31.7.2012

Europos Sąjungos oficialusis leidinys

C 229/90

Europos ekonomikos ir socialinių reikalų komiteto nuomonė dėl pasiūlymo dėl Europos Parlamento ir Tarybos reglamento dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (Bendrasis duomenų apsaugos reglamentas)

(COM(2012) 11 final – 2012/011 (COD)

2012/C 229/17

Pagrindinis pranešėjas Jorge PEGADO LIZ

Europos Parlamentas, 2012 m. vasario 16 d., ir Taryba, 2012 m. kovo 1 d., vadovaudamasi Sutarties dėl Europos Sąjungos veikimo 304 straipsniu, nusprendė pasikonsultuoti su Europos ekonomikos ir socialinių reikalų komitetu dėl

Pasiūlymo dėl Europos Parlamento ir Tarybos reglamento dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (Bendrasis duomenų apsaugos reglamentas)

COM(2012) 11 final – 2012/011 (COD).

2012 m. vasario 21 d. Komiteto biuras pavedė Užimtumo, socialinių reikalų ir pilietybės skyriui organizuoti Komiteto darbą šiuo klausimu.

Kadangi darbas skubus, Europos ekonomikos ir socialinių reikalų komitetas savo 481-ojoje plenarinėje sesijoje, kuri įvyko 2012 m. gegužės 23–24 d. (2012 m. gegužės 23 d. posėdis), pagrindiniu pranešėju paskyrė Jorge PEGADO LIZ ir priėmė šią nuomonę 165 nariams balsavus už, 34 – prieš ir 12 susilaikius.

1. Išvados ir rekomendacijos

1.1

EESRK palankiai vertina Komisijos pasirinktą bendrą kryptį, pritaria siūlomam įgaliojimus suteikiančiam pagrindui ir iš esmės pritaria pasiūlymo tikslams, kurie atitinka Komiteto poziciją. Dėl duomenų apsaugos teisinio statuso EESRK mano, kad duomenų tvarkymą ir perdavimą bendrojoje rinkoje turi riboti teisė į asmens duomenų apsaugą pagal Pagrindinių teisių chartijos 8 straipsnį.

1.2	Komiteto nariai nėra tvirtai įsitikinę, ar reglamento kaip tinkamiausios priemonės užtikrinti siekiamus tikslus pasirinkimas yra geriausias sprendimas, ir prašo Komisiją svariau argumentuoti ir pagrįsti priežastis, dėl kurių būtinai reikalinga ne direktyva, bet šis reglamentas.

1.3	Vis dėlto Komitetas apgailestauja, kad pateikta pernelyg daug išimčių ir apribojimų, kurie neigiamai veikia patvirtintus teisės į asmens duomenų apsaugą principus.

1.4

Naujomis skaitmeninės ekonomikos aplinkybėmis Komitetas pritaria Komisijos nuomonei, kad „fiziniai asmenys turi teisę veiksmingai kontroliuoti savo asmeninę informaciją“, tačiau jis taip pat norėtų, kad ši teisė aprėptų ir įvairius vartojimo atvejus, kai kuriami individualūs profiliai, naudojantis teisėtomis, o kartais ir neteisėtomis priemonėmis sukauptais ir atitinkamai sutvarkytais duomenimis.

1.5	Kalbant apie pagrindines teises, konkrečiose srityse jas derinant taikant reglamentą, valstybėms narėms vis dėlto turėtų būti užtikrintos galimybės savo nacionaliniuose teisės aktuose priimti nuostatas, kurių nėra minėtame reglamente arba palankesnes, nei jame numatytosios.

1.6	Komitetas taip pat negali pritarti visoms beveik nuolat įterpiamoms nuorodoms į deleguotuosius aktus, kai tai nėra aiškiai susiję su SESV 290-uoju straipsniu.

1.7

Tačiau Komitetas pritaria siekiui sukurti tinkamą institucinę sistemą, užtikrinančią veiksmingą teisės aktų nuostatų taikymą tiek įmonių (duomenų apsaugos pareigūnai – DAP), tiek ir valstybių narių viešosios administracijos lygmeniu (nepriklausomos priežiūros institucijos). Vis dėlto EESRK norėtų, kad Komisija laikytųsi labiau atitinkančio tikruosius piliečių poreikius ir siekius požiūrio, kuris leistų sistemingiau atsižvelgti į tam tikrų ekonominės ir socialinės veiklos sričių ypatumus.

1.8

EESRK mano, kad pasiūlymo tekstą daugeliu atžvilgiu galima patobulinti ir patikslinti, ir pateikia konkrečių daugelio straipsnių pakeitimų pavyzdžių, kuriais siekiama tiksliau apibrėžti teises, apskritai pagerinti piliečių, visų pirma dirbančiųjų, apsaugą, tiksliau apibrėžti tokias sąvokas kaip duomenų subjekto sutikimas, duomenų tvarkymo teisėtumas ir ypač svarbias duomenų apsaugos pareigūnų funkcijas bei duomenų tvarkymo su darbo santykiais susijusiais tikslais nuostatas.

1.9	EESRK taip pat mano, kad į dokumentą reikia įtraukti nesvarstytus klausimus, tokius kaip taikymo srities išplėtimas, ypatingų kategorijų duomenų tvarkymas ar grupiniai ieškiniai.

