Asmens duomenų apsauga

Direktyva 95/46/EB yra ES lygmens atskaitos dokumentas asmens duomenų apsaugos srityje. Joje nustatyta reglamentavimo sistema, kuria siekiama nustatyti pusiausvyrą tarp aukšto asmenų privataus gyvenimo apsaugos lygio ir laisvo asmens duomenų judėjimo Europos Sąjungoje (ES). Šiuo tikslu direktyvoje griežtai nustatyti asmens duomenų rinkimo ir naudojimo apribojimai ir prašoma kiekvienoje valstybėje narėje įsteigti nepriklausomą nacionalinę instituciją, kontroliuojančią visus veiksmus, susijusius su asmens duomenų tvarkymu.

DOKUMENTAS

1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo [Žr. iš dalies keičiantį (-ius) aktą (-us)].

SANTRAUKA

Ši direktyva taikoma automatiniais būdais (pvz., informacinėje klientų duomenų bazėje) tvarkomiems asmens duomenims bei duomenims, kurie laikomi arba yra skirti laikyti neautomatinėse kartotekose (tradicinėse popierinėse bylose).

Direktyva netaikoma tvarkant asmens duomenis:

• kai juos tvarko fizinis asmuo, užsiimdamas tik asmenine arba namų ūkio veikla;
• kai užsiimama tokia veikla, kuri nepatenka į Bendrijos teisės taikymo sritį, pvz., susijusia su visuomenės saugumu, gynyba ar valstybės saugumu.

Direktyva siekiama apsaugoti asmenų teises ir laisves, susijusias su asmens duomenų tvarkymu, ir nustatomi pagrindiniai kriterijai , lemiantys duomenų tvarkymo teisėtumą, ir duomenų kokybės principai.

Duomenų tvarkymas yra teisėtas, jeigu:

• duomenų subjektas nedviprasmiškai su tuo sutinka;
• duomenys tvarkomi dėl sutarties, kurios šalimi yra duomenų subjektas, įvykdymo;
• duomenys tvarkomi dėl teisinės prievolės, kuri privaloma duomenų valdytojui, įvykdymo;
• duomenys tvarkomi duomenų subjekto gyvybiniams interesams apsaugoti;
• duomenys tvarkomi vykdant užduotį visuomenės interesų labui ar įgyvendinant oficialius įgaliojimus, suteiktus duomenų valdytojui arba trečiajai šaliai;
• duomenys tvarkomi siekiant teisėto duomenų valdytojo ar trečiosios šalies intereso, išskyrus atvejus, kai tai pažeidžia pagrindines duomenų subjekto laisves ir teises, kurias reikia ginti.

Asmens duomenų kokybės principai teisėtam duomenų tvarkymui:

• asmens duomenys turi būti tvarkomi sąžiningai ir teisėtai, renkami aiškiai apibrėžtais ir teisėtais tikslais. Duomenys turi būti adekvatūs, susiję ir savo apimtimi neviršijantys tikslų, dėl kurių jie vėliau tvarkomi, tikslūs ir, jei būtina, nuolat atnaujinami; jie negali būti saugomi ilgiau nei reikia ir tik tuo tikslu, kuriuo buvo surinkti;
• kai duomenis reikia priskirti ypatingoms tvarkymo kategorijoms: turi būti draudžiama tvarkyti asmens duomenis, kurie atskleidžia rasinę ar etninę kilmę, politines, religines ar filosofines pažiūras, priklausymą profesinėms sąjungoms, taip pat tvarkyti duomenis apie asmens sveikatą ar intymų gyvenimą. Ši nuostata netaikoma, kai, pvz., tvarkyti būtina, kad būtų apsaugoti duomenų subjekto ar kito asmens gyvybiniai interesai arba profilaktinės medicinos ir medicininės diagnostikos tikslais.

Asmuo, apie kurį renkami duomenys, arba duomenų subjektas, turi tokias teises:

• teisę gauti informaciją: duomenų valdytojas privalo suteikti tam tikrą informaciją (duomenų valdytojo arba jo atstovo, jei toks yra, tapatybę, duomenų tvarkymo tikslus, duomenų gavėjus ir pan.), kuri turi būti tiekiama asmeniui, iš kurio renkami su juo susiję duomenys;
• šių asmenų teisė gauti duomenis: kiekvienas duomenų subjektas turi turėti teisę pareikalauti, kad duomenų valdytojas:
• suteiktų teisę prieštarauti duomenų tvarkymui: duomenų subjektas turi turėti teisę dėl teisėtų priežasčių prieštarauti duomenų apie jį tvarkymui. Pateikęs prašymą jis gali nemokamai prieštarauti, kad su juo susiję duomenys būtų tvarkomi tiesioginio pardavimo tikslais. Be to, jis turi būti informuotas prieš perduodant duomenis tretiesiems asmenims tiesioginio pardavimo tikslais, ir jam turi būti suteikiama teisė pasipriešinti duomenų perdavimui;

Kiti aspektai, tiesiogiai susiję su duomenų tvarkymu:

• duomenų subjekto teisių išimtys ir apribojimai: duomenų kokybės, duomenų subjekto informavimo, teisės gauti ir tvarkymo viešumo principų taikymas gali būti ribojamas siekiant apsaugoti, be kita ko, nacionalinį saugumą, gynybą, visuomenės saugumą, persekiojimą už baudžiamuosius nusižengimus, svarbius valstybės narės ar ES ekonominius ir finansinius interesus arba duomenų subjektą;
• tvarkymo konfidencialumas ir saugumas: bet kuriam asmeniui, veikiančiam pagal duomenų valdytojo ar duomenų tvarkytojo įgaliojimus, įskaitant ir patį duomenų tvarkytoją, galinčiam gauti asmens duomenų, draudžiama tvarkyti juos kitaip, kaip tiktai duomenų valdytojo nurodymu. Be to, valdytojas privalo įgyvendinti tinkamas technines ir organizacines apsaugos priemones, kad asmens duomenys nebūtų netyčia ar neteisėtai sunaikinti ar netyčia prarasti, pakeisti, neleistinai atskleisti ar palikti prieinami;
• pranešimas apie duomenų tvarkymą priežiūros institucijai: prieš pradėdamas duomenų tvarkymą duomenų valdytojas privalo apie tai pranešti nacionalinei priežiūros institucijai. Gavusi pranešimą, priežiūros institucija atlieka išankstinius galimo pavojaus duomenų subjektų teisėms ir laisvėms tyrimus. Turi būti užtikrintas viešas tvarkymo operacijų skelbimas, ir priežiūros institucijos privalo pildyti duomenų tvarkymo registrą.

Bet kuris asmuo turi turėti teisę į teisinę gynybą, jeigu būtų pažeistos teisės, suteikiamos pagal duomenų tvarkymui taikomas nacionalinės teisės nuostatas. Be to, asmenys, patyrę žalą dėl neteisėto jų asmens duomenų tvarkymo, turi teisę į patirtos žalos atlyginimą.

Leidžiama asmens duomenis perduoti iš valstybės narės į trečiąją šalį, kurioje užtikrinamas tinkamas apsaugos lygis. Nors asmens duomenis perduoti į tinkamo apsaugos lygio neužtikrinančią šalį draudžiama, Direktyvoje yra kelios ribotos šios taisyklės išimtys, pvz., jei duomenų subjektas pats sutinka su duomenų perdavimu, jei sudaroma sutartis, jei to reikia visuomenės interesų labui ir jei tik valstybės narės yra sankcionavusios įmonėms privalomas taisykles arba standartines sutarčių sąlygas.

Direktyva siekiama paskatinti rengti nacionalinius ir ES etikos kodeksus, kurie turi prisidėti prie tinkamo nacionalinių ir ES teisės nuostatų taikymo.

Kiekviena valstybė narė paveda vienai ar kelioms savarankiškoms viešosioms valdžios institucijoms jos teritorijoje prižiūrėti valstybių narių patvirtintų šios direktyvos įgyvendinimo nuostatų taikymą.

Įsteigta asmenų apsaugos tvarkant asmens duomenis darbo grupė, sudaryta iš nacionalinių priežiūros institucijų atstovų, Bendrijos institucijų ir organų priežiūros institucijų atstovų ir vieno Komisijos atstovo.

SUSIJĘ DOKUMENTAI

ĮGYVENDINIMO ATASKAITA

2007 m. kovo 7 d. Komisijos komunikatas Tarybai ir Europos Parlamentui dėl tolesnių veiksmų pagal Geresnio Duomenų apsaugos direktyvos įgyvendinimo darbo programą [ COM(2007) 87 galutinis – Neskelbta Oficialiajame leidinyje].

Šiame komunikate išnagrinėtas darbas, atliktas vykdant Geresnio Duomenų apsaugos direktyvos įgyvendinimo darbo programą, išdėstytą Pirmojoje Direktyvos 95/46/EB įgyvendinimo ataskaitoje. Komisija nurodė, kad įgyvendinimas pagerėjo, nes visos valstybės narės yra perkėlusios direktyvą į savo nacionalinę teisę. Ji pabrėžė, kad direktyvos iš dalies keisti nereikėtų.

Komisija pridūrė, kad:

• toliau bendradarbiaus su valstybėmis narėmis, o prireikus pradės oficialias pažeidimo tyrimo procedūras;
• dėl kai kurių direktyvos nuostatų parengs aiškinamąjį komunikatą;
• tęs darbo programos įgyvendinimą;
• jei gerokai patobulėtų konkrečios srities technologijos, pateiks konkretiems ES lygmens sektoriams skirtų teisės aktų;
• toliau bendradarbiaus su savo išorės partneriais, ypač JAV.

2003 m. gegužės 15 d. Komisijos pranešimas „Pirmoji Duomenų apsaugos direktyvos (95/46/EB) įgyvendinimo ataskaita“ [ COM(2003) 265 galutinis – Neskelbta Oficialiajame leidinyje].

Šioje ataskaitoje apžvelgti Komisijos konsultacijų su vyriausybėmis, institucijomis, įmonių federacijomis, vartotojų asociacijomis ir piliečiais dėl Direktyvos 95/46/EB vertinimo rezultatai. Konsultacijų rezultatai parodė, kad už direktyvos persvarstymą pasisakė nedaug jų dalyvių. Be to, pasikonsultavusi su valstybėmis narėmis, Komisija nustatė, kad dauguma jų ir dauguma nacionalinių priežiūros institucijų nemano, kad, esant dabartinei padėčiai, reikėtų iš dalies keisti direktyvą.

Nepaisant nustatyto įgyvendinimo atsilikimo ir spragų, direktyva atitiko savo pagrindinį tikslą pašalinti laisvo asmens duomenų judėjimo tarp valstybių narių kliūtis. Be to, Komisija mano, kad tikslas Bendrijoje užtikrinti aukštą apsaugos lygį buvo pasiektas, nes direktyvoje nustatyti vieni aukščiausių pasaulyje duomenų apsaugos standartai.

Deja, kiti vidaus rinkos politikos tikslai nebuvo taip sėkmingai pasiekti. Valstybių narių duomenų apsaugos įstatymai vis dar gerokai skiriasi. Šie skirtumai trukdo tarptautinėms organizacijoms kurti paneuropinę duomenų apsaugos politiką. Todėl Komisija paskelbė, kad padarys tai, kas reikalinga šiai padėčiai ištaisyti, ir kiek galėdama vengs oficialių veiksmų.

Vertinant bendrą duomenų apsaugos teisės aktų laikymosi ES lygį, iškyla trys sunkumai:

• trūksta išteklių jiems įgyvendinti;
• duomenų valdytojai labai nevienodai laikosi šių teisės aktų;
• duomenų subjektai iš pažiūros silpnai išmano savo teises, ir tai gali būti pirmiau minėto reiškinio priežastis.

Siekdama užtikrinti geresnį duomenų apsaugos direktyvos taikymą, Komisija priėmė darbo programą, kurioje nustatytos tam tikros priemonės, įgyvendintinos nuo ataskaitos priėmimo iki 2004 m. pabaigos. Priemonės apima tokias iniciatyvas:

• diskutuoti su valstybėmis narėmis ir duomenų apsaugos institucijomis dėl pokyčių, kurių reikia padaryti nacionaliniuose teisės aktuose, kad jie visiškai atitiktų direktyvos reikalavimus;
• siekiant geresnio ir vienodesnio direktyvos taikymo įtraukti šalis kandidates į veiksmus;
• tobulinti pranešimų apie direktyvos perkėlimo į nacionalinę teisę teikimo tvarką;
• supaprastinti tarptautinio duomenų perdavimo sąlygas;
• remti privataus gyvenimo apsaugos stiprinimo technologijas;
• skatinti savitvarką ir Europos elgesio kodeksų kūrimą.

PRIVATUMO IR ELEKTRONINIŲ RYŠIŲ DIREKTYVA

2002 m. liepos 12 d. Europos Parlamento ir Tarybos Direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) [Oficialusis leidinys L 201, 2002 m. liepos 31 d.].

Šidirektyva priimta 2002 m., tuo pačiu metu, kaip irnauja teisėkūros priemonė, turėjusi tapti elektroninių ryšių sektoriaus sistemos pagrindu. Joje išdėstytos nuostatos tam tikromis daugiau ar mažiau jautriomis temomis, kaip antai prisijungimo duomenų saugojimo valstybėse narėse policijos priežiūros tikslais, nepageidaujamų elektroninių pranešimų siuntimo, vadinamųjų slapukų (angl. „cookies“) naudojimo ir asmens duomenų įtraukimo į viešus abonentų sąrašus.

Reglamentas (ES) Nr. 611/2013 įpareigoja viešai prieinamų elektroninių paslaugų teikėjus informuoti apie asmens duomenų apsaugos pažeidimus, jei jų klientų asmens duomenys yra prarandami, pavagiami ar jiems kitaip pakenkiama.

Direktyvoje 2002/58/EB numatyta, kad asmens duomenų apsaugos pažeidimo ar pakenkimo asmens duomenims atveju paslaugų teikėjai apie pažeidimą informuotų kompetentingą nacionalinę duomenų apsaugos instituciją, o tam tikrais atvejais ir susijusius abonentus bei fizinius asmenis. Tuo tikslu Reglamente (ES) Nr. 611/2013 yra numatytos „techninės įgyvendinimo priemonės“.

Be kita ko, paslaugų teikėjai privalo:

• informuoti atitinkamą duomenų apsaugos instituciją per 24 valandas nuo pažeidimo nustatymo, siekiant apriboti tolesnį pažeidimą;
• atsižvelgti į duomenų apsaugos pažeidimo tipą, norint įvertinti, ar informuoti apie tai abonentus ir fizinius asmenis, pvz., ar duomenys yra susiję su finansine informacija, elektroninio pašto duomenimis, interneto įeičių dienyno failais, interneto naršymo istorija ir pan.;
• informuoti asmens duomenų apsaugos instituciją ir (arba) tiesiogiai susijusius abonentus ar fizinius asmenis apie įvykio detales, apie pažeistų duomenų tipą ir apie priemones, kurių buvo imtasi padėčiai ištaisyti.

DĖL SUTARČIŲ, SUSIJUSIŲ SU ASMENS DUOMENŲ PERDAVIMU TREČIOSIOMS ŠALIMS, TIPINIŲ PUNKTŲ

2004 m. gruodžio 27 d. Komisijos sprendimas 2004/915/EB , iš dalies keičiantis Sprendimą 2001/497/EB dėl sutarčių, susijusių su asmens duomenų perdavimu trečiosioms šalims, tipinių punktų [Oficialusis leidinys L 385, 2004.12.29].

Europos Komisija patvirtino naujus tipinius sutarčių punktus, kuriuos įmonės gali naudoti siekdamos užtikrinti tinkamą asmens duomenų perdavimo trečiosioms šalims apsaugą. Šiais naujaisiais punktais bus papildytos 2001 m. birželio mėn. priimto Komisijos sprendimo (žr. toliau) nuostatos.

2001 m. birželio 15 d. Komisijos sprendimas 2001/497/EB dėl sutarčių, susijusių su asmens duomenų perdavimu trečiosioms šalims, tipinių punktų, atsižvelgiant į Direktyvą 95/46/EB [Oficialusis leidinys L 181, 2001 7 4].

Šiame sprendime apibrėžiami tipiniai sutarčių punktai, kuriais siekiama užtikrinti tinkamą į trečiąsias šalis perduodamų asmens duomenų apsaugos lygį. Sprendime nustatyta valstybių narių pareiga pripažinti, kad įmonės ar organizacijos, naudojančios tokius tipinius sutarčių, susijusių su asmens duomenų perdavimu trečiosioms šalims, punktus, užtikrintų pakankamą jų apsaugos lygį.

Komisijos sprendimas 2010/87/ES dėl sutarčių standartinių sąlygų, nustatytų asmens duomenų perdavimui trečiosiose šalyse įsikūrusiems tvarkytojams pagal Europos Parlamento ir Tarybos direktyvos 95/46/EB nuostatas [Oficialusis leidinys L 39, 2010 2 12].

Komisijos sprendimai, suteikiantys pakankamą asmens duomenų apsaugos lygmenį trečiosioms šalims, vadovaujantis 25 str. 6 p.: šiuo metu Komisija yra pripažinusi, kad pakankamą apsaugą užtikrina Andora, Argentina, Australija, Kanada (komercinės organizacijos), Šveicarija, Farerų Salos, Gernsis, Izraelis, Meno Sals, Džersis, Naujoji Zelandija, Urugvajus ir JAV Prekybos ministerijos „saugaus uosto“ privatumo principai.

DUOMENŲ APSAUGA BENDRIJOS INSTITUCIJOMS IR ĮSTAIGOMS TVARKANT ASMENS DUOMENIS

2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos Reglamentas (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo [Oficialusis leidinys L 8, 2001 1 12].

Šiuo reglamentu siekiama užtikrinti asmens duomenų apsaugą, kai juos tvarko Europos Sąjungos institucijos ir įstaigos. Šiame dokumente:

• išdėstytos aukšto lygio apsaugą Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis užtikrinančios nuostatos;
• numatyta įsteigti už asmens duomenų stebėjimą atsakingą nepriklausomą priežiūros instituciją.

paskutinis atnaujinimas 08.03.2014