22.6.2011   

LT

Europos Sąjungos oficialusis leidinys

C 181/1

1.

2010 m. lapkričio 4 d. Komisija priėmė komunikatą „Visapusiškas požiūris į asmens duomenų apsaugą Europos Sąjungoje“ (toliau – komunikatas) (3). Komunikatas buvo nusiųstas EDAPP konsultacijai. EDAPP palankiai vertina tai, kad Komisija su juo konsultavosi pagal Reglamento (EB) Nr. 45/2001 41 straipsnį. Dar prieš priimant komunikatą EDAPP buvo suteikta galimybė pateikti neoficialias pastabas. Į kai kurias iš jų atsižvelgta galutinės redakcijos dokumente.

2.

Komunikate siekiama išdėstyti Komisijos požiūrį į ES asmens duomenų apsaugos visose ES veiklos srityse teisės sistemos persvarstymą, visų pirma atsižvelgiant į globalizacijos ir naujų technologijų keliamus uždavinius (4).

3.

Apskritai EDAPP palankiai vertina komunikatą, nes yra įsitikinęs, kad būtina persvarstyti dabartinius ES duomenų apsaugos teisės aktus, siekiant užtikrinti veiksmingą apsaugą toliau besivystančioje informacinėje visuomenėje. Dar 2007 m. liepos 25 d. nuomonėje dėl duomenų apsaugos direktyvos įgyvendinimo (5) jis padarė išvadą, kad ilgainiui Direktyvos 95/46/EB pakeitimai atrodo neišvengiami.

4.

Komunikatas yra svarbus žingsnis siekiant tokių teisės aktų pakeitimų, kurie pirmiausia būtų svarbiausias pokytis ES duomenų apsaugos srityje nuo to laiko, kai buvo priimta Direktyva 95/46/EB, kuri paprastai laikoma duomenų apsaugos pagrindu Europos Sąjungoje (ir plačiau, Europos ekonominėje erdvėje).

5.

Komunikate nustatomas tinkamas tikslingo persvarstymo pagrindas dar ir todėl, kad jame, vertinant bendrai, įvardijami pagrindiniai klausimai ir uždaviniai. EDAPP sutinka su Komisijos nuomone, kad ateityje dar reikės tvirtos duomenų apsaugos sistemos, paremtos samprata, kad esami bendrieji duomenų apsaugos principai tebegalioja visuomenėje, kurioje dėl greitos technologijų plėtros ir globalizacijos vyksta esminiai pokyčiai. Dėl šios priežasties reikia persvarstyti esamus teisės aktus.

6.

Komunikate teisingai pabrėžiama, kad uždaviniai yra didžiuliai. EDAPP visiškai pritaria šiam teiginiui ir pabrėžia, kad siūlomi sprendimai turi būti atitinkamai plataus užmojo ir didinti apsaugos veiksmingumą.

7.

Šioje nuomonėje sprendimai, siūlomi komunikate, vertinami remiantis dviem kriterijais: užmojo platumo ir veiksmingumo. Apskritai komunikatas vertintinas teigiamai. EDAPP jam pritaria, tačiau kartu kritiškai vertina tam tikrus aspektus, kadangi, EDAPP nuomone, būtų sukurta veiksmingesnė sistema, jeigu būtų laikomasi platesnio užmojo.

8.

EDAPP savo nuomone siekia padėti toliau plėtoti duomenų apsaugos srities teisės aktus. 2011 m. viduryje jis laukia Komisijos pasiūlymo ir tikisi, kad į EDAPP siūlymus jame bus atsižvelgta. Be to, jis pažymi, kad komunikate į pagrindinį teisės aktą lyg ir neįtrauktos tam tikros sritys, kaip antai ES institucijų ir įstaigų atliekamas duomenų tvarkymas. Jeigu Komisija iš tikrųjų nuspręstų šiame etape tam tikrų sričių neįtraukti (EDAPP dėl to apgailestautų), jis ragina Komisiją įsipareigoti per trumpą ir nustatytą terminą sukurti išsamią sistemą.

9.

Šios nuomonės negalima vertinti izoliuotai. Ji paremta ankstesnėmis įvairiais klausimais priimtomis EDAPP ir Europos duomenų apsaugos institucijų pozicijomis. Visų pirma reikia pabrėžti, kad jau minėtoje 2007 m. liepos 25 d. nuomonėje EDAPP nustatė kai kuriuos svarbiausius būsimų pokyčių aspektus ir juos išplėtojo (6). Ji taip pat paremta diskusijomis su kitais suinteresuotaisiais subjektais privatumo ir duomenų apsaugos srityse. Jų nuomonė buvo labai naudinga rengiant ir komunikatą, ir šią nuomonę. Šiuo atžvilgiu galima daryti išvadą, kad tam tikru mastu jau suderinta, kaip gerinti duomenų apsaugos veiksmingumą.

10.

Kitas esminis šios nuomonės aspektas yra 29 straipsnio darbo grupės ir Policijos ir teisingumo darbo grupės bendras dokumentas „Privatumo ateitis“, parengtas 2009 m. Komisijos surengtai konsultacijai („DG dokumentas dėl privatumo ateities“) (7).

11.

Visai neseniai, 2010 m. lapkričio 15 d. surengtoje spaudos konferencijoje EDAPP pasidalijo pirmaisiais savo įspūdžiais apie šį komunikatą. Šioje nuomonėje išsamiau aprašomos toje spaudos konferencijoje bendrai išreikštos mintys (8).

12.

Galiausiai šioje nuomonėje remiamasi daugeliu ankstesnių nuomonių, taip pat 29 straipsnio duomenų apsaugos darbo grupės dokumentais. Įvairiose šios nuomonės vietose, kai taikytina, galima rasti nuorodų į minėtas nuomones ir dokumentus.

13.

Duomenų apsaugos taisyklės persvarstomos esminiu istoriniu momentu. Komunikate aplinkybės aprašomos išsamiai ir įtikinamai. Remdamasis šiuo aprašymu, EDAPP įžvelgia keturis pagrindinius veiksnius, lemiančius aplinką, kurioje vyksta persvarstymo procesas.

14.

Pirmasis veiksnys – tai technologijų plėtra. Šiandienės technologijos nėra tokios pat, kaip buvo rengiant ir priimant Direktyvą 95/46/EB. Tokie technologiniai reiškiniai kaip tinklo kompiuterija, vartotojų elgsena grindžiama reklama, socialiniai tinklai, kelių mokesčių rinkimas, geografinės vietos nustatymo prietaisai iš esmės pakeitė duomenų tvarkymo būdą ir kelia didžiulius uždavinius duomenų apsaugos srityje. Persvarstant Europos duomenų apsaugos taisykles šiuos uždavinius reikės veiksmingai išspręsti.

15.

Antrasis veiksnys – globalizacija. Laipsniškai panaikinus prekybos kliūtis, įmonės vis dažniau veikia pasauliniu mastu. Tarptautinio duomenų tvarkymo ir perdavimo pastaraisiais metais neįtikėtinai padaugėjo. Be to, duomenų tvarkymas tapo visaapimantis dėl informacinių ir ryšių technologijų: internetas ir tinklo kompiuterija leido nepriklausomai nuo vietos pasauliniu mastu tvarkyti didelius duomenų kiekius. Per pastarąjį dešimtmetį taip pat suaktyvėjo tarptautinė policijos ir teismų veikla kovojant su terorizmu ir kitomis tarptautinio organizuoto nusikalstamumo formomis, o kartu ir keitimasis didžiuliu informacijos kiekiu teisėsaugos tikslais. Dėl visų šių aplinkybių reikia rimtai apsvarstyti, kaip globalizacijos paveiktame pasaulyje veiksmingai užtikrinti asmens duomenų apsaugą, iš esmės nekliudant tarptautinei duomenų tvarkymo veiklai.

16.

Trečiasis veiksnys yra Lisabonos sutartis. Įsigaliojus Lisabonos sutarčiai prasidėjo nauja duomenų apsaugos era. Sutarties dėl Europos Sąjungos veikimo (SESV) 16 straipsnyje įtvirtinta ne tik individuali duomenų subjekto teisė, bet ir tiesioginis griežtos, visoje ES galiosiančios duomenų apsaugos teisės teisinis pagrindas. Be to, panaikinus ramsčių struktūrą, Europos Parlamentas ir Taryba privalo užtikrinti duomenų apsaugą visose ES teisės srityse. Kitaip tariant, galima sukurti išsamią privačiajam sektoriui, valstybių narių viešajam sektoriui bei ES institucijoms ir įstaigoms taikytiną duomenų apsaugos teisės sistemą. Stokholmo programoje (9) šiuo atžvilgiu nuosekliai teigiama, kad ES privalo užtikrinti išsamią duomenų apsaugos strategiją ES bei savo santykių su kitomis šalimis srityje.

17.

Ketvirtąjį veiksnį sudaro tarptautinėse organizacijose lygiagrečiai vykstantys pokyčiai. Tebevyksta įvairios diskusijos dėl dabartinių duomenų apsaugos teisės aktų modernizavimo. Šiuo atžvilgiu svarbu paminėti dabartinius svarstymus dėl būsimo Europos Tarybos 108 konvencijos (10) ir OECD privatumo gairių (11) persvarstymo. Kitas svarbus pokytis susijęs su tarptautinių standartų dėl asmens duomenų ir privatumo apsaugos patvirtinimu, po kurio galbūt bus priimtas pasauliniu mastu galiosiantis privalomas duomenų apsaugos dokumentas. Visas šias iniciatyvas verta visapusiškai remti. Jų bendras tikslas turėtų būti veiksmingos ir nuoseklios apsaugos užtikrinimas technologijų ir globalizacijos paveiktoje aplinkoje.

18.

Tvirta duomenų apsaugos sistema buvo sukurta tada, kai duomenų apsaugai pagal Lisabonos sutartį, visų pirma pagal Pagrindinių teisių chartijos 8 straipsnį ir SESV 16 straipsnį, suteikta ypatinga svarba (12). Tai taip pat glaudžiai susiję su Chartijos 7 straipsniu.

19.

Tačiau patikima duomenų apsaugos sistema naudinga ir plačiajai visuomenei bei privatiems interesams informacinėje visuomenėje, kurioje duomenys tvarkomi visuotinai. Duomenų apsauga skatina pasitikėjimą, o pasitikėjimas yra svarbiausias mūsų visuomenės gerovės elementas. Itin svarbu, kad duomenų apsaugos nuostatos būtų aiškinamos taip, kad, užuot kliudžiusios, kuo aktyviau padėtų įgyvendinti kitas teisėtas teises ir interesus.

20.

Svarbūs kitų teisėtų interesų pavyzdžiai yra stipri Europos ekonomika, asmenų saugumas bei vyriausybių atskaitomybė.

21.

ES ekonominė plėtra neatsiejama nuo naujų technologijų diegimo ir pateikimo rinkai. Informacinėje visuomenėje informacinių ir ryšių technologijų bei paslaugų atsiradimas ir sėkmingas naudojimas priklauso nuo pasitikėjimo. Jeigu žmonės nepasitikės IRT, šios technologijos gali žlugti (13). O žmonės pasitikės IRT tik tuo atveju, jeigu bus veiksmingai saugomi jų duomenys. Todėl duomenų apsauga turėtų būti sudedamoji technologijų ir paslaugų dalis. Tvirta duomenų apsaugos sistema skatina Europos ekonomikos vystymąsi tik tokiu atveju, jeigu ši sistema ne tik tvirta, bet ir tinkamai pritaikyta. Šiuo požiūriu tolesnis derinimas ES ir administracinės naštos mažinimas turi esminę reikšmę (žr. šios nuomonės 5 skyrių).

22.

Pastaraisiais metais daug kalbėta apie poreikį užtikrinti privatumo ir saugumo pusiausvyrą, visų pirma tai pasakytina apie duomenų tvarkymo ir mainų priemones policijos ir teismų bendradarbiavimo srityje (14). Duomenų apsauga neretai buvo klaidingai laikoma visiškos asmenų fizinio saugumo apsaugos kliūtimi (15) arba bent jau teisėsaugos institucijoms neišvengiamai privaloma sąlyga. Tačiau tai dar ne viskas. Tvirta duomenų apsaugos sistema gali padidinti ir sustiprinti saugumą. Remdamiesi duomenų apsaugos principais, jeigu jie taikomi tinkamai, duomenų valdytojai privalo užtikrinti, kad informacija būtų tiksli bei atnaujinta ir kad pertekliniai asmens duomenys, kurie nėra būtini teisėsaugos tikslais, būtų pašalinti iš sistemų. Be to, galima būtų nurodyti ir įpareigojimus įgyvendinti technologines bei organizacines priemones, skirtas sistemų saugumui užtikrinti, pvz., apsaugoti jas nuo neleistino atskleidimo ar prieigos pagal duomenų apsaugos srities reikalavimus.

23.

Laikantis duomenų apsaugos principų galima papildomai užtikrinti, kad teisėsaugos institucijos veiktų remdamosi teisės viršenybe, o tai skatintų pasitikėjimą jų elgesiu ir taip didintų pasitikėjimą mūsų visuomenėje. Pagal Europos žmogaus teisių konvencijos 8 straipsnį suformuluota teismų praktika užtikrina, kad policijos ir teismų institucijos gali tvarkyti visus jų darbui svarbius duomenis, tačiau jos negali to daryti neribotai. Duomenų apsaugai reikalinga kontrolės ir pusiausvyros sistema (dėl policijos ir teismų žr. nuomonės 9 skyrių).

24.

Demokratinėse visuomenėse vyriausybės yra atskaitingos už visą savo veiklą, taip pat ir už asmens duomenų naudojimą įvairiais visuomenės interesais, kuriuos jos tenkina. Tai apima ir duomenų skelbimą internete skaidrumo sumetimais, ir duomenų naudojimą pagalbiniais tikslais tokiose politikos srityse kaip visuomenės sveikata, transportas arba mokesčiai, arba asmenų stebėjimą teisėsaugos tikslais. Tvirta duomenų apsaugos sistema leidžia vyriausybėms laikytis savo įsipareigojimų, būti atskaitingoms ir taip užtikrinti gerą valdymą.

25.

Komunikate teisingai nustatyta, kad vienas iš esminių dabartinės sistemos trūkumų yra valstybių narių per didelė laisvė įgyvendinant Europos teisės aktų nuostatas nacionalinėje teisėje. Derinimo stoka susijusi su daugeliu neigiamų padarinių informacinėje visuomenėje, kurioje fizinės sienos tarp valstybių narių turi vis mažiau reikšmės (žr. nuomonės 5 skyrių).

26.

Pagrindinė ir šiek tiek formali priežastis, dėl kurios bendrieji duomenų apsaugos principai neturėtų ir negalėtų būti keičiami, yra teisinio pobūdžio. Šie principai įtvirtinti Europos Tarybos 108 konvencijoje, kuri privaloma visoms valstybėms narėms. Ši konvencija yra duomenų apsaugos ES pagrindas. Be to, kai kurie pagrindiniai principai aiškiai paminėti ES pagrindinių teisių chartijos 8 straipsnyje. Todėl, norint šiuos principus pakeisti, tektų keisti Sutartis.

27.

Tačiau tai dar ne viskas. Taip pat yra esminių priežasčių nekeisti bendrųjų principų. EDAPP tvirtai tiki, kad informacinė visuomenė negali ir neturėtų veikti be tinkamos privatumo ir asmens duomenų apsaugos. Tvarkant daugiau informacijos, reikia ir geresnės apsaugos. Informacinė visuomenė, kurioje tvarkomas didžiulis kiekis informacijos apie kiekvieną asmenį, turi būti kuriama remiantis asmens vykdomos kontrolės samprata, kad jis pats galėtų veikti kaip individas ir naudotis savo laisvėmis demokratinėje visuomenėje, pvz., žodžio laisve.

28.

Be to, sunku įsivaizduoti asmens kontrolę neįpareigojus duomenų valdytojo riboti duomenų tvarkymą laikantis būtinumo, proporcingumo ir tikslo ribojimo principų. Vienodai sunku įsivaizduoti asmens atliekamą kontrolę, nesant pripažintų duomenų subjektų teisių, kaip antai teisės susipažinti su duomenimis, teisės į jų ištaisymą, ištrynimą ar blokavimą.

29.

EDAPP pabrėžia, kad teisė į duomenų apsaugą pripažįstama pagrindine teise. Tai nereiškia, kad duomenų apsauga visada turėtų būti svarbesnė už kitas svarbias teises ir interesus demokratinėje visuomenėje, tačiau ji daro poveikį apsaugos, kuri turi būti suteikta pagal ES teisės aktus, pobūdžiui ir aprėpčiai, siekiant užtikrinti, kad į duomenų apsaugos reikalavimus visada būtų tinkamai atsižvelgta.

30.

Šiuos pagrindinius padarinius būtų galima apibrėžti taip:

EDAPP rekomenduoja Komisijai siūlant teisės aktus atsižvelgti į šiuos padarinius.

31.

Komunikate teisingai daugiausia dėmesio skiriama poreikiui stiprinti duomenų apsaugos teisės aktų nuostatas. Šiomis aplinkybėmis prasminga priminti, kad DG dokumente dėl privatumo ateities (17) duomenų apsaugos institucijos pabrėžė poreikį stiprinti įvairių duomenų apsaugos proceso dalyvių, visų pirma duomenų subjektų, duomenų valdytojų ir pačių priežiūros institucijų, vaidmenį.

32.

Atrodo, suinteresuotieji subjektai visapusiškai sutaria, kad griežtesnės teisės aktų nuostatos, atsižvelgiant į technologijų plėtrą ir globalizaciją, yra esminis kriterijus taip pat ir ateityje siekiant plataus užmojo ir veiksmingos duomenų apsaugos. Kaip jau nurodyta šios nuomonės 7 punkte, tai kriterijai, kuriais remdamasis EDAPP vertina visus siūlomus sprendimus.

33.

