Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 52013XX0903(01)

    Europos duomenų apsaugos priežiūros pareigūno nuomonės dėl Komisijos komunikato „Nuotolinės kompiuterijos galimybių naudojimas Europoje“ santrauka

    OL C 253, 2013 9 3, p. 3–7 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
    OL C 253, 2013 9 3, p. 3–3 (HR)

    3.9.2013   

    LT

    Europos Sąjungos oficialusis leidinys

    C 253/3

    Europos duomenų apsaugos priežiūros pareigūno nuomonės dėl Komisijos komunikato „Nuotolinės kompiuterijos galimybių naudojimas Europoje“ santrauka

    (Visą šios nuomonės tekstą anglų, prancūzų ir vokiečių kalbomis galima rasti EDAPP interneto svetainėje http://www.edps.europa.eu)

    2013/C 253/03

    I.   Įvadas

    I.1.   Nuomonės tikslas

    1.

    Atsižvelgdamas į nuotolinės kompiuterijos svarbą informacinės visuomenės vystymuisi ir ES vykstančias politines diskusijas dėl nuotolinės kompiuterijos, EDAPP nusprendė savo iniciatyva priimti šią nuomonę.

    2.

    Ši nuomonė parengta atsižvelgiant į 2012 m. rugsėjo 27 d. Komisijos komunikatą „Nuotolinės kompiuterijos galimybių naudojimas Europoje“ (toliau – komunikatas) (1). Šiame komunikate nustatyti pagrindiniai veiksmai ir politikos priemonės, kurių bus imtasi siekiant paspartinti naudojimąsi nuotolinės kompiuterijos paslaugomis Europoje. Prieš priimant komunikatą su EDAPP buvo konsultuotasi neoficialiai ir jis pateikė neoficialias pastabas. EDAPP teigiamai vertina tai, kad komunikate atsižvelgta į kai kurias jo pastabas.

    3.

    Vis dėlto, atsižvelgiant į vykstančių diskusijų, per kurias aptariamas nuotolinės kompiuterijos ir duomenų apsaugos teisinės sistemos ryšys, apimtį ir svarbą, šioje nuomonėje neapsiribojama vien tik komunikate aptariamomis temomis.

    4.

    Nuomonėje daugiausia dėmesio visų pirma skiriama duomenų apsaugos uždaviniams, susijusiems su nuotoline kompiuterija, ir kaip siūlomu Duomenų apsaugos reglamentu (toliau – siūlomas reglamentas) (2) šiuos uždavinius būtų galima išspręsti. Nuomonėje taip pat pateikiamos pastabos dėl sričių, kuriose bus imamasi komunikate nurodytų tolesnių veiksmų.

    I.2.   Nuomonės pagrindas

    5.

    Atsižvelgiant į ES bendras politines diskusijas dėl nuotolinės kompiuterijos, toliau nurodoma ypač svarbi veikla ir dokumentai:

    2010 m. Komisija, priėmusi komunikatą dėl Europos skaitmeninės darbotvarkės (3), Europoje pradėjo viešas konsultacijas dėl nuotolinės kompiuterijos. Viešos konsultacijos vyko 2011 m. gegužės 16–rugpjūčio 31 d., o jos rezultatai paskelbti 2011 m. gruodžio 5 d. (4),

    2012 m. liepos 1 d. 29 straipsnio darbo grupė (5) priėmė nuomonę dėl nuotolinių kompiuterinių išteklių paslaugų (toliau – 29 straipsnio darbo grupės nuomonė) (6), kurioje nagrinėjama galiojančių duomenų apsaugos taisyklių, nustatytų Direktyvoje 95/46/EB, taikymo tvarka Europos ekonominėje erdvėje (EEE) veiklą vykdantiems nuotolinės kompiuterijos paslaugų teikėjams ir jų klientams (7),

    2012 m. spalio 26 d. 34-ojoje Tarptautinėje duomenų apsaugos ir privatumo priežiūros pareigūnų konferencijoje buvo priimta rezoliucija dėl nuotolinės kompiuterijos (8).

    I.3.   Komunikatas dėl nuotolinės kompiuterijos

    6.

    EDAPP teigiamai vertina komunikatą. Jame nustatyti trys konkretūs pagrindiniai veiksmai, kurių reikia imtis ES lygmeniu, siekiant padėti ir skatinti naudotis nuotolinės kompiuterijos paslaugomis Europoje:

    1 pagrindinis veiksmas – išspręsti standartų įvairovės problemą,

    2 pagrindinis veiksmas – parengti saugias ir sąžiningas sutarčių sąlygas,

    3 pagrindinis veiksmas – įsteigti Europos nuotolinės kompiuterijos partnerystę, kad pasitelkiant viešąjį sektorių būtų skatinamos inovacijos ir augimas.

    7.

    Be to, komunikate numatytos papildomos politikos priemonės, pvz., nuotolinės kompiuterijos naudojimą skatinančios priemonės, susijusios su parama moksliniams tyrimams ir technologinei plėtrai arba informuotumo didinimui. Komunikate taip pat pabrėžiamas poreikis stiprinti tarptautinį dialogą ir taip spręsti pagrindinius nuotolinės kompiuterijos paslaugų uždavinius, be kita ko, įskaitant duomenų apsaugos, teisėsaugos institucijų teisės susipažinti su duomenimis, duomenų saugumo ir tarpinių paslaugų teikėjų atsakomybės klausimus.

    8.

    Komunikate nurodoma, kad duomenų apsauga yra esminis elementas, padedantis užtikrinti sėkmingą nuotolinės kompiuterijos diegimą Europoje. Komunikate pažymima (9), kad siūlomu reglamentu sprendžiami įvairūs nuotolinės kompiuterijos paslaugų teikėjams ir klientams susirūpinimą keliantys klausimai (10).

    I.4.   Pagrindinė nuomonės tema ir struktūra

    9.

    Šia nuomone siekiama trijų tikslų.

    10.

    Pirmasis tikslas – atkreipti dėmesį į privatumo ir duomenų apsaugos svarbą šiuo metu vykstančiose diskusijose dėl nuotolinės kompiuterijos. Tiksliau tariant, nuomonėje pabrėžiama, kad duomenų apsaugos lygis nuotolinės kompiuterijos srityje negali būti mažesnis už tą, kurio reikalaujama bet kuriomis kitomis duomenų tvarkymo aplinkybėmis. Nuotolinės kompiuterijos praktika gali būti plėtojama ir taikoma teisėtai tik tuo atveju, jei ja užtikrinamas šis duomenų apsaugos lygis (žr. III.3 dalį). EDAPP nuomonėje atsižvelgiama į 29 straipsnio darbo grupės nuomonėje pateiktas rekomendacijas.

    11.

    Antrasis tikslas – atsižvelgiant į siūlomo Duomenų apsaugos reglamento turinį, išsamiau išnagrinėti pagrindinius duomenų apsaugos uždavinius, susijusius su nuotoline kompiuterija, visų pirma kliūtis, kurios atsiranda bandant aiškiai nustatyti įvairių dalyvių pareigas, ir apibrėžti duomenų valdytojo ir duomenų tvarkytojo sąvokas. Nuomonėje (iš esmės IV dalyje) nagrinėjama, kaip siūlomu reglamentu, atsižvelgiant į dabartinę jo formuluotę (11), būtų padedama užtikrinti aukštą duomenų apsaugos lygį teikiant nuotolinės kompiuterijos paslaugas. Todėl šioje nuomonėje EDAPP remiasi savo nuomonėje dėl duomenų apsaugos reformos paketo (toliau – EDAPP nuomonė dėl duomenų apsaugos reformos paketo) (12) išdėstytu požiūriu ir ją papildo konkrečiai nagrinėdamas nuotolinės kompiuterijos sritį. EDAPP pabrėžia, kad jo nuomonė dėl duomenų apsaugos reformos paketo visa apimtimi taikoma nuotolinės kompiuterijos paslaugoms ir ji turi būti laikoma dabartinės nuomonės pagrindu. Be to, kai kurie nuomonėje dėl duomenų apsaugos reformos paketo aptarti klausimai, pvz., EDAPP atlikta naujų nuostatų, susijusių su duomenų subjektų teisėmis, analizė (13), yra pakankamai aiškūs ir todėl jie nebus išsamiau nagrinėjami šioje nuomonėje.

    12.

    Trečiasis tikslas – įvardyti sritis, kuriose, atsižvelgiant į Komisijos komunikate pateiktą nuotolinės kompiuterijos strategiją, ES lygmeniu reikia imtis tolesnių su duomenų apsauga ir privatumu susijusių veiksmų. Šiems veiksmams, be kita ko, priskiriama: papildomų gairių nustatymas, standartų suvienodinimas, tolesnio rizikos vertinimo konkrečiuose sektoriuose (pvz., viešajame sektoriuje) atlikimas, standartinių sutarties sąlygų rengimas, tarptautinio dialogo nuotolinės kompiuterijos klausimais plėtra ir veiksmingų tarptautinio bendradarbiavimo priemonių įgyvendinimas (išsamiau aptariama V dalyje).

    13.

    Nuomonės struktūrą sudaro: II skyrius, kuriame bendrais bruožais aptariami pagrindiniai nuotolinės kompiuterijos požymiai ir susiję duomenų apsaugos uždaviniai; III skyrius, kuriame apžvelgiami svarbiausi galiojančios ES teisinės sistemos ir siūlomo reglamento aspektai; IV skyrius, kuriame nagrinėjama, kaip siūlomu reglamentu būtų padedama spręsti su nuotolinės kompiuterijos paslaugų naudojimu susijusius uždavinius; V skyrius, kuriame nagrinėjami Komisijos pasiūlymai atlikti tolesnius politikos patobulinimus ir nurodomos sritys, kuriose gali tekti imtis papildomos veiklos; VI skyrius, kuriame pateikiamos išvados.

    14.

    Iš esmės ši nuomonė taikoma visoms aplinkybėms, kuriomis naudojama nuotolinė kompiuterija, tačiau joje nenagrinėjami tie atvejai, kai nuotolinės kompiuterijos paslaugomis naudojamasi ES institucijose ir įstaigose, kurių priežiūrą pagal Reglamentą (EB) Nr. 45/2001 atlieka EDAPP. Šiuo klausimu EDAPP priims atskiras šioms institucijoms ir įstaigoms skirtas gaires.

    VI.   Išvados

    121.

    Kaip aprašyta komunikate, nuotolinė kompiuterija suteikia įmonėms, vartotojams ir viešajam sektoriui daug naujų galimybių valdyti duomenis naudojant nuotolinius išorės IT įrenginius. Tačiau nuotolinė kompiuterija taip pat kelia daugybę uždavinių, visų pirma susijusių su tinkamu šiuose įrenginiuose tvarkomų duomenų apsaugos lygmeniu.

    122.

    Dėl naudojimosi nuotolinės kompiuterijos paslaugomis kyla didelė rizika, kad nuotolinės kompiuterijos paslaugų teikėjų atsakomybė, susijusi su duomenų tvarkymu, gali išnykti. Taip gali atsitikti, jei ES duomenų apsaugos teisės aktų taikymo kriterijai nebus pakankamai aiškūs, o nuotolinės kompiuterijos paslaugų teikėjų vaidmuo ir atsakomybė bus apibrėžta arba suprantama per siaurai, arba nebus veiksmingai įgyvendinama. EDAPP pabrėžia, kad duomenų apsaugos standartai, kurių turi būti laikomasi naudojantis nuotolinės kompiuterijos paslaugomis, jokiais būdais negali būti mažiau griežti už įprastoms duomenų tvarkymo operacijoms taikomus standartus.

    123.

    Šiuo atžvilgiu siūlomame Duomenų apsaugos reglamente, atsižvelgiant į dabartinę jo formuluotę, būtų pateikta nemažai paaiškinimų ir priemonių, kurios padėtų užtikrinti, kad nuotolinės kompiuterijos paslaugų teikėjai, siūlydami savo paslaugas Europoje įsisteigusiems klientams, laikytųsi tinkamų duomenų apsaugos standartų, visų pirma:

    3 straipsnyje būtų patikslinta teritorinė ES duomenų apsaugos taisyklių taikymo sritis, be to, ji būtų praplėsta įtraukiant nuotolinės kompiuterijos paslaugas,

    4 straipsnio 5 dalyje būtų nustatytas naujas kontrolės aspektas, t. y. „sąlygos“. Šios sąlygos atitiktų naujausias tendencijas, dėl kurių, atsižvelgiant į techniškai sudėtingas IT sistemas, kuriomis grindžiamas nuotolinės kompiuterijos paslaugų teikimas, būtina plėsti sąrašą aplinkybių, kuriomis nuotolinės kompiuterijos paslaugų teikėjui gali būti suteikiamas duomenų valdytojos statusas. Tai geriau atspindėtų tikrąjį poveikio duomenų tvarkymo operacijoms lygmenį,

    siūlomame reglamente nustačius konkrečias pareigas, pvz., susijusias su pritaikytąja duomenų apsauga ir standartizuotąja duomenų apsauga (23 straipsnis), duomenų saugumo pažeidimo pranešimais (31 ir 32 straipsniai) ir duomenų apsaugos poveikio vertinimais (33 straipsnis), padidėtų duomenų valdytojų ir duomenų tvarkytojų atsakomybė ir atskaitomybė. Be to, siūlomame reglamente duomenų valdytojams ir duomenų tvarkytojams būtų nustatyta pareiga įdiegti mechanizmus, kuriais būtų galima patvirtinti įgyvendinamų duomenų apsaugos priemonių veiksmingumą (22 straipsnis),

    siūlomo reglamento 42 ir 43 straipsniais būtų nustatyta lankstesnė naudojimosi tarptautinio duomenų perdavimo mechanizmais tvarka, padedanti nuotolinės kompiuterijos klientams ir paslaugų teikėjams nustatyti tinkamas duomenų apsaugos priemones tais atvejais, kai asmens duomenys perduodami į trečiosiose šalyse esančius duomenų centrus arba serverius,

    siūlomo reglamento 30, 31 ir 32 straipsniuose būtų paaiškinamos duomenų valdytojų ir duomenų tvarkytojų pareigos, susijusios su duomenų tvarkymo saugumu ir reikalavimais informacijai duomenų saugumo pažeidimų atveju. Šiuose straipsniuose nustatyti išsamūs ir bendradarbiavimu pagrįsti saugumo valdymo principai, kurių turi laikytis įvairūs nuotolinės kompiuterijos srities specialistai,

    siūlomo reglamento 55–63 straipsniais būtų sustiprintas priežiūros institucijų bendradarbiavimas ir jų atliekama koordinuota tarpvalstybinių duomenų tvarkymo operacijų priežiūra, kuri yra ypač svarbi nuotolinės kompiuterijos srityje.

    124.

