Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 52007XX1027(01)

Europos duomenų apsaugos priežiūros pareigūno nuomonė dėl Komisijos komunikato Europos Parlamentui ir Tarybai dėl tolesnių veiksmų pagal Geresnio duomenų apsaugos direktyvos įgyvendinimo darbo programą

OL C 255, 2007 10 27, p. 1–12 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

27.10.2007   

LT

Europos Sąjungos oficialusis leidinys

C 255/1


Europos duomenų apsaugos priežiūros pareigūno nuomonė dėl Komisijos komunikato Europos Parlamentui ir Tarybai dėl tolesnių veiksmų pagal Geresnio duomenų apsaugos direktyvos įgyvendinimo darbo programą

(2007/C 255/01)

EUROPOS DUOMENŲ APSAUGOS PRIEŽIŪROS PAREIGŪNAS,

atsižvelgdamas į Europos bendrijos steigimo sutartį, ypač į jos 286 straipsnį,

atsižvelgdamas į Europos Sąjungos pagrindinių teisių chartiją, ypač į jos 8 straipsnį,

atsižvelgdamas į 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvą 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (1),

atsižvelgdamas į 2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos reglamentą (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (2), ypač į jo 41 straipsnį,

PRIĖMĖ ŠIĄ NUOMONĘ:

I.   ĮVADAS

1.

2007 m. kovo 7 d. Komisija nusiuntė EDAPP Komisijos komunikatą Europos Parlamentui ir Tarybai dėl tolesnių veiksmų pagal Geresnio duomenų apsaugos direktyvos įgyvendinimo darbo programą (3). Laikydamasis Reglamento (EB) Nr. 45/2001 41 straipsnio, EDAPP pateikia šią nuomonę.

2.

Komunikate dar karta pakartojama, kad Direktyva 95/46/EB (4) yra labai svarbi kaip asmens duomenų apsaugos pagrindas, o direktyva ir jos įgyvendinimas aptariami trijuose skyriuose: „Praeitis“, „Dabartis“ ir „Ateitis“. Pagrindinė komunikato išvada yra tai, kad direktyva neturėtų būti keičiama. Direktyvos įgyvendinimas turėtų būti toliau gerinamas pasitelkiant kitus politinius dokumentus, kurių daugelis būtų neprivalomo pobūdžio.

3.

EDAPP nuomonėje laikomasi komunikato struktūros. Dar svarbiau tai, kad EDAPP pritaria pagrindinei Komisijos išvadai, jog direktyva neturėtų būti keičiama.

4.

Tačiau EDAPP laikosi šios nuomonės ir dėl pragmatinių priežasčių. EDAPP laikosi tokių pradinių prielaidų:

Dabar pastangas geriausia būtų skirti direktyvos įgyvendinimo gerinimui. Komunikate parodoma, kad vis dar įmanoma gerokai pagerinti įgyvendinimą.

Ilgainiui direktyvos pakeitimai atrodo neišvengiami, tačiau jos esminiai principai turi būti išlaikyti.

Jau dabar turėtų būti aiškiai nustatyta peržiūros data siekiant parengti pasiūlymus dėl tokių pakeitimų. Nustačius tokią datą būtų suteiktas aiškus akstinas jau dabar imti svarstyti būsimus pakeitimus.

5.

Šios pradinės prielaidos yra esminės, kadangi reikia turėti galvoje, kad direktyva taikoma dinamiškame kontekste. Pirmiausia, Europos Sąjunga keičiasi: laisvas informacijos srautas tarp valstybių narių (ir tarp valstybių narių bei trečiųjų šalių) tapo realybe ir ateityje jo svarba dar padidės. Antra, keičiasi visuomenė. Informacinė visuomenė vystosi, jai tampa būdinga vis daugiau ir daugiau stebėjimu grindžiamos visuomenės bruožų (5). Tai reiškia, kad siekiant visapusiškai patenkinamu būdu veikti šiomis naujomis aplinkybėmis vis labiau didėja veiksmingos asmens duomenų apsaugos poreikis.

II.   NUOMONĖJE APŽVELGIAMI ASPEKTAI

6.

Komunikato įvertinime EDAPP visų pirma nagrinės šiuos aspektus, susijusius su šiais pokyčiais:

Pačios direktyvos įgyvendinimo gerinimas: kaip duomenų apsaugą padaryti veiksmingesnę? Siekiant tokio pagerinimo reikalingos įvairios politikos priemonės — pradedant geresniais ryšiais su visuomene ir baigiant griežtesniu duomenų apsaugos teisės vykdymu.

Sąveika su technologija: nauji technologijų pokyčiai, pavyzdžiui, dalijimosi duomenimis, RFID (radijo dažninio atpažinimo) sistemų, biometrinių ir tapatybės duomenų tvarkymo sistemų srityse, turi aiškų poveikį veiksmingos teisinės sistemos, skirtos duomenų apsaugai, reikalavimams. Be to, dėl poreikio veiksmingai apsaugoti individo asmens duomenis, gali būti ribojamas naudojimasis šiomis naujomis technologijomis. Todėl sąveika yra abipusė: technologijos daro įtaką teisės aktams, o teisės aktai daro įtaką technologijoms.

Visuotinio privatumo ir jurisdikcijos klausimai, susiję su Europos Sąjungos išorės sienomis. Bendrijos teisės aktų leidėjo jurisdikcija vykdoma tik Europos Sąjungos teritorijoje, tačiau išorės sienos tampa mažiau susijusios su duomenų srautais. Ekonomika vis labiau ir labiau priklauso nuo visuotinių tinklų. Europos Sąjungoje įsikūrusios bendrovės vis dažniau perkelia veiklą, įskaitant asmens duomenų tvarkymą, į trečiąsias šalis. Be to, naujausios su SWIFT ir PNR susijusios bylos patvirtina, kad kitos jurisdikcijos domisi „duomenimis, kurių kilmės šalis — ES“. Bendrai paėmus, fizinė vieta, kurioje atliekama tvarkymo operacija, turi mažiau reikšmės.

Duomenų apsauga ir teisėsauga: pastaruoju metu visuomenei iškilus grėsmėms, susijusioms ar nesusijusioms su terorizmu, teisėsaugos institucijoms buvo sudaryta daugiau galimybių rinkti ir saugoti asmens duomenis bei jais keistis (arba reikalauti tas galimybes suteikti). Kai kada, kaip parodo naujausi atvejai, aktyviai dalyvauja privatūs subjektai. Riba, skirianti šią sritį nuo ES sutarties trečiojo ramsčio srities (joje direktyva netaikoma) tampa, viena vertus, vis svarbesnė, ir, antra vertus, vis labiau neaiški. Netgi esama pavojaus, kad tam tikrais atvejais asmens duomenys nebus saugomi nei pirmojo ramsčio, nei trečiojo ramsčio priemonėmis („teisinė spraga“).

Pasekmės, kurias bet kuriuo atveju duomenų apsaugos ir teisėsaugos srityse sukels Reformų sutarties įsigaliojimas, šiuo metu numatytas 2009 m.

III.   PRAEITIS IR DABARTIS

7.

2003 m. gegužės 15 d. pateiktoje Pirmojoje duomenų apsaugos direktyvos įgyvendinimo ataskaitoje buvo pateikta Geresnio duomenų apsaugos direktyvos įgyvendinimo darbo programa ir 10 iniciatyvų, kurios turėjo būti įgyvendintos 2003–2004 m. Komunikate aprašoma, kaip buvo įgyvendinti visi šie veiksmai.

8.

Remiantis pagal darbo programą atlikto darbo analize, komunikate gerai įvertinti teigiami pokyčiai gerinant direktyvos įgyvendinimą. Komisijos įvertinime, kuris trumpai susumuojamas komunikato 2 skyriaus („Dabartis“) poskyrių pavadinimuose, iš esmės teigiama: įgyvendinimas pagerėjo, nors kai kurios valstybės narės dar tinkamai neįgyvendino direktyvos; kai kuriais atvejais skirtumai atsiranda neperžengiant pagal direktyvą suteiktos veiksmų laisvės ribos, tačiau šie skirtumai nekelia rimto pavojaus vidaus rinkai. Paaiškėjo, kad direktyvoje nustatyti teisiniai sprendimai yra pakankamai tinkami siekiant užtikrinti pagrindinę teisę į duomenų apsaugą, kartu atsižvelgiant į technologijų vystymąsi ir reikalavimus, kurie nustatomi dėl viešųjų interesų.

9.

