Official Journal L 168 , 05/07/2003 P. 0019 - 0022
A BIZOTTSÁG HATÁROZATA (2003. június 30.) a 95/46/EK európai parlamenti és tanácsi irányelv alapján, a személyes adatok Argentínában biztosított megfelelő védelméről (EGT vonatkozású szöveg) (2003/490/EK) AZ EURÓPAI KÖZÖSSÉGEK BIZOTTSÁGA, tekintettel az Európai Közösséget létrehozó szerződésre, tekintettel a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásárólszóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvre[1] és különösen annak 25. cikke (6) bekezdésére, mivel: (1) A 95/46/EK irányelv értelmében a tagállamoknak rendelkezniük kell arról, hogy személyes adatok harmadik országba történő továbbítása csak akkor történhet meg, ha a szóban forgó harmadik ország megfelelő szintű védelmet biztosít, és ha az irányelv egyéb rendelkezéseit végrehajtó tagállami jogszabályoknak a továbbítást megelőzően eleget tettek. (2) A Bizottság megállapíthatja, hogy a harmadik ország megfelelő szintű védelmet biztosít. Ilyen esetben a személyes adatok a tagállamokból anélkül továbbíthatók, hogy további garanciákra lenne szükség. (3) A 95/46/EK irányelv alapján az adatvédelem szintjét az adattovábbítási művelettel vagy adattovábbítási műveletsorozattal kapcsolatos körülmények fényében, valamint számos, az adattovábbítás szempontjából fontos és a 95/46/EK irányelv 25. cikke (2) bekezdésében felsorolt feltétel figyelembevételével kell értékelni. A 95/46/EK irányelv 29. cikke alapján létrehozott, a személyesadat-feldolgozás vonatkozásában az egyének védelmével foglalkozó munkacsoport iránymutatást[2] adott ki az ilyen értékelések elkészítésére vonatkozóan. (4) Tekintettel a harmadik országoknak az adatvédelem terén eltérő megközelítési módjára, a megfelelőség értékelését olyan módon kell elvégezni, valamint a 95/46/EK irányelv 25. cikkének (6) bekezdésén alapuló bármely határozatot oly módon kell végrehajtani, hogy az ne jelentsen önkényes vagy indokolatlan megkülönböztetést azon harmadik országokkal szemben vagy között, amelyekben hasonló feltételek állnak fent, és ne képezzenek rejtett kereskedelmi akadályt, tekintettel a Közösség jelenlegi nemzetközi kötelezettségeire is. (5) Argentína tekintetében a személyes adatok védelmére vonatkozó jogi normákat mind általános, mind szektorspecifikus jogszabályok írják elő. Mindkettő kötelező jogi hatállyal rendelkezik (6) Az általános jogszabályokat az alkotmány, a személyes adatok védelméről szóló, 2000. október 4-i 25 326. számú törvény és az 1558/2001. számú rendelettel elfogadott rendelet határozza meg. (7) Az argentin alkotmány az úgynevezett "habeas data" klauzulával egy különleges jogorvoslatot határoz meg a személyes adatok védelmére vonatkozóan. Itt az alkotmányban rögzített, alkotmányos jogok védelméhez kapcsolódó eljárások egy alkategóriájáról van szó, amellyel a személyes adatok védelme az alapjogok rangjára emelkedik. Az argentin alkotmány 43. cikkének (3) bekezdése szerint minden személyt megillet a "habeas data" klauzula alapján az a jog, hogy minden, az őt érintő olyan adat tartalmát és annak célját ismerje, amelyek nyilvános vagy magán irattárakban vagy adatbázisokban őriznek, és tájékoztatási célúak. E cikk alapján az érintett a téves adatok vagy azok megkülönböztetés céljából történő felhasználása esetében kérheti, hogy a fent említett irattárakból azokat töröljék, helyesbítsék, kezeljék bizalmasan, vagy frissítsék. A cikk nem érinti az újságírói információforrásokra vonatkozó titoktartást. Az argentin joggyakorlat a "habeas data" jogorvoslatot közvetlenül alkalmazandó alapjognak ismeri el. (8) A személyes adatok védelméről szóló, 2000. október 4-i 25 326. számú törvény (a továbbiakban: a "törvény") az alkotmány rendelkezéseit értelmezi és fejti ki. A törvény rendelkezéseket tartalmaz az adatvédelmi alapelvekről, az érintettek védelméről, az adatkezelők kötelezettségeiről, adathasználókról, a felügyelő hatóságról vagy ellenőrző szervről, a megfelelő szankciókról, valamint a "habeas data" jogorvoslatra vonatkozó eljárási szabályzatról. (9) A 2001. december 3-i 1558/2001. számú rendelettel elfogadott rendelet (a továbbiakban: a "rendelet") határozza meg a törvény meghozatalára vonatkozó előírásokat; kiegészíti annak rendelkezéseit, és megmagyarázza az értelmezésre szoruló kifejezéseket. (10) Az argentin jog védi azokat az adatokat, amelyek nyilvános adatállományok, nyilvántartások, adatbázisok vagy egyéb műszaki adathordozók tartalmaznak, továbbá azokat a személyes adatokat, amelyeket magán adatállományok, nyilvántartások, adatbázisok vagy egyéb műszaki adathordozók tartalmaznak, és amelyek tájékoztatási célúak. Ez magába foglalja azokat is, amelyek a kizárólag személyes felhasználáson túlmennek, és azokat, amelyek személyes adatátvitelre vagy adattovábbítására szánnak függetlenül attól, hogy az előállított adatok vagy információk terjesztése térítés ellenében vagy ingyen történik. (11) A törvény egyes rendelkezései egész Argentínában egységesen alkalmazandók. Ehhez kapcsolódnak még általános rendelkezések, valamint általános adatvédelmi alapelvek, az érintettek jogai, az adatkezelők kötelezettségei és az adatállományok, nyilvántartások, adatbázisok, büntetőjogi szankciók, valamint az alkotmányban rögzített "habeas data" jogorvoslat alapvető elemei. (12) A törvény egyéb rendelkezései bíróságok közötti ("tartományközi"), nemzeti vagy nemzetközi szinten összekapcsolódó nyilvántartásokra, adatállományokra vagy adatbázisokra vonatkoznak, és a szövetségi szintű igazságszolgáltatás hatáskörébe tartoznak. A felügyeleti hatóságok ellenőrzését, az általuk kiszabható szankciókat, valamint a "habeas data" jogorvoslatra vonatkozó eljárási szabályokat érintik. Egyéb nyilvántartások, adatállományok vagy adatbázisok a tartományi igazságszolgáltatás hatáskörébe tartoznak. A tartományok ez esetben saját jogszabályokat bocsáthatnak ki. (13) Az adatvédelmi rendelkezéseket ezen túlmenően számos, az egyes szektorok, mint pl. hitelkártya-tranzakciók, statisztika, bankszektor vagy egészségügy szabályozásához szükséges jogi eszköz tartalmazza. (14) Az argentin jog figyelembe vesz minden, a természetes személyek megfelelő védelméhez szükséges alapelvet még akkor is, ha a közérdekek védelme érdekében kivételeket és korlátozásokat ír elő. Ezen alapelvek alkalmazását a személyes adatok védelméhez kapcsolódó különleges, egyszerű és gyorsan alkalmazható, "habeas data" néven ismert, az általános jogorvoslatok mellett alkalmazható jogorvoslat biztosítja. A törvény előírja egy adatvédelmi ellenőrző szerv felállítását, amely megtehet minden szükséges intézkedést a törvény céljainak megvalósítása és rendelkezéseinek betartása érdekében, és amely fel van ruházva vizsgálati és beavatkozási jogkörrel. A rendeletnek megfelelően a Személyesadat-védelmi Nemzeti Igazgatóságot hozták létre erre a feladatra. Az argentin jog ezen kívül hatékony, visszatartó erejű, igazgatási és büntetőjogi szankciókat helyez kilátásba. Egyéb esetekben az argentin jog polgári jogi felelősségre (szerződéses és szerződésen kívüli) vonatkozó rendelkezései alkalmazandók, ha az érintettnek a jogosulatlan feldolgozásból kára keletkezik. (15) Az argentin kormány magyarázatokat és biztosítékot nyújtott arra vonatkozóan, hogy hogyan kell az argentin jogot értelmezni. Ezen túlmenően biztosította, hogy a személyes adatokra vonatkozó argentin előírásokat ezen értelmezéseknek megfelelően hajtják végre. Ez a határozat az erre vonatkozó magyarázatokra és biztosítékokra támaszkodik és ezért ezektől függ. Ez a határozat különösen az argentin hatóságoknak az argentin jog értelmezése kapcsán azon kérdésekre vonatkozó magyarázatain és biztosítékain alapul, hogy mely esetek tartoznak az argentin adatvédelemi jog hatálya alá. (16) Ezért Argentínát olyan országnak kell tekintetni, amely a 95/46/EK irányelvnek megfelelően biztosítja a személyes adatok megfelelő védelmét. (17) Az átláthatóság és annak érdekében, hogy a tagállamok hatáskörrel rendelkező hatóságai képesek legyenek a személyes adatok feldolgozása során a személyek védelmének biztosítására - a megfelelő védelem megállapításának sérelme nélkül - meg kell határozni azokat a különleges körülményeket, amelyek mellett bizonyos adatáramlás felfüggeszthető. (18) A 95/46/EK irányelv 29. cikke alapján a személyesadat-feldolgozás vonatkozásában az egyének védelmével foglalkozó munkacsoport többször véleményt nyilvánított az argentin jog által biztosított védelem szintjéről, amelyeket ennek a határozatnak az elkészítésekor figyelembe vettek[3]. (19) Az e határozatban foglalt intézkedések összhangban vannak a 95/46/EK irányelv 31. cikke (1) bekezdése alapján létrehozott bizottság véleményével, ELFOGADTA EZT A HATÁROZATOT: 1. cikk A 95/46/EK irányelv 25. cikkének (2) bekezdése alkalmazásában, az említett irányelv hatálya alá tartozó valamennyi tevékenység tekintetében Argentínát olyan országnak kell tekinteni, amely a Közösségből továbbított személyes adatok szempontjából megfelelő szintű védelmet biztosít. 2. cikk Ez a határozat kizárólag abban a tekintetben vonatkozik az Argentínában biztosított védelem megfelelő szintjére, hogy az megfelel-e a 95/46/EK irányelv 25. cikke (1) bekezdése követelményeinek, és nem érinti az említett irányelv egyéb rendelkezéseit végrehajtó olyan egyéb feltételeket vagy korlátozásokat, amelyek a tagállamokon belüli személyesadat-feldolgozással kapcsolatosak. 3. cikk (1) A tagállamok hatáskörrel rendelkező hatóságai - a 95/46/EK irányelv 25. cikkétől eltérő rendelkezések alapján elfogadott nemzeti rendelkezések teljesítését szolgáló intézkedések megtételére vonatkozó hatásköreik sérelme nélkül - jelenleg is meglévő hatásköreiket gyakorolhatják az argentin címzettek felé irányuló adatáramlás felfüggesztésére annak érdekében, hogy biztosítsák az egyének védelmét személyes adataik feldolgozása tekintetében olyan esetekben, amikor: a) a hatáskörrel rendelkező argentin hatóság megállapította, hogy a címzett megszegi az adatvédelem alkalmazandó normáit; vagy b) nagy a valószínűsége annak, hogy az adatvédelemre vonatkozó normákat megsértik; alapos okkal feltételezhető, hogy a hatáskörrel rendelkező argentin hatóság nem teszi meg vagy nem fogja megtenni a megfelelő és kellő időben történő lépéseket az adott eset rendezésére; fennáll a fenyegető veszélye annak, hogy a folytatódó adattovábbítás az érintettek érdekeinek komoly sérelmét okozná, és a tagállam hatáskörrel rendelkező hatóságai a körülményekhez képest jelentős erőfeszítéseket tettek, hogy az adatfeldolgozásért felelős, Argentínában letelepedett felet értesítsék, és részére biztosítsák a válaszadás lehetőségét. A felfüggesztést meg kell szüntetni, amint az adatvédelem normái biztosítottá válnak, és arról értesíteni kell a Közösség érintett, hatáskörrel rendelkező hatóságát. (2) A tagállamok haladéktalanul tájékoztatják a Bizottságot, amikor intézkedések kerülnek elfogadásra az (1) bekezdés alapján. (3) A tagállamok és a Bizottság egymást is tájékoztatják azokról az esetekről, amikor az adatvédelem normái teljesítésének biztosításáért felelős argentin szerveknek a normák teljesülését nem sikerül biztosítaniuk. (4) Ha az (1), (2) és (3) bekezdés alapján gyűjtött adatok bizonyítékot szolgáltatnak arra nézve, hogy adatvédelem normái teljesülésének biztosításáért felelős, bármely argentin szerv nem hatékonyan tölti be e szerepét, a Bizottság tájékoztatja az illetékes argentin hatóságot, és amennyiben szükséges, a 95/46/EK irányelv 31. cikkének (2) bekezdésében említett eljárással összhangban, ezen határozat hatályon kívül helyezése vagy felfüggesztése, illetve hatályának korlátozása céljából intézkedéstervezetet nyújt be. 4. cikk (1) Ez a határozat a működésével kapcsolatos tapasztalat vagy argentin törvényalkotás változásainak figyelembevételével bármikor módosítható. A Bizottság értékeli e határozatnak a működését, és beszámol a 95/46/EK irányelv 31. cikke alapján létrehozott bizottságnak minden vonatkozó megállapításról, beleértve bármilyen olyan tényt, amely hatással lehet az ezen határozat 1. cikkének azon megállapítására, hogy a 95/46/EK irányelv 25. cikke értelmében Argentínában az adatvédelem szintje megfelelő, illetve bármely olyan tényt, amely azt bizonyítja, hogy ezt a határozatot diszkriminatív módon hajtják végre. (2) A Bizottság, szükség esetén, a 95/46/EK irányelv 31. cikkének (2) bekezdésében megállapított eljárással összhangban intézkedéstervezetet nyújt be. 5. cikk A tagállamok megtesznek minden intézkedést, amelyek szükséges ahhoz, hogy ennek a határozatnak legkésőbb annak a tagállamokkal való közlése időpontjától számított 120 napos határidőn belül megfeleljenek. 6. cikk Ennek a határozatnak a tagállamok a címzettjei. Kelt Brüsszelben, 2003. június 30-án. a Bizottság részéről Frederik BOLKESTEIN a Bizottság tagja [1] HL L 281., 1995.11.23., 31. o. [2] A munkacsoport által 1998. július 24-én elfogadott 12/98 vélemény: "A személyes adatok továbbítása harmadik országokba. Az Európai Unió adatvédelmi irányelve 25. és 26. cikkének alkalmazása." (DG MARKT D/5025/98), hozzáférhető az Európai Bizottság által fenntartott Europa-portálon: http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wpdocs_98.htm. [3] A munkacsoport által elfogadott 4/2002 vélemény - 2002. október 3-i, 63. WP, hozzáférhető: http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm.