|
23.8.2012 |
ET |
Euroopa Liidu Teataja |
L 227/11 |
KOMISJONI RAKENDUSOTSUS,
21. august 2012,
isikuandmete piisava kaitse kohta Uruguay Idavabariigis seoses isikuandmete automaatse töötlemisega vastavalt Euroopa Parlamendi ja nõukogu direktiivile 95/46/EÜ
(teatavaks tehtud numbri C(2012) 5704 all)
(EMPs kohaldatav tekst)
(2012/484/EL)
EUROOPA KOMISJON
võttes arvesse Euroopa Liidu toimimise lepingut,
võttes arvesse Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta, (1) eriti selle artikli 25 lõiget 6,
olles konsulteerinud Euroopa andmekaitseinspektoriga (2)
ning arvestades järgmist:
|
(1) |
Direktiivi 95/46/EÜ kohaselt peavad liikmesriigid sätestama, et isikuandmeid võib kolmandale riigile edastada üksnes juhul, kui kõnealuses kolmandas riigis on tagatud andmekaitse piisav tase ning kui enne andmete edastamist järgitakse direktiivi muude sätete rakendamist käsitlevaid liikmesriikide õigusakte. |
|
(2) |
Komisjon võib järeldada, et kolmas riik tagab andmekaitse piisava taseme. Sel juhul võib liikmesriikidest isikuandmeid edastada ilma lisatagatisteta. |
|
(3) |
Vastavalt direktiivile 95/46/EÜ tuleb andmekaitse taseme hindamisel silmas pidada kõiki andmete edastamise toimingute või andmete edastamise toimingute kogumi asjaolusid ning pöörata erilist tähelepanu mitmele andmete edastamise seisukohalt olulistele ja direktiivi artiklis 25 loetletud tegurile. |
|
(4) |
Kuna kolmandad riigid suhtuvad andmekaitsesse erineval viisil, tuleks hinnata andmekaitse piisavust ning teha ja jõustada kõik direktiivi 95/46/EÜ artikli 25 lõikel 6 põhinevad otsused viisil, mis ei tekita meelevaldset või põhjendamatut diskrimineerimist selliste kolmandate riikide suhtes või vahel, kus valitsevad samasugused tingimused, või kaubanduse varjatud tõkestamist, võttes arvesse Euroopa Liidu kehtivaid rahvusvahelisi kohustusi. |
|
(5) |
Uruguay Idavabariigi põhiseaduses, mis võeti vastu 1967. aastal, ei tunnistata selgesõnaliselt õigust eraelu puutumatusele ja isikuandmete kaitsele. Ometi ei ole põhiõiguste loetelu lõplik, pidades silmas, et põhiseaduse artiklis 72 on sätestatud, et põhiseaduses loetletud õigused, kohustused ja tagatised ei välista teisi õigusi, kohustusi ja tagatisi, mis kuuluvad inimese põhiõiguste hulka või mis tulenevad valitsuse vabariiklikust korrast. 11. augusti 2008. aasta seaduses nr 18.331 isikuandmete kaitse ning õiguskaitsevahendi habeas data kohta (Ley No 18.331 de Protección de Datos Personales y Acción de „Habeas Data”) artiklis 1 on selgesõnaliselt sätestatud, et: „Õigus isikuandmete kaitsele kuulub inimese põhiõiguste hulka, mistõttu vabariigi põhiseaduse artikkel 72 hõlmab seda”. Põhiseaduse artiklis 332 on sätestatud, et põhiseaduse nende ettekirjutuste kohaldamist, millega tunnistatakse üksikisikute õigusi ning millega määratakse kindlaks avalike asutuste õigused ja kohustused, ei tohiks takistada asjakohaste eeskirjade puudumine, vaid pigem tuleks sel juhul tugineda aluseks olevatele sarnastele seadustele, õiguspõhimõtetele ja üldiselt heakskiidetud doktriinidele. |
|
(6) |
Isikuandmete kaitset käsitlevate õigusnormide aluseks Uruguay Idavabariigis on peamiselt direktiiviga 95/46/EÜ kehtestatud õigusnormid ja need on sätestatud 11. augusti 2008. aasta seaduses nr 18.331 isikuandmete kaitse ning õiguskaitsevahendi habeas data kohta (Ley No 18.331 de Protección de Datos Personales y Acción de „Habeas Data”). Seadus hõlmab füüsilisi ja juriidilisi isikuid. |
|
(7) |
Seda seadust täiendab 31. augusti 2009. aasta dekreet nr 414/009, mis võeti vastu, et selgitada seaduse eri aspekte ja sätestada üksikasjalikult andmekaitse järelevalveasutuse ülesehitus, volitused ja töö. Dekreedi preambulis on välja toodud, et on asjakohane kohandada riigi õiguslikku süsteemi selles küsimuses vastavalt kõige aktsepteeritumale võrreldavale õiguslikule korrale, eelkõige sellisele, mis on kehtestatud Euroopa riikides direktiiviga 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta. |
|
(8) |
Andmekaitset käsitlevaid sätteid sisaldab ka hulk eriõigusakte, millega luuakse andmebaase ja reguleeritakse nende tööd, nimelt õigusaktid, mis reguleerivad teatavate avalike registrite tööd (avalikud dokumendid, tööstusomand ja kaubamärgid, eradokumendid, kinnisvara, kaevandamine, krediidiinfo). Seadust nr 18.331 kohaldatakse põhiseaduse artikli 332 kohaselt nende seaduste suhtes küsimustes, mida nimetatud eriõigusaktid ei hõlma. |
|
(9) |
Uruguay Idavabariigis kohaldatavad õigusnormid hõlmavad kõiki üldpõhimõtteid, mis on vajalikud füüsiliste isikute kaitse piisava taseme tagamiseks, kuid samal ajal sätestatakse tähtsate üldiste huvide kaitse eesmärgil ka teatavad erandid ja piirangud. Andmekaitse õigusnormid ja nende erandid kajastavad direktiivis 95/46/EÜ sätestatut. |
|
(10) |
Kõnealuste andmekaitse õigusnormide kohaldamine tagatakse haldus- ja õiguskaitsevahenditega, eelkõige habeas data õiguskaitsevahendiga, mis võimaldab andmesubjektil andmete töötleja kohtusse kaevata, et jõustada oma andmetele juurdepääsu, nende parandamise ja kustutamise õigust, ning sõltumatu järelevalve abil, mida teostab järelevalveasutusena isikuandmete reguleerimise ja kontrollimise üksus (Unidad Reguladora y de Control de Datos Personales (URCDP), millele on antud direktiivi 95/46/EÜ artikliga 28 uurimis- ja sekkumisvolitused ning mis tegutseb täiesti sõltumatult Lisaks on huvitatud isikutel õigus õiguslikule hüvitisele, mis katab isikule tema isikuandmete ebaseadusliku töötlemise tõttu tekkinud kahjud. |
|
(11) |
Uruguay andmekaitseasutus on esitanud selgitused ja kinnitused selle kohta, kuidas Uruguay õigust tuleks tõlgendada ning on kinnitanud, et Uruguay andmekaitse eeskirju rakendatakse sellise tõlgendamise kohaselt. Eelkõige on Uruguay andmekaitseasutused selgitanud, et vastavalt põhiseaduse artiklile 332, saab seadust nr 18.331 täiendavalt kohaldada õigusaktide suhtes, millega luuakse ja reguleeritakse eriandmebaase, seoses nende küsimustega, mida eriõigusvahendid ei reguleeri. Samuti on selgitatud, et seoses seaduse nr 18.331 artikli 9 punktis c osutatud loeteludega, mille puhul ei ole vaja andmesubjekti nõusolekut, on seadus kohaldatav, nimelt proportsionaalsuse ja lõplikkuse põhimõte, andmesubjekti õigused ja andmekaitseasutuse järelevalvekohustus. Seoses läbipaistvuse põhimõttega on Uruguay andmekaitseasutused teavitanud kohustusest anda andmesubjektile igal juhul vajalik teave. Seoses juurdepääsuõigusega on andmekaitseasutus selgitanud, et piisab sellest, kui andmesubjekt tõendab taotluse esitamisel oma isiku. Uruguay andmekaitseasutused on selgitanud, et erandid rahvusvaheliste isikuandmete edastamisest, mis on sätestatud seaduse nr 18.331 artikli 23 lõikes 1, ei ole mõistetavad direktiivi 95/46/EÜ artikli 26 lõike 1 laiema kohaldatavusena. |
|
(12) |
Käesolev otsus võtab arvesse nimetatud selgitusi ja kinnitusi ning põhineb seega neil. |
|
(13) |
Uruguay Idavabariik on 22. novembril 1969. aastal koostatud ja 18. juulil 1978 jõustunud inimõiguste Ameerika konventsiooni (3) (Pact of San José de Costa Rica) osaline. Konventsiooni artiklis 11 on sätestatud õigus eraelu puutumatusele ja artiklis 30 on sätestatud, et konventsiooni kohaselt seatavaid piiranguid konventsiooniga tunnustatud õigustele ja vabadustele tohib kohaldada vaid kooskõlas üldhuvi järgivate seaduste ja kooskõlas piirangute eesmärgiga (artikkel 30). Lisaks on Uruguay Idavabariik tunnustanud Ameerika inimõiguste kohtu pädevust. Lisaks kutsuti Euroopa Nõukogu ministrite komitee 6. juuli 2011. aasta 1118. kohtumisel Uruguay Idavabariiki üles liituma konventsiooniga (üksikisikute kaitse kohta isikuandmete automaattöötlusel) (ETS nr 108) ja selle lisaprotokolliga (ETS nr 118) pärast asjaomaselt nõuandekomiteelt saadud positiivset vastust (4). |
|
(14) |
Seetõttu tuleks isikuandmete kaitse Uruguay Idavabariigis lugeda piisavaks direktiivi 95/46/EÜ tähenduses. |
|
(15) |
Käesolev otsus peaks käsitlema isikuandmete kaitse piisavust Uruguay Idavabariigis direktiivi 95/46/EÜ artikli 25 lõikes 1 esitatud nõuetele vastamise seisukohast. See ei peaks mõjutama muid tingimusi või piiranguid selle direktiivi muude sätete rakendamisel, mis käsitlevad isikuandmete töötlemist liikmesriikides. |
|
(16) |
Selguse ja arusaadavuse huvides ning võimaldamaks liikmesriikide pädevatel ametiasutustel tagada üksikisikute kaitset nende isikuandmete töötlemisel, tuleb kindlaks määrata need erandlikud asjaolud, mille korral teatava andmevahetuse peatamine on põhjendatud, olenemata sellest, et andmekaitse tase on tunnistatud piisavaks. |
|
(17) |
Komisjon peaks jälgima käesoleva otsuse toimimist ja esitama direktiivi 95/46/EÜ artikli 31 alusel loodud komiteele aruande kõigi järelduste kohta. Selline järelevalve peaks muu hulgas hõlmama Uruguay Idavabariigis kohaldatavat rahvusvaheliste lepingute raames toimuva andmete edastamise korda. |
|
(18) |
Direktiivi 95/46/EÜ artikli 29 alusel loodud töörühm üksikisikute kaitseks seoses isikuandmete töötlemisega on esitanud isikuandmete kaitse piisava taseme kohta pooldava arvamuse, mida on käesoleva rakendusotsuse (5) ettevalmistamisel arvesse võetud. |
|
(19) |
Käesoleva otsusega ettenähtud meetmed on kooskõlas direktiivi 95/46/EÜ artikli 31 lõike 1 alusel loodud komitee arvamusega, |
ON VASTU VÕTNUD KÄESOLEVA OTSUSE:
Artikkel 1
1. Direktiivi 95/46/EÜ artikli 25 lõike 2 kohaldamiseks loetakse Uruguay Idavabariik riigiks, kus on tagatud Euroopa Liidust edastatud isikuandmete kaitse piisav tase.
2. Uruguay Idavabariigi pädev järelevalveasutus seoses andmekaitse õigusnormide kohaldamisega Uruguay Idavabariigis on nimetatud käesoleva otsuse lisas.
Artikkel 2
1. Ilma et see piiraks liikmesriikide pädevate asutuste volitusi võtta meetmeid selleks, et tagada vastavus muudele sätetele kui direktiivi 95/46/EÜ artikli 25 kohaselt võetud siseriiklikele õigusnormidele, võivad nimetatud asutused kasutada olemasolevaid volitusi peatada andmete edastamine Uruguay Idavabariigis asuvale vastuvõtjale, et kaitsta üksikisikuid seoses nende isikuandmete töötlemisega järgmistel juhtudel:
|
a) |
Uruguay pädev ametiasutus on kindlaks teinud, et vastuvõtja rikub kehtivaid kaitsenõudeid või |
|
b) |
kui on väga tõenäoline, et kaitsenõudeid rikutakse, on põhjust arvata, et Uruguay pädev ametiasutus ei võta ega kavatse võtta aegsasti asjakohaseid meetmeid kõnealuse olukorra lahendamiseks, andmeedastuse jätkamine võib kujutada andmesubjektide jaoks vältimatut tõsise kahju ohtu ning liikmesriikide pädevad ametiasutused on asjaolusid arvestades võtnud piisavaid meetmeid Uruguay Idavabariigis asuva töötlemise eest vastutava osapoole teavitamiseks ja andnud talle võimaluse vastata. |
2. Peatamine lõpetatakse kohe, kui on tagatud kaitsenõuete järgimine ning asjaomase liikmesriigi pädevale ametiasutusele on sellest teatatud.
Artikkel 3
1. Liikmesriigid teatavad artikli 2 alusel võetud meetmetest viivitamata komisjonile.
2. Liikmesriigid ja komisjon teatavad üksteisele juhtudest, mil Uruguay Idavabariigis kaitsenõuete järgimise tagamise eest vastutavate organite tegevus ei ole taganud kaitsenõuete järgimist.
3. Kui artikli 2 ning selle lõigete 1 ja 2 kohaselt kogutud teave tõendab, et mõni Uruguay Idavabariigi kaitsenõuete järgimise tagamise eest vastutav ametiasutus ei täida oma ülesandeid tõhusalt, teavitab komisjon Uruguay pädevat ametiasutust ning esitab vajaduse korral direktiivi 95/46/EÜ artikli 31 lõikes 2 sätestatud korras eelnõud meetmete kohta, mille eesmärk on käesolev otsus kehtetuks tunnistada või peatada või piirata selle reguleerimisala.
Artikkel 4
Komisjon jälgib käesoleva otsuse toimimist ning esitab direktiivi 95/46/EÜ artikli 31 alusel loodud komiteele aruande kõigi asjakohaste järelduste kohta, sealhulgas tõendid, mis võivad mõjutada käesoleva otsuse artiklis 1 esitatud järeldust, et Uruguay Idavabariigis pakutav kaitse on direktiivi 95/46/EÜ artikli 25 tähenduses piisav, ning tõendid selle kohta, et käesolevat otsust rakendatakse diskrimineerival viisil.
Artikkel 5
Liikmesriigid võtavad kõik käesoleva otsuse järgimiseks vajalikud meetmed [kolme kuu] jooksul alates otsuse teatavakstegemise kuupäevast.
Artikkel 6
Käesolev otsus on adresseeritud liikmesriikidele.
Brüssel, 21. august 2012
Komisjoni nimel
asepresident
Viviane REDING
(1) EÜT L 281, 23.11.1995, lk 31.
(2) 31. augusti 2011. aasta kiri.
(3) Organisation of American States; O.A.S, Treaty Series, No 36, 1144 U.N.T.S. 123. http://www.oas.org/juridico/english/treaties/b-32.html
(4) Euroopa Nõukogu: https://wcd.coe.int/wcd/ViewDoc.jsp?Ref=CM/Del/Dec(2011)1118/10.3&Language=lanEnglish&Ver=original&Site=CM&BackColorInternet=DBDCF2&BackColorIntranet=FDC864&BackColorLogged=FDC864
(5) Arvamus 6/2010 isikuandmete kaitse taseme kohta Uruguay Idavabariigis. Kättesaadav: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp177_en.pdf.
LISA
Käesoleva otsuse artikli 1 lõikes 2 osutatud pädev järelevalveamet:
|
Unidad Reguladora y de Control de Datos Personales (URCDP), |
|
Andes 1365, Piso 8 |
|
Tel: +598 2901 2929 Int. 1352 |
|
11.100 Montevideo |
|
URUGUAY |
E-posti aadress: http://www.datospersonales.gub.uy/sitio/contactenos.aspx
On-line kaebused: http://www.datospersonales.gub.uy/sitio/denuncia.aspx
Veebisait: http://www.datospersonales.gub.uy/sitio/index.aspx