Fizinių asmenų apsauga ES institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis

 

DOKUMENTAS, KURIO SANTRAUKA PATEIKIAMA:

Reglamentas (ES) 2018/1725 dėl fizinių asmenų apsaugos ES institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo

KOKS ŠIO REGLAMENTO TIKSLAS?

Šiuo reglamentu:

• nustatomos taisyklės, kaip ES institucijos, organai, tarnybos ir agentūros turėtų tvarkyti asmens duomenis*, kuriuos jos turi apie fizinius asmenis;
• atsižvelgiama į asmenų pagrindines teises ir laisves, visų pirma į jų teisę į asmens duomenų apsaugą ir teisę į privataus gyvenimo neliečiamumą;
• suderinamos ES institucijoms, organams, tarnyboms ir agentūroms taikomos taisyklės su Bendrojo duomenų apsaugos reglamento (BDAR) ir Direktyvos (ES) 2016/680, vadinamosios Duomenų apsaugos teisėsaugos srityje direktyvos, kuri taikoma nuo 2018 m. gegužės mėn., nuostatomis;
• panaikinamas Reglamentas (EB) Nr. 45/2001, kuriame anksčiau buvo nustatytos taisyklės dėl ES institucijų, organų, tarnybų ir agentūrų atliekamo asmens duomenų tvarkymo, ir užtikrinama, kad jos atitiktų tuos pačius griežtus BDAR nustatytus standartus;
• panaikinamas Sprendimas Nr. 1247/2002/EB dėl Europos duomenų apsaugos priežiūros pareigūno (EDAPP).

PAGRINDINIAI ASPEKTAI

Asmens duomenys turi būti:

• tvarkomi teisėtu, sąžiningu ir skaidriu būdu;
• renkami nustatytais, aiškiai apibrėžtais ir teisėtais tikslais;
• adekvatūs, tinkami ir tik tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi;
• tikslūs ir prireikus atnaujinami;
• laikomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau nei būtina;
• tvarkomi užtikrinant tinkamą konfidencialumą.

Duomenų valdytojas* yra atsakingas už tai, kad būtų laikomasi visų minėtų duomenų tvarkymo principų, ir turi sugebėti tai įrodyti.

Be to, asmens duomenys:

• gali būti perduodami ES esančiam gavėjui, kuris nėra ES institucija, organas, tarnyba ar agentūra, tik taikant papildomas apsaugos sąlygas;
• gali būti perduodami už ES ribų tik laikantis griežtų sąlygų;
• atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat genetiniai duomenys, biometriniai duomenys, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją negali būti tvarkomi, išskyrus ypatingas aplinkybes;
• turi būti tinkamai apsaugomi, jei jie tvarkomi archyvavimo tikslais viešojo intereso labui arba mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais.

Fiziniam asmeniui skirti prašymai duoti sutikimą naudoti jo duomenis turi būti pateikti suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba. Sutikimą fizinis asmuo turi duoti vienareikšmiu veiksmu.

Fiziniai asmenys (teisės aktuose vadinami „duomenų subjektais“) turi teisę:

• bet kuriuo metu atšaukti savo sutikimą, o tai padaryti turi būti taip pat lengva, kaip jį duoti;
• žinoti, ar jų asmens duomenys yra tvarkomi, ir susipažinti su jais;
• užtikrinti netikslių asmens duomenų ištaisymą;
• pašalinti asmens duomenis arba apriboti jų tvarkymą, jei laikomasi atitinkamų sąlygų;
• gauti savo asmens duomenis, pateiktus duomenų valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir persiųsti juos kitam duomenų valdytojui;
• nesutikti, kad jų asmens duomenys būtų naudojami viešojo intereso tikslais dėl jų konkretaus atvejo;
• neleisti, kad jiems būtų taikomas sprendimas, pagrįstas tik automatizuotu duomenų tvarkymu, kuris jų atžvilgiu turi teisinių pasekmių;
• teikti skundus EDAPP, jei mano, kad jų asmens duomenys tvarkomi tokiu būdu, kuris pažeidžia šį reglamentą;
• gauti kompensaciją už ES institucijos, organo, tarnybos ar agentūros veiksmais padarytą turtinę arba neturtinę žalą;
• įgalioti ne pelno organizaciją teikti skundą EDAPP.

Duomenų valdytojai:

• turi informuoti duomenų subjektus paprasta kalba ir pateikdami faktinę informaciją, kaip antai duomenų valdytojo kontaktinius duomenis ir asmens duomenų tvarkymo tikslą, kai renkami tokie duomenys;
• turi kuo greičiau ir ne vėliau kaip per vieną mėnesį atsakyti į bet kuriuos duomenų subjektų prašymus, kaip antai dėl prieigos prie jų asmens duomenų ar jų taisymo;
• įgyvendina tinkamas technines ir organizacines priemones, kaip antai pseudonimų suteikimą*, užtikrindami, kad fizinio asmens duomenų tvarkymas atitiks reglamento reikalavimus;
• turi naudoti tik tokius duomenų tvarkytojus, kurie atitinka ES reikalavimus;
• detaliai registruoja duomenų tvarkymo veiklos, už kurią yra atsakingi, įrašus;
• bendradarbiauja su EDAPP;
• kuo greičiau praneša EDAPP ir, kai kuriais atvejais, atitinkamam fiziniam asmeniui apie asmens duomenų saugumo pažeidimą;
• atlieka poveikio duomenų apsaugai vertinimą dėl tam tikro didelio pavojaus asmens duomenų tvarkymo;
• užtikrina savo elektroninių ryšių tinklų konfidencialumą ir saugumą;
• informuoja EDAPP, kai rengia administracines priemones ar vidaus taisykles, skirtas asmens duomenų tvarkymui.

Reglamentu sukuriamos EDAPP pareigos. Jis skiriamas penkerių metų kadencijai, kuri gali būti pratęsta vieną kartą. Šis Briuselyje įsikūręs pareigūnas:

• veikia visiškai nepriklausomai;
• saugo visą konfidencialią informaciją laikydamasis profesinės paslapties įsipareigojimų;
• prižiūri, kaip ES institucijos, organai, tarnybos ir agentūros taiko teisės aktus;
• skatina visuomenės informuotumą apie asmens duomenų tvarkymą ir jo supratimą;
• nagrinėja skundus ir atlieka tyrimus;
• įspėja ir baudžia duomenų valdytojus;
• perduoda klausimus Teisingumo Teismui, kuris nagrinėja ginčus dėl teisės aktų;
• teikia metinę ataskaitą Europos Parlamentui, Tarybai ir Europos Komisijai;
• bendradarbiauja su nacionalinėmis duomenų apsaugos priežiūros institucijomis.

EDAPP darbo tvarkos taisyklės

2020 m. gegužės 15 d. sprendimu patvirtinamos EDAPP darbo tvarkos taisyklės. Jose išsamiai nustatoma:

• EDAPP misija, pagrindiniai principai ir organizacija;
• kaip jis stebės ir užtikrins reglamento taikymą;
• procedūros, susijusios su konsultacijomis teisėkūros klausimais, technologijų stebėsena, mokslinių tyrimų projektais ir teismo procesu;
• bendradarbiavimo su nacionalinėmis priežiūros institucijomis ir tarptautinio bendradarbiavimo tvarka.

Specialios taisyklės ES organams, tarnyboms ir agentūroms

Specialios taisyklės taikomos ES organams, tarnyboms ir agentūroms, kurios tvarko operatyvinius asmens duomenis* vykdydamos teisėsaugos užduotis (pavyzdžiui, Eurojustui). Jos pateikiamos atskirame reglamento skyriuje. Šiame skyriuje pateiktos taisyklės suderintos su teisės aktų vykdymo direktyva. Be to, šių organų, tarnybų ir agentūrų steigimo dokumentuose gali būti nustatytos konkretesnės taisyklės, kuriomis atsižvelgiama į jų ypatybes.

Europolo ir Europos prokuratūros atliekamas operatyvinių asmens duomenų tvarkymas nepatenka į reglamento taikymo sritį ir yra reglamentuojamas specialiomis jų steigimo teisės aktų nuostatomis. Tačiau jų administraciniam asmens duomenų tvarkymui (pavyzdžiui, personalo valdymo tikslais) reglamentas taikomas.

Duomenų apsaugos pareigūnai

Duomenų valdytojai taip pat skiria duomenų apsaugos pareigūną 3–5 metų kadencijai, kad jis:

• teiktų nepriklausomas konsultacijas dėl asmens duomenų tvarkymo;
• kontroliuotų atitiktį duomenų apsaugos taisyklėms.

Ataskaitos

Europos Komisija ne vėliau kaip 2022 m. balandžio 30 d. turi pateikti pirmąją ataskaitą dėl ataskaitą dėl šio reglamento taikymo.

NUO KADA TAIKOMAS ŠIS REGLAMENTAS?

Reglamentas taikomas nuo 2018 m. gruodžio 11 d., išskyrus nuostatas dėl Eurojusto atliekamo asmens duomenų tvarkymo, kurios taikomos nuo 2019 m. gruodžio 12 d.

KONTEKSTAS

Pagrindinių teisių chartijos 8 straipsnyje nustatyta, kad kiekvienas turi teisę į savo asmens duomenų apsaugą. Sutarties dėl Europos Sąjungos veikimo 16 straipsnyje ta teisė toliau išplėtota. Šis straipsnis yra bet kokio ES teisės akto dėl duomenų apsaugos teisinis pagrindas.

Daugiau informacijos žr.:

• Duomenų apsauga ES (Europos Komisija).

SVARBIAUSIOS SĄVOKOS

PAGRINDINIS DOKUMENTAS

2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (OL L 295, 2018 11 21, p. 39–98).

SUSIJĘ DOKUMENTAI

2020 m. liepos 3 d. Komisijos sprendimas (ES) 2020/969, kuriuo nustatomos įgyvendinimo taisyklės, susijusios su duomenų apsaugos pareigūnu, duomenų subjektų teisių apribojimais ir Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 taikymu, ir panaikinamas Komisijos sprendimas 2008/597/EB (OL L 213, 2020 7 6, p. 12–22).

2020 m. gegužės 15 d. Europos duomenų apsaugos priežiūros pareigūno sprendimas, kuriuo patvirtinamos Europos duomenų apsaugos priežiūros pareigūno darbo tvarkos taisyklės (OL L 204, 2020 6 26, p. 49–59).

2019 m. balandžio 2 d. Europos duomenų apsaugos priežiūros pareigūno sprendimas dėl vidaus taisyklių, susijusių su duomenų subjektų tam tikrų teisių apribojimu tais atvejais, kai Europos duomenų apsaugos priežiūros pareigūnas, vykdydamas savo veiklą, tvarko asmens duomenis (OL L 99I, 2019 4 10, p. 1–7).

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1–88).

Vėlesni Reglamento (ES) 2016/679 daliniai pakeitimai buvo įterpti į pradinį tekstą. Ši konsoliduota versija yra skirta tik informacijai.

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (OL L 119, 2016 5 4, p. 89–131).

Žr. konsoliduotą versiją.

paskutinis atnaujinimas 14.01.2022