|
28.5.2008 |
FI |
Euroopan unionin virallinen lehti |
L 138/21 |
KOMISSION PÄÄTÖS,
tehty 8 päivänä toukokuuta 2008,
Euroopan parlamentin ja neuvoston direktiivin 95/46/EY nojalla henkilötietojen riittävästä suojasta Jerseyssä
(tiedoksiannettu numerolla K(2008) 1746)
(ETA:n kannalta merkityksellinen teksti)
(2008/393/EY)
EUROOPAN YHTEISÖJEN KOMISSIO, joka
ottaa huomioon Euroopan yhteisön perustamissopimuksen,
ottaa huomioon yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (1) ja erityisesti sen 25 artiklan 6 kohdan,
on kuullut yksilöiden suojelua henkilötietojen käsittelyssä tutkivaa työryhmää (2),
sekä katsoo seuraavaa:
|
(1) |
Direktiivin 95/46/EY mukaan jäsenvaltioiden on säädettävä siitä, että henkilötietoja voidaan siirtää kolmanteen maahan vain, jos kyseisessä kolmannessa maassa turvataan tietosuojan riittävä taso ja jos direktiivin muiden säännösten täytäntöönpanemiseksi annettuja jäsenvaltioiden lakeja noudatetaan ennen tietojen siirtämistä. |
|
(2) |
Komissio voi todeta, että kolmas maa turvaa tietosuojan riittävän tason. Henkilötietoja voidaan tässä tapauksessa siirtää jäsenvaltioista ilman lisätakeita. |
|
(3) |
Direktiivin 95/46/EY mukaisesti tietosuojan taso olisi arvioitava kaikkien tiettyyn siirtoon tai siirtojen ryhmään liittyvien olosuhteiden osalta ja ottaen erityisesti huomioon eräät siirron kannalta olennaiset direktiivin 25 artiklan 2 kohdassa luetellut tekijät. |
|
(4) |
Koska kolmannet maat suhtautuvat eri tavoin tietosuojaan, tietosuojan riittävyyden arviointi olisi suoritettava ja kaikki direktiivin 95/46/EY 25 artiklan 6 kohtaan perustuvat päätökset olisi tehtävä ja pantava täytäntöön tavalla, joka ei syrji mielivaltaisesti tai epäoikeudenmukaisesti mitään kolmatta maata eikä tee eroa niiden välillä, jos niissä vallitsevat samanlaiset olosuhteet, eikä muodosta peiteltyä kaupan estettä, kun otetaan huomioon yhteisön nykyiset kansainväliset sitoumukset. |
|
(5) |
Jersey (Bailiwick of Jersey) on Yhdistyneen kuningaskunnan kruunun alaisuuteen kuuluva alue (se ei ole osa Yhdistynyttä kuningaskuntaa eikä liioin siirtomaa), joka nauttii täyttä itsenäisyyttä lukuun ottamatta kansainvälisiä suhteita ja puolustusta, jotka ovat Yhdistyneen kuningaskunnan hallituksen vastuulla. Tämän vuoksi Jerseytä on syytä pitää direktiivissä 95/46/EY tarkoitettuna kolmantena maana. |
|
(6) |
Yhdistyneen kuningaskunnan ratifiointi on ulotettu koskemaan Jerseytä Euroopan ihmisoikeussopimuksen osalta vuodesta 1951 ja yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn Euroopan neuvoston yleissopimuksen (Yleissopimus n:o 108) osalta vuodesta 1987. |
|
(7) |
Jerseyssä lähinnä direktiivin 95/46/EY vaatimuksiin perustuvat henkilötietojen suojaa koskevat oikeusnormit sisältyvät vuoden 1987 tietosuojalakiin (Data Protection (Jersey) Law), joka tuli voimaan 11 päivänä marraskuuta 1987, sekä kahteen sitä täydentävään lakiin (Data Protection (Amendment) (Jersey) Law 2005 ja Data Protection (Jersey) Law 2005 (Appointed Day) Act 2005). |
|
(8) |