EDAPP pritaria pagrindiniams šio teigiamo įvertinimo teiginiams. Visų pirma EDAPP pripažįsta, kad tarpvalstybinių duomenų srautų srityje nuveiktas nemažas darbas: trečiųjų šalių užtikrinamo adekvataus apsaugos lygio įvertinimas, naujos standartinės sutarčių sąlygos, įmonėms privalomų taisyklių priėmimas, svarstymai apie vienodesnį direktyvos 26 straipsnio 1 dalies aiškinimą ir pranešimų pagal 26 straipsnio 2 dalį tobulinimas — visa tai prisideda sudarant geresnes sąlygas atlikti tarptautinius asmens duomenų perdavimus. Tačiau Teisingumo Teismo praktika (6) parodė, kad šioje svarbioje srityje reikia daugiau dirbti, kad būtų atsižvelgta į pokyčius technologijų ir teisėsaugos srityse.

10.

Komunikate taip pat parodoma, kad direktyvos vykdymas ir informavimas yra pagrindiniai veiksniai skatinant geresnį įgyvendinimą ir jais turėtų būti toliau naudojamasi. Be to, keitimasis geriausia praktika ir derinimas pranešimų bei informacijos teikimo srityje yra sėkmingi pavyzdžiai, kaip sumažinti biurokratines procedūras ir įmonių patiriamas išlaidas.

11.

Praeities analizė taip pat patvirtina, kad įgyvendinimą pagerinti galima tik dalyvaujant įvairiems suinteresuotiems subjektams. Komisija, duomenų apsaugos institucijos ir valstybės narės yra pagrindinės daugelio atliekamų veiksmų dalyvės. Tačiau privačių subjektų vaidmuo tampa vis svarbesnis, ypač propaguojant savitvarką ir Europos elgesio kodeksus ar plėtojant privatumo didinimo technologijas.

IV.   ATEITIS

A.   Išvada: šiuo metu direktyva nėra keistina.

12.

Komisijos išvada, kad dabartinėmis aplinkybėmis ir trumpuoju laikotarpiu neturėtų būti numatyta pasiūlymų keisti direktyvą, grindžiama keliomis priežastimis.

13.

Komisija iš esmės pateikia dvi priežastis, kuriomis grindžiama ši išvada. Pirma, direktyvos potencialas dar nėra visiškai išnaudotas. Vis dar įmanoma gerokai pagerinti direktyvos įgyvendinimą valstybių narių jurisdikcijų srityje. Antra, ji teigia, kad nors pagal direktyvą valstybėms narėms suteikiama veiksmų laisvė, nėra įrodymų, jog skirtumai neperžengiant tos veiksmų laisvės ribų sukeltų rimtą pavojų vidaus rinkai.

14.

Pasiremdama šiomis priežastimis, Komisija suformuluoja savo išvadą šitaip: ji paaiškina, kaip direktyva turėtų veikti, akcentuodama pasitikėjimo užtikrinimą, ir tada teigia, kad direktyva nustato standartą, yra neutrali technologijų atžvilgiu, ji ir toliau išlieka tvirtas ir tinkamas klausimų sprendimo pagrindas. (7)

15.

EDAPP palankiai vertina išvados formuluotę, tačiau laikosi nuomonės, kad šia išvadą galima būtų dar tvirčiau pagrįsti dviem papildomais aspektais:

pirma, direktyvos pobūdžiu;

antra, Sąjungos teisėkūros politika.

Direktyvos pobūdis

16.

Fizinių asmenų pagrindinė teisė į savo asmens duomenų apsaugą yra pripažįstama Sąjungos pagrindinių teisių konvencijos 8 straipsnyje ir, inter alia, nustatyta 1981 m. sausio 28 d. Europos Tarybos konvencijoje Nr. 108 dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu. Iš esmės direktyvoje nustatyta sistema, apimanti šios pagrindinės teisės apsaugos esminius elementus, suteikiant pagrindą Konvencijoje nurodytoms teisėms ir laisvėms bei jas plėtojant (8).

17.

Pagrindine teise demokratinėje visuomenėje siekiama bet kuriomis aplinkybėmis apsaugoti pilietį. Tokios pagrindinės teisės esminiai elementai neturėtų būti lengvai keičiami dėl visuomenės pokyčių ar valdančių vyriausybių politinių prioritetų. Pavyzdžiui, dėl teroristų organizacijų keliamo pavojaus visuomenei konkrečiais atvejais gali būti imtasi kitokių veiksmų, nes gali prireikti rimčiau sutrikdyti asmens pagrindinę teisę, tačiau tai negali paveikti esminių pačios teisės elementų ar ją atimti arba nepateisinamai apriboti privataus asmens galimybes ja pasinaudoti.

18.

Antra direktyvos savybė yra tai, kad joje numatoma skatinti laisvą informacijos srautą vidaus rinkoje. Taip pat šį antrą tikslą galima laikyti pagrindiniu vis labiau vystantis vidaus rinkai be vidaus sienų. Siekiant užtikrinti šios vidaus rinkos sukūrimą ir funkcionavimą, viena pagrindinių priemonių yra nacionalinių įstatymų esminių nuostatų suderinimas. Tai suteikia pagrindą valstybėms narėms pasitikėti viena kitos nacionalinės teisės sistemomis. Taip pat ir dėl šių priežasčių turėtų būti reikiamai apsvarstyta pakeitimų galimybė. Pakeitimai gali paveikti tarpusavio pasitikėjimą.

19.

Trečia direktyvos savybė yra tai, kad ji turi būti suvokiama kaip bendra sistema, kuria grindžiami konkretūs teisės dokumentai. Šie konkretūs dokumentai yra bendros sistemos įgyvendinimo priemonės, taip pat konkrečios sistemos, skirtos konkretiems sektoriams. Tokia konkreti sistema yra Direktyva dėl privatumo ir elektroninių ryšių, (2002/58/EB) (9). Jeigu įmanoma, dėl visuomenės pokyčių turėtų būti keičiamos įgyvendinimo priemonės ar konkrečios teisinės sistemos, bet ne bendra sistema, kuria jos yra grindžiamos.

Sąjungos teisėkūros politika

20.

EDAPP nuomone, išvada šiuo metu nekeisti direktyvos taip pat yra logiška vadovaujantis bendrais gero administravimo ir teisės aktų leidybos politikos principais. Pasiūlymai dėl teisės aktų — nesvarbu, ar jais ketinama nustatyti naujas Bendrijos veiksmų sritis, ar iš dalies pakeisti galiojančias teisės priemones, — turėtų būti teikiami tik pakankamai įrodžius, kad jie yra būtini ir proporcingi. Pasiūlymas dėl teisės akto neturėtų būti teikiamas, jeigu tą patį rezultatą galima pasiekti kitomis, ne tokio plataus užmojo, priemonėmis.

21.

Dabartinėmis aplinkybėmis nebuvo parodyta, kad yra būtina ir proporcinga iš dalies keisti direktyvą. EDAPP primena, kad direktyvoje nustatoma bendra duomenų apsaugos pagal Bendrijos teisės aktus sistema. Pagal ją turi būti užtikrinta, viena vertus, asmenų teisių ir laisvių, visų pirma teisės į privatumą, apsauga tvarkant asmens duomenis ir, kita vertus, laisvas asmens duomenų srautas vidaus rinkoje.

22.

Tokia bendra sistema turėtų būti keičiama tik visiškai ją įgyvendinus valstybėse narėse, nebent būtų akivaizdu, kad direktyvos tikslų negalima pasiekti pagal esamą sistemą. EDAPP nuomone, Komisija — dabartinėmis aplinkybėmis — adekvačiai pagrindė, kad direktyvos potencialas dar nėra visiškai išnaudotas (žr. šios nuomonės III skyrių). Lygiai taip pat nėra įrodymų, kad tikslų negalima būtų pasiekti pagal esamą sistemą.

B.   Ilgainiui pakeitimai atrodo neišvengiami

23.

Ateityje taip pat turėtų būti užtikrinta, kad duomenų apsaugos principais būtų veiksmingai apsaugoti fiziniai asmenys, atsižvelgiant į dinamišką kontekstą, kuriame taikoma direktyva (žr. šios nuomonės 5 punktą), ir šios nuomonės 6 punkte nurodytus aspektus: įgyvendinimo gerinimą, sąveiką su technologija, visuotinį privatumą ir jurisdikciją, duomenų apsaugą ir teisėsaugą, Reformų sutartį. Dėl šio poreikio visapusiškai taikyti duomenų apsaugos principus nustatomi standartai, kuriais vadovaujantis direktyva bus keičiama ateityje. EDAPP primena, kad ilgainiui pakeitimai atrodo neišvengiami.

