(1)

Na mocy dyrektywy 95/46/WE państwa członkowskie są zobowiązane zapewnić, by przekazanie danych osobowych do państwa trzeciego miało miejsce tylko wtedy, gdy dany kraj trzeci zapewni odpowiedni poziom ochrony i gdy przed przekazaniem dopełni się wymogów zawartych w przepisach państw członkowskich wdrażających pozostałe przepisy dyrektywy.

(2)

Komisja może stwierdzić, że państwo trzecie gwarantuje odpowiedni poziom ochrony. W takim przypadku dane osobowe można przekazywać z państw członkowskich bez konieczności zapewniania dodatkowych gwarancji.

(3)

Na mocy dyrektywy 95/46/WE poziom ochrony danych osobowych powinien być oceniany w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zestawu takich operacji, ze szczególnym uwzględnieniem szeregu elementów mających znaczenie przy przekazywaniu, wyszczególnionych w art. 25 dyrektywy.

(4)

W warunkach zróżnicowanego podejścia państw trzecich do ochrony danych należy ocenić, czy ochrona danych jest odpowiednia, natomiast wszelkie decyzje oparte o art. 25 ust. 6 dyrektywy 95/46/WE należy podejmować i wprowadzać w życie w sposób, który w świetle aktualnych międzynarodowych zobowiązań Unii nie stanowi arbitralnej lub nieuzasadnionej dyskryminacji państw trzecich ani ich nierównego traktowania w podobnych przypadkach, ani też nie stanowi ukrytej bariery dla handlu, przy uwzględnieniu obecnych zobowiązań międzynarodowych Unii Europejskiej.

(5)

W konstytucji politycznej Wschodniej Republiki Urugwaju uchwalonej w 1967 r. nie uznano wyraźnie prawa do prywatności i ochrony danych osobowych. Jednakże katalog praw podstawowych nie jest zamknięty, ponieważ art. 72 konstytucji przewiduje, że wykaz praw, obowiązków i gwarancji w konstytucji nie wyklucza innych praw, obowiązków i gwarancji, które są właściwe osobie ludzkiej lub które wywodzą się z republikańskiej formy rządów. Artykuł 1 ustawy nr 18.331 o ochronie danych osobowych oraz czynnościach związanych z prawem „Habeas Data” z 11 sierpnia 2008 r. (Ley No 18.331 de Protección de Datos Personales y Acción de „Habeas Data”) wyraźnie stanowi, że „prawo do ochrony danych osobowych jest właściwe osobie ludzkiej i dlatego jest zawarte w art. 72 konstytucji Republiki”. Artykuł 332 konstytucji stanowi, że dla stosowania przepisów tej konstytucji, w których uznano prawa osób fizycznych, jak również przyznano prawa organom publicznym oraz nałożono na nie obowiązki, nie może stanowić przeszkody brak szczegółowych uregulowań. W przypadku ich braku sięga się do zasad stanowiących fundament podobnych przepisów, do ogólnych zasad prawnych i powszechnie akceptowanych doktryn.

(6)

Normy prawne dotyczące ochrony danych osobowych we Wschodniej Republice Urugwaju opierają się w przeważającej mierze na normach określonych w dyrektywie 95/46/WE i zostały ustanowione w ustawie nr 18.331 o ochronie danych osobowych oraz czynnościach związanych z prawem „Habeas Data” (Ley No 18.331 de Protección de Datos Personales y Acción de „Habeas Data”) z dnia 11 sierpnia 2008 r. Jej zakres obejmuje zarówno osoby fizyczne, jak i prawne.

(7)

Ustawę uzupełnia ponadto dekret nr 414/009 z dnia 31 sierpnia 2009 r. przyjęty w celu wyjaśnienia szeregu aspektów ustawy oraz ustanowienia szczegółowych regulacji dotyczących organizacji, kompetencji i funkcjonowania organu odpowiedzialnego za nadzorowanie ochrony danych. W preambule dekretu stwierdzono, że należy dostosować krajowy system prawny w tym zakresie do najbardziej akceptowanego porównywalnego systemu prawnego, zasadniczo do systemu ustanowionego przez państwa europejskie dyrektywą 95/46/WE.

(8)

Przepisy dotyczące ochrony danych zawarte są także w licznych aktach specjalnych tworzących i regulujących bazy danych, mianowicie aktach regulujących określone rejestry publiczne (dokumenty urzędowe, własność przemysłowa i znaki towarowe, akty osobiste, nieruchomości, górnictwo lub informacja kredytowa). Ustawa nr 18.331 ma dodatkowo zastosowanie do tych aktów w kwestiach, które nie zostały uregulowane tymi szczególnymi instrumentami prawnymi, na mocy art. 332 konstytucji.

(9)

Normy prawne dotyczące ochrony danych obowiązujące we Wschodniej Republice Urugwaju obejmują wszystkie podstawowe zasady konieczne do zapewnienia odpowiedniego poziomu ochrony osób fizycznych, określają jednak również wyjątki i ograniczenia w celu ochrony ważnych interesów publicznych. Te normy prawne i wyjątki w zakresie ochrony danych stanowią odzwierciedlenie zasad ustanowionych dyrektywą 95/46/WE.

(10)

Zastosowanie norm prawnych dotyczących ochrony danych jest gwarantowane przez organy administracyjne i sądowe, w szczególności przez czynności związane z prawem „habeas data”, które umożliwia osobom, których te dane dotyczą, pozwanie administratora danych do sądu w celu wyegzekwowania prawa do dostępu, poprawienia i usunięcia danych oraz poprzez niezależny nadzór realizowany przez organ nadzorczy, Jednostkę ds. Regulacji i Kontroli Danych Osobowych (Unidad Reguladora y de Control de Datos Personales – URCDP), wyposażoną w kompetencje do prowadzenia dochodzeń, podejmowania interwencji i karania, zgodnie z art. 28 dyrektywy 95/46/WE, i która działa całkowicie niezależnie. Ponadto zainteresowany podmiot uprawniony jest do wystąpienia do sądu o odszkodowanie za szkody poniesione w wyniku bezprawnego przetwarzania jego danych osobowych.

(11)

Organy ochrony danych w Urugwaju dostarczyły wyjaśnień oraz zapewnień odnośnie do wykładni urugwajskiego prawa oraz zapewniły, że przepisy z zakresu ochrony danych w Urugwaju są wprowadzane w życie zgodnie z taką wykładnią. Urugwajskie organy ochrony danych wyjaśniły w szczególności, że na mocy art. 332 konstytucji, ustawa nr 18.331 ma dodatkowo zastosowanie do aktów specjalnych, które tworzą i regulują szczególne bazy danych w odniesieniu do tych kwestii, które nie zostały uregulowane w tych specjalnych instrumentach prawnych. Wyjaśniły one również, że jeżeli chodzi o wykazy, o których mowa w art. 9 lit. C) ustawy nr 18.331, i które nie w wymagają zgody osoby, której dane dotyczą, na przetwarzanie, ustawa również ma zastosowanie, a mianowicie zasady proporcjonalności i celowości oraz prawa osób, których dane dotyczą, a także że podlegają one nadzorowi organu ochrony danych. W odniesieniu do zasady przejrzystości urugwajskie organy ochrony danych poinformowały, że obowiązek udzielenia osobie, której dane dotyczą, niezbędnych informacji ma zastosowanie we wszystkich przypadkach. W odniesieniu do prawa dostępu, organ ochrony danych wyjaśnił, że wystarczy, by osoba, której dane dotyczą, dowiodła swej tożsamości przy składaniu wniosku. Urugwajskie organy ochrony danych wyjaśniły, że wyjątki związane z zasadą dotyczącą transferów międzynarodowych ustanowioną w art. 23 ust. 1 ustawy nr 18.331 nie mogą być rozumiane jako mające szersze zastosowanie niż te przewidziane w art. 26 ust. 1 dyrektywy 95/46/WE.

(12)

Niniejsza decyzja uwzględnia te wyjaśnienia oraz zapewnienia i jest na nich oparta.

(13)

Wschodnia Republika Paragwaju jest również stroną Amerykańskiej konwencji praw człowieka („Pakt z San José de Costa Rica”) z dnia 22 listopada 1969 r., która weszła w życie w dniu 18 lipca 1978 r. (3). Artykuł 11 tej konwencji ustanawia prawa do prywatności, a art. 30 stwierdza, że ograniczenia, które na mocy tej konwencji mogą zostać wprowadzone w odniesieniu do korzystania z praw i wolności uznanych w konwencji mogą być stosowane jedynie zgodnie z ustawami przyjętymi w interesie ogólnym oraz zgodnie z celem, w jakim takie ograniczenia zostały ustanowione (art. 30). Ponadto Wschodnia Republika Paragwaju zaakceptowała jurysdykcję Międzyamerykańskiego Trybunału Praw Człowieka. Podczas 1118. posiedzenia Komitetu Delegatów Ministrów Rady Europy zorganizowanego w dniu 6 lipca 2011 r., po uzyskaniu pozytywnej opinii właściwego komitetu konsultacyjnego (4), delegaci zwrócili się do Wschodniej Republiki Urugwaju, by przystąpiła do Konwencji o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (ETS nr 108) oraz jej Protokołu dodatkowego (ETS nr 118).

(14)

Wschodnia Republika Urugwaju powinna zatem zostać uznana za państwo zapewniające odpowiedni poziom ochrony danych osobowych, o którym mowa w dyrektywie 95/46/WE.

(15)

Niniejsza decyzja powinna dotyczyć adekwatności ochrony zapewnianej we Wschodniej Republice Urugwaju w celu sprostania wymogom art. 25 ust. 1 dyrektywy 95/46/WE. Nie powinna ona wpływać na inne warunki ani ograniczenia, służące realizacji innych przepisów tej dyrektywy, które są elementem przetwarzania danych osobowych w państwach członkowskich.

(16)

W imię przejrzystości i do celów zabezpieczenia zdolności właściwych organów w państwach członkowskich do zagwarantowania osobom fizycznym ochrony w zakresie przetwarzania ich danych osobowych konieczne jest określenie wyjątkowych okoliczności, w których uzasadnione może być zawieszenie przepływu określonych danych, niezależnie od uznania poziomu ochrony za odpowiedni.

(17)

Komisja powinna monitorować funkcjonowanie decyzji i złożyć sprowadzanie z wszelkich istotnych ustaleń komitetowi ustanowionemu na mocy art. 31 dyrektywy 95/46/WE. Monitorowanie to powinno obejmować, między innymi, obowiązujący we Wschodniej Republice Urugwaju system mający zastosowanie do transferów w ramach traktatów międzynarodowych.

(18)

Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych ustanowiona na mocy art. 29 dyrektywy 95/46/WE, dostarczyła pozytywną opinię w sprawie poziomu odpowiedniej ochrony w odniesieniu do danych osobowych, która została uwzględniona w trakcie przygotowania niniejszej decyzji (5).

(19)

Środki przewidziane w niniejszej decyzji są zgodne z opinią komitetu ustanowionego na mocy art. 31 ust. 1 dyrektywy 95/46/WE,