Lagar & Förordningar

Lagar & Förordningar är en kostnadsfri rättsdatabas från Norstedts Juridik där alla Sveriges författningar och EU-rättsliga dokument finns samlade. Nu kan organisationer och företag prova den mer omfattande juridiska informationstjänsten JUNO - gratis i 14 dagar - läs mer om erbjudandet och vad du kan få tillgång till här.

Dokumentet som PDF i original:

32012D0484.pdf

23.8.2012   

SV

Europeiska unionens officiella tidning

L 227/11


KOMMISSIONENS GENOMFÖRANDEBESLUT

av den 21 augusti 2012

i enlighet med Europaparlamentets och rådets direktiv 95/46/EG om en adekvat skyddsnivå vid automatiserad behandling av personuppgifter i Republiken Uruguay

[delgivet med nr C(2012) 5704]

(Text av betydelse för EES)

(2012/484/EU)

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (1), särskilt artikel 25.6,

efter att ha hört Europeiska datatillsynsmannen (2), och

av följande skäl:

(1)

Enligt direktiv 95/46/EG ska medlemsstaterna föreskriva att överföring av personuppgifter till tredjeland endast får ske om landet i fråga garanterar en adekvat skyddsnivå och om medlemsstatens lagar, genom vilka andra bestämmelser i direktivet genomförs, efterlevs före överföringen.

(2)

Kommissionen kan fastställa att tredjeland har en adekvat skyddsnivå. I sådana fall får personuppgifter överföras från medlemsstaterna utan att några ytterligare garantier krävs.

(3)

Enligt direktiv 95/46/EG ska bedömningen av om skyddsnivån i ett tredjeland är adekvat ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter, varvid särskild hänsyn ska tas till vissa för överföringen relevanta aspekter som anges i artikel 25 i direktivet.

(4)

Då sättet att se på frågan om uppgiftsskydd varierar mellan olika tredjeländer bör bedömningen av om skyddsnivån är adekvat genomföras, och beslut som grundar sig på artikel 25.6 i direktiv 95/46/EG fattas och verkställas, utan godtycklig eller obefogad diskriminering i förhållande till tredjeland eller mellan de tredjeländer där liknande förhållanden råder samt på ett sätt som säkerställer att det inte uppstår några dolda handelshinder, varvid hänsyn bör tas till Europeiska unionens nuvarande internationella åtaganden.

(5)

Uruguays författning från 1967 erkänner inte uttryckligen rätten till personlig integritet och skydd av personuppgifter. Förteckningen över grundläggande rättigheter är dock inte uttömmande eftersom det i artikel 72 i författningen föreskrivs att de rättigheter, skyldigheter och garantier som anges inte utesluter andra som är förbundna med den mänskliga naturen eller härrör från det republikanska styrelseskicket. Artikel 1 i lag nr 18.331 om skydd av personuppgifter och ”habeas data” av den 11 augusti 2008 (Ley No 18.331 de Protección de Datos Personales y Acción de ”Habeas Data”) fastställer uttryckligen att ”rätten till skydd av personuppgifter är förbunden med människan och omfattas därför av artikel 72 i republikens författning”. I artikel 332 i författningen föreskrivs att tillämpningen av bestämmelser i författningen som innebär att enskildas rättigheter erkänns, eller att offentliga myndigheter tillerkänns rättigheter och skyldigheter, inte hindras av att närmare föreskrifter saknas, utan i stället får grundas på rättsliga principer i liknande lagstiftning, allmänna rättsregler och allmänt vedertagen doktrin.

(6)

Reglerna för skydd av personuppgifter i Uruguay bygger till stor del på direktiv 95/46/EG och fastställs i lag nr 18.331 om skydd av personuppgifter och ”habeas data” (Ley No 18.331 de Protección de Datos Personales y Acción de ”Habeas Data”) av den 11 augusti 2008. Lagen omfattar fysiska och juridiska personer.

(7)

Denna lag kompletteras av dekret nr 414/009 av den 31 augusti 2009, som antogs för att klargöra flera aspekter av lagen och fastställa närmare föreskrifter för organisation, behörighet och funktion för den tillsynsmyndighet som övervakar skyddet av personuppgifter. I ingressen till dekretet påpekas att det nationella rättssystemet på detta område bör anpassas till det mest vedertagna, jämförbara regelverket, nämligen det som upprättats av de europeiska länderna genom direktiv 95/46/EG.

(8)

Uppgiftsskyddsbestämmelser återfinns också i vissa särskilda lagar som skapar och reglerar databaser, nämligen lagar om vissa offentliga register (officiella handlingar, industriell äganderätt och varumärken, personakter, fastighetsregister, gruvverksamhet eller kreditupplysning). Lag nr 18.331 gäller även för dessa lagar rörande de frågor som inte regleras i särlagstiftningen, i enlighet med artikel 332 i författningen.

(9)

De bestämmelser om uppgiftsskydd som tillämpas i Uruguay omfattar alla nödvändiga grundläggande principer som krävs för en adekvat skyddsnivå för fysiska personer, och innehåller även undantag och begränsningar som ska skydda viktiga allmänintressen. Dessa bestämmelser om uppgiftsskydd och undantagen följer principerna i direktiv 95/46/EG.

(10)

Tillämpningen av bestämmelserna om uppgiftsskydd garanteras, dels genom administrativa och rättsliga medel, särskilt ”habeas data”, som ger den registrerade personen möjlighet att väcka talan mot en registeransvarig för att hävda sin rätt att få tillgång till, korrigera och radera uppgifter, dels genom oberoende kontroller via tillsynsmyndigheten, enheten för reglering och kontroll av personuppgifter (URCDP) som är behörig att utreda, ingripa och utfärda sanktioner i enlighet med artikel 28 i direktiv 95/46/EG, och som handlar helt oberoende. Vidare kan en berörd part begära rättslig prövning och ersättning för skada som orsakats av olaglig behandling av personuppgifter.

(11)

Dataskyddsmyndigheterna i Uruguay har lämnat förklaringar till och garantier för hur Uruguays lagstiftning ska tolkas och har även försäkrat att landets lagstiftning om uppgiftsskydd överensstämmer med denna tolkning. Uruguayanska dataskyddsmyndigheter har särskilt förklarat att, i enlighet med artikel 332 i författningen, tillämpas lag nr 18.331 även på särlagstiftning som skapar och reglerar specifika databaser i frågor som inte regleras i särlagstiftningen. De har också klargjort att lagen även är tillämplig på de fall som avses i artikel 9c i lag nr 18.331 och som tillåter behandling utan samtycke från den registrerade, med avseende på proportionalitetsprincipen och ändamålsprincipen, på rättigheterna för den registrerade och kontroller via tillsynsmyndigheten. Med hänsyn till öppenhetsprincipen har dataskyddsmyndigheterna i Uruguay meddelat att skyldigheten att förse den registrerade med nödvändig information gäller i samtliga fall. Angående rätten till tillgång har dataskyddsmyndigheterna klargjort att den registrerade endast behöver styrka sin identitet när begäran görs. De uruguayanska dataskyddsmyndigheterna har klargjort att undantagen från principen om internationell överföring som fastställs i artikel 23.1 i lag nr 18.331 inte innebär en bredare tillämpning än vad som föreskrivs i artikel 26.1 i direktiv 95/46/EG.

(12)

Föreliggande beslut beaktar dessa förklaringar och försäkringar och är baserat på dem.

(13)

Republiken Uruguay är också en part i den amerikanska konventionen om de mänskliga rättigheterna (”Pact of San José de Costa Rica”) av den 22 november 1969, som trädde i kraft den 18 juli 1978 (3). I artikel 11 i denna konvention föreskrivs rätten till personlig integritet och i artikel 30 fastställs att inskränkningen av rätten till eller utövandet av de fri- och rättigheter som konventionen medger endast får göras med stöd i lagstiftningen som hänvisar till det allmänna bästa och endast i de syften som konventionens inskränkning avser (artikel 30). Vidare har Uruguay accepterat att den interamerikanska domstolen för de mänskliga rättigheterna har jurisdiktion. Vid det 1118:e mötet med ministrarnas företrädare i Europarådet den 6 juli 2011, inbjöd dessutom företrädarna Uruguay att ansluta sig till konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter (ETS nr 108) och dess tilläggsprotokoll (ETS nr 118), efter ett positivt yttrande från den behöriga rådgivande kommittén (4).

(14)

Uruguay bör därför anses erbjuda en adekvat skyddsnivå för personuppgifter enligt direktiv 95/46/EG.

(15)

Detta beslut avser huruvida det skydd som Uruguay erbjuder är tillräckligt för att uppfylla kraven i artikel 25.1 i direktiv 95/46/EG. Det påverkar inte andra villkor eller restriktioner av andra bestämmelser i direktivet om behandling av personuppgifter inom medlemsstaterna.

(16)

För att värna om öppenheten och ge behöriga myndigheter i medlemsstaterna möjlighet att garantera skyddet för enskilda vid behandling av deras personuppgifter, bör man ange vilka särskilda omständigheter som kan motivera ett avbrott i viss uppgiftsöverföring, trots att skyddsnivån har konstaterats vara adekvat.

(17)

Kommissionen ska övervaka tillämpningen av detta beslut och rapportera alla relevanta slutsatser till den kommitté som inrättats enligt artikel 31 i direktiv 95/46/EG. Denna övervakning ska inkludera bland annat Uruguays system för överföringar inom ramen för internationella avtal.

(18)

Den i enlighet med artikel 29 i direktiv 95/46/EG inrättade arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter har yttrat sig positivt angående nivån på personuppgiftsskyddet, vilket har beaktats vid utarbetandet av föreliggande beslut (5).