Kaip priminta komunikate, Direktyva 95/46/EB taikoma visai asmens duomenų tvarkymo veiklai valstybėse narėse ir viešajame, ir privačiajame sektoriuose, išskyrus veiklą, kuriai ankstesnė Bendrijos teisė netaikoma (18). Nors šios išimties reikėjo pagal ankstesnę Sutartį, įsigaliojus Lisabonos sutarčiai to nebereikia. Be to, tokia išimtis prieštarauja SESV 16 straipsnio tekstui ir bet kuriuo atveju jo esmei.

34.

EDAPP nuomone, išsamus duomenų apsaugos srities teisės aktas, apimantis policijos ir teismų bendradarbiavimą baudžiamosiose bylose, turi būti laikomas vienu iš svarbiausių teigiamų naujosios teisės sistemos aspektų. Tai veiksmingos duomenų apsaugos ateityje būtina sąlyga.

35.

Savo teiginiui pagrįsti EDAPP pateikia tokius argumentus:

36.

Įtraukus policiją ir teismus į bendrą teisės aktą piliečiams būtų suteikta daugiau garantijų, tačiau palengvėtų ir policijos užduotis. Būtinybė taikyti įvairiausias taisykles užkrauna papildomą naštą, tam sugaištama daug laiko ir tai kliudo tarptautiniam bendradarbiavimui (žr. šios nuomonės 9 skyrių). Tai taip pat yra priežastis įtraukti nacionalinių saugumo tarnybų duomenų tvarkymo veiklą tiek, kiek tai įmanoma pagal dabartinę ES teisę.

37.

Laikotarpį nuo Direktyvos 95/46/EB priėmimo 1995 m. galima apibūdinti „technologiškai neramiu“. Nauji technologiniai pokyčiai ir įrenginiai yra dažnas reiškinys. Daugeliu atvejų dėl to iš esmės pasikeitė asmens duomenų tvarkymo būdas. Informacinė visuomenė nebegali būti laikoma lygiagrečia aplinka, kurioje asmenys gali veikti savanoriškai, ji tapo mūsų kasdienio gyvenimo sudedamąja dalimi. Pvz., daiktų interneto (22) sąvoka susieja fizinius objektus ir su jais susijusią internete esančią informaciją.

38.

Technologijos bus plėtojamos ir toliau. Tai turi įtakos naujajai teisės sistemai. Ji turi būti veiksminga ne vienus metus ir kartu nekliudyti tolesnei technologijų plėtrai. Todėl reikia, kad teisinės nuostatos būtų technologiškai neutralios. Tačiau teisės aktu reikėtų užtikrinti ir didesnį teisinį saugumą įmonėms bei asmenims. Jie turi suvokti, ko iš jų tikimasi, ir turėti galimybę naudotis savo teisėmis. Todėl reikia, kad teisinės nuostatos būtų tikslios.

39.

EDAPP nuomone, bendras duomenų apsaugos teisės aktas turėtų būti suformuluotas kuo neutraliau technologijų požiūriu. Tai reiškia, kad įvairių dalyvių teisės ir pareigos turėtų būti reglamentuotos bendrai ir neutraliai, kad jos iš esmės galiotų ir jas būtų galima įgyvendinti, nepaisant asmens duomenims tvarkyti pasirinktų technologijų. Kito pasirinkimo nėra, atsižvelgiant į šiuolaikinę greitą technologijų pažangą. EDAPP siūlo šalia esamų duomenų apsaugos principų įtraukti naujas „technologiškai neutralias“ teises, kurios galėtų būti ypač svarbios greitai kintančioje elektroninėje aplinkoje (daugiau žr. 6 ir 7 skyrius).

40.

Direktyva 95/46/EB pastaruosius 15 metų buvo pagrindinis duomenų apsaugos teisės aktas Europos Sąjungoje. Ji įgyvendinta valstybių narių nacionalinėje teisėje ir taikoma įvairių subjektų. Ilgainiui ją taikant įgyta praktinė patirtis, be to, Komisija, duomenų apsaugos institucijos (nacionaliniu ir 29 straipsnio darbo grupės lygmeniu) ir nacionaliniai bei Europos teismai pateikė papildomų gairių.

41.

Verta pabrėžti, kad šiems pokyčiams reikia laiko ir kad, visų pirma omenyje turint bendrą sistemą, kuria naudojantis įgyvendinama pagrindinė teisė, šio laiko reikia norint sukurti teisinį saugumą ir stabilumą. Naują bendrą teisės aktą reikia parengti siekiant, kad juo būtų galima sukurti ilgalaikį teisinį tikrumą ir stabilumą, turint omenyje, kad itin sunku prognozuoti, kaip toliau keisis technologijos ir globalizacija. Bet kuriuo atveju EDAPP visiškai pritaria tikslui sukurti ilgalaikį teisinį saugumą, panašų į sukurtą Direktyva 95/46. Trumpai tariant, ten, kur technologijos keičiasi greitai, teisė turi būti pastovi.

42.

Trumpuoju laikotarpiu itin svarbu užtikrinti esamų teisinių nuostatų veiksmingumą, visų pirma daugiausia dėmesio skiriant įgyvendinimo užtikrinimui nacionaliniu ir ES lygmeniu (žr. šios nuomonės 11 skyrių).

43.

EDAPP visiškai pritaria visapusiškam požiūriui į duomenų apsaugą, ir tai ne tik pavadinimas, bet ir komunikato atspirties taškas, ir šis požiūris neabejotinai apima bendrųjų duomenų apsaugos taisyklių taikymą policijos ir teismų bendradarbiavimui baudžiamosiose bylose (23).

44.

Tačiau EDAPP taip pat pabrėžia, kad Komisija neketina į šį bendrąjį teisės aktą įtraukti visos duomenų tvarkymo veiklos. Visų pirma nebus įtrauktas ES institucijų, įstaigų, tarnybų ir agentūrų atliekamas asmens duomenų tvarkymas. Komisija tik nurodo, kad „vertins, ar reikia su naująja bendrąja duomenų apsaugos sistema suderinti ir kitas teisės priemones“.

45.

EDAPP aiškiai pageidautų į bendrą teisės aktą įtraukti tvarkymą ES lygmeniu. Jis primena, kad toks ketinimas buvo įtvirtintas buvusiame EB 286 straipsnyje, kuriame pirmą kartą Sutarties lygmeniu buvo paminėta duomenų apsauga. EB 286 straipsnyje buvo tiesiog nurodyta, kad asmens duomenų tvarkymą reglamentuojantys teisės aktai bus taikomi ir institucijoms. Dar svarbiau tai, kad, esant vienam teisės aktui, būtų išvengiama nuostatų neatitikimo grėsmės ir jis būtų tinkamiausias ES lygmens ir valstybių narių viešųjų bei privačiųjų subjektų duomenų mainams. Be to, būtų išvengta grėsmės, kad pakeitus Direktyvą 95/46/EB nebeliks politinio intereso iš dalies keisti Reglamentą (EB) Nr. 45/2001 ar teikti šiam pakeitimui pakankamą pirmenybę, siekiant išvengti įsigaliojimo datų neatitikimo.

46.

EDAPP ragina Komisiją, jeigu ši nuspręstų, kad tvarkymo ES lygmeniu įtraukimas į bendrą ES teisės aktą nėra įmanomas, įsipareigoti siūlyti per trumpiausią įmanomą laiką, pageidautina iki 2011 m. pabaigos, pritaikyti Reglamentą (EB) Nr. 45/2001 (užuot vertinus, „ar reikia“).

47.

Be to, vienodai svarbu, kad Komisija užtikrintų, jog nebūtų atsiliekama ir kitose srityse, visų pirma:

48.

Galiausiai bendrą duomenų apsaugos teisės aktą galima ir tikriausiai būtina išplėsti papildomomis, konkretiems sektoriams taikomomis taisyklėmis, pvz., skirtomis policijos ir teismų bendradarbiavimui ir kitoms sritims (25). Prireikus ir laikantis subsidiarumo principo šios papildomos taisyklės turėtų būti priimtos ES lygmeniu. Valstybės narės gali parengti papildomų taisyklių konkrečioms sritims, jeigu tai pagrįsta (žr. 5.2 skyrių).

49.

Derinimas itin svarbus ES duomenų apsaugos teisei. Komunikate teisingai pabrėžta, kad duomenų apsaugai svarbus vidaus rinkos aspektas, nes būtina užtikrinti laisvą asmens duomenų judėjimą tarp valstybių narių vidaus rinkoje. Tačiau derinimo lygis pagal šią direktyvą įvertintas kaip prastesnis nei patenkinamas. Komunikate pripažįstama, kad tai vienas svarbiausių dažniausiai pasikartojančių suinteresuotųjų subjektų rūpesčių. Visų pirma suinteresuotieji subjektai pabrėžia, kad būtina didinti teisinį saugumą, mažinti administracinę naštą ir užtikrinti vienodas sąlygas ūkio subjektams. Kaip teisingai pažymi Komisija, visų pirma tai taikytina keliose valstybėse narėse įsisteigusiems duomenų valdytojams, privalantiems laikytis nacionalinių duomenų apsaugos įstatymų reikalavimų (kurie gali skirtis) (26).

50.

Derinimas svarbus ne tik vidaus rinkai, bet ir siekiant užtikrinti tinkamą duomenų apsaugą. SESV 16 straipsnyje numatyta, kad „kiekvienas asmuo“ turi teisę į savo asmens duomenų apsaugą. Kad šios teisės būtų veiksmingai paisoma, visoje ES būtina užtikrinti lygiavertį apsaugos lygį. DG dokumente dėl privatumo ateities pabrėžta, kad kelios nuostatos, susijusios su duomenų subjektų padėtimi, nebuvo įgyvendintos ar aiškinamos vienodai visose valstybėse narėse (27). Globalizacijos paveiktame ir tarpusavyje susijusiame pasaulyje šie skirtumai galėtų pakenkti asmenų apsaugai arba ją riboti.

51.

EDAPP mano, kad tolesnis ir geresnis derinimas yra vienas iš pagrindinių persvarstymo proceso tikslų. EDAPP palankiai vertina Komisijos įsipareigojimą tirti priemones, kaip pasiekti tolesnį duomenų apsaugos derinimą ES lygmeniu. Tačiau jis kiek nustebęs pažymi, kad komunikate šiame etape nepateikiama jokių konkrečių variantų. Todėl jis pats nurodo kelias sritis, kuriose kuo skubiau reikia didesnės konvergencijos (žr. 5.3 skyrių). Papildomas derinimas šiose srityse turėtų būti pasiektas ne tik ribojant veiksmų laisvę nacionalinėje teisėje, bet ir užkertant kelią neteisingam įgyvendinimui valstybėse narėse (taip pat žr. 11 skyrių) ir užtikrinant nuoseklesnį bei koordinuotesnį įgyvendinimą (taip pat žr. 10 skyrių).

52.

Direktyvoje yra nemažai nuostatų, kurios suformuluotos plačiai ir todėl suteikia nemažai galimybių jas skirtingai įgyvendinti. Direktyvos 9 konstatuojamojoje dalyje aiškiai patvirtinta, kad valstybėms narėms suteikta tam tikra veiksmų laisvė ir kad, neperžengiant jos ribų, gali atsirasti direktyvos įgyvendinimo skirtumų. Įvairios valstybės narės yra skirtingai įgyvendinusios kelias nuostatas, įskaitant kai kurias esmines nuostatas (28). Ši padėtis netenkina ir reikia siekti didesnės konvergencijos.

53.

Tai nereiškia, kad skirtumai turėtų būti pašalinti visiškai. Tam tikrose srityse gali reikėti lankstumo, siekiant išlaikyti pagrįstą savitumą, svarbius viešuosius interesus ar institucinę valstybių narių autonomiją. EDAPP nuomone, valstybėms narėms turi būti palikta galimybė išlaikyti tam tikrus skirtumus šiais konkrečiais atvejais:

54.

Apibrėžtys (Direktyvos 95/46/EB 2 straipsnis). Apibrėžtys yra teisinės sistemos pamatas ir turėtų būti vienodai aiškinamos visose valstybėse narėse, nesant jokios įgyvendinimo laisvės. Pagal dabartinę sistemą atsirado skirtumų, pvz., duomenų valdytojo sąvokos skirtumų (29). EDAPP siūlo į dabartinį 2 straipsnio sąrašą įtraukti papildomas apibrėžtis, siekiant užtikrinti didesnį teisinį saugumą, kaip antai sąvokų „anonimiški duomenys“, „pseudonimiški duomenys“, „teismo duomenys“, „duomenų perdavimas“ ir „duomenų apsaugos pareigūnas“ apibrėžtis.

55.

Tvarkymo teisėtumas (5 straipsnis). Naujasis teisės aktas turėtų būti kuo tikslesnis svarbiausiais aspektais, lemiančiais duomenų tvarkymo teisėtumą. Todėl direktyvos 5 straipsnio (ir 9 konstatuojamosios dalies), kuriame valstybės narės įgaliojamos tiksliau nustatyti teisėto tvarkymo sąlygas, būsimame teisės akte gali ir nebereikėti.

56.

Duomenų tvarkymo motyvai (7 ir 8 straipsniai). Duomenų tvarkymo sąlygų apibrėžimas yra esminis bet kurio duomenų teisės akto elementas. Valstybėms narėms neturėtų būti leidžiama nustatyti papildomus ar keisti esamus duomenų tvarkymo motyvus ar jų atsisakyti. Išlygų neturi būti arba jos turi būti ribojamos (visų pirma neskelbtinų duomenų atveju) (30). Naujajame teisės akte duomenų tvarkymo motyvai turėtų būti suformuluoti aiškiai ir taip sumažinta vertinimo laisvė įgyvendinant ar užtikrinant įgyvendinimą. Visų pirma gali reikėti dar patikslinti sutikimo sąvoką (žr. 6.5 skyrių). Be to, duomenų valdytojo teisėtu interesu paremtas motyvas (7 straipsnio f punktas) suteikia galimybę jį aiškinti labai skirtingai, nes yra lankstaus pobūdžio. Jį būtina papildomai tikslinti. Kita nuostata, kurią gali reikėti tikslinti, tai 8 straipsnio 2 dalies b punktas, pagal kurį leidžiama tvarkyti neskelbtinus duomenis, jeigu to reikia, duomenų valdytojui vykdant įpareigojimus ir įgyvendinant specialias teises darbo teisės srityje (31).

57.

Duomenų subjektų teisės (10–15 straipsniai). Tai viena iš sričių, kurioje valstybės narės nėra nuosekliai įgyvendinusios visų direktyvos elementų ir jų neaiškina nuosekliai. Duomenų subjektų teisės yra svarbiausias dalykas siekiant veiksmingos duomenų apsaugos. Todėl veiksmų laisvę reikėtų iš esmės sumažinti. EDAPP rekomenduoja, kad duomenų subjektams duomenų valdytojo teikiama informacija visoje ES būtų vienoda.

58.

Tarptautinis duomenų perdavimas (25–26 straipsniai). Tai didelės kritikos sulaukusi sritis dėl vienodos praktikos ES stokos. Suinteresuotieji subjektai išreiškė kritiką, kad valstybės narės labai skirtingai aiškina ir įgyvendina Komisijos sprendimus dėl adekvatumo. Įmonėms privalomos taisyklės (angl. Binding Corporate Rules) yra dar vienas dalykas, kurį EDAPP rekomenduoja toliau derinti (žr. 9 skyrių).

59.

Nacionalinės duomenų apsaugos institucijos (28 straipsnis). Nacionalinėms duomenų apsaugos institucijoms (DAI) 27 valstybėse narėse taikomos itin skirtingos taisyklės, visų pirma susijusios su jų statusu, ištekliais ir įgaliojimais. Šiuos skirtumus iš dalies lėmė 28 straipsnis, nes yra netikslus (32), todėl jį reikėtų papildomai tikslinti, laikantis Europos Teisingumo Teismo sprendimo byloje C-518/07 (33) (papildomai žr. 10 skyrių).

60.

Pranešimo reikalavimai (Direktyvos 95/46/EB 18–21 straipsniai) yra dar viena sritis, kurioje valstybėms narėms iki šiol buvo suteikiama daug laisvės. Komunikate teisingai pripažįstama, kad suderinta sistema sumažintų duomenų valdytojų sąnaudas ir jiems tenkančią administracinę naštą (34).

61.

Tai ta sritis, kurioje paprastinimas turi būti pagrindinis tikslas. Duomenų apsaugos teisės aktų persvarstymas suteikia išskirtinę galimybę toliau paprastinti dabartinius pranešimo reikalavimus ir (arba) mažinti jų aprėptį. Komunikate pripažįstama, jog suinteresuotieji subjektai bendrai sutaria, kad dabartinė pranešimų sistema pakankamai sudėtinga ir nesuteikia papildomos naudos asmens duomenų apsaugai (35). Todėl EDAPP palankiai vertina Komisijos įsipareigojimą tirti įvairias dabartinės pranešimo sistemos paprastinimo galimybes.

62.

Jo nuomone, šis paprastinimas turėtų būti pradėtas nuo sistemos, pagal kurią pranešimas laikomas taisykle, išskyrus atvejus, kai numatyta kitaip (t. y. atleidimo nuo reikalavimų sistema), keitimo tikslingesne sistema. Paaiškėjo, kad atleidimo nuo reikalavimų sistema neveiksminga, nes ji buvo nevienodai įgyvendinama valstybėse narėse (36). EDAPP siūlo apsvarstyti tokias galimybes:

Be to, galėtų būti nustatyta tipinė visoje Europoje galiojanti forma, siekiant užtikrinti suderintą požiūrį į prašomą informaciją.

63.

Dabartinės pranešimo sistemos persvarstymas neturėtų pakenkti išankstinės patikros įpareigojimų tobulinimui atsižvelgiant į tam tikrus tvarkymo įpareigojimus, galinčius kelti konkrečią grėsmę (pvz., didelės apimties informacinės sistemos). EDAPP pritartų neišsamaus atvejų, kai tokios išankstinės patikros reikia, sąrašo įtraukimui į naująjį teisės aktą. Reglamentas (EB) Nr. 45/2001 dėl asmenų apsaugos ES institucijoms ir įstaigoms tvarkant asmens duomenis šiuo tikslu yra naudingas pavyzdys (37).

64.

Galiausiai EDAPP mano, kad persvarstymo procesas taip pat suteikia galimybę dar kartą apsvarstyti duomenų apsaugą reglamentuojančio teisės akto rūšį. Reglamentas – vienas dokumentas, tiesiogiai taikomas valstybėse narėse, yra veiksmingiausia priemonė pagrindinei teisei į duomenų apsaugą apsaugoti ir tikrai vidaus rinkai, kurioje asmens duomenys galėtų judėti laisvai ir kurioje apsaugos lygis būtų vienodas, nepaisant šalies ar sektoriaus, kuriame duomenys yra tvarkomi, sukurti.

65.

Priėmus reglamentą, sumažėtų galimybių prieštaringai jį aiškinti, taip pat nepagrįstų teisės taikymo ir įgyvendinimo skirtumų. Be to, sumažėtų tvarkymo operacijoms ES taikytinos teisės nustatymo svarba, nes tai vienas iš kontroversiškiausių dabartinės sistemos aspektų (žr. 9 skyrių).

66.

Duomenų apsaugos srityje reglamentas pateisinamas dar ir todėl, kad:

67.

Pasirinkus reglamentą kaip bendrą teisės aktą, tuo atveju, kai reikėtų lankstumo, būtų galima numatyti valstybėms narėms tiesiogiai skirtas nuostatas. Be to, jis neturi įtakos valstybių narių kompetencijai prireikus priimti papildomas duomenų apsaugos taisykles laikantis ES teisės.

68.

EDAPP visiškai pritaria komunikate pateiktiems siūlymams stiprinti asmenų teises, nes pagal esamus teisės aktus veiksminga apsauga, kurios reikia vis sudėtingesniame skaitmeniniame pasaulyje, užtikrinama nevisiškai.

69.

Viena vertus, skaitmeninio pasaulio plėtra susijusi su sparčiu asmens duomenų rinkimo, naudojimo ir tolesnio perdavimo didėjimu itin sudėtingu ir neskaidriu būdu. Dažnai asmenys nežino ar nesupranta, kaip tai vyksta, kas jų duomenis renka ar kaip tai kontroliuoti. Šio reiškinio pavyzdys yra reklamos tinklų paslaugų teikėjų tikslinės reklamos tikslais stebima asmenų naršymo internete veikla, naudojant slapukus ar panašius įtaisus. Vartotojui apsilankius interneto svetainėje, jis nesitiki, kad „nematomas“ trečiasis asmuo registruoja tokius jo apsilankymus ir sukuria vartotojo įrašus, remdamasis informacija, atskleidžiančia asmens gyvenimo būdą ar tai, ką jis mėgsta ir ko ne.

70.

Kita vertus, tokia plėtra skatina asmenis savo iniciatyva dalytis asmenine informacija, pvz., socialiniuose tinkluose. Jauni žmonės vis dažniau prisijungia prie socialinių tinklų ir bendrauja su bendraamžiais. Abejotina, ar (jauni) žmonės žino apie savo duomenų atskleidimo veiksmų mastą ir ilgalaikius šių veiksmų padarinius.

71.

Skaidrumas turi esminę reikšmę bet kurioje duomenų apsaugos sistemoje ne tik todėl, kad tai neatsiejama šios sistemos vertybė, bet ir todėl, kad leidžia įgyvendinti kitus duomenų apsaugos principus. Asmenys galės įgyvendinti savo teises tik tuo atveju, jeigu žinos apie duomenų tvarkymą.

72.

Keliose Direktyvos 95/46/EB nuostatose reglamentuojamas skaidrumas. 10 ir 11 straipsniuose nustatytas įpareigojimas pateikti asmenims informaciją apie renkamus jų asmens duomenis. Be to, 12 straipsnyje pripažįstama teisė suprantamu pavidalu gauti savo asmens duomenų kopiją (teisė susipažinti su duomenimis). 15 straipsnyje pripažįstama teisė sužinoti motyvus, kuriais remiantis priimami automatizuoti sprendimai, sukeliantys teisinius padarinius. Be to, ir tai nėra mažiau svarbu, 6 straipsnio 1 dalies a punkte, kuriame reikalaujama, kad duomenys būtų tvarkomi sąžiningai, taip pat numatytas skaidrumo reikalavimas. Asmens duomenys negali būti tvarkomi dėl užslėptų ar slaptų priežasčių.

73.

Komunikate siūloma įtraukti bendrąjį skaidrumo principą. Reaguodamas į šį siūlymą, EDAPP pabrėžia, kad skaidrumo sąvoka, nors ir netiesiogiai, bet jau įtraukta į dabartinius duomenų apsaugos teisės aktus. Tokią išvadą galima daryti iš įvairių nuostatų, susijusių su skaidrumu, kaip minėta 72 punkte. EDAPP nuomone, papildomos naudos gali suteikti aiškaus skaidrumo principo įtraukimas, susiejant jį su esama sąžiningo tvarkymo nuostata arba nesusiejant. Taip būtų padidintas teisinis saugumas ir patvirtinta, kad duomenų valdytojas asmens duomenis privalo tvarkyti skaidriai visomis aplinkybėmis, o ne tik paprašytas ar kai to iš jo reikalaujama pagal konkrečią teisės akto nuostatą.

74.

Tačiau galbūt svarbiau papildyti esamas nuostatas, kuriose reglamentuojamas skaidrumas, kaip antai esamus Direktyvos 95/46/EB 10 ir 11 straipsnius. Šiose nuostatose nurodyti teiktini informacijos elementai, tačiau jose nepatikslinti būdai. EDAPP konkrečiai siūlo esamas nuostatas papildyti:

75.

EDAPP pritaria, kad į bendrą teisės aktą reikia įtraukti nuostatą dėl pranešimo apie asmens duomenų pažeidimą, ir taip į persvarstytą E. privatumo direktyvą kai kuriems teikėjams įtrauktą įpareigojimą išplėsti visiems duomenų valdytojams, kaip siūloma komunikate. Pagal persvarstytą E. privatumo direktyvą ši pareiga taikoma tik elektroninių ryšių paslaugų teikėjams (telefonijos (įskaitant VoIP) paslaugų ir interneto prieigos teikėjams). Kitiems duomenų valdytojams šis įpareigojimas netaikomas. Šį įpareigojimą pateisinantys motyvai visiškai taikomi ir duomenų valdytojams, ne tik elektroninių ryšių paslaugų teikėjams.

76.

Pranešimu apie saugumo pažeidimą siekiama skirtingų tikslų. Akivaizdžiausias iš jų ir pabrėžtas komunikate yra atlikti informavimo priemonės funkcijas, kad asmenys sužinotų apie grėsmes, su kuriomis susiduria, kai jų asmens duomenys pažeidžiami. Tai gali jiems padėti imtis būtinų šių grėsmių sušvelninimo priemonių. Pvz., kai asmenys įspėjami apie pažeidimus, turinčius įtakos jų finansinei informacijai, jie galės, be kitų dalykų, pakeisti slaptažodžius arba panaikinti sąskaitas. Be to, pranešimas apie saugumo pažeidimą pradeda veiksmingai taikyti kitus direktyvos principus ir įpareigojimus. Pvz., pranešimo apie saugumo pažeidimus reikalavimai skatina duomenų valdytojus įgyvendinti griežtesnes saugumo priemones, kad būtų užkirstas kelias pažeidimams. Be to, saugumo pažeidimas yra priemonė stiprinti duomenų valdytojų atsakomybę ir visų pirma didinti atskaitingumą (žr. 7 skyrių). Galiausiai DAI tai yra įgyvendinimo užtikrinimo priemonė. Pranešimas DAI apie saugumo pažeidimą gali paskatinti visos duomenų valdytojo veiklos tyrimą.

77.

Specialios saugumo pažeidimą reglamentuojančios taisyklės iš dalies pakeistoje E. privatumo direktyvoje buvo plačiai aptarinėjamos Europos Parlamente tuo metu, kai galiojo iki E. privatumo direktyvos galiojęs teisės aktas. Diskutuojant šiuo klausimu kartu su kitais suinteresuotaisiais subjektais, buvo atsižvelgta į 29 straipsnio darbo grupės ir EDAPP nuomones. Taisyklės atspindi įvairių suinteresuotųjų subjektų nuomones. Jose įtvirtinta interesų pusiausvyra: su pareiga pranešti susiję kriterijai iš esmės yra tinkami apsaugoti asmenis ir jie neprimeta pernelyg sudėtingų ir nenaudingų reikalavimų.

78.

Duomenų apsaugos direktyvos 7 straipsnyje išvardyti šeši teisiniai asmens duomenų tvarkymo pagrindai. Vienas iš jų yra asmens sutikimas. Duomenų valdytojui leidžiama tvarkyti asmens duomenis tiek, kiek asmenys davė informacija paremtą sutikimą, kad jų duomenys būtų renkami ir toliau tvarkomi.

79.

Praktiškai vartotojai neretai gali mažai kontroliuoti savo duomenis, visų pirma technologinėje aplinkoje. Vienas iš kartais taikomų metodų yra numanomas sutikimas, t. y. daroma prielaida, kad toks sutikimas yra duotas. Sutikimą galima numanyti iš asmens veiksmo (pvz., veiksmas, kuris pasireiškia interneto svetainės naudojimu, laikomas sutikimu, kad vartotojo duomenys būtų registruojami rinkodaros tikslais). Be to, jį galima numanyti iš tylėjimo ar neveikimo (pažymėto langelio neatžymėjimas laikomas sutikimu).

80.

Remiantis direktyva, kad sutikimas galiotų, jis turi būti pagrįstas informacija, duotas laisvai ir konkrečiai. Tai turi būti informacija pagrįstas asmens pageidavimų, kuriais jis išreiškia savo sutikimą dėl su juo susijusių asmens duomenų tvarkymo, nurodymas. Sutikimas turi būti duotas nedviprasmiškai.

81.

Sutikimas, kurį galima numanyti iš veiksmo, o konkrečiai – pagal nutylėjimą arba neatliekant veiksmų, paprastai nėra vienareikšmis. Tačiau ne visada aišku, kas yra tikras, vienareikšmis sutikimas. Kai kurie duomenų valdytojai naudojasi šiuo neapibrėžtumu, remdamiesi metodais, kurie netinka tikram, vienareikšmiam sutikimui gauti.

82.

Atsižvelgdamas į tai, kas nurodyta pirmiau, EDAPP pritaria Komisijai dėl poreikio tikslinti sutikimo ribas ir užtikrinti, kad tik tinkamai suformuluotas sutikimas būtų laikomas tikru sutikimu. Atsižvelgdamas į tai, EDAPP siūlo (39):

83.

Duomenų perkeliamumas ir teisė būti pamirštam yra dvi susijusios sąvokos, pateiktos komunikate, siekiant sustiprinti duomenų subjektų teises. Jos papildo direktyvoje jau paminėtus principus ir numato duomenų subjekto teisę prieštarauti tolesniam jo asmens duomenų tvarkymui bei duomenų valdytojo pareigą ištrinti informaciją iš karto, kai tik jos nebereikia tvarkymo tikslais.

84.

Šios dvi sąvokos didžiausią papildomą naudą suteikia kalbant apie informacinę visuomenę, kai vis daugiau duomenų automatiškai renkama ir saugoma neribotą laiką. Praktika rodo, kad net jei duomenis įkelia pats duomenų subjektas, praktiškai jis turi labai ribotas galimybes veiksmingai kontroliuoti savo asmens duomenis. Visų pirma taip nutinka dėl didžiulės šiuolaikinio interneto atminties. Be to, ekonominiu požiūriu duomenų valdytojui yra brangiau ištrinti duomenis, nei juos saugoti. Todėl asmens teisių įgyvendinimas neatitinka tikros ekonominės padėties.

85.

Duomenų perkeliamumas ir teisė būti pamirštam galėtų padėti duomenų subjektui sudaryti palankesnes sąlygas. Duomenų perkeliamumo tikslas būtų suteikti asmeniui daugiau galimybių kontroliuoti savo informaciją, o teisė būti pamirštam užtikrintų, kad informacija po tam tikro laiko savaime išnyktų, net jei duomenų subjektas nesiimtų veiksmų ar jei jis net nežino, kad jo duomenys apskritai buvo saugomi.

86.

Kalbant konkrečiau, duomenų perkeliamumas suprantamas kaip vartotojų galimybė pakeisti jų duomenų tvarkymo pageidavimus, visų pirma tai susiję su naujų technologijų paslaugomis. Tai vis dažniau taikoma paslaugoms, susijusioms su informacijos saugojimu, įskaitant asmens duomenis, kaip antai mobiliajai telefonijai ir vaizdų, e. laiškų bei kitos informacijos saugojimo paslaugoms, kartais naudojant tinklo kompiuterijos paslaugas.

87.

Asmenys turi turėti galimybę nesunkiai ir laisvai keisti paslaugų teikėją ir perduoti savo duomenis kitam paslaugų teikėjui. EDAPP mano, kad Direktyvoje 95/46/EB jau įtvirtintas teises galima būtų sustiprinti, įtraukiant teisę į perkeliamumą, visų pirma atsižvelgiant į informacinės visuomenės paslaugas, siekiant padėti asmenims užtikrinti, kad paslaugų teikėjai ir kiti atitinkami duomenų valdytojai jiems suteiktų prieigą prie jų asmeninės informacijos ir kartu užtikrinti, kad senieji paslaugų teikėjai ar kiti duomenų valdytojai ją ištrintų, net ir norėdami pasilikti ją sau teisėtais tikslais.

88.

Naujai kodifikuota teisė būti pamirštam užtikrintų asmens duomenų ištrynimą ar draudimą juos toliau naudoti, duomenų subjektui nesant reikalo imtis veiksmų, tačiau su sąlyga, kad šie duomenys jau saugomi tam tikrą laiką. Kitaip tariant, duomenims būtų nustatytas tam tikras galiojimo terminas. Šis principas jau patvirtintas nacionalinių teismų bylose arba taikomas konkrečiuose sektoriuose, pvz., policijos byloms, baudžiamųjų bylų įrašams ar drausmės byloms; pagal kai kuriuos nacionalinius įstatymus informacija apie asmenis automatiškai ištrinama arba nebenaudojama ir neplatinama, visų pirma praėjus nustatytam terminui, neatliekant išankstinės kiekvieno konkretaus atvejo analizės.

89.

Šiuo požiūriu nauja teisė būti pamirštam turėtų būti susieta su duomenų perkeliamumu. Jos papildoma nauda būtų tokia, kad duomenų subjektui nereikėtų stengtis ar reikalauti, kad jo duomenys būtų sunaikinti, nes tai būtų daroma objektyviai ir automatizuotai. Duomenų valdytojas turėtų teisę pasilikti duomenis tik išskirtinėmis aplinkybėmis, jeigu būtų nustatytas konkretus poreikis ilgiau juos saugoti. Dėl šios teisės būti pamirštam įrodinėjimo pareiga tektų ne asmeniui, bet duomenų valdytojui, ir taptų numatytojo privatumo nuostata, tvarkant asmens duomenis.

90.

EDAPP nuomone, teisė būti pamirštam gali būti ypač naudinga kalbant apie informacinės visuomenės paslaugas. Pareiga suėjus nustatytam terminui sunaikinti informaciją arba jos nebeplatinti itin prasminga visų pirma žiniasklaidoje ar internete, o ypač socialiniuose tinkluose. Be to, ji būtų naudinga naudojant galinius įrenginius – mobiliuosiuose įtaisuose ar kompiuteriuose saugomi duomenys po tam tikro laiko, kai asmuo jų nebevaldo, būtų automatiškai ištrinami arba blokuojami. Šiuo požiūriu teisė būti pamirštam gali būti paversta įpareigojimu užtikrinti privatumą projektuojant.

91.

Apskritai EDAPP mano, kad duomenų perkeliamumas ir teisė būti pamirštam yra naudingos sąvokos. Būtų verta jas įtraukti į teisės aktą, tačiau jos turbūt būtų taikomos tik elektroninei aplinkai.

92.

Pagal Direktyvą 95/46/EB nėra konkrečių taisyklių, susijusių su vaikų asmens duomenų tvarkymu. Taip nepripažįstamas poreikis specialiai apsaugoti vaikus konkrečiomis aplinkybėmis dėl jų pažeidžiamumo ir dėl to, kad taip susidaro teisinis nesaugumas, visų pirma tokiose srityse:

93.

EDAPP mano, kad ypatingi vaikų interesai būtų geriau apsaugoti, jeigu naujajame teisės akte būtų papildomos nuostatos, konkrečiai skirtos vaikų duomenų rinkimui ir tolesniam tvarkymui. Tokiomis specialiomis nuostatomis būtų užtikrintas teisinis saugumas šioje konkrečioje srityje, be to, jos būtų naudingos duomenų valdytojams, kuriems dabar taikomi skirtingi teisiniai reikalavimai.

94.

EDAPP siūlo į teisės aktą įtraukti tokias nuostatas:

95.

Asmenų teisių esmės stiprinimas netektų prasmės, jeigu nebūtų veiksmingų šių teisių įgyvendinimo užtikrinimo procedūrinių mechanizmų. Šiomis aplinkybėmis EDAPP rekomenduoja į ES teisės aktą įtraukti kolektyvinio žalos atlyginimo mechanizmus pažeidus duomenų apsaugos taisykles. Visų pirma kolektyvinio žalos atlyginimo mechanizmai, suteikiantys piliečių grupei teisę sujungti savo reikalavimus į vieną ieškinį, gali būti labai veiksminga priemonė, padėsianti užtikrinti duomenų apsaugos taisyklių įgyvendinimą (42). Šiai naujovei DG dokumente dėl privatumo ateities taip pat pritaria duomenų apsaugos institucijos.

96.

Mažesnį poveikį turinčiais atvejais mažai tikėtina, kad nukentėjusieji nuo duomenų apsaugos taisyklių pažeidimo reikštų atskirus ieškinius duomenų valdytojams, atsižvelgiant į galimas sąnaudas, sugaištamą laiką, netikrumą, riziką ir naštą. Šiuos sunkumus būtų galima įveikti ar iš esmės palengvinti nustačius kolektyvinio žalos atlyginimo sistemą, suteikiant nuo pažeidimų nukentėjusiems asmenims teisę savo reikalavimus sujungti į vieną ieškinį. EDAPP taip pat palankiai vertintų teisės pareikšti ieškinį dėl žalos atlyginimo už duomenų apsaugos pažeidimus nukentėjusiųjų vardu suteikimą kvalifikuotiems subjektams, kaip antai vartotojų asociacijoms ar viešosioms organizacijoms. Šie ieškiniai neturėtų pakenkti duomenų subjekto teisei pareikšti atskirą ieškinį.

97.

Kolektyviniai ieškiniai svarbūs ne tik siekiant užtikrinti visišką kompensaciją ar kitus atitaisymo veiksmus; netiesiogiai jie atlieka ir atgrasymo funkciją. Grėsmė, kad dėl tokių ieškinių teks atlyginti didelę kolektyvinę žalą, gerokai paskatintų duomenų valdytojus veiksmingai užtikrinti reikalavimų laikymąsi. Šiuo požiūriu sustiprintas teisių įgyvendinimas privačiu būdu, taikant kolektyvinio žalos atlyginimo mechanizmus, papildytų viešąsias teisių įgyvendinimo užtikrinimo priemones.

98.

Komunikate neišreikšta pozicijos šiuo klausimu. EDAPP žino, kad šiuo metu Europos lygmeniu vyksta diskusijos dėl vartotojų kolektyvinio žalos atlyginimo mechanizmo nustatymo. Be to, jis suvokia, kad šie mechanizmai gali lemti pertekliaus grėsmę, remiantis kitų teisinių sistemų patirtimi. Tačiau, jo nuomone, šie veiksniai nelaikytini pakankamais argumentais, kad šių mechanizmų nustatymo duomenų apsaugos teisės aktuose būtų atsisakyta, atsižvelgiant į jų teikiamą naudą (43).

99.

EDAPP mano, kad reikia ne tik stiprinti asmenų teises, nes šiuolaikiškame duomenų apsaugos teisės akte turi būti būtinos priemonės, kurios didintų duomenų valdytojų atsakomybę. Kalbant konkrečiau, teisės aktu duomenų valdytojai privačiajame arba viešajame sektoriuje turi būti skatinami savo iniciatyva įtraukti duomenų apsaugos priemones į savo veiklos procesus. Šios priemonės visų pirma būtų naudingos, nes, kaip jau minėta, dėl technologijų plėtros smarkiai padaugėjo asmens duomenų rinkimo, naudojimo ir tolesnio perdavimo, todėl didėja grėsmė asmens duomenų apsaugai ir asmenų privatumui, kurią reikia kompensuoti veiksmingai. Antra, dabartiniuose teisės aktuose, išskyrus kelias tiksliai apibrėžtas nuostatas (žr. toliau), tokių priemonių trūksta, o duomenų valdytojai gali laikytis reakcinio požiūrio į duomenų apsaugą ir privatumą ir imtis veiksmų tik kilus problemai. Šis požiūris atsispindi statistikoje, rodančioje prastą reikalavimų laikymosi praktiką ir duomenų praradimą kaip pasikartojančias problemas.

100.

EDAPP nuomone, esamų teisės aktų nepakanka veiksmingai apsaugoti asmens duomenų esamomis ir būsimomis sąlygomis. Kuo didesnė grėsmė, tuo didesnis poreikis įgyvendinti konkrečias priemones, kuriomis informacija būtų apsaugota praktiniu lygmeniu ir būtų užtikrinta veiksminga apsauga. Jeigu šios priemonės nebus įgyvendintos de facto, tikėtina, kad ir toliau bus daromos klaidos, patiriamos nesėkmės ir daugės aplaidumo ir taip bus keliamas pavojus asmenų privatumui šioje vis labiau skaitmeninėje visuomenėje. Kad tai būtų pasiekta, EDAPP siūlo toliau nurodytas priemones.

101.

EDAPP rekomenduoja į teisės aktą įtraukti naują nuostatą, kurioje iš duomenų valdytojų būtų reikalaujama įgyvendinti tinkamas ir veiksmingas teisės akto principų ir įpareigojimų įgyvendinimo priemones ir paprašius tai įrodyti.

102.

Šio pobūdžio nuostata nėra visiškai nauja. Direktyvos 95/46/EB 6 straipsnio 2 dalyje paminėti principai, susiję su duomenų kokybe, ir nurodyta, kad „duomenų valdytojo pareiga užtikrinti, kad būtų laikomasi šio straipsnio 1 dalies“. Be to, 17 straipsnio 1 dalyje reikalaujama, kad duomenų valdytojai įgyvendintų techninio ir organizacinio pobūdžio priemones. Tačiau šių nuostatų taikymo sritis ribota. Įtraukus bendrą nuostatą dėl atskaitomybės, duomenų valdytojai būtų paskatinti įgyvendinti prevencines priemones, kad galėtų laikytis visų duomenų apsaugos teisės nuostatų.

103.

Esant nuostatai dėl atskaitomybės duomenų valdytojai privalėtų įgyvendinti vidaus mechanizmus ir kontrolės sistemas, užtikrinančias visos sistemos principų ir įpareigojimų laikymąsi. Tam reikėtų, pvz., į duomenų apsaugos politiką įtraukti aukščiausio lygio vadovybę, suplanuoti tinkamą visų duomenų tvarkymo operacijų identifikavimą užtikrinančias procedūras, turėti privalomą duomenų apsaugos politiką, kuri turėtų būti nuolat peržiūrima ir atnaujinama, kad apimtų naujausias duomenų tvarkymo operacijas, laikytis duomenų kokybės, pranešimo, saugumo, prieigos ir kitų reikalavimų. Be to, duomenų valdytojai privalėtų saugoti įrodymus, kad institucijoms paprašius galėtų patvirtinti šių reikalavimų laikymąsi. Įrodymas plačiajai visuomenei, kad reikalavimų laikomasi, taip pat tam tikrais atvejais turi būti privalomas. Tai galima padaryti, pvz., reikalaujant, kad duomenų valdytojai duomenų apsaugą įtrauktų į viešas (metines) ataskaitas, jeigu šios ataskaitos privalomos kitais pagrindais.

104.

Akivaizdu, kad vidaus ir išorės priemonės, kurias tektų įgyvendinti, privalėtų būti tinkamos ir priklausyti nuo kiekvieno konkretaus atvejo faktinių aplinkybių. Yra skirtumas, ar duomenų valdytojas tvarko kelis šimtus vartotojų duomenų, kuriuos sudaro vien vardai ir adresai, ar jis tvarko milijonų pacientų duomenis, apimančius jų ligos istoriją. Tas pats taikytina konkretiems būdams, kuriais remiantis būtų vertinamas priemonių veiksmingumas. Turi būti galimybė priemones taikyti pagal duomenų tvarkymo mastą.

105.

Bendrajame išsamiame duomenų apsaugos teisės akte neturėtų būti nustatyti konkretūs atskaitomybės reikalavimai, reikia tik esminių jų elementų. Komunikate numatyti tam tikri dalykai duomenų valdytojų atsakomybei sugriežtinti, ir jie vertintini itin palankiai. Kalbant konkrečiau, EDAPP visiškai pritaria tam, kad duomenų apsaugos pareigūnai ir poveikio privatumui vertinimas taptų privalomi, nustačius tam tikras ribines sąlygas.

106.

Be to, EDAPP rekomenduoja pagal SESV 290 straipsnį perduoti Komisijai įgaliojimus papildyti pagrindinius reikalavimus, kurie yra būtini atskaitomybės standarto laikymuisi. Naudojantis šiais įgaliojimais, būtų galima padidinti duomenų valdytojų teisinį saugumą ir suderinti laikymąsi visoje ES. Rengiant tokias specialias priemones, turėtų būti konsultuojamasi su 29 straipsnio darbo grupe ir EDAPP.

107.

Galiausiai konkrečias atskaitomybės priemones, kurias privalėtų įgyvendinti duomenų valdytojai, galėtų nustatyti ir duomenų apsaugos institucijos, įgyvendindamos vykdymo užtikrinimo įgaliojimus. Tam šioms duomenų apsaugos institucijoms reikėtų suteikti naujus įgaliojimus, leidžiančius taikyti taisomąsias priemones arba sankcijas. Tarp pavyzdžių turėtų būti reikalavimų laikymosi vidaus programų parengimas, privatumo užtikrinimo projektuojant principo diegimas kuriant konkrečius produktus ir paslaugas ir pan. Taisomosios priemonės turėtų būti taikomos tik tuo atveju, jeigu jos tinkamos, proporcingos ir veiksmingos, kad būtų užtikrintas taikytinų ir vykdytinų teisinių standartų laikymasis.

108.

Privatumo užtikrinimas projektuojant reiškia duomenų apsaugos ir privatumo integravimą pačioje naujų produktų, paslaugų ir procedūrų, susijusių su asmens duomenų tvarkymu, kūrimo pradžioje. EDAPP nuomone, privatumo užtikrinimas projektuojant yra atskaitomybės dalis. Atitinkamai duomenų valdytojų, kai taikytina, taip pat būtų reikalaujama įrodyti, kad jie yra įdiegę privatumo užtikrinimo projektuojant principą. Neseniai 32 duomenų apsaugos ir privatumo įgaliotinių tarptautinė konferencija priėmė rezoliuciją, kurioje privatumo užtikrinimas projektuojant pripažintas esmine pagrindinės privatumo apsaugos dalimi (44).

109.

Direktyvoje 95/46/EB yra tam tikrų nuostatų, kuriomis skatinamas privatumo užtikrinimas projektuojant (45), tačiau jose ši pareiga aiškiai nepripažįstama. EDAPP palankiai vertina tai, kad komunikate privatumo užtikrinimas projektuojant patvirtintas kaip priemonė užtikrinti duomenų apsaugos taisyklių laikymąsi. Jis siūlo įtraukti privalomą nuostatą, kurioje būtų įtvirtintas privatumo užtikrinimo projektuojant įpareigojimas, ir jį įtraukiant būtų galima remtis Direktyvos 95/46/EB 46 konstatuojamosios dalies formuluote. Kalbant konkrečiau, nuostatoje būtų aiškiai reikalaujama, kad duomenų valdytojai įgyvendintų technines ir organizacines priemones projektuodami tvarkymo sistemą ir paties tvarkymo metu, visų pirma siekiant užtikrinti asmens duomenų apsaugą ir užkirsti kelią bet kokiam neleistinam tvarkymui (46).

110.

Remiantis tokia nuostata duomenų valdytojai privalėtų, be kita ko, užtikrinti, kad duomenų tvarkymo sistemos būtų projektuojamos taip, kad būtų tvarkoma kuo mažiau asmens duomenų, diegti numatytojo privatumo nuostatas, pvz., socialiniuose tinkluose, saugoti asmenų profilių privatumą nuo kitų pagal numatytuosius nustatymus ir įgyvendinti priemones, kurias taikant vartotojai galėtų geriau apsaugoti savo asmens duomenis (pvz., prieigos kontrolė, šifravimas).

111.

Aiškesnės nuorodos į privatumo užtikrinimą projektuojant privalumus galima būtų apibendrinti taip:

112.

Dėl bendro šio įpareigojimo poveikio padidėtų produktų ir paslaugų, kuriuos projektuojant užtikrinamas privatumas, paklausa ir pramonė būtų labiau paskatinta šią paklausą tenkinti. Be to, reikėtų apsvarstyti galimybę nustatyti atskirą įpareigojimą, skirtą naujų produktų ir paslaugų, galinčių turėti poveikį duomenų apsaugai ir privatumui, kūrėjams bei gamintojams. EDAPP siūlo įtraukti tokį atskirą įpareigojimą, kuriuo remiantis duomenų valdytojai galėtų geriau laikytis jiems patiems tenkančio įpareigojimo.

113.

Galima būtų ne tik kodifikuoti privatumo užtikrinimo projektuojant principą, bet ir papildyti jį nuostata, kurioje būtų reglamentuoti bendrieji privatumo užtikrinimo projektuojant reikalavimai, taikytini visiems sektoriams, produktams ir paslaugoms, kaip antai teisių suteikimo vartotojui priemonių užtikrinimas, kurie būtų tvirtinami laikantis minėto principo.

114.

EDAPP taip pat rekomenduoja pagal SESV 290 straipsnį perduoti Komisijai įgaliojimus, kai taikytina, papildyti pagrindinius privatumo užtikrinimo projektuojant reikalavimus pasirinktiems produktams ir paslaugoms. Naudojantis šiais įgaliojimais, padidėtų duomenų valdytojų teisinis saugumas ir būtų suderintas reikalavimų laikymasis visoje ES. Kuriant tokias specialias priemones, turėtų būti konsultuojamasi su 29 straipsnio darbo grupe ir EDAPP (kartu žr. 106 punktą dėl atskaitomybės).

115.

Galiausiai duomenų apsaugos institucijoms reikėtų suteikti įgaliojimus taikyti taisomąsias priemones arba sankcijas laikantis panašių kaip minėta 107 punkte ribojamųjų sąlygų, jeigu duomenų valdytojai akivaizdžiai nesiimtų konkrečių veiksmų tais atvejais, kai to reikalaujama.

116.

Komunikate pripažįstamas poreikis tirti galimybes sukurti privatumo reikalavimus atitinkančių produktų ir paslaugų ES sertifikavimo sistemas. EDAPP visiškai pritaria šiam tikslui ir siūlo įtraukti nuostatą, kurioje būtų numatytas jų kūrimas ir galimas poveikis visoje ES ir kuri galėtų būti plečiama vėliau papildomame teisės akte. Šia nuostata turėtų būti papildytos nuostatos dėl atskaitomybės ir privatumo užtikrinimo projektuojant.

117.

Savanoriškos sertifikavimo schemos leistų patikrinti, ar duomenų valdytojas yra įdiegęs priemones, kuriomis būtų laikomasi teisės akto. Be to, duomenų valdytojai ar net produktai ar paslaugos, kurios būtų pažymėtos sertifikavimo ženklu, galėtų tapti konkurenciniu požiūriu pranašesnės už kitas. Tokios sistemos taip pat padėtų duomenų apsaugos institucijoms atlikti priežiūros ir įgyvendinimo užtikrinimo vaidmenį.

118.

Kaip jau minėta šios nuomonės 2 skyriuje, asmens duomenų perdavimas už ES ribų smarkiai išaugo dėl naujų technologijų plėtros, daugianacionalinių įmonių vaidmens ir padidėjusios vyriausybių įtakos tvarkant asmens duomenis tarptautiniu mastu ir jais dalijantis. Tai viena iš pagrindinių priežasčių, pateisinančių dabartinių teisės aktų persvarstymą. Todėl tai viena iš sričių, kurioje EDAPP prašo plačių užmojų ir veiksmingumo, nes kai duomenys tvarkomi ne ES, akivaizdžiai būtina nuoseklesnė apsauga.

119.

EDAPP nuomone, reikia daugiau investuoti į tarptautinių taisyklių kūrimą. Jeigu duomenų apsaugos lygis visame pasaulyje būtų labiau derinamas, būtų gerokai aiškesnė principų, kurių reikia laikytis, esmė ir duomenų perdavimo sąlygos. Priimant šias pasaulines taisykles reikėtų suderinti aukšto duomenų apsaugos standarto reikalavimą, įskaitant pagrindinius ES duomenų apsaugos elementus, ir regionų ypatybes.

120.

EDAPP išreiškia paramą iki šiol atliktam plataus užmojo darbui vykstant Tarptautinės duomenų apsaugos įgaliotinių konferencijai parengti ir išplatinti vadinamuosius „Madrido standartus“, kad jie būtų integruoti į privalomą teisės aktą, ir galbūt inicijuoti tarpvyriausybinę konferenciją (47). Jis ragina Komisiją imtis reikiamų iniciatyvų, kad šis tikslas būtų lengviau pasiektas.

121.

EDAPP manymu, taip pat svarbu užtikrinti šios tarptautinių standartų iniciatyvos, dabartinio ES duomenų apsaugos teisės aktų persvarstymo ir kitų pokyčių, kaip antai dabartinio OECD privatumo gairių ir Europos Tarybos 108 konvencijos, kurią gali pasirašyti trečiosios šalys (taip pat žr. 17 punktą), persvarstymo suderinamumą. EDAPP mano, kad Komisijai šioje srityje tektų ypatingas vaidmuo, nurodant, kaip ji skatins šį suderinamumą derybose OECD ir Europos Taryboje.

122.

Kadangi visišką suderinamumą sunku pasiekti, bent jau artimiausiu metu kai kurie ES galiojantys įstatymai, o juo labiau galiojantys už ES ribų, šiek tiek skirsis. EDAPP mano, kad naujajame teisės akte reikės nustatyti aiškesnius taikytiną teisę lemiančius kriterijus ir užtikrinti šiuolaikiškus duomenų srautui taikomus mechanizmus bei duomenų srautuose dalyvaujančių asmenų atskaitomybę.

123.

Pirmiausia teisės akte turėtų būti užtikrinta, kad ES teisė būtų taikoma asmens duomenis tvarkant už ES ribų ir esant pagrįstam reikalavimui taikyti ES teisę. ES gyventojams skirtų ne Europos tinklo kompiuterijos paslaugų pavyzdys rodo, kodėl to reikia. Aplinkoje, kurioje duomenys nėra fiziškai saugomi ir tvarkomi fiksuotoje vietoje, o skirtingose šalyse įsikūrę paslaugų teikėjai ir vartotojai daro netinkamą įtaką duomenims, labai sunku nustatyti, kas už kokių duomenų apsaugos principų laikymąsi yra atsakingas. Visų pirma duomenų apsaugos institucijos rekomenduoja, kaip tokiais atvejais aiškinti ir taikyti Direktyvą 95/46/EB, tačiau teisiniam saugumui šioje aplinkoje užtikrinti vien rekomendacijų nepakanka.

124.

Būtinybę ES teritorijoje turėti tikslesnius teisės aktus ir taikyti supaprastintą taikytinos teisės nustatymo kriterijų neseniai priimtoje nuomonėje pabrėžė 29 straipsnio darbo grupė (48).

125.

EDAPP manymu, būtų pageidautinas reglamento formos teisės aktas, kuriame būtų nustatytos visose valstybėse narėse taikytinos vienodos taisyklės. Priėmus reglamentą, būtinybė nustatyti taikytiną teisę nebebus tokia svarbi. Tai viena iš priežasčių, kodėl EDAPP labai palankiai vertina reglamento priėmimą. Tačiau ir reglamente valstybėms narėms gali būti suteikta tam tikra veiksmų laisvė. Jeigu naujajame teisės akte būtų išlaikyta didelė veiksmų laisvė, EDAPP pritartų darbo grupės siūlymui nuo atskirų įvairių nacionalinių įstatymų taikymo pereiti prie centralizuoto vieno teisės akto taikymo visose valstybėse narėse, kuriose duomenų valdytojas yra įsikūręs. Jis taip pat ragina duomenų apsaugos institucijas labiau bendradarbiauti ir koordinuoti savo veiksmus nagrinėjant tarptautinius atvejus ir skundus (žr. 10 skyrių).

126.

Į suderinamumo ir aukšto lygio kriterijų poreikį būtina atsižvelgti ne tik visuotinių duomenų apsaugos principų, bet ir tarptautinio duomenų perdavimo atveju. EDAPP visiškai pritaria Komisijos tikslui supaprastinti dabartines tarptautinio duomenų perdavimo procedūras ir užtikrinti vienodesnį ir nuoseklesnį požiūrį į trečiąsias šalis bei tarptautines organizacijas.

127.

Duomenų srautų mechanizmas apima ir duomenų perdavimą privačiajame sektoriuje, visų pirma pagal sutartines nuostatas arba įmonėms privalomas taisykles, ir perdavimą tarp valstybės institucijų. Įmonėms privalomos taisyklės yra viena iš tų sričių, kurioje būtų pageidautinas nuoseklesnis ir organizuotesnis požiūris. EDAPP rekomenduoja naujajame teisės akte aiškiai reglamentuoti įmonėms privalomų taisyklių sąlygas (49):

128.

Komisija ne kartą pabrėžė, kaip svarbu stiprinti duomenų apsaugą teisėsaugos ir nusikalstamumo prevencijos srityje, kurioje asmens duomenų mainai ir naudojimas gerokai suaktyvėjo. Be to, Europos Vadovų Tarybos patvirtintoje Stokholmo programoje griežta duomenų apsaugos tvarka nurodoma kaip pagrindinė ES informacijos valdymo strategijos šioje srityje sąlyga (50).

129.

Bendrosios duomenų apsaugos sistemos persvarstymas suteikia gerą progą šioje srityje padaryti pažangą, visų pirma atsižvelgiant į tai, kad komunikate Pamatinis sprendimas 2008/977 teisingai apibūdinamas kaip netinkamas (51).

130.

EDAPP šios nuomonės 3.2.5 punkte argumentavo, kodėl policijos ir teismų bendradarbiavimo sritį reikia įtraukti į bendrą teisės aktą. Policijos ir teismų bendradarbiavimo įtraukimas turi nemažai papildomų pranašumų. Tai reiškia, kad taisyklės bus taikomos ne vien tarptautiniams duomenų mainams (52), bet ir šalies viduje tvarkomiems duomenims. Keičiantis asmens duomenimis su trečiosiomis šalimis bus geriau užtikrinta tinkama apsauga, taip pat ir tarptautinių susitarimų atveju. Be to, duomenų apsaugos institucija policijos ir teismų institucijų atžvilgiu turės tuos pačius plačius ir suderintus galiojimus, kaip ir kitų duomenų valdytojų atžvilgiu. Galiausiai dabartinis 13 straipsnis, kuriame numatyta valstybių narių teisė priimti specialius teisės aktus, kuriais bendru teisės aktu dėl konkrečių viešųjų interesų būtų ribojamos teisės ir pareigos, turės būti taikomas taip pat ribotai, kaip ir kitoms sritims. Visų pirma bendrame teisės akte šioje srityje numatytų garantijų reikės laikytis ir policijos ir teismų bendradarbiavimo srityje priimtuose nacionalinės teisės aktuose.

131.

Tačiau įtraukus tokias taisykles nereiškia, kad nebus taikomos specialios taisyklės ir leidžiančios nukrypti nuostatos, kuriomis tinkamai atsižvelgiama į šio sektoriaus ypatybes, laikantis prie Lisabonos sutarties pridėtos 21 deklaracijos. Duomenų subjektų teisių ribojimai gali būti numatyti, tačiau jie turi būti būtini, proporcingi ir nekeisti pačios teisės esmės. Šiomis aplinkybėmis reikėtų pabrėžti, kad Direktyva 95/46/EB, įskaitant jos 13 straipsnį, šiuo metu taikoma teisėsaugai įvairiose srityse (pvz., mokesčių, muitų, kovos su sukčiavimu), kurios iš esmės nesiskiria nuo daugelio veiksmų policijos ir teismų srityje.

132.

Be to, būtina nustatyti specialias garantijas, siekiant suteikti duomenų subjektui kompensaciją papildoma apsauga toje srityje, kur asmens duomenų tvarkymas gali būti labiau ribojamo pobūdžio.

133.

Atsižvelgdamas į tai, kas nurodyta, EDAPP mano, kad į naująjį teisės aktą reikėtų įtraukti bent toliau nurodytus dalykus, laikantis 108 konvencijos ir Rekomendacijos Nr. R (87) 15:

134.

Komunikate nurodyta, kad „pamatiniu sprendimu nepakeičiamos įvairios ES lygmeniu priimtos konkrečiai šiam sektoriui skirtos teisėkūros priemonės dėl policijos ir teisminio bendradarbiavimo baudžiamosiose bylose, visų pirma priemonės, kuriomis reglamentuojamas Europolo, Eurojusto, Šengeno informacinės sistemos (SIS) ir Muitinės informacinės sistemos (CIS) veikimas ir kuriose paprastai nustatoma speciali duomenų apsaugos tvarka ir (arba) remiamasi Europos Tarybos duomenų apsaugos dokumentais“.

135.

EDAPP nuomone, naujasis teisės aktas turėtų būti kuo aiškesnis, paprastesnis ir nuoseklesnis. Kai yra daugybė skirtingų tvarkų, taikomų, pvz., Europolui, Eurojustui, SIS ir Priumui, laikytis taisyklių tebėra arba tampa sudėtinga. Tai viena iš priežasčių, kodėl EDAPP teikia pirmenybę išsamiam teisės aktui, taikomam visiems sektoriams.

136.

Tačiau EDAPP supranta, kad skirtingų sistemų taisyklių derinimui reikės daug darbo, kuris turės būti atliekamas atidžiai. EDAPP mano, kad komunikate paminėtas laipsniškas požiūris turi prasmę, jeigu įsipareigojimas nuosekliai ir veiksmingai užtikrinti aukštą duomenų apsaugos lygį išliks aiškus ir aktualus. Kalbant konkrečiau:

137.

EDAPP visiškai pritaria Komisijos tikslui reglamentuoti duomenų apsaugos institucijų (DAI) statuso klausimą, o konkrečiau – didinti jų nepriklausomumą, išteklius ir įgyvendinimo užtikrinimo įgaliojimus.

138.

EDAPP taip pat primygtinai siūlo naujajame teisės akte tiksliau reglamentuoti esminę DAI nepriklausomumo sąvoką. Europos Teisingumo Teismas neseniai šiuo klausimu priėmė sprendimą byloje C-518/07 (54), kuriame pabrėžė, kad nepriklausomumas reiškia išorinės įtakos nebuvimą. DAI negali prašyti ir klausyti kitų subjektų nurodymų. EDAPP siūlo teisės akte aiškiai kodifikuoti šiuos nepriklausomumo elementus.

139.

Kad galėtų įgyvendinti savo uždavinius, DAI būtina suteikti pakankamai žmogiškųjų ir finansinių išteklių. EDAPP siūlo šį reikalavimą įtvirtinti teisiškai (55). Galiausiai jis pabrėžia poreikį užtikrinti, kad institucijos turėtų iki galo suderintus įgaliojimus tyrimo ir pakankamai atgrasančių bei taisomųjų priemonių bei sankcijų taikymo srityje. Taip būtų padidintas duomenų subjektų ir duomenų valdytojų teisinis saugumas.

140.

Didinant DAI išteklius ir įgaliojimus, kartu reikėtų stiprinti bendradarbiavimą daugiašaliu lygmeniu, visų pirma atsižvelgiant į tai, kad Europos mastu kyla vis daugiau duomenų apsaugos klausimų. Pagrindinė šiam bendradarbiavimui naudotina infrastruktūra tikriausiai yra 29 straipsnio darbo grupė.

141.

Iš istorijos matyti, kad nuo pat 1997 m., kai ši grupė pradėjo veiklą, iki dabar jos veikla pasikeitė. Ji tapo labiau nepriklausoma ir praktiškai jos jau nebegalima laikyti paprasčiausia patariamąja Komisijos darbo grupe. EDAPP siūlo toliau tobulinti darbo grupės veiklą, įskaitant jos infrastruktūrą ir nepriklausomumą.

142.

EDAPP mano, kad grupės stiprumas neatsiejamas nuo jos narių nepriklausomumo ir įgaliojimų. Naujajame teisės akte reikėtų užtikrinti darbo grupės autonomiją, laikantis Europos Teisingumo Teismo byloje C-518/07 išplėtotų visiško DAI nepriklausomumo kriterijų. EDAPP nuomone, darbo grupei taip pat reikėtų suteikti pakankamai išteklių ir pakankamą biudžetą bei sustiprintą sekretoriatą, kuris jai talkintų.

143.

Kalbant apie darbo grupės sekretoriatą, EDAPP vertina tai, kad ji integruota į Teisingumo generalinio direktorato duomenų apsaugos skyrių, nes taip darbo grupė gali pati naudingai išnaudoti veiksmingus ir lanksčius ryšius bei naujausią informaciją duomenų apsaugos pokyčių srityje. Vis dėlto jam kyla klausimas dėl Komisijos (o konkrečiau – skyriaus), kuri kartu yra darbo grupės narė, sekretoriatas ir DG sprendimų adresatė. Todėl būtų pagrįsta suteikti sekretoriatui daugiau savarankiškumo. EDAPP ragina Komisiją, glaudžiai konsultuojantis su suinteresuotaisiais subjektais, įvertinti, kaip būtų galima užtikrinti šį nepriklausomumą.

144.

Galiausiai, norint sustiprinti DAI įgaliojimus, daugiau įgaliojimų reikia suteikti ir darbo grupei, sukuriant geresnes taisykles apimančią ir garantijas bei didesnį skaidrumą užtikrinančią struktūrą. Tai bus priskirta patariamajai darbo grupės funkcijai ir įgyvendinimo užtikrinimo funkcijai.

145.

Darbo grupės pozicijos turi būti veiksmingai įgyvendinamos, atsižvelgiant į jos patariamąjį vaidmenį Komisijoje, visų pirma aiškinant ir taikant direktyvos ir kitų duomenų apsaugos teisės aktų principus, kitaip tariant, reikia užtikrinti autoritetingą darbo grupės pozicijų pobūdį. Tarp DAI būtinos tolesnės diskusijos, siekiant nustatyti, kaip šį dalyką įtraukti į teisės aktą.

146.

EDAPP rekomenduoja priimti tokius sprendimus, kuriais remiantis darbo grupės nuomonės taptų autoritetingesnės ir nebūtų iš esmės pakeistas jos veikimo būdas. EDAPP siūlo įtraukti pareigą DAI ir Komisijai kuo labiau atsižvelgti į darbo grupės nuomones ir bendras pozicijas, remiantis Europos elektroninių ryšių reguliuotojų institucijos (BEREC) pozicijoms taikomu modeliu (56). Be to, naujajame teisės akte darbo grupei gali būti numatyta speciali užduotis priimti „aiškinamąsias rekomendacijas“. Priėmus šiuos alternatyvius sprendimus, darbo grupės pozicijos turėtų didesnį vaidmenį, be kita ko, ir Teismuose.

147.

Pagal dabartinius teisės aktus duomenų apsaugos teisės įgyvendinimo užtikrinimo funkcija valstybėse narėse palikta 27 duomenų apsaugos institucijoms, o konkrečių atvejų nagrinėjimas mažai koordinuojamas. Jeigu atvejis susijęs su daugiau negu viena valstybe nare arba yra akivaizdžiai pasaulinio masto, smarkiai padidėja įmonių išlaidos, nes jos priverstos bendrauti su įvairiomis valstybės institucijomis dėl tos pačios veiklos, ir taip didėja nenuoseklaus taikymo grėsmė: išimtiniais atvejais tą pačią tvarkymo veiklą viena DAI gali laikyti teisėta, o kita DAI – ją uždrausti.

148.

Kai kurie atvejai yra strateginiai ir juos reikia nagrinėti centralizuotai. 29 straipsnio darbo grupė padeda koordinuoti DAI įgyvendinimo užtikrinimo veiksmus (57) daugeliu duomenų apsaugos klausimų, turinčių tokį tarptautinį aspektą. Tai taikytina socialinių tinklų ir naršyklių atveju (58), taip pat koordinuotų įvairiose valstybėse narės atliekamų patikrų telekomunikacijų ir sveikatos draudimo klausimais.

149.

Tačiau yra įgyvendinimo užtikrinimo veiksmų, kurių darbo grupė gali imtis pagal dabartinius teisės aktus, ribos. Darbo grupė gali priimti bendras pozicijas, tačiau nėra priemonės užtikrinti, kad šios pozicijos būtų veiksmingai įgyvendintos praktiškai.

150.

EDAPP į teisės aktą siūlo įtraukti papildomas nuostatas, kurios galėtų padėti koordinuotai atlikti įgyvendinimo užtikrinimo veiksmus, visų pirma:

151.

EDAPP nepritartų griežtesnių priemonių nustatymui, kaip antai privalomos galios suteikimui 29 straipsnio darbo grupės nuomonėms. Taip būtų pakenkta atskirų DAI nepriklausomumui, kurį valstybės narės turi užtikrinti pagal nacionalinę teisę. Jeigu darbo grupės sprendimai turėtų tiesioginį poveikį tretiesiems asmenims, pvz., duomenų valdytojams, reikėtų numatyti naujas procedūras, įskaitant tokias garantijas, kaip skaidrumas ir žalos atlyginimas, bei galimybę skųstis Europos Teisingumo Teismui.

152.

Galima būtų aiškiai reglamentuoti ir EDAPP bei darbo grupės bendradarbiavimo būdą. EDAPP yra darbo grupės narys, jis prisideda prie grupės pozicijų dėl pagrindinių strateginių ES klausimų, kartu užtikrina, kad jo pozicijos neprieštarautų darbo grupės pozicijoms. EDAPP pažymi, kad daugėja privatumo klausimų privačiajame ir viešajame sektoriuose, o tai turi poveikį nacionaliniu lygmeniu daugelyje valstybių narių, ir darbo grupei gali tekti atlikti konkretų vaidmenį šiuo klausimu.

153.

EDAPP tenka papildoma užduotis patarti dėl pokyčių, vykstančių ES, ir tai turėtų būti išlaikyta. Kaip Europos įstaiga jis savo patariamąją kompetenciją ES institucijų atžvilgiu įgyvendina taip pat kaip ir nacionalinės DAI, patarinėdamos savo vyriausybėms.

154.

EDAPP ir darbo grupė siekia skirtingų, tačiau vienas kitą papildančių tikslų. Todėl reikia išsaugoti ir galbūt pagerinti darbo grupės bei EDAPP tarpusavio koordinavimą, užtikrinti, kad jie dirbtų kartu svarbiausiais duomenų apsaugos klausimais, pvz., reguliariai derintų darbotvarkes (61) ir užtikrintų skaidrumą tais klausimais, kurie labiau susiję su nacionaliniu ar konkrečiu ES aspektu.

155.

Koordinavimas dabartinėje direktyvoje nepaminėtas dėl paprastos priežasties – kai direktyva buvo priimta, EDAPP dar neegzistavo, tačiau, praėjus šešeriems metams, galima matyti, kaip EDAPP ir darbo grupė vienas kitą papildo ir kaip tai būtų galima oficialiai pripažinti. EDAPP primena, kad pagal Reglamentą (EB) Nr. 45/2001 jis turi pareigą bendradarbiauti su nacionalinėmis DAI ir dalyvauti darbo grupės veikloje. EDAPP rekomenduoja naujajame teisės akte aiškiai paminėti bendradarbiavimą ir prireikus jį struktūrizuoti, pvz., nustatant bendradarbiavimo tvarką.

156.

Tie patys motyvai taip pat taikomi toms sritims, kuriose priežiūra turi būti derinama tarpusavyje Europos ir nacionaliniu lygmeniu. Tai taikoma ES įstaigoms, tvarkančioms didelį nacionalinių institucijų pateiktų duomenų kiekį arba didelės apimties informacinėms sistemoms, turinčioms Europos ir nacionalinį aspektą.

157.

Kai kurios ES įstaigos ir didelės apimties informacinės sistemos, pvz., Europolas, Eurojustas ir pirmosios kartos Šengeno informacinė sistema (SIS), turi jungtines priežiūros institucijas, kuriose dalyvauja nacionalinių DAI atstovai, tačiau tai tarpvyriausybinio bendradarbiavimo iki Lisabonos sutarties atgyvena ir ja neatsižvelgiama į ES struktūrą, nes dabar Europolas ir Eurojustas yra jos sudedamoji dalis, be to, į ją jau integruota ir Šengeno acquis  (62).

158.

Komunikate skelbiama, kad Komisija 2011 m. pradės konsultaciją su suinteresuotaisiais subjektais dėl šių priežiūros sistemų persvarstymo. EDAPP ragina Komisiją kuo skubiau (per trumpą ir nustatytą laiką, žr. pirmiau) priimti poziciją tebevykstančioje diskusijoje dėl priežiūros. Šioje diskusijoje jis laikysis tokio požiūrio.

159.

Pirmiausia reikėtų užtikrinti, kad visos priežiūros institucijos atitiktų būtinuosius nepriklausomumo, išteklių ir įgyvendinimo užtikrinimo įgaliojimų kriterijus. Be to, reikėtų užtikrinti, kad būtų atsižvelgta į ES lygmeniu esamas perspektyvas ir patirtį. Tai reiškia, kad bendradarbiavimas turi vykti ne tik tarp nacionalinių institucijų, bet ir su Europos DAI (šiuo metu – EDAPP). EDAPP mano, kad būtina vadovautis šiuos reikalavimus atitinkančiu modeliu (63).

160.

Pastaraisiais metais buvo sukurtas „koordinuotos priežiūros“ modelis. Šis priežiūros modelis, kuris dabar veikia sistemos Eurodac ir Muitų informacinės sistemos dalyse, netrukus bus pradėtas taikyti Vizų informacinei sistemai (VIS) ir antrosios kartos Šengeno informacinei sistemai (SIS II). Šis modelis yra trijų lygmenų: 1) priežiūrą nacionaliniu lygmeniu užtikrina DAI; 2) priežiūrą ES lygmeniu užtikrina EDAPP; 3) koordinavimas užtikrinamas reguliariais EDAPP, kuris veikia kaip šio koordinacinio mechanizmo sekretoriatas, organizuojamais susitikimais. Šis modelis pasiteisino kaip sėkmingas ir veiksmingas ir jį reikėtų numatyti ateityje kitoms informacinėms sistemoms.

161.

Nors persvarstymo procesas tebesitęsia, reikėtų dėti pastangas užtikrinti visišką ir veiksmingą dabartinių taisyklių įgyvendinimą. Šios taisyklės vis vien bus taikomos, kol bus priimtas ir paskui valstybių narių nacionaliniuose įstatymuose įgyvendintas naujasis teisės aktas. Šioje srityje galima nurodyti kelias veiksmų kryptis.

162.

Pirma, Komisija turėtų toliau stebėti, kaip valstybės narės laikosi Direktyvos 95/46/EB, ir prireikus naudotis savo įgaliojimais pagal SESV 258 straipsnį. Neseniai buvo iškelta byla dėl pažeidimo už tai, kad teisingai neįgyvendintas direktyvos 28 straipsnis, susijęs su DAI nepriklausomumo reikalavimu (64). Visišką reikalavimų laikymąsi reikia stebėti ir užtikrinti ir kitose srityse (65). Todėl EDAPP palankiai vertina ir visapusiškai remia Komisijos įsipareigojimą komunikate įgyvendinti aktyvią pažeidimų politiką. Komisija taip pat turėtų tęsti struktūrinį dialogą su valstybėmis narėmis įgyvendinimo tema (66).

163.

Antra, turi būti skatinamas įgyvendinimo užtikrinimas nacionaliniu lygmeniu, siekiant užtikrinti praktinį duomenų apsaugos taisyklių taikymą, įskaitant susijusį su naujais technologiniais reiškiniais ir pasauliniais veikėjais. DAI turėtų iki galo naudotis turimais tyrimo ir sankcijų skyrimo įgaliojimais. Be to, svarbu, kad esamos duomenų subjektų teisės, visų pirma teisė susipažinti su informacija, būtų iki galo įgyvendinamos praktiškai.

164.

Trečia, atrodo, kad trumpuoju laikotarpiu reikia labiau koordinuoti vykdymo užtikrinimą. 29 straipsnio darbo grupės ir jos aiškinamojo dokumento vaidmuo šiuo atžvilgiu yra esminis, tačiau ir DAI turėtų daryti viską, ką gali, kad juos įgyvendintų praktiškai. Reikia vengti skirtingų rezultatų ES ar pasauliniu mastu, be to, darbo grupėje galima ir reikėtų siekti bendro požiūrio. ES mastu koordinuojami tyrimai, prižiūrint darbo grupei, taip pat gali duoti didelę papildomą naudą.

165.

Ketvirta, duomenų apsaugos principus reikėtų prevenciškai pritaikyti naujose taisyklėse, kurios gali turėti tiesioginį arba netiesioginį poveikį duomenų apsaugai. ES lygmeniu EDAPP deda daug pastangų, kad padėtų rengti geresnius Europos teisės aktus, tad šias pastangas reikia dėti ir nacionaliniu lygmeniu. Todėl duomenų apsaugos institucijos turėtų iki galo naudotis savo patariamaisiais įgaliojimais, kad užtikrintų tokį prevencinį požiūrį. Duomenų apsaugos institucijos, įskaitant EDAPP, taip pat gali atlikti prevencinį vaidmenį technologinių pokyčių stebėjimo srityje. Stebėjimas yra svarbus, siekiant anksti nustatyti besiformuojančias tendencijas, išskirti galimą poveikį duomenų apsaugai, palaikyti duomenų apsaugai naudingus sprendimus ir didinti suinteresuotųjų subjektų informuotumą.

166.

Galiausiai reikia aktyviai siekti įvairių subjektų bendradarbiavimo tarptautiniu lygmeniu. Todėl svarbu stiprinti tarptautines bendradarbiavimo priemones. Tokias iniciatyvas kaip „Madrido standartai“ ir tebevykstantį darbą Europos Taryboje bei OECD verta visapusiškai remti. Šiomis aplinkybėmis labai teigiamai vertintina tai, kad prie Privatumo ir duomenų apsaugos įgaliotinių grupės vykstant tarptautinei konferencijai prisijungė ir JAV Federalinė prekybos komisija.

167.

Apskritai EDAPP palankiai vertina Komisijos komunikatą, nes yra įsitikinęs, kad dabartinius duomenų apsaugos teisės aktus persvarstyti būtina, siekiant užtikrinti veiksmingą apsaugą vis labiau besivystančioje ir globalizuotoje informacinėje visuomenėje.

168.

Komunikate įvardyti pagrindiniai klausimai ir uždaviniai. EDAPP pritaria Komisijos nuomonei, kad ateityje tebereikės griežtos duomenų apsaugos sistemos, paremtos samprata, kad esami bendrieji duomenų apsaugos principai tebegalioja visuomenėje, kurioje vyksta esminiai pokyčiai. EDAPP pritaria komunikato teiginiui, kad uždaviniai yra didžiuliai, ir pabrėžia, kad siūlomi sprendimai turėtų būti atitinkamai plataus užmojo ir didinti apsaugos veiksmingumą. Todėl jis prašo tam tikrais aspektais laikytis platesnio užmojo požiūrio.

169.

EDAPP visiškai pritaria visapusiškam požiūriui į duomenų apsaugą. Tačiau jis apgailestauja, kad komunikate tam tikros sritys į bendrą teisės aktą neįtrauktos, kaip antai ES institucijų ir įstaigų atliekamas duomenų tvarkymas. Jeigu Komisija nuspręstų tų sričių neįtraukti, EDAPP ją ragina per kuo trumpesnį laiką, pageidautina iki 2011 m. pabaigos, ES lygmeniu priimti pasiūlymą.

170.

EDAPP požiūriu, persvarstymo proceso atspirties taškai yra tokie:

171.

EDAPP palankiai vertina Komisijos įsipareigojimą tirti, kaip pasiekti tolesnį duomenų apsaugos derinimą ES lygmeniu. EDAPP nustato sritis, kuriose tolesnis ir geresnis derinimas yra neatidėliotinas: apibrėžtys, duomenų tvarkymo motyvai, duomenų subjektų teisės, tarptautinis duomenų perdavimas ir duomenų apsaugos institucijos.

172.

Siekiant supaprastinti pranešimo reikalavimus ir (arba) susiaurinti jų taikymo sritį, EDAPP siūlo apsvarstyti tokias alternatyvas:

173.

EDAPP nuomone, reglamentas – vienas dokumentas, tiesiogiai taikomas valstybėse narėse, yra veiksmingiausia priemonė pagrindinei teisei į duomenų apsaugą apsaugoti ir didesnei konvergencijai vidaus rinkoje pasiekti.

174.

EDAPP pritaria komunikate pateiktiems siūlymams stiprinti asmenų teises. Jis pateikia tokius siūlymus:

175.

Naujajame teisės akte turi būti numatytos paskatos duomenų valdytojams savo iniciatyva įtraukti duomenų apsaugos priemones į savo veiklą. EDAPP siūlo įtraukti bendrą nuostatą dėl atskaitingumo ir „privatumo užtikrinimo projektuojant“. Taip pat reikėtų įtraukti nuostatą dėl privatumo sertifikavimo sistemų.

176.

EDAPP remia iki šiol atliktą plataus užmojo darbą vykstant Tarptautinės duomenų apsaugos įgaliotinių konferencijai parengti ir išplatinti vadinamuosius „Madrido standartus“, kad jie būtų integruoti į privalomą teisės aktą, ir galbūt inicijuoti tarpvyriausybinę konferenciją. EDAPP ragina Komisiją imtis konkrečių veiksmų šia kryptimi, glaudžiai bendradarbiaujant su EOCD ir Europos Taryba.

177.

Naujajame teisės akte būtina aiškiau reglamentuoti taikytiną teisę lemiančius kriterijus. Reikėtų užtikrinti, kad už ES ribų tvarkomiems duomenims būtų taikoma ES jurisdikcija, jeigu yra pagrįstas reikalavimas taikyti ES teisę. Jeigu teisės aktas būtų reglamento formos, visose valstybėse narėse galiotų vienodos taisyklės ir būtų nebe taip reikšminga nustatyti taikytiną teisę (ES).

178.

EDAPP visiškai pritaria tikslui užtikrinti vienodesnį ir nuoseklesnį požiūrį į trečiąsias šalis ir tarptautines organizacijas. Į teisės aktą reikėtų įtraukti įmonėms privalomas taisykles (ĮPT).

179.

Išsamiame teisės akte, į kurį būti įtraukta policijos ir teismų sritis, gali būti numatytos specialios taisyklės, kuriomis tinkamai atsižvelgiama į sektoriaus ypatybes, laikantis prie Lisabonos sutarties pridėtos 21 deklaracijos. Būtina numatyti specialias garantijas, siekiant suteikti duomenų subjektui kompensaciją papildoma apsauga toje srityje, kur asmens duomenų tvarkymas gali būti labiau ribojamo pobūdžio.

180.

Teisės aktas turėtų būti kuo aiškesnis, paprastesnis ir nuoseklesnis. Reikėtų vengti skirtingų sistemų, taikomų, pvz., Europolui, Eurojustui, SIS ir Priumui, plitimo. EDAPP supranta, kad skirtingų sistemų taisykles reikės derinti atidžiai ir laipsniškai.

181.

EDAPP visiškai pritaria Komisijos tikslui reglamentuoti duomenų apsaugos institucijų (DAI) statuso klausimą ir didinti jų nepriklausomumą, išteklius bei įgyvendinimo užtikrinimo įgaliojimus. Jis rekomenduoja:

182.

EDAPP siūlo toliau tobulinti 29 straipsnio darbo grupės veiklą, taip jos nepriklausomumą ir infrastruktūrą. Darbo grupei taip turėtų būti suteikta pakankamai išteklių ir sustiprintas sekretoriatas.

183.

EDAPP siūlo stiprinti darbo grupės patariamąjį vaidmenį, nustatant DAI ir Komisijai pareigą kuo labiau atsižvelgti į darbo grupės priimtas nuomones ir bendras pozicijas. EDAPP nepritaria tam, kad darbo grupės nuomonėms būtų suteikta privaloma galia, visų pirma dėl to, kad DAI yra nepriklausomos. EDAPP rekomenduoja Komisijai naujajame teisės akte numatyti specialias nuostatas dėl aktyvesnio bendradarbiavimo su EDAPP.

184.

EDAPP ragina Komisiją kuo greičiau išreikšti poziciją dėl ES įstaigų ir didelės apimties informacinių sistemų priežiūros klausimo, atsižvelgiant į tai, kad visos priežiūros įstaigos turėtų atitikti būtinuosius nepriklausomumo, pakankamų išteklių ir įgyvendinimo užtikrinimo įgaliojimų kriterijus, be to, turėtų būti užtikrinta, kad būtų tinkamai atstovaujama ES požiūriui. EDAPP palaiko „koordinuotos priežiūros“ modelį.

185.

EDAPP ragina Komisiją:

22.6.2011   

LT

Europos Sąjungos oficialusis leidinys

C 181/24

1.

2011 m. vasario 2 d. Komisija priėmė Europos Parlamento ir Tarybos direktyvos dėl keleivio duomenų įrašo duomenų naudojimo teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais pasiūlymą (3) (toliau – pasiūlymas). Pasiūlymas tą pačią dieną buvo nusiųstas EDAPP konsultacijai.

2.

EDAPP palankiai vertina tai, kad Komisija su juo pasikonsultavo. Galimybė pateikti neoficialias pastabas EDAPP buvo suteikta dar prieš priimant pasiūlymą. Pasiūlyme į kai kurias iš jų atsižvelgta, ir EDAPP pažymi, kad apskritai pasiūlyme duomenų apsaugos garantijos sustiprintos. Tačiau tam tikri klausimai tebekelia rūpestį, visų pirma jie susiję su asmens duomenų rinkimo mastu ir tikslais.

3.

Diskusijos dėl galimos PNR sistemos ES vyksta nuo 2007 m., kai Komisija priėmė Tarybos pamatinio sprendimo šiuo klausimu pasiūlymą (4). Pagrindinis ES PNR sistemos tikslas – sukurti sistemą, pagal kurią oro vežėjai, vykdantys tarptautinius skrydžius tarp ES ir trečiųjų šalių, būtų įpareigoti teroristinių ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais kompetentingoms institucijoms perduoti visų keleivių PNR duomenis. Duomenis centralizuotai kauptų ir tirtų informacijos apie keleivius skyriai, o tyrimo rezultatai būtų perduodami kompetentingoms kiekvienos valstybės narės institucijoms.

4.

Nuo 2007 m. EDAPP atidžiai stebi su galima ES PNR sistema susijusius įvykius ir kartu įvykius, susijusius su trečiųjų šalių PNR sistemomis. 2007 m. gruodžio 20 d. EDAPP priėmė nuomonę dėl šio Komisijos pasiūlymo (5). Paskui pastabas dėl PNR duomenų tvarkymo teisėsaugos tikslais atitikties būtinumo ir proporcingumo principams bei kitų esminių duomenų apsaugos garantijų nuosekliai teikė ne tik EDAPP, bet ir 29 straipsnio darbo grupė (6).

5.

Pagrindinis klausimas, kurį EDAPP nuolat kėlė, daugiausia susijęs su Europos PNR sistemos būtinumo pagrindimu, nes yra daug kitų priemonių, pagal kurias leidžiama teisėsaugos tikslais tvarkyti asmens duomenis.

6.

Palyginti su anksčiau siūlyta versija, EDAPP pripažįsta akivaizdžius šio pasiūlymo patobulinimus duomenų apsaugos srityje. Patobulinimai visų pirma susiję su pasiūlymo taikymo sritimi, įvairių suinteresuotųjų subjektų (informacijos apie keleivius skyrių) vaidmens apibrėžimu, numatymu, kad negali būti tvarkomi neskelbtini duomenys, perėjimu prie duomenų eksportavimo sistemos nenustačius pereinamojo laikotarpio (7) ir duomenų saugojimo apribojimu.

7.

Be to, EDAPP palankiai vertina papildomus poveikio vertinimo pakeitimus ES PNR sistemos atžvilgiu. Tačiau, nors yra išreikšta aiški valia aiškiau argumentuoti sistemos būtinumą, EDAPP šiuose naujuose motyvuose vis dar neįžvelgia įtikinamo sistemos kūrimo pagrindo, visų pirma atsižvelgdamas į plataus masto visų keleivių „išankstinį vertinimą“. Būtinumas ir proporcingumas analizuojami šios nuomonės II skyriuje. III skyriuje daugiausia dėmesio skiriama konkretesniems pasiūlymo aspektams.

8.

PNR sistemai kurti yra absoliučiai būtina įrodyti duomenų tvarkymo būtinumą ir proporcingumą. EDAPP anksčiau, visų pirma dėl galimo Direktyvos 2006/24/EB (Duomenų saugojimo direktyva) persvarstymo, tvirtino, kad poreikis tvarkyti ar saugoti didžiulius informacijos kiekius turėtų būti paremtas aiškiu naudojimo ir rezultato ryšio įrodymu ir turėtų leisti įvertinti sine qua non, ar panašūs rezultatai galėjo būti pasiekti alternatyviomis, mažiau privatumą ribojančiomis priemonėmis (8).

9.

Siekiant pateisinti sistemą, pasiūlyme, visų pirma jo poveikio vertinime, pateikiama daug dokumentų ir teisinių argumentų, kuriais siekiama įrodyti, kad sistema yra reikalinga ir kad ji atitinka duomenų apsaugos reikalavimus. Nurodoma dar ir tai, kad ji duoda papildomą naudą duomenų apsaugos standartų derinimo srityje.

10.

Išanalizavęs šiuos dalykus, EDAPP mano, kad dabartinio turinio pasiūlymas neatitinka ES pagrindinių teisių chartijos 8 straipsnyje, EŽTK 8 straipsnyje ir SESV 16 straipsnyje nustatytų būtinumo ir proporcingumo reikalavimų. Šios išvados motyvai pateikiami tolesniuose punktuose.

11.

EDAPP atkreipia dėmesį, kad į poveikio vertinimą įtraukti pasiūlymui pagrįsti skirti išsamūs paaiškinimai ir statistiniai duomenys. Tačiau jie nėra įtikinami. Pavyzdžiui, pasiūlymo poveikio vertinime ir aiškinamajame memorandume aprašant terorizmo ir sunkių nusikaltimų grėsmę (9) nurodoma, kad 2007 m. valstybėse narėse 100 000 gyventojų teko 14 000 baudžiamųjų nusikaltimų. Šis skaičius gali būti įspūdingas, tačiau jis susijęs su nediferencijuotomis nusikaltimų rūšimis ir niekaip negali padėti pagrįsti pasiūlymo, kuriuo siekiama kovoti tik su tam tikrais sunkiais tarptautiniais nusikaltimais ir terorizmu. Kitas pavyzdys: minima ataskaita dėl narkotikų „problemos“, tačiau statistiniai duomenys nesusiejami su pasiūlyme aptariama prekyba narkotikais, todėl, EDAPP nuomone, ja remtis nėra pagrindo. Tas pats pasakytina apie nusikaltimų padarinių nurodymą kalbant apie „pavogtos nuosavybės vertę“ ir psichologinį bei fizinį poveikį nukentėjusiesiems, nes šie duomenys tiesiogiai nesusiję su pasiūlymo tikslu.

12.

Galiausiai poveikio vertinime nurodoma, jog Belgija pranešė, „kad 2009 m. 95 proc. visų narkotikų konfiskuoti vien dėl to arba daugiausia dėl to, kad pasinaudota PNR duomenimis“. Tačiau reikėtų pabrėžti, kad Belgija (dar) nėra įdiegusi tokios nuolatinės PNR sistemos, kokia numatyta pasiūlyme. Tai galėtų reikšti, kad PNR duomenys gali būti naudingi konkrečiais atvejais, kurių EDAPP neginčija. Veikiau kalbama apie platų duomenų rinkimą, siekiant pastoviai vertinti visus keleivius, o dėl to kyla rimtų duomenų apsaugos klausimų.

13.

EDAPP mano, kad nepakanka atitinkamų ir tikslių aplinkybes aprašančių dokumentų, kurie įrodytų priemonės būtinumą.

14.

Nors dokumente pažymima duomenų tvarkymo priemonių įtaka Chartijai, EŽTK ir SESV 16 straipsniui, jame tiesiogiai minimi galimi šių teisių apribojimai ir pasitenkinama išvada, jog „kadangi siūlomi veiksmai bus skirti kovai su terorizmu ir kitais sunkiais nusikaltimais, įtvirtinti teisės akte jie akivaizdžiai atitiktų šiuos reikalavimus, jeigu jie bus būtini demokratinėje visuomenėje ir atitiks proporcingumo principą“ (10). Tačiau trūksta aiškaus įrodymo, kad priemonės yra neišvengiamai būtinos ir kad nėra mažiau ribojančių alternatyvių priemonių.

15.

Šiuo požiūriu tai, kad numatyti tokie papildomi tikslai, kaip imigracijos įgyvendinimas, „draudimo skristi sąrašas“ ir sauga bei sveikata, kurie galiausiai neįtraukti dėl proporcingumo motyvų, nereiškia, kad PNR duomenų tvarkymo numatymas tik sunkių nusikaltimų ir terorizmo atveju yra de facto proporcingas, nes mažiau ribojantis. Galimybė taikyti sistemą tik kovai su terorizmu, neįtraukiant kitų nusikaltimų, kaip tai buvo numatyta ankstesnėse PNR sistemose, visų pirma pagal ankstesnę Australijos PNR sistemą, taip pat nebuvo įvertinta. EDAPP pabrėžia, kad pagal šią ankstesnę sistemą, dėl kurios 29 straipsnio darbo grupė 2004 m. priėmė teigiamą nuomonę, jos tikslai buvo tik „nustatyti tuos keleivius, kurie gali kelti terorizmo ar susijusios nusikalstamos veikos grėsmę“ (11). Be to, pagal Australijos sistemą nebuvo numatyta saugoti PNR duomenų, išskyrus konkrečių keleivių, kurie identifikuoti kaip keliantys konkrečią grėsmę, duomenis (12).

16.

Be to, kalbant apie stebėjimo nuspėjamumą duomenų subjektams, kyla abejonių, ar Komisijos pasiūlymas atitinka tinkamo teisinio pagrindo reikalavimus pagal ES teisę, – keleivių „vertinimas“ (anksčiau vadintas „grėsmės vertinimu“) bus atliekamas remiantis nuolat kintančiais ir neskaidriais kriterijais. Kaip aiškiai nurodyta dokumento tekste, pagrindinis sistemos tikslas yra ne tradicinė sienų kontrolė, bet žvalgyba (13) ir asmenų, kurie nėra įtariamieji, sulaikymas dar prieš nusikaltimo padarymą. Tokios Europos masto sistemos sukūrimas, kai būtų renkami visų keleivių duomenys, o sprendimai priimami remiantis nežinomais ir kintamais vertinimo kriterijais, kelia didelių skaidrumo ir proporcingumo klausimų.

17.

EDAPP nuomone, vienintelis tikslas, kuris atitiktų skaidrumo ir proporcingumo reikalavimus, būtų PNR duomenų naudojimas atsižvelgiant į kiekvieną konkretų atvejį, kaip nurodyta 4.2 punkto c papunktyje, tačiau tik jeigu, remiantis konkrečiais rodikliais, būtų nustatyta rimta ir konkreti grėsmė.

18.

4 straipsnio 2 dalies b punkte numatyta, kad informacijos apie keleivius skyrius gali atlikti keleivių vertinimą ir kad, atliekant šią veiklą, PNR duomenys gali būti lyginami su „duomenimis atitinkamose duomenų bazėse“, kaip nurodyta 4 straipsnio 2 dalies b punkte. Šioje nuostatoje nenurodyta, kokios yra tos atitinkamos duomenų bazės. Todėl ši priemonė nenuspėjama, o nuspėjamumo reikalaujama pagal Chartiją ir EŽTK. Be to, kyla šios nuostatos atitikties tikslo ribojimo principui klausimas: EDAPP nuomone, pvz., ji neturėtų būti taikoma tokiai duomenų bazei, kaip Eurodac, kuri sukurta kitokiais tikslais (14). Be to, ji turėtų būti įmanoma, tik jeigu yra specialus poreikis, konkrečiu atveju, jeigu po nusikaltimo padarymo yra iš anksto įtariamas asmuo. Pvz., nuolatinė vizų informacinės sistemos duomenų bazės (15) patikra pagal visus PNR duomenis būtų perteklinė ir neproporcinga.

19.

Idėja, kuria remiantis pasiūlymu būtų sustiprinta duomenų apsauga, numatant vienodas sąlygas asmenų teisių atžvilgiu, kelia abejonių. EDAPP pripažįsta, kad, nustačius sistemos būtinumą ir proporcingumą, vienodi standartai visoje ES, įskaitant duomenų apsaugą, padidintų teisinį saugumą. Tačiau dabartiniame pasiūlymo tekste (28 konstatuojamojoje dalyje) nurodoma, kad „šia direktyva nedaroma įtakos valstybių narių galimybei pagal jų vidaus teisę sukurti PNR duomenų rinkimo ir tvarkymo sistemą kitais tikslais, nei nustatyti šioje direktyvoje, ir nedaroma įtakos kitiems transporto paslaugų teikėjams, nei nurodyti šioje direktyvoje, kiek tai susiję su vidaus skrydžiais (…)“.

20.

Todėl pasiūlymas nedaug tepadeda derinti standartus. Jis gali apimti duomenų subjektų teises, tačiau ne tikslo ribojimą, ir galima daryti prielaidą, kad, remiantis minėta formuluote, PNR sistemos, kurios jau naudojamos kovai su, pvz., neteisėta imigracija, pagal direktyvą galėtų būti ir toliau naudojamos.

21.

Tai reiškia, kad, viena vertus, tarp PNR sistemą jau sukūrusių valstybių narių išliktų kai kurie skirtumai ir, kita vertus, dauguma valstybių, kurios sistemingai nerenka PNR duomenų (21 iš 27 valstybių narių), privalėtų tai daryti. EDAPP mano, kad šiuo požiūriu bet kokia papildoma nauda duomenų apsaugos požiūriu yra labai abejotina.

22.

Kaip tik 28 konstatuojamąja dalimi būtų šiurkščiai pažeistas tikslo ribojimo principas. EDAPP nuomone, pasiūlyme reikėtų aiškiai numatyti, kad PNR duomenys negali būti naudojami kitais tikslais.

23.

EDAPP daro panašią išvadą, kaip ir dėl Duomenų saugojimo direktyvos įvertinimo: atsižvelgiant į abu kontekstus, tikro derinimo stoka reiškia teisinio saugumo stoką. Be to, papildomas asmens duomenų rinkimas ir tvarkymas tampa privalomas visoms valstybėms narėms, nors tikroji sistemos būtinybė neįrodyta.

24.

EDAPP taip pat pažymi, kad PNR plėtra susijusi su tebevykstančiu bendruoju visų ES priemonių informacijos mainų valdymo srityje vertinimu, kurį 2010 m. sausio mėn. inicijavo Komisija, neseniai šiuo tikslu parengusi komunikatą „Informacijos valdymo laisvės, saugumo ir teisingumo erdvėje apžvalga“ (16). Yra akivaizdus ryšys su dabartinėmis diskusijomis dėl Europos informacijos valdymo strategijos. Šiuo atžvilgiu EDAPP mano, kad, vertinant ES PNR poreikį, reikėtų atsižvelgti į dabar atliekamo darbo, susijusio su Europos informacijos mainų modeliu, kurį planuojama įgyvendinti 2012 m., rezultatus.

25.

Šiomis aplinkybėmis ir atsižvelgdamas į pasiūlymo trūkumus, visų pirma į jo poveikio vertinimą, EDAPP mano, kad tokiais atvejais, kaip šis, kai pasiūlymo esmė turi įtakos pagrindinėms teisėms į privatumą ir duomenų apsaugą, būtinas specialus poveikio privatumui ir duomenų apsaugai vertinimas. Bendro poveikio vertinimo nepakanka.

26.

Teroristiniai nusikaltimai, sunkūs nusikaltimai ir sunkūs tarptautiniai nusikaltimai apibrėžti pasiūlymo 2 straipsnio g, h ir i punktuose. EDAPP palankiai vertina tai, kad apibrėžtys ir jų taikymo sritis patobulinta ir išskirti sunkūs nusikaltimai bei sunkūs tarptautiniai nusikaltimai. Šis atskyrimas vertintinas palankiai, visų pirma todėl, kad jis reiškia skirtingą asmens duomenų tvarkymą ir vertinimo remiantis iš anksto nustatytais kriterijais nebuvimą sunkių nusikaltimų, kurie nėra tarptautiniai, atveju.

27.

Tačiau, EDAPP nuomone, sunkių nusikaltimų apibrėžtis tebėra per plati. Tai pripažįstama pasiūlyme, kuriame nurodoma, kad valstybės narės vis dar gali į šią apibrėžtį neįtraukti nesunkių nusižengimų, patenkančių į sunkių nusikaltimų apibrėžtį (17), tačiau tai neatitiktų proporcingumo principo. Ši formuluotė reiškia, kad pasiūlyme pateikta apibrėžtis gali apimti ir nesunkius nusižengimus, kuriuos tvarkyti būtų neproporcinga. Ką iš tikrųjų turėtų apimti nesunkūs nusižengimai, neaišku. EDAPP mano, kad, užuot palikus valstybėms narėms galimybę siaurinti taikymo sritį, pasiūlyme reikėtų aiškiai išvardyti nusikaltimus, kurie į apibrėžtį patenka ir kurie į ją nepatenka dėl to, kad yra nesunkūs ir neatitinka proporcingumo kriterijaus.

28.

Tą patį rūpestį kelia 5 straipsnio 5 dalyje palikta galimybė tvarkyti duomenis, susijusius su bet kokiu nusikaltimu, jeigu jis nustatytas pradėjus atitinkamus veiksmus, ir 28 konstatuojamojoje dalyje paminėtai galimybei išplėsti taikymo sritį kitais tikslais nei numatytieji pasiūlyme ar kitų vežimo paslaugų teikėjams.

29.

Be to, rūpestį EDAPP kelia ir 17 straipsnyje numatyta galimybė į direktyvos taikymo sritį įtraukti vidaus skrydžius, atsižvelgiant į tokius duomenis jau renkančių valstybių narių patirtį. Taip išplėtus PNR sistemos aprėptį kiltų dar didesnė grėsmė pagrindinėms asmenų teisėms, todėl to nereikėtų numatyti neatlikus tinkamos analizės, įskaitant išsamų poveikio vertinimą.

30.

Pabaigai reikėtų pabrėžti, kad jeigu taikymo sritis nebūtų ribojama ir valstybėms narėms nebūtų suteiktos galimybės plėsti tikslą, tai prieštarautų reikalavimui, kad duomenys gali būti renkami tik konkrečiais ir aiškiais tikslais.

31.

IAKS vaidmuo ir su PNR duomenų tvarkymu susijusios garantijos kelia konkrečių klausimų, visų pirma todėl, kad IAKS iš oro transporto bendrovių gauna visų keleivių duomenis ir pagal pasiūlymo tekstą turi plačią kompetenciją juos tvarkyti. Tai apima jokiu nusikaltimu neįtariamų keleivių elgesio vertinimą ir galimybę lyginti PNR duomenis su neapibrėžtų duomenų bazių duomenimis (18). EDAPP pažymi, kad pasiūlyme numatytos „ribotos prieigos“ sąlygos, tačiau mano, kad, atsižvelgiant į plačią IAKS kompetenciją, vien šių sąlygų nepakanka.

32.

Pirmiausia nėra aiškus institucijos, paskirtos atlikti IAKS funkcijas, pobūdis, taip pat neaiški jos sudėtis. Pasiūlyme minima, kad darbuotojai gali būti „deleguoti iš kompetentingų valdžios institucijų“, tačiau nesiūloma jokių garantijų, susijusių su IAKS darbuotojų kompetencija ir sąžiningumu. EDAPP rekomenduoja į direktyvos tekstą įtraukti šiuos reikalavimus atsižvelgiant į neskelbtiną duomenų, kuriuos tvarkytų IAKS, pobūdį.

33.

Antra, pasiūlyme suteikiama galimybė vieną IAKS paskirti kelioms valstybėms narėms. Taip sudaroma galimybė kilti piktnaudžiavimo ir duomenų perdavimo ne pagal pasiūlymo sąlygas grėsmėms. EDAPP pripažįsta, kad visų pirma mažesnėms valstybėms narėms gali būti efektyviau sujungti pajėgas, tačiau rekomenduoja į direktyvos tekstą įtraukti šios galimybės sąlygas. Šiose sąlygose turėtų būti reglamentuotas bendradarbiavimas su kompetentingomis institucijomis, taip pat priežiūra, visų pirma susijusi su už ją atsakinga duomenų apsaugos institucija ir su duomenų subjektų teisių įgyvendinimu, nes kelios institucijos gali būti kompetentingos prižiūrėti vieną IAKS.

34.

Dėl pirmiau nurodytų aplinkybių kyla funkcijų iškreipimo grėsmė, visų pirma atsižvelgiant į darbuotojų, kompetentingų analizuoti duomenis, kokybę ir kelių valstybių narių „dalijimąsi“ IAKS.

35.

Trečia, EDAPP kyla klausimas dėl numatytų garantijų, skirtų apsaugoti nuo piktnaudžiavimo. Įpareigojimai dėl registravimo vertintini palankiai, tačiau jų nepakanka. Savęs stebėjimą reikėtų papildyti išorės stebėjimu ir tai turėtų būti padaryta labiau struktūrizuotai. EDAPP siūlo auditą organizuoti sistemingai kas ketverius metus. Reikėtų parengti išsamų saugumo taisyklių rinkinį ir horizontaliai įgyvendinti šias taisykles visuose IAKS.

36.

Pasiūlymo 7 straipsnyje numatyti keli scenarijai, kaip įprastais atvejais IAKS galėtų keistis duomenimis ir kaip išimtiniais atvejais jais galėtų keistis valstybės narės kompetentingos institucijos ir IAKS. Be to, numatytos griežtesnės sąlygos, atsižvelgiant į tai, ar prašoma prieigos prie 9 straipsnio 1 dalyje numatytos duomenų bazės, kurioje duomenys saugomi pirmąsias 30 dienų, ar prie 9 straipsnio 2 dalyje nurodytos duomenų bazės, kurioje duomenys saugomi dar penkerius metus.

37.

Prieigos sąlygos apibrėžiamos griežčiau, jeigu prieigos prašymui taikytina platesnė nei įprasta procedūra. Tačiau EDAPP pažymi, kad vartojama formuluotė kelia painiavą: 7 straipsnio 2 dalis taikytina „sprendžiant konkretų teroristinių nusikaltimų ar sunkių nusikaltimų prevencijos, nustatymo, tyrimo ar patraukimo už juos baudžiamojon atsakomybėn atvejį“; 7 straipsnio 3 dalyje minimos išimtinės aplinkybės reaguojant į konkrečią grėsmę arba vykdant konkretų nusikaltimo tyrimą ar siekiant patraukti baudžiamojon atsakomybėn, kai tai susiję su teroristiniais nusikaltimais ar sunkiais nusikaltimais, 7 straipsnio 4 dalis susijusi su tiesiogine ir didele grėsme visuomenės saugumui, o 7 straipsnio 5 dalyje nurodyta konkreti ir reali su teroristiniais nusikaltimais ar sunkiais nusikaltimais susijusi grėsmė. Įvairių suinteresuotųjų subjektų prieigos prie duomenų bazių sąlygos skiriasi atsižvelgiant į šiuos kriterijus. Tačiau nėra aiškus skirtumas tarp konkrečios grėsmės, tiesioginės ir rimtos grėsmės bei konkrečios ir tikros grėsmės. EDAPP pabrėžia, kad reikia papildomai tikslinti sąlygas, kurioms esant bus leidžiamas duomenų perdavimas.

38.

Pasiūlyme kaip bendras duomenų apsaugos principų teisinis pagrindas minimas Tarybos pamatinis sprendimas 2008/977/TVR, o jo taikymo sritis išplečiama įtraukiant duomenų tvarkymą nacionaliniu lygmeniu.

39.

EDAPP dar 2007 m. pabrėžė (19) minėto pamatinio sprendimo trūkumus, susijusius su duomenų subjektų teisėmis. Pamatiniame sprendime visų pirma trūksta kai kurių duomenų subjektų informavimo reikalavimų, jeigu pateikiamas prašymas susipažinti su subjekto duomenimis: informacija turėtų būti pateikta suprantama forma, turėtų būti nurodytas tvarkymo tikslas, be to, būtinos platesnės garantijos apskundimo duomenų apsaugos institucijai atveju, kai su duomenimis neleidžiama susipažinti tiesiogiai.

40.

Nuoroda į pamatinį sprendimą taip pat turi įtakos duomenų apsaugos institucijos, kompetentingos stebėti būsimos direktyvos taikymą, nustatymui, nes tai nebūtinai bus ta pati DAI, kuri yra kompetentinga (buvusio) pirmojo ramsčio srityje. EDAPP mano, kad po Lisabonos sutarties priėmimo nepakanka remtis vien pamatiniu sprendimu, nes vienas pagrindinių tikslų – pritaikyti teisės aktus, kad būtų užtikrintas aukštas ir suderintas apsaugos lygis visuose (buvusiuose) ramsčiuose. EDAPP nuomone, pasiūlyme reikia numatyti papildomas nuostatas, o ne tik nuorodą į pamatinį sprendimą, tais atvejais, kai nustatyti trūkumai, visų pirma tai pasakytina apie galimybės susipažinti su asmens duomenimis sąlygas.

41.

Tie patys motyvai visiškai galioja nuostatoms dėl duomenų perdavimo į trečiąsias šalis. Pasiūlyme daroma nuoroda į pamatinio sprendimo 13 straipsnio 3 dalies ii punktą, kuriame numatytos plačios duomenų apsaugos garantijų išimtys: juo visų pirma nukrypstama nuo adekvatumo reikalavimo esant viršesniems teisėtiems interesams, visų pirma svarbiems viešiesiems interesams. Ši išimtis suformuluota neapibrėžtai, todėl, aiškinama plačiai, ji galėtų būti taikoma daugeliui PNR duomenų tvarkymo atvejų. EDAPP nuomone, pasiūlyme reikėtų aiškiai neleisti tvarkant PNR duomenis taikyti pamatiniame sprendime numatytų išimčių ir išlaikyti griežto adekvatumo vertinimo reikalavimą.

42.

Pasiūlyme numatytas 30 dienų saugojimo laikotarpis ir papildomas penkerių metų archyvavimo laikotarpis. Šis saugojimo laikotarpis gerokai sutrumpintas, palyginti su ankstesnėmis dokumento versijomis, kuriose saugojimui skirti penkeri ir dar aštuoneri metai.

43.

EDAPP palankiai vertina tai, kad pirmasis saugojimo laikotarpis sutrumpintas iki 30 dienų. Vis dėlto jam kyla abejonių dėl papildomo 5 metų saugojimo laikotarpio: neaišku, ar reikia šiuos duomenis toliau saugoti tokia forma, kad tebebūtų galima nustatyti asmenų tapatybę.

44.

EDAPP taip pat pabrėžia tekste vartojamus terminus, sukeliančius svarbių teisinių padarinių. 9 straipsnio 2 dalyje nurodoma, kad keleivių duomenys bus „užmaskuojami“ ir todėl „anonimizuoti“. Tačiau paskui tekste nurodoma, kad tebebus galima susipažinti su „absoliučiai visais PNR duomenimis“. Jeigu tai įmanoma, vadinasi, PNR duomenys niekada nebuvo visiškai anonimizuoti, nors ir užmaskuoti, tačiau tebeidentifikuotini. Tačiau duomenų apsaugos sistema išlieka taikoma be išlygų, todėl kyla esminis klausimas dėl identifikuotinų visų keleivių duomenų saugojimo penkerius metus būtinumo ir proporcingumo.

45.

EDAPP rekomenduoja performuluoti pasiūlymą laikantis tikro anonimizavimo principo, nesuteikiant galimybės vėl identifikuoti duomenų, t. y. neturi būti leidžiamas joks tyrimas atgaline data. Šie duomenys paskui galėtų būti naudojami vieninteliam tikslui – bendrais žvalgybos sumetimais, remiantis terorizmo ir susijusių nusikaltimų modelių nustatymu migracijos srautuose. Tai reikia atskirti nuo duomenų saugojimo identifikuotina forma, taikant tam tikras garantijas, tais atvejais, kai kyla konkrečių įtarimų.

46.

EDAPP palankiai vertina tai, kad neskelbtini duomenys neįtraukti į tvarkytinų duomenų sąrašą. Tačiau jis pabrėžia, kad pasiūlyme vis dėlto numatyta galimybė šiuos duomenis siųsti Informacijos apie keleivius skyriui, kuris tuomet turi pareigą juos ištrinti (4 straipsnio 1 dalis, 11 straipsnis). Iš šios formuluotės neaišku, ar IAKS tebeturi įprastą pareigą pašalinti oro transporto bendrovių pateiktus neskelbtinus duomenis, ar jie turi tai daryti tik išimtiniais atvejais, jeigu oro transporto bendrovės tokius duomenis atsiunčia per klaidą. EDAPP rekomenduoja pakeisti tekstą, kad nuo pat duomenų tvarkymo pradžios būtų aišku, jog oro transporto bendrovės negali siųsti neskelbtinų duomenų.

47.

Be neskelbtinų duomenų, duomenų, kurie gali būti perduodami, sąrašas nemažai atspindi JAV PNR sąrašą, kurį 29 straipsnio darbo grupė keliose savo nuomonėse supeikė kaip per platų (20). EDAPP mano, kad šį sąrašą reikėtų susiaurinti laikantis darbo grupės nuomonės, o bet koks jo papildymas turėtų būti tinkamai pagrįstas. Visų pirma tai taikytina sričiai „bendros pastabos“, kurią reikėtų išbraukti iš sąrašo.

48.

Remiantis 4 straipsnio 2 dalies a ir b punktais, vertinant asmenis pagal iš anksto nustatytus kriterijus arba atitinkamose duomenų bazėse esančius duomenis, duomenys gali būti tvarkomi automatizuotai, tačiau jie turėtų būti tikrinami individualiai ne automatizuotomis priemonėmis.

49.

EDAPP palankiai vertina tai, kad šis naujas tekstas buvo patikslintas. Ankstesnės nuostatos taikymo srities dviprasmiškumas dėl automatizuotų sprendimų, dėl kurių „asmeniui kyla neigiamų teisinių pasekmių ar kuris labai paveikia (…)“, panaikintas ir ši formuluotė pakeista aiškesne formuluote. Dabar aišku, kad bet koks teigiamas atitikimas bus tikrinamas individualiai.

50.

Be to, naujojoje versijoje aišku, kad vertinimas jokiomis aplinkybėmis negali būti grindžiamas asmens rase ar etnine kilme, religiniais ar filosofiniais įsitikinimais, politinėmis nuomonėmis, naryste profesinėse sąjungose, sveikata ar lytiniu gyvenimu. Kitaip tariant, EDAPP iš šio naujo teksto supranta, kad sprendimas, net jo dalis, negali būti priimama remiantis neskelbtinais duomenimis. Tai atitinka nuostatą, pagal kurią IAKS negali tvarkyti neskelbtinų duomenų, ir ją taip pat reikėtų vertinti palankiai.

51.

EDAPP nuomone, itin svarbu atlikti išsamų direktyvos įgyvendinimo vertinimą, kaip numatyta 17 straipsnyje. Jis mano, kad, atliekant tokį vertinimą, reikėtų įvertinti ne tik tai, kaip bendrai laikomasi duomenų apsaugos standartų, bet ir – tai svarbiau – konkrečiai, ar PNR sistemos yra būtina priemonė. 18 straipsnyje paminėti statistiniai duomenys šiuo požiūriu atlieka svarbų vaidmenį. EDAPP mano, kad ši informacija turėtų apimti įvairius teisėsaugos veiksmus, kaip numatyta projekte, tačiau taip pat reikėtų įtraukti įsiteisėjusius nuosprendžius, dėl kurių imtasi arba nesiimta vykdomųjų veiksmų. Tokie duomenys yra itin svarbūs, kad patikra būtų informatyvi.

52.

Pasiūlymas nepaveikia esamų susitarimų su trečiosiomis šalimis (19 str.). EDAPP mano, kad šioje nuostatoje reikėtų aiškiau nurodyti pasaulinės sistemos, užtikrinančios suderintas duomenų apsaugos garantijas PNR srityje ES ir už jos ribų, tikslą, kaip to prašė Europos Parlamentas ir nustatė Komisija savo 2010 m. rugsėjo 21 d. komunikate dėl keleivio duomenų įrašo (PNR) duomenų perdavimo trečiosioms šalims bendros koncepcijos.

53.

Šiuo požiūriu susitarimuose su trečiosiomis šalimis neturėtų būti nuostatų, pagal kurias duomenų apsaugos lygis būtų menkesnis, nei nustatyta direktyvoje. Tai ypač svarbu dabar, kai, atsižvelgiant į pasaulinės ir suderintos sistemos perspektyvą, yra iš naujo deramasi dėl susitarimų su Jungtinėmis Valstijomis, Australija ir Kanada.

54.

ES PNR sistema ir derybos dėl PNR susitarimų su trečiosiomis šalimis jau yra užsitęsę dalykai. EDAPP pripažįsta, kad, palyginti su 2007 m. Tarybos pamatinio sprendimo dėl ES PNR pasiūlymu, dokumento projektas akivaizdžiai patobulintas. Įtrauktos duomenų apsaugos garantijos, atsižvelgus į įvairių suinteresuotųjų subjektų, visų pirma 29 straipsnio darbo grupės, EDAPP ir Europos Parlamento, nuomonę ir diskusijas su šiais subjektais.

55.

EDAPP palankiai vertina šiuos patobulinimus ir visų pirma pastangas apriboti pasiūlymo taikymo sritį bei PNR duomenų tvarkymo sąlygas. Tačiau jis priverstas pažymėti, kad pasiūlymas neatitinka esminės bet kokios PNR sistemos kūrimo sąlygos, t. y. būtinumo ir proporcingumo principų laikymosi. EDAPP primena, kad, jo nuomone, PNR duomenų tikrai gali reikėti teisėsaugos tikslais konkrečiais atvejais ir jie galėtų atitikti duomenų apsaugos reikalavimus. Konkrečių rūpesčių kelia jų naudojimas nuolat ir neatsirenkant, visų keleivių atžvilgiu.

56.

Poveikio vertinime nurodomi dalykai, kuriais siekiama pateisinti PNR duomenų poreikį kovai su nusikalstamumu, tačiau ši informacija yra pernelyg bendra ir nepagrindžia plataus masto PNR duomenų tvarkymo žvalgybos tikslais. EDAPP nuomone, vienintelė duomenų apsaugos reikalavimus atitinkanti priemonė būtų PNR duomenų naudojimas kiekvienu konkrečiu atveju, jeigu, remiantis konkrečiais rodikliais, yra nustatoma didelė grėsmė.

57.

Be šio esminio trūkumo, EDAPP pastabos susijusios su tokiais aspektais:

58.

EDAPP taip pat rekomenduoja ES PNR pakeitimus įvertinti laikantis platesnio požiūrio, įskaitant tebevykstantį bendrą visų ES priemonių informacijos mainų valdymo srityje vertinimą, kurį Komisija pradėjo 2010 m. sausio mėn. Visų pirma vertinant ES PNR sistemos poreikį reikėtų atsižvelgti į dabar vykstančio darbo, susijusio su 2012 m. numatomu įdiegti Europos informacijos mainų modeliu, rezultatus.

—

2010 m. spalio 19 d. nuomonė dėl keleivio duomenų įrašo (PNR) duomenų perdavimo trečiosioms šalims bendros koncepcijos skelbiama: http://www.edps.europa.eu/EDPSWEB/edps/Consultation/OpinionsC/OC2010

—

29 straipsnio darbo grupės nuomones galima rasti šiuo adresu: http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/index_en.htm#data_transfers

22.6.2011   

LT

Europos Sąjungos oficialusis leidinys

C 181/31

22.6.2011   

LT

Europos Sąjungos oficialusis leidinys

C 181/34

22.6.2011   

LT

Europos Sąjungos oficialusis leidinys

C 181/35

Regione Lombardia

DG Agricoltura

Piazza Città di Lombardia 1

20124 Milano MI

ITALIA

—

articles L. 621-1 et suivants du Code rural et de la pêche maritime,

—

projet de décision du directeur général de FranceAgriMer

FranceAgriMer

12 rue Henri Rol Tanguy

TSA 20002

93555 Montreuil sous Bois Cedex

FRANCE

Ministrstvo za kmetijstvo, gozdarstvo in prehrano Republike Slovenije

Dunajska 22

SI-1000 Ljubljana

SLOVENIJA

22.6.2011   

LT

Europos Sąjungos oficialusis leidinys

C 181/37

1.

2011 m. birželio 15 d. pagal Tarybos reglamento (EB) Nr. 139/2004 (1) 4 straipsnį Komisija gavo pranešimą apie siūlomą koncentraciją: įmonė „Bridgepoint Europe IV Investments (2) Sàrl“ (Liuksemburgas), visiškai kontroliuojama „Bridgepoint Capital Group Limited“ (toliau – „Bridgepoint“, Jungtinė Karalystė), ir įmonė „Eurazeo SA“ (toliau – „Eurazeo“, Prancūzija), pirkdamos akcijas įgyja, kaip apibrėžta Susijungimų reglamento 3 straipsnio 1 dalies b punkte, bendrą įmonės „Foncia Groupe SA“ (toliau – „Foncia“, Prancūzija) kontrolę.

2.

Įmonių verslo veikla:

3.

Preliminariai išnagrinėjusi pranešimą Komisija mano, kad sandoriui, apie kurį pranešta, galėtų būti taikomas EB susijungimų reglamentas. Komisijai paliekama teisė priimti galutinį sprendimą šiuo klausimu. Remiantis Komisijos komunikatu dėl supaprastintos procedūros, taikomos tam tikroms koncentracijoms pagal EB susijungimų reglamentą (2), reikėtų pažymėti, kad šią bylą numatoma nagrinėti komunikate nurodyta tvarka.

4.

Komisija kviečia suinteresuotas trečiąsias šalis teikti savo pastabas dėl pasiūlyto veiksmo.

Pastabos Komisijai turi būti pateiktos ne vėliau kaip per 10 dienų nuo šio pranešimo paskelbimo. Pastabas galima siųsti faksu (+32 22964301), e. paštu COMP-MERGER-REGISTRY@ec.europa.eu arba paštu su nuoroda COMP/M.6274 – Bridgepoint/Eurazeo/Foncia Groupe adresu:

22.6.2011   

LT

Europos Sąjungos oficialusis leidinys

C 181/39

1.

2011 m. birželio 14 d. pagal Tarybos reglamento (EB) Nr. 139/2004 (1) 4 straipsnį Komisija gavo pranešimą apie siūlomą koncentraciją: įmonė „CSN Steel S.L.“ (Ispanija), priklausanti grupei „Companhia Siderúrgica Nacional“, pirkdama akcijas įgyja, kaip apibrėžta Susijungimų reglamento 3 straipsnio 1 dalies b punkte, įmonių

kontrolę.

2.

Įmonių verslo veikla:

3.

Preliminariai išnagrinėjusi pranešimą Komisija mano, kad sandoriui, apie kurį pranešta, galėtų būti taikomas EB susijungimų reglamentas. Komisijai paliekama teisė priimti galutinį sprendimą šiuo klausimu. Remiantis Komisijos komunikatu dėl supaprastintos procedūros, taikomos tam tikroms koncentracijoms pagal EB susijungimų reglamentą (2), reikėtų pažymėti, kad šią bylą numatoma nagrinėti komunikate nurodyta tvarka.

4.

Komisija kviečia suinteresuotas trečiąsias šalis teikti savo pastabas dėl pasiūlyto veiksmo.

Pastabos Komisijai turi būti pateiktos ne vėliau kaip per 10 dienų nuo šio pranešimo paskelbimo. Pastabas galima siųsti faksu (+32 22964301), e. paštu COMP-MERGER-REGISTRY@ec.europa.eu arba paštu su nuoroda COMP/M.6265 – CSN/AG Cementos Balboa/Corrugados Azpeitia/Corrugados Lasao/Stahlwerk Thuringen adresu:

22.6.2011   

LT

Europos Sąjungos oficialusis leidinys

C 181/40

1.

2011 m. birželio 14 d. pagal Tarybos reglamento (EB) Nr. 139/2004 (1) 4 straipsnį Europos Komisija gavo pranešimą apie siūlomą koncentraciją: įmonė „Talis International Holding GmbH“ (Vokietija), įmonės, į kurią įeina „Talis Group“ (toliau – „Talis“), patronuojančioji bendrovė, pirkdama akcijas įgyja, kaip apibrėžta Susijungimų reglamento 3 straipsnio 1 dalies b punkte, visos įmonės „Raphael Valves Industries (1975)“ (toliau – „Raphael“, Izraelis) kontrolę.

2.

„Talis“ ir „Raphael“ verslo veikla: vožtuvų ir kitų vandens pramonės gaminių ir įrangos, įskaitant skirtų vandens gamybai, perdavimui, platinimui ir nuotekoms, projektavimas, gamyba ir platinimas.

3.

Preliminariai išnagrinėjusi pranešimą Europos Komisija mano, kad sandoriui, apie kurį pranešta, galėtų būti taikomas Susijungimų reglamentas. Europos Komisijai paliekama teisė dėl šio klausimo priimti galutinį sprendimą. Pagal Komisijos komunikatą dėl supaprastintos procedūros, taikomos tam tikrų tipų koncentracijai pagal Susijungimų reglamentą (2) , reikėtų pažymėti, kad šią bylą numatoma nagrinėti komunikate nurodyta tvarka.

4.

Europos Komisija kviečia suinteresuotas trečiąsias šalis teikti pastabas dėl pasiūlyto veiksmo.

Pastabos Europos Komisijai turi būti pateiktos ne vėliau kaip per 10 dienų nuo šio pranešimo paskelbimo. Pastabas galima siųsti faksu (+32 22964301), el. paštu COMP/M.6253 – Talis International Holding/Raphael Valves Industries (1975) Ltd adresu: