32003D0490

2003/490/ΕΚ: Απόφαση της Επιτροπής, της 30ής Ιουνίου 2003, δυνάμει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια προστασίας δεδομένων προσωπικού χαρακτήρα στην Αργεντινή (Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

Επίσημη Εφημερίδα αριθ. L 168 της 05/07/2003 σ. 0019 - 0022


Απόφαση της Επιτροπής

της 30ής Ιουνίου 2003

δυνάμει της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με την επάρκεια προστασίας δεδομένων προσωπικού χαρακτήρα στην Αργεντινή

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

(2003/490/ΕΚ)

Η ΕΠΙΤΡΟΠΗ ΤΩΝ ΕΥΡΩΠΑΪΚΩΝ ΚΟΙΝΟΤΗΤΩΝ,

Έχοντας υπόψη:

τη συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας,

την οδηγία 95/46/EΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών(1), και ιδίως το άρθρο 25 παράγραφος 6,

Εκτιμώντας τα ακόλουθα:

(1) Δυνάμει της οδηγίας 95/46/EΚ τα κράτη μέλη οφείλουν να προβλέπουν ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα επιτρέπεται μόνο εάν η εν λόγω τρίτη χώρα εξασφαλίζει επαρκές επίπεδο προστασίας και εφόσον τηρούνται πριν από τη διαβίβαση οι νομοθετικές διατάξεις των κρατών μελών κατ' εφαρμογή άλλων διατάξεων της οδηγίας.

(2) Η Επιτροπή μπορεί να αποφανθεί ότι μια τρίτη χώρα εξασφαλίζει επαρκές επίπεδο προστασίας. Στην περίπτωση αυτή, τα κράτη μέλη μπορούν να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα χωρίς να απαιτούνται πρόσθετες εγγυήσεις.

(3) Δυνάμει της οδηγίας 95/46/EΚ το επίπεδο προστασίας των δεδομένων πρέπει να σταθμίζεται λαμβανομένων υπόψη όλων των περιστάσεων που επηρεάζουν μία διαβίβαση ή κατηγορία διαβιβάσεων δεδομένων, και σε συνάρτηση με μία σειρά παράγοντες που αφορούν τη διαβίβαση και απαριθμούνται στο άρθρο 25 παράγραφος 2. Η ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που θεσπίστηκε δυνάμει του άρθρου 29 της οδηγίας 95/46/ΕΚ, εξέδωσε κατευθυντήριες γραμμές για την πραγματοποίηση παρόμοιων αξιολογήσεων(2).

(4) Δεδομένων των διαφορετικών προσεγγίσεων που ακολουθούνται όσον αφορά την προστασία των δεδομένων στις τρίτες χώρες, πρέπει η αξιολόγηση για την επάρκεια της προστασίας και η επιβολή της εφαρμογής κάθε απόφασης, που βασίζεται στο άρθρο 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ να γίνονται με τρόπο που να μην επιφέρει αυθαίρετες ή αδικαιολόγητες διακρίσεις εις βάρος ή μεταξύ τρίτων χωρών στις οποίες επικρατούν παρόμοιες συνθήκες ούτε να αποτελεί συγκεκαλυμμένο εμπόδιο για τις εμπορικές συναλλαγές, λαμβανομένων υπόψη των σημερινών διεθνών δεσμεύσεων της Κοινότητας.

(5) Όσον αφορά την Αργεντινή οι κανόνες δικαίου στον τομέα της προστασίας των δεδομένων προσωπικού χαρακτήρα κατοχυρώνονται μέσω γενικών και τομεακών κανόνων. Αμφότεροι οι κανόνες έχουν δεσμευτικό νομικό χαρακτήρα.

(6) Γενικοί κανόνες καθορίζονται στο Σύνταγμα, στο νόμο για την προστασία δεδομένων προσωπικού χαρακτήρα αριθ. 25.326 και στον κανονισμό που εγκρίθηκε με την απόφαση αριθ. 1558/2001 (στο εξής "αργεντινό δίκαιο").

(7) Tο Σύνταγμα της Αργεντινής προβλέπει μία ειδική δικαστική προσφυγή για την προστασία των δεδομένων προσωπικού χαρακτήρα, γνωστή ως "habeas data". Πρόκειται για μία υποκατηγορία της διαδικασίας που προβλέπεται στο Σύνταγμα για την προστασία των συνταγματικών δικαιωμάτων και κατά τον τρόπο αυτό η προστασία των δεδομένων προσωπικού χαρακτήρα αναγορεύεται σε θεμελιώδες δικαίωμα. Σύμφωνα με το άρθρο 43 παράγραφος 3 του Συντάγματος κάθε πρόσωπο έχει το δικαίωμα, υπό τον κανόνα της "habeas data", να πληροφορηθεί το περιεχόμενο όλων των δεδομένων που τον ή την αφορούν καθώς και τη χρήση τους, τα οποία περιέχονται σε δημόσια αρχεία ή τράπεζες δεδομένων, ή ιδιωτικά αρχεία ή τράπεζες δεδομένων με σκοπό την παροχή πληροφοριών. Σύμφωνα με το εν λόγω άρθρο, στην περίπτωση ψευδών πληροφοριών ή της χρησιμοποίησής τους για σκοπούς που συνιστούν διακριτική μεταχείριση, το θιγόμενο πρόσωπο μπορεί να ζητήσει τη διαγραφή, διόρθωση, τήρηση εμπιστευτικότητας ή ενημέρωση των στοιχείων που περιέχονται στα παραπάνω αρχεία. Το άρθρο δεν επηρεάζει την εμπιστευτικότητα των δημοσιογραφικών πηγών. Η αργεντινή νομολογία έχει αναγνωρίσει τη διαδικασία "habeas data" ως θεμελιώδες δικαίωμα αμέσου εφαρμογής.

(8) Ο νόμος 25.326 για την προστασία των δεδομένων προσωπικού χαρακτήρα της 4ης Οκτωβρίου 2000 (στο εξής "ο νόμος"), αναπτύσσει και διευρύνει τις συνταγματικές διατάξεις. Περιέχει διατάξεις που αφορούν τις γενικές αρχές προστασίας των δεδομένων, τα δικαιώματα των προσώπων που αφορούν τα δεδομένα, τις υποχρεώσεις των υπεύθυνων επεξεργασίας δεδομένων και των χρηστών δεδομένων, την αρχή ελέγχου ή τον ελεγκτικό φορέα, τις κυρώσεις και τους διαδικαστικούς κανόνες για τη δικαστική προσφυγή "habeas data".

(9) Ο κανονισμός που εγκρίθηκε με την απόφαση αριθ. 1558/2001 της 3ης Δεκεμβρίου 2001 (στο εξής "ο κανονισμός") προβλέπει κανόνες για την εφαρμογή του νόμου, συμπληρώνει τις διατάξεις του και διασαφηνίζει τα σημεία του νόμου που ενδέχεται να τύχουν αποκλίνουσας ερμηνείας.

(10) Tο αργεντινό δίκαιο καλύπτει την προστασία των δεδομένων προσωπικού χαρακτήρα που καταχωρούνται σε αρχεία δεδομένων, μητρώα, τράπεζες δεδομένων ή άλλα τεχνικά μέσα, που είναι δημόσια· καλύπτει, επίσης, την προστασία των προσωπικών δεδομένων που καταχωρούνται σε αρχεία δεδομένων, μητρώα, τράπεζες δεδομένων ή άλλα τεχνικά μέσα, που είναι ιδιωτικά, σκοπός των οποίων είναι η παροχή πληροφοριών. Μεταξύ αυτών περιλαμβάνονται και εκείνα που υπερβαίνουν την αποκλειστικά προσωπική χρήση καθώς και εκείνα που προορίζονται για την εκχώρηση ή διαβίβαση δεδομένων προσωπικού χαρακτήρα, ανεξαρτήτως από το εάν η διακίνηση των συλλεγόμενων δεδομένων ή πληροφοριών γίνεται έναντι αμοιβής ή δωρεάν.

(11) Ορισμένες διατάξεις του νόμου εφαρμόζονται ομοιόμορφα σε ολόκληρη την Αργεντινή. Πρόκειται για γενικές διατάξεις και διατάξεις που αφορούν γενικές αρχές προστασίας δεδομένων, δικαιώματα των προσώπων στα οποία αναφέρονται τα δεδομένα, υποχρεώσεις υπευθύνων επεξεργασίας δεδομένων και χρηστών αρχείων δεδομένων, μητρώων και τραπεζών δεδομένων, ποινικές κυρώσεις καθώς και την ύπαρξη και τα ουσιώδη χαρακτηριστικά της δικαστικής προσφυγής "habeas data" (όπως ορίζεται στο Σύνταγμα).

(12) Άλλες διατάξεις του νόμου εφαρμόζονται για μητρώα, αρχεία δεδομένων, βάσεις δεδομένων ή τράπεζες δεδομένων που διασυνδέονται μέσω δικτύων σε διαδικαιοδοτικό (υπό την έννοια του διαπεριφερειακού), εθνικό ή διεθνές επίπεδο και τα οποία θεωρούνται ότι υπόκεινται σε ομοσπονδιακή δικαιοδοσία. Αφορούν τον έλεγχο που ασκεί η αρχή ελέγχου, κυρώσεις που επιβάλλονται από την αρχή ελέγχου και τους διαδικαστικούς κανόνες που αφορούν την δικαστική προσφυγή "habeas data". Τα λοιπά είδη μητρώων, αρχείων δεδομένων, βάσεων δεδομένων ή τραπεζών δεδομένων πρέπει να θεωρούνται ότι υπόκεινται σε περιφερειακή δικαιοδοσία. Οι διοικητικές περιφέρειες μπορούν να εκδίδουν νομοθετικές διατάξεις για τα θέματα αυτά.

(13) Διατάξεις για την προστασία των δεδομένων περιέχονται, επίσης, σε μία σειρά νομικών μέσων που ρυθμίζουν διάφορους τομείς, όπως συναλλαγές με πιστωτικές κάρτες, στατιστικές, τραπεζικός τομέας και τομέας της υγείας.

(14) Tο αργεντινό δίκαιο καλύπτει όλες τις αναγκαίες βασικές αρχές για τη διασφάλιση επαρκούς επιπέδου προστασίας για τα φυσικά πρόσωπα, ακόμη και εάν προβλέπονται εξαιρέσεις και περιορισμοί για τη διασφάλιση σημαντικών δημόσιων συμφερόντων. Η εφαρμογή αυτών των κανόνων διασφαλίζεται, αφενός, με μία ειδική, απλουστευμένη και ταχεία δικαστική προσφυγή για την προστασία των δεδομένων προσωπικού χαρακτήρα, γνωστή ως "habeas data", καθώς και από άλλες γενικού χαρακτήρα δικαστικές προσφυγές. Ο νόμος προβλέπει τη σύσταση αρχής ελέγχου για την προστασία των δεδομένων, επιφορτισμένης με την ανάληψη όλων των αναγκαίων ενεργειών για τη συμμόρφωση με τους στόχους και τις διατάξεις του νόμου με εξουσίες σε θέματα έρευνας και παρέμβασης. Κατ' εφαρμογή του κανονισμού, συστάθηκε η εθνική υπηρεσία προστασίας των δεδομένων προσωπικού χαρακτήρα, ως αρχή ελέγχου. Το αργεντινό δίκαιο προβλέπει αποτελεσματικές και αποτρεπτικές κυρώσεις, διοικητικού και ποινικού χαρακτήρα. Επιπλέον, σε περίπτωση αθέμιτης επεξεργασίας που είναι επιζήμια για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, ισχύουν οι διατάξεις του αργεντινού νόμου όσον αφορά την αστική (συμβατική και εξω-συμβατική) ευθύνη.

(15) Η αργεντινή κυβέρνηση παρείχε εξηγήσεις και διαβεβαιώσεις ως προς τον τρόπο ερμηνείας του αργεντινού δικαίου και παρείχε επίσης διαβεβαιώσεις ότι οι κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα εφαρμόζονται σύμφωνα με αυτήν την ερμηνεία. Η παρούσα απόφαση βασίζεται στις εν λόγω επεξηγήσεις και διαβεβαιώσεις και είναι, επομένως, απολύτως συνυφασμένη με αυτές. Συγκεκριμένα, η παρούσα απόφαση βασίζεται στις επεξηγήσεις και στις διαβεβαιώσεις που παρείχαν οι αργεντινές αρχές ως προς τον τρόπο με τον οποίο πρέπει να ερμηνεύεται το αργεντινό δίκαιο όσον αφορά τον καθορισμό των περιπτώσεων που εμπίπτουν στο πεδίο εφαρμογής του αργεντινού δικαίου στον τομέα της προστασίας δεδομένων.

(16) Συνεπώς η Αργεντινή πρέπει να θεωρείται ότι παρέχει επαρκές επίπεδο προστασίας όσον αφορά τα δεδομένα προσωπικού χαρακτήρα κατά την έννοια της οδηγίας 95/46/ΕΚ.

(17) Προκειμένου να υπάρχει διαφάνεια και να διασφαλίζεται η ικανότητα των αρμόδιων αρχών των κρατών μελών να εξασφαλίζουν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, πρέπει να διευκρινίζονται στην παρούσα απόφαση οι εξαιρετικές περιπτώσεις που δικαιολογούν την αναστολή της ειδικής ροής δεδομένων, ανεξάρτητα από τη διαπίστωση επαρκούς επιπέδου προστασίας.

(18) Η ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συστάθηκε βάσει του άρθρου 29 της οδηγίας 95/46/EΚ εξέδωσε γνωμοδότηση σχετικά με το επίπεδο προστασίας δεδομένων προσωπικού χαρακτήρα στην Αργεντινή, η οποία ελήφθη υπόψη κατά την προετοιμασία της παρούσας απόφασης(3).

(19) Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνωμοδότηση της επιτροπής που συστάθηκε βάσει του άρθρου 31 παράγραφος 1 της οδηγίας 95/46/EΚ,

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:

Άρθρο 1

Για τους σκοπούς του άρθρου 25 παράγραφος 2 της οδηγίας 95/46/EΚ, η Αργεντινή θεωρείται ότι εξασφαλίζει ικανοποιητικό επίπεδο προστασίας δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από την Κοινότητα.

Άρθρο 2

Η παρούσα απόφαση αφορά μόνο την επάρκεια της προστασίας που παρέχεται στην Αργεντινή στο πλαίσιο της εκπλήρωσης των απαιτήσεων του άρθρου 25 παράγραφος 1 της οδηγίας 95/46/EΚ και δεν επηρεάζει άλλες προϋποθέσεις ή περιορισμούς, κατ' εφαρμογή άλλων διατάξεων της εν λόγω οδηγίας, οι οποίες αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη.

Άρθρο 3

1. Με την επιφύλαξη των εξουσιών τους να αναλαμβάνουν δράση ώστε να διασφαλίζουν την τήρηση των εθνικών διατάξεων που εκδίδονται βάσει διατάξεων άλλων εκτός του άρθρου 25 της οδηγίας 95/46/ΕΚ, οι αρμόδιες αρχές των κρατών μελών δύνανται να ασκούν τις εξουσίες που διαθέτουν για να αναστέλλουν τη ροή δεδομένων προς αποδέκτη στην Αργεντινή του οποίου οι δραστηριότητες εμπίπτουν στο πεδίο εφαρμογής του αργεντινού νόμου με στόχο την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, στις περιπτώσεις στις οποίες:

α) αρμόδια αργεντινή αρχή έχει διαπιστώσει ότι ο αποδέκτης παραβιάζει τους εφαρμοστέους κανόνες δικαίου προστασίας, ή

β) υπάρχει βάσιμη πιθανότητα παραβίασης των κανόνων δικαίου προστασίας· υπάρχει βάσιμη πεποίθηση ότι η αρμόδια αργεντινή αρχή δεν προέβη ή δεν πρόκειται να προβεί εγκαίρως στις ενδεικνυόμενες ενέργειες ώστε να διευθετήσει το επίμαχο ζήτημα· η συνεχιζόμενη διαβίβαση ενδέχεται να προκαλέσει άμεσο κίνδυνο σοβαρής ζημίας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα και οι αρμόδιες αρχές του κράτους μέλους κατέβαλαν, υπό τις επικρατούσες περιστάσεις, κάθε δυνατή προσπάθεια για να απευθύνουν προειδοποίηση στο αρμόδιο για την επεξεργασία μέρος που είναι εγκατεστημένο στην Αργεντινή και να του δώσουν τη δυνατότητα να αντιδράσει.

Η αναστολή της ροής δεδομένων λήγει αμέσως μόλις εξασφαλιστεί η τήρηση των κανόνων προστασίας και ενημερωθεί σχετικά η αρμόδια αρχή της Κοινότητας.

2. Τα κράτη μέλη πληροφορούν την Επιτροπή αμελλητί στις περιπτώσεις όπου λαμβάνονται μέτρα βάσει της παραγράφου 1.

3. Τα κράτη μέλη και η Επιτροπή ενημερώνονται αμοιβαία για τις περιπτώσεις όπου η δράση των φορέων που είναι αρμόδιοι για τη διασφάλιση συμμόρφωσης προς τους κανόνες προστασίας στην Αργεντινή αποτυγχάνει να διασφαλίσει την εν λόγω συμμόρφωση.

4. Εάν από τις πληροφορίες που συλλέγονται, δυνάμει των διατάξεων των παραγράφων 1, 2 και 3, προκύπτει ότι οποιοσδήποτε φορέας που είναι αρμόδιος για τη διασφάλιση συμμόρφωσης προς τους κανόνες προστασίας στην Αργεντινή δεν εκπληρώνει αποτελεσματικά την αποστολή του, η Επιτροπή ενημερώνει σχετικά την αρμόδια αργεντινή αρχή και, εάν κρίνεται απαραίτητο, υποβάλλει σχέδιο μέτρων σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 31, παράγραφος 2 της οδηγίας 95/46/ΕΚ με σκοπό την κατάργηση ή την αναστολή της παρούσας απόφασης ή τον περιορισμό του πεδίου εφαρμογής της.

Άρθρο 4

1. Η παρούσα απόφαση δύναται να αποτελέσει αντικείμενο αναθεώρησης ανά πάσα στιγμή υπό το φως της εμπειρίας που θα προκύψει από την εφαρμογή της ή αλλαγών στην αργεντινή νομοθεσία, στην εφαρμογή και στην ερμηνεία της.

Η Επιτροπή παρακολουθεί την εφαρμογή της παρούσας απόφασης και αναφέρει κάθε σχετικό πόρισμα της επιτροπής που συστάθηκε δυνάμει του άρθρου 31 της οδηγίας 95/46/ΕΚ, περιλαμβανομένων οποιωνδήποτε αποδεικτικών στοιχείων τα οποία θα ήταν δυνατόν να επηρεάσουν το πόρισμα του άρθρου 1 της παρούσας απόφασης σύμφωνα με το οποίο η Αργεντινή παρέχει επαρκές επίπεδο προστασίας κατά την έννοια του άρθρου 25 της οδηγίας 95/46/ΕΚ, καθώς και οποιωνδήποτε αποδεικτικών στοιχείων ότι η απόφαση εφαρμόζεται κατά τρόπο που επιφέρει διακρίσεις.

2. Η Επιτροπή, εάν κρίνεται απαραίτητο, υποβάλλει σχέδια μέτρων σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 31 παράγραφος 2 της οδηγίας 95/46/EΚ.

Άρθρο 5

Τα κράτη μέλη λαμβάνουν όλα τα απαραίτητα μέτρα για να συμμορφωθούν με την παρούσα απόφαση το αργότερο εντός εκατόν είκοσι ημερών μετά την ημερομηνία κοινοποίησής της στα κράτη μέλη.

Άρθρο 6

Η παρούσα απόφαση απευθύνεται στα κράτη μέλη.

Βρυξέλλες, 30 Ιουνίου 2003.

Για την Επιτροπή

Frederik Bolkestein

Μέλος της Επιτροπής

(1) ΕΕ L 281 της 23.11.1995, σ. 31.

(2) Γνωμοδότηση 12/98 που εγκρίθηκε από την ομάδα στις 24 Ιουλίου 1998: "Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες: εφαρμογή των άρθρων 25 και 26 της οδηγίας για την προστασία των δεδομένων της ΕΕ (ΓΔ ΜΑRKT D/5025/98)", διατίθεται στον Ιστοχώρο Europa της Ευρωπαϊκής Επιτροπής:

http://europa.eu.int/comm/ internal_market/en/dataprot/wpdocs/ wpdocs_98.htm

(3) Γνωμοδότηση 4/2002 σχετικά με το επίπεδο προστασίας δεδομένων προσωπικού χαρακτήρα στην Αργεντινή - WP 63 της 3ης Oκτωβρίου 2002, διατίθεται στη διεύθυνση:

http://europa.eu.int/comm/ internal_market/en/dataprot/wpdocs/ index.htm