Kommissionens beslut

av den 30 juni 2003

i enlighet med Europaparlamentets och rådets direktiv 95/46/EG om adekvat skydd för personuppgifter i Argentina

(Text av betydelse för EES)

(2003/490/EG)

EUROPEISKA GEMENSKAPERNAS KOMMISSION HAR FATTAT DETTA BESLUT

med beaktande av Fördraget om upprättandet av Europeiska gemenskapen,

med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter(1), särskilt artikel 25.6 i detta, och

av följande skäl:

(1) Enligt direktiv 95/46/EG skall medlemsstaterna föreskriva att överföring av personuppgifter till tredje land endast får ske om ifrågavarande tredje land säkerställer en adekvat skyddsnivå och om medlemsstatens lagstiftning genom vilken andra bestämmelser i direktivet genomförs, följs innan överföringen sker.

(2) Kommissionen kan konstatera att ett tredje land har en adekvat skyddsnivå. I sådana fall får personuppgifter överföras från medlemsstaterna utan att det behövs några ytterligare garantier.

(3) Enligt direktiv 95/46/EC skall bedömningen av skyddsnivån ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter, varvid särskilt skall beaktas vissa för överföringen relevanta aspekter som anges i artikel 25.2 i direktivet. Arbetsgruppen för skydd av enskilda med avseende på behandling av personuppgifter, som inrättats genom artikel 29 i direktiv 95/46/EG, har utfärdat riktlinjer för hur sådana bedömningar skall göras(2).

(4) Med hänsyn till att uppgiftsskyddet utformas på olika sätt i olika tredje länder bör en bedömning av om skyddsnivån är adekvat utföras, och beslut som grundar sig på artikel 25.6 i direktiv 95/46/EG bör fattas och verkställas utan godtycklig eller obefogad diskriminering i förhållande till tredje land eller mellan tredje länder där liknande villkor råder, och utan att beslutet utgör ett förtäckt handelshinder, med hänsyn tagen till gemenskapens nuvarande internationella åtaganden.

(5) I Argentina finns rättsregler för skyddet för personuppgifter i form av både allmänna och branschspecifika regler. Båda kategorierna av regler har bindande rättsverkan.

(6) De allmänna reglerna finns i grundlagen, lag nr 25.326 om skydd för personuppgifter och den förordning som stadfästs genom dekret nr 1558/2001 (nedan kallad "den argentinska lagstiftningen").

(7) I den argentinska grundlagen ingår ett särskilt rättsmedel för skydd av personuppgifter, benämnt habeas data. Detta rättsmedel är en del av det förfarande som fastlagts i grundlagen för att skydda de konstitutionella rättigheterna, och därmed utgör skyddet av personuppgifter en grundläggande rättighet. Enligt artikel 43.3 i grundlagen har vem som helst rätt enligt bestämmelsen om habeas data att ta del av innehållet i och ändamålet med alla uppgifter rörande honom eller henne som ingår i offentliga register eller databaser, eller i privata register eller databaser vilka används för rapporteringsändamål. I enlighet med artikel 43.3 skall personen i fråga, om uppgifterna är falska eller används i diskriminerande syfte, kunna begära att de uppgifter som ingår i de nämnda registren eller databaserna utplånas, rättas, sekretessbeläggs eller uppdateras. Den artikeln skall inte inverka på källskyddet för journalistisk information. I argentinsk rättspraxis ses habeas data som en grundläggande och direkt tillämplig rättighet.

(8) Genom lagen av den 4 oktober 2000 om skydd för personuppgifter (lag nr 25.326, nedan kallad "lagen") utvecklas och vidgas grundlagens bestämmelser. Lagen innehåller bestämmelser om allmänna principer för uppgiftsskydd, de registrerades rättigheter, registeransvarigas och uppgiftsanvändares skyldigheter, tillsyns- eller kontrollmyndighet, påföljder samt förfaranderegler för bestämmelsen om habeas data.

(9) Genom den förordning som stadfästs genom dekret nr 1558/2001 av den 3 december 2001 (nedan kallad "förordningen") fastställs genomförandebestämmelser för lagen, vidare kompletteras lagens bestämmelser samt klargörs de punkter i lagen som skulle kunna bli föremål för skiljaktiga tolkningar.

(10) Den argentinska lagstiftningen täcker skyddet av personuppgifter som införts i offentliga datafiler, register, databanker eller andra tekniska medel, samt skyddet av personuppgifter i privata datafiler, register, databanker eller andra tekniska medel som används för rapporteringsändamål. Till dessa hör sådana medel som går utöver uteslutande personligt bruk samt sådana som är avsedda för överlåtelse eller överföring av personuppgifter oavsett om dessa uppgifter eller de upplysningar som framgår ur dem sprids mot betalning eller avgiftsfritt.

