Decyzja wykonawcza 2013/65/UE na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie odpowiedniej ochrony danych osobowych w Nowej Zelandii
Dz.U.UE.L.2013.28.12
Akt obowiązującyDECYZJA WYKONAWCZA KOMISJI
z dnia 19 grudnia 2012 r.
na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie odpowiedniej ochrony danych osobowych w Nowej Zelandii
(Tekst mający znaczenie dla EOG)
(2013/65/UE)
(Dz.U.UE L z dnia 30 stycznia 2013 r.)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych 1 , w szczególności jej art. 25 ust. 6,
po konsultacji z Europejskim Inspektorem Ochrony Danych,
a także mając na uwadze, co następuje:
(1) Na mocy dyrektywy 95/46/WE państwa członkowskie są zobowiązane zagwarantować, że przekazanie danych osobowych do państwa trzeciego może się odbyć jedynie wtedy, gdy dany kraj trzeci zapewni odpowiedni poziom ochrony i gdy przed przekazaniem dopełni się wymogów zawartych w przepisach państw członkowskich wdrażających pozostałe przepisy wspomnianej dyrektywy.
(2) Komisja może stwierdzić, że państwo trzecie gwarantuje odpowiedni poziom ochrony. W takim przypadku dane osobowe można przekazywać z państw członkowskich bez konieczności zapewniania dodatkowych gwarancji.
(3) Na mocy dyrektywy 95/46/WE poziom ochrony danych osobowych powinien być oceniany w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zbioru takich operacji, ze szczególnym uwzględnieniem pewnych szczególnych czynników mających znaczenie przy przekazywaniu.
(4) Uwzględniając różne podejście do ochrony danych w krajach trzecich, należy ocenić, czy ochrona danych jest odpowiednia, natomiast wszelkie decyzje na podstawie dyrektywy 95/46/WE należy podejmować i wprowadzać w życie w sposób, który nie stanowi arbitralnej lub nieuzasadnionej dyskryminacji państw trzecich ani ich nierównego traktowania w podobnych przypadkach, ani też nie stanowi ukrytej bariery dla handlu, przy uwzględnieniu obecnych zobowiązań międzynarodowych Unii Europejskiej.
(5) Nowa Zelandia jest dawną kolonią brytyjską. W 1907 r. stała się niezależnym dominium, jednak do 1947 r. nie zerwała z Wielką Brytanią formalnie więzów konstytucyjnych. Nowa Zelandia jest państwem unitarnym bez konstytucji pisanej w tradycyjnym sensie szczególnie umocowanej ustawy zasadniczej. Obowiązującym ustrojem politycznym jest monarchia konstytucyjna z demokracją parlamentarną i systemem rządów ukształtowanym na wzór modelu westminsterskiego, a głową państwa jest królowa Nowej Zelandii.
(6) Nowa Zelandia funkcjonuje w myśl zasady suwerenności parlamentu. Zwyczajowo obowiązuje jednak zbiór aktów prawnych o szczególnym konstytucyjnym znaczeniu, które uznaje się za "akty wyższego rzędu". Oznacza to, że stanowią one część systemu konstytucyjnego, wpływając na praktykę rządową i stanowienie prawa. Ponadto w razie zmiany lub uchylenia tych aktów prawnych oczekuje się ponadpartyjnego konsensusu. Do ochrony danych odnosi się kilka z tych aktów: Karta praw (Bill of Rights Act) z dnia 28 sierpnia 1990 r. (Public Act nr 109 z 1990 r.), ustawa o prawach człowieka (Human Rights Act) z dnia 10 sierpnia 1993 r. (Public Act nr 82 z 1993 r.) oraz ustawa o prywatności (Privacy Act) z dnia 17 maja 1993 r. (Public Act nr 28 z 1993 r.). Konstytucyjne znaczenie tych aktów odzwierciedla fakt, że należy je zwyczajowo uwzględniać w toku opracowywania lub przedkładania nowych aktów prawnych.
(7) Normy prawne ochrony danych osobowych w Nowej Zelandii są określone głównie w ustawie o prywatności zmienionej ustawą zmieniającą o prywatności (informacje transgraniczne) z dnia 7 września 2010 r. (Public Act nr 113 z 2010 r.). Akt ten został uchwalony przed dyrektywą 95/46/WE i nie ogranicza się do zautomatyzowanego przetwarzania danych lub danych uporządkowanych w zbiorze danych, ale dotyczy wszystkich danych osobowych w dowolnej postaci lub formie. Obejmuje cały sektor publiczny i prywatny, przewidując kilka konkretnych wyjątków dotyczących interesu publicznego, których można się spodziewać w społeczeństwie demokratycznym.
