9.2.2012   

LT

Europos Sąjungos oficialusis leidinys

C 35/1

1.

2011 m. spalio 12 d. Komisija priėmė šiuos pasiūlymus (toliau – pasiūlymai) dėl bendros žemės ūkio politikos (toliau – BŽŪP) po 2013 m., kurie tą pačią dieną buvo nusiųsti EDAPP konsultacijai:

2.

EDAPP palankiai vertina tai, kad Komisija su juo oficialiai konsultuojasi ir kad nuoroda į šią nuomonę pateikiama siūlomų tiesioginių išmokų reglamento, vieno BRO reglamento, kaimo plėtros reglamento ir horizontaliojo reglamento preambulėse.

3.

Pasiūlymais siekiama sukurti pagrindą: 1) perspektyviai maisto produktų gamybai, 2) tausiam gamtos išteklių ir klimato politikos valdymui; ir 3) darniam teritoriniam vystymuisi. Šiuo tikslu juose nustatytos kelios paramos ūkininkams schemos, taip pat kitos priemonės žemės ūkio ir kaimo plėtrai skatinti.

4.

Įgyvendinant šias programas asmens duomenys – daugiausia susiję ne tik su paramos gavėjais, bet ir su trečiosiomis šalimis – yra tvarkomi įvairiuose etapuose (nagrinėjant pagalbos paraiškas, užtikrinant mokėjimų skaidrumą, kontroliuojant sukčiavimą ir kovojant su juo ir t. t.). Nors didžiąją tvarkymo veiklos dalį atlieka valstybės narės ir jos yra atsakingos už tai, Komisija gali susipažinti su dauguma šių duomenų. Paramos gavėjai ir kai kuriais atvejais trečiosios šalys – pavyzdžiui, atliekant patikras dėl sukčiavimo, – turi paskirtoms kompetentingoms institucijoms pateikti informaciją.

5.

Į duomenų apsaugos svarbą BŽŪP srityje dėmesį atkreipė Teisingumo Teismas sprendime Schecke, kuriuo buvo panaikinti ES teisės aktai dėl žemės ūkio fondų paramos gavėjų vardų skelbimo (10). EDAPP supranta, kad šiuo atveju duomenų apsaugos aspektai nėra svarbiausias pasiūlymuose aptariamas klausimas. Tačiau, kadangi pasiūlymai yra susiję su asmens duomenų tvarkymu, atitinkamas pastabas reikia pateikti.

6.

Šios nuomonės tikslas – ne išnagrinėti visus pasiūlymus, bet pateikti pastabas ir rekomendacijas kuriant asmens duomenų tvarkymo būdus, kurie reikalingi BŽŪP administruoti taip, kad būtų gerbiamos pagrindinės teisės į privatumą ir duomenų apsaugą ir kartu būtų padedama užtikrinti veiksmingą pagalbos administravimą, sukčiavimo prevenciją ir tyrimą, skaidrų ir atskaitingą lėšų naudojimą.

7.

Todėl šią nuomonę sudaro dvi dalys: pirmojoje, bendresnio pobūdžio, dalyje analizuojami dauguma pasiūlymų ir pateikiamos su jais susijusios rekomendacijos. Iš esmės tai yra pastabos dėl Komisijos deleguotų ir įgyvendinimo įgaliojimų. Toliau antrojoje dalyje aptariamos konkrečios keliuose pasiūlymuose (11) esančios nuostatos ir pateikiamos rekomendacijos dėl juose nustatytų klausimų sprendimo.

8.

Kaip minėta, didelę tvarkymo operacijų dalį atlieka valstybės narės. Tačiau daugeliu atvejų Komisija gali susipažinti su asmens duomenimis. Todėl EDAPP palankiai vertina tai, kad susijusių pasiūlymų preambulėse pateikiamos nuorodos į taikytiną Direktyvą 95/46/EB ir Reglamentą (EB) Nr. 45/2001 (12).

9.

Apskritai pažymėtina, kad daug svarbių su duomenų apsauga susijusių klausimų nėra įtraukta į šiuos pasiūlymus, nes jie bus reglamentuojami įgyvendinimo arba deleguotuose aktuose. Tai pasakytina, pavyzdžiui, apie priemones dėl pagalbos stebėsenos, IT sistemų sukūrimo, informacijos perdavimų trečiosioms šalims ir patikrų vietoje, – visos šios priemonės bus priimtos ateityje (13).

10.

SESV 290 straipsnyje nustatytos deleguotų Komisijos įgaliojimų įgyvendinimo sąlygos. Jai gali būti suteikti įgaliojimai „papildyti ar iš dalies keisti neesmines įstatymo galią turinčio teisės akto nuostatas“. Be to, „įgaliojimų delegavimo tikslai, turinys, taikymo sritis ir trukmė“ aiškiai apibrėžiami. Dėl įgyvendinimo įgaliojimų SESV 291 straipsnyje nustatyta, kad jie Komisijai gali būti suteikiami, kai „teisiškai privalomi Sąjungos aktai turi būti įgyvendinti vienodomis sąlygomis“. Valstybės narės užtikrina tinkamą priežiūrą.

11.

EDAPP mano, kad pasiūlymuose numatyti pagrindiniai tvarkymo aspektai ir būtinos duomenų apsaugos priemonės negali būti laikomi „neesminiais elementais“. Todėl siekiant padidinti teisinį tikrumą pagrindiniuose teisės aktų tekstuose jau turėtų būti reglamentuojami bent šie elementai (14):

12.

Konkrečiai nurodžius šiuos elementus pagrindiniuose pasiūlymuose dėl įstatymo galią turinčių aktų, deleguoti ir įgyvendinimo aktai galėtų būti naudojami siekiant išsamiau įgyvendinti šias konkrečias apsaugos priemones. EDAPP tikisi, kad su juo bus konsultuojamasi dėl įgyvendinimo ir deleguotų aktų, kuriais sprendžiami su duomenų apsauga susiję klausimai.

13.

Tam tikrais atvejais gali būti tvarkomi duomenys, susiję su (įtariamais) pažeidimais (pavyzdžiui, sukčiavimo atveju). Kadangi taikomuose duomenų apsaugą reglamentuojančiuose teisės aktuose nustatyta konkreti tokių duomenų apsauga (17), gali prireikti kompetentingai nacionalinei duomenų apsaugos institucijai arba EDAPP atlikti išankstinę patikrą (18).

14.

Galiausiai turėtų būti numatytos saugumo priemonės, visų pirma susijusios su kompiuterinėmis duomenų bazėmis ir sistemomis. Taip pat reikėtų atsižvelgti į atskaitomybės ir privatumo užtikrinimo projektuojant principus.

15.

Pagal vieno BRO reglamento 157 straipsnį Komisijai suteikiami įgaliojimai priimti įgyvendinimo aktus dėl pranešimo reikalavimų skirtingais tikslais (pavyzdžiui, užtikrinti rinkos skaidrumą, kontroliuoti BŽŪP priemones arba įgyvendinti tarptautinius susitarimus) (19)„atsižvelgiant į duomenų poreikius ir galimų duomenų šaltinių sinergiją“ (20). EDAPP rekomenduoja šioje nuostatoje konkrečiai nurodyti duomenų šaltinių rūšis ir konkrečius tikslus, kurių siekiama naudojant šiuos duomenų šaltinius. Šiuo atveju EDAPP norėtų priminti apie pavojų, kad duomenų bazių sąveika gali prieštarauti tikslo ribojimo principui (21), pagal kurį asmens duomenys neturi būti toliau tvarkomi su jų pradinio rinkimo tikslu nesuderinamu būdu (22).

16.

Kaimo plėtros reglamento 74 ir 77 straipsniuose nustatyta stebėsenos ir vertinimo sistema, kurią „Komisija ir valstybės narės bendradarbiaudamos parengia“, kad užtikrintų stebėseną ir vertinimą, įskaitant ir elektroninę informacinę sistemą. Sistemoje bus tvarkomi su „pagrindine informacija apie paramos gavėją ir projektą“ susiję duomenys, kuriuos teikia patys paramos gavėjai (78 straipsnis). Kadangi šiuo metu ši „pagrindinė informacija“ apima asmens duomenis, tai turėtų būti konkrečiai nurodoma nuostatoje. Be to, tvarkomų duomenų kategorijos turėtų būti apibrėžtos ir su EDAPP turėtų būti konsultuojamasi dėl 74 straipsnyje numatytų įgyvendinimo aktų.

17.

Be to, to paties pasiūlymo 92 straipsnyje numatyta sukurti naują informacinę sistemą, kurią „Komisija, bendradarbiaudama su valstybėmis narėmis“, sukuria siekdama užtikrinti saugų keitimąsi „bendros svarbos duomenimis“. Duomenų, kuriais keičiamasi, kategorijų apibrėžimas yra per platus ir turėtų būti susiaurintas tuo atveju, jeigu asmens duomenys perduodami naudojant šią sistemą. Be to, 77 ir 92 straipsnių santykis taip pat turėtų būti paaiškintas, nes nėra aišku, ar jų tikslas ir taikymo sritis yra vienodi.

18.

Horizontaliojo reglamento 40 konstatuojamojoje dalyje nurodoma, kad valstybės narės tam tikriems mokėjimams turėtų taikyti integruotą administravimo ir kontrolės sistemą (23) ir joms „turėtų būti leista ją naudoti ir kitoms Sąjungos paramos schemoms“ siekiant „padidinti Sąjungos paramos veiksmingumą ir pagerinti jos stebėseną“. Ši nuostata turėtų būti paaiškinta, visų pirma, jeigu ji susijusi ne tik su infrastruktūros sinergijos išnaudojimu, bet ir su joje saugomos informacijos panaudojimu siekiant atlikti kitų paramos schemų stebėseną.

19.

Pagal horizontaliojo reglamento 73 straipsnio 1 dalies c punktą pagalbos paraiškose, be sklypų ir teisių į išmokas, taip pat nurodoma „visa kita informacija, kuri numatyta šiame reglamente arba kurios prašo atitinkama valstybė narė, siekdama įgyvendinti atitinkamą žemės ūkio sektorių teisės aktą“ (24). Tuo atveju, jeigu manoma, kad ši informacija yra susijusi su asmens duomenimis, duomenų kategorijos turėtų būti konkrečiai nurodytos.

20.

Horizontaliajame reglamente nustatyta daugybė įstaigų, skirtų BŽŪP įgyvendinti praktikoje, ir paskirstomos jų užduotys (7–15 straipsniai). Komisijai nustatytos šios kompetencijos sritys (IV–VII antraštinės dalys):

21.

Pirmoji 20 dalyje paminėta užduotis bus susijusi su asmens duomenų tvarkymu, o vykdant antrąją užduotį nėra akivaizdaus poreikio tvarkyti asmens duomenis: bendrą priemonių vertinimą galima atlikti remiantis ir bendro pobūdžio arba anonimizuotais duomenimis. Jeigu šiomis aplinkybėmis Komisija nepateikia tinkamo asmens duomenų tvarkymo pagrindimo, turėtų būti paaiškinta, kad jokie asmens duomenys neturėtų būti teikiami Komisijai bendro priemonių vertinimo tikslais.

22.

Horizontaliojo reglamento 49–52 ir 61–63 straipsniuose nustatytos patikrų vietoje taisyklės (27). Pasiūlyme nustatyta, kad šias patikras iš esmės atlieka valstybių narių kompetentingos institucijos, visų pirma atliekant patikrinimus namuose arba oficialiai apklausiant asmenis, tačiau Komisija taip pat gali susipažinti su tokiu būdu gauta informacija. Šiuo atveju teisės aktų leidėjas turėtų konkrečiai nurodyti, kad Komisija susipažįsta tik su tais duomenimis, kurie reikalingi kontrolės tikslais. Taip pat turėtų būti konkrečiai nurodytos asmens duomenų, su kuriais gali susipažinti Komisija, kategorijos.

23.

Siekiant atlikti pagalbos stebėseną horizontaliajame reglamente nustatyta administravimo ir kontrolės sistema (28) (68–78 straipsniai), kurią sudaro daugybė duomenų bazių:

24.

Kompiuterinę duomenų bazę sudaro po vieną duomenų bazę kiekvienoje valstybėje narėje (ir pasirinktinai – decentralizuotos duomenų bazės šiose duomenų bazėse). Joje registruojami iš kiekvieno paramos gavėjo gauti duomenys per pagalbos paraiškas ir mokėjimo prašymus. Atsižvelgiant į tai, kad ne visi iš pagalbos paraiškų surinkti duomenys gali būti reikalingi kontrolės tikslais, reikėtų atkreipti dėmesį į galimybę šiuo atveju kuo labiau sumažinti asmens duomenų tvarkymą.

25.

Prieiga prie administravimo ir kontrolės sistemos nėra aiškiai reglamentuota. Kaip ir dėl patikrų vietoje, EDAPP rekomenduoja teisės aktų leidėjui nustatyti prieigos prie šios sistemos aiškiai ribojančio pobūdžio taisykles.

26.

Kalbant apie patikras, horizontaliajame reglamente numatytas komercinių dokumentų, įskaitant trečiųjų šalių komercinius dokumentus, tikrinimas (79–88 straipsniai) (29). Šiuose dokumentuose gali būti pateikti asmens duomenys apie trečiąsias šalis. Sąlygos, kuriomis prašoma, kad trečiosios šalys atskleistų savo komercinius dokumentus, priemonėje turėtų būti konkrečiai nurodytos (30).

27.

To paties pasiūlymo 87 straipsnyje nustatyta, kad Komisijos pareigūnams suteikiama prieiga prie visų dokumentų, „parengtų iki tikrinimo arba po jo“„laikantis atitinkamų nacionalinių įstatymų“. Tai taikoma abiem atvejais: kai jie gali dalyvauti vykdant tikrinimą (2 dalis) ir kai tam tikrus veiksmus atlieka pagal valstybės narės, kurioje vykdomas patikrinimas, nacionalinę teisę paskirti pareigūnai (4 dalis). Abiem atvejais turėtų būti užtikrinama, kad Komisijos pareigūnai susipažintų su šiais duomenimis tik esant reikalui (t. y. kontrolės tikslais), taip pat tais atvejais, kai pagal nacionalinę teisę su jais būtų galima susipažinti kitais tikslais. EDAPP ragina teisės aktų leidėją šiuo tikslu tekste įterpti patikslinimus.

28.

Pagal horizontaliojo reglamento 102 straipsnį valstybės narės perduoda Komisijai tam tikrų kategorijų informaciją, deklaracijas ir dokumentus. Tai taip pat apima „visų atliktų audito ir patikrų rezultatų suvestinę“ (102 straipsnio 1 dalies c punkto v papunktis). Šiuo atveju arba turėtų būti konkrečiai nurodyta, kad šiose suvestinėse nebus pateikiami jokie asmens duomenys, arba, jeigu asmens duomenys yra būtini, turėtų būti konkrečiai nurodyta, kokiu tikslu juos reikia perduoti.

29.

Horizontaliojo reglamento 70 straipsnio 1 dalyje nurodyta, kad kompiuterine duomenų baze sudaromos sąlygos „per valstybės narės kompetentingą instituciją“ gauti duomenis nuo 2000 m. ir sudaromos sąlygos „tiesiogiai ir greitai gauti“ duomenis, susijusius „su mažiausiai“ penkeriais ankstesniais kalendoriniais metais iš eilės (31).

30.

Teisių į išmokas identifikavimo ir registravimo sistema sudaromos sąlygos „tikrinti teises į išmokas ir atlikti jų bei pagalbos paraiškų ir žemės ūkio paskirties sklypų tapatumo nustatymo sistemos kryžmines patikras“. Horizontaliojo reglamento 72 straipsnio 2 dalyje nustatyta, kad duomenys turi būti prieinami „mažiausiai“ ketverius metus (32).

31.

Atsižvelgdamas į šias dvi sistemas EDAPP primena Direktyvos 95/46/EB 6 straipsnio 1 dalies e punktą ir Reglamento (EB) Nr. 45/2001 4 straipsnio 1 dalies e punktą, kuriuose nustatyta, kad duomenys turi būti saugomi tokia forma, kad duomenų subjektų tapatybes būtų galima nustatyti ne ilgiau, nei tai yra reikalinga tuo tikslu, dėl kurių duomenys buvo surinkti. Tai reiškia, kad turi būti apibrėžti ne tik trumpiausi, bet ir ilgiausi saugojimo terminai.

32.

Vieno BRO reglamento 157 straipsnio 1 dalies antroje pastraipoje nurodyta, kad duomenys gali būti perduodami trečiosioms šalims ir tarptautinėms organizacijoms. EDAPP norėtų priminti, kad asmens duomenų perdavimas šalims, kuriose neužtikrinamas tinkamas apsaugos lygis, gali būti pateisinamas tik konkrečiais atvejais, jeigu taikoma kuri nors Direktyvos 95/46/EB 26 straipsnyje arba Reglamento (EB) Nr. 45/2001 9 straipsnio 6 dalyje numatyta išimtis (pavyzdžiui, perdavimas yra būtinas arba teisiškai reikalaujama atsižvelgti į svarbų visuomenės interesą).

33.

Šiuo atveju turėtų būti tiksliai nurodytas konkretus perdavimo tikslas (pavyzdžiui, susijęs su tarptautinių susitarimų įgyvendinimu) (33). Atitinkamuose tarptautiniuose susitarimuose turėtų būti nustatytos konkrečios apsaugos priemonės, susijusios su privatumo ir asmens duomenų apsauga ir duomenų subjektų įgyvendinamomis šiomis teisėmis. Be to, tuo atveju, jeigu duomenis perduoda Komisija, perdavimui leidimą turėtų suteikti EDAPP (34).

34.

Horizontaliojo reglamento 70 konstatuojamojoje dalyje ir pasiūlymų aiškinamuosiuose memorandumuose nurodoma, kad šiuo metu, „atsižvelgiant į Teisingumo Teismo išreikštą prieštaravimą“Schecke byloje (35), rengiamos naujos informacijos apie paramos gavėjus skelbimo taisyklės.

35.

EDAPP norėtų priminti, kad informacijos apie paramos gavėjus skelbimo taisyklėse turėtų būti paisoma proporcingumo principo. Kaip patvirtino Teisingumo Teismas (36), reikia nustatyti tinkamą pusiausvyrą tarp paramos gavėjų pagrindinių teisių į privatumą ir duomenų apsaugą ir Europos Sąjungos interesų, susijusių su skaidrumo garantavimu ir patikimo valstybinių lėšų valdymo užtikrinimu.

36.

