23.8.2012   

DA

Den Europæiske Unions Tidende

L 227/11

(1)

Medlemsstaterne skal i henhold til direktiv 95/46/EF fastsætte bestemmelser om, at videregivelse af personoplysninger til et tredjeland kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, og medlemsstaternes love til gennemførelse af direktivets øvrige bestemmelser overholdes inden videregivelsen.

(2)

Kommissionen kan fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau. I så fald kan der videregives personoplysninger fra medlemsstaterne, uden at yderligere garantier er påkrævet.

(3)

Vurderingen af, om beskyttelsesniveauet for personoplysninger er tilstrækkeligt, skal i henhold til direktiv 95/46/EF ske på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger og under hensyntagen til en række faktorer som anført i direktivets artikel 25, der er relevante for den pågældende videregivelse.

(4)

Vurderingen af, om beskyttelsesniveauet er tilstrækkeligt, og vedtagelsen og gennemførelsen af afgørelser i henhold til artikel 25, stk. 6, i direktiv 95/46/EF skal på grund af tredjelandenes forskellige opfattelser af begrebet beskyttelse af personoplysninger foretages ud fra en række kriterier, der skal sikre, at der ikke vilkårligt eller uberettiget diskrimineres mod eller mellem tredjelande, hvor lignende forhold gør sig gældende, eller skabes skjulte handelshindringer under hensyntagen til Den Europæiske Unions nuværende internationale forpligtelser.

(5)

Den Østlige Republik Uruguays politiske forfatning, der blev vedtaget i 1967, omfatter ikke en udtrykkelig anerkendelse af retten til privatlivets fred og beskyttelse af personoplysninger. Fortegnelsen over de grundlæggende rettigheder udgør imidlertid ikke en lukket liste, da det i forfatningens artikel 72 fastsættes, at de i forfatningen anførte rettigheder, forpligtelser og garantier ikke udelukker andre, som er affødt af den menneskelige personlighed, eller som afledes fra den republikanske regeringsform. I artikel 1 i lov nr. 18.331 af 11. august 2008 om beskyttelse af personoplysninger og »habeas data«-retsmidlet (Ley No 18.331 de Protección de Datos Personales y Acción de »Habeas Data«) fastsættes det udtrykkeligt, at retten til beskyttelse af personoplysninger er iboende i mennesket, så denne er omfattet af artikel 72 i republikkens forfatning. I forfatningens artikel 332 fastsættes det, at de bestemmelser i forfatningen, som anerkender fysiske personers rettigheder, og de bestemmelser, der giver offentlige myndigheder rettigheder og pålægger dem forpligtelser, også finder anvendelse, selv om der ikke findes en specifik gennemførelsesforordning; i så tilfælde finder de bagved liggende principper i lignende love, de generelle retsprincipper og generelt accepterede doktriner anvendelse.

(6)

Retsreglerne for beskyttelse af personoplysninger i Den Østlige Republik Uruguay er i vid udstrækning baseret på reglerne i direktiv 95/46/EF og er fastsat i lov nr. 18.331 af 11. august 2008 om beskyttelse af personoplysninger og »habeas data«-retsmidlet (Ley No 18.331 de Protección de Datos Personales y Acción de »Habeas Data«). De omfatter fysiske og juridiske personer.

(7)

Loven suppleres desuden af dekret nr. 414/009 af 31. august 2009, der blev vedtaget for at præcisere en række aspekter af loven og fastsætte detaljerede regler for datatilsynsmyndighedens organisation, beføjelser og funktion. I dekretets præambel fastsættes det, at det nationale retssystem på dette område bør tilpasses det mest accepterede, sammenlignelige retssystem, dvs. grundlæggende det niveau, der er indført i de europæiske lande med Europa-Parlamentet og Rådets direktiv 95/46/EF.

(8)

Bestemmelserne om databeskyttelse er også indeholdt i en række særlove om oprettelse og regulering af databaser, nemlig love om regulering af visse offentlige registre (offentlige dokumenter, industriel ejendomsret og varemærker, personlige dokumenter, fast ejendom, minedrift eller kreditoplysninger). Lov nr. 18.331 finder desuden anvendelse på disse dokumenter i forbindelse med forhold, der ikke er reguleret ved disse specifikke retsinstrumenter, jf. forfatningens artikel 332.

(9)

De gældende retsregler om databeskyttelse i Den Østlige Republik Uruguay indeholder alle de grundlæggende principper, der er nødvendige for at sikre et tilstrækkeligt beskyttelsesniveau for fysiske personer, og de indeholder også en række undtagelser og begrænsninger med henblik på at beskytte vigtige offentlige interesser. Disse retsregler om databeskyttelse og undtagelserne afspejler de principper, der er fastsat i direktiv 95/46/EF.

(10)

Anvendelsen af disse retsregler om databeskyttelse sikres gennem adgangen til domstolsprøvelse og administrative klagemuligheder, navnlig »habeas data«-retsmidlet, som giver den registrerede mulighed for at indbringe den registeransvarlige for retten for at håndhæve førstnævntes ret til indsigt i og berigtigelse og sletning af oplysninger, og ved den uafhængige kontrol, der foretages af tilsynsmyndigheden, enheden for regulering af og tilsyn med personoplysninger (Unidad Reguladora y de Control de Datos Personales (URCDP)), som har både undersøgelses- og interventionsbeføjelser i overensstemmelse med artikel 28 i direktiv 95/46/EF, og som fungerer i fuld uafhængighed. Desuden har enhver berørt part ret til at indgive søgsmål til domstolene med henblik på skadeserstatning som følge af ulovlig behandling af den pågældendes personoplysninger.

(11)

Databeskyttelsesmyndighederne i Uruguay har afgivet forklaringer og forsikringer med hensyn til fortolkningen af loven i Uruguay og har meddelt, at de uruguayske bestemmelser om databeskyttelse anvendes i overensstemmelse med denne fortolkning. Databeskyttelsesmyndighederne i Uruguay har bl.a. forklaret, at i henhold til forfatningens artikel 332 finder lov nr. 18.331 anvendelse i tillæg til særlove om oprettelse og regulering af særlige databaser med hensyn til de forhold, der ikke er reguleret af disse særlige retsinstrumenter. De har endvidere præciseret, at hvad angår de fortegnelser, som der henvises til i artikel 9, litra C), i lov nr. 18.331, og som ikke kræver den registreredes samtykke, for at der kan foretages databehandling, finder loven, nemlig proportionalitets- og finalitetsprincippet, også anvendelse på de registreredes rettigheder, og at de er omfattet af databeskyttelsesmyndighedens kontrol. Hvad angår princippet om gennemsigtighed har databeskyttelsesmyndighederne i Uruguay meddelt, at den registrerede i alle tilfælde skal have de nødvendige oplysninger. Hvad angår retten til aktindsigt, har databeskyttelsesmyndigheden præciseret, at det er tilstrækkeligt, at den registrerede på anmodning fremviser dokumentation for sin identitet. Databeskyttelsesmyndighederne i Uruguay har præciseret, at undtagelserne i forbindelse med princippet om internationale videregivelser af oplysninger som fastsat i artikel 23, stk. 1, i lov nr. 18.331 ikke kan tolkes således, at det finder bredere anvendelse end artikel 26, stk. 2, i direktiv 95/46/EF.

(12)

I denne afgørelse tages der hensyn til disse forklaringer og forsikringer, og afgørelsen er baseret på dem.

(13)

Den Østlige Republik Uruguay er også part i den amerikanske menneskerettighedskonvention af 22. november 1969 (»San José de Costa Rica-pagten«), som trådte i kraft den 18. juli 1978 (3). I denne konventions artikel 11 fastsættes retten til privatlivets fred, og i artikel 30 fastsættes det, at de begrænsninger, der i henhold til konventionen kan indføres i nydelsen eller udøvelsen af de rettigheder eller friheder, der anerkendes i konventionen, ikke kan finde anvendelse undtagen i henhold til love, der vedtages af almene hensyn og i overensstemmelse med formålet med indførelsen af begrænsningerne (artikel 30). Den Østlige Republik Uruguay har desuden accepteret Den Interamerikanske Menneskerettighedsdomstols jurisdiktion. På det 1118. møde i Europarådets viceministerudvalg den 6. juli 2011 opfordrede viceministrene desuden Den Østlige Republik Uruguay til at tiltræde konventionen om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (ETS nr. 108) og tillægsprotokollen hertil (ETS nr. 118), efter at det relevante rådgivende udvalg havde afgivet en positiv udtalelse herom (4).

(14)

Den Østlige Republik Uruguay bør derfor betragtes som værende i stand til at sikre et tilstrækkeligt databeskyttelsesniveau i henhold til direktiv 95/46/EF.

(15)

Denne afgørelse vedrører tilstrækkeligheden af den beskyttelse, som Den Østlige Republik Uruguay kan give med henblik på at opfylde kravene i artikel 25, stk. 1, i direktiv 95/46/EF. Den har ingen indvirkning på andre betingelser eller begrænsninger, der finder anvendelse ved gennemførelsen af andre bestemmelser i dette direktiv om behandling af personoplysninger i medlemsstaterne.

(16)

Af hensyn til åbenheden og for at sikre medlemsstaternes ansvarlige myndigheders beføjelser til at beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger er det nødvendigt at specificere, under hvilke særlige omstændigheder det kan være berettiget at suspendere specifik videregivelse af personoplysninger, uanset om det konstateres, at beskyttelsen er tilstrækkelig.

(17)

Kommissionen bør overvåge, hvordan afgørelsen fungerer, og rapportere alle relevante resultater til det udvalg, der er oprettet i henhold til artikel 31 i direktiv 95/46/EF. Denne overvågning bør bl.a. omfatte Den Østlige Republik Uruguays ordning for videregivelse af oplysninger inden for rammerne af internationale traktater.

(18)

Gruppen vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger, der er nedsat ved artikel 29 i direktiv 95/46/EF, har afgivet positiv udtalelse om tilstrækkeligheden af beskyttelsesniveauet, som er taget i betragtning ved gennemførelsen af denne afgørelse (5).

(19)

Foranstaltningerne i denne afgørelse er i overensstemmelse med udtalelse fra det udvalg, der er nedsat ved artikel 31, stk. 1, i direktiv 95/46/EF —

a)

når en ansvarlig myndighed i Uruguay fastslår, at den pågældende modtager overtræder de gældende beskyttelsesprincipper, eller

b)

når der er væsentlig sandsynlighed for, at beskyttelsesnormerne overtrædes; når der er grund til at antage, at den ansvarlige myndighed i Uruguay ikke tager eller ikke agter at tage passende og rettidige skridt for at bringe forholdet i orden; når en videre overførsel af personoplysninger vil kunne skabe overhængende risiko for alvorlig skade for de registrerede; og når de ansvarlige myndigheder i medlemsstaterne, forholdene taget i betragtning, på passende vis har søgt at underrette den person, der er ansvarlig for behandlingen af oplysningerne i Den Østlige Republik Uruguay, og give vedkommende mulighed for at svare.