|
28.5.2008 |
NL |
Publicatieblad van de Europese Unie |
L 138/21 |
BESCHIKKING VAN DE COMMISSIE
van 8 mei 2008
overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad, over de passende bescherming van persoonsgegevens op Jersey
(Kennisgeving geschied onder nummer C(2008) 1746)
(Voor de EER relevante tekst)
(2008/393/EG)
DE COMMISSIE VAN DE EUROPESE GEMEENSCHAPPEN,
Gelet op het Verdrag tot oprichting van de Europese Gemeenschap,
Gelet op Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1), en met name op artikel 25, lid 6,
Na raadpleging van de Groep betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens (2),
Overwegende hetgeen volgt:
|
(1) |
Overeenkomstig Richtlijn 95/46/EG moeten de lidstaten bepalen dat persoonsgegevens slechts naar een derde land mogen worden doorgegeven indien dat land een passend beschermingsniveau waarborgt en de wetgeving van de lidstaat die is vastgesteld ter uitvoering van de andere bepalingen van deze richtlijn al vóór de doorgifte wordt nageleefd. |
|
(2) |
De Commissie kan vaststellen dat een derde land waarborgen voor een passend beschermingsniveau biedt. In dat geval kunnen persoonsgegevens zonder aanvullende garanties door de lidstaten worden doorgegeven. |
|
(3) |
Overeenkomstig Richtlijn 95/46/EG dient het gegevensbeschermingsniveau te worden beoordeeld met inachtneming van alle omstandigheden waarin een gegevensdoorgifte of een categorie gegevensdoorgiften plaatsvindt en wordt in het bijzonder rekening gehouden met een aantal elementen die van belang zijn voor de doorgifte en in artikel 25, lid 2, van de richtlijn zijn opgenomen. |
|
(4) |
Gezien de verschillende benaderingen van gegevensbescherming in derde landen moeten de beoordeling van de gepastheid en besluiten op grond van artikel 25, lid 6, van Richtlijn 95/46/EG worden uitgevoerd op een wijze die geen willekeurige of onverantwoorde discriminatie tegen of tussen derde landen waar gelijksoortige voorwaarden gelden, noch een verkapte handelsbelemmering vormt, rekening houdend met de huidige internationale verbintenissen van de Gemeenschap. |
|
(5) |
Het Bailiwick of Jersey is een van de gebieden die direct onder de Britse kroon vallen (die geen deel uitmaken van het Verenigd Koninkrijk noch een kolonie vormen) en is volledig onafhankelijk, behalve voor internationale betrekkingen en defensie, waarvoor de regering van het Verenigd Koninkrijk verantwoordelijk is. Het Bailiwick of Jersey moet derhalve als derde land worden beschouwd in de zin van de richtlijn. |
|
(6) |
Met ingang van 1951, respectievelijk 1987, is de ratificatie door het Verenigd Koninkrijk van het Europees Verdrag tot bescherming van de rechten van de mens en het Verdrag van de Raad van Europa tot bescherming van personen ter zake van de automatische verwerking van persoonsgegevens (Verdrag nr. 108) uitgebreid tot het Bailiwick of Jersey. |
|
(7) |
Wat het Bailiwick of Jersey betreft, zijn de wettelijke normen betreffende de bescherming van persoonsgegevens, in grote mate gebaseerd op de normen die in Richtlijn 95/46/EG zijn opgenomen, vastgesteld in de op 11 november 1987 van kracht geworden Data Protection (Jersey) Law van 1987 en in twee aanvullende wetten, de Data Protection (Amendment) (Jersey) Law 2005 en de Data Protection (Jersey) Law 2005 (Appointed Day) Act 2005. |
|
(8) |
Uit hoofde van de Data Protection (Jersey) Law is in 2005 ook secundaire wetgeving vastgesteld met specifieke regels voor kwesties als de toegang voor de betrokkene, de verwerking van gevoelige gegevens en de kennisgeving aan de gegevensbeschermingsautoriteit (3). |
|
(9) |
De wettelijke normen die van toepassing zijn op Jersey hebben betrekking op alle basisbeginselen die noodzakelijk zijn voor een passend beschermingsniveau voor natuurlijke personen. De toepassing van deze normen wordt gewaarborgd door rechtsmiddelen en het onafhankelijke toezicht door de bevoegde autoriteit, de functionaris voor gegevensbescherming, die de bevoegdheid heeft om onderzoek te verrichten en in te grijpen. |
|
(10) |
Derhalve moet er van worden uitgegaan dat Jersey een passend beschermingsniveau biedt voor persoonsgegevens als bedoeld in Richtlijn 95/46/EG. |
|
(11) |
Ter wille van de doorzichtigheid en teneinde te garanderen dat de bevoegde autoriteiten in de lidstaten de personen wier persoonsgegevens worden verwerkt, kunnen beschermen, moet worden aangegeven in welke buitengewone omstandigheden het gerechtvaardigd is specifieke gegevensstromen op te schorten, ook al is een passend beschermingsniveau vastgesteld. |
|
(12) |
De in deze beschikking vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 31, lid 1, van Richtlijn 95/46/EG ingestelde comité, |
HEEFT DE VOLGENDE BESCHIKKING GEGEVEN:
Artikel 1
In de zin van artikel 25, lid 2, van Richtlijn 95/46/EG, wordt ervan uitgegaan dat het Bailiwick of Jersey een passend beschermingsniveau biedt voor persoonsgegevens die vanuit de Gemeenschap worden doorgegeven.
Artikel 2
Deze beschikking heeft betrekking op de gepastheid van de bescherming die op Jersey wordt geboden, teneinde aan de vereisten van artikel 25, lid 1, van Richtlijn 95/46/EG te voldoen, en laat andere voorwaarden of beperkingen tot uitvoering van andere bepalingen van die richtlijn die op de verwerking van persoonsgegevens in de lidstaten betrekking hebben, onverlet.
Artikel 3
1. Zonder afbreuk te doen aan hun bevoegdheden om maatregelen te nemen voor de naleving van nationale bepalingen die zijn goedgekeurd ingevolge andere bepalingen dan artikel 25 van Richtlijn 95/46/EG, kunnen de bevoegde autoriteiten in de lidstaten gebruikmaken van hun bestaande bevoegdheden om gegevensstromen naar een ontvanger op Jersey te onderbreken, teneinde personen ten aanzien van de verwerking van hun persoonsgegevens te beschermen in de gevallen waarin:
|
a) |
een bevoegde autoriteit op Jersey tot de conclusie is gekomen dat de ontvanger in strijd met de toepasselijke normen voor gegevensbescherming handelt, of |
|
b) |
het zeer waarschijnlijk is dat niet aan de normen voor gegevensbescherming wordt voldaan, er goede redenen zijn om aan te nemen dat de bevoegde autoriteit op Jersey niet tijdig passende maatregelen neemt of zal nemen om het desbetreffende probleem op te lossen, de voortzetting van de doorgifte een dreigend gevaar voor ernstige schade aan de betrokkene inhoudt en de bevoegde autoriteiten in de lidstaat voldoende inspanningen in deze situatie hebben geleverd om de op Jersey gevestigde organisatie die voor de verwerking verantwoordelijk is in kennis te stellen en de gelegenheid te geven te reageren. |
2. De opschortende maatregel blijft van kracht tot vaststaat dat de beschermingsnormen worden nageleefd en de bevoegde autoriteit van de betrokken lidstaat of lidstaten hiervan in kennis is gesteld.
Artikel 4
1. De lidstaten stellen de Commissie onverwijld in kennis wanneer op grond van artikel 3 maatregelen worden genomen.
2. De lidstaten en de Commissie brengen elkaar op de hoogte van de gevallen waarin de instanties die op Jersey verantwoordelijk zijn voor de naleving van de beschermingsnormen niet in staat zijn deze naleving te garanderen.
3. Wanneer uit de overeenkomstig artikel 3 en de leden 1 en 2 van dit artikel verzamelde informatie mocht blijken dat een instantie die verantwoordelijk is voor de naleving van de beschermingsnormen op Jersey haar taak niet naar behoren vervult, stelt de Commissie de bevoegde autoriteit op Jersey hiervan in kennis en stelt zij zo nodig, in overeenstemming met de in artikel 31, lid 2, van Richtlijn 95/46/EG vastgestelde procedure, ontwerpmaatregelen voor om deze beschikking in te trekken of op te schorten dan wel de werkingssfeer ervan te beperken.
Artikel 5
De Commissie evalueert de werking van deze beschikking en deelt alle relevante vaststellingen aan het bij artikel 31 van Richtlijn 95/46/EG ingestelde comité mee, inclusief alle gegevens die van invloed kunnen zijn op de overeenkomstig artikel 1 van deze beschikking gedane vaststelling dat het beschermingsniveau op Jersey passend is in de zin van artikel 25 van Richtlijn 95/46/EG, alsmede alle gegevens waaruit blijkt dat deze beschikking op discriminerende wijze wordt uitgevoerd.
Artikel 6
De lidstaten nemen alle noodzakelijke maatregelen om binnen vier maanden na kennisgeving ervan aan deze beschikking te voldoen.
Artikel 7
Deze beschikking is gericht tot de lidstaten.
Gedaan te Brussel, 8 mei 2008.
Voor de Commissie
Jacques BARROT
Vicevoorzitter
(1) PB L 281 van 23.11.1995, blz. 31. Richtlijn gewijzigd bij Verordening (EG) nr. 1882/2003 (PB L 284 van 31.10.2003, blz. 1).
(2) Advies 8/2007 over het niveau van de persoonsgegevensbescherming op Jersey, goedgekeurd door de Groep op 9 oktober 2007; zie http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2007_en.htm
(3) Het gaat om de Data Protection (Corporate Finance Exemption) (Jersey) Regulations 2005, de Data Protection (Credit Reference Agency) (Jersey) Regulations 2005, de Data Protection (Fair Processing) (Jersey) Regulations 2005, de Data Protection (International Co-operation) (Jersey) Regulations 2005, de Data Protection (Notification) (Jersey) Regulations 2005, de Data Protection (Sensitive Personal Data) (Jersey) Regulations 2005, de Data Protection (Subject Access Exemptions) (Jersey) Regulations 2005, de Data Protection (Subject Access Miscellaneous) (Jersey) Regulations 2005, de Data Protection (Subject Access Modification — Education) (Jersey) Regulations 2005, de Data Protection (Subject Access Modification — Health) (Jersey) Regulations 2005, de Data Protection (Subject Access Modification — Social Work) (Jersey) Regulations 2005, en de Data Protection (Transfer in Substantial Public Interest) (Jersey) Regulations 2005.