|
17.12.2016 |
FI |
Euroopan unionin virallinen lehti |
L 344/83 |
KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS (EU) 2016/2295,
annettu 16 päivänä joulukuuta 2016,
Euroopan parlamentin ja neuvoston direktiivin 95/46/EY 25 artiklan 6 kohdan nojalla eräiden maiden tarjoaman henkilötietojen suojan riittävyydestä annettujen päätösten 2000/518/EY, 2002/2/EY, 2003/490/EY, 2003/821/EY, 2004/411/EY, 2008/393/EY, 2010/146/EU, 2010/625/EU, 2011/61/EU ja täytäntöönpanopäätösten 2012/484/EU ja 2013/65/EU muuttamisesta
(tiedoksiannettu numerolla C(2016) 8353)
(ETA:n kannalta merkityksellinen teksti)
EUROOPAN KOMISSIO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,
ottaa huomioon yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (1) ja erityisesti sen 25 artiklan 6 kohdan,
on kuullut Euroopan tietosuojavaltuutettua,
sekä katsoo seuraavaa:
|
(1) |
Unionin tuomioistuin katsoi 6 päivänä lokakuuta 2015 asiassa C-362/14, Maximillian Schrems v. Data Protection Commissioner (2), antamassaan tuomiossa, että päätöksen 2000/520/EY (3) 3 artiklalla komissio on ylittänyt toimivallan, joka sille annetaan direktiivin 95/46/EY 25 artiklan 6 kohdassa, luettuna Euroopan unionin perusoikeuskirjan valossa, ja totesi kyseisen päätöksen 3 artiklan olevan pätemätön. |
|
(2) |
Päätöksen 2000/520/EY 3 artiklan 1 kohdan ensimmäisessä alakohdassa vahvistettiin rajoittavia edellytyksiä, joiden nojalla kansalliset valvontaviranomaiset voivat päättää keskeyttää yhdysvaltalaiselle oman varmennuksensa antaneelle yritykselle suunnatut tiedonsiirrot, riippumatta tietosuojan tason riittävyyttä koskevasta komission päätöksestä. |
|
(3) |
Asiassa Schrems antamassaan tuomiossa unionin tuomioistuin selvensi, että kansallisilla valvontaviranomaisilla on edelleen toimivalta valvoa henkilötietojen siirtoa kolmanteen maahan, josta on tehty tietosuojan riittävyyttä koskeva komission päätös, ja että komissiolla ei ole toimivaltaa rajoittaa niiden direktiivin 95/46/EY 28 artiklan mukaisia valtuuksia. Kyseisen artiklan mukaisesti näillä viranomaisilla on muun muassa tutkintavaltuudet, kuten valtuudet kerätä kaikki valvontatehtävänsä suorittamiseksi tarvittavat tiedot, tehokkaat toimintavaltuudet, kuten valtuudet kieltää tietojen käsittely väliaikaisesti tai lopullisesti, ja valtuudet panna vireille oikeustoimia. (4) |
|
(4) |
Unionin tuomioistuin muistutti asiassa Schrems antamassaan tuomiossa, että direktiivin 95/46/EY 25 artiklan 6 kohdan toisen alakohdan mukaisesti jäsenvaltioiden ja niiden elinten on toteutettava tarvittavat toimenpiteet noudattaakseen unionin toimielinten säädöksiä, sillä toimenpiteitä koskee pääsääntöisesti lainmukaisuusolettama, ja niillä on näin ollen oikeusvaikutuksia niin kauan kuin niitä ei ole peruutettu, kumottu kumoamiskanteen johdosta tai todettu pätemättömiksi ennakkoratkaisupyynnön tai lainvastaisuusväitteen seurauksena. |
|
(5) |
Näin ollen direktiivin 95/46/EY 25 artiklan 6 kohdan nojalla annettu tietosuojan tason riittävyyttä koskeva komission päätös sitoo kaikkia elimiä jäsenvaltioissa, joille se on osoitettu, mukaan lukien niiden riippumattomat valvontaviranomaiset, siltä osin kuin sen vaikutuksesta henkilötietoja on sallittua siirtää jäsenvaltioista kyseisen päätöksen kohteena olevaan kolmanteen maahan. (5) Tästä seuraa, että kansalliset valvontaviranomaiset eivät voi toteuttaa toimenpiteitä, jotka ovat ristiriidassa tietosuojan tason riittävyyttä koskevan komission päätöksen kanssa, kuten toimia, joilla todettaisiin tällaisen päätöksen riittämättömyys, tai toimia, joilla olisi tarkoitus todeta sitovasti, ettei päätöksen kohteena oleva kolmas maa takaa tietosuojan riittävää tasoa. Kuten asiassa Schrems annetussa tuomiossa selvennetään, tämä ei estä kansallista valvontaviranomaista tutkimasta henkilön esittämää vaatimusta, joka koskee henkilötietojen suojan tasoa kolmannessa maassa, josta komissio on antanut tietosuojan tason riittävyyttä koskevan päätöksen, ja viranomaisen pitäessä vaatimusta perusteltuna panemasta vireille oikeustoimia kansallisissa tuomioistuimissa, jotta nämä voisivat, mikäli ne kyseisen viranomaisen tavoin epäilevät komission päätöksen pätevyyttä, pyytää ennakkoratkaisua päätöksen pätevyyden tutkimiseksi. (6) |