    Vis dėlto EDAPP siūlo atsižvelgti į nuotolinės kompiuterijos paslaugų specifiką ir siūlomame reglamente pateikti papildomus paaiškinimus šiais klausimais:

    dėl siūlomo reglamento teritorinės taikymo srities, iš dalies pakeisti 3 straipsnio 2 dalies a punktą taip: „su asmens duomenų tvarkymu susijusių prekių arba paslaugų siūlymu tokiems duomenų subjektams Sąjungoje“, arba pasirinktinai įterpti naują konstatuojamąją dalį ir joje konkrečiai nurodyti, kad siūlomo reglamento teritorinė taikymo sritis taip pat apima duomenų subjektų asmens duomenų tvarkymą Sąjungoje, kai tokius duomenis tvarko ne ES valstybėje narėje įsisteigę duomenų valdytojai, teikiantys paslaugas ES įsisteigusiems juridiniams asmenims,

    įterpti aiškią sąvokos „perdavimas“ apibrėžtį, kaip nurodyta EDAPP nuomonėje dėl duomenų apsaugos reformos paketo,

    įterpti konkrečią nuostatą, paaiškinančią sąlygas, kuriomis EEE nepriklausančių šalių teisėsaugos institucijoms būtų leidžiama susipažinti su duomenimis, saugomais įrenginiuose, kuriuos naudojant teikiamos nuotolinės kompiuterijos paslaugos. Tokioje nuostatoje taip pat gali būti numatyta, kad prašymo gavėjas konkrečiai nurodytais atvejais įsipareigoja informuoti ir konsultuotis su kompetentinga ES priežiūros institucija.

    125.

    EDAPP taip pat pabrėžia, kad Komisija ir (arba) priežiūros institucijos (visų pirma dalyvaudamos būsimoje Europos duomenų apsaugos valdybos veikloje) turės parengti papildomas gaires, kuriomis būtų:

    paaiškinama, kokie mechanizmai turėtų būti nustatomi siekiant užtikrinti, kad būtų tikrinamas praktikoje taikomų duomenų apsaugos priemonių veiksmingumas,

    padedama duomenų tvarkytojams taikyti įmonei privalomas taisykles ir paaiškinama atitikties taikomiems reikalavimams užtikrinimo tvarka,

    nurodoma geriausia patirtis, susijusi su tokiais klausimais, kaip antai, duomenų valdytojų ir (arba) duomenų tvarkytojų atsakomybė, tinkamas duomenų saugojimas nuotolinės kompiuterijos srityje, duomenų perkeliamumas ir duomenų subjektų teisių įgyvendinimas.

    126.

    Be to, EDAPP pripažįsta, kad nuotolinės kompiuterijos sektoriaus įmonių parengti ir atitinkamų priežiūros institucijų patvirtinti elgesio kodeksai galėtų būti naudinga priemonė, padedanti užtikrinti atitiktį teisės aktams ir didinti įvairių dalyvių tarpusavio pasitikėjimą.

    127.

    EDAPP pritaria Komisijos, konsultuojantis su priežiūros institucijomis, rengiamoms standartinėms sutarčių sąlygoms, susijusioms su nuotolinės kompiuterijos paslaugų teikimu, kuriose atsižvelgiama į duomenų apsaugos reikalavimus, visų pirma pritaria pastangoms:

    rengti pavyzdines sutarčių sąlygas, kurios bus įtrauktos į nuotolinės kompiuterijos paslaugų teikimo komercines sąlygas,

    rengti viešajam sektoriui taikomas bendras viešųjų pirkimų sąlygas ir reikalavimus, kuriuose atsižvelgiama į tvarkomų duomenų opumą,

    toliau tobulinti nuotolinės kompiuterijos srityje naudojamus tarptautinio duomenų perdavimo mechanizmus, visų pirma atnaujinant galiojančias standartines sutarčių sąlygas ir nustatant standartines sutarčių sąlygas, taikomas tuo atveju, kai ES įsisteigę duomenų tvarkytojai perduoda duomenis už ES ribų įsisteigusiems duomenų tvarkytojams.

    128.

    EDAPP pabrėžia, kad rengiant standartus ir sertifikavimo schemas reikia tinkamai atsižvelgti į duomenų apsaugos reikalavimus, visų pirma:

    rengiant standartus taikyti pritaikytosios duomenų apsaugos ir standartizuotosios duomenų apsaugos principus,

    į standartų struktūrą įtraukti duomenų apsaugos reikalavimus, pvz., tikslo ribojimą ir duomenų saugojimo ribojimą,

    nustatyti paslaugų teikėjams pareigas teikti savo klientams informaciją, kuri reikalinga tinkamam rizikos vertinimui atlikti, informuoti apie saugumo priemones, kurias jie įgyvendino, ir pranešti apie saugumo incidentus.

    129.

    Galiausiai EDAPP pabrėžia poreikį nuotolinės kompiuterijos keliamus uždavinius spręsti tarptautiniu lygmeniu. Jis ragina Komisiją pradėti tarptautinį dialogą nuotolinės kompiuterijos klausimais, įskaitant teisėsaugos institucijų jurisdikciją ir jų teisę susipažinti su duomenimis, ir mano, kad daugumą šių klausimų būtų galima išspręsti sudarant įvairius tarptautinius arba dvišalius susitarimus, pvz., savitarpio pagalbos susitarimus, taip pat prekybos susitarimus. Pasauliniai standartai turėtų būti rengiami tarptautiniu lygmeniu, kad juose būtų nustatomos būtinos sąlygos ir principai, susiję su teisėsaugos institucijų teise susipažinti su duomenimis. Jis taip pat remia priežiūros institucijų pastangas kuriant veiksmingus tarptautinio bendradarbiavimo mechanizmus, visų pirma sprendžiant su nuotoline kompiuterija susijusius klausimus.

    Priimta Briuselyje 2012 m. lapkričio 16 d.

    Peter HUSTINX

    Europos duomenų apsaugos priežiūros pareigūnas

    (1)  COM(2012) 529 final.

    (2)  COM(2012) 11 final.

    (3)  COM(2010) 245 galutinis.

    (4)  http://ec.europa.eu/information_society/activities/cloudcomputing/docs/ccconsultationfinalreport.pdf

    (5)  29 straipsnio darbo grupė yra patariamasis organas, įsteigtas pagal Direktyvos 95/46/EB 29 straipsnį. Jį sudaro nacionalinių priežiūros institucijų ir EDAPP atstovai ir Komisijos atstovas.

    (6)  29 straipsnio darbo grupės nuomonė 05/2012 dėl nuotolinių kompiuterinių išteklių paslaugų. Nuomonę galima rasti adresu: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_en.pdf

    (7)  Be to, kelių valstybių narių, pvz., Italijos, Švedijos, Danijos, Vokietijos, Prancūzijos ir Jungtinės Karalystės, nacionalinės duomenų apsaugos institucijos priėmė savo rekomendacijas dėl nuotolinės kompiuterijos.

    (8)  2012 m. spalio 26 d. Urugvajuje vykusioje 34-ojoje Tarptautinėje duomenų apsaugos ir privatumo priežiūros pareigūnų konferencijoje priimta rezoliucija dėl nuotolinės kompiuterijos.

    (9)  Žr. komunikato skyrių „Skaitmeninės darbotvarkės veiksmai: skaitmeninio pasitikėjimo kūrimas“, p. 8.

    (10)  Šioje nuomonėje vartojama sąvoka „nuotolinės kompiuterijos klientai“ paprastai reiškia vartotojus, veikiančius kaip juridinius asmenis, ir vartotojus, veikiančius kaip pavienius galutinius naudotojus.

    (11)  Reikėtų atsižvelgti į tai, kad pagal įprastą teisėkūros procedūrą pasiūlymas dėl reglamento šiuo metu aptariamas Taryboje ir Europos Parlamente.

    (12)  Nuomonę galima rasti svetainėje: http://www.edps.europa.eu

    (13)  Žr. EDAPP nuomonę, visų pirma 140–158 dalis.

    Top