A Bizottság határozata

(2003. november 21.)

a személyes adatok Guernseyben biztosított megfelelő védelméről

(az értesítés a C(2003) 4309. számú dokumentummal történt)

(EGT vonatkozású szöveg)

(2003/821/EK)

AZ EURÓPAI KÖZÖSSÉGEK BIZOTTSÁGA,

tekintettel az Európai Közösséget létrehozó szerződésre,

tekintettel a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvre [1], és különösen annak 25. cikke (6) bekezdésére,

a személyesadat-feldolgozás vonatkozásában az egyének védelmével foglalkozó munkacsoporttal [2] folytatott konzultációt követően,

mivel:

(1) A 95/46/EK irányelv értelmében a tagállamoknak rendelkezniük kell arról, hogy személyes adatok harmadik országba történő továbbítása csak akkor történhet meg, ha a szóban forgó harmadik ország megfelelő szintű védelmet biztosít, és ha az irányelv egyéb rendelkezéseit végrehajtó tagállami jogszabályoknak a továbbítást megelőzően eleget tettek

(2) A Bizottság megállapíthatja, hogy a harmadik ország megfelelő szintű védelmet biztosít. Ilyen esetben a személyes adatok a tagállamokból anélkül továbbíthatók, hogy további garanciákra lenne szükség.

(3) A 95/46/EK irányelv alapján az adatvédelem szintjét az adattovábbítási művelettel vagy adattovábbítási műveletsorozattal kapcsolatos körülmények fényében, valamint számos, az adattovábbítás szempontjából fontos és a 95/46/EK irányelv 25. cikke (2) bekezdésében felsorolt feltétel figyelembevételével kell értékelni.

(4) Tekintettel a harmadik országoknak az adatvédelem terén eltérő megközelítési módjára, a megfelelőség értékelését olyan módon kell elvégezni, valamint a 95/46/EK irányelv 25. cikkének (6) bekezdésén alapuló bármely határozatot oly módon kell végrehajtani, hogy az ne jelentsen önkényes vagy indokolatlan megkülönböztetést azon harmadik országokkal szemben vagy között, amelyekben hasonló feltételek állnak fent, és ne képezzenek rejtett kereskedelmi akadályt, tekintettel a Közösség jelenlegi nemzetközi kötelezettségeire is.

(5) A Guernsey-sziget brit koronafüggőségi terület (nem része sem az Egyesült Királyságnak, sem a gyarmatoknak) és teljes függetlenséget élvez a nemzetközi kapcsolatok és védelem kivételével, amelyek az Egyesült Királyság kormányának hatáskörébe tartoznak. Az irányelv értelmében Guernsey-szigetét ezért harmadik országnak kell tekinteni.

(6) 1987-es hatállyal az Európa Tanács az egyéneknek a személyes adatok gépi feldolgozása során való védelméről szóló egyezményének (108. számú egyezmény) Egyesült Királyság általi ratifikálását kiterjesztették Guernseyre.

(7) Guernsey-sziget személyes adatok védelmére vonatkozó jogi normái a 95/46/EK irányelven alapulnak és a 2001-es adatvédelmi törvényben (Bailiwick of Guernsey) vannak lefektetve, amely 2002. augusztus 1-én lépett hatályba.

(8) Ezen kívül Guernseyben 2002-ben tizenhat jogi aktust (rendeletet) fogadtak el, amelyekben olyan különleges kérdéseket szabályoznak, mint pl. az érintetteknek az adataikhoz való hozzáférése, különleges adatok feldolgozása, és az adatvédelmi hatóság értesítése. Ezek a jogi eszközök kiegészítik a törvényt.

(9) A Guernseyben hatályos jogi normák minden olyan alapelvet tartalmaznak, melyek a természetes személyek megfelelő védelméhez szükségesek. E normák alkalmazását jogorvoslaton és olyan hatóságok által végzett független ellenőrzésen keresztül biztosítják, mint pl. adatvédelmi biztos, aki vizsgálati és beavatkozási hatáskörrel van felruházva.

(10) Ezért Guernseyt úgy kell tekinteni, mint amely a 95/46/EK irányelv alapján a személyes adatok megfelelő védelmét biztosítja.

(11) Az átláthatóság és annak érdekében, hogy a tagállamok illetékes hatóságai képesek legyenek a személyes adatok feldolgozása során a személyek védelmének biztosítására – a megfelelő védelem megállapításának sérelme nélkül – meg kell határozni azokat a különleges körülményeket, amelyek mellett bizonyos adatáramlás felfüggeszthető.

(12) E határozatban előírt intézkedések összhangban állnak a 95/46/EK irányelv 31. cikke (1) bekezdése alapján felállított bizottság véleményével,

ELFOGADTA EZT A HATÁROZATOT:

1. cikk

A 95/46/EK irányelv 25. cikkének (2) bekezdése alkalmazásában Guernsey-szigetét úgy kell tekinteni, mint amely a Közösségből továbbított személyes adatok szempontjából megfelelő szintű védelmet biztosít.

2. cikk

Ez a határozat csak abban a tekintetben vonatkozik a Guernseyben biztosított védelem megfelelő szintjére, hogy az megfelel-e a 95/46/EK irányelv 25. cikke (1) bekezdése követelményeinek, és nem érinti az említett irányelv egyéb rendelkezéseit végrehajtó olyan egyéb feltételeket vagy korlátozásokat, amelyek a tagállamokon belüli személyesadat-feldolgozással kapcsolatosak.

3. cikk

(1) A tagállamok illetékes hatóságai – a 95/46/EK irányelv 25. cikkétől eltérő rendelkezések alapján elfogadott nemzeti rendelkezések teljesítését szolgáló intézkedések megtételére vonatkozó hatásköreik sérelme nélkül – jelenleg is meglévő hatásköreiket gyakorolhatják a guernseyi címzettek felé irányuló adatáramlás felfüggesztésére annak érdekében, hogy biztosítsák az egyének védelmét személyes adataik feldolgozása tekintetében olyan esetekben, amikor:

a) a hatáskörrel rendelkező guernseyi hatóság megállapította, hogy a címzett megszegi az adatvédelem alkalmazandó normáit; vagy

b) nagy a valószínűsége annak, hogy az adatvédelemre vonatkozó normákat megsértik; alapos okkal feltételezhető, hogy a hatáskörrel rendelkező Guernseyi hatóság nem teszi meg vagy nem fogja megtenni a megfelelő és kellő időben történő lépéseket az adott eset rendezésére; fennáll a fenyegető veszélye annak, hogy a folytatódó adattovábbítás az érintettek érdekeinek komoly sérelmét okozná, és a tagállam illetékes hatóságai a körülményekhez képest jelentős erőfeszítéseket tettek, hogy az adatfeldolgozásért felelős, Guernseyben letelepedett felet értesítsék, és részére biztosítsák a válaszadás lehetőségét.

(2) A felfüggesztést meg kell szüntetni, amint az adatvédelemi normák biztosítottá válnak, és arról értesíteni kell a Közösség érintett, hatáskörrel rendelkező hatóságát.

4. cikk

(1) A tagállamok haladéktalanul tájékoztatják a Bizottságot, ha a 3. cikk alapján intézkedéseket fogadnak el.

(2) A tagállamok és a Bizottság egymást is tájékoztatják azokról az esetekről, amikor az adatvédelmi normák teljesítésének biztosításáért felelős guernseyi szerveknek a normák teljesülését nem sikerül biztosítaniuk.

(3) Ha a 3. cikk, valamint e cikk (1) és (2) bekezdése alapján gyűjtött adatok bizonyítékot szolgáltatnak arra nézve, hogy adatvédelmi normák teljesülésének biztosításáért felelős, bármely guernseyi szerv nem tölti be hatékonyan e szerepét, a Bizottság tájékoztatja az hatáskörrel rendelkező guernseyi hatóságot, és amennyiben szükséges, a 95/46/EK irányelv 31. cikkének (2) bekezdésében említett eljárással összhangban, e határozat hatályon kívül helyezése vagy felfüggesztése, illetve hatályának korlátozása céljából intézkedés-tervezetet nyújt be.

5. cikk

A Bizottság ellenőrzi ennek a határozatnak a működését, és tájékoztatja a 95/46/EK irányelv 31. cikke alapján létrehozott bizottságot minden vonatkozó megállapításról, beleértve bármilyen olyan tényt, amely hatással lehet az e határozat 1. cikkének azon megállapítására, hogy a 95/46/EK irányelv 25. cikke értelmében Guernseyben az adatvédelem szintje megfelelő, illetve bármely olyan tényt, amely azt bizonyítja, hogy ezt a határozatot megkülönböztető módon hajtják végre.

6. cikk

A tagállamok megtesznek minden szükséges intézkedést ahhoz, hogy ennek a határozatnak legkésőbb annak a tagállamokkal való közlése időpontjától számított 4 hónapon belül megfeleljenek.

7. cikk

Ennek a határozatnak a tagállamok a címzettjei.

Kelt Brüsszelben, 2003. november 21-én.

a Bizottság részéről

Frederik Bolkestein

a Bizottság tagja

[1] HL L 281., 1995.11.23., 31. o.

[2] A munkacsoport által a személyes adatok Guernseyben biztosított védelmének szintjéről szóló, 2003- június 13-án elfogadott 5/2003 vélemény, hozzáférhető: http://europa.eu.int/comm/internal_market/ privacy/workingroup/ wp2003/wpdocs03_en.htm

--------------------------------------------------