EUROPOS KOMISIJA

Briuselis, 2018 01 24

COM(2018) 43 final

KOMISIJOS KOMUNIKATAS EUROPOS PARLAMENTUI IR TARYBAI

FMT:BoldDidesnė apsauga, naujos galimybės. Komisijos gairės dėl tiesioginio Bendrojo duomenų apsaugos reglamento taikymo nuo 2018 m. gegužės 25 d./FMT

Komisijos komunikatas Europos Parlamentui ir Tarybai

Didesnė apsauga, naujos galimybės. Komisijos gairės dėl tiesioginio Bendrojo duomenų apsaugos reglamento taikymo nuo 2018 m. gegužės 25 d.

Įvadas

2016 m. balandžio 6 d. ES susitarė iš esmės pertvarkyti duomenų apsaugos sistemą – priimtas duomenų apsaugos reformos dokumentų rinkinys, kurį sudaro Bendrasis duomenų apsaugos reglamentas (BDAR, toliau – Reglamentas)  1 , kuriuo pakeičiama prieš dvidešimt metų priimta Direktyva 95/46/EC 2 (toliau – Duomenų apsaugos direktyva), ir Policijos direktyva 3 . 2018 m. gegužės 25 d., praėjus dvejiems metams nuo priėmimo ir įsigaliojimo 4 , visoje ES bus pradėta tiesiogiai taikyti naujoji duomenų apsaugos priemonė – Bendrasis duomenų apsaugos reglamentas (toliau – Reglamentas).

Naujuoju reglamentu bus stiprinama asmens teisė į asmens duomenų apsaugą, atsižvelgiant į tai, kad duomenų apsauga Europos Sąjungoje laikoma pagrindine teise 5 .

Tiesiogiai valstybių narių teisinei sistemai taikomas vienas taisyklių rinkinys padės užtikrinti laisvą asmens duomenų judėjimą tarp ES valstybių narių ir sustiprinti vartotojų pasitikėjimą bei saugumą – du elementus, be kurių neįmanoma tikra skaitmeninė bendroji rinka. Tokiu būdu taikant Reglamentą ir aiškesnes tarptautinio duomenų perdavimo taisykles įmonėms ir bendrovėms, visų pirma mažesnėms įmonėms, atsivers naujų galimybių.

Nors naujoji duomenų apsaugos sistema grindžiama galiojančiais teisės aktais, jos poveikis bus labai platus ir tam tikrus aspektus reikės iš esmės pakoreguoti. Dėl šios priežasties numatytas 2 metų pereinamasis laikotarpis – iki 2018 m. gegužės 25 d., kad valstybės narės ir suinteresuotieji subjektai turėtų pakankamai laiko iki galo pasirengti naujai teisinei sistemai.

Per pastaruosius dvejus metus visi suinteresuotieji subjektai – nacionalinės administravimo įstaigos, nacionalinės duomenų apsaugos institucijos, duomenų valdytojai ir tvarkytojai, – dalyvavo įvairioje veikloje, kad suprastų dėl naujos duomenų apsaugos sistemos atsirandančių pokyčių svarbą ir apimtį ir kad visi dalyviai būtų pasirengę jos taikymui. Artėjant taikymo datai, gegužės 25 d., Komisija mano, kad būtina apžvelgti nuveiktus darbus ir aptarti būsimus veiksmus, kurie galėtų padėti užtikrinti, kad būtų įdiegti visi elementai, reikalingi sklandžiam naujosios sistemos įsigaliojimui 6 .

Šiame komunikate:

·dar kartą apžvelgiamos pagrindinės naujuoju ES duomenų apsaugos teisės aktu numatytos naujovės ir atveriamos galimybės;

·aptariami iki šiol ES lygmeniu atlikti parengiamieji darbai;

·nurodoma, ką Europos Komisijai, nacionalinėms duomenų apsaugos institucijoms ir nacionalinėms administravimo įstaigoms dar reikia nuveikti, kad pasirengimas būtų sėkmingai užbaigtas;

·apžvelgiamos priemonės, kurių Komisija ketina imtis ateinančiais mėnesiais.

Be to, tuo pačiu metu, kai bus priimtas šis komunikatas, pradės veikti Komisijos sukurta internetinė priemonė, padėsianti suinteresuotiesiems subjektams pasirengti taikyti Reglamentą ir, talkinant Atstovybių biurams, rengti informavimo kampaniją visose valstybėse narėse.

1.NAUJOJI ES DUOMENŲ APSAUGOS SISTEMA. DIDESNĖ APSAUGA IR NAUJOS GALIMYBĖS

Reglamentu ir toliau laikomasi Duomenų apsaugos direktyvoje įtvirtinto požiūrio, tačiau remiantis 20 metų ES duomenų apsaugos teisės aktų įgyvendinimo patirtimi ir susijusia teismo praktika, išaiškinamos ir atnaujinamos duomenų apsaugos taisyklės; įtraukiama tam tikrų naujų elementų, kuriais stiprinamos asmenų teisės, o įmonėms bei verslui atveriama naujų galimybių, visų pirma:

·suderinta teisinė sistema, kuria užtikrinamas ES skaitmeninei bendrajai rinkai naudingas vienodas taisyklių taikymas. Tai reiškia, kad piliečiams ir įmonėms bus taikomas tas pats taisyklių rinkinys. Taip bus išspręsta dabartinė ES valstybių narių direktyvos taisyklių skirtingo įgyvendinimo problema. Siekiant vienodo ir nuoseklaus taikymo visose valstybėse narėse, sukurtas vieno langelio mechanizmas;

·vienodos sąlygos visoms ES rinkoje veiklą vykdančioms įmonėms. Reglamentu reikalaujama, kad už ES ribų įsisteigusios įmonės, siūlančios įsigyti su asmens duomenimis susijusių prekių ar paslaugų arba stebinčios asmenų elgesį Sąjungoje, taikytų tokias pačias taisykles, kokias taiko ES įsisteigusios įmonės. Bendrojoje rinkoje veiklą vykdančios už ES ribų įsisteigusios įmonės tam tikromis aplinkybėmis turi paskirti atstovą ES, kad piliečiai ir institucijos, užuot kreipęsi į užsienyje įsisteigusią įmonę, galėtų kreiptis į atstovą, arba galėtų kreiptis į juos abu;

·pritaikytosios ir standartizuotosios duomenų apsaugos principai, kuriais skatinama nuo pat pradžių novatoriškai spręsti duomenų apsaugos klausimus;

·didesnės asmenų teisės. Reglamentu nustatomi nauji skaidrumo reikalavimai; stiprinama teisė į informaciją, teisė susipažinti su duomenimis ir teisė reikalauti ištrinti duomenis („teisė būti pamirštam“); tyla arba neveikimas nebebus laikomi galiojančiu sutikimu, nes reikalaujama, kad sutikimas būtų išreikštas vienareikšmiais veiksmais; užtikrinama vaikų apsauga jiems naudojantis internetu;

·daugiau galimybių asmenims kontroliuoti asmens duomenis. Reglamentu įtvirtinama nauja duomenų perkeliamumo teisė, kuria naudodamiesi piliečiai gali prašyti bendrovės arba organizacijos jiems sugrąžinti suteiktus asmens duomenis, kurie pateikti jų sutikimu arba vykdant sutartį; taip pat leidžiama, kai tai techniškai įmanoma, tokius asmens duomenis tiesiogiai persiųsti kitai bendrovei ar organizacijai. Numačius galimybę asmens duomenis iš vienos bendrovės ar organizacijos tiesiogiai persiųsti kitoms bendrovėms ar organizacijoms, tokia teise taip pat bus remiamas laisvas asmens duomenų judėjimas, užkertamas kelias asmens duomenų „blokavimui“ ir skatinama bendrovių tarpusavio konkurencija. Sudarius galimybę piliečiams lengviau keisti paslaugų teikėjus bus skatinama plėtoti naujas paslaugas, kaip numatyta skaitmeninės bendrosios rinkos strategijoje;

·didesnė apsauga nuo duomenų saugumo pažeidimų. Reglamente nustatytos išsamios taisyklės dėl asmens duomenų saugumo pažeidimų. Jame aiškiai apibrėžta asmens duomenų saugumo pažeidimo sąvoka, nustatyta pareiga informuoti priežiūros instituciją apie asmens duomenų saugumo pažeidimą ne vėliau kaip per 72 valandas, jeigu toks asmens duomenų saugumo pažeidimas gali kelti pavojų fizinių asmenų teisėms ir laisvėms. Tam tikromis aplinkybėmis įpareigojama pranešti asmeniui apie jo asmens duomenų saugumo pažeidimą. Taip labai sustiprinama apsauga, palyginti su dabartine padėtimi ES, kai tik elektroninių ryšių paslaugų teikėjai, esminių paslaugų operatoriai ir skaitmeninių paslaugų teikėjai privalo pranešti apie asmens duomenų saugumo pažeidimus atitinkamai pagal Direktyvą dėl privatumo ir elektroninių ryšių (E. privatumo direktyvą) 7 ir Direktyvą dėl tinklų ir informacinių sistemų saugumo 8 ;

·Reglamentu visoms duomenų apsaugos institucijoms suteikiamas įgaliojimas duomenų valdytojams ir duomenų tvarkytojams skirti baudas. Šiuo metu ne visos institucijos turi tokį įgaliojimą. Taip bus galima tinkamiau įgyvendinti taisykles. Baudos gali siekti iki 20 mln. EUR arba, įmonės atveju, sudaryti 4 proc. pasaulinės metinės apyvartos;

·dėl vienareikšmiškų nuostatų dėl atsakomybės (atskaitomybės principas) asmens duomenis tvarkantiems valdytojams ir tvarkytojams suteikiama daugiau lankstumo. Reglamentu nuo pranešimo sistemos pereinama prie atskaitomybės principo. Šiuo principu vadovaujamasi nustatant skirtingo masto prievoles, atsižvelgiant į riziką (pvz., ar yra duomenų apsaugos pareigūnas, ar nustatyta prievolė atlikti poveikio duomenų apsaugai vertinimus). Sukurta nauja priemonė, padėsianti įvertinti riziką prieš pradedant tvarkyti duomenis – poveikio duomenų apsaugai vertinimas. Jį reikalaujama atlikti, jeigu tvarkant asmens duomenis gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms. Reglamente konkrečiai minimos trys situacijos: kai bendrovė sistemingai ir išsamiai vertina tam tikrus su fiziniu asmeniu susijusius asmeninius aspektus (įskaitant profiliavimą), kai dideliu mastu tvarkomi neskelbtini duomenys arba sistemingai dideliu mastu stebimos viešos vietos. Nacionalinės duomenų apsaugos institucijos turės viešai skelbti atvejų, kai reikalaujama atlikti poveikio duomenų apsaugai vertinimą, sąrašus 9 ;

·daugiau aiškumo dėl duomenų tvarkytojų pareigų ir duomenų valdytojų atsakomybės pasirenkant duomenų tvarkytoją;

·šiuolaikiška valdymo sistema, padedanti užtikrinti, kad taisyklės būtų taikomos nuosekliau ir griežčiau. Tai apima suderintus duomenų apsaugos institucijų įgaliojimus, įskaitant susijusius su baudomis, ir naujus šių institucijų bendradarbiavimo tinkle mechanizmus;

·Reglamentu garantuojama asmens duomenų apsauga net už ES ribų, taip užtikrinant aukšto lygio apsaugą 10 . Nors Reglamentu nustatyta tarptautinių perdavimų taisyklių visuma iš esmės tokia pati, kaip 1995 m. Direktyvoje, atlikus reformą išaiškintas ir supaprastintas jų naudojimas ir nustatytos naujos perdavimo priemonės. Kalbant apie sprendimus dėl tinkamumo, Reglamentu nustatyti tikslūs ir išsamūs elementai, į kuriuos Komisija turi atsižvelgti vertindama, ar užsienio sistema tinkamai užtikrinama asmens duomenų apsauga. Reglamentu taip pat įtvirtinamos ir išplečiamos įvairios alternatyvios perdavimo priemonės, kaip antai standartinės sutarčių sąlygos ir įmonei privalomos taisyklės.

Priėmus persvarstytą reglamentą dėl institucijų, įstaigų, tarnybų ir agentūrų tvarkomų duomenų 11 ir Reglamentą dėl privatumo ir elektroninių ryšių (E. Privatumo reglamentą) 12 , dėl kurių šiuo metu vyksta derybos, bus užtikrinta, kad ES galiotų griežtos ir visapusiškos duomenų apsaugos taisyklės 13 .

2.Iki šiol ES lygmeniu atlikti parengiamieji darbai

Siekiant tinkamai taikyti Reglamentą, būtinas visų su duomenų apsauga susijusių subjektų – valstybių narių, įskaitant viešojo administravimo institucijas, nacionalinių duomenų apsaugos institucijų, įmonių, asmens duomenis tvarkančių organizacijų, asmenų ir Komisijos – bendradarbiavimas.

2.1 Europos Komisijos veikla

Netrukus po to, kai 2016 m. viduryje įsigaliojo Reglamentas, Komisija palaikė ryšius su valstybių narių valdžios institucijomis, duomenų apsaugos institucijomis ir suinteresuotaisiais subjektais, kad būtų pasirengta Reglamento taikymui, ir teikė paramą bei konsultacijas.

a) Parama valstybėms narėms ir jų institucijoms

Komisija labai glaudžiai bendradarbiavo su valstybėmis narėmis remdama jų darbą pereinamuoju laikotarpiu, kad būtų užtikrintas kuo didesnis nuoseklumas. Tuo tikslu Komisija sudarė ekspertų grupę, padedančią valstybėms narėms pasirengti Reglamento taikymui. Jau 13 kartų posėdžiavusi grupė veikia kaip forumas, kuriame valstybės narės gali dalytis savo patirtimi ir žiniomis 14 . Komisija taip pat dalyvavo dvišaliuose susitikimuose su valstybių narių institucijomis, kad aptartų nacionaliniu lygmeniu kylančius klausimus.

b) Parama atskiroms duomenų apsaugos institucijoms ir Europos duomenų apsaugos valdybos sukūrimas

Komisija aktyviai rėmė pagal 29 straipsnį sudarytos darbo grupės darbą, taip pat siekdama, kad Europos duomenų apsaugos valdyba sklandžiai perimtų jos darbą 15 .

c) Tarptautinis darbas

Reglamentu bus toliau stiprinamas ES gebėjimas aktyviai propaguoti duomenų apsaugos vertybes ir lengvinti tarptautinį duomenų judėjimą skatinant teisinių sistemą konvergenciją visame pasaulyje 16 . ES duomenų apsaugos taisyklės vis dažniau tarptautiniu lygmeniu laikomos aukščiausiais duomenų apsaugos standartais pasaulyje. Šiuo metu taip pat atnaujinama Europos Tarybos konvencija Nr. 108 – vienintelė teisiškai privaloma daugiašalė priemonė asmens duomenų apsaugos srityje. Komisija deda pastangas, kad ji atitiktų tuos pačius principus, kurie įtvirtinti naujomis ES duomenų apsaugos taisyklėmis, ir kad taip būtų sukurti vienodi aukšti duomenų apsaugos standartai. Komisija aktyviai skatins kuo greičiau priimti atnaujintą Konvencijos tekstą, kad ES taptų jos šalimi 17 . Komisija ragina ES nepriklausančias šalis ratifikuoti Europos Tarybos konvenciją Nr. 108 ir jos papildomą protokolą.

Be to, kelios artimiausiosios kaimynystės, Azijos, Lotynų Amerikos ir Afrikos šalys, nepriklausančios ES, ir regioninės organizacijos, siekdamos išnaudoti pasaulinės skaitmeninės ekonomikos teikiamas galimybes ir patenkinti vis didesnį poreikį užtikrinti didesnę duomenų saugą ir privatumo apsaugą, priima naujus arba atnaujina esamus duomenų apsaugos teisės aktus. Nors skiriasi požiūris, kurio šalys laikosi, ir teisės aktų išsamumo lygis, esama požymių, kad Reglamentas vis dažniau laikomas atspirties tašku ir įkvėpimo šaltiniu 18 .

Šiomis aplinkybėmis Komisija tęsia tarptautinį darbą vadovaudamasi 2017 m. sausio mėn. Komunikatu 19 ir aktyviai palaiko ryšius su pagrindiniais prekybos partneriais, visų pirma Rytų ir Pietryčių Azijoje ir Lotynų Amerikoje, kad būtų išnagrinėta galimybė priimti sprendimus dėl tinkamumo 20 .

Visų pirma Komisija bendradarbiauja su Japonija, kad 2018 m. pradžioje abi pusės vienu metu rastų sprendimą dėl tinkamo lygio apsaugos, kaip Pirmininkas J.-C. Junckeris ir Ministras Pirmininkas Abe paskelbė 2017 m. liepos 6 d. bendroje deklaracijoje 21 . Derybos dėl galimo sprendimo dėl tinkamumo taip pat pradėtos su Pietų Korėja. Priėmus sprendimą dėl tinkamumo būtų užtikrintas laisvas duomenų judėjimas atitinkamose trečiosiose šalyse, drauge garantuojant aukštą iš ES į tas šalis perduodamų asmens duomenų apsaugos lygį.

Tuo pačiu metu Komisija bendradarbiauja su suinteresuotaisiais subjektais, kad būtų iki galo išnaudotos BDAR nustatytų tarptautinių duomenų perdavimo priemonių rinkinio galimybės siekiant parengti alternatyvius duomenų perdavimo mechanizmus, kuriais būtų atsižvelgiama į individualius konkrečių sektorių ir (arba) ekonominės veiklos vykdytojų poreikius 22 .

d) Bendradarbiavimas su suinteresuotaisiais subjektais

Komisija surengė keletą susitikimų su suinteresuotaisiais subjektais 23 . Pirmąjį 2018 m. ketvirtį planuojama surengti naują vartotojams skirtą praktinį seminarą. Taip pat vyksta konkretiems sektoriams, pvz., mokslinių tyrimų ir finansinių paslaugų sektoriams, skirtos specialios diskusijos.

Komisija taip pat sudarė įvairių suinteresuotųjų subjektų grupę Reglamento įgyvendinimo klausimais, kurią sudaro pilietinės visuomenės ir verslo atstovai, akademikai ir srities specialistai. Ši grupė konsultuos Komisiją, kaip visų pirma užtikrinti tinkamą suinteresuotųjų subjektų informuotumą apie Reglamentą 24 .

Galiausiai Europos Komisija, įgyvendinama Bendrąją mokslinių tyrimų ir inovacijų programą „Horizontas 2020“ 25 , finansavo veiksmus, kad būtų sukurtos priemonės, padėsiančios veiksmingai taikyti su sutikimu susijusias Reglamento taisykles, ir parengti duomenų analizės metodai, kuriais išsaugomas privatumas, pvz., daugiašalis duomenų apdorojimas ir homomorfinis šifravimas.

2.2 Pagal 29 straipsnį sudarytos darbo grupės ir (arba) Europos duomenų apsaugos valdybos veiksmai

Pagal 29 straipsnį sudarytai darbo grupei, kuriai priklauso visos nacionalinės duomenų apsaugos institucijos, įskaitant Europos duomenų apsaugos priežiūros pareigūną, tenka viena svarbiausių užduočių rengiantis Reglamento taikymui – parengti bendrovėms ir kitiems suinteresuotiesiems subjektams skirtas gaires. Nacionalinės duomenų apsaugos institucijos, atsakingos už Reglamento vykdymo užtikrinimą ir tiesioginių ryšių su suinteresuotaisiais subjektais palaikymą, gali geriausiai užtikrinti papildomą teisinį tikrumą aiškinant Reglamentą.

Pagal 29 straipsnį sudaryta darbo grupė atnaujina dabartines nuomones, įskaitant nuomones dėl priemonių, kuriomis duomenys perduodami ES nepriklausančioms šalims.

Kadangi veiklos vykdytojams svarbu vadovautis nuosekliu ir vienodu gairių rinkiniu, dabartinės nacionalinės gairės turi būti arba panaikintos, arba suderintos su pagal 29 straipsnį sudarytos darbo grupės ir (arba) Europos duomenų apsaugos valdybos priimtomis gairėmis ta pačia tema.

Komisija mano, jog prieš priimant galutinį gairių variantą labai svarbu dėl jų surengti viešas konsultacijas. Labai svarbu, kad suinteresuotieji subjektai pateiktų kuo tikslesnes ir konkretesnes pastabas, nes tai padės nustatyti geriausios praktikos pavyzdžius ir atkreipti pagal 29 straipsnį sudarytos grupės dėmesį į sektorių ypatumus. Galutinė atsakomybė už tas gaires teks pagal 29 straipsnį sudarytai darbo grupei ir būsimai Europos duomenų apsaugos valdybai, o duomenų apsaugos institucijos gairėmis vadovausis užtikrindamos Reglamento vykdymą.

Turėtų būti numatyta galimybė iš dalies keisti gaires atsižvelgiant į pokyčius ir praktikos pavyzdžius. Todėl svarbu, kad duomenų apsaugos institucijos skatintų dialogo palaikymo su visais suinteresuotaisiais subjektais, įskaitant įmones, kultūrą.

Svarbu priminti, kad tais atvejais, kai kyla klausimų dėl Reglamento aiškinimo ir taikymo, galutinį Reglamento aiškinimą teiks nacionaliniai ir ES teismai.

3.Sėkmingam pasirengimui užbaigti būtini veiksmai

3.1 Valstybės narės turi užbaigti kurti nacionalinę teisinę sistemą

Reglamentas tiesiogiai taikomas visose valstybėse narėse 27 . Tai reiškia, kad jis įsigalioja ir yra taikomas nepriklausomai nuo bet kokių nacionalinių įstatymų priemonių: piliečiai, įmonės, viešojo administravimo institucijos ir kitos asmens duomenis tvarkančios organizacijos gali tiesiogiai remtis Reglamento nuostatomis. Tačiau pagal Reglamentą valstybės narės turi imtis būtinų veiksmų, kad priderintų savo teisės aktus juos panaikindamos arba iš dalies pakeisdamos, jos taip pat turi įsteigti nacionalines duomenų apsaugos institucijas 28 , pasirinkti akreditacijos įstaigą 29 ir nustatyti taisykles, kuriomis saviraiškos laisvės užtikrinimas būtų suderintas su duomenų apsauga 30 .

Be to, Reglamentu valstybėms narėms suteikiama galimybė konkrečiau nustatyti, kaip duomenų apsaugos taisyklės bus taikomos konkrečiose srityse: viešajame sektoriuje 31 , darbo ir socialinės apsaugos 32 , profilaktinės arba darbo medicinos, visuomenės sveikatos 33 , archyvavimo tikslais viešojo intereso labui, mokslinių ar istorinių tyrimų tikslais arba statistiniais tikslais 34 , nacionalinio asmens identifikavimo numerio 35 , visuomenės teisės susipažinti su oficialiais dokumentais 36 ir prievolės saugoti paslaptį 37 . Be to, Reglamentu valstybėms narėms leidžiama išlaikyti arba nustatyti papildomas sąlygas, įskaitant apribojimus, taikomas genetinių duomenų, biometrinių duomenų ar sveikatos duomenų tvarkymui 38 .

Valstybių narių veiksmai šioje srityje yra grindžiami dviem elementais:

1.Chartijos 8 straipsniu, o tai reiškia, kad konkretūs nacionaliniai teisės aktai turi atitikti Chartijos 8 straipsnio (ir Reglamento, kuris grindžiamas Chartijos 8 straipsniu), reikalavimus, ir

2.SESV 16 straipsnio 2 dalimi, pagal kurią nacionalinės teisės aktais negali būti varžomas laisvas asmens duomenų judėjimas ES.

Reglamentas suteikia galimybę supaprastinti teisinę aplinką, taikyti mažiau nacionalinių taisyklių ir taip veiklos vykdytojams užtikrinti didesnį aiškumą.

Koreguodamos nacionalinės teisės aktus, valstybės narės turi atsižvelgti į tai, kad bet kokios nacionalinės priemonės, kurių poveikis būtų sukurti kliūtį tiesioginiam Reglamento taikymui ir kliudyti vienu metu vienodai jį taikyti, prieštarauja Sutartims 39 .

Reglamentų teksto kartojimas nacionalinėje teisėje taip pat draudžiamas (t .y. apibrėžčių arba asmenų teisių kartojimas), nebent tokie pasikartojimai būtini siekiant užtikrinti nuoseklumą ir nacionalinės teisės aktų aiškumą tiems, kam jie taikomi 40 . Tikslus Reglamento teksto atkartojimas konkrečiuose nacionalinės teisės aktuose turėtų būti išimtinis ir pagrįstas, juo negalima pridėti papildomų Reglamento teksto sąlygų ar aiškinimų.

Už Reglamento aiškinimą atsako Europos teismai (nacionaliniai teismai ir galiausiai Europos Teisingumo Teismas), o ne valstybių narių įstatymų leidėjai. Todėl pastarieji negali kopijuoti Reglamento teksto, kai tai nėra būtina pagal teismo praktikoje nustatytus kriterijus, ir negali jo aiškinti ar pridėti papildomų sąlygų prie tiesiogiai pagal Reglamentą taikomų taisyklių. Jei taip atsitiktų, veiklos vykdytojai visoje Sąjungoje vėl susidurtų su susiskaidymu ir nežinotų, kokių taisyklių laikytis.

Iki šiol tik dvi valstybės narės jau priėmė atitinkamus nacionalinės teisės aktus 41 ; kitų valstybių narių pažanga vykdant teisėkūros procedūras yra nevienoda 42 ir jos teisės aktus turi priimti iki 2018 m. gegužės 25 d. Svarbu, kad veiklos vykdytojai turėtų pakankamai laiko pasirengti laikytis visų jiems privalomų nuostatų.

Tais atvejais, jeigu valstybės narės nesiima pagal Reglamentą būtinų veiksmų, vėluoja juos vykdyti arba pasinaudoja pagal Reglamentą numatyta galimybe konkrečiau apibrėžti taisykles taip, kad tai prieštarauja Reglamentui, Komisija pasinaudos visomis jai prieinamomis priemonėmis, įskaitant pažeidimo nagrinėjimo procedūrą.

3.2 Duomenų apsaugos institucijos turi užtikrinti, kad naujoji nepriklausoma Europos duomenų apsaugos valdyba būtų iki galo pasirengusi vykdyti veiklą

Svarbu užtikrinti, kad Reglamentu įsteigta nauja įstaiga – Europos duomenų apsaugos valdyba 43 – perimsianti pagal 29 straipsnį sudarytos darbo grupės pareigas, būtų iki galo pasirengusi vykdyti veiklą nuo 2018 m. gegužės 25 d.

Europos duomenų apsaugos priežiūros pareigūnas – už ES institucijų ir įstaigų priežiūrą atsakinga duomenų apsaugos institucija – Europos duomenų apsaugos priežiūros valdybai teiks sekretoriato paslaugas, kad būtų užtikrinama sinergija ir efektyvumas. Pastaraisiais mėnesiais Europos duomenų apsaugos priežiūros pareigūnas pradėjo tam būtinus parengiamuosius darbus.

Europos duomenų apsaugos valdyba bus pagrindinė už duomenų apsaugą Europoje atsakinga įstaiga. Ji prisidės prie nuoseklaus duomenų apsaugos teisės aktų taikymo ir užtikrins duomenų apsaugos institucijų, įskaitant Europos duomenų apsaugos priežiūros pareigūną, bendradarbiavimą. Europos duomenų apsaugos valdyba ne tik rengs gaires dėl svarbiausių Reglamento sąvokų aiškinimo, į ją taip pat bus kreipiamasi, kad ji priimtų privalomus sprendimus dėl ginčų, susijusių su tarpvalstybiniu duomenų tvarkymu. Taip bus užtikrintas vienodas ES taisyklių taikymas ir išvengta situacijų, kai toks pats klausimas skirtingose valstybėse narėse išsprendžiamas skirtingai.

Todėl sklandi ir veiksminga Europos duomenų apsaugos valdybos veikla yra būtina tinkamo visos sistemos veikimo sąlyga. Europos duomenų apsaugos valdybai teks svarbi užduotis sukurti bendrą duomenų apsaugos kultūrą, kurios laikytųsi visos nacionalinės duomenų apsaugos institucijos, siekdamos užtikrinti nuoseklų Reglamento taisyklių aiškinimą. Reglamentu skatinamas duomenų apsaugos institucijų bendradarbiavimas suteikiant joms veiksmingo ir efektyvaus bendradarbiavimo priemonių: jos galės rengti bendras operacijas, tarpusavio sutarimu priimti sprendimus, priimant nuomones ir privalomus sprendimus valdyboje spręsti nesutarimus dėl Reglamento aiškinimo. Komisija skatina duomenų apsaugos institucijas palankiai reaguoti į šiuos pokyčius, priderinti veiklą, finansavimą ir darbo kultūrą, kad jos galėtų naudotis naujomis teisėmis ir vykdyti naujas pareigas.

3.3 Valstybės narės nacionalinėms duomenų apsaugos institucijoms turi skirti būtinus finansinius ir žmogiškuosius išteklius

Svarbu kiekvienoje valstybėje narėje įsteigti visiškai nepriklausomas priežiūros institucijas, kad būtų užtikrinta fizinių asmenų apsauga tvarkant jų asmens duomenis ES 44 . Priežiūros institucijos negali veiksmingai užtikrinti asmens teisių ir laisvių, jeigu jos negali veikti visiškai nepriklausomai. Neužtikrinus jų nepriklausomumo ir veiksmingo įgaliojimų vykdymo daromas plataus masto neigiamas poveikis duomenų apsaugos teisės aktų vykdymo užtikrinimui 45 .

Reglamentu reikalaujama, kad kiekviena priežiūros institucija veiktų visiškai nepriklausomai 46 . Juo didinamas nacionalinių duomenų apsaugos institucijų nepriklausomumas ir joms suteikiami vienodi įgaliojimai visoje ES, kad jos būtų tinkamai pasirengusios veiksmingai nagrinėti skundus, veiksmingai atlikti tyrimus, priimti privalomus sprendimus ir skirti veiksmingas bei atgrasomas sankcijas. Joms taip pat suteikiami įgaliojimai duomenų valdytojams arba tvarkytojams nustatyti administracines baudas iki 20 mln. EUR, įmonės atveju – iki 4 proc. jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė.

Dėl klausimų, susijusių su Reglamentu, visuomenė, įmonės ir viešojo administravimo įstaigos pirmiausia kreipiasi į duomenų apsaugos institucijas ir su jomis palaiko ryšius. Duomenų apsaugos institucijų užduotys apima duomenų valdytojų ir tvarkytojų informavimą apie jų pareigas, visuomenės informuotumo ir supratimo apie su duomenų tvarkymu susijusius pavojus, taisykles, apsaugos priemones ir teises didinimą. Tačiau tai nereiškia, kad duomenų valdytojai ir duomenų tvarkytojai iš duomenų apsaugos institucijų turėtų tikėtis pagal konkretų atvejį pritaikytų, individualizuotų teisinių patarimų, kuriuos galėtų suteikti tik teisininkas arba duomenų apsaugos pareigūnas.

Todėl nacionalinėms duomenų apsaugos institucijoms tenka pagrindinis vaidmuo, tačiau santykiniai skirtingose valstybėse narėse suteiktų žmogiškųjų ir finansinių išteklių skirtumai gali pakenkti jų veiksmingumui ir galiausiai – visiškam nepriklausomumui, kurio reikalaujama pagal Reglamentą. Tai taip pat gali padaryti neigiamą poveikį duomenų apsaugos institucijų naudojimuisi įgaliojimais, pavyzdžiui, tyrimo įgaliojimais. Valstybės narės raginamos laikytis teisinės prievolės nacionalinei duomenų apsaugos institucijai suteikti žmogiškuosius, techninius ir finansinius išteklius, patalpas ir infrastruktūrą, kurie yra būtini, kad ji veiksmingai atliktų savo užduotis ir naudotųsi savo įgaliojimais 47 .

3.4 Įmonės, viešojo administravimo įstaigos ir kitos duomenis tvarkančios organizacijos turi pasirengti taikyti naująsias taisykles

Reglamentu iš esmės nepakeistos svarbiausios 1995 m. priimtų duomenų apsaugos teisės aktų sąvokos ir principai. Tai turėtų reikšti, kad didžiajai daugumai duomenų valdytojų ir tvarkytojų nereikėtų smarkiai keisti duomenų tvarkymo operacijų siekiant laikytis Reglamento, su sąlyga, kad jie jau laikosi galiojančių ES duomenų apsaugos teisės aktų.

Reglamentu didžiausias poveikis daromas veiklos vykdytojams, kurių pagrindinė veikla yra duomenų tvarkymas ir (arba) darbas su neskelbtinais duomenimis. Poveikis taip pat daromas subjektams, kurie reguliariai ir sistemingai dideliu mastu stebi asmenis. Šie veiklos vykdytojai greičiausiai turės paskirti duomenų apsaugos pareigūną, atlikti poveikio duomenų apsaugai vertinimą ir pranešti apie duomenų saugumo pažeidimus, jeigu kyla pavojus asmenų teisėms ir laisvėms. Priešingai, veiklos vykdytojai, visų pirma MVĮ, kurių pagrindinė veikla nėra susijusi su didelį pavojų keliančiu duomenų tvarkymu, paprastai šių konkrečių Reglamentu nustatytų pareigų neturės vykdyti.

Svarbu, kad duomenų valdytojai ir tvarkytojai atliktų išsamią duomenų politikos ciklo peržiūrą, kad aiškiai nustatytų laikomų duomenų pobūdį, tikslą ir teisinį pagrindą (pvz., debesijos aplinka, operacijos finansų sektoriuje). Jie taip turi įvertinti sudarytas sutartis, visų pirma duomenų valdytojų ir duomenų tvarkytojų sutartis, tarptautinių perdavimų priemones ir bendrą valdymo struktūrą (taikomas IT ir organizacines priemones), įskaitant duomenų apsaugos pareigūno paskyrimą. Esminis šio proceso elementas – užtikrinti, kad atliekant tokią peržiūrą ir teikiant pastabas dalyvautų aukščiausio lygio vadovybė ir kad jai nuolat būtų pranešama naujausia informacija ir su ja būtų konsultuojamasi dėl įmonės duomenų politikos pokyčių.

Tuo tikslu kai kurie veiklos vykdytojai naudojasi atitikties kontroliniais sąrašais (vidiniais arba išoriniais), kreipiasi į konsultavimo ir teisės paslaugų įmones, taip pat ieško produktų, kurie padeda laikytis pritaikytosios ir standartizuotosios duomenų apsaugos reikalavimų. Kiekvienas sektorius turi nustatyti priemones, kurios dera su konkrečiu srities pobūdžiu ir verslo modeliu.

Duomenis tvarkančios įmonės ir kitos organizacijos, siekiančios įrodyti, kad laikosi šio reglamento, taip pat galės naudotis naujomis Reglamentu numatytomis priemonėmis, pvz., elgesio kodeksais ir sertifikavimo mechanizmais. Šios verslo bendruomenės, asociacijų ir kitų organizacijų, atstovaujančių tam tikroms duomenų valdytojų ir tvarkytojų kategorijoms, pasiūlytos priemonės pagrįstos principu „iš apačios į viršų“ ir jomis atsižvelgiama į geriausios praktikos pavyzdžius, svarbius pokyčius konkrečiame sektoriuje arba duomenų apsaugos lygį, kuris būtinas tam tikriems produktams ir paslaugoms. Reglamentu nustatytos supaprastintos tokiems mechanizmams taikomos bendros taisyklės ir atsižvelgiama į rinkos realijas (pvz., sertifikavimą atlieka sertifikavimo institucija arba duomenų apsaugos institucija).

Didelės bendrovės aktyviai rengiasi taikyti naująsias taisykles, tačiau dauguma MVĮ dar nėra iki galo susipažinusios su būsimomis duomenų apsaugos taisyklėmis.

Trumpai tariant, veiklos vykdytojai turėtų pasirengti taikyti naująsias taisykles ir prie jų prisiderinti, o Reglamentas turėtų:

·būti laikomas galimybe peržiūrėti tvarkomus asmens duomenis ir jų tvarkymo būdus;

·skatinti laikytis pareigos kurti produktus, kuriais užtikrinamas privatumas ir duomenų apsauga, ir su vartotojais plėtoti naujus skaidrumu ir pasitikėjimu pagrįstus santykius ir

·suteikti galimybę peržiūrėti santykius su duomenų apsaugos institucijomis vadovaujantis atskaitomybės principu ir aktyviai laikantis Reglamento nuostatų.

3.5 Informuoti suinteresuotuosius subjektus, visų pirma piliečius ir mažas bei vidutines įmones

Sėkmingas Reglamento taikymas priklausys nuo deramo tų, kuriems taikomos naujosios taisyklės (verslo bendruomenės ir kitų duomenis tvarkančių organizacijų, viešojo sektoriaus ir piliečių), informuotumo. Nacionaliniu lygmeniu informuotumo didinimo užduotis pirmiausia pavesta duomenų apsaugos institucijoms, į kurias pirmiausia kreipiasi duomenų valdytojai, tvarkytojai ir asmenys. Duomenų apsaugos institucijos, atsakingos už duomenų apsaugos taisyklių vykdymo užtikrinimą jų teritorijoje, bendrovėms ir viešajam sektoriui gali geriausiai paaiškinti Reglamentu nustatytus pokyčius ir supažindinti piliečius su jų teisėmis.

Duomenų apsaugos institucijos pradėjo informuoti suinteresuotuosius subjektus vadovaudamosi konkrečia nacionaline strategija. Siekdamos didinti informuotumą apie pagrindines Reglamento nuostatas, kai kurios iš jų rengia seminarus viešojo administravimo įstaigoms, įskaitant regiono ir vietos lygmeniu, rengia praktinius seminarus skirtingų verslo sektorių atstovams. Kai kurios duomenų apsaugos institucijos pareigūnams rengia konkrečias mokymo programas. Dauguma tokių institucijų savo interneto svetainėse teikia informaciją įvairiu formatu (kontroliniai sąrašai, vaizdo įrašai ir pan.).

Tačiau iki šiol piliečiai nepakankamai gerai supranta, kokius pokyčius lems naujosios duomenų apsaugos taisyklės ir kaip bus sustiprintos teisės. Reikėtų tęsti ir stiprinti duomenų apsaugos institucijų pradėtą mokymo ir informuotumo didinimo iniciatyvą, ypatingą dėmesį skiriant MVĮ. Be to, nacionalinės sektorių administracijos gali remti duomenų apsaugos institucijų vykdomą veiklą ir remdamosi pastarųjų įnašu pačios imtis įvairių suinteresuotųjų subjektų informavimo iniciatyvos.

4.Tolesni veiksmai

Ateinančiais mėnesiais Komisija toliau rems visų dalyvių veiksmus rengiantis Reglamento taikymui.

a) Darbas su valstybėmis narėmis

Komisija toliau bendradarbiaus su valstybėmis narėmis rengiantis 2018 m. gegužės mėn. Nuo 2018 m. gegužės mėn. ji stebės, kaip valstybės narės taiko naująsias taisykles, ir prireikus imsis tinkamų veiksmų.

b) Naujos internete skelbiamos gairės visomis ES kalbomis ir informuotumo didinimo veikla

Komisija skelbia turimas praktines gaires 48 , kad padėtų įmonėms, visų pirma MVĮ, valdžios institucijoms ir visuomenei laikytis naujųjų duomenų apsaugos taisyklių ir naudotis jų teikiamais privalumais.

Gairės pateiktos kaip praktinė internetinė priemonė visomis ES kalbomis. Ši internetinė priemonė bus reguliariai atnaujinama ir ji skirta trims pagrindinėms tikslinėms grupėms: piliečiams, įmonėms (visų pirma MVĮ) ir kitoms organizacijoms, taip pat viešojo administravimo įstaigoms. Iš suinteresuotųjų subjektų pateiktų pastabų atrinkta informacija pateikta klausimų ir atsakymų forma, nurodant konkrečių pavyzdžių ir nuorodų į įvarius informacijos šaltinius (pvz., Reglamento straipsniai, pagal 29 straipsnį sudarytos darbo grupės ir (arba) Europos duomenų apsaugos valdybos gairės, nacionaliniu lygmeniu parengta informacinė medžiaga).

Atsižvelgdama į gautas pastabas ir į bet kokius naujus įgyvendinant Reglamentą kylančius klausimus, Komisija priemonę reguliariai atnaujins, pridės naujų klausimų ir atnaujins atsakymus.

Susipažinti su gairėmis raginama vykdant įmonėms ir visuomenei skirtą informavimo kampaniją ir sklaidos veiklą visose valstybėse narėse.

Kadangi Reglamentu nustatytos didesnės asmens teisės, Komisija taip pat imsis informuotumo didinimo veiklos ir dalyvaus valstybėse narėse vyksiančiuose renginiuose, kad informuotų piliečius apie Reglamento naudą ir poveikį.

c) Finansinė parama nacionalinėms kampanijoms ir informuotumo didinimui

Komisija remia nacionalinio lygmens informuotumo didinimo veiklą ir pastangas skatinti laikytis Reglamento nuostatų ir teikia subsidijas, kurios gali būti naudojamos rengti duomenų apsaugos institucijoms, viešojo administravimo įstaigoms, teisininkams ir duomenų apsaugos pareigūnams 49 skirtus mokymus ir supažindinti juos su Reglamentu.

Apie 1,7 mln. EUR bus skirta šešiems paramos gavėjams, veikiantiems daugiau nei pusėje ES valstybių narių. Finansavimas bus skirtas vietos valdžios institucijoms, įskaitant vietos valdžios institucijų ir valdžios institucijų duomenų apsaugos pareigūnus, taip pat privačiojo sektoriaus duomenų apsaugos pareigūnams, teisėjams ir teisininkams. Subsidijos bus naudojamos rengti duomenų apsaugos institucijoms, duomenų apsaugos pareigūnams ir kitiems specialistams skirtą mokomąją medžiagą ir programoms, pagal kurias mokomi mokymus rengsiantys lektoriai, finansuoti.

Komisija taip pat paskelbė kvietimą teikti pasiūlymus, konkrečiai susijusius su duomenų apsaugos institucijomis. Numatytas bendras iki 2 mln. EUR biudžetas ir bus siekiama palaikyti ryšius su suinteresuotaisiais subjektais 50 . Siekiama skirti 80 proc. bendrą finansavimą duomenų apsaugos institucijų 2018–2019 m. laikotarpiu vykdysimoms priemonėms, kuriomis didinamas įmonių, visų pirma MVĮ, informuotumas, ir atsakoma į jų užklausas. Šios lėšos taip pat gali būti panaudotos siekiant didinti visuomenės informuotumą.

d) Poreikio pasinaudoti Komisijos įgaliojimais vertinimas

Reglamentu 51 Komisijai leidžiama priimti įgyvendinimo arba deleguotuosius aktus, kuriais būtų remiamas naujųjų taisyklių įgyvendinimas. Komisija šiais įgaliojimais pasinaudos tik tada, kai yra aiškiai įrodyta pridėtinė vertė bei atsižvelgdama į pastabas, gautas per konsultacijas su suinteresuotaisiais subjektais. Visų pirma Komisija nagrinės sertifikavimo klausimą, remdamasi tyrimu, dėl kurio sudaryta sutartis su išorės ekspertais, taip pat 2017 m. pabaigoje sudarytos įvairių suinteresuotųjų subjektų grupės Reglamento įgyvendinimo klausimais pastabomis ir patarimais šiuo klausimu. Šiomis aplinkybėmis taip pat bus svarbus Europos Sąjungos tinklų ir informacijos apsaugos agentūros darbas kibernetinio saugumo srityje.

e) Reglamento įtraukimas  į EEE susitarimą

Komisija tęs darbą su trimis ELPA valstybėmis (Islandija, Lichtenšteinu ir Norvegija) Europos ekonominėje erdvėje (EEE), kad Reglamentas būtų įtrauktas į EEE susitarimą 52 . Tik įsigaliojus Reglamento įtraukimui į EEE susitarimą bus galimas laisvas asmens duomenų judėjimas tarp ES ir EEE šalių, tokiu pat būdu kaip ir tarp ES valstybių narių.

f) Jungtinės Karalystės išstojimas iš ES

Atsižvelgiant į derybas dėl ES ir Jungtinės Karalystės susitarimo dėl išstojimo pagal Europos Sąjungos sutarties 50 straipsnį, Komisija sieks užtikrinti, kad Sąjungos asmens duomenų apsaugos teisės aktų nuostatos, taikytos dieną iki išstojimo, būtų toliau taikomos iki išstojimo dienos tvarkytiems asmens duomenims Jungtinėje Karalystėje 53 . Pavyzdžiui, atitinkami asmenys turėtų ir toliau turėti teisę gauti informaciją, teisę susipažinti su duomenimis, teisę reikalauti ištaisyti arba ištrinti duomenis, teisę prašyti riboti duomenų tvarkymą, teisę į duomenų perkeliamumą, taip pat teisę prieštarauti duomenų tvarkymui ir teisę, kad asmeniui nebūtų taikomas tik automatizuotu duomenų tvarkymu grindžiamas sprendimas, remiantis išstojimo dieną taikytinomis atitinkamomis Sąjungos teisės nuostatomis. Pirmiau nurodyti asmens duomenys neturėtų būti saugomi ilgiau, nei tai yra reikalinga tais tikslais, kuriais asmens duomenys tvarkyti.

Nuo išstojimo datos, su sąlyga, kad į galimą susitarimą dėl išstojimo gali būti įtrauktos bet kokios pereinamojo laikotarpio priemonės, Jungtinei Karalystei bus taikomos Reglamento dėl asmens duomenų perdavimo trečiosioms šalims 54 nuostatos.

g) Padėties apžvalga 2019 m. gegužės mėn.

Po 2018 m. gegužės 25 d. Komisija atidžiai stebės, kaip taikomos naujosios taisyklės, ir bus pasirengusi imtis veiksmų, jeigu iškiltų didelių problemų. Praėjus vieneriems metams nuo Reglamento taikymo (2019 m.) Komisija suorganizuos renginį, kad susipažintų su įvairių suinteresuotųjų subjektų patirtimi įgyvendinant Reglamentą. Į gautą informaciją Komisija taip pat atsižvelgs Reglamento taikymo vertinimo ir peržiūros ataskaitoje, kuri bus parengta 2020 m. gegužės mėn. Šioje ataskaitoje daugiausia dėmesio bus skiriama visų pirma tarptautiniam duomenų perdavimui ir nuostatoms dėl bendradarbiavimo ir nuoseklumo užtikrinimo, kurios svarbios duomenų apsaugos institucijų darbui.

Išvada

Gegužės 25 d. visoje ES įsigalios vienas bendras duomenų apsaugos taisyklių rinkinys. Naujoji sistema bus labai naudinga asmenims, įmonėms, viešojo administravimo įstaigoms ir panašioms organizacijoms. ES taip pat atsiveria galimybė tapti pasauline lydere asmens duomenų apsaugos srityje. Tačiau reforma gali būti sėkminga tik tuo atveju, jeigu visi dalyviai laikysis savo pareigų ir teisių.

Nuo 2016 m. gegužės mėn., kuomet priimtas Reglamentas, Komisija, siekdama pasirengti naujųjų taisyklių taikymui, aktyviai bendradarbiavo su visais susijusiais dalyviais – vyriausybėmis, nacionalinėmis valdžios institucijomis, įmonėmis, pilietine visuomene. Daug jau nuveikta siekiant užtikrinti kuo didesnį informuotumą ir iki galo pasirengti, tačiau dar yra neatliktų darbų. Valstybėse narėse pasirengimo pažanga nevienoda, tas pats pasakytina ir apie įvairius dalyvius. Be to, žinios apie naujųjų taisyklių naudą ir galimybes nevienodai paskleistos. Visų pirma būtina didinti MVĮ informuotumą ir padėti joms pasirengti laikytis naujųjų taisyklių.

Todėl Komisija ragina visus susijusius dalyvius dėti daugiau pastangų, kad visoje ES būtų užtikrintas nuoseklus naujųjų taisyklių taikymas ir aiškinimas, taip pat didinti įmonių ir piliečių informuotumą. Komisija rems šias pastangas teikdama finansavimą ir administracinę pagalbą, taip pat padės didinti bendrą informuotumą, visų pirma sukurdama internetinę priemonę.

Šiandienos ekonomikoje duomenų vertė labai didelė, jie labai svarbūs kasdieniame piliečių gyvenime. Naujosiomis taisyklėmis suteikiama unikalių galimybių tiek įmonėms, tiek visuomenei. Įmonės, ypač nedidelės, galės naudotis inovacijoms palankiu bendru taisyklių rinkiniu ir peržiūrėti tvarkomus asmens duomenis, kad atkurtų vartotojų pasitikėjimą ir jį išnaudotų kaip konkurencinį pranašumą visoje ES. Bus užtikrinta griežtesnė piliečių asmens duomenų apsauga ir jie galės geriau kontroliuoti bendrovių tvarkomus duomenis.

Šiuolaikiniame pasaulyje, kur klesti skaitmeninė ekonomika, Europos Sąjunga, jos piliečiai ir įmonės turi būti visiškai pasirengę išnaudoti duomenų ekonomikos teikiamas galimybes ir suprasti pasekmes. Naujuoju Reglamentu nustatytos būtinos priemonės, kad Europa atitiktų 21-ojo amžiaus poreikius.

(1) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4).

(2) 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995 11 23).

(3) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (OL L 119, 2016 5 4).

(4) Reglamentas galioja nuo 2016 m. gegužės 24 d. ir bus taikomas nuo 2018 m. gegužės 25 d.

(5) ES pagrindinių teisių chartijos 8 straipsnis ir SESV 16 straipsnis.

(6)   https://ec.europa.eu/commission/sites/beta-political/files/letter-of-intent-2017_lt.pdf .

(7) 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (OL L 201, 2002 7 31, p. 37–47). Remiantis BDAR 95 straipsniu, BDAR fiziniams arba juridiniams asmenims nenustatoma papildomų prievolių, kiek tai susiję su klausimais, kuriais jiems taikomos Direktyvoje 2002/58/EB nustatytos specialios prievolės, kuriomis siekiama to paties tikslo. Tai, pavyzdžiui, reiškia, kad subjektai, kuriems taikoma E. privatumo direktyva, turi laikytis ja nustatytos prievolės pranešti apie asmens duomenų saugumo pažeidimą, jeigu toks pažeidimas susijęs su paslauga, kuriai iš esmės taikoma E. privatumo direktyva. Šiuo požiūriu BDAR jiems nenustatoma jokių papildomų prievolių.

(8) 2016 m. liepos 6 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/1148 dėl priemonių aukštam bendram tinklų ir informacinių sistemų saugumo lygiui visoje Sąjungoje užtikrinti (OL L 194, 2016 7 19, p. 1–30). Subjektai, kuriems taikoma Direktyva dėl tinklų ir informacinių sistemų saugumo turėtų pranešti apie didelį arba esminį poveikį kai kurių jų paslaugų teikimui turinčius incidentus. Pranešimais apie incidentus pagal Tinklų ir informacijos saugumo direktyvą nedaromas poveikis pranešimams apie asmens duomenų saugumo pažeidimus pagal Reglamentą.

(9) Reglamento 35 straipsnis.

(10) Komisijos komunikatas „Keitimasis asmens duomenimis ir jų apsauga globalizuotame pasaulyje“, COM(2017) 7 final.

(11) Pasiūlymas Europos Parlamento ir Tarybos reglamentas dėl asmenų apsaugos Sąjungos institucijoms, įstaigoms, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB, COM(2017) 8 final.

(12) Pasiūlymas dėl Europos Parlamento ir Tarybos reglamento dėl teisės į privatų gyvenimą ir asmens duomenų apsaugos elektroninių ryšių sektoriuje, kuriuo panaikinama Direktyva 2002/58/EB (Reglamentas dėl privatumo ir elektroninių ryšių), COM(2017) 10 final.

(13) Kol bus priimtas ir įsigalios E. privatumo reglamentas, Direktyva 2002/58/EB Reglamentui taikoma kaip lex specialis.

(14) Išsamus posėdžių sąrašas, darbotvarkės, diskusijų santraukos ir teisės aktų skirtingose Sąjungos valstybėse narėse padėties apžvalga pateikta adresu http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461 .

