Kommissionens beslutning

af 30. juni 2003

i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om tilstrækkeligheden af beskyttelsesniveauet for personoplysninger i Argentina

(EØS-relevant tekst)

(2003/490/EF)

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER HAR -

under henvisning til traktaten om oprettelse af Det Europæiske Fællesskab,

under henvisning til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger(1), særlig artikel 25, stk. 6, og

ud fra følgende betragtninger:

(1) Medlemsstaterne skal i henhold til direktiv 95/46/EF sørge for, at videregivelse af personoplysninger til et tredjeland kun finder sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, og hvis medlemsstaternes lovgivning til gennemførelse af direktivets andre bestemmelser overholdes inden videregivelsen finder sted.

(2) Kommissionen kan konkludere, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau. I så fald kan der videregives personoplysninger fra medlemsstaterne, uden at yderligere garantier er påkrævet.

(3) Vurderingen af, om beskyttelsesniveauet for data er tilstrækkeligt, skal i henhold til direktiv 95/46/EF foretages på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger, og under hensyntagen til en række faktorer, som er relevante for den pågældende videregivelse og som er opstillet i direktivets artikel 25, stk. 2. Den ved artikel 29 i direktiv 95/46/EF nedsatte gruppe vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger har opstillet retningslinjer for, hvorledes denne vurdering skal foretages(2).

(4) På grund af tredjelandenes forskellige fremgangsmåder med hensyn til databeskyttelse bør vurderingen af, om beskyttelsesniveauet er tilstrækkeligt, foretages og enhver beslutning, der træffes i medfør af artikel 25, stk. 6, i direktiv 95/46/EF, gennemføres på en sådan måde, at der ikke vilkårligt eller uberettiget diskrimineres til skade for eller mellem tredjelande, hvor der gælder tilsvarende forhold, eller skabes skjulte handelshindringer under hensyntagen til Fællesskabets nuværende internationale forpligtelser.

(5) I Argentina optræder retsreglerne for beskyttelse af personoplysninger både som generelle og sektorspecifikke bestemmelser. Begge kategorier har bindende virkning.

(6) De generelle bestemmelser er fastsat i forfatningen, i lov nr. 25.326 om beskyttelse af personoplysninger og i en bekendtgørelse, som er godkendt ved dekret nr. 1558/2001 (i det følgende benævnt "den argentinske lovgivning").

(7) Den argentinske forfatning opstiller en særlig klageprocedure ved domstolene til beskyttelse af personoplysninger, som kaldes "habeas data". Dette retsmiddel er en underkategori af den i forfatningen fastsatte procedure til beskyttelse af forfatningsmæssige rettigheder, hvilket indebærer, at beskyttelsen af personoplysninger er en grundlæggende rettighed. I henhold til forfatningens artikel 43, stk. 3, kan enhver under anvendelse af proceduren habeas data få kendskab til indholdet af og formålet med alle de oplysninger, der vedrører den pågældende, og som er indeholdt i offentlige registre eller databanker, eller i private registre eller databanker hvis formål er informationsformidling. I henhold til den nævnte artikel kan enhver i tilfælde af forkerte oplysninger eller diskriminerende anvendelse af oplysningerne anmode om sletning, rettelse, hemmeligholdelse eller ajourføring af oplysningerne i disse registre. Bestemmelsen berører ikke hemmeligholdelsen af kilder i journalistisk øjemed. "Habeas data" betragtes i argentinsk retspraksis som en grundlæggende og umiddelbar anvendelig rettighed.

(8) Lov nr. 25.326 af 4. oktober 2000 om databeskyttelse (i det følgende benævnt "loven") præciserer og supplerer de forfatningsmæssige bestemmelser. Den indeholder bestemmelser om de generelle principper for databeskyttelse, om de registreredes rettigheder, om de registeransvarliges og databrugernes forpligtelser, om tilsynsmyndigheden eller om kontrolmyndigheden samt om sanktioner og procedureregler i forbindelse med anvendelsen af klageproceduren "habeas data".

(9) Bekendtgørelsen, som er godkendt ved dekret nr. 1558/2001 af 3. december 2001 (i det følgende benævnt "bekendtgørelsen") indeholder bestemmelser til gennemførelse af loven, supplerer dens bestemmelser og præciserer visse dele af loven, der kan give anledning til fortolkningstvivl.

(10) Den argentinske lovgivning omfatter beskyttelsen af personoplysninger, der opbevares i offentlige datafiler, registre, databanker eller ved hjælp af andre tekniske midler, samt beskyttelse af personoplysninger, der opbevares i private datafiler, registre, databanker eller ved hjælp af andre tekniske midler, hvis formål er informationsformidling. Det indebærer midler, der anvendes til andet end rent personlige formål, og midler, som er beregnet til overførsel eller videregivelse af personoplysninger, uanset om udvekslingen af de således frembragte oplysninger eller informationer sker mod betaling eller vederlagsfrit.

(11) Visse bestemmelser i loven finder ensartet anvendelse i hele Argentina. Det drejer sig om de almindelige bestemmelser og bestemmelserne om de generelle principper for databeskyttelse, om de registreredes rettigheder, om de forpligtelser, der påhviler registeransvarlige og brugere af datafiler, registre og databanker, om de strafferetlige sanktioner samt om eksistensen af og de generelle træk ved klageproceduren "habeas data", som er fastsat i forfatningen.

(12) Andre bestemmelser i loven finder anvendelse på registre, datafiler, databaser eller databanker, der er sammenkoblet gennem netværk mellem retskredse (dvs. provinser) eller på nationalt eller internationalt plan, og som anses for at høre under de føderale domstoles kompetence. De vedrører den kontrol, der udøves af tilsynsmyndigheden, de sanktioner, der pålægges af tilsynsmyndigheden, og procedurereglerne vedrørende retsmidlet "habeas data". Andre typer registre, datafiler, databaser eller databanker bør anses for at høre under provinsens kompetence. Provinserne kan udstede retsforskrifter på disse områder.

(13) Bestemmelserne om databeskyttelse er også indeholdt i en række retlige instrumenter, der regulerer forskellige sektorer, herunder betaling med kreditkort, statistik, bankvirksomhed eller sundhedssektoren.

(14) Den argentinske lovgivning indeholder alle de grundlæggende principper, der er nødvendige for at sikre et tilstrækkeligt beskyttelsesniveau for fysiske personer, også selvom loven indeholder en række undtagelser og begrænsninger med henblik på at beskytte vigtige offentlige interesser. Gennemførelsen af disse principper sikres ved hjælp af et særligt, enkelt og hurtigt retsmiddel til beskyttelse af personoplysninger, kaldet "habeas data", der supplerer de generelle retsmidler. Loven indeholder bestemmelser om etablering af en datakontrolmyndighed, der skal træffe alle nødvendige foranstaltninger til opfyldelse af lovens målsætninger og bestemmelser, og som er udstyret med undersøgelses- og indgrebsbeføjelser. Der er i henhold til bekendtgørelsen nedsat en national kontrolmyndighed for databeskyttelse. Den argentinske lovgivning giver mulighed for at anvende effektive afskrækkende sanktioner af både administrativ og strafferetlig karakter. Desuden indeholder den argentinske lovgivning bestemmelser om erstatningsansvar (både i og uden for kontrakt), som finder anvendelse ved uretmæssigt behandling af personoplysninger, som påfører de pågældende et tab.

(15) Den argentinske regering har givet forklaringer og forsikringer med hensyn til fortolkningen af den argentinske lovgivning, og har forsikret, at de argentinske bestemmelser om databeskyttelse anvendes i overensstemmelse med denne fortolkning. Nærværende beslutning tager udgangspunkt i disse forklaringer og forsikringer og tager derfor også forbehold for disse. Beslutningen er navnlig baseret på de argentinske myndigheders forklaringer og forsikringer med hensyn til fortolkningen af den argentinske lovgivning for så vidt angår vurderingen af, hvilke situationer, der er omfattet af den argentinske lovgivning om databeskyttelse.

(16) Det bør derfor fastslås, at Argentina råder over et tilstrækkeligt beskyttelsesniveau for personoplysninger som fastsat i direktiv 95/46/EF.

(17) Af hensyn til gennemsigtigheden og for at sikre, at de kompetente myndigheder i medlemsstaterne kan beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger er det nødvendigt at specificere, under hvilke særlige omstændigheder det kan være berettiget at suspendere specifikke dataoverførsler, uanset om det pågældende databeskyttelsesniveau anses for tilstrækkeligt.

(18) Denne beslutning tager højde for den udtalelse, som den ved artikel 29 i direktiv 95/46/EF nedsatte gruppe vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger har afgivet om databeskyttelsesniveauet i Argentina(3).

(19) De i denne beslutning fastsatte foranstaltninger er i overensstemmelse med udtalelsen fra det i artikel 31, stk. 1, i direktiv 95/46/EF nedsatte udvalg -

VEDTAGET FØLGENDE BESLUTNING:

Artikel 1

For så vidt angår artikel 25, stk. 2, i direktiv 95/46/EF anses Argentina at sikre et tilstrækkeligt beskyttelsesniveau for personoplysninger, der videregives fra Fællesskabet.

Artikel 2

Denne beslutning vedrører kun spørgsmålet om Argentina sikrer tilstrækkelig beskyttelse med henblik på at opfylde kravene i artikel 25, stk. 1, i direktiv 95/46/EF og berører ikke andre betingelser eller begrænsninger i forbindelse med gennemførelsen af andre bestemmelser i direktivet, der vedrører behandlingen af personoplysninger i medlemsstaterne.

Artikel 3

1. Uden at det har nogen indvirkning på deres beføjelser til at træffe foranstaltninger for at sikre overholdelse af de nationale bestemmelser, der er udstedt i henhold til andre bestemmelser end artikel 25 i direktiv 95/46/EF, kan de kompetente myndigheder gøre brug af deres nuværende beføjelser til at suspendere den fortsatte videregivelse af oplysninger til en modtager i Argentina for at beskytte fysiske personer med hensyn til behandlingen af deres personoplysninger:

a) når den kompetent argentinske myndighed finder, at modtageren overtræder gældende beskyttelsesnormer, eller

b) når der er væsentlig sandsynlighed for, at beskyttelsesnormerne overtrædes, når der er grund til at antage, at den kompetente argentinske myndighed ikke tager eller ikke agter at tage passende og rettidige foranstaltninger for at afgøre forholdet, når en fortsat videregivelse af personoplysninger vil kunne skabe overhængende risiko for alvorlig skade for de registrerede, og når de kompetente myndigheder i medlemsstaterne på passende vis har forsøgt at advare den ansvarlige for behandlingen i Argentina og givet vedkommende mulighed for at svare.

Suspenderingen ophæves, når beskyttelsesnormerne overholdes, og den kompetente myndighed i Fællesskabet underrettes herom.

2. Medlemsstaterne skal hurtigst muligt underrette Kommissionen, hvis der træffes foranstaltninger i henhold til stk. 1.

3. Medlemsstaterne og Kommissionen skal også underrette hinanden om tilfælde, hvor de argentinske organer, der har ansvaret for, at beskyttelsesnormerne håndhæves, ikke sikrer denne overholdelse.

4. Hvis det på grundlag af de oplysninger, der fremkommer i henhold til stk. 1-3, kan godtgøres, at et organ, der har ansvaret for at sikre, at beskyttelsesnormerne i Argentina overholdes, ikke effektivt opfylder sin rolle, underretter Kommissionen den kompetente argentinske myndighed herom og forelægger om nødvendigt, et udkast til foranstaltninger efter proceduren i artikel 31, stk. 2, i direktiv 95/46/EF med henblik på at ophæve eller suspendere denne beslutning eller begrænse dens anvendelsesområde.

Artikel 4

1. Denne beslutning kan til enhver tid ændres på grundlag af erfaringerne med dens gennemførelse eller som følge af ændringer i den argentinske lovgivning, dens gennemførelse eller fortolkning.

Kommissionen skal foretage en evaluering af anvendelsen af denne beslutning og fremsende enhver relevant konstatering til det udvalg, der er nedsat i henhold til artikel 31 i direktiv 95/46/EF, herunder ethvert forhold, der kan påvirke den vurdering, der foretages i henhold til artikel 1 i denne beslutning om, at beskyttelsen i Argentina er tilstrækkelig efter artikel 25 i direktiv 95/46/EF, og ethvert forhold, der viser, at beslutningen gennemføres på diskriminerende måde.

2. Kommissionen skal i givet fald fremlægge et udkast til foranstaltninger efter proceduren i artikel 31, stk. 2, i direktiv 95/46/EF.

Artikel 5

Medlemsstaterne træffer nødvendige foranstaltninger for at efterkomme denne beslutning senest et hundrede og tyve dage efter dens meddelelse til medlemsstaterne.

Artikel 6

Denne beslutning er rettet til medlemsstaterne.

Udfærdiget i Bruxelles, den 30. juni 2003.

På Kommissionens vegne

Frederik Bolkestein

Medlem af Kommissionen

(1) EFT L 281 af 23.11.1995, s. 31.

(2) Udtalelse nr. 12/98, vedtaget af artikel 29-gruppen den 24.7.1998: Videregivelse af personoplysninger til tredjelande: anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv (GD MARKT D/5025/98), tilgængelig på Europa-Kommissionens websted Europa:

http://europa.eu.int/comm/ internal_market/en/dataprot/wpdocs/ wpdocs_98.htm.

(3) Udtalelse nr. 4/2002 om databeskyttelsesniveauet i Argentina - WP 63 af 3.10.2002, tilgængelig på:

http://europa.eu.int/comm/ internal_market/en/dataprot/wpdocs/ index.htm.