30.1.2013   

PL

Dziennik Urzędowy Unii Europejskiej

L 28/12

(1)

Na mocy dyrektywy 95/46/WE państwa członkowskie są zobowiązane zagwarantować, że przekazanie danych osobowych do państwa trzeciego może się odbyć jedynie wtedy, gdy dany kraj trzeci zapewni odpowiedni poziom ochrony i gdy przed przekazaniem dopełni się wymogów zawartych w przepisach państw członkowskich wdrażających pozostałe przepisy wspomnianej dyrektywy.

(2)

Komisja może stwierdzić, że państwo trzecie gwarantuje odpowiedni poziom ochrony. W takim przypadku dane osobowe można przekazywać z państw członkowskich bez konieczności zapewniania dodatkowych gwarancji.

(3)

Na mocy dyrektywy 95/46/WE poziom ochrony danych osobowych powinien być oceniany w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zbioru takich operacji, ze szczególnym uwzględnieniem pewnych szczególnych czynników mających znaczenie przy przekazywaniu.

(4)

Uwzględniając różne podejście do ochrony danych w krajach trzecich, należy ocenić, czy ochrona danych jest odpowiednia, natomiast wszelkie decyzje na podstawie dyrektywy 95/46/WE należy podejmować i wprowadzać w życie w sposób, który nie stanowi arbitralnej lub nieuzasadnionej dyskryminacji państw trzecich ani ich nierównego traktowania w podobnych przypadkach, ani też nie stanowi ukrytej bariery dla handlu, przy uwzględnieniu obecnych zobowiązań międzynarodowych Unii Europejskiej.

(5)

Nowa Zelandia jest dawną kolonią brytyjską. W 1907 r. stała się niezależnym dominium, jednak do 1947 r. nie zerwała z Wielką Brytanią formalnie więzów konstytucyjnych. Nowa Zelandia jest państwem unitarnym bez konstytucji pisanej w tradycyjnym sensie szczególnie umocowanej ustawy zasadniczej. Obowiązującym ustrojem politycznym jest monarchia konstytucyjna z demokracją parlamentarną i systemem rządów ukształtowanym na wzór modelu westminsterskiego, a głową państwa jest królowa Nowej Zelandii.

(6)

Nowa Zelandia funkcjonuje w myśl zasady suwerenności parlamentu. Zwyczajowo obowiązuje jednak zbiór aktów prawnych o szczególnym konstytucyjnym znaczeniu, które uznaje się za „akty wyższego rzędu”. Oznacza to, że stanowią one część systemu konstytucyjnego, wpływając na praktykę rządową i stanowienie prawa. Ponadto w razie zmiany lub uchylenia tych aktów prawnych oczekuje się ponadpartyjnego konsensusu. Do ochrony danych odnosi się kilka z tych aktów: Karta praw (Bill of Rights Act) z dnia 28 sierpnia 1990 r. (Public Act nr 109 z 1990 r.), ustawa o prawach człowieka (Human Rights Act) z dnia 10 sierpnia 1993 r. (Public Act nr 82 z 1993 r.) oraz ustawa o prywatności (Privacy Act) z dnia 17 maja 1993 r. (Public Act nr 28 z 1993 r.). Konstytucyjne znaczenie tych aktów odzwierciedla fakt, że należy je zwyczajowo uwzględniać w toku opracowywania lub przedkładania nowych aktów prawnych.

(7)

Normy prawne ochrony danych osobowych w Nowej Zelandii są określone głównie w ustawie o prywatności zmienionej ustawą zmieniającą o prywatności (informacje transgraniczne) z dnia 7 września 2010 r. (Public Act nr 113 z 2010 r.). Akt ten został uchwalony przed dyrektywą 95/46/WE i nie ogranicza się do zautomatyzowanego przetwarzania danych lub danych uporządkowanych w zbiorze danych, ale dotyczy wszystkich danych osobowych w dowolnej postaci lub formie. Obejmuje cały sektor publiczny i prywatny, przewidując kilka konkretnych wyjątków dotyczących interesu publicznego, których można się spodziewać w społeczeństwie demokratycznym.

(8)

W Nowej Zelandii istnieje szereg ram prawnych regulujących kwestię ochrony prywatności w kontekście polityki, zasad i właściwości organów, do których należy kierować skargi. Niektóre z nich są określone na mocy ustawy, podczas gdy inne przez samorządne podmioty w danym sektorze, w tym w odniesieniu do regulacji mediów, marketingu bezpośredniego, wysyłania niezamówionych wiadomości elektronicznych, badań rynkowych, zdrowia i niepełnosprawności, bankowości, ubezpieczeń i oszczędności.

(9)

Oprócz ustawodawstwa uchwalanego przez parlament Nowej Zelandii, obowiązuje również obszerny zbiór przepisów prawa zwyczajowego (common law), które wywodzi się z angielskiego prawa zwyczajowego, obejmujący zasady prawa zwyczajowego i przepisy dotyczące ochrony danych. Jedną z podstawowych zasad prawa zwyczajowego jest zasada, że godność jednostki stanowi nadrzędną wartość prawną. Niniejsza zasada prawa zwyczajowego jest zasadniczo głównym elementem systemu wydawania rozstrzygnięć sądowych w Nowej Zelandii. Orzecznictwo Nowej Zelandii opierające się na prawie zwyczajowym uwzględnia szereg innych aspektów dotyczących prywatności, w tym naruszenia prywatności, naruszenia zasady poufności i kwestii incydentalnej ochrony danych w przypadku między innymi zniesławienia, zakłócania porządku, nękania, oszczerstwa, zaniedbania.

(10)

Normy prawne dotyczące ochrony danych obowiązujące w Nowej Zelandii obejmują wszystkie podstawowe zasady konieczne do zapewnienia odpowiedniego poziomu ochrony osób fizycznych, określają jednak również wyjątki i ograniczenia w celu ochrony ważnych interesów publicznych. Te normy prawne i wyjątki w zakresie ochrony danych odzwierciedlają zasady ustanowione dyrektywą 95/46/WE.

(11)

Stosowanie prawnych norm ochrony danych zapewnione jest przez administracyjne i sądowe środki prawne i przez niezależny nadzór prowadzony przez właściwy organ nadzoru, tj. komisarza ds. ochrony prywatności wyposażonego w rodzaj kompetencji, który został określony w art. 28 dyrektywy 95/46/WE, i działającego w sposób niezależny. Ponadto każda zainteresowana strona uprawniona jest do wystąpienia do sądu o odszkodowanie za szkodę poniesioną w wyniku bezprawnego przetwarzania jej danych osobowych.

(12)

Należy zatem uznać, że Nowa Zelandia zapewnia odpowiedni poziom ochrony danych osobowych określony w dyrektywie 95/46/WE.

(13)

Niniejsza decyzja powinna dotyczyć odpowiedniego poziomu ochrony zapewnianej przez Nową Zelandię w celu spełnienia wymogów określonych w art. 25 ust. 1 dyrektywy 95/46/WE. Nie powinna ona mieć wpływu na inne warunki lub ograniczenia wdrażające inne przepisy dyrektywy, dotyczące przetwarzania danych osobowych w państwach członkowskich.

(14)

Do celów zachowania przejrzystości i zagwarantowania zdolności właściwych organów w państwach członkowskich do zapewnienia osobom fizycznym ochrony w zakresie przetwarzania ich danych osobowych konieczne jest określenie wyjątkowych okoliczności, w których uzasadnione może być zawieszenie przepływu określonych danych, niezależnie od uznania poziomu ochrony za odpowiedni.

(15)

Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych ustanowiona na mocy art. 29 dyrektywy 95/46/WE wydała pozytywną opinię dotyczącą odpowiedniego poziomu ochrony w odniesieniu do danych osobowych w Nowej Zelandii (2), uwzględnioną w trakcie przygotowania niniejszej decyzji wykonawczej.

(16)

Środki przewidziane w niniejszej decyzji są zgodne z opinią komitetu ustanowionego na mocy art. 31 ust. 1 dyrektywy 95/46/WE,

a)

właściwy organ w Nowej Zelandii ustalił, że odbiorca narusza obowiązujące normy ochrony; lub

b)

istnieje znaczące prawdopodobieństwo, że normy ochrony są naruszane; istnieją uzasadnione podstawy, aby domniemywać, iż właściwy organ w Nowej Zelandii nie podejmuje lub nie podejmie właściwych kroków w odpowiednim czasie, zmierzających do rozstrzygnięcia danej sprawy; dalsze przekazywanie danych mogłoby narazić osoby, których dotyczą dane, na ryzyko poważnej szkody, a właściwe organy w państwie członkowskim podjęły odpowiednie w tych okolicznościach czynności w celu dostarczenia stronie odpowiedzialnej za przetwarzanie, mającej siedzibę w Nowej Zelandii, powiadomienia o powyższym oraz umożliwienia jej udzielenia odpowiedzi.