[pic] | EIROPAS KOPIENU KOMISIJA |

Briselē, 2.5.2007

COM(2007) 228 galīgā redakcija

KOMISIJAS PAZIŅOJUMS EIROPAS PARLAMENTAM UN PADOMEI

par datu aizsardzības veicināšanu, izmantojot privātuma uzlabojošas tehnoloģijas (PUT)

KOMISIJAS PAZIŅOJUMS EIROPAS PARLAMENTAM UN PADOMEI

par datu aizsardzības veicināšanu, izmantojot privātuma uzlabojošas tehnoloģijas (PUT) (Dokuments attiecas uz EEZ)

IEVADS

Informācijas un komunikāciju tehnoloģiju (IKT) intensīvā un noturīgā attīstība pastāvīgi piedāvā jaunus pakalpojumus, kas uzlabo cilvēku dzīvi. Lielā mērā kibertelpas mijiedarbību izejmateriāls ir personu dati, kas pārvietojas tajā, kad personas iegādājas preces un pakalpojumus, izveido kontaktus ar citiem vai uztur tos vai izplata savas idejas globālajā tīmeklī. Šie jaunumi ir snieguši daudz priekšrocību, tomēr personas apdraud arī jauni riski – identitātes zādzība, diskriminējoša profilu izmantošana, pastāvīga novērošana vai krāpšana.

Tiesības uz personas datu aizsardzību ir atzītas Eiropas Savienības Pamattiesību hartas 8. pantā. Šīs pamattiesības ir turpmāk izstrādātas ar Eiropas tiesisko regulējumu personas datu aizsardzības jomā, ko veido Datu aizsardzības direktīva 95/46/EK[1], „e-privātuma” direktīva 2002/58/EK[2] un Datu aizsardzības regula (EK) 45/2001[3] par datu apstrādi Kopienas iestādēs un organizācijās. Šajos tiesību aktos ir izklāstīti būtiski noteikumi, kas nosaka pienākumus personas datu apstrādātājiem un atzīst datu subjektu tiesības. Tā paredz arī sankcijas un tiesiskās aizsardzības līdzekļus pārkāpumu gadījumā un izveido izpildes mehānismus, kas nodrošina šo noteikumu efektivitāti.

Šī sistēma tomēr var izrādīties nepietiekama, ja personas dati ar IKT tīkliem tiek izplatīti visā pasaulē un datu apstrādi reglamentē vairākas jurisdikcijas, bieži vien ārpus Eiropas Savienības. Šādās situācijās var uzskatīt, ka ir piemērojami spēkā esošos noteikumi un no tiem ir gaidāmas skaidras juridiskas atbildes. Turklāt ir iespējams noteikt kompetento iestādi, kas atbild par to izpildi. Tomēr praksē var pastāvēt praktiski šķēršļi, ko rada ar izmantotajām tehnoloģijām saistītās grūtības, iesaistot datu apstrādi, ko veic dažādas personas dažādās vietās, un problēmas kas ir raksturīgas valsts administratīvo un tiesas lēmumu izpildei citā jurisdikcijā, jo īpaši valstīs, kas nav ES dalībvalstis.

Kaut arī formāli par datu aizsardzības noteikumu ievērošanu ir juridisko atbildību nes personas datu apstrādātāji, par datu aizsardzību ir daļēji atbildīgas, no sociālā un ētiskā aspekta, ir arī citas personas. Šo personu vidū ir arī speciālisti, kas sagatavo tehniskās specifikācijas un faktiski izstrādā vai ievieš lietojumprogrammas vai operētājsistēmas.

Datu aizsardzības direktīvas 17. pants nosaka personas datu apstrādātāja pienākumu īstenot atbilstīgus tehniskus un organizatoriskus pasākumus un nodrošināt tādu drošības līmeni, kas atbilst datu raksturam un ar to apstrādi saistītajiem riskiem. Tehnoloģijas izmantošana tiesību aktu izpildes veicināšanai, jo īpaši attiecībā uz datu aizsardzības noteikumiem, zināmā mērā jau ir paredzēta „e-privātuma” direktīvā[4].

Turpmākiem pasākumiem, kas veicinātu tiesiskā regulējuma mērķi, pēc iespējas samazināt apstrādājamo personas datu apjomu un anonīmu datu vai datu ar pseidonīmiem lietošanu, varētu izmantot privātuma uzlabojošas tehnoloģijas jeb PUT, kas ne tikai palīdzētu nodrošināt to, ka datu aizsardzības noteikumu neievērošana un personu tiesību pārkāpumi ir aizliegti un to dēļ ir iespējamas sankcijas, bet arī tehniski apgrūtinātu šādu pārkāpumu izdarīšanu.

Šis paziņojums seko Pirmajam ziņojumam par Datu aizsardzības direktīvas[5] īstenošanu un tā nolūks ir izklāstīt PUT priekšrocības, noteikt Komisijas mērķus šajā jomā, lai veicinātu šo tehnoloģiju izmantošanu, un precīzus pasākumus, kas turpmāk veicami, lai tiktu atbalstīta PUT izstrāde un tās lietotu personas datu apstrādātāji un patērētāji.

KAS IR PUT?

Akadēmiskajās aprindās un izmēģinājuma projektos izmanto vairākas PUT definīcijas. Piemēram, EK finansētajā PISA projektā ar PUT saprot IKT pasākumu saskaņotu sistēmu, kas aizsargā privātumu, dzēšot personas datus, mazinot to apjomu vai novēršot nevajadzīgu un/vai nevēlamu personas datu apstrādi, un vienlaikus nezaudē informācijas sistēmas funkcionalitāti. PUT izmantošana var palīdzēt izstrādāt informācijas un komunikācijas sistēmas un pakalpojumus tā, lai panāktu personas datu minimālu ievākšanu un lietošanu un veicinātu atbilstību datu aizsardzības noteikumiem. Komisija Pirmajā ziņojumā par Datu aizsardzības direktīvas īstenošanu minēja, ka „..piemērotu tehnisku pasākumu lietošana ir būtisks papildinājums tiesiskajiem līdzekļiem, un tā obligāti jāiekļauj visos pasākumos, kuru mērķis ir panākt pietiekamu privātās dzīves aizsardzību” . Ar PUT izmantošanu būtu jāpanāk, ka noteiktus datu aizsardzības noteikumu pārkāpumus izdarīt kļūs grūtāk un/vai tos būs vieglāk atklāt.

Attiecībā uz privātuma aizsardzības nodrošināšanu un dažādiem aspektiem saistībā ar atbilstību datu aizsardzības tiesību aktiem atšķirīgu PUT efektivitāte IKT dinamiskajā vidē ir dažāda, un laika gaitā tā mainās. Tām mēdz būt arī dažādi veidi. Tie var būt atsevišķi instrumenti, kuru izmantošana paredz aktīvu patērētāju rīcību (kam tie jāiegādājās un jāinstalē uz sava datora), vai instrumenti, kas ir iestrādāti informācijas sistēmu arhitektūrā. Šeit varētu minēt vairākus PUT piemērus.

- Automātiska datu anonimizācija pēc noteikta laika, īsteno principu, saskaņā ar kuru apstrādātie dati jāuzglabā tā, lai datu subjektu identifikācija nebūtu iespējama ilgāk, kā tas ir nepieciešams tiem nolūkiem, kuru dēļ datus sākotnēji ievāca.

- Šifrēšanas instrumenti, kas novērš nesankcionētu ielaušanos datorsistēmās laikā, kad informācija tiek pārraidīta ar interneta palīdzību, palīdz personas datu apstrādātājam izpildīt pienākumu veikt piemērotus pasākumus personas datu aizsardzībai pret neatļautu apstrādi.

- Tehnikas to sīkdatņu bloķēšanai, kas ir ievietotas lietotāja datorā un bez viņa ziņas veic noteiktas darbības, palīdz ievērot principu, ka datu apstrādei jānotiek godīgi un likumīgi un datu subjektam ir jābūt informētam par notiekošo datu apstrādi.

- Privātuma preferenču platforma (P3P), kas ļauj interneta lietotājiem analizēt tīmekļa vietņu privātuma politikas un salīdzināt tās ar lietotāja preferencēm attiecībā uz informāciju, ko viņi vēlas izpaust, palīdz nodrošināt to, ka datu subjekta piekrišana datu apstrādei ir apzināts lēmums.

KOMISIJAS ATBALSTS PUT

Komisija uzskata, ka PUT ir jāattīsta un jālieto plašāk, jo īpaši tajos gadījumos, kad datu apstrāde notiek IKT tīklos. Komisija paredz, ka plašāka PUT lietošana uzlabos privātuma aizsardzību, kā arī palīdzēs ievērot datu aizsardzības noteikumus. PUT lietošana varētu papildināt pastāvošo tiesisko regulējumu un tā izpildes mehānismus.

Komisijas Paziņojumā par drošas informācijas sabiedrības stratēģiju, COM(2006) 251, 2006. gada 31. maijā, tā jo īpaši aicina privāto sektoru, lai tas „rosinātu drošību veicinošu produktu izvēršanu, procesus un pakalpojumus, lai novērstu un cīnītos pret identitātes zādzību un citiem uzbrukumiem, kas saistīti ar iejaukšanos privātajā dzīvē” . Turklāt Komisijas plānā par Eiropas eIDM satvaru līdz 2010. gadam[6] viens no galvenajiem principiem, kas reglamentē elektroniskās identitātes pārvaldību, ir – „sistēmai ir jābūt drošai, jāievieš nepieciešamie drošības līdzekļi lietotāja personas datu aizsardzībai, un jāļauj saskaņot tās lietošanu ar vietējām interesēm un jutīgajām tēmām” .

Vairāku dalībnieku iesaistīšanās datu apstrādē un dažādu valstu jurisdikciju saistība ar šo procesu var apgrūtināt tiesiskā regulējuma izpildi. No otras puses, lietojot PUT, varētu panākt, ka tiek novērsti atsevišķi datu aizsardzības noteikumu pārkāpumi, kuru rezultātā tiek aizskartas pamattiesības, tostarp privātums, jo šo pārkāpumu izdarīšana tehniski būs apgrūtināta. Komisija apzinās, ka tehnoloģijas, kaut arī tām ir būtiska loma privātuma aizsardzībā, nav pietiekošas, lai nodrošinātu privātumu. PUT jāpiemēro saskaņā ar tiesisko regulējumu, ko veido izpildāmie datu aizsardzības noteikumi, kas paredz vairākus apspriežamus privātuma aizsardzības līmeņus visām personām. PUT lietošana nenozīmē operatoru atbrīvošanu no atbildības par dažu tiem noteikto juridisko pienākumu pildīšanu (piemēram, nodrošināt individuāliem lietotājiem piekļuvi viņu datiem).

Iespējama arī efektīvāka kalpošana svarīgām sabiedrības interesēm. Datu aizsardzības tiesiskais regulējums paredz iespējamus ierobežojumus vispārējiem principiem un personu tiesību ierobežošanu sakarā ar svarīgām sabiedrības interesēm, piemēram, sabiedrības drošība, cīņa pret noziedzību vai sabiedrības veselības aizsardzība. Noteikumi par šādiem ierobežojumiem ir izklāstīti Datu aizsardzības direktīvas 13. pantā un e-privātuma direktīvas 15. pantā. Šie noteikumi ir līdzīgi Eiropas Cilvēktiesību konvencijas (ECK) 8. panta noteikumiem, paredzot, ka šādi ierobežojumi ir nosakāmi saskaņā ar likumu un ir samērīgi un nepieciešami likumīgu sabiedrības interešu nodrošināšanai demokrātiskā sabiedrībā[7]. PUT lietošana nedrīkst kavēt tiesībsargājošās iestādes vai citas kompetentās iestādes veikt darbības, kas saistītas ar to likumīgo funkciju īstenošanu attiecībā uz svarīgu sabiedrības interešu aizsardzību, piemēram, kibernoziegumu apkarošana, cīņa pret terorismu vai infekcijas slimību izplatības novēršana. Atbildīgajām iestādēm ir jābūt pilnvarotām piekļūt personas datiem, ja tas ir nepieciešams iepriekš minētajiem mērķiem, un tām ir jāievēro likumā noteiktās procedūras, nosacījumi un drošības līdzekļi.

Datu aizsardzības noteikumu labāka ievērošana pozitīvi ietekmēs arī patērētāju uzticību, jo īpaši kibertelpā. Tas dotu priekšrocības daudziem IT tīkliem, tādiem kā e-mācības, e-valdība, e-veselība, e-banku pakalpojumi, e-komercija vai „viedā automobiļa” sistēmas. Cilvēki varēs būt pārliecināti, ka viņu norādītie dati, ar kuriem tie identificē sevi un kas ļauj tiem saņemt pakalpojumus vai veikt maksājumus, tiks izmantoti tikai likumīgiem nolūkiem un iesaistīšanās informācijas sabiedrībā nenotiek uz viņu tiesību upurēšanas rēķina.

Paveiktais darbs un turpmākā rīcība

Lai panāktu privātuma un datu aizsardzības līmeņa uzlabošanu Kopienā, cita starpā veicinot arī PUT attīstību un lietošanu, Komisija ir iecerējusi veikt turpmāk aprakstītos pasākumus, kuros tiks iesaistīts plašs dalībnieku loks – Komisijas dienesti, valstu iestādes, nozares pārstāvji un patērētāji.

Šajās diskusijās uzmanība tiks pievērsta mazo un vidējo uzņēmumu (MVU) īpašajai situācijai, apsverot iespēju stimulēt PUT lietošanu tajos. Diskusiju tematu lokā Komisijai jāiekļauj arī jautājumi par uzticēšanos un informētību, jo šie jautājumi ir īpaši svarīgi MVU.

Pirmais mērķis – atbalstīt PUT attīstību

Ja PUT tiks plaši izmantotas, ir nepieciešama to turpmāka izstrāde, attīstība un ražošana. Šis darbs valsts un privātajā sektorā zināmā mērā jau ir sākts, tomēr Komisija uzskata, ka šīs darbības ir nepieciešams aktivizēt. Šajā nolūkā jānosaka vajadzības pēc PUT un to tehnoloģiskās prasības, kā arī jāveic pētniecības un tehnoloģiju attīstības (PTA) pasākumi instrumentu izstrādei.

1.1. darbība – noteikt vajadzības pēc PUT un to tehnoloģiskās prasības

PUT ir ļoti atkarīgas no IKT attīstības. Tiklīdz ir atklāti tehnoloģiju attīstības izraisītie riski, jānosaka pareizas prasības tehniskajam risinājumam.

Komisija ierosinās dažādu dalībnieku grupu sanāksmes un apspriedes par PUT. Šīs grupas veidos IKT nozares pārstāvji, PUT izstrādātāji, par datu aizsardzību atbildīgās iestādes, tiesībsargājošās iestādes, partneri tehnoloģiju jomā, tostarp eksperti tādās jomās kā e-veselība vai informācijas drošība, patērētāji un pilsoņtiesību asociācijas. Ieinteresētajām personām regulāri jāizvērtē tehnoloģijas attīstība, jāatklāj tās radītie draudi pamattiesībām un datu aizsardzībai un jāiezīmē tehnoloģiskās prasības PUT risinājumiem. Tas var ietvert arī tehnoloģisko pasākumu precīzu piemērošanu atbilstoši dažādiem riskiem un apstrādājamiem datiem, vienlaikus ņemot vērā sabiedrības interešu, piemēram, sabiedrības drošības, aizsardzību.

1.2. darbība – izstrādāt PUT

Tiklīdz būs noteiktas vajadzības pēc PUT un tehnoloģiskās prasības tām, jāveic konkrēti pasākumi, lai izstrādātu lietošanai gatavu galaproduktu.

Komisijai jau ir izskatījusi vajadzību pēc PUT. Sestās pamatprogrammas ietvaros Komisija finansē PRIME[8] projektu, kurā tiek risinātas problēmas saistībā ar digitālās identitātes pārvaldību un privātumu informācijas sabiedrībā. OPEN-TC[9] projekts ļaus privātuma aizsardzību balstīt uz uzticamu skaitļošanu ar atvērtiem pirmkodiem (open trusted computing), un DISCREET[10] projektā tiek attīstīta starpprogrammatūra, lai uzlabotu privātumu modernos tīkla pakalpojumos. Saskaņā ar Septīto pamatprogrammu Komisija ir paredzējusi atbalstīt citus pētniecības un tehnoloģiju attīstības projektus un plašus izmēģinājuma demonstrējumus, lai attīstītu un stimulētu PUT apgūšanu. Šo pasākumu mērķis ir nodrošināt pamatu tādu privātuma aizsardzības pakalpojumu izveidošanai, kas pieļauj lielāku lietotāja ietekmi, un novērst juridiskās un tehniskās atšķirības Eiropā, izmantojot valsts un privātā sektora sadarbību.

Komisija vērsīsies pie valstu iestādēm un privātā sektora ar aicinājumu veikt ieguldījumus PUT attīstībā. Šādi ieguldījumi ir ļoti svarīgi, lai Eiropas uzņēmēji saglabātu vadošo stāvokli nozarē, kas turpinās attīstīties, jo tehnoloģisko standartu nodrošināšanai aizvien biežāk būs nepieciešama šo tehnoloģiju izmantošana un to pieprasīs arī patērētāji, kas būs informēti par nepieciešamību aizsargāt savas tiesības kibertelpā.

Otrais mērķis – veicināt to, lai personas datu apstrādātāji lietotu PUT

PUT priekšrocības pilnā mērā būs iespējams izmantot tikai tādā gadījumā, ja tās būs efektīvi iekļautas un lietotas tehniskajās iekārtās un programmatūras rīkos, ar kuru palīdzību veic personas datu apstrādi. Tāpēc ir ļoti svarīgi, lai šajā procesā piedalītos to nozaru speciālisti, kas ražo šādas ierīces, un personas datu apstrādātāji, kas tās izmanto datu apstrādē.

2.1. darbība – veicināt PUT lietošanu nozarēs

Komisija uzskata, ka visām datu apstrādē iesaistītām grupām ir izdevīga plaša PUT lietošana. IKT nozarei kā PUT sākotnējam izstrādātājam un nodrošinātājam ir īpaši svarīga loma PUT sekmēšanā. Komisija aicina visus personas datu apstrādātājus plašāk un intensīvāk iekļaut un piemērot PUT attiecīgajās procedūras. Šim nolūkam Komisija organizēs ar galvenajiem IKT nozares pārstāvjiem un jo īpaši PUT izstrādātājiem ar mērķi analizēt to iespējamo ieguldījumu, lai veicinātu PUT lietošanu datu apstrādē.

Komisija veiks arī pētījumu par PUT ekonomiskajām priekšrocībām un izplatīs tā rezultātus, lai rosinātu uzņēmumus, jo īpaši MVU, lietot šīs tehnoloģijas.

2.2. darbība – nodrošināt piemērotu standartu ievērošanu personas datu aizsardzībā, izmantojot PUT

Plaša mēroga veicināšanas pasākumiem ir vajadzīga IKT nozares kā PUT ražotāja aktīva iesaistīšanās, tomēr piemērotu standartu nodrošināšanai nepietiek ar dalībnieku pašregulāciju vai labo gribu. Komisija, sagatavojot attiecīgos ietekmes novērtējumus, novērtēs vajadzību izstrādāt standartus personas datu likumīgai apstrādei ar PUT palīdzību. Pamatojoties uz šo novērtējumu rezultātiem, varēs apsvērt divu veidu instrumentus.

- 2.2.a) darbība. Standartizācija

Komisija centīsies panākt, lai standartizācijas pasākumos tiktu ņemta vērā nepieciešamība ievērot datu aizsardzības noteikumus. Plānojot turpmākos Komisijas pasākumus un Eiropas standartizācijas organizāciju darbu, Komisija ņems vērā ieguldījumu, ko būs devušas plaša dalībnieku loka diskusijas par PUT. Tas būs īpaši svarīgi tajos gadījumos, kad diskusijās tiks identificēti piemēroti datu aizsardzības standarti, kas prasa noteiktu PUT iekļaušanu un lietošanu.

Iespējams, ka Komisija aicinās Eiropas standartizācijas organizācijas (CEN, CENELEC, ETSI) novērtēt Eiropas īpašās vajadzības un attiecīgi ievirzīt tās starptautiskā līmenī, piemērojot spēkā esošos nolīgumus starp Eiropas un starptautiskajām standartizācijas organizācijām. Vajadzības gadījumā Eiropas standartizācijas organizācijām jāizveido īpaša standartizācijas darba programma Eiropas vajadzībām, kas papildinātu darbu, kas tiek veikts starptautiskā līmenī.

- 2.2.b) darbība. Valstu tehnisko noteikumu saskaņošana datu apstrādes drošības pasākumu jomā

Valstu tiesību akti, kas ir pieņemti saskaņā ar Datu aizsardzības direktīvu[11] ļauj valstu datu aizsardzības iestādēm zināmā mērā precizēt tehniskās prasības, piemēram, izstrādāt norādījumus datu apstrādātājiem, pārbaudīt izveidotās sistēmas vai izdot tehniskas instrukcijas. Valstu datu aizsardzības iestādes varētu pieprasīt arī konkrētu PUT iekļaušanu un lietošanu, ja tas ir nepieciešams attiecīgo personas datu apstrādei. Komisija uzskata, ka šī ir joma, kurā PUT lietojumu veicināšanai būtu lietderīga valstu prakses koordinēšana. Šo uzdevumu varētu veikt 29. panta darba grupa[12], kuras uzdevums ir sekmēt vienādu piemērošanu valstu pasākumiem, kas pieņemti atbilstoši direktīvai Komisija tāpēc aicina 29. pantu darba grupu turpināt darbu šajā jomā, iekļaujot tās darba kārtībā kā pastāvīgu darbību to jautājumu analīzi, kas saistīti ar nepieciešamību iekļaut datu apstrādes operācijās PUT kā efektīvus līdzekļus, kas nodrošina datu aizsardzības noteikumu ievērošanu. Šā darba rezultātā būtu jāizstrādā norādījumus datu aizsardzības iestādēm, ko tās varētu īstenot valstu līmenī, koordinēti pieņemot piemērotus instrumentus.

2.3. darbība – veicināt PUT lietošanu valsts iestādēs

Ievērojams skaits apstrādes operāciju, kas skar personas datus, tiek veiktas valsts iestādēs, kad tās valsts un Kopienas līmenī īsteno savas pilnvaras. Valsts iestāžu pienākums ir ievērot pamattiesības, tostarp tiesības uz personas datu aizsardzību, un nodrošināt, lai šīs tiesības ievēro arī citi, tāpēc valsts iestādēm jārāda piemērs.

Komisija atzīmē, ka valstu iestādēs aizvien vairāk tiek izmantotas e-valdības lietojumprogrammas kā instrumenti sabiedrisko pakalpojumu efektivitātes uzlabošanai. Komisijas paziņojumā par e-valdības lomu Eiropas nākotnē [13] ir teikts, ka PUT lietošana e-valdībā ir nepieciešama, lai nodrošinātu uzticēšanos un pārliecību, kas ir vajadzīga tās panākumu nodrošināšanai. Komisija aicina valdības nodrošināt datu aizsardzības līdzekļu iestrādāšanu e-valdības lietojumprogrammās, pēc iespējas plaši to izstrādē un īstenošanā izmantojot arī PUT.

Komisija pati nodrošinās to, lai Kopienas iestādes un organizācijas pildītu Regulā (EK) Nr. 45/2001 noteiktās prasības, plašāk izmantojot PUT IKT lietojumprogrammās, ar kurām apstrādā personas datus. Vienlaikus Komisija aicinās pārējās ES iestādes sekot šim piemēram. Eiropas datu aizsardzības uzraudzītājam jākonsultē Kopienas iestādes un organizācijas par iekšējo noteikumu sagatavošanu attiecībā uz personas datu apstrādi. Izvēlēties jaunas IKT lietojumprogrammas savai lietošanai vai uzlabojot esošās lietojumprogrammas, Komisija apsvērs iespēju ieviest privātumu uzlabojošas tehnoloģijas. PUT nozīmīgums tiks ņemts vērā Komisijas vispārējā IT pārvaldības stratēģijā. Komisija turpinās paaugstināt personāla informētību. Tomēr PUT iekļaušana Komisijas IKT lietojumprogrammās ir atkarīga no saistīto produktu pieejamības un būs jāizvērtē katrā gadījumā atsevišķi atbilstoši lietojumprogrammas izstrādes ciklam.

Trešais mērķis – veicināt to, lai PUT lieto patērētāji

Patērētāji ir tā grupa, kuru visvairāk skar personīgās informācijas pareiza lietošana, datu aizsardzības noteikumu pareiza pieņemšana un PUT efektivitāte to garantēšanā.

Tāpēc patērētājiem jābūt pilnībā informētiem par priekšrocībām, ko PUT var dot to risku mazināšanā, ko rada operācijas, kurās tiek apstrādāti viņu personas dati. Patērētājiem, kad tie iegādājas IT iekārtas un programmatūru vai lieto e-pakalpojumus, jānodrošina iespēja pieņemt informētu lēmumu. Šādai iespējai jāparedz informētība par paredzamiem riskiem, jo īpaši iespēja novērtēt, vai PUT piedāvā piemērotu aizsardzību. Tāpēc lietotājam ir jāsaņem vienkārša un saprotama informācija par privātuma aizsardzības tehniskajiem instrumentiem. Ja PUT un arī e-pakalpojumi, kuros ir iekļautas PUT, tiks izmantoti plašāk, tas savukārt būs ekonomiski izdevīgi nozarēm, kas tās lieto, un var radīt domino efektu, spiežot citus uzņēmumus veltīt vairāk uzmanības datu aizsardzības noteikumu ievērošanai. Lai to panāktu, jāveic vairāki pasākumi.

3.1. darbība – palielināt patērētāju informētību

Ir jāpieņem konsekventa stratēģija, lai palielinātu patērētāju informētību par riskiem, kas saistīti ar viņu datu apstrādi, un risinājumiem, ko var piedāvāt PUT kā papildinājumu esošajiem tiesību aizsardzības līdzekļiem, kuri ir paredzēti tiesību aktos par tiesību aizsardzību. Komisija ir paredzējusi uzsākt visā ES virkni pasākumu, kas būs veltīti informētības palielināšanai attiecībā uz PUT.

Par šiem pasākumiem galvenokārt ir atbildīgas valstu datu aizsardzības iestādes, kurām jau ir būtiska pieredze šajā jomā. Komisija tās aicina veikt plašākus pasākumus informētības veicināšanai, lai ar visiem to rīcībā esošajiem līdzekļiem sniegtu informāciju par PUT. Komisija aicina arī 29. panta darba grupu koordinēt valstu prakses, lai izveidotu saskaņotu darba plānu par informētības palielināšanu PUT jautājumos, un pildīt kontaktpunkta funkcijas, lai apmainītos ar informāciju par labu praksi, kas jau ir ieviesta valstu līmenī. Arī patērētāju asociācijas un citas iesaistītās organizācijas, piemēram, Eiropas Patērētāju centru tīkls (ECC-Net), kas ir izveidots kā ES tīkls pilsoņu konsultēšanai par patērētāju tiesībām, varētu sadarboties patērētāju izglītošanas jomā.

3.2. darbība – sekmēt patērētāju informētus lēmumus: privātuma zīmogi

PUT ieviešanu un lietošanu varētu atbalstīt, panākot, ka šo tehnoloģiju klātbūtne noteiktā produktā un tā galvenajos raksturojumos ir viegli atpazīstama. Šim nolūkam Komisija ir iecerējusi izpētīt privātuma zīmogu ES līmeņa sistēmas iespējamību un analizēt arī tās ekonomisko un sociālo ietekmi. Šādu privātuma zīmogu uzdevums būtu nodrošināt to, ka patērētāji var viegli atpazīt noteiktu produktu kā tādu, kas nodrošina vai uzlabo datu aizsardzības noteikumu ievērošanu datu apstrādē, izmantojot tajā iekļautās PUT.

Lai privātuma zīmogs kalpotu tā mērķiem, Komisija uzskata, ka jāievēro turpmāk uzskaitītie principi.

- Privātuma zīmogu sistēmu skaitam ir jābūt pēc iespējas mazākam. Pārāk liels zīmogu skaits varētu radīt apjukumu patērētāju vidū un mazināt viņu uzticību visu veidu zīmogiem. Tāpēc jāizvērtē, vai būtu pareizi integrēt Eiropas privātuma zīmogu vispārīgākā drošības sertifikācijas sistēmā un kādā mērā šāda integrācija būtu īstenojama[14].

- Privātuma zīmogi jāpiešķir tikai par produkta atbilstību standartu kopumam datu aizsardzības noteikumu jomā. Šiem standartiem visā ES jābūt pēc iespējas vienotiem.

- Jānodrošina, lai valsts iestādēm, jo īpaši valstu datu aizsardzības iestādēm, šajā procesā būtu svarīga loma, paredzot to iesaistīšanos attiecīgu standartu un procedūru definēšanā, un lai tās uzraudzītu zīmogu sistēmas funkcionēšanu.

Ņemot vērā iepriekš teikto un iepriekšējo pieredzi saistībā ar zīmogu programmām citās jomās (piemēram, vide, lauksaimniecība, produktu un pakalpojumu drošības sertifikācija), Komisija turpinās dialogu ar visām iesaistītajām organizācijām, tostarp valstu datu aizsardzības iestādēm, nozaru un patērētāju asociācijām un standartizācijas iestādēm.

[1] Eiropas Parlamenta un Padomes 1995. gada 24. oktobra Direktīva 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti, OV L 281, 23.11.1995., 31. lpp.

[2] Eiropas Parlamenta un Padomes 2002. gada 12. jūlija Direktīva 2002/58/EK par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju), OV L 201, 31.7.2002., 37. lpp.

[3] Eiropas Parlamenta un Padomes 2001.gada 18. decembra Regula (EK) Nr. 45/1995 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti, OV L 8, 12.1.2001., 1. lpp.

[4] Direktīvas 2002/58/EK 46. apsvērums un 14. panta 3. punkts.

[5] COM (2003) 265(01), 15.5.2003., skatīt http://eurlex.europa.eu/LexUriServ/site/en/com/2003/com2003_0265en01.pdf

[6] http://ec.europa.eu/information_society/activities/egovernment_research/doc/eidm_roadmap_paper.pdf

[7] Eiropas Kopienu Tiesa, 2003. gada 20. maija spriedums apvienotajās lietās C-465/00, C-138/01 un C-139/01 „Österreichischer Rundfunk and Others” ( „Rechnungshof” ), ECR [2003] I-04989, 71. un 72. punkts.

[8] https://www.prime-project.eu/

[9] http://www.opentc.net/

[10] http://www.ist-discreet.org/

[11] Piemēram, 17. pants.

[12] Darba grupa personu aizsardzībai attiecībā uz personas datu apstrādi, kura izveidota saskaņā ar Direktīvas 95/46/EK 29. pantu.

[13] COM (2003) 567, galīgā redakcija, 26.9.2003.

[14] Komisija 2006. gada 31. maija Paziņojumā par drošas informācijas sabiedrības stratēģiju „Dialogs, partnerība un iespējas” (COM(2006) 251, galīgā redakcija) jau ir aicinājusi privāto sektoru, lai tas „strādātu pie reāli īstenojamām drošības sertifikācijas shēmām tiem produktiem, procesiem un pakalpojumiem, kuri risinās ES raksturīgās vajadzības (īpaši attiecībā uz privātumu)”.