|
30.1.2013 |
FI |
Euroopan unionin virallinen lehti |
L 28/12 |
KOMISSION TÄYTÄNTÖÖNPANOPÄÄTÖS,
annettu 19 päivänä joulukuuta 2012,
Euroopan parlamentin ja neuvoston direktiivin 95/46/EY nojalla Uuden-Seelannin tarjoaman henkilötietojen suojan riittävyydestä
(tiedoksiannettu numerolla C(2012) 9557)
(ETA:n kannalta merkityksellinen teksti)
(2013/65/EU)
EUROOPAN KOMISSIO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,
ottaa huomioon yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (1) ja erityisesti sen 25 artiklan 6 kohdan,
on kuullut Euroopan tietosuojavaltuutettua,
sekä katsoo seuraavaa:
|
(1) |
Direktiivin 95/46/EY mukaan jäsenvaltioiden on säädettävä siitä, että henkilötietoja voidaan siirtää kolmanteen maahan vain, jos kyseisessä kolmannessa maassa turvataan tietosuojan riittävä taso ja jos direktiivin muiden säännösten täytäntöönpanemiseksi annettuja jäsenvaltioiden lakeja noudatetaan ennen tietojen siirtämistä. |
|
(2) |
Komissio voi todeta, että kolmas maa turvaa tietosuojan riittävän tason. Henkilötietoja voidaan tässä tapauksessa siirtää jäsenvaltioista ilman lisätakeita. |
|
(3) |
Direktiivin 95/46/EY mukaisesti tietosuojan taso olisi arvioitava kaikkien tiettyyn siirtoon tai siirtojen ryhmään liittyvien olosuhteiden osalta ja ottaen erityisesti huomioon eräät siirron kannalta olennaiset tekijät. |
|
(4) |
Kolmannet maat suhtautuvat eri tavoin tietosuojaan, joten tietosuojan riittävyyden arviointi olisi suoritettava ja kaikki direktiiviin 95/46/EY perustuvat päätökset olisi tehtävä ja pantava täytäntöön tavalla, joka ei syrji mielivaltaisesti tai epäoikeudenmukaisesti mitään kolmatta maata eikä tee eroa niiden välillä, jos niissä vallitsevat samanlaiset olosuhteet, eikä muodosta peiteltyä kaupan estettä, kun otetaan huomioon Euroopan unionin voimassa olevat kansainväliset sitoumukset. |
|
(5) |
Uusi-Seelanti on entinen Ison-Britannian siirtomaa. Siitä tuli itsehallintoalue vuonna 1907, mutta se katkaisi virallisesti perustuslailliset siteensä Isoon-Britanniaan vasta vuonna 1947. Uusi-Seelanti on yhtenäisvaltio, eikä sillä ole perustamiskirjan tapaista kirjoitettua perustuslakia. Sen valtiomuoto on sekä perustuslaillinen monarkia että parlamentaarinen demokratia ns. Westminster-järjestelmän mukaisesti, ja sen valtionpäämiehenä toimii Uuden-Seelannin kuningatar. |
|
(6) |
Uudessa-Seelannissa sovelletaan parlamentin itsemääräämisoikeutta koskevaa periaatetta. Maassa on kuitenkin useita lakeja, joilla on erityistä perustuslaillista merkitystä ja joiden katsotaan olevan muiden lakien yläpuolella. Tämä tarkoittaa sitä, että ne muodostavat osan perustuslaillista kehystä, sillä ne ohjaavat hallituksen toimintaa ja muun lainsäädännön antamista. Lisäksi näiden lakien muuttaminen tai kumoaminen edellyttäisi kaikkien poliittisten ryhmien yhteisymmärrystä. Useat näistä laeista, kuten 28 päivänä elokuuta 1990 annettu oikeuksien luettelon sisältävä laki (vuoden 1990 julkinen laki nro 109), 10 päivänä elokuuta 1993 annettu ihmisoikeuslaki (vuoden 1993 julkinen laki nro 82) ja 17 päivänä toukokuuta 1993 annettu tietosuojalaki (vuoden 1993 julkinen laki nro 28) liittyvät tietosuojaan. Näiden lakien perustuslaillista merkitystä kuvastaa se, että ne on otettava huomioon aina kun kehitetään tai ehdotetaan uutta lainsäädäntöä. |
|
(7) |
Henkilötietojen suojaan Uudessa-Seelannissa sovellettavat oikeusnormit määritellään pääasiassa tietosuojalaissa sellaisena kuin se on muutettuna 7 päivänä syyskuuta 2010 annetulla tietosuojalakia rajat ylittävien tiedonsiirtojen osalta muuttavalla lailla (vuoden 2010 julkinen laki nro 113). Se on annettu ennen direktiiviä 95/46/EY, eikä se koske pelkästään johonkin rekisteriin sisältyviä, automaattisesti käsiteltäviä tai jäsenneltyjä tietoja vaan kattaa kaikki henkilötiedot niiden muodosta riippumatta. Se kattaa koko julkisen ja yksityisen sektorin lukuun ottamatta muutamia tiettyjä yleisen edun kannalta määriteltyjä poikkeuksia, jotka ovat ymmärrettäviä demokraattisessa yhteiskunnassa. |
