23.8.2012   

LT

Europos Sąjungos oficialusis leidinys

L 227/11

(1)

remiantis Direktyva 95/46/EB, valstybės narės privalo užtikrinti, kad asmens duomenys trečiajai šaliai būtų perduodami tik tuo atveju, jei pastaroji užtikrina tinkamą apsaugos lygį ir jei iki perdavimo laikomasi valstybių narių įstatymų, kuriais įgyvendinamos kitos direktyvos nuostatos;

(2)

Komisija gali nustatyti, kad trečioji šalis užtikrina tinkamą apsaugos lygį. Tokiu atveju asmens duomenys gali būti perduodami iš valstybių narių be papildomų garantijų;

(3)

pagal Direktyvą 95/46/EB duomenų apsaugos lygis turėtų būti įvertintas atsižvelgiant į visas su duomenų perdavimo operacija ar operacijomis susijusias aplinkybes ir ypatingą dėmesį skiriant perdavimui svarbiems elementams, kurie išvardyti direktyvos 25 straipsnyje;

(4)

kadangi trečiųjų šalių duomenų apsaugos koncepcijos skiriasi, reikėtų įvertinti apsaugos tinkamumą, o bet koks Direktyvos 95/46/EB 25 straipsnio 6 dalimi pagrįstas sprendimas turėtų būti priimtas ir vykdomas taip, kad trečiosios šalys, kuriose yra panašios sąlygos, nebūtų savavališkai ar nepagrįstai diskriminuojamos arba kad trečiosios šalys nediskriminuotų viena kitos ir kad juo nebūtų kuriamos paslėptos prekybos kliūtys atsižvelgiant į Europos Sąjungos prisiimtus tarptautinius įsipareigojimus;

(5)

1967 m. priimtoje Urugvajaus Rytų Respublikos politinėje Konstitucijoje teisė į privatumą ir asmens duomenų apsaugą nėra aiškiai pripažinta. Tačiau pagrindinių teisių katalogas nėra baigtinis sąrašas, nes Konstitucijos 72 straipsnyje nustatyta, kad Konstitucijoje išvardytos teisės, pareigos ir garantijos gali būti papildytos naujomis teisėmis, pareigomis ir garantijomis, susijusiomis su žmogaus asmeniu arba kylančiomis iš Respublikinės valstybės valdymo formos. 2008 m. rugpjūčio 11 d. Įstatymo Nr. 18.331 dėl asmens duomenų apsaugos ir „habeas data“ ieškinio (Ley No 18.331 de Protección de Datos Personales y Acción de „Habeas Data“) 1 straipsnyje aiškiai nurodyta, kad „teisė į asmens duomenų apsaugą neatsiejamai susijusi su individu ir todėl nustatyta Respublikos Konstitucijos 72 straipsnyje“. Konstitucijos 332 straipsnyje numatyta, kad Konstitucijos nuostatos, kuriomis asmenims pripažįstamos, o valdžios institucijoms suteikiamos teisės ir nustatomos pareigos, taikomos net ir nesant specialaus reglamentavimo; tokiu atveju nuostatų taikymas grindžiamas panašiuose įstatymuose įtvirtintais principais, bendraisiais teisės principais ir visuotinai pripažinta teisės doktrina;

(6)

Urugvajaus Rytų Respublikoje asmens duomenų apsaugos teisės normos daugiausia grindžiamos Direktyvoje 95/46/EB nustatytomis normomis ir jos įtvirtintos 2008 m. rugpjūčio 11 d. Įstatyme Nr. 18.331 dėl asmens duomenų apsaugos ir „habeas data“ ieškinio (Ley No18.331 de Protección de Datos Personales y Acción de „Habeas Data“). Jos taikomos ir fiziniams, ir juridiniams asmenims;

(7)

šį įstatymą papildo 2009 m. rugpjūčio 31 d. Potvarkis Nr. 414/009, kuriuo paaiškinami tam tikri įstatymo aspektai ir išsamiai reglamentuojama duomenų apsaugos priežiūros institucijos struktūra, įgaliojimai ir veikimas. Potvarkio preambulėje nurodyta, kad šios srities nacionalinę teisės sistemą reikėtų suderinti su daugumoje šalių pripažinta teisinio reglamentavimo tvarka, iš esmės – su tvarka, kurią Europos šalys įvedė 95/46/EB;

(8)

be to, duomenų apsaugos nuostatos įtvirtintos ir specialiuosiuose teisės aktuose, kuriais sukuriamos ir reglamentuojamos duomenų bazės, t. y. teisės aktais, reglamentuojančiais tam tikrus viešuosius registrus (oficialių dokumentų, pramoninės nuosavybės ir prekių ženklų, civilinės būklės aktų, nekilnojamojo turto, kalnakasybos arba kreditorių duomenų teikimo). Pagal Konstitucijos 332 straipsnį Įstatymas Nr. 18.331 taikomas ir tiems klausimams, kurie nėra sureglamentuoti specialiaisiais teisės aktais;

(9)

Urugvajaus Rytų Respublikoje taikomose duomenų apsaugos teisės normose įtvirtinti visi pagrindiniai principai, būtini tinkamam fizinių asmenų apsaugos lygiui užtikrinti, ir nustatytos išimtys bei apribojimai svarbiems viešiesiems interesams apsaugoti. Šios duomenų apsaugos teisės normos ir išimtys atitinka Direktyvoje 95/46/EB nustatytus principus;

(10)

duomenų apsaugos teisės normų taikymas užtikrintas administracinėmis ir teisminėmis teisių gynimo priemonėmis, visų pirma „habeas data“ ieškiniu, suteikiančiu duomenų subjektui teisę paduoti duomenų valdytoją į teismą, siekiant įgyvendinti savo teisę susipažinti su duomenimis arba teisę reikalauti juos ištaisyti ir ištrinti, ir nepriklausoma priežiūra, kurią vykdo priežiūros institucija – Asmens duomenų reglamentavimo ir kontrolės tarnyba (Unidad Reguladora y de Control de Datos Personales (URCDP)) –, kuriai pagal Direktyvos 95/46/EB 28 straipsnį suteikti įgaliojimai atlikti tyrimus, imtis veiksmų ir skirti sankcijas ir kuri veikia visiškai nepriklausomai. Be to, kiekvienas suinteresuotas asmuo turi teisę kreiptis į teismą su reikalavimu atlyginti žalą, patirtą neteisėtai tvarkant jo asmens duomenis;

(11)

Urugvajaus duomenų apsaugos institucijos pateikė paaiškinimų ir garantijų dėl Urugvajaus įstatymų aiškinimo ir patikino, kad Urugvajaus duomenų apsaugos teisės aktai įgyvendinami vadovaujantis tokiu aiškinimu. Visų pirma, Urugvajaus duomenų apsaugos institucijos paaiškino, kad pagal Konstitucijos 332 straipsnį greta specialiųjų teisės aktų, kuriais sukurtos ir reglamentuojamos specialios duomenų bazės, Įstatymas Nr. 18.331 taikomas ir tuose specialiuosiuose teisės aktuose nesureglamentuotiems klausimams. Jos taip pat pažymėjo, kad, kiek tai susiję su Įstatymo Nr. 18.331 9 straipsnio C punkte nurodytais sąrašais, kurių tvarkymui nereikalingas duomenų subjekto sutikimas, taip pat taikomas įstatymas, ypač proporcingumo ir tikslingumo principas, ir duomenų subjektų teisės, o šių sąrašų priežiūrą atlieka duomenų apsaugos institucija. Dėl skaidrumo principo Urugvajaus duomenų apsaugos institucijos nurodė, kad duomenų subjektui visais atvejais privaloma suteikti reikalingą informaciją. Kiek tai susiję su teise susipažinti su duomenimis, duomenų apsaugos institucijos paaiškino, kad teikiant prašymą duomenų subjektui pakanka įrodyti savo tapatybę. Urugvajaus duomenų apsaugos institucijos nurodė, kad Įstatymo Nr. 18.331 23 straipsnio 1 dalyje nustatytos duomenų perdavimo trečiosioms šalims principo išimtys neturi būti aiškinamos kaip turinčios platesnę taikymo sritį nei Direktyvos 95/46/EB 26 straipsnio 1 dalis;

(12)

