Απόφαση της Επιτροπής

της 21ης Νοεμβρίου 2003

σχετικά με την επάρκεια της προστασίας των δεδομένων προσωπικού χαρακτήρα στο Guernsey

[κοινοποιηθείσα υπό τον αριθμό Ε(2003) 4309]

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

(2003/821/ΕΚ)

Η ΕΠΙΤΡΟΠΗ ΤΩΝ ΕΥΡΩΠΑΪΚΩΝ ΚΟΙΝΟΤΗΤΩΝ,

Έχοντας υπόψη:

τη συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας,

την οδηγία 95/46/EΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών(1), και ιδίως το άρθρο 25 παράγραφος 6,

Μετά τη γνωμοδότηση της ομάδας εργασίας για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα(2),

Εκτιμώντας τα ακόλουθα:

(1) Σύμφωνα με την οδηγία 95/46/EΚ, τα κράτη μέλη οφείλουν να προβλέπουν ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα επιτρέπεται μόνον εάν η εν λόγω τρίτη χώρα εξασφαλίζει επαρκές επίπεδο προστασίας και εφόσον τηρούνται, πριν από τη διαβίβαση, οι νομοθετικές διατάξεις που έχουν θεσπίσει τα κράτη μέλη κατ' εφαρμογήν άλλων διατάξεων της οδηγίας.

(2) Η Επιτροπή μπορεί να αποφανθεί ότι μια τρίτη χώρα εξασφαλίζει επαρκές επίπεδο προστασίας. Στην περίπτωση αυτή, τα κράτη μέλη μπορούν να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα χωρίς να απαιτούνται πρόσθετες εγγυήσεις.

(3) Σύμφωνα με την οδηγία 95/46/EΚ, το επίπεδο προστασίας των δεδομένων πρέπει να σταθμίζεται λαμβανομένων υπόψη όλων των περιστάσεων που επηρεάζουν μια διαβίβαση ή κατηγορία διαβιβάσεων δεδομένων και, ειδικότερα, σε συνάρτηση με μια σειρά παράγοντες που αφορούν τη διαβίβαση και απαριθμούνται στο άρθρο 25 παράγραφος 2.

(4) Δεδομένων των διαφορετικών προσεγγίσεων που ακολουθούνται όσον αφορά την προστασία των δεδομένων στις τρίτες χώρες, πρέπει η αξιολόγηση για την επάρκεια της προστασίας και η επιβολή της εφαρμογής κάθε απόφασης που βασίζεται στο άρθρο 25 παράγραφος 6 της οδηγίας 95/46/ΕΚ να γίνονται με τρόπο που να μην επιφέρει αυθαίρετες ή αδικαιολόγητες διακρίσεις εις βάρος ή μεταξύ τρίτων χωρών στις οποίες επικρατούν παρόμοιες συνθήκες ούτε να αποτελεί συγκεκαλυμμένο εμπόδιο για τις εμπορικές συναλλαγές, λαμβανομένων υπόψη των σημερινών διεθνών δεσμεύσεων της Κοινότητας.

(5) Το Bailiwick του Guernsey είναι μiα από τις κτήσεις του βρετανικού στέμματος (δεν είναι ούτε τμήμα του Ηνωμένου Βασιλείου ούτε αποικία) που έχει πλήρη ανεξαρτησία, με εξαίρεση τους τομείς των διεθνών σχέσεων και της άμυνας, οι οποίοι υπάγονται στην αρμοδιότητα της κυβέρνησης του Ηνωμένου Βασιλείου. Κατά συνέπεια, το Bailiwick του Guernsey πρέπει να θεωρείται τρίτη χώρα κατά την έννοια της οδηγίας.

(6) Με ισχύ από τον Αύγουστο του 1987, η κύρωση, από το Ηνωμένο Βασίλειο, της σύμβασης του Συμβουλίου της Ευρώπης για την προστασία των φυσικών προσώπων από την αυτόματη επεξεργασία δεδομένων προσωπικού χαρακτήρα (σύμβαση αριθ. 108) επεκτάθηκε και στο Bailiwick του Guernsey.

(7) Όσον αφορά το Bailiwick του Guernsey, οι νομικοί κανόνες για την προστασία των δεδομένων προσωπικού χαρακτήρα, που βασίζονται στους κανόνες της οδηγίας 95/46/ΕΚ, περιέχονται στο νόμο του 2001 (του Bailiwick του Guernsey) περί προστασίας των δεδομένων, ο οποίος τέθηκε σε ισχύ την 1η Αυγούστου 2002.

(8) Στο Guernsey εκδόθηκαν επίσης το 2002 δεκαέξι νομοθετικές πράξεις (αποφάσεις) που θεσπίζουν ειδικούς κανόνες για θέματα όπως η πρόσβαση των υποκειμένων των δεδομένων στα δεδομένα που τα αφορούν, η επεξεργασία ευαίσθητων δεδομένων και η κοινοποίηση στην αρχή προστασίας των δεδομένων. Οι εν λόγω νομοθετικές πράξεις συμπληρώνουν τη νομοθεσία.

(9) Οι νομικοί κανόνες που ισχύουν στο Guernsey καλύπτουν όλες τις αναγκαίες βασικές αρχές για τη διασφάλιση επαρκούς επιπέδου προστασίας για τα φυσικά πρόσωπα. Η εφαρμογή αυτών των κανόνων διασφαλίζεται μέσω δικαστικής προστασίας καθώς και μέσω ανεξάρτητης εποπτείας από τις αρμόδιες αρχές, όπως ο επίτροπος προστασίας δεδομένων, ο οποίος διαθέτει εξουσίες έρευνας και παρέμβασης.

(10) Συνεπώς, το Guernsey πρέπει να θεωρείται ότι παρέχει επαρκές επίπεδο προστασίας όσον αφορά τα δεδομένα προσωπικού χαρακτήρα κατά την έννοια της οδηγίας 95/46/ΕΚ.

(11) Προκειμένου να υπάρχει διαφάνεια και να διασφαλίζεται η ικανότητα των αρμόδιων αρχών των κρατών μελών να εξασφαλίζουν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, πρέπει να διευκρινιστούν οι εξαιρετικές περιπτώσεις που δικαιολογούν την αναστολή συγκεκριμένων ροών δεδομένων, ανεξάρτητα από τη διαπίστωση επαρκούς επιπέδου προστασίας.

(12) Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνώμη της επιτροπής που συστάθηκε βάσει του άρθρου 31 παράγραφος 1 της οδηγίας 95/46/EΚ,

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:

Άρθρο 1

Για τους σκοπούς του άρθρου 25 παράγραφος 2 της οδηγίας 95/46/EΚ, το Bailiwick του Guernsey θεωρείται ότι εξασφαλίζει ικανοποιητικό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από την Κοινότητα.

Άρθρο 2

Η παρούσα απόφαση αφορά την επάρκεια της προστασίας που παρέχεται στο Guernsey στο πλαίσιο της εκπλήρωσης των απαιτήσεων του άρθρου 25 παράγραφος 1 της οδηγίας 95/46/EΚ και δεν επηρεάζει άλλες προϋποθέσεις ή περιορισμούς, κατ' εφαρμογήν άλλων διατάξεων της εν λόγω οδηγίας, οι οποίες αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα στα κράτη μέλη.

Άρθρο 3

1. Με την επιφύλαξη των εξουσιών τους να αναλαμβάνουν δράση για να διασφαλίζουν την τήρηση των εθνικών διατάξεων που εκδίδονται βάσει διατάξεων διαφορετικών από τις διατάξεις του άρθρου 25 της οδηγίας 95/46/ΕΚ, οι αρμόδιες αρχές των κρατών μελών δύνανται να ασκούν τις εξουσίες που διαθέτουν για να αναστέλλουν τη ροή δεδομένων προς αποδέκτη στο Guernsey, με στόχο την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα που τα αφορούν, στις περιπτώσεις στις οποίες:

α) αρμόδια αρχή του Guernsey έχει διαπιστώσει ότι ο αποδέκτης παραβιάζει τους εφαρμοστέους κανόνες προστασίας· ή

β) υπάρχει βάσιμη πιθανότητα παραβίασης των κανόνων προστασίας, υπάρχει βάσιμη πεποίθηση ότι η αρμόδια αρχή του Guernsey δεν προβαίνει ή δεν πρόκειται να προβεί εγκαίρως στις ενδεικνυόμενες ενέργειες ώστε να διευθετήσει το επίμαχο ζήτημα, η συνέχιση της διαβίβασης ενδέχεται να προκαλέσει άμεσο κίνδυνο σοβαρής ζημίας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα, οι δε αρμόδιες αρχές του κράτους μέλους κατέβαλαν, υπό τις επικρατούσες περιστάσεις, κάθε δυνατή προσπάθεια για να απευθύνουν προειδοποίηση στον εγκατεστημένο στο Guernsey υπεύθυνο της επεξεργασίας και να του δώσουν τη δυνατότητα να αντιδράσει.

