31.8.2017   

LT

Europos Sąjungos oficialusis leidinys

C 288/107

Pranešėjas:

Jorge PEGADO LIZ

1.1

Nagrinėjamu pasiūlymu Komisija – iš esmės teisingai ir tinkamai, vertinant griežtai techniniu ir teisiniu požiūriu – patenkina poreikį pritaikyti dabartinę sistemą, numatytą Europos Parlamento ir Tarybos reglamente (EB) Nr. 45/2001  (1) ir Europos Parlamento, Tarybos ir Komisijos sprendime Nr. 1247/2002/EB  (2) dėl asmens duomenų apsaugos Sąjungos institucijose, įstaigose ir tarnybose, prie naujo Bendrojo duomenų apsaugos reglamento (3), kuris visoje ES įsigalios nuo 2018 m. gegužės 25 d.

1.2

Tai netrukdo EESRK priminti savo pastabas ir rekomendacijas, kurias jis pateikė dėl pasiūlymo dėl Bendrojo duomenų apsaugos reglamento, tapusio šiuo metu galiojančiu Bendruoju duomenų apsaugos reglamentu, ir išreikšti apgailestavimą, kad galutinėje reglamento redakcijoje į jas nebuvo visapusiškai atsižvelgta. Be to, EESRK baiminasi, kad vėlyvas jo priėmimas ir įsigaliojimas, atsižvelgiant į sparčius technologijų pokyčius šioje srityje, didina riziką, kad duomenys bus neteisėtai pasisavinami ir kad bus piktnaudžiaujama juos tvarkant ir panaudojant juos rinkodaros tikslais, nes reglamentas gali pasenti dar net nepradėjus jo įgyvendinti. Atsižvelgiant į tai, kad nagrinėjamu pasiūlymu siekiama priderinti Bendrąjį duomenų apsaugos reglamentą prie ES institucijų veikimo, tokių nuogąstavimų taip pat kyla dėl, mutatis mutandis, nagrinėjamo teksto, visų pirma dėl neaiškaus jo išdėstymo, kuris eiliniam piliečiui sunkiai suprantamas.

1.3

Be to, EESRK mano, kad ES institucijose patvirtintos nuostatos turėtų būti pavyzdžiu nustatant procedūras nacionaliniu lygmeniu, todėl jis laikosi nuomonės, kad suformuluoti nagrinėjamą pasiūlymą būtina itin atidžiai.

1.4

Šiuo klausimu EESRK linkęs manyti, kad turėjo būti aiškiai išnagrinėti tam tikri aspektai, pavyzdžiui, svarstomo pasiūlymo suderinimas su Europos Sąjungos pareigūnų tarnybos nuostatais, patyčių atvejų, priekabiavimo elektroninėje erdvėje ir informavimo apie pažeidimus nagrinėjimo tvarka ES institucijose, pasiūlymo įgyvendinimas atsižvelgiant į daiktų internetą, didelius duomenų rinkinius ir paieškos sistemų naudojimą siekiant sužinoti, sukurti arba panaudoti asmens duomenis, taip pat į asmeninės informacijos skelbimą institucijų tinklalapiuose socialiniuose tinkluose („Facebook“, „Linkedin“, „Instagram“, „Twitter“ ir kt.).

1.5

Be to, EESRK būtų pageidavęs, kad pasiūlyme būtų siekiama nustatyti IT sistemų, kuriomis remiantis atliekamas duomenų tvarkymas, saugos sąlygas, taip pat apsaugos nuo kibernetinių atakų ir tokių duomenų klastojimo ar nutekėjimo priemones. Nustatant tokias sąlygas reikėtų užtikrinti jų technologinį neutralumą ir nepasikliauti atskiros tarnybos taikomomis specialiomis vidaus taisyklėmis, kad būtų aiškiai pabrėžtas duomenų apsaugos ir kovos su nusikalstamumu ir terorizmu ryšys, išvengiant būtinybės nustatyti neproporcingas ar pernelyg plataus masto stebėjimo priemones, kurias bet kuriuo atveju visada turėtų prižiūrėti Europos duomenų apsaugos priežiūros pareigūnas (EDAPP).

1.6

EESRK taip pat pageidautų, kad pasiūlyme būtų apibrėžta, kokie įgūdžių, mokymo ir geros reputacijos reikalavimai turi būti patenkinti, kad asmenį būtų galima skirti duomenų apsaugos pareigūnu, duomenų valdytoju ir duomenų tvarkytoju ES institucijose, visada kontroliuojant ir prižiūrint Europos duomenų apsaugos priežiūros pareigūnui.

1.7

EESRK taip pat mano, kad, atsižvelgiant į ypatingą duomenų pobūdį ir į tai, kad jie daro tiesioginį poveikį atitinkamų asmenų privatumui, visų pirma sveikatos srityje, mokesčių ir socialinių duomenų naudojimas turi būti griežtai apribotas, kiek būtina tam tikslui, kuriam jie skirti, ir kad būtina užtikrinti maksimalią apsaugą ir garantijas tvarkant itin jautraus pobūdžio asmens duomenis, remiantis tarptautiniais standartais ir pažangiausiais nacionaliniais teisės aktais bei kai kurių valstybių narių geriausia praktika.

1.8

EESRK pabrėžia, kad pasiūlyme turi būti aiškiai numatyta didinti Europos duomenų apsaugos priežiūros pareigūno išteklius ir skirti pakankamai darbuotojų, turinčių aukšto lygio žinių ir techninės patirties duomenų apsaugos srityje.

1.9

EESRK dar kartą pabrėžia būtinybę apsaugoti teisėtai įsteigtų juridinių asmenų (bendrovių, NVO, komercinių įmonių ir pan.) duomenis juos renkant ir tvarkant.

1.10

Galiausiai, EESRK konkrečių pastabų skyriuje siūlo keletą pakeitimų dėl įvairių nuostatų, kurios, jeigu jos būtų priimtos, padėtų užtikrinti veiksmingesnę asmens duomenų apsaugą ES institucijose ir ne tik ES pareigūnų, bet ir tūkstančių Europos piliečių, su kuriais jos bendrauja, atžvilgiu. Todėl EESRK primygtinai ragina Komisiją, taip pat Europos Parlamentą ir Tarybą, atsižvelgti į jo pastabas rengiant galutinę pasiūlymo redakciją.

2.1

Kaip Komisija pažymi pasiūlymo aiškinamajame memorandume, ji ketina panaikinti Reglamentą (EB) Nr. 45/2001  (4) ir Sprendimą Nr. 1247/2002/EB dėl asmens duomenų apsaugos Sąjungos institucijose, įstaigose ir tarnybose, siekdama dviejų tikslų:

2.2

Tik po ilgo ir sunkaus nagrinėjimo proceso Taryba ir Europos Parlamentas galiausiai priėmė Bendrąjį duomenų apsaugos reglamentą (5), kuris bus taikomas visoje ES nuo 2018 m. gegužės 25 d.; atsižvelgiant į šį reglamentą reikia iš dalies pakeisti įvairius teisės aktus (6), įskaitant pirmiau nurodytus Reglamentą (EB) Nr. 45/2001 ir Sprendimą Nr. 1247/2002/EB.

2.3

Komisija, atsižvelgdama į tyrimų ir konsultacijų su suinteresuotaisiais subjektais rezultatus ir į reglamento taikymo pastaruosius 15 metų vertinamąjį tyrimą, kuriuos ji išsamiai apžvelgia, daro tokias išvadas:

2.4

Atsižvelgdama į minėtų ankstesnių teisės aktų pakeitimų pobūdį ir mastą, Komisija nusprendė juos visiškai panaikinti ir pakeisti šiuo metu nagrinėjamu pasiūlymu dėl reglamento, suderinto su kitomis nurodytomis nuostatomis, siekiant, kad jos įsigaliotų tuo pačiu metu, kaip ir Reglamentas (ES) Nr. 2016/679, kaip nustatyta jo 98 straipsnyje.

3.1

Griežtai techniniu ir teisiniu požiūriu EESRK iš esmės pritaria:

3.2

Šis principinis pritarimas nedaro poveikio EESRK pastaboms ir rekomendacijoms, kurias jis pateikė dėl pasiūlymo dėl Bendrojo duomenų apsaugos reglamento (8), tapusio šiuo metu galiojančiu Bendruoju duomenų apsaugos reglamentu (9), t. y. pastaboms, į kurias galutinėje reglamento redakcijoje nebuvo visapusiškai atsižvelgta. EESRK baiminasi, kad vėlyvas jo priėmimas ir įsigaliojimas, atsižvelgiant į sparčius technologijų pokyčius šioje srityje, didina riziką, kad duomenys bus neteisėtai pasisavinami ir kad bus piktnaudžiaujama juos tvarkant ir panaudojant juos rinkodaros tikslais, nes reglamentas gali pasenti dar net nepradėjus jo įgyvendinti. Atsižvelgiant į tai, kad nagrinėjamu pasiūlymu siekiama priderinti Bendrąjį duomenų apsaugos reglamentą prie ES institucijų veikimo, tokių nuogąstavimų taip pat kyla dėl, mutatis mutandis, nagrinėjamo teksto, visų pirma dėl neaiškaus jo išdėstymo, kuris eiliniam piliečiui sunkiai suprantamas – tokiu mastu, kad būtų buvę geriau pristatyti ir nagrinėti šio pasiūlymo tekstą ir pasiūlymą dėl Bendrojo duomenų apsaugos reglamento vienu metu.

3.3

Be to, kadangi ES institucijose patvirtintos nuostatos turėtų būti pavyzdžiu nustatant procedūras nacionaliniu lygmeniu, EESRK mano, kad kai kurie klausimai turėjo būti nagrinėjami dabartiniame pasiūlyme.

3.4

Visų pirma, nėra aišku, ar pasiūlymas buvo suderintas su Europos Sąjungos pareigūnų tarnybos nuostatais (Reglamentas Nr. 31 (EEB) (10)), nes jame nenustatytos specialios teisinės nuostatos, užtikrinančios, kad institucijų pareigūnų ir kitų darbuotojų asmens duomenims bus taikoma veiksmingesnė apsauga, kiek tai susiję su įdarbinimu, karjera, darbo sutarties galiojimo trukme ir galimais pratęsimais, taip pat jų įvertinimu.

3.4.1

Nagrinėjamame tekste ar kituose dokumentuose turėtų būti numatytos bendro pobūdžio nuostatos, kuriose nustatytos taisyklės, taikomos duomenims apie pareigūnų ir jų šeimos narių sveikatą, pareigūnų sukurtų ar naudojamų duomenų apsaugai, jų genetiniams duomenims, pranešimų e. paštu tvarkymui ir apsaugai, nepriklausomai nuo to, ar juos siuntė piliečiai ES įstaigoms, ar tokių įstaigų pareigūnai susirašinėdami tarpusavyje arba su išorės subjektais, taip pat jų turinio ir lankytų žiniatinklio puslapių apsaugai (11).

3.4.2

Be to, atskirai reikėtų apsvarstyti patyčių atvejų, priekabiavimo elektroninėje erdvėje ir informavimo apie pažeidimus nagrinėjimo tvarką ES institucijose, nepažeidžiant 68 straipsnio nuostatų.

3.4.3

EESRK taip pat kelia klausimą dėl nagrinėjamo pasiūlymo ir Reglamento (ES) Nr. 2016/679 įgyvendinimo nuostatų atsižvelgiant į daiktų internetą, didelius duomenų rinkinius ir paieškos sistemų naudojimą siekiant sužinoti, sukurti arba panaudoti asmens duomenis, taip pat į asmeninę informaciją, skelbiamą institucijų tinklalapiuose socialiniuose tinkluose („Facebook“, „Linkedin“, „Instagram“, „Twitter“ ir kt.) be aiškaus atitinkamo asmens sutikimo.

3.5

Be to, EESRK būtų pageidavęs, kad Komisijos pasiūlyme būtų ne tik pateikta nuoroda į elektroninių pranešimų konfidencialumą (34 straipsnis), bet ir siekiama nustatyti IT sistemų, kuriomis remiantis atliekamas duomenų tvarkymas, saugos sąlygas, taip pat apsaugos priemones nuo kibernetinių atakų ir tokių duomenų klastojimo ar nutekėjimo (12). Nustatant tokias sąlygas reikėtų užtikrinti jų technologinį neutralumą ir nepasikliauti kiekvienos tarnybos taikomomis specialiomis vidaus taisyklėmis, kad būtų aiškiai pabrėžtas duomenų apsaugos ir kovos su nusikalstamumu ir terorizmu ryšys, išvengiant būtinybės nustatyti neproporcingas ar pernelyg plataus masto stebėjimo priemones, kurias bet kuriuo atveju visada turėtų prižiūrėti Europos duomenų apsaugos priežiūros pareigūnas.

3.6

EESRK pabrėžia, kad asmens duomenų susiejimas ES įstaigose negali būti vykdomas tik taikant atskaitomybės principą, nurodytą 16 konstatuojamojoje dalyje, todėl ragina Komisiją nustatyti specialią taisyklę, pagal kurią reikalaujama, kad toks susiejimas būtų atliktas tik gavus Europos duomenų apsaugos priežiūros pareigūno leidimą, kurio prašo duomenų valdytojas arba kartu ir duomenų tvarkytojas.

3.7

Be to, EESRK norėtų, kad, nepažeidžiant 51 konstatuojamosios dalies ir pasiūlymo 44 straipsnio 3 dalies nuostatų, būtų apibrėžta, kokie įgūdžių, mokymo ir geros reputacijos reikalavimai turi būti patenkinti, kad asmenį būtų galima skirti duomenų apsaugos pareigūnu, duomenų valdytoju ir duomenų tvarkytoju ES institucijose (13). Už šių pareigūnų atliktus pažeidimus vykdant savo veiklos prievoles turėtų būti taikomos tikrai atgrasančioms drausminės, civilinės ir baudžiamosios teisės sankcijos, nustatytos šiame pasiūlyme, visada kontroliuojant ir prižiūrint Europos duomenų apsaugos priežiūros pareigūnui.

3.8

Nors EESRK pripažįsta, kad svarstomas pasiūlymas suteikia geresnį apsaugos lygį, palyginti su dabartiniu Reglamentu (EB) Nr. 45/2001, jis linkęs manyti, kad, atsižvelgiant į ypatingą duomenų pobūdį ir tai, kad jie daro tiesioginį poveikį atitinkamų asmenų privatumui, visų pirma sveikatos srityje, mokesčių ir socialinių duomenų naudojimas turi būti griežtai apribotas, kiek būtina tam tikslui, kuriam jie skirti, ir kad būtina užtikrinti maksimalią apsaugą ir garantijas tvarkant asmens duomenis. Šios garantijos turėtų būti pagrįstos tarptautiniais standartais ir pažangiausiais nacionaliniais teisės aktais bei kai kurių valstybių narių geriausia praktika (14).

3.9

EESRK suvokia, kad ir Reglamentas (ES) Nr. 2016/679, ir nagrinėjamas pasiūlymas taikomi tik fizinių asmenų duomenims, tačiau dar kartą pabrėžia būtinybę apsaugoti teisėtai įsteigtų juridinių asmenų (bendrovių, NVO, komercinių įmonių ir pan.) duomenis juos renkant ir tvarkant.

4.1

Išsamiai išnagrinėjus šį pasiūlymą iškilo keletas abejonių ir nuogąstavimų dėl pagrindinių privatumo apsaugos principų, įtvirtintų Europos Sąjungos pagrindinių teisių chartijoje, ir proporcingumo ir atsargumo principų.

4.3.1

Kadangi nagrinėjamas reglamentas taikomas ES institucijose tvarkomiems duomenims, EESRK norėtų, kad, atsižvelgiant į tvarkomų duomenų pobūdį, būtų aiškiai paminėtas nediskriminavimo principas.

4.3.2

Kalbant apie 4 straipsnio 1 dalies b punktą, asmens duomenis tvarkant archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų arba statistiniais tikslais turėtų būti gautas išankstinis Europos duomenų apsaugos priežiūros pareigūno leidimas, o tai nėra numatyta 58 straipsnyje.

