|
21.10.2010 |
FI |
Euroopan unionin virallinen lehti |
L 277/27 |
KOMISSION PÄÄTÖS,
annettu 19 päivänä lokakuuta 2010,
Euroopan parlamentin ja neuvoston direktiivin 95/46/EY nojalla riittävästä henkilötietojen suojasta Andorrassa
(tiedoksiannettu numerolla K(2010) 7084)
(ETA:n kannalta merkityksellinen teksti)
(2010/625/EU)
EUROOPAN KOMISSIO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,
ottaa huomioon yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (1) ja erityisesti sen 25 artiklan 6 kohdan,
on kuullut Euroopan tietosuojavaltuutettua,
sekä katsoo seuraavaa:
|
(1) |
Direktiivin 95/46/EY mukaan jäsenvaltioiden on säädettävä siitä, että henkilötietoja voidaan siirtää kolmanteen maahan vain, jos kyseisessä kolmannessa maassa turvataan tietosuojan riittävä taso ja jos direktiivin muiden säännösten täytäntöönpanemiseksi annettuja jäsenvaltioiden lakeja noudatetaan ennen tietojen siirtämistä. |
|
(2) |
Komissio voi todeta, että kolmas maa turvaa tietosuojan riittävän tason. Henkilötietoja voidaan tässä tapauksessa siirtää ilman lisätakeita. |
|
(3) |
Direktiivin 95/46/EY mukaisesti tietosuojan taso olisi arvioitava kaikkien tiettyyn siirtoon tai siirtojen ryhmään liittyvien olosuhteiden osalta ja ottaen erityisesti huomioon eräät siirron kannalta olennaiset direktiivin 25 artiklassa luetellut tekijät. |
|
(4) |
Koska kolmannet maat suhtautuvat eri tavoin tietosuojaan, tietosuojan riittävyyden arviointi olisi suoritettava ja kaikki direktiivin 95/46/EY 25 artiklan 6 kohtaan perustuvat päätökset olisi tehtävä ja pantava täytäntöön tavalla, joka ei mielivaltaisesti tai epäoikeudenmukaisesti syrji mitään kolmatta maata tai tee eroa niiden välillä, jos niissä vallitsevat samanlaiset olosuhteet, tai muodosta peiteltyä kaupan estettä, kun otetaan huomioon Euroopan unionin nykyiset kansainväliset sitoumukset. |
|
(5) |
Andorran valtiomuoto on parlamentaarinen ruhtinaskunta, jonka hallitsijoina toimivat Ranskan tasavallan presidentti ja Urgellin arkkipiispa. |
|
(6) |
Oikeus yksityisyyteen sisältyy kansanäänestyksessä 14 päivänä maaliskuuta 1993 hyväksytyn Andorran ruhtinaskunnan perustuslain (Constitució del Principat d’Andorra) 14 pykälään. |
|
(7) |
Henkilötietojen suojaa Andorrassa koskevat oikeussäännöt perustuvat suurelta osin direktiivissä 95/46/EY vahvistettuihin normeihin, ja niistä säädetään henkilötietojen suojasta 18 päivänä joulukuuta 2003 annetussa laissa N:o 15/2003 (Llei qualificada de protecció de dades personals). Kyseisen henkilötietojen suojaa koskevan lainsäädännön lisäksi 1 päivänä heinäkuuta 2004 annettiin asetus julkisesta rekisteristä henkilötietojen kirjaamiseksi ja 9 päivänä kesäkuuta 2010 annettiin asetus, jolla hyväksyttiin Andorran tietosuojavirastosta annettu asetus. Viimeksi mainitussa asetuksessa selvennetään useita kysymyksiä, jotka direktiivin 95/46/EY 29 artiklalla perustettu tietosuojatyöryhmä on 1 päivänä joulukuuta 2009 antamassaan lausunnossa (2) ottanut esille. |
|
(8) |
Tietosuojasäännöksiä sisältyy myös useisiin eri aloja, kuten rahoitusalaa, terveydenhuoltoa ja julkisia rekistereitä säänteleviin säädöksiin. |
|
(9) |
Andorra on ratifioinut 28 päivänä tammikuuta 1981 tehdyn Euroopan neuvoston yleissopimuksen yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä ja yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn yleissopimuksen 8 päivänä marraskuuta 2001 tehdyn lisäpöytäkirjan, joka koskee valvontaviranomaisia ja tietojen siirtoja eri maiden välillä, 4 päivänä marraskuuta 1950 tehdyn Euroopan neuvoston yleissopimuksen ihmisoikeuksien ja perusvapauksien suojaamiseksi, joka on ollut voimassa Andorrassa 22 päivästä tammikuuta 1996 lähtien, ja 16 päivänä joulukuuta 1966 tehdyn kansalaisoikeuksia ja poliittisia oikeuksia koskevan kansainvälisen yleissopimuksen, joka on ollut voimassa Andorrassa 19 päivästä heinäkuuta 2006 lähtien. |
|
(10) |
Andorrassa sovellettavat oikeudelliset tietosuojastandardit kattavat kaikki perusperiaatteet riittävän suojan takaamiseksi luonnollisille henkilöille, ja niissä säädetään myös poikkeuksista ja rajoituksista tärkeiden julkisten etujen suojelemiseksi. Kyseisten oikeudellisten tietosuojastandardien soveltaminen taataan hallinnollisin ja oikeudellisin keinoin sekä valvontaviranomaisen eli Andorran tietosuojaviraston suorittamalla riippumattomalla valvonnalla. Tietosuojavirastolla on tutkinta- ja toimintavaltuudet ja se toimii täysin riippumattomasti. |
|
(11) |
Andorran tietosuojaviranomaiset ovat antaneet selvityksiä ja lausuntoja siitä, kuinka Andorran lainsäädäntöä on tulkittava, sekä vakuuttaneet, että Andorran tietosuojalainsäädäntö pannaan täytäntöön kyseisen tulkinnan mukaisesti. Tässä päätöksessä otetaan huomioon kyseiset selvitykset ja lausunnot ja se on näin ollen niistä riippuvainen. |
|
(12) |
Näin ollen on katsottava, että Andorra tarjoaa direktiivissä 95/46/EY säädetyn henkilötietojen suojan riittävän tason. |
|
(13) |
Avoimuuden lisäämiseksi sekä sen varmistamiseksi, että jäsenvaltioiden toimivaltaiset viranomaiset pystyvät takaamaan yksilöiden tietosuojan heidän henkilötietojaan käsiteltäessä, on tarpeen tarkentaa, minkälaisissa poikkeusolosuhteissa tiettyjen tiedonsiirtojen keskeyttäminen voi olla perusteltua siitä huolimatta, että tietosuojan taso on todettu riittäväksi. |
|
(14) |
Direktiivin 95/46/EY 29 artiklalla perustettu tietosuojatyöryhmä on antanut henkilötietojen suojan tasosta myönteisen lausunnon (3), joka on otettu huomioon tämän päätöksen valmistelussa. Työryhmä kannusti myöntävässä lausunnossaan Andorran viranomaisia jatkamaan sellaisten säännösten hyväksymistä, joilla Andorran lainsäädännön soveltamista laajennetaan koskemaan automaattisia yksittäispäätöksiä, sillä tästä ei selkeästi säädetä henkilötietojen suojasta annetussa Andorran laissa. |
|
(15) |
Tässä päätöksessä säädetyt toimenpiteet ovat direktiivin 95/46/EY 31 artiklan 1 kohdassa perustetun komitean lausunnon mukaiset, |
ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:
1 artikla
Direktiivin 95/46/EY 25 artiklan 2 kohdan soveltamiseksi katsotaan, että Andorra tarjoaa riittävän suojan Euroopan unionista siirretyille henkilötiedoille.
2 artikla
Tämä päätös koskee Andorrassa tarjotun tietosuojan riittävyyttä suhteessa direktiivin 95/46/EY 25 artiklan 1 kohdan vaatimusten täyttymiseen, eikä sillä ole vaikutusta direktiivin muiden, henkilötietojen käsittelyä jäsenvaltioissa koskevien säännösten täytäntöönpanemiseksi vahvistettujen ehtojen tai rajoitusten soveltamiseen.
3 artikla
1. Rajoittamatta jäsenvaltioiden toimivaltaisten viranomaisten valtuuksia toteuttaa toimenpiteitä sen varmistamiseksi, että muiden säännösten kuin direktiivin 95/46/EY 25 artiklan noudattamiseksi annettuja kansallisia säännöksiä noudatetaan, jäsenvaltioiden toimivaltaiset viranomaiset voivat käyttää nykyisiä toimivaltuuksiaan keskeyttääkseen Andorrassa olevalle vastaanottajalle suunnatun tietojen siirron suojellakseen yksityishenkilöitä näiden henkilötietojen käsittelyn osalta tapauksissa, joissa
|
a) |
toimivaltainen Andorran viranomainen on todennut, että vastaanottaja ei noudata sovellettavia tietosuojavaatimuksia; tai |
|
b) |
on erittäin todennäköistä, että tietosuojavaatimuksia ei noudateta, ja on perusteltua aihetta olettaa, ettei toimivaltainen Andorran viranomainen parhaillaan tai jatkossa viipymättä toteuta vaadittavia toimenpiteitä asian ratkaisemiseksi; ja tiedonsiirron jatkaminen aiheuttaisi vakavan vaaran rekisteröidylle ja jäsenvaltion toimivaltaiset viranomaiset ovat olosuhteisiin nähden kohtuullisessa määrin pyrkineet antamaan Andorraan sijoittautuneelle tietojenkäsittelystä vastaavalle osapuolelle huomautuksen ja tilaisuuden vastata siihen. |
2. Keskeytys lakkaa heti kun tietosuojavaatimusten noudattaminen on varmistettu ja tästä on ilmoitettu asianomaisten jäsenvaltioiden toimivaltaisille viranomaisille.
4 artikla
1. Jäsenvaltiot ilmoittavat viipymättä komissiolle 3 artiklan nojalla toteutetuista toimenpiteistä.
2. Jäsenvaltiot ja komissio tiedottavat toisilleen tapauksista, joissa tietosuojavaatimusten noudattamisesta Andorrassa vastuussa olevat elimet eivät pysty varmistamaan periaatteiden noudattamista.
3. Jos 3 artiklan sekä tämän artiklan 1 ja 2 kohdan nojalla saadut tiedot osoittavat, että jokin tietosuojavaatimusten noudattamisesta Andorrassa vastuussa oleva elin ei tosiasiallisesti hoida tehtäväänsä, komissio tiedottaa asiasta Andorran toimivaltaiselle viranomaiselle ja tarvittaessa esittää direktiivin 95/46/EY 31 artiklan 2 kohdassa tarkoitetun menettelyn mukaisesti ehdotuksia toimenpiteistä, joiden tarkoituksena on peruuttaa tämä päätös tai lykätä sen soveltamista tai rajoittaa sen soveltamisalaa.
5 artikla
Komissio seuraa tämän päätöksen soveltamista ja toimittaa direktiivin 95/46/EY 31 artiklan nojalla perustetulle komitealle kaikki asiaankuuluvat huomiot, mukaan luettuna kaikki seikat, jotka voivat vaikuttaa tämän päätöksen 1 artiklan mukaiseen arvioon, jonka mukaan tietosuojan taso Andorrassa on direktiivin 95/46/EY 25 artiklan mukaisessa merkityksessä riittävä, sekä kaikki todisteet päätöksen syrjivästä soveltamisesta.
6 artikla
Jäsenvaltioiden on toteutettava kaikki tämän päätöksen noudattamisen edellyttämät toimenpiteet viimeistään 1 päivänä tammikuuta 2011.
7 artikla
Tämä päätös on osoitettu kaikille jäsenvaltioille.
Tehty Brysselissä 19 päivänä lokakuuta 2010.
Komission puolesta
Viviane REDING
Varapuheenjohtaja
(1) EYVL L 281, 23.11.1995, s. 31.
(2) Lausunto nro 7/2009, 1.12.2009, saatavissa osoitteesta http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2009/wp166_en.pdf
(3) Lausunto nro 7/2009, 1.12.2009, saatavissa osoitteesta http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2009/wp166_en.pdf