32000D0519

2000/519/ΕΚ: Απόφαση της Επιτροπής, της 26ης Ιουλίου 2000, δυνάμει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια της προστασίας των δεδομένων προσωπικού χαρακτήρα που παρέχεται στην Ουγγαρία [κοινοποιηθείσα υπό τον αριθμό Ε(2000) 2305] (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ.)

Επίσημη Εφημερίδα αριθ. L 215 της 25/08/2000 σ. 0004 - 0006


Απόφαση της Επιτροπής

της 26ης Ιουλίου 2000

δυνάμει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια της προστασίας των δεδομένων προσωπικού χαρακτήρα που παρέχεται στην Ουγγαρία

[κοινοποιηθείσα υπό τον αριθμό Ε(2000) 2305]

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

(2000/519/ΕΚ)

Η ΕΠΙΤΡΟΠΗ ΤΩΝ ΕΥΡΩΠΑΪΚΩΝ ΚΟΙΝΟΤΗΤΩΝ,

Έχοντας υπόψη:

τη συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας,

την οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων(1), και ιδίως το άρθρο 25 παράγραφος 6,

Εκτιμώντας τα ακόλουθα:

(1) Σύμφωνα με την οδηγία 95/46/ΕΚ απαιτείται από τα κράτη μέλη να προβλέπουν ότι η διαβίβαση προς τρίτη χώρα δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνον εάν η εν λόγω τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας και οι νόμοι του κράτους μέλους, που εφαρμόζουν άλλες διατάξεις της οδηγίας, τηρούνται πριν από τη διαβίβαση.

(2) Η Επιτροπή δύναται να αποφαίνεται ότι μια τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας. Στην περίπτωση αυτή επιτρέπεται να διαβιβάζονται τα δεδομένα προσωπικού χαρακτήρα από τα κράτη μέλη, χωρίς να είναι απαραίτητη η παροχή πρόσθετων εγγυήσεων.

(3) Σύμφωνα με την οδηγία 95/46/ΕΚ, το επίπεδο της προστασίας των δεδομένων πρέπει να σταθμίζεται λαμβανομένων υπόψη όλων των περιστάσεων που επηρεάζουν μια διαβίβαση ή μια σειρά διαβιβάσεων δεδομένων, τηρουμένων ορισμένων προϋποθέσεων. Η ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που συστάθηκε βάσει της οδηγίας, έχει εκδώσει κατευθυντήριες γραμμές σχετικά με τη διενέργεια των εν λόγω αξιολογήσεων(2).

(4) Δεδομένων των διαφορετικών προσεγγίσεων που ακολουθούνται όσον αφορά την προστασία των δεδομένων στις τρίτες χώρες, πρέπει η αξιολόγηση για την επάρκεια της προστασίας και η επιβολή της εφαρμογής κάθε απόφασης, που βασίζεται στο άρθρο 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ, να γίνονται με τρόπο που να μην επιφέρει αυθαίρετες ή αδικαιολόγητες διακρίσεις εις βάρος ή μεταξύ τρίτων χωρών στις οποίες επικρατούν παρόμοιες συνθήκες ούτε να αποτελεί συγκεκαλυμμένο εμπόδιο για τις εμπορικές συναλλαγές, λαμβανομένων υπόψη των σημερινών διεθνών δεσμεύσεων της Κοινότητας.

(5) Όσον αφορά την Ουγγαρία, οι κανόνες δικαίου στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα παράγουν δεσμευτικές έννομες συνέπειες.

(6) Η προστασία της ιδιωτικής ζωής, ιδίως όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, προβλέπεται από το άρθρο 59 του ουγγρικού συντάγματος. Οι σχετικές νομοθετικές διατάξεις θεσπίστηκαν με το νόμο LXIII της 17ης Νοεμβρίου 1992, ο οποίος άρχισε να ισχύει την 1η Μαΐου 1993. Διάφοροι τομεακοί νόμοι περιλαμβάνουν επίσης διατάξεις που αφορούν την προστασία των δεδομένων προσωπικού χαρακτήρα σε διάφορους τομείς, όπως οι στατιστικές, οι έρευνες αγοράς, η επιστημονική έρευνα και η υγεία.

(7) Από την 1η Φεβρουαρίου 1998, η Ουγγαρία έχει κυρώσει τη σύμβαση του Συμβουλίου της Ευρώπης για την προστασία των φυσικών προσώπων από την επεξεργασία δεδομένων προσωπικού χαρακτήρα (σύμβαση αριθ. 108)(3), η οποία αποβλέπει στην ενίσχυση της προστασίας των δεδομένων προσωπικού χαρακτήρα και στη διασφάλιση της ελεύθερης κυκλοφορίας μεταξύ των συμβαλλομένων μερών, με την επιφύλαξη των εξαιρέσεων που ενδέχεται να προβλέψουν τα εν λόγω μέρη. Η σύμβαση αυτή, χωρίς να είναι άμεσα εφαρμοστέα, επιβάλλει ωστόσο διεθνείς υποχρεώσεις που αφορούν τόσο τις βασικές αρχές προστασίας, τις οποίες πρέπει να εφαρμόζει κάθε συμβαλλόμενο μέρος στο εσωτερικό δίκαιό του, όσο και τους μηχανισμούς συνεργασίας μεταξύ των συμβαλλομένων μερών. Ειδικότερα, οι αρμόδιες ουγγρικές αρχές πρέπει να παρέχουν, στις αρχές των άλλων συμβαλλομένων μερών που το ζητούν, κάθε πληροφορία για τη νομική και διοικητική πρακτική σχετικά με την προστασία των δεδομένων και όλους τους ειδικούς φορείς αυτόματης επεξεργασίας των δεδομένων. Οι εν λόγω αρχές πρέπει επίσης να παρέχουν αρωγή σε κάθε φυσικό πρόσωπο που κατοικεί στην αλλοδαπή για την άσκηση του δικαιώματός του να ενημερώνεται σχετικά με την ύπαρξη μιας επεξεργασίας δεδομένων που το αφορά, του δικαιώματός του να έχει πρόσβαση στα δεδομένα αυτά, του δικαιώματός του να ζητά, εφόσον συντρέχει περίπτωση, τη διόρθωση ή τη διαγραφή των εν λόγω δεδομένων, καθώς και του δικαιώματός του για έννομη προστασία.

(8) Οι κανόνες δικαίου που ισχύουν στην Ουγγαρία περιλαμβάνουν όλες τις βασικές αρχές που απαιτούνται για την εξασφάλιση ικανοποιητικού επιπέδου προστασίας των φυσικών προσώπων, παρά το γεγονός ότι προβλέπονται εξαιρέσεις και περιορισμοί προκειμένου να διασφαλιστούν σημαντικά δημόσια συμφέροντα. Η εφαρμογή των εν λόγω κανόνων δικαίου κατοχυρώνεται με έννομη προστασία, καθώς και από τον ανεξάρτητο έλεγχο τον οποίο ασκούν οι αρχές, όπως ο επίτροπος τον οποίο όρισε η ουγγρική βουλή, κατ' εφαρμογή του νόμου LXIII του 1992. Επιπροσθέτως, ο νόμος εγγυάται την αποζημίωση των προσώπων που έχουν υποστεί ζημία συνεπεία αθέμιτης επεξεργασίας.

(9) Για λόγους διαφάνειας και προκειμένου να διαφυλαχθεί η δυνατότητα των αρμόδιων αρχών των κρατών μελών να διασφαλίζουν την προστασία των προσώπων όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα που τα αφορούν, είναι απαραίτητο να ορίζονται στην απόφαση οι εξαιρετικές περιστάσεις κάτω από τις οποίες πρέπει να δικαιολογείται η αναστολή συγκεκριμένων διαβιβάσεων δεδομένων, παρά τη διαπίστωση περί ικανοποιητικού επιπέδου προστασίας.

(10) Η ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που συστάθηκε βάσει του άρθρου 29 της οδηγίας 95/46/ΕΚ, έχει διατυπώσει γνωμοδότηση σχετικά με το επίπεδο της προστασίας που παρέχει το ουγγρικό δίκαιο. Η γνωμοδότηση αυτή ελήφθη υπόψη κατά την εκπόνηση της παρούσας απόφασης(4).

(11) Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνώμη της επιτροπής που συστάθηκε βάσει του άρθρου 31 της οδηγίας 95/46/ΕΚ,

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:

Άρθρο 1

Για τους σκοπούς του άρθρου 25 παράγραφος 2 της οδηγίας 95/46/ΕΚ, για όλες τις δραστηριότητες που εμπίπτουν στο πεδίο εφαρμογής της οδηγίας, η Ουγγαρία θεωρείται ότι εξασφαλίζει ικανοποιητικό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα τα οποία διαβιβάζονται από την Ευρωπαϊκή Ένωση.

Άρθρο 2

Η παρούσα απόφαση αφορά μόνο την επάρκεια της προστασίας που παρέχεται στην Ουγγαρία από άποψη τήρησης των απαιτήσεων του άρθρου 25 παράγραφος 1 της οδηγίας 95/46/ΕΚ και δεν επηρεάζει την εφαρμογή άλλων προϋποθέσεων ή περιορισμών, κατ' εφαρμογή άλλων διατάξεων της εν λόγω οδηγίας, οι οποίες αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη.

Άρθρο 3

1. Με την επιφύλαξη των εξουσιών τους να αναλαμβάνουν δράση ώστε να διασφαλίζουν την τήρηση των εθνικών διατάξεων που εκδίδονται βάσει διατάξεων άλλων εκτός του άρθρου 25 της οδηγίας 95/46/ΕΚ, οι αρμόδιες αρχές των κρατών μελών δύνανται να ασκούν τις εξουσίες που διαθέτουν για να αναστέλλουν τη ροή δεδομένων προς αποδέκτη που βρίσκεται στην Ουγγαρία, προκειμένου να προστατεύουν τα φυσικά πρόσωπα έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, στις περιπτώσεις όπου:

α) αρμόδια ουγγρική αρχή έχει διαπιστώσει ότι ο αποδέκτης παραβιάζει τους εφαρμοστέους κανόνες δικαίου προστασίας, ή

β) υπάρχει βάσιμη πιθανότητα παραβίασης των κανόνων δικαίου προστασίας· υπάρχει βάσιμη πεποίθηση ότι η αρμόδια ουγγρική αρχή δεν προέβη ή δεν πρόκειται να προβεί εγκαίρως στις ενδεικνυόμενες ενέργειες ώστε να διευθετήσει το επίμαχο ζήτημα· η συνεχιζόμενη διαβίβαση ενδέχεται να προκαλέσει άμεσο κίνδυνο σοβαρής ζημίας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα και οι αρμόδιες αρχές του κράτους μέλους κατέβαλαν, υπό τις επικρατούσες περιστάσεις, κάθε δυνατή προσπάθεια για να απευθύνουν προειδοποίηση στο αρμόδιο για την επεξεργασία μέρος που είναι εγκατεστημένο στην Ουγγαρία και να του δώσουν τη δυνατότητα να αντιδράσει.

Η αναστολή της ροής δεδομένων λήγει αμέσως μόλις εξασφαλιστεί η τήρηση των κανόνων προστασίας και ενημερωθεί σχετικά η οικεία αρμόδια αρχή της Κοινότητας.

2. Τα κράτη μέλη ενημερώνουν την Επιτροπή αμελλητί στις περιπτώσεις όπου λαμβάνονται μέτρα βάσει της παραγράφου 1.

3. Τα κράτη μέλη και η Επιτροπή ενημερώνονται αμοιβαία για τις περιπτώσεις όπου η δράση των φορέων που είναι αρμόδιοι για τη διασφάλιση συμμόρφωσης προς τους κανόνες προστασίας στην Ουγγαρία αποτυγχάνει να διασφαλίσει την εν λόγω συμμόρφωση.

4. Αν από τις πληροφορίες που συλλέγονται, δυνάμει των διατάξεων των παραγράφων 1, 2 και 3, προκύπτει ότι οποιοσδήποτε φορέας που είναι αρμόδιος για τη διασφάλιση συμμόρφωσης προς τους κανόνες προστασίας στην Ουγγαρία δεν εκπληρώνει αποτελεσματικά την αποστολή του, η Επιτροπή ενημερώνει σχετικά την αρμόδια συγγκρική αρχή και, εάν κρίνεται απαραίτητο, υποβάλλει σχέδιο μέτρων σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 31 της οδηγίας 95/46/ΕΚ με σκοπό την κατάργηση ή την αναστολή της παρούσα απόφασης ή τον περιορισμό του πεδίου εφαρμογής της.

Άρθρο 4

1. Η παρούσα απόφαση δύναται να τροποποιείται ανά πάσα στιγμή υπό το φως των εμπειριών που αφορούν την εφαρμογή της ή αλλαγών στην ουγγρική νομοθεσία.

Η Επιτροπή αξιολογεί την εφαρμογή της παρούσας απόφασης, βάσει των διαθέσιμων πληροφοριών, τρία χρόνια μετά την κοινοποίησή της στα κράτη μέλη και ανακοινώνει τα σχετικά πορίσματα στην επιτροπή που συστάθηκε δυνάμει του άρθρου 31 της οδηγίας 95/46/ΕΚ, συμπεριλαμβανομένων οποιωνδήποτε αποδεικτικών στοιχείων τα οποία θα ήταν δυνατόν να επηρεάσουν την εκτίμηση, βάσει του άρθρου 1 της παρούσας απόφασης, σύμφωνα με την οποία η Ουγγαρία παρέχει ικανοποιητικό επίπεδο προστασίας, κατά την έννοια του άρθρου 25 της οδηγίας 95/46/ΕΚ, καθώς και οποιωνδήποτε αποδεικτικών στοιχείων ότι η απόφαση εφαρμόζεται κατά τρόπο που επιφέρει διακρίσεις.

2. Η Επιτροπή υποβάλλει, εφόσον χρειάζεται, σχέδιο μέτρων σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 31 της οδηγίας 95/46/ΕΚ.

Άρθρο 5

Τα κράτη μέλη λαμβάνουν όλα τα απαραίτητα μέτρα για να συμμορφωθούν με την παρούσα απόφαση το αργότερο εντός ενενήντα ημερών μετά την ημερομηνία κοινοποίησής της στα κράτη μέλη.

Άρθρο 6

Η παρούσα απόφαση απευθύνεται στα κράτη μέλη.

Βρυξέλλες, 26 Ιουλίου 2000.

Για την Επιτροπή

Frederik Bolkestein

Μέλος της Επιτροπής

(1) ΕΕ L 281 της 23.11.1995, σ. 31.

(2) Γνώμη 12/98, η οποία εκδόθηκε από την ομάδα προστασίας στις 24 Ιουλίου 1998: "Διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες, κατ' εφαρμογή των άρθρων 25 και 26 της κοινοτικής οδηγίας για των προστασία των δεδομένων" (ΓΔ MARKT D/5025/98). Βλέπε διαδίκτυο στην ακόλουθη διεύθυνση: http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.

(3) Βλέπε διαδίκτυο στη διεύθυνση: http://conventions.coe.int/treaty/EN/cadreintro.htm.

(4) Γνώμη 6/1999 που εξέδωσε η ομάδα προστασίας στις 7 Σεπτεμβρίου 1999 (ΓΔ MARKT 5070/1999). Βλέπε διαδίκτυο στη διεύθυνση που αναφέρεται στην υποσημείωση 2.