32002D0002

A Bizottság határozata

(2001. december 20.)

a 95/46/EK európai parlamenti és tanácsi határozat értelmében a személyes adatoknak a személyes információk védelméről és az elektronikus dokumentumokról szóló kanadai törvény által biztosított megfelelő védelméről

(az értesítés a C(2001) 4539. számú dokumentummal történt)

(2002/2/EK)

AZ EURÓPAI KÖZÖSSÉGEK BIZOTTSÁGA,

tekintettel az Európai Közösséget létrehozó szerződésre,

tekintettel a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvre [1] és különösen annak 25. cikke (6) bekezdésére,

mivel:

(1) A 95/46/EK irányelv értelmében a tagállamoknak biztosítaniuk kell, hogy a személyes adatoknak egy harmadik országba történő továbbítására csak abban az esetben kerülhessen sor, ha az érintett harmadik állam gondoskodik megfelelő szintű védelemről, és ha az adatok továbbítása előtt az irányelv egyéb rendelkezéseit végrehajtó tagállami jogszabályokat tiszteletben tartják.

(2) A Bizottság megállapíthatja, hogy egy harmadik ország gondoskodik a megfelelő szintű védelemről. Ilyen esetben a személyes adatok továbbításához további garanciákra nincs szükség.

(3) A 95/46/EK irányelv értelmében az adatvédelem szintjét az adattovábbítás során vagy az adattovábbítás egy művelete során valamennyi körülmény figyelembevételével, és adott feltételek tekintetében kell értékelni. A 95/46/EK irányelv 29. cikke által létrehozott, a személyes adatok feldolgozása tekintetében az egyének védelmével foglalkozó munkacsoport útmutatót bocsátott ki az ilyen értékelések elkészítéséről [2].

(4) A harmadik országokban az adatvédelem területén alkalmazott módszerek különbségére tekintettel el kell végezni a megfelelőségi értékelést, és a 95/46/EK irányelv 25. cikkének (6) bekezdésén alapuló valamennyi határozatot olyan módon kell megalkotni és végrehajtani, hogy egyrészt ne keletkezzen semmilyen önkényes vagy indokolatlan hátrányos megkülönböztetés olyan harmadik országokkal szemben vagy azok között, amelyeket hasonló feltételek jellemeznek, továbbá ne jöhessen létre rejtett kereskedelmi akadály, figyelemmel a Közösség jelenlegi nemzetközi kötelezettségeire.

(5) A személyes információk védelméről és az elektronikus dokumentumokról szóló, 2000. április 13-i kanadai törvény ("a kanadai törvény") [3] azokra a magánszektorban működő szervezetekre vonatkozik, amelyek kereskedelmi tevékenységük során személyes adatok gyűjtésével, felhasználásával vagy továbbításával foglalkoznak. A törvény három szakaszban lép hatályba:

2001. január 1-jétől a kanadai törvény olyan személyes információkra vonatkozik – a személyes egészségügyi adatok kivételével –, amelyeket szövetségi vállalkozásnak vagy üzleti vállalkozásnak minősülő szervezet kereskedelmi tevékenysége során gyűjt, felhasznál, illetve továbbít. Ezek a szervezetek olyan szektorokban tevékenykednek, mint a légi közlekedés, banki tevékenység, műsorszolgáltatás, tartományok közötti közlekedés és távközlés. A kanadai törvény vonatkozik továbbá az összes olyan szervezetre, amely egy tartomány határain túl vagy Kanada határain túl ellenszolgáltatás fejében szolgáltat személyes információkat, valamint azon szövetségi vállalkozás vagy üzleti vállalkozás alkalmazottaira vonatkozó munkavállalói adatokra.

2002. január 1-jétől a kanadai törvény hatálya kiterjed az első szakaszban már a törvény hatálya alá vont szervezetekhez és tevékenységekhez kapcsolódó személyes egészségügyi információkra.

2004. január 1-jétől a kanadai törvény kiterjed minden olyan szervezetre, amely egy kereskedelmi tevékenység során személyes információkat gyűjt, felhasznál, illetve továbbít, függetlenül attól, hogy a szervezet szövetségi szabályozás alá eső vállalkozás-e vagy sem. A kanadai törvény nem vonatkozik a magánélet védelméről szóló szövetségi törvény hatálya alá tartozó szervezetekre, illetve a közszektor tartományi szintű szabályainak alávetett szervezetekre, valamint a nonprofit szervezetekre és jótékonysági tevékenységeket végző szervezetekre, amennyiben ezek nem kereskedelmi jellegű tevékenységet végeznek. Ugyancsak nem vonatkozik a törvény a nem kereskedelmi célokra használt foglalkoztatási adatokra, a szövetségi jog által szabályozott magánszektor alkalmazottai adatainak kivételével. A magánélet védelmével foglalkozó kanadai szövetségi biztos további információkkal szolgálhat az ilyen ügyekkel kapcsolatban.

(6) A tartományok azon jogának tiszteletben tartása céljából, hogy a joghatóságuk alá eső területeken jogszabályokat alkossanak, ez a törvény rendelkezik arról, hogy – amennyiben lényegében azonos tartalmú jogszabályokat fogadnak el tartományi szinten – mentességben részesülhetnek azok a szervezetek vagy tevékenységek, amelyek ezáltal ezeknek a tartományi, a magánélet védelméről szóló jogszabályoknak a hatálya alá esnek. A személyes információk védelméről és az elektronikus dokumentumokról szóló törvény 26. szakaszának (2) bekezdése feljogosítja a szövetségi kormányt arra, hogy "miután meggyőződött arról, hogy egy szervezet, a szervezetek egy csoportja, egy tevékenység, a tevékenységek egy csoportja a tartomány – lényegében ezzel a résszel megegyező – jogszabályai hatálya alá tartozik, a személyes információknak a nevezett tartományban végzett gyűjtése, felhasználása vagy továbbítása vonatkozásában mentesítse ezt a szervezetet, tevékenységet vagy ezek csoportjait ennek a résznek a hatálya alól". A kormányzó a Tanácsban (kanadai szövetségi kormány) kormányrendelettel a lényegében azonos törvényi szabályozásra vonatkozó mentességek bevezetésére jogosult.

(7) Amennyiben és amikor egy tartomány olyan jogszabályokat vezet be, amelyek lényegében azonosak a szövetségi jogszabályokkal, a tartományi szabályozás hatálya alá tartozó szervezetek, a szervezetek és tevékenységek csoportjai a tartományon belül lebonyolított műveletek vonatkozásában mentesülnek a szövetségi jogszabály hatálya alól; a szövetségi jogszabály továbbra is érvényes a személyes információk tartományok közötti és nemzetközi gyűjtése, felhasználása és továbbítása vonatkozásában, valamint valamennyi olyan esetben, amikor a tartományok nem alkottak – teljes mértékben vagy részlegesen – a szövetségivel lényegében azonos jogszabályt.

(8) Kanada 1984. június 29-én hivatalosan csatlakozott a magánélet védelmét és a személyes adatok határátlépő áramlását szabályozó irányelvekre vonatkozó, 1980. évi OECD-ajánláshoz. Kanada egyike volt azoknak az országoknak, amelyek támogatták az Egyesült Nemzeteknek a személyes adatok számítógépes adatállományairól szóló, a Közgyűlés által 1990. december 14-én elfogadott iránymutatásait.

(9) A kanadai törvény kiterjed a természetes személyek megfelelő szintű védelméhez szükséges valamennyi alapelvre, még ha a törvény bizonyos fontos közérdekek védelme és bizonyos nyilvánosan hozzáférhető közéleti információ felismerése céljából tartalmaz mentességeket és korlátozásokat. A bírósági jogorvoslati eszközök és a hatóságok, többek között a magánélet védelmével foglalkozó, vizsgálati és intervenciós jogokkal felruházott szövetségi biztos független felügyeleti tevékenysége garantálja ezeknek az előírásoknak az alkalmazását. Ezen túlmenően, az érintett személyek számára kárt okozó törvényellenes adatfeldolgozás esetén is érvényesek a kanadai jog polgárjogi felelősségre vonatkozó rendelkezései.

(10) Az átláthatóság érdekében, valamint azért, hogy a tagállamok illetékes hatóságai képesek legyenek gondoskodni a magánszemélyek személyes adatainak feldolgozásával kapcsolatos védelméről, ebben a határozatban meg kell állapítani, hogy mik azok a kivételes körülmények, amikor – a megfelelő védettség megállapításától függetlenül – indokolt lehet bizonyos adatáramlási folyamatok felfüggesztése.

(11) A 95/46/EK irányelv 29. cikke által létrehozott, a személyes adatok feldolgozása tekintetében az egyének védelmével foglalkozó munkacsoport véleményt nyilvánított a kanadai törvény által biztosított védelem szintjéről; ezt a véleményt figyelembe vették ennek a határozatnak az előkészítésénél [4].

(12) Az e határozatban előírt intézkedések összhangban vannak a 95/46/EK irányelv 31. cikke alapján létrehozott bizottság véleményével,

ELFOGADTA EZT A HATÁROZATOT:

1. cikk

A 95/46/EK irányelv 25. cikkének (2) bekezdése alkalmazásában Kanada megfelelő szintű védelemben részesíti a Közösségből a személyes információk védelméről és az elektronikus dokumentumokról szóló törvény ("a kanadai törvény") hatálya alá tartozó címzetteknek továbbított személyes adatokat.

2. cikk

Ez a határozat csak a Kanadában, a kanadai törvény által nyújtott védelem megfelelő voltának – a 95/46/EK irányelv 25. cikkének (1) bekezdésében meghatározott követelményeknek való megfelelés céljából történő – megállapítására vonatkozik, és nem érinti az irányelv egyéb rendelkezéseinek végrehajtását szolgáló feltételeket vagy korlátozásokat a személyes adatoknak a tagállamokban végzett feldolgozására tekintetében.

3. cikk

(1) A 95/46/EK irányelv 25. cikkétől eltérő rendelkezéseknek megfelelően elfogadott nemzeti rendelkezéseknek való megfelelés céljából tett intézkedésekre vonatkozó hatásköröket nem érintve, a tagállamok illetékes hatóságai a magánszemélyek – személyes adatainak feldolgozására tekintettel történő – védelme érdekében élhetnek azzal a jogukkal, hogy felfüggesszék a kanadai törvény hatálya alá tartozó tevékenységet folytató kanadai címzetthez történő adattovábbítást olyan esetekben, amikor:

a) egy illetékes kanadai hatóság megállapította, hogy a címzett megszegi a védelemre vonatkozó érvényes előírásokat; vagy

b) nagy a valószínűsége annak, hogy a védelemre vonatkozó előírásokat megszegik; okkal feltételezhető, hogy az illetékes kanadai hatóság nem teszi meg vagy nem fogja megtenni időben a helyzet rendezéséhez szükséges intézkedéseket; amennyiben a további adatáttovábbítás kárt okoz az érintett személyek számára, és a tagállamok illetékes hatóságai megtették a tőlük az adott körülmények között elvárható erőfeszítéseket annak érdekében, hogy tájékoztassák a Kanadában az adatfeldolgozásért felelős felet, és lehetővé tegyék számára a véleményadást.

A felfüggesztést meg kell szüntetni amint a védelemre vonatkozó előírásoknak az érvényesítése biztosított, és a Közösség illetékes hatóságát értesítik erről.

(2) A tagállamok haladéktalanul tájékoztatják a Bizottságot az (1) bekezdés alapján hozott intézkedésekről.

(3) A tagállamok és a Bizottság kölcsönösen tájékoztatják egymást azokról az esetekről is, amikor Kanadában a védelemre vonatkozó előírások érvényesítéséért felelős intézmények intézkedései nem biztosítják azok teljesítését.

(4) Amennyiben az (1), (2) és (3) bekezdés alapján összegyűjtött információk bizonyítékkal szolgálnak arra, hogy bármely, a védelemre vonatkozó előírások érvényesítéséért felelős kanadai intézmény nem látja el eredményesen feladatát, a Bizottság tájékoztatja erről az illetékes kanadai hatóságot és, szükség esetén, a 95/46/EK irányelv 31. cikkének (2) bekezdésében meghatározott eljárással összhangban e határozat hatályon kívül helyezésére vagy felfüggesztésére, illetve hatályának korlátozására vonatkozó intézkedéstervezeteket terjeszt elő.

4. cikk

(1) Ez a határozat – működésével kapcsolatos tapasztalatok tükrében vagy a kanadai jogalkotásban bekövetkezett változások, többek között egy kanadai tartomány lényegében azonos jogszabályát elismerő intézkedések hatására – bármikor módosítható. A Bizottság határozatáról a tagállamok részére történő értesítésétől számított három évet követően a rendelkezésére álló információk alapján értékeli ennek a határozatnak a működését, és jelenti a vonatkozó megállapításokat a 95/46/EK irányelv 31. cikke alapján létrehozott bizottságnak, beleértve egyben azokat az esetleges bizonyítékokat, amelyek befolyásolhatják azt a – az e határozat 1. cikkében megfogalmazott – megállapítást, hogy a Kanadában biztosított védelem a 95/46/EK irányelv 25. cikke értelmében megfelelő, valamint azokat a bizonyítékokat, amelyek igazolják ennek a határozatnak a hátrányosan megkülönböztető végrehajtását.

(2) A Bizottság szükség esetén a 95/46/EK irányelv 31. cikkének (2) bekezdésében meghatározott eljárással összhangban terjeszt elő intézkedéstervezeteket.

5. cikk

A tagállamok legkésőbb a tagállamok e határozatról történő értesítését követő 90 napon belül megteszik azokat az intézkedéseket, amelyek szükségesek ahhoz, hogy ennek a határozatnak megfeleljenek.

6. cikk

Ennek a határozatnak a tagállamok a címzettjei.

Kelt Brüsszelben, 2001. december 20-án.

a Bizottság részéről

Frederik Bolkestein

a Bizottság tagja

[1] HL L 281., 1995.11.23., 31. o.

[2] WP 12: Személyes adatok továbbítása harmadik országokba: az EU adatvédelmi irányelv 25. és 26. cikkének alkalmazása, a munkacsoport által 1998. július 24-án elfogadott anyag, elérhető a következő weboldalon: http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/wpdocs_98.htm

[3] A törvény elektronikus formában megjelent (papír és web) változatai elérhetők az alábbi címen: http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-E.html és http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-F.html. Nyomtatott változatok elérhetősége: Public Works and Government Services Canada – Publishing, Ottawa, Canada K1A 0S9.

[4] 2/2001 vélemény a személyes információk védelméről és az elektronikus dokumentumokról szóló kanadai törvény megfelelőségéről – WP 39, 2001. január 26., elérhető: http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm

--------------------------------------------------