|
(6) |
Komission päätöksissä 2000/518/EY (7), 2002/2/EY (8), 2003/490/EY (9), 2003/821/EY (10), 2004/411/EY (11), 2008/393/EY (12), 2010/146/EU (13), 2010/625/EU (14), 2011/61/EU (15) ja komission täytäntöönpanopäätöksissä 2012/484/EU (16) ja 2013/65/EU (17), jotka ovat tietosuojan tason riittävyyttä koskevia päätöksiä, rajoitetaan kansallisten valvontaviranomaisten valtuuksia vastaavalla tavalla kuin päätöksen 2000/520/EY 3 artiklan 1 kohdan ensimmäisessä alakohdassa, jonka unionin tuomioistuin katsoi pätemättömäksi. |
|
(7) |
Sen vuoksi kyseisten päätösten säännökset, joissa rajoitetaan kansallisten valvontaviranomaisten valtuuksia, olisi korvattava asiassa Schrems annetun tuomion perusteella ja perussopimuksen 266 artiklan nojalla. |
|
(8) |
Unionin tuomioistuin selvensi asiassa Schrems annetussa tuomiossa myös, että kolmannen maan takaama tietosuojan taso voi muuttua, joten komission asiana on direktiivin 95/46/EY 25 artiklan 6 kohtaan perustuvan päätöksen tekemisen jälkeen tarkastaa säännöllisin väliajoin, onko kyseessä olevan kolmannen maan takaamasta tietosuojan riittävästä tasosta tehty toteamus edelleen perusteltu tosiasiallisesti ja oikeudellisesti. (18) Tuomiossa esitettyjen, viranomaisten pääsyä henkilötietoihin koskevien toteamusten perusteella myös tällaista pääsyä koskevia sääntöjä ja käytäntöjä olisi valvottava. |
|
(9) |
Sen vuoksi komissio seuraa jatkuvasti niiden maiden, joiden osalta se on tehnyt tietosuojan tason riittävyyttä koskevan päätöksen, oikeussääntöjen ja käytäntöjen kehitystä, joka voi vaikuttaa tällaisten päätösten toimivuuteen, mukaan lukien kehitystä, joka koskee viranomaisten pääsyä henkilötietoihin. |
|
(10) |
Jotta helpotetaan tällä hetkellä voimassa olevien tietosuojan tason riittävyyttä koskevien päätösten toimivuuden tehokasta valvontaa, jäsenvaltioiden olisi ilmoitettava komissiolle kansallisten valvontaviranomaisten toteuttamista asiaankuuluvista toimista. |
|
(11) |
Direktiivin 95/46/EY 29 artiklalla perustettu tietosuojatyöryhmä on antanut lausunnon, ja lausunto on otettu huomioon tämän päätöksen valmistelussa. |
|
(12) |
Tässä päätöksessä säädetyt toimenpiteet ovat direktiivin 95/46/EY 31 artiklan 1 kohdalla perustetun komitean lausunnon mukaiset. |
|
(13) |
Sen vuoksi olisi muutettava päätöksiä 2000/518/EY, 2002/2/EY, 2003/490/EY, 2003/821/EY, 2004/411/EY, 2008/393/EY, 2010/146/EU, 2010/625/EU, 2011/61/EU ja täytäntöönpanopäätöksiä 2012/484/EU ja 2013/65/EU, |
ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:
1 artikla
Muutetaan päätös 2000/518/EY seuraavasti:
|
1) |
Korvataan 3 artikla seuraavasti: ”3 artikla Silloin kun jonkin jäsenvaltion toimivaltaiset viranomaiset käyttävät toimivaltuuksiaan direktiivin 95/46/EY 28 artiklan 3 kohdan mukaisesti keskeyttääkseen Sveitsiin suuntautuvat tiedonsiirrot tai kieltääkseen ne lopullisesti yksilöiden suojelemiseksi heidän henkilötietojensa käsittelyssä, asianomaisen jäsenvaltion on viipymättä ilmoitettava asiasta komissiolle, joka välittää tiedon edelleen muille jäsenvaltioille.” |
|
2) |