24.

Būsimų priemonių turinio klausimu EDAPP jau šiame etape pateikia kelis elementus, kuriuos jis laiko esminiais būsimos duomenų apsaugos sistemos Europos Sąjungoje elementais. Šie elementai:

Nauji principai nėra būtini, tačiau akivaizdu, kad būtinos kitos administracinės priemonės, kurios, viena vertus, būtų veiksmingos ir tinkamos tinklais susietoje visuomenėje, ir, kita vertus, sumažintų administracines išlaidas.

Neturėtų būti keičiama plati duomenų apsaugos teisės taikymo sritis. Ji turėtų būti taikoma asmens duomenų visų rūšių naudojimui, jos taikymas neturėtų apsiriboti jautriais duomenimis ar kitaip apsiriboti ypatingais interesais arba ypatinga rizika. Kitaip tariant, duomenų apsaugos taikymo klausimu EDAPP atmeta de minimis požiūrį. Tai užtikrina, kad duomenų subjektai galės bet kokiomis aplinkybėmis pasinaudoti savo teisėmis.

Duomenų apsaugos teisė turėtų būti ir toliau taikoma įvairiomis aplinkybėmis, tačiau kartu leisti, kad konkrečiais atvejais būtų taikomas subalansuotas požiūris, atsižvelgiant į kitus pateisinamus (viešuosius ar privačiuosius) interesus, taip pat į poreikį kuo labiau sumažinti biurokratines pasekmes. Ši sistema turėtų sudaryti duomenų apsaugos institucijoms galimybę nusistatyti prioritetus ir sutelkti dėmesį į sritis ar klausimus, kurie yra ypač svarbūs ir yra susiję su konkrečia rizika.

Sistema turėtų būti visapusiškai taikoma asmens duomenų naudojimui teisėsaugos tikslais, nors gali prireikti atitinkamų papildomų priemonių konkrečioms problemoms šioje srityje spręsti.

Turėtų būti numatytos tinkamos priemonės dėl duomenų srauto į trečiąsias šalis ir iš jų, jeigu įmanoma, remiantis visuotiniais duomenų apsaugos standartais.

25.

Komunikate, kaip susijusi su naujų technologijų problemomis, minima vykdoma Direktyvos 2002/25/EB peržiūra ir galimas poreikis nustatyti konkretesnes taisykles, skirtas duomenų apsaugos klausimams, kylantiems dėl naujų technologijų, pavyzdžiui, interneto ir RDA, spręsti (10). EDAPP palankiai vertina šią peržiūrą ir tolesnius veiksmus, nors, EDAPP manymu, jie turėtų būti ne tik susiję su technologine plėtra, bet šiuose veiksmuose taip pat turėtų būti atsižvelgta į visą dinamišką kontekstą, o ilgalaikėje perspektyvoje turėtų būti įtraukta ir Direktyva 95/46/EB. Be to, šiems klausimams reikia skirti daugiau dėmesio. Deja, komunikate tam tikri klausimai neatsakyti:

nenustatytas komunikato 3 skyriuje nurodytos įvairios veiklos vykdymo grafikas.

nenustatytas vėlesnio pranešimo apie direktyvos taikymą pateikimo terminas. Pagal direktyvos 33 straipsnį Komisija turi „reguliariai atsiskaityti“, tačiau taip pat nenurodoma kokiu periodiškumu.

nenustatytos jokios įvertinimo sąlygos: komunikate nenumatomas numatytos veiklos įgyvendinimo įvertinimas. Jame tiesiog nurodoma 2003 m. pateikta darbo programa.

Nenurodomos tolesnės veiklos vykdymo ateityje kryptys.

EDAPP siūlo, kad Komisija nurodytų šiuos elementus.

V.   BŪSIMŲ PAKEITIMŲ PERSPEKTYVOS

A.   Visapusiškas įgyvendinimas

26.

Prieš darant bet kokius pakeitimus ateityje, turi būti visapusiškai įgyvendintos dabartinės direktyvos nuostatos. Visapusiško įgyvendinimo pradžia — atitiktis direktyvos teisiniams reikalavimams. Komunikate minima (11), kad kai kurios valstybės narės neįtraukė į nacionalinę teisę kai kurių svarbių direktyvos nuostatų, ir visų pirma nurodomos nuostatos dėl priežiūros institucijų nepriklausomybės. Komisijos užduotis — stebėti atitiktį ir pasinaudoti savo įgaliojimais pagal EB sutarties 226 straipsnį, jei, jos manymu, tai yra reikalinga.

27.

Komunikate numatomas aiškinamasis komunikatas dėl kai kurių nuostatų — visų pirma nuostatų, dėl kurių pagal EB sutarties 226 straipsnį gali būti taikomos pažeidimų nagrinėjimo procedūros.

28.

Be to, direktyvoje pateikiami kiti įgyvendinimo gerinimo mechanizmai. Šiam tikslui visų pirma yra skirtos direktyvos 30 straipsnyje išvardytos 29 straipsnio darbo grupės užduotys. Jos yra skirtos ne tik direktyvoje nustatytų įpareigojimų vykdymui užtikrinti, bet ir įgyvendinimui valstybėse narėse skatinti užtikrinant aukštą ir suderintą duomenų apsaugos lygį. Atlikdama šį vaidmenį darbo grupė per kelerius metus parengė keletą nuomonių ir kitų dokumentų.

29.

EDAPP manymu, visapusiškas direktyvos įgyvendinimas apima šiuos du elementus:

Turėtų būti užtikrinta, kad valstybės narės visapusiškai laikytųsi pagal europinę teisę nustatytų įpareigojimų. Tai reiškia, kad direktyvos nuostatos turėtų būti perkeltos į nacionalinę teisę, o praktikoje turėtų būti pasiekti direktyvoje numatyti rezultatai.

Turėtų būti visapusiškai pasinaudota kitomis neprivalomomis priemonėmis, kurios galėtų padėti siekti aukšto ir suderinto duomenų apsaugos lygio.

EDAPP pabrėžia, kad abu elementai turėtų būti aiškiai atskirti dėl skirtingų teisinių pasekmių ir susijusių pareigų. Apskritai Komisija turėtų prisiimti visišką atsakomybę už pirmąjį elementą, o tuo tarpu darbo grupė turėtų atliktį pagrindinį vaidmenį, susijusį su antruoju elementu.

30.

Taip pat reikėtų dar aiškiau atskirti turimas priemones, siekiant geresnio direktyvos įgyvendinimo. Joms priskiriama:

Įgyvendinimo priemonės. Šios priemonės — Komisijos priimtos komitologijos tvarka — numatytos IV skyriuje dėl asmens duomenų perdavimo trečiosioms šalims (žr. 25 straipsnio 6 dalį ir 26 straipsnio 3 dalį).

Sektorių teisės aktai

Pažeidimų nagrinėjimo procedūros pagal EB sutarties 226 straipsnį.

Aiškinamieji komunikatai. Tokiuose komunikatuose daugiausia dėmesio galėtų būti skiriama nuostatoms, dėl kurių gali būti taikomos pažeidimų nagrinėjimo procedūros ir (arba) jie galėtų būti naudojami kaip praktines duomenų apsaugos gairės (taip pat žr. 57–62 punktus) (12).

Kiti komunikatai. Pavyzdys galėtų būti Komisijos komunikatas Parlamentui ir Tarybai dėl privatumo didinimo technologijų.

Geriausios praktikos skatinimas. Ši priemonė gali būti naudojama sprendžiant daugelį klausimų, pavyzdžiui, administracinis supaprastinimas, auditai, vykdymo užtikrinimas bei sankcijos ir t.t. (taip pat žr. 63–67 punktus).

31.

EDAPP siūlo Komisijai aiškiai nurodyti, kaip ji naudos šias įvairias priemones po to, kai ji parengs savo politiką vadovaudamasi šiuo komunikatu. Atsižvelgdama į tai, Komisija taip pat turėtų aiškiai atskirti savo ir darbo grupės pareigas. Bet kuriuo atveju sėkmę užtikrintų geras Komisijos ir darbo grupės bendradarbiavimas.

B.   Sąveika su technologija

32.