(11) Vissa av lagens bestämmelser tillämpas enhetligt i hela Argentina. Till dessa hör allmänna bestämmelser och bestämmelser om allmänna principer för uppgiftsskydd, de registrerades rättigheter, skyldigheterna för de som ansvarar för eller använder datafiler, register och databanker samt straffrättsliga påföljder, liksom huvuddragen i rättsmedlet habeas data i enlighet med grundlagen.

(12) Andra bestämmelser i lagen gäller register, datafiler, databaser eller databanker som ingår i nät som sträcker sig över flera jurisdiktioner (dvs. över flera provinser) eller som ligger på nationell eller internationell nivå och som faller under den federala rättskipningen. De gäller den kontroll som tillsynsmyndigheten utövar, de sanktioner som vidtas av tillsynsmyndigheten och förfaranderegler för bestämmelsen om habeas data. Andra slags register, datafiler, databaser eller databanker bör anses falla under provinsernas rättskipning. Provinserna får utfärda rättsliga bestämmelser i dessa frågor.

(13) Bestämmelser om uppgiftsskydd ingår även i ett antal rättsakter som reglerar olika sektorer, såsom kreditkortsbetalningar, statistik, bankväsende och hälsovård.

(14) Den argentinska lagstiftningen omfattar alla grundprinciper som krävs för att en adekvat skyddsnivå skall föreligga för fysiska personer, även om den också innehåller undantag och begränsningar i syfte att skydda viktiga allmänna intressen. Tillämpningen av dessa regler garanteras, vid sidan av de sedvanliga rättsmedlen, genom habeas data, som är ett förenklat och effektivträttsmedel för skydd av personuppgifter. I den argentinska lagstiftningen föreskrivs vidare att ett kontrollorgan för uppgiftsskydd skall inrättas, som skall vidta alla nödvändiga åtgärder för att lagens syften och bestämmelser skall kunna följas och som har befogenhet att genomföra utredningar och ingripanden. I enlighet med förordningen har ett nationellt direktorat för skydd av personuppgifter inrättats som tillsynsorgan. Den argentinska lagstiftningen innehåller bestämmelser om effektiva och avskräckande påföljderav såväl administrativt som straffrättsligt slag. Dessutom är den argentinska lagstiftningens allmänna bestämmelser om skadeståndsansvar (både inom och utanför ett avtalsförhållande) tillämpliga på lagstridig behandling av personuppgifter genom vilken de berörda personerna vållas skada.

(15) Den argentinska regeringen har lämnat förklaringar och försäkringar när det gäller tolkningen av den argentinska lagstiftningen och har även försäkrat att de argentinska reglerna för uppgiftsskydd faktiskt tillämpas i överensstämmelse med denna tolkning. Detta beslut är grundat på dessa förklaringar och försäkringar och är alltså beroende av dem. Detta beslut är i synnerhet beroende av de förklaringar och försäkringar som argentinska myndigheter lämnat när det gäller hur den argentinska lagen skall tolkas med avseende på vilka situationer som omfattas av den argentinska lagstiftningen om uppgiftsskydd.

(16) Argentina bör därför anses erbjuda en adekvat skyddsnivå för personuppgifter enligt direktiv 95/46/EG.

(17) I öppenhetens intresse och för att skydda möjligheten för de behöriga myndigheterna i medlemsstaterna att säkerställa skyddet av enskilda med avseende på behandling av personuppgifter är det nödvändigt att ange de särskilda omständigheter under vilka det kan vara berättigat att avbryta vissa enskilda överföringar av uppgifter, även om det har konstaterats att adekvat skydd finns.

(18) Arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter som inrättats genom artikel 29 i direktiv 95/46/EG har avgett ett yttrande om skyddsnivån för personuppgifter i Argentina(3), som har beaktats vid utarbetandet av detta beslut.

(19) De åtgärder som föreskrivs i detta beslut är förenliga med yttrandet från den kommitté som inrättats enligt artikel 31.1 i direktiv 95/46/EG.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Argentina skall anses erbjuda en adekvat skyddsnivå för personuppgifter som överförs från Europeiska gemenskapen med avseende på tillämpningen av artikel 25.2 i direktiv 95/46/EG.

Artikel 2

Detta beslut gäller endast fastställandet av att det finns en adekvat skyddsnivå i Argentina med avseende på att kraven i artikel 25.1 i direktiv 95/46/EG och skall inte påverka tillämpningen av andra villkor eller begränsningar genom vilka andra bestämmelser i det direktivet som gäller behandling av personuppgifter i medlemsstaterna genomförs.

Artikel 3

1. Utan att det påverkar de befogenheter som behöriga myndigheter i medlemsstaterna har i fråga om att vidta åtgärder för att säkerställa efterlevnaden av nationella bestämmelser som antagits enligt andra bestämmelser än artikel 25 i direktiv 95/46/EG, får dessa myndigheter utöva sina gällande befogenheter för att tillfälligt avbryta flöden av uppgifter till en mottagare i Argentina för att skydda enskilda med avseende på behandling av personuppgifter om dem, om

a) en behörig argentinsk myndighet har funnit att mottagaren bryter mot tillämpliga skyddsregler, eller

b) det är i hög grad sannolikt att skyddsreglerna överträds, det finns välgrundad anledning att tro att en behörig argentinsk myndighet inte vidtar eller inte i tid kommer att vidta de åtgärder som behövs för att avgöra ärendet, en fortsatt överföring av uppgifterna skulle innebära en överhängande risk för att de registrerade åsamkas allvarlig skada, och medlemsstaternas behöriga myndigheter har gjort vad som under rådande omständigheter rimligen kan begäras för att anmärka mot den i Argentina etablerade part som är ansvarig för behandlingen och ge denna möjlighet att svara.

Det tillfälliga avbrottet skall upphöra så snart det har säkerställts att skyddsreglerna följs och de behöriga myndigheterna i gemenskapen har underrättats om detta.

2. Medlemsstaterna skall utan dröjsmål underrätta kommissionen om åtgärder som vidtagits enligt punkt 1.

3. Medlemsstaterna och kommissionen skall underrätta varandra om fall där sådana argentinska organ som är ansvariga för att skyddsreglerna följs inte har kunnat säkerställa detta.

4. Om den information som inhämtats enligt punkterna 1, 2 och 3 visar att något organ i Argentina som har ansvar för att skyddsreglerna följs inte fullgör denna uppgift på ett effektivt sätt, skall kommissionen underrätta den behöriga argentinska myndigheten om detta och vid behov föreslå åtgärder i enlighet medförfarandet i artikel 31.2 i direktiv 95/46/EG i syfte att helt eller tills vidare upphäva detta beslut eller begränsa dess tillämpningsområde.

Artikel 4

1. Detta beslut får ändras närhelst så krävs mot bakgrund av de erfarenheter som görs i samband med dess tillämpning eller till följd av ändringar i den argentinska lagstiftningen eller dess tillämpning eller tolkning.

Kommissionen skall övervaka tillämpningen av detta beslut och rapportera alla relevanta slutsatser till den kommitté som inrättats enligt artikel 31 i direktiv 95/46/EG, vilket även inbegriper alla omständigheter som skulle kunna påverka konstaterandet i artikel 1 i detta beslut att det skydd som ges i Argentina är adekvat i den mening som avses i artikel 25 i direktiv 95/46/EG, och alla omständigheter som visar att detta beslut tillämpas på ett diskriminerande sätt.

2. Kommissionen skall vid behov föreslå åtgärder i enlighet med förfarandet i artikel 31.2 i direktiv 95/46/EG.

Artikel 5

Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa bestämmelserna i detta beslut senast 120 dagar efter det att beslutet har delgivits medlemsstaterna.

Artikel 6

Detta beslut riktar sig till medlemsstaterna.

Utfärdat i Bryssel den 30 juni 2003.

På kommissionens vägnar

Frederik Bolkestein

Ledamot av kommissionen

(1) EGT L 281, 23.11.1995, s. 31.

(2) Yttrande 12/98, antaget av arbetsgruppen den 24 juli 1998: Överföring av personuppgifter till tredje land: tillämpning av artiklarna 25 och 26 i EU:s dataskyddsdirektiv (GD MARKT D/5025/98). Yttrandet finns på Europeiska kommissionens webbplats Europa:

http://europa.eu.int/comm/ internal_market/en/media/dataprot/wpdocs/ wpdocs_98.htm

(3) Yttrande 4/2002 om skyddsnivån för personuppgifter i Argentina - arbetsdokument nr 63, antaget den 3 oktober 2002. Finns på följande Internetadress:

http://europa.eu.int/comm/ internal_market/en/dataprot/wpdocs/ index.htm