(19)

De åtgärder som föreskrivs i detta beslut är förenliga med yttrandet från den kommitté som inrättats enligt artikel 31.1 i direktiv 95/46/EG.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

1.   För tillämpningen av artikel 25.2 i direktiv 95/46/EG ska Uruguay anses garantera en adekvat skyddsnivå för de personuppgifter som överförs från Europeiska unionen.

2.   Den behöriga tillsynsmyndigheten i Uruguay för tillämpningen av bestämmelserna om uppgiftsskydd i Uruguay anges i bilagan till detta beslut.

Artikel 2

1.   Behöriga myndigheter i medlemsstaterna får, utan att det påverkar deras befogenheter att vidta åtgärder för att säkerställa efterlevnaden av de nationella bestämmelser som antagits enligt andra bestämmelser än artikel 25 i direktiv 95/46/EG, utöva sin behörighet att tills vidare avbryta uppgiftsöverföringar till en mottagare i Uruguay i syfte att skydda enskilda med avseende på behandlingen av deras personuppgifter om

a)

en behörig myndighet i Uruguay har fastställt att mottagaren bryter mot tillämpliga skyddsregler eller

b)

sannolikheten är stor att skyddsreglerna inte efterlevs, det finns rimliga skäl att anta att behöriga myndigheter i Uruguay inte vidtar eller kommer att vidta adekvata åtgärder i tid för att avgöra ärendet, fortsatt överföring skulle innebära en överhängande risk för att de registrerade lider allvarlig skada och de behöriga myndigheterna i medlemsstaten under omständigheterna har vidtagit rimliga åtgärder för att underrätta den instans i Uruguay som ansvarar för behandlingen och givit denna tillfälle att yttra sig.

2.   Överföringen ska återupptas så snart skyddsreglerna efterlevs och den behöriga myndigheten i den berörda medlemsstaten har underrättats om detta.

Artikel 3

1.   Medlemsstaterna ska utan dröjsmål underrätta kommissionen om de åtgärder som vidtagits med stöd av artikel 2.

2.   Medlemsstaterna och kommissionen ska underrätta varandra om fall där de åtgärder som vidtas av tillsynsmyndigheter i Uruguay leder till att reglerna inte efterlevs.

3.   Där den information som insamlats enligt artikel 2 och punkterna 1 och 2 i denna artikel visar att någon av tillsynsmyndigheterna i Uruguay inte fullgör sin uppgift på ett verkningsfullt sätt, ska kommissionen underrätta den behöriga myndigheten i Uruguay om detta och vid behov framlägga förslag till bestämmelser i enlighet med det förfarande som föreskrivs i artikel 31.2 i direktiv 95/46/EG i syfte att upphäva eller tills vidare avbryta tillämpningen av detta beslut eller begränsa dess tillämpningsområde.

Artikel 4

Kommissionen ska övervaka tillämpningen av detta beslut och rapportera alla relevanta slutsatser till den kommitté som inrättats enligt artikel 31 i direktiv 95/46/EG, vilket även inbegriper alla omständigheter som skulle kunna påverka slutsatsen i artikel 1 i detta beslut om att det skydd som ges i Uruguay är adekvat i den mening som avses i artikel 25 i direktiv 95/46/EG, och alla omständigheter som visar att detta beslut tillämpas på ett diskriminerande sätt.

Artikel 5

Medlemsstaterna ska vidta alla erforderliga åtgärder för att efterkomma detta beslut senast tre månader efter det att beslutet har meddelats.

Artikel 6

Detta beslut riktar sig till medlemsstaterna.

Utfärdat i Bryssel den 21 augusti 2012.

På kommissionens vägnar

Viviane REDING

Vice ordförande


(1)  EGT L 281, 23.11.1995, s. 31.

(2)  Skrivelse av den 31 augusti 2011.

(3)  Amerikanska samarbetsorganisationen: OAS, fördragsserie nr 36, 1144 U.N.T.S. 123. http://www.oas.org/juridico/english/treaties/b-32.html

(4)  Europarådet: https://wcd.coe.int/wcd/ViewDoc.jsp?Ref=CM/Del/Dec(2011)1118/10.3&Language=lanEnglish&Ver=original&Site=CM&BackColorInternet=DBDCF2&BackColorIntranet=FDC864&BackColorLogged=FDC864

(5)  Yttrande nr 6/2010 om skyddsnivån för personuppgifter i Republiken Uruguay. Tillgängligt på följande webbadress: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp177_en.pdf


BILAGA

Den behöriga tillsynsmyndighet som det hänvisas till i artikel 1.2 i det här beslutet:

Unidad Reguladora y de Control de Datos Personales (URCDP)

Andes 1365, Piso 8

Tfn +598 2901 2929 Int. 1352

11.100 Montevideo

URUGUAY

Kontakt per e-post: http://www.datospersonales.gub.uy/sitio/contactenos.aspx

Klagomål online: http://www.datospersonales.gub.uy/sitio/denuncia.aspx

Internet: http://www.datospersonales.gub.uy/sitio/index.aspx