32003D0490

Komission päätös,

tehty 30 päivänä kesäkuuta 2003,

Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisesti henkilötietojen riittävästä suojasta Argentiinassa

(ETA:n kannalta merkityksellinen teksti)

(2003/490/EY)

EUROOPAN YHTEISÖJEN KOMISSIO, joka

ottaa huomioon Euroopan yhteisön perustamissopimuksen,

ottaa huomioon yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY(1) ja erityisesti sen 25 artiklan 6 kohdan,

sekä katsoo seuraavaa:

(1) Direktiivin 95/46/EY mukaan jäsenvaltioiden on säädettävä siitä, että henkilötietoja voidaan siirtää kolmanteen maahan ainoastaan, jos kyseisessä kolmannessa maassa turvataan tietosuojan riittävä taso ja jos direktiivin muiden säännösten täytäntöönpanemiseksi annettuja jäsenvaltioiden lakeja noudatetaan ennen tietojen siirtämistä.

(2) Komissio voi todeta, että kolmas maa turvaa tietosuojan riittävän tason. Henkilötietoja voidaan tässä tapauksessa siirtää ilman lisätakeita.

(3) Direktiivin 95/46/EY mukaisesti tietosuojan taso olisi arvioitava kaikkien tiettyyn siirtoon tai siirtojen ryhmään liittyvien olosuhteiden osalta ja ottaen erityisesti huomioon eräät siirron kannalta olennaiset, 25 artiklan 2 kohdassa luetellut tekijät. Direktiivin 95/46/EY 29 artiklan mukaisesti perustettu tietosuojatyöryhmä on antanut ohjeet arvioinnin tekemisestä(2).

(4) Koska kolmannet maat suhtautuvat eri tavoin tietosuojaan, tietosuojan riittävyys olisi arvioitava ja kaikki direktiivin 95/46/EY 25 artiklan 6 kohtaan perustuvat päätökset olisi tehtävä ja pantava täytäntöön tavalla, joka ei mielivaltaisesti tai epäoikeudenmukaisesti syrji mitään kolmatta maata tai tee eroa niiden välillä, jos niissä vallitsevat samanlaiset olosuhteet, tai muodosta peiteltyä kaupan estettä yhteisön nykyiset kansainväliset sitoumukset huomioon ottaen.

(5) Argentiinassa henkilötietojen suojan oikeudellisista perusteista säädetään sekä yleisillä että alakohtaisilla normeilla. Nämä molemmat normityypit ovat sitovia.

(6) Yleiset normit perustuvat Argentiinan perustuslakiin, henkilötietolakiin n:o 25.326 ja säädöksellä n:o 1558/2001 hyväksyttyyn asetukseen, jäljempänä, "Argentiinan lainsäädäntö".

(7) Argentiinan perustuslaissa säädetään erityisestä oikeussuojakeinosta henkilötietojen suojaamiseksi eli habeas datasta. Oikeussuojakeino on perustuslaissa vahvistetun menettelyn alalaji, jonka tarkoituksena on suojata perustuslaissa turvattuja oikeuksia, ja näin ollen henkilötietojen suoja on perusoikeus. Perustuslain 43 artiklan 3 kohdan mukaan jokainen on habeas data -säännön mukaan saamaan tiedon kaikista julkisiin, tai tiedonantotarkoituksiin käytettäviin yksityisiin, rekistereihin tai tietopankkeihin sisältyvistä häntä koskevista tiedoista ja tietojenkäsittelyn tarkoituksesta. Jos tiedot ovat virheellisiä tai niitä käytetään syrjiviin tarkoituksiin, henkilö voi pyytää poistamaan, korjaamaan, määräämään luottamuksellisiksi tai päivittämään edellä mainittuihin rekistereihin sisältyvät tiedot. Tämä artikla ei vaikuta journalististen tietolähteiden salassapitoon. Argentiinassa "habeas data" tunnustetaan oikeustieteessä suoraan sovellettavaksi perusoikeudeksi.

(8) Perustuslain säännöksiä kehitetään ja laajennetaan 4 päivänä lokakuuta 2000 annetussa henkilötietolaissa n:o 25.326, jäljempänä, laki. Laki sisältää säännöksiä, jotka koskevat yleisiä tietosuojaperiaatteita, rekisteröityjen oikeuksia, rekisterinpitäjien ja tietojen käyttäjien velvollisuuksia, valvontaviranomaista tai valvovaa elintä sekä habeas data -oikeussuojakeinoon liittyviä seuraamuksia ja menettelysääntöjä.

(9) Säädöksellä n:o 1558/2001 3 päivänä joulukuuta 2001 hyväksytty asetus, jäljempänä "asetus", sisältää lain täytäntöönpanosäännökset, täydentää sen säännöksiä sekä myös selventää sellaisia lainkohtia, joista saatetaan esittää ristiriitaisia tulkintoja.

(10) Argentiinan lainsäädäntö kattaa julkisiin tiedostoihin, rekistereihin, tietopankkeihin tai muihin teknisiin välineisiin tallennettujen henkilötietojen suojan sekä tiedonantotarkoituksiin käytettäviin yksityisiin tiedostoihin, rekistereihin, tietopankkeihin tai muihin teknisiin välineisiin tallennettujen henkilötietojen suojan. Tähän kuuluvat ne, joita käytetään muuhun kuin yksinomaan henkilökohtaisiin tarkoituksiin, ja ne, jotka on tarkoitettu henkilötietojen luovuttamiseen tai siirtämiseen, riippumatta siitä, välitetäänkö aineistoa tai tuotettuja tietoja maksua vastaan vai ilmaiseksi.

(11) Tiettyjä lain säännöksiä sovelletaan yhdenmukaisesti koko Argentiinan alueella. Näihin kuuluvat yleiset säännökset, yleisiä tietosuojaperiaatteita koskevat säännökset, rekisteröityjen oikeudet, tiedostojen, rekisterien ja tietopankkien pitäjien ja tietojen käyttäjien velvollisuudet, rikosoikeudelliset seuraamukset sekä habeas data -oikeussuojakeinon olemassaolo sekä pääpiirteet perustuslaissa säädetyllä tavalla.

(12) Muita lain säännöksiä sovelletaan lainkäyttöalueen sisäisellä (eli provinssin sisäisellä), kansallisella tai kansainvälisellä tasolla toisiinsa verkostojen kautta yhteydessä oleviin rekistereihin, tiedostoihin, tietokantoihin tai tietopankkeihin, joiden katsotaan kuuluvan liittovaltion toimivaltaan. Ne koskevat valvontaviranomaisen suorittamaa valvontaa ja niiden määräämiä seuraamuksia sekä habeas data -oikeussuojakeinoon liittyviä menettelysääntöjä. Muunlaisten rekisterien, tiedostojen, tietokantojen tai tietopankkien on katsottava kuuluvan provinssien toimivaltaan. Provinssit voivat antaa säädöksiä näistä asioista.

(13) Tietosuojasäännöksiä sisältyy myös useisiin eri aloja, kuten luottokorttimaksuja, tilastoja, pankkitoimintaa tai terveyttä säänteleviin säädöksiin.

(14) Argentiinan lainsäädäntö kattaa kaikki perusperiaatteet, jotka ovat välttämättömiä riittävän tietosuojan takaamiseksi luonnollisille henkilöille, vaikka lakiin sisältyy poikkeuksia ja rajoituksia tärkeiden yleisten etujen turvaamiseksi. Näiden periaatteiden soveltaminen taataan erityisellä yksinkertaistetulla ja nopealla henkilötietojen suojaamiseksi käytettävällä oikeussuojakeinolla eli niin sanotulla habeas datalla yhdessä yleisten oikeussuojakeinojen kanssa. Laissa säädetään tietosuojan valvontaelimen perustamisesta, jonka tehtäviin kuuluu ryhtyä kaikkiin toimenpiteisiin, jotka ovat tarpeen lain tavoitteiden toteuttamiseksi ja sen säännösten noudattamiseksi, jota tarkoitusta varten se käyttää sille annettuja tutkinta- ja toimintavaltuuksia. Valvontaelimeksi on perustettu asetuksen mukaan kansallinen tietosuojadirektoraatti. Argentiinan lainsäädännössä säädetään tehokkaista varoittavista seuraamuksista, sekä hallinnollisista että rikosoikeudellisista. Lisäksi Argentiinan lainsäädännön siviilioikeudellista (sekä sopimusperusteita että sopimussuhteen ulkopuolista) vastuuta koskevat säännökset soveltuvat sellaiseen laittomaan henkilötietojen käsittelyyn, joka aiheuttaa vahinkoa asianomaisille henkilöille.