Atskaitos taškas yra tai, kad direktyvos nuostatų formuluotė yra neutrali technologijų atžvilgiu. Komunikate neutralumo technologijų atžvilgiu akcentavimas siejamas su: daugeliu technologinių pokyčių, pavyzdžiui, internetu, trečiosiose šalyse teikiamomis prieigos paslaugomis, RFID ir garso bei vaizdo ir automatinio atpažinimo deriniu. Jame išskiriamos dvi veiksmų rūšys. Pirmąją sudaro konkrečios gairės, susijusios su duomenų apsaugos principų taikymu kintančioje technologijų taikymo srityje svarbų vaidmenį atliekant darbo grupei ir jos interneto darbo grupei (13). Antroji — konkretiems sektoriams skirti teisės aktai, kuriuos galėtų pasiūlyti pati Komisija.

33.

EDAPP palankiai vertina šį požiūrį kaip svarbų žingsnį. Tačiau ilgainiui gali prireikti kitų svarbesnių žingsnių. Šiuo komunikatu galėtų būti pasinaudota kaip tokio ilgalaikio požiūrio rengimo pradžia. Vykdant tolesnę veiklą, susijusią su šiuo komunikatu, EDAPP siūlo pradėti diskusiją dėl šio požiūrio. Toliau minimi punktai galėtų būti šio požiūrio elementai.

34.

Pirma, sąveika su technologijomis yra dvejopa. Viena vertus, dėl naujų vystomų technologijų gali prireikti padaryti duomenų apsaugos teisinės sistemos pakeitimus. Kita vertus, dėl poreikio užtikrinti veiksmingą asmens duomenų apsaugą gali prireikti naujų apribojimų ar tinkamų apsaugos priemonių, susijusių su tam tikrų technologijų naudojimu, o tai yra dar platesnio masto pasekmė. Tačiau naujos technologijos galėtų būti veiksmingai naudojamos ir jomis galėtų būti remiamasi didinant privatumą.

35.

Antra, gali prireikti tam tikrų konkrečių apribojimų, jei vyriausybinės institucijos naudos naujas technologijos savo viešojo pobūdžio užduotims vykdyti. Geras pavyzdys yra diskusijos sąveikos ir prieigos klausimais, kurios vyksta laisvės, saugumo ir teisingumo srityje, susijusios su Hagos programos įgyvendinimu (14).

36.

Trečia, pastebima, kad vis dažniau naudojama biometrinė, DNR ir kita medžiaga. Konkretūs asmens duomenų, gautų iš šios medžiagos, naudojimo sunkumai gali turėti pasekmių duomenų apsaugos įstatymams.

37.

Ketvirta, reikia pripažinti, kad pati visuomenė keičiasi ir įgyja vis daugiau stebėjimu grindžiamos visuomenės bruožų (15). Būtini išsamūs debatai dėl šių pokyčių. Tokių debatų pagrindiniai klausimai būtų: ar šie pokyčiai neišvengiami, ar tai yra Europos teisės aktų leidėjo užduotis įsikišti į šį procesą ir nustatyti šių pokyčių ribas, ar ir kaip Europos teisės aktų leidėjas galėtų imtis veiksmingų priemonių ir t.t.

C.   Visuotinis privatumas ir jurisdikcija

38.

Visuotinio privatumo ir jurisdikcijos aspektui komunikate skiriamas tik nedidelis vaidmuo. Todėl norima, kad Komisija toliau stebėtų tarptautinius forumus ir juose dalyvautų bei užtikrintų valstybių narių įsipareigojimų ir prievolių pagal direktyvą darną. Be to, komunikate nurodoma veikla, vykdoma siekiant supaprastinti tarptautinio duomenų perdavimo reikalavimus (žr. šios nuomonės III skyrių).

39.

EDAPP apgailestauja, kad komunikate šiam aspektui nesuteiktas svarbesnis vaidmuo.

40.

Šiuo metu direktyvos IV skyriuje (25–26 straipsniai) ne tik nustatomos bendros duomenų apsaugos taisyklės, bet ir įdiegiamas specialus duomenų perdavimo trečiosioms šalims režimas. Šis specialus režimas buvo tobulinamas ne vienerius metus siekiant teisingai suderinti asmenų, kurių duomenys turi būti perduoti trečiosioms šalims, apsaugą ir, inter alia, tarptautinės prekybos reikalavimus bei pasaulinių telekomunikacijų tinklų realijas. Ne tik Komisija ir darbo grupė (16), bet ir, pavyzdžiui, Tarptautiniai prekybos rūmai, atlikdami adekvatumo įvertinimus, taikydami standartines sutarčių sąlygas, įmonėms privalomas taisykles ir t.t., įdėjo daug pastangų, kad ši sistema veiktų.

41.

Sistemos taikymo internetui klausimu ypač svarbus buvo Teisingumo Teismo sprendimas Lindqvist byloje (17). Teismas atkreipia dėmesį į universalų informacijos internete pobūdį ir laikosi nuomonės, kad duomenų patalpinimas pačiame interneto puslapyje, net jeigu tokiu būdu šie duomenys tampa prieinami asmenims trečiosiose šalyse, turintiems techninių priemonių jais pasinaudoti, nelaikomas duomenų perdavimu trečiajai šaliai.

42.

Ši sistema — logiška ir būtina Europos Sąjungos teritorinių ribų pasekmė — nesuteiks visapusiškos Europos duomenų subjekto apsaugos tinklais susietoje visuomenėje, kurioje fizinės ribos nebėra svarbios (žr. šios nuomonės 6 punkte paminėtus pavyzdžius): informacija internete yra universalaus pobūdžio, tačiau Europos teisės aktų leidėjo jurisdikcija nėra universali.

43.

Reikės surasti praktinius sprendimus, kurie užtikrintų Europos duomenų subjektų apsaugą Europos Sąjungos ir jos valstybių narių teritorinėse ribose. EDAPP — savo pastabose dėl Komisijos komunikato dėl strategijos, skirtos laisvės, saugumo ir teisingumo srities išorės aspektui — jau paragino Komisiją imtis aktyvaus vaidmens stiprinant asmens duomenų apsaugą tarptautiniu lygiu remiant dvišalius ir daugiašalius santykius su trečiosiomis šalimis ir bendradarbiavimą su kitomis tarptautinėmis organizacijomis (18).

44.

Tokiems praktiniams sprendimams priskiriama:

tolesnis duomenų apsaugos visuotinės sistemos plėtojimas. Galėtų būti remiamasi visuotinai labiau pripažintais standartais, pavyzdžiui, OECD duomenų apsaugos gairėmis (1980) ir JT gairėmis.

tolesnis specialaus duomenų perdavimo trečiosioms šalims režimo plėtojimas, kaip nurodyta direktyvos IV skyriuje (25–26 straipsniai);

tarptautiniai susitarimai dėl jurisdikcijos ar panašūs susitarimai su trečiosiomis šalimis;

investavimas į visuotinio reikalavimų laikymosi mechanizmus, pavyzdžiui, daugianacionalinių bendrovių taikomas įmonėms privalomas taisykles neatsižvelgiant į tai, kur šios įmonės apdoroja asmens duomenis.

45.

Nė vienas iš šių sprendimų nėra naujas. Tačiau būtinas projektas, kaip veiksmingai taikyti šiuos metodus pačiu efektyviausiu būdu ir kaip užtikrinti, kad duomenų apsaugos standartai — kurie Europos Sąjungoje laikomi pagrindinėmis teisėmis — taip pat būtų veiksmingi visoje tinklais susietoje visuomenėje. EDAPP ragina Komisiją ir labiausiai suinteresuotus subjektus pradėti rengti tokį projektą.

D.   Teisėsauga

46.

Komunikate ypač daug dėmesio skiriama dėl viešųjų interesų nustatytiems reikalavimams, ypač saugumo srityje. Jame aiškinama direktyvos 3 straipsnio 2 dalis ir Teisingumo Teismo sprendimo byloje dėl PNR (19) pateiktas šios nuostatos aiškinimas bei direktyvos 13 straipsnis, inter alia, susijęs su Europos žmogaus teisių teismo praktika. Komunikate taip pat pabrėžiama, kad kai Komisija nustatys pusiausvyrą tarp priemonių, skirtų saugumui užtikrinti ir neginčijamų pagrindinių teisių, ji užtikrins, kad asmens duomenys būtų apsaugoti, kaip garantuojama Europos žmogaus teisių ir pagrindinių laisvių konvencijos 8 straipsnyje. Šis atskaitos taškas taip pat taikomas transatlantiniam dialogui su Jungtinėmis Amerikos Valstijomis.

47.

