23.8.2012   

FI

Euroopan unionin virallinen lehti

L 227/11

(1)

Direktiivin 95/46/EY mukaan jäsenvaltioiden on säädettävä siitä, että henkilötietoja voidaan siirtää kolmanteen maahan vain, jos kyseisessä kolmannessa maassa turvataan tietosuojan riittävä taso ja jos direktiivin muiden säännösten täytäntöönpanemiseksi annettuja jäsenvaltioiden lakeja noudatetaan ennen tietojen siirtämistä.

(2)

Komissio voi todeta, että kolmas maa turvaa tietosuojan riittävän tason. Henkilötietoja voidaan tässä tapauksessa siirtää jäsenvaltioista ilman lisätakeita.

(3)

Direktiivin 95/46/EY mukaisesti tietosuojan taso olisi arvioitava kaikkien tiettyyn siirtoon tai siirtojen ryhmään liittyvien olosuhteiden osalta ja ottaen erityisesti huomioon eräät siirron kannalta olennaiset, direktiivin 25 artiklassa luetellut tekijät.

(4)

Koska kolmannet maat suhtautuvat eri tavoin tietosuojaan, tietosuojan riittävyyden arviointi olisi suoritettava ja kaikki direktiivin 95/46/EY 25 artiklan 6 kohtaan perustuvat päätökset olisi tehtävä ja pantava täytäntöön tavalla, joka ei syrji mielivaltaisesti tai epäoikeudenmukaisesti mitään kolmatta maata eikä tee eroa niiden välillä, jos niissä vallitsevat samanlaiset olosuhteet, eikä muodosta peiteltyä kaupan estettä, kun otetaan huomioon Euroopan unionin voimassa olevat kansainväliset sitoumukset.

(5)

Uruguayn itäisen tasavallan vuonna 1967 annetussa perustuslaissa ei erikseen säädetä oikeudesta yksityisyyteen ja henkilötietojen suojaan. Perusoikeuksien luettelo ei kuitenkaan ole lopullinen, sillä perustuslain 72 pykälän mukaan perustuslaissa luetellut oikeudet, velvollisuudet ja takeet eivät sulje pois muita ihmisen henkilöyteen liittyviä tai tasavaltaisesta hallintomuodosta johtuvia oikeuksia, velvollisuuksia ja takeita. Henkilötietojen suojasta ja habeas data -oikeussuojakeinosta 11 päivänä elokuuta 2008 annetun lain nro 18.331 (Ley No 18.331 de Protección de Datos Personales y Acción de ”Habeas Data”) 1 pykälässä säädetään nimenomaan, että ”ihmiselle kuuluu oikeus henkilötietojen suojaan, minkä vuoksi se sisältyy tasavallan perustuslain 72 pykälään”. Perustuslain 332 pykälän mukaan yksilöiden oikeuksia ja julkisten viranomaisten oikeuksia ja velvollisuuksia koskevien säännösten puuttuminen ei saa estää perustuslain vastaavien säännösten soveltamista, vaan kyseinen puute on korvattava soveltamalla vastaavien lakien perustaa, lainsäädännön periaatteita ja yleisesti hyväksyttyjä oppeja.

(6)

Henkilötietojen suojeluun liittyvät Uruguayn itäisen tasavallan oikeusnormit perustuvat suurelta osin direktiivissä 95/46/EY vahvistettuihin normeihin, ja ne sisältyvät henkilötietojen suojasta ja habeas data -oikeussuojakeinosta 11 päivänä elokuuta 2008 annettuun lakiin nro 18.331 (Ley No 18.331 de Protección de Datos Personales y Acción de ”Habeas Data”), joka kattaa luonnolliset ja oikeushenkilöt.

(7)

Lakia on täydennetty 31 päivänä elokuuta 2009 annetulla asetuksella nro 414/2009, jolla on pyritty selkeyttämään useita lakiin sisältyviä näkökohtia ja vahvistamaan yksityiskohtaisesti tietosuojaviranomaisen organisaatiota, valtuuksia ja toimintaa koskevat säännöt. Tämän asetuksen johdanto-osan mukaan näitä asioita koskevaa kansallista säädösjärjestelmää on tarkennettava vastaamaan hyväksytyintä vastaavaa säädösjärjestelmää, erityisesti Euroopan maissa direktiiviä 95/46/EY.

(8)

Tietosuojasäännöksiä sisältyy myös useisiin erityislakeihin, joilla luodaan ja säännellään tietokantoja, kuten eräitä julkisia rekistereitä (julkiset asiakirjat, teollisoikeus ja tavaramerkit, henkilökohtaiset asiakirjat, kiinteä omaisuus, kaivostoiminta tai luottotiedot) koskevat lait. Lakia nro 18.331 sovelletaan perustuslain 332 pykälän nojalla myös kyseisiin erityislakeihin niiden seikkojen osalta, joista ei säädetä kyseisissä laeissa.

(9)

Uruguayn itäisessä tasavallassa sovellettavat oikeudelliset tietosuojanormit kattavat kaikki perusperiaatteet, jotka tarvitaan antamaan luonnollisille henkilöille riittävä suoja, ja niissä säädetään myös poikkeuksista ja rajoituksista tärkeiden julkisten etujen suojelemiseksi. Nämä tietosuojanormit ja poikkeukset vastaavat direktiivissä 95/46/EY vahvistettuja periaatteita.

(10)

Kyseisten oikeudellisten tietosuojanormien soveltaminen taataan hallinnollisin ja oikeudellisin keinoin ja erityisesti habeas data -oikeussuojakeinolla, jonka nojalla rekisteröity voi viedä rekisterinpitäjän oikeuteen pannakseen täytäntöön oikeutensa saada tutustua tietoihin tai saada ne oikaistuksi tai poistetuksi, sekä valvontaviranomaisen eli henkilötietojen sääntely- ja valvontayksikön (Unidad Reguladora y de Control de Datos Personales, URCDP) suorittamalla riippumattomalla valvonnalla. Kyseisellä yksiköllä on direktiivin 95/46/EY 28 artiklan mukaiset tutkinta- ja toimintavaltuudet sekä valtuudet määrätä sanktioita, ja se toimii täysin riippumattomasti. Lisäksi kaikilla asianosaisilla on oikeus hakea oikeusteitse korvausta henkilötietojen laittoman käsittelyn aiheuttamista vahingoista.

(11)

Uruguayn tietosuojaviranomaiset ovat antaneet selvityksiä ja lausuntoja siitä, kuinka Uruguayn lainsäädäntöä on tulkittava, sekä vakuuttaneet, että Uruguayn tietosuojalainsäädäntö pannaan täytäntöön kyseisen tulkinnan mukaisesti. Uruguayn tietosuojaviranomaiset ovat erityisesti esittäneet, että perustuslain 332 pykälän mukaisesti lakia nro 18.331 sovelletaan myös erityislakeihin, joilla luodaan ja säännellään erityisiä tietokantoja, niiden seikkojen osalta, joista ei säädetä kyseisissä laeissa. Lisäksi viranomaiset ovat todenneet, että lain nro 18.331 9 C pykälässä tarkoitettuihin luetteloihin, joiden käsittelyyn ei tarvita rekisteröidyn suostumusta, sovelletaan myös tätä lakia ja erityisesti oikeasuhteisuuden periaatetta ja tietojen käyttötarkoitusta koskevaa periaatetta sekä rekisteröityjen oikeuksia ja sitä, että tietosuojaviranomainen valvoo kyseisiä luetteloita. Avoimuusperiaatteen osalta Uruguayn tietosuojaviranomaiset ovat ilmoittaneet, että velvollisuutta antaa rekisteröidylle tarvittavat tiedot sovelletaan kaikissa tapauksissa. Tiedonsaantioikeuden osalta tietosuojaviranomaiset ovat todenneet riittävän, että rekisteröity todistaa henkilöllisyytensä esittäessään pyyntönsä. Uruguayn tietosuojaviranomaiset ovat ilmoittaneet, että lain nro 18.331 23 pykälän 1 momentissa vahvistetut poikkeukset kansainvälisiä henkilötietojen siirtoja koskevaan periaatteeseen eivät ole soveltamisalaltaan direktiivin 95/46/EY 26 artiklan 1 kohtaa laajempia.

(12)

Tässä päätöksessä otetaan huomioon kyseiset selvitykset ja lausunnot ja se perustuu niihin.

(13)

Uruguayn itäinen tasavalta on 22 päivänä marraskuuta 1969 tehdyn ja 18 päivänä heinäkuuta 1978 voimaan tulleen Amerikan ihmisoikeussopimuksen sopimuspuoli. (3) Ihmisoikeussopimuksen 11 artiklassa vahvistetaan oikeus yksityisyyteen ja 30 artiklassa määrätään, että sopimuksessa tunnustettujen oikeuksien tai vapauksien käyttämiselle sopimuksen mukaan asetettavia rajoituksia voidaan soveltaa vain yleisen edun takia säädettyjen lakien mukaisesti sekä siinä tarkoituksessa, jota varten rajoitukset on asetettu (30 artikla). Uruguayn itäinen tasavalta on tunnustanut Amerikan ihmisoikeustuomioistuimen toimivallan. Euroopan neuvoston ministerivaltuutetut kehottivat 1118. kokouksessaan 6 päivänä heinäkuuta 2011 Uruguayn itäistä tasavaltaa liittymään yleissopimukseen yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä (ETS 108) sekä sen lisäpöytäkirjaan (ETS 118) asiaa käsittelevän neuvoa-antavan komitean myönteisen lausunnon jälkeen. (4)

(14)

Näin ollen on katsottava, että Uruguayn itäinen tasavalta tarjoaa direktiivissä 95/46/EY tarkoitetun henkilötietojen suojan riittävän tason.

(15)

Tämän päätöksen olisi koskettava Uruguayn itäisessä tasavallassa tarjotun tietosuojan riittävyyttä suhteessa direktiivin 95/46/EY 25 artiklan 1 kohdan vaatimusten täyttymiseen. Sillä ei saisi olla vaikutusta direktiivin muiden, henkilötietojen käsittelyä jäsenvaltioissa koskevien säännösten täytäntöön panemiseksi vahvistettujen ehtojen tai rajoitusten soveltamiseen.

(16)

Avoimuuden lisäämiseksi sekä sen varmistamiseksi, että jäsenvaltioiden toimivaltaiset viranomaiset pystyvät takaamaan yksilöiden tietosuojan heidän henkilötietojaan käsiteltäessä, on tarpeen tarkentaa, minkälaisissa poikkeusolosuhteissa tiettyjen tiedonsiirtojen keskeyttäminen voi olla perusteltua siitä huolimatta, että tietosuojan taso on todettu riittäväksi.

(17)

Komissio seuraa tämän päätöksen soveltamista ja ilmoittaa direktiivin 95/46/EY 31 artiklan nojalla perustetulle komitealle kaikki asiaankuuluvat huomiot. Seurattaviin asioihin kuuluu muun muassa menettely, jota Uruguayn itäinen tasavalta soveltaa kansainvälisten sopimusten puitteissa tehtäviin henkilötietojen siirtoihin.

(18)

Direktiivin 95/46/EY 29 artiklalla perustettu tietosuojatyöryhmä on antanut henkilötietojen suojan tasosta myönteisen lausunnon, joka on otettu huomioon tämän päätöksen valmistelussa. (5)

(19)

Tässä päätöksessä säädetyt toimenpiteet ovat direktiivin 95/46/EY 31 artiklan 1 kohdalla perustetun komitean lausunnon mukaiset,

a)

toimivaltainen Uruguayn viranomainen on todennut, ettei vastaanottaja noudata sovellettavia tietosuojanormeja; tai

b)

on hyvin todennäköistä, ettei tietosuojanormeja noudateta, ja on perusteltua olettaa, ettei toimivaltainen Uruguayn viranomainen parhaillaan eikä jatkossa toteuta tarvittavia ja oikea-aikaisia toimenpiteitä asian ratkaisemiseksi, tiedonsiirron jatkaminen aiheuttaisi välittömän riskin, että rekisteröidyille aiheutuu vakavaa haittaa, ja jäsenvaltion toimivaltaiset viranomaiset ovat olosuhteisiin nähden kohtuullisessa määrin pyrkineet ilmoittamaan asiasta Uruguayn itäiseen tasavaltaan sijoittautuneelle tietojenkäsittelystä vastaavalle osapuolelle ja antamaan tälle tilaisuuden vastata.