(15) Pavyzdžiui, Komisija Europos duomenų apsaugos valdybos nariams suteiks galimybę naudotis Vidaus rinkos informacine sistema tarpusavio ryšiams palaikyti.

(16) Diskusijoms skirtas dokumentas dėl globalizacijos suvaldymo, COM(2017) 240.

(17) 1981 m. sausio 28 d. Europos Tarybos konvencija dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (ETS Nr. 108) ir 2001 m. lapkričio 8 d. Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu Papildomas protokolas dėl priežiūros institucijų ir valstybės sienas kertančių duomenų srautų (ETS Nr. 181). Prie Konvencijos gali prisijungti ir Europos Tarybai nepriklausančios šalys, ją jau ratifikavo 51 šalis (įskaitant Urugvajų, Mauricijų, Senegalą ir Tunisą).

(18) Žr. pvz., Europos ir Amerikos šalių, įskaitant Pusiaujo Gvinėją, kuriose oficialios kalbos yra portugalų ir ispanų, duomenų apsaugos standartus, http://www.redipd.es/documentacion/common/Estandares_eng_Con_logo_RIPD.pdf .

(19) COM(2017) 7.

(20) COM(2017) 7 ibid, p. 10–11.

(21)   http://europa.eu/rapid/press-release_STATEMENT-17-1917_en.htm .

(22) COM(2017) 7 ibid, p. 10–11.

(23)

2016 m. liepos mėn. ir 2017 m. balandžio mėn. surengti du praktiniai seminarai su pramonės atstovais, 2016 m. gruodžio mėn. ir 2017 m. gegužės mėn. surengtos dvi apskritojo stalo diskusijos su verslo atstovais, 2017 m. spalio mėn. vyko praktinis seminaras sveikatos srities duomenų tema, 2017 m. lapkričio mėn. surengtas praktinis seminaras su MVĮ atstovais.

(24)   http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537 .

(25) https://ec.europa.eu/programmes/horizon2020/h2020-sections.

(26) Visos priimtos gairės pateiktos adresu http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.

(27) SESV 288 straipsnis.

(28) Reglamento 54 straipsnio 1 dalis.

(29) Reglamento 43 straipsnio 1 dalyje nustatyta, kad valstybių narių sertifikavimo įstaigos gali būti akredituotos dviem būdais, t. y. jas akredituoja nacionalinė duomenų apsaugos priežiūros institucija, įsteigta pagal duomenų apsaugos teisės aktus, ir (arba) nacionalinė akreditavimo įstaiga, įsteigta pagal Reglamentą (EB) Nr. 765/2008 dėl akreditacijos ir rinkos priežiūros. Tam būtinas glaudus Europos akreditacijos organizacijos (EA, pripažintos Reglamentu 765/2008), kuriai priklauso nacionalinės akreditacijos įstaigos, ir BDAR įsteigtų priežiūros institucijų bendradarbiavimas.

(30) Reglamento 85 straipsnio 1 dalis.

(31) Reglamento 6 straipsnio 2 dalis.

(32) Reglamento 88 straipsnis ir 9 straipsnio 2 dalies b punktas. Europos socialinių teisių ramstyje taip pat teigiama, kad Darbuotojai turi teisę į asmens duomenų apsaugą darbo santykių srityje. (2017/C 428/09, OL C 428, 2017 12 13, p. 10–15).

(33) Reglamento 9 straipsnio 2 dalies h ir i punktai.

(34) Reglamento 9 straipsnio 2 dalies j punktas.

(35) Reglamento 87 straipsnis.

(36) Reglamento 86 straipsnis.

(37) Reglamento 90 straipsnis.

(38) Reglamento 9 straipsnio 4 dalis.

(39) 1978 m. sausio 31 d. Teisingumo Teismo sprendimo
Fratelli Zerbone Snc prieš Amministrazione delle finanze dello Stato, byla 94/77, ECLI:EU:C:1978, 17 ir 101 punktai.

(40) Reglamento 8 konstatuojamoji dalis.

(41) Austrija ( http://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2017_I_120/BGBLA_2017_I_120.pdf );
Vokietija ( https://www.bgbl.de/xaver/bgbl/start.xav?start=%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D__1513091793362 ).

(42) Skirtingų valstybių narių teisėkūros procedūros padėties apžvalga pateikta adresu http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461 .

(43) Europos duomenų apsaugos valdyba bus juridinio asmens statusą turinti ES įstaiga, atsakingą už nuoseklų Reglamento taikymą. Valdybą sudaro kiekvienos priežiūros institucijos vadovai ir Europos duomenų apsaugos priežiūros pareigūnas arba jų atitinkami atstovai.

(44) 117 konstatuojamoji dalis ir jau minėta Direktyvos 95/46 62 konstatuojamoji dalis.

(45) Komisijos komunikatas Europos Parlamentui ir Tarybai dėl tolesnių veiksmų pagal Geresnio Duomenų apsaugos direktyvos įgyvendinimo darbo programą, COM(2007) 87 final, 2007 m. kovo 7 d.

(46) Reglamento 52 straipsnis.

(47) Reglamento 52 straipsnio 4 dalis.

(48) Gairės padės geriau suprasti ES asmens duomenų apsaugos taisykles, tačiau teisinę galią turi tik Reglamento tekstas. Todėl tik Reglamentu nustatomos asmenų teisės ir pareigos.

(49)  Subsidijos teikiamos pagal 2016 m. Teisių ir pilietybės programą https://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/calls/rec-data-2016.html#c,topics=callIdentifier/t/REC-DATA-2016/1/1/1/default-group&callStatus/t/Forthcoming/1/1/0/default-group&callStatus/t/Open/1/1/0/default-group&callStatus/t/Closed/1/1/0/default-group&+identifier/desc ).

(50) http://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/topics/rec-rdat-trai-ag-2017.html .

(51) Deleguotasis aktas, kuriuos siekiama nustatyti, kokia informacija turi būti pateikta piktogramomis, ir nustatyti standartizuotų piktogramų pateikimo procedūras (Reglamento 12 straipsnio 8 dalis); deleguotasis aktas siekiant nustatyti reikalavimus, į kuriuos turi būti atsižvelgta duomenų apsaugos sertifikavimo mechanizmuose (Reglamento 43 straipsnio 8 dalis); įgyvendinimo aktas, kuriuo nustatomi techniniai sertifikavimo mechanizmai ir duomenų apsaugos ženklų bei žymenų standartai, taip pat tų sertifikavimo mechanizmų, ženklų bei žymenų propagavimo ir pripažinimo mechanizmus (Reglamento 43 straipsnio 9 dalis); įgyvendinimo aktas, kuriuo nustatomas duomenų valdytojų, duomenų tvarkytojų ir priežiūros institucijų keitimosi informacija apie įmonei privalomas taisykles formatas ir procedūros (Reglamento 47 straipsnio 3 dalis); įgyvendinimo aktai, kad būtų nustatyta priežiūros institucijų tarpusavio keitimosi informacija elektroninėmis priemonėmis tvarka (Reglamento 61 straipsnio 9 dalis ir 67 straipsnis).

(52) Informacija apie padėtį pateikta adresu http://www.efta.int/eea-lex/32016R0679.

(53) https://ec.europa.eu/commission/publications/position-paper-use-data-and-protection-information-obtained-or-processed-withdrawal-date_en.

(54) Žr. Komisijos pranešimą suinteresuotiesiems subjektams: Jungtinės Karalystės išstojimas ir ES taisyklės duomenų apsaugos srityje (http://ec.europa.eu/newsroom/just/document.cfm?action=display&doc_id=49245).