Decyzja Komisji

z dnia 21 listopada 2003 r.

w sprawie właściwej ochrony danych osobowych w Guernsey

(notyfikowana jako dokument nr C(2003) 4309)

(Tekst mający znaczenie dla EOG)

(2003/821/WE)

KOMISJA WSPÓLNOT EUROPEJSKICH,

uwzględniając Traktat ustanawiający Wspólnotę Europejską,

uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych [1], w szczególności jej art. 25 ust. 6,

uwzględniając opinię Grupy ds. Ochrony Osób Fizycznych w odniesieniu do przetwarzania danych osobowych [2],

a także mając na uwadze, co następuje:

(1) Na mocy dyrektywy 95/46/WE Państwa Członkowskie są zobowiązane zapewnić, by przekazanie danych osobowych do państwa trzeciego miało miejsce tylko wtedy, gdy państwo trzecie, o którym mowa, zapewni właściwy poziom ochrony i gdy przed dokonaniem przekazania zastosuje się do prawa Państwa Członkowskiego wykonującego inne przepisy dyrektywy.

(2) Komisja może stwierdzić, że państwo trzecie zapewnia odpowiedni poziom ochrony. W takim przypadku dane osobowe można przekazywać z Państw Członkowskich bez konieczności zapewniania dodatkowych gwarancji.

(3) Dyrektywa 95/46/WE wymaga, aby poziom ochrony danych osobowych był oceniany pod względem wszystkich okoliczności dotyczących przekazywania danych lub kategorii przekazywania danych jak również pod względem warunków wymienionych w art. 25 ust. 2.

(4) Uwzględniając różne podejście do ochrony danych osobowych w państwach trzecich, ocena poziomu właściwości powinna być przeprowadzana, a każda decyzja na podstawie art. 25 ust. 6 dyrektywy 95/46/WE powinna być wydawana i wykonywana w sposób, który arbitralnie lub w sposób nieusprawiedliwiony nie prowadzi do dyskryminacji państw trzecich lub dyskryminacji między państwami trzecimi, w których przeważają podobne warunki, ani nie stwarza ukrytych przeszkód w handlu, biorąc pod uwagę obecne zobowiązania międzynarodowe Wspólnoty.

(5) Okręg Guernsey jest jedną z jednostek zależnych od Korony brytyjskiej (nie będąc ani częścią Zjednoczonego Królestwa, ani kolonią), która cieszy się pełną niezależnością, z wyjątkiem stosunków międzynarodowych i obrony, za które odpowiada Rząd Zjednoczonego Królestwa. Okręg Guernsey powinien zatem zostać uznany za państwo trzecie w rozumieniu dyrektywy.

(6) Z mocą od sierpnia 1987 r. ratyfikacja przez Zjednoczone Królestwo Konwencji nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych została rozszerzona na Okręg Guernsey.

(7) W przypadku Okręgu Guernsey normy prawne dotyczące ochrony danych osobowych oparte na normach ustanowionych w dyrektywie 95/46/WE zostały przewidziane w ustawie Data Protection (Bailiwick of Guernsey) Law 2001, która weszła w życie dnia 1 sierpnia 2002 r.

(8) W 2002 r. w Guernsey przyjęto także szesnaście aktów prawnych (orders) ustanawiających szczególne zasady dotyczące takich spraw, jak dostęp zainteresowanego do własnych danych, przetwarzanie danych szczególnie chronionych i zawiadamianie organów ochrony danych. Te akty prawne uzupełniają ustawę.

(9) Normy prawne mające zastosowanie w Guernsey obejmują wszystkie podstawowe zasady niezbędne do odpowiedniego poziomu ochrony osób fizycznych. Stosowanie tych norm zapewnione jest przez sądowe środki odwoławcze i przez niezależną kontrolę przeprowadzaną przez takie organy, jak urząd Komisarza Ochrony Danych, posiadający kompetencje w zakresie przeprowadzania dochodzenia i podejmowania działań interwencyjnych.

(10) Guernsey powinno zatem zostać uznane za zapewniające odpowiedni poziom ochrony danych osobowych określony w dyrektywie 95/46/WE.

(11) W interesie przejrzystości i do celów zabezpieczenia zdolności właściwych organów w Państwach Członkowskich do zagwarantowania osobom prywatnym ochrony w zakresie przetwarzania ich danych osobowych konieczne jest określenie w niniejszej decyzji wyjątkowych okoliczności, w których uzasadnione może być zawieszenie przepływu danych szczególnych, niezależnie od uznania poziomu ochrony za właściwy.

(12) Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu ustanowionego na podstawie art. 31 ust. 1 dyrektywy 95/46/WE,

PRZYJMUJE NINIEJSZĄ DECYZJĘ:

Artykuł 1

Do celów art. 25 ust. 2 dyrektywy 95/46/WE Okręg Guernsey uznaje się za zapewniający odpowiedni poziom ochrony danych osobowych przekazywanych ze Wspólnoty.

Artykuł 2

Niniejsza decyzja dotyczy odpowiedniej ochrony zapewnionej w Guernsey w celu spełnienia wymogów art. 25 ust. 1 dyrektywy 95/46/WE i nie ma wpływu na pozostałe warunki lub ograniczenia wykonujące pozostałe przepisy tej dyrektywy, które odnoszą się do przetwarzania danych osobowych w Państwach Członkowskich.

Artykuł 3

1. Bez uszczerbku dla ich kompetencji do podejmowania działań zmierzających do zagwarantowania zgodności z przepisami krajowymi przyjętymi zgodnie z przepisami innymi niż zawarte w art. 25 dyrektywy 95/46/WE właściwe władze w Państwach Członkowskich mogą wykorzystać swoje kompetencje i zawiesić przepływ danych do ich odbiorców w Guernsey w celu ochrony osób prywatnych przy przetwarzaniu ich danych osobowych, w przypadku gdy:

a) właściwy organ Guernsey ustalił, że odbiorca narusza obowiązujące normy ochrony; lub

b) istnieje duże prawdopodobieństwo, że normy ochrony są naruszane; istnieją uzasadnione podstawy, aby domniemywać, iż właściwy organ Guernsey nie podejmuje lub nie podejmie właściwych i natychmiastowych kroków zmierzających do rozstrzygnięcia sprawy; dalsze przekazywanie danych spowodowałoby realne niebezpieczeństwo wyrządzenia szkody osobom, których dotyczą dane osobowe, a właściwe organy w Państwie Członkowskim podjęły odpowiednie w tych okolicznościach czynności w celu dostarczenia stronie odpowiedzialnej za przetwarzanie ustanowione w Guernsey, powiadomienia o powyższym oraz umożliwienia jej udzielenia odpowiedzi.

2. Zawieszenie przepływu danych ustaje z chwilą, gdy normy ochrony zostają zapewnione, a właściwy organ w zainteresowanym Państwie Członkowskim zostaje o tym powiadomiony.

Artykuł 4

1. Państwa Członkowskie bezzwłocznie powiadomią Komisję o przyjęciu środków na podstawie art. 3.

2. Państwa Członkowskie oraz Komisja powiadomią się wzajemnie o przypadkach, gdy działania organów odpowiedzialnych za zapewnianie zgodności z normami ochrony w Guernsey nie gwarantują takiej zgodności.

3. Jeśli informacje zebrane na mocy art. 3 i na mocy ust. 1 i 2 niniejszego artykułu dowodzą, iż żaden organ odpowiedzialny za zapewnienie zgodności z normami ochrony w Guernsey nie pełni skutecznie swojej roli, Komisja powiadamia o tym właściwy organ Guernsey i, jeśli to konieczne, przedstawia projekt środków zgodnie z procedurą określoną w art. 31 ust. 2 dyrektywy 95/46/WE w celu uchylenia lub zawieszenia niniejszej decyzji lub ograniczenia jej zakresu.

Artykuł 5

Komisja monitoruje funkcjonowanie niniejszej decyzji i przekazuje wszelkie stosowne wnioski Komitetowi ustanowionemu na podstawie art. 31 dyrektywy 95/46/WE, w tym także wszelkie dowody, które mogłyby wpłynąć na założenie zawarte w art. 1 niniejszej decyzji stwierdzające, że ochrona danych w Guernsey jest odpowiednia w rozumieniu art. 25 dyrektywy 95/46/WE, oraz które mogą wykazać, że niniejsza decyzja jest stosowana w sposób dyskryminacyjny.

Artykuł 6

Państwa Członkowskie podejmują wszelkie niezbędne środki w celu zastosowania się do niniejszej decyzji w terminie czterech miesięcy od dnia jej notyfikacji.

Artykuł 7

Niniejsza decyzja skierowana jest do Państw Członkowskich.

Sporządzono w Brukseli, dnia 21 listopada 2003 r.

W imieniu Komisji

Frederik Bolkestein

Członek Komisji

[1] Dz.U. L 281 z 23.11.1995, str. 31.

[2] Opinia 5/2003 w sprawie poziomu ochrony danych osobowych w Guernsey, przyjęta przez Grupę ds. Ochrony Osób Fizycznych dnia 13 czerwca 2003 r. dostępna pod adresem http://europa.eu.int/comm/internal_market/privacy/workingroup/ wp2003/wpdocs03_en.htm.

--------------------------------------------------