Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, regarding supervisory authorities and transborder data flows

Preamble

The Parties to this Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, opened for signature in Strasbourg on 28 January 1981 (hereafter referred to as ``the Convention");

Convinced that supervisory authorities, exercising their functions in complete independence, are an element of the effective protection of individuals with regard to the processing of personal data;

Considering the importance of the flow of information between peoples;

Considering that, with the increase in exchanges of personal data across national borders, it is necessary to ensure the effective protection of human rights and fundamental freedoms, and in particular the right to privacy, in relation to such exchanges of personal data,

Have agreed as follows:

Article 1 Supervisory authorities

1. Each Party shall provide for one or more authorities to be responsible for ensuring compliance with the measures in its domestic law giving effect to the principles stated in Chapters II and III of the Convention and in this Protocol.

2. a) To this end, the said authorities shall have, in particular, powers of investigation and intervention, as well as the power to engage in legal proceedings or bring to the attention of the competent judicial authorities violations of provisions of domestic law giving effect to the principles mentioned in paragraph 1 of Article 1 of this Protocol.

• b) Each supervisory authority shall hear claims lodged by any person concerning the protection of his/her rights and fundamental freedoms with regard to the processing of personal data within its competence.

3. The supervisory authorities shall exercise their functions in complete independence.

4. Decisions of the supervisory authorities, which give rise to complaints, may be appealed against through the courts.

5. In accordance with the provisions of Chapter IV, and without prejudice to the provisions of Article 13 of the Convention, the supervisory authorities shall co-operate with one another to the extent necessary for the performance of their duties, in particular by exchanging all useful information.

Article 2 Transborder flows of personal data to a recipient which is not subject to the jurisdiction of a Party to the Convention

1. Each Party shall provide for the transfer of personal data to a recipient that is subject to the jurisdiction of a State or organisation that is not Party to the Convention only if that State or organisation ensures an adequate level of protection for the intended data transfer.

2. By way of derogation from paragraph 1 of Article 2 of this Protocol, each Party may allow for the transfer of personal data:

• a) if domestic law provides for it because of:

• – specific interests of the data subject, or

• – legitimate prevailing interests, especially important public interests, or

• b) if safeguards, which can in particular result from contractual clauses, are provided by the controller responsible for the transfer and are found adequate by the competent authorities according to domestic law.

Article 3 Final provisions

1. The provisions of Articles 1 and 2 of this Protocol shall be regarded by the Parties as additional articles to the Convention and all the provisions of the Convention shall apply accordingly.

2. This Protocol shall be open for signature by States Signatories to the Convention. After acceding to the Convention under the conditions provided by it, the European Communities may sign this Protocol. This Protocol is subject to ratification, acceptance or approval. A Signatory to this Protocol may not ratify, accept or approve it unless it has previously or simultaneously ratified, accepted or approved the Convention or has acceded to it. Instruments of ratification, acceptance or approval of this Protocol shall be deposited with the Secretary General of the Council of Europe.

3. a) This Protocol shall enter into force on the first day of the month following the expiry of a period of three months after the date on which five of its Signatories have expressed their consent to be bound by the Protocol in accordance with the provisions of paragraph 2 of Article 3.

• b) In respect of any Signatory to this Protocol which subsequently expresses its consent to be bound by it, the Protocol shall enter into force on the first day of the month following the expiry of a period of three months after the date of deposit of the instrument of ratification, acceptance or approval.

4. a) After the entry into force of this Protocol, any State which has acceded to the Convention may also accede to the Protocol.

• b) Accession shall be effected by the deposit with the Secretary General of the Council of Europe of an instrument of accession, which shall take effect on the first day of the month following the expiry of a period of three months after the date of its deposit.

5. a) Any Party may at any time denounce this Protocol by means of a notification addressed to the Secretary General of the Council of Europe.

• b) Such denunciation shall become effective on the first day of the month following the expiry of a period of three months after the date of receipt of such notification by the Secretary General.

6. The Secretary General of the Council of Europe shall notify the member States of the Council of Europe, the European Communities and any other State which has acceded to this Protocol of:

• a) any signature;

• b) the deposit of any instrument of ratification, acceptance or approval;

• c) any date of entry into force of this Protocol in accordance with Article 3;

• d) any other act, notification or communication relating to this Protocol.

IN WITNESS WHEREOF the undersigned, being duly authorised thereto, have signed this Protocol.

DONE at Strasbourg, this 8th day of November 2001, in English and in French, both texts being equally authentic, in a single copy which shall be deposited in the archives of the Council of Europe. The Secretary General of the Council of Europe shall transmit certified copies to each member State of the Council of Europe, the European Communities and any State invited to accede to the Convention.

Het Protocol is te Straatsburg ondertekend voor de volgende staten:

Protocole additionnel à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, concernant les autorités de contrôle et les flux transfrontières de données

Préambule

Les Parties au présent Protocole additionnel à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, ouverte à la signature à Strasbourg, le 28 janvier 1981, (ci-après dénommé «la Convention»),

Convaincues que des autorités de contrôle exerçant leurs fonctions en toute indépendance sont un élément de la protection effective des personnes à l'égard du traitement des données à caractère personnel;

Considérant l'importance de la circulation de l'information entre les peuples;

Considérant que, avec l'intensification des échanges de données à caractère personnel à travers les frontières, il est nécessaire d'assurer la protection effective des droits de l'homme et des libertés fondamentales, et, notamment du droit au respect de la vie privée, en relation avec de tels échanges,

Sont convenues de ce qui suit:

Article 1 Autorités de contrôle

1. Chaque Partie prévoit qu'une ou plusieurs autorités sont chargées de veiller au respect des mesures donnant effet, dans son droit interne, aux principes énoncés dans les chapitres II et III de la Convention et dans le présent Protocole.

