23.8.2012   

SV

Europeiska unionens officiella tidning

L 227/11

(1)

Enligt direktiv 95/46/EG ska medlemsstaterna föreskriva att överföring av personuppgifter till tredjeland endast får ske om landet i fråga garanterar en adekvat skyddsnivå och om medlemsstatens lagar, genom vilka andra bestämmelser i direktivet genomförs, efterlevs före överföringen.

(2)

Kommissionen kan fastställa att tredjeland har en adekvat skyddsnivå. I sådana fall får personuppgifter överföras från medlemsstaterna utan att några ytterligare garantier krävs.

(3)

Enligt direktiv 95/46/EG ska bedömningen av om skyddsnivån i ett tredjeland är adekvat ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter, varvid särskild hänsyn ska tas till vissa för överföringen relevanta aspekter som anges i artikel 25 i direktivet.

(4)

Då sättet att se på frågan om uppgiftsskydd varierar mellan olika tredjeländer bör bedömningen av om skyddsnivån är adekvat genomföras, och beslut som grundar sig på artikel 25.6 i direktiv 95/46/EG fattas och verkställas, utan godtycklig eller obefogad diskriminering i förhållande till tredjeland eller mellan de tredjeländer där liknande förhållanden råder samt på ett sätt som säkerställer att det inte uppstår några dolda handelshinder, varvid hänsyn bör tas till Europeiska unionens nuvarande internationella åtaganden.

(5)

Uruguays författning från 1967 erkänner inte uttryckligen rätten till personlig integritet och skydd av personuppgifter. Förteckningen över grundläggande rättigheter är dock inte uttömmande eftersom det i artikel 72 i författningen föreskrivs att de rättigheter, skyldigheter och garantier som anges inte utesluter andra som är förbundna med den mänskliga naturen eller härrör från det republikanska styrelseskicket. Artikel 1 i lag nr 18.331 om skydd av personuppgifter och ”habeas data” av den 11 augusti 2008 (Ley No 18.331 de Protección de Datos Personales y Acción de ”Habeas Data”) fastställer uttryckligen att ”rätten till skydd av personuppgifter är förbunden med människan och omfattas därför av artikel 72 i republikens författning”. I artikel 332 i författningen föreskrivs att tillämpningen av bestämmelser i författningen som innebär att enskildas rättigheter erkänns, eller att offentliga myndigheter tillerkänns rättigheter och skyldigheter, inte hindras av att närmare föreskrifter saknas, utan i stället får grundas på rättsliga principer i liknande lagstiftning, allmänna rättsregler och allmänt vedertagen doktrin.

(6)

Reglerna för skydd av personuppgifter i Uruguay bygger till stor del på direktiv 95/46/EG och fastställs i lag nr 18.331 om skydd av personuppgifter och ”habeas data” (Ley No 18.331 de Protección de Datos Personales y Acción de ”Habeas Data”) av den 11 augusti 2008. Lagen omfattar fysiska och juridiska personer.

(7)

Denna lag kompletteras av dekret nr 414/009 av den 31 augusti 2009, som antogs för att klargöra flera aspekter av lagen och fastställa närmare föreskrifter för organisation, behörighet och funktion för den tillsynsmyndighet som övervakar skyddet av personuppgifter. I ingressen till dekretet påpekas att det nationella rättssystemet på detta område bör anpassas till det mest vedertagna, jämförbara regelverket, nämligen det som upprättats av de europeiska länderna genom direktiv 95/46/EG.

(8)

Uppgiftsskyddsbestämmelser återfinns också i vissa särskilda lagar som skapar och reglerar databaser, nämligen lagar om vissa offentliga register (officiella handlingar, industriell äganderätt och varumärken, personakter, fastighetsregister, gruvverksamhet eller kreditupplysning). Lag nr 18.331 gäller även för dessa lagar rörande de frågor som inte regleras i särlagstiftningen, i enlighet med artikel 332 i författningen.

(9)

De bestämmelser om uppgiftsskydd som tillämpas i Uruguay omfattar alla nödvändiga grundläggande principer som krävs för en adekvat skyddsnivå för fysiska personer, och innehåller även undantag och begränsningar som ska skydda viktiga allmänintressen. Dessa bestämmelser om uppgiftsskydd och undantagen följer principerna i direktiv 95/46/EG.

(10)

Tillämpningen av bestämmelserna om uppgiftsskydd garanteras, dels genom administrativa och rättsliga medel, särskilt ”habeas data”, som ger den registrerade personen möjlighet att väcka talan mot en registeransvarig för att hävda sin rätt att få tillgång till, korrigera och radera uppgifter, dels genom oberoende kontroller via tillsynsmyndigheten, enheten för reglering och kontroll av personuppgifter (URCDP) som är behörig att utreda, ingripa och utfärda sanktioner i enlighet med artikel 28 i direktiv 95/46/EG, och som handlar helt oberoende. Vidare kan en berörd part begära rättslig prövning och ersättning för skada som orsakats av olaglig behandling av personuppgifter.

(11)

Dataskyddsmyndigheterna i Uruguay har lämnat förklaringar till och garantier för hur Uruguays lagstiftning ska tolkas och har även försäkrat att landets lagstiftning om uppgiftsskydd överensstämmer med denna tolkning. Uruguayanska dataskyddsmyndigheter har särskilt förklarat att, i enlighet med artikel 332 i författningen, tillämpas lag nr 18.331 även på särlagstiftning som skapar och reglerar specifika databaser i frågor som inte regleras i särlagstiftningen. De har också klargjort att lagen även är tillämplig på de fall som avses i artikel 9c i lag nr 18.331 och som tillåter behandling utan samtycke från den registrerade, med avseende på proportionalitetsprincipen och ändamålsprincipen, på rättigheterna för den registrerade och kontroller via tillsynsmyndigheten. Med hänsyn till öppenhetsprincipen har dataskyddsmyndigheterna i Uruguay meddelat att skyldigheten att förse den registrerade med nödvändig information gäller i samtliga fall. Angående rätten till tillgång har dataskyddsmyndigheterna klargjort att den registrerade endast behöver styrka sin identitet när begäran görs. De uruguayanska dataskyddsmyndigheterna har klargjort att undantagen från principen om internationell överföring som fastställs i artikel 23.1 i lag nr 18.331 inte innebär en bredare tillämpning än vad som föreskrivs i artikel 26.1 i direktiv 95/46/EG.

(12)

Föreliggande beslut beaktar dessa förklaringar och försäkringar och är baserat på dem.

(13)

Republiken Uruguay är också en part i den amerikanska konventionen om de mänskliga rättigheterna (”Pact of San José de Costa Rica”) av den 22 november 1969, som trädde i kraft den 18 juli 1978 (3). I artikel 11 i denna konvention föreskrivs rätten till personlig integritet och i artikel 30 fastställs att inskränkningen av rätten till eller utövandet av de fri- och rättigheter som konventionen medger endast får göras med stöd i lagstiftningen som hänvisar till det allmänna bästa och endast i de syften som konventionens inskränkning avser (artikel 30). Vidare har Uruguay accepterat att den interamerikanska domstolen för de mänskliga rättigheterna har jurisdiktion. Vid det 1118:e mötet med ministrarnas företrädare i Europarådet den 6 juli 2011, inbjöd dessutom företrädarna Uruguay att ansluta sig till konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter (ETS nr 108) och dess tilläggsprotokoll (ETS nr 118), efter ett positivt yttrande från den behöriga rådgivande kommittén (4).

(14)

Uruguay bör därför anses erbjuda en adekvat skyddsnivå för personuppgifter enligt direktiv 95/46/EG.

(15)

Detta beslut avser huruvida det skydd som Uruguay erbjuder är tillräckligt för att uppfylla kraven i artikel 25.1 i direktiv 95/46/EG. Det påverkar inte andra villkor eller restriktioner av andra bestämmelser i direktivet om behandling av personuppgifter inom medlemsstaterna.

(16)

För att värna om öppenheten och ge behöriga myndigheter i medlemsstaterna möjlighet att garantera skyddet för enskilda vid behandling av deras personuppgifter, bör man ange vilka särskilda omständigheter som kan motivera ett avbrott i viss uppgiftsöverföring, trots att skyddsnivån har konstaterats vara adekvat.

(17)

Kommissionen ska övervaka tillämpningen av detta beslut och rapportera alla relevanta slutsatser till den kommitté som inrättats enligt artikel 31 i direktiv 95/46/EG. Denna övervakning ska inkludera bland annat Uruguays system för överföringar inom ramen för internationella avtal.

(18)

Den i enlighet med artikel 29 i direktiv 95/46/EG inrättade arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter har yttrat sig positivt angående nivån på personuppgiftsskyddet, vilket har beaktats vid utarbetandet av föreliggande beslut (5).

(19)

De åtgärder som föreskrivs i detta beslut är förenliga med yttrandet från den kommitté som inrättats enligt artikel 31.1 i direktiv 95/46/EG.

a)

en behörig myndighet i Uruguay har fastställt att mottagaren bryter mot tillämpliga skyddsregler eller

b)

sannolikheten är stor att skyddsreglerna inte efterlevs, det finns rimliga skäl att anta att behöriga myndigheter i Uruguay inte vidtar eller kommer att vidta adekvata åtgärder i tid för att avgöra ärendet, fortsatt överföring skulle innebära en överhängande risk för att de registrerade lider allvarlig skada och de behöriga myndigheterna i medlemsstaten under omständigheterna har vidtagit rimliga åtgärder för att underrätta den instans i Uruguay som ansvarar för behandlingen och givit denna tillfälle att yttra sig.