32003D0490



Oficialusis leidinys L 168 , 05/07/2003 p. 0019 - 0022


Komisijos sprendimas

2003 m. birželio 30 d.

dėl adekvačios asmens duomenų apsaugos Argentinoje, remiantis Europos Parlamento ir Tarybos direktyva 95/46/EB

(tekstas svarbus EEE)

(2003/490/EB)

EUROPOS BENDRIJŲ KOMISIJA,

atsižvelgdama į Europos bendrijos steigimo sutartį,

atsižvelgdama į 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvą 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo [1], ypač į jos 25 straipsnio 6 dalį,

kadangi:

(1) Remiantis Direktyva 95/46/EB valstybių narių reikalaujama numatyti, kad asmens duomenys gali būti perduodami į trečiąją valstybę tik tuo atveju, jeigu ši trečioji valstybė užtikrina adekvatų apsaugos lygį, ir jeigu prieš tokį perdavimą buvo įvykdyti valstybės narės teisės aktų, kuriais įgyvendinamos kitos minėtosios direktyvos nuostatos, reikalavimai.

(2) Komisija gali išsiaiškinti, kad trečioji valstybė užtikrina adekvatų apsaugos lygį. Tokiu atveju iš valstybių narių asmens duomenys gali būti perduoti, nereikalaujant jokių papildomų garantijų.

Remiantis Direktyva 95/46/EB, duomenų apsaugos lygio adekvatumas turėtų būti įvertinamas atsižvelgiant į duomenų perdavimo operacijos ar operacijų grupės aplinkybes, taip pat atkreipiant ypatingą dėmesį į kelis veiksnius, susijusius su perdavimu ir išvardytus minėtos direktyvos 25 straipsnio 2 dalyje. Direktyvos 95/46/EB 29 straipsniu įkurta Darbo grupė asmenų apsaugai tvarkant asmens duomenis pateikė nurodymus, kaip atlikti tokius vertinimus [2].

(4) Atsižvelgiant į skirtingus duomenų apsaugos metodus trečiosiose valstybėse, adekvatumas turėtų būti įvertinamas ir bet koks sprendimas, paremtas Direktyvos 95/46/EB 25 straipsnio 6 dalimi, turėtų būti priimamas ir vykdomas taip, kad pasirinktinai ar nepagrįstai nebūtų diskriminuojamos trečiosios valstybės, kuriose yra panašios sąlygos, statant jas ar vienas iš jų į blogesnę padėtį, ir kad nebūtų sukuriama užslėptų kliūčių prekybai, atsižvelgus į esamus tarptautinius Bendrijos įsipareigojimus.

(5) Argentinoje asmens duomenų apsaugos teisės normos numatytos bendrosiose ir konkrečių sektorių taisyklėse. Abiejų rūšių taisyklių laikytis privaloma.

(6) Bendrosios taisyklės nustatytos konstitucijoje, Asmens duomenų apsaugos įstatyme Nr. 25.326 ir Reglamente, patvirtintame Dekretu Nr. 1558/2001 (toliau – Argentinos teisė).

(7) Argentinos konstitucijoje numatyta ypatinga asmens duomenų apsaugos teisminė priemonė, vadinamoji "habeas data". Tai konstitucijoje numatytos konstitucinių teisių apsaugos tvarkos antrinė kategorija, kas rodo, kad asmens duomenų apsauga yra viena iš pagrindinių teisių. Pagal konstitucijos 43.3 straipsnį bet kuris asmuo, remiantis "habeas data" taisykle, turi teisę sužinoti visų su juo ar ja susijusių duomenų, laikomų viešuosiuose įrašuose ar duomenų bankuose, arba privačiuose įrašuose ar duomenų bankuose, kurių tikslas yra teikti ataskaitas, turinį ir tikslą. Remiantis tuo straipsniu, tuo atveju, kai informacija klaidinga ar naudojama diskriminaciniais tikslais, asmuo gali pareikalauti pašalinti, patikslinti, įslaptinti ar atnaujinti minėtuose įrašuose saugomus duomenis. Šis straipsnis neturi jokios įtakos žurnalistų informacijos šaltinių įslaptinimui. Argentinos jurisprudencija pripažino "habeas data" viena iš pagrindinių ir tiesiogiai taikomų teisių.

(8) 2000 m. spalio 4 d. Asmens duomenų apsaugos įstatyme Nr. 25326 (toliau – Įstatymas) išplėtojamos ir praplečiamos konstitucijos nuostatos. Jame yra nuostatų, susijusių su bendraisiais duomenų apsaugos principais, duomenų subjektų teisėmis, duomenų valdytojų ir duomenų naudotojų pareigomis, priežiūros institucija ar valdymo įstaiga, sankcijomis ir "habeas data" kaip teisminės priemonės taikymo tvarka.

(9) Reglamente, patvirtintame 2001 m. gruodžio 3 d. Dekretu Nr. 1558/2001 (toliau – Reglamentas), nustatoma Įstatymo vykdymo tvarka, papildomos jo nuostatos ir išaiškinamai tie Įstatymo punktai, kurie gali būti skirtingai aiškinami.

(10) Argentinos teisė apima asmens duomenų, įrašytų duomenų bylose, registruose, duomenų bankuose ar kitose techninėse priemonėse, apsaugą, taip pat asmens duomenų, įrašytų privačiose duomenų bylose, registruose, duomenų bankuose ar kitose techninėse priemonėse, kurių tikslas yra teikti ataskaitas, apsaugą. Tai apima tas priemones, kurios naudojamos ne vien tik asmeniniais tikslais, ir tas, kurios skirtos asmens duomenims perleisti ar perduoti, neatsižvelgiant į tai, ar pateikti duomenys ar informacija platinami už mokestį, ar nemokamai.

(11) Kai kurios Įstatymo nuostatos vienodai taikomos visoje Argentinoje. Tai bendrosios nuostatos ir nuostatos dėl bendrųjų asmens duomenų apsaugos principų, duomenų subjektų teisių, duomenų valdytojų ir duomenų bylų naudotojų pareigų, registrų ir duomenų bankų, baudžiamųjų sankcijų ir konstitucijoje numatytos teisminės priemonės "habeas data" egzistavimo ir pagrindinių ypatybių.

(12) Kitos Įstatymo nuostatos taikomos registrams, duomenų byloms, duomenų bazėms ar duomenų bankams, kurie tarpusavyje sujungti tinklais tarpjurisdikciniu (t. y. "tarp provincijų"), nacionaliniu ar tarptautiniu mastu ir kurie laikomi patenkančiais į federalinę jurisdikciją. Jos susijusios su priežiūros institucijos vykdoma kontrole, priežiūros institucijos skiriamomis sankcijomis ir teisminės priemonės "habeas data" taikymo tvarka. Kitų rūšių registrai, duomenų bylos, duomenų bazės ar duomenų bankai turėtų būti laikomi patenkančiais į provincijų jurisdikciją. Provincijos gali priimti teisines nuostatas, susijusiais su šiais reikalais.

(13) Duomenų apsaugos nuostatų taip pat yra kai kuriuose teisiniuose dokumentuose, reglamentuojančiuose įvairius sektorius, pavyzdžiui, operacijas su kreditinėmis kortelėmis, statistiką, bankininkystę ar sveikatos priežiūrą.

(14) Argentinos teisė apima visus pagrindinius principus, būtinus adekvačiam fizinių asmenų apsaugos lygiui, netgi jei taip pat numatyta išimčių ir apribojimų svarbiems visuomenės interesams užtikrinti. Šių normų taikymas kartu su bendromis teisminėmis priemonėmis garantuojamas ypatinga, supaprastinta ir greita asmens duomenų apsaugos teismine priemone, vadinamąja "habeas data". Įstatyme numatyta įsteigti duomenų apsaugos kontrolės įstaigą, kuriai būtų pavesta imtis visų priemonių, būtinų tam, kad būtų laikomasi Įstatyme numatytų tikslų ir nuostatų, ir kuriai būtų suteikti įgaliojimai atlikti tyrimą ir įsikišti. Remiantis Reglamentu, kaip kontroliuojanti įstaiga buvo įsteigta Nacionalinė asmens duomenų apsaugos direkcija. Argentinos teisėje numatytos veiksmingos administracinės ir baudžiamosios atgrasančios sankcijos. Be to, neteisėto duomenų tvarkymo, žalingo atitinkamiems asmenims, atveju taikomos su civiline atsakomybe (sutartine ir nesutartine) susijusios Argentinos teisės nuostatos.

(15) Argentinos Vyriausybė pateikė paaiškinimus ir garantijas dėl to, kaip turi būti aiškinama Argentinos teisė, bei patikino, kad Argentinos duomenų apsaugos taisyklės taikomos laikantis tokio aiškinimo. Šis sprendimas paremtas tais paaiškinimais ir garantijomis, taigi yra nuo jų priklausomas. Šiame sprendime ypač remiamasi tais Argentinos valdžios įstaigų paaiškinimais ir garantijomis, kurias jos pateikė aiškindamos, kaip turi būti aiškinama Argentinos teisė nustatant, kurios situacijos patenka į Argentinos teisės dėl duomenų apsaugos taikymo sritį.

(16) Dėl minėtų priežasčių Argentina turėtų būti laikoma užtikrinančia adekvatų asmens duomenų apsaugos lygį, kaip nurodyta Direktyvoje 95/46/EB.

(17) Skaidrumo interesais ir siekiant apsaugoti valstybių narių kompetentingų institucijų galias užtikrinti asmenų apsaugą tvarkant jų asmens duomenis, būtina apibrėžti išimtines sąlygas, kuriomis galima pateisinti laikiną konkrečių duomenų srautų sustabdymą, neatsižvelgiant į adekvataus apsaugos lygio išaiškinimą.

Direktyvos 95/46/EB 29 straipsniu įkurta Darbo grupė asmenų apsaugai tvarkant asmens duomenis pateikė nuomonę dėl asmens duomenų apsaugos lygio Argentinoje [3], į kurią buvo atsižvelgta rengiant šį sprendimą.

(19) Šioje direktyvoje numatytos priemonės atitinka Direktyvos 95/46/EB 31 straipsnio 1 dalimi įsteigto komiteto nuomonę,

PRIĖMĖ ŠĮ SPRENDIMĄ:

1 straipsnis

Direktyvos 95/46/EB 25 straipsnio 2 dalyje Argentina laikoma užtikrinančia adekvatų iš Bendrijos perduodamų asmens duomenų apsaugos lygį.

2 straipsnis

Šis sprendimas susijęs tik su Argentinos užtikrinamos apsaugos adekvatumu, siekiant patenkinti Direktyvos 95/46/EB 25 straipsnio 1 dalies reikalavimus, ir neturi jokios įtakos kitoms sąlygoms ar apribojimams, kuriais įgyvendinamos kitos tos direktyvos nuostatos, susijusios su asmens duomenų tvarkymu valstybėse narėse.

3 straipsnis

1. Nesuvaržydamos savo galių imtis priemonių užtikrinant, kad būtų laikomasi nacionalinių nuostatų, priimtų, remiantis kitomis nei Direktyvos 95/46/EB 25 straipsnis nuostatomis, valstybių narių kompetentingos institucijos gali pasinaudoti savo turimomis galiomis laikinai sustabdyti duomenų srautus gavėjui Argentinoje, kad apsaugotų asmenis tvarkant jų asmens duomenis tais atvejais, kai:

a) kompetentinga Argentinos įstaiga nustatė, kad gavėjas pažeidė taikomą apsaugos normą; arba

b) yra didelė tikimybė, kad buvo pažeistos apsaugos normos; yra pakankamo pagrindo manyti, kad kompetentinga Argentinos institucija nesiima ar nesiims atitinkamų ir savalaikių veiksmų ginčytinam atvejui išspręsti; tolesnis perdavimas sukeltų neišvengiamą rimtos žalos duomenų subjektams riziką, o valstybių narių kompetentingos įstaigos ėmėsi esamomis aplinkybėmis racionalių priemonių įspėti Argentinoje įsteigtą šalį, atsakingą už tvarkymą, ir suteikė galimybę pateikti atsakymą.

Laikinas sustabdymas nutraukiamas tuojau pat, kai tik užtikrinamos apsaugos normos ir apie tai pranešama atitinkamai Bendrijos kompetentingai institucijai.

2. Valstybės narės nedelsdamos informuoja Komisiją, kai pritaikomos 1 dalyje numatytos priemonės.

3. Valstybės narės ir Komisija vienos kitą informuoja apie atvejus, kai įstaigų, atsakingų už apsaugos normų laikymosi užtikrinimą Argentinoje, veiksmais tokio laikymosi užtikrinti nepavyksta.

4. Jeigu pasinaudojant informacija, surinkta remiantis 1, 2 ir 3 dalimis, galima įrodyti, kad kuri nors įstaiga, atsakinga už apsaugos normų laikymosi užtikrinimą Argentinoje, veiksmingai neatlieka savo vaidmens, Komisija informuoja apie tai kompetentingą Argentinos instituciją ir, jeigu reikia, Direktyvos 95/46/EB 31 straipsnio 2 dalyje nustatyta tvarka pateikia priemonių projektą, skirtą šiam sprendimui panaikinti ar laikinai sustabdyti, arba apriboti jo taikymo sritį.

4 straipsnis

1. Šis sprendimas bet kuriuo metu gali būti iš dalies pakeistas, atsižvelgus į jo taikymo patirtį ar Argentinos teisės pasikeitimus, jos taikymą ir aiškinimą.

Komisija kontroliuoja, kaip veikia šis sprendimas, ir praneša apie visus nustatytus susijusius faktus, įskaitant bet kokius įrodymus, galinčius turėti įtakos šio sprendimo 1 straipsnyje pateiktam išaiškinimui, kad apsauga Argentinoje yra adekvati, kaip apibrėžta Direktyvos 95/46/EB 25 straipsnyje, bei apie visus įrodymus, kad šis sprendimas taikomas diskriminaciniu būdu, Direktyvos 95/46/EB 31 straipsniu įkurtam komitetui.

2. Jeigu būtina, Direktyvos 95/46/EB 31 straipsnio 2 dalyje nustatyta tvarka Komisija pateikia priemonių projektą.

5 straipsnis

Valstybės narės patvirtina būtinas priemones, kurios, įsigaliojusios ne vėliau, kaip per 120 dienų po jo paskelbimo, jį įgyvendina.

6 straipsnis

Šis sprendimas skirtas valstybėms narėms.

Priimta Briuselyje, 2003 m. birželio 30 d.

Komisijos vardu

Frederik Bolkestein

Komisijos narys

[1] OL L 281, 1995 11 23, p. 31.

[2] 1998 m. liepos 24 d. patvirtinta Darbo grupės nuomonė 12/98: Asmens duomenų perdavimas į trečiąsias valstybes: taikant ES duomenų apsaugos direktyvos 25 ir 26 straipsnius (DG MARKT D/5025/98), skelbiama Europos Komisijos tvarkomoje tinklavietėje "Europa":

- http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wpdocs_98.htm.

[3] Nuomonė 4/2002 dėl asmens duomenų apsaugos lygio Argentinoje – 2002 m. spalio 3 d. WP 63, paskelbta

- http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm.

--------------------------------------------------