2. Η αναστολή της ροής δεδομένων λήγει αμέσως μόλις εξασφαλιστεί η τήρηση των κανόνων προστασίας και ενημερωθεί σχετικά η αρμόδια αρχή των κρατών μελών.

Άρθρο 4

1. Τα κράτη μέλη ενημερώνουν πάραυτα την Επιτροπή στις περιπτώσεις στις οποίες λαμβάνονται μέτρα βάσει του άρθρου 3.

2. Τα κράτη μέλη και η Επιτροπή ενημερώνονται αμοιβαία για τις περιπτώσεις στις οποίες η δράση των φορέων που είναι αρμόδιοι για τη διασφάλιση της συμμόρφωσης προς τους κανόνες προστασίας στο Guernsey αποτυγχάνει να διασφαλίσει την εν λόγω συμμόρφωση.

3. Εάν από τις πληροφορίες που συλλέγονται βάσει του άρθρου 3 και βάσει των παραγράφων 1 και 2 του εν λόγω άρθρου προκύπτει ότι οποιοσδήποτε φορέας που είναι αρμόδιος για τη διασφάλιση της συμμόρφωσης προς τους κανόνες προστασίας στο Guernsey δεν εκπληρώνει αποτελεσματικά την αποστολή του, η Επιτροπή ενημερώνει σχετικά την αρμόδια αρχή του Guernsey και, εάν το κρίνει απαραίτητο, υποβάλλει σχέδιο μέτρων σύμφωνα με τη διαδικασία που προβλέπεται στο άρθρο 31 παράγραφος 2 της οδηγίας 95/46/ΕΚ, με σκοπό την κατάργηση ή την αναστολή της παρούσας απόφασης ή τον περιορισμό του πεδίου εφαρμογής της.

Άρθρο 5

Η Επιτροπή παρακολουθεί την εφαρμογή της παρούσας απόφασης και αναφέρει κάθε σχετικό πόρισμα της επιτροπής που συστάθηκε δυνάμει του άρθρου 31 της οδηγίας 95/46/ΕΚ, περιλαμβανομένων οποιωνδήποτε αποδεικτικών στοιχείων τα οποία θα ήταν δυνατόν να επηρεάσουν το πόρισμα του άρθρου 1 της παρούσας απόφασης, σύμφωνα με το οποίο το Guernsey παρέχει επαρκές επίπεδο προστασίας κατά την έννοια του άρθρου 25 της οδηγίας 95/46/ΕΚ, καθώς και οποιωνδήποτε αποδεικτικών στοιχείων από τα οποία προκύπτει ότι η απόφαση εφαρμόζεται κατά τρόπο που επιφέρει διακρίσεις.

Άρθρο 6

Τα κράτη μέλη λαμβάνουν όλα τα απαραίτητα μέτρα για να συμμορφωθούν με την παρούσα απόφαση το αργότερο εντός τεσσάρων μηνών από την ημερομηνία κοινοποίησής της.

Άρθρο 7

Η παρούσα απόφαση απευθύνεται στα κράτη μέλη.

Βρυξέλλες, 21 Νοεμβρίου 2003.

Για την Επιτροπή

Frederik Bolkestein

Μέλος της Επιτροπής

(1) ΕΕ L 281 της 23.11.1995, σ. 31.

(2) Γνώμη 5/2003 σχετικά με το επίπεδο της προστασίας των δεδομένων προσωπικού χαρακτήρα στο Guernsey, που εγκρίθηκε από την ομάδα εργασίας στις 13 Ιουνίου 2003, η οποία διατίθεται στη διεύθυνση: http://europa.eu.int/comm/ internal_market/privacy/workingroup/ wp2003/wpdocs03_en.htm