[pic] | EUROPOS BENDRIJŲ KOMISIJA |

Briuselis, 2.5.2007

KOM(2007) 228 galutinis

KOMISIJOS KOMUNIKATAS EUROPOS PARLAMENTUI IR TARYBAI

dėl duomenų apsaugos stiprinimo naudojant privatumo didinimo technologijas (PDT)

KOMISIJOS KOMUNIKATAS EUROPOS PARLAMENTUI IR TARYBAI

dėl duomenų apsaugos stiprinimo naudojant privatumo didinimo technologijas (PDT) (Tekstas svarbus EEE)

1. ĮVADAS

Intensyviai ir tvariai vystant informacines ir ryšių technologijas (IRT) nuolat atsiranda vis naujų paslaugų, dėl kurių gerėja žmonių gyvenimo kokybė. Dažniausiai pagrindinę medžiagą, reikalingą įvairiems veiksmams virtualioje erdvėje atlikti, sudaro asmenų, kurie naudojasi ta erdve prekėms ir paslaugoms pirkti, kontaktams su kitais asmenimis užmegzti ar palaikyti arba savo idėjoms visuotiniame žiniatinklyje skleisti, duomenys. Šios naujovės gali būti ne tik naudingos, bet ir kelti asmenims naujų pavojų, susijusių su, pavyzdžiui, asmens duomenų vagystėmis, diskriminaciniu profilio nustatymu, nuolatiniu stebėjimu ir apgaulėmis.

Europos Sąjungos pagrindinių teisių chartijos 8 straipsniu pripažįstama teisė į asmens duomenų apsaugą. Ši pagrindinė teisė nustatyta asmens duomenų apsaugą reglamentuojančioje Europos teisinėje sistemoje, kurią visų pirma sudaro Duomenų apsaugos direktyva 95/46/EB[1] ir E. privatumo direktyva 2002/58/EB[2], taip pat Duomenų apsaugos reglamentas (EB) 45/2001[3] dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis. Šiuose teisės aktuose yra keletas esminių nuostatų, kuriomis nustatomi įpareigojimai duomenų valdytojams ir pripažįstamos duomenų subjektų teisės. Jomis taip pat nustatomos sankcijos ir atitinkamos teisinės priemonės pažeidimo atveju bei sukuriamas jų įgyvendinimo mechanizmas, siekiant kad šios priemonės būtų veiksmingos.

Tačiau ši sistema gali būti nepakankamai veiksminga tais atvejais, kai asmens duomenys informacinių ir ryšių technologijų tinklais platinami po visą pasaulį, o jų tvarkymas susijęs su keliomis jurisdikcijomis, dažnai nepriklausančiomis ES. Susidarius tokiai situacijai šiuo metu galiojančias taisykles galima laikyti taikytinomis ir jomis remiantis galima suformuluoti aiškų teisinį atsaką. Be to, galima nustatyti, kuri institucija yra kompetentinga įgyvendinti šias taisykles. Tačiau dėl naudojamos technologijos gali kilti didelių praktinių kliūčių, kai duomenis tvarko keli duomenų valdytojai skirtingose vietose, ir dėl kliūčių, kurios paprastai atsiranda įgyvendinant vienos šalies administracinius ir teismų sprendimus kitoje jurisdikcijoje, visų pirma ne ES valstybėje narėje.

Vertinant griežtai, už duomenų apsaugos taisyklių laikymąsi teisiškai atsakingi duomenų valdytojai, tačiau socialiniu ir etiniu požiūriu kiti asmenys taip pat iš dalies atsako už duomenų apsaugą. Tai taikoma asmenims, nustatantiems technines specifikacijas ir realiai kuriantiems ar diegiantiems programas arba operacines sistemas.

Duomenų apsaugos direktyvos 17 straipsniu duomenų valdytojai įpareigojami įgyvendinti tinkamas technines ir organizacines priemones, kad užtikrintų tokį saugumo lygį, kuris atitiktų saugotinų duomenų pobūdį ir su jų tvarkymu susijusius pavojus. E. privatumo direktyvoje[4] jau iš dalies numatyta, kad technologijos turi būti naudojamos atsižvelgiant į teisės aktus, visų pirma duomenų apsaugos taisykles.

Kitas žingsnis įgyvendinant teisės sistemą, kuria siekiama kuo labiau sumažinti tvarkytinų asmens duomenų kiekį ir, kai įmanoma, naudoti anoniminius arba pseudoniminius duomenis, galėtų būti vadinamųjų privatumo didinimo technologijų (PDT) naudojimas – šios technologijos padėtų užtikrinti, kad duomenų apsaugos taisyklių bei asmens teisių pažeidimai būtų ne tik draudžiami ar už juos būtų taikomos kokios nors sankcijos, bet ir tai, kad juos būtų sunkiau įgyvendinti techniškai.

Šio komunikato, parengto remiantis Pirmąja Duomenų apsaugos direktyvos įgyvendinimo ataskaita[5], tikslas – apsvarstyti privatumo didinimo technologijų privalumus, nustatyti Komisijos tikslus šioje srityje siekiant skatinti šias technologijas ir tiksliai apibrėžti veiksmus, kuriais, remiant privatumo didinimo technologijų vystymą ir skatinant duomenų valdytojus bei vartotojus jas naudoti, šių tikslų bus siekiama.

2. PRIVATUMO DIDINIMO TECHNOLOGIJOS – KAS TAI?

Egzistuoja keletas privatumo didinimo technologijų apibrėžimų, naudojamų akademinėje bendruomenėje ir bandomuosiuose projektuose. Pavyzdžiui, EB finansuojamame PISA projekte privatumo didinimo technologijos apibrėžiamos kaip suderinta informacinių ir ryšių technologijų priemonių sistema, skirta apsaugoti privatumą, kurioje nenaudojami asmens duomenys arba jų naudojama mažiau arba nevykdomas nereikalingas ir (arba) nepageidaujamas asmens duomenų tvarkymas tuo pat metu išsaugant informacinės sistemos funkcionalumą. Naudojant privatumo didinimo technologijas galima sukurti tokias informacines ir ryšių sistemas bei paslaugas, dėl kurių sumažėtų rinktinų ir naudotinų asmens duomenų kiekis bei būtų lengviau laikytis duomenų apsaugos taisyklių. Savo Pirmojoje Duomenų apsaugos direktyvos įgyvendinimo ataskaitoje Komisija teigia, kad „[...] naudojamos tinkamos technologinės priemonės svariai papildo teisines priemones, todėl jos turėtų būti neatsiejama pastangų, kuriomis siekiama užtikrinti pakankamą privatumo apsaugos lygį, dalis [...] “. Dėl privatumo didinimo technologijų naudojimo turėtų būti sunkiau pažeisti tam tikras duomenų apsaugos taisykles ir (arba) lengviau nustatyti tokius pažeidimus.

Atsižvelgiant į informacinių ir ryšių technologijų tobulėjimo spartą, skirtingų privatumo didinimo technologijų, skirtų užtikrinti privatumo apsaugą, įskaitant įvairius duomenų apsaugos teisės aspektus, veiksmingumas yra nevienodas ir laikui bėgant kinta. Skiriasi ir šių priemonių tipologija. Tai gali būti autonominė įranga, kurią turėtų įsigyti vartotojai (jie turi šią įrangą nusipirkti ir instaliuoti savo kompiuteryje), arba ji turėtų būti integruota pačioje informacinių sistemų architektūroje. Būtų galima paminėti keletą privatumo didinimo technologijų pavyzdžių:

- Automatiškas duomenų įslaptinimas praėjus tam tikram laikotarpiui, grindžiamas principu, kad tvarkomi duomenys turi būti saugomi tokiu būdu, jog duomenų subjektus būtų galima identifikuoti tik tam tikrą laiką, t. y. ne ilgesnį laikotarpį, nei būtinas tikslams, dėl kurių duomenys buvo surinkti, pasiekti.

- Šifravimo priemonėmis, užkertančiomis kelią duomenų grobimui, kai duomenys perduodami internetu, duomenų valdytojui padedama vykdyti įsipareigojimą imtis tinkamų priemonių siekiant apsaugoti, kad asmens duomenys nebūtų neteisėtai tvarkomi.

- Slapukų blokavimo programos, užblokuojančios vartotojo kompiuteryje esančius slapukus, dėl kurių kompiuteris be vartotojo žinios atlieka tam tikras komandas, leidžia geriau įgyvendinti teisingo ir teisėto duomenų tvarkymo principą, pagal kurį duomenų subjektas turi būti informuojamas apie tokį duomenų tvarkymą.

- Privatumo parametrų platforma (P3P), leidžianti interneto vartotojams analizuoti tinklapių privatumo politiką ir palyginti ją su savo parinktimis informacijos, kurią vartotojas nori pateikti, atžvilgiu, padeda užtikrinti, kad duomenų subjektai būtų informuoti apie savo duomenų tvarkymą prieš suteikdami sutikimą tai daryti.

3. KOMISIJA SKATINA PRIVATUMO DIDINIMO TECHNOLOGIJų NAUDOJIMą

Komisija mano, kad privatumo didinimo priemonės turėtų būti vystomos ir plačiau naudojamos, visų pirma tose srityse, kur duomenys tvarkomi naudojantis ryšių technologijų tinklais. Komisija mano, kad dėl platesnio privatumo didinimo technologijų naudojimo pagerės privatumo apsauga ir bus lengviau įgyvendinti duomenų apsaugos taisykles. Privatumo didinimo technologijos papildytų galiojančius teisės aktus ir jų įgyvendinimo mechanizmus.

Savo 2006 m. gegužės 31 d. Komunikate dėl saugios informacinės visuomenės strategijos (COM(2006) 251) Komisija pakvietė, pirmiausiai privatųjį sektorių, skatinti „ saugumą didinančių produktų, procesų ir paslaugų naudojimą siekiant užkirsti kelią asmens tapatybės duomenų vagystėms ir kitokioms privatumą pažeidžiančiomis atakoms “. Be to, vienas iš pagrindinių elektroninės tapatybės nustatymo principų, nurodytų Komisijos gairėse dėl Europos eIDM sistemos sukūrimo iki 2010 m.[6], yra toks – „ sistema turi būti saugi, joje turi būti įdiegti saugikliai, būtini vartotojo privatumui apsaugoti, taip pat turi būti užtikrinta, kad sistemos naudojimas būtų suderintas su vietos interesais ir jautriais aspektais “.

Dėl skirtingų subjektų dalyvavimo duomenų tvarkymo procese ir dėl skirtingų nacionalinių jurisdikcijų gali būti sunku įgyvendinti šią teisinę sistemą. Kita vertus, privatumo didinimo technologijos galėtų užkirsti kelią tam tikriems duomenų apsaugos taisyklių pažeidimams, kuriais kėsinamasi į pagrindines teises, įskaitant teisę į privatumą, nes dėl šių technologijų tokius pažeidimus būtų technologiškai sunkiau atlikti. Komisija supranta, kad vien technologijų, nors jos yra itin svarbios privatumo apsaugos srityje, nepakanka privatumo apsaugai užtikrinti. Privatumo didinimo technologijos turi būti taikomos atsižvelgiant į reglamentavimo sistemą, kurią sudaro vykdytinos duomenų apsaugos taisyklės, kuriose numatomi keli galimi visiems asmenims taikytini privatumo apsaugos lygiai. Dėl privatumo didinimo technologijų naudojimo operatoriai negali būti atleidžiami nuo tam tikrų teisinių įsipareigojimų (pvz., suteikti atskiriems vartotojams teisę susipažinti su savo duomenimis).

Taip pat būtų galima geriau puoselėti svarbius viešuosius interesus. Duomenų apsaugos teisinėje sistemoje numatyta, kad gali būti ribojami bendrieji principai ir asmenų teisės, jeigu tai būtina dėl svarbių viešųjų interesų, pavyzdžiui, visuomenės saugumo, kovos su nusikalstamumu ar visuomenės sveikatos. Tokio ribojimo sąlygos nustatytos Duomenų apsaugos direktyvos 13 straipsnyje ir E. privatumo direktyvos 15 straipsnyje. Jos iš esmės panašios į Europos žmogaus teisių ir pagrindinių laisvių konvencijos (EŽTK) 8 straipsnyje nustatytas sąlygas, pagal kurias toks kišimasis turi būti vykdomas remiantis įstatymais, turi būti proporcingas ir būtinas demokratinėje visuomenėje dėl svarbių viešųjų interesų[7]. Dėl privatumo didinimo technologijų naudojimo teisėsaugos įstaigoms ar kitoms kompetentingoms institucijoms neturi būti kliudoma įsikišti, kai vykdomos jų teisėtos funkcijos, kuriomis siekiama užtikrinti svarbius visuomenės interesus, pvz., kai kovojama su elektroniniais nusikaltimais ir terorizmu arba siekiama užkirsti kelią užkrečiamų ligų plitimui. Atsakingoms institucijoms turi būti sudaryta galimybė susipažinti su asmens duomenimis, kai tai būtina siekiant minėtų tikslų; tai turi būti daroma taikant įstatymuose numatytas procedūras, sąlygas ir apsaugos priemones.

Geriau įgyvendinant duomenų apsaugos taisykles išaugtų vartotojų, visų pirma besinaudojančių elektronine erdve, pasitikėjimas. Tai būtų naudinga daugeliui perspektyvių ir pridėtinę vertę turinčių paslaugų, kurios grindžiamos asmens duomenų perdavimu IT tinklais, pvz., e. mokymosi, e. vyriausybės, e. sveikatos, e. bankininkystės, e. prekybos paslaugoms ar „pažangaus automobilio“ sistemoms. Žmonės galėtų būti tikri, kad duomenys, kuriuos jie pateikia norėdami nurodyti savo tapatybę, paslaugoms gauti ar mokėjimams atlikti, bus naudojami tik teisėtais tikslais ir kad dėl dalyvavimo skaitmeninėje bendruomenėje jie neturės aukoti savo teisių

4. ATLIKTAS DARBAS IR TOLESNI VEIKSMAI

Siekdama padidinti privatumo ir duomenų apsaugos lygį Bendrijoje, be kita ko, skatinant kurti ir naudoti privatumo didinimo technologijas, Komisija ketina imtis toliau nurodytų veiksmų, kuriems atlikti bus pasitelkta daug įvairių dalyvių, įskaitant Komisijos tarnybas, nacionalines institucijas, pramonės atstovus ir vartotojus.

Šioje diskusijoje ypatingas dėmesys bus skiriamas išskirtinei mažųjų ir vidutinių įmonių (MVĮ) padėčiai ir jų galimybėms naudoti privatumo didinimo technologijas bei galimoms paskatoms. Komisija be kitų klausimų taip pat turėtų svarstyti pasitikėjimo ir informuotumo klausimus – šie klausimai ypatingai svarbūs MVĮ.

4.1. Pirmas tikslas – remti privatumo didinimo technologijų kūrimą

Siekiant, kad privatumo didinimo priemonės būtų plačiai naudojamos, reikia toliau tobulinti jų projektus, jas kurti ir gaminti. Ši veikla jau vykdoma viešajame ir privačiajame sektoriuose, tačiau Komisija mano, kad jos vykdymą reikėtų paspartinti. Norint tai pasiekti, reikėtų nustatyti privatumo didinimo technologijų poreikį ir joms taikomus technologinius reikalavimus, o vykdant mokslinių tyrimų ir technologinės plėtros veiklą reikėtų sukurti minėtas priemones.

4.1.1. 1.1 veiksmas: privatumo didinimo technologijų poreikio ir joms taikomų technologinių reikalavimų nustatymas

Privatumo didinimo technologijos labai priklauso nuo informacinių ir ryšių technologijų vystymosi. Nustačius naujų technologijų keliamą pavojų, reikėtų apibrėžti atitinkamam technologiniam sprendimui taikytinus reikalavimus.

Komisija ragins skirtingas suinteresuotųjų šalių grupes susitikti ir diskutuoti apie privatumo didinimo technologijas. Šias grupes pirmiausiai sudarys informacinių ir ryšių technologijų sektoriaus atstovai, privatumo didinimo technologijų kūrėjai, duomenų apsaugos institucijos, teisėsaugos institucijos, technologijos partneriai (įskaitant susijusių sričių, pavyzdžiui, e. sveikatos arba informacijos apsaugos specialistus), vartotojai bei piliečių teisių asociacijos. Šios suinteresuotosios šalys turėtų reguliariai apžvelgti technologijų vystimąsi, nustatyti jų keliamą pavojų pagrindinėms teisėms ir duomenų apsaugai bei apibrėžti privatumo didinimo technologijomis grindžiamų sprendimų techninius reikalavimus. Tai gali apimti technologinių priemonių sureguliavimą atsižvelgiant į įvairius pavojus ir skirtingus naudojamus duomenis bei būtinybę užtikrinti viešuosius interesus, pavyzdžiui viešąją tvarką.

4.1.2. 1.2 veiksmas: privatumo didinimo technologijų kūrimas

Nustačius privatumo didinimo technologijų poreikį ir jų technologinius reikalavimus, reikės imtis konkrečių veiksmų siekiant sukurti galutinį, vartojimui tinkamą produktą.

Komisija jau ėmėsi veiksmų su privatumo didinimo technologijų poreikiu susijusiems tikslams pasiekti. Pagal šeštąją bendrąją programą ji remia PRIME[8] projektą, kuriuo siekiama spręsti elektroninės tapatybės nustatymo ir privatumo informacinėje visuomenėje klausimus. OPEN-TC[9] projekto tikslas – atviru ir saugiu naudojimusi kompiuteriu grindžiama privatumo apsauga, o pagal DISCREET[10] projektą kuriama tarpinė programinė įranga, skirta užtikrinti privatumą, kai naudojamos specializuotos tinklo paslaugos. Ateityje, pagal septintąją bendrąją programą, Komisija ketina remti kitus mokslinių tyrimų ir technologinės plėtros projektus bei didelės apimties bandomuosius demonstravimo projektus ir taip skatinti domėjimąsi privatumo didinimo technologijomis. Siekiama sukurti daugiau teisių vartotojams suteikiančių privatumo apsaugos paslaugų pagrindą, kuriuo remiantis per viešojo ir privataus sektorių partnerystę būtų suderinti teisiniai ir techniniai skirtumai Europoje.

Komisija kviečia nacionalines institucijas ir privatųjį sektorių investuoti į privatumo didinimo technologijų kūrimą. Tokios investicijos labai svarbios siekiant, kad Europos pramonė pirmautų šiame sektoriuje, kuris augs, nes dėl technologinių standartų ir vartotojų, kurie daugiau žinos apie būtinybę ginti savo teises elektroninėje erdvėje, reikalavimų, šios technologijos bus vis paklausesnės.

4.2. Antras tikslas – skatinti duomenų valdytojus naudoti esamas privatumo didinimo technologijas

Privatumo didinimo technologijos bus išties naudingos tik tuo atveju, jei jos bus veiksmingai įdiegiamos ir naudojamos asmens duomenų tvarkymo techninėje bei programinėje įrangoje. Todėl labai svarbu, kad šioje veikloje dalyvautų tokią įrangą gaminantys pramonės atstovai ir ją duomenims tvarkyti naudojantys duomenų valdytojai.

4.2.1. 2.1 veiksmas: skatinimas naudoti privatumo didinimo technologijas pramonėje

Komisija įsitikinusi, kad visoms duomenų tvarkymo procese dalyvaujančioms suinteresuotosioms šalims platesnis privatumo didinimo technologijų naudojimas būtų naudingas. Informacinių ir ryšių technologijų pramonei, kuri yra pagrindinė privatumo didinimo technologijų kūrėja ir tiekėja, tenka ypatingai svarbus vaidmuo skatinant privatumo didinimo technologijų naudojimą. Komisija ragina visus duomenų valdytojus plačiau ir aktyviau naudoti privatumo didinimo technologijas vykdant savo veiklą. Todėl Komisija rengs seminarus pagrindiniams informacinių ir ryšių technologijų pramonės dalyviams, visų pirma privatumo didinimo technologijų kūrėjams, siekdama išnagrinėti, kaip jie galėtų prisidėti skatinant duomenų valdytojus naudoti privatumo didinimo technologijas.

Komisija atliks privatumo didinimo technologijų ekonominės naudos tyrimą ir išplatins jo rezultatus, siekdama paskatinti įmones, pirmiausiai MVĮ, naudoti šias technologijas.

4.2.2. 2.2 veiksmas: taikant privatumo didinimo technologijas užtikrinti, kad būtų laikomasi susijusių asmens duomenų apsaugos standartų

Plataus masto skatinimo veiklai vykdyti būtinas aktyvus informacinių ir ryšių technologijų pramonės, kaip privatumo didinimo technologijų gamintojos, dalyvavimas, tačiau siekiant užtikrinti susijusių standartų laikymąsi neužtenka susijusių dalyvių savireguliacijos bei geros valios – reikia ir kitų priemonių. Komisija, pasitelkdama tinkamus poveikio vertinimus, įvertins poreikį parengti teisėto asmens duomenų tvarkymo naudojant privatumo didinimo priemones standartus. Remiantis tokių vertinimų rezultatais būtų galima svarstyti dviejų rūšių priemones:

- 2.2a) veiksmas: standartizacija

Komisija apsvarstys būtinybę laikytis duomenų apsaugos taisyklių vykdant standartizacijos veiklą. Komisija, rengdamasi vykdyti susijusius veiksmus, stengsis atsižvelgti į daugiašales suinteresuotųjų šalių diskusijas dėl privatumo didinimo technologijų ir į Europos standartizacijos institucijų darbą. Tai bus ypatingai svarbu diskusijų dalyviams nustačius susijusius duomenų apsaugos reikalavimus, pagal kuriuos reikės įdiegti ir naudoti tam tikras privatumo didinimo technologijas.

Komisija gali pakviesti Europos standartizacijos organizacijas (CEN, CENELEC, ETSI) įvertinti konkrečius Europos poreikius ir, vadovaujantis galiojančiais Europos ir tarptautinių standartizacijos organizacijų susitarimais, siekti jų pripažinimo tarptautiniu lygiu. Tam tikrais atvejais Europos standartizacijos organizacijos turėtų parengti specialias standartizacijos veiklos programas, kuriose būtų atsižvelgta į Europos poreikius, taip prisidedant prie tarptautiniu lygiu vykdomo darbo.

- 2.2b) veiksmas: nacionalinių techninių taisyklių, reglamentuojančių duomenų tvarkymo apsaugos priemones, suderinimas

Pagal nacionalinės teisės aktus, priimtus vadovaujantis Duomenų apsaugos direktyva[11], nacionalinės duomenų apsaugos institucijos gali daryti tam tikrą įtaką nustatant tikslius techninius reikalavimus, pavyzdžiui, teikdamos rekomendacijas valdytojams, analizuodamos įdiegtas sistemas arba teikdamos techninius nurodymus. Nacionalinės duomenų apsaugos institucijos taip pat gali reikalauti įdiegti ir naudoti tam tikras privatumo didinimo technologijas, kai jos būtinos tvarkant asmens duomenis. Komisija mano, kad tai yra sritis, kurioje derinant nacionalinę praktiką būtų galima prisidėti prie skatinimo naudoti privatumo didinimo technologijas. Visų pirma pagal 29 straipsnį įkurta darbo grupė[12] vykdydama savo funkcijas galėtų prisidėti užtikrinant vienodą pagal direktyvą priimtų nacionalinių priemonių taikymą. Todėl Komisija ragina pagal 29 straipsnį įkurtą darbo grupę tęsti darbą šioje srityje ir į savo programą įtraukti nuolatinę privatumo didinimo technologijų, kurios yra veiksminga priemonė užtikrinant duomenų apsaugos taisyklių įgyvendinimą, poreikio analizę. Atlikus šį darbą turėtų būti parengtos duomenų apsaugos institucijoms skirtos gairės, kurios turėtų būti įgyvendinamos nacionaliniu lygiu koordinuotai priimant susijusius dokumentus.

4.2.3. 2.3 veiksmas: skatinti valstybines institucijas naudoti privatumo didinimo technologijas

Didelę dalį duomenų tvarkymo operacijų, kurių metu naudojami asmens duomenys, tiek nacionaliniu, tiek Bendrijos lygiu vykdydamos savo įgaliojimus atlieka valstybinės institucijos. Pačios viešosios įstaigos yra įpareigotos gerbti pagrindines teises, įskaitant teisę į duomenų apsaugą, ir užtikrinti, kad tas teises gerbtų kiti, todėl jos turėtų rodyti aiškų pavyzdį.

Kalbant apie valstybines institucijas, Komisija pabrėžia, kad turėtų būti plačiau naudojamos e. vyriausybės programos, kaip priemonė didinti viešųjų paslaugų veiksmingumą. Kaip nurodyta Komisijos komunikate dėl e. vyriausybės svarbos Europos ateičiai [13], privatumo didinimo technologijos e. vyriausybės programose būtinos siekiant pasitikėjimo, dėl kurio būtų užtikrinta šios paslaugos sėkmė. Komisija ragina vyriausybes užtikrinti, kad duomenų apsaugos priemonės būtų įdiegtos e. vyriausybės programose, kurias kuriant bei diegiant turėtų būti naudojama kuo daugiau privatumo didinimo technologijų.

Komisija pati užtikrins, kad Bendrijos institucijos ir įstaigos laikytųsi Reglamente (EB) 45/2001 nustatytų reikalavimų, visų pirma, naudodamos daugiau privatumo didinimo technologijų, kai teikiamos asmens duomenų tvarkymą apimančios informacinių ir ryšių technologijų paslaugos. Tuo pačiu Komisija ragina ir kitas ES institucijas imtis tokių veiksmų. Europos duomenų apsaugos priežiūros pareigūnas galėtų prisidėti konsultuodamas Bendrijos institucijas ir įstaigas vidaus taisyklių, susijusių su asmens duomenų tvarkymu, rengimo klausimais. Rinkdamasi naujas informacines ir ryšių technologijų programas savo reikmėms arba tobulindama šiuo metu veikiančias programas, Komisija svarstys galimybę įdiegti privatumo didinimo technologijas. Privatumo didinimo technologijų svarba bus nurodyta Komisijos bendrojoje IT valdymo strategijoje. Be to, Komisija toliau ugdys su šia sritimi susijusias savo darbuotojų žinias. Tačiau privatumo didinimo technologijų diegimas Komisijos informacinėse ir ryšių technologijose priklauso nuo šių produktų prieinamumo ir bus svarstomas kiekvienu konkrečiu atveju atsižvelgiant į programos vystymo ciklą.

4.3. Trečias tikslas – skatinti vartotojus naudoti privatumo didinimo technologijas

Vartotojai išliks labiausiai suinteresuota šalimi užtikrinant, kad jų asmeninė informacija būtų naudojama teisingai, duomenų apsaugos taisyklės įgyvendinamos tinkamai, o privatumo didinimo technologijos naudojamos kaip veiksminga priemonė siekiant užtikrinti jų vykdymą.

Todėl vartotojams turėtų būti suteikta visa informacija apie privatumo didinimo technologijų privalumus, dėl kurių sumažėja pavojus vykdant asmens duomenų tvarkymą apimančias operacijas. Jiems turėtų būti sudarytos sąlygos, kad rinkdamiesi, kokią IT ir programinę įrangą pirkti arba kokias e. paslaugas naudoti, jie turėtų pakankamai informacijos. Jie turėtų žinoti apie galimus pavojus ir, pirmiausiai, apie tai, ar privatumo didinimo technologijos užtikrina tinkamą apsaugą. Todėl vartotojui turi būti suteikta paprasta ir suprantama informacija apie esamas privatumo apsaugai skirtas technologines priemones. Didesnė privatumo didinimo technologijų ir e. paslaugų, kurias vykdant naudojamos privatumo didinimo technologijos, paklausa bus ekonomiškai naudinga jas naudojantiems pramonės sektoriams; tai gali sukelti vadinamąjį „sniego gniūžtės“ efektą, t. y. tokiu būdu kitos įmonės bus skatinamos skirti daugiau dėmesio duomenų apsaugos taisyklėms įgyvendinti. Siekiant šių tikslų reikėtų imtis tam tikrų veiksmų.

4.3.1. 3.1 veiksmas: vartotojų informavimas

Reikėtų parengti nuoseklią strategiją siekiant geriau informuoti vartotojus apie dėl jų duomenų tvarkymo kylantį pavojų ir apie galimus sprendimus naudojant privatumo didinimo technologijas, kurios papildytų duomenų apsaugos teisės aktuose numatytas priemones. Komisija ketina pradėti kelias visai ES skirtas informavimo apie privatumo didinimo technologijas kampanijas.

Didžiausia atsakomybė už šios veiklos vykdymą tenka nacionalinėms duomenų apsaugos institucijoms, kurios jau turi su šia sritimi susijusios patirties. Komisija ragina šias institucijas išplėsti savo informavimo veiklą, į ją įtraukiant informaciją apie privatumo didinimo technologijas, ir ją vykdyti visomis joms prieinamomis priemonėmis. Be to, Komisija ragina pagal 29 straipsnį įkurtą darbo grupę koordinuoti nacionalinės patirties taikymą parengiant nuoseklų informavimo apie privatumo didinimo technologijas darbo planą ir rengti susitikimus, kuriuose būtų dalijamasi geriausia nacionaline praktika. Vartotojų asociacijos ir kiti dalyviai, pavyzdžiui, Europos vartotojų centrų tinklas (EVC tinklas), atliekantis visos ES tinklo, skirto informuoti piliečius apie jų kaip vartotojų teises, funkciją, galėtų veikti išvien informuodami vartotojus.

4.3.2. 3.2 veiksmas: padėti vartotojams pasirinkti remiantis turima informacija – privatumo apsaugos ženklai

Būtų lengviau skatinti susidomėjimą privatumo didinimo technologijomis ir jų naudojimą, jeigu būtų galima nesunkiai atpažinti, kad šios technologijos įdiegtos konkrečiame produkte, ir nustatyti jų pagrindines charakteristikas. Tuo tikslu Komisija ketina atlikti galimybės visoje ES taikyti privatumo apsaugos ženklų sistemą tyrimą, kuris apimtų ir ekonominio bei socialinio poveikio analizę. Tokiais privatumo apsaugos ženklais būtų siekiama užtikrinti, kad vartotojai galėtų nesunkiai atpažinti tam tikrus produktus, kuriais užtikrinamas arba sustiprinamas duomenų apsaugos taisyklių įgyvendinimas atliekant duomenų tvarkymą, visų pirma dėl įdiegtų privatumo didinimo technologijų.

Komisijos manymu, siekiant užtikrinti privatumo apsaugos ženklų funkcijos įgyvendinimą, reikėtų laikytis šių principų:

- Turėtų būti kuo mažiau privatumo apsaugos ženklų sistemų. Iš esmės, didelė tokių ženklų įvairovė gali suklaidinti vartotojus ir sumažinti jų pasitikėjimą visais ženklais. Todėl reikėtų atlikti tyrimą, kurio metu būtų išnagrinėta, ar verta Europos privatumo apsaugos ženklą integruoti į platesnę saugumo sertifikavimo sistemą[14] ir kokiu mastu reikėtų tai atlikti.

- Privatumo apsaugos ženklai turėtų būti suteikiami, tik jeigu produktas atitinka nustatytus duomenų apsaugos taisykles atitinkančius standartus. Standartai turėtų būti kiek įmanoma vienodesni visoje ES.

- Valstybinės institucijos, pirmiausiai nacionalinės duomenų apsaugos institucijos, dalyvaudamos nustatant susijusius standartus ir vykdant procedūras, taip pat stebėdamos, kaip veikia privatumo apsaugos ženklų sistema, turėtų vaidinti svarbų vaidmenį šioje sistemoje.

Atsižvelgdama į pirmiau nurodytą informaciją ir į ankstesnę su kokybės ženklų programomis kitose srityse (pvz., aplinkos, žemės ūkio, produktų ir paslaugų saugumo sertifikavimo) susijusią patirtį Komisija ves dialogą su visomis susijusiomis suinteresuotosiomis šalimis, įskaitant nacionalines duomenų apsaugos institucijas, pramonės ir vartotojų asociacijas bei standartizacijos įstaigas.

[1] 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, OL L 281, 1995 11 23, p. 31.

[2] 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Privatumo ir elektroninių ryšių direktyva), OL L 201, 2002 7 31, p. 37.

[3] 2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentas (EB) 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo, OL L 8, 2001 1 12, p. 1–22.

[4] Direktyvos 2002/58/EB 46 konstatuojamoji dalis ir 14 straipsnio 3 dalis.

[5] COM (2003) 265(01), 2003 5 15, ˛r. http://eurlex.europa.eu/LexUriServ/site/en/com/2003/com2003_0265en01.pdf

[6] http://ec.europa.eu/information_society/activities/egovernment_research/doc/eidm_roadmap_paper.pdf

[7] Teisingumo Teismo 2003 m. gegužės 20 d. sprendimas „Österreichischer Rundfunk and Others“ („Rechnungshof“) byloje (sujungtos bylos C-465/00, C-138/01 ir C-139/01), Rink. p. I-4989, 71 ir 72 punktai.

[8] https://www.prime-project.eu/

[9] http://www.opentc.net/

[10] http://www.ist-discreet.org/

[11] Pvz., 17 straipsnis.

[12] Asmenų apsaugos tvarkant asmens duomenis darbo grupė, įkurta pagal Direktyvos 95/46/EB 29 straipsnį.

[13] COM(2003) 567 galutinis, 2003 9 26.

[14] Savo 2006 m. gegužės 31 d. Saugios informacinės visuomenės strategijoje „Dialogas, partnerystė ir teisių suteikimas“ (COM(2006) 251 galutinis) Komisija jau yra pakvietusi privatųjį sektorių „siekti prieinamų saugumo sertifikavimo schemų produktams, procesams ir paslaugoms, kurios atitiktų specifinius ES poreikius (ypač privatumo)“.