šiame sprendime atsižvelgiama į šiuos paaiškinimus ir garantijas ir jis jais grindžiamas;

(13)

Urugvajaus Rytų Respublika taip pat yra 1969 m. lapkričio 22 d. Amerikos žmogaus teisių konvencijos („PACT of San José de Costa Rica“), kuri įsigaliojo 1978 m. liepos 18 d. (3), narė. Šios konvencijos 11 straipsnyje įtvirtinta teisė į privatumą, o 30 straipsnyje nustatyta, kad šioje konvencijoje pripažįstamų teisių ir laisvių naudojimosi ir įgyvendinimo apribojimai pagal šią konvenciją gali būti taikomi tik kai tai numatyta bendrojo intereso gynimui priimtuose įstatymuose ir siekiant tikslo, kuriam tokie apribojimai buvo nustatyti (30 straipsnis). Be to, Urugvajaus Rytų Respublika pripažino Amerikos žmogaus teisių teismo jurisdikciją. Kompetentingam konsultaciniam komitetui pateikus teigiamą nuomonę, 2011 m. liepos 6 d. įvykusioje Europos Tarybos ministrų pavaduotojų 1118-oje sesijoje pavaduotojai pakvietė Urugvajaus Rytų Respubliką prisijungti prie Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (ESS Nr. 108) ir jos Papildomo protokolo (ESS Nr. 118) (4);

(14)

todėl Urugvajaus Rytų Respubliką reikėtų laikyti užtikrinančia tinkamą asmens duomenų apsaugos lygį, kaip nurodyta Direktyvoje 95/46/EB;

(15)

šis sprendimas turėtų būti priimamas dėl apsaugos, kurią Urugvajaus Rytų Respublika užtikrina atsižvelgdama į Direktyvos 95/46/EB 25 straipsnio 1 dalies reikalavimus, lygio tinkamumo. Sprendimu neturėtų būti daromas poveikis kitoms sąlygoms ir kitiems apribojimams, kuriais įgyvendinamos kitos tos direktyvos nuostatos, susijusios su asmens duomenų tvarkymu valstybėse narėse;

(16)

siekiant skaidrumo ir norint garantuoti valstybių narių kompetentingų valdžios institucijų galimybes užtikrinti fizinių asmenų apsaugą tvarkant jų asmens duomenis, svarbu tiksliai apibrėžti išimtines aplinkybes, kuriomis gali būti sustabdyti tam tikrų duomenų srautai, nepaisant to, kad nustatyta, jog apsauga yra tinkama;

(17)

Komisija turėtų stebėti, kaip šis sprendimas įgyvendinamas, ir atitinkamas išvadas pateikti pagal Direktyvos 95/46/EB 31 straipsnį įsteigtam komitetui. Taip pat turėtų būti stebima, kaip Urugvajaus Rytų Respublikoje reglamentuojamas duomenų perdavimas pagal tarptautines sutartis;

(18)

Darbo grupė asmenų apsaugai tvarkant asmens duomenis, įsteigta pagal Direktyvos 95/46/EB 29 straipsnį, pateikė teigiamą nuomonę dėl asmens duomenų apsaugos lygio tinkamumo, ir į šią nuomonę atsižvelgta rengiant šį sprendimą (5);

(19)

šiame sprendime numatytos priemonės atitinka Direktyvos 95/46/EB 31 straipsnio 1 dalimi įsteigto komiteto nuomonę,

a)

jeigu kompetentinga Urugvajaus valdžios institucija nustatė, kad gavėjas nesilaiko taikytinų apsaugos normų, arba

b)

jeigu yra didelė tikimybė, kad nesilaikoma apsaugos normų, jeigu yra pagrįstų priežasčių manyti, kad kompetentinga Urugvajaus valdžios institucija laiku nesiima arba nesiims atitinkamų veiksmų klausimui išspręsti, jeigu toliau perduodant duomenis kiltų neišvengiama didelės žalos rizika duomenų subjektams ir jeigu valstybių narių kompetentingos valdžios institucijos, atsižvelgdamos į aplinkybes, dėjo pakankamai pastangų, kad įspėtų už duomenų tvarkymą Urugvajaus Rytų Respublikoje atsakingą subjektą ir suteiktų jam galimybę atsakyti.