23.8.2012   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

L 227/11

(1)

Σύμφωνα με την οδηγία 95/46/ΕΚ, τα κράτη μέλη οφείλουν να προβλέπουν ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα επιτρέπεται μόνον εφόσον η εν λόγω τρίτη χώρα εξασφαλίζει επαρκές επίπεδο προστασίας και εφόσον τηρούνται, πριν από τη διαβίβαση, οι νόμοι που έχουν θεσπίσει τα κράτη μέλη για την εφαρμογή άλλων διατάξεων της οδηγίας.

(2)

Η Επιτροπή μπορεί να αποφανθεί ότι μια τρίτη χώρα εξασφαλίζει επαρκές επίπεδο προστασίας. Στην περίπτωση αυτή, τα κράτη μέλη μπορούν να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα χωρίς να απαιτούνται πρόσθετες εγγυήσεις.

(3)

Σύμφωνα με την οδηγία 95/46/ΕΚ, το επίπεδο προστασίας των δεδομένων θα πρέπει να σταθμίζεται λαμβανομένων υπόψη όλων των περιστάσεων που επηρεάζουν μια διαβίβαση ή κατηγορία διαβιβάσεων δεδομένων και εξετάζοντας ιδιαίτερα ορισμένα στοιχεία που είναι σημαντικά για τη διαβίβαση, τα οποία παρατίθενται στο άρθρο 25.

(4)

Δεδομένων των διαφορετικών προσεγγίσεων που ακολουθούνται όσον αφορά την προστασία των δεδομένων στις τρίτες χώρες, πρέπει η αξιολόγηση για την επάρκεια της προστασίας και η εφαρμογή κάθε απόφασης βάσει του άρθρου 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ να γίνονται με τρόπο που να μην δημιουργεί αυθαίρετες ή αδικαιολόγητες διακρίσεις εις βάρος ή μεταξύ τρίτων χωρών στις οποίες επικρατούν παρόμοιες συνθήκες ούτε να αποτελεί συγκαλυμμένο εμπόδιο για τις εμπορικές συναλλαγές, λαμβανομένων υπόψη των σημερινών διεθνών δεσμεύσεων της Ευρωπαϊκής Ένωσης.

(5)

Το σύνταγμα της Ανατολικής Δημοκρατίας της Ουρουγουάης, το οποίο θεσπίσθηκε το 1967, δεν αναγνωρίζει ρητά το δικαίωμα στην ιδιωτική ζωή και το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα. Εντούτοις, ο κατάλογος των θεμελιωδών δικαιωμάτων δεν αποτελεί κλειστό κατάλογο, δεδομένου ότι το άρθρο 72 του συντάγματος προβλέπει ότι η απαρίθμηση δικαιωμάτων, υποχρεώσεων και εγγυήσεων από το σύνταγμα δεν αποκλείει άλλα, τα οποία είναι εγγενή στην ανθρώπινη προσωπικότητα ή απορρέουν από τον δημοκρατικό τρόπο διακυβέρνησης. Το άρθρο 1 του νόμου αριθ. 18.331, της 11ης Αυγούστου 2008 για την προστασία των δεδομένων προσωπικού χαρακτήρα και για την προσφυγή «Habeas Data» (Ley No 18.331 de Protección de Datos Personales y Acción de «Habeas Data») ορίζει ρητά ότι «Το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα είναι εγγενές στην ανθρώπινη υπόσταση, επομένως περιλαμβάνεται στο άρθρο 72 του συντάγματος της Δημοκρατίας». Το άρθρο 332 του συντάγματος προβλέπει ότι η εφαρμογή των διατάξεων του συντάγματος που αναγνωρίζουν ατομικά δικαιώματα, καθώς και εκείνων που απονέμουν δικαιώματα και επιβάλλουν υποχρεώσεις σε δημόσιες αρχές, δεν πρέπει να παρεμποδίζεται από την έλλειψη ειδικών ρυθμίσεων· η έλλειψη αυτή θα καλύπτεται με την προσφυγή στις βασικές αρχές παρόμοιων νόμων, στις γενικές αρχές του δικαίου και στις γενικά αποδεκτές θεωρίες.

