Beschikking van de Commissie

van 26 juli 2000

overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de passende bescherming van persoonsgegevens in Zwitserland

(Kennisgeving geschied onder nummer C(2000) 2304)

(Voor de EER relevante tekst)

(2000/518/EG)

DE COMMISSIE VAN DE EUROPESE GEMEENSCHAPPEN,

Gelet op het Verdrag tot oprichting van de Europese Gemeenschap,

Gelet op Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(1), en met name op artikel 25, lid 6,

Overwegende hetgeen volgt:

(1) Overeenkomstig Richtlijn 95/46/EG moeten de lidstaten bepalen dat persoonsgegevens slechts naar een derde land mogen worden doorgegeven, indien dat land een passend beschermingsniveau waarborgt en de wetgeving van de lidstaat die is vastgesteld ter uitvoering van andere bepalingen van deze richtlijn al vóór de doorgifte wordt nageleefd.

(2) De Commissie kan vaststellen dat een derde land waarborgen voor een passend beschermingsniveau biedt. In dat geval kunnen persoonsgegevens zonder aanvullende garanties door de lidstaten worden doorgegeven.

(3) Overeenkomstig Richtlijn 95/46/EG dient het niveau van de gegevensbescherming te worden beoordeeld met inachtneming van alle omstandigheden waarin een gegevensdoorgifte of een categorie gegevensdoorgiften plaatsvindt, en moet in het bijzonder rekening worden gehouden met een aantal voorwaarden. De bij de richtlijn ingestelde Groep betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens heeft richtsnoeren voor een dergelijke beoordeling vastgesteld(2).

(4) Gezien de verschillende benaderingen van gegevensbescherming in derde landen moet de beoordeling van de gepastheid respectievelijk de toepassing van de besluiten op grond van artikel 25, lid 6, van Richtlijn 95/46/EG worden uitgevoerd op een wijze die geen willekeurige of onverantwoorde discriminatie tegen of tussen derde landen waar gelijksoortige voorwaarden gelden, noch een verkapte handelsbelemmering vormt, rekening gehouden met de internationale verbintenissen van de Gemeenschap.

(5) In Zwitserland gelden voor de bescherming van persoonsgegevens zowel op federaal als op kantonnaal niveau juridisch bindende wettelijke normen.

(6) De federale grondwet, gewijzigd bij het referendum van 18 april 1999, welke wijziging op 1 januari 2000 in werking is getreden, verleent eenieder het recht op eerbiediging van de persoonlijke levenssfeer en met name het recht te worden beschermd tegen misbruik van de gegevens die op hem betrekking hebben. Op basis van de vroegere tekst van de grondwet, waarin een dergelijke bepaling ontbrak, heeft het federale gerechtshof rechtspraak ontwikkeld waarin de algemene beginselen zijn neergelegd die op de verwerking van persoonsgegevens van toepassing zijn, in het bijzonder met betrekking tot de kwaliteit van de verwerkte gegevens, het recht op toegang voor de betrokkenen en het recht te vragen dat gegevens worden gerectificeerd of vernietigd; deze beginselen zijn bindend op federaal en op kantonnaal niveau.

(7) De Zwitserse federale wet inzake gegevensbescherming van 19 juni 1992 is op 1 juli 1993 in werking getreden. De toepassing van een aantal bepalingen van de wet, met name betreffende het recht op toegang voor de betrokkenen, de aanmelding van verwerkingen bij de onafhankelijke toezichthoudende autoriteit of de doorgifte van de gegevens naar het buitenland, is door de Bondsraad bij beschikking geregeld. De wet is van toepassing op de verwerking van persoonsgegevens door federale organen en door de gehele particuliere sector, alsmede op verwerkingen door kantonnale organen in verband met de uitvoering van de federale wetgeving, voorzover op deze verwerkingen geen kantonnale bepalingen inzake gegevensbescherming van toepassing zijn.

(8) In de meeste kantons gelden wettelijke regelingen voor de gegevensbescherming op gebieden die onder kantonnale bevoegdheid vallen, zoals de openbare ziekenhuizen, het onderwijs, de directe kantonnale belastingen en de politie. In andere kantons worden dergelijke verwerkingen geregeld door voorschriften of door beginselen van de kantonnale rechtspraak. Ongeacht de oorsprong en inhoud van deze kantonnale bepalingen en ook bij het ontbreken van kantonnale bepalingen, moeten de kantons de grondwettelijke beginselen naleven. Binnen de gebieden waarvoor zij bevoegd zijn, mogen de kantonnale autoriteiten persoonsgegevens doorgeven aan de overheidsdiensten van aangrenzende staten, in het bijzonder in het kader van de wederzijdse bijstand bij de bescherming van zwaarwegende algemene belangen of, in het geval van openbare ziekenhuizen, om het vitale belang van de betrokkenen te beschermen.

(9) Zwitserland heeft op 2 oktober 1997 het Verdrag van de Raad van Europa tot bescherming van personen terzake van de geautomatiseerde verwerking van persoonsgegevens (Verdrag nr. 108)(3) geratificeerd, dat tot doel heeft de bescherming van persoonsgegevens te verbeteren en het vrije verkeer tussen de verdragsluitende partijen te garanderen, onder voorbehoud van eventuele uitzonderingen die deze partijen toestaan. Hoewel dit verdrag niet rechtstreeks van toepassing is, legt het zowel de federatie als de kantons internationale verplichtingen op. Deze verplichtingen betreffen niet alleen de fundamentele beginselen van de gegevensbescherming die door elke verdragsluitende partij in nationaal recht moeten worden omgezet, maar ook de mechanismen voor samenwerking tussen de verdragsluitende partijen. In het bijzonder moeten de bevoegde Zwitserse autoriteiten de autoriteiten van de andere verdragsluitende partijen op verzoek alle informatie over het recht en de administratieve praktijk inzake gegevensbescherming doen toekomen, alsook specifieke informatie over een bepaalde geautomatiseerde verwerking verstrekken. Zij moeten ook bijstand verlenen aan in het buitenland woonachtige personen bij de uitoefening van hun recht in kennis te worden gesteld van verwerkingen van hen betreffende gegevens, hun recht op toegang tot deze gegevens, hun recht om te vragen dat deze worden gerectificeerd of vernietigd en hun recht om beroep in rechte in te stellen.

(10) De in Zwitserland toepasselijke wettelijke normen omvatten alle fundamentele beginselen die voor een passend beschermingsniveau voor natuurlijke personen vereist zijn, ook al zijn uitzonderingen en beperkingen vastgelegd om zwaarwegende algemene belangen te beschermen. De toepassing van deze wettelijke normen wordt gegarandeerd door de mogelijkheid van een beroep in rechte en door de onafhankelijke controle door de autoriteiten, zoals de federale commissaris die bevoegd is een onderzoek in te stellen en maatregelen te nemen. Bovendien is het Zwitserse burgerlijke aansprakelijkheidsrecht van toepassing in het geval van onrechtmatige verwerking die schade tot gevolg heeft.

(11) Ter wille van de doorzichtigheid en teneinde te garanderen dat de bevoegde autoriteiten in de lidstaten de personen wier persoonsgegevens worden verwerkt, kunnen beschermen, moet in deze beschikking worden aangegeven in welke buitengewone omstandigheden het gerechtvaardigd is specifieke gegevensstromen op te schorten, ook al is een passend beschermingsniveau vastgesteld.

(12) De op grond van artikel 29 van de richtlijn opgerichte Groep betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens heeft over het beschermingsniveau dat door het Zwitserse recht wordt geboden, een advies uitgebracht waarmee bij de voorbereiding van deze beschikking rekening is gehouden(4).

(13) De in deze beschikking vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 31 van Richtlijn 95/46/EG ingestelde comité,

HEEFT DE VOLGENDE BESCHIKKING GEGEVEN:

Artikel 1

Voor de toepassing van artikel 25, lid 2, van Richtlijn 95/46/EG op alle onder die richtlijn vallende activiteiten wordt Zwitserland geacht een passend beschermingsniveau voor vanuit de Gemeenschap doorgegeven persoonsgegevens te bieden.

Artikel 2

Deze beschikking heeft alleen betrekking op de gepastheid van de bescherming die in Zwitserland wordt geboden, teneinde aan de vereisten van artikel 25, lid 1, van Richtlijn 95/46/EG te voldoen en laat de toepassing van andere bepalingen van die richtlijn die op de verwerking van persoonsgegevens in de lidstaten betrekking hebben, onverlet.

Artikel 3

1. Onverminderd hun bevoegdheden maatregelen te nemen teneinde te zorgen voor de naleving van nationale bepalingen die overeenkomstig andere bepalingen dan die van artikel 25 van Richtlijn 95/46/EG zijn vastgesteld, kunnen de bevoegde autoriteiten van de lidstaten van hun bestaande bevoegdheden gebruikmaken om gegevensstromen naar een ontvanger in Zwitserland op te schorten, teneinde personen ten aanzien van de verwerking van hun persoonsgegevens te beschermen, wanneer:

a) een bevoegde Zwitserse autoriteit heeft vastgesteld dat de ontvanger de toepasselijke beschermingsnormen niet naleeft, of

b) het zeer waarschijnlijk is dat de beschermingsnormen worden geschonden; redelijkerwijs kan worden aangenomen dat de bevoegde Zwitserse autoriteit niet tijdig passende maatregelen neemt of zal nemen om het betrokken probleem op te lossen; zich een risico voordoet dat de betrokkenen ernstige schade wordt toegebracht wanneer verder gegevens worden doorgegeven, en de bevoegde autoriteiten in de lidstaten zich naar omstandigheden redelijke inspanningen hebben getroost om de in Zwitserland gevestigde partij die voor de verwerking verantwoordelijk is, van het probleem in kennis te stellen en de gelegenheid te geven te reageren.

De opschorting wordt beëindigd zodra vaststaat dat de beschermingsnormen worden gewaarborgd en de bevoegde autoriteit in de Gemeenschap hiervan in kennis is gesteld.

2. De lidstaten stellen de Commissie onverwijld in kennis, wanneer op grond van lid 1 maatregelen worden genomen.

3. De lidstaten en de Commissie stellen elkaar tevens in kennis van gevallen waarin instanties die voor het toezicht op de naleving van de beschermingsnormen in Zwitserland verantwoordelijk zijn, verzuimen een dergelijke naleving te garanderen.

4. Wanneer uit de overeenkomstig de leden 1, 2 en 3 verzamelde informatie, mocht blijken dat een instantie die voor het toezicht op de naleving van beschermingsnormen in Zwitserland verantwoordelijk is, zich niet naar behoren van haar taak kwijt, stelt de Commissie de bevoegde Zwitserse autoriteit daarvan in kennis en legt zij, zo nodig, volgens de procedure van artikel 31 van Richtlijn 95/46/EG een ontwerp voor van maatregelen om deze beschikking in te trekken of op te schorten dan wel de werkingssfeer ervan te beperken.

Artikel 4

1. Deze beschikking kan te allen tijde in het licht van de bij de uitvoering ervan opgedane ervaringen of van wijzigingen in de Zwitserse wetgeving worden gewijzigd.

In ieder geval evalueert de Commissie op basis van de beschikbare informatie de uitvoering van deze beschikking drie jaar na de kennisgeving ervan aan de lidstaten, en deelt zij alle relevante vaststellingen aan het bij artikel 31 van Richtlijn 95/46/EG ingestelde comité mee, waaronder alle gegevens die van invloed kunnen zijn op de vaststelling in artikel 1 van deze beschikking dat het beschermingsniveau in Zwitserland passend is in de zin van artikel 25 van Richtlijn 95/46/EG en alle gegevens waaruit blijkt dat deze beschikking op discriminerende wijze wordt uitgevoerd.

2. De Commissie legt, zo nodig, volgens de bij artikel 31 van de richtlijn vastgestelde procedure een ontwerp van de te nemen maatregelen voor.

Artikel 5

De lidstaten nemen alle nodige maatregelen om uiterlijk 90 dagen na de kennisgeving ervan aan de lidstaten aan deze beschikking te voldoen.

Artikel 6

Deze beschikking is gericht tot de lidstaten.

Gedaan te Brussel, 26 juli 2000.

Voor de Commissie

Frederik Bolkestein

Lid van de Commissie

(1) PB L 281 van 23.11.1995, blz. 31.

(2) Advies 12/98, door de werkgroep goedgekeurd op 24 juli 1998: "Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming" (DG MARKT D/5025/98), beschikbaar op de website http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.

(3) Beschikbaar op de website http://conventions.coe.int/treaty/EN/cadreintro.htm.

(4) Advies 5/99, door de werkgroep goedgekeurd op 7 juni 1999 (DG MARKT 5054/99), beschikbaar op de website http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.