|
(8) |
Uudessa-Seelannissa on useita sääntelykehyksiä, joissa säädetään yksityisyydensuojaan liittyvistä kysymyksistä politiikan, sääntöjen tai kanteluihin liittyvän toimivallan osalta. Osa on lakisääteisiä ja osa eri toimialojen itsesääntelyjärjestelmiä, jotka koskevat muun muassa viestimien sääntelyä, suoramarkkinointia, ei-toivottuja sähköpostiviestejä, markkinatutkimusta, terveydenhuoltoa ja vammaisuutta sekä pankki- ja vakuutustoimintaa ja säästötuotteita. |
|
(9) |
Uuden-Seelannin parlamentin antaman lainsäädännön lisäksi on olemassa runsaasti common law -oikeutta, joka perustuu Englannin vastaavaan oikeuteen ja johon sisältyy tietosuojan kannalta merkittäviä periaatteita ja sääntöjä. Common law -oikeuden perusperiaatteita on se, että lainsäädännössä etusijalla on ihmisarvon kunnioittaminen. Tämä periaate on yleensä keskeinen tekijä tuomioistuinten päätöksenteossa Uudessa-Seelannissa. Common law -oikeuteen perustuva Uuden-Seelannin oikeuskäytäntö käsittää myös monia muita yksityisyyteen liittyviä näkökohtia, muun muassa yksityisyyden loukkaus, luottamuksen rikkominen ja tilapäinen suoja kunnianloukkausta, häiriötä, häirintää, panettelua, laiminlyöntiä ja muita vastaavia tekoja vastaan. |
|
(10) |
Uudessa-Seelannissa sovellettavat oikeudelliset tietosuojanormit kattavat kaikki perusperiaatteet, jotka tarvitaan antamaan luonnollisille henkilöille riittävä suoja, ja niissä säädetään myös poikkeuksista ja rajoituksista tärkeiden yleisten etujen suojelemiseksi. Nämä tietosuojanormit ja poikkeukset vastaavat direktiivissä 95/46/EY vahvistettuja periaatteita. |
|
(11) |
Oikeudellisten tietosuojanormien soveltaminen on varmistettu hallinnollisin ja oikeudellisin muutoksenhakukeinoin sekä riippumattomalla valvonnalla, jota toteuttaa valvontaviranomainen eli tietosuojavaltuutettu, jolle on annettu direktiivin 95/46/EY 28 artiklassa tarkoitetut valtuudet ja joka toimii täysin riippumattomasti. Lisäksi kaikilla asianosaisilla on oikeus hakea oikeusteitse korvausta henkilötietojen laittoman käsittelyn aiheuttamista vahingoista. |
|
(12) |
Näin ollen on katsottava, että Uusi-Seelanti tarjoaa direktiivissä 95/46/EY säädetyn henkilötietojen suojan riittävän tason. |
|
(13) |
Tämän päätöksen olisi koskettava Uuden-Seelannin tarjoaman tietosuojan riittävyyttä suhteessa direktiivin 95/46/EY 25 artiklan 1 kohdan vaatimusten täyttymiseen. Sillä ei saisi olla vaikutusta direktiivin muiden, henkilötietojen käsittelyä jäsenvaltioissa koskevien säännösten täytäntöön panemiseksi vahvistettujen ehtojen tai rajoitusten soveltamiseen. |
|
(14) |
Avoimuuden lisäämiseksi sekä sen varmistamiseksi, että jäsenvaltioiden toimivaltaiset viranomaiset pystyvät takaamaan yksilöiden tietosuojan heidän henkilötietojaan käsiteltäessä, on tarpeen tarkentaa, minkälaisissa poikkeusolosuhteissa tiettyjen tiedonsiirtojen keskeyttäminen voi olla perusteltua siitä huolimatta, että tietosuojan taso on todettu riittäväksi. |
|
(15) |
Direktiivin 95/46/EY 29 artiklalla perustettu tietosuojatyöryhmä on antanut Uuden-Seelannin tarjoaman henkilötietojen suojan tasosta myönteisen lausunnon (2), joka on otettu huomioon tämän täytäntöönpanopäätöksen valmistelussa. |
|
(16) |
Tässä päätöksessä säädetyt toimenpiteet ovat direktiivin 95/46/EY 31 artiklan 1 kohdalla perustetun komitean lausunnon mukaiset, |
ON HYVÄKSYNYT TÄMÄN PÄÄTÖKSEN:
1 artikla
1. Direktiivin 95/46/EY 25 artiklan 2 kohdan soveltamiseksi katsotaan, että Uusi-Seelanti tarjoaa riittävän suojan Euroopan unionista siirretyille henkilötiedoille.
2. Oikeudellisten tietosuojanormien soveltamisesta Uudessa-Seelannissa vastaava toimivaltainen valvontaviranomainen mainitaan tämän päätöksen liitteessä.
2 artikla
1. Rajoittamatta jäsenvaltioiden toimivaltaisten viranomaisten valtuuksia toteuttaa toimenpiteitä varmistaakseen, että muiden säännösten kuin direktiivin 95/46/EY 25 artiklan nojalla annettuja kansallisia säännöksiä noudatetaan, kyseiset viranomaiset voivat käyttää nykyisiä toimivaltuuksiaan keskeyttääkseen Uudessa-Seelannissa olevalle vastaanottajalle kohdistetun tietojen siirron suojellakseen yksityishenkilöitä näiden henkilötietoja käsiteltäessä seuraavissa tapauksissa:
|
a) |
toimivaltainen Uuden-Seelannin viranomainen on todennut, ettei vastaanottaja noudata sovellettavia tietosuojanormeja; tai |
|
b) |
on hyvin todennäköistä, ettei tietosuojanormeja noudateta, ja on perusteltua olettaa, ettei toimivaltainen Uuden-Seelannin viranomainen parhaillaan eikä jatkossa toteuta riittäviä ja oikea-aikaisia toimenpiteitä asian ratkaisemiseksi, tiedonsiirron jatkaminen aiheuttaisi välittömän vakavan vaaran rekisteröidyille ja jäsenvaltion toimivaltaiset viranomaiset ovat olosuhteisiin nähden kohtuullisessa määrin pyrkineet ilmoittamaan asiasta Uuteen-Seelantiin sijoittuneelle tietojenkäsittelystä vastaavalle osapuolelle ja antamaan tälle tilaisuuden vastata. |
2. Keskeytys lakkaa heti kun tietosuojanormien noudattaminen on varmistettu ja tästä on ilmoitettu asianomaisten jäsenvaltioiden toimivaltaisille viranomaisille.
3 artikla
1. Jäsenvaltioiden on ilmoitettava viipymättä komissiolle 2 artiklan nojalla toteutetuista toimenpiteistä.
2. Jäsenvaltiot ja komissio tiedottavat toisilleen tapauksista, joissa tietosuojanormien noudattamisesta Uudessa-Seelannissa vastaavat elimet eivät pysty varmistamaan niiden noudattamista.
3. Jos 2 artiklan 1 kohdan sekä tämän artiklan 1 ja 2 kohdan nojalla saadut tiedot osoittavat, että jokin tietosuojanormien noudattamisesta Uudessa-Seelannissa vastuussa oleva elin ei tosiasiallisesti hoida tehtäväänsä, komissio tiedottaa asiasta Uuden-Seelannin toimivaltaiselle viranomaiselle ja esittää tarvittaessa direktiivin 95/46/EY 31 artiklan 2 kohdassa tarkoitetun menettelyn mukaisesti ehdotuksia toimenpiteistä, joiden tarkoituksena on peruuttaa tämä päätös tai lykätä sen soveltamista tai rajoittaa sen soveltamisalaa.
4 artikla
Komissio seuraa tämän päätöksen soveltamista ja toimittaa direktiivin 95/46/EY 31 artiklan nojalla perustetulle komitealle kaikki asiaankuuluvat huomiot, mukaan luettuna kaikki seikat, jotka voivat vaikuttaa tämän päätöksen 1 artiklan mukaiseen arvioon, jonka mukaan tietosuojan taso Uudessa-Seelannissa on direktiivin 95/46/EY 25 artiklan mukaisessa merkityksessä riittävä, sekä kaikki todisteet päätöksen syrjivästä soveltamisesta.
5 artikla
Jäsenvaltioiden on toteutettava kaikki tämän päätöksen noudattamisen edellyttämät toimenpiteet viimeistään 20 päivänä maaliskuuta 2013.
6 artikla
Tämä päätös on osoitettu kaikille jäsenvaltioille.
Tehty Brysselissä 19 päivänä joulukuuta 2012.
Komission puolesta
Viviane REDING
Varapuheenjohtaja
(1) EYVL L 281, 23.11.1995, s. 31.
(2) Lausunto 11/2011 henkilötietojen suojan tasosta Uudessa-Seelannissa, annettu 4. huhtikuuta 2011. Saatavilla osoitteessa http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp182_fi.pdf.
LIITE
Tämän päätöksen 1 artiklan 2 kohdassa tarkoitettu toimivaltainen valvontaviranomainen:
|
Privacy Commissioner: |
|
Te Mana Matapono Matatapu |
|
Level 4 |
|
109-111 Featherston Street |
|
Wellington 6143 |
|
New Zealand |
|
Puhelin: +64-4-474 7590 |
|
Sähköposti: enquiries@privacy.org.nz |
|
Verkkosivu: http://privacy.org.nz/ |