|
20.7.2017 |
LT |
Europos Sąjungos oficialusis leidinys |
C 234/3 |
Europos duomenų apsaugos priežiūros pareigūno nuomonės dėl Privatumo ir elektroninių ryšių reglamento (e. Privatumo reglamentas) pasiūlymo santrauka
(Visą šios nuomonės tekstą anglų, prancūzų ir vokiečių kalbomis galima rasti EDAPP interneto svetainėje www.edps.europa.eu)
(2017/C 234/03)
Šioje nuomonėje išdėstyta EDAPP nuomonė dėl Privatumo ir elektroninių ryšių reglamento pasiūlymo, kuriuo siekiama panaikinti ir pakeisti E. privatumo direktyvą.
Be E. privatumo reglamento ES privatumo ir duomenų apsaugos sistema būtų neišbaigta. Nors BDAR – Bendrasis duomenų apsaugos reglamentas – yra svarbus laimėjimas, tačiau mums vis dar reikalinga konkreti teisinė priemonė, padedanti apsaugoti teisę į privatų gyvenimą, kuri garantuojama Pagrindinių teisių chartijos 7 straipsniu ir kurios esminis elementas yra ryšių konfidencialumas. Todėl EDAPP teigiamai vertina ir remia pasiūlymą, kuriuo siekiama būtent minėto tikslo. EDAPP taip pat pritaria pasirinktai teisinei priemonei, t. y. reglamentui, kuris bus taikomas tiesiogiai ir padės užtikrinti aukštesnį suderinimo ir nuoseklumo lygį. Jis teigiamai vertina siekį užtikrinti aukšto lygio turinio ir metaduomenų apsaugą ir pritaria tikslui praplėsti konfidencialumo pareigų taikymą platesniam paslaugų ratui, įskaitant vadinamąsias virštinklines (angl. over the top, OTT) paslaugas, kurios atspindi technologijų pažangą. Jis taip pat mano, kad sprendimas suteikti reikalavimų užtikrinimo įgaliojimus vien duomenų apsaugos institucijoms ir bendradarbiavimo galimybių ir nuoseklumo užtikrinimo mechanizmų prieinamumas būsimoje Europos duomenų apsaugos valdyboje (EDAV) prisidės prie didesnio nuoseklumo ir veiksmingesnio reikalavimų užtikrinimo visoje ES.
Kartu EDAPP abejoja, ar pasiūlymas, atsižvelgiant į jo dabartinę formuluotę, gali iš tikrųjų padėti užtikrinti aukšto lygio elektroninių ryšių privatumo apsaugą. Mums reikalinga nauja e. privatumo teisinė sistema, tačiau ji turi būti pažangesnė, aiškesnė ir griežtesnė. Vis dar reikia daug ką nuveikti: kaip nurodyta pasiūlyme, nerimą kelia sudėtingos taisyklės. Ryšiai yra suskirstyti į šias kategorijas: metaduomenys, turinio duomenys, terminalo įrangos siunčiami duomenys. Kiekvienai kategorijai galima suteikti skirtingą konfidencialumo lygį, be to, šioms kategorijoms galioja skirtingos išimtys. Dėl šio sudėtingo skirstymo gali atsirasti su apsauga susijusi rizika arba galbūt nepageidaujamos apsaugos spragos.
Dėl daugumos apibrėžčių, kuriomis grindžiamas pasiūlymas, bus deramasi ir jos bus įtvirtintos kitoje teisinėje priemonėje: Europos elektroninių ryšių kodekse. Šiandien nėra jokio teisinio pagrindo taip glaudžiai susieti dvi priemones, be to, konkurencija ir kodekse nustatytos į rinką orientuotos apibrėžtys paprasčiausiai nėra tinkamos kalbant apie žmogaus teises. Todėl EDAPP prašo, kad į E. privatumo reglamentą, atsižvelgiant į numatomą jo taikymo sritį ir tikslus, būtų įtrauktas būtinų apibrėžčių rinkinys.
Taip pat ypatingą dėmesį turime skirti tam, kaip duomenų valdytojai, išskyrus elektroninių ryšių paslaugų teikėjus, tvarkys elektroninių ryšių duomenis. Papildomos ryšių duomenų apsaugos priemonės būtų beprasmės, jeigu jas būtų galima lengvai apeiti, pvz., perduodant duomenis trečiosioms šalims. Taip pat reikėtų užtikrinti, kad pagal E. privatumo taisykles nebūtų leidžiama nustatyti žemesnio apsaugos lygio, palyginti su numatytuoju BDAR. Pavyzdžiui, sutikimas turėtų būti tikras, o vartotojai sprendimą dėl sutikimo turėtų priimti laisvai, kaip to reikalaujama pagal BDAR. Reikėtų visiškai atsisakyti „sekimo sienų“. Be to, naujosiose taisyklėse taip pat turi būti nustatyti griežti reikalavimai, kurie būtų taikomi projektuojant numatytajai privatumo apsaugai ir standartizuotajai privatumo apsaugai. Galiausiai šioje nuomonėje EDAPP taip pat aptaria kitus aktualius klausimus, įskaitant teisių taikymo srities apribojimus.
1. ĮVADAS IR PAGRINDINĖ INFORMACIJA
Ši nuomonė (toliau – nuomonė) parengta atsakant į Europos Komisijos (toliau – Komisija) prašymą, pateiktą Europos duomenų apsaugos priežiūros pareigūnui (toliau – EDAPP), kaip nepriklausomai priežiūros ir patariančiajai institucijai, ir joje išdėstoma pozicija dėl Privatumo ir elektroninių ryšių reglamento pasiūlymo (1). Pasiūlymu ketinama panaikinti ir pakeisti Direktyvą 2002/58/EB dėl privatumo ir elektroninių ryšių (toliau – E. privatumo direktyva) (2). Komisija taip pat prašė, kad nuomonę pateiktų 29 straipsnio darbo grupė duomenų apsaugai tvarkant asmens duomenis (WP29), kurios visateisiu nariu yra EDAPP (3).
Ši nuomonė parengta atsižvelgiant į mūsų 2016 m. liepos 22 d. preliminarią nuomonę Nr. 5/2016 dėl E. privatumo direktyvos (2002/58/EB) peržiūros (4). Vėlesniuose teisėkūros procedūros etapuose EDAPP galės teikti papildomas rekomendacijas.
Pasiūlymas yra viena iš pagrindinių Bendrosios skaitmeninės rinkos strategijos (5) iniciatyvų, kuria siekiama stiprinti pasitikėjimą ES skaitmeninėmis paslaugomis ir jų saugumu daugiausia dėmesio skiriant aukšto lygio piliečių apsaugos ir vienodų veiklos sąlygų visiems ES rinkos dalyviams užtikrinimui.
Pasiūlymo tikslas – patobulinti ir atnaujinti E. privatumo direktyvą, kuri taptų platesnių veiksmų kuriant nuoseklią ir suderintą Europos duomenų apsaugos teisinę sistemą sudedamąja dalimi. E. privatumo direktyva konkretizuojama ir papildoma Direktyva 95/46/EB (6), kurią pakeis neseniai priimtas Bendrasis duomenų apsaugos reglamentas (BDAR) (7).
Pirmiausia EDAPP 2 skirsnyje apibendrina savo pagrindines pastabas dėl pasiūlymo ir daugiausia dėmesio skiria teigiamiems pasiūlymo aspektams. Antra, 3 skirsnyje jis įvardija likusias pagrindines problemas ir pateikia rekomendacijas, kaip jas spręsti. Papildomos problemos ir rekomendacijos, kaip atlikti tolesnius patobulinimus, aprašytos šios nuomonės priede, kuriame pasiūlymas aptariamas išsamiau. Šioje nuomonėje ir jos priede iškeltų problemų aptarimas ir tolesnis E. privatumo reglamento teksto tobulinimas padėtų ne tik geriau apsaugoti galutinius naudotojus ir kitus susijusius duomenų subjektus, bet ir užtikrinti didesnį teisinį tikrumą visų suinteresuotųjų subjektų atžvilgiu.
4. IŠVADOS
EDAPP teigiamai vertina Komisijos pasiūlymą dėl modernizuoto, atnaujinto ir griežtesnio E. privatumo reglamento. Jis pritaria nuomonei, kad esama nuolatinio poreikio nustatyti konkrečias taisykles, kuriomis būtų užtikrinamas ryšių konfidencialumas ir saugumas ES ir papildomi bei konkretizuojami BDAR reikalavimai. Jis taip pat mano, kad mums reikia paprastų, tikslingų ir technologiniu požiūriu neutralių nuostatų, kuriomis užtikrinama griežta, pažangi ir veiksminga apsauga artimiausioje ateityje.
EDAPP teigiamai vertina paskelbtą plataus užmojo tikslą užtikrinti aukšto lygio turinio ir metaduomenų apsaugą, visų pirma 2.1 skirsnyje išdėstytus pagrindinius teigiamus aspektus.
Nors EDAPP pasiūlymą vertina teigiamai, vis dėlto jam kelia susirūpinimą įvairios nuostatos, kuriomis gali būti pakenkiama Komisijos siekiui užtikrinti aukšto lygio elektroninių ryšių privatumo apsaugą. Visų pirma EDAPP susirūpinimą kelia toliau nurodytos pagrindinės problemos:
|
— |
pasiūlyme pateiktos apibrėžtys neturi priklausyti nuo atskiros teisėkūros procedūros, susijusios su Direktyva, kuria nustatomas Europos elektroninių ryšių kodeksas (8) (toliau – EERK pasiūlymas), |
|
— |
reikia sugriežtinti nuostatas dėl galutinio naudotojo sutikimo. Sutikimo turi būti prašoma iš asmenų, kurie naudojasi paslaugomis, nesvarbu, ar jie jas užsisakė, ir iš visų šalių, su kuriomis palaikomi ryšiai. Be to, duomenų subjektai, kurie nėra ryšių šalimis, taip pat turi būti apsaugomi, |
|
— |
turi būti užtikrinama, kad, nustatant BDAR ir E. privatumo reglamento ryšį, nebūtų sukuriamos asmens duomenų apsaugos spragos. Asmens duomenys, kurie buvo surinkti remiantis galutinio naudotojo sutikimu arba kitu E. privatumo reglamente nustatytu pagrindu, vėliau negali būti tvarkomi, jeigu dėl to nebuvo duotas toks sutikimas arba jeigu netaikoma teisinio pagrindo išimtis, kurią kitu atveju būtų galima taikyti pagal BDAR, bet ne pagal E. privatumo reglamentą, |
|
— |
pasiūlyme trūksta plataus užmojo tikslų, susijusių su vadinamosiomis „sekimo sienomis“ (kurios taip pat vadinamos „slapukų sienomis“). Prieiga prie tinklalapių neturi būti priklausoma nuo priverstinio asmens sutikimo būti sekamam visuose tinklalapiuose. Kitaip tariant, EDAPP ragina teisės aktų leidėjus užtikrinti, kad sutikimas būtų tikras ir duodamas laisvai, |
|
— |
pasiūlyme neužtikrinama, kad naršyklių (ir kitos rinkai pateikiamos elektroninių ryšių palaikymo programinės įrangos) numatytieji nustatymai būtų tokie, kad asmens žingsniai skaitmeninėje erdvėje nebūtų sekami, |
|
— |
su terminalo įrangos vietos sekimu susijusios išimtys yra pernelyg plačios ir joms netaikomos tinkamos apsaugos priemonės, |
|
— |
pasiūlymu valstybėms narėms suteikiama galimybė nustatyti apribojimus, kuriems turi būti taikomos konkrečios apsaugos priemonės. |
Šios pagrindinės problemos kartu su rekomendacijomis, kaip jas spręsti yra išdėstytos šioje nuomonėje. Be bendrų pastabų ir pagrindinių problemų, kurios išsamiau aptariamos pagrindinėje nuomonės dalyje, EDAPP priede taip pat pateikia papildomas ir kartais labiau techninio pobūdžio pastabas ir rekomendacijas dėl pasiūlymo; taip siekiama palengvinti teisės aktų leidėjų ir kitų suinteresuotųjų subjektų, norinčių toliau tobulinti tekstą per teisėkūros procedūrą, darbą. Galiausiai taip pat atkreipiame dėmesį į tai, kad svarbu jog teisės aktų leidėjai greitai išnagrinėtų šią dokumentaciją ir užtikrintų, kad E. privatumo reglamentą, kaip numatyta, būtų galima taikyti nuo 2018 m. gegužės 25 d., t. y. BDAR taikymo dienos.
Ryšių konfidencialumo svarba, kaip nustatyta Chartijos 7 straipsnyje, didėja kartu su vis svarbesniu vaidmeniu, kurį elektroniniai ryšiai atlieka mūsų visuomenėje ir ekonominiame gyvenime. Šioje nuomonėje aprašytos apsaugos priemonės atliks pagrindinį vaidmenį užtikrinant sėkmingą Komisijos ilgalaikių strateginių uždavinių, išdėstytų Bendrosios skaitmeninės rinkos strategijoje, įgyvendinimą.
Priimta Briuselyje 2017 m. balandžio 24 d.
Giovanni BUTTARELLI
Europos duomenų apsaugos priežiūros pareigūnas
(1) Pasiūlymas dėl Europos Parlamento ir Tarybos reglamento dėl teisės į privatų gyvenimą ir asmens duomenų apsaugos elektroninių ryšių sektoriuje, kuriuo panaikinama Direktyva 2002/58/EB (Reglamentas dėl privatumo ir elektroninių ryšių), COM(2017) 10 final, 2017/0003 (COD).
(2) 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (OL L 201, 2002 7 31, p. 37).
(3) 2017 m. balandžio 4 d. WP29 nuomonė Nr. 1/2017 dėl siūlomo E. privatumo reglamento (2002/58/EB) (WP247). Taip pat žr. 2016 m. liepos 19 d. WP29 nuomonę Nr. 3/2016 dėl E. privatumo direktyvos (2002/58/EB) vertinimo ir peržiūros, (WP240).
(4) Žr. https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-07-22_Opinion_ePrivacy_EN.pdf.
(5) 2015 m. gegužės 6 d. Komisijos komunikatas Europos Parlamentui, Tarybai, Europos ekonomikos ir socialinių reikalų komitetui ir Regionų komitetui „Europos bendrosios skaitmeninės rinkos strategija“ (COM(2015) 192 final); skelbiamas adresu http://eur-lex.europa.eu/legal-content/LT/TXT/PDF/?uri=CELEX:52015DC0192&from=LT.
(6) 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, OL L 281, 1995 11 23, p. 31.
(7) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas); OL L 119, 2016 5 4, p. 1; skelbiamas adresu http://eur-lex.europa.eu/legal-content/LT/TXT/PDF/?uri=OJ:L:2016:119:FULL.
(8) 2016 m. spalio 12 d. Pasiūlymas dėl Europos Parlamento ir Tarybos direktyvos, kuria nustatomas Europos elektroninių ryšių kodeksas, COM(2016) 590 final/2, 2016/0288 (COD).