2.3.2018   

LT

Europos Sąjungos oficialusis leidinys

C 81/209

Pranešėjas

Cristian PÎRVULESCU

1.1.

Remdamasi savo pagrindinėmis vertybėmis ir steigiamaisiais dokumentais, ES privalo tapti pasaulinio masto veikėja, skatinančia pagrindinių teisių paisymą ir tinkamą privataus gyvenimo ir asmens duomenų apsaugą. Šiuo požiūriu EESRK ragina Europos Komisiją dvišaliu ir daugiašaliu lygmeniu iniciatyviai propaguoti aukščiausius asmens duomenų apsaugos standartus.

1.2.

EESRK mano, kad keturi pagrindiniai kriterijai, į kuriuos Komisija turi atsižvelgti vertindama, su kuriomis trečiosiomis šalimis reikėtų siekti dialogo tinkamumo klausimais, yra gerai subalansuoti ir pagrįsti. Vis dėlto svarbu šiuos kriterijus aiškinti atsižvelgiant į atitinkamų šalių Vyriausybių, parlamentų ir teismų realų įsipareigojimą pasiekti lygiavertį ir funkcionalų asmens duomenų apsaugos lygį.

1.3.

EESRK ragina užtikrinti didesnį skaidrumą ir dalyvavimą sprendimų dėl tinkamumo priėmimo procese. Į jį reikia įtraukti verslo sektoriaus, ypač MVĮ, atstovus, taip pat vartotojų apsaugos grupių, piliečių grupių ir kitų pilietinės visuomenės organizacijų atstovus ir su jais konsultuotis. EESRK yra pasirengęs padėti pravesti konsultacijų procesą.

1.4.

EESRK palankiai vertina Komisijos pradėtą dialogą su pagrindiniais Rytų ir Pietryčių Azijos prekybos partneriais, įskaitant Japoniją bei Korėją ir galbūt Indiją, taip pat su Lotynų Amerikos šalimis ir valstybėmis, kurioms taikoma Europos kaimynystės politika, pareiškusiomis suinteresuotumą gauti „tinkamumo išvadą“.

1.5.

EESRK tikisi, kad Komisija, Taryba, valstybių narių Vyriausybės bei parlamentai ir JAV Vyriausybė bei Kongresas pritars pasiūlymams, kuriuos pateikė Europos Parlamentas 2017 m. balandžio 6 d. rezoliucijoje dėl ES ir JAV „privatumo skydo“ užtikrinamos apsaugos tinkamumo. Šioje rezoliucijoje Europos Parlamentas išdėstė didelį susirūpinimą keliančius klausimus, kurių daugelis rodo, kad susitarimas ir dabartinė JAV teisės aktų sistema ES piliečių teisių neapsaugo praktiškai.

1.6.

Atsižvelgiant į sparčią technologijų pažangą ir nuolatinę IRT infrastruktūros plėtrą reikalinga atidi VyriausybinėForga priežiūra ir stebėsena. Nors sprendimai dėl tinkamumo vertinami kas ketverius metus (žr. Bendrojo duomenų apsaugos reglamento (BDAR) 45 straipsnio 3 dalį), EESRK rekomenduoja, kad Komisija, duomenų apsaugos institucijos ir trečiųjų šalių valdžios institucijos palaikytų nuolatinius ryšius siekdamos nustatyti naujus iššūkius šioje labai dinamiškoje technologinėje ir ekonominėje aplinkoje.

1.7.

EESRK mano, kad asmens duomenų apsaugos standartų skatinimas taikant daugiašales priemones turėtų būti Europos Komisijos prioritetas ir kad šis įsipareigojimas turėtų būti paremtas ištekliais, kad a priori būtų galima pasiekti realią žmogaus teisių apsaugą, o a posteriori – veiksmingas teisių gynimo priemones pažeidimų atvejais.

1.8.

Komitetas pabrėžia, kad Komisija komunikate nediferencijuoja įvairių asmens duomenų rūšių ir naudojimo būdų, išskyrus baudžiamosios teisenos sritį.

1.9.

Vienintelė privaloma daugiašalė priemonė duomenų apsaugos srityje yra 1981 m. Europos Tarybos konvencija Nr. 108 ir 1999 m. prie jos pridėtas papildomas protokolas. Ši priemonė turėtų būti toliau plėtojama ir reikėtų skatinti, kad ją pasirašytų daugiau trečiųjų šalių.

1.10.

Reikia dėti dar daugiau daugiašalių pastangų Ekonominio bendradarbiavimo ir plėtros organizacijoje (EBPO), G 20 ir Azijos ir Ramiojo vandenyno šalių ekonominio bendradarbiavimo forume (APEC) siekiant sukurti išties pasaulinę daugiašalę duomenų apsaugos sistemą. Vertėtų tvirtai ir veiksmingai bendradarbiauti su JT specialiuoju pranešėju dėl teisės į privatumą.

1.11.

Kalbant apie keitimąsi asmens duomenimis nusikalstamų veikų prevencijos, tyrimo ir baudžiamojo persekiojimo srityje, EESRK tvirtai pritaria tam, kad būtų sukurtos griežtos duomenų apsaugos priemonės, tačiau taip pat neprieštarauja tinkamumo išvadų įvedimui baudžiamosios teisėsaugos sektoriuje. Duomenų apsauga ir nusikalstamų veikų, įskaitant elektroninius nusikaltimus ir terorizmą, prevencija, tyrimas ir baudžiamasis persekiojimas turi būti tarpusavyje suderinti.

1.12.

EESRK primena, kad svarbu apsaugoti neįgaliųjų asmens, sveikatos būklės ir reabilitacijos duomenis, kaip nustatyta JT konvencijos dėl neįgaliųjų teisių 22 straipsnyje.

2.1.

Asmens duomenų apsauga yra Europos bendros konstitucinės struktūros elementas ir ji yra įtvirtinta ES pagrindinių teisių chartijos 8 straipsnyje. ES teisėje ji laikoma esminiu dalyku jau daugiau kaip 20 metų, nuo Duomenų apsaugos direktyvos priėmimo 1995 m. („1995 m. direktyva“) iki Bendrojo duomenų apsaugos reglamento (BDAR) ir Policijos direktyvos priėmimo 2016 m.

2.2.

Pagal reformuotus ES duomenų apsaugos teisės aktus, priimtus 2016 m. balandžio mėn., įvedama sistema, kuri užtikrina aukštą apsaugos lygį tiek ES viduje, tiek keičiantis asmens duomenimis komerciniais ir teisėsaugos tikslais tarptautiniu mastu. Naujosios taisyklės įsigalios 2018 m. gegužės mėn.

2.3.

Užbaigusi rengti ES duomenų apsaugos taisykles, Komisija dabar išdėsto strategiją, kuria siekiama skatinti tarptautinius duomenų apsaugos standartus. Komunikate pristatomos įvairios priemonės, skirtos keistis asmens duomenimis tarptautiniu mastu, remiantis reformuotomis duomenų apsaugos taisyklėmis, taip pat strategija dėl būsimo bendradarbiavimo su tam tikromis trečiosiomis šalimis siekiant priimti sprendimus dėl tinkamumo ir skatinti duomenų apsaugos standartus daugiašalėmis priemonėmis.

2.4.

2016 m. Bendrajame duomenų apsaugos reglamente numatytas priemonių rinkinys, skirtas asmens duomenų perdavimui iš ES į trečiąsias šalis: sprendimai dėl tinkamumo, standartinės sutarčių sąlygos, įmonėms taikomos privalomos taisyklės, sertifikavimo mechanizmai ir elgesio kodeksai. Pagrindinis šių priemonių tikslas – užtikrinti, kad perduodant europiečių asmens duomens į užsienį kartu su duomenimis keliautų ir apsauga. Nors tarptautinio asmens duomenų perdavimo struktūra yra panaši į tą, kuri numatyta 1995 m. duomenų apsaugos direktyvoje, reforma supaprastinamas ir išplečiamas jų naudojimas ir nustatomos naujos tarptautinio duomenų perdavimo priemonės (pavyzdžiui, elgesio kodeksai ir sertifikavimo mechanizmai).

3.1.

EESRK itin teigiamai vertina ES pastangas apsaugoti savo piliečių asmens duomenis, kartu išlikti atvira ir integruota vis glaudesniais tarpusavio ryšiais susietame pasaulyje.

3.2.

Remdamasi savo pagrindinėmis vertybėmis ir steigiamaisiais dokumentais, ES privalo tapti pasaulinio masto veikėja, skatinančia pagrindinių teisių paisymą ir aukšto lygio privataus gyvenimo ir asmens duomenų apsaugą. Šiuo požiūriu EESRK ragina Europos Komisiją dvišaliu ir daugiašaliu lygmeniu iniciatyviai propaguoti aukščiausius asmens duomenų apsaugos standartus, taikomus savo ir trečiųjų šalių piliečiams.

3.3.

ES turėtų paremti Pasaulinę asmens duomenų apsaugos darbotvarkę ir jos pagrindinius principus: duomenų apsauga yra viena iš pagrindinių teisių, kurios apsauga organizuojama šioje srityje priimant plataus masto teisės aktus, įvedant užtikrinamas fizinių asmenų privatumo teises ir steigiant nepriklausomas priežiūros institucijas.

3.4.

Didžiausia įmanoma asmens duomenų apsauga yra ne tik teisinė pareiga, bet ir puiki galimybė. Tiek skaitmeninei ekonomikai, tiek tarptautiniams prekių ir paslaugų srautams, tiek e. valdžiai yra naudingas piliečių pasitikėjimas vykdomomis institucinėmis ir reguliavimo priemonėmis. Duomenų apsauga ir sąžininga tarptautinė prekyba turi esminės reikšmės piliečiams ir jos neturėtų būti vertinamos kaip viena kitai prieštaraujančios vertybės.

3.5.

EESRK toliau remia bendrą ES duomenų apsaugos politikos kryptį, kaip nurodyta ankstesnėse nuomonėse, tačiau primygtinai teigia, jog būtina užtikrinti aukštesnio lygio apsaugą. Savo nuomonėje „Bendrasis duomenų apsaugos reglamentas“ (SOC/455) jis pateikė keletą išsamių pavyzdžių, susijusių su daugeliu straipsnių, kuriais siekiama padėti geriau apibrėžti teises ir nuostatas dėl stipresnės plačiosios visuomenės ir konkrečiai darbuotojų apsaugos, sutikimo pobūdžio, duomenų tvarkymo teisėtumo ir ypač duomenų apsaugos pareigūnų funkcijų bei duomenų tvarkymo su darbo santykiais susijusiame kontekste (1).

3.6.

Be to, EESRK jau atkreipė dėmesį į asmenų (tiek fizinių, tiek juridinių) teisę duoti sutikimą dėl savo duomenų. Savo nuomonėje „Asmens duomenų apsauga“ (TEN/631) EESRK pareiškė požiūrį, kad „vartotojai turi būti informuoti, apmokyti ir išlikti atsargiais, nes vieną kartą davus sutikimą paslaugų teikėjas galės toliau tvarkyti turinį ir metaduomenis, siekdamas kuo didesnės veiksmų laisvės ir pelno. (…) Vartotojų švietimas, kaip pasinaudoti savo teisėmis, mokymas anoniminti ar šifruoti duomenis turėtų būti vienas iš su šiuo reglamentu [Reglamentu dėl teisės į privatų gyvenimą ir asmens duomenų apsaugos elektroninių ryšių sektoriuje] susijusių prioritetų“ (2).

3.7.

EESRK pritaria tam, kad nuo 2018 m. gegužės mėn. būtų sukurtas vienas bendras visos Europos taisyklių rinkinys, o ne taikomi 28 nacionaliniai įstatymai, kaip šiuo metu. Pagal vieno langelio principą sukurtu nauju mechanizmu bus užtikrinta, kad už tarpvalstybinių duomenų tvarkymo operacijų, kurias įmonė atlieka Europos Sąjungoje, priežiūrą būtų atsakinga viena duomenų apsaugos institucija. Bus garantuojamas naujų taisyklių aiškinimo nuoseklumas. Konkrečiai, tarpvalstybiniais atvejais, kai veikia keletas nacionalinių apsaugos institucijų, bus priimamas vienas sprendimas, siekiant užtikrinti, kad bendros problemos būtų sprendžiamos bendrai. EESRK tikisi, kad naujosios procedūros užtikrins ne tik nuostatų aiškinimo nuoseklumą, bet ir aukščiausio įmanomo lygio duomenų apsaugą.

3.8.

EESRK atkreipia dėmesį į tai, kad komunikatą ir jo pagrindinius pasiūlymus palankiai įvertino Europos skaitmeninių technologijų pramonei atstovaujanti organizacija „Digital Europe“ (3).

Didėjanti debesijos kompiuterijos skverbtis kelia naujų ir sudėtingų iššūkių, kurie, kaip tikėtina, toliau didės dėl sparčių technologinių pokyčių. Teisės aktai turi būti lankstūs, kad juos būtų galima suderinti su technologijų ir rinkos pokyčiais.

4.1.

Komisijos priimami sprendimai dėl tinkamumo šiuo metu yra tinkama priemonė siekiant užtikrinti ES piliečių duomenų, kuriais disponuoja kitos šalys ir subjektai (tiek Vyriausybiniai, tiek privatūs) apsaugą. Jie taip pat yra naudinga priemonė skatinti ES nepriklausančias šalis siekti panašaus lygio apsaugos savo piliečiams ir siekiant apsaugoti keitimąsi asmens duomenimis šiai priemonei turėtų būti teikiama pirmenybė.

4.2.

EESRK mano, kad keturi pagrindiniai kriterijai (4), į kuriuos Komisija turi atsižvelgti vertindama, su kuriomis trečiosiomis šalimis reikėtų siekti dialogo tinkamumo klausimais, yra gerai subalansuoti ir pagrįsti. Vis dėlto svarbu, kad šie kriterijai būtų aiškinami atsižvelgiant į atitinkamų šalių Vyriausybių, parlamentų ir teismų realų įsipareigojimą pasiekti lygiavertį ir funkcionalų asmens duomenų apsaugos lygį.

4.3.

EESRK ragina užtikrinti didesnį skaidrumą ir dalyvavimą sprendimų dėl tinkamumo priėmimo procese. Į jį reikia įtraukti verslo sektoriaus, ypač MVĮ, atstovus, taip pat vartotojų apsaugos grupių ir kitų pilietinės visuomenės organizacijų atstovus ir su jais konsultuotis. EESRK yra pasirengęs padėti pravesti konsultacijų procesą.

4.4.

EESRK palankiai vertina Komisijos pradėtą dialogą su pagrindiniais Rytų ir Pietryčių Azijos prekybos partneriais, įskaitant Japoniją bei Korėją ir galbūt Indiją, taip pat su Lotynų Amerikos šalimis ir valstybėmis, kurioms taikoma Europos kaimynystės politika, pareiškusioms suinteresuotumą gauti „tinkamumo išvadą“.

4.5.

EESRK mano, kad dalinio tinkamumo statuso suteikimas tam tikroms valstybėms, įtraukiant kai kuriuos sektorius ir teritorijas, kelia problemų, nes jis nesuteikia pakankamų ir nuoseklių konstitucinių, procedūrinių ir institucinių garantijų, kad asmens duomenys yra saugomi. Dalinis tinkamumas galėtų būti naudingas pereinamasis etapas, kurio metu ES ir atitinkamos šalys nustatytų bendrą pagrindą ir derintų veiksmus. Ilgalaikės perspektyvos tikslas – pasiekti tvirtesnį ir išsamesnį susitarimą, pagrįstą esamomis sistemomis, visose susijusiose šalyse (5).

4.6.

EESRK palankiai vertina pastangas sukurti patikimą ir funkcionalią dvišalę sistemą su Jungtinėmis Amerikos Valstijomis. Neseniai priimtas sprendimas dėl ES ir JAV „privatumo skydo“, pakeičiančio ES ir JAV „saugaus uosto“ sistemą, yra žingsnis į priekį. Vis dėlto, jo taikymo sritis yra ribota, nes jis grindžiamas savanorišku dalyvavimu, todėl jame nedalyvauja daug JAV organizacijų.

4.7.

EESRK tikisi, kad Komisija, Taryba, valstybių narių Vyriausybės ir parlamentai bei JAV Vyriausybė bei Kongresas pritars pasiūlymams, kuriuos pateikė Europos Parlamentas 2017 m. balandžio 6 d. rezoliucijoje dėl ES ir JAV „privatumo skydo“ užtikrinamos apsaugos tinkamumo. Šioje rezoliucijoje Europos Parlamentas išdėstė didelį susirūpinimą keliančius klausimus, kurių daugelis rodo, kad susitarimas ir dabartinė JAV teisės aktų sistema ES piliečių teisių neapsaugo praktiškai (6).

4.8.

Panašių susirūpinimą keliančių klausimų iškėlė keletas Europos Sąjungos ir Jungtinės Amerikos Valstijų pilietinės visuomenės grupių (7). EESRK ragina visas ES institucijas atkreipti dėmesį į šiuos susirūpinimą keliančius klausimus.

4.9.

Nors Komitetas pripažįsta Komisijos norą suteikti naują postūmį, jis pažymi, kad jos pasiūlymuose išlieka teisinis netikrumas dėl asmenų, kurių teisės buvo pažeistos. Prie šio netikrumo prisideda keletas aspektų:

4.10.

Siekiant užtikrinti, kad susitarimai būtų veiksmingi praktiškai, labai svarbu vykdyti stebėseną po sprendimo dėl tinkamumo priėmimo. Atsižvelgiant į sparčią technologijų pažangą ir nuolatinę IRT infrastruktūros plėtrą reikia atidžios Vyriausybinės priežiūros ir stebėsenos. Nors sprendimas dėl tinkamumo vertinamas kas ketverius metus (žr. BDAR 45 straipsnio 3 dalį), EESRK rekomenduoja, kad Komisija, duomenų apsaugos institucijos ir trečiųjų šalių valdžios institucijos palaikytų nuolatinius ryšius siekdamos nustatyti naujus iššūkius šioje labai dinamiškoje technologinėje ir ekonominėje aplinkoje.

4.11.

EESRK ragina Komisiją bendradarbiaujant su suinteresuotaisiais subjektais parengti alternatyvius asmens duomenų perdavimo mechanizmus, pritaikytus prie specialių poreikių ar konkrečių pramonės šakų, verslo modelių ir (arba) ekonominės veiklos vykdytojų sąlygų.

4.12.

EESRK mano, kad asmens duomenų apsaugos standartų skatinimas taikant daugiašales priemones turėtų būti Europos Komisijos prioritetas ir kad šis įsipareigojimas turėtų būti paremtas ištekliais.

4.13.

Vienintelė privaloma daugiašalė priemonė duomenų apsaugos srityje yra Europos Tarybos konvencija Nr. 108 ir jos papildomas protokolas. Ši priemonė turėtų būti toliau plėtojama ir reikėtų skatinti, kad ją pasirašytų daugiau trečiųjų šalių.

4.14.

Reikia dėti dar daugiau daugiašalių pastangų EBPO, G 20 ir APEC siekiant sukurti išties pasaulinę daugiašalę duomenų apsaugos sistemą. Vertėtų tvirtai ir veiksmingai bendradarbiauti su JT specialiuoju pranešėju dėl teisės į privatumą.

4.15.

Reikėtų teikti prioritetą aktyvesniam bendradarbiavimui su atitinkamomis trečiųjų šalių nacionalinėmis privatumo apsaugos reikalavimų laikymosi užtikrinimo ir priežiūros institucijomis. Bendradarbiavimą teisėsaugos srityje gali skatinti EBPO Pasaulinis privatumo užtikrinimo tinklas (angl. Global Privacy Enforcement Network), propaguodamas keitimąsi geriausios praktikos pavyzdžiais sprendžiant tarpvalstybines problemas ir remdamas bendras teisėsaugos iniciatyvas ir informuotumo didinimo kampanijas, nepaisant to, kad šis tinklas nesukuria teisiškai privalomų įpareigojimų (8).

4.16.

Kalbant apie keitimąsi asmens duomenimis nusikalstamų veikų prevencijos, tyrimo ir baudžiamojo persekiojimo srityje, EESRK tvirtai pritaria tam, kad būtų sukurtos griežtos duomenų apsaugos priemonės, tačiau taip pat neprieštarauja tinkamumo išvadų įvedimui baudžiamosios teisėsaugos sektoriuje. Duomenų apsauga ir nusikalstamų veikų, įskaitant elektroninius nusikaltimus ir terorizmą, prevencija, tyrimas ir baudžiamasis persekiojimas turi būti tarpusavyje suderinti.

4.17.

ES ir JAV bendrasis susitarimas dėl duomenų apsaugos, sudarytas 2016 m. gruodžio mėn., yra geras pavyzdys, kaip į dvišalius susitarimus galima įtraukti duomenų apsaugos teises ir pareigas, laikantis ES acquis. Tokios pat procedūros taip pat gali būti taikomos įvairiose politikos srityse, pavyzdžiui, konkurencijos ar vartotojų apsaugos. EESRK ragina Komisiją išnagrinėti galimybę pasirašyti panašius bendruosius susitarimus su savo svarbiais teisėsaugos partneriais.

4.18.

Komitetas laukia, kada galės susipažinti su pirmosios metinės ES ir JAV „privatumo skydo“ peržiūros, atliktinos šiais metais, rezultatais, ir tikisi, kad tai bus nuodugnus ir dalyvaujamasis procesas. EESRK tikisi, kad ir ES, ir JAV toliau laikysis įsipareigojimo kartu siekti aukštesnio lygio asmens duomenų apsaugos.