1.10

EESRK taip pat laikosi nuomonės, kad paieškos sistemos, gaunančios pagrindinį pelną iš tikslinės reklamos, siunčiamos pagal jų sukauptus duomenis apie sistemos naudotojus arba taikant jų profiliavimą, turėtų expressis verbis būti įtrauktos į Reglamento taikymo sritį. Į jo taikymo sritį turėtų būti įtraukti ir duomenų saugojimo paslaugas siūlančios serverių svetainės bei, tam tikrais atvejais, nuotolinio išteklių valdymo (angl. cloud computing) programinė įranga, komerciniais tikslais renkanti duomenis apie savo vartotojus.

1.11

Į reglamento taikymo sritį turėtų būti įtraukta ir asmens duomenų, paskelbtų socialiniuose tinkluose, apsauga; pagal „teisę būti užmirštam“ duomenų subjektas turi teisę keisti arba ištrinti asmeninę informaciją arba paprašyti šią informaciją panaikinti jo asmeniniame tinklalapyje, kaip ir nuorodose į kitus dažnai lankomus tinklalapius, kuriuose minėta informacija yra pateikta arba aptariama. Šiuo tikslu reikėtų iš dalies pakeisti Reglamento 9-ąjį straipsnį.

1.12

Galiausiai, EESRK prašo Komisijos persvarstyti tam tikrus pasiūlymo aspektus, kuriuos jis laiko nepriimtinais tokiose opiose srityse, kaip vaikų apsauga, teisė nesutikti ir profiliavimas, taip pat tam tikrus teisių apribojimus, reikalavimą skirti duomenų apsaugos pareigūną tik įmonėms, turinčioms ne mažiau kaip 250 darbuotojų ar „vieno langelio“ procedūros tvarką.

2. Įžanga

2.1	EESRK prašoma pateikti nuomonę dėl Pasiūlymo dėl reglamento dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (Bendrasis duomenų apsaugos reglamentas) (1)

2.2

Tačiau reikia pažymėti, kad šis pasiūlymas yra dalis dokumentų rinkinio, kurį sudaro pirminis komunikatas (2), pasiūlymas dėl direktyvos (3) ir Komisijos ataskaita Europos Parlamentui, Tarybai, Europos ekonomikos ir socialinių reikalų komitetui ir Regionų komitetui, parengta remiantis 2008 m. lapkričio 27 d. Tarybos pamatinio sprendimo 29 straipsnio 2 dalimi (4) EESRK neprašoma pateikti nuomonės dėl visų šių teisės aktų, bet tik dėl Reglamento projekto, tuo tarpu turėtų būti prašoma pateikti ir nuomonę dėl Direktyvos projekto.

2.3	Pasiūlymas, dėl kurio EESRK prašoma pateikti nuomonę, Komisijos teigimu, yra dviejų labai svarbių ES politinės-teisinės ir politinės-ekonominės politikos krypčių sandūros taške.

2.3.1

Viena vertus, turime Europos Sąjungos Pagrindinių teisių chartijos 8 straipsnį ir Sutarties dėl Europos Sąjungos veikimo (SESV) 16 straipsnio 1 dalį, kuriose nustatyta, kad duomenų apsauga yra viena pagrindinių teisių, todėl būtina ją užtikrinti. Europos Komisijos komunikatai dėl Stokholmo programos ir dėl šios programos įgyvendinimo veiksmų plano yra grindžiami šiomis nuostatomis (5).

2.3.2

Kita vertus, yra Europos skaitmeninė strategija ir, platesniu mastu, strategija „Europa 2020“, kuriose pabrėžiamas poreikis stiprinti duomenų apsaugos srities „bendrosios rinkos“ aspektą ir mažinti įmonėms tenkančią administracinę naštą.

2.4

Komisijos tikslas – atnaujinti ir modernizuoti Direktyvoje 95/46/EB dėl duomenų apsaugos nustatytus principus, siekiant užtikrinti, kad ateityje skaitmeninėje visuomenėje ir jos tinkluose nebus pažeidžiama asmens teisė į privatų gyvenimą. Siekiama stiprinti piliečių teises, stiprinti ES vidaus rinką, užtikrinti aukštą duomenų apsaugos lygį visose srityse (įskaitant ir teisminį bendradarbiavimą baudžiamosiose bylose), taip pat užtikrinti, kad šiuo tikslu priimtos nuostatos bus teisingai taikomos, palengvinti tarpvalstybinio duomenų tvarkymo sąlygas ir nustatyti bendruosius duomenų apsaugos standartus.

3. Bendrosios pastabos

3.1

Naujomis skaitmeninės ekonomikos aplinkybėmis Komitetas pritaria Komisijos nuomonei, kad fiziniai asmenys turi teisę veiksmingai kontroliuoti savo asmeninę informaciją, tačiau jis taip pat norėtų, kad ši teisė aprėptų ir įvairius vartojimo atvejus, kai kuriami individualūs profiliai, naudojantis teisėtomis, o kartais ir neteisėtomis priemonėmis sukauptais ir atitinkamai sutvarkytais duomenimis. Komitetas taip pat laikosi nuomonės, kad bendrosios rinkos sąlygomis duomenų tvarkymas ir perdavimas turi būti grindžiami Pagrindinių teisių chartijos 8 straipsnio dėl teisės į asmens duomenų apsaugą nuostatomis. Tai pamatinė teisė, įtraukta į Sąjungos institucinius ir į daugumos valstybių narių įstatymus.

3.2

Kiekvienas Sąjungos pilietis ar gyventojas automatiškai gali naudotis Chartijoje ir Sutartyse numatytomis pagrindinėmis teisėmis. Šias teises pripažįsta ir valstybių narių įstatymai, kai kuriose jų – konstitucijos lygmeniu. Kitos teisės, tokios kaip teisė į asmens atvaizdą ar į privataus gyvenimo apsaugą, papildo ir sustiprina teisę į šio asmens duomenų apsaugą. Turi būti užtikrinta galimybė apginti šias teises; pavyzdžiui, po kreipimosi į interneto tinklalapį su prašymu pakeisti ar panaikinti jame esančius asmens duomenis arba serveryje laikomą duomenų rinkinį nesulaukus norimo sprendimo, turi būti užtikrinta galimybė gauti teisėjo sprendimą dėl prašymo patenkinimo.

3.3

Rinkiniai su asmens duomenimis yra reikalingi viešojo administravimo įstaigoms (6), įmonių žmogųškųjų išteklių ir administracijos skyriams, komercinėms tarnyboms, ieškančioms potencialių klientų, profesinėms sąjungoms ir asociacijoms, politinėms partijoms savo narių apskaitai ar internetiniams socialiniams tinklams, tačiau, siekiant užtikrinti asmenų, kurių duomenys teisėtai įrašyti šiuose rinkiniuose, asmeninio gyvenimo apsaugą, būtina stebėti, kad šios bylos nebūtų tarpusavyje sujungtos IRT priemonėmis. Vienai valdžios institucijai suteikus neribotą prieigą prie visų šių duomenų, keltų grėsmė piliečių laisvėms ir asmeninio gyvenimo apsaugai.

3.4	Suinteresuotieji asmenys privalo turėti galimybę prieiti prie privačių juridinių asmenų valdomų duomenų rinkinių ir taisyti savo asmens duomenis ar net juos iš rinkinių pašalinti, jei šios rinkmenos skirtos komerciniams tikslams arba priklauso socialiniam tinklui.

3.5

Kalbant apie duomenų rinkinių, kuriuos, vykdydamos savo teisėtus įgaliojimus, tvarko viešojo ar privataus administravimo įstaigos, asmenims turi būti užtikrinta prieigos teisė, kad jie prireikus galėtų ištaisyti klaidingus duomenis ar net juos panaikinti, jei šių duomenų įrašai tapo nereikalingi, pavyzdžiui, įrašų į teisinių sprendimų registrus amnestijos atvejais arba kai nutraukiama darbo sutartis ir baigiasi nustatytas dokumentų saugojimo galiojimo laikas.

3.6

EESRK pritaria Komisijos pasirinktai pagrindinei krypčiai, pripažindama, kad konsoliduotos Direktyvos 95/46/EB tikslai tebėra aktualūs nors, praėjus 17 metų ir įvykus daugeliui technologinių ir socialinių pokyčių skaitmeninėje erdvėje, būtina nuodugniai juos persvarstyti. Pavyzdžiui, Direktyvoje 95/46/EB nebuvo nagrinėti tam tikri tarpvalstybinio keitimosi informacija ar duomenimis aspektai, susiję su kompetentingų administracijos institucijų, įgaliotų užsiimti baudžiamųjų veikų persekiojimu ir teismo sprendimų vykdymu, teisinio ir policinio bendradarbiavimo veikla. Šis klausimas nagrinėtas „duomenų apsaugos“ teisės aktų rinkinyje esančiame direktyvos projekte, dėl kurio Komiteto nebuvo prašyta pateikti nuomonės.

3.7

EESRK iš esmės pritaria pasiūlymo tikslams, numatytiems siekiant apsaugoti pagrindines teises ir atitinkantiems Komiteto nuomonę (7), visų pirma šiems:

—	nustatyti vienodas duomenų apsaugos taisykles, galiojančias visoje Sąjungoje ir užtikrinančias kuo aukščiausią apsaugos lygį;

—	dar kartą aiškiai patvirtinti laisvo asmens duomenų judėjimo ES viduje principą;

—	panaikinti daugelį nereikalingų administracinių įpareigojimų; šis sprendimas, Komisijos nuomone, leistų įmonėms sutaupyti apytikriai 2,3 mlrd. eurų per metus;

—	įpareigoti įmones ir organizacijas kuo skubiau (jei įmanoma, per 24 valandas) pranešti nacionalinėms priežiūros institucijoms apie rimtus su asmens duomenų naudojimu susijusius pažeidimus;

—	užtikrinti piliečiams galimybę kreiptis į savo šalies duomenų apsaugos priežiūros instituciją net tuo atveju, kai jų duomenis tvarko įmonė, įsisteigusi už ES teritorijos ribų;

—	užtikrinti asmenims geresnes prieigos prie jų pačių asmens duomenų sąlygas, taip pat galimybę vienam paslaugų teikėjui perduoti asmens duomenis kitam (teisė į duomenų perkeliamumą);

—	užtikrinti „teisę būti užmirštam“, siekiant suteikti piliečiams geresnes rizikos, susijusios su duomenų apsauga internete, valdymo galimybes, įskaitant reikalavimą panaikinti jo asmens duomenis, jei jų tolesnis saugojimas negali būti juridiškai pateisintas;

—

sustiprinti (lyginant su dabartine padėtimi) nepriklausomų nacionalinių duomenų apsaugos institucijų vaidmenį, kad jos galėtų veiksmingiau užtikrinti ES taisyklių taikymą ir jų laikymąsi valstybės narės teritorijoje; joms turėtų būti suteikti įgaliojimai skirti baudas taisykles pažeidusioms įmonėms, siekiančias 1 mln. eurų arba 2 proc. įmonės metinės apyvartos;

—	užtikrinti, kad kiekvienas duomenų tvarkymo procesas, atliekamas tiek automatiniu, tiek ir rankiniu būdu, būtų technologiškai neutralus;

—	įpareigoti atlikti duomenų apsaugos poveikio vertinimą;

3.8

EESRK labai teigiamai dėmesį pagrindinių teisių gynimui ir visiškai pritaria pasiūlytam, pirmą kartą teisėkūroje taikomam teisiniam pagrindui. Jis taip pat pabrėžia, kad šis pasiūlymas labai reikšmingas bendrosios rinkos kūrimui ir turi teigiamo poveikio įgyvendinant strategiją „Europa 2020“. Be to, EESRK mano, kad, pasiūlymas parengtas laikantis subsidiarumo ir proporcingumo principų ir pritaria, kad reglamentas yra tinkamiausia priemonė siekiant užtikrinti didesnį teisinį tikrumą ir veiksmingesnį teisės taikymą, taip pat šiuo metu tai yra vienintelė priemonė, užtikrinanti vienodą duomenų apsaugos taisyklių taikymą ir aukščiausią apsaugos lygį visose valstybėse narėse. Dėl reglamento pasirinkimo – dalis EESRK narių (priklausančių skirtingoms grupėms) mano, kad tai tinkamiausia priemonė siekiant, kad visose valstybėse narėse būtų užtikrintas vienodas aukščiausias asmens duomenų apsaugos lygis. Tačiau kita narių dalis laikosi nuomonės, kad direktyva geriau užtikrintų, kad būtų laikomasi subsidiarumo principo ir saugomi asmens duomenys, ypač tose valstybėse narėse, kur šių duomenų apsaugos lygis šiuo metu jau aukštesnis nei apibrėžtasis Komisijos pasiūlyme. EESRK taip pat supranta, kad šiuo klausimu valstybės narės neturi vieningos nuomonės. Todėl EESRK ragina Komisiją svariau pagrįsti savo pasiūlymą, pabrėžiant jo atitiktį subsidiarumo principui ir pateikiant visas priežastis, dėl kurių, siekiant nustatytų tikslų, būtina pasirinkti šį reglamentą.

3.8.1

Kadangi šis reglamentas nebus perkeliamas į nacionalinius teisės aktus ir bus nedelsiant ir visapusiškai taikomas visose valstybėse narėse, EESRK nori atkreipti Komisijos dėmesį į būtinybę stebėti, kad jo vertimai į visas oficialias kalbas būtų tiksliai suderinti, nes pasiūlymo atveju šio reikalavimo nesilaikyta.

3.9

EESRK mano, kad pasiūlyme galima buvo nustatyti aukštesnį kai kurių teisių apsaugos lygį, nes jos praktiškai netenka savo esmės dėl didžiulio išimčių ir apribojimų skaičiaus. Taip pat jis mano, kad jame galėtų būti išlaikyta geresnė susijusių šalių teisių pusiausvyra. Šiuo metu esama pavojaus, kad tikslai, kuriais siekiama užtikrinti pagrindinę asmens duomenų apsaugos teisę, nebus suderinti su bendrosios rinkos tikslais, ir tai gali neigiamai atsiliepti minėtajai teisei. EESRK iš esmės pritaria Europos duomenų apsaugos priežiūros pareigūno nuomonei (8).

3.10

EESRK norėtų, kad Komisija laikytųsi požiūrio, labiau atitinkančio piliečių poreikius ir siekius bei suderinto su tam tikros ekonominės ir socialinės veiklos sritimis, tokiomis kaip prekyba internete, tiesioginė rinkodara, darbo santykiai, viešosios valdžios institucijos, priežiūra ir sauga, DNR ir t. t., parenkant atitinkamą teisinę sistemą atsižvelgiant į labai skirtingus duomenų tvarkymo šiose srityse aspektus.

3.11

„Kalbant apie pasiūlymo 86 straipsnyje pateiktas įvairias nuostatas reikia pabrėžti, kad labai svarbūs teisinės priemonės ir sistemos veikimo aspektai priklauso nuo būsimų deleguotųjų aktų (26 įgaliojimų suteikimo neribotam laikotarpiui atvejai). EESRK mano, kad tai peržengia Sutarties 290 straipsnyje nustatytas ribas, apibrėžtas Europos Komisijos komunikate dėl Sutarties dėl Europos Sąjungos veikimo 290 straipsnio įgyvendinimo (9), todėl daro neigiamą poveikį priemonės teisiniam saugumui ir tikrumui. EESRK mano, kad tam tikrą perduotų įgaliojimų skaičių turėtų tiesiogiai reguliuoti Europos teisės aktų leidėjas. Kiti perduoti įgaliojimai galėtų priklausyti nacionalinėms priežiūros institucijoms arba jų susivienijimams Europos lygiu (10). Taip būtų tvirčiau įgyvendinami subsidiarumo principai ir padidėtų teisinis tikrumas.“

3.12	EESRK supranta priežastis, dėl kurių Komisija šiame pasiūlyme, atsižvelgiant į jo specifinį teisinį pobūdį, nagrinėja tik fizinių asmenų teises, tačiau prašo, kad Komisija atkreiptų reikiamą dėmesį ir į juridinių asmenų, ypač turinčių juridinio asmens statusą, duomenis.

4. Konkrečios pastabos

Palankiai vertintini aspektai

4.1 Pasiūlyme laikomasi esminių Direktyvos 95/46/EB nuostatų ir tikslų, visų pirma, išsaugoti tam tikri apibrėžimai, pagrindiniai duomenų kokybės ir tvarkymo teisėtumo kriterijai, ypatingų kategorijų duomenų tvarkymas, ir tam tikros teisės gauti informaciją ir susipažinti su duomenimis.

4.2 Pasiūlyme pateikta teigiamų naujovių, susijusių su pagrindiniais aspektais: pateiktos naujos apibrėžtys, patikslintos sutikimo, ypač vaikų atveju, sąlygos, nustatytos naujų teisių kategorijos, tokių kaip teisės į duomenų ištaisymą ir ištrynimą, visų pirma „teisė būti pamirštam“, nustatytos teisės nesutikti ir profiliavimas, taip pat išsamiai apibūdintos duomenų valdytojo ir duomenų tvarkytojo pareigos, apibrėžta duomenų sauga ir bendroji sankcijų, daugiausia administracinio pobūdžio, sistema.

4.3 Komitetas taip pat teigiamai vertina pasiūlyme išreikštą siekį sukurti tinkamą institucinę sistemą, padėsiančią užtikrinti veiksmingą teisės aktų nuostatų įgyvendinimą įmonių lygmeniu (duomenų apsaugos pareigūnai) ir valstybių narių viešosios administracijos lygmeniu (nepriklausomos priežiūros institucijos) bei siekį stiprinti šių institucijų ir Komisijos bendradarbiavimą (Europos duomenų apsaugos valdybos įkūrimas). Tačiau jis nurodo, kad nacionalinių ir, iš dalies, regioninių duomenų apsaugos pareigūnų kompetencija valstybėse narėse turi išlikti.

4.4 Galiausiai, EESRK pritaria pasiūlymui sukurti elgesio kodeksą ir stiprinti sertifikavimo bei duomenų apsaugos ženklų ir žymenų vaidmenį.

Ką būtų galima gerinti

4.5 3 straipsnis. Teritorinė taikymo sritis

4.5.1 Antrajame straipsnio punkte numatytos pernelyg griežtos taikymo sąlygos. Priminsime atvejus, kai už Europos ribų įsisteigusios farmacijos pramonės įmonės savo klinikinių bandymų reikmėms nori prieiti prie su bandymais susijusių ES gyvenančių asmenų duomenų.

4.6 4 straipsnis. Apibrėžtys

4.6.1 Turėtų būti tiksliau apibrėžti visi „duomenų subjekto sutikimo“ sąvokos, kuri yra visos duomenų apsaugos sistemos pagrindas, elementai, visų pirma „valios išreiškimas … vienareikšmiais veiksmais“ (tai taikoma pirmiausia dokumento versijai prancūzų kalba).

4.6.2 Sąvoka „duomenų perdavimas“, kurios apibrėžties nėra dokumento tekste, turėtų būti apibrėžta 4 straipsnyje.

4.6.3 5 straipsnio a) punkte minima „sąžiningumo“ sąvoka turėtų būti apibrėžta atskirai.

4.6.4 Sąvoka „akivaizdžiai paskelbti viešai duomenys“ (9 straipsnio 2 punkto e) papunktyje) taip pat turi būti tiksliai apibrėžta.

4.6.5 Būtina pateikti sąvokos „profiliavimas“, kuri vartojama pasiūlymo tekste, apibrėžtį.

4.7 6 straipsnis. Tvarkymo teisėtumas

4.7.1 f) pastraipoje pateikta „teisėtų duomenų valdytojo interesų“ (kurių neaprėpia visos pirmiau esančios straipsnio pastraipos) sąvoka, mūsų manymu, nepakankamai tiksli ir subjektyvi, todėl reikia patikslinti jos apibrėžtį pačiame dokumento tekste, nesusiejant jos su deleguotaisiais aktais (5 punktas), juo labiau kad 4 punkte nėra nuorodos į f) pastraipą (tai svarbu, pvz., pašto paslaugoms ir tiesioginei rinkodarai (11)).

