Accept Refuse

EUR-Lex Access to European Union law

This document is an excerpt from the EUR-Lex website

Document 52016XX0220(01)

Europos duomenų apsaugos priežiūros pareigūno nuomonės dėl dokumento „Pasitinkant didžiųjų duomenų iššūkius: skaidrumo, vartotojų kontrolės, pritaikytosios duomenų apsaugos ir atskaitingumo poreikis“ santrauka

OJ C 67, 20.2.2016, p. 13–15 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

20.2.2016   

LT

Europos Sąjungos oficialusis leidinys

C 67/13


Europos duomenų apsaugos priežiūros pareigūno nuomonės dėl dokumento „Pasitinkant didžiųjų duomenų iššūkius: skaidrumo, vartotojų kontrolės, pritaikytosios duomenų apsaugos ir atskaitingumo poreikis“ santrauka

(Visą šios nuomonės tekstą anglų, prancūzų ir vokiečių kalbomis galima rasti EDAPP interneto svetainėje www.edps.europa.eu)

(2016/C 67/05)

„Iš tikrųjų, teisė būti vienam yra visų laisvių pradžia“  (1).

Didieji duomenys, jei tvarkomi atsakingai, tiek visuomenei, tiek atskiriems asmenims gali būti labai naudingi ir efektyvūs ne tik sveikatos, bet ir mokslinių tyrimų, aplinkosaugos ir kitose specifinėse srityse. Tačiau kyla didžiulis susirūpinimas dėl faktinės ir potencialios didelių duomenų kiekio tvarkymo įtakos asmenų teisėms ir laisvėms, įskaitant teisę į privatumą. Todėl didžiųjų duomenų tvarkymas reikalauja veiksmingesnės duomenų apsaugos.

Technologijos neturėtų diktuoti, kokios turi būti vertybės ir teisės, tačiau inovacijų skatinimas ir pagrindinių teisių saugojimas taip pat neturėtų būti suvokiami kaip nesuderinami dalykai. Dėl naujų verslo modelių, išnaudojančių naujas galimybes masiškai kaupti, akimirksniu perduoti, susieti ir pakartotinai naudoti asmens duomenis nenumatytiems tikslams, duomenų apsaugos principams tenka didesnis krūvis, todėl reikia visapusiškai apsvarstyti, kaip juos taikyti.

Europos duomenų apsaugos teisė aktai buvo kuriami tam, kad apsaugotų mūsų pagrindines teises ir vertybes, įskaitant teisę į privatumą. Kalbama ne apie tai, ar duomenų apsaugos teisės aktus reikia taikyti didiesiems duomenims, bet apie tai, kaip juos inovatyviai taikyti naujose aplinkose. Dabartiniai duomenų apsaugos principai, apimantys skaidrumą, proporcingumą ir tikslų ribojimą, suteikia pagrindą, kuriuo vadovaujantis mums reikės dinamiškiau saugoti savo pagrindines teises didžiųjų duomenų pasaulyje. Tačiau šie principai, visgi, privalo būti papildyti „naujais“ metų metus kurtais principais, tokiais kaip atskaitingumas ir pritaikytoji bei standartizuotoji duomenų apsauga. Tikimasi, kad ES duomenų apsaugos reformų paketas sustiprins ir modernizuos reguliavimo sistemą (2).

ES, naudodama didžiuosius duomenis, siekia padidinti augimą ir konkurencingumą. Tačiau bendroji skaitmeninė rinka negali nekritiškai įsileisti duomenų bazių technologijas ir verslo modelius, kurie yra ekonomiškai paplitę kitose pasaulio vietose. Vietoje to, ji turi parodyti iniciatyvą plėtojant atskaitingą duomenų tvarkymą. Internetas plėtojasi tokiu būdu, kad sekimą – žmonių elgesio sekimą – kai kurios sėkmingiausios pasaulio kompanijos traktuoja kaip būtiną pajamų gavimo modelį. Tokią interneto plėtrą reikia kritiškai įvertinti ir ieškoti kitų variantų.

