32003D0821



Oficialusis leidinys L 308 , 25/11/2003 p. 0027 - 0028


Komisijos Sprendimas

2003 m. lapkričio 21 d.

dėl tinkamos asmens duomenų apsaugos Guernsey

(pranešta dokumentu Nr. C(2003) 4309)

(tekstas svarbus EEE)

2003/821/EB

EUROPOS BENDRIJŲ KOMISIJA,

atsižvelgdama į Europos bendrijos steigimo sutartį,

atsižvelgdama į 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvą 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo [1], ypač į jos 25 straipsnio 6 dalį,

pasitarusi su Asmenų apsaugos tvarkant asmens duomenis [2] darbo grupe,

kadangi:

(1) Pagal Direktyvą 95/46/EB, valstybės narės turi numatyti, kad asmens duomenys gali būti perduodami trečiajai šaliai tik jei minėtoji trečioji šalis užtikrina tinkamą apsaugos lygį ir jei iki perdavimo laikomasi valstybių narių įstatymų, įgyvendinančių kitas šios Direktyvos nuostatas.

(2) Komisija gali sužinoti, kad trečioji šalis užtikrina tinkamą apsaugos lygį. Tokiu atveju, valstybės narės gali perduoti asmens duomenis be papildomų garantijų.

(3) Pagal Direktyvą 95/46/EB, duomenų apsaugos lygis turi būti vertinamas atsižvelgiant į visas aplinkybes, susijusias su duomenų perdavimo operacija arba keliomis operacijomis, visų pirma atsižvelgiant į keletą perdavimui svarbių elementų, išvardytų 25 straipsnio 2 dalyje.

(4) Atsižvelgiant į skirtingus trečiųjų šalių požiūrius į duomenų apsaugą, apsaugos tinkamumas turi būti vertinamas ir visi sprendimai, paremti Direktyvos 95/46/EB 25 straipsnio 6 dalimi, turi būti priimami ir taikomi taip, kad trečiosios šalys, kuriose yra panašios sąlygos, nebūtų subjektyviai ar neteisėtai diskriminuojamos ir kad nebūtų sudaromos paslėptos prekybos kliūtys, bei laikantis Bendrijos tarptautinių įsipareigojimų.

(5) Bailiwick of Guernsey yra viena iš Britanijos Karūnai priklausančių teritorijų (nėra nei Jungtinės Karalystės dalis, nei kolonija), kuri yra visiškai nepriklausoma, išskyrus tarptautinius santykius ir gynybą – už tai atsako Jungtinės Karalystės Vyriausybė. Todėl pagal minėtąją direktyvą Bailiwick of Guernsey turi būti laikoma trečiąja šalimi.

(6) Nuo 1987 m. Jungtinės Karalystės ratifikuota Europos Tarybos Konvencija dėl asmenų apsaugos automatiškai tvarkant asmens duomenis (Konvencija Nr. 108) taikoma ir Bailiwick of Guernsey .

(7) Bailiwick of Guernsey asmens duomenų apsaugos teisiniai standartai, paremti Direktyvoje 95/46/EB nustatytais standartais, yra pateikti 2001 m. Duomenų apsaugos (Bailiwick of Guernsey) įstatyme, kuris įsigaliojo 2002 m. rugpjūčio 1 d.

(8) 2002 m. Guernsey taip pat priimta šešiolika statutinių instrumentų, nustatančių konkrečias taisykles, taikomas subjektų prieigai, slaptiems duomenims ir duomenų apsaugos institucijos informavimui. Šie instrumentai papildo įstatymą.

(9) Guernsey taikomi teisiniai standartai apima visus pagrindinius principus, reikalingus tinkamam fizinių asmenų apsaugos lygiui. Šių standartų taikymą užtikrina teisminės priemonės ir nepriklausoma priežiūra, kurią vykdo tokios institucijos kaip Duomenų apsaugos komisaras, kuriam suteiktos tyrimo ir įsikišimo galios.

(10) Todėl turi būti laikoma, kad Guernsey suteikia tinkamo lygio asmens duomenų apsaugą, minimą Direktyvoje 95/46/EB.

(11) Siekiant skaidrumo ir apsaugoti valstybių narių kompetentingų institucijų sugebėjimą užtikrinti asmenų apsaugą tvarkant jų asmens duomenis, reikia apibrėžti išskirtines aplinkybes, kuriomis konkrečių duomenų srautų sustabdymas gali būti pateisinamas, nežiūrint tinkamos apsaugos taikymo.

(12) Šiame sprendime numatytoms priemonėms pritarė Komitetas, įsteigtas pagal Direktyvos 95/46/EB 31 straipsnio 1 dalį,

PRIĖMĖ ŠĮ SPRENDIMĄ:

1 straipsnis

Pagal Direktyvos 95/46/EB 25 straipsnio 2 dalį laikoma, kad Bailiwick of suteikia tinkamo lygio Bendrijos perduotų asmens duomenų apsaugą.

2 straipsnis

Šis sprendimas susijęs su apsaugos tinkamumu Guernsey , siekiant atitikti Direktyvos 95/46/EB 25 straipsnio 1 dalies reikalavimus, ir neįtakoja kitų sąlygų ar apribojimų įgyvendinant kitas šios direktyvos nuostatas dėl asmens duomenų valstybėse narėse tvarkymo.

3 straipsnis

1. Nepažeidžiant valstybių narių kompetentingų institucijų galių imtis veiksmų, kad būtų laikomasi nacionalinių nuostatų, priimtų remiantis kitomis nei Direktyvos 95/46/EB 25 straipsnio nuostatomis, šios institucijos gali naudotis savo galiomis sustabdyti duomenų srautus gavėjui Guernsey, kad, tvarkant asmens duomenis, apsaugotų asmenis šiais atvejais:

a) kai kompetentinga Guernsey institucija nustatė, kad gavėjas pažeidė taikomus apsaugos standartus; arba

b) kai yra didelė tikimybė, kad pažeidžiami apsaugos standartai, yra pakankamas pagrindas tikėtis, kad kompetentinga Guernsey institucija nesiima arba nesiims atitinkamų ir savalaikių žingsnių iškart išspręsti problemą ir tęsiamas duomenų perdavimas sukurtų duomenų subjektams neišvengiamą didelės žalos riziką, ir tokiomis aplinkybėmis valstybių narių kompetentingos institucijos dėjo protingas pastangas, kad įspėtų šalį, atsakingą už duomenų tvarkymą Guernsey, ir suteiktų šiai šaliai galimybę atsiliepti.

2. Sustabdymas nutraukiamas iškart, kai užtikrinami apsaugos standartai ir kompetentinga valstybių narių institucija apie tai informuojama.

4 straipsnis

1. Valstybės narės iškart informuoja Komisiją, kai taikomos priemonės pagal 3 straipsnį.

2. Valstybės narės ir Komisija informuoja vienos kitas apie atvejus, kai už standartų užtikrinimą atsakingų institucijų veiksmai neužtikrina minėtųjų standartų laikymosi.

3. Jei pagal 3 straipsnį ir pagal šio straipsnio 1 ir 2 dalį surinkta informacija suteikia įrodymų, kad kuri nors už apsaugos standartų užtikrinimą Guernsey atsakinga institucija neefektyviai atlieka savo funkcijas, Komisija informuoja kompetentingą Guernsey instituciją ir prireikus pateikia priemonių projektą pagal Direktyvos 95/46/EB 31 straipsnio 2 dalyje minimą procedūrą, siekiant panaikinti arba sustabdyti šį sprendimą arba apriboti jo taikymo sritį.

5 straipsnis

Komisija kontroliuoja, kaip veikia šis sprendimas ir pateikia visus su tuo susijusius duomenis Komitetui, įsteigtam pagal Direktyvos 95/46/EB 31 straipsnį. Ji taip pat praneša ir apie visus dalykus, kurie galėtų įtakoti šio sprendimo 1 straipsnyje minimą tvirtinimą, kad apsauga Guernsey yra tinkama pagal Direktyvos 95/46/EB 25 straipsnį, bei apie tai, jei šio sprendimo įgyvendinimas yra diskriminacinis.

6 straipsnis

Valstybės narės per keturis mėnesius nuo sprendimo paskelbimo datos imasi visų reikalingų priemonių, kad būtų laikomasi šio sprendimo.

7 straipsnis

Šis sprendimas skirtas valstybėms narėms.

Priimta Briuselyje, 2003 m. lapkričio 21 d.

Komisijos vardu

Frederik Bolkestein

Komisijos narys

[1] OL L 281, 1995 11 23, p. 31.

[2] Nuomonė 5/2003 dėl asmens duomenų apsaugos lygio Guernsey, priimta darbo grupės 2003 m. birželio 13 d., pateikta: http://europa.eu.int/comm/internal_market/privacy/workingroup/wp2003/wpdocs03_en.htm.

--------------------------------------------------