(8) W Nowej Zelandii istnieje szereg ram prawnych regulujących kwestię ochrony prywatności w kontekście polityki, zasad i właściwości organów, do których należy kierować skargi. Niektóre z nich są określone na mocy ustawy, podczas gdy inne przez samorządne podmioty w danym sektorze, w tym w odniesieniu do regulacji mediów, marketingu bezpośredniego, wysyłania niezamówionych wiadomości elektronicznych, badań rynkowych, zdrowia i niepełnosprawności, bankowości, ubezpieczeń i oszczędności.
(9) Oprócz ustawodawstwa uchwalanego przez parlament Nowej Zelandii, obowiązuje również obszerny zbiór przepisów prawa zwyczajowego (common law), które wywodzi się z angielskiego prawa zwyczajowego, obejmujący zasady prawa zwyczajowego i przepisy dotyczące ochrony danych. Jedną z podstawowych zasad prawa zwyczajowego jest zasada, że godność jednostki stanowi nadrzędną wartość prawną. Niniejsza zasada prawa zwyczajowego jest zasadniczo głównym elementem systemu wydawania rozstrzygnięć sądowych w Nowej Zelandii. Orzecznictwo Nowej Zelandii opierające się na prawie zwyczajowym uwzględnia szereg innych aspektów dotyczących prywatności, w tym naruszenia prywatności, naruszenia zasady poufności i kwestii incydentalnej ochrony danych w przypadku między innymi zniesławienia, zakłócania porządku, nękania, oszczerstwa, zaniedbania.
(10) Normy prawne dotyczące ochrony danych obowiązujące w Nowej Zelandii obejmują wszystkie podstawowe zasady konieczne do zapewnienia odpowiedniego poziomu ochrony osób fizycznych, określają jednak również wyjątki i ograniczenia w celu ochrony ważnych interesów publicznych. Te normy prawne i wyjątki w zakresie ochrony danych odzwierciedlają zasady ustanowione dyrektywą 95/46/WE.
(11) Stosowanie prawnych norm ochrony danych zapewnione jest przez administracyjne i sądowe środki prawne i przez niezależny nadzór prowadzony przez właściwy organ nadzoru, tj. komisarza ds. ochrony prywatności wyposażonego w rodzaj kompetencji, który został określony w art. 28 dyrektywy 95/46/WE, i działającego w sposób niezależny. Ponadto każda zainteresowana strona uprawniona jest do wystąpienia do sądu o odszkodowanie za szkodę poniesioną w wyniku bezprawnego przetwarzania jej danych osobowych.
(12) Należy zatem uznać, że Nowa Zelandia zapewnia odpowiedni poziom ochrony danych osobowych określony w dyrektywie 95/46/WE.
(13) Niniejsza decyzja powinna dotyczyć odpowiedniego poziomu ochrony zapewnianej przez Nową Zelandię w celu spełnienia wymogów określonych w art. 25 ust. 1 dyrektywy 95/46/WE. Nie powinna ona mieć wpływu na inne warunki lub ograniczenia wdrażające inne przepisy dyrektywy, dotyczące przetwarzania danych osobowych w państwach członkowskich.
(14) Do celów zachowania przejrzystości i zagwarantowania zdolności właściwych organów w państwach członkowskich do zapewnienia osobom fizycznym ochrony w zakresie przetwarzania ich danych osobowych konieczne jest określenie wyjątkowych okoliczności, w których uzasadnione może być zawieszenie przepływu określonych danych, niezależnie od uznania poziomu ochrony za odpowiedni.
(15) Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych ustanowiona na mocy art. 29 dyrektywy 95/46/WE wydała pozytywną opinię dotyczącą odpowiedniego poziomu ochrony w odniesieniu do danych osobowych w Nowej Zelandii 2 , uwzględnioną w trakcie przygotowania niniejszej decyzji wykonawczej.
(16) Środki przewidziane w niniejszej decyzji są zgodne z opinią komitetu ustanowionego na mocy art. 31 ust. 1 dyrektywy 95/46/WE,
PRZYJMUJE NINIEJSZĄ DECYZJĘ: