32003D0490

Komisjoni otsus,

30. juuni 2003,

isikuandmete piisava kaitse kohta Argentiinas vastavalt Euroopa Parlamendi ja nõukogu direktiivile 95/46/EÜ

(EMPs kohaldatav tekst)

(2003/490/EÜ)

EUROOPA ÜHENDUSTE KOMISJON,

võttes arvesse Euroopa Ühenduse asutamislepingut,

võttes arvesse Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta, [1] eriti selle artikli 25 lõiget 6,

ning arvestades järgmist:

(1) Direktiivi 95/46/EÜ kohaselt peavad liikmesriigid sätestama, et isikuandmeid võib kolmandasse riiki edastada üksnes juhul, kui kõnealuses kolmandas riigis on tagatud nende kaitse piisav tase ning enne andmete edastamist järgitakse direktiivi muude sätete rakendamist käsitlevaid liikmesriikide õigusakte.

(2) Komisjon võib jõuda järeldusele, et kolmas riik tagab kaitse piisava taseme. Sel juhul võib liikmesriikidest isikuandmeid edastada ilma lisatagatisteta.

Direktiivi 95/46/EÜ kohaselt tuleb andmekaitse taseme hindamisel silmas pidada kõiki andmete edastamise toimingute või andmete edastamise toimingute kogumi asjaolusid ning pöörata erilist tähelepanu mitmetele elementidele, mis on edastamise jaoks olulised ja mida nimetatakse direktiivi artikli 25 lõikes 2. Direktiivi 95/46/EÜ artikli 29 kohaselt moodustatud töörühm üksikisikute kaitseks seoses isikuandmete töötlemisega on välja andnud selliseid hindamisi käsitlevad juhised. [2]

(4) Kuna kolmandad riigid suhtuvad andmekaitsesse erineval viisil, tuleks hinnata andmekaitse piisavust ning teha ja jõustada kõik direktiivi 95/46/EÜ artikli 25 lõikel 6 põhinevad otsused viisil, mis ei tekitaks meelevaldset või põhjendamatut diskrimineerimist selliste kolmandate riikide vastu või vahel, kus valitsevad samasugused tingimused, või kaubanduse varjatud piiramist, võttes arvesse ühenduse kehtivaid rahvusvahelisi kohustusi.

(5) Argentiinas on isikuandmete kaitse õigusnormid sätestatud üldiste ja sektorispetsiifiliste eeskirjadega. Mõlemad eeskirjad on õiguslikult siduvad.

(6) Üldised eeskirjad on sätestatud põhiseaduses, isikuandmete kaitse seaduses nr 25.326 ja dekreediga nr 1558/2001 heaks kiidetud määruses (edaspidi "Argentiina õigus").

(7) Argentiina põhiseadusega on isikuandmete kaitseks nähtud ette eraldi õiguskaitsevahend nimega habeas data. See on põhiseaduslike õiguste kaitseks põhiseadusega ettenähtud korra alamkategooria, millest tulenevalt on isikuandmete kaitse üks põhiõigusi. Põhiseaduse artikli 43.3 kohaselt on igal isikul habeas data reegli alusel õigus teada kõigi avalik-õiguslikes või aruannete koostamiseks kasutatavates eraõiguslikes registrites või andmepankades sisalduvate temaga seotud andmete sisu ja otstarvet. Kõnealuse artikli kohaselt on isikul valeteabe korral või juhul, kui teavet kasutatakse diskrimineerimiseks, võimalik nõuda eespool osutatud registrites sisalduvate andmete kustutamist, parandamist, konfidentsiaalsust või ajakohastamist. Artikkel ei mõjuta ajakirjandusele teavet esitavate allikate salajasust. Argentiina õigusdogmaatikas on habeas data’t tunnustatud otseselt kohaldatava põhiõigusena.

(8) 4. oktoobri 2000. aasta isikuandmete kaitse seaduses nr 25.326 (edaspidi "seadus") arendatakse ja laiendatakse põhiseaduse sätteid. Seadus sisaldab sätteid, milles käsitletakse üldisi andmekaitse põhimõtteid, andmesubjektide õigusi, andmete kontrollijate ja andmekasutajate kohustusi, järelevalveasutust ja kontrollorganit, sanktsioone ja protseduurireegleid, mida kasutatakse toetudes habeas data’le kui õiguskaitsevahendile.

(9) 3. detsembri 2001. aasta dekreediga nr 1558/2001 heakskiidetud määrusega (edaspidi "määrus") nähakse ette eeskirjad seaduse rakendamiseks, täiendatakse selle sätteid ja selgitatakse seaduse punkte, mida võib tõlgendada erinevalt.

(10) Argentiina õiguses käsitletakse avalikes andmefailides, registrites, andmepankades või muudel tehnilistel kandjatel säilitatavate isikuandmete kaitset ning aruannete koostamiseks kasutatavates eraõiguslikes andmefailides, registrites, andmepankades või muudel tehnilistel kandjatel säilitatavate isikuandmete kaitset. Siia hulka kuuluvad need, mida kasutatakse muul otstarbel kui ainult isiklikuks kasutamiseks, ja need, mis on mõeldud isikuandmete loovutamiseks või edasiandmiseks, olenemata sellest, kas koostatud andmeid või teavet vahendatakse tasu eest või tasuta.

(11) Seaduse teatavaid sätteid kohaldatakse ühtselt kogu Argentiinas. Nende sätete hulka kuuluvad üldised sätted ja sätted, milles käsitletakse üldisi andmekaitse põhimõtteid, andmesubjektide õigusi, andmete kontrollijate ja andmefailide, registrite ja andmepankade kasutajate kohustusi, kriminaalkaristusi ning põhiseadusega loodud õiguskaitsevahendi habeas data olemasolu ja peamisi omadusi.

(12) Muid seaduse sätteid kohaldatakse registrite, andmefailide, andmebaaside või andmepankade suhtes, mis on võrkudega omavahel seotud kohtualluvuste vahelisel (st provintsidevahelisel), siseriiklikul või rahvusvahelisel tasandil ja mida peetakse keskkohtu pädevusse kuuluvaiks. Nad käsitlevad järelevalveasutuse teostatavat kontrolli, järelevalveasutuse kehtestatavaid sanktsioone ja õiguskaitsevahendiga habeas data seotud protseduurireegleid. Muid registreid, andmefaile, andmebaase ja andmepankasid tuleks käsitleda provintside pädevusse kuuluvaina. Provintsid võivad kehtestada neis küsimustes õigussätteid.

(13) Andmekaitset käsitlevaid sätteid sisaldavad ka mitmed õigusaktid, mis reguleerivad erinevaid sektoreid, näiteks krediitkaarditehinguid, statistikat, pangandust ja tervishoidu.

(14) Argentiina õigus hõlmab kõiki üldpõhimõtteid, mis on vajalikud füüsiliste isikute kaitse piisava taseme tagamiseks, kuid samal ajal sätestatakse tähtsate üldiste huvide kaitse eesmärgil ka teatavad erandid ja piirangud. Kõnealuste standardite rakendamine tagatakse lisaks üldistele õiguskaitsevahenditele spetsiaalse lihtsustatud ja kiire isikuandmete kaitse õiguskaitsevahendiga, mille nimi on habeas data. Seaduses on sätestatud sellise andmekaitse kontrollorgani loomine, kelle ülesanne oleks võtta kõik seaduse eesmärkide ja sätete täitmiseks vajalikud meetmed ja kellele oleks antud uurimis- ja sekkumisvolitused. Määruse kohaselt määrati kontrollorganiks isikuandmete kaitse riiklik direktoraat. Argentiina õigusega nähakse ette nii haldusõiguslikud kui ka kriminaalõiguslikud tõhusad hoiatavad sanktsioonid. Peale selle kohaldatakse asjaomastele isikutele kahju tekitanud õigusvastase töötlemise korral Argentiinas kehtivaid (nii lepingulist kui ka lepinguvälist) tsiviilvastutust käsitlevaid sätteid.

(15) Argentiina valitsus on esitanud selgitused ja kinnitused selle kohta, kuidas Argentiina õigust tuleks tõlgendada ning on kinnitanud, et Argentiina andmekaitseeeskirju rakendatakse sellise tõlgendamise kohaselt. Käesolev otsus toetub nimetatud selgitustele ja kinnitustele ning sõltub seega neist. Eelkõige toetub käesolev otsus Argentiina ametiasutuste selgitustele ja kinnitustele selle kohta, kuidas Argentiina õigust tuleb tõlgendada selles osas, millised olukorrad kuuluvad Argentiina andmekaitseseaduse reguleerimisalasse.

(16) Seega tuleks Argentiina lugeda riigiks, kus on tagatud piisav andmekaitse vastavalt direktiivile 95/46/EÜ.

(17) Selguse ja arusaadavuse huvides ning võimaldamaks liikmesriikide pädevatel ametiasutustel tagada üksikisikute kaitset nende isikuandmete töötlemisel, tuleb kindlaks määrata need erandlikud asjaolud, mille korral teatava andmevahetuse peatamine on põhjendatud, olenemata sellest, et andmete kaitsetase on tunnistatud piisavaks.

Direktiivi 95/47/EÜ artikli 29 kohaselt moodustatud töörühm üksikisikute kaitseks seoses isikuandmete töötlemisega on esitanud arvamuse isikuandmete kaitse taseme kohta Argentiinas [3] ning seda arvamust on käesoleva otsuse koostamisel arvesse võetud.

(19) Käesoleva otsusega ettenähtud meetmed on kooskõlas direktiivi 95/46/EÜ artikli 31 lõike 1 alusel loodud komitee arvamusega,

ON VASTU VÕTNUD KÄESOLEVA OTSUSE:

Artikkel 1

Direktiivi 95/46/EÜ artikli 25 lõike 2 rakendamisel loetakse Argentiina riigiks, kus on tagatud ühendusest edastatud isikuandmete kaitse piisav tase.

Artikkel 2

Käesolev otsus käsitleb üksnes Argentiinas tagatava kaitse piisavat taset kooskõlas direktiivi 95/46/EÜ artikli 25 lõike 1 nõuetega ning see ei mõjuta muid selliseid tingimusi või piiranguid, millega rakendatakse kõnealuse direktiivi muid sätteid, mis käsitlevad isikuandmete töötlemist liikmesriikides.

Artikkel 3

1. Ilma et see piiraks liikmesriikide pädevate ametiasutuste volitusi võtta meetmeid selliste siseriiklike sätete järgimise tagamiseks, mis on vastu võetud muude sätete alusel peale direktiivi 95/46/EÜ artikli 25, võivad need ametiasutused järgmistel juhtudel kasutada oma volitusi ka Argentiinas asuvale andmesaajale edastatavate andmete peatamiseks, et tagada üksikisikute kaitse seoses nende isikuandmete töötlemisega:

a) Argentiina pädev ametiasutus on kindlaks teinud, et andmesaaja rikub kehtivaid kaitsenõudeid või

b) on väga tõenäoline, et kaitsenõudeid rikutakse; on põhjust arvata, et Argentiina pädev ametiasutus ei võta ega kavatse võtta õigeaegselt asjakohaseid meetmeid kõnealuse olukorra lahendamiseks; andmeedastuse jätkamine võib kujutada andmesubjektide jaoks vältimatut tõsise kahju ohtu ning liikmesriikide pädevad ametiasutused on asjaolusid arvestades võtnud piisavaid meetmeid Argentiinas asuva töötlemise eest vastutava osapoole teavitamiseks ja andnud talle võimaluse vastata.

Peatamine lõpetatakse kohe, kui on tagatud kaitsenõuete järgimine ning ühenduse asjaomasele pädevale ametiasutusele on sellest teatatud.

2. Liikmesriigid teatavad lõike 1 alusel võetud meetmetest viivitamata komisjonile.

3. Liikmesriigid ja komisjon teatavad üksteisele juhtudest, mil Argentiinas kaitsenõuete järgimise tagamise eest vastutavad organid ei suuda oma tegevuse kaudu nõuete järgimist tagada.

4. Kui lõigete 1, 2 ja 3 kohaselt kogutud teave tõendab, et mõni Argentiinas kaitsenõuete järgimise tagamise eest vastutav organ ei täida oma ülesandeid tõhusalt, teavitab komisjon Argentiina pädevat ametiasutust ning esitab vajaduse korral direktiivi 95/46/EÜ artikli 31 lõikes 2 osutatud korras eelnõud meetmete kohta, mille eesmärk on käesolev otsus kehtetuks tunnistada või peatada või piirata selle reguleerimisala.

Artikkel 4

1. Käesolevat otsust võib alati muuta, pidades silmas tema toimimisega seotud kogemusi või Argentiina õigusaktide muudatusi, nende rakendamist ja tõlgendamist.

Komisjon jälgib kättesaadava teabe alusel käesoleva otsuse toimimist ning esitab direktiivi 95/46/EÜ artikli 31 alusel moodustatud komiteele aruande kõigi asjakohaste avastuste kohta, sealhulgas tõendid, mis võivad mõjutada käesoleva otsuse artiklis 1 esitatud järeldust, et Argentiinas pakutav kaitse on direktiivi 95/46/EÜ artikli 25 tähenduses piisav, ning tõendid selle kohta, et käesolevat otsust rakendatakse diskrimineerival viisil.

2. Komisjon esitab vajaduse korral meetmete eelnõud direktiivi 95/46/EÜ artikli 31 lõikes 2 osutatud korras.

Artikkel 5

Liikmesriigid võtavad kõik käesoleva otsuse järgimiseks vajalikud meetmed hiljemalt 120 päeva möödumisel selle teatavaks tegemisest liikmesriikidele.

Artikkel 6

Käesolev otsus on adresseeritud liikmesriikidele.

Brüssel, 30. juuni 2003

Komisjoni nimel

komisjoni liige

Frederik Bolkestein

[1] EÜT L 281, 23.11.1995, lk 31.

[2] Töörühma 24. juuli 1998. aasta arvamus 12/98: Isikuandmete edastamine kolmandatesse riikidesse: Euroopa Liidu andmekaitsedirektiivi (DG MARKT D/5025/98) artiklite 25 ja 26 rakendamine, mis on kättesaadav Euroopa Komisjoni hallataval veebilehel Europa:

- http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wpdocs_98.htm.

[3] Arvamus 4/2002 isikuandmete kaitse taseme kohta Argentiinas, 3. oktoobri 2002. aasta WP 63, mis on kättesaadav veebilehel

- http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wpdocs_98.htm.

--------------------------------------------------