Tai taip pat yra svarbu kalbant apie vieno BRO reglamento 157 straipsnio 1 dalies antrą pastraipą, pagal kurią duomenys gali „būti viešai skelbiami su sąlyga, kad bus užtikrinta asmens duomenų apsauga ir teisėtas įmonių interesas apsaugoti savo verslo paslaptis“. 157 straipsnio 2 dalies d punkte ir 3 dalies c punkte Komisijai suteikiami įgaliojimai priimti deleguotus aktus dėl „informacijos skelbimo sąlygų ir būdų“ ir įgyvendinimo aktus dėl informacijos ir dokumentų viešo paskelbimo tvarkos.

37.

EDAPP palankiai vertina tai, kad skelbiant informaciją ir duomenis bus užtikrinama asmens duomenų apsauga. Tačiau svarbiausi elementai, pavyzdžiui, skelbimo tikslas, taip pat skelbtinų duomenų kategorijos, užuot juos nustačius įgyvendinimo arba deleguotuose aktuose, turėtų būti konkrečiai nurodomi pasiūlymuose.

38.

Duomenų subjektų teisės turėtų būti konkrečiai nurodytos, visų pirma informavimo teisė ir teisė susipažinti su duomenimis. Tai ypač svarbu kalbant apie horizontaliojo reglamento 81 straipsnį, pagal kurį galima tikrinti ne tik paramos gavėjų, bet ir tiekėjų, klientų, vežėjų ir kitų trečiųjų šalių komercinius dokumentus. Nors paramos gavėjai žino, kad jų duomenys yra tvarkomi, trečiosios šalys taip pat turėtų būti tinkamai informuojamos, kad jų duomenys galėtų būti naudojami kontrolės tikslais (pavyzdžiui, pateikiant privatumo pareiškimą, kai pradedami rinkti duomenys, ir informaciją visose susijusiose interneto svetainėse ir dokumentuose). Pareiga informuoti duomenų subjektus, įskaitant trečiąsias šalis, turėtų būti įtraukta į pasiūlymus.

39.

Turėtų būti numatytos saugumo priemonės, visų pirma kompiuterinėse duomenų bazėse ir sistemose. Turėtų būti atsižvelgta į atskaitomybės ir privatumo užtikrinimo projektuojant principus. Saugumo priemonių, susijusių su šiomis kompiuterinėmis duomenų bazėmis ir sistemomis, sąrašas galėtų būti nustatytas bent jau priimant deleguotus ir įgyvendinimo aktus. Tai svarbu dar ir dėl to, kad asmens duomenys, kurie tvarkomi atliekant patikras ir tikrinimus, gali apimti duomenis, susijusius su įtariamais pažeidimais.

40.

EDAPP palankiai vertina horizontaliojo reglamento 103 straipsnyje nustatytus reikalavimus dėl tikrinimų konfidencialumo ir profesinės paslapties atsižvelgiant į to paties reglamento 79–88 straipsnius.

41.

EDAPP mano, kad pasiūlymuose numatyti pagrindiniai tvarkymo operacijų aspektai ir būtinos apsaugos priemonės turėtų būti reglamentuojami ne deleguotuose ir įgyvendinimo aktuose, bet pagrindiniuose teisės aktų tekstuose, o siekiant padidinti teisinį tikrumą:

42.

Šie elementai gali būti išsamiau reglamentuojami deleguotuose arba įgyvendinimo aktuose. EDAPP tikisi, kad šiuo atveju su juo bus konsultuojamasi.

43.

Be to, saugumo priemonės turėtų būti numatytos bent jau įgyvendinimo arba deleguotuose aktuose, ypač dėl kompiuterinių duomenų bazių ir sistemų. Taip pat turėtų būti atsižvelgiama į atskaitomybės ir privatumo užtikrinimo projektuojant principus.

44.

Galiausiai, atsižvelgiant į tai, kad kai kuriais atvejais gali būti tvarkomi su (įtariamais) pažeidimais (pavyzdžiui, sukčiavimo atveju) susiję duomenys, gali prireikti kompetentingai nacionalinei duomenų apsaugos institucijai arba EDAPP atlikti išankstinę patikrą.