|
28.5.2008 |
SV |
Europeiska unionens officiella tidning |
L 138/21 |
KOMMISSIONENS BESLUT
av den 8 maj 2008
i enlighet med Europaparlamentets och rådets direktiv 95/46/EG om adekvat skydd för personuppgifter på Jersey
[delgivet med nr K(2008) 1746]
(Text av betydelse för EES)
(2008/393/EG)
EUROPEISKA GEMENSKAPERNAS KOMMISSION HAR ANTAGIT DETTA BESLUT
med beaktande av fördraget om upprättandet av Europeiska gemenskapen,
med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (1), särskilt artikel 25.6,
efter samråd med arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter (2), och
av följande skäl:
|
(1) |
Enligt direktiv 95/46/EG ska medlemsstaterna föreskriva att överföring av personuppgifter till ett tredjeland endast får ske om ifrågavarande land säkerställer en adekvat skyddsnivå och om de av medlemsstatens lagar, genom vilka andra bestämmelser i direktivet genomförs, efterlevs före överföringen. |
|
(2) |
Kommissionen kan konstatera om ett tredjeland har en adekvat skyddsnivå. I sådana fall får personuppgifter överföras från medlemsstaterna utan att några ytterligare garantier krävs. |
|
(3) |
Enligt direktiv 95/46/EG ska bedömningen av om skyddsnivån i ett tredjeland är adekvat ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter, varvid vissa för överföringen relevanta aspekter vilka anges i artikel 25.2 i direktivet särskilt ska beaktas. |
|
(4) |
Då sättet att se på frågan om uppgiftsskydd varierar mellan olika tredjeländer bör bedömningen av om skyddsnivån är adekvat ske, och beslut som grundar sig på artikel 25.6 i direktiv 95/46/EG fattas och verkställas, utan godtycklig eller obefogad diskriminering i förhållande till tredjeland eller mellan de tredjeländer där liknande förhållanden råder samt på ett sätt som säkerställer att det inte uppstår några dolda handelshinder, varvid hänsyn bör tas till gemenskapens nuvarande internationella åtaganden. |
|
(5) |
Bailiwick of Jersey lyder direkt under den brittiska kronan (ingår inte i Förenade kungariket och är inte heller en koloni) och är ett självstyrande område, utom vad gäller utrikespolitiska frågor och försvarsfrågor som faller under den brittiska regeringens ansvar. Bailiwick of Jersey bör därför anses som ett tredjeland i den mening som avses i direktiv 95/46/EG. |
|
(6) |
Under 1951 respektive 1987 utsträcktes Förenade kungarikets ratificering av europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna och Europarådets konvention om skydd av individer med avseende på automatisk behandling av personuppgifter (konvention nr 108) till att omfatta Bailiwick of Jersey. |
|
(7) |
De regler för skydd av personuppgifter som grundas på direktiv 95/46/EG har huvudsakligen fastställts i den dataskyddslag (Jersey) från 1987, som trädde i kraft den 11 november 1987 och två kompletterande lagar, Data Protection (Amendment) (Jersey) Law 2005, och Data Protection (Jersey) Law 2005 (Appointed Day) Act 2005. |
|
(8) |
Sekundärlagstiftning har också antagits under dataskyddslagen (Jersey) från 2005, och reglerar särskilda frågor som den registrerades tillgång till uppgifterna, behandling av känsliga uppgifter och meddelanden till dataskyddsmyndigheten (3). |
|
(9) |
Tillämplig rätt på Jersey omfattar alla de grundläggande principer som krävs för att kunna konstatera om det finns ett adekvat skydd för fysiska personer. Rättstillämpningen säkerställs genom rättsliga medel och oberoende tillsyn av myndigheterna, t.ex. den dataskyddskommissionär som har befogenhet att utreda och ingripa. |
|
(10) |
Jersey bör därför anses tillhandahålla ett adekvat skydd för personuppgifter enligt direktiv 95/46/EG. |
|
(11) |
För att värna om öppenhet och möjligheten för behöriga myndigheter i medlemsstaterna att säkerställa skydd för enskilda med avseende på behandlingen av deras personuppgifter, erfordras att det närmare anges under vilka särskilda omständigheter som det kan vara motiverat att tills vidare avbryta vissa uppgiftsöverföringar, oavsett om skyddsnivån befunnits vara adekvat. |
|
(12) |
De åtgärder som föreskrivs i detta beslut är förenliga med yttrandet från den kommitté som inrättats enligt artikel 31.1 i direktiv 95/46/EG. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
För tillämpningen av artikel 25.2 i direktiv 95/46/EG ska Bailiwick of Jersey anses erbjuda en adekvat skyddsnivå för de personuppgifter som överförs från Europeiska gemenskapen.
Artikel 2
Detta beslut avser den skyddsnivå som garanteras på Jersey i fråga om uppfyllande av kraven i artikel 25.1 i direktiv 95/46/EG och påverkar inte andra villkor och begränsningar varigenom övriga bestämmelser i direktivet genomförs med avseende på behandlingen av personuppgifter i medlemsstaterna.
Artikel 3
1. Behöriga myndigheter i medlemsstaterna får, utan att det påverkar deras befogenheter att vidta åtgärder för att säkerställa efterlevnaden av de nationella bestämmelser som antagits enligt andra bestämmelser än artikel 25 i direktiv 95/46/EG, utöva sina gällande befogenheter att tills vidare avbryta uppgiftsöverföringar till en mottagare på Jersey i syfte att skydda enskilda med avseende på behandlingen av deras personuppgifter om
|
a) |
en behörig myndighet på Jersey fastställt att mottagaren bryter mot tillämpliga skyddsregler eller |
|
b) |
sannolikheten är stor att skyddsreglerna inte efterlevs, det finns rimliga skäl att anta att behöriga myndigheter på Jersey inte vidtar eller kommer att vidta adekvata åtgärder i tid för att avgöra ärendet, fortsatt överföring skulle innebära en överhängande risk för att de registrerade lider allvarlig skada och de behöriga myndigheterna i medlemsstaten under dessa omständigheter har vidtagit rimliga åtgärder för att underrätta den instans på Jersey som ansvarar för behandlingen om detta och givit denna tillfälle att yttra sig. |
2. Överföringen ska återupptas så snart skyddsreglerna efterlevs och de behöriga myndigheterna i den berörda medlemsstaten har underrättats om detta.
Artikel 4
1. Medlemsstaterna ska utan dröjsmål underrätta kommissionen om de åtgärder som vidtagits med stöd av artikel 3.
2. Medlemsstaterna och kommissionen ska underrätta varandra om fall där de åtgärder som vidtas av organ med ansvar för efterlevnaden av skyddsreglerna på Jersey leder till att reglerna inte efterlevs.
3. Om den information som insamlats enligt artikel 3 och punkterna 1 och 2 i denna artikel visar att någon av de myndigheter som ansvarar för att principerna genomförs i överensstämmelse med skyddsnormerna på Jersey inte fullgör denna uppgift på ett effektivt sätt, ska kommissionen underrätta behöriga myndigheter på Jersey om detta och vid behov framlägga förslag till bestämmelser i enlighet med det förfarande som föreskrivs i artikel 31.2 i direktiv 95/46/EG i syfte att upphäva eller tills vidare avbryta tillämpningen av detta beslut eller begränsa dess tillämpningsområde.
Artikel 5
Kommissionen ska övervaka tillämpningen av detta beslut och rapportera alla relevanta slutsatser till den kommitté som inrättats enligt artikel 31 i direktiv 95/46/EG, vilket även inbegriper alla omständigheter som skulle kunna påverka konstaterandet i artikel 1 i detta beslut att det skydd som ges på Jersey är adekvat i den mening som avses i artikel 25 i direktiv 95/46/EG, och alla omständigheter som visar att detta beslut tillämpas på ett diskriminerande sätt.
Artikel 6
Medlemsstaterna ska vidta alla erforderliga åtgärder för att efterkomma detta beslut senast fyra månader efter det att beslutet har meddelats.
Artikel 7
Detta beslut riktar sig till medlemsstaterna.
Utfärdad i Bryssel den 8 maj 2008.
På kommissionens vägnar
Jacques BARROT
Vice ordförande
(1) EGT L 281, 23.11.1995, s. 31. Direktivet ändrat genom förordning (EG) nr 1882/2003 (EUT L 284, 31.10.2003, s. 1).
(2) Yttrande nr 8/2007 om skyddsnivån för personuppgifter på Jersey, antaget den 9 oktober 2007, tillgängligt på följande webbplats: http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2007_en.htm
(3) Dessa är följande: Data Protection (Corporate Finance Exemption) (Jersey) Regulations 2005; Data Protection (Credit Reference Agency) (Jersey) Regulations 2005; Data Protection (Fair Processing) (Jersey) Regulations 2005; Data Protection (International Co-operation) (Jersey) Regulations 2005; Data Protection (Notification) (Jersey) Regulations 2005; Data Protection (Sensitive Personal Data) (Jersey) Regulations 2005; Data Protection (Subject Access Exemptions) (Jersey) Regulations 2005; Data Protection (Subject Access Miscellaneous) (Jersey) Regulations 2005; Data Protection (Subject Access Modification – Education) (Jersey) Regulations 2005; Data Protection (Subject Access Modification – Health) (Jersey) Regulations 2005; Data Protection (Subject Access Modification – Social Work) (Jersey) Regulations 2005; och Data Protection (Transfer in Substantial Public Interest) (Jersey) Regulations 2005.