This document is an excerpt from the EUR-Lex website
Document 52008XX1025(01)
Opinion of the European Data Protection Supervisor on the Commission Decision of 12 December 2007 concerning the implementation of the Internal Market Information System (IMI) as regards the protection of personal data (2008/49/EC)
Europos duomenų apsaugos priežiūros pareigūno nuomonė dėl 2007 m. gruodžio 12 d. Komisijos sprendimo dėl vidaus rinkos informacinės sistemos įgyvendinimo užtikrinant asmens duomenų apsaugą (2008/49/EB)
Europos duomenų apsaugos priežiūros pareigūno nuomonė dėl 2007 m. gruodžio 12 d. Komisijos sprendimo dėl vidaus rinkos informacinės sistemos įgyvendinimo užtikrinant asmens duomenų apsaugą (2008/49/EB)
OL C 270, 2008 10 25, p. 1–7
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
25.10.2008 |
LT |
Europos Sąjungos oficialusis leidinys |
C 270/1 |
Europos duomenų apsaugos priežiūros pareigūno nuomonė dėl 2007 m. gruodžio 12 d. Komisijos sprendimo dėl vidaus rinkos informacinės sistemos įgyvendinimo užtikrinant asmens duomenų apsaugą (2008/49/EB)
(2008/C 270/01)
EUROPOS DUOMENŲ APSAUGOS PRIEŽIŪROS PAREIGŪNAS,
atsižvelgdamas į Europos bendrijos steigimo sutartį, ypač į jos 286 straipsnį,
atsižvelgdamas į Europos Sąjungos pagrindinių teisių chartiją, ypač į jos 8 straipsnį,
atsižvelgdamas į 1995 m. spalio 24 d. Europos Parlamento ir Tarybos Direktyvą 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, ir
atsižvelgdamas į 2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos Reglamentą (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo, ypač į jo 41 straipsnį,
PRIĖMĖ ŠIĄ NUOMONĘ:
1. ĮVADAS
Vidaus rinkos informacinė sistema
1. |
Vidaus rinkos informacinė sistema (VRI) — informacinių technologijų priemonė, leidžianti valstybių narių kompetentingoms valdžios institucijoms tarpusavyje keistis informacija įgyvendinant vidaus rinkos teisės aktus. VRI finansuojama pagal IDABC (suderintas paneuropinių e. valdžios paslaugų teikimas valstybės valdymo institucijoms, verslo subjektams ir piliečiams) (1) programą. |
2. |
VRI sukurta kaip bendra sistema, skirta padėti įgyvendinti įvairias vidaus rinkos teisės aktų nuostatas, ir numatyta, kad ateityje ji bus naudojama siekiant įgyvendinti teisės aktus kitose srityse. Iš pradžių VRI bus naudojama siekiant įgyvendinti Direktyvoje 2005/36/EB („Profesinių kvalifikacijų direktyvoje“) (2) numatytas abipusės pagalbos nuostatas. Nuo 2009 m. gruodžio mėn. VRI taip pat bus naudojama siekiant įgyvendinti Direktyvoje 2006/123/EB („Paslaugų direktyvoje“) (3) numatytas administracinio bendradarbiavimo nuostatas. |
Pagal 29 straipsnį įkurtos Duomenų apsaugos darbo grupės nuomonė ir EDAPP indėlis
3. |
2007 m. pavasarį Europos Komisija paprašė pagal 29 straipsnį įkurtos Duomenų apsaugos darbo grupės (29 straipsnio darbo grupės) pateikti nuomonę, kad būtų galima peržiūrėti VRI poveikį duomenų apsaugai. 2007 m. rugsėjo 20 d. 29 straipsnio darbo grupė pateikė nuomonę dėl VRI duomenų apsaugos aspektų (4). 29 straipsnio darbo grupės nuomonėje pritariama Komisijos planams priimti sprendimą, reglamentuojantį VRI duomenų apsaugos aspektus, ir suteikti konkretesnį teisinį pagrindą keitimuisi duomenimis VRI sistemoje. |
4. |
EDAPP palankiai vertina tai, kad Komisija prieš parengdama VRI sprendimą paprašė 29 straipsnio darbo grupės nuomonės. EDAPP aktyviai dalyvavo pogrupio, nagrinėjančio su VRI susijusius klausimus, darbe ir pritaria 29 straipsnio darbo grupės nuomonėje išdėstytoms išvadoms. EDAPP taip pat palankiai vertina tai, kad Komisija prieš priimdama VRI sprendimą neoficialiai konsultavosi su EDAPP. Taigi buvo sudaryta ypač reikalinga galimybė pateikti pasiūlymus dar prieš priimant minėtą sprendimą, nes taikoma procedūra — Komisijos sprendimas, o ne Komisijos pasiūlymas, kuriuo inicijuojama teisėkūros procedūra Taryboje ir Europos Parlamente. |
Komisijos Sprendimas 2008/49/EB
5. |
2007 m. gruodžio 12 d. Komisija priėmė Sprendimą 2008/49/EB dėl vidaus rinkos informacinės sistemos įgyvendinimo užtikrinant asmens duomenų apsaugą (VRI sprendimas). Sprendime atsižvelgta į kelias EDAPP ir 29 straipsnio darbo grupės rekomendacijas. Be to, jame nurodytas teisinis pagrindas. |
EDAPP bendra nuomonė apie VRI
6. |
EDAPP bendra nuomonė apie VRI yra teigiama. EDAPP pritaria Komisijos tikslams sukurti elektroninę sistemą keistis informacija ir reglamentuoti jos duomenų apsaugos aspektus. Tokia racionali sistema gali ne tik padidinti bendradarbiavimo veiksmingumą, bet ir padėti užtikrinti, kad būtų laikomasi taikytinų duomenų apsaugos įstatymų. Tai gali būti padaryta nustatant aiškią sistemą, kokia informacija, su kuo ir kokiomis sąlygomis galima keistis. |
7. |
Tačiau centralizuotos elektroninės sistemos įdiegimas taip pat sukuria tam tikrą riziką. Svarbiausia, kad gali būti dalijamasi didesniu duomenų kiekiu ir plačiau nei tikrai būtina veiksmingo bendradarbiavimo tikslais, o duomenys, įskaitant galimai pasenusius ir netikslius duomenis, elektroninėje sistemoje gali likti ilgiau nei būtina. Duomenų bazės, kuria galima naudotis 27 valstybėse narėse, saugumas taip pat yra opus klausimas, nes sistema yra saugi tiek, kiek saugi yra jos silpniausia grandis visame tinkle. |
8. |
Todėl labai svarbu, kad duomenų apsaugos klausimai kiek galima visapusiškiau ir vienareikšmiškai būtų išnagrinėti teisiškai privalomame Bendrijos akte. |
Tiksliai nustatyta VRI taikymo sritis
9. |
EDAPP palankai vertina tai, kad Komisija aiškiai nustato VRI taikymo sritį ir ją apriboja, o priede nurodo atitinkamų Bendrijos aktų, kurių pagrindu galima keistis informacija, sąrašą. Šiuo metu tą sąrašą sudaro tik Profesinių kvalifikacijų direktyva ir Paslaugų direktyva; tačiau tikimasi, kad ateityje VRI taikymo sritis bus išplėsta. Priimant naujus teisės aktus, kuriuose numatomas keitimasis informacija naudojantis VRI, tas priedas bus tuo pačiu metu atnaujinamas. EDAPP palankiai vertina šį būdą, nes taip i) aiškiai apribojama VRI taikymo sritis; ir ii) užtikrinamas skaidrumas bei tuo pačiu metu; iii) suteikiama lankstumo galimybė tuo atveju, jei ateityje keičiantis papildoma informacija bus naudojamasi VRI. Tai taip pat užtikrina, kad nebūtų keičiamasi informacija naudojantis VRI, jei i) konkrečiuose vidaus rinkos teisės aktuose nenumatytas tinkamas teisinis pagrindas, kuriuo sudaromos sąlygos arba įgaliojama keistis informacija; ir jei ii) į VRI sprendimo priedą neįtraukta nuoroda į tą teisinį pagrindą. |
Pagrindiniai susirūpinimą keliantys klausimai, susiję su VRI sprendimu
10. |
Vis dėlto EDAPP netenkina i) VRI sprendimui parinktas teisinis pagrindas, o tai reiškia, kad dabar VRI sprendimas grindžiamas abejotinais teisiniais pagrindais (žr. šios nuomonės 2 skirsnį); ir ii) tai, kad į šį dokumentą neįtrauktos tam tikros reikalingos nuostatos, išsamiai reglamentuojančios VRI duomenų apsaugos aspektus (žr. šios nuomonės 3 skirsnį). |
11. |
Deja, praktikoje Komisijos priimtas sprendimas reiškia, kad, priešingai nei tikėjosi EDAPP ir 29 straipsnio darbo grupė, dabar VRI sprendimu išsamiai nereglamentuojami visi pagrindiniai VRI duomenų apsaugos aspektai, įskaitant, svarbiausia — kaip bendri valdytojai dalijasi atsakomybe dėl pranešimų teikimo ir kaip jie duomenų subjektams suteikia prieigos teises, arba konkretūs praktiniai proporcingumo klausimai. EDAPP taip pat apgailestauja, kad nėra konkretaus reikalavimo, kad Komisija savo tinklavietėje skelbtų iš anksto parengtus klausimus ir duomenų sritis; tai padidintų skaidrumą ir teisinį tikrumą. |
2. VRI SPRENDIMO TEISINIS PAGRINDAS
IDABC sprendimas
12. |
VRI sprendime nustatyta, kad jo teisinis pagrindas yra 2004 m. balandžio 21 d. Europos Parlamento ir Tarybos Sprendimas 2004/387/EB dėl suderinto paneuropinių e. valdžios paslaugų teikimo valstybės valdymo institucijoms, verslo subjektams ir piliečiams (IDABC) (5), ypač jo 4 straipsnis. |
13. |
Pats IDABC sprendimas — tai priemonė pagal Europos bendrijos steigimo sutarties (EB sutarties) XV antraštinę dalį „Transeuropiniai tinklai“. EB sutarties 154 straipsnyje nustatyta, kad Bendrija prisideda prie transeuropinių tinklų kūrimo ir plėtojimo transporto, telekomunikacijų ir energetikos infrastruktūrų srityje. Tokia veikla siekiama remti nacionalinių tinklų tarpusavio ryšį ir sąveiką, taip pat galimybę tokiais tinklais naudotis. 155 straipsnyje išvardytos priemonės, kurias Bendrija gali patvirtinti siekdama minėtų tikslų. Tai i) gairės; ii) priemonės, kurių gali prireikti užtikrinant tinklų tarpusavio sąveiką, ypač techninio standartizavimo srityje; ir iii) projektų rėmimas. IDABC sprendimas pagrįstas 156 straipsnio 1 dalimi, kurioje nustatyta tvirtinimo tvarka. |
14. |
IDABC sprendimo 4 straipsnyje nustatyta, inter alia, kad Bendrija įgyvendina bendro intereso projektus. Tie projektai turi būti įtraukti į atnaujinamą darbo programą, o įgyvendinami — laikantis IDABC sprendimo 6 ir 7 straipsnio principų. Pagal tuos principus iš esmės skatinama dalyvauti kuo daugiau dalyvių, numatoma griežta ir nešališka procedūra ir techninis standartizavimas. Jais taip pat siekiama užtikrinti projektų ekonominį patikimumą ir įvykdomumą. |
Paslaugų direktyva ir Profesinių kvalifikacijų direktyva
15. |
Kaip paaiškinta pirmiau, pradiniu laikotarpiu vidaus rinkos informacine sistema bus naudojamasi keičiantis asmens duomenimis įgyvendinant dvi direktyvas:
|
16. |
Paslaugų direktyvos 34 straipsnio 1 dalyje numatytas konkretus elektroninės sistemos valstybėms narėms keistis informacija — papildomos priemonės šios direktyvos taikymo tikslais — sukūrimo teisinis pagrindas. 34 straipsnio 1 dalyje teigiama: „Bendradarbiaudama su valstybėmis narėmis Komisija sukuria elektroninę sistemą valstybėms narėms keistis informacija, atsižvelgdama į esamas informacines sistemas“. |
17. |
Profesinių kvalifikacijų direktyvoje nenumatyta speciali elektroninė sistema keistis informacija, tačiau keliose šios direktyvos nuostatose aiškiai reikalaujama keistis informacija. Atitinkamos nuostatos, įpareigojančios keistis informacija, be kita ko, nustatytos direktyvos 56 straipsnyje, kuriame valstybių narių kompetentingų institucijų prašoma glaudžiai bendradarbiauti ir teikti abipusę pagalbą, kad būtų lengviau įgyvendinti šią direktyvą. 56 straipsnio antroje dalyje numatyta, kad tam tikra neskelbtina informacija tvarkoma laikantis duomenų apsaugos teisės aktų. Be to, 8 straipsnyje taip pat aiškiai numatyta, kad priimančiosios valstybės narės kompetentingos institucijos gali prašyti įsisteigimo valstybės narės kompetentingų institucijų suteikti bet kokią informaciją, susijusią su paslaugos teikėjo įsisteigimo teisėtumu ir veiklos tinkamumu, taip pat ir dėl kokių nors profesinio pobūdžio drausminių ar baudžiamųjų sankcijų nebuvimo. Pagaliau 50 straipsnio 2 dalyje numatyta, kad jei yra pagrįstų abejonių, priimančioji valstybė narė gali reikalauti valstybės narės kompetentingų institucijų patvirtinti atestatų ir oficialios kvalifikacijos bei mokymo įrodymų autentiškumą. |
Reikalingas tinkamas duomenų apsaugos nuostatų teisinis pagrindas
18. |
Sąjungos pagrindinių teisių chartijos 8 straipsnyje ir teisminėje praktikoje, susijusioje su Europos žmogaus teisių konvencijos (EŽTK) 8 straipsniu, pripažinta, kad asmens duomenų apsauga yra pagrindinė teisė. |
19. |
VRI sprendimo 1 straipsnyje nustatomos VRI dalyvių ir naudotojų funkcijos, teisės ir pareigos vykdant duomenų apsaugos reikalavimus. EDAPP nuomone, 7 konstatuojamoji dalis reiškia, kad VRI sprendimas skirtas patikslinti Bendrijos bendrą duomenų apsaugos sistemą, sukurtą Direktyva 95/46/EB ir Reglamentu (EB) Nr. 45/2001. Jame konkrečiai apibūdinama valdytojų sąvoka ir jų pareigos, nustatomi duomenų saugojimo laikotarpiai ir duomenų subjektų teisės. VRI sprendime nustatyti pagrindinių teisių apribojimai/patikslinimai, o jo tikslas — apibrėžti piliečių subjektyvias teises. |
20. |
Remiantis teismine praktika, susijusia su EŽTK, neturėtų kilti abejonių dėl pagrindines teises ribojančių nuostatų teisinio statuso. Remiantis EB sutartimi, tos nuostatos turi būti nustatytos teisės akte, kuriuo būtų galima remtis teisme. Kitaip duomenų subjektui kils teisinis neaiškumas, nes jis nebus tikras, kad teisme galės remtis taisyklėmis. |
21. |
Teisinio tikrumo klausimas yra dar svarbesnis, nes pagal EB sutarties sistemą pirmiausia nacionaliniai teisėjai turės teisę spręsti, kokią reikšmę suteikti VRI sprendimui. Dėl to skirtingose valstybėse narėse ir net vienoje valstybėje narėje rezultatai gali skirtis. Šis teisinis netikrumas nepriimtinas. |
22. |
Teisės gynimo priemonės (garantijos) nebuvimas kiekvienu atveju būtų EŽTK 6 straipsnio, kuriame numatyta teisė į nešališką teismą, ir šiuo straipsniu grindžiamos teisminės praktikos nepaisymas. Tokiu atveju Bendrija nevykdytų savo pareigų pagal Europos Sąjungos sutarties 6 straipsnį, kuriame reikalaujama, kad Sąjunga gerbtų pagrindines teises, garantuojamas EŽTK. |
Parinkto teisinio pagrindo trūkumai
23. |
EDAPP labai nuogąstauja, kad Komisijos sprendimo rengėjai sprendimo teisiniu pagrindu parinkę IDABC sprendimo 4 straipsnį, ko gero neatsižvelgė į pirmiau nurodytą teisino tikrumo kriterijų. EDAPP toliau išvardija aspektus, kurie gali kelti abejonių dėl VRI sprendimui parinkto teisinio pagrindo tinkamumo:
|
Galimi sprendimai siekiant ištaisyti parinkto teisinio pagrindo trūkumus
24. |
VRI sprendimui dėl pirmiau išvardytų priežasčių reikalingas svarus teisinis pagrindas. Kyla rimtų abejonių, ar VRI sprendimo teisinis pagrindas atitinka teisino tikrumo reikalavimą. EDAPP rekomenduoja Komisijai iš naujo apsvarstyti šį teisinį pagrindą ir rasti būdą ištaisyti parinkto teisinio pagrindo trūkumus, galbūt VRI sprendimą pakeičiant tokiu teisės aktu, kuris atitiktų teisino tikrumo reikalavimą. |
25. |
Todėl tinkamiausias sprendimas galėtų būti galimybė Tarybai ir Europos Parlamentui priimti atskirą teisės aktą dėl VRI sistemos, panašiai kaip Šengeno informacinės sistemos, Vizų informacinės sistemos ir kitų didelės apimties IT duomenų bazių atvejais. |
26. |
EDAPP siūlo išanalizuoti šią galimybę. Tokiu atveju šiame atskirame teisės akte galėtų būti nurodytos VRI dalyvių ir naudotojų funkcijos, teisės ir pareigos vykdant duomenų apsaugos reikalavimus (VRI sprendime apibrėžtas dalykas) ir kiti reikalavimai, susiję su VRI sistemos sukūrimu ir veikimu. |
27. |
Kita galimybė galėtų būti ieškoti teisinio pagrindo įvairiuose vidaus rinkos dokumentuose. Kadangi VRI sprendimas taikomas keitimuisi asmens duomenimis įgyvendinant Paslaugų direktyvą, reikėtų toliau analizuoti, ar ši direktyva, visų pirma jos 34 straipsnis, galėtų būti reikiamas teisinis pagrindas. Kiek tai susiję su VRI sprendimo taikymu keitimuisi asmens duomenimis įgyvendinant Profesinių kvalifikacijų direktyvą, taip pat galėtų būti taikomas panašus požiūris: konkretus ir aiškus teisins pagrindas taip pat gali būti sukurtas iš dalies keičiant pačią direktyvą. |
28. |
Jei dėl kitų vidaus rinkos teisės aktų valstybių narių kompetentingoms institucijoms ateityje gali reikėti keistis informacija, kiekvienu atveju tokiame konkrečiame naujame teisės akte gali būti priimamas konkretus teisins pagrindas. |
3. PASTABOS DĖL VRI SPRENDIMO TURINIO
29. |
Šioje nuomonės dalyje EDAPP aptaria į VRI sprendimą įtrauktas VRI duomenų apsaugos aspektus reglamentuojančias nuostatas. EDAPP pasiūlymai galėtų būti įtraukti į naują teisės aktą, pakeičiantį VRI sprendimą, kaip buvo pasiūlyta pirmiau. Tačiau kol nėra tokio naujo dokumento, pasiūlymus būtų galima įtraukti į iš dalies pakeistą VRI sprendimą. |
30. |
Be to, VRI dalyviai jau dabar, iš dalies nepakeitus sprendimo, gali taikyti kai kuriuos pasiūlymus praktikoje. EDAPP tikisi, kad Komisija atsižvelgs į šioje nuomonėje pateiktas rekomendacijas bent veiklos lygiu, t. y. tiek, kiek jos susijusios su Komisijos — VRI dalyvės, todėl prižiūrimos EDAPP, veikla. |
2 straipsnis — Iš anksto nustatyti duomenų laukai: skaidrumas ir proporcingumas
31. |
EDAPP palankiai vertina tai, kad Komisija VRI tinklavietėje paskelbė pirmuosius iš anksto nustatytus klausimus ir kitus duomenų laukus. Jie susiję su keitimusi informacija pagal Profesinių kvalifikacijų direktyvą. |
32. |
Kad ši gera praktika taptų aiškia Komisijos pareiga ir taip būtų užtikrintas bei toliau didinamas skaidrumas, EDAPP rekomenduoja, kad VRI teisės akte būtų numatyta Komisijos pareiga VRI tinklavietėje skelbti iš anksto nustatytus klausimus ir kitus duomenų laukus. |
33. |
Dėl proporcingumo VRI teisės akte turėtų būti nurodyta, kad iš anksto nustatyti klausimai ir kiti duomenų laukai turi būti adekvatūs, atitikti tikslus ir jų neviršyti. Be to, EDAPP turi dvi konkrečias rekomendacijas, susijusias su proporcingumu:
|
3 straipsnio — Antra pastraipa. Bendras valdymas ir atsakomybės padalijimas
34. |
VRI sprendimo 3 straipsnyje atsakomybė padalyta ne visai suprantamai ir neaiškiai. EDAPP pripažįsta, kad VRI sprendime gali būti neįmanoma kiekvieną tvarkymo operaciją priskirti konkrečiai Komisijai arba tam tikros valstybės narės tam tikrai kompetentingai institucijai ir atitinkamai padalyti atsakomybę. Tačiau VRI sprendime reikėjo pateikti kelias nuostatas, susijusias bent su valdytojo svarbiausiomis duomenų apsaugos pareigomis. |
35. |
Visų pirma EDAPP rekomenduoja, kad VRI teisės akte būtų nurodyta, kad:
|
Pranešimas duomenų subjektams
36. |
EDAPP rekomenduoja, kad į VRI teisės aktą turėtų būti įrašyta nauja dalis dėl atsakomybės už pranešimo pateikimą padalijimo bendriems valdytojams laikantis įvairiapusio požiūrio. Visų pirma tekste turėtų būti nurodyta:
|
Teisė susipažinti su duomenimis, prieštarauti ir juos ištaisyti
37. |
EDAPP taip pat rekomenduoja įrašyti naują dalį siekiant:
|
38. |
Be to, turėtų būti nurodyta, kad Komisija gali suteikti teisę susipažinti tik su tais duomenimis, prie kurių pati Komisija turi teisėtą prieigą. Todėl Komisija neprivalės suteikti teisės susipažinti su informacija, kuria keičiasi kompetentingos institucijos. Jei duomenų subjektas vis tiek Komisijai pateikia tokį prašymą, Komisija nedelsdama turi duomenų subjektą nukreipti į institucijas, kurios turi prieigą prie šios informacijos ir duomenų subjektams teikia atitinkamą informaciją. |
4 straipsnis — Informacijos mainų duomenų subjektų asmens duomenų laikymas
39. |
VRI sprendimo 4 straipsnio pirmoje pastraipoje numatyta, kad duomenų saugojimo laikotarpis yra šeši mėnesiai „oficialiai užbaigus“ keitimąsi informacija. |
40. |
EDAPP supranta, kad kompetentingoms institucijoms gali būti reikalingos tam tikros duomenų laikymo lankstumo galimybės, nes be pradinių klausimų ir atsakymų kompetentingoms institucijoms gali kilti papildomų klausimų, susijusių su ta pačia byla. Iš tiesų rengiant 29 straipsnio darbo grupės nuomonę Komisija paaiškino, kad administracinės procedūros, kurias vykdant gali reikėti keistis informacija, paprastai užtrunka kelis mėnesius ir buvo numatytas šešių mėnesių saugojimo laikotarpis, kad būtų galima lanksčiai reaguoti netikėtai užtrukus procedūrai. |
41. |
Remdamasis tuo, kas išdėstyta, ir Komisijos paaiškinimais EDAPP abejoja, ar yra teisėta priežastis duomenis saugoti VRI dar papildomus šešis mėnesius oficialiai užbaigus keitimąsi informacija. Todėl EDAPP rekomenduoja, kad šešių mėnesių laikotarpis, po kurio duomenys automatiškai ištrinami, turėtų prasidėti tą dieną, kai prašančioji institucija pirmą kartą kreipiasi į analogišką instituciją dėl keitimosi konkrečia informacija. Iš tiesų automatinio duomenų ištrynimo datą būtų geriau nustatyti atsižvelgiant į skirtingas informacijos, kuria keičiamasi, rūšis (visada galutinę datą apskaičiuojant nuo keitimosi pradžios). Pavyzdžiui, šešių mėnesių saugojimo laikotarpis gali būti tinkamas keičiantis informacija pagal Profesinių kvalifikacijų direktyvą, bet jis nebūtinai gali būti tinkamas keičiantis kita informacija pagal būsimus vidaus rinkos teisės aktus. |
42. |
EDAPP taip pat norėtų pridurti, kad jei nebūtų atsižvelgta į jo rekomendacijas, bent jau reikėtų patikslinti, ką reiškia keitimosi informacija „oficialus užbaigimas“. Visų pirma turi būti užtikrinta, kad duomenų bazėje negali likti jokių duomenų ilgiau nei būtina tik dėl to, kad kompetentingai institucijai nepavyksta baigti bylos. |
43. |
Be to, EDAPP rekomenduoja, kad 4 straipsnio antroje pastraipoje turėtų būti pakeista duomenų ištrynimo ir saugojimo tvarka. Komisija prašymus ištrinti duomenis bet kuriuo atveju turėtų patenkinti per 10 darbo dienų, nepaisant to, ar kita kartu besikeičianti informacija kompetentinga institucija pageidautų saugoti informaciją VRI. Tačiau turėtų būti automatinis mechanizmas apie tai pranešti tai kitai kompetentingai institucijai, kad ji neprarastų duomenų ir galėtų, jei pageidautų, atsisiųsti arba išsispausdinti informaciją ir saugoti ją savo tikslais ne VRI, laikydamasi savo duomenų apsaugos taisyklių. Atrodo, kad dešimties dienų įspėjimo laikotarpis yra pagrįstas ir kaip trumpiausias, ir kaip ilgiausias terminas. Jei abi institucijos patvirtina prašymą ištrinti informaciją, Komisija iki šio galutinio dešimties dienų termino turėtų sugebėti ištrinti informaciją. |
Saugumo priemonės
44. |
EADPP taip pat rekomenduoja nustatyti, kad Komisija ir kompetentingos institucijos saugumo priemonių turėtų imtis atsižvelgdamos į valstybių narių geriausią praktiką. |
Bendra priežiūra
45. |
Kadangi keičiantis informacija VRI sistema taikomi įvairūs nacionaliniai duomenų apsaugos įstatymai ir įvairių nacionalinių duomenų apsaugos institucijų priežiūra (be to, kad tam tikriems tvarkymo operacijų aspektams taikomas Reglamentas (EB) Nr. 45/2001 ir EDAPP priežiūra), EDAPP rekomenduoja, kad VRI teisės akte taip pat turėtų būti numatytos aiškios nuostatos, įvairioms dalyvaujančioms duomenų apsaugos institucijoms sudarančios palankesnes sąlygas atlikti bendrą VRI priežiūrą. Bendra priežiūra galėtų būti nustatyta taip pat, kaip tai buvo padaryta teisės aktuose dėl antrosios kartos Šengeno informacinės sistemos (SIS II) sukūrimo, veikimo ir naudojimo (8). |
4. IŠVADOS
46. |
EDAPP pritaria Komisijos tikslams sukurti elektroninę sistemą keistis informacija ir reglamentuoti jos duomenų apsaugos aspektus. |
47. |
VRI sprendimui dėl pirmiau išvardytų priežasčių reikalingas svarus teisinis pagrindas. EDAPP rekomenduoja Komisijai iš naujo apsvarstyti parinktą teisinį pagrindą ir rasti būdą ištaisyti parinkto teisinio pagrindo trūkumus, galbūt VRI sprendimą pakeičiant tokiu teisės aktu, kuris atitiktų teisino tikrumo reikalavimą. |
48. |
EDAPP nuomone, logiškiausias sprendimas — išnagrinėti galimybę priimti atskirą Tarybos ir Europos Parlamento teisės aktą dėl VRI sistemos, panašiai kaip Šengeno informacinės sistemos, Vizų informacinės sistemos ir kitų didelės apimties IT duomenų bazių atvejais. |
49. |
Taip pat būtų galima išnagrinėti, ar reikalingas teisinis pagrindas galėtų būti Paslaugų direktyvos 34 straipsnis ir panašios nuostatos, kurias dar reikia priimti atsižvelgiant į kitus vidaus rinkos teisės aktus. |
50. |
Be to, nuomonėje pateikta pasiūlymų dėl nuostatų, reglamentuojančių VRI duomenų apsaugos aspektus, įtrauktinus į naują teisės aktą, pakeičiantį VRI sprendimą, kaip buvo pasiūlyta pirmiau, arba, jei nebus tokio naujo dokumento, įtruktinus į iš dalies pakeistą VRI sprendimą. |
51. |
VRI dalyviai jau dabar gali praktikoje pritaikyti daug pasiūlymų iš dalies nekeičiant sprendimo. EDAPP tikisi, kad Komisija kuo labiau atsižvelgs į šioje nuomonėje pateiktas rekomendacijas bent veiklos lygiu, t. y. tiek, kiek jos susijusios su Komisijos — VRI dalyvės veikla. |
52. |
Šios rekomendacijos susijusios su skaidrumu ir proporcingumu, bendru valdymu ir atsakomybės padalijimu, pranešimų siuntimu duomenų subjektams, teise susipažinti su duomenimis, prieštarauti ir juos ištaisyti, duomenų saugojimu, saugumo priemonėmis ir bendra priežiūra. |
Priimta Briuselyje, 2008 m. vasario 22 d.
Peter HUSTINX
Europos duomenų apsaugos priežiūros pareigūnas
(1) Žr. šios nuomonės 12 punktą.
(2) 2005 m. rugsėjo 7 d. Europos Parlamento ir Tarybos Direktyva 2005/36/EB dėl profesinių kvalifikacijų pripažinimo (OL L 255, 2005 9 30, p. 22).
(3) 2006 m. gruodžio 12 d. Europos Parlamento ir Tarybos Direktyva 2006/123/EB dėl paslaugų vidaus rinkoje (OL L 376, 2006 12 27, p. 36).
(4) 29 straipsnio darbo grupės nuomonė 7/2007 dėl Vidaus rinkos informacinė sistemos (VRI) duomenų apsaugos, WP 140.
(5) OL L 144, 2004 4 30, su pataisymais OL L 181, 2004 5 18, p. 25.
(6) Žr. Komisijos baltąją knygą dėl augimo, konkurencingumo ir užimtumo (COM(93) 700 galutinis).
(7) OL L 184, 2006 12 29, p. 23.
(8) Žr. 2006 m. gruodžio 20 d. Europos Parlamento ir Tarybos Reglamento (EB) Nr. 1987/2006 dėl antrosios kartos Šengeno informacinės sistemos (SIS II) sukūrimo, veikimo ir naudojimo 44–46 straipsnius (OL L 381, 2006 12 28, p. 4) ir 2007 m. birželio 12 d. Tarybos Sprendimo 2007/533/TVR dėl antrosios kartos Šengeno informacinės sistemos (SIS II) sukūrimo, veikimo ir naudojimo 60–62 straipsnius (OL L 205, 2007 8 7, p. 63).