Dziennik Urzędowy L 308 , 25/11/2003 P. 0027 - 0028
Decyzja Komisji z dnia 21 listopada 2003 r. w sprawie właściwej ochrony danych osobowych w Guernsey (notyfikowana jako dokument nr C(2003) 4309) (Tekst mający znaczenie dla EOG) (2003/821/WE) KOMISJA WSPÓLNOT EUROPEJSKICH, uwzględniając Traktat ustanawiający Wspólnotę Europejską, uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych [1], w szczególności jej art. 25 ust. 6, uwzględniając opinię Grupy ds. Ochrony Osób Fizycznych w odniesieniu do przetwarzania danych osobowych [2], a także mając na uwadze, co następuje: (1) Na mocy dyrektywy 95/46/WE Państwa Członkowskie są zobowiązane zapewnić, by przekazanie danych osobowych do państwa trzeciego miało miejsce tylko wtedy, gdy państwo trzecie, o którym mowa, zapewni właściwy poziom ochrony i gdy przed dokonaniem przekazania zastosuje się do prawa Państwa Członkowskiego wykonującego inne przepisy dyrektywy. (2) Komisja może stwierdzić, że państwo trzecie zapewnia odpowiedni poziom ochrony. W takim przypadku dane osobowe można przekazywać z Państw Członkowskich bez konieczności zapewniania dodatkowych gwarancji. (3) Dyrektywa 95/46/WE wymaga, aby poziom ochrony danych osobowych był oceniany pod względem wszystkich okoliczności dotyczących przekazywania danych lub kategorii przekazywania danych jak również pod względem warunków wymienionych w art. 25 ust. 2. (4) Uwzględniając różne podejście do ochrony danych osobowych w państwach trzecich, ocena poziomu właściwości powinna być przeprowadzana, a każda decyzja na podstawie art. 25 ust. 6 dyrektywy 95/46/WE powinna być wydawana i wykonywana w sposób, który arbitralnie lub w sposób nieusprawiedliwiony nie prowadzi do dyskryminacji państw trzecich lub dyskryminacji między państwami trzecimi, w których przeważają podobne warunki, ani nie stwarza ukrytych przeszkód w handlu, biorąc pod uwagę obecne zobowiązania międzynarodowe Wspólnoty. (5) Okręg Guernsey jest jedną z jednostek zależnych od Korony brytyjskiej (nie będąc ani częścią Zjednoczonego Królestwa, ani kolonią), która cieszy się pełną niezależnością, z wyjątkiem stosunków międzynarodowych i obrony, za które odpowiada Rząd Zjednoczonego Królestwa. Okręg Guernsey powinien zatem zostać uznany za państwo trzecie w rozumieniu dyrektywy. (6) Z mocą od sierpnia 1987 r. ratyfikacja przez Zjednoczone Królestwo Konwencji nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych została rozszerzona na Okręg Guernsey. (7) W przypadku Okręgu Guernsey normy prawne dotyczące ochrony danych osobowych oparte na normach ustanowionych w dyrektywie 95/46/WE zostały przewidziane w ustawie Data Protection (Bailiwick of Guernsey) Law 2001, która weszła w życie dnia 1 sierpnia 2002 r. (8) W 2002 r. w Guernsey przyjęto także szesnaście aktów prawnych (orders) ustanawiających szczególne zasady dotyczące takich spraw, jak dostęp zainteresowanego do własnych danych, przetwarzanie danych szczególnie chronionych i zawiadamianie organów ochrony danych. Te akty prawne uzupełniają ustawę. (9) Normy prawne mające zastosowanie w Guernsey obejmują wszystkie podstawowe zasady niezbędne do odpowiedniego poziomu ochrony osób fizycznych. Stosowanie tych norm zapewnione jest przez sądowe środki odwoławcze i przez niezależną kontrolę przeprowadzaną przez takie organy, jak urząd Komisarza Ochrony Danych, posiadający kompetencje w zakresie przeprowadzania dochodzenia i podejmowania działań interwencyjnych. (10) Guernsey powinno zatem zostać uznane za zapewniające odpowiedni poziom ochrony danych osobowych określony w dyrektywie 95/46/WE. (11) W interesie przejrzystości i do celów zabezpieczenia zdolności właściwych organów w Państwach Członkowskich do zagwarantowania osobom prywatnym ochrony w zakresie przetwarzania ich danych osobowych konieczne jest określenie w niniejszej decyzji wyjątkowych okoliczności, w których uzasadnione może być zawieszenie przepływu danych szczególnych, niezależnie od uznania poziomu ochrony za właściwy. (12) Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu ustanowionego na podstawie art. 31 ust. 1 dyrektywy 95/46/WE, PRZYJMUJE NINIEJSZĄ DECYZJĘ: Artykuł 1 Do celów art. 25 ust. 2 dyrektywy 95/46/WE Okręg Guernsey uznaje się za zapewniający odpowiedni poziom ochrony danych osobowych przekazywanych ze Wspólnoty. Artykuł 2 Niniejsza decyzja dotyczy odpowiedniej ochrony zapewnionej w Guernsey w celu spełnienia wymogów art. 25 ust. 1 dyrektywy 95/46/WE i nie ma wpływu na pozostałe warunki lub ograniczenia wykonujące pozostałe przepisy tej dyrektywy, które odnoszą się do przetwarzania danych osobowych w Państwach Członkowskich. Artykuł 3 1. Bez uszczerbku dla ich kompetencji do podejmowania działań zmierzających do zagwarantowania zgodności z przepisami krajowymi przyjętymi zgodnie z przepisami innymi niż zawarte w art. 25 dyrektywy 95/46/WE właściwe władze w Państwach Członkowskich mogą wykorzystać swoje kompetencje i zawiesić przepływ danych do ich odbiorców w Guernsey w celu ochrony osób prywatnych przy przetwarzaniu ich danych osobowych, w przypadku gdy: a) właściwy organ Guernsey ustalił, że odbiorca narusza obowiązujące normy ochrony; lub b) istnieje duże prawdopodobieństwo, że normy ochrony są naruszane; istnieją uzasadnione podstawy, aby domniemywać, iż właściwy organ Guernsey nie podejmuje lub nie podejmie właściwych i natychmiastowych kroków zmierzających do rozstrzygnięcia sprawy; dalsze przekazywanie danych spowodowałoby realne niebezpieczeństwo wyrządzenia szkody osobom, których dotyczą dane osobowe, a właściwe organy w Państwie Członkowskim podjęły odpowiednie w tych okolicznościach czynności w celu dostarczenia stronie odpowiedzialnej za przetwarzanie ustanowione w Guernsey, powiadomienia o powyższym oraz umożliwienia jej udzielenia odpowiedzi. 2. Zawieszenie przepływu danych ustaje z chwilą, gdy normy ochrony zostają zapewnione, a właściwy organ w zainteresowanym Państwie Członkowskim zostaje o tym powiadomiony. Artykuł 4 1. Państwa Członkowskie bezzwłocznie powiadomią Komisję o przyjęciu środków na podstawie art. 3. 2. Państwa Członkowskie oraz Komisja powiadomią się wzajemnie o przypadkach, gdy działania organów odpowiedzialnych za zapewnianie zgodności z normami ochrony w Guernsey nie gwarantują takiej zgodności. 3. Jeśli informacje zebrane na mocy art. 3 i na mocy ust. 1 i 2 niniejszego artykułu dowodzą, iż żaden organ odpowiedzialny za zapewnienie zgodności z normami ochrony w Guernsey nie pełni skutecznie swojej roli, Komisja powiadamia o tym właściwy organ Guernsey i, jeśli to konieczne, przedstawia projekt środków zgodnie z procedurą określoną w art. 31 ust. 2 dyrektywy 95/46/WE w celu uchylenia lub zawieszenia niniejszej decyzji lub ograniczenia jej zakresu. Artykuł 5 Komisja monitoruje funkcjonowanie niniejszej decyzji i przekazuje wszelkie stosowne wnioski Komitetowi ustanowionemu na podstawie art. 31 dyrektywy 95/46/WE, w tym także wszelkie dowody, które mogłyby wpłynąć na założenie zawarte w art. 1 niniejszej decyzji stwierdzające, że ochrona danych w Guernsey jest odpowiednia w rozumieniu art. 25 dyrektywy 95/46/WE, oraz które mogą wykazać, że niniejsza decyzja jest stosowana w sposób dyskryminacyjny. Artykuł 6 Państwa Członkowskie podejmują wszelkie niezbędne środki w celu zastosowania się do niniejszej decyzji w terminie czterech miesięcy od dnia jej notyfikacji. Artykuł 7 Niniejsza decyzja skierowana jest do Państw Członkowskich. Sporządzono w Brukseli, dnia 21 listopada 2003 r. W imieniu Komisji Frederik Bolkestein Członek Komisji [1] Dz.U. L 281 z 23.11.1995, str. 31. [2] Opinia 5/2003 w sprawie poziomu ochrony danych osobowych w Guernsey, przyjęta przez Grupę ds. Ochrony Osób Fizycznych dnia 13 czerwca 2003 r. dostępna pod adresem http://europa.eu.int/comm/internal_market/privacy/workingroup/ wp2003/wpdocs03_en.htm. --------------------------------------------------