DECYZJA KOMISJI
z dnia 8 maja 2008 r.
na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie właściwej ochrony danych osobowych na Jersey
(notyfikowana jako dokument nr C(2008) 1746)
(Tekst mający znaczenie dla EOG)
(2008/393/WE)
(ostatnia zmiana: DUUEL. z 2008 r., Nr 344, poz. 83)
KOMISJA WSPÓLNOT EUROPEJSKICH,
uwzględniając Traktat ustanawiający Wspólnotę Europejską,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (1), w szczególności jej art. 25 ust. 6,
po konsultacji z Grupą Roboczą ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych (2),
a także mając na uwadze, co następuje:
(1) Na mocy dyrektywy 95/46/WE państwa członkowskie są zobowiązane zapewnić, by przekazanie danych osobowych do państwa trzeciego miało miejsce tylko wtedy, gdy dany kraj trzeci zapewni właściwy poziom ochrony i gdy przed przekazaniem dopełni się wymogów zawartych w przepisach państw członkowskich wdrażających pozostałe przepisy dyrektywy.
(2) Komisja może stwierdzić, że kraj trzeci gwarantuje właściwy poziom ochrony. W takim przypadku dane osobowe można przekazywać z państw członkowskich bez konieczności zapewniania dodatkowych gwarancji.
(3) Na mocy dyrektywy 95/46/WE poziom ochrony danych osobowych powinien być oceniany w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zestawu takich operacji, ze szczególnym uwzględnieniem szeregu elementów mających znaczenie przy transferze, wyszczególnionych w art. 25 ust. 2 dyrektywy.
(4) Uwzględniając różne podejście do ochrony danych osobowych w krajach trzecich, należy przeprowadzać ocenę adekwatności ochrony, a każda decyzja na podstawie art. 25 ust. 6 dyrektywy 95/46/WE powinna być wydawana i wykonywana w sposób, który arbitralnie lub w sposób nieusprawiedliwiony nie prowadzi do dyskryminacji państw trzecich lub dyskryminacji między państwami trzecimi, w których występują podobne warunki, ani nie stwarza ukrytych barier handlowych, biorąc pod uwagę obecne zobowiązania międzynarodowe Wspólnoty.
(5) Baliwat Jersey jest jednym z terytoriów zależnych od korony brytyjskiej (nie będąc ani częścią Zjednoczonego Królestwa, ani kolonią), który cieszy się pełną niezależnością, z wyjątkiem stosunków międzynarodowych i obrony, za które odpowiada rząd Zjednoczonego Królestwa. Baliwat Jersey powinien zatem zostać uznany za kraj trzeci w rozumieniu dyrektywy 95/46/WE.
(6) Z mocą odpowiednio od 1951 r. i 1987 r. ratyfikacja przez Zjednoczone Królestwo Europejskiej konwencji praw człowieka oraz konwencji Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (konwencja nr 108) została rozszerzona na Baliwat Jersey.
(7) W odniesieniu do Baliwatu Jersey normy prawne dotyczące ochrony danych osobowych, oparte w dużym stopniu na normach określonych w dyrektywie 95/46/WE, zostały określone w ustawie Data Protection (Jersey) Law z 1987 r., która weszła w życie w dniu 11 listopada 1987 r., oraz w dwóch ustawach uzupełniających: Data Protection (Amendment) (Jersey) Law z 2005 r. i Data Protection (Jersey) Law 2005 (Appointed Day) Act z 2005 r.
(8) W 2005 r. przyjęto także ustawodawstwo wtórne na podstawie ustawy Data Protection (Jersey) Law, ustanawiające szczególne zasady dotyczące takich spraw, jak dostęp podmiotu danych do własnych danych, przetwarzanie danych szczególnie chronionych i zawiadamianie organów ochrony danych (3).
(9) Standardy prawne obowiązujące na Jersey obejmują wszystkie podstawowe zasady niezbędne do zapewnienia odpowiedniego poziomu ochrony osób fizycznych. Stosowanie tych norm zapewnione jest przez sądowe środki odwoławcze i przez niezależny nadzór prowadzony przez właściwy organ - urząd Inspektora Ochrony Danych Osobowych, posiadający kompetencje w zakresie przeprowadzania dochodzenia i podejmowania działań interwencyjnych.
(10) Powinno się zatem uznać, że Jersey zapewnia odpowiedni poziom ochrony danych osobowych określony w dyrektywie 95/46/WE.
(11) W interesie przejrzystości i do celów zabezpieczenia zdolności właściwych organów w państwach członkowskich do zagwarantowania osobom fizycznym ochrony w zakresie przetwarzania ich danych osobowych konieczne jest określenie w niniejszej decyzji wyjątkowych okoliczności, w których uzasadnione może być zawieszenie przepływu określonych danych, niezależnie od uznania poziomu ochrony za właściwy.
(12) Środki przewidziane w niniejszej decyzji są zgodne z opinią komitetu ustanowionego na podstawie art. 31 ust. 1 dyrektywy 95/46/WE,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
Do celów art. 25 ust. 2 dyrektywy 95/46/WE uznaje się, że Baliwat Jersey zapewnia odpowiedni poziom ochrony danych osobowych przekazywanych ze Wspólnoty.
Artykuł 2
Niniejsza decyzja dotyczy odpowiedniej ochrony zapewnianej na Jersey w celu spełnienia wymogów art. 25 ust. 1 dyrektywy 95/46/WE i nie ma wpływu na pozostałe warunki lub ograniczenia przyjęte w celu wdrożenia pozostałych przepisów tej dyrektywy, które odnoszą się do przetwarzania danych osobowych w państwach członkowskich.
