|
28.5.2008 |
PT |
Jornal Oficial da União Europeia |
L 138/21 |
DECISÃO DA COMISSÃO
de 8 de Maio de 2008
nos termos da Directiva 95/46/CE do Parlamento Europeu e do Conselho relativa à adequação do nível de protecção de dados pessoais em Jersey
[notificada com o número C(2008) 1746]
(Texto relevante para efeitos do EEE)
(2008/393/CE)
A COMISSÃO DAS COMUNIDADES EUROPEIAS,
Tendo em conta o Tratado que institui a Comunidade Europeia,
Tendo em conta a Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (1), nomeadamente o n.o 6 do artigo 25.o,
Após consulta do Grupo de Trabalho «Protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais» (2),
Considerando o seguinte:
|
(1) |
Nos termos da Directiva 95/46/CE, os Estados-Membros devem garantir que a transferência de dados pessoais para um país terceiro só possa realizar-se se este país assegurar um nível de protecção adequado e a legislação dos Estados-Membros que transpõe outras disposições da directiva tiver sido respeitada antes de efectuada a transferência. |
|
(2) |
A Comissão pode determinar que um país terceiro garante um nível de protecção adequado. Nesse caso, podem ser transferidos dados pessoais a partir dos Estados-Membros sem que sejam necessárias garantias adicionais. |
|
(3) |
Nos termos da Directiva 95/46/CE, a adequação do nível de protecção de dados deve ser apreciada em função de todas as circunstâncias que envolvem a operação de transferência de dados ou o conjunto de operações de transferência de dados, atendendo particularmente a determinados elementos pertinentes para a transferência, enumerados no n.o 2 do artigo 25.o da referida directiva. |
|
(4) |
Uma vez que existem diferentes níveis de protecção consoante os países terceiros, a adequação deve ser apreciada, e quaisquer decisões com base no n.o 6 do artigo 25.o da Directiva 95/46/CE devem ser tomadas e aplicadas, de forma que não se verifique uma discriminação arbitrária ou injustificada contra ou entre países terceiros onde prevaleçam condições semelhantes, nem constitua um obstáculo dissimulado ao comércio, tendo em conta os actuais compromissos internacionais assumidos pela Comunidade. |
|
(5) |
O Bailiado de Jersey é uma das dependências da Coroa Britânica (não fazendo parte do Reino Unido nem sendo uma das suas colónias) que goza de independência total, excepto no que se refere às relações internacionais e à defesa, que são da responsabilidade do Governo do Reino Unido. O Bailiado de Jersey deve, por essa razão, ser considerado como um país terceiro na acepção da Directiva 95/46/CE. |
|
(6) |
Com efeitos a partir de 1951 e 1987, a ratificação pelo Reino Unido, respectivamente, da Convenção Europeia sobre os Direitos do Homem e da Convenção do Conselho da Europa para a protecção das pessoas singulares no que respeita ao tratamento informático dos dados pessoais (Convenção n.o 108) foi alargada ao Bailiado de Jersey. |
|
(7) |
No que se refere ao Bailiado de Jersey, as normas jurídicas relativas à protecção de dados pessoais, largamente baseadas nas normas estabelecidas na Directiva 95/46/CE, constam da Data Protection (Jersey) Law 1987, que entrou em vigor em 11 de Novembro de 1987, e de duas leis acessórias, a Data Protection (Amendment) (Jersey) Law 2005 e a Data Protection (Jersey) Law 2005 (Appointed Day) Act 2005. |
|
(8) |
Foram igualmente adoptados, em 2005, diplomas regulamentares de execução da Data Protection (Jersey) Law, que estabelecem disposições específicas sobre questões como o acesso, o tratamento de dados sensíveis e a notificação à autoridade de protecção de dados (3). |
|
(9) |
As normas jurídicas aplicáveis em Jersey englobam todos os princípios de fundo necessários para a constatação de um nível de protecção adequado das pessoas singulares. A aplicação dessas normas é garantida pela possibilidade de recurso judicial e pelo controlo independente exercido pelas autoridades, como seja o Comissário para a protecção de dados, dotado de poderes de investigação e intervenção. |
|
(10) |
Deve portanto considerar-se que Jersey assegura um nível adequado de protecção dos dados pessoais, na acepção da Directiva 95/46/CE. |
|
(11) |
Com uma preocupação de transparência e para salvaguardar a capacidade de as autoridades competentes dos Estados-Membros assegurarem a protecção das pessoas no que diz respeito ao tratamento dos seus dados pessoais, é necessário precisar as circunstâncias excepcionais em que a suspensão de transferências concretas de dados se pode justificar, apesar de verificado o nível de protecção adequado. |
|
(12) |
As medidas previstas pela presente decisão estão em conformidade com o parecer do Comité estabelecido pelo n.o 1 do artigo 31.o da Directiva 95/46/CE, |
ADOPTOU A PRESENTE DECISÃO:
Artigo 1.o
Para efeitos do n.o 2 do artigo 25.o da Directiva 95/46/CE, considera-se que o Bailiado de Jersey assegura um nível adequado de protecção dos dados pessoais transferidos a partir da Comunidade.
