Briuselis, 2017 01 10

COM(2017) 7 final

KOMISIJOS KOMUNIKATAS EUROPOS PARLAMENTUI IR TARYBAI

Keitimasis asmens duomenimis ir jų apsauga globalizuotame pasaulyje


1. Įvadas

Asmens duomenų apsauga yra Europos bendros konstitucinės struktūros dalis, įtvirtinta ES pagrindinių teisių chartijos 8 straipsnyje. Ji ES teisėje yra labai svarbi jau daugiau kaip 20 metų, nuo Duomenų apsaugos direktyvos priėmimo 1995 m. 1 („1995 m. direktyva“) iki Bendrojo duomenų apsaugos reglamento (BDAR) 2 ir Policijos direktyvos 3 priėmimo 2016 m.

Kaip Pirmininkas J. C. Junckeris pabrėžė savo 2016 m. rugsėjo 14 d. kalboje apie Europos Sąjungos padėtį, būti europiečiu taip pat reiškia, kad tvirti Europos įstatymai saugo jūsų asmens duomenų privatumą. [...] Europoje privatumas yra svarbus, tai žmogaus orumo klausimas.

Vis dėlto asmens duomenų apsaugos poreikis kyla ne tik Europoje. Visame pasaulyje vartotojai vis labiau brangina ir vertina savo privatumą. Savo ruožtu įmonės pripažįsta, kad griežtos privatumo apsaugos priemonės joms suteikia konkurencinį pranašumą, nes didėja pasitikėjimas jų paslaugomis. Daugelis įmonių, ypač veikiančių visame pasaulyje, savo privatumo politikos priemones derina su Bendruoju duomenų apsaugos reglamentu, nes nori vykdyti verslą Europos Sąjungoje, o reglamentą laiko pavyzdžiu, kuriuo reikia vadovautis.

Panašiai keletas ES nepriklausančių šalių ir regioninių organizacijų, pradedant artimomis kaimyninėmis šalimis ir baigiant Azija, Lotynų Amerika ir Afrika, priima naujus arba atnaujina galiojančius duomenų apsaugos teisės aktus siekdamos pasinaudoti pasaulinės skaitmeninės ekonomikos teikiamomis galimybėmis ir reaguoti į vis didėjantį poreikį užtikrinti didesnį duomenų saugumą ir griežtesnę privatumo apsaugą. Nors šalys vadovaujasi skirtingais požiūriais ir skiriasi jų teisėkūros išsivystymo lygis, pastebima, kad teisės aktai vis labiau suderinami, siekiant užtikrinti svarbių duomenų apsaugos principų laikymąsi, ypač tam tikruose pasaulio regionuose 4 . Jeigu įvairios duomenų apsaugos sistemos būtų labiau suderinamos, pagerėtų tarptautiniai asmens duomenų srautai, tiek komerciniais tikslais, tiek valdžios institucijų (pvz., teisėsaugos) bendradarbiavimo tikslais. ES, pasinaudodama šia galimybe, turėtų populiarinti savo duomenų apsaugos vertybes ir sudaryti geresnes sąlygas duomenų srautams skatindama teisinių sistemų konvergenciją. Todėl, kaip paskelbta Komisijos darbo programoje 5 , šiame komunikate išdėstoma Komisijos strateginė programa, kaip priimti „sprendimus dėl tinkamumo“, taip pat kitas duomenų perdavimo priemones ir tarptautinius duomenų apsaugos dokumentus.

2. ES duomenų apsaugos reformos dokumentų rinkinys. Moderni teisės aktų sistema, skatinanti gerai apsaugotus tarptautinius duomenų srautus

2016 m. balandžio mėn. patvirtinus ES duomenų apsaugos teisės aktų reformą įdiegiama sistema, kuria užtikrinama griežta apsauga ir kuri sudaro sąlygas naudotis pasaulinės informacinės visuomenės galimybėmis. Suteikiant asmenims daugiau galimybių valdyti savo asmens duomenis, šia reforma stiprinamas vartotojų pasitikėjimas skaitmenine ekonomika. Suderinus ir supaprastinus teisinę aplinką, šalių vidaus ir užsienio įmonės gali lengviau ir laisviau Europos Sąjungoje vykdyti verslą, be kita ko, susijusį su tarptautiniu keitimusi duomenimis. Šiandien atvirumą tarptautiniams duomenų srautams Europos Sąjunga derina su aukščiausiu asmens duomenų apsaugos lygiu. Ji turi galimybių tapti duomenų paslaugų, kurioms reikalingi ir laisvi srautai, ir pasitikėjimas, centru.

2.1 Visapusiška, vienoda ir paprastesnė ES duomenų apsaugos sistema

Atliekant ES reformą sukuriama visapusiška sistema, kuria reglamentuojamas asmens duomenų tvarkymas privačiajame ir viešajame sektoriuose, komercinėje ir teisėsaugos srityse (atitinkamai pagal Bendrąjį duomenų apsaugos reglamentą ir Policijos direktyvą).

Vietoj šiandien taikomų 28 nacionalinių įstatymų pagal Bendrąjį duomenų apsaugos reglamentą nuo 2018 m. gegužės mėn. bus taikomas vienas bendras visos Europos taisyklių rinkinys. Pagal vieno langelio principą sukurtu nauju mechanizmu bus užtikrinta, kad duomenų apsaugos institucija būtų atsakinga už tarpvalstybinių duomenų tvarkymo operacijų, kurias įmonė atlieka Europos Sąjungoje, priežiūrą. Bus užtikrintas naujų taisyklių aiškinimo nuoseklumas. Visų pirma tarpvalstybiniais atvejais, susijusiais su keliomis nacionalinėmis duomenų apsaugos institucijomis, bus priimtas vienodas bendras sprendimas ir taip bus užtikrinta, kad bendroms problemoms būtų taikomi bendri sprendimai. Be to, Bendruoju duomenų apsaugos reglamentu ES ir užsienio įmonėms sukuriamos vienodos sąlygos, t. y. už ES ribų įsisteigusios įmonės turės taikyti tas pačias taisykles kaip ir Europos įmonės, jeigu jos tieks prekes ir teiks paslaugas arba stebės asmenų elgseną Europos Sąjungoje. Didesnis vartotojų pasitikėjimas bus naudingas ir ES, ir išorės komercinės veiklos vykdytojams.

Policijos direktyvoje numatytos bendros baudžiamajame procese dalyvaujančių asmenų, ar tai būtų įtariamieji, nukentėjusieji, ar liudytojai, asmens duomenų tvarkymo taisyklės, kartu atsižvelgiant į specifinį policijos ir baudžiamojo teisingumo srities pobūdį. Suderinus duomenų apsaugos taisykles teisėsaugos sektoriuje, įskaitant tarptautinio duomenų perdavimo taisykles, bus palengvintas tarpvalstybinis policijos ir teisminių institucijų bendradarbiavimas Europos Sąjungoje ir su tarptautiniais partneriais ir taip bus sudarytos sąlygos veiksmingiau kovoti su nusikalstamumu. Tai yra svarbus indėlis į Europos saugumo darbotvarkę 6 .

2.2 Atnaujintas įvairesnis tarptautinio duomenų perdavimo priemonių rinkinys

Nuo pat pradžios ES duomenų apsaugos teisės aktuose buvo numatyti keli mechanizmai, kuriais buvo sudarytos tarpvalstybinio duomenų perdavimo sąlygos. Pagrindinis šių taisyklių tikslas – užtikrinti, kad ES gyventojų asmens duomenis perduodant į užsienį, jų apsauga toliau būtų vykdoma ir užsienyje. Ilgainiui šios taisyklės daugelyje jurisdikcijų tapo tarptautinių duomenų srautų standartu. Nors struktūra iš esmės lieka ta pati kaip ir pagal 1995 m. direktyvą, atliekant tarptautinio duomenų perdavimo taisyklių reformą aiškiau išdėstomas ir supaprastinamas jų taikymas ir nustatomos naujos duomenų perdavimo priemonės.

Pagal ES teisę vienas iš asmens duomenų perdavimo į užsienį būdų grindžiamas Komisijos „sprendimu dėl tinkamumo“, kuriuo nustatoma, kad ES nepriklausanti šalis suteikia tokio lygio apsaugą, kuri yra „iš esmės lygiavertė“ 7 ES teikiamai apsaugai. Tokio sprendimo poveikis – sudaryti sąlygas laisvam asmens duomenų srautui į tą trečiąją šalį, kad duomenų eksportuotojui nereikėtų imtis papildomų apsaugos priemonių ar gauti leidimo. Suinteresuotosios šalys arba tarptautinės organizacijos gali gauti tikslų ir išsamų aspektų, į kuriuos Komisija turi atsižvelgti vertindama užsienio sistemos apsaugos tinkamumą, sąrašą 8 . Dabar Komisija gali priimti ir teisėsaugos sektoriui taikomus sprendimus dėl tinkamumo 9 . Be to, remiantis taikant 1995 m. direktyvą įgyta patirtimi, šia reforma aiškiai numatyta galimybė nustatyti apsaugos konkrečioje trečiosios šalies teritorijoje arba konkrečiame trečiosios šalies sektoriuje arba pramonės šakoje tinkamumą (vadinamasis „dalinis“ tinkamumas) 10 . 

Nesant sprendimo dėl tinkamumo, tarptautinis duomenų perdavimas gali būti atliekamas įvairiomis alternatyviomis perdavimo priemonėmis, kuriomis užtikrinami tinkami duomenų apsaugos būdai 11 . Atliekant šią reformą oficialiai įtvirtinamos ir išplečiamos galimybės naudotis esamomis priemonėmis, pvz., standartinėmis sutarčių sąlygomis 12 ir įmonėms privalomomis taisyklėmis 13 . Pavyzdžiui, standartinės sutarčių sąlygos dabar gali būti įtraukiamos į ES įsisteigusių duomenų tvarkytojų ir ES nepriklausančios šalies duomenų tvarkytojų sutartį (vadinamosios pavyzdinės duomenų tvarkytojų tarpusavio sąlygos) 14 . Įmonėms privalomos taisyklės iki šiol buvo taikomos tik tos pačios įmonių grupės subjektų tarpusavio susitarimams, o dabar jas gali taikyti bendrą ekonominę veiklą vykdančių ūkio subjektų grupė, kurios įmonės nebūtinai priklauso tai pačiai įmonių grupei 15 . Atliekant šią reformą taip pat sumažinama biurokratinė našta – panaikinami bendrieji reikalavimai iš anksto pranešti duomenų apsaugos institucijoms apie duomenų perdavimą trečiosioms šalims pagal standartines sutarčių sąlygas ir įmonėms privalomas taisykles ir gauti tų institucijų leidimą 16 . Tai – svarbus ES tarptautinio duomenų perdavimo sistemos supaprastinimas, nes šiuo metu įvairiose valstybėse narėse taikomi skirtingi reikalavimai dažnai suvokiami kaip didelė kliūtis duomenų srautams, ypač mažesniems verslo subjektams 17 .

Be to, pagal minėtąją reformą pradedama taikyti naujus tarptautinio duomenų perdavimo dokumentus 18 . Duomenų valdytojai ir tvarkytojai tam tikromis sąlygomis 19 galės taikyti patvirtintus elgesio kodeksus arba sertifikavimo mechanizmus (pvz., privatumo apsaugos ženklus arba žymenis), kad būtų nustatytos „tinkamos apsaugos priemonės“. Tai turėtų sudaryti sąlygas parengti labiau pritaikytus tarptautinio duomenų perdavimo sprendimus, kuriais būtų atsižvelgiama, pavyzdžiui, į konkrečius tam tikro sektoriaus ar pramonės šakos arba konkrečių duomenų srautų ypatumus ir poreikius. Taip pat suteikiama galimybė numatyti papildomas apsaugos priemones, taikytinas duomenų perdavimui tarp valdžios institucijų arba įstaigų pagal tarptautinius susitarimus arba administracines procedūras 20 . Galiausiai Bendrajame duomenų apsaugos reglamente aiškiau išdėstomas vadinamųjų nukrypti leidžiančių nuostatų 21 (pvz., sutikimo, sutarties vykdymo arba svarbių viešojo intereso priežasčių) taikymas, kuriuo subjektai konkrečiais atvejais gali pagrįsti vykdomą duomenų perdavimą, kai nepriimta sprendimo dėl tinkamumo, neatsižvelgiant į tai, ar taikoma kuri nors iš minėtųjų priemonių. Beje, reglamente įtvirtinta nauja, nors ir ribota, nukrypti leidžianti nuostata dėl duomenų perdavimo, galimo siekiant teisėtų įmonės interesų 22 .

Galiausiai reformos nuostatomis Komisijai suteikiami įgaliojimai parengti tarptautinio bendradarbiavimo mechanizmus, kuriais būtų pagerintos galimybės užtikrinti duomenų apsaugos taisyklių laikymąsi, be kita ko, taikant įvairią tarpusavio pagalbos tvarką 23 . Taip pripažįstama, kad priežiūros institucijoms artimiau bendradarbiaujant tarptautiniu lygmeniu būtų galima geriau užtikrinti veiksmingesnę asmenų teisių apsaugą ir didesnį teisinį tikrumą verslo subjektams.

3. Tarptautinis duomenų perdavimas komerciniame sektoriuje: palankesnių prekybos sąlygų sudarymas apsaugant privatumą

Privatumo užtikrinimas yra stabilių, saugių ir konkurencingų pasaulinių komercinių srautų sąlyga. Privatumas nėra prekė, kuria galima prekiauti 24 . Internetas ir prekių bei paslaugų skaitmeninimas pakeitė pasaulio ekonomiką ir duomenų, įskaitant asmens duomenis, tarptautinis perdavimas yra visų dydžių ir visų sektorių Europos įmonių kasdienių operacijų dalis. Kadangi komerciniai mainai vis labiau priklauso nuo asmens duomenų srautų, tokių duomenų privatumas ir saugumas tapo vienu iš svarbiausių vartotojų pasitikėjimą lemiančių veiksnių. Pavyzdžiui, du trečdaliai Europos gyventojų teigia, kad yra susirūpinę, nes negali kontroliuoti internete pateikiamos savo informacijos, o pusė respondentų nerimauja, kad gali nukentėti nuo sukčiavimo 25 . Kartu kai kuriose trečiosiose šalyse veikiančios Europos įmonės vis dažniau susiduria su protekcionistiniais apribojimais, kurių negalima pagrįsti teisėtais motyvais dėl privatumo.

Taigi skaitmeniniame amžiuje turi būti skatinami aukšti duomenų apsaugos standartai, kartu supaprastinant tarptautinę prekybą. Dėl asmens duomenų apsaugos įtraukimo į prekybos susitarimus nesiderama 26 , o pagal ES tarptautinio duomenų perdavimo tvarką, kaip išdėstyta pirmiau, teikiamas įvairių plataus pobūdžio priemonių rinkinys, kuriuo sudaromos sąlygos duomenų srautams įvairiais atvejais, kartu užtikrinant aukšto lygio apsaugą.

3.1 Sprendimai dėl tinkamumo

Nustačius tinkamumą sudaromos sąlygos laisvam asmens duomenų srautui iš ES ir ES duomenų eksportuotojas neprivalo įgyvendinti jokių papildomų apsaugos priemonių ar įvykdyti papildomų sąlygų. Jei nusprendžiama, kad šalies teisine tvarka užtikrinamas tinkamas apsaugos lygis, šiuo sprendimu pripažįstama, kad šalies sistema dera su ES valstybių narių taikoma sistema. Dėl šios priežasties duomenų perdavimas atitinkamai šaliai bus prilygintas duomenų perdavimui ES viduje, taip suteikiant privilegijuotą galimybę patekti į ES bendrąją rinką, kartu atveriant komercinius kanalus ES veiklos vykdytojams. Kaip paaiškinta pirmiau, šiam pripažinimui būtinai reikalingas apsaugos lygis, panašus į garantuojamą Sąjungoje (arba „iš esmės lygiavertis“ jam) 27 . Tam reikia visapusiškai įvertinti trečiosios šalies sistemą, įskaitant jos taisykles, pagal kurias valdžios institucijos gauna prieigą prie asmens duomenų teisėsaugos, nacionalinio saugumo ir kitais viešojo intereso tikslais.

Tačiau, kaip 2015 m. byloje Schrems priimtame sprendime patvirtino Teisingumo Teismas, tinkamumo standartu nereikalaujama papunkčiui atkartoti ES taisykles 28 . Veikiau turi būti patikrinama, ar visoje užsienio sistemoje užtikrinamas reikiamas apsaugos lygis – teisių į privatumą esmė, veiksmingas jų įgyvendinimas, įgyvendinimo užtikrinimas ir priežiūra. Kaip matyti iš iki šiol priimtų sprendimų dėl tinkamumo, Komisija turi galimybę tinkamomis pripažinti įvairiausias privatumo sistemas, kuriose atsispindi skirtingos teisinės tradicijos. Šie sprendimai susiję su šalimis, kurios yra artimai integruotos su Europos Sąjunga ir jos valstybėmis narėmis (Šveicarija, Andora, Farerų salomis, Gernsiu, Džersiu, Meno sala), taip pat su svarbiomis prekybos partnerėmis (Argentina, Kanada, Izraeliu, Jungtinėmis Valstijomis) ir su šalimis, pirmaujančiomis duomenų apsaugos teisės aktų rengimo srityje savo regione (Naująja Zelandija, Urugvajumi).

Sprendimuose dėl Kanados ir Jungtinių Valstijų padarytos „dalinio tinkamumo“ išvados. Sprendimas dėl Kanados taikomas tik privatiems subjektams, kuriems taikomas Kanados asmeninės informacijos apsaugos ir elektroninių dokumentų įstatymas. Neseniai priimtas sprendimas dėl ES ir JAV „privatumo skydo“ 29 yra ypatingas atvejis dėl to, kad, JAV nesant bendrųjų duomenų apsaugos teisės aktų 30 , jis grindžiamas dalyvaujančių įmonių įsipareigojimais taikyti šiame susitarime išdėstytus aukštus duomenų apsaugos standartus, kurių laikymąsi savo ruožtu galima užtikrinti pagal JAV teisę. Be to, „privatumo skydas“ grindžiamas konkrečiais JAV valdžios atstovų pareiškimais ir patikinimais dėl nacionalinio saugumo tikslų 31 , kuriais remiantis daroma tinkamumo išvada. Komisija atidžiai stebės, kaip laikomasi šių įsipareigojimų, ir tai sudarys sistemos veikimo metinės apžvalgos dalį.

Per pastaruosius keletą metų vis daugiau viso pasaulio šalių priėmė arba rengiasi priimti naujus teisės aktus duomenų apsaugos ir privatumo srityje. 2015 m. duomenų privatumo įstatymus buvo priėmusios 109 šalys – tai gerokai daugiau negu 2011 m. viduryje buvusios 76 šalys 32 . Be to, šiuo metu duomenų apsaugos įstatymus rengia maždaug 35 šalys 33 . Šie nauji arba modernizuoti įstatymai dažniausiai grindžiami tam tikrais pagrindiniais bendrais principais, įskaitant, inter alia, duomenų apsaugos pripažinimą viena iš pagrindinių teisių, viršenybę turinčių teisės aktų priėmimą šioje srityje, asmens teisių į privatumą, kurių laikymąsi būtų galima užtikrinti, buvimą ir nepriklausomos priežiūros institucijos įsteigimą. Tai teikia naujų galimybių, ypač darant tinkamumo išvadas, dar labiau pagerinti sąlygas duomenų srautams, kartu ir toliau užtikrinant asmens duomenų aukšto lygio apsaugą.

Pagal ES teisę, tam, kad būtų nustatytas tinkamumas, reikia, kad galiotų duomenų apsaugos taisyklės, panašios į taikomas ES 34 . Tai susiję ir su materialiosiomis asmens duomenų apsaugos nuostatomis, ir su atitinkamais trečiojoje šalyje prieinamais priežiūros ir teisių gynimo mechanizmais.

Pagal savo taikomą tinkamumo išvadų sistemą Komisija mano, kad vertinant, su kuriomis trečiosiomis šalimis reikėtų siekti dialogo tinkamumo klausimais, reikėtų atsižvelgti į šiuos kriterijus 35 :

i)    ES (faktinių arba galimų) komercinių ryšių su konkrečia trečiąja šalimi mastą, įskaitant laisvosios prekybos susitarimo buvimą arba vykstančias derybas;

ii)    asmens duomenų srautų iš ES mastą, atspindintį geografinius ir (arba) kultūrinius ryšius;

iii)    pirmaujantį trečiosios šalies vaidmenį privatumo ir duomenų apsaugos srityje, kuris galėtų būti pavyzdžiu kitoms jos regiono šalims 36  ir

iv)    bendrus politinius santykius su atitinkama trečiąja šalimi, ypač dėl bendrų vertybių ir tikslų populiarinimo tarptautiniu lygmeniu.

Vadovaudamasi tuo, kas išdėstyta pirmiau, Komisija aktyviai bendradarbiaus su svarbiausiais prekybos partneriais Rytų ir Pietryčių Azijoje, visų pirma 2017 m. Japonijoje ir Korėjoje 37 , ir, atsižvelgdama į pažangą modernizuojant duomenų apsaugos įstatymus, Indijoje, taip pat Lotynų Amerikos, ypač MERCOSUR šalyse, ir Europos kaimyninėse šalyse, kurios pranešė norinčios gauti „tinkamumo išvadą“. Be to, Komisija teigiamai vertina kitų trečiųjų šalių, pageidaujančių įsitraukti į dialogą šiais klausimais, reiškiamą susidomėjimą. Diskusijos dėl galimos tinkamumo išvados yra abipusis dialogas, kuriam vykstant pateikiami reikiami paaiškinimai apie ES duomenų apsaugos taisykles ir išsiaiškinama, kaip didinti trečiųjų šalių įstatymų ir praktikos konvergenciją.

Tam tikrais atvejais, užuot vadovavusis šalies masto požiūriu, tinkamiau gali būti naudotis kitomis galimybėmis, pavyzdžiui, pripažinti dalinį tinkamumą arba konkretaus sektoriaus (pvz., finansinių paslaugų arba IT sektorių) tinkamumą, kuris gali būti susijęs su geografinėmis vietovėmis arba pramonės šakomis, sudarančiomis svarbią konkrečios trečiosios šalies ekonomikos dalį. Tai turės būti apsvarstyta atsižvelgiant į tokius aspektus kaip antai privatumo režimo pobūdis ir rengimo etapas (atskiras įstatymas, keli arba konkretiems sektoriams skirti įstatymai ir kt.), trečiosios šalies konstitucinė struktūra arba atsakymas į klausimą, ar tam tikri ekonomikos sektoriai gauna itin didelius duomenų srautus iš ES.

Siekiant priimti sprendimą dėl tinkamumo bus būtina pradėti specialų dialogą ir vykdyti glaudų bendradarbiavimą su atitinkama trečiąja šalimi. Sprendimai dėl tinkamumo yra kintami dokumentai, kurių vykdymą Komisija turi atidžiai stebėti ir juos pritaikyti, jeigu pakinta atitinkamos trečiosios šalies užtikrinamos apsaugos lygis 38 . Tuo tikslu bent kas ketverius metus bus atliekamos periodinės peržiūros, siekiant spręsti kylančius klausimus ir keistis geriausia patirtimi tarp artimų partnerių 39 . Šis dinamiškas metodas jau taikomas ir pagal 1995 m. direktyvą priimtiems, galiojantiems sprendimams dėl tinkamumo, kuriuos reikės peržiūrėti, jeigu jie nebeatitiks taikomo standarto 40 . Todėl atitinkamos trečiosios šalys raginamos informuoti Komisiją apie aktualius įstatymų ir praktikos pokyčius, įvykusius nuo sprendimo dėl tinkamumo priėmimo jų atžvilgiu dienos. Tai būtina siekiant užtikrinti tolesnį šių sprendimų galiojimą pagal naujas reformos taisykles 41 . 

Derybose dėl laisvosios prekybos susitarimo negali būti deramasi dėl ES duomenų apsaugos taisyklių 42 . Nors dialogai dėl duomenų apsaugos ir prekybos derybos su trečiosiomis šalimis turi vykti atskirai, sprendimas dėl tinkamumo, įskaitant sprendimą dėl dalinio arba konkretaus sektoriaus tinkamumo, yra geriausias būdas kurti tarpusavio pasitikėjimą, garantuojant sklandų asmens duomenų srautą, ir taip sudaryti geresnes sąlygas komerciniams mainams, apimantiems asmens duomenų perdavimą į atitinkamą trečiąją šalį. Taigi tokiais sprendimais gali būti palengvintos prekybos derybos arba jie gali papildyti galiojančius prekybos susitarimus, taip sudarant sąlygas padidinti jų teikiamą naudą. Kartu, skatinant ES ir trečiojoje šalyje taikomos apsaugos lygio konvergenciją, tinkamumo išvada mažina riziką, kad ta šalis, motyvuodama asmens duomenų apsauga, nustatys nepagrįstus duomenų lokalizavimo arba laikymo reikalavimus. Be to, kaip nurodyta komunikate „Prekyba visiems“, Komisija sieks, pasinaudodama ES prekybos susitarimais, nustatyti e. prekybos ir tarpvalstybinių duomenų srautų taisykles ir kovoti su naujomis skaitmeninio protekcionizmo formomis, visapusiškai laikydamasi ES duomenų apsaugos taisyklių ir nedarydama joms poveikio 43 . 

Komisija:

prioriteto tvarka tarsis dėl tinkamumo sprendimų su svarbiausiais prekybos partneriais Rytų ir Pietryčių Azijoje, visų pirma su Japonija ir Korėja 2017 m., tačiau taip pat apsvarstys kitus galimus strateginius partnerius, kaip antai Indija, taip pat su Lotynų Amerikos, ypač MERCOSUR šalimis, ir Europos kaimyninėmis šalimis;

atidžiai stebės, kaip veikia galiojantys sprendimai dėl tinkamumo. Tai visų pirma apima ES ir JAV „privatumo skydo“ sistemos įgyvendinimą, ypač taikant metinį bendrą peržiūros mechanizmą;

bendradarbiaus su šalimis, suinteresuotomis priimti griežtus duomenų apsaugos įstatymus, padės joms užtikrinti konvergenciją su ES duomenų apsaugos principais.

3.2 Alternatyvūs duomenų perdavimo mechanizmai

ES duomenų apsaugos taisyklėmis visada buvo pripažįstama, kad nėra visiems vienodai tinkamo požiūrio į tarptautinį duomenų perdavimą. Tai dar labiau pasakytina apie reformos pagrindu nustatytas taisykles. Tinkamumo išvados bus skiriamos tik aktualius kriterijus atitinkančioms trečiosioms šalims, tačiau Bendrajame duomenų apsaugos reglamente numatyti įvairūs mechanizmai, kuriais galima pakankamai lanksčiai prisitaikyti prie įvairiausių skirtingų duomenų perdavimo atvejų. Priemones galima parengti atsižvelgiant į individualius konkrečių sektorių, verslo modelių ir (arba) veiklos vykdytojų poreikius ar sąlygas. Tai, pavyzdžiui, galėtų būti daroma nustatant standartines sutarčių sąlygas, orientuotas į konkretaus sektoriaus reikalavimus, pvz., specialias apsaugos nuostatas, taikytinas, kai tvarkomi neskelbtini sveikatos sektoriaus duomenys, arba į specialių tam tikrose trečiosiose šalyse vyraujančių duomenų tvarkymo operacijų, pvz., Europos įmonėms atliekamų užsakomųjų paslaugų, reikalavimus. Tai būtų galima padaryti priimant naujus standartinių sąlygų derinius arba galiojančius derinius papildant naujomis apsaugos nuostatomis, pradedant nuo techninių sprendimų ir baigiant organizaciniais arba konkrečiam verslo modeliui būdingais sprendimais 44 . Kai kuriuos konkrečius sektorių poreikius galima patenkinti įmonėms privalomomis taisyklėmis, kurios būtų taikomos bendrą ekonomine veiklą vykdančių įmonių, pvz., kelionių pramonės įmonių, grupėms. Tarptautiniam duomenų perdavimui iš vieno duomenų tvarkytojo kitam būtų galima parengti standartines duomenų tvarkytojų tarpusavio sutarčių sąlygas arba (ir) duomenų tvarkytojų įmonėms privalomas taisykles. Galiausiai naujais duomenų perdavimo mechanizmais, pvz., patvirtintais elgesio kodeksais ir akredituotų trečiųjų šalių sertifikavimu, pramonei suteikiama galimybė pradėti taikyti specializuotus tarptautinio duomenų perdavimo sprendimus, kartu naudojantis atitinkamais konkurenciniais pranašumais, pavyzdžiui, privatumo antspaudu arba ženklu. Kai kurias iš šių priemonių galima parengti kaip konkretaus tipo duomenų perdavimui pritaikytus mechanizmus arba jas integruoti į bendresnes priemones, kuriomis būtų galima įrodyti, kad laikomasi visų Bendrojo duomenų apsaugos reglamento nuostatų, kaip antai patvirtinto elgesio kodekso atveju.

Komisija, bendradarbiaudama su pramonės atstovais, pilietine visuomene ir duomenų apsaugos institucijomis, sieks visapusiškai naudotis Bendrojo duomenų apsaugos reglamento numatytu tarptautinio duomenų perdavimo priemonių rinkiniu. Šiuo atžvilgiu su suinteresuotaisiais subjektais vykdomas dialogas reformos įgyvendinimo klausimais padės nustatyti prioritetines veiksmų sritis. Taip galbūt bus užbaigtas jau pradėtas darbas, pavyzdžiui, bendradarbiaujant su 29 straipsnio darbo grupe (kurią 2018 m. pakeis Europos duomenų apsaugos valdyba) bus parengtos standartinės duomenų tvarkytojų tarpusavio sutarčių sąlygos 45 . Tai reiškia, kad gali tekti parengti naujus ES atitikties infrastruktūros elementus, pavyzdžiui, Komisijai gali tekti apibrėžti sertifikavimo mechanizmų sukūrimo ir veikimo reikalavimus ir techninius standartus, taikytinus ir tarptautinio duomenų perdavimo aspektams 46 . Gali būti imamasi papildomos tarptautinio lygmens veiklos, susijusios su šiais veiksmais, ypač organizacijų, parengusių panašius duomenų perdavimo mechanizmus, atveju. Pavyzdžiui, būtų galima išsiaiškinti būdus, kaip skatinti pagal ES teisę įmonėms privalomų taisyklių ir Azijos ir Ramiojo vandenyno šalių ekonominio bendradarbiavimo forumo (APEC) 47 parengtų tarpvalstybinių privatumo taisyklių konvergenciją, t. y. ir pagal kiekvieną sistemą taikytinų standartų, ir jų taikymo proceso konvergenciją. Tai turėtų padėti visame pasaulyje diegti aukštus duomenų apsaugos standartus, kartu mažinant požiūrio į privatumo ir duomenų apsaugą skirtumus, padedant komercinės veiklos vykdytojams orientuotis įvairiose sistemose ir parengiant šias sistemas atitinkančias politikos priemones.

Komisija:

bendradarbiaudama su suinteresuotaisiais subjektais parengs alternatyvius asmens duomenų perdavimo mechanizmus, pritaikytus individualiems konkrečių sektorių, verslo modelių ir (arba) veiklos vykdytojų poreikiams ar sąlygoms.

 

3.3 Tarptautinis bendradarbiavimas asmens duomenų apsaugos srityje

3.3.1. Duomenų apsaugos standartų populiarinimas daugiašalėmis priemonėmis ir forumuose

ES teisinė duomenų apsaugos sistema dažnai buvo pavyzdys trečiosioms šalims, rengiančioms šios srities teisės aktus. ES ir toliau aktyviai palaikys dvišalį ir daugiašalį dialogą su tarptautiniais partneriais ir skatins konvergenciją, rengdama sąveikius aukšto lygio asmens duomenų apsaugos standartus, taikytinus visame pasaulyje. Taip padedama veiksmingiau apsaugoti asmenų teises ir kartu mažinamos kliūtys tarpvalstybiniam duomenų srautui, nes tai svarbus laisvosios prekybos elementas.

Beje, Komisija ragina trečiąsias šalis prisijungti prie Europos Tarybos 108-osios konvencijos ir jos papildomo protokolo 48 . Ši konvencija yra atvira šalims, kurios nėra Europos Tarybos narės, ją jau ratifikavo 50 šalių, įskaitant Afrikos ir Pietų Amerikos valstybes 49 , ir ji yra vienintelis privalomas daugiašalis dokumentas duomenų apsaugos srityje. Konvencija šiuo metu persvarstoma ir Komisija aktyviai skatins greitai patvirtinti modernizuotą tekstą, kad ES taptų jos susitariančiąja šalimi. Konvencijoje bus perteikiami tie patys principai, kurie yra įtvirtinti naujose ES duomenų apsaugos taisyklėse, taigi ji padės parengti suderintą aukštų duomenų apsaugos standartų rinkinį.

2017 m. vyksiantis Didžiojo dvidešimtuko (G 20) susitikimas Europos Sąjungai bus dar viena galimybė siekti konvergencijos pagal principą, kad duomenų apsaugos standartai yra būtina tolesnės pasaulinės informacinės visuomenės, pajėgios skatinti inovacijas, augimą ir socialinę gerovę, plėtros dalis 50 .

Komisija taip pat siekia įsitraukti į dialogą su svarbiais naujais subjektais, pvz., JT specialiuoju pranešėju teisės į privatumą klausimais 51 , ir toliau plėtoti darbinius santykius su regioninėmis organizacijomis, pvz., APEC, kad galėtų visame pasaulyje puoselėti teisių į privatumą laikymosi ir asmens duomenų apsaugos kultūrą.

2016 m. lapkričio 15 d. Europos Komisija pagal partnerystės priemonę patvirtino projektą bendradarbiavimui su šalimis partnerėmis šioje srityje stiprinti – tai yra jos platesnio pobūdžio pastangų gerinti informuotumą apie privatumą ir tarptautiniu mastu tobulinti duomenų apsaugos priemones dalis 52 . Tai apims tokios veiklos kaip mokymas ir informuotumo didinimas finansavimą. Įgyvendindama reformą, ES savo ruožtu gali pasinaudoti galimybe keistis geriausios patirties pavyzdžiais ir taikant kitas sistemas įgyta patirtimi, kai kyla nauji privatumo apsaugos uždaviniai ir formuojami teisiniai arba techniniai sprendimai, susiję, be kita ko, su vykdymo užtikrinimu, atitikties priemonėmis (pvz., sertifikavimo mechanizmais, poveikio privatumui vertinimais) arba tam tikrų konkrečių duomenų rinkinių (pvz., vaikų duomenų) apsaugos priemonėmis.

3.3.2. Bendradarbiavimas užtikrinant vykdymą

Kadangi daugiašalės įmonės, tvarkančios didžiulį kiekį asmens duomenų daugelyje šalių, aprėpia visą pasaulį, vis labiau reikia stiprinti bendradarbiavimą su atitinkamomis trečiųjų šalių privatumo užtikrinimo ir priežiūros institucijomis. Dažnai duomenų apsaugos taisyklių nesilaikymo arba duomenų pažeidimo problemos vienu metu turi poveikį daugiau nei vienos jurisdikcijos asmenims. Šiais atvejais imantis bendrų veiksmų būtų galima pagerinti asmenų apsaugos veiksmingumą. Kartu ekonominės veiklos vykdytojams būtų naudinga aiškesnė teisinė aplinka, kurioje pasauliniu lygmeniu būtų kuriamos bendros aiškinimo priemonės ir formuojama vykdymo užtikrinimo praktika.

Todėl duomenų srautų pasaulyje, kuriame nėra sienų ir viskas yra tarpusavyje susiję, pats laikas aktyviau įtvirtinti vykdymo užtikrinimo institucijų tarpusavio bendradarbiavimą 53 . ES yra pasirengusi atlikti savo vaidmenį. Kaip jau minėta, Bendrojo duomenų apsaugos reglamento nuostatomis Komisijai sudaromos sąlygos parengti tarptautinio bendradarbiavimo mechanizmus, kuriais būtų pagerintos galimybės veiksmingai užtikrinti duomenų apsaugos teisės aktų laikymąsi, be kita ko, taikant įvairią tarpusavio pagalbos tvarką. Šiomis aplinkybėmis turėtų būti išnagrinėta galimybė parengti ES duomenų apsaugos institucijų ir tam tikrų trečiųjų šalių vykdymo užtikrinimo institucijų bendradarbiavimo pagrindų susitarimą, be kita ko, remiantis Komisijos įgyta patirtimi kitose, pvz., konkurencijos ir vartotojų apsaugos, vykdymo užtikrinimo srityse.

Komisija:

skatins greitai patvirtinti modernizuotą Europos Tarybos 108-osios konvencijos tekstą, kad ES taptų susitariančiąja šalimi, ir ragins prisijungti trečiąsias šalis;

daugiašaliuose forumuose, pvz., Jungtinėse Tautose, G 20 ir APEC, puoselės pasaulinę duomenų apsaugos teisių laikymosi kultūrą;

parengs tarptautinius bendradarbiavimo su pagrindiniais tarptautiniais partneriais mechanizmus, kad būtų palengvintas veiksmingas vykdymo užtikrinimas.

4. Veiksmingesnis teisėsaugos bendradarbiavimas taikant griežtas duomenų apsaugos priemones

Keitimasis asmens duomenimis yra nusikalstamų veikų prevencijos, tyrimo ir baudžiamojo persekiojimo už jas sudedamoji dalis. Tarpusavyje susijusiame pasaulyje, kur nusikalstamumas retai sustoja ties valstybių sienomis, greitas keitimasis asmens duomenimis yra būtinas, kad teisėsauga galėtų sėkmingai bendradarbiauti ir veiksmingai reaguoti į nusikaltimus. Tokie mainai turi būti grindžiami griežtomis duomenų apsaugos priemonėmis. Tai taip pat padeda kurti teisėsaugos institucijų tarpusavio pasitikėjimą ir stiprinti teisinį tikrumą, kai informacija renkama ir (arba) ja keičiamasi.

Policijos direktyvoje įtvirtintomis tarptautinio duomenų perdavimo taisyklėmis reglamentuojamas ES ir ES nepriklausančių šalių teisėsaugos institucijų keitimasis duomenimis, o konkrečiais atvejais – ir duomenų perdavimas iš teisėsaugos institucijų kitiems subjektams. Direktyvoje nustatoma galimybė priimti tinkamumo išvadas baudžiamosios teisėsaugos srityje. Komisija sudarys galimybę tokias tinkamumo išvadas rengti reikalavimus atitinkančioms trečiosioms šalims, ypač toms, su kuriomis reikia artimo ir operatyvaus bendradarbiavimo kovojant su nusikalstamumu ir terorizmu ir su kuriomis jau yra pakankamai keičiamasi asmens duomenimis. Atsižvelgdama į tai, Komisija pirmenybę teiks diskusijoms dėl tinkamumo sprendimų su trečiosiomis šalimis, kurios yra svarbiausios šios iniciatyvos partnerės.

Kita vertus, 2016 m. gruodžio mėn. sudarytas ES ir JAV bendrasis susitarimas dėl duomenų apsaugos 54 yra sėkmingas pavyzdys, kaip derybomis dėl griežtų duomenų apsaugos priemonių galima sustiprinti teisėsaugos bendradarbiavimą su svarbiu tarptautiniu partneriu. Automatiškai papildant galiojančius teisinius dokumentus, kuriais grindžiamas keitimasis duomenimis (ypač dvišalius susitarimus ir ES, ir valstybių narių lygmeniu), Bendruoju susitarimu iš karto teikiama tiesioginė nauda asmenims ir stiprinamas teisėsaugos bendradarbiavimas sudarant geresnes sąlygas keistis informacija. Be to, sukuriant būsimos duomenų perdavimo tvarkos su Jungtinėmis Valstijomis atskaitos scenarijų, Bendruoju susitarimu panaikinamas poreikis dar kartą derėtis dėl tų pačių apsaugos priemonių. Bendrasis susitarimas yra pirmasis dvišalis tarptautinis susitarimas, kuriame visapusiškai išvardytos su duomenų apsauga susijusios teisės ir įsipareigojimai, atitinkantys ES acquis. Todėl juo gali būti vadovaujamasi derantis dėl panašių susitarimų su trečiosiomis šalimis ne tik teisminio ir policijos bendradarbiavimo srityje, bet ir kitose viešojo vykdymo užtikrinimo (pvz., konkurencijos politikos, vartotojų apsaugos) srityse. Tai apimtų ir vyriausybių tarpusavio keitimąsi duomenimis, ir duomenų perdavimą tarp privačių įmonių ir teisėsaugos institucijų. Susitarimu taip pat būtų galima supaprastinti Sąjungos galimybes sudaryti susitarimus dėl atitinkamų ES agentūrų (ypač Europolo ir Eurojusto) keitimosi duomenimis su trečiosiomis šalimis 55 . Taigi Komisija išnagrinės galimybę sudaryti panašius bendruosius susitarimus su svarbiais savo teisėsaugos partneriais.

Be to, Policijos direktyvoje numatyta galimybė ES teisėsaugos institucijoms konkrečiomis aplinkybėmis taikant griežtas apsaugos priemones tiesiogiai prašyti informacijos iš trečiosios šalies privačios įmonės ir tame prašyme perduoti asmeninę informaciją (paprastai vardą ir pavardę arba IP adresą) 56 . Tačiau Bendrajame duomenų apsaugos reglamente konkrečiai aptariami atvejai, kai Europos Sąjungos privatūs subjektai, gavę prašymą, perduoda trečiosios šalies teisėsaugos institucijai asmens duomenis: toks duomenų perdavimas už ES ribų leidžiamas tik tam tikromis sąlygomis, pvz., remiantis tarptautiniu susitarimu arba tais atvejais, kai duomenis atskleisti būtina dėl svarbių viešojo intereso priežasčių, pripažintų Sąjungos arba valstybės narės teisėje 57 . 

Šis bendradarbiavimas, kuris tapo itin svarbiu, kad būtų galima sėkmingai tirti nusikaltimus ir terorizmo atvejus ir vykdyti baudžiamąjį persekiojimą, pabrėžiamas Tarybos išvadose dėl baudžiamosios teisenos kibernetinėje erdvėje stiprinimo. Taryba paragino Komisiją imtis konkrečių veiksmų, grindžiamų bendru ES požiūriu, siekiant gerinti bendradarbiavimą su paslaugų teikėjais, veiksmingiau teikti tarpusavio teisinę pagalbą ir siūlyti jurisdikcijos nustatymo ir įgyvendinimo kibernetinėje erdvėje problemų sprendimo būdus 58 . Šie veiksmai apima ir ES teisėsaugos institucijų ir paslaugų teikėjų keitimąsi duomenimis, ir keitimąsi duomenimis su ne ES šalių institucijomis ir bendrovėmis. 2017 m. birželio mėn. Komisija apibendrins prieigos prie elektroninių įrodymų galimybes, atsižvelgdama į tai, kad turi būti vykdomas spartus ir patikimas bendradarbiavimas, grindžiamas griežtais privatumo apsaugos standartais, nustatytais Policijos direktyvoje ir Bendrajame duomenų apsaugos reglamente, tiek ES vidaus lygmeniu, tiek perduodant duomenis tarptautiniu mastu.

Galiausiai, remdamasi naujuoju Europolo teisiniu pagrindu, Komisija įvertins pagal Tarybos sprendimą 2009/371/TVR sudarytų Europolo ir trečiųjų šalių operatyvinio bendradarbiavimo susitarimų nuostatas, įskaitant jų nuostatas dėl duomenų apsaugos 59 . Be to, kaip išdėstyta 2015 m. Europos saugumo darbotvarkėje, Į būsimą Sąjungos požiūrį dėl keitimosi PNR duomenimis su ne ES šalimis bus įtrauktas poreikis taikyti nuoseklius standartus ir konkrečias pagrindinių teisių apsaugos priemones. Komisija ieškos teisiškai pagrįstų ir tvarių sprendimų, kaip su trečiosiomis šalimis keistis keleivių duomenų įrašais (PNR), be kita ko, apsvarstys galimybę parengti pavyzdinį susitarimą dėl PNR, kuriame būtų nustatyti reikalavimai, kuriuos trečiosios šalys turi atitikti, kad joms galėtų būti perduodami PNR duomenys iš ES. Tačiau bet kokia būsima politika šioje srityje pirmiausia priklausys nuo būsimos Europos Sąjungos Teisingumo Teismo nuomonės dėl planuojamo ES PNR susitarimo su Kanada 60 . 

Veiksmingesnis teisėsaugos bendradarbiavimas taikant griežtas duomenų apsaugos priemones

Komisija:

sudarys geresnes galimybes pagal Policijos direktyvą reikalavimus atitinkančioms trečiosioms šalims parengti sprendimus dėl tinkamumo;

skatins derėtis su svarbiais tarptautiniais partneriais dėl susitarimų teisėsaugos srityje pagal pavyzdį, pateiktą Bendrajame susitarime su JAV;

įgyvendins Tarybos išvadas dėl baudžiamosios teisenos kibernetinėje erdvėje stiprinimo, kad būtų pagerintos sąlygos laikantis duomenų apsaugos taisyklių tarpvalstybiniu mastu keistis e. įrodymais.

5. Išvada

Asmens duomenų apsauga ir keitimasis jais nėra vienas kitam prieštaraujantys dalykai. Griežta duomenų apsaugos sistema sudaro geresnes sąlygas duomenų srautams – didėja vartotojų pasitikėjimas įmonėmis, kurios rūpinasi savo klientų asmens duomenų tvarkymo būdais. Taigi aukšti duomenų apsaugos standartai pasaulinėje skaitmeninėje ekonomikoje tampa pranašumu. Tas pats pasakytina apie teisėsaugos bendradarbiavimą: privatumo apsaugos priemonės yra veiksmingo ir spartaus keitimosi informacija ir kovos su nusikalstamumu sudedamoji dalis, pagrįsta tarpusavio pasitikėjimu ir teisiniu tikrumu.

Baigusi savo duomenų apsaugos taisyklių reformą, ES turėtų iniciatyviai įsitraukti į dialogą su trečiosiomis šalimis šiuo klausimu. Ji turėtų tiek dvišaliu, tiek daugiašaliu lygmenimis siekti kuo didesnės tarptautinės duomenų apsaugos principų konvergencijos jų griežtinimo linkme. Tai atitinka ir piliečių, ir verslo subjektų interesus. Naująja duomenų apsaugos teisės aktų sistema Europos Sąjungai suteiktos reikiamos ir tinkamos priemonės šiems tikslams pasiekti. Vadovaudamasi šiame komunikate pristatytu strateginiu požiūriu, Komisija aktyviai įsitrauks į dialogą su svarbiausiomis trečiosiomis šalimis siekdama išsiaiškinti galimybę tvirtinti tinkamumo išvadas, visų pirma su Japonija ir Korėja 2017 m., kad būtų skatinama reglamentavimo konvergencija ES standartų linkme ir būtų gerinami prekybos santykiai. Kartu ES visapusiškai naudosis įvairiausiomis alternatyviomis duomenų perdavimo priemonėmis, kad būtų ginamos teisės į duomenų apsaugą ir būtų teikiama pagalba ekonominės veiklos vykdytojams, kai duomenys perduodami į šalis, kurių vidaus teisėje neužtikrinama pakankamo lygio duomenų apsauga. Tokiomis priemonėmis taip pat turėtų būti naudojamasi siekiant sudaryti dar geresnes ES priežiūros ir teisėsaugos institucijų ir jų tarptautinių partnerių bendradarbiavimo sąlygas. Komisija užtikrins vidaus ir išorės mastu vykdomos ES duomenų apsaugos politikos suderinamumą ir skatins griežtą duomenų apsaugą tarptautiniu lygmeniu, siekdama gerinti teisėsaugos bendradarbiavimą, prisidėti prie laisvosios prekybos ir visame pasaulyje plėtoti aukštus asmens duomenų apsaugos standartus.

(1)

     1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, OL L 281, 1995 11 23.

(2)

     2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1–88). Jis įsigaliojo 2016 m. gegužės 24 d. ir bus taikomas nuo 2018 m. gegužės 25 d.

(3)

     2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (OL L 119, 2016 5 4, p. 89–131). Ji įsigaliojo 2016 m. gegužės 5 d. ES valstybės narės iki 2018 m. gegužės 6 d. turi ją perkelti į savo nacionalinę teisę.

(4)

     Žr. Data protection regulations and international data flows: Implications for trade and development (liet. „Duomenų apsaugą reglamentuojantys teisės aktai ir tarptautiniai duomenų srautai. Reikšmė prekybai ir vystymuisi“), UNCTAD (2016): http://unctad.org/en/PublicationsLibrary/dtlstict2016d1_en.pdf.

(5)

     2017 m. Komisijos darbo programa „Sauganti, galių teikianti ir ginanti Europa“, COM(2016) 710 final, 2016 10 25, p. 12 ir 1 priedas.

(6)

     Komisijos komunikatas Europos Parlamentui, Tarybai, Europos ekonomikos ir socialinių reikalų komitetui ir Regionų komitetui „Europos saugumo darbotvarkė“, COM(2015) 185 final, 2015 4 28.

(7)

     2015 m. spalio 6 d. ES Teisingumo Teismo sprendimas byloje C-362/14, Maximillian Schrems prieš Data Protection Commissioner, 73, 74 ir 96 punktai. Taip pat žr. Bendrojo duomenų apsaugos reglamento 104 konstatuojamąją dalį ir Policijos direktyvos 67 konstatuojamąją dalį, kuriose remiamasi esminio lygiavertiškumo standartu.

(8)

     Žr. Bendrojo duomenų apsaugos reglamento 45 straipsnį. Kaip išdėstyta 45 straipsnio 2 dalyje, atlikdama vertinimą Komisija turi atsižvelgti, inter alia, į teisinės valstybės principą, pagarbą žmogaus teisėms ir pagrindinėms laisvėms, atitinkamus teisės aktus, įskaitant susijusius su visuomenės saugumu, gynyba, nacionaliniu saugumu, baudžiamąja teise ir valdžios institucijų prieiga prie asmens duomenų. Šie aspektai turi būti grindžiami veiksmingomis teisėmis, kurių įgyvendinimą būtų galima užtikrinti, įskaitant galimybę asmenims naudotis administracinėmis ir teisminėmis teisių gynimo priemonėmis, taip pat turi būti įsteigta veiksmingai veikianti nepriklausoma priežiūros institucija, kuri užtikrintų, kad būtų laikomasi duomenų apsaugos taisyklių ir jos būtų vykdomos. Taip pat bus atsižvelgiama į teisiškai privalomų konvencijų, ypač Europos Tarybos 108-osios konvencijos, laikymąsi ir dalyvavimą daugiašalėse arba regioninėse duomenų apsaugos sistemose.

(9)

     Konkrečius tinkamumo vertinimo aspektus žr. Policijos direktyvos 36 straipsnio 2 dalyje.

(10)

     Žr. Bendrojo duomenų apsaugos reglamento 45 straipsnio 1 dalį ir Policijos direktyvos 36 straipsnio 1 dalį.

(11)

     Žr., pvz., Komisijos komunikatą Europos Parlamentui ir Tarybai dėl asmens duomenų perdavimo iš ES į Jungtines Amerikos Valstijas pagal Direktyvą 95/46/EB, Teisingumo Teismui priėmus sprendimą byloje C-362/14 (Schrems), COM(2015) 566 final, 2015 11 6.

(12)

     Standartinėmis sutarčių sąlygomis nustatomos atitinkamos ES eksportuotojo ir trečiosios šalies importuotojo tarpusavio duomenų apsaugos prievolės.

(13)

     Įmonėms privalomos taisyklės yra daugiašalės įmonių grupės taikomos vidaus taisyklės, pagal kurias tos pačios įmonių grupės viduje atliekamas duomenų perdavimas subjektams, esantiems šalyse, kurios neužtikrina pakankamo apsaugos lygio. Nors įmonėms privalomos taisyklės jau taikomos pagal 1995 m. direktyvą, Bendruoju duomenų apsaugos reglamentu kodifikuojama ir oficialiai įtvirtinama jų, kaip duomenų perdavimo priemonės, funkcija.

(14)

     Žr. Bendrojo duomenų apsaugos reglamento 46 straipsnio 2 dalies c ir d punktus ir 168 konstatuojamąją dalį.

(15)

     Žr. Bendrojo duomenų apsaugos reglamento 46 straipsnio 2 dalies b punktą, 47 straipsnį ir 110 konstatuojamąją dalį.

(16)

     Žr. Bendrojo duomenų apsaugos reglamento 46 straipsnio 2 dalį.

(17)

     Tai, kad registracijos reikalavimais daugeliui verslo subjektų, ypač MVĮ, sukuriamos prekybos kliūtys, pabrėžiama, pvz., UNCTAD ataskaitoje, p. 34.

(18)

     Žr. Bendrojo duomenų apsaugos reglamento 46 straipsnio 2 dalies e ir f punktus.

(19)

     ES nepriklausančių šalių duomenų valdytojai galės laikytis ES elgesio kodekso arba taikyti sertifikavimo mechanizmą, prisiimdami privalomus įsipareigojimus, kurių vykdymą bus galima užtikrinti, t. y. sutartinius arba kitus teisiškai privalomus įsipareigojimus, taikyti tuose dokumentuose nustatytas duomenų apsaugos priemones. Žr. Bendrojo duomenų apsaugos reglamento 42 straipsnio 2 dalį.

(20)

     Žr. Bendrojo duomenų apsaugos reglamento 46 straipsnio 2 dalies a punktą ir 3 dalies b punktą.

(21)

     Žr. Bendrojo duomenų apsaugos reglamento 49 straipsnį.

(22)

     Žr. 49 straipsnio 1 dalies antrą pastraipą.

(23)

     Žr. Bendrojo duomenų apsaugos reglamento 50 straipsnį.

(24)

     Žr., pvz., Komisijos komunikatą Europos Parlamentui, Tarybai, Europos ekonomikos ir socialinių reikalų komitetui ir Regionų komitetui „Prekyba visiems. Atsakingesnės prekybos ir investicijų politikos kūrimas“, COM(2015) 497 final, 2015 10 14, p. 7.

(25)

     Specialusis Eurobarometras Nr. 431. Duomenų apsauga, 2015 m. birželio mėn.

(26)

     Pirmininko J. C. Junckerio politinės gairės „Nauja pradžia Europai. Mano darbotvarkė: darbo vietų kūrimas, augimas, teisingumas ir demokratiniai pokyčiai“.

(27)

     Žr. 7 išnašą.

(28)

     Plg. su sprendimo byloje Schrems 74 punktu.

(29)

     2016 m. liepos 12 d. Įgyvendinimo sprendimas ES(2016) 1260.

(30)

     Komisija ragina JAV stengtis sukurti visapusišką privatumo ir duomenų apsaugos sistemą, kad ilguoju laikotarpiu įvyktų abiejų sistemų konvergencija. Žr. Komisijos komunikatą Europos Parlamentui ir Tarybai „Transatlantiniai duomenų srautai. Pasitikėjimo sugrąžinimas taikant griežtas apsaugos priemones“, COM(2016) 117 final, 2016 2 29.

(31)

     Tai visų pirma apima Prezidento politikos direktyvos Nr. 28 (PPD-28) taikymą – šia direktyva nustatomi tam tikri apribojimai ir apsaugos priemonės signalų žvalgybos operacijoms – ir specialaus ombudsmeno paskyrimą ES gyventojų skundams šia tema.

(32)

     G. Greenleaf, „Global data privacy laws 2015: 109 countries, with European laws now in a minority“, Privacy Laws & Business International Report, Nr. 133 (2015), p. 14–17.

(33)

     UNCTAD tyrimas, p. 8 ir 42 (pirmiau pateikta 4 išnaša).

(34)

     Šiuo požiūriu Komisija, atlikdama tinkamumo vertinimą, taip pat atsižvelgia į trečiosios šalies įsipareigojimus pagal teisiškai privalomas konvencijas, ypač į jos prisijungimą prie 108-osios konvencijos ir šio konvencijos papildomo protokolo. Žr. Bendrojo duomenų apsaugos reglamento 45 straipsnio 2 dalies c punktą ir 105 konstatuojamąją dalį.

(35)

     Šalių, su kuriomis esama aktualių bendradarbiavimo interesų vidaus saugumo ir teisėsaugos srityje, atveju Komisija nagrinės galimybę rengti specialias tinkamumo išvadas pagal Policijos direktyvą, žr. 4 skirsnį.

(36)

     Tai gali būti itin aktualu besivystančioms ir pereinamojo laikotarpio šalims, nes asmens duomenų apsauga yra ir itin svarbus teisinės valstybės elementas, ir svarbus ekonominio konkurencingumo veiksnys.

(37)

     Japonijoje ir Korėjoje neseniai priimti arba atnaujinti teisės aktai, kuriais nustatoma išsami duomenų apsaugos tvarka.

(38)

     Pagal Bendrojo duomenų apsaugos reglamento 45 straipsnio 4 ir 5 dalis Komisija įpareigojama nuolat stebėti pokyčius trečiosiose valstybėse ir jai suteikiami įgaliojimai panaikinti arba iš dalies pakeisti sprendimą dėl tinkamumo arba sustabdyti jo galiojimą, jeigu Komisija nustato, kad atitinkama šalis nebeužtikrina tinkamo lygio apsaugos.

(39)

     Bendrojo duomenų apsaugos reglamento 45 straipsnio 3 dalis.

(40)

     Bendrojo duomenų apsaugos reglamento 97 straipsnio 2 dalies a punkte taip pat reikalaujama, kad Komisija iki 2020 m. Europos Parlamentui ir Tarybai pateiktų vertinimo ataskaitą.

(41)

     Padariusi išvadas iš sprendimo byloje Schrems, kuriame nustatyta, kad Komisija „saugaus uosto“ sprendime ribodama duomenų apsaugos institucijų įgaliojimus sustabdyti arba uždrausti duomenų srautus, viršijo savo įgaliojimus, 2016 m. gruodžio 16 d. Komisija priėmė iš dalies keičiantį „Omnibus“ sprendimą, kuriuo išbraukiamos panašios galiojančių sprendimų dėl tinkamumo nuostatos ir jos pakeičiamos nuostatomis, kuriomis tik numatomi valstybių narių ir Komisijos tarpusavio informavimo reikalavimai, taikomi tais atvejais, kai duomenų priežiūros institucija sustabdo arba uždraudžia duomenų perdavimą į trečiąją šalį. „Omnibus“ sprendime taip pat nustatomas reikalavimas Komisijai stebėti aktualius pokyčius trečiojoje šalyje. Žr. OL L 355, 2016 12 17, p. 83.

(42)

     Beje, tinkamumo išvada yra vienašališkas Komisijos įgyvendinimo sprendimas, priimamas pagal ES duomenų teisę ir grindžiamas joje išdėstytais kriterijais.

(43)

     Žr. komunikatą „Prekyba visiems“, p. 12 (24 išnaša).

(44)

     Žr. Bendrojo duomenų apsaugos reglamento 46 straipsnio 2 dalies c ir d punktus ir 109 konstatuojamąją dalį, kur patikslinta, kad sąlygų pritaikymas prie patvirtintų pavyzdinių sąlygų įmanomas, jeigu jos tiesiogiai ar netiesiogiai neprieštarauja toms pavyzdinėms sąlygoms ir jomis nedaroma neigiamo poveikio asmenų pagrindinėms teisėms ar laisvėms.

(45)

     Šiuo metu standartinių sutarčių sąlygų, kurias tarpusavyje taikytų ES duomenų tvarkytojai ir ES nepriklausančių šalių duomenų tvarkytojai, nėra.

(46)

     Bendrojo duomenų apsaugos reglamento 43 straipsnio 8 ir 9 dalys.

(47)

     Žr. 2014 m. ES įmonėms privalomų taisyklių ir APEC tarpvalstybinių privatumo taisyklių sistemos bendrą APEC ir ES nuorodų sąrašą, kuriame palyginami abiejų sistemų atitikties ir sertifikavimo reikalavimai: http://www.apec.org/~/media/Files/Groups/ECSG/20140307_Referential-BCR-CBPR-reqs.pdf.

(48)

     1981 m. sausio 28 d. Europos Tarybos konvencija dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (Europos Tarybos 108-oji konvencija) ir 2001 m. Konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu Papildomas protokolas dėl priežiūros institucijų ir valstybės sienas kertančių duomenų srautų (Europos Tarybos 181-asis protokolas).

(49)

Mauricijus, Senegalas ir Urugvajus ratifikavo Konvenciją. Prisijungti pasiūlyta ir Žaliajam Kyšuliui, Marokui bei Tunisui.

(50)

   Taip pat žr. EBPO Ministrų deklaraciją tema „Skaitmeninė ekonomika: inovacijos, augimas ir socialinė gerovė“ (Kankūno deklaracija), 2016 m. birželio 23 d.

(51)

     Žr. http://www.ohchr.org/EN/Issues/Privacy/SR/Pages/SRPrivacyIndex.aspx .

(52)

     Komisijos įgyvendinimo sprendimas C(2016)7198, kuriuo patvirtinamas partnerystės priemonės 2016 m. metinės veiksmų programos (AAP 2016) antrasis etapas.

(53)

     Tarp esamų tinklų – EBPO sistemoje 2010 m. įsteigtas Pasaulinis privatumo užtikrinimo tinklas (GPEN). Tai yra neoficialus privatumo užtikrinimo institucijų tinklas, kurio veikloje dalyvauja ES duomenų apsaugos institucijos ir kurio funkcijos, be kita ko, apima teisėsaugos bendradarbiavimą, keitimąsi geriausia patirtimi, kaip spręsti tarpvalstybinius uždavinius, ir bendrų vykdymo užtikrinimo iniciatyvų ir informuotumo didinimo kampanijų rėmimą. Tinklo dalyviams nekuriami jokie nauji teisiškai privalomi įpareigojimai ir daugiausia stengiamasi palengvinti bendradarbiavimą užtikrinant privačiam sektoriui taikomų privatumo apsaugos teisės aktų vykdymą. Žr. https://privacyenforcement.net/ .

(54)

     ES ir JAV susitarimas dėl asmens duomenų apsaugos, kai tie duomenys perduodami ir tvarkomi nusikalstamų veikų, įskaitant terorizmą, prevencijos, tyrimo, nustatymo arba baudžiamojo persekiojimo už jas tikslais vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose. http://ec.europa.eu/justice/data-protection/files/dp-umbrella-agreement_en.pdf (Bendrasis susitarimas)

(55)

     Veiklos susitarimų su Europolu ir Eurojustu sudarymas taip pat buvo vienas iš kriterijų palaikant dialogus dėl vizų tvarkos liberalizavimo su tam tikromis trečiosiomis šalimis, pvz., atsižvelgiant į šiuo metu vykstantį dialogą su Turkija.

(56)

     Žr. Policijos direktyvos 39 straipsnį ir 73 konstatuojamąją dalį.

(57)

     Žr. Bendrojo duomenų apsaugos reglamento 48 straipsnį ir 115 konstatuojamąją dalį.

(58)

     2016 m. birželio 9 d. Europos Sąjungos Tarybos išvados dėl baudžiamosios teisenos kibernetinėje erdvėje stiprinimo: www.consilium.europa.eu/en/meetings/jha/2016/06/cyberspace--en_pdf/. Komisijai pavesta iki 2017 m. birželio mėn. Tarybai pristatyti rezultatus šiais klausimais, pasiektus po to, kai 2016 m. gruodžio mėn. ji Tarybai pateikė pažangos ataskaitą.

(59)

     Žr. 2016 m. gegužės 11 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/794 dėl Europos Sąjungos teisėsaugos bendradarbiavimo agentūros (Europolo), kuriuo pakeičiami ir panaikinami Tarybos sprendimai 2009/371/TVR, 2009/934/TVR, 2009/935/TVR, 2009/936/TVR ir 2009/968/TVR, 25 straipsnio 4 dalį, OL L 135, 2016 5 24 (p. 53–114). Komisija iki 2021 m. birželio 14 d. privalo pateikti iki 2017 m. gegužės 1 d. sudarytų Europolo bendradarbiavimo susitarimų vertinimo ataskaitą.

(60)

     Teisingumo Teismo nuomonė dėl 2014 m. ES ir Kanados PNR susitarimo projekto, kurį Teisingumo Teismui perdavė Europos Parlamentas (nuomonė 1/15). Teisingumo Teismo buvo paprašyta įvertinti susitarimo projekto suderinamumą su ES pagrindinių teisių chartija.