Artykuł 3
[1] W przypadku gdy właściwe organy w państwach członkowskich wykonują swoje uprawnienia na podstawie art. 28 ust. 3 dyrektywy 95/46/WE, co prowadzi do zawieszenia lub ostatecznego zakazu przepływu danych na Jersey w celu ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych, dane państwo członkowskie bezzwłocznie informuje o tym Komisję, która przekazuje tę informację pozostałym państwom członkowskim.
Artykuł 4
[2] 1. Komisja na bieżąco monitoruje zmiany w porządku prawnym Jersey, które mogłyby wpłynąć na funkcjonowanie niniejszej decyzji, w tym zmiany dotyczące dostępu organów publicznych do danych osobowych, aby ocenić, czy Jersey nadal zapewnia odpowiedni stopień ochrony danych osobowych.
2. Państwa członkowskie i Komisja informują się nawzajem o przypadkach, w których działania organów odpowiedzialnych za zapewnianie zgodności z normami ochrony na Jersey nie gwarantują takiej zgodności.
3. Państwa członkowskie i Komisja informują się nawzajem o wszelkich przesłankach wskazujących, że ingerencje organów publicznych Jersey, które odpowiadają za bezpieczeństwo narodowe, egzekwowanie prawa lub realizację innych celów interesu publicznego, w prawo osób fizycznych do ochrony ich danych osobowych wykraczają poza to, co jest ściśle niezbędne, lub że nie zapewniono żadnej skutecznej ochrony prawnej przed takimi ingerencjami.
4. Jeżeli dowody wskazują, że odpowiedni poziom ochrony nie jest już zapewniony, w tym w sytuacjach, o których mowa w ust. 2 i 3 niniejszego artykułu, Komisja powiadamia właściwy organ Jersey oraz, w razie konieczności, przedstawia projekt środków zgodnie z procedurą, o której mowa w art. 31 ust. 2 dyrektywy 95/46/WE, w celu uchylenia, zawieszenia lub ograniczenia zakresu niniejszej decyzji.
Artykuł 5
Komisja monitoruje wprowadzanie w życie niniejszej decyzji i przekazuje wszelkie stosowne ustalenia komitetowi ustanowionemu na podstawie art. 31 dyrektywy 95/46/WE, w tym także wszelkie dowody, które mogłyby podważać założenie zawarte w art. 1 niniejszej decyzji, że ochrona danych na Jersey jest odpowiednia w rozumieniu art. 25 dyrektywy 95/46/WE, oraz które mogą wykazywać, że niniejsza decyzja jest wykonywana w sposób dyskryminacyjny.
Artykuł 6
Państwa członkowskie podejmują wszelkie niezbędne środki w celu zastosowania się do niniejszej decyzji w terminie czterech miesięcy od dnia jej notyfikacji.
Artykuł 7
Niniejsza decyzja skierowana jest do państw członkowskich.
Sporządzono w Brukseli, dnia 8 maja 2008 r.
|
(1) Dz.U. L 281 z 23.11.1995, s. 31. Dyrektywa zmieniona rozporządzeniem (WE) nr 1882/2003 (Dz.U. L 284 z 31.10.2003, s. 1).
(2) Opinia no 8/2007 w sprawie poziomu ochrony danych osobowych w Jersey, przyjęta w dniu 9 października 2007 r., dostępna na stronie: http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/ wpdocs/2007_en.htm
(3) Są to: the Data Protection (Corporate Finance Exemption) (Jersey) Regulations 2005, the Data Protection (Credit Reference Agency) (Jersey) Regulations 2005, the Data Protection (Fair Processing) (Jersey) Regulations 2005, the Data Protection (International Co-operation) (Jersey) Regulations 2005, the Data Protection (Notifica-tion) (Jersey) Regulations 2005, the Data Protection (Sensitive Personal Data) (Jersey) Regulations 2005, the Data Protection (Subject Access Exemptions) (Jersey) Regulations 2005, the Data Protection (Subject Access Miscellaneous) (Jersey) Regulations 2005, the Data Protection (Subject Access Modification - (Education) (Jersey) Regulations 2005, the Data Protection (Subject Access Modification - (Health) (Jersey) Regulations 2005, the Data Protection (Subject Access Modification - (Social Work) (Jersey) Regulations 2005, and the Data Protection (Transfer in Substantial Public Inte-rest) (Jersey) Regulations 2005.
[1] Art. 3 w brzmieniu ustalonym przez art. 6 decyzji wykonawczej Komisji z dnia 16 grudnia 2016 r. zmieniającej decyzje 2000/518/WE, 2002/2/WE, 2003/490/WE, 2003/821/WE, 2004/411/WE, 2008/393/WE, 2010/146/UE, 2010/625/UE, 2011/61/UE oraz decyzje wykonawcze 2012/484/UE i 2013/65/UE w sprawie odpowiedniej ochrony danych osobowych przez niektóre państwa, na podstawie art. 25 ust. 6 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (Dz.Urz.UE L 344 z 17.12.2016, str. 83). Zmiana weszła w życie w dniu notyfikacji.
[2] Art. 4 w brzmieniu ustalonym przez art. 6 decyzji wykonawczej Komisji z dnia 16 grudnia 2016 r. zmieniającej decyzje 2000/518/WE, 2002/2/WE, 2003/490/WE, 2003/821/WE, 2004/411/WE, 2008/393/WE, 2010/146/UE, 2010/625/UE, 2011/61/UE oraz decyzje wykonawcze 2012/484/UE i 2013/65/UE w sprawie odpowiedniej ochrony danych osobowych przez niektóre państwa, na podstawie art. 25 ust. 6 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (Dz.Urz.UE L 344 z 17.12.2016, str. 83). Zmiana weszła w życie w dniu notyfikacji.
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00