Tietosuojalain (Data Protection (Jersey) Law) soveltamiseksi on vuonna 2005 annettu lisäksi johdetun oikeuden säännöksiä, joissa vahvistetaan muun muassa tietojen saantia, arkaluonteisten tietojen käsittelyä ja tietosuojaviranomaiselle ilmoittamista koskevat säännöt. (3) |
|
(9) |
Jerseyssä sovellettaviin oikeusnormeihin sisältyvät kaikki perusperiaatteet, joita luonnollisten henkilöiden suojelun riittävä taso edellyttää. Normien soveltaminen taataan muutoksenhakukeinoin ja riippumattomalla valvonnalla, jota suorittaa asioiden tutkimisen ja niihin puuttumisen suhteen toimivaltainen viranomainen, tietosuojavaltuutettu. |
|
(10) |
Näin ollen on katsottava, että Jersey tarjoaa direktiivissä 95/46/EY tarkoitetun henkilötietojen suojan riittävän tason. |
|
(11) |
Avoimuuden lisäämiseksi sekä sen varmistamiseksi, että jäsenvaltioiden toimivaltaiset viranomaiset pystyvät takaamaan yksilöiden tietosuojan heidän henkilötietojaan käsiteltäessä, on tarpeen tarkentaa, minkälaisissa poikkeusolosuhteissa tiettyjen tiedonsiirtojen keskeyttäminen voi olla perusteltua siitä huolimatta, että tietosuojan taso on todettu riittäväksi. |
|
(12) |
Tässä päätöksessä säädetyt toimenpiteet ovat direktiivin 95/46/EY 31 artiklan 1 kohdassa perustetun komitean lausunnon mukaiset, |
ON TEHNYT TÄMÄN PÄÄTÖKSEN:
1 artikla
Jerseyn katsotaan tarjoavan direktiivin 95/46/EY 25 artiklan 2 kohdassa tarkoitetun riittäväntasoisen suojan yhteisöstä siirrettäville henkilötiedoille.
2 artikla
Tämä päätös koskee Jerseyssä tarjotun tietosuojan riittävyyttä direktiivin 95/46/EY 25 artiklan 1 kohdan vaatimusten täyttymisen kannalta, eikä se vaikuta muihin edellytyksiin tai rajoituksiin, joilla pannaan täytäntöön direktiivin muita säännöksiä, jotka koskevat henkilötietojen käsittelyä jäsenvaltioissa.
3 artikla
1. Rajoittamatta jäsenvaltioiden toimivaltaisten viranomaisten valtuuksia toteuttaa toimenpiteitä varmistaakseen, että muiden säännösten kuin direktiivin 95/46/EY 25 artiklan nojalla annettuja kansallisia säännöksiä noudatetaan, kyseiset viranomaiset voivat käyttää nykyisiä toimivaltuuksiaan keskeyttääkseen Jerseyssä olevalle vastaanottajalle kohdistetun tietojen siirron suojellakseen yksityishenkilöitä näiden henkilötietoja käsiteltäessä seuraavissa tapauksissa:
|
a) |
toimivaltainen Jerseyn viranomainen on todennut, ettei vastaanottaja noudata sovellettavia tietosuojavaatimuksia; tai |
|
b) |
on hyvin todennäköistä, ettei tietosuojavaatimuksia noudateta, ja on perusteltua olettaa, ettei toimivaltainen Jerseyn viranomainen parhaillaan eikä jatkossa toteuta toimenpiteitä asian ratkaisemiseksi, tiedonsiirron jatkaminen aiheuttaisi välittömän vakavan vaaran rekisteröidyille ja jäsenvaltion toimivaltaiset viranomaiset ovat olosuhteisiin nähden kohtuullisessa määrin pyrkineet ilmoittamaan asiasta Jerseyyn sijoittuneelle tietojenkäsittelystä vastaavalle osapuolelle ja antamaan tälle tilaisuuden vastata. |
2. Keskeytys lakkaa heti kun tietosuojavaatimusten noudattaminen on varmistettu ja tästä on ilmoitettu asianomaisten jäsenvaltioiden toimivaltaiselle viranomaiselle.
