Beschikking van de Commissie

van 21 november 2003

over de passende bescherming van persoonsgegevens op Guernsey

(kennisgeving geschied onder nummer C(2003) 4309)

(Voor de EER relevante tekst)

(2003/821/EG)

DE COMMISSIE VAN DE EUROPESE GEMEENSCHAPPEN,

Gelet op het Verdrag tot oprichting van de Europese Gemeenschap,

Gelet op Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(1), inzonderheid op artikel 25, lid 6,

Na raadpleging van de Groep betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens(2),

Overwegende hetgeen volgt:

(1) Overeenkomstig Richtlijn 95/46/EG moeten de lidstaten bepalen dat persoonsgegevens slechts naar een derde land mogen worden doorgegeven indien dat land een passend beschermingsniveau waarborgt en de wetgeving van de lidstaat die is vastgesteld ter uitvoering van de andere bepalingen van deze richtlijn al vóór de doorgifte wordt nageleefd.

(2) De Commissie kan vaststellen dat een derde land waarborgen voor een passend beschermingsniveau biedt. In dat geval kunnen persoonsgegevens zonder aanvullende garanties door de lidstaten worden doorgegeven.

(3) Overeenkomstig Richtlijn 95/46/EG dient het gegevensbeschermingsniveau te worden beoordeeld met inachtneming van alle omstandigheden waarin een gegevensdoorgifte of een categorie gegevensdoorgiften plaatsvindt en wordt in het bijzonder rekening gehouden met een aantal elementen die van belang zijn voor de doorgifte en in artikel 25, lid 2, van de richtlijn zijn opgenomen.

(4) Gezien de verschillende benaderingen van gegevensbescherming in derde landen moeten de beoordeling van de gepastheid en besluiten op grond van artikel 25, lid 6, van Richtlijn 95/46/EG worden uitgevoerd op een wijze die geen willekeurige of onverantwoorde discriminatie tegen of tussen derde landen waar gelijksoortige voorwaarden gelden, noch een verkapte handelsbelemmering vormt, rekening houdend met de huidige internationale verbintenissen van de Gemeenschap.

(5) Het Bailiwick of Guernsey is een van de gebieden die direct onder de Britse kroon vallen (die geen deel uitmaken van het Verenigd Koninkrijk noch een kolonie vormen) en is volledig onafhankelijk, behalve voor internationale betrekkingen en defensie waarvoor de regering van het Verenigd Koninkrijk verantwoordelijk is. Het Bailiwick of Guernsey moet derhalve als derde land worden beschouwd in de zin van de richtlijn.

(6) Met ingang van augustus 1987 is de ratificatie door het Verenigd Koninkrijk van het Verdrag van de Raad van Europa tot bescherming van personen terzake van de geautomatiseerde verwerking van persoonsgegevens (Verdrag nr. 108) uitgebreid tot het Bailiwick of Guernsey.

(7) Wat het Bailiwick of Guernsey betreft, zijn de wettelijke normen betreffende de bescherming van persoonsgegevens, gebaseerd op de normen die in Richtlijn 95/46/EG zijn opgenomen, vastgesteld in de Data Protection (Bailiwick of Guernsey) Law, 2001, die op 1 augustus 2002 van kracht is geworden.

(8) Op Guernsey zijn in 2002 ook 16 rechtsinstrumenten (besluiten) goedgekeurd waarin specifieke regels zijn vastgelegd voor kwesties zoals de toegang voor de betrokkene, de verwerking van gevoelige gegevens en de kennisgeving aan de gegevensbeschermingsautoriteit. Deze rechtsinstrumenten vormen een aanvulling op de wet.

(9) De wettelijke normen die van toepassing zijn op Guernsey hebben betrekking op alle basisbeginselen die noodzakelijk zijn voor een passend beschermingsniveau voor natuurlijke personen. De toepassing van deze normen wordt gewaarborgd door rechtsmiddelen en het onafhankelijke toezicht door de autoriteiten, zoals de Functionaris voor gegevensbescherming die de bevoegdheid heeft om onderzoek te verrichten en in te grijpen.

(10) Derhalve moet er van worden uitgegaan dat Guernsey een passend beschermingsniveau biedt voor persoonsgegevens zoals bedoeld in Richtlijn 95/46/EG.

(11) Ter wille van de doorzichtigheid en teneinde te garanderen dat de bevoegde autoriteiten in de lidstaten de personen wier persoonsgegevens worden verwerkt, kunnen beschermen, moet worden aangegeven in welke buitengewone omstandigheden het gerechtvaardigd is specifieke gegevensstromen op te schorten, ook al is een passend beschermingsniveau vastgesteld.

