11.5.2012   

LT

Europos Sąjungos oficialusis leidinys

C 136/1

1.

2011 m. lapkričio 29 d. Komisija priėmė du teisės aktų pasiūlymus dėl alternatyvaus ginčų sprendimo (toliau tekste – pasiūlymai):

2.

2011 m. gruodžio 6 d. EDAPP gavo AGS pasiūlymą ir IGS pasiūlymą konsultacijai. Be to, prieš priimant pasiūlymus su EDAPP buvo konsultuotasi neoficialiai ir jis pateikė neoficialias pastabas. EDAPP pritaria šiam išankstiniam konsultavimuisi ir tam, kad dauguma šiose pastabose esančių rekomendacijų buvo įtrauktos į pasiūlymus.

3.

Šia nuomone siekiama išanalizuoti pasiūlymuose numatytą asmens duomenų tvarkymą ir paaiškinti, kaip pasiūlymais sprendžiami duomenų apsaugos klausimai. Dėmesys joje sutelkiamas į IGS pasiūlymą, nes jis apima centralizuotą asmens duomenų, susijusių su ginčais internetu, tvarkymą.

4.

Alternatyviose ginčų sprendimo schemose (AGS) numatomi alternatyvūs ginčų sprendimo būdai, kurie paprastai padeda išspręsti ginčą pigiau ir greičiau nei tuo atveju, kai kreipiamasi į teismą. AGS pasiūlymu siekiama užtikrinti, kad jos būtų įdiegtos visose Europos Sąjungos valstybėse narėse visiems tarpvalstybiniams vartotojų ginčams, susijusiems su prekių pardavimu ar paslaugų teikimu ES, spręsti.

5.

IGS pasiūlymas paremtas šios AGS schemos prieinamumu visoje ES vartotojų ginčams spręsti. Pasiūlyme numatyta steigti interneto platformą (toliau tekste – IGS platforma), kuria vartotojai ir prekybininkai galėtų naudotis, pateikdami skundus dėl tarpvalstybinių internetinių sandorių kompetentingai AGS institucijai.

6.

EDAPP remia pasiūlymų tikslą ir pritaria tam, kad nuo pat pasiūlymų rengimo proceso pradžios buvo atsižvelgta į duomenų apsaugos principus.

7.

Be to, EDAPP pritaria tam, kad IGS pasiūlyme pateikiamos nuorodos į taikomus duomenų apsaugos teisės aktus (5) ir į AGS pasiūlymo kontekste taikomus nacionalinius teisės aktus, įgyvendinančius Direktyvą 95/46/EB (6), bei tam, kad pateikiamos nuorodos į konsultacijas su EDAPP (7).

8.

Pagal IGS pasiūlymą, kiekvieno ginčo, pateikto naudojantis IGS platforma, atveju duomenis tvarkys trijų rūšių institucijos:

11 straipsnio 4 dalyje teigiama, kad kiekviena iš šių institucijų turi būti laikoma valdytoju, kiek tai susiję su asmens duomenų tvarkymu jai vykdant savo pareigas.

9.

Tačiau daugelis iš šių valdytojų gali būti laikomi atsakingais už tų pačių asmens duomenų tvarkymą (9). Pavyzdžiui, su tam tikru ginču susijusius duomenis, siunčiamus IGS platforma, gali nagrinėti keli IGS tarpininkai ir kompetentingas AGS subjektas, spręsiantis ginčą. Komisija gali tvarkyti šiuos asmens duomenis IGS platformos naudojimo ir priežiūros tikslais.

10.

Šia prasme EDAPP pritaria, kad IGS pasiūlymo 20 konstatuojamoje dalyje nurodoma, jog duomenų apsaugos teisės aktai taikomi visoms minėtoms institucijoms. Tačiau IGS pasiūlymo įstatyminėje dalyje turėtų būti nurodyta bent tai, kuriems valdytojams duomenų subjektai turėtų adresuoti savo prašymus dėl prieigos, ištaisymo, blokavimo bei ištrynimo ir kuris iš valdytojų būtų atsakingas konkretaus duomenų apsaugos teisės aktų pažeidimo atveju (pvz., pažeidus saugą). Be to, duomenų subjektai turėtų būti tinkamai informuojami.

11.

Pagal IGS pasiūlymo 11 straipsnį, prieiga prie asmens duomenų, tvarkomų naudojantis IGS platforma, turi būti suteikiama tik:

12.

EDAPP pritaria šių tikslų ir prieigos teisių apribojimų nustatymui. Tačiau neaišku, ar visi IGS tarpininkai (ne mažiau nei 54) turės prieigą prie asmens duomenų visų ginčų atvejais. EDAPP rekomenduoja paaiškinti, kad kiekvienas IGS tarpininkas turės prieigą tik prie duomenų, būtinų jo ar jos įsipareigojimams pagal 6 straipsnio 2 dalį vykdyti.

13.

Kalbant apie saugojimo laikotarpį, EDAPP pritaria 11 straipsnio 3 daliai, pagal kurią asmens duomenis leidžiama saugoti tik tokį laikotarpį, kuris būtinas ginčui išspręsti ir duomenų subjektams pasinaudoti savo prieigos teise. Be to, jis pritaria įpareigojimui automatiškai ištrinti duomenis praėjus 6 mėnesiams po ginčo užbaigimo.

14.

Atsižvelgiant į pasiūlymų tikslą, gali būti, kad bus tvarkomi asmens duomenys, susiję su įtariamais pažeidimais. Sprendžiant ginčus dėl su sveikatos priežiūra susijusių prekių pardavimo ar paslaugų teikimo, gali būti tvarkomi sveikatos duomenys.

15.

Todėl asmens duomenų tvarkymą IGS platformos kontekste gali iš anksto tikrinti nacionalinės duomenų apsaugos institucijos ir EDAPP, kaip reikalauja Reglamento (EB) Nr. 45/2001 27 straipsnis ir Direktyvos 95/46/EB 20 straipsnis (11). EDAPP supranta, kad Komisija žino apie būtinybę nustatyti, prieš pradedant veikti IGS platformai, ar duomenų tvarkymui bus taikomi išankstiniai tikrinimai.

16.

Informacija, kurią būtina nurodyti elektroninėje skundo formoje (toliau tekste – forma), įvardyta IGS pasiūlymo priede. Ji apima šalių asmens duomenis (pavadinimas ar vardas ir pavardė, adresas ir, jei taikoma, elektroninio pašto ir interneto svetainės adresas) ir duomenis, leidžiančius nustatyti, kuris AGS subjektas kompetentingas spręsti tam tikrą ginčą (vartotojo gyvenamoji vieta prekių ar paslaugų užsakymo metu, prekių ar paslaugų rūšis ir pan.).

17.

EDAPP pritaria 7 straipsnio 6 daliai, kurioje primenama, kad naudojantis forma bei prie jos prisegtais dokumentais galima tvarkyti tik tikslius, aktualius ir neperteklinius duomenis. Priede pateikiant duomenų sąrašą, atsižvelgta ir į tikslo apribojimo principą.

18.

Tačiau šį sąrašą galima keisti deleguotais veiksmais, o formos sąlygoms bus taikomi įgyvendinimo veiksmai (12). EDAPP rekomenduoja įtraukti nuostatą, jog būtina konsultuotis su EDAPP tais atvejais, kai šie veiksmai susiję su asmens duomenų tvarkymu.

19.

EDAPP pritaria konfidencialumo ir saugumo nuostatoms. Saugumo priemonės, išvardytos IGS pasiūlymo 12 straipsnyje, apima prieigos kontrolę, saugumo planą ir saugumo incidentų valdymą.

20.

EDAPP rekomenduoja pridėti nuostatą, jog būtina atlikti poveikio privatumui įvertinimą (įskaitant rizikos įvertinimą) ir periodiškai tikrinti duomenų apsaugos teisės aktų laikymąsi bei duomenų saugą, rengiant patikrinimo ataskaitas.

21.

Be to, EDAPP norėtų priminti, kad IGS platformai skirtų IT priemonių kūrimas nuo pat pradžios turi apimti privatumą ir duomenų apsaugą (Privatumo užtikrinimas), įskaitant priemonių, sudarančių sąlygas naudotojams geriau apsaugoti asmens duomenis (pvz., autentifikavimo ir šifravimo), įdiegimą.

22.

EDAPP pritaria IGS pasiūlymo 21 konstatuojamajai daliai, kurioje teigiama, kad duomenų subjektai turi būti informuojami apie jų asmens duomenų tvarkymą ir jų teises, viešai paskelbiant pranešimą apie privatumą. Tačiau pareiga informuoti duomenų subjektus turėtų būti įtraukta ir į įstatyminę IGS pasiūlymo dalį.

23.

Be to, duomenų subjektai turėtų būti informuoti ir apie tai, kuris valdytojas atsakingas už jų teisių įgyvendinimą. Pranešimas apie privatumą turėtų būti aiškiai matomas kiekvienam formą pildančiam asmeniui.

24.

EDAPP pritaria tam, kad į tekstą buvo įtraukti duomenų apsaugos principai, visų pirma principai, susiję su tikslu ir prieigos apribojimu, saugojimo laikotarpio apribojimu ir saugumo priemonėmis. Tačiau jis rekomenduoja:

25.

Be to, EDAPP norėtų priminti, kad EDAPP ir nacionalinės duomenų apsaugos institucijos gali atlikti išankstinius asmens duomenų tvarkymo IGS platformoje tikrinimus.