|
1.2.2011 |
FI |
Euroopan unionin virallinen lehti |
L 27/39 |
KOMISSION PÄÄTÖS,
annettu 31 päivänä tammikuuta 2011,
Euroopan parlamentin ja neuvoston direktiivin 95/46/EY nojalla Israelin valtion tarjoaman henkilötietojen suojan riittävyydestä automaattisessa henkilötietojen käsittelyssä
(tiedoksiannettu numerolla K(2011) 332)
(ETA:n kannalta merkityksellinen teksti)
(2011/61/EU)
EUROOPAN KOMISSIO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,
ottaa huomioon yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (1) ja erityisesti sen 25 artiklan 6 kohdan,
on kuullut Euroopan tietosuojavaltuutettua,
sekä katsoo seuraavaa:
|
(1) |
Direktiivin 95/46/EY mukaan jäsenvaltioiden on säädettävä siitä, että henkilötietoja voidaan siirtää kolmanteen maahan vain, jos kyseisessä kolmannessa maassa turvataan tietosuojan riittävä taso ja jos direktiivin muiden säännösten täytäntöönpanemiseksi annettuja jäsenvaltioiden lakeja noudatetaan ennen tietojen siirtämistä. |
|
(2) |
Komissio voi todeta, että kolmas maa turvaa tietosuojan riittävän tason. Henkilötietoja voidaan tässä tapauksessa siirtää jäsenvaltioista ilman lisätakeita. |
|
(3) |
Direktiivin 95/46/EY mukaisesti tietosuojan taso olisi arvioitava kaikkien tiettyyn siirtoon tai siirtojen ryhmään liittyvien olosuhteiden osalta ja ottaen erityisesti huomioon eräät siirron kannalta olennaiset, direktiivin 25 artiklassa luetellut tekijät. |
|
(4) |
Koska kolmannet maat suhtautuvat eri tavoin tietosuojaan, tietosuojan riittävyyden arviointi olisi suoritettava ja kaikki direktiivin 95/46/EY 25 artiklan 6 kohtaan perustuvat päätökset olisi tehtävä ja pantava täytäntöön tavalla, joka ei syrji mielivaltaisesti tai epäoikeudenmukaisesti mitään kolmatta maata eikä tee eroa niiden välillä, jos niissä vallitsevat samanlaiset olosuhteet, eikä muodosta peiteltyä kaupan estettä, kun otetaan huomioon Euroopan unionin nykyiset kansainväliset sitoumukset. |
|
(5) |
Israelin valtion oikeusjärjestykseen ei kuulu kirjoitettua perustuslakia, vaan Israelin valtion korkein oikeus on antanut perustuslaillisen aseman tietyille ”peruslaeille”. Kyseisiä peruslakeja täydentää laaja oikeuskäytäntö, koska Israelin oikeusjärjestyksessä noudatetaan hyvin pitkälle common law -järjestelmän periaatteita. Oikeus yksityisyyteen sisältyy ihmisarvoa ja vapautta koskevan peruslain 7 §:ään. |
|
(6) |
Henkilötietojen suojeluun liittyvät Israelin valtion oikeusnormit perustuvat suurelta osin direktiivissä 95/46/EY vahvistettuihin normeihin ja ne sisältyvät yksityisyyden suojaa koskevaan lakiin 5741-1981, jota on muutettu viimeksi vuonna 2007 henkilötietojen käsittelyä koskevien uusien vaatimusten ja valvontaviranomaisen yksityiskohtaisen organisaation vahvistamiseksi. |
|
(7) |
Edellä tarkoitettua tietosuojalainsäädäntöä täydentävät lisäksi yksityisyyden suojaa koskevan lain 5741-1981 täytäntöönpanoa sekä valvontaviranomaisen organisaatiota ja toimintaa koskevat hallituksen päätökset, jotka perustuvat laajalti tietokantoihin liittyvää lainsäädäntöä tarkastelevan komitean oikeusministeriölle antamassa raportissa (Schoffmanin raportti) esitettyihin suosituksiin. |
|
(8) |
Tietosuojasäännöksiä sisältyy myös useisiin eri aloja, kuten rahoitusalaa, terveydenhuoltoa ja julkisia rekistereitä säänteleviin säädöksiin. |
|
(9) |
Israelin valtiossa sovellettavat oikeudelliset tietosuojanormit käsittävät kaikki perusperiaatteet, jotka tarvitaan antamaan luonnollisille henkilöille riittävä suoja käsiteltäessä henkilötietoja automatisoiduissa tietokannoissa. Yksityisyyden suojaa koskevan lain 5741-1981 2 lukua, jossa vahvistetaan henkilötietojen käsittelyä koskevat periaatteet, ei sovelleta henkilötietojen käsittelyyn automatisoimattomissa (manuaalisissa) tietokannoissa. |
|
(10) |
Oikeudellisten tietosuojanormien soveltaminen on varmistettu hallinnollisin ja oikeudellisin muutoksenhakukeinoin sekä riippumattomalla valvonnalla, jota toteuttaa valvontaviranomainen eli Israelin lainsäädäntö-, tiedotus- ja teknologiaviranomainen (Israeli Law, Information and Technology Authority, ILITA), jolle on annettu tutkinta- ja toimintavaltuudet ja joka toimii täysin riippumattomasti. |
|
(11) |
Israelin tietosuojaviranomaiset ovat antaneet selvityksiä ja lausuntoja siitä, kuinka Israelin lainsäädäntöä on tulkittava, sekä vakuuttaneet, että Israelin tietosuojalainsäädäntö pannaan täytäntöön kyseisen tulkinnan mukaisesti. Tässä päätöksessä otetaan huomioon kyseiset selvitykset ja lausunnot ja se on näin ollen niistä riippuvainen. |
|
(12) |
Näin ollen olisi katsottava, että Israelin valtio tarjoaa direktiivissä 95/46/EY tarkoitetun tietosuojan riittävän tason siltä osin kuin on kyse automatisoiduista kansainvälisistä henkilötietojen siirroista Euroopan unionista Israelin valtioon, tai jos on kyse automatisoimattomista siirroista, tietoja jatkokäsitellään automaattisesti Israelin valtiossa. Sen sijaan tätä päätöstä ei saisi soveltaa sellaisiin kansainvälisiin henkilötietojen siirtoihin EU:sta Israelin valtioon, joissa itse siirto sekä myöhempi tietojenkäsittely suoritetaan yksinomaan automatisoimattomin menetelmin. |
|
(13) |
Avoimuuden lisäämiseksi sekä sen varmistamiseksi, että jäsenvaltioiden toimivaltaiset viranomaiset pystyvät takaamaan yksilöiden tietosuojan heidän henkilötietojaan käsiteltäessä, on tarpeen tarkentaa, minkälaisissa poikkeusolosuhteissa tiettyjen tiedonsiirtojen keskeyttäminen voi olla perusteltua siitä huolimatta, että tietosuojan taso on todettu riittäväksi. |
|
(14) |
Tähän päätökseen liittyvän tietosuojan arvioinnin tulokset koskevat Israelin valtiota sellaisena kuin se määritellään kansainvälisessä oikeudessa. Tietojen siirtäminen eteenpäin kansainvälisessä oikeudessa määritellyn Israelin valtion ulkopuolelle olisi katsottava henkilötietojen siirroksi kolmanteen maahan. |
|
(15) |
Direktiivin 95/46/EY 29 artiklalla perustettu tietosuojatyöryhmä on antanut myönteisen lausunnon henkilötietojen suojan tasosta siltä osin kuin on kyse automatisoiduista kansainvälisistä henkilötietojen siirroista Euroopan unionista, tai jos on kyse automatisoimattomista siirroista, tietoja jatkokäsitellään automaattisesti Israelin valtiossa. Työryhmä kannusti myönteisessä lausunnossaan Israelin viranomaisia jatkamaan sellaisten säännösten hyväksymistä, joilla laajennetaan Israelin lainsäädännön soveltaminen koskemaan manuaalisia tietokantoja ja joissa nimenomaisesti tunnustetaan suhteellisuusperiaatteen soveltaminen henkilötietojen käsittelyssä yksityissektorilla ja tulkitaan kansainvälisiä tiedonsiirtoja koskevat poikkeukset niiden kriteereiden mukaisesti, jotka vahvistetaan direktiivin 95/46/EY 26 artiklan 1 kohdan yhteistä tulkintaa koskevassa valmisteluasiakirjassa (2). Kyseinen lausunto on otettu huomioon tätä päätöstä valmisteltaessa. (3) |
|
(16) |
Direktiivin 95/46/EY 31 artiklan 1 kohdassa perustettu komitea ei ole antanut lausuntoa puheenjohtajansa asettamassa määräajassa, |
ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:
1 artikla
1. Direktiivin 95/46/EY 25 artiklan 2 kohdan soveltamiseksi katsotaan, että Israelin valtio tarjoaa riittävän suojan Euroopan unionista siirrettäville henkilötiedoille siltä osin kuin on kyse automatisoiduista kansainvälisistä henkilötietojen siirroista Euroopan unionista, tai jos on kyse automatisoimattomista siirroista, tietoja jatkokäsitellään automaattisesti Israelin valtiossa.
2. Oikeudellisten tietosuojanormien soveltamiseksi Israelin valtiossa toimivaltainen valvontaviranomainen on tämän päätöksen liitteessä tarkoitettu Israelin lainsäädäntö-, tiedotus- ja teknologiaviranomainen (Israeli Law, Information and Technology Authority, ILITA).
2 artikla
1. Tämä päätös koskee ainoastaan Israelin valtiossa, sellaisena kuin se on määritelty kansainvälisessä oikeudessa, tarjotun tietosuojan riittävyyttä suhteessa direktiivin 95/46/EY 25 artiklan 1 kohdan vaatimusten täyttymiseen, eikä sillä ole vaikutusta direktiivin muiden, henkilötietojen käsittelyä jäsenvaltioissa koskevien säännösten täytäntöönpanemiseksi vahvistettujen ehtojen tai rajoitusten soveltamiseen.
2. Tätä päätöstä sovelletaan kansainvälisen oikeuden mukaisesti. Sillä ei rajoiteta Golanin kukkuloiden, Gazan alueen ja Länsirannan, Itä-Jerusalem mukaan luettuna, kansainvälisoikeudellista asemaa.
3 artikla
1. Rajoittamatta jäsenvaltioiden toimivaltaisten viranomaisten valtuuksia toteuttaa toimenpiteitä sen varmistamiseksi, että muiden säännösten kuin direktiivin 95/46/EY 25 artiklan noudattamiseksi annettuja kansallisia säännöksiä noudatetaan, jäsenvaltioiden toimivaltaiset viranomaiset voivat käyttää nykyisiä toimivaltuuksiaan keskeyttääkseen Israelin valtiossa olevalle vastaanottajalle suunnatun tietojen siirron suojellakseen yksityishenkilöitä näiden henkilötietojen käsittelyn osalta tapauksissa, joissa
|
a) |
toimivaltainen Israelin viranomainen on todennut, ettei vastaanottaja noudata sovellettavia tietosuojavaatimuksia; tai |
|
b) |
on hyvin todennäköistä, ettei tietosuojavaatimuksia noudateta, ja on perusteltua olettaa, ettei toimivaltainen Israelin viranomainen parhaillaan eikä jatkossa toteuta toimenpiteitä asian ratkaisemiseksi, tiedonsiirron jatkaminen aiheuttaisi välittömän vakavan vaaran rekisteröidyille ja jäsenvaltion toimivaltaiset viranomaiset ovat olosuhteisiin nähden kohtuullisessa määrin pyrkineet ilmoittamaan asiasta Israelin valtioon sijoittuneelle tietojenkäsittelystä vastaavalle osapuolelle ja antamaan tälle tilaisuuden vastata. |
2. Keskeytys lakkaa heti kun tietosuojavaatimusten noudattaminen on varmistettu ja tästä on ilmoitettu asianomaisten jäsenvaltioiden toimivaltaisille viranomaisille.
4 artikla
1. Jäsenvaltioiden on ilmoitettava viipymättä komissiolle 3 artiklan nojalla toteutetuista toimenpiteistä.
2. Jäsenvaltiot ja komissio tiedottavat toisilleen tapauksista, joissa tietosuojavaatimusten noudattamisesta Israelin valtiossa vastuussa olevat elimet eivät pysty varmistamaan vaatimusten noudattamista.
3. Jos 3 artiklan sekä tämän artiklan 1 ja 2 kohdan nojalla saadut tiedot osoittavat, että jokin tietosuojavaatimusten noudattamisesta Israelin valtiossa vastuussa oleva elin ei tosiasiallisesti hoida tehtäväänsä, komissio tiedottaa asiasta Israelin toimivaltaiselle viranomaiselle ja tarvittaessa esittää direktiivin 95/46/EY 31 artiklan 2 kohdassa tarkoitetun menettelyn mukaisesti ehdotuksen toimenpiteistä, joiden tarkoituksena on peruuttaa tämä päätös tai lykätä sen soveltamista tai rajoittaa sen soveltamisalaa.
5 artikla
Komissio seuraa tämän päätöksen soveltamista ja ilmoittaa direktiivin 95/46/EY 31 artiklan nojalla perustetulle komitealle kaikki asiaankuuluvat huomiot, mukaan luettuina kaikki seikat, jotka voivat vaikuttaa tämän päätöksen 1 artiklassa esitettyyn toteamukseen, jonka mukaan Israelin valtio tarjoaa direktiivin 95/46/EY 25 artiklassa tarkoitetun riittäväntasoisen tietosuojan, sekä mahdolliset todisteet päätöksen syrjivästä soveltamisesta. Komissio seuraa erityisesti henkilötietojen käsittelyä manuaalisissa tietokannoissa.
6 artikla
Jäsenvaltioiden on toteutettava kaikki tämän päätöksen noudattamisen edellyttämät toimenpiteet viimeistään kolmen kuukauden kuluttua siitä, kun päätös on annettu tiedoksi.
7 artikla
Tämä päätös on osoitettu kaikille jäsenvaltioille.
Tehty Brysselissä 31 päivänä tammikuuta 2011.
Komission puolesta
Viviane REDING
Varapuheenjohtaja
(1) EYVL L 281, 23.11.1995, s. 31.
(2) Asiakirja WP114, 25.11.2005. Luettavissa internetosoitteessa http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2005/wp114_en.pdf
(3) Lausunto 6/2009 henkilötietojen suojan tasosta Israelissa. Luettavissa internetosoitteessa http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2009/wp165_en.pdf.
LIITE
Tämän päätöksen 1 artiklan 2 kohdassa tarkoitettu toimivaltainen valvontaviranomainen on:
|
The Israeli Law, Information and Technology Authority |
|
The Government Campus |
|
9th floor |
|
125 Begin Rd. |
|
Tel Aviv |
|
Israel |
Postiosoite:
|
P.O. Box 7360 |
|
Tel Aviv, 61072 |
|
Puhelin: +972-3-7634050 |
|
Faksi: +972-2-6467064 |
|
Sähköposti: ILITA@justice.gov.il |
|
Internetsivusto: http://www.justice.gov.il/MOJEng/RashutTech/default.htm |