23.11.2011   

LT

Europos Sąjungos oficialusis leidinys

C 343/1

1.

2011 m. birželio 8 d. Komisija priėmė Europos Parlamento ir Tarybos reglamento dėl Europos saugumo nuo nusikalstamumo statistikos pasiūlymą (3) (toliau – pasiūlymas). Tą pačią dieną pasiūlymas buvo nusiųstas EDAPP konsultacijai.

2.

EDAPP palankiai vertina tai, kad su juo pasikonsultuota pagal Reglamento (EB) Nr. 45/2001 28 straipsnio 2 dalį, ir tai, kad pasiūlymo preambulėje pateikta nuoroda į šią nuomonę.

3.

EDAPP palankiai vertina ir tai, kad anksčiau jam buvo suteikta galimybė pateikti neoficialias pastabas dėl pasiūlymo projekto.

4.

Pasiūlymu Europos Sąjungoje siekiama įgyvendinti naują saugumo nuo nusikalstamumo apklausą (4). Renkant, kaupiant, tvarkant ir perduodant suderintus Europos duomenis, juo bus nustatyta bendra palyginamų statistinių duomenų gavimo sistema.

5.

Tvarkytinų duomenų kategorijos išsamiai aprašytos pasiūlymo I priede, kuriame taip pat pateikti išsamūs klausimai dėl apklausos respondentų socialinių ir demografinių aplinkybių, galimų seksualinės ir fizinės prievartos incidentų, nuo kurių jie galėjo nukentėti, jų saugumo jausmo ir požiūrio į prevencines teisėsaugos bei saugumo priemones.

6.

Pasiūlyme reglamentuojamas konfidencialių duomenų perdavimas iš valstybių narių Komisijai (Eurostatui) bei duomenų sklaida ir galimybė su jais susipažinti moksliniais tikslais. Praktiniai dalykai, susiję su duomenų kodavimo sistema ir keitimusi mikroduomenimis, bus reglamentuoti įgyvendinamuosiuose teisės aktuose.

7.

Šioje nuomonėje bus analizuojami pasiūlymo aspektai, susiję su asmens duomenų tvarkymu. Ji paremta dviem ankstesnėmis EDAPP nuomonėmis šioje srityje, atitinkamai susijusiomis su Reglamentu (EB) Nr. 223/2009, kuriame numatyta Europos statistinių duomenų gavimo pamatinė sistema (5), ir Reglamentu (EB) Nr. 1338/2008 dėl statistikos apie sveikatą ir saugą darbe (6).

8.

Nuomonėje taip pat remiamasi Reglamentu (EB) Nr. 831/2002 dėl teisės naudotis konfidencialiais duomenimis mokslo reikmėms (7), kuris dabar persvarstomas. EDAPP palankiai vertintų tai, jeigu šiuo klausimu su juo būtų pasikonsultuota. Šioje nuomonėje pateikiamos nuorodos į Reglamentą (EB) Nr. 831/2002 neturi įtakos šiuo atžvilgiu pateiktinoms EDAPP konsultacijoms.

9.

EDAPP žino, kaip svarbu yra rengti, gauti ir platinti statistinius duomenis, kaip jau ne kartą yra nurodęs anksčiau (8). Tačiau jam kelia rūpestį grėsmė, kad gali būti nustatyta duomenų subjektų tapatybė, ir tai, kad yra tvarkomi neskelbtini duomenys, pvz., susiję su sveikata, lytiniu gyvenimu ir nusikaltimais.

10.

EDAPP palankiai vertina tai, kad pasiūlymo 6 ir 7 konstatuojamosiose dalyse minima asmens teisių ir laisvių tvarkant asmens duomenis apsauga, tačiau apgailestauja, kad kartu su pasiūlymu pateiktame poveikio vertinime nenurodytas galimas pasiūlymo poveikis privatumui ir duomenų apsaugai.

11.

Šioje nuomonėje aptariama galimybė nustatyti duomenų subjektų tapatybę iš statistinių duomenų ir pagal pasiūlymą (II.2 dalis) bei duomenų apsaugos sistemos taikytinumas (II.3 dalis). Paskui II.4 dalyje analizuojamas neskelbtinų duomenų tvarkymas. Nuomonės II.5 dalyje daugiausia dėmesio skiriama saugumo garantijoms ir nuasmeninimui, o II.6 dalyje galiausiai analizuojama duomenų subjektams teiktina informacija.

12.

Asmens duomenys Direktyvos 95/46/EB 2 straipsnio a punkte ir Reglamento (EB) Nr. 45/2001 2 straipsnio a punkte apibrėžiami kaip bet kokia informacija, susijusi su fiziniu asmeniu, kurio tapatybė yra arba gali būti nustatyta („duomenų subjektas“). Tapatybė gali būti nustatoma tiesiogiai, pvz., pagal vardą ir pavardę, arba netiesiogiai, pvz., pagal asmens kodą arba kitus veiksnius. Todėl jeigu yra galimybė nustatyti fizinių asmenų tapatybę, atitinkami duomenys laikomi asmens duomenimis ir todėl taikytini duomenų apsaugos teisės aktai.

13.

Statistikos srityje galimybė nustatyti duomenų subjektų tapatybę daugiausia susijusi su mikroduomenimis (9), kuriuos sudaro informacija apie atskirus statistinius vienetus. Nors tyrėjai, politikai ir kiti naudotojai gali reikalauti galimybės susipažinti su kuo išsamesniais mikroduomenimis, kad pagerintų savo mokslinių tyrimų kokybę ir padidintų lankstumą, respondentams reikia garantijų, kad jų asmens duomenys bus saugomi, visų pirma jeigu apklausos susijusios su neskelbtinais dalykais, pvz., kaip šiame pasiūlyme. Susirūpinimas dėl asmens duomenų apsaugos taip pat kyla persvarstant Reglamentą (EB) Nr. 831/2002 (10).

14.

Kalbant apie galimybę nustatyti duomenų subjektų tapatybę, ES teisės aktuose dėl statistikos yra svarbios dvi skirtingos sąvokos: „konfidencialūs duomenys“ ir „anonimiški duomenys“. Pagal Reglamentą (EB) Nr. 223/2009 duomenys, pagal kuriuos galima „tiesiogiai arba netiesiogiai identifikuoti“ statistinius vienetus (tai gali būti fiziniai asmenys, namų ūkiai, ūkio subjektai ar kitos įmonės), laikomi konfidencialiais duomenimis (11) ir todėl jiems taikomas statistinių duomenų konfidencialumas (12). Tačiau Reglamente (EB) Nr. 831/2002 konfidencialūs duomenys apibrėžiami kaip duomenys, „leidžiantys tik netiesiogiai identifikuoti atitinkamus statistinius vienetus“. Kaip ir pasiūlyme, statistiniai vienetai reiškia fizinius asmenis (ir namų ūkius) (13), šiuo atveju konfidencialūs duomenys apima asmens duomenis, todėl duomenų apsaugos teisės aktai bus taikomi nepaisant to, ar iš duomenų galima tiesiogiai arba netiesiogiai nustatyti tapatybę.

15.

Sąvoka „anonimiški duomenys“ minėtuose dviejuose reglamentuose apibrėžiama taip pat šiek tiek skirtingai. Nors Reglamente (EB) Nr. 831/2002 „anonimizuotieji mikroduomenys“ apibūdinti kaip atskiri statistiniai įrašai, kurių identifikavimo rizika yra „sumažinta“ (14), pagal Reglamento (EB) Nr. 223/2009 19 straipsnį „nuasmeninti įrašai“ – tai įrašai, „parengti taip, kad nebūtų galima tiesiogiai arba netiesiogiai identifikuoti statistinio vieneto atsižvelgiant į visas tinkamas priemones, kuriomis gali pagrįstai naudotis trečioji šalis“ (15). Ši apibrėžtis panaši į Direktyvos 95/46/EB 26 konstatuojamojoje dalyje ir Reglamento (EB) Nr. 45/2001 8 konstatuojamojoje dalyje pateiktą apibrėžtį, pagal kurią asmens duomenys yra „nuasmeninti“, jeigu iš jų „nebegalima“ nustatyti duomenų subjekto tapatybės, atsižvelgiant į „visas priemones, kurias minėto asmens tapatybei nustatyti gali naudoti duomenų valdytojas ar bet kuris kitas asmuo“ (16).

16.

Todėl nuasmeninus mikroduomenis, kaip apibrėžta Reglamento (EB) Nr. 223/2009 19 straipsnyje, kuris šiam pasiūlymui būtų taikomas tik jeigu mikroduomenys būtų paskelbti viešai, duomenys nebebūtų laikomi asmens duomenimis ir Direktyvos 95/46/EB bei Reglamento (EB) Nr. 45/2001 nuostatos nebūtų taikomos.

17.

Tačiau duomenys, kurie laikomi nuasmenintais pagal Reglamentą (EB) Nr. 831/2002, negali būti nuasmeninti pagal Direktyvą 95/46/EB ir Reglamentą (EB) Nr. 45/2001, nes gali išlikti tapatybės nustatymo grėsmė, todėl jiems bus taikomi duomenų apsaugos teisės aktai. Šiame pasiūlyme nuasmeninimo apibrėžtis bus taikoma išleistiems mikroduomenų rinkiniams, jeigu į Reglamento (EB) Nr. 931/2002 6 straipsnio sąrašą paskui būtų įtraukta atitinkama apklausa.

18.

Pasiūlymo tikslas – nustatyti bendrą „Europos saugumo nuo nusikalstamumo statistikos rengimo sistemą, pagal kurią valstybės narės renka, rengia, apdoroja ir perduoda <…>“ (17) palyginamus nusikalstamumo ir saugumo duomenis.

19.

Duomenis rinks valstybės narės ir juos perduos Eurostatui, o šis juos platins ir pateiks tyrėjams. Nors pasiūlyme nereglamentuojama, kaip valstybės narės rinks šiuos duomenis, jame nurodyta, kokius duomenis reikia perduoti Eurostatui. Todėl klausimus, kurie respondentams bus pateikiami apklausoje, nulems duomenų, kuriuos valstybėms narėms reikės perduoti Eurostatui, kategorijos, nustatytos pasiūlymo I priede.

20.

I priedo 6 punkte aiškiai nurodyta „respondento identifikacija“. Be to, vienas iš apklausos klausimų, susijusių su partnerio ir ne partnerio naudotu fiziniu smurtu, yra „kas tai padarė“ (I priedo 7 punkto 1 papunktis). Jeigu į šiuos klausimus bus atsakyta nurodant vardą ir pavardę, duomenys bus susiję su asmenimis, kurių tapatybė nustatyta tiesiogiai.

21.

EDAPP žino, kad šių klausimų tikslas – ne sužinoti respondento ir agresoriaus vardą ir pavardę, bet tikriausiai priskirti respondentui kodą arba prašyti konkrečiai apibūdinti tariamą agresorių, pvz., nustatyti šeiminio santykio buvimą ir laipsnį. Be to, EDAPP palankiai vertina tai, kad tiesiogiai nustatomi identifikaciniai duomenys neturi būti perduodami Eurostatui, nes pagal pasiūlymo 7 straipsnio 1 dalį prieš tai juos reikia pašalinti. Tačiau EDAPP rekomenduotų I priedo 6 punkte ir 7 punkto 1 papunktyje pakeisti šių kintamųjų aprašymą, siekiant patikslinti, kokios konkrečios informacijos reikalaujama, ir neleisti, kad valstybės narės be reikalo rinktų šiuos identifikacinius duomenis.

22.

Net nesant tiesioginių identifikatorių, iš surinktų duomenų tikriausiai vis tiek bus galima tapatybę nustatyti netiesiogiai, „pagal identifikacinį numerį“ arba, kadangi apklausoje apgalvotai prašoma užpildyti daug įvairių duomenų laukų, pagal „vieną ar kelis asmeniui būdingus fizinio, fiziologinio, protinio, ekonominio, kultūrinio ar socialinio pobūdžio požymius“ (18). Todėl valstybių narių atliekamam asmens duomenų tvarkymui taikoma nacionalinė teisė, kuria įgyvendinama Direktyva 95/46/EB.

23.

Šiuo požiūriu EDAPP norėtų pabrėžti, kad būna unikalių ar retų derinių, kai iš įvairių informacijos vienetų derinio duomenų subjektus galima atskirti nuo kitų subjektų ir taip nustatyti jų tapatybę, kaip tai pažymėjo 29 straipsnio darbo grupė (19).

24.

Galimybė nustatyti tapatybę išliks perduodant duomenis Eurostatui ir kai su šiais duomenimis susipažįsta tyrėjai, nes, kaip jau nurodyta pirmiau, pasiūlymo 7 straipsnio 1 dalyje (20) nereikalaujama pašalinti netiesioginių identifikatorių. Be to, 7 straipsnio 1 ir 2 dalyse iš valstybių narių aiškiai reikalaujama perduoti Eurostatui konfidencialius mikroduomenis. Pagal pasiūlymo 9 straipsnio 2 dalį (21) Eurostatas taip pat gali suteikti galimybę susipažinti su konfidencialiais duomenimis mokslo tikslais.

25.

Kaip aprašyta pirmiau, konfidencialūs duomenys – tai duomenys, iš kurių galima bent netiesiogiai identifikuoti statistinius vienetus, tarp kurių šiuo atveju yra ir fiziniai asmenys. Todėl Eurostato atliekamas duomenų tvarkymas ir galimybė juos gauti tyrėjams reikš asmens duomenų tvarkymą, kuriam taikomos Reglamento (EB) Nr. 45/2001 nuostatos.

26.

Dėl platinimo 9 straipsnio 1 dalyje nurodyta, kad Eurostatas „platina statistinius saugumo nuo nusikalstamumo duomenis ne vėliau kaip iki 2014 m. gruodžio 31 d.“, tačiau nenurodyti šio platinimo būdai. Jeigu pagal šį pasiūlymą surengta apklausa paskui bus įtraukta į Reglamento (EB) Nr. 831/2002 6 straipsnio sąrašą, identifikavimo grėsmė bus „sumažinta“ tik prieš perduodant mikroduomenis. Šiuo atveju bus taikomas Reglamentas (EB) Nr. 45/2001, jeigu dar bus galima nustatyti duomenų subjektų tapatybę.

27.

Viešai išplatinus mikroduomenis būtų taikomas Reglamento (EB) Nr. 223/2009 19 straipsnis, pagal kurį nuasmeninimo pagal Direktyvą 95/46/EB ir Reglamentą (EB) Nr. 45/2001 reikalaujama prieš viešojoje rinkmenoje išplatinant atskirus statistinius vienetus. Taip nuasmeninti mikroduomenys nebebus laikomi asmens duomenimis, todėl Reglamentas (EB) Nr. 45/2001 nebebus taikomas.

28.

Svarbu pabrėžti, kad nagrinėjami asmens duomenys priskirtini ypatingai duomenų kategorijai, kuriai taikomos griežtesnės Direktyvos 95/46/EB ir Reglamento (EB) Nr. 45/2001 taisyklės. Direktyvos 95/46/EB 8 straipsnio 1 dalyje ir Reglamento (EB) Nr. 45/2001 10 straipsnio 1 dalyje, išskyrus tam tikras griežtas sąlygas, aiškiai draudžiama tvarkyti asmens duomenis, kurie atskleidžia asmens rasinę ir etninę kilmę, politinius, religinius ar filosofinius įsitikinimus, narystę profesinėse sąjungose ir duomenis apie sveikatą ar lytinį gyvenimą, bei ribojamas asmens duomenų, susijusių su nusikaltimais, teistumu ar saugumo priemonėmis, tvarkymas (22).

29.

Valstybės narės, be kitų duomenų kategorijų, privalo Eurostatui pateikti duomenis apie esamus ir buvusius santykius; partnerio ir ne partnerio fizinį ir seksualinį smurtą; medicininį gydymą; narkotikų vartojimą; nusikaltimus, respondentų nacionalinę kilmę ir jų tėvus. Šios kategorijos apima duomenis apie sveikatą, lytinį gyvenimą ir nusikaltimus ir galėtų atskleisti etninę kilmę. Toliau pateikiama keletas pavyzdžių.

30.

Direktyvos 95/46/EB 8 straipsnio 2–4 dalyse ir Reglamento (EB) Nr. 45/2001 10 straipsnio 2–4 dalyse numatytos draudimo tvarkyti šias duomenų kategorijas išimtys. Šiuo atveju galėtų būti taikomos Direktyvos 95/46/EB 8 straipsnio 4 dalis ir Reglamento (EB) Nr. 45/2001 10 straipsnio 4 dalis, kuriose šiuos duomenis leidžiama tvarkyti dėl „svarbių visuomeninių interesų“. Tačiau šiai išimčiai taikoma sąlyga „tinkamai apsaugotas“ ir ji turi būti „nustatyta įstatyme“ (23).

31.

Kalbant apie pastarąjį reikalavimą, EDAPP mano, kad reglamente, kuris bus priimtas pagal įprastą teisėkūros procedūrą, kaip to reikalaujama pagal Sutarties dėl Europos Sąjungos veikimo 338 straipsnį, bus numatytas tinkamas teisinis tvarkymo pagrindas.

32.

Tačiau pasiūlyme nėra pakankamai nurodytas atitinkamas „svarbus visuomeninis interesas“, kuris būtų pagrindas rinkti, perduoti ir platinti tokius išsamius ir neskelbtinus duomenis. Kaip nurodyta pasiūlymo 1 straipsnyje, pasiūlymu siekiama nustatyti „palyginamos Europos saugumo nuo nusikalstamumo statistikos, pagrįstos namų ūkių arba asmenų apklausa, vystymo, rengimo ir platinimo pagrindą“. Nors aiškinamajame memorandume ir preambulėje paaiškinamos atitinkamos politinės aplinkybės, aiškiai nenurodyta konkreti paskirtis ar politiniai tikslai, kurių siekiama tokia statistika. Jie tik iš dalies paminėti prie pasiūlymo pridėtoje finansinėje teisės akto pasiūlymo pažymoje (24).

33.

Todėl EDAPP rekomenduotų pasiūlymo preambulėje aiškiai nurodyti svarbų visuomeninį interesą, dėl kurio tvarkymas yra pateisinamas, kaip tai padaryta kituose reglamentuose, kuriuose reikalaujama tvarkyti sveikatos duomenis (25) ir kuriais numatoma rinkti Europos statistinius duomenis (26). Tai taip pat svarbu vertinant būtinumą tvarkyti tokias išsamias neskelbtinų duomenų kategorijas, nes toks tvarkymas gali būti perteklinis ir jo negalima laikyti reikalingu, jeigu nėra aiškiai nurodytas tikslas.

34.

Dėl reikalavimo „tinkamai apsaugotas“ EDAPP pažymi nuorodas į Reglamentą (EB) Nr. 223/2009, Reglamentą (EB) Nr. 831/2002 ir Europos statistikos elgesio kodeksą (27), pagal kuriuos reikalaujama apsaugoti konfidencialius duomenis. Tačiau, kaip EDAPP jau pažymėjo (28), tai, kad duomenys, susiję su fiziniais asmenimis, kurių tapatybę galima tiesiogiai arba netiesiogiai nustatyti, laikomi konfidencialiais duomenimis ir vertinami kaip tokie, savaime neužtikrina, kad šių duomenų tvarkymas visiškai atitiks duomenų apsaugos teisės aktus. Šiuo požiūriu EDAPP palankiai vertina pasiūlymo preambulėje pateikiamas nuorodas į Direktyvą 95/46/EB ir Reglamentą (EB) Nr. 45/2001.

35.

Tačiau, atsižvelgdamas į tvarkytinų duomenų neskelbtiną pobūdį ir į tai, kad statistikos tikslus galima pasiekti naudojant nuasmenintus mikroduomenis (29), EDAPP pabrėžia, kad duomenis reikia nuasmeninti kuo greičiau, kaip nurodyta Direktyvoje 95/46/EB ir Reglamente (EB) Nr. 45/2001 (30). Jeigu apklausos išsamumo sumetimais prieš perduodant duomenis Eurostatui arba prieš leidžiant tyrėjams su jais susipažinti negalima užtikrinti, kad jie būtų visiškai nuasmeninti, ir jeigu tai yra aiškiai pagrįsta, pasiūlyme turėtų būti bent jau siekiama nuasmeninimo pagal Reglamentą (EB) Nr. 831/2002 (kad identifikavimo grėsmė būtų kuo mažesnė).