Lisätään 3 a artikla seuraavasti: ”3 a artikla 1. Komissio seuraa jatkuvasti Sveitsin oikeusjärjestyksen kehitystä, joka saattaa vaikuttaa tämän päätöksen toimivuuteen, mukaan lukien kehitystä, joka koskee viranomaisten pääsyä henkilötietoihin, arvioidakseen, turvaako Sveitsi edelleen henkilötietojen suojan riittävän tason. 2. Jäsenvaltiot ja komissio tiedottavat toisilleen tapauksista, joissa tietosuojavaatimusten noudattamisesta Sveitsissä vastaavat elimet eivät pysty varmistamaan vaatimusten noudattamista. 3. Jäsenvaltiot ja komissio ilmoittavat toisilleen mahdollisista havainnoista, joiden mukaan kansallisesta turvallisuudesta, lainvalvonnasta tai muusta yleisestä edusta vastaavat Sveitsin viranomaiset puuttuisivat henkilötietojen suojaa koskevaan oikeuteen enemmän kuin on ehdottoman välttämätöntä tai tällaista oikeuteen puuttumista vastaan ei ole tehokasta oikeussuojaa. 4. Jos todisteet osoittavat, että tietosuojan riittävää tasoa ei enää turvata, mukaan lukien tämän artiklan 2 ja 3 kohdassa tarkoitetuissa tilanteissa, komissio tiedottaa asiasta Sveitsin toimivaltaiselle viranomaiselle ja esittää tarvittaessa direktiivin 95/46/EY 31 artiklan 2 kohdassa tarkoitetun menettelyn mukaisesti ehdotuksia toimenpiteistä, joiden tarkoituksena on kumota tämä päätös tai lykätä sen soveltamista taikka rajoittaa sen soveltamisalaa.” |
2 artikla
Muutetaan päätös 2002/2/EY seuraavasti:
|
1) |
Korvataan 3 artikla seuraavasti: ”3 artikla Silloin kun jonkin jäsenvaltion toimivaltaiset viranomaiset käyttävät toimivaltuuksiaan direktiivin 95/46/EY 28 artiklan 3 kohdan mukaisesti keskeyttääkseen sellaiselle Kanadassa sijaitsevalle vastaanottajalle suunnatut tiedonsiirrot, jonka toiminta kuuluu henkilötietojen suojaa ja sähköisiä asiakirjoja koskevan lain soveltamisalaan, tai kieltääkseen ne lopullisesti yksilöiden suojelemiseksi heidän henkilötietojensa käsittelyssä, asianomaisen jäsenvaltion on viipymättä ilmoitettava asiasta komissiolle, joka välittää tiedon edelleen muille jäsenvaltioille.” |
|
2) |
Lisätään 3 a artikla seuraavasti: ”3 a artikla 1. Komissio seuraa jatkuvasti Kanadan oikeusjärjestyksen kehitystä, joka saattaa vaikuttaa tämän päätöksen toimivuuteen, mukaan lukien kehitystä, joka koskee viranomaisten pääsyä henkilötietoihin, arvioidakseen, turvaako Kanada edelleen henkilötietojen suojan riittävän tason. 2. Jäsenvaltiot ja komissio tiedottavat toisilleen tapauksista, joissa tietosuojavaatimusten noudattamisesta Kanadassa vastaavat elimet eivät pysty varmistamaan vaatimusten noudattamista. 3. Jäsenvaltiot ja komissio ilmoittavat toisilleen mahdollisista havainnoista, joiden mukaan kansallisesta turvallisuudesta, lainvalvonnasta tai muusta yleisestä edusta vastaavat Kanadan viranomaiset puuttuisivat henkilötietojen suojaa koskevaan oikeuteen enemmän kuin on ehdottoman välttämätöntä tai tällaista oikeuteen puuttumista vastaan ei ole tehokasta oikeussuojaa. 4. Jos todisteet osoittavat, että tietosuojan riittävää tasoa ei enää turvata, mukaan lukien tämän artiklan 2 ja 3 kohdan soveltamisalaan kuuluvissa tilanteissa, komissio tiedottaa asiasta Kanadan toimivaltaiselle viranomaiselle ja esittää tarvittaessa direktiivin 95/46/EY 31 artiklan 2 kohdassa tarkoitetun menettelyn mukaisesti ehdotuksia toimenpiteistä, joiden tarkoituksena on kumota tämä päätös tai lykätä sen soveltamista taikka rajoittaa sen soveltamisalaa.” |
3 artikla
Muutetaan päätös 2003/490/EY seuraavasti:
|
1) |
Korvataan 3 artikla seuraavasti: ”3 artikla Silloin kun jonkin jäsenvaltion toimivaltaiset viranomaiset käyttävät toimivaltuuksiaan direktiivin 95/46/EY 28 artiklan 3 kohdan mukaisesti keskeyttääkseen Argentiinaan suuntautuvat tiedonsiirrot tai kieltääkseen ne lopullisesti yksilöiden suojelemiseksi heidän henkilötietojensa käsittelyssä, asianomaisen jäsenvaltion on viipymättä ilmoitettava asiasta komissiolle, joka välittää tiedon edelleen muille jäsenvaltioille.” |
|
2) |
Lisätään 3 a artikla seuraavasti: ”3 a artikla 1. Komissio seuraa jatkuvasti Argentiinan oikeusjärjestyksen kehitystä, joka saattaa vaikuttaa tämän päätöksen toimivuuteen, mukaan lukien kehitystä, joka koskee viranomaisten pääsyä henkilötietoihin, arvioidakseen, turvaako Argentiina edelleen henkilötietojen suojan riittävän tason. 2. Jäsenvaltiot ja komissio tiedottavat toisilleen tapauksista, joissa tietosuojavaatimusten noudattamisesta Argentiinassa vastaavat elimet eivät pysty varmistamaan vaatimusten noudattamista. 3. Jäsenvaltiot ja komissio ilmoittavat toisilleen mahdollisista havainnoista, joiden mukaan kansallisesta turvallisuudesta, lainvalvonnasta tai muusta yleisestä edusta vastaavat Argentiinan viranomaiset puuttuisivat henkilötietojen suojaa koskevaan oikeuteen enemmän kuin on ehdottoman välttämätöntä tai tällaista oikeuteen puuttumista vastaan ei ole tehokasta oikeussuojaa. 4. Jos todisteet osoittavat, että tietosuojan riittävää tasoa ei enää turvata, mukaan lukien tämän artiklan 2 ja 3 kohdassa tarkoitetuissa tilanteissa, komissio tiedottaa asiasta Argentiinan toimivaltaiselle viranomaiselle ja esittää tarvittaessa direktiivin 95/46/EY 31 artiklan 2 kohdassa tarkoitetun menettelyn mukaisesti ehdotuksia toimenpiteistä, joiden tarkoituksena on kumota tämä päätös tai lykätä sen soveltamista taikka rajoittaa sen soveltamisalaa.” |
4 artikla
Komission päätöksen 2003/821/EY 3 ja 4 artikla korvataan seuraavasti:
”3 artikla
1. Silloin kun jonkin jäsenvaltion toimivaltaiset viranomaiset käyttävät toimivaltuuksiaan direktiivin 95/46/EY 28 artiklan 3 kohdan mukaisesti keskeyttääkseen Guernseyn hallintoalueelle suuntautuvat tiedonsiirrot tai kieltääkseen ne lopullisesti yksilöiden suojelemiseksi heidän henkilötietojensa käsittelyssä, asianomaisen jäsenvaltion on viipymättä ilmoitettava asiasta komissiolle, joka välittää tiedon edelleen muille jäsenvaltioille.
4 artikla
1. Komissio seuraa jatkuvasti Guernseyn oikeusjärjestyksen kehitystä, joka saattaa vaikuttaa tämän päätöksen toimivuuteen, mukaan lukien kehitystä, joka koskee viranomaisten pääsyä henkilötietoihin, arvioidakseen, turvaako Guernsey edelleen henkilötietojen suojan riittävän tason.
2. Jäsenvaltiot ja komissio tiedottavat toisilleen tapauksista, joissa tietosuojavaatimusten noudattamisesta Guernseyssä vastaavat elimet eivät pysty varmistamaan vaatimusten noudattamista.
3. Jäsenvaltiot ja komissio ilmoittavat toisilleen mahdollisista havainnoista, joiden mukaan kansallisesta turvallisuudesta, lainvalvonnasta tai muusta yleisestä edusta vastaavat Guernseyn viranomaiset puuttuisivat henkilötietojen suojaa koskevaan oikeuteen enemmän kuin on ehdottoman välttämätöntä tai tällaista oikeuteen puuttumista vastaan ei ole tehokasta oikeussuojaa.
4. Jos todisteet osoittavat, että tietosuojan riittävää tasoa ei enää turvata, mukaan lukien tämän artiklan 2 ja 3 kohdassa tarkoitetuissa tilanteissa, komissio tiedottaa asiasta Guernseyn toimivaltaiselle viranomaiselle ja esittää tarvittaessa direktiivin 95/46/EY 31 artiklan 2 kohdassa tarkoitetun menettelyn mukaisesti ehdotuksia toimenpiteistä, joiden tarkoituksena on kumota tämä päätös tai lykätä sen soveltamista taikka rajoittaa sen soveltamisalaa.”
5 artikla
Komission päätöksen 2004/411/EY 3 ja 4 artikla korvataan seuraavasti:
”3 artikla
Silloin kun jonkin jäsenvaltion toimivaltaiset viranomaiset käyttävät toimivaltuuksiaan direktiivin 95/46/EY 28 artiklan 3 kohdan mukaisesti keskeyttääkseen Mansaareen suuntautuvat tiedonsiirrot tai kieltääkseen ne lopullisesti yksilöiden suojelemiseksi heidän henkilötietojensa käsittelyssä, asianomaisen jäsenvaltion on viipymättä ilmoitettava asiasta komissiolle, joka välittää tiedon edelleen muille jäsenvaltioille.
4 artikla
1. Komissio seuraa jatkuvasti Mansaaren oikeusjärjestyksen kehitystä, joka saattaa vaikuttaa tämän päätöksen toimivuuteen, mukaan lukien kehitystä, joka koskee viranomaisten pääsyä henkilötietoihin, arvioidakseen, turvaako Mansaari edelleen henkilötietojen suojan riittävän tason.
2. Jäsenvaltiot ja komissio tiedottavat toisilleen tapauksista, joissa tietosuojavaatimusten noudattamisesta Mansaaressa vastaavat elimet eivät pysty varmistamaan vaatimusten noudattamista.
3. Jäsenvaltiot ja komissio ilmoittavat toisilleen mahdollisista havainnoista, joiden mukaan kansallisesta turvallisuudesta, lainvalvonnasta tai muusta yleisestä edusta vastaavat Mansaaren viranomaiset puuttuisivat henkilötietojen suojaa koskevaan oikeuteen enemmän kuin on ehdottoman välttämätöntä tai tällaista oikeuteen puuttumista vastaan ei ole tehokasta oikeussuojaa.
4. Jos todisteet osoittavat, että tietosuojan riittävää tasoa ei enää turvata, mukaan lukien tämän artiklan 2 ja 3 kohdassa tarkoitetuissa tilanteissa, komissio tiedottaa asiasta Mansaaren toimivaltaiselle viranomaiselle ja esittää tarvittaessa direktiivin 95/46/EY 31 artiklan 2 kohdassa tarkoitetun menettelyn mukaisesti ehdotuksia toimenpiteistä, joiden tarkoituksena on kumota tämä päätös tai lykätä sen soveltamista taikka rajoittaa sen soveltamisalaa.”
6 artikla
Komission päätöksen 2008/393/EY 3 ja 4 artikla korvataan seuraavasti:
”3 artikla
Silloin kun jonkin jäsenvaltion toimivaltaiset viranomaiset käyttävät toimivaltuuksiaan direktiivin 95/46/EY 28 artiklan 3 kohdan mukaisesti keskeyttääkseen Jerseyyn suuntautuvat tiedonsiirrot tai kieltääkseen ne lopullisesti yksilöiden suojelemiseksi heidän henkilötietojensa käsittelyssä, asianomaisen jäsenvaltion on viipymättä ilmoitettava asiasta komissiolle, joka välittää tiedon edelleen muille jäsenvaltioille.
4 artikla
1. Komissio seuraa jatkuvasti Jerseyn oikeusjärjestyksen kehitystä, joka saattaa vaikuttaa tämän päätöksen toimivuuteen, mukaan lukien kehitystä, joka koskee viranomaisten pääsyä henkilötietoihin, arvioidakseen, turvaako Jersey edelleen henkilötietojen suojan riittävän tason.
2. Jäsenvaltiot ja komissio tiedottavat toisilleen tapauksista, joissa tietosuojavaatimusten noudattamisesta Jerseyssä vastaavat elimet eivät pysty varmistamaan vaatimusten noudattamista.
3. Jäsenvaltiot ja komissio ilmoittavat toisilleen mahdollisista havainnoista, joiden mukaan kansallisesta turvallisuudesta, lainvalvonnasta tai muusta yleisestä edusta vastaavat Jerseyn viranomaiset puuttuisivat henkilötietojen suojaa koskevaan oikeuteen enemmän kuin on ehdottoman välttämätöntä tai tällaista oikeuteen puuttumista vastaan ei ole tehokasta oikeussuojaa.
4. Jos todisteet osoittavat, että tietosuojan riittävää tasoa ei enää turvata, mukaan lukien tämän artiklan 2 ja 3 kohdassa tarkoitetuissa tilanteissa, komissio tiedottaa asiasta Jerseyn toimivaltaiselle viranomaiselle ja esittää tarvittaessa direktiivin 95/46/EY 31 artiklan 2 kohdassa tarkoitetun menettelyn mukaisesti ehdotuksia toimenpiteistä, joiden tarkoituksena on kumota tämä päätös tai lykätä sen soveltamista taikka rajoittaa sen soveltamisalaa.”
7 artikla
Komission päätöksen 2010/146/EU 3 ja 4 artikla korvataan seuraavasti:
”3 artikla
Silloin kun jonkin jäsenvaltion toimivaltaiset viranomaiset käyttävät toimivaltuuksiaan direktiivin 95/46/EY 28 artiklan 3 kohdan mukaisesti keskeyttääkseen sellaiselle Färsaarilla sijaitsevalle vastaanottajalle suunnatut tiedonsiirrot, jonka toiminta kuuluu henkilötietojen käsittelystä annetun Färsaarten lain soveltamisalaan, tai kieltääkseen ne lopullisesti yksilöiden suojelemiseksi heidän henkilötietojensa käsittelyssä, asianomaisen jäsenvaltion on viipymättä ilmoitettava asiasta komissiolle, joka välittää tiedon edelleen muille jäsenvaltioille.
4 artikla
1. Komissio seuraa jatkuvasti Färsaarten oikeusjärjestyksen kehitystä, joka saattaa vaikuttaa tämän päätöksen toimivuuteen, mukaan lukien kehitystä, joka koskee viranomaisten pääsyä henkilötietoihin, arvioidakseen, turvaako Färsaaret edelleen henkilötietojen suojan riittävän tason.
2. Jäsenvaltiot ja komissio tiedottavat toisilleen tapauksista, joissa tietosuojavaatimusten noudattamisesta Färsaarilla vastaavat elimet eivät pysty varmistamaan vaatimusten noudattamista.
3. Jäsenvaltiot ja komissio ilmoittavat toisilleen mahdollisista havainnoista, joiden mukaan kansallisesta turvallisuudesta, lainvalvonnasta tai muusta yleisestä edusta vastaavat Färsaarten viranomaiset puuttuisivat henkilötietojen suojaa koskevaan oikeuteen enemmän kuin on ehdottoman välttämätöntä tai tällaista oikeuteen puuttumista vastaan ei ole tehokasta oikeussuojaa.
4. Jos todisteet osoittavat, että tietosuojan riittävää tasoa ei enää turvata, mukaan lukien tämän artiklan 2 ja 3 kohdassa tarkoitetuissa tilanteissa, komissio tiedottaa asiasta Färsaarten toimivaltaiselle viranomaiselle ja esittää tarvittaessa direktiivin 95/46/EY 31 artiklan 2 kohdassa tarkoitetun menettelyn mukaisesti ehdotuksia toimenpiteistä, joiden tarkoituksena on kumota tämä päätös tai lykätä sen soveltamista taikka rajoittaa sen soveltamisalaa.”
8 artikla
Komission päätöksen 2010/625/EU 3 ja 4 artikla korvataan seuraavasti:
”3 artikla
Silloin kun jonkin jäsenvaltion toimivaltaiset viranomaiset käyttävät toimivaltuuksiaan direktiivin 95/46/EY 28 artiklan 3 kohdan mukaisesti keskeyttääkseen Andorraan suuntautuvat tiedonsiirrot tai kieltääkseen ne lopullisesti yksilöiden suojelemiseksi heidän henkilötietojensa käsittelyssä, asianomaisen jäsenvaltion on viipymättä ilmoitettava asiasta komissiolle, joka välittää tiedon edelleen muille jäsenvaltioille.
4 artikla
1. Komissio seuraa jatkuvasti Andorran oikeusjärjestyksen kehitystä, joka saattaa vaikuttaa tämän päätöksen toimivuuteen, mukaan lukien kehitystä, joka koskee viranomaisten pääsyä henkilötietoihin, arvioidakseen, turvaako Andorra edelleen henkilötietojen suojan riittävän tason.
2. Jäsenvaltiot ja komissio tiedottavat toisilleen tapauksista, joissa tietosuojavaatimusten noudattamisesta Andorrassa vastaavat elimet eivät pysty varmistamaan vaatimusten noudattamista.
3. Jäsenvaltiot ja komissio ilmoittavat toisilleen mahdollisista havainnoista, joiden mukaan kansallisesta turvallisuudesta, lainvalvonnasta tai muusta yleisestä edusta vastaavat Andorran viranomaiset puuttuisivat henkilötietojen suojaa koskevaan oikeuteen enemmän kuin on ehdottoman välttämätöntä tai tällaista oikeuteen puuttumista vastaan ei ole tehokasta oikeussuojaa.
4. Jos todisteet osoittavat, että tietosuojan riittävää tasoa ei enää turvata, mukaan lukien tämän artiklan 2 ja 3 kohdassa tarkoitetuissa tilanteissa, komissio tiedottaa asiasta Andorran toimivaltaiselle viranomaiselle ja esittää tarvittaessa direktiivin 95/46/EY 31 artiklan 2 kohdassa tarkoitetun menettelyn mukaisesti ehdotuksia toimenpiteistä, joiden tarkoituksena on kumota tämä päätös tai lykätä sen soveltamista taikka rajoittaa sen soveltamisalaa.”
9 artikla
Komission päätöksen 2011/61/EU 3 ja 4 artikla korvataan seuraavasti:
”3 artikla
Silloin kun jonkin jäsenvaltion toimivaltaiset viranomaiset käyttävät toimivaltuuksiaan direktiivin 95/46/EY 28 artiklan 3 kohdan mukaisesti keskeyttääkseen Israelin valtioon suuntautuvat tiedonsiirrot tai kieltääkseen ne lopullisesti yksilöiden suojelemiseksi heidän henkilötietojensa käsittelyssä, asianomaisen jäsenvaltion on viipymättä ilmoitettava asiasta komissiolle, joka välittää tiedon edelleen muille jäsenvaltioille.
4 artikla
1. Komissio seuraa jatkuvasti Israelin oikeusjärjestyksen kehitystä, joka saattaa vaikuttaa tämän päätöksen toimivuuteen, mukaan lukien kehitystä, joka koskee viranomaisten pääsyä henkilötietoihin, arvioidakseen, turvaako Israelin valtio edelleen henkilötietojen suojan riittävän tason.
2. Jäsenvaltiot ja komissio tiedottavat toisilleen tapauksista, joissa tietosuojavaatimusten noudattamisesta Israelin valtiossa vastaavat elimet eivät pysty varmistamaan vaatimusten noudattamista.
