DECYZJA KOMISJI
z dnia 21 listopada 2003 r.
w sprawie właściwej ochrony danych osobowych w Guernsey
(notyfikowana jako dokument nr C(2003) 4309)
(Tekst mający znaczenie dla EOG)
(2003/821/WE)
KOMISJA WSPÓLNOT EUROPEJSKICH,
uwzględniając Traktat ustanawiający Wspólnotę Europejską,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (1), w szczególności jej art. 25 ust. 6,
uwzględniając opinię Grupy ds. Ochrony Osób Fizycznych w odniesieniu do przetwarzania danych osobowych (2),
a także mając na uwadze, co następuje:
(1) Na mocy dyrektywy 95/46/WE Państwa Członkowskie są zobowiązane zapewnić, by przekazanie danych osobowych do państwa trzeciego miało miejsce tylko wtedy, gdy państwo trzecie, o którym mowa, zapewni właściwy poziom ochrony i gdy przed dokonaniem przekazania zastosuje się do prawa Państwa Członkowskiego wykonującego inne przepisy dyrektywy.
(2) Komisja może stwierdzić, że państwo trzecie zapewnia odpowiedni poziom ochrony. W takim przypadku dane osobowe można przekazywać z Państw Członkowskich bez konieczności zapewniania dodatkowych gwarancji.
(3) Dyrektywa 95/46/WE wymaga, aby poziom ochrony danych osobowych był oceniany pod względem wszystkich okoliczności dotyczących przekazywania danych lub kategorii przekazywania danych jak również pod względem warunków wymienionych w art. 25 ust. 2.
(4) Uwzględniając różne podejście do ochrony danych osobowych w państwach trzecich, ocena poziomu właściwości powinna być przeprowadzana, a każda decyzja na podstawie art. 25 ust. 6 dyrektywy 95/46/WE powinna być wydawana i wykonywana w sposób, który arbitralnie lub w sposób nieusprawiedliwiony nie prowadzi do dyskryminacji państw trzecich lub dyskryminacji między państwami trzecimi, w których przeważają podobne warunki, ani nie stwarza ukrytych przeszkód w handlu, biorąc pod uwagę obecne zobowiązania międzynarodowe Wspólnoty.
(5) Okręg Guernsey jest jedną z jednostek zależnych od Korony brytyjskiej (nie będąc ani częścią Zjednoczonego Królestwa, ani kolonią), która cieszy się pełną niezależnością, z wyjątkiem stosunków międzynarodowych i obrony, za które odpowiada Rząd Zjednoczonego Królestwa. Okręg Guernsey powinien zatem zostać uznany za państwo trzecie w rozumieniu dyrektywy.
(6) Z mocą od sierpnia 1987 r. ratyfikacja przez Zjednoczone Królestwo Konwencji nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych została rozszerzona na Okręg Guernsey.
(7) W przypadku Okręgu Guernsey normy prawne dotyczące ochrony danych osobowych oparte na normach ustanowionych w dyrektywie 95/46/WE zostały przewidziane w ustawie Data Protection (Bailiwick of Guernsey) Law 2001, która weszła w życie dnia 1 sierpnia 2002 r.
(8) W 2002 r. w Guernsey przyjęto także szesnaście aktów prawnych (orders) ustanawiających szczególne zasady dotyczące takich spraw, jak dostęp zainteresowanego do własnych danych, przetwarzanie danych szczególnie chronionych i zawiadamianie organów ochrony danych. Te akty prawne uzupełniają ustawę.
(9) Normy prawne mające zastosowanie w Guernsey obejmują wszystkie podstawowe zasady niezbędne do odpowiedniego poziomu ochrony osób fizycznych. Stosowanie tych norm zapewnione jest przez sądowe środki odwoławcze i przez niezależną kontrolę przeprowadzaną przez takie organy, jak urząd Komisarza Ochrony Danych, posiadający kompetencje w zakresie przeprowadzania dochodzenia i podejmowania działań interwencyjnych.
(10) Guernsey powinno zatem zostać uznane za zapewniające odpowiedni poziom ochrony danych osobowych określony w dyrektywie 95/46/WE.
(11) W interesie przejrzystości i do celów zabezpieczenia zdolności właściwych organów w Państwach Członkowskich do zagwarantowania osobom prywatnym ochrony w zakresie przetwarzania ich danych osobowych konieczne jest określenie w niniejszej decyzji wyjątkowych okoliczności, w których uzasadnione może być zawieszenie przepływu danych szczególnych, niezależnie od uznania poziomu ochrony za właściwy.
(12) Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu ustanowionego na podstawie art. 31 ust. 1 dyrektywy 95/46/WE,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
Do celów art. 25 ust. 2 dyrektywy 95/46/WE Okręg Guernsey uznaje się za zapewniający odpowiedni poziom ochrony danych osobowych przekazywanych ze Wspólnoty.
Artykuł 2
Niniejsza decyzja dotyczy odpowiedniej ochrony zapewnionej w Guernsey w celu spełnienia wymogów art. 25 ust. 1 dyrektywy 95/46/WE i nie ma wpływu na pozostałe warunki lub ograniczenia wykonujące pozostałe przepisy tej dyrektywy, które odnoszą się do przetwarzania danych osobowych w Państwach Członkowskich.
Artykuł 3
1. Bez uszczerbku dla ich kompetencji do podejmowania działań zmierzających do zagwarantowania zgodności z przepisami krajowymi przyjętymi zgodnie z przepisami innymi niż zawarte w art. 25 dyrektywy 95/46/WE właściwe władze w Państwach Członkowskich mogą wykorzystać swoje kompetencje i zawiesić przepływ danych do ich odbiorców w Guernsey w celu ochrony osób prywatnych przy przetwarzaniu ich danych osobowych, w przypadku gdy:
a) właściwy organ Guernsey ustalił, że odbiorca narusza obowiązujące normy ochrony; lub
b) istnieje duże prawdopodobieństwo, że normy ochrony są naruszane; istnieją uzasadnione podstawy, aby domniemywać, iż właściwy organ Guernsey nie podejmuje lub nie podejmie właściwych i natychmiastowych kroków zmierzających do rozstrzygnięcia sprawy; dalsze przekazywanie danych spowodowałoby realne niebezpieczeństwo wyrządzenia szkody osobom, których dotyczą dane osobowe, a właściwe organy w Państwie Członkowskim podjęły odpowiednie w tych okolicznościach czynności w celu dostarczenia stronie odpowiedzialnej za przetwarzanie ustanowione w Guernsey, powiadomienia o powyższym oraz umożliwienia jej udzielenia odpowiedzi.
2. Zawieszenie przepływu danych ustaje z chwilą, gdy normy ochrony zostają zapewnione, a właściwy organ w zainteresowanym Państwie Członkowskim zostaje o tym powiadomiony.
Artykuł 4
1. Państwa Członkowskie bezzwłocznie powiadomią Komisję o przyjęciu środków na podstawie art. 3.
2. Państwa Członkowskie oraz Komisja powiadomią się wzajemnie o przypadkach, gdy działania organów odpowiedzialnych za zapewnianie zgodności z normami ochrony w Guernsey nie gwarantują takiej zgodności.
3. Jeśli informacje zebrane na mocy art. 3 i na mocy ust. 1 i 2 niniejszego artykułu dowodzą, iż żaden organ odpowiedzialny za zapewnienie zgodności z normami ochrony w Guernsey nie pełni skutecznie swojej roli, Komisja powiadamia o tym właściwy organ Guernsey i, jeśli to konieczne, przedstawia projekt środków zgodnie z procedurą określoną w art. 31 ust. 2 dyrektywy 95/46/WE w celu uchylenia lub zawieszenia niniejszej decyzji lub ograniczenia jej zakresu.
Artykuł 5
Komisja monitoruje funkcjonowanie niniejszej decyzji i przekazuje wszelkie stosowne wnioski Komitetowi ustanowionemu na podstawie art. 31 dyrektywy 95/46/WE, w tym także wszelkie dowody, które mogłyby wpłynąć na założenie zawarte w art. 1 niniejszej decyzji stwierdzające, że ochrona danych w Guernsey jest odpowiednia w rozumieniu art. 25 dyrektywy 95/46/WE, oraz które mogą wykazać, że niniejsza decyzja jest stosowana w sposób dyskryminacyjny.
Artykuł 6
Państwa Członkowskie podejmują wszelkie niezbędne środki w celu zastosowania się do niniejszej decyzji w terminie czterech miesięcy od dnia jej notyfikacji.
Artykuł 7
Niniejsza decyzja skierowana jest do Państw Członkowskich.
Sporządzono w Brukseli, dnia 21 listopada 2003 r.
| W imieniu Komisji |
Frederik BOLKESTEIN | |
Członek Komisji |
(1) Dz.U. L 281 z 23.11.1995, str. 31.
(2) Opinia 5/2003 w sprawie poziomu ochrony danych osobowych w Guernsey, przyjęta przez Grupę ds. Ochrony Osób Fizycznych dnia 13 czerwca 2003 r. dostępna pod adresem http://europa.eu.int/comm/internal_market/privacy/workingroup/wp2003/wpdocs03_ en.htm.
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00