Bet kuriuo atveju, ir nepriklausomai nuo to, kuris verslo modelis pasirenkamas, organizacijos, kurios tvarko didelius asmens duomenų kiekius, privalo laikytis taikomų duomenų apsaugos teisės aktų. Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) yra įsitikinęs, kad atsakinga ir nuosekliai vykstanti didžiųjų duomenų plėtra privalo remtis keturiais pagrindiniais elementais:

organizacijos privalo būti daug labiau skaidresnės tvarkydamos asmens duomenis,

leisti vartotojams labiau kontroliuoti, kaip jų duomenys yra naudojami,

įdiegti vartotojui palankią duomenų apsaugą į jų naudojamus produktus ir paslaugas ir

tapti labiau atskaitingiems už savo veiklą.

Kalbant apie skaidrumą, asmenims būtina suteikti aiškią informaciją, kaip jų duomenys yra tvarkomi, įskaitant stebimus ar apie juos numanomus duomenis, būtina geriau informuoti, kodėl ir kokiais tikslais informacija apie juos yra naudojama, įskaitant loginį duomenų naudojimą algoritmuose siekiant apibrėžti prielaidas ir prognozes.

Vartotojo kontrolė padės užtikrinti, kad asmenys turėtų daugiau galių aptikti nesąžiningą veiklą bei pastebėti klaidas. Tai padės apsisaugoti nuo antrinio duomenų naudojimo tokiais tikslais, kurie neatitinka jų teisėtų lūkesčių. Taikant naujos kartos vartotojų duomenų kontrolę, asmenys, prireikus, turės tikresnį ir aiškesnį pasirinkimą bei galės naudotis platesnėmis galimybėmis patiems geriau naudoti savo asmens duomenis.

Galios turinčios teisės susipažinti su duomenimis ir juos perkelti bei veiksmingi atsisakymo mechanizmai gali būti išankstine sąlyga, įgalinančia vartotojus geriau kontroliuoti savo duomenis, taip pat gali turėti naudos naujų verslo modelių vystymui ir efektyvesniam bei skaidresniam asmens duomenų naudojimui.

Įdiegdami duomenų apsaugą į duomenų sistemų projektus ir procesus ir taip sutvarkydami duomenų pasaugą, kad būtų daugiau tikro skaidrumo ir vartotojų kontrolės, atskaitingi duomenų valdytojai taip pat galės turėti naudos iš didžiųjų duomenų privalumų, kartu užtikrindami, kad žmonių orumas ir laisvės būtų gerbiamos.

Tačiau duomenų apsauga yra tiktai dalis atsakymo. ES turi nuosekliau išdėstyti, kokie modernūs įrankiai yra galimi, įskaitant tokias sritis kaip vartotojų apsauga, antimonopolinės taisyklės, moksliniai tyrimai ir plėtra, bei turi užtikrinti apsaugą ir pasirinkimą prekyvietėse, kur gali klestėti privatumui palakios paslaugos.

Siekdami įveikti didžiųjų duomenų keliamą iššūkį, turime sudaryti sąlygas inovacijoms ir tuo pačiu apsaugoti pagrindines teises. Dabar tai priklauso nuo įmonių ir kitų organizacijų, kurios deda daug pastangų, ieškodamos inovatyvių būdų kaip pasinaudoti asmens duomenimis, kad tokią pačią novatorišką mąstyseną jos naudotų įgyvendindamos duomenų apsaugos teisės aktus.

Remdamasis ankstesniais akademinės bendruomenės, daugelio reguliavimo institucijų ir suinteresuotųjų subjektų pasiūlymais, EDAPP nori paskatinti naują atvirą ir informatyvią diskusiją tiek ES, tiek už jos ribų, įtraukiant į ją pilietinę visuomenę, kūrėjus, įmones, akademikus, valdžios institucijas ir reguliavimo institucijas, ir diskutuoti apie tai, kaip geriausia panaudoti pramonės kūrybinį potencialą įgyvendinant mūsų privatumo ir kitų pagrindinių teisių įstatymą ir apsaugą.

6.   Kiti žingsniai: principų taikymas praktikoje

Siekdami įveikti didžiųjų duomenų keliamą iššūkį, turime sudaryti sąlygas inovacijoms ir tuo pačiu apsaugoti pagrindines teises. Siekiant šio tikslo, reikėtų išsaugoti Europos duomenų apsaugos teisės aktuose nustatytus principus, tačiau taikyti juos reikėtų naujais būdais.

6.1.   Į ateitį nukreiptas reglamentas

Derybos dėl pasiūlyto Bendrojo duomenų apsaugos reglamento pasiekė galutinį etapą. Mes paskatinome ES įstatymų leidėjus priimti duomenų apsaugos reformos paketą, kuris sustiprina ir modernizuoja reguliavimo sistemą tokiu būdu, kad ji išlieka veiksminga didžiųjų duomenų eroje, tačiau kartu sustiprina žmonių pasitikėjimą ir užtikrintumą internetu ir bendrąja skaitmenine rinka (3).

3/2015 nuomonėje, lydimoje rekomendacijų dėl viso siūlomo reglamento teksto, mes aiškiai pasakėme, kad dabartiniai duomenų apsaugos principai, įskaitant būtinumą, proporcingumą, duomenų kiekio mažinimą, tikslų apribojimą ir skaidrumą, išlieka pagrindiniai principai. Jie nurodo pagrindą, kuriuo remiantis mes turime apsaugoti savo pagrindines teises didžiųjų duomenų pasaulyje (4).

Tuo pačiu metu šiuos principus būtina sustiprinti ir efektyviau taikyti – modernesniu, lankstesniu, novatoriškesniu ir kūrybiškesniu būdu. Juos taip pat būtina papildyti naujais principais, tokiais kaip atskaitingumas ir duomenų apsauga bei pritaikytoji ir standartizuotoji privatumo apsauga.

Padidėjęs skaidrumas, galią turinčios teisės susipažinti su duomenimis ir juosperkelti bei veiksmingi atsisakymo mechanizmai gali būti išankstine sąlyga, įgalinančia vartotojus geriau kontroliuoti savo duomenis, prisidėti prie veiksmingesnės asmens duomenų rinkos ir turėti naudos vartotojams ir verslui.

Galiausiai, ES duomenų apsaugos teisės taikymo išplėtimas organizacijoms, kurių veikla nukreipta į asmenis ES valstybėse narėse, ir galių taikyti reikšmingas priemones suteikimas duomenų apsaugos institucijoms, įskaitant veiksmingas baudas, kaip numatyta reglamento pasiūlyme, taip pat bus pagrindiniai reikalavimai siekiant veiksmingai užtikrinti, kad mūsų įstatymai būtų veiksmingai vykdomi pasauliniu mastu. Šiuo atžvilgiu reformos procesas atlieka pagrindinį vaidmenį.

Kad būtų užtikrinta, jog laikomasi taisyklių, nepriklausomoms duomenų apsaugos institucijoms būtina suteikti ne tik teisinių galių ir stiprius instrumentus, bet ir išteklius, kurių reikia, kad jų galimybės atitinktų duomenų verslo augimo tempus.

6.2.   Kaip EDAPP paskatins šią diskusiją

Gero reglamento, nors jis ir būtinas, nepakanka. Įmonės ir kitos organizacijos, kurios deda daug pastangų, ieškodamos inovatyvių būdų kaip pasinaudoti asmens duomenimis, turi naudoti tokią pačią novatorišką mąstyseną įgyvendindamos duomenų apsaugos principus. Duomenų apsaugos institucijos, savo ruožtu, turėtų užtikrinti jų laikymąsi ir paskatinti už tinkamą jų laikymąsi, tačiau kartu vengti apkrauti nebūtina biurokratija ir popierizmu.

EDAPP, kaip paskelbta EDAPP 2015–2019 m. strategijoje, siekia prisidėti prie šių pastangų skatinimo.

Mes ketiname įkurti kviestinę etikos patariamąją grupę, sudarytą iš išskirtinių ir nepriklausomų asmenybių, kurių patirtis įvairialypė ir iš skirtingų disciplinų, kuri galėtų „tirti, koks ryšys sieja žmogaus teises, technologijas, rinkas ir verslo modelius 21 amžiuje“, išsamiai analizuoti didžiųjų duomenų poveikį, įvertinti iš to kylančius mūsų visuomenių pokyčius ir padėti nustatyti problemas, kurias reiktų spręsti politiškai (5).

Mes taip pat kursime teisingos informacijos politikos modelį, skirtą ES institucijomos, siūlančioms internetines paslaugas, kurios gali prisidėti prie geriausių visų duomenų valdytojų praktikų.

Galiausiai, mes taip pat prisidėsime prie diskusijų, pavyzdžiui, identifikuodami, skatindami ir siūlydami geriausias praktikas, kaip didinti skaidrumą ir vartotojų kontrolę, bei tyrinėsime asmens duomenų kaupimo ir duomenų perkeliamumo galimybes. EDAPP siekia suorganizuoti didžiųjų duomenų apsaugos seminarą politikos formuotojams, asmenims, tvarkantiems didelius asmens duomenų kiekius ES institucijose, ir išoriniams ekspertams, bei identifikuoti, kur reikalingos tolesnės specifinės gairės, ir palengvinti Privatumo internete inžinerijos tinklo (IPEN) – inžinieriams ir privatumo ekspertams skirto tarpdisciplininių žinių centro – darbą.

Priimta Briuselyje 2015 m. lapkričio 19 d.

Giovanni BUTTARELLI

Europos duomenų apsaugos priežiūros pareigūnas


(1)  Public Utilities Commission v. Pollak, 343 U.S. 451, 467 (1952) (Justice William O. Douglas, nesutikimas).

(2)  2012 m. sausio 25 d. Europos Komisija priėmė priemonių paketą dėl Europos duomenų apsaugos sistemos reformos. Paketą sudaro: (i) komunikatas (COM(2012) 9 final), (ii) pasiūlymas dėl Bendrojo duomenų apsaugos reglamento (pasiūlytas reglamentas) (COM(2012) 11 final) ir (iii) pasiūlymas dėl direktyvos dėl duomenų apsaugos baudžiamosios teisės vykdymo erdvėje (COM(2012) 10 final).

(3)  EDAPP nuomonė 3/2015.

(4)  Turime atsispirti pagundai sumažinti dabartinį apsaugos lygį siekdami priderinti suvoktą lankstesnio požiūrio į reguliavimą poreikį, kai kalbame apie didžiuosius duomenis. Duomenų apsauga ir toliau turi būti taikoma visapusiškai ir ne tik kalbant apie duomenų naudojimą, bet ir apie duomenų rinkimą. Taip pat nėra pagrindo perteklinėms išimtims tvarkant pseudoniminius duomenis ar viešai prieinamus duomenis. Dabartinis asmens duomenų apibrėžimas privalo likti galiojantis, tačiau jį būtų galima patikslinti pateikiant reglamento teksto papildomus paaiškinimus. Iš tikrųjų, jis turi apimti visus duomenis, susijusius su bet kuriuo individu, kuris yra identifikuojamas, išskiriamas ar gali būti identifikuotas ar išskirtas duomenų valdytojo ar bet kurios kitos šalies.

(5)  EDAPP nuomonė 4/2015.


Top