Beschikking van de Commissie

van 30 juni 2003

overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, betreffende de passende bescherming van persoonsgegevens in Argentinië

(Voor de EER relevante tekst)

(2003/490/EG)

DE COMMISSIE VAN DE EUROPESE GEMEENSCHAPPEN,

Gelet op het Verdrag tot oprichting van de Europese Gemeenschap,

Gelet op Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(1), inzonderheid op artikel 25, lid 6,

Overwegende hetgeen volgt:

(1) Overeenkomstig Richtlijn 95/46/EG moeten de lidstaten bepalen dat persoonsgegevens slechts naar een derde land mogen worden doorgegeven indien dat land een passend beschermingsniveau waarborgt en de wetgeving van de lidstaat die is vastgesteld ter uitvoering van de andere bepalingen van deze richtlijn al vóór de doorgifte wordt nageleefd.

(2) De Commissie kan vaststellen dat een derde land waarborgen voor een passend beschermingsniveau biedt. In dat geval kunnen persoonsgegevens zonder aanvullende garanties door de lidstaten worden doorgegeven.

(3) Overeenkomstig Richtlijn 95/46/EG dient het gegevensbeschermingsniveau te worden beoordeeld met inachtneming van alle omstandigheden waarin een gegevensdoorgifte of een categorie gegevensdoorgiften plaatsvindt en wordt in het bijzonder rekening gehouden met een aantal elementen die van belang zijn voor de doorgifte en in artikel 25, lid 2, zijn opgenomen. De bij artikel 29 van Richtlijn 95/46/EG ingestelde Groep betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens heeft richtsnoeren voor een dergelijke beoordeling vastgesteld(2).

(4) Gezien de verschillende benaderingen van gegevensbescherming in derde landen moet de beoordeling van de gepastheid worden uitgevoerd en moeten besluiten op grond van artikel 25, lid 6, van Richtlijn 95/46/EG worden genomen en ten uitvoer gelegd op een wijze die geen willekeurige of onverantwoorde discriminatie tegen of tussen derde landen waar gelijksoortige voorwaarden gelden, noch een verkapte handelsbelemmering vormt, rekening gehouden met de huidige internationale verbintenissen van de Gemeenschap.

(5) Wat Argentinië betreft zijn de wettelijke normen betreffende de bescherming van persoonsgegevens opgenomen in algemene en sectorspecifieke regels. Beide hebben bindende rechtskracht.

(6) De algemene regels zijn vastgelegd in de grondwet, wet nr. 25.326 betreffende bescherming van persoonsgegevens en de bij besluit 1558/2001 goedgekeurde verordening (hierna "Argentijnse wetgeving" genoemd).

(7) De Argentijnse grondwet voorziet in een speciaal beroep ter bescherming van persoonsgegevens, bekend als "habeas data". Dit is een variant van de in de grondwet verankerde procedure ter bescherming van grondwettelijke rechten, waardoor de bescherming van persoonsgegevens een grondrecht wordt. Volgens artikel 43.3 van de grondwet heeft iedere persoon op grond van de habeas data-actie het recht de inhoud en het doel te kennen van alle op hem betrekking hebbende persoonsgegevens die in openbare archieven of gegevensbanken zijn opgeslagen, of in voor informatieverstrekking gebruikte particuliere archieven of gegevensbanken. Volgens dat artikel kan, indien de informatie wordt vervalst of voor discriminerende doeleinden wordt misbruikt, iedere persoon vragen dat de gegevens die in de bovenvermelde bestanden zijn opgeslagen, worden gewist, gecorrigeerd, bijgewerkt of vertrouwelijk worden behandeld. Dit artikel laat de geheimhouding van journalistieke informatiebronnen onverlet. De Argentijnse rechtspraak heeft de habeas data-actie erkend als een direct toepasbaar grondrecht.

(8) Wet nr. 25.326 betreffende de bescherming van persoonsgegevens van 4 oktober 2000 (hierna "wet" genoemd) ontwikkelt en verruimt de bepalingen uit de grondwet. De wet bevat bepalingen betreffende de algemene beginselen inzake gegevensbescherming, de rechten van de betrokkenen, de verplichtingen van de voor de gegevens verantwoordelijke personen en de gebruikers ervan, de toezichthoudende autoriteit of controlerende instantie, sancties en regels inzake het habeas data-beroep.

(9) Bij de bij besluit nr. 1558/2001 van 3 december 2001 goedgekeurde verordening (hierna "verordening" genoemd) worden de uitvoeringsbepalingen van de wet vastgelegd, worden de bepalingen van de wet aangevuld en worden delen van de wet die voor verschillende interpretaties vatbaar zijn verduidelijkt.

(10) De Argentijnse wetgeving voorziet in de bescherming van persoonsgegevens die zijn opgeslagen in openbare gegevensbestanden, registers, gegevensbanken of andere technische voorzieningen; en in de bescherming van persoonsgegevens die zijn opgeslagen in particuliere gegevensbestanden, registers, gegevensbanken of andere technische voorzieningen die voor informatieverstrekking worden gebruikt. Hieronder vallen die welke uitsluitend voor persoonlijk gebruik zijn bedoeld en die welke bestemd zijn om persoonsgegevens over te dragen of door te geven, ongeacht of de verspreiding van de geproduceerde gegevens of informatie onder bezwarende titel of om niet geschiedt.