Artigo 2.o
A presente decisão diz respeito à adequação do nível de protecção facultado em Jersey, tendo em vista o cumprimento do disposto no n.o 1 do artigo 25.o da Directiva 95/46/CE, e não afecta as condições ou restrições que transponham outras disposições da referida directiva, no que se refere ao tratamento de dados pessoais nos Estados-Membros.
Artigo 3.o
1. Sem prejuízo das competências que lhes permitem agir para assegurar o respeito pelas disposições nacionais adoptadas em conformidade com outras disposições para além do artigo 25.o da Directiva 95/46/CE, as autoridades competentes dos Estados-Membros podem exercer as suas competências para suspender a transferência de dados para um destinatário em Jersey, por forma a assegurar a protecção das pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais, sempre que:
|
a) |
Uma autoridade competente de Jersey verifique que o destinatário desrespeita as normas de protecção aplicáveis; ou |
|
b) |
Existam fortes probabilidades de as normas de protecção não estarem a ser cumpridas; existam motivos suficientes para crer que a autoridade competente de Jersey não toma ou não tomará as decisões adequadas na altura devida para resolver o caso em questão; a continuação da transferência dos dados possa representar um risco iminente de graves prejuízos para as pessoas em causa, embora as autoridades competentes nos Estados-Membros tenham envidado esforços razoáveis, dadas as circunstâncias, para facultar à organização responsável pelo tratamento estabelecida em Jersey a informação e a oportunidade de responder. |
2. A suspensão cessará assim que o respeito das normas de protecção estiver assegurado e as autoridades competentes dos Estados-Membros em questão sejam disso informadas.
Artigo 4.o
1. Os Estados-Membros devem informar imediatamente a Comissão da adopção de medidas nos termos do artigo 3.o
2. Os Estados-Membros e a Comissão devem manter-se mutuamente informados relativamente aos casos em que os organismos responsáveis pelo cumprimento das normas de protecção em Jersey não garantam esse mesmo cumprimento.
3. Se a informação recolhida ao abrigo do artigo 3.o e dos n.os 1 e 2 do presente artigo revelar que os organismos responsáveis pelo cumprimento das normas de protecção em Jersey não desempenham eficazmente as suas funções, a Comissão deve informar a autoridade competente de Jersey e, se necessário, apresentar um projecto de medidas, de acordo com o procedimento referido no n.o 2 do artigo 31.o da Directiva 95/46/CE, para revogar ou suspender a presente decisão ou limitar o seu âmbito de aplicação.
Artigo 5.o
A Comissão acompanhará a aplicação da presente decisão e informará o Comité criado em conformidade com o artigo 31.o da Directiva 95/46/CE de todas as conclusões pertinentes, nomeadamente de todas as provas que possam afectar a avaliação da adequação do nível de protecção facultado em Jersey relativamente ao disposto no artigo 1.o da presente decisão, nos termos do artigo 25.o da Directiva 95/46/CE, e de todas as provas de aplicação discriminatória da presente decisão.
Artigo 6.o
Os Estados-Membros tomarão todas as medidas necessárias para dar cumprimento à presente decisão, no prazo de quatro meses após a data da sua notificação.
Artigo 7.o
Os Estados-Membros são os destinatários da presente decisão.
Feito em Bruxelas, em 8 de Maio de 2008.
Pela Comissão
Jacques BARROT
Vice-Presidente
(1) JO L 281 de 23.11.1995, p. 31. Directiva alterada pelo Regulamento (CE) n.o 1882/2003 (JO L 284 de 31.10.2003, p. 1).
(2) Parecer 8/2007 sobre o nível de protecção de dados pessoais em Jersey, adoptado em 9 de Outubro de 2007 e disponível em http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2007_en.htm
(3) Trata-se de: Data Protection (Corporate Finance Exemption) (Jersey) Regulations 2005; Data Protection (Credit Reference Agency) (Jersey) Regulations 2005; Data Protection (FAIR Processing) (Jersey) Regulations 2005; Data Protection (International Co-operation) (Jersey) Regulations 2005; Data Protection (Notification) (Jersey) Regulations 2005; Data Protection (Sensitive Personal Data) (Jersey) Regulations 2005; Data Protection (Subject Access Exemptions) (Jersey) Regulations 2005; Data Protection (Subject Access Miscellaneous) (Jersey) Regulations 2005; Data Protection (Subject Access Modification — Education) (Jersey) Regulations 2005; Data Protection (Subject Access Modification — Health) (Jersey) Regulations 2005; Data Protection (Subject Access Modification — Social Work) (Jersey) Regulations 2005; Data Protection (Transfer in Substantial Public Interest) (Jersey) Regulations 2005.