|
28.5.2008 |
DA |
Den Europæiske Unions Tidende |
L 138/21 |
KOMMISSIONENS BESLUTNING
af 8. maj 2008
om tilstrækkeligheden af beskyttelsesniveauet for personoplysninger på Jersey i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF
(meddelt under nummer K(2008) 1746)
(EØS-relevant tekst)
(2008/393/EF)
KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER HAR —
under henvisning til traktaten om oprettelse af Det Europæiske Fællesskab,
under henvisning til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (1), særlig artikel 25, stk. 6,
efter høring af Gruppen vedrørende Beskyttelse af Fysiske Personer i Forbindelse med Behandling af Personoplysninger (2), og
ud fra følgende betragtninger:
|
(1) |
Medlemsstaterne skal i henhold til direktiv 95/46/EF fastsætte bestemmelser om, at videregivelse af personoplysninger til et tredjeland kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, og medlemsstaternes love til gennemførelse af direktivets øvrige bestemmelser overholdes inden videregivelsen. |
|
(2) |
Kommissionen kan fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau. I så fald kan personoplysninger videregives fra medlemsstaterne, uden at der kræves yderligere garantier. |
|
(3) |
Vurderingen af, om beskyttelsesniveauet for personoplysninger er tilstrækkeligt, skal i henhold til direktiv 95/46/EF ske på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger og under hensyntagen til en række faktorer som anført i direktivets artikel 25, stk. 2, der er relevante for den pågældende videregivelse. |
|
(4) |
Vurderingen af, om beskyttelsesniveauet er tilstrækkeligt, og vedtagelsen og gennemførelsen af enhver beslutning i henhold til artikel 25, stk. 6, i direktiv 95/46/EF skal på grund af tredjelandenes forskellige opfattelser af begrebet beskyttelse af personoplysninger foretages ud fra en række kriterier, der skal sikre, at der ikke vilkårligt eller uberettiget diskrimineres mod eller mellem tredjelande, hvor lignende forhold gør sig gældende, eller skabes skjulte handelshindringer under hensyntagen til Fællesskabets nuværende internationale forpligtelser. |
|
(5) |
Bailiwick of Jersey er en britisk besiddelse (der hverken er en del af Det Forenede Kongerige eller en koloni), som er fuldt uafhængig, undtagen i internationale forhold og med hensyn til forsvaret, der er underlagt Det Forenede Kongerige. Bailiwick of Jersey skal derfor betragtes som et tredjeland i den i direktiv 95/46/EF omhandlede forstand. |
|
(6) |
Med virkning fra henholdsvis 1951 og 1987 er Bailiwick of Jersey også omfattet af Det Forenede Kongeriges ratifikation af den europæiske menneskerettighedskonvention og af Europarådets konvention om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (konvention nr. 108). |
|
(7) |
For så vidt angår Bailiwick of Jersey, er retsreglerne for beskyttelse af personoplysninger, der i det væsentlige er baseret på forskrifterne i direktiv 95/46/EF, fastsat i Data Protection (Jersey) Law 1987, som trådte i kraft den 11. november 1987, og i to tilknyttede love, Data Protection (Amendment) (Jersey) Law 2005 og Data Protection (Jersey) Law 2005 (Appointed Day) Act 2005. |
|
(8) |
Der er også i 2005 på grundlag af Data Protection (Jersey) Law blevet fastsat administrative forskrifter med særlige bestemmelser om emner som aktindsigt, behandling af følsomme oplysninger og meddelelser til databeskyttelsesmyndigheden (3). |
|
(9) |
De retsforskrifter, der finder anvendelse på Jersey, omfatter alle de grundlæggende principper, som er nødvendige for at sikre, at niveauet af den beskyttelse, der gives fysiske personer, er tilstrækkeligt. Anvendelsen af disse retsforskrifter sikres gennem adgangen til domstolsprøvelse og den uvildige kontrol, der foretages af myndigheden Data Protection Commissioner, der har både undersøgelses- og interventionsbeføjelser. |
|
(10) |
Jersey bør derfor betragtes som værende i stand til at sikre et tilstrækkeligt databeskyttelsesniveau i henhold til direktiv 95/46/EF. |
|
(11) |
Af hensyn til åbenheden og for at sikre medlemsstaternes kompetente myndigheders beføjelser til at beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger er det nødvendigt at specificere, under hvilke særlige omstændigheder det kan være berettiget at suspendere specifik videregivelse af personoplysninger, selv om det er blevet fastslået, at beskyttelsen er tilstrækkelig. |
|
(12) |
De i denne beslutning fastsatte foranstaltninger er i overensstemmelse med udtalelse fra det ved artikel 31, stk. 1, i direktiv 95/46/EF nedsatte udvalg — |
VEDTAGET FØLGENDE BESLUTNING:
Artikel 1
For så vidt angår artikel 25, stk. 2, i direktiv 95/46/EF anses Bailiwick of Jersey for at sikre et tilstrækkeligt beskyttelsesniveau for personoplysninger, der videregives fra Fællesskabet.
Artikel 2
Denne beslutning vedrører spørgsmålet, om Jersey sikrer tilstrækkelig beskyttelse med hensyn til at opfylde kravene i artikel 25, stk. 1, i direktiv 95/46/EF, og den berører ikke andre betingelser eller begrænsninger i forbindelse med gennemførelsen af andre bestemmelser i direktivet, der vedrører behandlingen af personoplysninger i medlemsstaterne.
Artikel 3
1. De kompetente myndigheder i medlemsstaterne kan, uden at dette berører deres beføjelser til at træffe foranstaltninger for at sikre overensstemmelse med nationale bestemmelser, der er udstedt i henhold til andre bestemmelser end artikel 25 i direktiv 95/46/EF, gøre brug af deres beføjelser til at suspendere den fortsatte videregivelse af oplysninger til en modtager på Jersey for at beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger:
|
a) |
når en kompetent myndighed på Jersey fastslår, at den pågældende modtager overtræder de gældende beskyttelsesprincipper, eller |
|
b) |
når der er væsentlig sandsynlighed for, at beskyttelsesprincipperne overtrædes, når der er grund til at antage, at den kompetente myndighed på Jersey ikke tager eller ikke agter at tage passende og rettidige skridt for at afgøre forholdet, når en fortsat videregivelse af personoplysninger vil kunne skabe overhængende risiko for alvorlig skade for de registrerede, og de kompetente myndigheder i medlemsstaterne, forholdene taget i betragtning, på passende vis har forsøgt at underrette den ansvarlige for behandlingen på Jersey og give vedkommende mulighed for at svare. |
2. Suspenderingen ophæves, når beskyttelsesprincipperne overholdes, og den kompetente myndighed i de pågældende medlemsstater underrettes herom.
Artikel 4
1. Medlemsstaterne underretter straks Kommissionen, hvis der træffes foranstaltninger i henhold til artikel 3.
2. Medlemsstaterne og Kommissionen underretter ligeledes hinanden om tilfælde, hvor de organer, som er ansvarlige for håndhævelsen af beskyttelsesprincipperne på Jersey, ikke er i stand til at sikre, at principperne overholdes.
3. Hvis det af de oplysninger, der fremkommer i medfør af artikel 3 og nærværende artikels stk. 1 og 2, fremgår, at et organ, der har ansvaret for at sikre overholdelse af beskyttelsesnormerne på Jersey, ikke udfører sin opgave effektivt, underretter Kommissionen den kompetente myndighed på Jersey herom og forelægger om nødvendigt et udkast til foranstaltninger efter proceduren i artikel 31, stk. 2, i direktiv 95/46/EF med henblik på at ophæve eller suspendere denne beslutning eller begrænse dens anvendelsesområde.
Artikel 5
Kommissionen fører tilsyn med gennemførelsen af denne beslutning og rapporterer om ethvert relevant forhold til det ved artikel 31 i direktiv 95/46/EF nedsatte udvalg, herunder om ethvert forhold, der kan påvirke vurderingen i artikel 1 i denne beslutning om, at beskyttelsen på Jersey er tilstrækkelig efter artikel 25 i direktiv 95/46/EF, samt om ethvert forhold, der viser, at beslutningen gennemføres på diskriminerende måde.
Artikel 6
Medlemsstaterne træffer de nødvendige foranstaltninger for at efterkomme denne beslutning senest fire måneder efter, at den er meddelt dem.
Artikel 7
Denne beslutning er rettet til medlemsstaterne.
Udfærdiget i Bruxelles, den 8. maj 2008.
På Kommissionens vegne
Jacques BARROT
Næstformand
(1) EFT L 281 af 23.11.1995, s. 31. Ændret ved forordning (EF) nr. 1882/2003 (EUT L 284 af 31.10.2003, s. 1).
(2) Udtalelse nr. 8/2007 om databeskyttelsesniveauet på Jersey, som blev vedtaget den 9. oktober 2007 og kan findes på adressen: http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2007_en.htm
(3) Det drejer sig om Data Protection (Corporate Finance Exemption) (Jersey) Regulations 2005, Data Protection (Credit Reference Agency) (Jersey) Regulations 2005, Data Protection (Fair Processing) (Jersey) Regulations 2005, Data Protection (International Co-operation) (Jersey) Regulations 2005, Data Protection (Notification) (Jersey) Regulations 2005, Data Protection (Sensitive Personal Data) (Jersey) Regulations 2005, Data Protection (Subject Access Exemptions) (Jersey) Regulations 2005, Data Protection (Subject Access Miscellaneous) (Jersey) Regulations 2005, Data Protection (Subject Access Modification — Education) (Jersey) Regulations 2005, Data Protection (Subject Access Modification — Health) (Jersey) Regulations 2005, Data Protection (Subject Access Modification — Social Work) (Jersey) Regulations 2005, og Data Protection (Transfer in Substantial Public Interest) (Jersey) Regulations 2005.