(11) Sommige bepalingen van de wet zijn in het gehele land eenvormig van toepassing. Hieronder begrepen zijn de algemene bepalingen en de bepalingen betreffende algemene gegevensbeschermingsbeginselen, rechten van de betrokkenen, verplichtingen van de gebruikers van gegevenbestanden, registers en gegevensbanken en degenen die ervoor verantwoordelijk zijn, strafrechtelijke sancties en het bestaan en de belangrijkste aspecten van het habeas data-beroep, zoals in de grondwet vastgelegd.

(12) Andere bepalingen van de wet zijn van toepassing op registers, gegevensbestanden, databanken of gegevensbanken die met elkaar zijn verbonden op interjurisdictioneel (dat is interprovinciaal), nationaal of internationaal niveau en die onder de federale rechtspraak vallen. Zij hebben betrekking op de controle door de toezichthoudende autoriteit, sancties opgelegd door de toezichthoudende autoriteit en de regels inzake het habeas data-beroep. Andere registers, gegevensbestanden, databases of gegevensbanken vallen onder de provinciale rechtspraak. De provincies mogen voor deze gevallen zelf wettelijke bepalingen vaststellen.

(13) Gegevensbeschermingsbepalingen zijn ook opgenomen in een aantal wetten die van toepassing zijn voor verschillende sectoren, zoals voor kredietkaarttransacties, de statistiek, de banksector of het gezondheidswezen.

(14) De Argentijnse wetgeving bevat alle basisbeginselen die noodzakelijk zijn voor een passend beschermingsniveau voor natuurlijke personen ook al is in uitzonderingen en beperkingen voorzien voor de bescherming van belangrijke openbare belangen. De toepassing van deze normen wordt gegarandeerd dankzij een eenvoudig en snel rechtsmiddel dat speciaal voor de bescherming van persoonsgegevens is ingevoerd, bekend als habeas data, samen met algemene rechtsinstrumenten. De wet voorziet in de oprichting van een toezichthoudende gegevensbeschermingsautoriteit die alle noodzakelijke maatregelen kan treffen die ervoor moeten zorgen dat aan de doelstellingen en bepalingen van de wet wordt voldaan en die over bevoegdheden beschikt om onderzoek te verrichten en in te grijpen. Overeenkomstig de verordening is als toezichthoudende autoriteit het Nationale directoraat voor de persoonsgegevensbescherming opgericht. De Argentijnse wetgeving voorziet ook in doeltreffende afschrikkende sancties, zowel administratieve als strafrechtelijke. Voorts zijn de bepalingen van de Argentijnse wetgeving inzake burgerlijke aansprakelijkheid (zowel contractuele als extra-contractuele) van toepassing in het geval van een onrechtmatige verwerking die de betrokken personen schade heeft toegebracht.

(15) De Argentijnse regering heeft verklaringen en verzekeringen gegeven over de manier waarop de Argentijnse wetgeving moet worden geïnterpreteerd en heeft de verzekering gegeven dat de Argentijnse normen inzake gegevensbescherming overeenkomstig deze interpretatie worden uitgevoerd. De onderhavige beschikking is op deze verklaringen en verzekeringen gebaseerd en is derhalve daarvan afhankelijk. Met name is deze beschikking gebaseerd op de verklaringen en de verzekeringen van de Argentijnse autoriteiten omtrent de manier waarop de Argentijnse wetgeving moet worden uitgelegd met betrekking tot de vraag welke situaties onder het toepassingsgebied van de Argentijnse wetgeving betreffende gegevensbescherming vallen.

(16) Derhalve moet Argentinië worden geacht een passend beschermingsniveau te bieden voor de in Richtlijn 95/46/EG bedoelde persoonsgegevens.

(17) Ter wille van de doorzichtigheid en teneinde te garanderen dat de bevoegde autoriteiten in de lidstaten de personen wier persoonsgegevens worden verwerkt, kunnen beschermen, moet worden aangegeven in welke buitengewone omstandigheden het gerechtvaardigd is specifieke gegevensstromen op te schorten, ook al is een passend beschermingsniveau vastgesteld.

(18) De bij artikel 29 van Richtlijn 95/46/EG opgerichte Groep betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens heeft over het niveau van de persoonsgegevensbescherming in Argentinië advies uitgebracht waarmee bij de voorbereiding van deze beschikking rekening is gehouden(3).

(19) De in deze beschikking vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 31, lid 1, van Richtlijn 95/46/EG ingestelde comité,

HEEFT DE VOLGENDE BESCHIKKING GEGEVEN:

Artikel 1

Voor de toepassing van artikel 25, lid 2, van Richtlijn 95/46/EG wordt Argentinië geacht een passend beschermingsniveau voor vanuit de Gemeenschap doorgegeven persoonsgegevens te bieden.

Artikel 2

Deze beschikking heeft alleen betrekking op de gepastheid van de bescherming die in Argentinië wordt geboden, teneinde aan de vereisten van artikel 25, lid 1, van Richtlijn 95/46/EG te voldoen en laat andere voorwaarden of beperkingen ter uitvoering van andere bepalingen van die richtlijn die op de verwerking van persoonsgegevens in de lidstaten betrekking hebben, onverlet.

Artikel 3

1. Onverminderd hun bevoegdheden maatregelen te nemen teneinde te zorgen voor de naleving van nationale bepalingen die overeenkomstig andere bepalingen dan artikel 25 van Richtlijn 95/46/EG zijn vastgesteld, kunnen de bevoegde autoriteiten in de lidstaten van hun bestaande bevoegdheden gebruik maken om gegevensstromen naar een ontvanger in Argentinië op te schorten, teneinde personen ten aanzien van de verwerking van hun persoonsgegevens te beschermen in de gevallen waarin:

a) een bevoegde Argentijnse autoriteit heeft bepaald dat de ontvanger de toepasselijke beschermingsnormen niet naleeft; of

b) het zeer waarschijnlijk is dat de beschermingsnormen worden geschonden; redelijkerwijs kan worden aangenomen dat de bevoegde Argentijnse autoriteit niet tijdig passende maatregelen neemt of zal nemen om het betrokken probleem op te lossen; wanneer verder gegevens worden doorgegeven, het risico dreigt dat de betrokkenen ernstige schade wordt toegebracht en de bevoegde autoriteiten in de lidstaat zich naar omstandigheden redelijke inspanningen hebben getroost om de in Argentinië gevestigde partij die voor de verwerking verantwoordelijk is, in kennis te stellen en de gelegenheid te geven te reageren.

De opschorting wordt beëindigd, zodra vaststaat dat de beschermingsnormen worden gewaarborgd en de bevoegde autoriteit in de Gemeenschap hiervan in kennis is gesteld.

2. De lidstaten stellen de Commissie onverwijld in kennis wanneer op grond van lid 1 maatregelen worden genomen.

3. De lidstaten en de Commissie stellen elkaar in kennis van de gevallen waarin de instanties die in Argentinië voor de naleving van de beschermingsnormen verantwoordelijk zijn, niet in staat zijn deze naleving te garanderen.

4. Wanneer uit de overeenkomstig de leden 1, 2 en 3 verzamelde informatie mocht blijken dat een instantie die voor de naleving van de beschermingsnormen in Argentinië verantwoordelijk is, haar taak niet naar behoren vervult, stelt de Commissie de bevoegde Argentijnse autoriteit hiervan in kennis en stelt zij zo nodig, overeenkomstig de in artikel 31, lid 2, van Richtlijn 95/46/EG bedoelde procedure, ontwerp-maatregelen voor om deze beschikking in te trekken of op te schorten dan wel de werkingssfeer ervan te beperken.

Artikel 4

1. Deze beschikking kan te allen tijde worden gewijzigd in het licht van de bij de werking ervan opgedane ervaringen of van wijzigingen in de Argentijnse wetgeving, in de tenuitvoerlegging en interpretatie ervan.

De Commissie ziet toe op de werking van deze beschikking en deelt alle relevante vaststellingen aan het bij artikel 31 van Richtlijn 95/46/EG ingestelde Comité mee, waaronder alle gegevens die van invloed kunnen zijn op de overeenkomstig artikel 1 van deze beschikking gedane vaststelling dat het beschermingsniveau in Argentinië passend is in de zin van artikel 25 van Richtlijn 95/46/EG, alsmede alle gegevens waaruit blijkt dat deze beschikking op discriminerende wijze wordt uitgevoerd.

2. De Commissie legt zo nodig overeenkomstig de in artikel 31, lid 2, van Richtlijn 95/46/EG bedoelde procedure een ontwerp van de te nemen maatregelen voor.

Artikel 5

De lidstaten nemen alle nodige maatregelen om uiterlijk honderdtwintig dagen na de kennisgeving ervan aan de lidstaten, aan deze beschikking te voldoen.

Artikel 6

Deze beschikking is gericht tot de lidstaten.

Gedaan te Brussel, 30 juni 2003.

Voor de Commissie

Frederik Bolkestein

Lid van de Commissie

(1) PB L 281 van 23.11.1995, blz. 31.

(2) Advies 12/98, goedgekeurd door de Groep op 24 juli 1998: Doorgiften van persoonsgegevens naar derde landen; toepassing van de artikelen 25 en 26 van de gegevensbeschermingsrichtlijn van de EU (DG MARKT D/5025/98), beschikbaar op EUROPA, de website van de Europese Commissie:

http://europa.eu.int/comm/ internal_market/en/dataprot/wpdocs/ wpdocs_98.htm

(3) Advies 4/2002 over het niveau van de persoonsgegevensbescherming in Argentinië - WP 63 van 3.10.2002 beschikbaar op http://europa.eu.int/comm/ internal_market/en/dataprot/wpdocs/ index.htm