2. a) A cet effet, ces autorités disposent notamment de pouvoirs d'investigation et d'intervention, ainsi que de celui d'ester en justice ou de porter à la connaissance de l'autorité judiciaire compétente des violations aux dispositions du droit interne donnant effet aux principes visés au paragraphe 1 de l'article 1 du présent Protocole.

• b) Chaque autorité de contrôle peut être saisie par toute personne d'une demande relative à la protection de ses droits et libertés fondamentales à l'égard des traitements de données à caractère personnel relevant de sa compétence.

3. Les autorités de contrôle exercent leurs fonctions en toute indépendance.

4. Les décisions des autorités de contrôle faisant grief peuvent faire l'objet d'un recours juridictionnel.

5. Conformément aux dispositions du chapitre IV et sans préjudice des dispositions de l'article 13 de la Convention, les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l'accomplissement de leurs missions, notamment en échangeant toute information utile.

Article 2 Flux transfrontières de données à caractère personnel vers un destinataire n'étant pas soumis à la juridiction d'une Partie à la Convention

1. Chaque Partie prévoit que le transfert de données à caractère personnel vers un destinataire soumis à la juridiction d'un Etat ou d'une organisation qui n'est pas Partie à la Convention ne peut être effectué que si cet Etat ou cette organisation assure un niveau de protection adéquat pour le transfert considéré.

2. Par dérogation au paragraphe 1 de l'article 2 du présent Protocole, chaque Partie peut autoriser un transfert de données à caractère personnel:

• a) si le droit interne le prévoit:

• – pour des intérêts spécifiques de la personne concernée, ou

• – lorsque des intérêts légitimes prévalent, en particulier des intérêts publics importants, ou

• b) si des garanties pouvant notamment résulter de clauses contractuelles sont fournies par la personne responsable du transfert, et sont jugées suffisantes par les autorités compétentes, conformément au droit interne.

Article 3 Dispositions finales

1. Les Parties considèrent les dispositions des articles 1 et 2 du présent Protocole comme des articles additionnels à la Convention, et toutes les dispositions de la Convention s'appliquent en conséquence.

2. Le présent Protocole est ouvert à la signature des Etats signataires de la Convention. Après avoir adhéré à la Convention dans les conditions établies par celle-ci, les Communautés européennes peuvent signer le présent Protocole. Ce Protocole sera soumis à ratification, acceptation ou approbation. Un Signataire du présent Protocole ne peut le ratifier, l'accepter ou l'approuver, sans avoir antérieurement ou simultanément ratifié, accepté ou approuvé la Convention ou sans y avoir adhéré. Les instruments de ratification, d'acceptation ou d'approbation du présent Protocole seront déposés près le Secrétaire Général du Conseil de l'Europe.

3. a) Le présent Protocole entrera en vigueur le premier jour du mois qui suit l'expiration d'une période de trois mois après la date à laquelle cinq de ses Signataires auront exprimé leur consentement à être liés par le présent Protocole conformément aux dispositions de son article 3 paragraphe 2.

• b) Pour tout Signataire du présent Protocole qui exprime ultérieurement son consentement à être lié par celui-ci, le présent Protocole entrera en vigueur le premier jour du mois qui suit l'expiration d'une période de trois mois après la date du dépôt de son instrument de ratification, d'acceptation ou d'approbation.

4. a) Après l'entrée en vigueur du présent Protocole, tout Etat qui a adhéré à la Convention pourra adhérer également au présent Protocole.

• b) L'adhésion s'effectuera par le dépôt, près le Secrétaire Général du Conseil de l'Europe, d'un instrument d'adhésion qui prendra effet le premier jour du mois qui suit l'expiration d'une période de trois mois après la date de son dépôt.

5. a) Toute Partie peut, à tout moment, dénoncer le présent Protocole en adressant une notification au Secrétaire Général du Conseil de l'Europe.

• b) La dénonciation prendra effet le premier jour du mois qui suit l'expiration d'une période de trois mois après la date de réception de la notification par le Secrétaire Général.

6. Le Secrétaire Général du Conseil de l'Europe notifiera aux Etats membres du Conseil de l'Europe, aux Communautés européennes et à tout Etat ayant adhéré au présent Protocole:

• a) toute signature;

• b) le dépôt de tout instrument de ratification, d'acceptation ou d'approbation;

• c) toute date d'entrée en vigueur du présent Protocole conformément à son article 3;

• d) tout autre acte, notification ou communication ayant trait au présent Protocole.

EN FOI DE QUOI, les soussignés, dûment autorisés à cet effet, ont signé le présent Protocole.

FAIT à Strasbourg, le 8 novembre 2001, en français et en anglais, les deux textes faisant également foi, en un seul exemplaire qui sera déposé dans les archives du Conseil de l'Europe. Le Secrétaire Général du Conseil de l'Europe en communiquera copie certifiée conforme à chacun des Etats membres du Conseil de l'Europe, aux Communautés européennes et à tout Etat invité à adhérer à la Convention.