KOMISIJOS KOMUNIKATAS EUROPOS PARLAMENTUI, TARYBAI, EUROPOS EKONOMIKOS IR SOCIALINIŲ REIKALŲ KOMITETUI IR REGIONŲ KOMITETUI Privatumo apsauga glaudžiai susijusiame pasaulyje Europos duomenų apsaugos reglamentavimo pagrindai XXI amžiuje /* COM/2012/09 final */
KOMISIJOS KOMUNIKATAS EUROPOS
PARLAMENTUI, TARYBAI, EUROPOS EKONOMIKOS IR SOCIALINIŲ REIKALŲ
KOMITETUI IR REGIONŲ KOMITETUI Privatumo apsauga glaudžiai susijusiame
pasaulyje
Europos duomenų apsaugos reglamentavimo pagrindai XXI amžiuje (Tekstas svarbus EEE)
1.
DABARTINĖS DUOMENŲ APSAUGOS PROBLEMOS
Sparčiai kintant technologijoms ir vykstant
globalizacijai, keičiamasi vis daugiau asmens duomenų, smarkiai
pakito jų rinkimo, susipažinimo su jais, jų naudojimo ir perdavimo
būdai. Nauji dalijimosi informacija būdai socialiniuose tinkluose ir
didelis nuotolinės informacijos kiekis tapo daugelio iš 250 mln.
interneto vartotojų Europoje gyvenimo dalimi. Kartu, asmens duomenys tapo
itin svarbūs daugeliui įmonių. Dažnai duomenų apie galimus
klientus rinkimas, kaupimas ir analizavimas yra svarbi jų verslo veiklos
dalis[1].
Šioje naujoje skaitmeninėje aplinkoje fiziniai
asmenys turi teisę veiksmingai kontroliuoti savo asmeninę
informaciją. Duomenų apsauga yra viena iš pagrindinių
teisių Europoje, įtvirtinta Europos Sąjungos pagrindinių
teisių chartijos 8 straipsnio 1 dalyje ir Sutarties dėl
Europos Sąjungos veikimo 16 straipsnio 1 dalyje, ir turi
būti atitinkamai saugoma. Nepasitikintys vartotojai vengia pirkti internetu
ir naudotis naujomis paslaugomis. Todėl aukštą duomenų apsaugos
lygį būtina užtikrinti ir siekiant padidinti pasitikėjimą
internetinėmis paslaugomis bei išnaudoti skaitmeninės ekonomikos
potencialą, kartu skatinant ekonomikos augimą ir ES pramonės
konkurencingumą. Reikia nustatyti šiuolaikiškas, nuoseklias visoje
ES galiojančias taisykles, kad duomenys laisvai judėtų iš vienos
valstybės narės į kitą. Siekiant suteikti įmonėms
teisinį tikrumą ir sumažinti administracinę naštą reikia
nustatyti aiškias ir vienodas taisykles. Tai padaryti būtina, kad bendroji
rinka veiktų ir kad būtų paskatintas ekonomikos augimas,
naujų darbo vietų kūrimas ir inovacijos[2]. Atnaujintomis ES
duomenų apsaugos taisyklėmis, kuriomis sustiprinamas jų vidaus
rinkos aspektas, užtikrinama aukšto lygio asmens duomenų apsauga ir
skatinamas teisinis tikrumas, aiškumas bei nuoseklumas, todėl joms skirtas
pagrindinis vaidmuo Europos Komisijos Stokholmo veiksmų plane[3] ir Europos skaitmeninėje
darbotvarkėje[4]
ir bendresniais bruožais – ES ekonomikos augimo strategijoje „Europa 2020“[5]. ES 1995 m. direktyva[6], pagrindinis asmens
duomenų apsaugos Europoje teisės aktas, buvo labai svarbus etapas
duomenų apsaugos istorijoje. Jos tikslai užtikrinti veikiančią
bendrąją rinką ir veiksmingai apsaugoti pagrindines fizinių
asmenų teises ir laisves, tebėra aktualūs. Tačiau ji buvo
priimta prieš 17 metų, kai internetu tik buvo pradedama naudotis.
Šiandien naujoje sudėtingoje skaitmeninėje aplinkoje esamomis
taisyklėmis neužtikrinama reikiama darna ir nepakankamai veiksmingai
užtikrinama teisė į asmens duomenų apsaugą. Todėl
Europos Komisija siūlo iš pagrindų pertvarkyti ES duomenų
apsaugos reglamentavimo pagrindus. Be to, Lisabonos sutartimi, SESV 16 straipsniu
sukurtas naujas teisinis pagrindas atnaujintam ir visapusiškam požiūriui
į duomenų apsaugą ir laisvą asmens duomenų
judėjimą, įskaitant policijos ir teisminį
bendradarbiavimą baudžiamosiose bylose[7].
Šis požiūris išreikštas Europos Komisijos komunikatuose dėl Stokholmo
programos ir Stokholmo veiksmų plano[8],
kuriuose pabrėžta, kad Sąjunga turi „sukurti išsamią asmens
duomenų apsaugos sistemą, kuri apimtų visas ES kompetencijos
sritis“ ir „užtikrinti, kad pagrindinė teisė į duomenų
apsaugą būtų nuosekliai taikoma“. Siekdama skaidriai parengti ES duomenų
apsaugos reglamentavimo pagrindų reformą, Komisija nuo 2009 m.
vykdė viešas konsultacijas duomenų apsaugos klausimais[9] ir aktyviai palaikė
dialogą su suinteresuotosiomis šalimis[10].
2010 m. lapkričio 4 d. Komisija paskelbė Komunikatą
„Visapusiškas požiūris į asmens duomenų apsaugą Europos
Sąjungoje“[11],
kuriame išdėstytos pagrindinės reformos temos. Nuo 2011 m.
rugsėjo iki gruodžio mėn. Komisija aktyviai palaikė dialogą
su Europos nacionalinėmis duomenų apsaugos institucijomis ir Europos
duomenų apsaugos priežiūros pareigūnu, kad išnagrinėtų
galimybes, kaip nuosekliau taikyti ES duomenų apsaugos taisykles visose ES
valstybėse narėse[12]. Per šias diskusijas paaiškėjo, kad ir
piliečiai, ir įmonės nori, kad Europos Komisija visapusiškai
pertvarkytų ES duomenų apsaugos taisykles. Įvertinusi
įvairių politikos galimybių poveikį[13] Europos Komisija dabar
siūlo tvirtus ir nuoseklius, visoms Sąjungos politikos sritims
taikytinus teisinio reglamentavimo pagrindus, kuriais sustiprinamos
fizinių asmenų teisės, duomenų apsaugos bendrosios rinkos
aspektas ir sumažinama įmonėms tenkanti biurokratinė našta[14]. Komisija siūlo naujus
reglamentavimo pagrindus, kuriuos turėtų sudaryti: –
reglamentas (kuriuo
pakeičiama Direktyva 95/46/EB), kuriuo nustatomi bendrieji ES duomenų
apsaugos reglamentavimo pagrindai[15]; –
ir direktyva (kuria pakeičiamas Pamatinis
sprendimas 2008/977/TVR[16]),
kuria nustatomos asmens duomenų, tvarkomų nusikalstamų
veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon
atsakomybėn už jas arba susijusios teisminės veiklos tikslais,
apsaugos taisyklės. Šiame komunikate nustatomi pagrindiniai ES
duomenų apsaugos reglamentavimo pagrindų reformos elementai.
2.
Fiziniams asmenims sudaromos sąlygos
kontroliuoti savo asmens duomenis
Pagal Direktyvą 95/46/EB, kuri šiandien yra
pagrindinis duomenų apsaugos srities ES teisės aktas, fizinių
asmenų galimybės naudotis teise į duomenų apsaugą
nepakankamai suderintos valstybėse narėse. Taip pat už duomenų
apsaugą atsakingų nacionalinių valdžios institucijų
įgaliojimai nėra pakankamai suderinti, kad taisyklės
būtų taikomos nuosekliai ir veiksmingai. Todėl kai kuriose
valstybėse narėse faktiškai naudotis šiomis teisėmis, ypač
internete, yra sudėtingiau, nei kitose. Šie sunkumai kyla ir dėl to, kad kasdien
surenkamas didžiulis kiekis duomenų, o vartotojai dažnai nevisiškai žino,
kad jų duomenys renkami. Nors daug europiečių mano, kad asmens
duomenų atskleidimas tampa vis labiau neatsiejamas nuo šiuolaikinio
gyvenimo[17],
72 proc. interneto vartotojų yra susirūpinę, kad internete
jų prašoma per daug asmeninės informacijos[18]. Jie nesijaučia
kontroliuojantys savo duomenis. Jie nepakankamai informuojami apie tai, kas
nutinka su jų asmenine informacija, kam ji perduodama ir kokiais tikslais.
Dažnai jie nežino, kaip pasinaudoti savo teisėmis internete. „Teisė būti
pamirštam“ Europietis studentas priklauso internetiniam
socialiniam tinklui ir nusprendžia paprašyti susipažinti su visais tinklo
turimais jo asmens duomenimis. Studentas pamato, kad tinklas renka gerokai
daugiau informacijos, nei jis manė, ir kai kurie asmens duomenys, kurie,
jo manymu, buvo ištrinti, tebebuvo saugomi. Kad taip neatsitiktų, pertvarkius ES
duomenų apsaugos taisykles, toliau nurodytomis priemonėmis bus
užtikrinta: - aiškus reikalavimas internetinių
socialinių tinklų paslaugų teikėjams (ir visiems kitiems
duomenų valdytojams) rinkti ir tvarkyti kuo mažiau vartotojų asmens
duomenų; - reikalavimas, kad numatytaisiais parametrais
būtų užtikrinta, kad duomenys neviešinami; - aiški duomenų valdytojų pareiga
ištrinti asmens duomenis, jeigu asmuo to aiškiai prašo ir kai nebėra
teisėto pagrindo jų saugoti. Pirmiau aprašytu konkrečiu atveju
socialinio tinklo paslaugų teikėjas privalėtų nedelsdamas
ištrinti visus studento duomenis. Kaip pabrėžta Europos skaitmeninėje
darbotvarkėje, žmonės dažniausiai neperka prekių ar
paslaugų internetu, nes yra susirūpinę dėl privatumo.
Atsižvelgiant į informacinių ir ryšių technologijų (IRT)
sektoriaus indėlį į bendrą produktyvumo augimą
Europoje (tiesioginis IRT sektoriaus indėlis – 20 proc., IRT
investicijų – 30 proc.[19]),
būtina užtikrinti pasitikėjimą šiomis paslaugomis siekiant
paskatinti ES ekonomikos augimą ir ES pramonės konkurencingumą. Pranešimai apie
duomenų saugumo pažeidimus Programišiai įsibrovė į ES
vartotojams skirtą žaidimų tinklą. Pažeistos duomenų
bazės, kuriose saugomi dešimčių milijonų vartotojų
visame pasaulyje asmens duomenys (vardai, pavardės, adresai, galbūt
kredito kortelių duomenys). Įmonė apie tai pranešė
atitinkamiems vartotojams tik po savaitės. Pertvarkius ES duomenų apsaugos taisykles
bus užtikrinta, kad taip nebeatsitiktų. Pagal naujas taisykles
įmonės privalės: - sustiprinti saugumo priemones, kad
užkirstų kelią pažeidimams ir jų išvengtų; - nepagrįstai nedelsdamos pranešti
nacionalinei duomenų apsaugos institucijai ir atitinkamiems fiziniams
asmenims apie duomenų saugumo pažeidimus (jei įmanoma ne vėliau
kaip per 24 valandas nuo tada, kai sužino apie pažeidimą). Naujais Komisijos pasiūlytais įstatymo
galią turinčiais aktais siekiama sustiprinti teises, suteikti
žmonėms veiksmingas ir veikiančias priemones, kad jie būtų
visapusiškai informuoti apie tai, kas atsitinka su jų asmens duomenimis,
ir užtikrinti, kad jie galėtų veiksmingiau naudotis savo
teisėmis. Siekdama sustiprinti fizinių asmenų teises
į duomenų apsaugą Komisija siūlo naujas taisykles,
kurių tikslas toliau aprašytas. Gerinti fizinių asmenų
gebėjimą kontroliuoti savo duomenis: - užtikrinant, kad asmens sutikimas,
kai jo reikia, būtų aiškus, t. y. grįstas pareiškimu
arba aiškiu atitinkamo asmens pritarimu, ir būtų išreikštas
savanoriška valia. - suteikiant interneto vartotojams
faktinę teisę būti pamirštiems internetinėje
erdvėje, t. y. teisę reikalauti ištrinti jų duomenis, jeigu
atšaukia sutikimą ir jeigu nebėra kito teisėto pagrindo saugoti
duomenis; - užtikrinant galimybes lengvai
susipažinti su savo duomenimis ir teisę į duomenų
perkeliamumą, t. y. teisę gauti iš duomenų valdytojo
saugomų duomenų kopiją ir laisvę be kliūčių
juos perkelti iš vieno paslaugų teikėjo į kitą; - stiprinant teisę
į informaciją, kad fiziniai asmenys visiškai suvoktų, kaip
jų asmens duomenys tvarkomi, ypač kai duomenų tvarkymas
susijęs su vaikais.
Gerinti būdus, kuriais fiziniai asmenys gali naudotis savo
teisėmis: - stiprinant nacionalinių
duomenų apsaugos institucijų nepriklausomumą ir įgaliojimus,
kad jos būtų tinkamai pasirengusios veiksmingai nagrinėti
skundus, turėtų įgaliojimus atlikti veiksmingus tyrimus, priimti
įpareigojančius sprendimus ir taikyti veiksmingas ir
atgrasomąsias sankcijas; - stiprinant administracines ir teismines
teisių gynimo priemones, kai pažeidžiamos teisės į
duomenų apsaugą. Visų pirma, kompetentingos asociacijos
galės fizinio asmens vardu iškelti bylą teisme. Stiprinti duomenų saugumą: - skatinant naudotis privatumo didinimo
technologijomis (technologijomis, kuriomis užtikrinamas informacijos
privatumo saugumas kuo mažiau saugant asmens duomenų), privatumo
apsaugai palankiais numatytaisiais parametrais ir privatumo
sertifikavimo schemomis; - nustatant bendrą pareigą[20] duomenų valdytojams nepagrįstai
nedelsiant pranešti duomenų apsaugos institucijoms (jei
įmanoma, per 24 val.) ir atitinkamiems fiziniams asmenims apie
duomenų saugumo pažeidimus. Stiprinti duomenis tvarkančių
subjektų atskaitomybę, visų
pirma - reikalaujant
duomenų valdytojų paskirti duomenų apsaugos
pareigūną įmonėse, turinčiose daugiau nei 250 darbuotojų,
ir įmonėse, vykdančiose duomenų tvarkymo operacijas, kurios
dėl savo pobūdžio, apimties ar tikslo kelia ypatingą
grėsmę fizinių asmenų teisėms ir laisvėms
(rizikingas duomenų tvarkymas); - nustatant pritaikytosios privatumo
apsaugos principą, kad planuojant procedūras ir sistemas
būtų atsižvelgta į duomenų apsaugos užtikrinimo priemones; - įpareigojant rizikingas duomenų
tvarkymo operacijas vykdančias organizacijas atlikti poveikio
duomenų apsaugai vertinimą.
3.
Bendrajai skaitmeninei rinkai tinkančios duomenų
apsaugos taisyklės
Nepaisant šiuo metu galiojančios direktyvos
tikslo užtikrinti vienodą duomenų apsaugos lygį ES,
valstybėse narėse galiojančios taisyklės vis dar labai
skiriasi. Todėl duomenų valdytojams gali tekti laikytis 27 skirtingų
nacionalinės teisės aktų ir reikalavimų. Rezultatas – skirtinga
teisinė aplinka, dėl kurios kyla teisinis netikrumas ir
fiziniams asmenims užtikrinama nevienoda apsauga. Dėl to įmonėms
tenka nereikalingos sąnaudos ir administracinė našta, o
bendrojoje rinkoje veikiančios įmonės, galbūt
norinčios išplėsti savo veiklą kitose valstybėse
narėse, nėra skatinamos. Už duomenų apsaugą atsakingų
nacionalinių institucijų ištekliai ir įgaliojimai labai skiriasi
valstybėse narėse[21].
Kai kuriais atvejais, jos negali tinkamai atlikti vykdymo užtikrinimo
funkcijų. Šių institucijų bendradarbiavimas Europos lygmeniu
patariamojoje grupėje (vadinamojoje 29 straipsnio darbo grupėje[22]) ne visada lemia nuoseklų
vykdymo užtikrinimą, jį taip pat reikia patobulinti. Nuoseklus duomenų apsaugos taisyklių
vykdymo užtikrinimas visoje Europoje Keliose ES šalyse įsisteigusi
tarptautinė įmonė visoje Europoje įdiegė
internetinę žemėlapių sistemą, kurioje renkamos visų
privačiųjų ir viešųjų pastatų nuotraukos ir gali
būti daromos gatvėje esančių žmonių nuotraukos.
Vienoje valstybėje narėje asmenų, nežinojusių, kad juos
fotografavo, nesulietos nuotraukos laikytos neteisėtomis, o kitose
valstybėse narėse duomenų apsaugos teisės aktai nebuvo
pažeisti. Taigi nacionalinės duomenų apsaugos institucijos
nesiėmė nuoseklių priemonių padėčiai ištaisyti. Pertvarkius ES duomenų apsaugos taisykles
bus užtikrinta, kad ateityje taip neatsitiktų, nes: - duomenų apsaugos reikalavimai ir
apsaugos priemonės bus nustatyti ES reglamente, kuris bus tiesiogiai
taikomas visoje Sąjungoje; - nuspręsti, ar įmonės veiksmai
teisėti, galės tik tos šalies duomenų apsaugos institucija,
kurioje yra įmonės pagrindinė būstinė; - nacionalinės duomenų apsaugos
institucijos, tarpusavyje greitai ir veiksmingai bendradarbiaudamos (jeigu
paslauga skirta asmenims keliose valstybėse narėse), padės
užtikrinti, kad naujos ES duomenų apsaugos taisyklės būtų
nuosekliai taikomos ir vykdomos visose valstybėse narėse.
Reikia stiprinti nacionalines institucijas ir
jų bendradarbiavimą, siekiant užtikrinti nuoseklų taisyklių
vykdymą ir galiausiai jų vienodą taikymą visoje ES. Tvirti, aiškūs ir vienodi ES lygmens teisinio
reglamentavimo pagrindai padės pasinaudoti bendrosios skaitmeninės
rinkos galimybėmis ir paskatinti ekonomikos augimą, inovacijas ir
darbo vietų kūrimą. Reglamentu bus išspręsta 27 valstybių
narių teisinių sistemų skirtumo problema ir panaikintos
kliūtys patekti į rinką – šis veiksnys ypač svarbus labai
mažoms, mažosioms ir vidutinėms įmonėms. Naujomis taisyklėmis ES įmonėms
taip pat bus suteiktas pranašumas konkuruojant pasauliniu mastu. Remdamosi
naujais pertvarkytais reglamentavimo pagrindais jos galės patikinti
vartotojus, kad vertinga asmeninė informacija bus tvarkoma apdairiai ir
stropiai. Pasitikėjimas darnia ES reguliavimo sistema bus pagrindinė
vertybė paslaugų teikėjams ir paskata investuotojams,
ieškantiems geriausių sąlygų savo paslaugoms teikti. Siekdama padidinti duomenų apsaugos
bendrosios rinkos aspektą Komisija siūlo: - nustatyti ES lygmens duomenų apsaugos
taisykles reglamentu, kuris būtų tiesiogiai taikomas visose
valstybėse narėse[23]
ir kuriuo būtų panaikinta sistema, kai bendrai vienu metu taikomi
skirtingi nacionaliniai duomenų apsaugos teisės aktai. Dėl to vien
įmonių administracinė našta sumažės apie 2,3 mlrd. EUR
per metus; - supaprastinti reguliavimo aplinką
radikaliai sumažinant biurokratinę naštą ir panaikinant formalumus,
kaip antai bendruosius pranešimo reikalavimus (dėl to vien
administracinė našta turėtų sumažėti 130 mln. EUR per
metus). Atsižvelgiant į konkurencingumo svarbą Europos ekonomikai,
reikėtų skirti ypatingą dėmesį konkretiems labai
mažų, mažųjų ir vidutinių įmonių poreikiams; - toliau stiprinti nacionalinių
duomenų apsaugos institucijų nepriklausomumą ir įgaliojimus,
kad jos būtų tinkamai pasirengusios atlikti tyrimus, priimti
įpareigojančius sprendimus, taikyti veiksmingais ir
atgrasomąsias sankcijas ir įpareigoti valstybes nares jas
aprūpinti pakankamais ištekliais šioms funkcijoms vykdyti; - sukurti duomenų apsaugos ES vieno
langelio sistemą: duomenų valdytojai ES turės bendrauti tik
su viena duomenų apsaugos institucija – toje valstybėje narėje,
kurioje yra pagrindinė įmonės būstinė; - sudaryti sąlygas, kad nacionalinės
duomenų apsaugos institucijos galėtų greitai ir
veiksmingai bendradarbiauti, be kita ko, įpareigojant vieną
duomenų apsaugos instituciją kitos institucijos prašymu atlikti
tyrimus ir patikrinimus ir pripažinti viena kitos sprendimus; - nustatyti nuoseklumo užtikrinimo
mechanizmą ES lygmeniu siekiant užtikrinti, kad didesnį
poveikį Europoje turinčiuose duomenų apsaugos institucijų
sprendimuose būtų visapusiškai atsižvelgta į kitų
susijusių duomenų apsaugos institucijų nuomonę ir visiškai
laikomasi ES teisės; - pakeisti 29 straipsnio darbo
grupės statusą į nepriklausomą Europos duomenų apsaugos
valdybą, kad ji labiau prisidėtų prie nuoseklaus
duomenų apsaugos teisės aktų taikymo ir suteiktų
tvirtą duomenų apsaugos institucijų, įskaitant Europos
duomenų apsaugos priežiūros pareigūną, bendradarbiavimo
pagrindą ir sustiprinti sąveiką bei veiksmingumą numatant,
kad Europos duomenų apsaugos valdybos sekretoriato paslaugas teiks Europos
duomenų apsaugos priežiūros pareigūno tarnyba. Naujuoju ES reglamentu bus užtikrinta tvirta
pagrindinės teisės į duomenų apsaugą Europos
Sąjungoje apsauga ir sustiprintas bendrosios rinkos veikimas. Tuo
pačiu atsižvelgiant į tai, kad, kaip ES Teisingumo Teismas[24] pabrėžė, teisė
į asmens duomenų apsaugą nėra absoliuti teisė, o turi
būti vertinama pagal jos funkciją visuomenėje[25]
ir suderinta su kitomis pagrindinėmis teisėmis pagal
proporcingumo principą[26],
reglamente bus įtrauktos aiškios nuostatos, kuriomis bus užtikrinta
pagarba kitoms pagrindinėms teisėms, kaip antai saviraiškos ir
informacijos laisvei, teisei į gynybą ir pagarba profesinei
paslapčiai (pvz., teisininko profesijos atveju) nedarant poveikio
bažnyčių statusui pagal valstybių narių teisės aktus.
4.
Duomenų naudojimas policijos ir baudžiamosios
teisenos bendradarbavimo srityje
Įsigaliojus Lisabonos sutarčiai,
visų pirma nustačius naują teisinį pagrindą (SESV 16 straipsnis),
sudarytos sąlygos sukurti visapusiškus duomenų apsaugos
reglamentavimo pagrindus ir užtikrinti aukštą asmens duomenų apsaugos
lygį kartu atsižvelgiant į ypatingą policijos ir teisminio
bendradarbiavimo baudžiamosiose bylose pobūdį. Pirmiausia suteikta
galimybė pakeisti ES duomenų apsaugos taisykles, kad jos apimtų
asmens duomenų tvarkymą tiek tarpvalstybiniu, tiek nacionaliniu
lygmeniu. Dėl to sumažėtų valstybių narių teisės
aktų skirtumai ir tikriausiai pagerėtų bendras asmens
duomenų apsaugos lygis. Valstybių narių policijos ir
teisminėms institucijoms taip pat taptų paprasčiau keistis
informacija ir dėl to pagerėtų bendradarbiavimas kovojant su
sunkiais nusikaltimais Europoje. Šiuo metų policijos ir teisminių institucijų
vykdomas duomenų tvarkymas baudžiamosiose bylose yra iš esmės
reglamentuojamas Pamatiniu sprendimu 2008/977/TVR, priimtu iki
įsigaliojant Lisabonos sutarčiai. Komisija neturi
įgaliojimų užtikrinti šių taisyklių vykdymą, nes tai
pamatinis sprendimas, dėl to jis įgyvendinamas nevienodai. Be to,
pamatinis sprendimas taikomas tik duomenų tvarkymui tarpvalstybiniu
lygmeniu[27].
Tai reiškia, kad tvarkomiems asmens duomenims, kuriais nesikeičiama, šiuo
metu netaikomos ES taisyklės, kuriomis reglamentuojamas toks tvarkymas ir
saugoma pagrindinė teisė į duomenų apsaugą. Dėl
to kai kuriais atvejais policijai ir kitoms institucijoms taip pat kyla
sunkumų, nes joms gali būti neaišku, ar duomenys tvarkomi vien tik
nacionaliniu ar ir tarpvalstybiniu lygmeniu, taip pat gali būti
sudėtinga nustatyti, ar nacionaliniais duomenimis vėliau gali
būti keičiamasi tarpvalstybiniu lygmeniu[28]. Todėl naujais pertvarkytais ES duomenų
apsaugos reglamentavimo pagrindais siekiama užtikrinti nuoseklų ir
aukštą duomenų apsaugos lygį ir taip padidinti skirtingų
valstybių narių policijos ir teisminių institucijų
tarpusavio pasitikėjimą ir dar daugiau palengvinti laisvą
duomenų judėjimą ir veiksmingą policijos bei teisminių
institucijų bendradarbiavimą. Siekdama užtikrinti aukštą duomenų
apsaugos lygį policijos ir teisminio bendradarbiavimo baudžiamosiose
bylose srityje ir padėti valstybių narių policijos ir
teisminėms institucijoms lengviau keistis asmens duomenimis, Komisija
teikdama duomenų apsaugos reformos dokumentų rinkinį, siūlo
direktyvą, kurioje: - taikys bendruosius duomenų
apsaugos principus policijos bendradarbiavimui ir
teisminiam bendradarbiavimui baudžiamosiose bylose, gerbdama ypatingą
šių sričių pobūdį[29]; - nustatys minimalius suderintus
kriterijus ir sąlygas dėl galimų bendrųjų
taisyklių apribojimų. Tai pirmiausia susiję su
fizinių asmenų teisėmis būti informuotiems, kai policija ir
teisminės institucijos tvarko jų duomenis ar su jais
susipažįsta. Tokie apribojimai būtini siekiant užtikrinti veiksmingą
nusikalstamų veikų prevenciją, tyrimą, nustatymą ar
patraukimą baudžiamojon atsakomybėn už jas; - nustatys konkrečias taisykles,
kurios apimtų ypatingą teisėsaugos veiklos pobūdį, be
kita ko, atskirs duomenų subjektų, kurių teisės gali
skirtis, kategorijas (pvz., liudytojai ir įtariamieji).
5.
DUOMENŲ APSAUGA GLOBALIZUOTAME PASAULYJE
Būtina toliau užtikrinti fizinių
asmenų teises, kai asmens duomenys perduodami iš ES į
trečiąją šalį arba, kai trečiųjų šalių
paslaugų teikėjai nukreipia savo veiklą į valstybių
narių piliečius ir naudoja bei analizuoja jų duomenis. Dėl
to ES duomenų apsaugos standartai turi būti taikomi nepaisant
geografinės įmonės ar jos duomenų tvarkymo padalinio
įsisteigimo vietos. Šiuolaikiniame globalizuotame pasaulyje asmens
duomenys kerta vis daugiau virtualių ir geografinių sienų ir yra
saugomi serveriuose keliose šalyse. Daugiau įmonių siūlo tinklo
kompiuterijos paslaugas, dėl kurių vartotojai gali susipažinti su
duomenimis ir juos saugoti nuotoliniuose serveriuose. Atsižvelgiant į
šiuos veiksnius reikia atnaujinti esamas duomenų perdavimo į
trečiąsias šalis priemones. Tai apima sprendimus dėl tinkamumo,
t. y. sprendimus, kuriais patvirtinami tinkami duomenų apsaugos
standartai trečiosiose šalyse, taip pat tinkamas apsaugos priemones, kaip
antai standartines sutarčių sąlygas arba įmonėms
privalomas taisykles[30],
kad būtų užtikrintas aukštas duomenų apsaugos lygis vykdant
tarptautines tvarkymo operacijas ir būtų palengvintas duomenų
judėjimas per sienas. Įmonėms privalomos taisyklės Įmonių grupė nuolatos turi perduoti
asmens duomenis iš ES įsteigtų padalinių trečiosiose šalyse
veikiantiems padaliniams. Grupė norėtų nustatyti
įmonėms privalomų taisyklių rinkinį, kad
laikytųsi ES teisės ir apribotų administracinius reikalavimus
kiekvienam atskiram perdavimui. Praktiškai įmonėms privalomomis
taisyklėmis užtikrinama, kad grupei galiotų vienas taisyklių
rinkinys, o ne įvairios vidaus sutartys. Remiantis esama tvarka, dėl kurios
sutarta 29 straipsnio darbo grupėje, patvirtinimas, kad įmonėms
privalomomis taisyklėmis įmonė užtikrina tinkamą
apsaugą, suteikiamas tik po išsamios trijų duomenų apsaugos
institucijų (pagrindinės ir dviejų peržiūrinčių)
peržiūros, o keletas kitų institucijų gali pateikti pastabų.
Be to, daugelio valstybių narių teisės aktais reikalaujama papildomų
nacionalinių leidimų duomenų perdavimui, kuriam taikomos
įmonėms privalomos taisyklės, dėl to jų priėmimo
procesas labai sunkus, brangus, ilgas ir sudėtingas. Atlikus duomenų apsaugos reformą: - šis procesas taps paprastesnis ir
racionalesnis; - įmonėms privalomas taisykles
tvirtins tik viena duomenų apsaugos institucija, bus numatyti mechanizmai,
kad kitos atitinkamos duomenų apsaugos institucijos galėtų
greitai prisijungti; - institucijai patvirtinus įmonėms
privalomas taisykles, jos galios visoje ES ir jų nereikės papildomai
tvirtinti nacionaliniu lygmeniu. Siekiant išspręsti globalizacijos uždavinius
reikia lanksčių priemonių ir mechanizmų, ypač
skirtų visame pasaulyje veikiančioms įmonėms, ir kartu be
jokių spragų užtikrinti fizinių asmenų apsaugą.
Komisija siūlo šias priemones: - aiškios taisyklės, kuriomis nustatoma, kada ES teisė taikoma trečiosiose
šalyse įsisteigusiems duomenų valdytojams, visų pirma
nurodant, kad kai fiziniams asmenims ES siūlomos prekės ar paslaugos
arba kai jų elgesys stebimas – taikomos Europos taisyklės; - bet kokius sprendimus dėl tinkamumo
priima Europos Komisija, remdamasi tiksliais ir aiškiais kriterijais, be kita
ko policijos bendradarbiavimo ir baudžiamosios teisenos srityje; - bus lengviau teisėtai siųsti
duomenis į trečiąsias šalis, nes bus sustiprintos ir
supaprastintos taisyklės dėl tarptautinio duomenų perdavimo
šalims, kurioms netaikomas sprendimas dėl tinkamumo, visų pirma bus
racionalizuotas ir išplėstas tokių priemonių kaip
įmonėms privalomos taisyklės naudojimas, kad jų taikymo
sritis apimtų ir duomenų valdytojus, ir įmonių
grupes, ir jos geriau atspindėtų vis didėjantį asmens
duomenis tvarkančių, ypač tinklo kompiuterijos srityje,
įmonių skaičių. - dialogas ir, kai tinkama, derybos
su trečiosiomis šalimis, pirmiausia su ES strateginėmis
partnerėmis ir Europos kaimynystės politikos šalimis bei susijusiomis
tarptautinėmis organizacijomis (pvz., Europos Taryba, Ekonominio
bendradarbiavimo ir plėtros organizacija, Jungtinėmis Tautomis)
siekiant skatinti aukštus ir tarpusavyje susijusius duomenų apsaugos
standartus visame pasaulyje.
6.
IŠVADA
ES duomenų apsaugos reforma siekiama sukurti šiuolaikiškus,
tvirtus, nuoseklius ir visapusiškus Europos Sąjungos duomenų apsaugos
reglamentavimo pagrindus. Bus sustiprinta pagrindinė
fizinių asmenų teisė į duomenų apsaugą. Taip pat
bus gerbiamos kitos teisės, kaip antai saviraiškos ir informacijos
laisvė, vaiko teisės, teisė vykdyti verslą, teisę
į teisingą bylos nagrinėjimą ir pagarbą profesinei
paslapčiai (pvz., teisininko profesijos atveju), taip pat
bažnyčių statusas pagal valstybių narių teisės aktus. Pirmiausia reforma bus naudinga fiziniams
asmenims, nes bus sustiprintos jų teisės į duomenų
apsaugą ir pasitikėjimas skaitmenine aplinka. Be to, įvykdžius
reformą bus labai supaprastinta teisinė aplinka įmonėms ir
viešajam sektoriui. Tikimasi, kad tai dar labiau paskatins skaitmeninės
ekonomikos plėtrą ES bendrojoje rinkoje ir už jos ribų pagal
strategijos „Europa 2020“ ir Europos skaitmeninės darbotvarkės
tikslus. Galiausiai reforma padidins teisėsaugos institucijų
tarpusavio pasitikėjimą, siekiant kad joms būtų
paprasčiau keistis duomenimis ir bendradarbiauti kovojant su sunkiais
nusikaltimais kartu užtikrinant aukštą fizinių asmenų apsaugos
lygį. Europos Komisija dirbs glaudžiai su Europos Parlamentu ir Taryba, kad
užtikrintų, kad iki 2012 m. pabaigos būtų susitarta
dėl ES naujų duomenų apsaugos reglamentavimo pagrindų.
Vykstant šiam priėmimo procesui ir vėliau, ypač atsižvelgiant
į naujų teisinių priemonių įgyvendinimą, Komisija
palaikys glaudų ir skaidrų dialogą su visomis
suinteresuotosiomis šalimis, įskaitant privačiojo ir viešojo
sektorių atstovus. Tarp jų – policijos ir teisminių
institucijų, elektroninių ryšių reguliavimo institucijų,
pilietinės visuomenės organizacijų, duomenų apsaugos
institucijų ir akademinės visuomenės atstovai, taip pat atstovai
iš specializuotų ES agentūrų, kaip antai Eurojusto, Europolo,
Pagrindinių teisių agentūros ir Europos tinklų ir informacijos
apsaugos agentūros. Atsižvelgiant į tai, kad informacinės
technologijos nuolat vystosi, o visuomenės elgesys kinta, toks dialogas be
galo svarbus, kad būtų galima juo pasinaudoti ir užtikrinti
aukštą asmens duomenų apsaugos lygį, ES pramonės
augimą ir konkurencingumą, veiksmingą viešojo sektoriaus
(įskaitant policiją ir teismines institucijas) veiklą ir
mažą administracinę naštą. [1] Itin didelio duomenų kiekio analizės
pasaulinė rinka kasmet išauga 40 proc. http://www.mckinsey.com/mgi/publications/big_data/. [2] Taip pat žr. 2011 m. spalio 23 d. Europos
Vadovų Tarybos išvadas, kuriose pabrėžtas bendrosios rinkos
pagrindinis vaidmuo „užtikrinant ekonomikos augimą ir užimtumą“ ir
poreikis iki 2015 m. sukurti bendrąją skaitmeninę
rinką. [3] COM(2010) 171 galutinis. [4] COM(2010) 245 galutinis. [5] COM(2010) 2020 galutinis. [6] Direktyva 95/46/EB dėl
asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių
duomenų judėjimo, OL L 281, 1995 11 23, p. 31. [7] Konkrečios taisyklės
dėl valstybių narių tvarkomų duomenų bendros užsienio
ir saugumo politikos srityje bus nustatytos Tarybos sprendimu pagal Europos
Sąjungos sutarties 39 straipsnį. [8] Atitinkamai COM(2009) 262 ir COM(2010) 171. [9] Vyko dvi viešos konsultacijos
dėl duomenų apsaugos reformos: nuo 2009 m. liepos iki gruodžio mėn. (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0003_en.htm) ir nuo 2010 m. lapkričio mėn. iki 2011 m.
sausio mėn. (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0006_en.htm). [10] 2010 m. surengtos
tikslinės konsultacijos su valstybių narių valdžios
institucijomis ir privačiojo sektoriaus suinteresuotosiomis šalimis. 2010 m. lapkričio mėn. už
teisingumą atsakinga Komisijos narė Viviane Reding surengė
apskritojo stalo diskusiją apie duomenų apsaugos reformą. 2011 m. vyko konkretiems klausimams (pvz., pranešimams apie
duomenų saugumo pažeidimus) skirti praktiniai užsiėmimai ir
seminarai. [11] COM(2010) 609. [12] Žr. 2011 m. rugsėjo 19 d. už
teisingumą atsakingos Komisijos narės Viviane Reding raštą 29
straipsnio darbo grupei (paskelbta http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/index_en.htm). [13] Vėlesniame etape tai apims pakeitimus siekiant
suderinti specialias ir sektorines priemones, pvz., Reglamentą (EB) Nr. 45/2001,
OL L 8, 2001 2 12, p. 1. [14] Žr. Poveikio vertinimą SEC(2012) 72. [15] Reglamentu taip pat padaroma keletas techninių
E-privatumo direktyvos (Direktyva 2002/58/EB su paskutiniais pakeitimais, padarytais
Direktyva 2009/136/EC, OL L 337, 2009 12 18, p. 11) pakeitimų,
siekiant atsižvelgti į tai, kad Direktyva 95/46/EB pakeičiama
reglamentu. Esminį teisinį naujojo reglamento ir naujosios direktyvos
poveikį E. privatumo direktyvai Komisija tinkamu metu peržiūrės
atsižvelgdama į derybų dėl dabartinių pasiūlymų
su Europos Parlamentu ir Taryba rezultatus. [16] 2008 m. lapkričio 27 d. Tarybos pamatinis
sprendimas 2008/977/TVR dėl asmens duomenų, tvarkomų vykdant
policijos ir teisminį bendradarbiavimą baudžiamosiose bylose,
apsaugos, OL L 350, 2008 12 30, p. 60. Pamatinio
sprendimo įgyvendinimo valstybėse narėse ataskaita (COM(2012) 12)
priimama kartu su šiuo duomenų apsaugos dokumentų rinkiniu. [17] Žr. specialų Eurobarometro tyrimą Nr. 359,
„Duomenų apsauga ir elektroninė tapatybė ES“, 2011 m.
birželio mėn., 23 p. [18] Ibidem, 54 p. [19] Žr. Europos skaitmeninę darbotvarkę. Citata, 4
p. [20] Šiuo metu tai privaloma tik telekomunikacijų
sektoriuje pagal E. privatumo direktyvą. [21] Dėl daugiau informacijos šiuo klausimu
žiūrėkite prie teisės aktų pasiūlymų
pridedamą poveikio vertinimą, SEC(2012) 72. [22] Patariamąjį statusą turinti 29 straipsnio
darbo grupė sukurta 1996 m. (Direktyvos 95/46/EB 29 straipsniu).
Ją sudaro nacionalinių duomenų apsaugos priežiūros
institucijų atstovai, Europos duomenų apsaugos priežiūros
pareigūnas ir Komisijos atstovai. Daugiau informacijos apie veiklą http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm. [23] Siūloma direktyva nustatomos taisyklės,
taikytinos policijos bendradarbiavimo ir teisminio bendradarbiavimo
baudžiamosiose bylose sričiai (žr. 4 dalį), kuriomis
valstybėms narėms šioje konkrečioje srityje bus suteikta daugiau
veikimo laisvės. [24] 2003 m. lapkričio 6 d. ES Teisingumo Teismo
sprendimas C-92/09, Lindqvist, 2003 m. Rink., I-12971, 82–90 punktai. 2008 m.
gruod˛io 16 d. sprendimas C-73/07, Satamedia, 2008 m.
Rink. I-9831, 50–62 punktai. [25] 2010 m. lapkričio 9 d.
ES Teisingumo Teismo sprendimas sujungtose bylose C-92/09 ir C-93/09, Volker
und Markus Schecke ir Eifert, 2010 m. (dar nepaskelbtas). [26] Chartijos 52 straipsnio 1 dalyje numatyta
galimybė apriboti naudojimąsi teise į duomenų apsaugą,
jei šie apribojimai numatyti įstatyme, nekeičia teisės ir
laisvių esmės ir, remiantis proporcingumo principu, yra būtini
ir tikrai atitinka Europos Sąjungos pripažintus bendrojo intereso tikslus
arba reikalingi kitų teisėms ir laisvėms apsaugoti. [27] Konkrečiau pamatinis sprendimas
taikomas asmens duomenims, kurie perduodami ar buvo perduoti valstybių
narių tarpusavyje arba tarp valstybių narių ir ES
institucijų ar įstaigų (žr. 1 straipsnio 2 dalį). [28] Tą patvirtino kelios valstybės narės
atsakydamos į Komisijos klausimyną dėl Pamatinio sprendimo
įgyvendinimo ataskaitos (COM(2012) 12). [29] Žr. 21-ąją deklaraciją dėl asmens
duomenų apsaugos teisminio bendradarbiavimo baudžiamosiose bylose ir
policijos bendradarbiavimo srityse, pridėtos prie Tarpvyriausybinės
konferencijos, patvirtinusios Lisabonos sutartį, Baigiamojo akto. [30] Įmonėms privalomos
taisyklės – tai praktikos kodeksai, pagrįsti Europos duomenų
apsaugos standartais, patvirtinti bent vienos duomenų apsaugos
institucijos, kuriuos organizacijos parengia ir kurių laikosi
savanoriškai, siekdamos užtikrinti tinkamas apsaugos priemones asmens
duomenų, kuriuos tai pačiai įmonių grupei
priklausančios ir tų pačių taisyklių saistomos
įmonės perduoda tarpusavyje, perdavimo kategorijoms. Jos nėra aiškiai įtrauktos į
Direktyvą 95/46/EB, tačiau išsivystė iš duomenų apsaugos
institucijų praktikos su 29 straipsnio darbo grupės parama.