KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (¹), w szczególności jej art. 25 ust. 6,

po zasięgnięciu opinii Europejskiego Inspektora Ochrony Danych,

a także mając na uwadze, co następuje:

(1) Na mocy dyrektywy 95/46/WE państwa członkowskie są zobowiązane zapewnić, by przekazanie danych osobowych do państwa trzeciego miało miejsce tylko wtedy, gdy dane państwo trzecie zapewni odpowiedni poziom ochrony i gdy przed przekazaniem dopełni się wymogów zawartych w przepisach państw członkowskich wdrażających pozostałe przepisy dyrektywy.

(2) Komisja może stwierdzić, że państwo trzecie gwarantuje odpowiedni poziom ochrony. W takim przypadku dane osobowe można przekazywać z państw członkowskich bez konieczności zapewniania dodatkowych gwarancji.

(3) Na mocy dyrektywy 95/46/WE poziom ochrony danych osobowych powinien być oceniany w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zestawu takich operacji, ze szczególnym uwzględnieniem szeregu elementów mających znaczenie przy przekazywaniu, wyszczególnionych w art. 25 dyrektywy.

(4) W warunkach zróżnicowanego podejścia państw trzecich do ochrony danych należy ocenić, czy ochrona danych jest odpowiednia, natomiast wszelkie decyzje podjęte w oparciu o art. 25 ust. 6 dyrektywy 95/46/WE należy wprowadzić w życie w sposób, który, w świetle aktualnych międzynarodowych zobowiązań Unii, ani arbitralnie, ani z nieusprawiedliwionych powodów nie dyskryminuje żadnego z państw trzecich ani nie prowadzi do dyskryminacji między nimi, w których obowiązujące prawa nie powodują ani nie stanowią ukrytej bariery na drodze wymiany handlowej.

(5) Andora to parlamentarne współksięstwo, w którym współksiążetami są prezydent Republiki Francuskiej oraz biskup Seo de Urgel.

(6) Prawo do prywatności jest zapisane w art. 14 Konstytucji Księstwa Andory (Constitució del Principat d'Andorra), która została zatwierdzona w powszechnym referendum w dniu 14 marca 1993 r.

(7) Przepisy prawne dotyczące ochrony danych osobowych w Andorze, które są w dużej mierze oparte na normach zawartych w dyrektywie 95/46/WE, zostały określone w kwalifikowanej ustawie nr 15/2003 z dnia 18 grudnia w sprawie ochrony danych osobowych (Llei qualificada de protecció de dades personals) (LQPDP). Te przepisy dotyczące ochrony danych zostały następnie uzupełnione poprzez dekret z dnia 1 lipca 2004 r. ustanawiający rejestr publiczny przeznaczony do zapisu plików zawierających dane osobowe oraz dekret z dnia 9 czerwca 2010 r. zatwierdzający rozporządzenie o Agencji Ochrony Danych w Andorze. Ten ostatni akt precyzuje wiele kwestii poruszonych przez grupę roboczą ds. ochrony osób fizycznych w zakresie Przetwarzania Danych Osobowych ustanowioną na mocy art. 29 dyrektywy 95/46/WE w jej opinii z dnia 1 grudnia 2009 r. (²).

(8) Przepisy o ochronie danych znajdują się także w szeregu aktów prawnych regulujących różne sektory, takich jak przepisy sektora finansowego, przepisy dotyczące zdrowia oraz rejestry publiczne.

(9) Andora ratyfikowała Konwencję Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych z dnia 28 stycznia 1981 r., Protokół dodatkowy do Konwencji o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych dotyczący organów nadzoru i transgranicznych przepływów danych z dnia 8 listopada 2001 r., jak również Konwencję Rady Europy o ochronie praw człowieka i podstawowych wolności z dnia 4 listopada 1950 r., obowiązującą w Andorze od dnia 22 stycznia 1996 r., oraz Międzynarodowy pakt praw obywatelskich i politycznych z dnia 16 grudnia 1966 r., obowiązujący w Andorze od dnia 19 lipca 2006 r.

(10) Normy prawne dotyczące ochrony danych obowiązujące w Andorze obejmują wszystkie podstawowe zasady konieczne do zapewnienia odpowiedniego poziomu ochrony osób fizycznych, określają jednak również wyjątki i ograniczenia w celu ochrony ważnych interesów publicznych. Stosowanie tych prawnych norm ochrony danych zapewnione jest przez sądowe i administracyjne środki odwoławcze i przez niezależny nadzór prowadzony przez właściwy organ nadzoru – Agencję Ochrony Danych w Andorze, posiadający kompetencje w zakresie przeprowadzania dochodzeń i podejmowania działań interwencyjnych, działający zupełnie niezależnie.

(11) Organy ochrony danych w Andorze dostarczyły wyjaśnień oraz zapewnień odnośnie do wykładni ustawy Andory oraz zapewniły, że przepisy z zakresu ochrony danych w Andorze są wprowadzane w życie zgodnie z taką wykładnią. Niniejsza decyzja uwzględnia te wyjaśnienia oraz zapewnienia i dlatego jest od nich uzależniona.

(12) Andora powinna zatem zostać uznana za państwo zapewniające odpowiedni poziom ochrony danych osobowych określony w dyrektywie 95/46/WE.

(13) W interesie przejrzystości i do celów zabezpieczenia zdolności właściwych organów w państwach członkowskich do zagwarantowania osobom fizycznym ochrony w zakresie przetwarzania ich danych osobowych konieczne jest określenie wyjątkowych okoliczności, w których uzasadnione może być zawieszenie przepływu określonych danych, niezależnie od uznania poziomu ochrony za odpowiedni.

(14) Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, ustanowiona na mocy art. 29 dyrektywy 95/46/WE, dostarczyła pozytywną opinię w sprawie poziomu odpowiedniej ochrony w odniesieniu do danych osobowych, która została uwzględniona w przygotowaniu niniejszej decyzji (²). W swojej pozytywnej opinii grupa robocza zachęciła władze Andory do kontynuowania procesu przyjmowania dalszych przepisów, które rozszerzą zakres stosowania prawodawstwa Andory na zautomatyzowane decyzje indywidualne, co jak dotąd nie jest wyraźnie uznane przez kwalifikowaną ustawę Andory w sprawie ochrony danych osobowych.

(15) Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu ustanowionego na mocy art. 31 ust. 1 dyrektywy 95/46/WE,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł 1

Do celów art. 25 ust. 2 dyrektywy 95/46/WE Andora jest traktowana jako państwo zapewniające odpowiedni poziom bezpieczeństwa w odniesieniu do danych osobowych przekazywanych z Unii Europejskiej.

Artykuł 2

Niniejsza decyzja dotyczy odpowiedniej ochrony zapewnianej w Andorze w celu spełnienia wymogów art. 25 ust. 1 dyrektywy 95/46/WE i nie ma wpływu na pozostałe warunki lub ograniczenia przyjęte w celu wdrożenia pozostałych przepisów tej dyrektywy, które odnoszą się do przetwarzania danych osobowych w państwach członkowskich.

Artykuł 3

[1] W przypadku gdy właściwe organy w państwach członkowskich wykonują swoje uprawnienia na podstawie art. 28 ust. 3 dyrektywy 95/46/WE, co prowadzi do zawieszenia lub ostatecznego zakazu przepływu danych do Andory w celu ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, dane państwo członkowskie bezzwłocznie informuje o tym Komisję, która przekazuje tę informację pozostałym państwom członkowskim.

Artykuł 4

[2] 1. Komisja na bieżąco monitoruje zmiany w porządku prawnym Andory, które mogłyby wpłynąć na funkcjonowanie niniejszej decyzji, w tym zmiany dotyczące dostępu organów publicznych do danych osobowych, aby ocenić, czy Andora nadal zapewnia odpowiedni stopień ochrony danych osobowych.

2. Państwa członkowskie i Komisja informują się nawzajem o przypadkach, w których działania organów odpowiedzialnych za zapewnianie zgodności z normami ochrony w Andorze nie gwarantują takiej zgodności.

3. Państwa członkowskie i Komisja informują się nawzajem o wszelkich przesłankach wskazujących, że ingerencje organów publicznych Andory, które odpowiadają za bezpieczeństwo narodowe, egzekwowanie prawa lub realizację innych celów interesu publicznego, w prawo osób fizycznych do ochrony ich danych osobowych wykraczają poza to, co jest ściśle niezbędne, lub że nie zapewniono żadnej skutecznej ochrony prawnej przed takimi ingerencjami.

4. Jeżeli dowody wskazują, że odpowiedni poziom ochrony nie jest już zapewniony, w tym w sytuacjach, o których mowa w ust. 2 i 3 niniejszego artykułu, Komisja powiadamia właściwy organ Andory oraz, w razie konieczności, przedstawia projekt środków zgodnie z procedurą, o której mowa w art. 31 ust. 2 dyrektywy 95/46/WE, w celu uchylenia, zawieszenia lub ograniczenia zakresu niniejszej decyzji.

Artykuł 5

Komisja monitoruje wprowadzanie w życie niniejszej decyzji i przekazuje wszelkie stosowne ustalenia komitetowi ustanowionemu na podstawie art. 31 dyrektywy 95/46/WE, w tym także wszelkie dowody, które mogłyby podważać założenie przyjęte w art. 1 niniejszej decyzji, że ochrona danych w Andorze jest odpowiednia w rozumieniu art. 25 dyrektywy 95/46/WE, oraz które mogą wykazywać, że niniejsza decyzja jest wykonywana w sposób dyskryminacyjny.

Artykuł 6

Państwa członkowskie podejmują wszelkie niezbędne środki w celu zastosowania się do niniejszej decyzji do dnia 1 stycznia 2011 r.

Artykuł 7

Niniejsza decyzja skierowana jest do państw członkowskich.

Sporządzono w Brukseli dnia 19 października 2010 r.