27.10.2007   

LT

Europos Sąjungos oficialusis leidinys

C 255/1

1.

2007 m. kovo 7 d. Komisija nusiuntė EDAPP Komisijos komunikatą Europos Parlamentui ir Tarybai dėl tolesnių veiksmų pagal Geresnio duomenų apsaugos direktyvos įgyvendinimo darbo programą (3). Laikydamasis Reglamento (EB) Nr. 45/2001 41 straipsnio, EDAPP pateikia šią nuomonę.

2.

Komunikate dar karta pakartojama, kad Direktyva 95/46/EB (4) yra labai svarbi kaip asmens duomenų apsaugos pagrindas, o direktyva ir jos įgyvendinimas aptariami trijuose skyriuose: „Praeitis“, „Dabartis“ ir „Ateitis“. Pagrindinė komunikato išvada yra tai, kad direktyva neturėtų būti keičiama. Direktyvos įgyvendinimas turėtų būti toliau gerinamas pasitelkiant kitus politinius dokumentus, kurių daugelis būtų neprivalomo pobūdžio.

3.

EDAPP nuomonėje laikomasi komunikato struktūros. Dar svarbiau tai, kad EDAPP pritaria pagrindinei Komisijos išvadai, jog direktyva neturėtų būti keičiama.

4.

Tačiau EDAPP laikosi šios nuomonės ir dėl pragmatinių priežasčių. EDAPP laikosi tokių pradinių prielaidų:

5.

Šios pradinės prielaidos yra esminės, kadangi reikia turėti galvoje, kad direktyva taikoma dinamiškame kontekste. Pirmiausia, Europos Sąjunga keičiasi: laisvas informacijos srautas tarp valstybių narių (ir tarp valstybių narių bei trečiųjų šalių) tapo realybe ir ateityje jo svarba dar padidės. Antra, keičiasi visuomenė. Informacinė visuomenė vystosi, jai tampa būdinga vis daugiau ir daugiau stebėjimu grindžiamos visuomenės bruožų (5). Tai reiškia, kad siekiant visapusiškai patenkinamu būdu veikti šiomis naujomis aplinkybėmis vis labiau didėja veiksmingos asmens duomenų apsaugos poreikis.

6.

Komunikato įvertinime EDAPP visų pirma nagrinės šiuos aspektus, susijusius su šiais pokyčiais:

7.

2003 m. gegužės 15 d. pateiktoje Pirmojoje duomenų apsaugos direktyvos įgyvendinimo ataskaitoje buvo pateikta Geresnio duomenų apsaugos direktyvos įgyvendinimo darbo programa ir 10 iniciatyvų, kurios turėjo būti įgyvendintos 2003–2004 m. Komunikate aprašoma, kaip buvo įgyvendinti visi šie veiksmai.

8.

Remiantis pagal darbo programą atlikto darbo analize, komunikate gerai įvertinti teigiami pokyčiai gerinant direktyvos įgyvendinimą. Komisijos įvertinime, kuris trumpai susumuojamas komunikato 2 skyriaus („Dabartis“) poskyrių pavadinimuose, iš esmės teigiama: įgyvendinimas pagerėjo, nors kai kurios valstybės narės dar tinkamai neįgyvendino direktyvos; kai kuriais atvejais skirtumai atsiranda neperžengiant pagal direktyvą suteiktos veiksmų laisvės ribos, tačiau šie skirtumai nekelia rimto pavojaus vidaus rinkai. Paaiškėjo, kad direktyvoje nustatyti teisiniai sprendimai yra pakankamai tinkami siekiant užtikrinti pagrindinę teisę į duomenų apsaugą, kartu atsižvelgiant į technologijų vystymąsi ir reikalavimus, kurie nustatomi dėl viešųjų interesų.

9.

EDAPP pritaria pagrindiniams šio teigiamo įvertinimo teiginiams. Visų pirma EDAPP pripažįsta, kad tarpvalstybinių duomenų srautų srityje nuveiktas nemažas darbas: trečiųjų šalių užtikrinamo adekvataus apsaugos lygio įvertinimas, naujos standartinės sutarčių sąlygos, įmonėms privalomų taisyklių priėmimas, svarstymai apie vienodesnį direktyvos 26 straipsnio 1 dalies aiškinimą ir pranešimų pagal 26 straipsnio 2 dalį tobulinimas — visa tai prisideda sudarant geresnes sąlygas atlikti tarptautinius asmens duomenų perdavimus. Tačiau Teisingumo Teismo praktika (6) parodė, kad šioje svarbioje srityje reikia daugiau dirbti, kad būtų atsižvelgta į pokyčius technologijų ir teisėsaugos srityse.

10.

Komunikate taip pat parodoma, kad direktyvos vykdymas ir informavimas yra pagrindiniai veiksniai skatinant geresnį įgyvendinimą ir jais turėtų būti toliau naudojamasi. Be to, keitimasis geriausia praktika ir derinimas pranešimų bei informacijos teikimo srityje yra sėkmingi pavyzdžiai, kaip sumažinti biurokratines procedūras ir įmonių patiriamas išlaidas.

11.

Praeities analizė taip pat patvirtina, kad įgyvendinimą pagerinti galima tik dalyvaujant įvairiems suinteresuotiems subjektams. Komisija, duomenų apsaugos institucijos ir valstybės narės yra pagrindinės daugelio atliekamų veiksmų dalyvės. Tačiau privačių subjektų vaidmuo tampa vis svarbesnis, ypač propaguojant savitvarką ir Europos elgesio kodeksus ar plėtojant privatumo didinimo technologijas.

12.

Komisijos išvada, kad dabartinėmis aplinkybėmis ir trumpuoju laikotarpiu neturėtų būti numatyta pasiūlymų keisti direktyvą, grindžiama keliomis priežastimis.

13.

Komisija iš esmės pateikia dvi priežastis, kuriomis grindžiama ši išvada. Pirma, direktyvos potencialas dar nėra visiškai išnaudotas. Vis dar įmanoma gerokai pagerinti direktyvos įgyvendinimą valstybių narių jurisdikcijų srityje. Antra, ji teigia, kad nors pagal direktyvą valstybėms narėms suteikiama veiksmų laisvė, nėra įrodymų, jog skirtumai neperžengiant tos veiksmų laisvės ribų sukeltų rimtą pavojų vidaus rinkai.

14.

Pasiremdama šiomis priežastimis, Komisija suformuluoja savo išvadą šitaip: ji paaiškina, kaip direktyva turėtų veikti, akcentuodama pasitikėjimo užtikrinimą, ir tada teigia, kad direktyva nustato standartą, yra neutrali technologijų atžvilgiu, ji ir toliau išlieka tvirtas ir tinkamas klausimų sprendimo pagrindas. (7)

15.

EDAPP palankiai vertina išvados formuluotę, tačiau laikosi nuomonės, kad šia išvadą galima būtų dar tvirčiau pagrįsti dviem papildomais aspektais:

16.

Fizinių asmenų pagrindinė teisė į savo asmens duomenų apsaugą yra pripažįstama Sąjungos pagrindinių teisių konvencijos 8 straipsnyje ir, inter alia, nustatyta 1981 m. sausio 28 d. Europos Tarybos konvencijoje Nr. 108 dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu. Iš esmės direktyvoje nustatyta sistema, apimanti šios pagrindinės teisės apsaugos esminius elementus, suteikiant pagrindą Konvencijoje nurodytoms teisėms ir laisvėms bei jas plėtojant (8).

17.

Pagrindine teise demokratinėje visuomenėje siekiama bet kuriomis aplinkybėmis apsaugoti pilietį. Tokios pagrindinės teisės esminiai elementai neturėtų būti lengvai keičiami dėl visuomenės pokyčių ar valdančių vyriausybių politinių prioritetų. Pavyzdžiui, dėl teroristų organizacijų keliamo pavojaus visuomenei konkrečiais atvejais gali būti imtasi kitokių veiksmų, nes gali prireikti rimčiau sutrikdyti asmens pagrindinę teisę, tačiau tai negali paveikti esminių pačios teisės elementų ar ją atimti arba nepateisinamai apriboti privataus asmens galimybes ja pasinaudoti.

18.

Antra direktyvos savybė yra tai, kad joje numatoma skatinti laisvą informacijos srautą vidaus rinkoje. Taip pat šį antrą tikslą galima laikyti pagrindiniu vis labiau vystantis vidaus rinkai be vidaus sienų. Siekiant užtikrinti šios vidaus rinkos sukūrimą ir funkcionavimą, viena pagrindinių priemonių yra nacionalinių įstatymų esminių nuostatų suderinimas. Tai suteikia pagrindą valstybėms narėms pasitikėti viena kitos nacionalinės teisės sistemomis. Taip pat ir dėl šių priežasčių turėtų būti reikiamai apsvarstyta pakeitimų galimybė. Pakeitimai gali paveikti tarpusavio pasitikėjimą.

19.

Trečia direktyvos savybė yra tai, kad ji turi būti suvokiama kaip bendra sistema, kuria grindžiami konkretūs teisės dokumentai. Šie konkretūs dokumentai yra bendros sistemos įgyvendinimo priemonės, taip pat konkrečios sistemos, skirtos konkretiems sektoriams. Tokia konkreti sistema yra Direktyva dėl privatumo ir elektroninių ryšių, (2002/58/EB) (9). Jeigu įmanoma, dėl visuomenės pokyčių turėtų būti keičiamos įgyvendinimo priemonės ar konkrečios teisinės sistemos, bet ne bendra sistema, kuria jos yra grindžiamos.

20.

EDAPP nuomone, išvada šiuo metu nekeisti direktyvos taip pat yra logiška vadovaujantis bendrais gero administravimo ir teisės aktų leidybos politikos principais. Pasiūlymai dėl teisės aktų — nesvarbu, ar jais ketinama nustatyti naujas Bendrijos veiksmų sritis, ar iš dalies pakeisti galiojančias teisės priemones, — turėtų būti teikiami tik pakankamai įrodžius, kad jie yra būtini ir proporcingi. Pasiūlymas dėl teisės akto neturėtų būti teikiamas, jeigu tą patį rezultatą galima pasiekti kitomis, ne tokio plataus užmojo, priemonėmis.

21.

Dabartinėmis aplinkybėmis nebuvo parodyta, kad yra būtina ir proporcinga iš dalies keisti direktyvą. EDAPP primena, kad direktyvoje nustatoma bendra duomenų apsaugos pagal Bendrijos teisės aktus sistema. Pagal ją turi būti užtikrinta, viena vertus, asmenų teisių ir laisvių, visų pirma teisės į privatumą, apsauga tvarkant asmens duomenis ir, kita vertus, laisvas asmens duomenų srautas vidaus rinkoje.

22.

Tokia bendra sistema turėtų būti keičiama tik visiškai ją įgyvendinus valstybėse narėse, nebent būtų akivaizdu, kad direktyvos tikslų negalima pasiekti pagal esamą sistemą. EDAPP nuomone, Komisija — dabartinėmis aplinkybėmis — adekvačiai pagrindė, kad direktyvos potencialas dar nėra visiškai išnaudotas (žr. šios nuomonės III skyrių). Lygiai taip pat nėra įrodymų, kad tikslų negalima būtų pasiekti pagal esamą sistemą.

23.

Ateityje taip pat turėtų būti užtikrinta, kad duomenų apsaugos principais būtų veiksmingai apsaugoti fiziniai asmenys, atsižvelgiant į dinamišką kontekstą, kuriame taikoma direktyva (žr. šios nuomonės 5 punktą), ir šios nuomonės 6 punkte nurodytus aspektus: įgyvendinimo gerinimą, sąveiką su technologija, visuotinį privatumą ir jurisdikciją, duomenų apsaugą ir teisėsaugą, Reformų sutartį. Dėl šio poreikio visapusiškai taikyti duomenų apsaugos principus nustatomi standartai, kuriais vadovaujantis direktyva bus keičiama ateityje. EDAPP primena, kad ilgainiui pakeitimai atrodo neišvengiami.

24.

Būsimų priemonių turinio klausimu EDAPP jau šiame etape pateikia kelis elementus, kuriuos jis laiko esminiais būsimos duomenų apsaugos sistemos Europos Sąjungoje elementais. Šie elementai:

25.

Komunikate, kaip susijusi su naujų technologijų problemomis, minima vykdoma Direktyvos 2002/25/EB peržiūra ir galimas poreikis nustatyti konkretesnes taisykles, skirtas duomenų apsaugos klausimams, kylantiems dėl naujų technologijų, pavyzdžiui, interneto ir RDA, spręsti (10). EDAPP palankiai vertina šią peržiūrą ir tolesnius veiksmus, nors, EDAPP manymu, jie turėtų būti ne tik susiję su technologine plėtra, bet šiuose veiksmuose taip pat turėtų būti atsižvelgta į visą dinamišką kontekstą, o ilgalaikėje perspektyvoje turėtų būti įtraukta ir Direktyva 95/46/EB. Be to, šiems klausimams reikia skirti daugiau dėmesio. Deja, komunikate tam tikri klausimai neatsakyti:

EDAPP siūlo, kad Komisija nurodytų šiuos elementus.

26.

Prieš darant bet kokius pakeitimus ateityje, turi būti visapusiškai įgyvendintos dabartinės direktyvos nuostatos. Visapusiško įgyvendinimo pradžia — atitiktis direktyvos teisiniams reikalavimams. Komunikate minima (11), kad kai kurios valstybės narės neįtraukė į nacionalinę teisę kai kurių svarbių direktyvos nuostatų, ir visų pirma nurodomos nuostatos dėl priežiūros institucijų nepriklausomybės. Komisijos užduotis — stebėti atitiktį ir pasinaudoti savo įgaliojimais pagal EB sutarties 226 straipsnį, jei, jos manymu, tai yra reikalinga.

27.

Komunikate numatomas aiškinamasis komunikatas dėl kai kurių nuostatų — visų pirma nuostatų, dėl kurių pagal EB sutarties 226 straipsnį gali būti taikomos pažeidimų nagrinėjimo procedūros.

28.

Be to, direktyvoje pateikiami kiti įgyvendinimo gerinimo mechanizmai. Šiam tikslui visų pirma yra skirtos direktyvos 30 straipsnyje išvardytos 29 straipsnio darbo grupės užduotys. Jos yra skirtos ne tik direktyvoje nustatytų įpareigojimų vykdymui užtikrinti, bet ir įgyvendinimui valstybėse narėse skatinti užtikrinant aukštą ir suderintą duomenų apsaugos lygį. Atlikdama šį vaidmenį darbo grupė per kelerius metus parengė keletą nuomonių ir kitų dokumentų.

29.

EDAPP manymu, visapusiškas direktyvos įgyvendinimas apima šiuos du elementus:

EDAPP pabrėžia, kad abu elementai turėtų būti aiškiai atskirti dėl skirtingų teisinių pasekmių ir susijusių pareigų. Apskritai Komisija turėtų prisiimti visišką atsakomybę už pirmąjį elementą, o tuo tarpu darbo grupė turėtų atliktį pagrindinį vaidmenį, susijusį su antruoju elementu.

30.

Taip pat reikėtų dar aiškiau atskirti turimas priemones, siekiant geresnio direktyvos įgyvendinimo. Joms priskiriama:

31.

EDAPP siūlo Komisijai aiškiai nurodyti, kaip ji naudos šias įvairias priemones po to, kai ji parengs savo politiką vadovaudamasi šiuo komunikatu. Atsižvelgdama į tai, Komisija taip pat turėtų aiškiai atskirti savo ir darbo grupės pareigas. Bet kuriuo atveju sėkmę užtikrintų geras Komisijos ir darbo grupės bendradarbiavimas.

32.

Atskaitos taškas yra tai, kad direktyvos nuostatų formuluotė yra neutrali technologijų atžvilgiu. Komunikate neutralumo technologijų atžvilgiu akcentavimas siejamas su: daugeliu technologinių pokyčių, pavyzdžiui, internetu, trečiosiose šalyse teikiamomis prieigos paslaugomis, RFID ir garso bei vaizdo ir automatinio atpažinimo deriniu. Jame išskiriamos dvi veiksmų rūšys. Pirmąją sudaro konkrečios gairės, susijusios su duomenų apsaugos principų taikymu kintančioje technologijų taikymo srityje svarbų vaidmenį atliekant darbo grupei ir jos interneto darbo grupei (13). Antroji — konkretiems sektoriams skirti teisės aktai, kuriuos galėtų pasiūlyti pati Komisija.

33.

EDAPP palankiai vertina šį požiūrį kaip svarbų žingsnį. Tačiau ilgainiui gali prireikti kitų svarbesnių žingsnių. Šiuo komunikatu galėtų būti pasinaudota kaip tokio ilgalaikio požiūrio rengimo pradžia. Vykdant tolesnę veiklą, susijusią su šiuo komunikatu, EDAPP siūlo pradėti diskusiją dėl šio požiūrio. Toliau minimi punktai galėtų būti šio požiūrio elementai.

34.

Pirma, sąveika su technologijomis yra dvejopa. Viena vertus, dėl naujų vystomų technologijų gali prireikti padaryti duomenų apsaugos teisinės sistemos pakeitimus. Kita vertus, dėl poreikio užtikrinti veiksmingą asmens duomenų apsaugą gali prireikti naujų apribojimų ar tinkamų apsaugos priemonių, susijusių su tam tikrų technologijų naudojimu, o tai yra dar platesnio masto pasekmė. Tačiau naujos technologijos galėtų būti veiksmingai naudojamos ir jomis galėtų būti remiamasi didinant privatumą.

35.

Antra, gali prireikti tam tikrų konkrečių apribojimų, jei vyriausybinės institucijos naudos naujas technologijos savo viešojo pobūdžio užduotims vykdyti. Geras pavyzdys yra diskusijos sąveikos ir prieigos klausimais, kurios vyksta laisvės, saugumo ir teisingumo srityje, susijusios su Hagos programos įgyvendinimu (14).

36.

Trečia, pastebima, kad vis dažniau naudojama biometrinė, DNR ir kita medžiaga. Konkretūs asmens duomenų, gautų iš šios medžiagos, naudojimo sunkumai gali turėti pasekmių duomenų apsaugos įstatymams.

37.

Ketvirta, reikia pripažinti, kad pati visuomenė keičiasi ir įgyja vis daugiau stebėjimu grindžiamos visuomenės bruožų (15). Būtini išsamūs debatai dėl šių pokyčių. Tokių debatų pagrindiniai klausimai būtų: ar šie pokyčiai neišvengiami, ar tai yra Europos teisės aktų leidėjo užduotis įsikišti į šį procesą ir nustatyti šių pokyčių ribas, ar ir kaip Europos teisės aktų leidėjas galėtų imtis veiksmingų priemonių ir t.t.

38.

Visuotinio privatumo ir jurisdikcijos aspektui komunikate skiriamas tik nedidelis vaidmuo. Todėl norima, kad Komisija toliau stebėtų tarptautinius forumus ir juose dalyvautų bei užtikrintų valstybių narių įsipareigojimų ir prievolių pagal direktyvą darną. Be to, komunikate nurodoma veikla, vykdoma siekiant supaprastinti tarptautinio duomenų perdavimo reikalavimus (žr. šios nuomonės III skyrių).

39.

EDAPP apgailestauja, kad komunikate šiam aspektui nesuteiktas svarbesnis vaidmuo.

40.

Šiuo metu direktyvos IV skyriuje (25–26 straipsniai) ne tik nustatomos bendros duomenų apsaugos taisyklės, bet ir įdiegiamas specialus duomenų perdavimo trečiosioms šalims režimas. Šis specialus režimas buvo tobulinamas ne vienerius metus siekiant teisingai suderinti asmenų, kurių duomenys turi būti perduoti trečiosioms šalims, apsaugą ir, inter alia, tarptautinės prekybos reikalavimus bei pasaulinių telekomunikacijų tinklų realijas. Ne tik Komisija ir darbo grupė (16), bet ir, pavyzdžiui, Tarptautiniai prekybos rūmai, atlikdami adekvatumo įvertinimus, taikydami standartines sutarčių sąlygas, įmonėms privalomas taisykles ir t.t., įdėjo daug pastangų, kad ši sistema veiktų.

41.

Sistemos taikymo internetui klausimu ypač svarbus buvo Teisingumo Teismo sprendimas Lindqvist byloje (17). Teismas atkreipia dėmesį į universalų informacijos internete pobūdį ir laikosi nuomonės, kad duomenų patalpinimas pačiame interneto puslapyje, net jeigu tokiu būdu šie duomenys tampa prieinami asmenims trečiosiose šalyse, turintiems techninių priemonių jais pasinaudoti, nelaikomas duomenų perdavimu trečiajai šaliai.

42.

Ši sistema — logiška ir būtina Europos Sąjungos teritorinių ribų pasekmė — nesuteiks visapusiškos Europos duomenų subjekto apsaugos tinklais susietoje visuomenėje, kurioje fizinės ribos nebėra svarbios (žr. šios nuomonės 6 punkte paminėtus pavyzdžius): informacija internete yra universalaus pobūdžio, tačiau Europos teisės aktų leidėjo jurisdikcija nėra universali.

43.

Reikės surasti praktinius sprendimus, kurie užtikrintų Europos duomenų subjektų apsaugą Europos Sąjungos ir jos valstybių narių teritorinėse ribose. EDAPP — savo pastabose dėl Komisijos komunikato dėl strategijos, skirtos laisvės, saugumo ir teisingumo srities išorės aspektui — jau paragino Komisiją imtis aktyvaus vaidmens stiprinant asmens duomenų apsaugą tarptautiniu lygiu remiant dvišalius ir daugiašalius santykius su trečiosiomis šalimis ir bendradarbiavimą su kitomis tarptautinėmis organizacijomis (18).

44.

Tokiems praktiniams sprendimams priskiriama:

45.

Nė vienas iš šių sprendimų nėra naujas. Tačiau būtinas projektas, kaip veiksmingai taikyti šiuos metodus pačiu efektyviausiu būdu ir kaip užtikrinti, kad duomenų apsaugos standartai — kurie Europos Sąjungoje laikomi pagrindinėmis teisėmis — taip pat būtų veiksmingi visoje tinklais susietoje visuomenėje. EDAPP ragina Komisiją ir labiausiai suinteresuotus subjektus pradėti rengti tokį projektą.

46.

Komunikate ypač daug dėmesio skiriama dėl viešųjų interesų nustatytiems reikalavimams, ypač saugumo srityje. Jame aiškinama direktyvos 3 straipsnio 2 dalis ir Teisingumo Teismo sprendimo byloje dėl PNR (19) pateiktas šios nuostatos aiškinimas bei direktyvos 13 straipsnis, inter alia, susijęs su Europos žmogaus teisių teismo praktika. Komunikate taip pat pabrėžiama, kad kai Komisija nustatys pusiausvyrą tarp priemonių, skirtų saugumui užtikrinti ir neginčijamų pagrindinių teisių, ji užtikrins, kad asmens duomenys būtų apsaugoti, kaip garantuojama Europos žmogaus teisių ir pagrindinių laisvių konvencijos 8 straipsnyje. Šis atskaitos taškas taip pat taikomas transatlantiniam dialogui su Jungtinėmis Amerikos Valstijomis.

47.

EDAPP manymu, svarbu, kad Komisija dar taip aiškiai, kaip išdėstyta Europos žmogaus teisių ir pagrindinių laisvių konvencijoje, pakartotų Sąjungos įsipareigojimus pagal ES sutarties 6 straipsnį gerbti pagrindines teises. Šis pareiškimas yra dar svarbesnis dabar, Europos Sąjungai nusprendus, kad pagal Reformų sutartį Europos Sąjungos pagrindinių teisių chartija turėtų turėti privalomąją teisinę galią. Chartijos 8 straipsnyje nurodoma kiekvieno teisė į asmens duomenų apsaugą.

48.

Plačiai žinoma, kad teisėsaugos institucijoms prašant dažniau naudoti asmens duomenis kovojant su nusikalstamumu — jau nekalbant apie kovą su terorizmu — yra pavojus, kad piliečių apsaugos lygis taps žemesnis už lygį, užtikrinamą Europos Sąjungos pagrindinių teisių chartijos 8 straipsnyje ir (arba) Europos Tarybos konvencijoje Nr. 108 (20). Šie susirūpinimą keliantys klausimai buvo akcentuoti 2007 m. balandžio 27 d. paskelbtoje trečiojoje EDAPP nuomonėje dėl pasiūlymo dėl Tarybos pamatinio sprendimo dėl asmens duomenų, tvarkomų vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, apsaugos.

49.

Atsižvelgiant į tai, svarbu, kad direktyvoje numatytas apsaugos standartas taptų piliečių apsaugos pagrindu ir teisėsaugos prašymų srityje. Europos Sąjungos pagrindinių teisių chartijoje ir Konvencijoje Nr. 108 numatomas minimalus apsaugos lygis, tačiau nenumatomas reikalingas tikslumas. Be to, siekiant numatyti tinkamą piliečių apsaugą buvo reikalingos papildomos priemonės. Šis poreikis buvo vienas pagrindinių veiksnių 1995 m. priimant direktyvą (21).

50.

Lygiai taip pat labai svarbu, kad šis apsaugos standartas būtų veiksmingai užtikrintas visomis aplinkybėmis, kai asmens duomenys yra tvarkomi teisėsaugos tikslais. Šiame komunikate nėra nagrinėjamas duomenų tvarkymas trečiojo ramsčio srityje, tačiau jame aptariama situacija, kai duomenys, renkami (ir tvarkomi) komerciniais tikslais, yra panaudojami teisėsaugos tikslais. Tokia situacija tampa vis labiau įprasta, nes policijos darbas vis labiau ir labiau priklauso nuo informacijos, kurią turi trečiosios šalys. Direktyva 2006/24/EB (22) gali būti suvokiama kaip geriausia šios tendencijos iliustracija: šioje direktyvoje elektroninių ryšių tiekėjai įpareigojami teisėsaugos tikslais (toliau) saugoti duomenis, kuriuos jie surinko (ir saugojo) komerciniais tikslais. EDAPP manymu, turėtų būti visapusiškai užtikrinama, kad asmens duomenys, surinkti ir tvarkomi direktyvos taikymo srityje, būtų tinkamai apsaugoti naudojant juos viešojo intereso tikslais, visų pirma saugumo ar kovos su terorizmu srityje. Tačiau tam tikrais atvejais pastariesiems tikslams direktyva gali būti netaikoma.

51.

Remiantis šiais pastebėjimais, Komisijai siūloma:

52.

Komunikate Komisija užsimena apie milžinišką Konstitucinės sutarties poveikį duomenų apsaugos sričiai. Iš tikrųjų Sutartis, kuri dabar vadinama Reformų sutartimi, bus ypač svarbi šioje srityje. Sutartimi bus panaikinta ramsčių struktūra, paaiškintos nuostatos dėl duomenų apsaugos (dabartinis EB sutarties 286 straipsnis), o Sąjungos pagrindinių teisių chartija, į kurios 8a straipsnį yra įtrauktos nuostatos dėl duomenų apsaugos, taps privalomu dokumentu.

53.

