(notyfikowana jako dokument nr C(2008) 1746)(Tekst mający znaczenie dla EOG)
(2008/393/WE)
(Dz.U.UE L z dnia 28 maja 2008 r.)
KOMISJA WSPÓLNOT EUROPEJSKICH,
uwzględniając Traktat ustanawiający Wspólnotę Europejską,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych 1 , w szczególności jej art. 25 ust. 6,
po konsultacji z Grupą Roboczą ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych 2 ,
a także mając na uwadze, co następuje:
(1) Na mocy dyrektywy 95/46/WE państwa członkowskie są zobowiązane zapewnić, by przekazanie danych osobowych do państwa trzeciego miało miejsce tylko wtedy, gdy dany kraj trzeci zapewni właściwy poziom ochrony i gdy przed przekazaniem dopełni się wymogów zawartych w przepisach państw członkowskich wdrażających pozostałe przepisy dyrektywy.
(2) Komisja może stwierdzić, że kraj trzeci gwarantuje właściwy poziom ochrony. W takim przypadku dane osobowe można przekazywać z państw członkowskich bez konieczności zapewniania dodatkowych gwarancji.
(3) Na mocy dyrektywy 95/46/WE poziom ochrony danych osobowych powinien być oceniany w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zestawu takich operacji, ze szczególnym uwzględnieniem szeregu elementów mających znaczenie przy transferze, wyszczególnionych w art. 25 ust. 2 dyrektywy.
(4) Uwzględniając różne podejście do ochrony danych osobowych w krajach trzecich, należy przeprowadzać ocenę adekwatności ochrony, a każda decyzja na podstawie art. 25 ust. 6 dyrektywy 95/46/WE powinna być wydawana i wykonywana w sposób, który arbitralnie lub w sposób nieusprawiedliwiony nie prowadzi do dyskryminacji państw trzecich lub dyskryminacji między państwami trzecimi, w których występują podobne warunki, ani nie stwarza ukrytych barier handlowych, biorąc pod uwagę obecne zobowiązania międzynarodowe Wspólnoty.
(5) Baliwat Jersey jest jednym z terytoriów zależnych od korony brytyjskiej (nie będąc ani częścią Zjednoczonego Królestwa, ani kolonią), który cieszy się pełną niezależnością, z wyjątkiem stosunków międzynarodowych i obrony, za które odpowiada rząd Zjednoczonego Królestwa. Baliwat Jersey powinien zatem zostać uznany za kraj trzeci w rozumieniu dyrektywy 95/46/WE.
(6) Z mocą odpowiednio od 1951 r. i 1987 r. ratyfikacja przez Zjednoczone Królestwo Europejskiej konwencji praw człowieka oraz konwencji Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (konwencja nr 108) została rozszerzona na Baliwat Jersey.
(7) W odniesieniu do Baliwatu Jersey normy prawne dotyczące ochrony danych osobowych, oparte w dużym stopniu na normach określonych w dyrektywie 95/46/WE, zostały określone w ustawie Data Protection (Jersey) Law z 1987 r., która weszła w życie w dniu 11 listopada 1987 r., oraz w dwóch ustawach uzupełniających: Data Protection (Amendment) (Jersey) Law z 2005 r. i Data Protection (Jersey) Law 2005 (Appointed Day) Act z 2005 r.
(8) W 2005 r. przyjęto także ustawodawstwo wtórne na podstawie ustawy Data Protection (Jersey) Law, ustanawiające szczególne zasady dotyczące takich spraw, jak dostęp podmiotu danych do własnych danych, przetwarzanie danych szczególnie chronionych i zawiadamianie organów ochrony danych 3 .
(9) Standardy prawne obowiązujące na Jersey obejmują wszystkie podstawowe zasady niezbędne do zapewnienia odpowiedniego poziomu ochrony osób fizycznych. Stosowanie tych norm zapewnione jest przez sądowe środki odwoławcze i przez niezależny nadzór prowadzony przez właściwy organ - urząd Inspektora Ochrony Danych Osobowych, posiadający kompetencje w zakresie przeprowadzania dochodzenia i podejmowania działań interwencyjnych.
(10) Powinno się zatem uznać, że Jersey zapewnia odpowiedni poziom ochrony danych osobowych określony w dyrektywie 95/46/WE.
(11) W interesie przejrzystości i do celów zabezpieczenia zdolności właściwych organów w państwach członkowskich do zagwarantowania osobom fizycznym ochrony w zakresie przetwarzania ich danych osobowych konieczne jest określenie w niniejszej decyzji wyjątkowych okoliczności, w których uzasadnione może być zawieszenie przepływu określonych danych, niezależnie od uznania poziomu ochrony za właściwy.
(12) Środki przewidziane w niniejszej decyzji są zgodne z opinią komitetu ustanowionego na podstawie art. 31 ust. 1 dyrektywy 95/46/WE,
PRZYJMUJE NINIEJSZĄ DECYZJĘ: