Briuselis, 2019 07 24

COM(2019) 374 final

KOMISIJOS KOMUNIKATAS EUROPOS PARLAMENTUI IR TARYBAI

Duomenų apsaugos taisyklių kaip priemonės pasitikėjimui didinti ES ir už ES ribų vertinimas








Komisijos komunikatas Europos Parlamentui ir Tarybai

Duomenų apsaugos taisyklių kaip priemonės pasitikėjimui didinti ES ir už ES ribų vertinimas

I.Įvadas

Bendrasis duomenų apsaugos reglamentas 1 (toliau – Reglamentas) visoje Europos Sąjungoje pradėtas taikyti prieš daugiau nei metus. Jis yra pagrindinis nuoseklios ir šiam laikmečiui pritaikytos ES duomenų apsaugos teisinės sistemos, kuriai taip pat priklauso Duomenų apsaugos teisėsaugos srityje direktyva 2 ir Duomenų apsaugos reglamentas ES institucijoms ir įstaigoms 3 , elementas. Paskutiniu šios teisinės sistemos elementu taps E. privatumo reglamentas: šiuo metu jis yra teisėkūros proceso objektas.

Griežtos duomenų apsaugos taisyklės yra labai svarbios užtikrinant pagrindinę teisę į asmens duomenų apsaugą. Jos yra itin reikšmingos demokratinei visuomenei 4 ir laikytinos svarbiu vis didesnį pagreitį įgaunančios duomenų ekonomikos komponentu. ES tikisi pasinaudoti tomis plačiomis galimybėmis, kurias skaitmeninė transformacija atveria paslaugų, darbo vietų kūrimo ir inovacijų srityje, ir įveikti šiame kelyje iškilsiančius uždavinius. Tapatybės vagystės, neskelbtinų duomenų nutekinimas, fizinių asmenų diskriminacija, šališkumas, dalijimasis neteisėtu turiniu ir įsibrovėliškų stebėjimo priemonių kūrimas – tai tik keli probleminiai klausimai, vis dažniau keliami viešose diskusijose, iš kurių akivaizdu, kad žmonės tikisi savo duomenų apsaugos.

Žmonėms visame pasaulyje vis labiau branginant ir vertinant savo duomenų apsaugą bei saugumą, duomenų apsauga tapo išties pasaulinio masto reiškiniu. Daugelis šalių jau yra priėmusios arba šiuo metu rengia išsamias duomenų apsaugos taisykles, grindžiamas principais, panašiais į tuos, kurie nustatyti reglamente. Būtent tai padeda užtikrinti duomenų apsaugos taisyklių konvergenciją viso pasaulio mastu. Tai suteikia naujų galimybių supaprastinti duomenų judėjimą tarp komercinės veiklos vykdytojų ar valdžios institucijų, o kartu ir pagerinti asmens duomenų apsaugos lygį tiek ES, tiek visame pasaulyje.

Į duomenų apsaugą dabar žiūrima atidžiau nei bet kada anksčiau, ir tai daro plataus masto poveikį įvairiems suinteresuotiesiems subjektams bei sektoriams. Komisija yra pasiryžusi imtis lyderio vaidmens vesdama ES sėkmingo naujos duomenų apsaugos sistemos įgyvendinimo link ir visokeriopai sieks, kad ši sistema sklandžiai veiktų. Šiuo komunikatu Komisija įvertina iki šiol pasiektus rezultatus, susijusius su nuosekliu duomenų apsaugos taisyklių įgyvendinimu visoje ES, naujos valdymo sistemos veikimu, poveikiu piliečiams bei įmonėms ir ES pastangomis skatinant pasaulinę duomenų apsaugos sistemų konvergenciją. Ji tęsia darbą, pradėtą rengiant 2018 m. sausio mėn. Komisijos komunikatą dėl reglamento taikymo 5 , ir remiasi įvairių suinteresuotųjų subjektų grupės 6 įdirbiu, visų pirma – įnašu į per metus pasiektų rezultatų vertinimą ir į diskusijas, kurios vyko 2019 m. birželio 13 d. Komisijos surengtame rezultatų vertinimo renginyje 7 . Šis komunikatas taip pat yra papildoma medžiaga peržiūrai, kurią Komisija planuoja atlikti iki 2020 m. gegužės mėn.  8  

ES duomenų apsaugos teisės aktų sistema yra žmogaus interesais pagrįstos Europos atsinaujinimo krypties kertinis akmuo. Ji tampa vis platesnio politikos krypčių spektro, įskaitant sveikatos ir mokslinių tyrimų, dirbtinio intelekto, transporto, energetikos, konkurencijos ir teisėsaugos politiką, reguliavimo pagrindo dalimi. Komisija nuolat pabrėžė, kad tinkamai įgyvendinti naujas duomenų apsaugos taisykles ir užtikrinti jų vykdymą yra labai svarbu; tai akcentuojama jos 2018 m. sausio mėn. paskelbtame komunikate dėl reglamento taikymo ir 2018 m. rugsėjo mėn. paskelbtose gairėse dėl asmens duomenų naudojimo vykstant rinkimams 9 . Dabar, kai skelbiamas šis komunikatas, siekiant šio tikslo padaryta didelė pažanga, nors akivaizdu – norint, kad reglamentas pradėtų sklandžiai veikti, reikia padaryti dar daugiau.

II.Vienas žemynas – vienos taisyklės. Valstybėse narėse veikia duomenų apsaugos sistema

Vienas iš svarbiausių reglamento tikslų buvo panaikinti 28 skirtingų nacionalinių teisinių sistemų, galiojusių pagal ankstesnę Duomenų apsaugos direktyvą 10 , įvairovę ir užtikrinti teisinį tikrumą fiziniams asmenims ir verslo įmonėms visoje ES. Šis tikslas iš esmės pasiektas.

Teisinių sistemų suderinimas

Nors reglamentas tiesiogiai taikomas valstybėse narėse, juo valstybės narės įpareigotos imtis įvairių teisinių veiksmų nacionaliniu lygmeniu, visų pirma apibrėžti ir paskirstyti įgaliojimus nacionalinėms duomenų apsaugos institucijoms 11 , nustatyti konkretiems atvejams taikytinas taisykles, pvz., asmens duomenų apsaugos suderinimo su saviraiškos ir informacijos laisve, ir iš dalies pakeisti arba panaikinti tam tikriems sektoriams skirtus teisės aktus su duomenų apsaugos aspektais. Dabar, kai skelbiamas šis komunikatas, visos valstybės narės, išskyrus tris 12 , jau yra atnaujinusios savo nacionalinius duomenų apsaugos įstatymus. Atskiriems sektoriams skirtų teisės aktų pritaikymo procesas nacionaliniu lygmeniu dar nesibaigęs. Šį reglamentą įjungus į Europos ekonominės erdvės susitarimą, jo taikymo sritis buvo išplėsta įtraukiant Norvegiją, Islandiją ir Lichtenšteiną – šios šalys taip pat priėmė nacionalinius duomenų apsaugos įstatymus.

Vis dėlto suinteresuotieji subjektai ragina kai kurių sričių teisines nuostatas dar labiau suderinti 13 . Reglamentu valstybėms narėms paliekama laisvė tam tikrose srityse taikymo sritį detaliau apsibrėžti savo nuožiūra, pavyzdžiui, nuo kokio amžiaus vaikai gali duoti sutikimą, kad jiems būtų teikiamos interneto paslaugos 14 arba kad jų asmens duomenys būtų tvarkomi tokiose srityse kaip medicina ir visuomenės sveikata. Šiuo atveju valstybių narių veiksmai yra ribojami dviejų veiksnių:

I)visos nacionalinės specifikacijų teisės nuostatos turi atitikti Pagrindinių teisių chartijos reikalavimus 15 (ir neviršyti ribų, nustatytų reglamente, kuris grindžiamas Chartija);

II)jie negali kaip nors paveikti laisvo asmens duomenų judėjimo ES 16 .

Esama atvejų, kai valstybės narės yra nustačiusios nacionalinius reikalavimus, kurie viršija reglamento nuostatas, visų pirma įvairiais sektorių teisės aktais, – dėl to atsiranda susiskaidymas ir, atitinkamai, sukuriama nereikalinga našta. Vienas iš pavyzdžių, kai valstybėse narėse taikomi reglamento nuostatas viršijantys papildomi reikalavimai, – Vokietijos teisės aktais nustatyta prievolė paskirti duomenų apsaugos pareigūną įmonėse, kuriose yra 20 arba daugiau darbuotojų, nuolat dalyvaujančių automatizuoto asmens duomenų tvarkymo procese.

Nuolatinės pastangos siekti didesnės nuostatų darnos

Komisija palaiko dvišalius dialogus su nacionalinėmis valdžios institucijomis, kuriuose ypač daug dėmesio skiria nacionalinėms priemonėms, įvertindama:

·faktinį duomenų apsaugos institucijų nepriklausomumą, be kita ko, skiriant pakankamus finansinius, žmogiškuosius ir techninius išteklius;

·kaip nacionaliniais įstatymais ribojamos duomenų subjektų teisės;

·tai, kad nacionalinės teisės aktais neturėtų būti nustatomi griežtesni reikalavimai negu tie, kurie nustatyti reglamente, kai reikalavimų detalumas neapibrėžtas, pvz., papildomos duomenų tvarkymo sąlygos;

·prievolę užtikrinti, kad teisė į asmens duomenų apsaugą būtų suderinama su saviraiškos ir informacijos laisve, atsižvelgiant į tai, kad šia prievole neturėtų būti naudojamasi siekiant sukurti atgrasomąjį poveikį žurnalistiniam darbui.

Europos duomenų apsaugos valdybos (toliau – Valdybos) kontekste bendradarbiaujančių duomenų apsaugos institucijų darbas yra esminė sąlyga, užtikrinanti, kad naujosios taisyklės būtų taikomos nuosekliai: vykdymo užtikrinimo veiksmai, darantys poveikį kelioms valstybėms narėms, Valdyboje pereina per bendradarbiavimo ir nuoseklumo užtikrinimo mechanizmą 17 , o Valdybos priimtos gairės padeda darniai suprasti reglamentą. Vis dėlto suinteresuotieji subjektai tikisi, kad duomenų apsaugos institucijos nesustos ėjusios šia linkme.

Nacionaliniai teismai ir Europos Sąjungos Teisingumo Teismas savo darbu taip pat prisideda prie to, kad duomenų apsaugos taisyklės būtų aiškinamos nuosekliai. Nacionaliniai teismai neseniai priėmė sprendimus, kuriais reglamento neatitinkančias nacionalinių įstatymų nuostatas pripažino negaliojančiomis 18 .

III.Atskiros naujosios valdymo sistemos dalys tampa visuma

Reglamentu sukurta nauja valdymo struktūra, kurios centre – nepriklausomos nacionalinės duomenų apsaugos institucijos. Būtent jos turi užtikrinti, kad šis reglamentas būtų vykdomas, ir atlieka kontaktinių centrų, į kuriuos suinteresuotieji subjektai gali kreiptis pirmiausia, funkciją. Nors daugumai duomenų apsaugos institucijų praėjusiais metais skirta daugiau išteklių, tarp valstybių narių vis dar esama didelių skirtumų 19 .

Duomenų apsaugos institucijos naudojasi savo naujais įgaliojimais

Reglamentu duomenų apsaugos institucijoms suteikiami platesni vykdymo užtikrinimo įgaliojimai. Priešingai nuogąstavimams, kuriuos iki 2018 m. gegužės mėn. išreiškė kai kurie suinteresuotieji subjektai, nacionalinės duomenų apsaugos institucijos apsisprendė laikytis subalansuoto požiūrio į vykdymo užtikrinimo įgaliojimus. Daugiausia dėmesio jos skyrė dialogui, o ne sankcijoms, ypač kalbant apie mažiausius veiklos vykdytojus, kuriems asmens duomenų tvarkymas nėra pagrindinė veikla. Tuo pat metu jos nevengė praktiškai pasinaudoti – kai tik tai buvo būtina – savo naujais įgaliojimais, pavyzdžiui, pradėjo tyrimus socialinės žiniasklaidos srityje 20 ir skyrė administracines baudas, kurių dydis siekė nuo kelių tūkstančių iki kelių milijonų eurų, priklausomai nuo duomenų apsaugos taisyklių pažeidimo sunkumo.

Duomenų apsaugos institucijų paskirtų baudų pavyzdžiai 21 :

·5 000 EUR bauda sporto lažybų kavinei Austrijoje – už neteisėtą stebėjimą vaizdo kameromis;

·220 000 EUR bauda Lenkijos duomenų brokerių bendrovei – už tai, kad neinformavo asmenų apie tai, kad buvo tvarkomi jų duomenys;

·250 000 EUR bauda Ispanijos futbolo lygai „LaLiga“ – už tai, kad rengiant išmaniajam telefonui skirtą programėlę stokota skaidrumo;

·50 mln. EUR bauda įmonei „Google“ Prancūzijoje – dėl sąlygų naudotojų sutikimui gauti.

Labai svarbu, kad atlikdamos tyrimus duomenų apsaugos institucijos surinktų atitinkamus įrodymus, atliktų visus procedūrinius žingsnius pagal nacionalinės teisės aktus ir užtikrintų tinkamą procesą dažnai sudėtingose bylose. Tam reikia laiko ir didelių pastangų, o tai ir paaiškina, kodėl dauguma tyrimų, pradėtų po to, kai buvo pradėtas taikyti reglamentas, vis dar tebevykdomi.

Vienaip ar kitaip, reglamento sėkmė turėtų būti vertinama ne pagal paskirtų baudų skaičių, o pagal tai, kaip pasikeitė visų proceso dalyvių kultūra ir elgsena. Šiuo požiūriu duomenų apsaugos institucijos disponuoja kitomis priemonėmis, pavyzdžiui, jos gali nustatyti laikiną arba galutinį duomenų tvarkymo apribojimą, įskaitant tvarkymo draudimą, arba nurodyti sustabdyti duomenų srautus duomenų gavėjui trečiojoje valstybėje 22 .

Kai kurios duomenų apsaugos institucijos sukūrė naujų priemonių, kaip antai pagalbos linijas ir priemonių rinkinius įmonėms, o kitos išplėtojo naujas veiklos kryptis, kaip antai atvėrė bandomąją reguliavimo nuostatų taikymo aplinką 23 , kuri padeda bendrovėms užsitikrinti atitiktį reikalavimams. Tačiau dalis suinteresuotųjų subjektų, visų pirma kai kurių valstybių narių mažosios ir vidutinės įmonės, vis dar mano, kad negavo pakankamai paramos ir informacijos 24 . Siekdama padėti ištaisyti šią padėtį, Komisija teikia dotacijas duomenų apsaugos institucijoms, kad jos palaikytų ryšį su suinteresuotaisiais subjektais, visų pirma fiziniais asmenimis ir mažosiomis bei vidutinėmis įmonėmis 25 .

Veiklą vykdo Europos duomenų apsaugos valdyba

Duomenų apsaugos institucijų veikla Europos duomenų apsaugos valdyboje tapo intensyvesnė 26 . Taip intensyviai dirbdama Valdyba priėmė maždaug 20 gairių, susijusių su pagrindiniais reglamento aspektais 27 . Būsimos Valdybos darbo sritys pristatomos dvimetėje programoje 28 , kaip reikalaujama pagal reglamentą.

Tarpvalstybiniais atvejais kiekviena duomenų apsaugos institucija jau nebėra vien tik nacionalinė valdžios institucija, o visą ES apimančio proceso dalis visais etapais nuo tyrimo iki sprendimo. Toks glaudus bendradarbiavimas tapo kasdiene praktika: iki 2019 m. birželio mėn. pabaigos taikant bendradarbiavimo mechanizmą sutvarkyta 516 tarpvalstybinių bylų.

Komisija aktyviai prisideda 29 prie Valdybos veiklos, kuria siekiama propaguoti šio reglamento raidę ir dvasią, ir primena bendruosius ES teisės principus 30 .

ES duomenų apsaugos kultūros kūrimas

Nauja valdymo sistema dar nėra išnaudojusi viso savo potencialo. Svarbu, kad Valdyba toliau sistemintų savo sprendimų priėmimo procesą ir tarp savo narių plėtotų bendrą ES duomenų apsaugos kultūrą. Tai, kad duomenų apsaugos institucijos gali sutelkti savo pastangas 31 klausimais, kurie aktualūs ne vienai valstybei narei, pavyzdžiui, vykdyti jungtinius tyrimus ir taikyti bendras vykdymo užtikrinimo priemones, gali padėti pasiekti minėtą tikslą, o kartu ir sušvelninti išteklių ribotumo poveikį.

Daugelis suinteresuotųjų subjektų pageidauja, kad nacionalinės duomenų apsaugos institucijos dar glaudžiau bendradarbiautų ir laikytųsi bendros veiklos krypties 32 . Jie taip pat norėtų, kad duomenų apsaugos institucijų teikiama informacija būtų nuoseklesnė 33 ir kad nacionalinės gairės būtų visiškai suderintos su Valdybos gairėmis. Kai kurie taip pat tikisi, kad bus išsamiau paaiškintos pagrindinės reglamento sąvokos, pvz., rizikos veiksniais pagrįstas metodas, ypatingą dėmesį teikiant visų pirma mažųjų ir vidutinių įmonių nuogąstavimams.

Šiomis aplinkybėmis labai svarbu sudaryti suinteresuotiesiems subjektams sąlygas labiau prisidėti prie Valdybos darbo. Būtent todėl Komisija palankiai vertina Valdybos rengiamas sistemiškas viešąsias konsultacijas dėl gairių. Ši praktika – kartu su suinteresuotiesiems subjektams skirtų seminarų konkrečiais klausimais organizavimu ankstyvuoju svarstymų etapu – turėtų būti tęsiama ir stiprinama, kad būtų užtikrintas Valdybos darbo skaidrumas, įtraukumas ir aktualumas.

IV.Asmenys naudojasi savo teisėmis, tačiau informuotumą reikėtų ir toliau didinti

Kitas svarbus šio reglamento tikslas – sustiprinti asmenų teises. Šį reglamentą daugelis pilietinių teisių asociacijų ir vartotojų organizacijų laiko svarbiu, abipusiu pasitikėjimu pagrįstu indėliu kuriant lygiateisę skaitmeninę visuomenę.

Didesnis informuotumas teisių į duomenų apsaugą klausimu

Fiziniai asmenys Europos Sąjungoje vis geriau išmano duomenų apsaugos taisykles ir savo teises: 2019 m. gegužės mėn. „Eurobarometro“ surengtoje apklausoje 34 67 proc. respondentų nurodė girdėję apie Reglamentą, 57 proc. – žinojo, kad yra nacionalinė duomenų apsaugos institucija, į kurią jie gali kreiptis informacijos arba pateikti skundą. 73 proc. teigė girdėję apie bent vieną iš šiuo reglamentu suteikiamų teisių. Vis dėlto nemažai fizinių asmenų ES vis dar nesiima aktyvių veiksmų, kad apsaugotų savo asmens duomenis, kai jie atsiduria internete. Pavyzdžiui, 44 proc. asmenų nėra pasikeitę numatytųjų privatumo nuostatų socialiniuose tinkluose.

Asmenys vis dažniau naudojasi savo teisėmis

Geriau suprasdami savo teises, fiziniai asmenys aktyviau jomis naudojasi: teikia klientų užklausas ir dažniau kreipiasi į duomenų apsaugos institucijas norėdami gauti informacijos arba pateikti skundą 35 . Verslo įmonės taip pat nurodo, kad kai kuriuose sektoriuose, kaip antai bankininkystės ir telekomunikacijų, padaugėjo prašymų susipažinti su asmens duomenimis. Be to, fiziniai asmenys dažniau atšaukia savo sutikimą ir pasinaudoja teise nesutikti gauti komercinių pranešimų 36 .

Vis dėlto kai kurie operatoriai nurodo, kad kartais fiziniai asmenys neteisingai supranta duomenų apsaugos taisykles, pavyzdžiui, esama įsitikinimo, kad fiziniams asmenims būtina sutikti su visomis duomenų tvarkymo sąlygomis arba kad teisė reikalauti ištrinti duomenis yra absoliuti (nors, pavyzdžiui, kartais veiklos vykdytojai turi išsisaugoti asmens duomenis dėl teisinių įsipareigojimų) 37 . Pilietinės visuomenės organizacijos savo ruožtu skundžiasi, kad kai kurios verslo įmonės ir duomenų apsaugos institucijos ilgai delsia atsakyti.

Pažymėtina, kad nevyriausybinės organizacijos, įgaliotos fizinių asmenų, pasinaudojusių reglamente numatyta nauja galimybe 38 , inicijavo kelis atstovaujamuosius ieškinius. Inicijuoti atstovaujamuosius ieškinius būtų buvę paprasčiau, jei daugiau valstybių narių būtų pasinaudojusios reglamente numatyta galimybe leisti nevyriausybinėms organizacijoms imtis veiksmų be atskiro įgaliojimo 39 .

Būtinybė toliau stengtis didinti informuotumą

Taigi dialogas ir informuotumo didinimo pastangos, nukreiptos į plačiąją visuomenę, turi būti tęsiamos nacionaliniu ir ES lygmenimis. Šiuo tikslu 2019 m. liepos mėn. Komisija pradėjo naują internetinę kampaniją 40 , kuria siekiama paskatinti fizinius asmenis skaityti pranešimus apie privatumo apsaugą ir optimizuoti savo privatumo nustatymus.

V.Verslo įmonės koreguoja savo praktiką

Reglamentu siekiama remti verslą skaitmeninėje ekonomikoje siūlant ateities išbandymams pritaikytus sprendimus. Verslo įmonės iš esmės pritaria reglamente nustatytam atskaitomybės principui, pagal kurį pereinama nuo ankstesnės gerokai apsunkinančios ex ante veiklos krypties (panaikinti pranešimo reikalavimai, nustatyta galimybė keisti įsipareigojimų mastą, numatytas pritaikytosios bei standartizuotosios duomenų apsaugos lankstumas, sudarant sąlygas konkurencijai privatumo apsaugos sprendimų pagrindu). Tuo pačiu metu kai kurios įmonės ragina duomenų apsaugos institucijas užtikrinti daugiau teisinio tikrumo ir pateikti papildomų ar aiškesnių gairių 41 .

Patikimas duomenų tvarkymas

Nors bendrovės nurodo, kad stengdamosi prisitaikyti prie naujų taisyklių patyrė įvairių sunkumų 42 , daugelis jų pabrėžia, kad tai taip pat buvo proga atkreipti įmonių valdybų dėmesį į duomenų apsaugos klausimą, pasitikrinti, ar tvarkingai laikomi jau turimi duomenys, padidinti saugumą, geriau pasirengti incidentams, sumažinti imlumą nereikalingai rizikai ir užmegzti pasitikėjimu pagrįstus santykius su savo klientais bei komerciniais partneriais. Kalbant apie skaidrumą, verslo ir pilietinės visuomenės organizacijos užsimena apie būtinybę užtikrinti subtilią pusiausvyrą tarp reglamentu nustatyto reikalavimo fiziniams asmenims suteikti visą jų prašomą informaciją ir reikalavimo vartoti aiškią ir paprastą kalbą, taip pat formą, kurią asmenys galėtų suprasti. Veiklos vykdytojai šiuo metu ieško atitinkamų novatoriškų sprendimų.

Apskritai įmonės nurodo galėjusios įgyvendinti naujas duomenų subjektų teises, nors kartais buvo sunku laikytis terminų dėl padidėjusio prašymų skaičiaus ir platesnio jų pobūdžio 43 , arba patikrinti prašymus pateikusių asmenų tapatybę.

Poveikis inovacijoms

Reglamentu ne tik leidžiama, bet ir skatinama kurti naujas technologijas, kartu atsižvelgiant į pagrindinę teisę – teisę į asmens duomenų apsaugą. Tai pasakytina apie tokias sritis kaip dirbtinis intelektas.

Verslo įmonės jau pradėjo rengti naujų, privatumo nepažeidžiančių paslaugų pasiūlymą. Pavyzdžiui, kai kuriose valstybėse narėse vis didesnę rinkos dalį užima paieškos sistemos, kurios nevykdo naudotojų sekimo ir nenaudoja elgsena grįstos reklamos. Kitos bendrovės plėtoja paslaugas, pagrįstas naujomis fiziniams asmenims suteiktomis teisėmis, kaip antai teisė į asmens duomenų perkeliamumą. Vis daugiau verslo įmonių apie pagarbą asmens duomenims kalba kaip apie konkurencinį išskirtinumą ir priemonę pritraukti klientų. Šie pokyčiai minėtini kalbant ne tik apie ES, bet ir apie labai novatorišką užsienio šalių ekonomiką 44 .

Specifinė nedidelės rizikos labai mažų ir mažųjų įmonių padėtis

Nors padėtis įvairiose valstybėse narėse skiriasi, labai mažos ir mažosios įmonės 45 , kurioms asmens duomenų tvarkymas nėra pagrindinė veikla, yra tarp tų suinteresuotųjų subjektų, kuriems kyla daugiausia klausimų dėl šio reglamento taikymo. Nors panašu, kad šie klausimai kyla iš dalies dėl nepakankamo informuotumo duomenų apsaugos taisyklių srityje, jų nuogąstavimus sustiprina tai, kad kai kurių konsultantų paslaugos yra mokamos, pasitaiko, kad išplatinama neteisinga informacija, pavyzdžiui, dėl būtinybės sistemiškai gauti fizinių asmenų sutikimą 46 , taip pat tai, kad nacionaliniu lygmeniu taikoma papildomų reikalavimų.

Šiomis aplinkybėmis mažos ir mažosios įmonės ragina parengti gaires, kurios būtų pritaikytos prie jų specifikos ir kuriose būtų pateikiama itin praktiška informacija. Kai kurios duomenų apsaugos institucijos tai jau padarė nacionaliniu lygmeniu 47 . Siekdama papildyti nacionalines iniciatyvas, Komisija išleido informacinę medžiagą, skirtą padėti tokioms įmonėms atitikti naujas taisykles laikantis tam tikros praktinių žingsnių sekos 48 .

Priemonių rinkinio panaudojimas pagal reglamentą

Reglamente numatyta priemonių, kuriomis gali būti įrodyta atitiktis, pavyzdžiui, standartinės sutarčių sąlygos, elgesio kodeksai ir naujai nustatyti sertifikavimo mechanizmai.

Standartinės sutarčių sąlygos yra pavyzdinės sąlygos, kurias galima savanoriškai įtraukti į sutartį, pavyzdžiui, tarp duomenų valdytojo ir duomenų tvarkytojo, ir kuriomis nustatomi susitariančiųjų šalių įsipareigojimai pagal reglamentą. Reglamentu išplečiamos galimybės naudoti standartines sutarčių sąlygas tiek tarptautiniams, tiek ES viduje atliekamiems pervedimams 49 . Tai, kad tarptautiniai pervedimai plačiai naudojami, rodo 50 , kad verslo įmonėms jie labai patogūs siekiant užsitikrinti atitiktį reikalavimams ir ypač naudingi bendrovėms, neturinčioms išteklių derėtis dėl individualių sutarčių su kiekvienu iš savo duomenų tvarkymo paslaugų teikėjų.

Kai kuriuose sektoriuose taip pat manoma, kad standartinių sutarčių sąlygų priėmimas yra veiksmingas būdas skatinti nuostatų derinimo procesą, ypač kai jas priima Komisija. Komisija bendradarbiaus su suinteresuotaisiais subjektais, kad būtų pasinaudota Reglamente numatytomis galimybėmis ir atnaujintos esamos nuostatos.

Elgesio kodeksų laikymasis yra kita darbinė ir praktinė priemonė, kuria pramonė gali naudotis siekdama lengviau įrodyti atitiktį reglamentui 51 . Šiuos kodeksus turėtų rengti prekybos asociacijos arba įstaigos, atstovaujančios tam tikrų kategorijų duomenų valdytojams ir tvarkytojams; juose turėtų būti paaiškinta, kaip duomenų apsaugos taisyklės gali būtų įgyvendintos konkrečiame sektoriuje. Kadangi tokie kodeksai padeda suderinti įsipareigojimus su rizika 52 , mažosioms ir vidutinėms įmonėms jie gali būti, be kita ko, labai veiksminga ir ekonomiškai efektyvi pagalba vykdant įsipareigojimus.

Pagaliau sertifikavimas taip pat gali būti naudinga priemonė siekiant įrodyti atitiktį konkretiems reglamento reikalavimams. Sertifikavimas gali padidinti teisinį tikrumą verslo įmonėms ir populiarinti reglamentą visame pasaulyje. Sertifikavimo ir akreditavimo gairės 53 , kurias neseniai priėmė Europos duomenų apsaugos valdyba, sudarys sąlygas Europos Sąjungoje kurti sertifikavimo sistemas. Komisija vykdys šių procesų stebėseną ir prireikus, kad apibrėžtų sertifikavimo reikalavimus, pasinaudos reglamente numatytais įgaliojimais. Komisija taip pat gali ES standartizacijos įstaigoms pateikti su reglamentu susijusių elementų standartizacijos prašymą.

VI.Didėjanti konvergencija stebima tarptautiniu lygmeniu

Poreikio užtikrinti asmens duomenų apsaugą esama ne tik ES. Kaip matyti iš neseniai atliktos pasaulinės apklausos dėl interneto saugumo, pasitikėjimo trūkumas visame pasaulyje didėja, todėl žmonės priversti keisti savo elgesio internete įpročius 54 . Vis daugiau bendrovių šiuos klausimus sprendžia suteikdamos galimybę reglamentu nustatytomis teisėmis naudotis ir tiems savo klientams, kurie įsikūrę ne ES.

Be to, vis dažniau susidurdamos su panašiomis problemomis, viso pasaulio šalys imasi rengti naujas duomenų apsaugos taisykles arba modernizuoja esamas. Tokie teisės aktai dažnai turi nemažai bendrų bruožų, kuriuos diktuoja ES duomenų apsaugos sistema, pavyzdžiui, užuot rengus atskiriems sektoriams skirtas taisykles, priimami plačios aprėpties teisės aktai, įstatymais įgyvendinamos fizinių asmenų teisės, skiriama nepriklausoma priežiūros institucija. Šia kryptimi judama visame pasaulyje: nuo Pietų Korėjos iki Brazilijos, nuo Čilės iki Tailando, nuo Indijos iki Indonezijos. Nuolat didėjantis besijungiančiųjų prie Europos Tarybos 108-osios konvencijos 55 (kuri neseniai modernizuota 56 reikšmingai prisidėjus Komisijai) skaičius – tai dar vienas aiškus ženklas, kad judama didėjančios konvergencijos kryptimi.

Saugaus ir laisvo duomenų judėjimo skatinimas priimant sprendimus dėl apsaugos lygio tinkamumo ir kitomis priemonėmis

Didėjanti konvergencija suteikia naujų galimybių palengvinti duomenų judėjimą ir, atitinkamai, prekybą bei valdžios institucijų bendradarbiavimą, kartu pagerinant Europos Sąjungos fizinių asmenų duomenų, perduodamų į užsienį, apsaugos lygį.

Įgyvendindama savo 2017 m. komunikate „Keitimasis asmens duomenimis ir jų apsauga globalizuotame pasaulyje“ 57 išdėstytą strategiją, Komisija ėmė intensyviau bendradarbiauti su trečiosiomis šalimis ir kitais tarptautiniais partneriais, remdamasi privatumo sistemų konvergencijos elementais ir toliau juos plėtodama. Kartu išnagrinėta galimybė priimti išvadas dėl apsaugos lygio tinkamumo su pasirinktomis trečiosiomis šalimis 58 . Šios pastangos davė svarbių rezultatų, visų pirma: 2019 m. vasario mėn. įsigaliojo ES ir Japonijos abipusis susitarimas dėl apsaugos lygio tinkamumo, kuriuo sukurta didžiausia pasaulyje laisvo ir saugaus duomenų judėjimo erdvė. Derybos dėl apsaugos lygio tinkamumo su Pietų Korėja yra gerokai pažengusios; tiriamasis darbas vyksta siekiant pradėti derybas dėl apsaugos lygio tinkamumo su keliomis Lotynų Amerikos šalimis, pavyzdžiui, Čile ar Brazilija, priklausomai nuo vykstančių teisėkūros procesų baigties. Kai kuriose Azijos šalyse, kaip antai Indijoje, Indonezijoje ir Taivane, taip pat Europos rytinėse ir pietinėse šalyse, pokyčiai taip pat daug žadantys: tai galėtų atverti duris būsimiems sprendimams dėl apsaugos lygio tinkamumo.

Be to, Komisija palankiai vertina tai, kad kitos šalys, kuriose galioja perdavimo nuostatos, panašios į reglamento tinkamumo nuostatas, pripažįsta, jog ES, taip pat šalys, kurias ES vertina kaip „tinkamas“, užtikrina reikiamą apsaugos lygį 59 . Tai gali padėti sukurti tinklą šalių, kuriose duomenys gali laisvai judėti.

Negana to, vyksta intensyvus darbas su kitomis trečiosiomis šalimis, pavyzdžiui, Kanada, Naująja Zelandija, Argentina ir Izraeliu, siekiant pagal reglamentą užtikrinti 1995 m. Duomenų apsaugos direktyvos pagrindu priimtų sprendimų dėl apsaugos lygio tinkamumo tęstinumą. Kaip paaiškėjo, ES ir JAV sistema „Privatumo skydas“ (angl. Privacy Shield) yra naudinga priemonė, padedanti užtikrinti, kad transatlantiniam duomenų judėjimui būtų užtikrinama aukšto lygio apsauga; šioje sistemoje dalyvauja per 4 700 bendrovių 60 . Atliekant metinę peržiūrą užtikrinama, kad būtų reguliariai tikrinamas šios sistemos veikimo tinkamumas, o naujai iškylantys klausimai būtų sprendžiami laiku.

Kadangi universalaus visiems tinkamo sprendimo dėl duomenų judėjimo nėra, Komisija taip pat dirba su suinteresuotaisiais subjektais ir Valdyba, siekdama, kad būtų išnaudotas visas reglamento priemonių, skirtų tarptautiniams pervedimams, rinkinio potencialas. Kalbama apie tokias priemones kaip standartinės sutarčių sąlygos, sertifikavimo sistemų kūrimas, valstybinėms įstaigoms skirti elgesio kodeksai ar administraciniai susitarimai. Šiuo požiūriu Komisija yra suinteresuota keistis patirtimi ir geriausia praktika su kitomis sistemomis, kurios galbūt jau yra sukaupusios konkrečios patirties taikant kai kurias iš šių priemonių. Komisija svarstys galimybę pasinaudoti pagal reglamentą jai suteiktais įgaliojimais, susijusiais su minėtomis perdavimo priemonėmis, visų pirma – su standartinėmis sutarčių sąlygomis.

Kalbant apie ne tik išimtinai dvišales priemones, galbūt vertėtų išnagrinėti ir tai, ar, duomenų judėjimui tampant vis reikšmingesniu prekybos, komunikacijos ir socialinės sąveikos komponentu, panašiai mąstančios šalys galėtų šioje srityje įdiegti daugiašalę sistemą. Įdiegus tokią priemonę duomenys galėtų laisvai judėti tarp susitariančiųjų šalių, o kartu, atsižvelgiant į bendras vertybes ir pasinaudojant konverguojančiomis sistemomis, būtų užtikrinamas reikiamas apsaugos lygis. Ją būtų galima kurti, pavyzdžiui, modernizuotos 108-osios konvencijos pagrindu arba remiantis šių metų pradžioje Japonijos pradėta įgyvendinti iniciatyva „Pasitikėjimas ir laisvas duomenų judėjimas“ (angl. Data Free Flows with Trust).

Naujų prekybos ir duomenų apsaugos priemonių sąveikos formų paieška

Komisija ne tik skatina duomenų apsaugos standartų konvergenciją tarptautiniu lygmeniu, bet taip pat yra pasiryžusi kovoti su skaitmeniniu protekcionizmu. Šiuo tikslu ji parengė specialias nuostatas dėl duomenų judėjimo ir duomenų apsaugos prekybos susitarimuose, kurias sistemingai akcentuoja dvišalėse ir daugiašalėse derybose, pavyzdžiui, šiuo metu vykstančiose PPO derybose dėl elektroninės prekybos. Šiomis horizontaliosiomis nuostatomis eliminuojamos grynai protekcionistinės priemonės, kaip antai privalomi duomenų lokalizavimo reikalavimai, kartu išsaugant susitarimo šalių reguliavimo autonomiją, taip siekiant apsaugoti pagrindinę teisę į duomenų apsaugą.

Nors dialogai duomenų apsaugos ir prekybos derybų klausimais turi vykti atskiromis kryptimis, jie gali ir papildyti vienas kitą: ES ir Japonijos abipusis susitarimas dėl apsaugos lygio tinkamumo yra geriausias tokios sąveikos pavyzdys – taip dar labiau palengvinami prekybos mainai ir, atitinkamai, didinama ekonominės partnerystės susitarimo duodama nauda. Pažymėtina, kad tokio pobūdžio konvergencija, pagrįsta bendromis vertybėmis bei aukštais standartais ir sutvirtinta veiksmingu vykdymo užtikrinimu, suteikia patį tvirčiausią keitimosi asmens duomenimis pagrindą – tai savo ruožtu pripažįsta vis daugiau mūsų tarptautinių partnerių 61 . Turint galvoje tai, kad įmonės vis dažniau veikia tarptautiniu mastu ir savo verslo operacijoms visame pasaulyje renkasi taikyti panašius taisyklių rinkinius, tokia konvergencija padeda kurti tiesioginėms investicijoms palankią aplinką, o kartu palengvina prekybą ir stiprina komercinių partnerių tarpusavio pasitikėjimą.

Palankesnių sąlygų keistis informacija apie kovą su nusikalstamumu ir terorizmu sudarymas taikant tinkamas apsaugos priemones

Didesnis duomenų apsaugos sistemų suderinamumas taip pat gali reikšmingai palengvinti labai reikalingus ES ir užsienio reguliavimo, policijos ir teisminių institucijų informacijos mainus ir taip prisidėti prie veiksmingesnio ir operatyvesnio teisėsaugos bendradarbiavimo 62 . Tuo tikslu Komisija ketina pasinaudoti galimybe priimti sprendimus dėl tinkamumo pagal Duomenų apsaugos teisėsaugos srityje direktyvą, kad sustiprintų bendradarbiavimą su pagrindiniais partneriais kovoje su nusikalstamumu ir terorizmu. Taip pat pažymėtina, kad 2017 m. vasario mėn. įsigaliojęs ES ir JAV bendrasis susitarimas dėl duomenų apsaugos 63 (angl. Umbrella Agreement) gali būti naudojamas kaip pavyzdys sudarant panašius susitarimus su kitais svarbiais saugumo partneriais.

Kiti pavyzdžiai, iliustruojantys aukštų duomenų apsaugos standartų, kaip pagrindo stabiliam bendradarbiavimui su trečiosiomis šalimis teisėsaugos srityje, svarbą, – tai keleivio duomenų įrašų (PNR) perdavimas 64 ir operatyvinės informacijos mainai tarp Europolo ir svarbių tarptautinių partnerių. Šia linkme arba jau vyksta, arba netrukus prasidės derybos dėl tarptautinių susitarimų su keliomis pietinėmis kaimyninėms šalims 65 .

Patikimos duomenų apsaugos priemonės taip pat bus labai svarbus visų būsimų susitarimų dėl tarpvalstybinės prieigos prie elektroninių įrodymų baudžiamuosiuose tyrimuose tiek dvišaliu (ES ir JAV susitarimas), tiek daugiašaliu lygmeniu (Europos Tarybos konvencijos dėl elektroninių nusikaltimų (Budapešto konvencijos) antrasis papildomas protokolas) komponentas 66 .

Duomenų apsaugos vykdymą užtikrinančių institucijų bendradarbiavimo skatinimas

Dabar, kai privatumo apsaugos reikalavimų nesilaikymas ar saugumo incidentai daugybei fizinių asmenų gresia vienalaikiu poveikiu keliose jurisdikcijose, glaudesnis priežiūros institucijų bendradarbiavimas tarptautiniu lygmeniu gali padėti užtikrinti tiek veiksmingesnę fizinių asmenų teisių apsaugą, tiek stabilesnę aplinką verslo subjektams. Atsižvelgdama į šias aplinkybes ir glaudžiai bendradarbiaudama su Valdyba, Komisija ieškos būdų, kaip sukurti palankesnes sąlygas ES ir užsienio priežiūros institucijų bendradarbiavimui vykdymo užtikrinimo srityje ir savitarpio pagalbai, be kita ko, pasinaudojant reglamente nustatytais naujais įgaliojimais šioje srityje 67 . Dėmesys būtų skiriamas įvairioms bendradarbiavimo formoms nuo bendrų aiškinamųjų ar praktinių priemonių kūrimo 68 iki keitimosi informacija apie atliekamus tyrimus.

Pagaliau Komisija taip pat ketina stiprinti dialogą su regioninėmis organizacijomis ir tinklais, pavyzdžiui, Pietryčių Azijos valstybių asociacija (ASEAN), Afrikos Sąjunga, Azijos ir Ramiojo vandenyno šalių privatumo apsaugos institucijų forumu (APPA) ar Iberijos pusiasalio ir Amerikos duomenų apsaugos tinklu, kurie atlieka vis svarbesnį vaidmenį formuojant bendrus duomenų apsaugos standartus, skatinant keitimąsi geriausios patirties pavyzdžiais ir kuriant palankesnes sąlygas vykdymą užtikrinančių institucijų bendradarbiavimui. Ji taip pat bendradarbiaus su Ekonominio bendradarbiavimo ir plėtros organizacija, taip pat Azijos ir Ramiojo vandenyno ekonominio bendradarbiavimo organizacija, kad būtų užtikrinta konvergencija siekiant aukšto lygio duomenų apsaugos.

VII.Duomenų apsaugos teisės aktai – neatsiejama įvairių politikos sričių dalis

Asmens duomenų apsauga užtikrinama keliose Sąjungos politikos srityse ir į jas integruojama.

Telekomunikacijų ir elektroninių ryšių paslaugos

2017 m. sausio mėn. Komisija priėmė Reglamento dėl privatumo ir elektroninių ryšių pasiūlymą 69 . Šiuo pasiūlymu siekiama užtikrinti komunikacijos konfidencialumą, kaip numatyta Pagrindinių teisių chartijoje, tačiau kartu apsaugoti ir asmens duomenis, kurie gali būti komunikacijos, taip pat galutinių paslaugų gavėjų galinių įrenginių dalis.

Siūlomu E. privatumo reglamentu patikslinamas ir papildomas aptariamasis reglamentas: jame nustatytos konkrečios minėtais atvejais taikytinos taisyklės. Juo modernizuojamos dabartinės ES e. privatumo taisyklės 70 , siekiant atsižvelgti į technologinius ir teisinius pokyčius. Juo didinamas fizinių asmenų privatumas, išplečiant naujų taisyklių taikymo sritį taip, kad jos apimtų ir virštinklinių paslaugų teikėjus, ir taip sudarant vienodas sąlygas visoms elektroninių ryšių paslaugoms. Nors Europos Parlamentas patvirtino įgaliojimą pradėti trišalius dialogus 2017 m. spalio mėn., Taryba iki šiol nesusitarė dėl bendros krypties. Komisija toliau visapusiškai pritaria E. privatumo reglamentui; ji palaikys teisėkūros institucijų pastangas siūlomą reglamentą priimti kuo greičiau.

Sveikata ir moksliniai tyrimai

Visuomenės sveikatos srityje dėl bendrojo intereso darosi vis svarbiau kurti kuo palankesnes sąlygas valstybių narių mainams sveikatos duomenimis, kurie pagal reglamentą yra neskelbtini. Tai apima sveikatos priežiūrą ar gydymą, apsaugą nuo didelių tarpvalstybinio pobūdžio grėsmių sveikatai ir aukštų sveikatos priežiūros kokybės bei saugos, taip pat vaistų ar medicinos priemonių standartų užtikrinimą. Reglamente nustatytos taisyklės, kuriomis užtikrinamas teisėtas ir patikimas sveikatos duomenų tvarkymas ir keitimasis jais visoje ES. Šios taisyklės taip pat taikomos trečiųjų šalių prieigai prie pacientų medicininių duomenų, įskaitant duomenis, saugomus pacientų sveikatos suvestinėse, e. receptuose, o ilgainiui ir išsamiuose elektroniniuose sveikatos įrašuose, taip pat jų naudojimui mokslinių tyrimų tikslais. Kalbant konkrečiai apie klinikinių tyrimų sritį, Komisija taip pat yra parengusi konkrečius klausimus ir atsakymus, susijusius su Klinikinių tyrimų reglamento 71 ir Bendrojo duomenų apsaugos reglamento sąveika 72 .

Dirbtinis intelektas (DI)

Dirbtiniam intelektui įgaunant strateginės reikšmės, labai svarbu suformuluoti bendras jo plėtotės ir naudojimo taisykles. Skatindama DI plėtotę ir taikymą Komisija laikosi žmogaus interesais pagrįstos veiklos krypties, o tai reiškia, kad DI taikomosios programos turi atitikti pagrindines teises 73 . Atsižvelgiant į tai, reglamente nustatytomis taisyklėmis sukuriama bendra sistema ir numatomi konkretūs įpareigojimai bei teisės, ypač svarbūs tvarkant asmens duomenis DI srityje. Pavyzdžiui, reglamente numatyta teisė į tai, kad nebūtų taikomi vien tik automatizuota sprendimų priėmimo tvarka priimami sprendimai, išskyrus tam tikrus atvejus 74 . Jame taip pat nustatyti konkretūs skaidrumo reikalavimai, taikytini automatizuota sprendimų priėmimo tvarka priimamų sprendimų naudojimui, būtent prievolė informuoti apie tokių sprendimų egzistavimą ir suteikti esminę informaciją, paaiškinant jos svarbą ir numatomas duomenų tvarkymo pasekmes fiziniam asmeniui 75 . Aukšto lygio ekspertų grupė dirbtinio intelekto klausimais 76 , Ekonominio bendradarbiavimo ir plėtros organizacija 77 ir G 20 78 šiuos pagrindinius reglamento principus pripažino kaip ypač svarbius atsakant į DI srityje iškylančius sunkumus ir atsiveriančias galimybes. Europos duomenų apsaugos valdyba savo 2019–2020 m. darbo programoje dirbtinį intelektą įvardijo kaip vieną iš galimų temų 79 .

Transportas

Susietųjų automobilių ir pažangiųjų miestų plėtotė vis labiau priklauso nuo to, kaip įvairūs subjektai, įskaitant automobilių pramonę, automobilių gamintojus, telematikos paslaugų teikėjus ir už kelių infrastruktūrą atsakingas valdžios institucijas, tvarko didelius asmens duomenų kiekius ir šiais duomenimis keičiasi. Kadangi suinteresuotųjų subjektų daug, kyla ir tam tikrų keblumų, susijusių su įvairių veikėjų, dalyvaujančių tvarkant asmens duomenis, vaidmenų ir atsakomybės paskirstymu, taip pat su tuo, kaip užtikrinti, kad visi veikėjai duomenis tvarkytų laikydamiesi teisės normų. Siekiant sėkmingai diegti intelektines transporto sistemas visų rūšių transporto atžvilgiu ir platinti skaitmenines priemones bei paslaugas, padedančias didinti fizinių asmenų ir prekių judumą, labai svarbu laikytis reglamento ir e. privatumo teisės aktų nuostatų 80 .

Energetika

Skaitmeninių sprendimų plėtotė energetikos sektoriuje vis labiau priklauso nuo asmens duomenų tvarkymo. Į teisės aktus, kurie priimti kaip dokumentų rinkinio „Švari energija visiems europiečiams“ 81 dalis, įtraukta naujų nuostatų, kuriomis sudaromos sąlygos elektros energijos sektoriaus skaitmeninimui, taip pat taisyklės dėl prieigos prie duomenų, duomenų tvarkymo ir sąveikumo, kuriomis sudaromos sąlygos tvarkyti tikralaikius vartotojų duomenis siekiant sutaupyti ir paskatinti savarankišką energijos gamybą bei dalyvavimą energijos rinkoje. Todėl, siekiant sėkmingai įgyvendinti šias nuostatas, labai svarbu laikytis duomenų apsaugos taisyklių.

Konkurencija

Į asmens duomenų tvarkymą vis labiau atsižvelgiama formuojant konkurencijos politiką 82 . Kadangi duomenų apsaugos institucijos yra vienintelės institucijos, kurioms patikėta vertinti, ar nėra pažeidžiamos duomenų apsaugos taisyklės, konkurencijos, vartotojų ir duomenų apsaugos institucijos bendradarbiauja ir prireikus toliau bendradarbiaus savo atitinkamų kompetencijos sričių susikirtimo atveju. Komisija skatins tokį bendradarbiavimą ir atidžiai stebės vykstančius procesus.

Rinkimai

Gairėse dėl asmens duomenų naudojimo vykstant rinkimams 83 , kurios 2018 m. rugsėjo mėn. paskelbtos kaip rinkimų teisės aktų rinkinio 84 dalis, Komisija atkreipė dėmesį į taisykles, kurios yra ypač svarbios rinkimų proceso dalyviams, įskaitant klausimus, susijusius su asmens duomenų analize pagrįstu poveikiu rinkėjams. Šių gairių turinys atkartotas Europos duomenų apsaugos valdybos pareiškime 85 ; įvairios duomenų apsaugos institucijos paskelbė gaires nacionaliniu lygmeniu. Be to, į rinkimų teisės aktų rinkinį įtrauktas raginimas kiekvienai valstybei narei sukurti nacionalinį rinkimų tinklą, skirtą su rinkimais susijusiai veiklai internete, kurio veikloje dalyvautų už rinkimų klausimus, taip pat taisyklių, kaip antai duomenų apsaugos, stebėseną ir vykdymo užtikrinimą atsakingos nacionalinės institucijos. Dar priimta naujų priemonių, kuriomis Europos politinėms partijoms ir fondams numatytos sankcijos už duomenų apsaugos taisyklių pažeidimus. Komisija valstybėms narėms rekomendavo laikytis tos pačios krypties nacionaliniu lygmeniu. Rengiant 2019 m. Europos Parlamento rinkimų vertinimą, kuris turi būti paskelbtas 2019 m. spalio mėn., taip pat bus atsižvelgta į duomenų apsaugos aspektus.

Teisėsauga

Veiksminga ir autentiška saugumo sąjunga gali būti sukurta tik visapusiškai laikantis pagrindinių teisių, įtvirtintų ES chartijoje ir ES antrinės teisės aktuose, įskaitant tinkamas duomenų apsaugos priemones, padedančias saugiai keistis asmens duomenimis teisėsaugos tikslais. Bet kokiems pagrindinės teisės į privatumą ir duomenų apsaugą apribojimams taikytinas griežtas būtinumo ir proporcingumo patikrinimas.

VIII.Išvada

Remdamasi turima informacija ir dialogu su suinteresuotaisiais subjektais, pirmuosius reglamento taikymo metus Komisija preliminariai vertina iš esmės teigiamai. Vis dėlto, kaip nurodoma šiame komunikate, tam tikrose srityse būtina siekti didesnės pažangos.

Teisinės sistemos įgyvendinimas ir pildymas

·Trys valstybės narės, kurios dar neatnaujino savo nacionalinės duomenų apsaugos teisės, privalo tai padaryti kuo skubiau. Visos valstybės narės turėtų baigti derinti savo sektoriams skirtus teisės aktus su reglamento reikalavimais.

·Komisija pasinaudos visomis turimomis priemonėmis, įskaitant pažeidimų nagrinėjimo procedūras, siekdama užtikrinti, kad valstybės narės laikytųsi reglamento ir kiek galėdamos mažintų duomenų apsaugos sistemos susiskaidymą.

Užtikrinimas, kad būtų išnaudotas visas naujosios valdymo sistemos potencialas

·Valstybės narės nacionalinėms duomenų apsaugos institucijoms turėtų skirti pakankamai žmogiškųjų, finansinių ir techninių išteklių.

·Duomenų apsaugos institucijos turėtų stiprinti tarpusavio bendradarbiavimą, pavyzdžiui, atlikdamos jungtinius tyrimus. Valstybės narės turėtų palengvinti sąlygas tokiems tyrimams atlikti.

·Valdyba turėtų toliau plėtoti ES duomenų apsaugos kultūrą ir visapusiškai naudotis reglamente numatytomis priemonėmis, kad taisyklės būtų taikomos darniai. Ji turėtų toliau rengti gaires, ypač skirtas mažosioms ir vidutinėms įmonėms.

·Valdybos sekretoriato kompetencija turėtų būti stiprinama, kad Valdybos pastangos būtų veiksmingiau palaikomos ir vedamos tikslo link.

·Komisija ir toliau palaikys duomenų apsaugos institucijas ir Valdybą, visų pirma aktyviai dalyvaudama Valdybos veikloje ir atkreipdama jos dėmesį į ES teisės reikalavimus įgyvendinant šį reglamentą.

·Komisija palaikys duomenų apsaugos institucijų ir kitų institucijų, visų pirma konkurencijos srities, sąveiką visapusiškai atsižvelgdama į jų atitinkamą kompetenciją.

Suinteresuotųjų subjektų palaikymas ir įtraukimas

·Valdyba turėtų aktyviau stengtis įtraukti suinteresuotuosius subjektus į savo veiklą. Komisija ir toliau teiks finansinę paramą duomenų apsaugos institucijoms, kad padėtų joms užmegzti ryšius su suinteresuotaisiais subjektais.

·Komisija toliau vykdys informuotumo didinimo veiklą ir dirbs su suinteresuotaisiais subjektais.

Tarptautinės konvergencijos skatinimas

·Komisija toliau intensyvins dialogą dėl apsaugos lygio tinkamumo su reikalavimus atitinkančiais pagrindiniais partneriais, taip pat ir teisėsaugos srityje. Konkrečiai, ji siekia per ateinančius mėnesius užbaigti vykstančias derybas su Pietų Korėja. 2020 m. ji pateiks 11-os sprendimų dėl apsaugos lygio tinkamumo, priimtų pagal Duomenų apsaugos direktyvą, peržiūros ataskaitą.

·Komisija toliau dirbs – įskaitant techninę pagalbą, keitimąsi informacija ir geriausios patirties pavyzdžius – su šalimis, kurios suinteresuotos priimti modernius privatumo apsaugos teisės aktus, ir stiprins bendradarbiavimą su trečiųjų šalių priežiūros institucijomis bei regioninėmis organizacijomis.

·Komisija bendradarbiaus su daugiašalėmis ir regioninėmis organizacijomis, siekdama paskatinti taikyti aukštus duomenų apsaugos standartus ir taip sudaryti palankesnes sąlygas prekybai bei bendradarbiavimui (pvz., pagal iniciatyvą „Pasitikėjimas ir laisvas duomenų judėjimas“, kurios ėmėsi Japonija G 20 viršūnių susitikimo kontekste).

Reglamente 86 reikalaujama, kad 2020 m. Komisija pateiktų jo įgyvendinimo ataskaitą. Tai suteiks galimybę įvertinti padarytą pažangą ir tai, ar praėjus dvejiems metams nuo reglamento taikymo pradžios įvairūs naujosios duomenų apsaugos sistemos komponentai veikia visu pajėgumu. Šiuo tikslu Komisija bendradarbiaus su Europos Parlamentu, Taryba, valstybėmis narėmis, Europos duomenų apsaugos valdyba, atitinkamais suinteresuotaisiais subjektais ir piliečiais.

(1)      2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1), https://eur-lex.europa.eu/legal-content/LT/TXT/?uri=CELEX%3A32016R0679 .
(2)      2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR, OL L 119, 2016 5 4,     https://eur-lex.europa.eu/legal-content/LT/ALL/?uri=celex:32016L0680 . Valstybės narės turėjo perkelti šią direktyvą į nacionalinę teisę iki 2018 m. gegužės 6 d. Saugumo sąjungos ataskaitose pateikiama informacija apie jos perkėlimo į nacionalinę teisę eigą.
(3)      2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB, OL L 295, 2018 11 21, p. 39–98, https://eur-lex.europa.eu/legal-content/LT/TXT/?uri=CELEX%3A32018R1725 . Jis taikomas nuo 2018 m. gruodžio 11 d.
(4)      Indijos aukščiausiasis teismas 2017 m. rugpjūčio 24 d. principiniu sprendimu pripažino, kad privatumas yra pagrindinė teisė, „esminis žmogaus orumo aspektas“.
(5)      Komisijos komunikatas Europos Parlamentui ir Tarybai „Didesnė apsauga, naujos galimybės. Komisijos gairės dėl tiesioginio Bendrojo duomenų apsaugos reglamento taikymo nuo 2018 m. gegužės 25 d.“, COM(2018) 43 final,      https://eur-lex.europa.eu/legal-content/LT/TXT/?qid=1517578296944&uri=CELEX%3A52018DC0043 .
(6)      Komisijos sudarytą įvairių suinteresuotųjų subjektų grupę reglamento klausimais sudaro pilietinės visuomenės ir verslo atstovai, akademikai ir srities specialistai,     https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537&Lang=LT .  
(7)       https://europa.eu/rapid/press-release_IP-19-2956_lt.htm .
(8)      Reglamento 97 straipsnis.
(9)      „Komisijos gairės dėl Sąjungos duomenų apsaugos teisės aktų taikymo rinkimams“, COM(2018) 638 final, https://ec.europa.eu/commission/sites/beta-political/files/soteu2018-data-protection-law-electoral-guidance-638_en.pdf .
(10)      1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo,     https://eur-lex.europa.eu/legal-content/LT/TXT/?uri=celex:31995L0046 .  
(11)      Pavyzdžiui, įgaliojimus skirti administracines baudas.
(12)      2019 m. liepos 23 d. duomenimis, Graikija, Portugalija ir Slovėnija tebevykdo nacionalinių įstatymų priėmimo procesą.
(13)      Žr. 2019 m. birželio 13 d. įvairių suinteresuotųjų subjektų grupės reglamento klausimais ataskaitą, https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeeting&meetingId=15670&Lang=LT .  
(14)      Belgijoje, Danijoje, Estijoje, Jungtinėje Karalystėje, Latvijoje, Maltoje, Suomijoje, ir Švedijoje – nuo 13 metų; Austrijoje, Bulgarijoje, Ispanijoje, Italijoje, Kipre ir Lietuvoje – nuo 14 metų; Čekijoje ir Prancūzijoje – nuo 15 metų; Airijoje, Kroatijoje, Lenkijoje, Liuksemburge, Nyderlanduose, Rumunijoje, Slovakijoje, Vengrijoje ir Vokietijoje – nuo 16 metų.
(15)      8 straipsnis.
(16)      Pagal Sutarties dėl Europos Sąjungos veikimo 16 straipsnio 2 dalį.
(17)      Reglamento 60 straipsnyje numatytas duomenų apsaugos institucijų bendradarbiavimas, kad konkrečiais atvejais būtų taikomas vienas reglamento aiškinimas. 64 straipsnyje numatyta, kad tam tikrais atvejais Valdyba rengs nuomones, taip siekiant užtikrinti nuoseklų reglamento taikymą. Pagaliau Valdybai suteikti įgaliojimai priimti privalomus sprendimus, skirtus duomenų apsaugos institucijoms, jei jos tarpusavyje nesutaria.
(18)      Taip atsitiko Vokietijoje ir Ispanijoje.
(19)       https://edpb.europa.eu/sites/edpb/files/files/file1/19_2019_edpb_written_report_to_libe_en.pdf  
(20)      Pavyzdžiui, Airijos duomenų apsaugos komisija pradėjo 15 oficialių tyrimų dėl tarptautinių technologijų bendrovių atitikties reglamentui. Žr. Airijos duomenų apsaugos komisijos 2018 m. metinės ataskaitos p. 49,     https://www.dataprotection.ie/en/news-media/press-releases/dpc-publishes-annual-report-25-may-31-december-2018 .
(21)      Kai kuriems sprendimams dėl baudų skyrimo vis dar taikytina teisminė peržiūra.
(22)      58 straipsnio 2 dalies f ir j punktai.
(23)       https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/09/ico-call-for-views-on-creating-a-regulatory-sandbox/  
(24)      Žr. įvairių suinteresuotųjų subjektų grupės ataskaitą dėl BDAR, https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeeting&meetingId=15670&Lang=LT .
(25)      2018 m. devynioms duomenų apsaugos institucijoms (Belgijos, Bulgarijos, Danijos, Islandijos, Latvijos, Lietuvos, Nyderlandų, Slovėnijos ir Vengrijos) skirta 2 mln. EUR veiklai 2018–2019 m. vykdyti, https://ec.europa.eu/info/funding-tenders/opportunities/portal/screen/opportunities/topic-details/rec-rdat-trai-ag-2017 .  
2019 m. numatoma skirti 1 mln. EUR,
https://ec.europa.eu/info/funding-tenders/opportunities/portal/screen/opportunities/topic-details/rec-rdat-trai-ag-2019 .  
(26)      Valdybai suteiktas juridinio asmens statusas; ją sudaro nacionalinių duomenų apsaugos priežiūros institucijų vadovai ir Europos duomenų apsaugos priežiūros pareigūnas.
(27)       https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_lt  
(28)       https://edpb.europa.eu/our-work-tools/our-documents/publication-type/work-program_lt  
(29)      Kaip balsavimo teisės neturintis dalyvis.
(30)      Komisija taip pat padėjo užtikrinti sklandų Valdybos įsteigimą ir remia jos veikimą sudarydama sąlygas jai naudotis savo ryšių sistema.
(31)      Reglamento 62 straipsnis.
(32)      Žr. įvairių suinteresuotųjų subjektų grupės reglamento klausimais ataskaitą, https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeeting&meetingId=15670&Lang=LT .    Pavyzdžiui, įmonių atstovų įsitikinimu, nacionaliniai duomenų tvarkymo operacijų, kurių atžvilgiu pagal reglamento 35 straipsnį turi būti atliekamas poveikio duomenų apsaugai vertinimas, rūšių sąrašai galėjo būti suderinti geriau.
(33)      Įskaitant tą, kuria dalijasi įvairios valdžios institucijos federacinėse valstybėse.
(34)       https://europa.eu/rapid/press-release_IP-19-2956_lt.htm  
(35)       https://ec.europa.eu/commission/sites/beta-political/files/infographic-gdpr_in_numbers_1.pdf  
(36)      Žr. įvairių suinteresuotųjų subjektų grupės Bendrojo duomenų apsaugos reglamento klausimais ataskaitą.
(37)      Žr. įvairių suinteresuotųjų subjektų grupės Bendrojo duomenų apsaugos reglamento klausimais ataskaitą.
(38)      Reglamento 80 straipsnio 1 dalis.
(39)      Reglamento 80 straipsnio 2 dalis.
(40)      Ja tęsiama ankstesnė kampanija, kuria siekta skleisti fiziniams asmenims ir įmonėms skirtą informacinę medžiagą, https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_lt .
(41)      Žr. įvairių suinteresuotųjų subjektų grupės reglamento klausimais ataskaitą.
(42)      IT sistemos atnaujinimas dažnai minimas kaip vienas iš pagrindinių uždavinių, visų pirma kalbant apie pritaikytosios ir standartizuotosios duomenų apsaugos principų įgyvendinimą, teisę reikalauti ištrinti duomenis atsarginėse kopijose ir kt.
(43)      Verslo įmonės taip pat prašo Valdybos pateikti rekomendacijų dėl nepagrįstų ir perteklinių prašymų tvarkymo.
(44)      Pavyzdžiui, remiantis Izraelio kibernetinio saugumo pramonės asociacijos paskelbta ataskaita, 2018 m. „Duomenų apsaugos ir privatumo“ pasektoris, susijęs su kibernetiniu saugumu, įvardytas kaip sparčiausiai augantis iš dalies dėl to, kad buvo pradėtas taikyti BDAR.
(45)      Kaip apibrėžta MVĮ apibrėžtyje, kurią galima rasti adresu https://ec.europa.eu/growth/smes/business-friendly-environment/sme-definition_lt .  
(46)      Pažymėtina, kad reglamentu numatytas ne tik sutikimas, bet ir keli teisiniai asmens duomenų tvarkymo pagrindai.
(47)      Pavyzdžiui, Prancūzijos duomenų apsaugos institucijos parengtas vadovas, https://www.cnil.fr/fr/la-cnil-et-bpifrance-sassocient-pour-accompagner-les-tpe-et-pme-dans-leur-appropriation-du-reglement .  
(48)       https://ec.europa.eu/commission/sites/beta-political/files/ds-02-18-544-lt-n.pdf
(49)      Žr. reglamento 28 straipsnį. Komisijos priimtos standartinės sutarčių sąlygos galioja visoje ES. Ir priešingai – tos standartinės sutarčių sąlygos, kurias pagal 28 straipsnio 8 dalį priima duomenų apsaugos institucijos, yra privalomos tik jas priėmusiai institucijai, taigi gali būti naudojamos kaip standartinės sutarčių sąlygos tvarkymo operacijoms, kurios priklauso tos institucijos jurisdikcijai, kaip numatyta 55 ir 56 straipsniuose.
(50)      Jos faktiškai yra pagrindinė priemonė, kuria bendrovės naudojasi vykdydamos savo duomenų eksportą.
(51)      2019 m. birželio 4 d. Europos duomenų apsaugos valdyba priėmė elgesio kodeksų gaires. Jose paaiškinamos procedūros ir taisyklės, susijusios su kodeksų teikimu, tvirtinimu ir skelbimu nacionaliniu ir ES lygmenimis.
(52)      Reglamento 98 konstatuojamoji dalis.
(53)       https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12018-certification-and-identifying-certification_lt ;     https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-42018-accreditation-certification-bodies-under_lt .
(54)      Žr. 2019 m. CIGI-Ipsos pasaulinę apklausą dėl interneto saugumo ir pasitikėjimo. Remiantis šia apklausa, 78 proc. apklaustųjų išreiškė susirūpinimą dėl savo privatumo internete, o 49 proc. teigė, kad dėl nepasitikėjimo jie atskleidžia mažiau asmeninės informacijos internete; 43 proc. apklaustųjų nurodė skiriantys daugiau dėmesio savo įrenginių saugumui, o 39 proc. atsakė, kad, be kitų atsargumo priemonių, internetu naudojasi apdairiau. Apklausoje dalyvavo šios 25 šalys: Australija, Brazilija, Didžioji Britanija, Egiptas, Honkongas, Indija, Indonezija, Italija, Japonija, Jungtinės Amerikos Valstijos, Kanada, Kenija, Kinija, Korėjos Respublika, Lenkija, Meksika, Nigerija, Pakistanas, Pietų Afrika, Prancūzija, Rusija, Švedija, Tunisas, Turkija ir Vokietija.
(55)      1981 m. sausio 28 d. Europos Tarybos konvencija dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (ETS Nr. 108) ir 2001 m. Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu papildomas protokolas dėl priežiūros institucijų ir valstybės sienas kertančių duomenų srautų (ETS Nr. 181). Tai vienintelis privalomas daugiašalis dokumentas duomenų apsaugos srityje. Paskutinės šią konvenciją ratifikavusios šalys – Argentina, Meksika, Žaliasis Kyšulys ir Marokas.
(56)      Protokolas, kuriuo iš dalies keičiama Konvencija dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (ETS Nr. 108), kaip sutarta 128-ojoje Ministrų komiteto sesijoje, vykusioje 2018 m. gegužės 17–18 d. Helsingiore, Danijoje. Modernizuotos 108-osios konvencijos konsoliduotą tekstą galima rasti adresu  https://rm.coe.int/16808ade9d .
(57)      Komisijos komunikatas Europos Parlamentui ir Tarybai „Keitimasis asmens duomenimis ir jų apsauga globalizuotame pasaulyje“, COM(2017) 07 final.
(58)      Reglamentu taip pat sudarytos sąlygos priimti išvadas dėl apsaugos lygio tinkamumo, be kita ko, apimant ir tarptautines organizacijas; tai yra ES pastangų palengvinti keitimąsi duomenimis su tokiais subjektais dalis.
(59)      Tokios veiklos krypties laikosi, pavyzdžiui, Argentina, Kolumbija, Izraelis ir Šveicarija.
(60)      Tai reiškia, kad per pirmuosius trejus gyvavimo metus „Privatumo skydo“ sistema pritraukė daugiau bendrovių negu jos pirmtakė „Saugaus uosto“ sistema (angl. Safe Harbour) per 13 veiklos metų.
(61)          Kaip matyti, pavyzdžiui, iš iniciatyvos „Pasitikėjimas ir laisvas duomenų judėjimas“ koncepcijos apibūdinimo, pateikiamo G 20 Osakos viršūnių susitikimo deklaracijoje,     https://www.consilium.europa.eu/media/40124/final_g20_osaka_leaders_declaration.pdf .
(62)    Žr. Komisijos komunikatą Europos Parlamentui, Tarybai, Europos ekonomikos ir socialinių reikalų komitetui ir Regionų komitetui „Europos saugumo darbotvarkė“, COM(2015) 185 final.
(63)          ES ir JAV susitarimas dėl asmens duomenų apsaugos, kai duomenys perduodami ir tvarkomi nusikalstamų veikų, įskaitant terorizmą, prevencijos, tyrimo, nustatymo arba patraukimo baudžiamojon atsakomybėn tikslais vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, https://eur-lex.europa.eu/legal-content/LT/TXT/?uri=celex:22016A1210(01) (Bendrasis susitarimas dėl duomenų apsaugos). Bendrasis susitarimas dėl duomenų apsaugos yra pirmasis dvišalis tarptautinis susitarimas teisėsaugos srityje, kuriame numatytas išsamus duomenų apsaugos teisių ir įsipareigojimų pagal ES acquis katalogas. Tai sėkmingas pavyzdys to, kaip teisėsaugos institucijų bendradarbiavimas su svarbiu tarptautiniu partneriu gali būti sustiprintas susiderant dėl tvirto duomenų apsaugos priemonių rinkinio.
(64)      2017 m. gruodžio 21 d. Jungtinių Tautų Saugumo Tarybos rezoliucija (SCR) 2396 visos JT valstybės narės raginamos plėtoti PNR duomenų rinkimo, tvarkymo ir analizės pajėgumus visapusiškai gerbiant žmogaus teises ir pagrindines laisves. Taip pat žr. Komisijos komunikatą „Europos saugumo darbotvarkė“, COM(2015) 185 final, https://ec.europa.eu/home-affairs/sites/homeaffairs/files/e-library/documents/basic-documents/docs/eu_agenda_on_security_en.pdf .  
(65)       https://ec.europa.eu/home-affairs/news/security-union-strengthening-europols-cooperation-third-countries-fight-terrorism-and-serious_en  
(66)       http://europa.eu/rapid/press-release_IP-19-2891_lt.htm  
(67)      Žr. Reglamento dėl tarptautinio bendradarbiavimo duomenų apsaugos srityje 50 straipsnį. Ši nuostata apima įvairias bendradarbiavimo formas nuo informacijos apie duomenų apsaugos teisės aktus iki skundų perdavimo ir pagalbos atliekant tyrimus.
(68)      Pavyzdžiui, pranešimams apie pažeidimus skirtų bendrų šablonų.
(69)       https://eur-lex.europa.eu/legal-content/LT/TXT/?uri=CELEX%3A52017PC0010  
(70)    2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių), OL L 201, 2002 7 31, p. 37–47.
(71)       https://eur-lex.europa.eu/legal-content/LT/TXT/?uri=celex%3A32014R0536  
(72)       https://ec.europa.eu/health/sites/health/files/files/documents/qa_clinicaltrials_gdpr_en.pdf  
(73)      2019 m. balandžio 8 d. Komisijos komunikatas „Pasitikėjimo į žmogų orientuotu dirbtiniu intelektu didinimas“, https://ec.europa.eu/digital-single-market/en/news/communication-building-trust-human-centric-artificial-intelligence .    2019 m. balandžio 8 d. Aukšto lygio ekspertų grupės pateiktos „Pasitikėjimo verto DI etikos gairės“, https://ec.europa.eu/digital-single-market/en/news/ethics-guidelines-trustworthy-ai . Taip pat žr. EBPO Tarybos rekomendaciją dėl dirbtinio intelekto, https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0449 , G 20 AI principus, patvirtintus G 20 Osakos viršūnių susitikimo deklaracijoje, https://www.g20.org/pdf/documents/en/annex_08.pdf , ir G 20 ministrų pareiškime dėl prekybos ir skaitmeninės ekonomikos, https://g20trade-digital.go.jp/dl/Ministerial_Statement_on_Trade_and_Digital_Economy.pdf .
(74)      Reglamento 22 straipsnis.
(75)      Reglamento 13 straipsnio 2 dalies f punktas.
(76)       https://ec.europa.eu/digital-single-market/en/high-level-expert-group-artificial-intelligence  
(77)      Tarybos rekomendacija dėl dirbtinio intelekto, https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0449 .
(78)      G 20 ministrų pareiškimas dėl prekybos ir skaitmeninės ekonomikos,     https://g20trade-digital.go.jp/dl/Ministerial_Statement_on_Trade_and_Digital_Economy.pdf .
(79)       https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12plen-2.1edpb_work_program_en.pdf  
(80)      Pavyzdžiui, sudarant palankesnes sąlygas planuoti ir keliaujant naudoti įvairias transporto priemones.
(81)      Visų pirma į Elektros energijos direktyvą,     https://eur-lex.europa.eu/legal-content/LT/ALL/?uri=CELEX%3A32009L0072.
(82)      Pavyzdžiui, byla M.8788 – Apple / Shazam ir byla M. M.8124 – Microsoft / LinkedIn.
(83)       https://ec.europa.eu/commission/sites/beta-political/files/soteu2018-data-protection-law-electoral-guidance-638_en.pdf  
(84)       http://europa.eu/rapid/press-release_IP-18-5681_lt.htm  
(85)       https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-03-13-statement-on-elections_en.pdf  
(86)      Reglamento 97 straipsnis.