(15) Argentiinan hallitus on antanut selvityksiä ja lausuntoja siitä, kuinka Argentiinan lainsäädäntöä on tulkittava, sekä vakuuttanut, että Argentiinan tietosuojasäännökset pannaan täytäntöön kyseisen tulkinnan mukaisesti. Tämä päätös perustuu kyseisiin selvityksiin ja lausuntoihin ja on näin ollen niistä riippuvainen. Erityisesti tämä päätös tukeutuu Argentiinan viranomaisten antamiin selvityksiin ja lausuntoihin siitä, miten Argentiinan lainsäädäntöä on tulkittava sen osalta, mitkä tilanteet kuuluvat Argentiinan tietosuojalainsäädännön soveltamisalaan.

(16) Argentiinan on siten katsottava tarjoavan direktiivissä 95/46/EY mukaisen riittävän suojan henkilötiedoille.

(17) Avoimuuden saavuttamiseksi ja sen turvaamiseksi, että jäsenvaltioiden toimivaltaiset viranomaiset kykenevät varmistamaan yksityishenkilöiden suojelun henkilötietoja käsiteltäessä, päätöksessä on tarpeen määritellä poikkeukselliset olot, joissa tiettyjen tiedonsiirtojen keskeyttäminen on perusteltua siitä huolimatta, että tietosuojan taso on todettu riittäväksi.

(18) Direktiivin 95/46/EY 29 artiklalla perustettu tietosuojatyöryhmä on antanut lausunnon Argentiinan lain tarjoaman henkilötietojen suojan tasosta, ja lausunto on otettu huomioon tätä päätöstä laadittaessa(3).

(19) Tässä päätöksessä säädetyt toimenpiteet ovat direktiivin 95/46/EY 31 artiklan 1 kohdalla perustetun komitean lausunnon mukaiset,

ON TEHNYT TÄMÄN PÄÄTÖKSEN:

1 artikla

Direktiivin 95/46/EY 25 artiklan 2 kohdan soveltamiseksi katsotaan, että Argentiina tarjoaa riittävän suojan yhteisöstä siirretyille henkilötiedoille.

2 artikla

Tämä päätös koskee ainoastaan Argentiinassa säädetyn tietosuojan riittävyyttä direktiivin 95/46/EY 25 artiklan 1 kohdan vaatimusten täyttymiseen, eikä se vaikuta muihin sellaisiin ehtoihin tai rajoituksiin, joilla pannaan täytäntöön direktiivin muita, henkilötietojen käsittelyä jäsenvaltioissa koskevia säännöksiä.

3 artikla

1. Rajoittamatta jäsenvaltioiden toimivaltaisten viranomaisten valtuuksia toteuttaa toimenpiteitä direktiivin 95/46/EY muiden kuin 25 artiklan säännösten noudattamiseksi annettujen kansallisten säännösten noudattamisen varmistamiseksi, jäsenvaltioiden toimivaltaiset viranomaiset voivat käyttää nykyisiä valtuuksiaan Argentiinassa olevalle vastaanottajalle toimitettavien tietojen siirron keskeyttämiseksi yksityishenkilöiden suojelemiseksi heitä koskevien henkilötietojen käsittelemisen osalta tapauksissa, joissa:

a) Argentiinan toimivaltainen viranomainen on todennut, että tietojen vastaanottaja rikkoo sovellettavia tietosuojavaatimuksia; tai

b) on ilmeisen todennäköistä, että tietosuojavaatimuksia rikotaan; on perusteltua olettaa, että Argentiinan toimivaltainen viranomainen ei ole toteuttanut tai toteuta ajoissa tarvittavia toimenpiteitä kyseessä olevan tapauksen ratkaisemiseksi; tiedonsiirron jatkaminen aiheuttaisi välittömän, vakavan haitan vaaran rekisteröidyille ja jäsenvaltion toimivaltaiset viranomaiset ovat olosuhteisiin nähden kohtuullisessa määrin pyrkineet antamaan tietojen käsittelystä vastaavalle Argentiinaan sijoittautuneelle osapuolelle ilmoituksen ja tilaisuuden vastata siihen.

Keskeyttäminen lakkaa heti, kun tietosuojavaatimusten noudattaminen on varmistettu ja tästä on ilmoitettu asianomaiselle toimivaltaiselle viranomaiselle yhteisössä.

2. Jäsenvaltioiden on ilmoitettava viipymättä komissiolle 1 kohdan mukaisesti toteutetuista toimenpiteistä.

3. Jäsenvaltiot ja komissio ilmoittavat toisilleen myös tapauksista, joissa tietosuojavaatimusten noudattamisesta Argentiinassa vastuussa olevat elimet eivät voi varmistaa periaatteiden noudattamista.

4. Jos 1, 2 ja 3 kohdan mukaisesti saadut tiedot osoittavat, että jokin tietosuojavaatimusten noudattamisesta Argentiinassa vastuussa oleva elin ei tosiasiallisesti hoida tehtäväänsä, komissio tiedottaa asiasta toimivaltaiselle viranomaiselle Argentiinassa ja tarvittaessa esittää direktiivin 95/46/EY 31 artiklan 2 kohdassa tarkoitetun menettelyn mukaisesti ehdotuksia toimenpiteistä, joiden tarkoituksena on peruuttaa tämä päätös tai lykätä sen soveltamista tai rajoittaa sen soveltamisalaa.

4 artikla

1. Tätä päätöstä voidaan muuttaa milloin tahansa sen toiminnasta saatujen kokemusten perusteella tai Argentiinan lainsäädännössä, sen täytäntöönpanossa ja tulkinnassa tapahtuneiden muutosten vuoksi.

Komissio arvioi tämän päätöksen toimintaa ja toimittaa direktiivin 95/46/EY 31 artiklalla perustetulle komitealle kaikki olennaiset havainnot, mukaan lukien kaikki todisteet, jotka voivat vaikuttaa tämän päätöksen 1 artiklan mukaiseen arvioon siitä, onko tietosuojan taso Argentiinassa on direktiivin 95/46/EY 25 artiklan mukaisessa merkityksessä riittävä, ja kaikki todisteet päätöksen syrjivästä soveltamisesta.

2. Komissio tekee tarvittaessa ehdotuksen toteutettavista toimenpiteistä direktiivin 95/46/EY 31 artiklan 2 kohdassa tarkoitetun menettelyn mukaisesti.

5 artikla

Jäsenvaltioiden on toteutettava kaikki tämän päätöksen noudattamisen edellyttämät toimenpiteet viimeistään sadankahdenkymmenen päivän kuluttua siitä päivästä, jona se on annettu tiedoksi jäsenvaltioille.

6 artikla

Tämä päätös on osoitettu kaikille jäsenvaltioille.

Tehty Brysselissä 30 päivänä kesäkuuta 2003.

Komission puolesta

Frederik Bolkestein

Komission jäsen

(1) EYVL L 281, 23.11.1995, s. 31.

(2) Työryhmän 24 päivänä heinäkuuta 1998 antama lausunto 12/98: Henkilötietojen siirto kolmansiin maihin: EU:n tietosuojadirektiivin (PO MARKT D/5025/98) 25 ja 26 artiklan soveltaminen, saatavana Euroopan komission ylläpitämältä Europa-sivustolta osoitteessa

http://europa.eu.int/comm/ internal_market/en/dataprot/wpdocs/ wpdocs_98.htm

(3) Lausunto 4/2002 - Henkilötietojen suojan tasosta Argentiinassa, WP 63, annettu 3 päivänä lokakuuta 2002; saatavana osoitteessa

http://europa.eu.int/comm/ internal_market/en/dataprot/wpdocs/ index.htm