Beskyttelse av personopplysninger på Jersey (lagring av persondata)
Kommisjonsvedtak 2008/393/EF av 8. mai 2008 om tilstrekkelig vern av personopplysninger i Jersey i henhold til europaparlaments- og rådsdirektiv 95/46/EF
Commission Decision 2008/393/EC of 8 May 2008 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequate protection of personal data in Jersey
EØS-komitevedtak 24.4.2009
Bakgrunn
Bakgrunn (fra Kommisjonsvedtaket, dansk utgave)
(1) Medlemsstaterne skal i henhold til direktiv 95/46/EF fastsætte bestemmelser om, at videregivelse af personoplysninger til et tredjeland kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, og medlemsstaternes love til gennemførelse af direktivets øvrige bestemmelser overholdes inden videregivelsen.
(2) Kommissionen kan fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau. I så fald kan personoplysninger videregives fra medlemsstaterne, uden at der kræves yderligere garantier.
(3) Vurderingen af, om beskyttelsesniveauet for personoplysninger er tilstrækkeligt, skal i henhold til direktiv 95/46/EF ske på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger og under hensyntagen til en række faktorer som anført i direktivets artikel 25, stk. 2, der er relevante for den pågældende videregivelse.
(4) Vurderingen af, om beskyttelsesniveauet er tilstrækkeligt, og vedtagelsen og gennemførelsen af enhver beslutning i henhold til artikel 25, stk. 6, i direktiv 95/46/EF skal på grund af tredjelandenes forskellige opfattelser af begrebet beskyttelse af personoplysninger foretages ud fra en række kriterier, der skal sikre, at der ikke vilkårligt eller uberettiget diskrimineres mod eller mellem tredjelande, hvor lignende forhold gør sig gældende, eller skabes skjulte handelshindringer under hensyntagen til Fællesskabets nuværende internationale forpligtelser.
(5) Bailiwick of Jersey er en britisk besiddelse (der hverken er en del af Det Forenede Kongerige eller en koloni), som er fuldt uafhængig, undtagen i internationale forhold og med hensyn til forsvaret, der er underlagt Det Forenede Kongerige. Bailiwick of Jersey skal derfor betragtes som et tredjeland i den i direktiv 95/46/EF omhandlede forstand.
(6) Med virkning fra henholdsvis 1951 og 1987 er Bailiwick of Jersey også omfattet af Det Forenede Kongeriges ratifikation af den europæiske menneskerettighedskonvention og af Europarådets konvention om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (konvention nr. 108).
(7) For så vidt angår Bailiwick of Jersey, er retsreglerne for beskyttelse af personoplysninger, der i det væsentlige er baseret på forskrifterne i direktiv 95/46/EF, fastsat i Data Protection (Jersey) Law 1987, som trådte i kraft den 11. november 1987, og i to tilknyttede love, Data Protection (Amendment) (Jersey) Law 2005 og Data Protection (Jersey) Law 2005 (Appointed Day) Act 2005.
(8) Der er også i 2005 på grundlag af Data Protection (Jersey) Law blevet fastsat administrative forskrifter med særlige bestemmelser om emner som aktindsigt, behandling af følsomme oplysninger og meddelelser til databeskyttelsesmyndigheden [*].
(9) De retsforskrifter, der finder anvendelse på Jersey, omfatter alle de grundlæggende principper, som er nødvendige for at sikre, at niveauet af den beskyttelse, der gives fysiske personer, er tilstrækkeligt. Anvendelsen af disse retsforskrifter sikres gennem adgangen til domstolsprøvelse og den uvildige kontrol, der foretages af myndigheden Data Protection Commissioner, der har både undersøgelses- og interventionsbeføjelser.
(10) Jersey bør derfor betragtes som værende i stand til at sikre et tilstrækkeligt databeskyttelsesniveau i henhold til direktiv 95/46/EF.
(11) Af hensyn til åbenheden og for at sikre medlemsstaternes kompetente myndigheders beføjelser til at beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger er det nødvendigt at specificere, under hvilke særlige omstændigheder det kan være berettiget at suspendere specifik videregivelse af personoplysninger, selv om det er blevet fastslået, at beskyttelsen er tilstrækkelig.
(12) De i denne beslutning fastsatte foranstaltninger er i overensstemmelse med udtalelse fra det ved artikel 31, stk. 1, i direktiv 95/46/EF nedsatte udvalg
[*] Det drejer sig om
Data Protection (Corporate Finance Exemption) (Jersey) Regulations 2005,
Data Protection (Credit Reference Agency) (Jersey) Regulations 2005,
Data Protection (Fair Processing) (Jersey) Regulations 2005,
Data Protection (International Co-operation) (Jersey) Regulations 2005,
Data Protection (Notification) (Jersey) Regulations 2005,
Data Protection (Sensitive Personal Data) (Jersey) Regulations 2005,
Data Protection (Subject Access Exemptions) (Jersey) Regulations 2005,
Data Protection (Subject Access Miscellaneous) (Jersey) Regulations 2005,
Data Protection (Subject Access Modification — Education) (Jersey) Regulations 2005,
Data Protection (Subject Access Modification — Health) (Jersey) Regulations 2005,
Data Protection (Subject Access Modification — Social Work) (Jersey) Regulations 2005, og
Data Protection (Transfer in Substantial Public Interest) (Jersey) Regulations 2005.
(1) Medlemsstaterne skal i henhold til direktiv 95/46/EF fastsætte bestemmelser om, at videregivelse af personoplysninger til et tredjeland kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, og medlemsstaternes love til gennemførelse af direktivets øvrige bestemmelser overholdes inden videregivelsen.
(2) Kommissionen kan fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau. I så fald kan personoplysninger videregives fra medlemsstaterne, uden at der kræves yderligere garantier.
(3) Vurderingen af, om beskyttelsesniveauet for personoplysninger er tilstrækkeligt, skal i henhold til direktiv 95/46/EF ske på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger og under hensyntagen til en række faktorer som anført i direktivets artikel 25, stk. 2, der er relevante for den pågældende videregivelse.
(4) Vurderingen af, om beskyttelsesniveauet er tilstrækkeligt, og vedtagelsen og gennemførelsen af enhver beslutning i henhold til artikel 25, stk. 6, i direktiv 95/46/EF skal på grund af tredjelandenes forskellige opfattelser af begrebet beskyttelse af personoplysninger foretages ud fra en række kriterier, der skal sikre, at der ikke vilkårligt eller uberettiget diskrimineres mod eller mellem tredjelande, hvor lignende forhold gør sig gældende, eller skabes skjulte handelshindringer under hensyntagen til Fællesskabets nuværende internationale forpligtelser.
(5) Bailiwick of Jersey er en britisk besiddelse (der hverken er en del af Det Forenede Kongerige eller en koloni), som er fuldt uafhængig, undtagen i internationale forhold og med hensyn til forsvaret, der er underlagt Det Forenede Kongerige. Bailiwick of Jersey skal derfor betragtes som et tredjeland i den i direktiv 95/46/EF omhandlede forstand.
(6) Med virkning fra henholdsvis 1951 og 1987 er Bailiwick of Jersey også omfattet af Det Forenede Kongeriges ratifikation af den europæiske menneskerettighedskonvention og af Europarådets konvention om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (konvention nr. 108).
(7) For så vidt angår Bailiwick of Jersey, er retsreglerne for beskyttelse af personoplysninger, der i det væsentlige er baseret på forskrifterne i direktiv 95/46/EF, fastsat i Data Protection (Jersey) Law 1987, som trådte i kraft den 11. november 1987, og i to tilknyttede love, Data Protection (Amendment) (Jersey) Law 2005 og Data Protection (Jersey) Law 2005 (Appointed Day) Act 2005.
(8) Der er også i 2005 på grundlag af Data Protection (Jersey) Law blevet fastsat administrative forskrifter med særlige bestemmelser om emner som aktindsigt, behandling af følsomme oplysninger og meddelelser til databeskyttelsesmyndigheden [*].
(9) De retsforskrifter, der finder anvendelse på Jersey, omfatter alle de grundlæggende principper, som er nødvendige for at sikre, at niveauet af den beskyttelse, der gives fysiske personer, er tilstrækkeligt. Anvendelsen af disse retsforskrifter sikres gennem adgangen til domstolsprøvelse og den uvildige kontrol, der foretages af myndigheden Data Protection Commissioner, der har både undersøgelses- og interventionsbeføjelser.
(10) Jersey bør derfor betragtes som værende i stand til at sikre et tilstrækkeligt databeskyttelsesniveau i henhold til direktiv 95/46/EF.
(11) Af hensyn til åbenheden og for at sikre medlemsstaternes kompetente myndigheders beføjelser til at beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger er det nødvendigt at specificere, under hvilke særlige omstændigheder det kan være berettiget at suspendere specifik videregivelse af personoplysninger, selv om det er blevet fastslået, at beskyttelsen er tilstrækkelig.
(12) De i denne beslutning fastsatte foranstaltninger er i overensstemmelse med udtalelse fra det ved artikel 31, stk. 1, i direktiv 95/46/EF nedsatte udvalg
[*] Det drejer sig om
Data Protection (Corporate Finance Exemption) (Jersey) Regulations 2005,
Data Protection (Credit Reference Agency) (Jersey) Regulations 2005,
Data Protection (Fair Processing) (Jersey) Regulations 2005,
Data Protection (International Co-operation) (Jersey) Regulations 2005,
Data Protection (Notification) (Jersey) Regulations 2005,
Data Protection (Sensitive Personal Data) (Jersey) Regulations 2005,
Data Protection (Subject Access Exemptions) (Jersey) Regulations 2005,
Data Protection (Subject Access Miscellaneous) (Jersey) Regulations 2005,
Data Protection (Subject Access Modification — Education) (Jersey) Regulations 2005,
Data Protection (Subject Access Modification — Health) (Jersey) Regulations 2005,
Data Protection (Subject Access Modification — Social Work) (Jersey) Regulations 2005, og
Data Protection (Transfer in Substantial Public Interest) (Jersey) Regulations 2005.