Dziennik Urzędowy L 168 , 05/07/2003 P. 0019 - 0022
Decyzja Komisji z dnia 30 czerwca 2003 r. na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie właściwej ochrony danych osobowych w Argentynie (Tekst mający znaczenie dla EOG) (2003/490/WE) KOMISJA WSPÓLNOT EUROPEJSKICH, uwzględniając Traktat ustanawiający Wspólnotę Europejską, uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych [1], w szczególności jej art. 25 ust. 6, a także mając na uwadze, co następuje: (1) Na mocy dyrektywy 95/46/WE Państwa Członkowskie są zobowiązane zapewnić, by przekazanie danych osobowych do państwa trzeciego miało miejsce tylko wtedy, gdy dane państwo trzecie zapewni właściwy poziom ochrony i gdy przed dokonaniem przekazania zastosuje się do prawa Państwa Członkowskiego wykonującego inne przepisy dyrektywy. (2) Komisja może stwierdzić, że państwo trzecie zapewnia odpowiedni poziom ochrony. W takim przypadku dane osobowe można przekazywać z Państw Członkowskich bez konieczności zapewniania dodatkowych gwarancji. W zastosowaniu dyrektywy 95/46/WE poziom ochrony danych powinien być oceniany w świetle wszystkich okoliczności związanych z działaniami odnoszącymi się do przekazania danych albo zespołu działań odnoszących się do przekazania danych oraz szczególnie uwzględniona ilość elementów odnoszących się do przekazania oraz wymienionych w jego art. 25 ust. 2. Grupa robocza ds. ochrony osób fizycznych w odniesieniu do przetwarzania danych osobowych, ustanowiona na mocy art. 29 dyrektywy 95/46/WE, wydała poradnik w sprawie dokonywania takich ocen [2]. (4) W warunkach zróżnicowanego podejścia w państwach trzecich do ochrony danych należy przeprowadzić ocenę adekwatności, natomiast wszelkie decyzje podjęte w oparciu o art. 25 ust. 6 dyrektywy 95/46/WE należy wprowadzić w życie w sposób, który, w świetle aktualnych międzynarodowych zobowiązań Wspólnoty, ani arbitralnie, ani z nieusprawiedliwionych powodów, nie dyskryminuje państw trzecich ani nie prowadzi do dyskryminacji między państwami trzecimi, ani też żadnego z państw trzecich, w których obowiązujące prawa nie powodują ani nie stanowią ukrytej bariery na drodze wymiany handlowej. (5) W odniesieniu do Argentyny normy prawne w sprawie ochrony danych osobowych zostały przewidziane w zasadach ogólnych oraz szczególnych w odniesieniu do danych sektorów. Zarówno jedne, jak i drugie zasady mają wiążący skutek prawny. (6) Ogólne zasady zostały ustanowione w konstytucji, ustawie o ochronie danych osobowych nr 25.326 oraz rozporządzeniu przyjętym dekretem nr 1558/2001 (zwanej dalej "Ustawą argentyńską"). (7) Argentyńska konstytucja przewiduje szczególne zaskarżenie w odniesieniu do ochrony danych osobowych, znane jako "habeas data". Jest to podkategoria procedury zawartej w Konstytucji w odniesieniu do ochrony praw konstytucyjnych i dlatego ustanawia ochronę danych osobowych prawem podstawowym. Zgodnie z art. 43.3 konstytucji każda osoba jest uprawniona, zgodnie z zasadą "habeas data", do zaznajomienia się i celu wszystkich danych odnoszących się do niego lub do niej, zawartych w zbiorach publicznych lub bankach danych, lub zbiorach prywatnych, których celem jest dostarczanie zbiorów. Zgodnie z tym artykułem w przypadku zafałszowania informacji lub użycia ich w celach dyskryminacyjnych, osoba będzie mogła zażądać usunięcia, poprawienia, poufności lub uaktualnienia danych zawartych w wyżej wymienionych zbiorach. Ten artykuł nie będzie miał skutku w odniesieniu do poufności źródeł informacji dziennikarskich. Argentyńskie orzeczenia uznały "habeas data" za podstawowe i bezpośrednio stosowane prawo. (8) Ustawa o ochronie danych osobowych nr 25.326 z dnia 4 października 2000 r. (zwana dalej "ustawą") rozwija i rozszerza postanowienia konstytucji. Ustawa ta zawiera przepisy odnoszące się do ogólnych zasad ochrony danych, prawa osób podlegających ustawie, obowiązki kontrolerów danych oraz użytkowników danych, organu nadzorczego lub kontrolującego, sankcje oraz zasady stosowania "habeas data" jako środka zaskarżenia. (9) Rozporządzenie, potwierdzone przez dekret nr 1558/2001 z dnia 3 grudnia 2001 r. (zwane dalej "rozporządzeniem"), ustanawia zasady wydania ustawy, uzupełnia jej przepisy, oraz wyjaśnia punkty ustawy, na podstawie których można przyjąć różniące się jej wykładnie. (10) Ustawa argentyńska obejmuje ochronę danych osobowych zarejestrowanych w zbiorach danych, rejestrach, bankach danych oraz innych środkach technicznych, które są prywatne, a których celem jest dostarczanie sprawozdań. Obejmuje to te, które wykraczają poza użytkowanie wyłącznie osobiste, oraz te, które są przeznaczone do oceny lub przekazania danych osobowych, bez względu na to, czy obrót danymi lub wytworzonymi informacjami ma być przeznaczony do pobierania opłat czy wolny od opłat. (11) Niektóre przepisy tej ustawy stosuje się jednolicie w Argentynie. Obejmują one przepisy ogólne oraz przepisy dotyczące ogólnych zasad ochrony danych, praw osób podlegających ustawie, obowiązki kontrolerów danych oraz użytkowników zbiorów danych, rejestrów oraz banków danych, sankcji karnych oraz główne cechy zaskarżenia "habeas data" określone w konstytucji. (12) Inne przepisy ustawy stosuje się do rejestrów, zbiorów danych, baz danych lub banków danych, które są powiązane ze sobą poprzez sieci na poziomach międzyjurysdykcyjnym (to znaczy "międzyprowincjonalnym"), krajowym lub międzynarodowym oraz które uważa się za podlegające jurysdykcji federalnej. Przepisy te dotyczą kontroli wykonywanej przez organ nadzorczy, sankcje wywołane przez organ nadzorczy oraz regulamin dotyczący zaskarżenia "habeas data". Inne rodzaje rejestrów, zbiorów danych, baz danych lub banków danych powinno być uważane za objęte jurysdykcją prowincjonalną. Prowincje mogą wydawać przepisy prawa dotyczące tych spraw. (13) Przepisy o ochronie danych znajdują się także w szeregu instrumentów prawnych regulujących różne sektory, takich jak transakcje przy użyciu kart kredytowych, statystyki, bankowość lub zdrowie. (14) Ustawa argentyńska obejmuje wszystkie zasady niezbędne w odniesieniu do odpowiedniego poziomu bezpieczeństwa osób fizycznych, nawet jeżeli wyjątki i ograniczenia są przewidziane w celu ochrony ważnych interesów publicznych. Stosowanie tych norm jest gwarantowane przez szczególne, uproszczone oraz pilne zaskarżenie w odniesieniu do ochrony danych osobowych, znane jako "habeas data", zgodnie z powszechnymi prawnymi środkami zaradczymi. Ustawa przewiduje ustanowienie organu kontrolującego ochronę danych, odpowiedzialnego za podejmowanie wszelkich działań niezbędnych w celu zapewnienia