|
13/Volumul 33 |
RO |
Jurnalul Ofícial al Uniunii Europene |
66 |
32002D0002
|
L 002/13 |
JURNALUL OFÍCIAL AL UNIUNII EUROPENE |
DECIZIA COMISIEI
din 20 decembrie 2001
în conformitate cu Directiva 95/46/CE a Parlamentului European și a Consiliului privind caracterul adecvat al protecției datelor cu caracter personal asigurat prin legea canadiană referitoare la protecția informațiilor cu caracter personal și documentele electronice (Personal Information Protection and Electronic Documents Act)
[notificată cu numărul C(2001) 4539]
(2002/2/CE)
COMISIA COMUNITĂȚILOR EUROPENE,
având în vedere Tratatul de instituire a Comunității Europene,
având în vedere Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (1), în special articolul 25 alineatul (6),
întrucât:
|
(1) |
În conformitate cu Directiva 95/46/CE, statelor membre li se cere să ia măsuri astfel încât transferul datelor cu caracter personal către o țară terță să poată avea loc numai în cazul în care țara respectivă asigură un nivel corespunzător de protecție și în cazul în care actele cu putere de lege ale statelor membre care pun în aplicare alte dispoziții ale directivei sunt respectate înainte de transfer. |
|
(2) |
Comisia poate constata că o țară terță asigură un nivel de protecție corespunzător. În acest caz, datele cu caracter personal pot fi transferate din statele membre fără a mai fi necesare alte garanții. |
|
(3) |
În conformitate cu Directiva 95/46/CE, nivelul de protecție a datelor trebuie evaluat având în vedere toate împrejurările în care se desfășoară o operațiune de transfer de date sau un set de operațiuni de transfer de date și ținând seama de condițiile existente. Grupul de lucru pentru protecția persoanelor privind prelucrarea datelor cu caracter personal, înființat în temeiul articolului 29 din Directiva 95/46/CE, a furnizat indicații referitoare la efectuarea acestor evaluări (2). |
|
(4) |
Având în vedere diferitele abordări ale protecției datelor în țări terțe, trebuie efectuată evaluarea adecvării acesteia, iar orice decizie întemeiată pe articolul 25 alineatul (6) din Directiva 95/46/CE trebuie luată și aplicată astfel încât să nu discrimineze în mod arbitrar sau nejustificabil împotriva sau între țări terțe unde există condiții similare și nici să nu constituie un obstacol deghizat în calea schimburilor comerciale, ținând seama de actualele angajamente internaționale ale Comunității. |
|
(5) |
Legea canadiană privind protecția informațiilor cu caracter personal și documentele electronice (denumită în continuare „legea canadiană”) din 13 aprilie 2000 (3) se aplică organizațiilor din sectorul privat care, în cadrul activităților comerciale, colectează, utilizează sau comunică informații cu caracter personal. Intră în vigoare în trei etape: Începând cu 1 ianuarie 2001, legea canadiană se aplică informațiilor cu caracter personal, altele decât cele referitoare la sănătate, pe care organizațiile, adică activitățile, întreprinderile sau serviciile federale, le colectează, le utilizează sau le comunică în cadrul sarcinilor comerciale. Aceste organizații aparțin de sectoare precum liniile de transport aerian, sistemul bancar, serviciile de radiodifuziune și de televiziune, transportul inter-provincial și telecomunicațiile. Legea canadiană se aplică, de asemenea, tuturor organizațiilor care comunică informații cu caracter personal contra cost, în afara unei provincii sau a Canadei, precum și datelor cu caracter personal ale angajaților referitoare la angajați din activitățile, întreprinderile sau serviciile federale. Din data de 1 ianuarie 2002, legea canadiană se aplică informațiilor cu caracter personal referitoare la sănătate pentru organizațiile și activitățile reglementate deja în prima etapă. Începând cu data de 1 ianuarie 2004, legea canadiană se extinde la toate organizațiile care, în cadrul sarcinilor comerciale, colectează, utilizează sau comunică informații cu caracter personal, indiferent dacă organizația este sau nu reglementată la nivel federal. Legea canadiană nu se aplică în cazul organizațiilor cărora li se aplică legea federală privind protecția datelor cu caracter personal (Federal Privacy Act) sau sunt reglementate de sectorul public la nivel de provincie și nici în cazul organizațiilor non-profit și al activităților caritabile, în cazul în care nu sunt de natură comercială. În mod similar, nu se aplică în cazul datelor referitoare la angajați utilizate în scopuri necomerciale, altele decât cele referitoare la angajații sectorul privat reglementat la nivel federal. În astfel de cazuri, Comisarul Federal al Canadei pentru protecția vieții private (Canadian Federal Privacy Commissioner) poate furniza informații mai detaliate. |
|
(6) |
Pentru a respecta dreptul provinciilor de a legifera în domeniile lor de jurisdicție, legea prevede că la votarea unor legi provinciale în esență similare poate fi făcută o derogare în cazul organizațiilor sau activităților care urmează să fie reglementate prin legislația provincială referitoare la protecția vieții private. Secțiunea 26(2) din legea referitoare la protecția informațiilor cu caracter personal și documentele electronice (Personal Information Protection and Electronic Documents Act) împuternicește cabinetului federal ca „în cazul în care există convingerea că o lege provincială în esență similară cu prezenta secțiune se aplică unei organizații sau unei categorii de organizații, unei activități sau unei categorii de activități, această organizație, activitate sau categorie să fie exceptată de la aplicarea prezentei secțiuni în ceea ce privește colectarea, utilizarea sau comunicarea informațiilor cu caracter personal care se realizează în provincia respectivă.” Derogările pentru legile care sunt în esență similare se stabilesc prin decret (Order-in-Council) al Guvernatorului Canadei acționând cu avizul cabinetului federal (Governor in Council). |
|
(7) |
Ori de câte ori o provincie adoptă o lege care este în esență similară, organizațiile, categoriile de organizații sau de activități reglementate sunt exceptate de la aplicarea legislației federale pentru tranzacții intra-provinciale; legislația federală continuă să se aplice tuturor activităților de colectare, utilizare și comunicare a informațiilor cu caracter personal la nivel inter-provincial și internațional, precum și în toate cazurile în care provinciile nu au adoptat, parțial sau integral, o legislație în esență similară. |
|
(8) |
La 29 iunie 1984, Canada a aderat oficial la Ghidul OCDE din 1980 privind protecția vieții private și fluxurile transfrontaliere de date cu caracter personal. Canada a fost printre țările care au sprijinit liniile directoare ale Organizației Națiunilor Unite privind prelucrarea informatizată a datelor cu caracter personal, adoptate de Adunarea Generală din 14 decembrie 1990. |
|
(9) |
Legea canadiană acoperă toate principiile fundamentale necesare unui nivel corespunzător de protecție a persoanelor fizice, chiar în cazul în care sunt prevăzute de asemenea derogări și limitări pentru a proteja interesele publice majore și a recunoaște legitimitatea anumitor informații care există în domeniul public. Aplicarea acestor standarde este garantată prin dreptul la recurs în instanța civilă și prin supravegherea independentă exercitată de autorități, cum ar fi de exemplu Comisarul federal pentru protecția vieții private (Federal Privacy Commissioner), investit cu puteri de investigare și intervenție. În plus, se aplică dispozițiile legislației canadiene referitoare la răspunderea civilă în cazul unei prelucrări ilegale de date care aduce prejudicii persoanelor în cauză. |
|
(10) |
În interesul transparenței și cu scopul de a garanta capacitatea autorităților competente din statele membre de a asigura protecția persoanelor fizice privind prelucrarea datelor cu caracter personal, este necesar să se precizeze în prezenta decizie împrejurările excepționale care pot justifica suspendarea unor fluxuri specifice de date cu toate că s-a constatat un nivel de protecție corespunzător. |
|
(11) |
Grupul de lucru pentru protecția persoanelor privind prelucrarea datelor cu caracter personal înființat în temeiul articolului 29 din Directiva 95/46/CE a emis un aviz privind nivelul de protecție asigurat de legea canadiană, de care s-a ținut seama la elaborarea prezentei decizii (4). |
|
(12) |
Măsurile prevăzute în prezenta decizie sunt în conformitate cu avizul comitetului înființat în temeiul articolului 31 din Directiva 95/46/CE, |
ADOPTĂ PREZENTA DECIZIE:
Articolul 1
În sensul articolului 25 alineatul (2) din Directiva 95/46/CE, se consideră că în Canada se asigură un nivel adecvat de protecție a datelor cu caracter personal transferate din Comunitate către destinatarii aflați sub incidența legii privind protecția informațiilor cu caracter personal și documentele electronice (Personal Information Protection and Electronic Documents Act) (denumită în continuare „legea canadiană”).
Articolul 2
Prezenta decizie se referă numai la caracterul adecvat al protecției asigurate în Canada prin legea canadiană în vederea îndeplinirii cerințelor articolului 25 alineatul (1) din Directiva 95/46/CE și nu influențează alte condiții sau restricții în aplicarea altor dispoziții din această directivă, care se referă la prelucrarea datelor cu caracter personal în statele membre.
Articolul 3
(1) Fără să aducă atingere capacității lor de a lua măsuri de asigurare a respectării dispozițiilor de drept intern adoptate în conformitate cu alte dispoziții decât cele prevăzute la articolul 25 din Directiva 95/46/CE, autoritățile competente din statele membre își pot exercita capacitatea de a suspenda fluxurile de date către un destinatar din Canada ale cărui activități intră în domeniul de aplicare a legii canadiene, pentru a proteja persoane fizice privind prelucrarea datelor lor cu caracter personal, în situațiile în care:
|
(a) |
o autoritate canadiană competentă a constatat că destinatarul informațiilor încalcă standardele aplicabile în materie de protecție; |
|
(b) |
este foarte probabil ca standardele de protecție să fie încălcate, există motive raționale să se considere că autoritatea canadiană competentă nu ia sau nu va lua măsuri adecvate și în timp util pentru a rezolva cazul; continuarea transferului ar crea un risc iminent de prejudiciere gravă a persoanelor în cauză, iar autoritățile competente din statul membru au depus eforturi rezonabile în condițiile existente de a avertiza partea responsabilă cu prelucrarea datelor stabilită în Canada și de a îi oferi posibilitatea de a răspunde. |
Suspendarea încetează de îndată ce sunt asigurate standardele de protecție și autoritatea competentă din Comunitate este informată în consecință.
(2) Statele membre informează imediat Comisia atunci când sunt adoptate măsuri în temeiul alineatului (1).
(3) Statele membre și Comisia se informează reciproc asupra cazurilor în care măsurile luate de autoritățile canadiene răspunzătoare de respectarea standardelor de protecție nu își ating scopul.
(4) În cazul în care informațiile colectate conform dispozițiilor alineatelor (1), (2) și (3) demonstrează că vreunul din organismele răspunzătoare de asigurarea respectării standardelor de protecție din Canada nu își îndeplinește eficient atribuțiile, Comisia informează autoritatea canadiană competentă și, după caz, prezintă un proiect de măsuri în conformitate cu procedura menționată la articolul 31 alineatul (2) din Directiva 95/46/CE în vederea abrogării sau suspendării prezentei decizii ori a limitării sferei sale de aplicare.
Articolul 4
(1) Prezenta decizie poate fi modificată oricând pe baza experienței acumulate pe parcursul aplicării sale sau a schimbărilor apărute în legislația canadiană, în special în măsurile prin care se recunoaște că o provincie canadiană are o legislație în esență similară. Comisia evaluează, pe baza informațiilor disponibile, modul de aplicare a prezentei decizii, timp de trei ani de la notificarea statelor membre și raportează orice constatare pertinentă comitetului înființat în temeiul articolului 31 din Directiva 95/46/CE, incluzând orice probă care ar putea afecta constatarea din articolul 1 din prezenta decizie conform căreia în Canada protecția datelor este adecvată în sensul articolului 25 din Directiva 95/46/CE, precum și orice probă din care rezultă că prezenta decizie este aplicată în mod discriminatoriu.
(2) După caz, Comisia prezintă un proiect de măsuri în conformitate cu procedura menționată la articolul 31 alineatul (2) din Directiva 95/46/CE.
Articolul 5
Statele membre iau toate măsurile necesare pentru a se conforma prezentei decizii în termen de maximum nouăzeci de zile de la data notificării statelor membre.
Articolul 6
Prezenta decizie se adresează statelor membre.
Adoptată la Bruxelles, 20 decembrie 2001.
Pentru Comisie
Frederik BOLKESTEIN
Membru al Comisiei
(1) JO L 281, 23.11.1995, p. 31.
(2) WP 12: Transferurile de date cu caracter personal către țările terțe: aplicarea articolelor 25 și 26 din directiva UE privind protecția datelor, aviz emis de Grupul de lucru la 24 iulie 1998: disponibil la: http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs_98.htm.
(3) Ediția electronică (pe suport de hârtie și pe Internet) a legii este disponibilă la http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_cover-E.html și http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_cover-F.html. Versiunile tipărite sunt disponibile la Public Works and Government Services Canada – Publishing, Ottawa, Canada K1A 0S9.
(4) Avizul 2/2001 referitor la nivelul de protecție garantat de legea canadiană referitoare la protecția informațiilor cu caracter personal și documentele electronice — WP 39 din 26 ianuarie 2001 disponibil la http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.