3. Jäsenvaltiot ja komissio ilmoittavat toisilleen mahdollisista havainnoista, joiden mukaan kansallisesta turvallisuudesta, lainvalvonnasta tai muusta yleisestä edusta vastaavat Israelin viranomaiset puuttuisivat henkilötietojen suojaa koskevaan oikeuteen enemmän kuin on ehdottoman välttämätöntä tai tällaista oikeuteen puuttumista vastaan ei ole tehokasta oikeussuojaa.
4. Jos todisteet osoittavat, että tietosuojan riittävää tasoa ei enää turvata, mukaan lukien tämän artiklan 2 ja 3 kohdassa tarkoitetuissa tilanteissa, komissio tiedottaa asiasta Israelin toimivaltaiselle viranomaiselle ja esittää tarvittaessa direktiivin 95/46/EY 31 artiklan 2 kohdassa tarkoitetun menettelyn mukaisesti ehdotuksia toimenpiteistä, joiden tarkoituksena on kumota tämä päätös tai lykätä sen soveltamista taikka rajoittaa sen soveltamisalaa.”
10 artikla
Komission täytäntöönpanopäätöksen 2012/484/EU 2 ja 3 artikla korvataan seuraavasti:
”2 artikla
Silloin kun jonkin jäsenvaltion toimivaltaiset viranomaiset käyttävät toimivaltuuksiaan direktiivin 95/46/EY 28 artiklan 3 kohdan mukaisesti keskeyttääkseen Uruguayn itäiseen tasavaltaan suuntautuvat tiedonsiirrot tai kieltääkseen ne lopullisesti yksilöiden suojelemiseksi heidän henkilötietojensa käsittelyssä, asianomaisen jäsenvaltion on viipymättä ilmoitettava asiasta komissiolle, joka välittää tiedon edelleen muille jäsenvaltioille.
3 artikla
1. Komissio seuraa jatkuvasti Uruguayn itäisen tasavallan oikeusjärjestyksen kehitystä, joka saattaa vaikuttaa tämän päätöksen toimivuuteen, mukaan lukien kehitystä, joka koskee viranomaisten pääsyä henkilötietoihin, arvioidakseen, turvaako Uruguayn itäinen tasavalta edelleen henkilötietojen suojan riittävän tason.
2. Jäsenvaltiot ja komissio tiedottavat toisilleen tapauksista, joissa tietosuojavaatimusten noudattamisesta Uruguayn itäisessä tasavallassa vastaavat elimet eivät pysty varmistamaan vaatimusten noudattamista.
3. Jäsenvaltiot ja komissio ilmoittavat toisilleen mahdollisista havainnoista, joiden mukaan kansallisesta turvallisuudesta, lainvalvonnasta tai muusta yleisestä edusta vastaavat Uruguayn viranomaiset puuttuisivat henkilötietojen suojaa koskevaan oikeuteen enemmän kuin on ehdottoman välttämätöntä tai tällaista oikeuteen puuttumista vastaan ei ole tehokasta oikeussuojaa.
4. Jos todisteet osoittavat, että tietosuojan riittävää tasoa ei enää turvata, mukaan lukien 2 ja 3 kohdassa tarkoitetuissa tilanteissa, komissio tiedottaa asiasta Uruguayn toimivaltaiselle viranomaiselle ja esittää tarvittaessa direktiivin 95/46/EY 31 artiklan 2 kohdassa tarkoitetun menettelyn mukaisesti ehdotuksia toimenpiteistä, joiden tarkoituksena on kumota tämä päätös tai lykätä sen soveltamista taikka rajoittaa sen soveltamisalaa.”
11 artikla
Komission täytäntöönpanopäätöksen 2013/65/EU 2 ja 3 artikla korvataan seuraavasti:
”2 artikla
Silloin kun jonkin jäsenvaltion toimivaltaiset viranomaiset käyttävät toimivaltuuksiaan direktiivin 95/46/EY 28 artiklan 3 kohdan mukaisesti keskeyttääkseen Uuteen-Seelantiin suuntautuvat tiedonsiirrot tai kieltääkseen ne lopullisesti yksilöiden suojelemiseksi heidän henkilötietojensa käsittelyssä, asianomaisen jäsenvaltion on viipymättä ilmoitettava asiasta komissiolle, joka välittää tiedon edelleen muille jäsenvaltioille.
3 artikla
1. Komissio seuraa jatkuvasti Uuden-Seelannin oikeusjärjestyksen kehitystä, joka saattaa vaikuttaa tämän päätöksen toimivuuteen, mukaan lukien kehitystä, joka koskee viranomaisten pääsyä henkilötietoihin, arvioidakseen, turvaako Uusi-Seelanti edelleen henkilötietojen suojan riittävän tason.
2. Jäsenvaltiot ja komissio tiedottavat toisilleen tapauksista, joissa tietosuojavaatimusten noudattamisesta Uudessa-Seelannissa vastaavat elimet eivät pysty varmistamaan vaatimusten noudattamista.
3. Jäsenvaltiot ja komissio ilmoittavat toisilleen mahdollisista havainnoista, joiden mukaan kansallisesta turvallisuudesta, lainvalvonnasta tai muusta yleisestä edusta vastaavat Uuden-Seelannin viranomaiset puuttuisivat henkilötietojen suojaa koskevaan oikeuteen enemmän kuin on ehdottoman välttämätöntä tai tällaista oikeuteen puuttumista vastaan ei ole tehokasta oikeussuojaa.
4. Jos todisteet osoittavat, että tietosuojan riittävää tasoa ei enää turvata, mukaan lukien tämän artiklan 2 ja 3 kohdassa tarkoitetuissa tilanteissa, komissio tiedottaa asiasta Uuden-Seelannin toimivaltaiselle viranomaiselle ja esittää tarvittaessa direktiivin 95/46/EY 31 artiklan 2 kohdassa tarkoitetun menettelyn mukaisesti ehdotuksia toimenpiteistä, joiden tarkoituksena on kumota tämä päätös tai lykätä sen soveltamista taikka rajoittaa sen soveltamisalaa.”
12 artikla
Tämä päätös on osoitettu kaikille jäsenvaltioille.
Tehty Brysselissä 16 päivänä joulukuuta 2016.
Komission puolesta
Věra JOUROVÁ
Komission jäsen
(1) EYVL L 281, 23.11.1995, s. 31.
(2) ECLI:EU:C:2015:650.
(3) Komission päätös 2000/520/EY, tehty 26 päivänä heinäkuuta 2000, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisesti yksityisyyden suojaa koskevien safe harbor -periaatteiden antaman suojan riittävyydestä ja niihin liittyvistä Yhdysvaltojen kauppaministeriön julkaisemista tavallisimmista kysymyksistä (EYVL L 215, 25.8.2000, s. 7).
(4) Tuomio asiassa Schrems, 40 kohta ja sitä seuraavat kohdat, 101–103 kohta.
(5) Tuomio asiassa Schrems, 51, 52 ja 62 kohta.
(6) Tuomio asiassa Schrems, 52, 62 ja 65 kohta.
(7) Komission päätös 2000/518/EY, tehty 26 päivänä heinäkuuta 2000, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisesti henkilötietojen riittävästä suojasta Sveitsissä (EYVL L 215, 25.8.2000, s. 1).
(8) Komission päätös 2002/2/EY, tehty 20 päivänä joulukuuta 2001, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisesti henkilötietojen suojaa ja sähköisiä asiakirjoja koskevan Kanadassa voimassa olevan lain tarjoaman tietosuojan riittävyydestä (EYVL L 2, 4.1.2002, s. 13).
(9) Komission päätös 2003/490/EY, tehty 30 päivänä kesäkuuta 2003, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisesti henkilötietojen riittävästä suojasta Argentiinassa (EUVL L 168, 5.7.2003, s. 19).
(10) Komission päätös 2003/821/EY, tehty 21 päivänä marraskuuta 2003, henkilötietojen suojan riittävästä tasosta Guernseyssä (EUVL L 308, 25.11.2003, s. 27).
(11) Komission päätös 2004/411/EY, tehty 28 päivänä huhtikuuta 2004, henkilötietojen suojan riittävästä tasosta Mansaaressa (EUVL L 151, 30.4.2004, s. 48).
(12) Komission päätös 2008/393/EY, tehty 8 päivänä toukokuuta 2008, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisesti henkilötietojen riittävästä suojasta Jerseyssä (EUVL L 138, 28.5.2008, s. 21).
(13) Komission päätös 2010/146/EU, annettu 5 päivänä maaliskuuta 2010, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisesti henkilötietojen käsittelystä annetun Färsaarten lain tarjoamasta riittävästä henkilötietojen suojasta (EUVL L 58, 9.3.2010, s. 17).
(14) Komission päätös 2010/625/EU, annettu 19 päivänä lokakuuta 2010, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisesti riittävästä henkilötietojen suojasta Andorrassa (EUVL L 277, 21.10.2010, s. 27).
(15) Komission päätös 2011/61/EU, annettu 31 päivänä tammikuuta 2011, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisesti Israelin valtion tarjoaman henkilötietojen suojan riittävyydestä automaattisessa henkilötietojen käsittelyssä (EUVL L 27, 1.2.2011, s. 39).
(16) Komission täytäntöönpanopäätös 2012/484/EU, annettu 21 päivänä elokuuta 2012, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisesti Uruguayn itäisen tasavallan tarjoaman henkilötietojen suojan riittävyydestä automaattisessa henkilötietojen käsittelyssä (EUVL L 227, 23.8.2012, s. 11).
(17) Komission täytäntöönpanopäätös 2013/65/EU, annettu 19 päivänä joulukuuta 2012, Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisesti Uuden-Seelannin tarjoaman henkilötietojen suojan riittävyydestä (EUVL L 28, 30.1.2013, s. 12).
(18) Tuomio asiassa Schrems, 76 kohta. Tällainen tarkastelu on joka tapauksessa tehtävä, kun komissio saa tietoja, jotka aiheuttavat perusteltuja epäilyksiä tältä osin.