Komission päätös,

tehty 26 päivänä heinäkuuta 2000,

Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisesti henkilötietojen riittävästä suojasta Unkarissa

(tiedoksiannettu numerolla K(2000) 2305)

(ETA:n kannalta merkityksellinen teksti)

(2000/519/EY)

EUROOPAN YHTEISÖJEN KOMISSIO, joka

ottaa huomioon Euroopan yhteisön perustamissopimuksen,

ottaa huomioon yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY(1) ja erityisesti 25 artiklan 6 kohdan,

sekä katsoo seuraavaa:

(1) Direktiivin 95/46/EY mukaan jäsenvaltioiden on säädettävä siitä, että henkilötietoja voidaan siirtää kolmansiin maihin ainoastaan, jos kyseisessä kolmannessa maassa turvataan tietosuojan riittävä taso ja direktiivin muiden säännösten täytäntöönpanemiseksi annettuja jäsenvaltioiden lakeja noudatetaan ennen tietojen siirtämistä.

(2) Komissio voi todeta, että kolmas maa turvaa tietosuojan riittävän tason. Henkilötietojen siirtäminen jäsenvaltioista voidaan tässä tapauksessa sallia ilman lisätakeita.

(3) Direktiivin 95/46/EY mukaisesti tietosuojan taso olisi arvioitava kaikkien tiettyyn siirtoon tai siirtojen ryhmään liittyvien olosuhteiden osalta. Direktiivin mukaisesti perustettu tietosuojatyöryhmä on antanut ohjeet arvioinnin tekemisestä(2).

(4) Koska kolmannet maat suhtautuvat eri tavoin tietosuojaan, tietosuojan riittävyys olisi arvioitava ja kaikki direktiivin 95/46/EY 25 artiklan 6 kohtaan perustuvat päätökset olisi pantava täytäntöön tavalla, joka ei mielivaltaisesti tai epäoikeudenmukaisesti syrji mitään kolmatta maata tai tee eroa niiden välillä, jos niissä vallitsevat samanlaiset olosuhteet, tai muodosta peiteltyä kaupan estettä yhteisön nykyiset kansainväliset sitoumukset huomioon ottaen.

(5) Unkarissa henkilötietoja suojataan oikeusnormeilla, joilla on sitova oikeusvaikutus.

(6) Yksityisyyden suojasta, erityisesti henkilötietojen käsittelyn osalta, säädetään Unkarin perustuslain 59 pykälässä. Säännökset vahvistetaan 17 päivänä marraskuuta 1992 annetussa laissa LXIII, joka tuli voimaan 1 päivänä toukokuuta 1993. Henkilötietojen suojaan liittyviä säännöksiä on sisällytetty myös lakeihin aloilla, kuten tilastointi, kaupalliset tutkimukset, tieteellinen tutkimus ja terveys.

(7) Unkari ratifioi 1 päivänä helmikuuta 1998 yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn Euroopan neuvoston yleissopimuksen (yleissopimus N:o 108)(3), jonka tarkoituksena on vahvistaa henkilötietojen suojaa ja varmistaa vapaa liikkuvuus sopimuspuolten välillä niiden asettamien ehtojen mukaisesti. Vaikka yleissopimusta ei sellaisenaan sovelleta, sillä määrätään Unkarin kansainvälisistä sitoumuksista, jotka koskevat sekä suojan perusperiaatteita, jotka sopimuspuolten on saatettava voimaan kansallisessa lainsäädännössään, että sopimuspuolten keskinäisen yhteistyön mekanismeja. Unkarin toimivaltaisten viranomaisten on erityisesti annettava muiden sopimuspuolten viranomaisille niiden pyynnöstä kaikki tiedot tietosuojaa koskevasta lainsäädännöstä ja hallinnollisesta käytännöstä sekä tiettyjen automaattiseen tietojenkäsittelyyn liittyvät tiedot. Niiden on myös autettava kaikkia ulkomailla asuvia henkilöitä käyttämään oikeuttaan saada tietää itseään koskevien rekisteritietojen käsittelystä, saada itseään koskevat tiedot, pyytää tietojen mahdollista korjaamista tai poistamista ja hakea muutosta.

(8) Unkarissa sovellettaviin oikeusnormeihin sisältyvät kaikki perusperiaatteet, joita tarvitaan sen toteamiseksi, että luonnollisten henkilöiden suojelun taso on riittävä, vaikka tärkeiden yleisten etujen turvaamiseksi säädetään myös poikkeuksista ja rajoituksista. Näiden normien soveltaminen taataan muutoksenhakukeinoin ja riippumattomalla valvonnalla, jota suorittaa parlamentin nimeämä asiamies vuoden 1992 lain LXIII mukaisesti. Lisäksi laissa on taattu korvaus henkilöille, joille on aiheutunut vahinkoa laittomasta käsittelystä.

(9) Avoimuuden saavuttamiseksi ja sen turvaamiseksi, että jäsenvaltioiden toimivaltaiset viranomaiset kykenevät varmistamaan yksityishenkilöiden suojelun henkilötietoja käsiteltäessä, päätöksessä on tarpeen määritellä poikkeukselliset olot, joissa tiettyjen tiedonsiirtojen keskeyttäminen on perusteltua siitä huolimatta, että tietosuojan taso on todettu riittäväksi.

(10) Direktiivin 95/46/EY 29 artiklalla perustettu tietosuojatyöryhmä on antanut lausunnon Unkarin lain tietosuojan tasosta(4), ja lausunto on otettu huomioon tätä päätöstä laadittaessa.

(11) Tässä päätöksessä säädetyt toimenpiteet ovat direktiivin 95/46/EY 31 artiklalla perustetun komitean lausunnon mukaiset,

ON TEHNYT TÄMÄN PÄÄTÖKSEN:

1 artikla

Direktiivin 95/46/EY 25 artiklan 2 kohdan osalta Unkarin katsotaan tarjoavan kaikessa direktiivin soveltamisalaan kuuluvassa toiminnassa henkilötietojen suojan riittävän tason yhteisöstä siirrettäville henkilötiedoille.

2 artikla

Tämä päätös koskee ainoastaan Unkarissa säädetyn tietosuojan riittävyyttä direktiivin 95/46/EY 25 artiklan 1 kohdan vaatimusten mukaisesti, eikä se vaikuta muihin sellaisiin ehtoihin tai rajoituksiin, joilla pannaan täytäntöön direktiivin muita, henkilötietojen käsittelyä jäsenvaltioissa koskevia säännöksiä.

3 artikla

1. Rajoittamatta jäsenvaltioiden toimivaltaisten viranomaisten valtuuksia toteuttaa toimenpiteitä direktiivin 95/46/EY muiden kuin 25 artiklan säännösten noudattamiseksi annettujen kansallisten säännösten noudattamisen varmistamiseksi, jäsenvaltioiden toimivaltaiset viranomaiset voivat käyttää nykyisiä valtuuksiaan Unkarissa olevalle vastaanottajalle toimitettavien tietojen siirron keskeyttämiseksi yksityishenkilöiden suojelemiseksi heitä koskevien henkilötietojen käsittelemisen osalta tapauksissa, joissa:

a) Unkarin toimivaltainen viranomainen on todennut, että tietojen vastaanottaja rikkoo sovellettavia suojanormeja; tai

b) on ilmeisen todennäköistä, että suojanormeja rikotaan; voidaan perustellusti olettaa, että Unkarin toimivaltainen viranomainen ei ole toteuttanut tai toteuta ajoissa tarvittavia toimenpiteitä kyseessä olevan tapauksen ratkaisemiseksi; siirron jatkaminen aiheuttaisi välittömän, vakavan haitan vaaran rekisteröidyille ja jäsenvaltion toimivaltaiset viranomaiset ovat olosuhteisiin nähden kohtuullisessa määrin pyrkineet antamaan tietojen käsittelystä vastaavalle Unkariin sijoittautuneelle osapuolelle ilmoituksen ja tilaisuuden vastata siihen.

Keskeyttäminen lakkaa heti, kun suojanormien noudattaminen on varmistunut ja asianomaiselle yhteisön toimivaltaiselle viranomaiselle siitä ilmoitettu.

2. Jäsenvaltioiden on ilmoitettava viipymättä komissiolle 1 kohdan mukaisesti toteutetuista toimenpiteistä.

3. Jäsenvaltiot ja komissio ilmoittavat toisilleen myös tapauksista, joissa suojanormien noudattamisen varmistamisesta Unkarissa vastuussa olevat elimet eivät voi varmistaa noudattamista.

4. Jos 1, 2 ja 3 kohdan mukaisesti saadut tiedot osoittavat, että jokin suojanormien noudattamisen varmistamisesta Unkarissa vastuussa oleva elin ei tosiasiallisesti hoida tehtäväänsä, komissio tiedottaa asiasta Unkarin toimivaltaiselle viranomaiselle ja esittää tarvittaessa direktiivin 95/46/EY 31 artiklassa säädettyä menettelyä noudattaen luonnoksen toimenpiteistä, joiden tarkoituksena on kumota tämä päätös tai lykätä sen soveltamista taikka rajoittaa sen soveltamisalaa.

4 artikla

1. Tätä päätöstä voidaan muuttaa milloin tahansa sen toiminnasta saatujen kokemusten perusteella tai Unkarin lainsäädännön muuttuessa.

Komissio arvioi käytettävissä olevien tietojen perusteella tämän päätöksen toimintaa, kun päätöksen antamisesta tiedoksi jäsenvaltioille on kulunut kolme vuotta, ja toimittaa direktiivin 95/46/EY 31 artiklalla perustetulle komitealle kaikki olennaiset havainnot, myös kaikki todisteet, jotka voivat vaikuttaa tämän päätöksen 1 artiklan mukaiseen arvioon siitä, onko tietosuojan taso Unkarissa direktiivin 95/46/EY 25 artiklassa tarkoitetussa merkityksessä riittävä, ja kaikki todisteet päätöksen syrjivästä soveltamisesta.

2. Komissio tekee tarvittaessa ehdotuksen toteutettavista toimenpiteistä direktiivin 95/46/EY 31 artiklassa säädettyä menettelyä noudattaen.

5 artikla

Jäsenvaltioiden on toteutettava kaikki tämän päätöksen noudattamisen edellyttämät toimenpiteet viimeistään yhdeksänkymmenen päivän kuluessa siitä päivästä, jona se on annettu tiedoksi jäsenvaltioille.

6 artikla

Tämä päätös on osoitettu kaikille jäsenvaltioille.

Tehty Brysselissä 26 päivänä heinäkuuta 2000.

Komission puolesta

Frederik Bolkestein

Komission jäsen

(1) EYVL L 281, 23.11.1995, s. 31.

(2) Työryhmän 24 päivänä heinäkuuta 1998 antama lausunto 12/98: "Henkilötietojen siirto kolmansiin maihin: EU:n tietosuojadirektiivin 25 ja 26 artiklan soveltaminen" (PO MARKT D/5025/98), ks. Internet-osoite http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm.

(3) Ks. Internet-osoite http://conventions.coe.int/treaty/EN/cadreintro.htm.

(4) Työryhmän 7 päivänä syyskuuta 1999 antama lausunto 6/99 (PO MARKT 5070/99), ks. Internet-osoite alaviitteessä 2.