DECYZJA WYKONAWCZA KOMISJI
z dnia 21 sierpnia 2012 r.
na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie odpowiedniej ochrony danych osobowych przez Wschodnią Republikę Urugwaju w odniesieniu do zautomatyzowanego przetwarzania danych osobowych
(notyfikowana jako dokument nr C(2012) 5704)
(Tekst mający znaczenie dla EOG)
(2012/484/UE)
(ostatnia zmiana: DUUEL. z 2016 r., Nr 344, poz. 83)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (1), w szczególności jej art. 25 ust. 6,
po konsultacji z Europejskim Inspektorem Ochrony Danych (2),
a także mając na uwadze, co następuje:
(1) Na mocy dyrektywy 95/46/WE państwa członkowskie są zobowiązane zapewnić, by przekazanie danych osobowych do państwa trzeciego miało miejsce tylko wtedy, gdy dany kraj trzeci zapewni odpowiedni poziom ochrony i gdy przed przekazaniem dopełni się wymogów zawartych w przepisach państw członkowskich wdrażających pozostałe przepisy dyrektywy.
(2) Komisja może stwierdzić, że państwo trzecie gwarantuje odpowiedni poziom ochrony. W takim przypadku dane osobowe można przekazywać z państw członkowskich bez konieczności zapewniania dodatkowych gwarancji.
(3) Na mocy dyrektywy 95/46/WE poziom ochrony danych osobowych powinien być oceniany w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zestawu takich operacji, ze szczególnym uwzględnieniem szeregu elementów mających znaczenie przy przekazywaniu, wyszczególnionych w art. 25 dyrektywy.
(4) W warunkach zróżnicowanego podejścia państw trzecich do ochrony danych należy ocenić, czy ochrona danych jest odpowiednia, natomiast wszelkie decyzje oparte o art. 25 ust. 6 dyrektywy 95/46/WE należy podejmować i wprowadzać w życie w sposób, który w świetle aktualnych międzynarodowych zobowiązań Unii nie stanowi arbitralnej lub nieuzasadnionej dyskryminacji państw trzecich ani ich nierównego traktowania w podobnych przypadkach, ani też nie stanowi ukrytej bariery dla handlu, przy uwzględnieniu obecnych zobowiązań międzynarodowych Unii Europejskiej.
(5) W konstytucji politycznej Wschodniej Republiki Urugwaju uchwalonej w 1967 r. nie uznano wyraźnie prawa do prywatności i ochrony danych osobowych. Jednakże katalog praw podstawowych nie jest zamknięty, ponieważ art. 72 konstytucji przewiduje, że wykaz praw, obowiązków i gwarancji w konstytucji nie wyklucza innych praw, obowiązków i gwarancji, które są właściwe osobie ludzkiej lub które wywodzą się z republikańskiej formy rządów. Artykuł 1 ustawy nr 18.331 o ochronie danych osobowych oraz czynnościach związanych z prawem „Habeas Data” z 11 sierpnia 2008 r. (Ley No 18.331 de Protección de Datos Personales y Acción de „Habeas Data”) wyraźnie stanowi, że „prawo do ochrony danych osobowych jest właściwe osobie ludzkiej i dlatego jest zawarte w art. 72 konstytucji Republiki”. Artykuł 332 konstytucji stanowi, że dla stosowania przepisów tej konstytucji, w których uznano prawa osób fizycznych, jak również przyznano prawa organom publicznym oraz nałożono na nie obowiązki, nie może stanowić przeszkody brak szczegółowych uregulowań. W przypadku ich braku sięga się do zasad stanowiących fundament podobnych przepisów, do ogólnych zasad prawnych i powszechnie akceptowanych doktryn.
(6) Normy prawne dotyczące ochrony danych osobowych we Wschodniej Republice Urugwaju opierają się w przeważającej mierze na normach określonych w dyrektywie 95/46/WE i zostały ustanowione w ustawie nr 18.331 o ochronie danych osobowych oraz czynnościach związanych z prawem „Habeas Data” (Ley No 18.331 de Protección de Datos Personales y Acción de „Habeas Data” ) z dnia 11 sierpnia 2008 r. Jej zakres obejmuje zarówno osoby fizyczne, jak i prawne.
(7) Ustawę uzupełnia ponadto dekret nr 414/009 z dnia 31 sierpnia 2009 r. przyjęty w celu wyjaśnienia szeregu aspektów ustawy oraz ustanowienia szczegółowych regulacji dotyczących organizacji, kompetencji i funkcjonowania organu odpowiedzialnego za nadzorowanie ochrony danych. W preambule dekretu stwierdzono, że należy dostosować krajowy system prawny w tym zakresie do najbardziej akceptowanego porównywalnego systemu prawnego, zasadniczo do systemu ustanowionego przez państwa europejskie dyrektywą 95/46/WE.
(8) Przepisy dotyczące ochrony danych zawarte są także w licznych aktach specjalnych tworzących i regulujących bazy danych, mianowicie aktach regulujących określone rejestry publiczne (dokumenty urzędowe, własność przemysłowa i znaki towarowe, akty osobiste, nieruchomości, górnictwo lub informacja kredytowa). Ustawa nr 18.331 ma dodatkowo zastosowanie do tych aktów w kwestiach, które nie zostały uregulowane tymi szczególnymi instrumentami prawnymi, na mocy art. 332 konstytucji.
(9) Normy prawne dotyczące ochrony danych obowiązujące we Wschodniej Republice Urugwaju obejmują wszystkie podstawowe zasady konieczne do zapewnienia odpowiedniego poziomu ochrony osób fizycznych, określają jednak również wyjątki i ograniczenia w celu ochrony ważnych interesów publicznych. Te normy prawne i wyjątki w zakresie ochrony danych stanowią odzwierciedlenie zasad ustanowionych dyrektywą 95/46/WE.
(10) Zastosowanie norm prawnych dotyczących ochrony danych jest gwarantowane przez organy administracyjne i sądowe, w szczególności przez czynności związane z prawem „habeas data”, które umożliwia osobom, których te dane dotyczą, pozwanie administratora danych do sądu w celu wyegzekwowania prawa do dostępu, poprawienia i usunięcia danych oraz poprzez niezależny nadzór realizowany przez organ nadzorczy, Jednostkę ds. Regulacji i Kontroli Danych Osobowych (Unidad Reguladora y de Control de Datos Personales – URCDP), wyposażoną w kompetencje do prowadzenia dochodzeń, podejmowania interwencji i karania, zgodnie z art. 28 dyrektywy 95/46/WE, i która działa całkowicie niezależnie. Ponadto zainteresowany podmiot uprawniony jest do wystąpienia do sądu o odszkodowanie za szkody poniesione w wyniku bezprawnego przetwarzania jego danych osobowych.
(11) Organy ochrony danych w Urugwaju dostarczyły wyjaśnień oraz zapewnień odnośnie do wykładni urugwajskiego prawa oraz zapewniły, że przepisy z zakresu ochrony danych w Urugwaju są wprowadzane w życie zgodnie z taką wykładnią. Urugwajskie organy ochrony danych wyjaśniły w szczególności, że na mocy art. 332 konstytucji, ustawa nr 18.331 ma dodatkowo zastosowanie do aktów specjalnych, które tworzą i regulują szczególne bazy danych w odniesieniu do tych kwestii, które nie zostały uregulowane w tych specjalnych instrumentach prawnych. Wyjaśniły one również, że jeżeli chodzi o wykazy, o których mowa w art. 9 lit. C) ustawy nr 18.331, i które nie w wymagają zgody osoby, której dane dotyczą, na przetwarzanie, ustawa również ma zastosowanie, a mianowicie zasady proporcjonalności i celowości oraz prawa osób, których dane dotyczą, a także że podlegają one nadzorowi organu ochrony danych. W odniesieniu do zasady przejrzystości urugwajskie organy ochrony danych poinformowały, że obowiązek udzielenia osobie, której dane dotyczą, niezbędnych informacji ma zastosowanie we wszystkich przypadkach. W odniesieniu do prawa dostępu, organ ochrony danych wyjaśnił, że wystarczy, by osoba, której dane dotyczą, dowiodła swej tożsamości przy składaniu wniosku. Urugwajskie organy ochrony danych wyjaśniły, że wyjątki związane z zasadą dotyczącą transferów międzynarodowych ustanowioną w art. 23 ust. 1 ustawy nr 18.331 nie mogą być rozumiane jako mające szersze zastosowanie niż te przewidziane w art. 26 ust. 1 dyrektywy 95/46/WE.
(12) Niniejsza decyzja uwzględnia te wyjaśnienia oraz zapewnienia i jest na nich oparta.
(13) Wschodnia Republika Paragwaju jest również stroną Amerykańskiej konwencji praw człowieka („Pakt z San José de Costa Rica”) z dnia 22 listopada 1969 r., która weszła w życie w dniu 18 lipca 1978 r. (3). Artykuł 11 tej konwencji ustanawia prawa do prywatności, a art. 30 stwierdza, że ograniczenia, które na mocy tej konwencji mogą zostać wprowadzone w odniesieniu do korzystania z praw i wolności uznanych w konwencji mogą być stosowane jedynie zgodnie z ustawami przyjętymi w interesie ogólnym oraz zgodnie z celem, w jakim takie ograniczenia zostały ustanowione (art. 30). Ponadto Wschodnia Republika Paragwaju zaakceptowała jurysdykcję Międzyamerykańskiego Trybunału Praw Człowieka. Podczas 1118. posiedzenia Komitetu Delegatów Ministrów Rady Europy zorganizowanego w dniu 6 lipca 2011 r., po uzyskaniu pozytywnej opinii właściwego komitetu konsultacyjnego (4), delegaci zwrócili się do Wschodniej Republiki Urugwaju, by przystąpiła do Konwencji o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (ETS nr 108) oraz jej Protokołu dodatkowego (ETS nr 118).
(14) Wschodnia Republika Urugwaju powinna zatem zostać uznana za państwo zapewniające odpowiedni poziom ochrony danych osobowych, o którym mowa w dyrektywie 95/46/WE.
(15) Niniejsza decyzja powinna dotyczyć adekwatności ochrony zapewnianej we Wschodniej Republice Urugwaju w celu sprostania wymogom art. 25 ust. 1 dyrektywy 95/46/WE. Nie powinna ona wpływać na inne warunki ani ograniczenia, służące realizacji innych przepisów tej dyrektywy, które są elementem przetwarzania danych osobowych w państwach członkowskich.
(16) W imię przejrzystości i do celów zabezpieczenia zdolności właściwych organów w państwach członkowskich do zagwarantowania osobom fizycznym ochrony w zakresie przetwarzania ich danych osobowych konieczne jest określenie wyjątkowych okoliczności, w których uzasadnione może być zawieszenie przepływu określonych danych, niezależnie od uznania poziomu ochrony za odpowiedni.
(17) Komisja powinna monitorować funkcjonowanie decyzji i złożyć sprowadzanie z wszelkich istotnych ustaleń komitetowi ustanowionemu na mocy art. 31 dyrektywy 95/46/WE. Monitorowanie to powinno obejmować, między innymi, obowiązujący we Wschodniej Republice Urugwaju system mający zastosowanie do transferów w ramach traktatów międzynarodowych.
(18) Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych ustanowiona na mocy art. 29 dyrektywy 95/46/WE, dostarczyła pozytywną opinię w sprawie poziomu odpowiedniej ochrony w odniesieniu do danych osobowych, która została uwzględniona w trakcie przygotowania niniejszej decyzji (5).
(19) Środki przewidziane w niniejszej decyzji są zgodne z opinią komitetu ustanowionego na mocy art. 31 ust. 1 dyrektywy 95/46/WE,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
1. Do celów art. 25 ust. 2 dyrektywy 95/46/WE Wschodnia Republika Urugwaju uznawana jest za państwo zapewniające odpowiedni poziom ochrony danych osobowych przekazywanych z Unii Europejskiej.
2. Właściwy organ nadzorczy Wschodniej Republiki Urugwaju na potrzeby stosowania norm prawnych w zakresie ochrony danych we Wschodniej Republice Urugwaju został określony w załączniku do niniejszej decyzji.
Artykuł 2
[1] W przypadku gdy właściwe organy w państwach członkowskich wykonują swoje uprawnienia na podstawie art. 28 ust. 3 dyrektywy 95/46/WE, co prowadzi do zawieszenia lub ostatecznego zakazu przepływu danych do Wschodniej Republiki Urugwaju w celu ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, dane państwo członkowskie bezzwłocznie informuje o tym Komisję, która przekazuje tę informację pozostałym państwom członkowskim.
Artykuł 3
[2] 1. Komisja na bieżąco monitoruje zmiany w porządku prawnym Wschodniej Republiki Urugwaju, które mogłyby wpłynąć na funkcjonowanie niniejszej decyzji, w tym zmiany dotyczące dostępu organów publicznych do danych osobowych, aby ocenić, czy Wschodnia Republika Urugwaju nadal zapewnia odpowiedni stopień ochrony danych osobowych.
2. Państwa członkowskie i Komisja informują się nawzajem o przypadkach, w których działania organów odpowiedzialnych za zapewnianie zgodności z normami ochrony we Wschodniej Republice Urugwaju nie gwarantują takiej zgodności.
3. Państwa członkowskie i Komisja informują się nawzajem o wszelkich przesłankach wskazujących, że ingerencje urugwajskich organów publicznych, które odpowiadają za bezpieczeństwo narodowe, egzekwowanie prawa lub realizację innych celów interesu publicznego, w prawo osób fizycznych do ochrony ich danych osobowych wykraczają poza to, co jest ściśle niezbędne, lub że nie zapewniono żadnej skutecznej ochrony prawnej przed takimi ingerencjami.