(12) De in deze beschikking vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 31, lid 1, van Richtlijn 95/46/EG ingestelde comité,

HEEFT DE VOLGENDE BESCHIKKING GEGEVEN:

Artikel 1

In de zin van artikel 25, lid 2, van Richtlijn 95/46/EG, wordt ervan uitgegaan dat het Bailiwick of Guernsey een passend beschermingsniveau biedt voor persoonsgegevens die vanuit de Gemeenschap worden doorgegeven.

Artikel 2

Deze beschikking heeft betrekking op de gepastheid van de bescherming die op Guernsey wordt geboden, teneinde aan de vereisten van artikel 25, lid 1, van Richtlijn 95/46/EG te voldoen, en laat andere voorwaarden of beperkingen tot uitvoering van andere bepalingen van die richtlijn die op de verwerking van persoonsgegevens in de lidstaten betrekking hebben, onverlet.

Artikel 3

1. Zonder afbreuk te doen aan hun bevoegdheden om stappen te ondernemen voor de naleving van nationale bepalingen die zijn goedgekeurd ingevolge andere bepalingen dan artikel 25 van Richtlijn 95/46/EG, kunnen de bevoegde autoriteiten in lidstaten gebruikmaken van hun bestaande bevoegdheden om gegevensstromen naar een ontvanger op Guernsey te onderbreken, teneinde personen bij de verwerking van hun persoonsgegevens te beschermen in de gevallen waarin:

a) een bevoegde autoriteit op Guernsey tot de conclusie is gekomen dat de ontvanger in strijd met de toepasselijke normen voor de gegevensbescherming handelt, of

b) het zeer waarschijnlijk is dat niet aan de normen voor gegevensbescherming wordt voldaan, er goede redenen zijn om aan te nemen dat de bevoegde autoriteit op Guernsey niet tijdig passende maatregelen neemt of zal nemen om het desbetreffende probleem op te lossen, de voortzetting van de doorgifte een dreigend gevaar voor ernstige schade aan de betrokkene inhoudt en de bevoegde autoriteiten in de lidstaat voldoende inspanningen in deze situatie hebben geleverd om de op Guernsey gevestigde organisatie die voor de verwerking verantwoordelijk is, in kennis te stellen en de gelegenheid te geven te reageren.

2. De opschortende maatregel blijft zolang van kracht totdat vaststaat dat de beschermingsnormen worden nageleefd en de bevoegde autoriteit van de betrokken lidstaat of lidstaten hiervan in kennis is gesteld.

Artikel 4

1. De lidstaten stellen de Commissie onverwijld in kennis wanneer op grond van artikel 3 maatregelen worden genomen.

2. De lidstaten en de Commissie brengen elkaar op de hoogte van de gevallen waarin de instanties die op Guernsey verantwoordelijk zijn voor de naleving van de beschermingsnormen, niet in staat zijn deze naleving te garanderen.

3. Wanneer uit de overeenkomstig artikel 3 en de leden 1 en 2 van dit artikel verzamelde informatie mocht blijken dat een instantie die verantwoordelijk is voor de naleving van de beschermingsnormen op Guernsey, haar taak niet naar behoren vervult, stelt de Commissie de bevoegde autoriteit op Guernsey hiervan in kennis en stelt zij zo nodig, in overeenstemming met de in artikel 31, lid 2, van Richtlijn 95/46/EG vastgestelde procedure, ontwerp-maatregelen voor om deze beschikking in te trekken of op te schorten dan wel de werkingssfeer ervan te beperken.

Artikel 5

De Commissie evalueert de werking van deze beschikking en deelt alle relevante vaststellingen aan het bij artikel 31 van Richtlijn 95/46/EG ingestelde comité mee, inclusief alle gegevens die van invloed kunnen zijn op de overeenkomstig artikel 1 van deze beschikking gedane vaststelling dat het beschermingsniveau op Guernsey passend is in de zin van artikel 25 van Richtlijn 95/46/EG, alsmede alle gegevens waaruit blijkt dat deze beschikking op discriminerende wijze wordt uitgevoerd.

Artikel 6

De lidstaten nemen alle nodig maatregelen om aan deze beschikking binnen vier maanden na de kennisgeving ervan te voldoen.

Artikel 7

Deze beschikking is gericht tot de lidstaten.

Gedaan te Brussel, 21 november 2003.

Voor de Commissie

Frederik Bolkestein

Lid van de Commissie

(1) PB L 281 van 23.11.1995, blz. 31.

(2) Advies nr. 5/2003 over het niveau van de persoonsgegevensbescherming op Guernsey, goedgekeurd door de Groep op 13 juni 2003 en beschikbaar op: http://europa.eu.int/comm/ internal_market/privacy/workingroup/ wp2003/wpdocs03_en.htm.