos įstatymas įsigaliojo 1993 m. liepos 1 d. Tam tikrų šio įstatymo nuostatų įgyvendinimo taisyklės, susijusios konkrečiai su susijusių asmenų teise susipažinti su duomenimis, pranešimu apie tvarkymo operacijas nepriklausomai priežiūros institucijai ir duomenų perdavimu užsienio šaliai, buvo nustatytos Federalinės Tarybos nutarimu. Įstatymas taikomas asmens duomenų tvarkymui, kurį vykdo federalinės institucijos ir visas privatus sektorius, ir tvarkymo operacijoms, kurias atlieka kantonų institucijos pagal federalinius teisės aktus tais atvejais, kai tokiam tvarkymui netaikomos kantonų nuostatos dėl duomenų apsaugos.

(8) Dauguma kantonų yra priėmę teisės aktus dėl duomenų apsaugos savo kompetencijos srityse, ypač tokiose kaip viešosios ligoninės, švietimas, tiesioginiai kantonų mokesčiai ir policija. Kituose kantonuose duomenų tvarkymą reglamentuoja potvarkiai ir kantonų precedentinės teisės principai. Koks bebūtų kantonų nuostatų šaltinis ir turinys arba jei ir nebūtų jokių kantonų nuostatų, kantonai turi laikytis konstitucinių principų. Savo atsakomybės srityje kantonų valdžios institucijoms gali tekti asmens duomenis perduoti kaimyninių šalių valdžios institucijoms, daugiausia savitarpio pagalbos tikslu, kad būtų apsaugoti svarbūs visuomenės interesai arba kad, pavyzdžiui, viešosiose ligoninėse būtų apsaugoti atitinkamų asmenų gyvybiniai interesai.

(9) 1997 m. spalio 2 d. Šveicarija ratifikavo Europos Tarybos konvenciją dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (Konvencija Nr. 108) [3], kuria siekiama sustiprinti asmens duomenų apsaugą ir užtikrinti jų laisvą judėjimą tarp Susitariančiųjų Šalių, atsižvelgiant į išimtis, kurias šios šalys gali nustatyti. Nors ši konvencija nėra tiesiogiai taikoma, ji nustato ir Federacijos, ir kantonų tarptautinius įsipareigojimus. Šie įsipareigojimai yra susiję ne tik su pagrindiniais apsaugos principais, kuriuos kiekviena Susitariančioji Šalis turi įgyvendinti savo vidaus teisėje, bet ir Susitariančiųjų Šalių bendradarbiavimo mechanizmais. Konkrečiai kompetentingos Šveicarijos valdžios institucijos kitų Susitariančiųjų Šalių kompetentingų institucijų prašymu privalo teikti bet kurią informaciją apie asmens duomenų apsaugai taikomus teisės aktus ir administravimo praktiką bei informaciją apie bet kurį konkretų automatizuoto duomenų tvarkymo atvejį. Jos taip pat turi padėti kiekvienam asmeniui, gyvenančiam užsienyje, naudotis teise būti informuotam apie su juo susijusių duomenų tvarkymo operacijas, teise susipažinti su savo duomenimis arba reikalauti juos pataisyti ar panaikinti ir teise į teisminį teisės gynimo būdą.

(10) Šveicarijoje taikomi teisiniai reikalavimai apima visus pagrindinius principus, būtinus adekvačiam fizinių asmenų apsaugos lygiui, net jeigu ir yra nustatytos išimtys ir apribojimai, kad būtų apsaugoti svarbūs visuomenės interesai. Šių reikalavimų taikymą garantuoja teisminis teisės gynimo būdas ir nepriklausoma priežiūra, kurią atlieka valdžios institucijos, pavyzdžiui, Federalinis komisaras, turintis įgaliojimus atlikti tyrimą ir įsikišti. Be to, neteisėto tvarkymo atveju, kuris pažeidžia atitinkamų asmenų teises, taikomos Šveicarijos teisės aktų nuostatos dėl civilinės atsakomybės.

(11) Siekiant skaidrumo ir norint apsaugoti valstybių narių kompetentingų institucijų gebėjimą užtikrinti asmenų apsaugą tvarkant jų asmens duomenis, šiame sprendime būtina tiksliai apibrėžti išskirtines aplinkybes, kuriomis būtų pateisinamas tam tikrų ypatingų duomenų srautų perdavimo sulaikymas, nepaisant to, kad yra pakankama apsauga.

(12) Darbo grupė asmenų apsaugai tvarkant asmens duomenis, įsteigta pagal Direktyvos 95/46/EB 29 straipsnį, pateikė nuomones dėl Šveicarijos teisės aktų teikiamo apsaugos lygio, į kurias buvo atsižvelgta rengiant šį sprendimą [4].

(13) Šiame sprendime nustatytos priemonės atitinka komiteto, įsteigto pagal Direktyvos 95/46/EB 31 straipsnį, nuomonę,

PRIĖMĖ ŠĮ SPRENDIMĄ:

1 straipsnis

Direktyvos 95/46/EB 25 straipsnio 2 dalies tikslais visų rūšių veiklai, patenkančiai į šios direktyvos taikymo sritį, Šveicarija yra laikoma teikiančia adekvatų apsaugos lygį iš Bendrijos perduotiems asmens duomenims.

2 straipsnis

Šis sprendimas yra tik dėl Šveicarijoje teikiamos apsaugos adekvatumo tenkinant Direktyvos 95/46/EB 25 straipsnio 1 dalies reikalavimus ir neturi poveikio kitoms sąlygoms ar apribojimams, įgyvendinant kitas šios direktyvos nuostatas, susijusias su asmens duomenų tvarkymu valstybėse narėse.

3 straipsnis

1. Nepažeisdamos savo įgaliojimų imtis veiksmų, kad būtų užtikrintas nacionalinių nuostatų, priimtų pagal kitas negu Direktyvos 95/46/EB 25 straipsnio nuostatos, laikymasis, valstybių narių kompetentingos institucijos gali naudotis turimais įgaliojimais sustabdyti duomenų srautus gavėjui Šveicarijoje, kad apsaugotų asmenis tvarkant jų asmens duomenis tais atvejais, kai:

a) kompetentinga Šveicarijos institucija yra nustačiusi, kad gavėjas nesilaiko taikomų apsaugos reikalavimų; arba

b) yra pagrįsta tikimybė, kad apsaugos reikalavimai yra pažeidžiami; yra pagrįstas pagrindas manyti, kad kompetentinga Šveicarijos institucija laiku nesiima arba nesiims atitinkamų priemonių išspręsti iškilusį klausimą; tęsiant perdavimą atsirastų tiesioginis pavojus padaryti didelę žalą duomenų subjektams ir valstybių narių kompetentingos institucijos ėmėsi pagrįstų pastangų tomis aplinkybėmis Šveicarijoje įsisteigusią šalį, atsakingą už duomenų tvarkymą, įspėti ir suteikti jai galimybę reaguoti.

Sustabdymas nustoja galioti, kai tik užtikrinamas apsaugos reikalavimų laikymasis, ir apie tai pranešama atitinkamai kompetentingai institucijai Bendrijoje.

2. Imdamosi priemonių vadovaujantis šio straipsnio 1 dalimi, valstybės narės nedelsdamos apie tai informuoja Komisiją.

3. Valstybės narės ir Komisija taip pat informuoja viena kitą apie atvejus, kai įstaigų, atsakingų už apsaugos reikalavimų Šveicarijoje laikymosi užtikrinimą, veiksmai neužtikrina tokio laikymosi.

4. Jei pagal šio straipsnio 1, 2 ir 3 dalis surinkta informacija teikia įrodymų, kad kuri nors įstaiga, atsakinga už apsaugos reikalavimų Šveicarijoje laikymosi užtikrinimą, neatlieka veiksmingai savo vaidmens, Komisija informuoja kompetentingą Šveicarijos instituciją ir prireikus Direktyvos 95/46/EB 31 straipsnyje nustatyta tvarka pateikia priemonių projektą, kad šis sprendimas būtų panaikintas ar sustabdytas arba apribota jo taikymo sritis.

4 straipsnis

1. Šis sprendimas bet kuriuo metu gali būti iš dalies keičiamas atsižvelgiant į patirtį, įgytą jį vykdant, arba į Šveicarijos teisės aktų pakeitimus.

Praėjus trejiems metams po sprendimo pranešimo valstybėms narėms, Komisija įvertina kaip šis sprendimas vykdomas ir remdamasi turima informacija ir praneša susijusias išvadas pagal Direktyvos 95/46/EB 31 straipsnį įsteigtam Komitetui, įskaitant visus įrodymus, kurie gali turėti įtakos vertinant, ar šio sprendimo 1 straipsnio nuostatos suteikia pakankamą apsaugą, kaip numato Direktyvos 95/46/EB 25 straipsnis, ir bet kokius galimus įrodymus, kad taikant šį sprendimą kas nors yra diskriminuojamas.

2. Prireikus Direktyvos 95/46/EB 31 straipsnyje nustatyta tvarka Komisija pateikia priemonių projektą.

5 straipsnis

Valstybės narės ne vėliau kaip per 90 dienų po pranešimo pateikimo valstybėms narėms imasi visų priemonių, būtinų, kad būtų laikomasi šio sprendimo.

6 straipsnis

Šis sprendimas skirtas valstybėms narėms.

Priimta Briuselyje, 2000 m. liepos 26 d.

Komisijos vardu

Frederik Bolkestein

Komisijos narys

[1] OL L 281, 1995 11 23, p. 31.

[2] 1998 m. liepos 24 d. Darbo grupės priimta Nuomonė 12/98 "Asmens duomenų perdavimas trečiosioms šalims. ES duomenų apsaugos direktyvos 25 ir 26 straipsnių taikymas" (DG MARKT D/5025/98), su kuria galima susipažinti Europos Komisijos interneto tinklalapyje Europa: http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/ index.htm.

[3] Galima rasti tinklalapyje: http://conventions.coe.int/treaty/EN/cadreintro.htm.

[4] Su 1999 m. birželio 7 d. priimta Darbo grupės nuomone 5/99 (DG MARKT 5054/99) galima susipažinti 2 išnašoje minėtame tinklalapyje.

--------------------------------------------------