Odločba Komisije

z dne 21. novembra 2003

o primernem varstvu osebnih podatkov na Guernseyju

(notificirana pod dokumentarno številko K(2003) 4309)

(Besedilo velja za EGP)

(2003/821/ES)

KOMISIJA EVROPSKIH SKUPNOSTI JE –

ob upoštevanju Pogodbe o ustanovitvi Evropske skupnosti,

ob upoštevanju Direktive 95/46/ES Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov glede obdelave osebnih podatkov in o prostem pretoku takih podatkov [1] in zlasti člena 25(6) Direktive,

po posvetu z Delovno skupino o varstvu posameznikov pri obdelavi osebnih podatkov [2],

ob upoštevanju naslednjega:

(1) V skladu z Direktivo 95/46/ES morajo države članice zagotoviti, da se lahko prenos podatkov v tretjo državo opravi samo, če zadevna tretja država zagotovi primerno stopnjo varstva in če je pred prenosom zagotovljeno spoštovanje zakonodaj držav članic, s katerimi se izvajajo druge določbe Direktive.

(2) Komisija lahko ugotovi, da tretja država zagotavlja primerno stopnjo varstva. V tem primeru se lahko osebni podatki prenesejo iz držav članic, ne da bi bila potrebna dodatna jamstva.

(3) V skladu z Direktivo 95/46/ES bi bilo treba stopnjo varstva podatkov oceniti v luči vseh okoliščin v zvezi z eno operacijo prenosa podatkov ali nizom operacij prenosa podatkov, pri čemer je treba zlasti pretehtati vrsto elementov, ki so pomembni za prenos in našteti v členu 25(2) Direktive.

(4) Glede na različne pristope k varstvu podatkov v tretjih državah bi bilo treba oceniti primernost, morebitno odločbo na podlagi člena 25(6) Direktive 95/46/ES pa bi bilo treba sprejeti in uveljaviti na tak način, da ne pride do samovoljne ali neupravičene diskriminacije do tretjih držav ali med tretjimi državami, v katerih prevladujejo podobne okoliščine, in da ne pride do prikrite trgovinske ovire, ob upoštevanju obstoječih mednarodnih obveznosti Skupnosti.

(5) Bailiffovo okrožje Guernsey je eno od pridruženih območij britanske krone (ni del Združenega kraljestva niti kolonija), ki je popolnoma neodvisno, razen mednarodnih odnosov in obrambe, za katere je pristojna vlada Združenega kraljestva. Bailiffovo okrožje Guernsey je zato treba šteti za tretjo državo v smislu Direktive.

(6) Z začetkom veljavnosti od avgusta 1987 je bila ratifikacija Konvencije Sveta Evrope o varstvu posameznikov glede samodejne obdelave osebnih podatkov (Konvencija št. 108) s strani Združenega kraljestva razširjena na Bailiffovo okrožje Guernsey.

(7) Kar zadeva Bailiffovo okrožje Guernsey, so bili zakonski standardi v zvezi z zaščito osebnih podatkov na podlagi standardov iz Direktive 95/46/ES določeni z Zakonom (Bailiffovega okrožja Guernsey) o varstvu podatkov iz leta 2001, ki je začel veljati 1. avgusta 2002.

(8) V Guernseyju je bilo leta 2002 sprejetih tudi šestnajst zakonskih instrumentov (odredb), ki določajo specifična pravila v zvezi z zadevami, kot so dostopnost, obdelava občutljivih podatkov in obveščanje organa za varstvo podatkov. Ti instrumenti dopolnjujejo zakon.

(9) Zakonski standardi, ki se uporabljajo na Guernseyju, zajemajo vsa osnovna načela, potrebna za primerno stopnjo varstva za fizične osebe. Uporaba teh standardov je zagotovljena s pravnimi sredstvi in neodvisnim nadzorom, ki ga izvajajo pristojni organi, kot je komisar za zaščito podatkov, s pooblastili za preiskavo in posredovanje.

(10) Za Guernsey bi se moralo torej šteti, da zagotavlja primerno stopnjo varstva osebnih podatkov iz Direktive 95/46/ES.

(11) V interesu transparentnosti in za varstvo zmožnosti pristojnih organov v državah članicah, da zagotovijo varstvo posameznikov v zvezi z obdelavo njihovih osebnih podatkov, je treba navesti izjemne okoliščine, v katerih je lahko začasna ustavitev specifičnih pretokov podatkov upravičena, ne glede na ugotovitev primernega varstva.

(12) Ukrepi, predvideni s to direktivo, so v skladu z mnenjem odbora, ustanovljenega v skladu s členom 31(1) Direktive 95/46/ES –

SPREJELA NASLEDNJO ODLOČBO:

Člen 1

Za namene člena 25(2) Direktive 95/46/ES se za Bailiffovo okrožje Guernsey šteje, da zagotavlja primerno stopnjo varstva osebnih podatkov, prenesenih iz Skupnosti.

Člen 2

Ta odločba zadeva primernost varstva, zagotovljenega na Guernseyju, z namenom izpolniti zahteve iz člena 25(1) Direktive 95/46/ES in ne vpliva na druge pogoje ali omejitve, s katerimi se izvajajo druge določbe navedene direktive, ki se nanašajo na obdelavo osebnih podatkov v državah članicah.

Člen 3

1. Brez vpliva na pooblastila za ukrepanje za zagotavljanje skladnosti z nacionalnimi predpisi, sprejetimi v skladu z določbami, drugimi kot v členu 25 Direktive 95/46/ES, lahko pristojni organi v državah članicah izvajajo svoja obstoječa pooblastila, da začasno ustavijo pretok podatkov k prejemniku na Guernseyju z namenom zavarovati posameznike v zvezi z obdelavo njihovih osebnih podatkov v naslednjih primerih:

(a) če pristojni organ na Guernseyju ugotovi, da prejemnik krši veljavne standarde varstva; ali

(b) če obstaja precejšnja verjetnost, da so standardi varstva kršeni, če obstajajo utemeljeni razlogi za prepričanje, da pristojni organ na Guernseyju ne ukrepa ali ne bo ukrepal primerno in pravočasno, da bi rešil zadevno vprašanje, če bi neprekinjeni prenos povzročil neposredno tveganje hudega škodovanja osebam, na katere se podatki nanašajo, in če so si pristojni organi v državi članici v teh okoliščinah ustrezno prizadevali obvestiti organ, pristojno za obdelavo in s sedežem na Guernseyju, in mu dati priložnost za odziv.

2. Začasna ustavitev preneha takoj, ko so zagotovljeni standardi varstva, in se o tem obvestijo pristojni organi zadevnih držav članic.

Člen 4

1. Države članice obvestijo Komisijo takoj, ko so sprejeti ukrepi na podlagi člena 3.

2. Države članice in Komisija se medsebojno obveščajo o primerih, v katerih ukrepanje organov, odgovornih za zagotavljanje skladnosti s standardi varstva na Guernseyju, ne uspe zagotoviti take skladnosti.

3. Če informacije, zbrane v smislu člena 3 in odstavkov 1 in 2 tega člena, dokazujejo, da organ, odgovoren za zagotavljanje skladnosti s standardi varstva na Guernseyju, svoje vloge ne izpolnjuje učinkovito, Komisija obvesti pristojni organ oblasti na Guernseyju in po potrebi predloži osnutke ukrepov v skladu s postopkom iz člena 31(2) Direktive 95/46/ES z namenom ukinitve ali začasne ukinitve te odločbe ali omejitve njenega področja uporabe.

Člen 5

Komisija spremlja učinkovanje te odločbe in odboru, ustanovljenemu v skladu s členom 31 Direktive 95/46/ES, poroča o morebitnih zadevnih ugotovitvah, vključno z morebitnimi dokazi, ki bi lahko vplivali na ugotovitev iz člena 1 te odločbe, da je varstvo na Guernseyju primerno v smislu člena 25 Direktive 95/46/ES, in morebitnimi dokazi, da se ta odločba izvaja na diskriminatoren način.

Člen 6

Države članice sprejmejo vse ukrepe, potrebne za uskladitev s to odločbo, v štirih mesecih od datuma njene notifikacije.

Člen 7

Ta odločba je naslovljena na države članice.

V Bruslju, 21. novembra 2003

Za Komisijo

Frederik Bolkestein

Član Komisije

[1] UL L 281, 23.11.1995, str. 31.

[2] Mnenje 5/2003 o stopnji varstva osebnih podatkov na Guernseyju, ki ga je Delovna skupina sprejela 13. junija 2003, na razpolago na http://europa.eu.int/comm/internal_market/privacy/workingroup/ wp2003/wpdocs03_en.htm

--------------------------------------------------