4 artikla
1. Jäsenvaltiot ilmoittavat viipymättä komissiolle 3 artiklan nojalla toteutetuista toimenpiteistä.
2. Jäsenvaltiot ja komissio tiedottavat toisilleen tapauksista, joissa tietosuojavaatimusten noudattamisesta Jerseyssä vastaavat elimet eivät pysty varmistamaan niiden noudattamista.
3. Jos 3 artiklan ja tämän artiklan 1 ja 2 kohdan nojalla saadut tiedot osoittavat, että jokin tietosuojavaatimusten noudattamisesta Jerseyssä vastaava elin ei tosiasiallisesti hoida tehtäväänsä, komissio tiedottaa asiasta Jerseyn toimivaltaiselle viranomaiselle ja tarvittaessa esittää direktiivin 95/46/EY 31 artiklan 2 kohdassa tarkoitetun menettelyn mukaisesti ehdotuksia toimenpiteistä, joiden tarkoituksena on peruuttaa tämä päätös tai keskeyttää sen soveltaminen tai rajoittaa sen soveltamisalaa.
5 artikla
Komissio seuraa tämän päätöksen soveltamista ja ilmoittaa direktiivin 95/46/EY 31 artiklan nojalla perustetulle komitealle kaikki asiaankuuluvat huomiot, mukaan luettuina kaikki seikat, jotka voivat vaikuttaa tämän päätöksen 1 artiklassa esitettyyn arvioon, jonka mukaan Jersey tarjoaa direktiivin 95/46/EY 25 artiklassa tarkoitetun riittäväntasoisen tietosuojan, sekä mahdolliset todisteet päätöksen syrjivästä soveltamisesta.
6 artikla
Jäsenvaltioiden on toteutettava kaikki tämän päätöksen noudattamisen edellyttämät toimenpiteet neljän kuukauden kuluessa siitä, kun päätös on annettu tiedoksi.
7 artikla
Tämä päätös on osoitettu kaikille jäsenvaltioille.
Tehty Brysselissä 8 päivänä toukokuuta 2008.
Komission puolesta
Jacques BARROT
Varapuheenjohtaja
(1) EYVL L 281, 23.11.1995, s. 31, direktiivi sellaisena kuin se on muutettuna asetuksella (EY) N:o 1882/2003 (EUVL L 284, 31.10.2003, s. 1).
(2) Tietosuojatyöryhmän 9 päivänä lokakuuta 2007 antama lausunto 8/2007 henkilötietojen suojan tasosta Jerseyssä: http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2007_en.htm
(3) Niihin kuuluvat Data Protection (Corporate Finance Exemption) (Jersey) Regulations 2005, Data Protection (Credit Reference Agency) (Jersey) Regulations 2005, Data Protection (Fair Processing) (Jersey) Regulations 2005, Data Protection (International Co-operation) (Jersey) Regulations 2005, Data Protection (Notification) (Jersey) Regulations 2005, Data Protection (Sensitive Personal Data) (Jersey) Regulations 2005, Data Protection (Subject Access Exemptions) (Jersey) Regulations 2005, Data Protection (Subject Access Miscellaneous) (Jersey) Regulations 2005, Data Protection (Subject Access Modification – Education) (Jersey) Regulations 2005, Data Protection (Subject Access Modification – Health) (Jersey) Regulations 2005, Data Protection (Subject Access Modification – Social Work) (Jersey) Regulations 2005 sekä Data Protection (Transfer in Substantial Public Interest) (Jersey) Regulations 2005.