Tarpvyriausybinės konferencijos įgaliojimuose ypatingas dėmesys skiriamas duomenų apsaugai. 19 dalies f punkte iš esmės nurodomi trys aspektai. Pirma, bendros duomenų apsaugos taisyklės nepažeis pagal BUSP antraštinę dalį (dabartinį antrąjį ramstį) patvirtintų konkrečių taisyklių; antra, bus priimta deklaracija dėl duomenų apsaugos policijos ir teisminio bendradarbiavimo baudžiamosiose bylose srityse (dabartinis trečiasis ramstis) ir trečia, į atitinkamus protokolus bus įtrauktos konkrečios nuostatos dėl atskirų valstybių narių pozicijų (šis aspektas yra daugiausia susijęs su konkrečia Jungtinės Karalystės pozicija dėl policijos ir teisminio bendradarbiavimo baudžiamosiose bylose).

54.

Būtent šis antras aspektas (deklaracija) turės būti paaiškintas Tarpvyriausybinėje konferencijoje. Turi būti tinkamai apsvarstyti ramsčiais grindžiamos struktūros panaikinimo bei direktyvos dėl policijos ir teisminio bendradarbiavimo baudžiamosiose bylose galimo taikymo padariniai, kad būtų užtikrintas kuo platesnis direktyvoje išdėstytų duomenų apsaugos principų taikymas. Šioje nuomonėje šis aspektas nebus toliau nagrinėjamas. Tarpvyriausybinei konferencijai pirmininkausiančiai valstybei narei skirtame laiške EDAPP pateikė pasiūlymų dėl deklaracijos (25).

55.

Komunikate nurodomos priemonės ir veiksmai, kurie gali būti naudojami siekiant ateityje geriau įgyvendinti direktyvą. EDAPP nori pateikti pastabų, kartu išnagrinėdamas komunikate nepaminėtas kitas papildomas priemones.

56.

Tam tikrais atvejais gali prireikti imtis konkrečių teisėkūros veiksmų ES lygiu. Visų pirma gali prireikti priimti sektorių teisės aktus, kad direktyvos principai būtų suderinti su klausimais, kylančiais dėl kai kurių technologijų, kaip tai buvo padaryta direktyvų dėl privatumo aspekto telekomunikacijų sektoriuje atveju. Turėtų būti atidžiai apsvarstytas konkrečių taisės aktų taikymas srityse, susijusiose su radijo dažninio atpažinimo RFID technologijų naudojimu.

57.

Stipriausia priemonė, paminėta komunikate, yra pažeidimų nagrinėjimo procedūra. Komunikate nurodoma viena konkreti susirūpinimą kelianti sritis — duomenų apsaugos institucijų nepriklausomumas ir jų galios, o apie kitas sritis tik bendrai užsimenama. EDAPP pritaria nuomonei, kad pažeidimų nagrinėjimo procedūros yra viena iš svarbiausių ir neišvengiamų priemonių, jei valstybės narės nenumato visapusiško direktyvos įgyvendinimo, ypač atsižvelgiant į tai, kad nuo direktyvos įgyvendinimo termino praėjo beveik devyneri metai ir jau įvyko darbo programoje nustatytas struktūrinis dialogas. Tačiau iki šiol Teisingumo Teisme dar nebuvo iškelta nė viena byla dėl Direktyvos 95/46/EB pažeidimo.

58.

Visų įtariamo neteisingo ar nevisiško direktyvos perkėlimo į nacionalinę teisę (26) atvejų lyginamoji analizė ir aiškinamasis komunikatas, be abejonės, gali pagerinti Komisijos, kaip Sutarčių sergėtojos, vaidmens darną. Tačiau dėl šių dokumentų rengimo, kuriam gali tekti skirti laiko ir pastangų, neturėtų būti atidedamos pažeidimų nagrinėjimo procedūros tose srityse, kuriose Komisija aiškiai nustatė neteisingo perkėlimo į nacionalinę teisę ar neteisingos praktikos atvejus.

59.

Todėl EDAPP ragina Komisiją tęsti direktyvos geresnį įgyvendinimą prireikus taikant pažeidimų nagrinėjimo procedūras. Atsižvelgdamas į tai, EDAPP pasinaudos savo intervencijos įgaliojimais Teisingumo Teisme, kad atitinkamais atvejais įsiterptų į pažeidimų nagrinėjimo procedūras, susijusias su Direktyvos 95/46/EB ar kitų asmens duomenų apsaugos sritį reglamentuojančių teisės aktų įgyvendinimu.

60.

Komisija taip pat nurodo aiškinamąjį komunikatą dėl kai kurių nuostatų, kuriame ji paaiškins savo nuomonę dėl direktyvos nuostatų, kurių įgyvendinimas yra probleminis ir dėl kurio todėl gali būti taikomos pažeidimų nagrinėjimo procedūros. Todėl EDAPP palankiai vertina tai, kad Komisija atsižvelgs į darbo grupės atliktą aiškinamąjį darbą. Iš tiesų svarbu, kad rengiant būsimą aiškinamąjį komunikatą būtų tinkamai atsižvelgta į darbo grupės poziciją ir su šia darbo grupe būtų deramai konsultuojamasi, siekiant į komunikatą įtraukti jos patirtį, įgytą taikant direktyvą nacionaliniu lygiu.

61.

Be to, EDAPP patvirtina esąs pasirengęs konsultuoti Komisiją visais klausimais, susijusiais su asmens duomenų apsauga. Tai taip pat taikoma tiems dokumentams, pavyzdžiui, Komisijos komunikatams, kurie nėra privalomi, tačiau kuriais siekiama apibrėžti Komisijos politiką asmens duomenų apsaugos srityje. Kad šios konsultacijos būtų veiksmingos, konsultacijos su EDAPP dėl komunikatų turėtų vykti prieš priimant aiškinamąjį komunikatą (27). Konsultacijos su 29 straipsnio darbo grupe bei EDAPP šiam komunikatui suteiks pridėtinės vertės ir kartu bus išlaikytas Komisijos nepriklausomumas savarankiškai sprendžiant dėl pažeidimų nagrinėjimo procedūrų, susijusių su direktyvos įgyvendinimu, oficialaus pradėjimo.

62.

EDAPP palankiai vertina tai, kad komunikate bus nagrinėjami tik keli straipsniai ir todėl bus sudarytos sąlygos skirti dėmesį jautresniems klausimams. Atsižvelgdamas į tai, EDAPP atkreipia Komisijos dėmesį į šiuos klausimus, kuriems aiškinamajame komunikate turi būti skirtas ypatingas dėmesys:

63.

Kitomis neprivalomomis priemonėmis turėtų būti aktyviai siekiama laikytis duomenų apsaugos principų, pirmiausia aplinkoje, kurioje taikomos naujos technologijos. Šios priemonės turėtų būti grindžiamos principu, kad į privatumą turi būti atsižvelgta jų projektavimo etape, užtikrinant, kad naujų technologijų struktūra būtų plėtojama ir kuriama tinkamai atsižvelgiant į duomenų apsaugos principus. Atsižvelgiant į tai, kad kompiuteriai sparčiai diegiami visose srityse, turėtų būti aktyviai propaguojami privatumo teisių nepažeidžiantys technologiniai produktai.

64.

Su šiuo aspektu yra glaudžiai susijusi būtinybė plėsti duomenų apsaugos teisės vykdymu suinteresuotų subjektų ratą. Kita vertus, EDAPP tvirtai remia duomenų apsaugos institucijų pagrindinį vaidmenį užtikrinant direktyvos principų vykdymą visapusiškai pasinaudojant savo įgaliojimais ir veiklos koordinavimo su 29 straipsnio darbo grupe mastą. Veiksmingesnis direktyvos vykdymas taip pat yra vienas iš Londono iniciatyvos tikslų.

65.

Kita vertus, EDAPP pabrėžia, kad reikėtų propaguoti privatų duomenų apsaugos principų vykdymą pasitelkiant savireguliavimą ir konkurenciją. Pramonės atstovai turėtų būti skatinami įgyvendinti duomenų apsaugos principus ir konkuruoti kuriant privatumo teisių nepažeidžiančius produktus bei paslaugas, kurie padėtų stiprinti jų poziciją rinkoje geriau tenkinant savo privatumo teises žinančių vartotojų lūkesčius. Šiuo atveju geras pavyzdys gali būti privatumo apsaugos ženklai, kurie galėtų būti tvirtinami prie produktų ar kuriais galėtų būti žymimos paslaugos, kurioms buvo taikyta sertifikavimo procedūra (29).

66.

EDAPP taip pat norėtų atkreipti Komisijos dėmesį į kitas priemones, kurios, nors ir nepaminėtos komunikate, galėtų būti naudingos siekiant geriau įgyvendinti direktyvą. Tokių priemonių, kurios padėtų duomenų apsaugos institucijoms geriau užtikrinti duomenų apsaugos teisės vykdymą, pavyzdžiai yra šie:

67.

Galiausiai, EDAPP nurodo kitas priemones, kurios komunikate neminimos, tačiau kurias būtų galima panaudoti ateityje direktyvai pakeisti arba kurias būtų galima įtraukti į kitus horizontalius teisės aktus, pirmiausia į:

68.

Įvairūs instituciniai subjektai turi pareigų, susijusių su direktyvos įgyvendinimu. Valstybių narių priežiūros institucijos pagal direktyvos 28 straipsnį atsako už į nacionalinių nuostatų, kuriomis į nacionalinę teisę perkeliama direktyva, taikymo stebėseną valstybėse narėse. 29 straipsniu įsteigiama priežiūros institucijų darbo grupė, o 30 straipsnyje išvardijamos jos užduotys. Pagal 31 straipsnį valstybių narių vyriausybių atstovų komitetas Komisijai teikia pagalbą, susijusią su įgyvendinimo priemonėmis Bendrijos lygiu (komitologijos komitetas).

69.

Pirmiausia reikia apibrėžti įvairių subjektų pareigas darbo grupėje (jos veikloje). 30 straipsnio 1 dalyje išvardijamos keturios darbo grupės užduotys, kurias galima apibendrinti kaip direktyvos taikymo nacionaliniu lygiu nagrinėjimą siekiant užtikrinti vienodą taikymą ir nuomonių apie pokyčius Bendrijos lygiu, įskaitant apsaugos lygį, pasiūlymus dėl teisės aktų ir elgesio kodeksus, teikimą. Šis sąrašas atspindi plačias darbo grupės pareigas duomenų apsaugos srityje, kuriuos papildomai iliustruoja darbo grupės per kelerius metus parengti dokumentai.

70.

Komunikate teigiama, kad darbo grupė „yra svarbiausia užtikrinant geresnį ir darnesnį įgyvendinimą“. EDAPP visapusiškai pritaria šiam pareiškimui, tačiau mano, kad taip pat būtina paaiškinti tam tikrus pareigų aspektus.

71.

Pirma, komunikate raginama stiprinti darbo grupės įnašą, kadangi nacionalinės institucijos turėtų stengtis suderinti savo nacionalinę praktiką su bendrais principais (30). EDAPP palankiai vertina šiuo teiginiu pateiktus ketinimus, tačiau įspėja dėl su pareigomis susijusios painiavos. Pagal EB sutarties 211 straipsnį Komisija turi užtikrinti, kad valstybėse narėse būtų laikomasi Sutarties nuostatų ir priemonių, įskaitant priežiūros institucijų nustatytas priemones. Darbo grupė yra nepriklausomas patariamasis subjektas, todėl ji negali būti atsakinga už tai, kad nacionalinės institucijos taikytų jos nuomones.

72.

Antra, Komisija privalo suprasti, kad ji darbo grupėje atlieka įvairias funkcijas, kadangi ji yra ne tik darbo grupės narė, bet ir teikia jai sekretoriatą. Vykdydama antrąją funkciją — teikdama sekretoriato paslaugas, ji privalo remti darbo grupę tokiu būdu, kad ši galėtų nepriklausomai atlikti savo darbą. Tai iš principo apima du aspektus: Komisija privalo skirti būtinų išteklių, o sekretoriatas privalo dirbti laikydamasis darbo grupės ir jos pirmininko nurodymų, atitinkančių darbo grupės veiklos turinį bei apimtį ir siekiamų rezultatų pobūdį. Apskritai, Komisijos veikla vykdant kitas pagal EB teisę nustatytas pareigas neturėtų trukdyti jai teikti sekretoriatą.

73.

Trečia, nors darbo grupės prioritetus nustato pati darbo grupė, Komisija galėtų nurodyti, ko ji tikisi iš darbo grupės ir kaip, jos nuomone, būtų galima geriausiai panaudoti turimus išteklius.

74.

Ketvirta, EDAPP apgailestauja, kad komunikate aiškiai nenurodomas Komisijos ir darbo grupės funkcijų pasidalijimas. Jis ragina Komisiją darbo grupei pateikti dokumentą, kuriame būtų pateikti šie nurodymai. EDAPP siūlo į šį dokumentą įtraukti šiuos aspektus:

75.

EDAPP pritaria pagrindinei Komisijos išvadai, jog greitu metu direktyva neturėtų būti keičiama. Šią išvadą galėtų sustiprinti direktyvos pobūdis ir Sąjungos teisėkūros politika.

76.

EDAPP laikosi tokių pradinių prielaidų:

77.

Būtų galima svarstyti šiuos pagrindinius būsimų pakeitimų aspektus:

78.

EDAPP siūlo Komisijai tiksliai nustatyti komunikato 3 skyriuje nurodytos veiklos vykdymo grafiką, atitinkamo pranešimo apie direktyvos taikymą pateikimo terminą, numatomos veiklos įgyvendinimo įvertinimo sąlygas ir tolesnės veiklos vykdymo ateityje kryptis.

79.

EDAPP palankiai vertina požiūrį į technologijas, kaip vieną svarbiausių pirmųjų žingsnių, ir siūlo pradėti diskusiją dėl ilgalaikio požiūrio, įskaitant, inter alia, pagrindinius debatus dėl stebėjimu grindžiamos visuomenės kūrimo. Jis taip pat palankiai vertina vykdomą Direktyvos 2002/25/EB peržiūrą ir galimą poreikį nustatyti konkretesnes taisykles, skirtas duomenų apsaugos klausimams, kylantiems dėl naujų technologijų, pavyzdžiui, interneto ir RFID, spręsti. Vykdant šiuos veiksmus turėtų būti atsižvelgta į visą dinamišką kontekstą, o ilgalaikėje perspektyvoje turėtų būti įtraukta ir Direktyva 95/46/EB.

80.

EDAPP apgailestauja, kad visuotinio privatumo ir jurisdikcijos aspektui komunikate skiriamas tik nedidelis vaidmuo, ir prašo priimti praktinius sprendimus, kurie užtikrintų Europos duomenų subjektų apsaugą Europos Sąjungos ir jos valstybių narių teritorinėse ribose, pavyzdžiui: toliau plėtoti duomenų apsaugos visuotinę sistemą; toliau plėtoti specialų duomenų perdavimo trečiosioms šalims režimą; su trečiosiomis šalimis sudaryti tarptautinius susitarimus dėl jurisdikcijos ar panašius susitarimus; investuoti į visuotinio reikalavimų laikymosi mechanizmus, pavyzdžiui, daugianacionalinių bendrovių taikomas įmonėms privalomas taisykles.

EDAPP ragina Komisiją ir labiausiai suinteresuotus subjektus pradėti rengti projektą šiuo klausimu.

81.

Teisėsaugos srityje EDAPP norėtų pasiūlyti Komisijai:

82.

Visapusiškas direktyvos įgyvendinimas reiškia, kad 1) bus užtikrinta, jog valstybės narės visapusiškai laikytųsi pagal europinę teisę nustatytų įpareigojimų ir 2) bus visapusiškai pasinaudota kitomis neprivalomomis priemonėmis, kurios galėtų padėti siekti aukšto ir suderinto duomenų apsaugos lygio. EDAPP prašo Komisijos aiškiai nurodyti, kaip ji naudos įvairias priemones ir kaip ji atskirs savo ir darbo grupės pareigas.

83.

Galimos šios priemonės:

84.

EDAPP ragina Komisiją darbo grupei pateikti dokumentą, kuriame būtų aiškiai nurodytas Komisijos ir darbo grupės funkcijų pasidalijimas, įskaitant šiuos aspektus:

85.

Reformų sutarties padariniai turi būti tinkamai apsvarstyti, kad būtų užtikrintas kuo platesnis direktyvoje nustatytų duomenų apsaugos principų taikymas. EDAPP savo pasiūlymus išdėstė Tarpvyriausybinei konferencijai pirmininkausiančiai valstybei narei skirtame laiške.