Euroopa Liidu Teataja L 308 , 25/11/2003 Lk 0027 - 0028
Komisjoni otsus, 21. november 2003, isikuandmete piisava kaitse kohta Guernseyl (teatavaks tehtud numbri K(2003) 4309 all) (EMPs kohaldatav tekst) (2003/821/EÜ) EUROOPA ÜHENDUSTE KOMISJON, võttes arvesse Euroopa Ühenduse asutamislepingut, võttes arvesse Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta, [1] eriti selle artikli 25 lõiget 6, pärast konsulteerimist töörühmaga, mis tegeleb üksikisikute kaitsega isikuandmete töötlemisel, [2] ning arvestades järgmist: (1) Direktiivi 95/46/EÜ kohaselt peavad liikmesriigid sätestama, et isikuandmeid võib kolmandasse riiki edastada üksnes juhul, kui kõnealuses kolmandas riigis on tagatud nende kaitse piisav tase ning kui enne andmete edastamist järgitakse direktiivi muude sätete rakendamist käsitlevaid liikmesriikide õigusakte. (2) Komisjon võib jõuda järeldusele, et kolmas riik tagab kaitse piisava taseme. Sel juhul võib liikmesriikidest isikuandmeid edastada ilma lisatagatisteta. (3) Direktiivi 95/46/EÜ kohaselt tuleb andmekaitse taseme hindamisel silmas pidada kõiki andmete edastamise toimingute või andmete edastamise toimingute kogumi asjaolusid ning pöörata erilist tähelepanu mitmetele andmete edastamise seisukohalt olulistele ja direktiivi artikli 25 lõikes 2 loetletud faktoritele. (4) Kuna kolmandad riigid suhtuvad andmekaitsesse erineval viisil, tuleks hinnata andmekaitse piisavust ning jõustada kõik direktiivi 95/46/EÜ artikli 25 lõikel 6 põhinevad otsused viisil, mis ei tekitaks meelevaldset või põhjendamatut diskrimineerimist selliste kolmandate riikide vastu või vahel, kus valitsevad samasugused tingimused, või kaubanduse varjatud piiramist, võttes arvesse ühenduse kehtivaid rahvusvahelisi kohustusi. (5) Guernsey erihalduskond on üks Briti kroonile alluvatest aladest (mis ei ole Ühendkuningriigi osa ega tema koloonia), millel on täielik iseseisvus, välja arvatud rahvusvahelistes suhetes ja kaitseküsimustes, mille eest vastutab Ühendkuningriigi valitsus. Seetõttu tuleks Guernsey erihalduskonda käesoleva direktiivi tähenduses käsitleda kolmanda riigina. (6) Alates augustist 1987 jõustus Ühendkuningriigi otsuse laienemine Guernsey erihalduskonnale, millega ratifitseeriti Euroopa Nõukogu konventsioon üksikisikute kaitse kohta isikuandmete automaattöötlusel (konventsioon nr 108). (7) Guernsey erihalduskonna puhul sätestab isikuandmete kaitset käsitlevad õigusnormid, mis põhinevad direktiivis 95/46/EÜ ettenähtud normidel, Data Protection (Bailiwick of Guernsey) Law 2001, mis jõustus 1. augustil 2002. aastal. (8) Samuti on Guernseyl 2002. aastal vastu võetud kuusteist õigusakti (orders), millega sätestatakse erieeskirjad, mis käsitlevad näiteks üksikisiku omaenda andmetega tutvumise, tundliku teabe töötlemise ja andmekaitseasutusele teatamise küsimusi. Kõnealused õigusaktid täiendavad seadust. (9) Guernseyl kehtivad õigusnormid hõlmavad kõiki üldpõhimõtteid, mis on vajalikud füüsiliste isikute kaitseks piisaval tasemel. Nende normide kohaldamine tagatakse õiguskaitsevahendite kaudu ja sõltumatu järelevalve abil, mida teostavad ametiasutused, näiteks uurimis- ja sekkumisvolitusi omav andmekaitsekomissar. (10) Seetõttu tuleks Guersey pakutavat isikuandmete kaitse taset direktiivi 95/46/EÜ tähenduses lugeda piisavaks. (11) Selguse ja arusaadavuse huvides ning võimaldamaks liikmesriikide pädevatel ametiasutustel tagada üksikisikute kaitset nende isikuandmete töötlemisel, tuleb kindlaks määrata need erandlikud asjaolud, mille korral teatava andmevahetuse peatamine on põhjendatud olenemata sellest, et andmete kaitsetase on tunnistatud piisavaks. (12) Käesoleva otsusega ettenähtud meetmed on kooskõlas direktiivi 95/46/EÜ artikli 31 lõike 1 alusel loodud komitee arvamusega, ON VASTU VÕTNUD KÄESOLEVA OTSUSE: Artikkel 1 Direktiivi 95/46/EÜ artikli 25 lõike 2 kohaldamisel leitakse, et Guernsey erihalduskonnas on tagatud ühendusest saadavate isikuandmete kaitse piisav tase. Artikkel 2 Käesolev otsus käsitleb Guernseyl tagatava kaitse piisavat taset kooskõlas direktiivi 95/46/EÜ artikli 25 lõike 1 nõuetega ning see ei mõjuta muid selliseid tingimusi või piiranguid, millega rakendatakse kõnealuse direktiivi muid sätteid, mis käsitlevad isikuandmete töötlemist liikmesriikides. Artikkel 3 1. Ilma et see piiraks liikmesriikide pädevate ametiasutuste volitusi võtta meetmeid selliste siseriiklike sätete järgimise tagamiseks, mis on vastu võetud muude sätete alusel peale direktiivi 95/46/EÜ artikli 25, võivad need ametiasutused järgmistel juhtudel kasutada oma volitusi ka Guernseyl asuvale andmesaajale edastatavate andmete peatamiseks, et tagada üksikisikute kaitse seoses nende isikuandmete töötlemisega: a) Guernsey pädev ametiasutus on kindlaks teinud, et andmesaaja rikub kehtivaid kaitsenõudeid; või b) on väga tõenäoline, et kaitsenõudeid rikutakse; on põhjust arvata, et Guernsey pädev ametiasutus ei võta ega kavatse võtta aegsasti asjakohaseid meetmeid kõnealuse olukorra lahendamiseks; andmeedastuse jätkamine võib kujutada andmesubjektide jaoks vältimatut tõsise kahju ohtu ning liikmesriikide pädevad ametiasutused on asjaolusid arvestades võtnud piisavaid meetmeid Guernseyl asuva töötlemise eest vastutava osapoole teavitamiseks ja andnud talle võimaluse vastata. 2. Peatamine lõpetatakse kohe, kui on tagatud kaitsenõuete järgimine ning asjaomaste liikmesriikide pädevatele ametiasutustele on sellest teatatud. Artikkel 4 1. Liikmesriigid teatavad lõike 3 alusel võetud meetmetest viivitamata komisjonile. 2. Liikmesriigid ja komisjon teatavad üksteisele juhtudest, mil Guernseyl kaitsenõuete järgimise tagamise eest vastutavad organid ei suuda oma tegevuse kaudu nõuete järgimist tagada. 3. Kui artikli 3 ning selle lõigete 1 ja 2 kohaselt kogutud teave tõendab, et mõni Guernseyl kaitsenõuete järgimise tagamise eest vastutav organ ei täida oma ülesandeid tõhusalt, teavitab komisjon Guernsey pädevat ametiasutust ning esitab vajaduse korral direktiivi 95/46/EÜ artikli 31 lõikes 2 sätestatud korras eelnõud meetmete kohta, mille eesmärk on käesolev otsus kehtetuks tunnistada või peatada või piirata selle reguleerimisala. Artikkel 5 Komisjon jälgib käesoleva otsuse toimimist ning esitab direktiivi 95/46/EÜ artikli 31 alusel moodustatud komiteele aruande kõigi asjakohaste järelduste kohta, sealhulgas tõendid, mis võivad mõjutada käesoleva otsuse artiklis 1 esitatud järeldust, et Guernseyl pakutav kaitse on direktiivi 95/46/EÜ artikli 25 tähenduses piisav, ning tõendid selle kohta, et käesolevat otsust rakendatakse diskrimineerival viisil. Artikkel 6 Liikmesriigid võtavad käesoleva otsuse järgimiseks vajalikud meetmed nelja kuu jooksul alates otsuse teatavakstegemise kuupäevast. Artikkel 7 Käesolev otsus on adresseeritud liikmesriikidele. Brüssel, 21. november 2003 Komisjoni nimel komisjoni liige Frederik Bolkestein [1] EÜT L 281, 23.11.1995, lk 31. [2] Arvamus 5/2003 isikuandmete kaitsetaseme kohta Guernseyl, vastu võetud töörühma poolt 13. juunil 2003. aastal, kättesaadav aadressil: http://europa.eu.int/comm/internal_market/privacy/workinggroup/wp2003/wpdocs03_en.htm --------------------------------------------------