30.6.2012 |
LT |
Europos Sąjungos oficialusis leidinys |
C 192/7 |
2012 m. kovo 7 d. EDAPP nuomonės dėl duomenų apsaugos reformos paketo santrauka
(Visą šios nuomonės tekstą anglų, prancūzų ir vokiečių kalbomis galima rasti EDAPP interneto svetainėje http://www.edps.europa.eu)
2012/C 192/05
2012 m. sausio 25 d. Komisija priėmė ES duomenų apsaugos taisyklių reformos paketą, įskaitant reglamento, kuriuo nustatomos bendrosios duomenų apsaugos taisyklės, pasiūlymą ir direktyvos dėl duomenų apsaugos teisėsaugos sektoriuje pasiūlymą.
2012 m. kovo 7 d. Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) priėmė nuomonę, kurioje pateikiamos išsamios pastabos dėl abiejų teisės aktų pasiūlymų. Visą nuomonės tekstą galima rasti EDAPP interneto svetainėje http://www.edps.europa.eu
Savo nuomonėje EDAPP trumpai apibendrina pasiūlymų kontekstą ir pateikia savo bendrą vertinimą.
EDAPP palankiai vertina siūlomą reglamentą, nes tai yra didžiulis žingsnis į priekį duomenų apsaugos srityje Europoje. Siūlomomis taisyklėmis bus sustiprintos asmenų teisės, o duomenų valdytojai turės griežčiau atsiskaityti dėl to, kaip jie tvarko asmens duomenis. Be to, veiksmingai sustiprinamas nacionalinių priežiūros institucijų vaidmuo ir įgaliojimai (atskirai ir kartu).
EDAPP ypač palankiai vertina tai, kad bendrosioms duomenų apsaugos taisyklėms kaip teisės aktas siūlomas reglamentas. Siūlomas reglamentas būtų tiesiogiai taikomas valstybėse narėse ir pašalintų daugelį sunkumų bei neatitikčių, atsirandančių dėl skirtingų šiuo metu valstybėse narėse galiojančių įgyvendinimo teisės aktų.
Tačiau EDAPP yra labai nusivylęs siūloma duomenų apsaugos teisėsaugos srityje direktyva. EDAPP apgailestauja, kad Komisija nusprendė šį klausimą reglamentuoti savarankišku teisės aktu, kuriuo užtikrinamas nepakankamas apsaugos lygis, gerokai mažesnis nei siūlomame reglamente.
Teigiamas siūlomos direktyvos aspektas yra tas, kad ji apima duomenų vidaus tvarkymą, todėl jos taikymo sritis yra platesnė nei dabartinio pagrindų sprendimo. Tačiau šis teigiamas aspektas yra vertingas tik jeigu direktyva šioje srityje iš esmės padidinamas duomenų apsaugos lygis, tačiau taip nėra.
Apskritai pagrindinis paketo trūkumas yra tas, kad juo neištaisoma ES duomenų apsaugos taisyklių išsamumo spraga. Daugelis ES duomenų apsaugos priemonių lieka nepakitusios, pvz., ES institucijoms ir įstaigoms taikomos duomenų apsaugos taisyklės, o taip pat ir specialiosios priemonės, kurių imtasi policijos ir teismų bendradarbiavimo baudžiamosiose bylose srityje, pvz., Priumo sprendimas ir Europolui bei Eurojustui taikomos taisyklės. Be to, abiejose siūlomose priemonėse ne iki galo reglamentuoti faktiniai atvejai, patenkantys į abi politikos sritis, pvz., PNR arba telekomunikacijų duomenų naudojimas teisėsaugos tikslais.
Kalbant apie siūlomą reglamentą, vienas horizontalus aspektas yra ES ir nacionalinės teisės santykis. Siūlomu reglamentu nueitas ilgas kelias siekiant sukurti bendrą ES taikomą duomenų apsaugos teisės aktą, tačiau ES teisė ir nacionalinė teisė turi daug daugiau galimybių bendrai egzistuoti ir sąveikauti nei galėtų pasirodyti iš pirmo žvilgsnio. EDAPP nuomone, teisės aktų leidėjas turėtų tai pripažinti.
Kitas bendros svarbos klausimas susijęs su įvairiomis nuostatomis, pagal kurias Komisija įgaliojama priimti deleguotuosius arba įgyvendinimo aktus. EDAPP palankiai vertina šį požiūrį, jei jis padeda nuosekliai taikyti reglamentą, tačiau jam kyla abejonių dėl to, kokiu mastu esminės teisės normos reglamentuojamos deleguotaisiais įgaliojimais. Reikėtų persvarstyti kelis iš tokių įgaliojimų.
EDAPP konkrečiai nurodo svarbiausius siūlomo reglamento teigiamus aspektus:
— |
patikslinta siūlomo reglamento taikymo sritis, |
— |
sugriežtinti skaidrumo reikalavimai duomenų subjekto atžvilgiu ir sustiprinta teisė prieštarauti, |
— |
duomenų valdytojams nustatyta bendra pareiga užtikrinti ir gebėti įrodyti atitiktį reglamento nuostatoms, |
— |
sustiprinama nacionalinių priežiūros institucijų padėtis ir vaidmuo, |
— |
nustatyti pagrindiniai nuoseklumo mechanizmo aspektai. |
Svarbiausi neigiami reglamento aspektai:
— |
naujas pagrindas taikyti tikslo ribojimo principo išimtis, |
— |
galimybės riboti pagrindinius principus ir teises, |
— |
pareiga duomenų valdytojams saugoti visų tvarkymo operacijų dokumentus, |
— |
duomenų perdavimas trečiosioms šalims kaip leidžianti nukrypti nuostata, |
— |
Komisijos vaidmuo nuoseklumo mechanizme, |
— |
privalomas administracinių sankcijų skyrimo pobūdis. |
Kalbant apie direktyvą, EDAPP mano, kad pasiūlymas daugeliu aspektų neatitinka nuoseklios ir aukšto lygio duomenų apsaugos reikalavimo. Visos esamos šios srities priemonės lieka nepakeistos, o daugeliu atvejų visiškai nepateisinamai nukrypstama nuo siūlomo reglamento normų.
EDAPP pabrėžia, kad nors teisėsaugos sričiai būtinos tam tikros konkrečios taisyklės, kiekvienas nukrypimas nuo bendrųjų duomenų apsaugos taisyklių turėtų būti tinkamai pagrįstas, remiantis tinkama viešojo intereso teisėsaugos srityje ir piliečių pagrindinių teisių pusiausvyra.
EDAPP visų pirma kelia rūpestį:
— |
tai, kad tikslo ribojimo principas reglamentuotas neaiškiai, |
— |
kompetentingoms institucijoms nenustatyta jokios pareigos įrodyti, kad laikomasi direktyvos, |
— |
negriežtos perdavimo į trečiąsias šalis sąlygos, |
— |
nepagrįstai apriboti priežiūros institucijų įgaliojimai. |
Pateikiamos tokios rekomendacijos.
Rekomendacijos dėl viso reformos proceso
— |
kuo greičiau viešai paskelbti reformos proceso antrojo etapo tvarkaraštį, |
— |
įtraukti į siūlomą reglamentą ES institucijoms ir įstaigoms taikomas taisykles arba bent jau suderinti galiojančias taisykles tais atvejais, kai taikomas siūlomas reglamentas, |
— |
kuo greičiau pateikti pasiūlymą dėl bendrosios užsienio ir saugumo politikos bendrųjų taisyklių pagal Europos Sąjungos Sutarties 39 straipsnį. |
Rekomendacijos dėl siūlomo reglamento
Horizontalūs aspektai
— |
įtraukti nuostatą, kuria būtų patikslinta nacionalinės teisės teritorinė taikymo sritis pagal reglamentą, |
— |
persvarstyti įgaliojimų perdavimą pagal 31 straipsnio 5 ir 6 dalis, 32 straipsnio 5 ir 6 dalis, 33 straipsnio 6 ir 7 dalis, 34 straipsnio 2 dalies a punktą ir 44 straipsnio 1 dalies d punktą bei 7 dalį, |
— |
numatyti atitinkamas ir konkrečias priemones MVĮ tik pasirinktuose įgyvendinimo aktuose, o ne 8 straipsnio 3 dalyje, 14 straipsnio 7 dalyje, 22 straipsnio 4 dalyje ir 33 straipsnio 6 dalyje numatytuose deleguotuosiuose aktuose, |
— |
patikslinti sąvoką „viešasis interesas“ visose nuostatose, kuriose ši sąvoka vartojama. Kiekvienoje atitinkamoje pasiūlymo nuostatoje turėtų būti aiškiai įvardyti konkretūs viešieji interesai, atsižvelgiant į numatomo tvarkymo kontekstą (visų pirma žr. 87 konstatuojamąją dalį, 17 straipsnio 5 dalį, 44 straipsnio 1 dalies d punktą ir 81 straipsnio 1 dalies b ir c punktus). Papildomi reikalavimai galėtų apimti tai, kad pagrindu būtų galima remtis tik visiškai neatidėliotinomis aplinkybėmis arba remiantis įstatyme nustatytais imperatyviais pagrindais. |
I skyrius. Bendrosios nuostatos
— |
į 2 straipsnio 2 dalies d punktą įtraukti kriterijų, siekiant diferencijuoti viešą ir vidaus veiklą, remiantis neapibrėžtu asmenų, galinčių susipažinti su informacija, skaičiumi. |
— |
2 straipsnio 2 dalies e punktas: numatyti, kad išimtis taikoma kompetentingoms viešosios valdžios institucijoms. 16 konstatuojamąją dalį reikėtų suderinti su 2 straipsnio 2 dalies e punktu. |
— |
4 straipsnio 1 dalies 2 punktas: į konstatuojamąją dalį įtraukti aiškesnį paaiškinimą, nurodant, kad jeigu tarp identifikatoriaus ir asmens yra glaudus ryšys, tai paskatins duomenų apsaugos principų taikymą. |
— |
4 straipsnio 13 dalis: patikslinti kriterijus, siekiant nustatyti atitinkamo duomenų valdytojo pagrindinę buveinę, atsižvelgiant į vienos buveinės „dominuojančią įtaką“ kitų buveinių atžvilgiu, glaudžiai siejant su teise įgyvendinti asmens duomenų apsaugos taisykles arba duomenų apsaugai svarbias taisykles. Alternatyviai apibrėžtis galėtų būti labiau siejama su pagrindine visos grupės buveine. |
— |
Pateikti naujas „perdavimo“ ir „tvarkymo ribojimo“ apibrėžtis. |
II skyrius. Pagrindiniai principai
— |
6 straipsnis. Į 6 straipsnio 1 dalies e punktą įtraukti konstatuojamąją dalį, siekiant dar labiau patikslinti, kas įeina į užduotį, vykdomą „viešojo intereso užduočiai įvykdyti ar vykdant valdžios įgaliojimus“. |
— |
6 straipsnio 4 dalis. Išbraukti nuostatą arba bent jau apriboti ją tolesniu duomenų tvarkymu nesuderinamais tikslais 6 straipsnio 1 dalies a ir d punktuose numatytais pagrindais. Tam reikėtų iš dalies pakeisti ir 40 konstatuojamąją dalį. |
— |
Įtraukti naują nuostatą dėl atstovavimo visiems asmenims, kuriems trūksta pakankamo (teisinio) veiksnumo arba kurie kitaip negali veikti. |
— |
9 straipsnis. Įtraukti pažeidimus ir klausimus, dėl kurių neatsirado teistumas specialių duomenų kategorijų srityje. Išplėsti valdžios institucijos priežiūros reikalavimą ir taikyti jį visiems 9 straipsnio 2 dalies j punkte išvardytiems pagrindams. |
— |
10 straipsnis. 45 konstatuojamojoje dalyje patikslinti, kad duomenų valdytojas negalėtų remtis galimu informacijos trūkumu, atsisakydamas tenkinti prašymą leisti susipažinti su duomenimis, jeigu duomenų subjektas gali pateikti šią informaciją tam, kad būtų galima susipažinti su duomenimis. |
III skyrius. Duomenų subjekto teisės
— |
14 straipsnis. Įtraukti informaciją apie tam tikrų tvarkymo operacijų, turinčių ypatingą poveikį asmenims, buvimą, taip pat apie tokio tvarkymo padarinius asmenims. |
— |
17 straipsnis. Dar patobulinti nuostatą, siekiant užtikrinti jos veiksmingumą tikrovėje. Išbraukti 17 straipsnio 3 dalies d punktą. |
— |
18 straipsnis. Patikslinti, kad teisės įgyvendinimas nepaveiktų 5 straipsnio e punkte nustatytos pareigos ištrinti duomenis, kai jie tampa nebebūtini. Užtikrinti, kad 18 straipsnio 2 dalis apimtų ne tik duomenis, kuriuos pagal sutikimą arba sutartį pateikė duomenų subjektas. |
— |
19 straipsnis. Patikslinti, ką duomenų valdytojas turėtų daryti duomenų subjektui nedavus sutikimo ir suderinti su 17 straipsnio 1 dalies c punktu. Konstatuojamojoje dalyje paaiškinti, kas galėtų būti laikoma „įtikinamomis teisėtomis priežastimis“. |
— |
20 straipsnis. Įtraukti į 20 straipsnio 2 dalies a punktą asmenų teisę pateikti savo nuomonę, kaip yra numatyta Direktyvos 95/46/EB 15 straipsnyje. |
— |
21 straipsnis. Nustatyti išsamias garantijas, kad nacionalinėje teisėje turėtų būti nurodyti tvarkymu siekiami tikslai, tvarkytinų asmens duomenų kategorijos, konkretūs tvarkymo tikslai ir priemonės, duomenų valdytojas, asmenų, įgaliotų tvarkyti duomenis, kategorijos, procedūra, kuria vadovaujamasi tvarkant duomenis, ir garantijos, apsaugančios nuo savavališko viešosios valdžios institucijų įsikišimo. Įtraukti papildomas garantijas, informuojant duomenų subjektus apie apribojimą ir jų teisę perduoti klausimą priežiūros institucijai, siekiant gauti netiesioginę galimybę susipažinti su duomenimis. 21 straipsnyje papildomai numatyti, kad dėl galimybės taikyti apribojimus privačių duomenų valdytojų atliekamam tvarkymui jie neturėtų būti verčiami saugoti daugiau duomenų nei tie, kuriuos griežtai būtina saugoti pradiniam siekiamam tikslui, ir nekeisti jų IT struktūros. Išbraukti 21 straipsnio 11 dalies e punkte numatytą pagrindą. |
IV skyrius. Duomenų valdytojas ir tvarkytojas
— |
22 straipsnis. Aiškiai nurodyti atskaitomybės principą, bet kuriuo atveju 60 konstatuojamojoje dalyje. Sujungti 22 straipsnio 1 ir 3 dalis ir aiškiai paminėti, kad priemonės turėtų būti tinkamos ir veiksmingos. Įtraukti bendrą nuostatą prieš 22 straipsnio 2 dalyje numatytus specialiuosius įpareigojimus, patobulinti sąvoką „valdymo kontrolė“, įskaitant pareigų perdavimą, darbuotojų mokymą, taip pat tinkamas instrukcijas ir pareikalauti, kad duomenų valdytojas pagal šią pareigą bent bendrai peržvelgtų tvarkymo operacijas ir bendrai jas aprašytų. Įtraukti naują dalį, siekiant numatyti, kad jeigu duomenų valdytojas nusprendžia arba privalo skelbti reguliarią savo veiklos ataskaitą, tai joje taip pat turėtų būti aprašyta 22 straipsnio 1 dalyje nurodyta politika ir priemonės. |
— |
23 straipsnis. 23 straipsnio 2 dalyje ir 61 konstatuojamojoje dalyje nurodyti, kad duomenų subjektams iš esmės turėtų būti leidžiama pasirinkti, ar leisti plačiau naudoti jų asmens duomenis. |
— |
25 straipsnio 2 dalies a punktas. išbraukti išimtį, taikomą tinkamoms trečiosioms šalims. |
— |
26 straipsnis. Įtraukti į 26 straipsnio 2 dalyje pateiktą specifikacijų sąrašą tvarkytojui taikomą įpareigojimą atsižvelgti į duomenų apsaugos projektuojant principą. |
— |
28 straipsnis. Persvarstyti arba išbraukti 28 straipsnio 4 dalyje numatytas išimtis. |
— |
30 straipsnis. Patikslinti 30 straipsnį, siekiant užtikrinti bendrą duomenų valdytojo atsakomybę ir įtraukti duomenų valdytojo pareigą taikyti informacijos saugumo valdymo metodą organizacijoje, įskaitant, kai taikytina, atliekamam duomenų tvarkymui pritaikytos informacijos saugumo politikos įgyvendinimą. 30 straipsnyje pateikti aiškią nuorodą į DAPV. |
— |
31 ir 32 straipsniai. Nustatyti kriterijus ir reikalavimus duomenų saugumo pažeidimui nustatyti ir aplinkybes, kai apie jį būtina pranešti. 31 straipsnyje nustatytą 24 valandų terminą pakeisti ne ilgesniu nei 72 valandų terminu. |
— |
33 straipsnis. 33 straipsnio 2 dalies b punkte pateiktas tvarkymo operacijų sąrašas neturėtų apimti tik tvarkymo dideliu mastu. 33 straipsnio 5 dalį suderinti su 73 konstatuojamąja dalimi. 33 straipsnio 6 dalį apriboti tik neesminiais elementais. Patikslinti, kad įmonės dydis niekada neturėtų būti priežastis netaikyti pareigos atlikti tvarkymo operacijų, kurios kelia konkrečias grėsmes, DAPV. |
— |
34 straipsnis. 34 straipsnio 1 dalį perkelti į siūlomo reglamento V skyrių. |
— |
35–37 straipsniai. 35 straipsnio 1 dalyje sumažinti 250 darbuotojų ribą ir patikslinti 35 straipsnio 1 dalies c punkto taikymo sritį. Įtraukti garantijas, visų pirma griežtesnes DAP atleidimo sąlygas bei 36 straipsnio 1 dalyje užtikrinti, kad DAP būtų suteikta prieiga prie visos reikšmingos informacijos ir leista patekti į patalpas, būtinas jo pareigoms vykdyti. Įtraukti į 37 straipsnio 1 dalies a punktą DAP vaidmenį didinant informuotumą. |
V skyrius. Perdavimas į trečiąsias šalis
— |
79 konstatuojamojoje dalyje nurodyti, kad reglamento netaikymas tarptautiniams susitarimams apribotas laiko atžvilgiu tik jau esamais tarptautiniais susitarimais. |
— |
Įtraukti pereinamojo laikotarpio išlygą, numatant šių tarptautinių susitarimų persvarstymą per nustatytą laiką, siekiant juos suderinti su reglamentu. |
— |
41 straipsnis (ir 82 konstatuojamoji dalis). Patikslinti, kad jeigu priimamas sprendimas dėl netinkamumo, duomenis būtų leidžiama perduoti tik taikant atitinkamas garantijas arba jeigu tokiam perdavimui taikomos 44 straipsnio leidžiančios nukrypti nuostatos. |
— |
42 straipsnis. Užtikrinti, kad galimybė taikyti teisiškai neprivalomas priemones siekiant užtikrinti atitinkamas garantijas būtų aiškiai pagrįsta ir apimtų tik tuos atvejus, kai yra įrodyta būtinybė remtis tokiomis priemonėmis. |
— |
44 straipsnis (ir 87 konstatuojamoji dalis). Pridurti, kad galimybė perduoti duomenis turėtų būti siejama tik su retais perdavimais ir grindžiama atidžiu visų perdavimo aplinkybių įvertinimu kiekvienu konkrečiu atveju. Pakeisti arba patikslinti 44 straipsnio 1 dalies h punkto ir 44 straipsnio 3 dalies frazę „tinkamos apsaugos priemonės“. |
— |
90 konstatuojamoji dalis. Konstatuojamąją dalį pakeisti materialine nuostata. Šiems atvejams numatyti atitinkamas garantijas, įtraukiant teismines garantijas ir duomenų apsaugos garantijas. |
VI ir VII skyriai. Nepriklausomos priežiūros institucijos, bendradarbiavimas ir nuoseklumas
— |
48 straipsnis. Įtraukti nacionalinių parlamentų vaidmenį priežiūros institucijų narių skyrimo procedūroje. |
— |
52 straipsnio 1 dalis. Įtraukti pareigą parengti gaires dėl skirtingų įgyvendinimo įgaliojimų naudojimo, prireikus koordinuojamų ES lygmeniu valdyboje. Šią pareigą būtų galima įtraukti ir į 66 straipsnį. |
— |
58 straipsnis. 58 straipsnio 6 dalyje esantį žodį „nedelsdama“ pakeisti fraze „iš karto“ ir pratęsti 58 straipsnio 7 dalyje numatytą vieno mėnesio terminą iki dviejų mėnesių / aštuonių savaičių. |
— |
58 straipsnis. Suteikti daugiau reikšmės daugumos taisyklei, užtikrinant, kad dėl vienos institucijos prašymo būtų galima balsuoti, jeigu nagrinėjamas klausimas nėra susijęs su viena iš 58 straipsnio 2 dalyje aprašytų pagrindinių priemonių. |
— |
59 ir 60 straipsniai. Apriboti Komisijos teisę, išbraukiant galimybę konkrečiu atveju įgyvendinimo aktu atmesti nacionalinės priežiūros institucijos sprendimą. Užtikrinti, kad Komisijos vaidmuo pradiniame etape apimtų paskatinimą kreiptis į valdybą, kaip numatyta 58 straipsnio 4 dalyje, o paskui – teisę priimti nuomones. Pateikti nuorodą dėl tolesnio proceso Teisingumo Teisme, vykstant pažeidimo procedūrai arba pateikus prašymą taikyti laikinąsias priemones, pvz., įsakymą sustabdyti taikymą. |
— |
66 straipsnis. Papildyti, kad su valdyba turi būti konsultuojamasi vertinant tinkamumą. |
— |
Persvarstyti esamą Europos duomenų apsaugos valdybos sekretoriato poveikio vertinimą finansinių ir žmogiškųjų išteklių požiūriu (žr. šios nuomonės priedą, pateiktą EDAPP interneto svetainėje). |
VIII skyrius. Teisių gynimo priemonės, atsakomybė ir sankcijos
— |
73 ir 76 straipsniai. Aiškiau reglamentuoti įgaliojimus, kuriuos organizacija turi gauti iš duomenų subjektų, ir reikalaujamo formalumo laipsnį. Pateikti platesnę nuostatą dėl kolektyvinių veiksmų. |
— |
74 straipsnio 4 dalis. Apriboti „susiejimo“ su duomenų subjektu pobūdį, dėl kurio galėtų būti keliama byla, ir vietoj to nustatyti tikslesnę poveikio duomenų subjekto teisėms grėsmę. |
— |
75 straipsnio 2 dalis. Nustatyti, kad leidžianti nukrypti nuostata netaikoma trečiosios šalies valdžios institucijai. |
— |
76 straipsnio 3 ir 4 dalys. Teismų lygmeniu nustatyti sistemingesnę informavimo procedūrą. |
— |
Patikslinti sąveiką su Briuselio I reglamentu. |
— |
Patikslinti iš duomenų valdytojo gautos informacijos (pagal 53 straipsnį) naudojimo suderinamumą su bendra teise neduoti parodymų prieš save. |
— |
77 straipsnis. Pridurti, kad duomenų subjektas turi visada turėti galimybę kreiptis į duomenų valdytoją dėl žalos atlyginimo, nepaisant to, kur ir kaip žala atsirado. Įtraukti nuostatą dėl paskesnio žalos sureguliavimo tarp duomenų valdytojo ir duomenų tvarkytojo, patikslinus atsakomybės padalijimo jiems tvarką. Pridurti, kad tai turėtų būti taikoma ir neturtinės žalos atlyginimui. |
— |
Įtraukti nuostatą, kurioje būtų vartojama vieno ūkio subjekto arba vienos įmonės sąvoka, kad grupę būtų galima laikyti atsakinga už dukterinės įmonės padarytą pažeidimą. |
— |
79 straipsnis. Numatyti priežiūros institucijų diskreciją dėl administracinių sankcijų. Įtraukti specifikacijas, pabrėžiant aplinkybes, kuriomis gali būti skiriama administracinė sankcija. Užtikrinti, kad už konkretaus priežiūros institucijos nurodymo nevykdymą paprastai būtų skiriama griežtesnė administracinė sankcija nei už vieną tos pačios bendrosios nuostatos pažeidimą. |
IX skyrius. Konkretūs duomenų tvarkymo atvejai
— |
80 straipsnis. Performuluoti 80 straipsnį ir nurodyti, kad valstybės narės numato šio reglamento nuostatų išimtis arba leidžiančias nukrypti nuostatas, jeigu jos yra būtinos teisei į duomenų apsaugą suderinti su teise į saviraiškos laisvę. Į nuostatą arba konstatuojamąją dalį įtraukti, kad derinant dvi pagrindines teises, neturėtų būti paneigta nė vienos teisės esmė. |
— |
Įtraukti materialinę nuostatą dėl visuomenės galimybės susipažinti su dokumentais, nurodant, kad viešosios valdžios institucijų ir įstaigų turimuose dokumentuose esantys asmens duomenys gali būti viešai atskleidžiami, jeigu tai: 1) numatyta ES arba nacionalinėje teisėje; 2) būtina teisei į duomenų apsaugą ir visuomenės teisei susipažinti su oficialiais dokumentais suderinti; 3) būtų užtikrinama teisinga įvairių susijusių interesų pusiausvyra. |
— |
81, 82, 83 ir 84 straipsniuose esančią frazę „pagal šio reglamento reikalavimus“ pakeisti fraze „nepažeidžiant šio reglamento“. |
— |
81 straipsnis. Suderinti 81 straipsnio 1 dalies 3 punktą ir 9 straipsnio 3 dalį ir patikslinti 81 straipsnio taikymo sritį bei pobūdį. Reikėtų papildomai reglamentuoti sutikimo reikalavimą, įsipareigojimų nustatymą ir saugumo reikalavimus. |
— |
83 straipsnis. Įtraukti papildomas garantijas, jeigu tvarkomi ypatingi duomenys. 83 straipsnio 1 dalyje aiškiai reglamentuoti, kad atspirties taškas mokslinių tyrimų tikslais turėtų būti toks, kad šis tvarkymas atliekamas naudojant nuasmenintus duomenis. Patikslinti, ką reiškia žodis „atskirai“ ir užtikrinti, kad atskiru saugojimu iš tiesų būtų apsaugoti duomenų subjektai. 83 straipsnio 1 dalies b punkte vietoj frazės „duomenys, pagal kuriuos informaciją galima priskirti duomenų subjektui, kurio tapatybė yra nustatyta arba gali būti nustatyta, laikomi atskirai nuo kitos informacijos, jeigu tokiu būdu galima pasiekti šiuos tikslus“ įrašyti frazę „duomenis, kurie suteikia galimybę susieti tam tikrą informaciją su duomenų subjektu“. Atsisakyti asmenų teisių apribojimo deleguotaisiais aktais. |
Rekomendacijos dėl siūlomos direktyvos
Horizontalūs klausimai
— |
59 straipsnis. Konkretūs aktai policijos ir teismų bendradarbiavimo baudžiamosiose bylose srityje turėtų būti pakeisti vėliausiai direktyvos įsigaliojimo momentu. |
— |
Įtraukti naują nuostatą, kuria nustatomas įprastų įrodymų vertinimo mechanizmas, vertinant, ar tam tikro masto duomenų tvarkymo veikla iš tikrųjų yra būtina ir proporcinga priemonė nusikaltimų prevencijai, išaiškinimui, tyrimui ir patraukimui baudžiamojon atsakomybėn už juos. |
— |
Įtraukti naują nuostatą siekiant užtikrinti, kad asmens duomenų perdavimas iš teisėsaugos institucijų kitoms viešosioms organizacijoms ar privatiesiems asmenims būtų galimas tik esant konkrečioms ir griežtoms sąlygoms. |
— |
Įtraukti naują nuostatą dėl konkrečios garantijos, susijusios su vaikų duomenų tvarkymu. |
I ir II skyriai. Bendrosios nuostatos ir principai
— |
3 straipsnio 4 dalis. Papildomai pagrįsti pagal siūlomo reglamento 17 straipsnio 5 dalį. |
— |
4 straipsnio b punktas. Įtraukti į konstatuojamąją dalį nuostatą, pagal kurią sąvoka „suderinamas naudojimas“ būtų aiškinama siaurai. |
— |
4 straipsnio f punktas. Suderinti su siūlomo reglamento 5 straipsnio f punktu ir atitinkamai iš dalies pakeisti 18 ir 23 straipsnius. |
— |
5 straipsnis. Įtraukti neįtariamus asmenis kaip atskirą kategoriją. Išbraukti frazę „kuo skubiau“ ir nurodyti skirstymo į kategorijas padarinius. |
— |
6 straipsnis. 1 ir 2 dalyse išbraukti frazę „kuo skubiau“. |
— |
7 straipsnio a punktas. Pakeisti savarankiška nuostata, bendrai užtikrinant, kad visos duomenų tvarkymo operacijos būtų numatytos įstatyme ir taip įvykdyti ES pagrindinių teisių chartijos bei EŽTK reikalavimus. |
— |
7 straipsnio b–d punktai. Pakeisti papildoma, atskira nuostata, kurioje būtų išsamiai išvardyti viešojo intereso pagrindai, dėl kurių gali būti leidžiama nukrypti nuo tikslo ribojimo principo. |
— |
Įtraukti naują nuostatą dėl asmens duomenų tvarkymo istoriniais, statistiniais ir moksliniais tikslais. |
— |
Įtraukti kompetentingos institucijos pareigą įgyvendinti mechanizmus, skirtus užtikrinti, kad būtų nustatyti asmens duomenų ištrynimo terminai, o periodinės patikros atveju – poreikis saugoti duomenis, įskaitant saugojimo terminų nustatymą skirtingoms asmens duomenų kategorijoms, taip pat reguliarios jų kokybės patikros. |
— |
8 straipsnis. Į 26 konstatuojamąją dalį įtraukti griežtą formuluotę. Numatyti, ką reiškia tinkamos priemonės, viršijančios įprastas garantijas. |
III skyrius. Duomenų subjekto teisės
— |
10 straipsnis. Ištrinti 10 straipsnio 1 ir 2 dalies frazę „visų pagrįstų priemonių“. Į 10 straipsnio 4 dalį įtraukti aiškų terminą ir nurodyti, kad informacija duomenų subjektui turėtų būti pateikta vėliausiai per vieną mėnesį nuo prašymo gavimo. 10 straipsnio 5 dalies frazę „įkyraus pobūdžio“ pakeisti fraze „akivaizdžiai pertekliniai“ ir papildomai reglamentuoti šią sąvoką konstatuojamojoje dalyje. |
— |
Įtraukti naują nuostatą, pagal kurią duomenų valdytojas reikalauja kiekvienam gavėjui, kuriam atskleisti duomenys, pranešti apie bet kokį duomenų ištaisymą, ištrynimą arba pakeitimą, atliekamą arba ne pagal 15 ar 16 straipsnius, nebent paaiškėja, kad tai neįmanoma arba yra susiję su neproporcingomis pastangomis. |
— |
11 ir 13 straipsniai. Į 11 straipsnio 4 dalį ir 13 straipsnio 1 dalį įtraukti sakinį, nurodant, kad duomenų valdytojas kiekvienu konkrečiu atveju privalo, atlikdamas konkretų ir individualų vertinimą, įvertinti, ar taikomi daliniai ar visiški vieno iš pagrindų apribojimai. Užtikrinti ribojamą 11 straipsnio 5 dalies ir 13 straipsnio 2 dalies taikymo srities aiškinimą. 11 straipsnio 4 dalyje ir 33 konstatuojamojoje dalyje ištrinti frazę „galima nepataisyti“. |
— |
15 ir 16 straipsniai. Įtraukti teisės į duomenų ištaisymą ir ištrynimą ribojimo pagrindus ir sąlygas. |
— |
16 straipsnis. 16 straipsnio 3 dalyje vietoj frazės „pažymi“ vartoti frazę „riboja tvarkymą“. Į 16 straipsnį įtraukti įpareigojimą duomenų valdytojui prieš nustojant taikyti bet kokį tvarkymo apribojimą pranešti apie tai duomenų subjektui. |
IV skyrius. Duomenų valdytojas ir tvarkytojas
— |
18 straipsnis. Šiame straipsnyje ir 4 straipsnio f punkte nurodyti, kad dokumentų reikalavimai kyla iš bendros pareigos galėti įrodyti, kad yra laikomasi direktyvos. Įtraukti reikalavimą saugoti informaciją remiantis teisiniu pagrindu, kuriuo duomenys perduodami, iš esmės paaiškinant, ypač jei perdavimas grindžiamas 35 arba 36 straipsniais. |
— |
19 straipsnis. Pagrįsti standartizuotosios duomenų apsaugos sąvoką. |
— |
23 straipsnio 2 dalis. Suderinti su siūlomo reglamento 28 straipsnio 2 dalimi. |
— |
24 straipsnis. Įtraukti duomenų gavėjų tapatybę |
— |
Įterpti naują nuostatą, pagal kurią kompetentingų valdžios institucijų būtų reikalaujama atlikti DAPV, nebent teisėkūros proceso metu jau būtų atliktas konkretus, DAPV prilygstantis vertinimas. |
— |
26 straipsnis. Labiau suderinti su siūlomo reglamento 34 straipsnio 2 dalyje reglamentuotomis procedūromis. |
— |
30 straipsnis. Sureguliuoti interesų konflikto klausimą ir nustatyti minimalų dvejų metų kadencijos terminą. |
— |
31 straipsnis. Numatyti atitinkamą administracinę priklausomybę, tinkamai atsižvelgiant į DAP nepriklausomą vaidmenį ir visų pirma siekiant išvengti galimų neskaidrių santykių ar aukšto lygio duomenų valdytojų įtakos. |
V skyrius. Perdavimas į trečiąsias šalis
— |
33 straipsnis. Įtraukti reikalavimą, kad perdavimas gali vykti tik jeigu duomenų valdytojas trečiojoje šalyje arba tarptautinė organizacija yra kompetentinga institucija pagal siūlomą direktyvą. |
— |
35 straipsnis. Išbraukti 35 straipsnio 1 dalies b punktą arba bent įtraukti išankstinio priežiūros institucijos leidimo reikalavimą. |
— |
36 straipsnis. Konstatuojamojoje dalyje patikslinti, kad bet kokia leidžianti nukrypti nuostata, naudojama siekiant pateisinti perdavimą, turi būti aiškinama siaurai ir pagal ją neturėtų būti leidžiamas dažnas, masinis ir struktūrinis asmens duomenų perdavimas; net ir atskiru atveju neturėtų būti galima perduoti duomenų dideliais kiekiais ir turėtų būti apsiribota griežtai būtinais duomenimis. Įtraukti papildomas garantijas, pvz., pareigą konkrečiai dokumentais pagrįsti perdavimą. |
— |
35 ir 36 straipsniai. Papildyti, kad priėmus neigiamą sprendimą dėl tinkamumo, perdavimas turėtų būti grindžiamas i) 35 straipsnio 1 dalies a punktu, jeigu yra teisiškai privalomas tarptautinis susitarimas, pagal kurį perdavimas leidžiamas ypatingomis sąlygomis, užtikrinant tinkamą apsaugą, arba ii) 36 straipsnio a arba c punktų leidžiančiomis nukrypti nuostatomis. |
VI ir VII skyriai. Priežiūros mechanizmai
— |
44 straipsnis. Pateikti daugiau informacijos konstatuojamojoje dalyje apie tai, ką reiškia sąvoka „teisingumo funkcijos“. |
— |
46 straipsnis. Suderinti priežiūros institucijų įgaliojimus su nacionalinės policijos institucijų įgaliojimais pagal reglamento pasiūlymą. Suderinti 46 straipsnio a punktą su siūlomo reglamento 53 straipsniu ir pakeisti 46 straipsnio a ir b punktų žodį „pavyzdžiui“ žodžiu „įskaitant“. |
— |
47 straipsnis. Papildyti, kad metinė priežiūros institucijų veiklos ataskaita turi būti pateikta nacionaliniam parlamentui ir skelbiama viešai. |
— |
48 straipsnis. Įtraukti siūlomo reglamento 55 straipsnio 2–7 dalių nuostatas į 48 straipsnį. |
— |
Apsvarstyti poreikį taikyti sustiprinto bendradarbiavimo mechanizmą taip pat ir siūlomos direktyvos taikymo srityje. |
(Sutrumpintas dokumentas. Visą šios nuomonės tekstą anglų, prancūzų ir vokiečių kalbomis galima rasti EDAPP interneto svetainėje http://www.edps.europa.eu)
Priimta Briuselyje 2012 m. kovo 7 d.
Peter HUSTINX
Europos duomenų apsaugos priežiūros pareigūnas