4. Jeżeli dowody wskazują, że odpowiedni poziom ochrony nie jest już zapewniony, w tym w sytuacjach, o których mowa w ust. 2 i 3 niniejszego artykułu, Komisja powiadamia właściwy organ urugwajski oraz, w razie konieczności, przedstawia projekt środków zgodnie z procedurą, o której mowa w art. 31 ust. 2 dyrektywy 95/46/WE, w celu uchylenia, zawieszenia lub ograniczenia zakresu niniejszej decyzji.
Artykuł 4
Komisja monitoruje wprowadzanie w życie niniejszej decyzji i przekazuje wszelkie stosowne ustalenia komitetowi ustanowionemu na podstawie art. 31 dyrektywy 95/46/WE, w tym także wszelkie dowody, które mogłyby podważać założenie zawarte w art. 1 niniejszej decyzji, że ochrona danych we Wschodniej Republice Urugwaju jest odpowiednia w rozumieniu art. 25 dyrektywy 95/46/WE, lub które mogą wskazywać, że niniejsza decyzja jest wykonywana w sposób dyskryminacyjny.
Artykuł 5
Państwa członkowskie podejmują wszelkie niezbędne środki w celu zastosowania się do niniejszej decyzji w terminie trzech miesięcy od dnia jej notyfikacji.
Artykuł 6
Niniejsza decyzja skierowana jest do państw członkowskich.
Sporządzono w Brukseli dnia 21 sierpnia 2012 r.
(1) Dz.U. L 281 z 23.11.1995, s. 31.
(2) Pismo z dnia 31 sierpnia 2011 r.
(3) Organizacja Państw Amerykańskich - O.A.S, Treaty Series, nr 36, 1144 U.N.T.S. 123. http://www.oas.org/juridico/english/treaties/b-32.html.
(4) Rada Europy: https://wcd.coe.int/wcd/ViewDoc.jsp?Ref=CM/Del/Dec(2011)1118/10.3& Language=lanEnglish&Ver=original&Site=CM&BackColorInternet=DBDCF2& BackColorIntranet=FDC864&BackColorLogged=FDC864.
(5) Opinia 6/2010 w sprawie stopnia ochrony danych osobowych we Wschodniej Republice Urugwaju. Dostępna na stronie: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp177_ en.pdf
ZAŁĄCZNIK
Właściwy organ nadzorczy, o którym mowa w art. 1 ust. 2 niniejszej decyzji:
Unidad Reguladora y de Control de Datos Personales (URCDP),
Andes 1365, Piso 8
Tel. +598 2901 2929 Int. 1352
11.100 Montevideo
URUGWAJ
E-mail kontaktowy: http://www.datospersonales.gub.uy/sitio/contactenos.aspx
Skargi online: http://www.datospersonales.gub.uy/sitio/denuncia.aspx
Strona internetowa: http://www.datospersonales.gub.uy/sitio/index.aspx
[1] Art. 2 w brzmieniu ustalonym przez art. 10 decyzji wykonawczej Komisji (UE) 2016/2295 z dnia 16 grudnia 2016 r. zmieniającej decyzje 2000/518/WE, 2002/2/WE, 2003/490/WE, 2003/821/WE, 2004/411/WE, 2008/393/WE, 2010/146/UE, 2010/625/UE, 2011/61/UE oraz decyzje wykonawcze 2012/484/UE i 2013/65/UE w sprawie odpowiedniej ochrony danych osobowych przez niektóre państwa, na podstawie art. 25 ust. 6 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (Dz.Urz.UE L 344 z 17.12.2016, str. 83). Zmiana weszła w życie w dniu notyfikacji.
[2] Art. 3 w brzmieniu ustalonym przez art. 10 decyzji wykonawczej Komisji (UE) 2016/2295 z dnia 16 grudnia 2016 r. zmieniającej decyzje 2000/518/WE, 2002/2/WE, 2003/490/WE, 2003/821/WE, 2004/411/WE, 2008/393/WE, 2010/146/UE, 2010/625/UE, 2011/61/UE oraz decyzje wykonawcze 2012/484/UE i 2013/65/UE w sprawie odpowiedniej ochrony danych osobowych przez niektóre państwa, na podstawie art. 25 ust. 6 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (Dz.Urz.UE L 344 z 17.12.2016, str. 83). Zmiana weszła w życie w dniu notyfikacji.
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00