zgodności z celami i przepisami ustawy oraz wyposażonego w kompetencje śledcze i interwencyjne. W zastosowaniu rozporządzenia utworzona została jako organ kontrolny Krajowa Dyrekcja Ochrony Danych Osobowych. Argentyńska ustawa przewiduje skuteczne sankcje odstraszające zarówno o charakterze administracyjnym, jak i karnym. Ponadto przepisy ustawy argentyńskiej dotyczące odpowiedzialności cywilnej (zarówno umownej, jak i pozaumownej) stosuje się w przypadku bezprawnego przetwarzania, które jest szkodliwe w odniesieniu do osób zainteresowanych. (15) Rząd argentyński dostarcza wyjaśnień oraz zapewnień odnośnie do wykładni ustawy argentyńskiej oraz zapewnił, że argentyńskie zasady ochrony danych są wprowadzane w życie zgodnie z taką wykładnią. Niniejsza decyzja oparta jest na tych wyjaśnieniach oraz zapewnieniach i dlatego od nich zależy. W szczególności niniejsza decyzja opiera się na wyjaśnieniach oraz zapewnieniach przedstawionych przez władze argentyńskie co do wykładni ustawy argentyńskiej w odniesieniu do tego, które sytuacje wchodzą w zakres ustawy argentyńskiej o ochronie danych. (16) Argentyna powinna więc być traktowana jako państwo zapewniające odpowiedni poziom bezpieczeństwa w odniesieniu do danych osobowych, określonych w dyrektywie 95/46/WE. (17) W interesie przejrzystości i w celu zabezpieczenia zdolności właściwych organów w Państwach Członkowskich do zagwarantowania osobom fizycznym ochrony w zakresie przetwarzania ich danych osobowych niezbędne jest określenie w niniejszej decyzji wyjątkowych okoliczności, w których uzasadnione może być zawieszenie przepływu danych szczególnych, niezależnie od uznania poziomu ochrony za właściwy. Grupa robocza ds. ochrony osób fizycznych w odniesieniu do przetwarzania danych osobowych, utworzona na podstawie art. 29 dyrektywy 95/46/WE dostarczyła opinii w sprawie poziomu ochrony danych osobowych w Argentynie [3], która została uwzględniona przy sporządzaniu niniejszej decyzji. (19) Środki przewidziane w niniejszej decyzji są zgodne z opinią komitetu ustanowionego na podstawie art. 31 ust. 1 dyrektywy 95/46/WE, PRZYJMUJE NINIEJSZĄ DECYZJĘ: Artykuł 1 Do celów art. 25 ust. 2 dyrektywy 95/46/WE Argentyna jest traktowana jako państwo zapewniające odpowiedni poziom bezpieczeństwa w odniesieniu do danych osobowych przekazywanych ze Wspólnoty. Artykuł 2 Niniejsza decyzja dotyczy wyłącznie właściwości ochrony w Argentynie, z punktu widzenia spełniania wymagań art. 25 ust. 1 dyrektywy 95/46/WE i nie dotyczy pozostałych warunków ani ograniczeń w wykonywaniu innych przepisów niniejszej dyrektywy dotyczących przetwarzania danych osobowych w Państwach Członkowskich. Artykuł 3 1. Bez uszczerbku dla ich kompetencji do podejmowania działań zmierzających do zagwarantowania zgodności z przepisami krajowymi przyjętymi zgodnie z przepisami innymi, niż zawarte w art. 25 dyrektywy 95/46/WE, właściwe władze w Państwach Członkowskich mogą wykonywać obecne uprawnienia do zawieszenia przepływu danych do ich odbiorców w Argentynie w celu ochrony osób fizycznych w odniesieniu do przetwarzania ich danych osobowych, w przypadku gdy: a) właściwe władze argentyńskie ustaliły, że odbiorca naruszył obowiązujące standardy ochrony; lub b) istnieje wysokie prawdopodobieństwo, że normy ochrony są naruszane; istnieją uzasadnione podstawy, aby domniemywać, iż właściwy organ argentyński nie podejmuje lub nie podejmie właściwych i natychmiastowych kroków zmierzających do rozstrzygnięcia sprawy; dalsze przekazywanie danych spowodowałoby realne niebezpieczeństwo wyrządzenia szkody osobom, których dotyczą dane osobowe, a właściwe organy w Państwie Członkowskim podjęły odpowiednie w tych okolicznościach wysiłki w celu dostarczenia stronie odpowiedzialnej za przetwarzanie ustanowione w Argentynie, powiadomienia o powyższym oraz umożliwienia jej udzielenia odpowiedzi. Zawieszenie ustanie, gdy tylko zapewnione zostaną normy ochrony, a właściwy organ we Wspólnocie zostanie o tym powiadomiony. 2. Państwa Członkowskie bezzwłocznie powiadamiają Komisję o przyjęciu środków na podstawie ust. 1. 3. Państwa Członkowskie oraz Komisja powiadamiają się wzajemnie o przypadkach, gdy działania organów odpowiedzialnych za zapewnianie zgodności z normami ochrony w Argentynie nie gwarantują takiej zgodności. 4. Jeżeli informacje zgromadzone zgodnie z ust. 1, 2 i 3 dostarczą dowodów, że jakiekolwiek władze odpowiedzialne za zapewnienie zgodności ze standardami ochrony w Argentynie nieskutecznie spełniają swoje zadanie, Komisja powiadamia odpowiednie władze argentyńskie oraz, w razie konieczności, przedstawia projekt środków zgodnie z procedurą ustanowioną w art. 31 ust. 2 dyrektywy 95/46/WE w związku z uchylaniem, zawieszaniem lub ograniczaniem zakresu niniejszej decyzji. Artykuł 4 1. Niniejsza decyzja może zostać zmieniona w dowolnym momencie w świetle uzyskanego doświadczenia o jej funkcjonowaniu lub zmianach w ustawodawstwie argentyńskim, jego wprowadzeniu w życie lub wykładni. Komisja dokonuje oceny wprowadzenia w życie niniejszej decyzji oraz składa sprawozdania o odnośnych zebranych informacjach komitetowi ustanowionemu na mocy art. 31 dyrektywy 95/46/WE, zawierające wszelkie informacje, które mogą wpływać na ocenę dokonaną w art. 1 niniejszej decyzji, odnośnie do odpowiedniego poziomu ochrony zapewnionego w Argentynie w rozumieniu art. 25 dyrektywy 95/46/WE oraz wszelkie informacje wskazujące, że niniejsza decyzja jest stosowana w sposób dyskryminujący. 2. Komisja, w razie potrzeby, przedstawia projekt środków zgodnie z procedurą określoną w art. 31 ust. 2 dyrektywy 95/46/WE. Artykuł 5 Państwa Członkowskie podejmują wszelkie niezbędne środki, by dostosować się do niniejszej decyzji najpóźniej do końca okresu 120 dni od daty jej notyfikacji Państwom Członkowskim. Artykuł 6 Niniejsza decyzja skierowana jest do Państw Członkowskich. Sporządzono w Brukseli, dnia 30 czerwca 2003 r. W imieniu Komisji Frederik Bolkestein Członek Komisji [1] Dz.U. L 281 z 23.11.1995, str. 31. [2] Opinia 12/98, przyjęta przez grupę roboczą w dniu 24 lipca 1998 r.: Przekazywanie danych osobowych do państw trzecich: w zastosowaniu art. 25 i 26 dyrektywy o ochronie danych (DG MARKT D/5025/98), dostępnej na, stronie internetowej Komisji Europejskiej "Europa": - http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wpdocs_98.htm. [3] Opinia 4/2002 w sprawie poziomu ochrony danych osobowych w Argentynie - WP 63 z dnia 3 października 2002 r. jest dostępna na: - http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wpdocs/index.htm. --------------------------------------------------