EDAPP manymu, svarbu, kad Komisija dar taip aiškiai, kaip išdėstyta Europos žmogaus teisių ir pagrindinių laisvių konvencijoje, pakartotų Sąjungos įsipareigojimus pagal ES sutarties 6 straipsnį gerbti pagrindines teises. Šis pareiškimas yra dar svarbesnis dabar, Europos Sąjungai nusprendus, kad pagal Reformų sutartį Europos Sąjungos pagrindinių teisių chartija turėtų turėti privalomąją teisinę galią. Chartijos 8 straipsnyje nurodoma kiekvieno teisė į asmens duomenų apsaugą.

48.

Plačiai žinoma, kad teisėsaugos institucijoms prašant dažniau naudoti asmens duomenis kovojant su nusikalstamumu — jau nekalbant apie kovą su terorizmu — yra pavojus, kad piliečių apsaugos lygis taps žemesnis už lygį, užtikrinamą Europos Sąjungos pagrindinių teisių chartijos 8 straipsnyje ir (arba) Europos Tarybos konvencijoje Nr. 108 (20). Šie susirūpinimą keliantys klausimai buvo akcentuoti 2007 m. balandžio 27 d. paskelbtoje trečiojoje EDAPP nuomonėje dėl pasiūlymo dėl Tarybos pamatinio sprendimo dėl asmens duomenų, tvarkomų vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, apsaugos.

49.

Atsižvelgiant į tai, svarbu, kad direktyvoje numatytas apsaugos standartas taptų piliečių apsaugos pagrindu ir teisėsaugos prašymų srityje. Europos Sąjungos pagrindinių teisių chartijoje ir Konvencijoje Nr. 108 numatomas minimalus apsaugos lygis, tačiau nenumatomas reikalingas tikslumas. Be to, siekiant numatyti tinkamą piliečių apsaugą buvo reikalingos papildomos priemonės. Šis poreikis buvo vienas pagrindinių veiksnių 1995 m. priimant direktyvą (21).

50.

Lygiai taip pat labai svarbu, kad šis apsaugos standartas būtų veiksmingai užtikrintas visomis aplinkybėmis, kai asmens duomenys yra tvarkomi teisėsaugos tikslais. Šiame komunikate nėra nagrinėjamas duomenų tvarkymas trečiojo ramsčio srityje, tačiau jame aptariama situacija, kai duomenys, renkami (ir tvarkomi) komerciniais tikslais, yra panaudojami teisėsaugos tikslais. Tokia situacija tampa vis labiau įprasta, nes policijos darbas vis labiau ir labiau priklauso nuo informacijos, kurią turi trečiosios šalys. Direktyva 2006/24/EB (22) gali būti suvokiama kaip geriausia šios tendencijos iliustracija: šioje direktyvoje elektroninių ryšių tiekėjai įpareigojami teisėsaugos tikslais (toliau) saugoti duomenis, kuriuos jie surinko (ir saugojo) komerciniais tikslais. EDAPP manymu, turėtų būti visapusiškai užtikrinama, kad asmens duomenys, surinkti ir tvarkomi direktyvos taikymo srityje, būtų tinkamai apsaugoti naudojant juos viešojo intereso tikslais, visų pirma saugumo ar kovos su terorizmu srityje. Tačiau tam tikrais atvejais pastariesiems tikslams direktyva gali būti netaikoma.

51.

Remiantis šiais pastebėjimais, Komisijai siūloma:

Reikia toliau svarstyti, kokias pasekmes duomenų apsaugai turės privačių bendrovių dalyvavimas vykdant teisėsaugos veiklą, siekiant užtikrinti, kad Direktyvos 95/46/EB principai būtų visapusiškai taikomi tokiomis aplinkybėmis ir kad dėl jokių spragų nebūtų paveikta pagrindinė piliečių teisė į duomenų apsaugą. Visų pirma turėtų būti užtikrinta, kad asmens duomenys, surinkti direktyvos taikymo srityje, taip pat būtų tinkamai ir nuosekliai apsaugoti toliau juos tvarkant viešųjų interesų tikslais direktyvos taikymo srityje ir už tos srities ribų.

Svarstant šiuos klausimus, bet kokiu atveju turėtų būti apmąstyti dabartinės teisinės sistemos trūkumai, kai riba tarp pirmojo ir antrojo ramsčių nėra aiški ir gali susidaryti tokia padėtis, kai iš viso nebus tinkamo pagrindo teisiniam dokumentui dėl duomenų apsaugos priimti. (23)

Direktyvos 13 straipsnis, kuriame leidžiamos išimtys ir apribojimai taikant duomenų apsaugos principus, kai tai reikalinga, inter alia, dėl viešųjų interesų, turėtų būti aiškinamas tokių būdu, kad būtų išlaikytas jo effet utile kaip labai svarbios sąsajos ir garantijos asmens duomenų, surinktų direktyvos taikymo srityje, atveju, atsižvelgiant į Teisingumo Teismo sprendimą dėl Österreichischer Rundfunk  (24) ir Europos žmogaus teisių teismo praktiką.

Turėtų būti apsvarstyta galimybė pasiūlyti teisės aktų, kuriais būtų siekiama suderinti sąlygas ir nustatyti garantijas dėl naudojimosi 13 straipsnyje numatytomis išimtimis.

E.   Galima padėtis pagal Reformų sutartį

52.

Komunikate Komisija užsimena apie milžinišką Konstitucinės sutarties poveikį duomenų apsaugos sričiai. Iš tikrųjų Sutartis, kuri dabar vadinama Reformų sutartimi, bus ypač svarbi šioje srityje. Sutartimi bus panaikinta ramsčių struktūra, paaiškintos nuostatos dėl duomenų apsaugos (dabartinis EB sutarties 286 straipsnis), o Sąjungos pagrindinių teisių chartija, į kurios 8a straipsnį yra įtrauktos nuostatos dėl duomenų apsaugos, taps privalomu dokumentu.

53.

Tarpvyriausybinės konferencijos įgaliojimuose ypatingas dėmesys skiriamas duomenų apsaugai. 19 dalies f punkte iš esmės nurodomi trys aspektai. Pirma, bendros duomenų apsaugos taisyklės nepažeis pagal BUSP antraštinę dalį (dabartinį antrąjį ramstį) patvirtintų konkrečių taisyklių; antra, bus priimta deklaracija dėl duomenų apsaugos policijos ir teisminio bendradarbiavimo baudžiamosiose bylose srityse (dabartinis trečiasis ramstis) ir trečia, į atitinkamus protokolus bus įtrauktos konkrečios nuostatos dėl atskirų valstybių narių pozicijų (šis aspektas yra daugiausia susijęs su konkrečia Jungtinės Karalystės pozicija dėl policijos ir teisminio bendradarbiavimo baudžiamosiose bylose).

54.

Būtent šis antras aspektas (deklaracija) turės būti paaiškintas Tarpvyriausybinėje konferencijoje. Turi būti tinkamai apsvarstyti ramsčiais grindžiamos struktūros panaikinimo bei direktyvos dėl policijos ir teisminio bendradarbiavimo baudžiamosiose bylose galimo taikymo padariniai, kad būtų užtikrintas kuo platesnis direktyvoje išdėstytų duomenų apsaugos principų taikymas. Šioje nuomonėje šis aspektas nebus toliau nagrinėjamas. Tarpvyriausybinei konferencijai pirmininkausiančiai valstybei narei skirtame laiške EDAPP pateikė pasiūlymų dėl deklaracijos (25).

VI.   GERESNIAM ĮGYVENDINIMUI SKIRTI DOKUMENTAI

A.   Bendro pobūdžio informacija

55.

Komunikate nurodomos priemonės ir veiksmai, kurie gali būti naudojami siekiant ateityje geriau įgyvendinti direktyvą. EDAPP nori pateikti pastabų, kartu išnagrinėdamas komunikate nepaminėtas kitas papildomas priemones.

B.   Sektorių teisės aktai

56.

Tam tikrais atvejais gali prireikti imtis konkrečių teisėkūros veiksmų ES lygiu. Visų pirma gali prireikti priimti sektorių teisės aktus, kad direktyvos principai būtų suderinti su klausimais, kylančiais dėl kai kurių technologijų, kaip tai buvo padaryta direktyvų dėl privatumo aspekto telekomunikacijų sektoriuje atveju. Turėtų būti atidžiai apsvarstytas konkrečių taisės aktų taikymas srityse, susijusiose su radijo dažninio atpažinimo RFID technologijų naudojimu.

C.   Pažeidimų nagrinėjimo procedūros

57.

Stipriausia priemonė, paminėta komunikate, yra pažeidimų nagrinėjimo procedūra. Komunikate nurodoma viena konkreti susirūpinimą kelianti sritis — duomenų apsaugos institucijų nepriklausomumas ir jų galios, o apie kitas sritis tik bendrai užsimenama. EDAPP pritaria nuomonei, kad pažeidimų nagrinėjimo procedūros yra viena iš svarbiausių ir neišvengiamų priemonių, jei valstybės narės nenumato visapusiško direktyvos įgyvendinimo, ypač atsižvelgiant į tai, kad nuo direktyvos įgyvendinimo termino praėjo beveik devyneri metai ir jau įvyko darbo programoje nustatytas struktūrinis dialogas. Tačiau iki šiol Teisingumo Teisme dar nebuvo iškelta nė viena byla dėl Direktyvos 95/46/EB pažeidimo.

58.

Visų įtariamo neteisingo ar nevisiško direktyvos perkėlimo į nacionalinę teisę (26) atvejų lyginamoji analizė ir aiškinamasis komunikatas, be abejonės, gali pagerinti Komisijos, kaip Sutarčių sergėtojos, vaidmens darną. Tačiau dėl šių dokumentų rengimo, kuriam gali tekti skirti laiko ir pastangų, neturėtų būti atidedamos pažeidimų nagrinėjimo procedūros tose srityse, kuriose Komisija aiškiai nustatė neteisingo perkėlimo į nacionalinę teisę ar neteisingos praktikos atvejus.

59.

Todėl EDAPP ragina Komisiją tęsti direktyvos geresnį įgyvendinimą prireikus taikant pažeidimų nagrinėjimo procedūras. Atsižvelgdamas į tai, EDAPP pasinaudos savo intervencijos įgaliojimais Teisingumo Teisme, kad atitinkamais atvejais įsiterptų į pažeidimų nagrinėjimo procedūras, susijusias su Direktyvos 95/46/EB ar kitų asmens duomenų apsaugos sritį reglamentuojančių teisės aktų įgyvendinimu.

D.   Aiškinamasis komunikatas

60.

Komisija taip pat nurodo aiškinamąjį komunikatą dėl kai kurių nuostatų, kuriame ji paaiškins savo nuomonę dėl direktyvos nuostatų, kurių įgyvendinimas yra probleminis ir dėl kurio todėl gali būti taikomos pažeidimų nagrinėjimo procedūros. Todėl EDAPP palankiai vertina tai, kad Komisija atsižvelgs į darbo grupės atliktą aiškinamąjį darbą. Iš tiesų svarbu, kad rengiant būsimą aiškinamąjį komunikatą būtų tinkamai atsižvelgta į darbo grupės poziciją ir su šia darbo grupe būtų deramai konsultuojamasi, siekiant į komunikatą įtraukti jos patirtį, įgytą taikant direktyvą nacionaliniu lygiu.

61.

Be to, EDAPP patvirtina esąs pasirengęs konsultuoti Komisiją visais klausimais, susijusiais su asmens duomenų apsauga. Tai taip pat taikoma tiems dokumentams, pavyzdžiui, Komisijos komunikatams, kurie nėra privalomi, tačiau kuriais siekiama apibrėžti Komisijos politiką asmens duomenų apsaugos srityje. Kad šios konsultacijos būtų veiksmingos, konsultacijos su EDAPP dėl komunikatų turėtų vykti prieš priimant aiškinamąjį komunikatą (27). Konsultacijos su 29 straipsnio darbo grupe bei EDAPP šiam komunikatui suteiks pridėtinės vertės ir kartu bus išlaikytas Komisijos nepriklausomumas savarankiškai sprendžiant dėl pažeidimų nagrinėjimo procedūrų, susijusių su direktyvos įgyvendinimu, oficialaus pradėjimo.

62.

EDAPP palankiai vertina tai, kad komunikate bus nagrinėjami tik keli straipsniai ir todėl bus sudarytos sąlygos skirti dėmesį jautresniems klausimams. Atsižvelgdamas į tai, EDAPP atkreipia Komisijos dėmesį į šiuos klausimus, kuriems aiškinamajame komunikate turi būti skirtas ypatingas dėmesys:

asmens duomenų koncepciją (28),

duomenų valdytojo ar duomenų tvarkytojo vaidmens apibrėžimą,

taikomos teisės nustatymą,

tikslo ribojimo principą ir netinkamą naudojimą,

tvarkymo teisinį pagrindą, pirmiausia atsižvelgiant į vienareikšmį pritarimą ir interesų pusiausvyrą.

E.   Kitos neprivalomos priemonės

63.

Kitomis neprivalomomis priemonėmis turėtų būti aktyviai siekiama laikytis duomenų apsaugos principų, pirmiausia aplinkoje, kurioje taikomos naujos technologijos. Šios priemonės turėtų būti grindžiamos principu, kad į privatumą turi būti atsižvelgta jų projektavimo etape, užtikrinant, kad naujų technologijų struktūra būtų plėtojama ir kuriama tinkamai atsižvelgiant į duomenų apsaugos principus. Atsižvelgiant į tai, kad kompiuteriai sparčiai diegiami visose srityse, turėtų būti aktyviai propaguojami privatumo teisių nepažeidžiantys technologiniai produktai.

64.

Su šiuo aspektu yra glaudžiai susijusi būtinybė plėsti duomenų apsaugos teisės vykdymu suinteresuotų subjektų ratą. Kita vertus, EDAPP tvirtai remia duomenų apsaugos institucijų pagrindinį vaidmenį užtikrinant direktyvos principų vykdymą visapusiškai pasinaudojant savo įgaliojimais ir veiklos koordinavimo su 29 straipsnio darbo grupe mastą. Veiksmingesnis direktyvos vykdymas taip pat yra vienas iš Londono iniciatyvos tikslų.

65.

Kita vertus, EDAPP pabrėžia, kad reikėtų propaguoti privatų duomenų apsaugos principų vykdymą pasitelkiant savireguliavimą ir konkurenciją. Pramonės atstovai turėtų būti skatinami įgyvendinti duomenų apsaugos principus ir konkuruoti kuriant privatumo teisių nepažeidžiančius produktus bei paslaugas, kurie padėtų stiprinti jų poziciją rinkoje geriau tenkinant savo privatumo teises žinančių vartotojų lūkesčius. Šiuo atveju geras pavyzdys gali būti privatumo apsaugos ženklai, kurie galėtų būti tvirtinami prie produktų ar kuriais galėtų būti žymimos paslaugos, kurioms buvo taikyta sertifikavimo procedūra (29).

66.

EDAPP taip pat norėtų atkreipti Komisijos dėmesį į kitas priemones, kurios, nors ir nepaminėtos komunikate, galėtų būti naudingos siekiant geriau įgyvendinti direktyvą. Tokių priemonių, kurios padėtų duomenų apsaugos institucijoms geriau užtikrinti duomenų apsaugos teisės vykdymą, pavyzdžiai yra šie:

kriterijų nustatymas,

geriausios praktikos propagavimas ir keitimasis ja,

trečiųjų šalių privatumo auditas.

F.   Kitos ilgesnio laikotarpio priemonės

67.

Galiausiai, EDAPP nurodo kitas priemones, kurios komunikate neminimos, tačiau kurias būtų galima panaudoti ateityje direktyvai pakeisti arba kurias būtų galima įtraukti į kitus horizontalius teisės aktus, pirmiausia į:

grupinius veiksmus, piliečių grupėms suteikiančius teisę kartu bylinėtis bylose, susijusiose su asmens duomenų apsauga, kurie galėtų būti ypač stipri priemonė, padedanti palengvinti direktyvos vykdymą;

veiksmus, kuriuos inicijuoja juridiniai asmenys, pavyzdžiui, vartotojų asociacijos ir profesinės sąjungos, kurių veikla yra skirta tam tikrų kategorijų asmenų interesams apsaugoti, ir kurių poveikis gali būti panašus;

įpareigojimą duomenų valdytojams pranešti duomenų subjektams apie saugumo pažeidimus, kuris būtų ne tik vertinga apsaugos priemonė, bet ir vienas iš piliečių informuotumo gerinimo būdų;

nuostatas, palengvinančias privatumo apsaugos ženklų naudojimą ar trečiųjų šalių privatumo audito atlikimą (žr. 65 ir 66 punktus) tarpvalstybiniu lygiu.

G.   Geresnis institucinių subjektų, visų pirma darbo grupės, pareigų apibrėžimas

68.

Įvairūs instituciniai subjektai turi pareigų, susijusių su direktyvos įgyvendinimu. Valstybių narių priežiūros institucijos pagal direktyvos 28 straipsnį atsako už į nacionalinių nuostatų, kuriomis į nacionalinę teisę perkeliama direktyva, taikymo stebėseną valstybėse narėse. 29 straipsniu įsteigiama priežiūros institucijų darbo grupė, o 30 straipsnyje išvardijamos jos užduotys. Pagal 31 straipsnį valstybių narių vyriausybių atstovų komitetas Komisijai teikia pagalbą, susijusią su įgyvendinimo priemonėmis Bendrijos lygiu (komitologijos komitetas).

69.

Pirmiausia reikia apibrėžti įvairių subjektų pareigas darbo grupėje (jos veikloje). 30 straipsnio 1 dalyje išvardijamos keturios darbo grupės užduotys, kurias galima apibendrinti kaip direktyvos taikymo nacionaliniu lygiu nagrinėjimą siekiant užtikrinti vienodą taikymą ir nuomonių apie pokyčius Bendrijos lygiu, įskaitant apsaugos lygį, pasiūlymus dėl teisės aktų ir elgesio kodeksus, teikimą. Šis sąrašas atspindi plačias darbo grupės pareigas duomenų apsaugos srityje, kuriuos papildomai iliustruoja darbo grupės per kelerius metus parengti dokumentai.

70.

Komunikate teigiama, kad darbo grupė „yra svarbiausia užtikrinant geresnį ir darnesnį įgyvendinimą“. EDAPP visapusiškai pritaria šiam pareiškimui, tačiau mano, kad taip pat būtina paaiškinti tam tikrus pareigų aspektus.

71.

Pirma, komunikate raginama stiprinti darbo grupės įnašą, kadangi nacionalinės institucijos turėtų stengtis suderinti savo nacionalinę praktiką su bendrais principais (30). EDAPP palankiai vertina šiuo teiginiu pateiktus ketinimus, tačiau įspėja dėl su pareigomis susijusios painiavos. Pagal EB sutarties 211 straipsnį Komisija turi užtikrinti, kad valstybėse narėse būtų laikomasi Sutarties nuostatų ir priemonių, įskaitant priežiūros institucijų nustatytas priemones. Darbo grupė yra nepriklausomas patariamasis subjektas, todėl ji negali būti atsakinga už tai, kad nacionalinės institucijos taikytų jos nuomones.

72.

Antra, Komisija privalo suprasti, kad ji darbo grupėje atlieka įvairias funkcijas, kadangi ji yra ne tik darbo grupės narė, bet ir teikia jai sekretoriatą. Vykdydama antrąją funkciją — teikdama sekretoriato paslaugas, ji privalo remti darbo grupę tokiu būdu, kad ši galėtų nepriklausomai atlikti savo darbą. Tai iš principo apima du aspektus: Komisija privalo skirti būtinų išteklių, o sekretoriatas privalo dirbti laikydamasis darbo grupės ir jos pirmininko nurodymų, atitinkančių darbo grupės veiklos turinį bei apimtį ir siekiamų rezultatų pobūdį. Apskritai, Komisijos veikla vykdant kitas pagal EB teisę nustatytas pareigas neturėtų trukdyti jai teikti sekretoriatą.

73.

Trečia, nors darbo grupės prioritetus nustato pati darbo grupė, Komisija galėtų nurodyti, ko ji tikisi iš darbo grupės ir kaip, jos nuomone, būtų galima geriausiai panaudoti turimus išteklius.

74.

Ketvirta, EDAPP apgailestauja, kad komunikate aiškiai nenurodomas Komisijos ir darbo grupės funkcijų pasidalijimas. Jis ragina Komisiją darbo grupei pateikti dokumentą, kuriame būtų pateikti šie nurodymai. EDAPP siūlo į šį dokumentą įtraukti šiuos aspektus:

Komisija galėtų paprašyti darbo grupės išnagrinėti keletą konkrečių klausimų. Komisijos prašymas turėtų būti grindžiamas aiškia darbo grupės užduočių ir prioritetų strategija.

Darbo grupė aiškius prioritetus nustato darbo programoje.

Galbūt Komisija ir darbo grupė priemones galėtų išdėstyti susitarimo memorandume.

Ypač svarbu, kad darbo grupė visapusiškai dalyvautų aiškinant direktyvą ir prisidėtų prie diskusijų, kuriose būtų patvirtinti galimi direktyvos pakeitimai.

VII.   IŠVADOS

75.

EDAPP pritaria pagrindinei Komisijos išvadai, jog greitu metu direktyva neturėtų būti keičiama. Šią išvadą galėtų sustiprinti direktyvos pobūdis ir Sąjungos teisėkūros politika.

76.

EDAPP laikosi tokių pradinių prielaidų:

Dabar pastangas geriausia būtų skirti direktyvos įgyvendinimo gerinimui.

Ilgainiui direktyvos pakeitimai atrodo neišvengiami.

Jau dabar turėtų būti aiškiai nustatyta peržiūros data siekiant parengti pasiūlymus dėl tokių pakeitimų. Nustačius tokią datą būtų suteiktas aiškus akstinas jau dabar pradėti svarstyti būsimus pakeitimus.

77.

Būtų galima svarstyti šiuos pagrindinius būsimų pakeitimų aspektus:

Nauji principai nėra būtini, tačiau yra aiškiai būtinos kitos administracinės priemonės.

Neturėtų būti keičiama plati duomenų apsaugos teisės taikymo asmens duomenų visų rūšių naudojimui sritis.

Duomenų apsaugos teisė turėtų sudaryti sąlygas konkrečiais atvejais laikytis suderinto požiūrio, o duomenų apsaugos institucijoms taip pat turėtų sudaryti sąlygas nustatyti prioritetus.

Sistema turėtų būti visapusiškai taikoma asmens duomenų naudojimui teisėsaugos tikslais, nors gali prireikti atitinkamų papildomų priemonių konkrečioms problemoms šioje srityje spręsti.

78.

EDAPP siūlo Komisijai tiksliai nustatyti komunikato 3 skyriuje nurodytos veiklos vykdymo grafiką, atitinkamo pranešimo apie direktyvos taikymą pateikimo terminą, numatomos veiklos įgyvendinimo įvertinimo sąlygas ir tolesnės veiklos vykdymo ateityje kryptis.

79.

EDAPP palankiai vertina požiūrį į technologijas, kaip vieną svarbiausių pirmųjų žingsnių, ir siūlo pradėti diskusiją dėl ilgalaikio požiūrio, įskaitant, inter alia, pagrindinius debatus dėl stebėjimu grindžiamos visuomenės kūrimo. Jis taip pat palankiai vertina vykdomą Direktyvos 2002/25/EB peržiūrą ir galimą poreikį nustatyti konkretesnes taisykles, skirtas duomenų apsaugos klausimams, kylantiems dėl naujų technologijų, pavyzdžiui, interneto ir RFID, spręsti. Vykdant šiuos veiksmus turėtų būti atsižvelgta į visą dinamišką kontekstą, o ilgalaikėje perspektyvoje turėtų būti įtraukta ir Direktyva 95/46/EB.

80.

EDAPP apgailestauja, kad visuotinio privatumo ir jurisdikcijos aspektui komunikate skiriamas tik nedidelis vaidmuo, ir prašo priimti praktinius sprendimus, kurie užtikrintų Europos duomenų subjektų apsaugą Europos Sąjungos ir jos valstybių narių teritorinėse ribose, pavyzdžiui: toliau plėtoti duomenų apsaugos visuotinę sistemą; toliau plėtoti specialų duomenų perdavimo trečiosioms šalims režimą; su trečiosiomis šalimis sudaryti tarptautinius susitarimus dėl jurisdikcijos ar panašius susitarimus; investuoti į visuotinio reikalavimų laikymosi mechanizmus, pavyzdžiui, daugianacionalinių bendrovių taikomas įmonėms privalomas taisykles.

EDAPP ragina Komisiją ir labiausiai suinteresuotus subjektus pradėti rengti projektą šiuo klausimu.

81.

Teisėsaugos srityje EDAPP norėtų pasiūlyti Komisijai:

toliau svarstyti privačių bendrovių dalyvavimo teisėsaugos veikloje galimybes.