36.

Konfidencialūs duomenys, šiuo atveju – neskelbtini duomenys, turėtų būti tvarkomi tik jei tai būtina, t. y. jeigu tų pačių mokslinių tikslų negalima pasiekti naudojant mikroduomenis, kurie nuasmeninti, kaip apibrėžta Direktyvoje 95/46/EB ir Reglamente (EB) Nr. 45/2001, arba kurių identifikavimo grėsmė sumažinta pagal Reglamentą (EB) Nr. 831/2002. Visuomenei skelbiami duomenys bet kuriuo atveju turėtų būti nuasmeninti pagal Direktyvą 95/46/EB, Reglamentą (EB) Nr. 45/2001 ir Reglamento (EB) Nr. 223/2009 19 straipsnį.

37.

Kol duomenys nebus nuasmeninti pagal Direktyvą 95/46/EB ir Reglamentą (EB) Nr. 45/2001, jiems turės būti taikomos tinkamos techninės ir organizacinės priemonės, kad būtų užtikrintas jų konfidencialumas ir saugumas, kaip to reikalaujama Direktyvos 95/46/EB 16 ir 17 straipsniuose ir Reglamento (EB) Nr. 45/2001 21 ir 22 straipsniuose. Taikant šias priemones turėtų būti atsižvelgta į tvarkymo keliamą grėsmę ir apsaugotinų duomenų neskelbtiną pobūdį.

38.

Be to, Reglamento (EB) Nr. 45/2001 27 straipsnio 1 dalyje numatyta, kad „tvarkymo veiksmus, galinčius kelti konkrečią riziką duomenų subjektų teisėms ir laisvėms dėl jų pobūdžio, jų apimties ar tikslų, iš anksto patikrina Europos duomenų apsaugos priežiūros pareigūnas“. 27 straipsnio 2 dalyje nurodyta, kad tokią grėsmę kelia asmens duomenų apie „sveikatą“, „įtariamus nusikaltimus“, „nusikaltimus“„teistumus“ tvarkymas ir todėl reikalinga išankstinė patikra.

39.

Kadangi Eurostatas tvarkys ir asmens duomenis, susijusius su minėtomis kategorijomis, turės būti atliekama išankstinė patikra (31). Todėl atlikdamas išankstinės patikros procedūrą EDAPP gali pateikti papildomas rekomendacijas ir konkrečias rekomendacijas dėl duomenų apsaugos taisyklių laikymosi.

40.

Galiausiai pasiūlymo 8 straipsnio 2 dalyje nurodyta, kad praktiniai duomenų kodavimo schemos ir keitimosi mikroduomenimis klausimai bus sureguliuoti įgyvendinamuosiuose teisės aktuose. EDAPP palankiai vertintų, jeigu į jį būtų kreiptasi konsultacijos dėl tokių praktinių klausimų.

41.

EDAPP primena, jog dėl to, kad duomenis iš respondentų tiesiogiai rinks valstybės narės, bus taikomas Direktyvos 95/46/EB 10 straipsnis. Todėl duomenų subjektams reikės pranešti bent apie savanorišką apklausos pobūdį ir galimybę atsisakyti atsakyti į vieną ar daugiau klausimų; taip pat apie tvarkymo operacijos tikslus, kurių siekiama tvarkant duomenis; duomenų valdytojo tapatybę; tai, kad duomenys bus perduodami Eurostatui, kuris gali suteikti prieigą tyrėjams; taip pat jiems turi būti pranešta apie teises susipažinti su duomenimis, prašyti, kad jie būtų ištaisyti, užblokuoti ir ištrinti; nebent tvarkymui taikomos nacionalinės teisės aktuose numatytos šių teisių išimtys.

42.

EDAPP ne kartą yra pripažinęs statistinių duomenų rengimo, gavimo ir platinimo svarbą. Vis dėlto rūpestį EDAPP kelia neskelbtinų duomenų tvarkymas šios konkrečios apklausos atveju ir galimybė nustatyti nukentėjusiųjų bei fizinio ir seksualinio smurto agresorių tapatybę. Todėl visų pirma jis rekomenduoja: