Komission päätös,

tehty 21 päivänä marraskuuta 2003,

henkilötietojen suojan riittävästä tasosta Guernseyssä

(tiedoksiannettu numerolla K(2003) 4309)

(ETA:n kannalta merkityksellinen teksti)

(2003/821/EY)

EUROOPAN YHTEISÖJEN KOMISSIO, joka

ottaa huomioon Euroopan yhteisön perustamissopimuksen,

ottaa huomioon yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY(1) ja erityisesti sen 25 artiklan 6 kohdan,

on kuullut yksilöiden suojelua henkilötietojen käsittelyssä tutkivaa työryhmää(2),

sekä katsoo seuraavaa:

(1) Direktiivin 95/46/EY mukaan jäsenvaltioiden on säädettävä siitä, että henkilötietoja voidaan siirtää kolmanteen maahan vain, jos kyseisessä kolmannessa maassa turvataan tietosuojan riittävä taso ja jos direktiivin muiden säännösten täytäntöönpanemiseksi annettuja jäsenvaltioiden lakeja noudatetaan ennen tietojen siirtämistä.

(2) Komissio voi todeta, että kolmas maa turvaa tietosuojan riittävän tason. Henkilötietoja voidaan tässä tapauksessa siirtää jäsenvaltioista ilman lisätakeita.

(3) Direktiivin 95/46/EY mukaisesti tietosuojan taso olisi arvioitava kaikkien tiettyyn siirtoon tai siirtojen ryhmään liittyvien olosuhteiden osalta ja ottaen erityisesti huomioon eräät siirron kannalta olennaiset direktiivin 25 artiklan 2 kohdassa luetellut tekijät.

(4) Koska kolmannet maat suhtautuvat eri tavoin tietosuojaan, tietosuojan riittävyyden arviointi olisi suoritettava ja kaikki direktiivin 95/46/EY 25 artiklan 6 kohtaan perustuvat päätökset olisi tehtävä ja pantava täytäntöön tavalla, joka ei mielivaltaisesti tai epäoikeudenmukaisesti syrji mitään kolmatta maata tai tee eroa niiden välillä, jos niissä vallitsevat samanlaiset olosuhteet, tai muodosta peiteltyä kaupan estettä, kun otetaan huomioon yhteisön nykyiset kansainväliset sitoumukset.

(5) Guernseyn hallintoalue (Bailiwick of Guernsey) on Englannin alusmaa (se ei ole osa Yhdistynyttä kuningaskuntaa eikä liioin siirtomaa), joka nauttii täyttä itsenäisyyttä, lukuun ottamatta kansainvälisiä suhteita ja puolustusta, jotka ovat Yhdistyneen kuningaskunnan hallituksen vastuulla. Guernseytä olisi pidettävä direktiivissä tarkoitettuna kolmantena maana.

(6) Yhdistynyt kuningaskunta on ratifioinut Euroopan neuvoston yleissopimuksen yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä (Yleissopimus n:o 108), ja elokuusta 1987 alkaen ratifiointi ulotettiin koskemaan Guernseytä.

(7) Guernseyn henkilötietojen suojaa koskevat direktiivin 95/46/EY normeihin perustuvat oikeusnormit on annettu Guernseyn tietosuojalaissa Data Protection (Bailiwick of Guernsey) Law 2001, joka tuli voimaan 1 päivänä elokuuta 2002.

(8) Guernseyssä on vuonna 2002 annettu lisäksi 16 säädöstä (orders), jotka koskevat tietojen saantia, arkaluontoisten tietojen käsittelyä ja tietosuojaviranomaiselle ilmoittamista käsittäviä aiheita. Näillä säädöksillä täydennetään lakia.

(9) Guernseyssä sovellettaviin oikeusnormeihin sisältyvät kaikki perusperiaatteet, joita tarvitaan sen toteamiseksi, että luonnollisten henkilöiden suojelun taso on riittävä. Normien soveltaminen on taattu muutoksenhakukeinoin ja riippumattomalla valvonnalla, jota suorittavat viranomaiset, kuten tietosuojavaltuutettu, joilla on valtuudet tutkia asioita ja puuttua niihin.

(10) Näin ollen on katsottava, että Guernsey tarjoaa direktiivissä 95/46/EY säädetyn henkilötietojen suojan riittävän tason.

(11) Avoimuuden takaamiseksi sekä sen varmistamiseksi, että jäsenvaltioiden toimivaltaiset viranomaiset pystyvät takaamaan rekisteröidyille tietosuojan näiden henkilötietojen käsittelyn osalta, on tarpeen nimetä ne poikkeusolosuhteet, joissa tiettyjen tiedonsiirtojen keskeyttäminen voi olla perusteltua siitä huolimatta, että tietosuojan taso on todettu riittäväksi.

(12) Tässä päätöksessä säädetyt toimenpiteet ovat direktiivin 95/46/EY 31 artiklan 1 kohdassa perustetun komitean lausunnon mukaiset,

ON TEHNYT TÄMÄN PÄÄTÖKSEN:

1 artikla

Direktiivin 95/46/EY 25 artiklan 2 kohdan soveltamisen osalta Guernseyn katsotaan tarjoavan suojan riittävän tason yhteisöstä siirrettäville henkilötiedoille.

2 artikla

Tämä päätös koskee Guernseyssä tarjotun tietosuojan riittävyyttä suhteessa direktiivin 95/46/EY 25 artiklan 1 kohdan vaatimusten täyttymiseen, eikä sillä ole vaikutusta direktiivin muiden, henkilötietojen käsittelyä jäsenvaltioissa koskevien säännösten täytäntöönpanemiseksi vahvistettujen ehtojen tai rajoitusten soveltamiseen.

3 artikla

1. Rajoittamatta jäsenvaltioiden toimivaltaisten viranomaisten valtuuksia toteuttaa toimenpiteitä sen varmistamiseksi, että muiden säännösten kuin direktiivin 95/46/EY 25 artiklan noudattamiseksi annettuja kansallisia säännöksiä noudatetaan, jäsenvaltioiden toimivaltaiset viranomaiset voivat käyttää nykyisiä toimivaltuuksiaan keskeyttääkseen Guernseyssä olevalle vastaanottajalle suunnatun tietojen siirron suojellakseen yksityishenkilöitä näiden henkilötietojen käsittelyn osalta tapauksissa, joissa

a) toimivaltainen Guernseyn viranomainen on todennut, että vastaanottaja ei noudata sovellettavia tietosuojavaatimuksia; tai

b) on erittäin todennäköistä, että tietosuojavaatimuksia ei noudateta; tai on perusteltua aihetta olettaa, että toimivaltainen Guernseyn viranomainen ei parhaillaan tai jatkossa viipymättä toteuta vaadittavia toimenpiteitä asian ratkaisemiseksi; tai tiedonsiirron jatkaminen aiheuttaisi vakavan vaaran rekisteröidylle ja jäsenvaltion toimivaltaiset viranomaiset ovat olosuhteisiin nähden kohtuullisessa määrin pyrkineet antamaan Guernseyyn sijoittuneelle tietojenkäsittelystä vastaavalle osapuolelle ilmoituksen ja tilaisuuden vastata siihen.

2. Keskeytys lakkaa heti, kun tietosuojavaatimusten noudattaminen on varmistettu ja tästä on ilmoitettu asianomaisten jäsenvaltioiden toimivaltaiselle viranomaiselle.

4 artikla

1. Jäsenvaltiot ilmoittavat viipymättä komissiolle 3 artiklan nojalla toteutetuista toimenpiteistä.

2. Jäsenvaltiot ja komissio tiedottavat toisilleen tapauksista, joissa tietosuojavaatimusten noudattamisesta Guernseyssä vastuussa olevat elimet eivät pysty varmistamaan periaatteiden noudattamista.

3. Jos 3 artiklan sekä tämän artiklan 1 ja 2 kohdan nojalla saadut tiedot osoittavat, että jokin tietosuojavaatimusten noudattamisesta Guernseyssä vastuussa oleva elin ei tosiasiallisesti hoida tehtäväänsä, komissio tiedottaa asiasta Guernseyn toimivaltaiselle viranomaiselle ja tarvittaessa esittää direktiivin 95/46/EY 31 artiklan 2 kohdassa tarkoitetun menettelyn mukaisesti ehdotuksia toimenpiteistä, joiden tarkoituksena on peruuttaa tämä päätös tai lykätä sen soveltamista tai rajoittaa sen soveltamisalaa.

5 artikla

Komissio seuraa tämän päätöksen soveltamista ja toimittaa direktiivin 95/46/EY 31 artiklan nojalla perustetulle komitealle kaikki asiaankuuluvat huomiot, mukaan luettuna kaikki seikat, jotka voivat vaikuttaa tämän päätöksen 1 artiklan mukaiseen arvioon, jonka mukaan tietosuojan taso Guernseyssä on direktiivin 95/46/EY 25 artiklan mukaisessa merkityksessä riittävä, sekä kaikki todisteet päätöksen syrjivästä soveltamisesta.

6 artikla

Jäsenvaltioiden on toteutettava kaikki tämän päätöksen noudattamisen edellyttämät toimenpiteet viimeistään neljän kuukauden kuluttua siitä, kun päätös on annettu tiedoksi.

7 artikla

Tämä päätös on osoitettu kaikille jäsenvaltioille.

Tehty Brysselissä 21 päivänä marraskuuta 2003.

Komission puolesta

Frederik Bolkestein

Komission jäsen

(1) EYVL L 281, 23.11.1995, s. 31.

(2) Työryhmän 13. kesäkuuta 2003 hyväksymä lausunto 5/2003 henkilötietojen suojan tasosta Guernseyssä, saatavana osoitteesta: http://europa.eu.int/comm/ internal_market/privacy/workingroup/ wp2003/wpdocs03_en.htm.