4.8 7 straipsnis. Sutikimo sąlygos

3 punkte reikėtų nurodyti, kad atšaukus sutikimą bet koks tolesnis duomenų tvarkymas negalimas, ir kad sutikimo atšaukimas turi poveikio duomenų tvarkymo teisėtumui tik nuo duomenų atšaukimo momento.

4.9 14 straipsnis. Informacija

4.9.1 4 punkto b) papunktyje reikėtų nustatyti ilgiausią laikotarpį.

4.10 31 straipsnis. Pranešimas apie asmens duomenų saugumo pažeidimą priežiūros institucijai

4.10.1 Pranešimai apie bet kokius pažeidimus gali trukdyti sistemai tinkamai veikti, todėl ilgainiui tai taps kliūtimi veiksmingai traukti atsakomybėn tikruosius pažeidimų kaltininkus.

4.11 35 straipsnis. Duomenų apsaugos pareigūnai

4.11.1 Kalbant apie duomenų apsaugos pareigūną (DAP), reikėtų tiksliau apibrėžti su šiomis pareigomis susijusias sąlygas, visų pirma aiškiai apibrėžti apsaugos nuo atleidimo iš darbo lygį, nes ši apsauga turi galioti ilgiau, nei suinteresuotojo asmens veiklos einant šias pareigas trukmė. Taip pat reikia nustatyti pagrindines sąlygas ir aiškius reikalavimus, susijusius su šiomis pareigomis, atleidžiant DAP nuo bet kokios atsakomybės tais atvejais, kai jis pranešė apie pažeidimus savo darbdaviui ar nacionalinėms duomenų apsaugos institucijoms, užtikrinti darbuotojų atstovų teisę betarpiškai dalyvauti renkant DAP bei šių atstovų teisę reguliariai gauti informaciją (12), susijusią su kylančiomis problemomis ir jų sprendimu. Turėtų būti patikslintas šiai pareigybei skiriamų išteklių klausimas.

4.12 39 straipsnis. Sertifikavimas

4.12.1 Sertifikavimas turėtų būti viena iš Komisijos užduočių.

4.13 82 ir 33 straipsniai. Duomenų tvarkymas su darbo santykiais susijusiais tikslais

4.13.1 82 straipsnyje trūksta aiškios nuorodos į poveikio vertinimą (kuris taip pat nenurodytas ir 20 straipsnyje dėl, „profiliavimo“). Be to, nepatikslinta, ar ši teisė taikytina ir nuostatoms dėl DAP. Duomenų apsaugos poveikio vertinime turėtų būti patikslintas draudimas atlikti „profiliavimą“ su darbo santykiais susijusiais tikslais (33 straipsnis).

4.14 81, 82, 83 ir 84 straipsniai

4.14.1 Vietoje „Laikydamosi šio reglamento ribų …“ turėtų būti – „Pagal šį reglamentą …“

Trūkstamos nuostatos ir reikiami papildymai

4.15 Taikymo sritis

4.15.1 Kalbant apie pagrindines teises, nuostatų derinimas konkrečiose srityse turėtų užtikrinti valstybėms narėms galimybę priimti savo nacionalinės teisės aktuose nuostatas, kurių nėra reglamente, arba palankesnio pobūdžio, nei tos, kurios numatytos nuo 80 iki 85 reglamento straipsniuose.

4.15.2 Asmenų interneto protokolų adresai turi būti minimi pačiose reglamento nuostatose dėl saugomų asmens duomenų, o ne vien tik konstatuojamoje dalyje.

4.15.3 Paieškos programos, pagrindinį pelną gaunančios iš reklamos ir kaupiančios savo vartotojų asmens duomenis komerciniais tikslais, turėtų būti įtrauktos į reglamento taikymo sritį, o ne tik paminėtos konstatuojamojoje dalyje.

4.15.4 Reikėtų patikslinti, kad socialiniai tinklai patenka į reglamento taikymo sritį ne vien tik tais atvejais, kai jie užsiima profiliavimu komerciniais tikslais.

4.15.5 Tam tikri interneto kontrolės ir filtravimo metodai, kuriais ketinama kovoti su piratavimu ir kuriais profiliuojami kai kurie interneto vartotojai siekiant juos registruoti ir sekti jų veiklą be teismo instancijos leidimo, išduoto šių asmenų vardu, taip pat turi būti įtraukti į šio reglamento taikymo sritį.

4.15.6 Pageidautina, kad Sąjungos institucijos ir organai būtų įpareigoti laikytis šio reglamento reikalavimų.

4.16 9 straipsnis. Ypatingų kategorijų asmens duomenys

4.16.1 Geriausias būdas šiems duomenims tvarkyti būtų nustatyti kiekvienu atveju konkrečią tvarką, atsižvelgus į duomenų tvarkymo aplinkybes, būklę ir tikslus. Straipsnį reikėtų papildyti draudimu vykdyti su šiais duomenimis susijusį „profiliavimą“.

4.16.2 Reikia nustatyti, kad tvarkant ypatingų kategorijų asmens duomenis statistinių tyrimų tikslais būtina laikytis nediskriminavimo principo.

4.17 Į toliau nurodytas sritis turėtų būti įtrauktos tokios (neišnaudotos) galimybės:

—	darbuotojų atstovų dalyvavimas visais valstybių narių ir Europos lygmenimis rengiant „įmonei privalomas taisykles“, kurios nuo šiol turėtų tapti būtina tarptautinio duomenų perdavimo sąlyga (43 straipsnis);

—	informacijos teikimas ir konsultavimasis su Europos darbo taryba tarptautinio duomenų perdavimo (ypač į trečiąsias šalis) atvejais;

—	Europos socialinių partnerių ir vartotojų bei žmogaus teisių gynimo NVO dalyvavimas skiriant Europos duomenų apsaugos valdybos (kuri turi pakeisti „29 straipsnio“ darbo grupę) narius;

—	pirmiau minėtųjų partnerių ir NVO dalyvavimas nacionaliniu lygmeniu skiriant nacionalinių duomenų apsaugos institucijų narius, kuris taip pat kol kas nenumatytas.

4.18 74–77 straipsniai. Grupiniai ieškiniai dėl neteisėtų duomenų rinkinių ir žalos atlyginimo

4.18.1 Dauguma duomenų apsaugos pažeidimų yra kolektyvinio pobūdžio ir šiais atvejais pažeidžiamos ne vieno asmens, o grupės arba visų duomenų rinkinyje esančių asmenų teisės. Tradicinių teisminių teisių gynimo priemonių nepakanka kovoti su tokio pobūdžio pažeidimais. Nors 76 straipsnio nuostatos užtikrina kiekvienai suinteresuotų asmenų duomenų apsaugą ginančiai organizacijai ar asociacijai galimybę naudotis 74 ir 75 straipsniuose nurodytomis teisėmis ir ginti vieno ar keleto asmenų interesus, jos negali taip veikti tais atvejais, kai norima prašyti žalos atlyginimo, nes 77 straipsnyje ši galimybė numatyta tik atskiriems asmenims, neužtikrinant kolektyvinio ar grupinio ieškinio galimybės.

4.18.2 Todėl Komitetas primena poziciją, kurią jis jau daugelį metų nuolat teikia savo nuomonėse, – ES skubiai privalo sukurti suderintą kolektyvinių veiksmų Europos lygmeniu priemonę, kuri būtina daugelyje ES teisės sričių ir kuri jau taikoma kelete valstybių narių.

Tai, kas nepriimtina

4.19 8 straipsnis. Vaikai

4.19.1 Kadangi 4 straipsnio 18 punkte apibrėžta, kad vaikas – tai bet kuris jaunesnis nei 18 metų asmuo (laikantis Niujorko konvencijos), negalima pritarti 8 straipsnio 1 punkto pateiktai nuostatai, kad nuo 13 metų vaikams suteikiama galimybė tvarkyti jų asmens duomenis.

4.19.2 Nors EESRK supranta, kad MVĮ atžvilgiu būtina nustatyti specialias taisykles, negalima pritarti nuostatai, pagal kurią Komisija deleguotuoju aktu gali atleisti MVĮ nuo pareigos saugoti vaiko asmens teises.

4.20 9 straipsnis. Ypatingų kategorijų asmens duomenys

4.20.1 Panašiai nepritariame 9 straipsnio 2 punkto a) papunkčio nuostatoms, pagal kurias vaikai gali duoti sutikimą, kad butų tvarkomi jų asmens duomenys, susiję su jų tautybe, politinėmis pažiūromis, religija, sveikatos būkle, lytiniu gyvenimu ar teisminėmis nuobaudomis.

4.20.2 Pačių asmenų laisva valia pateikti į socialinį tinklą (pvz., Facebook) duomenys taip pat turėtų būti apsaugoti (tokią išvadą leidžia daryti 9 straipsnio e) pastraipa), ir jų atžvilgiu turi būti užtikrinta bent jau teisė būti pamirštam.

4.21 13 straipsnis. Teisės duomenų gavėjų atžvilgiu

4.21.1 Manome, kad straipsnio pabaigoje numatyta išimtis – „nebent tai padaryti būtų neįmanoma arba pareikalautų neproporcingų pastangų“ yra nepateisinama ir nepriimtina.

4.22 14 straipsnis. Informacija

4.22.1 Manome, kad 5 punkto b) pastraipoje numatyta analogiška išimtis taip pat nepriimtina.

4.23 19 straipsnio 1 punktas. Teisė nesutikti

4.23.1 Išimčiai vartojama neaiški sąvoka „dėl įtikinamų teisėtų priežasčių“ nepriimtina, nes šiuo atveju teisė nesutikti netenka savo galios.

4.24 20 straipsnis. Profiliavimas

4.24.1 Draudimas profiliuoti neturi būti taikomas vien tik automatizuotam duomenų tvarkymui (13).

4.24.2 2 punkto a) pastraipoje žodžiai „… kai nustatytos …“ turi būti pakeisti žodžiais „… kai buvo įgyvendintos …“.

4.25 21 straipsnis. Apribojimai

4.25.1 1 punkto c) papunkčio redakcija visiškai nepriimtina, nes joje naudojamos neaiškios ir neapibrėžtos sąvokos, tokios kaip ekonominis ar finansinis interesas, pinigų, biudžeto bei mokesčių klausimai ir rinkos stabilumas bei vientisumas (pastarosios sąvokos įtrauktos ir į Direktyvą 95/46).

4.26 25, 28 ir 35 straipsniai. 250 darbuotojų riba

4.26.1 Nuostatos, pagal kurią tam tikros apsaugos taisyklės, pvz., duomenų apsaugos pareigūno (DAP) skyrimas, netaikomos įmonėms, kuriose yra mažiau kaip 250 darbuotojų, poveikis ribotas, nes šia nuostata pasinaudos tik šiek tiek mažiau kaip 40 proc. dirbančiųjų. Tokios ribos taikymo duomenų tvarkymo dokumentų srityje pasekmė būtų ta, kad šiuo atveju darbuotojai neturėtų jokios galimybės prižiūrėti, kaip tvarkomi jų asmens duomenys, taigi, procesas vyktų nekontroliuojamai. Komitetas rekomenduoja apsvarstyti galimybę nustatyti mažesnę darbuotojų skaičiaus ribą, pavyzdžiui, valstybėse narėse nustatytą darbuotojų skaičių, leidžiantį įmonėje įsteigti darbuotojų interesams atstovaujantį organą. Galima pasirinkti kitą, objektyviais kriterijais pagrįstą metodą, grindžiamą nagrinėtų per tam tikrą pasirenkamą laikotarpį duomenų apsaugos rinkinių skaičiumi, neatsižvelgiant į įmonės dydį ar teikiamą paslaugą.

4.27 51 straipsnis. Vienas langelis

4.27.1 Nors „vieno langelio“ principas buvo pasirinktas siekiant užtikrinti veiksmingesnę duomenų apsaugą, jį taikant atsiranda pavojus, kad gerokai sumažės visų piliečių, o ypač dirbančiųjų, duomenų apsaugos lygis, nes neliks šiuo metu galiojančio įpareigojimo duomenis perduoti tik sudarius įmonėje atitinkamą sutartį ir gavus nacionalinės duomenų apsaugos komisijos pritarimą (14).

4.27.2 Be to, ši sistema prieštarauja artumo principui, nes piliečiui nebus užtikrinta galimybė, kad jo prašymą nagrinėtų arčiausiai esanti ir geriausiai prieinama priežiūros institucija.

4.27.3 Todėl yra pagrindo reikalauti, kad būtų ir toliau pripažįstama prašymo teikėjo gyvenamos valstybės narės institucijos kompetencija.

2012 m. gegužės 23 d., Briuselis

Europos ekonomikos ir socialinių reikalų komiteto pirmininkas

Staffan NILSSON

(1) COM(2012) 11 final

(2) COM(2012) 9 final

(3) COM(2012) 10 final

(4) COM(2012) 12 final

(5) Komunikatuose pabrėžiama, kad Sąjunga turi „sukurti išsamią asmens duomenų apsaugos sistemą, kuri apimtų visas ES kompetencijos sritis“ ir „užtikrinti, kad pagrindinė teisė į duomenų apsaugą būtų nuosekliai taikoma“, užtikrindama fiziniams asmenims teisę iš tikrųjų veiksmingai valdyti savo pačių asmens duomenis.

(6) Žr. EESRK nuomonę dėl viešojo sektoriaus informacijos pakartotinio naudojimo, OL C 191, 2012 6 29, p. 129.

(7) Žr. EESRK nuomonę, OL C 248, 2011 8 25, p. 123.

(8) 2012 m. kovo 7 d. Europos duomenų apsaugos priežiūros pareigūno nuomonė dėl Data Protection Package

(9) COM(2009) 673 final, 2009 12 9.

(10) Žr. skundą dėl subsidiarumo principo nesilaikymo, kurį pateikė Prancūzijos Senatas.

(11) Turėtų būti geriau išaiškintas apklausų laiškais, siunčiamais konkretiems asmenims pagal jų pavardes, klausimas, nes taikant šį reglamentą dabartiniu jo pavidalu tokios apklausos būtų draudžiamos, nors iš tiesų tai – neatgrasaus pobūdžio tikslinis naujų klientų paieškos metodas.

(12) Pavyzdžiui, pateikiant periodiškai rengiamą DAP veiklos ataskaitą darbuotojų atstovams, išrinktiems iš darbuotojų administracijos tarybos arba (ten, kur jie įkurti) nacionaliniams ar europiniams priežiūros tarybos nariams.

(13) Žr. Europos Tarybos ministrų komiteto 2010 m. lapkričio 23 d. rekomendaciją CM/Rec(2010) 13.

(14) Visų pirma nepriklausomos administracijos institucijos, įgaliotos suteikti leidimą ir prižiūrėti, kaip sudaromos vardinės duomenų rinkmenos. Skaitmeninės visuomenės sąlygomis jų įgaliojimai turi būti išplėsti ir aprėpti socialinių tinklų sritį dėl atsiradusios individualių duomenų mainų vertės.

PRIEDAS

Europos ekonomikos ir socialinių reikalų komiteto nuomonės

Toliau pateikiamas diskusijų metu atmestas pakeitimas, už kurį buvo atiduota ne mažiau kaip 1/4 balsų (Darbo tvarkos taisyklių 54 straipsnio 3 dalis):

Išbraukti 4.25 ir 4.25.1 punktus:

Balsavimo rezultatai:

Už	:	87
Prieš	:	89
Susilaikė	:	26