4.3.3

Be to, suprantama, kad turėtų būti nustatyta aiški nuostata, atitinkanti Reglamento (EB) Nr. 45/2001 dabartinį 7 straipsnį dėl duomenų perdavimo tarp ES institucijų.

4.4.1

Sunku suprasti, kodėl šio pasiūlymo dėl reglamento 5 straipsnio 1 dalies b punktui netaikomos nuostatos, nustatytos to paties straipsnio 2 dalyje, priešingai nei 6 straipsnio c ir e punktams, kuriems abiems yra taikomos Bendrojo duomenų apsaugos reglamento 3 straipsnyje išdėstytos sąlygos.

4.4.2

EESRK mano, kad d punkte reikėtų pridurti, kad sutikimas turi būti duodamas laikantis geros valios principo.

4.5.1

Taikant šį straipsnį visada turi būti gautas Europos duomenų apsaugos priežiūros pareigūno leidimas.

4.5.2

Tokiais atvejais duomenų subjektas visada turėtų būti iš anksto informuojamas apie tokią galimybę, kai duomenys renkami arba kai priimamas naujas sprendimas, ir prireikus turėtų turėti teisę prašyti ištaisyti arba ištrinti duomenis, prieštarauti duomenų tvarkymui arba reikalauti taikyti tvarkymo apribojimus.

4.6.1

EESRK laikosi nuomonės, kad išimtis, pagal kurią netaikoma (jau pati savaime neįprasta) taisyklė dėl vaikų iki 16 metų amžiaus (13–16 metų) sutikimo galiojimo, turi būti leidžiama tik valstybėse narėse dėl kultūrinių priežasčių pagal nacionalinę teisę (bendrojo reglamento 8 straipsnis). Priešingai, ji neturėtų būti taikoma kaip įprasta taisyklė ES institucijose (8 straipsnio 1 dalis), kuriose nustatyta riba yra 13 metų.

4.6.2

Be to, neaišku, kokiu būdu Europos duomenų apsaugos priežiūros pareigūnas vaikams skiria „ypatingą dėmesį“, kaip nurodyta 58 straipsnio 1 dalies b punkte, ypač kalbant apie naudotojų sąrašus, nurodytus 36 straipsnyje, kai jų duomenys yra viešai prieinami.

4.7.1

Šio straipsnio 1 dalyje taip pat reikėtų paminėti politinį priklausymą (o tai nėra tas pats kaip politinės pažiūros) ir privatumą.

4.7.2

2 dalies b punkte duomenų subjektas visada turėtų būti iš anksto informuojamas apie duomenų tvarkymą, net ir tada, kai siekiama, kad jis galėtų įvykdyti prievoles ir naudotis specialiomis teisėmis.

4.7.3

Pagal 2 dalies d punktą duomenis turėtų būti galima tvarkyti tik gavus duomenų subjekto sutikimą.

4.7.4

Šios dalies e punktas turėtų būti išimtis tik tuo atveju, kai remiantis subjekto pareiškimais galima teisėtai daryti prielaidą, kad duodamas sutikimas dėl duomenų tvarkymo.

4.9.1

Kai pateikiama kita informacija, kaip nurodoma 15 straipsnio 2 dalyje, taip pat reikėtų įtraukti reikalavimą informuoti duomenų subjektą, ar duomenų valdytojo atsakymas yra privalomas ar pasirinktinas, taip pat apie galimas atsakymo nepateikimo pasekmes.

4.9.2

Kai duomenys renkami per atvirus tinklus, duomenų subjektas visada turi būti informuojamas, jog tikėtina, kad jo asmens duomenys bus skelbiami tinkluose be saugumo priemonių, ir kad kyla pavojus, jog juos matys ir jais naudosis leidimo neturintys tretieji asmenys.

4.9.3

17 straipsnio 1 dalyje nurodyta teise turi būti galima naudotis laisvai, be apribojimų ir nemokamai, pagrįstu dažnumu, greitai ar nedelsiant.

4.9.4

EESRK siūlo, kad duomenų subjektas privalomai gautų patvirtinimą, kad su juo susiję duomenys yra arba nėra tvarkomi.

4.9.5

17 straipsnio 1 dalyje nurodyta informacija turi būti pateikta aiškiai ir suprantamai, visų pirma kalbant apie tvarkomus duomenis ir visą informaciją apie šių duomenų šaltinį.

4.11.1

EESRK mano, kad 2 dalies c punkte reikėtų pridurti, kad sutikimas duodamas tik aiškiai informavus duomenų subjektą apie sprendimų padarinius jo teisinei padėčiai, nes tik tokiu atveju jo sutikimas bus tinkamai pagrįstas.

4.11.2

Kalbant apie 3 dalį, EESRK mano, kad tinkamas priemones turėtų nustatyti Europos duomenų apsaugos priežiūros pareigūnas, o ne duomenų valdytojas.

4.12.1

EESRK yra susirūpinęs, kad pasiūlymo dėl reglamento 25 straipsnio formuluotėje pernelyg plačiai aiškinamos Bendrojo duomenų apsaugos reglamento 23 straipsnio nuostatos, kai tokių nuostatų taikymo apribojimu siekiama laikytis duomenų subjekto pagrindinių teisių, ir rekomenduoja atlikti kritišką peržiūrą, grindžiamą išsamia analize, ir prireikus apriboti įvairius punktus, visų pirma kalbant apie apribojamą teisę į konfidencialumą naudojantis elektroninių ryšių tinklais, numatytą Pagrindinių teisių chartijos 7 straipsnyje ir nurodytą šiuo metu galiojančioje Direktyvoje dėl privatumo ir elektroninių ryšių, taip pat išsaugotą reglamento projekte, kuris šiuo metu nagrinėjamas rengiant kitą EESRK nuomonę.

4.12.2

EESRK visiškai nepritaria 25 straipsnio 2 dalyje numatytai galimybei Sąjungos institucijoms ir įstaigoms riboti duomenų subjektų teisių apribojimo taikymą, jeigu apribojimas nenustatytas teisės aktu, kuriuo tai leidžiama. Tas pats pasakytina apie 34 straipsnį.

—

neleisti įgaliojimų neturintiems asmenims naudotis įranga, skirta duomenims tvarkyti;

—

užkirsti kelią neteisėtam nuskaitymui, kopijavimui, keitimui arba duomenų laikmenų pašalinimui;

—

užkirsti kelią neteisėtam duomenų įvedimui ir neteisėtam saugomų asmens duomenų tikrinimui, keitimui arba ištrynimui;

—

neleisti pašaliniams asmenims pasinaudoti automatizuotomis duomenų tvarkymo sistemomis naudojant duomenų perdavimo įrangą;

—

užtikrinti, kad būtų tikrinama, kokiems organams asmens duomenis gali būti perduoti;

—

užtikrinti, kad tik įgalioti asmenys galėtų prieiti prie duomenų, kuriems taikomas išankstinis leidimas.

4.20.1

Nepažeidžiant pirmiau išdėstytų nuostatų ir atsižvelgiant į pareigų pobūdį, jeigu duomenų apsaugos pareigūnas nėra ES pareigūnas, turėtų būti galima jį atleisti bet kuriuo metu ir šiuo tikslu turėtų pakakti palankios Europos duomenų apsaugos priežiūros pareigūno nuomonės (reglamento 45 straipsnio 8 dalis).

4.20.2

Komitetas mano, kad jo kadencijos trukmė turėtų būti penkeri metai ir ją turėtų būti leidžiama pratęsti tik vieną kartą.

4.25

Pasiūlyme dėl reglamento vartojamos tam tikros dviprasmiškos ir subjektyvaus pobūdžio frazės ir sąvokos, todėl jas rekomenduojama peržiūrėti ir pakeisti. Tai, pavyzdžiui, frazės „jei įmanoma“, „prireikus“, „kuo greičiau“, „didelis pavojus“, „deramai“, „per pagrįstą laikotarpį“ ir „ypač svarbus“.