Back to EUR-Lex homepage

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search
You are here

Document 32002D0002

Decyzja Komisji z dnia 20 grudnia 2001 r. na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie odpowiedniej ochrony danych osobowych zapewnionej w ustawie kanadyjskiej o ochronie informacji osobowych i dokumentów elektronicznych (notyfikowana jako dokument nr C(2001) 4539)

Dz.U. L 2 z 4.1.2002, p. 13–16 (ES, DA, DE, EL, EN, FR, IT, NL, PT, FI, SV)

Ten dokument został opublikowany w wydaniu(-iach) specjalnym(-ych) (CS, ET, LV, LT, HU, MT, PL, SK, SL, BG, RO, HR)

Legal status of the document In force: This act has been changed. Current consolidated version: 17/12/2016

ELI: http://data.europa.eu/eli/dec/2002/2(1)/oj

32002D0002



Dziennik Urzędowy L 002 , 04/01/2002 P. 0013 - 0016


Decyzja Komisji

z dnia 20 grudnia 2001 r.

na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie odpowiedniej ochrony danych osobowych zapewnionej w ustawie kanadyjskiej o ochronie informacji osobowych i dokumentów elektronicznych

(notyfikowana jako dokument nr C(2001) 4539)

(2002/2/WE)

KOMISJA WSPÓLNOT EUROPEJSKICH,

uwzględniając Traktat ustanawiający Wspólnotę Europejską,

uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych [1], w szczególności jej art. 25 ust. 6,

a także mając na uwadze, co następuje:

(1) Na mocy dyrektywy 95/46/WE Państwa Członkowskie są zobowiązane do zabezpieczenia, aby przekazanie danych osobowych do państwa trzeciego mogło odbywać się tylko w sytuacji, gdy dane państwo trzecie zapewnia odpowiedni poziom ochrony i jeżeli przepisy prawne Państw Członkowskich wprowadzające pozostałe przepisy dyrektywy są zastosowane przed przekazaniem danych.

(2) Komisja może określić, że państwo trzecie zapewnia właściwy poziom ochrony. W takim przypadku dane osobowe mogą być przekazywane z Państw Członkowskich bez potrzeby dodatkowych gwarancji.

(3) Na mocy dyrektywy 95/46/WE poziom ochrony danych powinien być oceniany w świetle okoliczności towarzyszących operacji przekazywania danych lub zestawu operacji przekazywania danych oraz w odniesieniu do danych warunków. Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, ustanowiona na mocy art. 29 dyrektywy 95/46/WE, wydała wytyczne w sprawie wykonywania takich ocen [2].

(4) Mając na uwadze różne podejście do ochrony danych w państwach trzecich, należy przeprowadzić właściwą ocenę i podjąć decyzję na podstawie art. 25 ust. 6 dyrektywy 95/46/WE oraz zastosować ją w sposób, który nie powoduje arbitralnej lub nieuzasadnionej dyskryminacji państw trzecich ani żadnego z nich tam, gdzie przeważają podobne warunki ochrony, ani nie tworzy ukrytych barier rynkowych, przy jednoczesnym uwzględnieniu obecnych zobowiązań międzynarodowych Wspólnoty.

(5) Ustawa kanadyjska o ochronie informacji osobowych i dokumentów elektronicznych ("ustawa kanadyjska") z dnia 13 kwietnia 2000 r. [3] stosuje się do organizacji sektora prywatnego, które zbierają, wykorzystują lub ujawniają informacje osobowe w trakcie działalności komercyjnej. Wchodzi ona w życie w trzech etapach:

Począwszy od dnia 1 stycznia 2001 r., ustawa kanadyjska stosuje się do informacji osobowych, poza informacjami osobowymi o zdrowiu, które organizacja, będąca instytucją federalną, przedsiębiorstwem lub firmą, zbiera, wykorzystuje lub ujawnia w trakcie działalności komercyjnej. Organizacje te znajdują się w sektorach takich, jak linie lotnicze, bankowość, nadawcy radiowi i telewizyjni, transport międzyregionalny i telekomunikacja. Ustawę kanadyjską stosuje się również do wszystkich organizacji, które przekazują informacje osobowe do wykorzystania poza granicami prowincji lub Kanady oraz do informacji osobowych odnoszących się do pracowników instytucji federalnych, przedsiębiorstw lub firm.

Począwszy od dnia 1 stycznia 2002 r., ustawę kanadyjską stosuje się do informacji osobowych o zdrowiu w przypadku organizacji i przedsiębiorstw objętych pierwszym etapem.

Począwszy od dnia 1 stycznia 2004 r., ustawa kanadyjska obejmuje każdą organizację, która zbiera, wykorzystuje lub ujawnia informacje osobowe w trakcie działalności komercyjnej, niezależnie od tego, czy działa ona na prawie federalnym czy nie. Ustawa kanadyjska nie stosuje się do organizacji, do których stosuje się ustawę federalną o ochronie prywatności, lub które są regulowane przez sektor publiczny na poziomie prowincji, ani do organizacji typu non-profit i prowadzących działalność charytatywną, pod warunkiem że nie ma ona charakteru komercyjnego. Podobnie nie obejmuje danych pracowniczych w sektorze prywatnym działającym na prawie federalnym. Kanadyjski Federalny Komisarz ds. Ochrony Prywatności może w takich przypadkach dostarczyć dodatkowych informacji.

(6) W celu respektowania prawa prowincji do działań legislacyjnych w ich obszarach jurysdykcji, ustawa przewiduje, że przy uchwaleniu zasadniczo podobnych aktów prawnych prowincji wyłączone mogą być organizacje lub przedsiębiorstwa objęte ustawodawstwem prowincji o prywatności. Sekcja 26 ust. 2 ustawy kanadyjskiej o ochronie informacji osobowych i dokumentów elektronicznych daje pełnomocnictwo rządowi federalnemu "do włączenia organizacji, działalności grupy ze stosowania niniejszej części w odniesieniu do zbierania, wykorzystywania lub ujawniania informacji osobowych w obrębie prowincji, które są zasadniczo podobne do niniejszej części, stosują się do organizacji, grupy organizacji, działalności lub grupy działalności". Przewodniczący Rady (kanadyjski rząd federalny) dokonuje wyłączenia dla zasadniczo podobnych aktów prawnych poprzez instrukcje wewnętrzne Rady.

(7) W przypadku gdy prowincja przyjmuje prawo podobne do federalnego, wówczas organizacje, grupy organizacji lub działalności są wyłączane ze stosowania prawa federalnego dla transakcji między prowincjami; prawo federalne nadal stosuje się do zbierania, wykorzystywania lub ujawniania informacji osobowych na szczeblu międzynarodowym i z prowincji, z jak również we wszystkich przypadkach gdy prowincje nie utworzyły zasadniczo podobnych przepisów prawnych w całości lub części.

(8) Kanada formalnie przystąpiła do Wytycznych OECD z 1980 r. w sprawie ochrony prywatności i transgranicznych przepływów danych osobowych z dnia 29 czerwca 1984 r. Kanada była jednym z państw, które poparły wytyczne Organizacji Narodów Zjednoczonych w sprawie skomputeryzowanych archiwów danych osobowych, przyjętych przez Zgromadzenie Ogólne dnia 14 grudnia 1990 r.

(9) Ustawa kanadyjska obejmuje podstawowe zasady niezbędne do zapewnienia właściwego poziomu ochrony dla osób fizycznych, nawet jeśli przewiduje wyjątki i ograniczenia w celu zabezpieczenia ważnych interesów publicznych oraz uznaje, że niektóre informacje należą do domeny publicznej. Stosowanie tych norm gwarantowane jest poprzez sądowe postępowanie odwoławcze oraz niezależny nadzór władz, takich jak Komisarz Federalny ds. Ochrony Prywatności, wyposażony w kompetencje do ścigania i interwencji. Poza tym przepisy prawa kanadyjskiego dotyczące odpowiedzialności cywilnej stosują się w przypadku nieuprawnionego przetwarzania, działającego na szkodę ludzi, których dotyczy.

(10) Dla przejrzystości i w celu zabezpieczenia zdolności właściwych władz w Państwach Członkowskich do zapewnienia ochrony osób fizycznych w zakresie przetwarzania ich danych osobowych, niezbędne jest określenie w niniejszej decyzji sytuacji wyjątkowych, w których usprawiedliwione jest zawieszenie ściśle określonych przepływów danych, niemniej szukając środków do właściwej ich ochrony.

(11) Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych ustanowiona na mocy art. 29 dyrektywy 95/46/WE, dostarczyła opinię w sprawie poziomu ochrony przewidzianej ustawą kanadyjską, która została uwzględniona w przygotowaniu niniejszej decyzji [4].

(12) Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu ustanowionego na mocy art. 31 dyrektywy 95/46/WE,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł 1

Do celów art. 25 ust. 2 dyrektywy 95/46/WE, Kanada uznawana jest za kraj zapewniający odpowiedni poziom ochrony danych osobowych przekazywanych ze Wspólnoty do odbiorców objętych przepisami ustawy kanadyjskiej o ochronie informacji osobowych i dokumentów elektronicznych ("ustawa kanadyjska").

Artykuł 2

Niniejsza decyzja dotyczy jedynie stwierdzenia, że ochrona przewidziana w Kanadzie na mocy ustawy kanadyjskiej jest odpowiednia z punktu widzenia spełnienia wymagań określonych w art. 25 ust. 1 dyrektywy 95/46/WE i nie ma wpływu na pozostałe warunki lub ograniczenia stosujące pozostałe przepisy tej dyrektywy, odnoszące się do przetwarzania danych osobowych w Państwach Członkowskich.

Artykuł 3

1. Nie naruszając kompetencji właściwych władz w Państwach Członkowskich do podejmowania działań w celu zapewnienia zgodności z przepisami prawa krajowego, przyjętych na mocy przepisów innych niż art. 25 dyrektywy 95/46/WE, władze te mogą wykonywać przysługujące im uprawnienia do zawieszenia przekazywania danych do odbiorców w Kanadzie, których działalność objęta jest przepisami ustawy kanadyjskiej, w celu ochrony jednostek w związku z przetwarzaniem danych osobowych, w przypadku gdy:

a) właściwy organ kanadyjski ustalił, że odbiorca narusza stosowne normy ochrony; lub

b) istnieje realne prawdopodobieństwo, że normy ochrony są naruszane; istnieją uzasadnione podstawy, aby sądzić, że właściwy organ kanadyjski nie podejmuje lub nie podejmie odpowiednich i w porę kroków, aby rozstrzygnąć dany przypadek; dalsze przekazywanie danych mogłoby narazić podmioty danych na ryzyko poważnej szkody oraz właściwe władze w Państwie Członkowskim poczyniły uzasadnione w takich okolicznościach działania polegające na dostarczeniu ostrzeżenia z możliwością repliki stronie odpowiedzialnej za przetwarzanie danych, umiejscowionej w Kanadzie.

Zawieszenie to przestaje obowiązywać tak szybko, jak zapewnione zostaną normy ochrony i powiadomiony zostaje o tym odpowiedni właściwy organ we Wspólnocie.

2. Państwa Członkowskie niezwłocznie powiadamiają Komisję o przyjęciu środków przewidzianych w ust. 1.

3. Państwa Członkowskie i Komisja informują się nawzajem o przypadkach, gdy działania organów odpowiedzialnych za zapewnienie zgodności z normami ochrony w Kanadzie nie zapewniają takiej zgodności.

4. W przypadku gdy informacje zebrane na podstawie ust. 1-3 wskazują na to, że organ odpowiedzialny za zapewnienie zgodności z normami ochrony w Kanadzie nie wypełnia skutecznie swojego zadania, Komisja informuje właściwe władze kanadyjskie oraz, jeśli zachodzi potrzeba, przedstawia projekt środków na podstawie procedury określonej w art. 31 ust. 2 dyrektywy 95/46/WE, w celu uchylenia lub zawieszenia niniejszej decyzji lub ograniczenia jej zakresu.

Artykuł 4

1. Niniejsza decyzja może być zmieniona w dowolnym czasie, w świetle doświadczeń z jej działania lub zmian w ustawodawstwie kanadyjskim, włączając w to procedurę uznania, że kanadyjska prowincja posiada zasadniczo podobne przepisy prawne. Komisja oceni działanie niniejszej decyzji na podstawie danych dostępnych trzy lata po przekazaniu jej do wiadomości Państw Członkowskich oraz przedstawi Komitetowi ustanowionemu na mocy art. 31 dyrektywy 95/46/WE raport przedstawiający wnioski. Raport ten będzie zawierał wszelkie dane, które mogłyby wpłynąć na uznanie, w art. 1 niniejszej decyzji, że Kanada spełniania wymogi co do poziomu ochrony oraz wskazanie wszystkich przypadków, w których niniejsza decyzja została zastosowana w sposób dyskryminacyjny.

2. Komisja, jeśli zachodzi taka potrzeba, przedstawia projekt środków zgodnie z procedurą określoną w art. 31 ust. 2 dyrektywy 95/46/WE.

Artykuł 5

Państwa Członkowskie podejmują wszelkie środki niezbędne do zapewnienia zgodności z niniejszą decyzją nie później niż przed upływem 90 dni od daty jej notyfikacji Państwom Członkowskim.

Artykuł 6

Niniejsza decyzja skierowana jest do Państw Członkowskich.

Sporządzono w Brukseli, dnia 20 grudnia 2001 r.

W imieniu Komisji

Frederik Bolkestein

Członek Komisji

[1] Dz.U. L 281 z 23.11.1995, str. 31.

[2] WP 12: Przekazywanie danych osobowych do państw trzecich: stosując art. 25 i 26 dyrektywy EU w sprawie ochrony danych, przyjęta przez grupę roboczą dnia 24 lipca 1998 r., dostępna na stronie http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/wpdocs_98.htm

[3] Opublikowane wersje elektroniczne (drukowane lub w Internecie) ustawy są dostępne na stronie internetowej http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-E.html oraz http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-F.html. Drukowane wersje są dostępne w Public Works and Government Services Canada — Publishing, Ottawa, Canada K1A 0S9.

[4] Opinia 2/2001 w sprawie zapewniania odpowiedniego poziomu ochrony przez ustawę kanadyjską o ochronie informacji osobowych i dokumentów elektronicznych — WP 39, z dnia 26 stycznia 2001 r., dostępna na stronie internetowej: http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm

--------------------------------------------------

Top