Išlaikyti direktyvos 13 straipsnio effet utile, galbūt pasiūlant teisės aktus, kuriais būtų siekiama suderinti sąlygas ir nustatyti garantijas dėl naudojimosi 13 straipsnio taikymo išimtimis.

82.

Visapusiškas direktyvos įgyvendinimas reiškia, kad 1) bus užtikrinta, jog valstybės narės visapusiškai laikytųsi pagal europinę teisę nustatytų įpareigojimų ir 2) bus visapusiškai pasinaudota kitomis neprivalomomis priemonėmis, kurios galėtų padėti siekti aukšto ir suderinto duomenų apsaugos lygio. EDAPP prašo Komisijos aiškiai nurodyti, kaip ji naudos įvairias priemones ir kaip ji atskirs savo ir darbo grupės pareigas.

83.

Galimos šios priemonės:

Tam tikrais atvejais gali prireikti imtis konkrečių teisėkūros veiksmų ES lygiu.

Komisija skatinama tęsti geresnį direktyvos įgyvendinimą prireikus taikant pažeidimų nagrinėjimo procedūras.

Komisija raginama pasitelkti aiškinamąjį komunikatą, kartu gerbiant darbo grupės ir EDAPP patariamąjį vaidmenį šiais klausimais: asmens duomenų koncepcijos, duomenų valdytojo ar duomenų tvarkytojo vaidmens apibrėžimo, taikomos teisės nustatymo, tikslo ribojimo principo ir netinkamo naudojimo, tvarkymo teisinio pagrindo, pirmiausia atsižvelgiant į vienareikšmį pritarimą ir interesų pusiausvyrą.

Neprivalomiems dokumentams priskiriami dokumentai, pagrįsti principu, kad į privatumą turi būti atsižvelgta jau projektavimo etape.

Ilgainiui taip pat galimi grupiniai veiksmai, veiksmai, kuriuos inicijuoja juridiniai asmenys, kurių veikla yra skirta tam tikrų kategorijų asmenų interesams saugoti, įpareigojimas duomenų valdytojams pranešti duomenų subjektams apie saugumo pažeidimus, nuostatos sudarančios sąlygas naudoti privatumo apsaugos ženklus arba atlikti trečiųjų šalių privatumo auditą tarpvalstybiniu lygiu.

84.

EDAPP ragina Komisiją darbo grupei pateikti dokumentą, kuriame būtų aiškiai nurodytas Komisijos ir darbo grupės funkcijų pasidalijimas, įskaitant šiuos aspektus:

Komisijos prašymai išnagrinėti keletą konkrečių klausimų, pagrįsti aiškia darbo grupės užduočių ir prioritetų strategija.

Galimybė priemones nustatyti susitarimo memorandume.

Visapusiškas darbo grupės dalyvavimas aiškinant direktyvą ir dalyvavimas diskusijose, kuriose parengiami galimi direktyvos pakeitimai.

85.

Reformų sutarties padariniai turi būti tinkamai apsvarstyti, kad būtų užtikrintas kuo platesnis direktyvoje nustatytų duomenų apsaugos principų taikymas. EDAPP savo pasiūlymus išdėstė Tarpvyriausybinei konferencijai pirmininkausiančiai valstybei narei skirtame laiške.

Priimta 2007 m. liepos 25 d. Briuselyje

Peter HUSTINX

Europos duomenų apsaugos priežiūros pareigūnas


(1)  OL L 281, 1995 11 23, p. 31.

(2)  OL L 8, 2001 1 12, p. 1.

(3)  Toliau — komunikatas.

(4)  Toliau — direktyva.

(5)  Žr. šios nuomonės 37 punktą.

(6)  Visų pirma Teismo sprendimai Lindqvist (žr. 15 išnašą) ir PNR (žr. 17 išnašą) bylose.

(7)  Komunikato 9 puslapis, pirma pilna pastraipa.

(8)  Direktyvos 11 konstatuojamoji dalis.

(9)  2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (OL L 201, 2002 7 31, p. 37).

(10)  Žr. komunikato p. 11.

(11)  Žr. komunikato p. 6, šalia paskutinės pastraipos.

(12)  Žr., pavyzdžiui, 2007 m. birželio 20 d. priimtą darbo grupės Nuomonę Nr. 4/2007 dėl asmens duomenų sąvokos (WP 137).

(13)  Interneto darbo grupė yra 29 straipsnio darbo grupės pogrupis.

(14)  Žr., pavyzdžiui, pastabas dėl 2006 m. kovo 10 d. Komisijos komunikato dėl Europos duomenų bazių sąveikos, paskelbtas EDAPP tinklavietėje.

(15)  Žr. Priežiūros studijų tinklo JK įgaliotiniui informacijos klausimais parengtą ir 2006 m. lapkričio 2–3 d. Londone 28-oje tarptautinėje duomenų apsaugos ir privatumo įgaliotinių konferencijoje pateiktą „Pranešimą apie stebėjimu grindžiamą visuomenę“ (žr. www.privacyconference2006.co.uk (skyrius — Dokumentai).

(16)  Žr., pavyzdžiui, 2005 m. lapkričio 25 d. priimtą darbinį dokumentą, dėl 1995 m. spalio 24 d. Direktyvos 95/46/EB 26 straipsnio 1 dalies bendro aiškinimo; 2005 m. balandžio 14 d. priimtą darbinį dokumentą, nustatantį bendradarbiavimo procedūrą skelbiant bendras nuomones dėl adekvačių priemonių, kurių yra reikalaujama pagal „Įmonėms privalomas taisykles“ (WP107), 2003 m. gruodžio 17 d. priimtą Nuomonę 8/2003 dėl standartinių sutarčių sąlygų projektų, pateiktą verslo asociacijų grupės („alternatyvus sutarties modelis“) (WP84).

(17)  2003 m. lapkričio 6 d. Teisingumo Teismo sprendimas, byla C-101/01, Rink. [2003], p. I-12971, 56-71 punktai.

(18)  Žr. 2005 m. lapkričio 28 d. laišką Europos Komisijos teisingumo, laisvės ir saugumo departamento generaliniam direktoriui dėl komunikato dėl strategijos, skirtos laisvės, saugumo ir teisingumo srities išorės aspektui, kuris pateikiamas EDAPP tinklavietėje.

(19)  2006 m. gegužės 30 d. Teismo sprendimas byloje Europos Parlamentas prieš Tarybą (C-317/04) ir Komisiją (C-318/04), sujungtos bylos C-317/07 ir C-318/04, Rink. [2006], p. I-4721.

(20)  1981 m. sausio 28 d. Europos Tarybos konvencija dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu.

(21)  Svarstant poreikį priimti Tarybos pamatinį sprendimą, EDAPP daugelyje nuomonių paminėjo tikslumo trūkumą Konvencijoje Nr. 108.

(22)  2006 m. kovo 15 d. Europos Parlamento ir Tarybos direktyva 2006/24/EB dėl duomenų, generuojamų arba tvarkomų teikiant viešai prieinamas elektroninių ryšių paslaugas arba viešuosius ryšių tinklus, saugojimo ir iš dalies keičianti Direktyvą 2002/58/EB (OL L 105, 2006 4 13, p. 54).

(23)  EDAPP kelis kartus atkreipė dėmesį į „teisinės spragos“ klausimą, daugiausia susijusį su Teismo sprendimu dėl PNR (žr., pavyzdžiui, 2006 m. metinį pranešimą, p. 47).

(24)  2003 m. gegužės 20 d. Teismo sprendimas, jungtinės bylos C-465/00, C-138/01 ir C-139/01, Rink [2003], p. I-4989.

(25)  Žr. EDAPP tinklavietėje pateiktą 2007 m. liepos 23 d. EDAPP laišką Tarpvyriausybinei konferencijai pirmininkausiančiai valstybei narei dėl duomenų apsaugos pagal Reformų sutartį.

(26)  Žr. komunikato p. 6.

(27)  Žr. EDAPP strateginį dokumentą „EDAPP — Bendrijos institucijų patarėjas dėl pasiūlymų dėl teisės aktų ir susijusių dokumentų“, pateiktą EDAPP tinklavietėje (dokumento 5.2 punktą).

(28)  Šis klausimas taip pat buvo nagrinėtas darbo grupės nuomonėje Nr. 4/2007, cituojamoje 9 išnašoje.

(29)  Reikėtų paminėti Šlezvigo-Holšteino žemės duomenų apsaugos institucijos EuroPriSe projektą, pradėtą pagal Europos Komisijos eTEN programą.

(30)  Žr. komunikato p. 11.


Top