(6)

Οι νομικοί κανόνες για την προστασία των δεδομένων προσωπικού χαρακτήρα στην Ανατολική Δημοκρατία της Ουρουγουάης βασίζονται σε μεγάλο βαθμό στους κανόνες της οδηγίας 95/46/ΕΚ και περιλαμβάνονται στον νόμο αριθ. 18.331, της 11ης Αυγούστου 2008, σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα και την προσφυγή «Habeas Data» (Ley No 18.331 de Protección de Datos Personales y de Acción de «Habeas Data»). Οι κανόνες αυτοί καλύπτουν τα φυσικά και τα νομικά πρόσωπα.

(7)

Ο συγκεκριμένος νόμος συμπληρώνεται περαιτέρω από το διάταγμα αριθ. 414/009, της 31ης Αυγούστου 2009, το οποίο εκδόθηκε για να διευκρινίσει διάφορες πτυχές του νόμου και να ορίσει λεπτομερώς την οργάνωση, τις εξουσίες και τη λειτουργία της εποπτικής αρχής για την προστασία των δεδομένων. Το προοίμιο του διατάγματος αναφέρει ότι ενδείκνυται η προσαρμογή της εθνικής έννομης τάξης στο θέμα αυτό με το ευρύτερα αποδεκτό συγκρίσιμο νομικό καθεστώς, ουσιαστικά εκείνο που θέσπισαν οι ευρωπαϊκές χώρες μέσω της οδηγίας 95/46/ΕΚ.

(8)

Διατάξεις περί προστασίας των δεδομένων περιλαμβάνονται επίσης σε διάφορες ειδικές πράξεις που δημιουργούν και ρυθμίζουν βάσεις δεδομένων, ιδίως, πράξεις που ρυθμίζουν ορισμένα δημόσια μητρώα (δημόσια έγγραφα, βιομηχανική ιδιοκτησία, προσωπικά έγγραφα, πράξεις σχετικές με ακίνητα, εξορυκτικά δικαιώματα ή χρηματοπιστωτικά δεδομένα). Ο νόμος αριθ. 18.331 εφαρμόζεται συμπληρωματικά σε αυτές τις ειδικές πράξεις, σε σχέση με εκείνα τα ζητήματα που δεν καλύπτονται από αυτές, σύμφωνα με το άρθρο 332 του συντάγματος.

(9)

Οι νομικοί κανόνες για την προστασία των δεδομένων που ισχύουν στην Ανατολική Δημοκρατία της Ουρουγουάης περιλαμβάνουν όλες τις βασικές αρχές που απαιτούνται για να υπάρχει επαρκές επίπεδο προστασίας για τα φυσικά πρόσωπα και παράλληλα προβλέπουν εξαιρέσεις και περιορισμούς με σκοπό τη διασφάλιση σημαντικών δημοσίων συμφερόντων. Αυτοί οι νομικοί κανόνες για την προστασία των δεδομένων και οι εξαιρέσεις τους αντικατοπτρίζουν τις αρχές που ορίζονται από την οδηγία 95/46/ΕΚ

(10)

Η εφαρμογή των νομικών κανόνων για την προστασία των δεδομένων διασφαλίζεται με διοικητικά και ένδικα μέσα, ιδιαίτερα με την προσφυγή «habeas data», η οποία παρέχει τη δυνατότητα στο υποκείμενο των δεδομένων να παραπέμψει στη δικαιοσύνη τον υπεύθυνο της επεξεργασίας των δεδομένων προκειμένου να επιτύχει την εφαρμογή του δικαιώματός του πρόσβασης, διόρθωσης και διαγραφής, καθώς επίσης με τον ανεξάρτητο έλεγχο που ασκείται από την εποπτική αρχή, τη Μονάδα για τη ρύθμιση και τον έλεγχο των δεδομένων προσωπικού χαρακτήρα (Unidad Reguladora y de Control de Datos Personales (URCDP), η οποία διαθέτει εξουσίες έρευνας, παρέμβασης και κυρώσεων σύμφωνα με το άρθρο 28 της οδηγίας 95/46/ΕΚ και ασκεί τα καθήκοντά της με πλήρη ανεξαρτησία. Επιπλέον, κάθε ενδιαφερόμενος δικαιούται να απαιτήσει αποζημίωση για ζημία την οποία υπέστη λόγω της παράνομής επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τον αφορούν.

(11)

Οι ουρουγουανές αρχές προστασίας των δεδομένων έδωσαν επεξηγήσεις και διαβεβαιώσεις ως προς τον τρόπο ερμηνείας του δικαίου της χώρας και επίσης διαβεβαίωσαν ότι η εθνική νομοθεσία προστασίας των δεδομένων προσωπικού χαρακτήρα εφαρμόζεται σύμφωνα με αυτή την ερμηνεία. Οι ουρουγουανές αρχές προστασίας των δεδομένων εξήγησαν ειδικότερα ότι, βάσει του άρθρου 332 του συντάγματος, ο νόμος αριθ. 18.331 εφαρμόζεται συμπληρωματικά σε ειδικές πράξεις που δημιουργούν και ρυθμίζουν συγκεκριμένες βάσεις δεδομένων σε σχέση με ζητήματα που δεν καλύπτονται από αυτές τις ειδικές πράξεις. Διευκρίνισαν επίσης ότι, όσον αφορά τους καταλόγους δεδομένων που αναφέρονται στο άρθρο 9 παράγραφος Γ του νόμου αριθ. 18.331, των οποίων η επεξεργασία δεν προϋποθέτει την προηγούμενη συγκατάθεση του ενδιαφερομένου, εφαρμόζεται επίσης ο νόμος, κυρίως οι αρχές της αναλογικότητας και του δεδικασμένου και τα δικαιώματα των υποκειμένων των δεδομένων και ότι οι εν λόγω κατάλογοι υπόκεινται στον έλεγχο της αρχής προστασίας των δεδομένων. Όσον αφορά την αρχή της διαφάνειας, οι ουρουγουανές αρχές προστασίας των δεδομένων ενημέρωσαν ότι η υποχρέωση παροχής όλων των απαραίτητων πληροφοριών στο υποκείμενο των δεδομένων ισχύει σε όλες τις περιπτώσεις. Όσον αφορά το δικαίωμα πρόσβασης, η αρχή προστασίας των δεδομένων διευκρίνισε ότι, για την υποβολή αίτησης, αρκεί το υποκείμενο των δεδομένων να αποδείξει την ταυτότητά του. Οι ουρουγουανές αρχές προστασίας των δεδομένων διευκρίνισαν ότι οι εξαιρέσεις της αρχής που ισχύει για τις διεθνείς διαβιβάσεις, οι οποίες προβλέπονται στο άρθρο 23 παράγραφος 1 του νόμου αριθ. 18.331, δεν μπορούν να ερμηνευθούν ότι έχουν ευρύτερο πεδίο εφαρμογής από αυτό του άρθρου 26 παράγραφος 1 της οδηγίας 95/46/ΕΚ.

(12)

Η παρούσα απόφαση λαμβάνει υπόψη τις εν λόγω επεξηγήσεις και διαβεβαιώσεις και επομένως βασίζεται σε αυτές.

(13)

Η Ανατολική Δημοκρατία της Ουρουγουάης αποτελεί εξάλλου συμβαλλόμενο μέρος της Αμερικανικής σύμβασης των Δικαιωμάτων του Ανθρώπου («PACT of San José de Costa Rica») που εγκρίθηκε στις 22 Νοεμβρίου 1969 και τέθηκε σε ισχύ στις 18 Ιουλίου 1978 (3). Το άρθρο 11 της σύμβασης ορίζει το δικαίωμα στην ιδιωτική ζωή και το άρθρο 30 ορίζει ότι οι περιορισμοί, οι οποίοι, σύμφωνα με την παρούσα σύμβαση, μπορούν να τεθούν στην απόλαυση ή την άσκηση των δικαιωμάτων και ελευθεριών που αναγνωρίζονται από τη σύμβαση, μπορούν να εφαρμοσθούν μόνο σύμφωνα με τους νόμους που θεσπίζονται για λόγους γενικού συμφέροντος και σύμφωνα με τον επιδιωκόμενο από αυτούς τους περιορισμούς στόχο (άρθρο 30). Εξάλλου, η Ανατολική Δημοκρατία της Ουρουγουάης έχει δεχθεί τη δικαιοδοσία του Διαμερικανικού Δικαστηρίου Ανθρωπίνων Δικαιωμάτων. Επιπλέον, κατά την 1118η συνεδρίαση της Επιτροπής των αντιπροσώπων των Υπουργών του Συμβουλίου της Ευρώπης, που πραγματοποιήθηκε στις 6 Ιουλίου 2011, οι αντιπρόσωποι των Υπουργών κάλεσαν την Ανατολική Δημοκρατία της Ουρουγουάης να προσχωρήσει στη σύμβαση για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία πληροφοριών προσωπικού χαρακτήρα (ΣΕΣ αριθ. 108) και στο πρόσθετο πρωτόκολλο της (ΣΕΣ αριθ. 118), μετά από ευνοϊκή γνώμη της σχετικής συμβουλευτικής επιτροπής. (4)

(14)

Κατά συνέπεια, η Ανατολική Δημοκρατία της Ουρουγουάης θα πρέπει να θεωρηθεί ότι παρέχει επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα κατά την έννοια της οδηγίας 95/46/ΕΚ.

(15)

Η παρούσα απόφαση αφορά την επάρκεια της προστασίας που εξασφαλίζεται στην Ανατολική Δημοκρατία της Ουρουγουάης με σκοπό την ικανοποίηση των απαιτήσεων του άρθρου 25 παράγραφος 1 της οδηγίας 95/46/ΕΚ. Δεν θίγει άλλους όρους ή περιορισμούς για την εφαρμογή άλλων διατάξεων της εν λόγω οδηγίας που αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα εντός των κρατών μελών.

(16)

Προς όφελος της διαφάνειας και για να διασφαλισθεί η ικανότητα των αρμόδιων αρχών των κρατών μελών να εξασφαλίζουν την προστασία των φυσικών προσώπων όσον αφορά την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, είναι αναγκαίο να καθοριστούν οι εξαιρετικές περιστάσεις κατά τις οποίες μπορεί να δικαιολογηθεί η αναστολή συγκεκριμένων ροών δεδομένων, παρά τη διαπίστωση επαρκούς επιπέδου προστασίας.

(17)

Η Επιτροπή θα πρέπει να παρακολουθεί τη λειτουργία της απόφασης και να αναφέρει κάθε σχετικό πόρισμα στην επιτροπή που συστάθηκε δυνάμει του άρθρου 31 της οδηγίας 95/46/ΕΚ. Αυτή η παρακολούθηση θα πρέπει να καλύπτει, μεταξύ άλλων, το σύστημα της Ανατολικής Δημοκρατίας της Ουρουγουάης που ισχύει όσον αφορά τις διαβιβάσεις που γίνονται στο πλαίσιο διεθνών συνθηκών.

(18)

Η ομάδα εργασίας για την προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που συστάθηκε βάσει του άρθρου 29 της οδηγίας 95/46/ΕΚ, εξέδωσε θετική γνώμη σχετικά με το επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα, η οποία ελήφθη υπόψη κατά την κατάρτιση της παρούσας απόφασης (5).

(19)

Τα μέτρα που προβλέπονται στην παρούσα απόφαση συνάδουν με τη γνώμη της επιτροπής που συστάθηκε δυνάμει του άρθρου 31 παράγραφος 1 της οδηγίας 95/46/ΕΚ,

α)

όταν αρμόδια ουρουγουανή αρχή διαπιστώσει ότι ο παραλήπτης παραβιάζει τους ισχύοντες κανόνες προστασίας· ή

β)

όταν υπάρχει βάσιμη πιθανότητα παραβίασης των ισχυόντων κανόνων προστασίας, εύλογη πεποίθηση ότι η αρμόδια ουρουγουανή αρχή δεν προβαίνει ή δεν πρόκειται να προβεί εγκαίρως στις ενδεικνυόμενες ενέργειες ώστε να διευθετήσει το επίμαχο ζήτημα, η συνέχιση της διαβίβασης ενδέχεται να προκαλέσει άμεσο κίνδυνο σοβαρής ζημίας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα και οι αρμόδιες αρχές του κράτους μέλους έχουν, υπό τις επικρατούσες περιστάσεις, καταβάλει κάθε δυνατή προσπάθεια για να απευθύνουν προειδοποίηση στον εγκατεστημένο στην Ανατολική Δημοκρατία της Ουρουγουάης υπεύθυνο της επεξεργασίας και να του δώσουν τη δυνατότητα να αντιδράσει.