Briuselis, 2019 05 29

COM(2019) 250 final

KOMISIJOS KOMUNIKATAS EUROPOS PARLAMENTUI IR TARYBAI

FMT:Font=Calibri BalticGairės dėl Reglamento dėl laisvo ne asmens duomenų judėjimo Europos Sąjungoje pagrindų


Turinys

1.    Įvadas    

Šių gairių paskirtis    

2.    Laisvo ne asmens duomenų judėjimo reglamento ir Bendrojo duomenų apsaugos reglamento sąveika: mišrūs duomenų rinkiniai    

2.1.    Ne asmens duomenų sąvoka Laisvo ne asmens duomenų judėjimo reglamente    

Asmens duomenys    

Ne asmens duomenys    

2.2.    Mišrūs duomenų rinkiniai    

3.    Laisvas duomenų judėjimas ir duomenų vietos reikalavimų panaikinimas    

3.1.    Laisvas ne asmens duomenų judėjimas    

3.2.    Laisvas asmens duomenų judėjimas    

3.3    Laisvo ne asmens duomenų judėjimo reglamento taikymo sritis    

3.4    Veikla, susijusi su valstybių narių vidaus organizavimu    

4    Laisvą duomenų judėjimą skatinantys savitvarkos metodai    

4.1    Duomenų perkėlimas ir debesijos paslaugų teikėjų keitimas    

Perkeliamumo sąvoka ir sąveika su Bendruoju duomenų apsaugos reglamentu    

4.2    Asmens duomenų apsaugos elgesio taisyklių sąvadai ir sertifikavimo schemos    

4.3    Pasitikėjimo tarptautiniu duomenų tvarkymu skatinimas. Saugumo sertifikavimas    

Baigiamosios pastabos    

Šį dokumentą Europos Komisija pateikia tik informavimo tikslais. Jis nelaikytinas nei oficialiu 2018 m. lapkričio 14 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1807 dėl laisvo ne asmens duomenų judėjimo Europos Sąjungoje pagrindų išaiškinimu, nei Europos Komisijos sprendimu ar pozicija. Juo nedaromas poveikis jokiam tokiam Europos Komisijos sprendimui ar pozicijai, taip pat Europos Sąjungos Teisingumo Teismo įgaliojimams aiškinti reglamentą vadovaujantis ES sutartimis.



1.    Įvadas

Ekonomika vis labiau grindžiama duomenimis, todėl duomenų srautai yra labai svarbus bet kokio dydžio ir bet kurio sektoriaus įmonių verslo procesų elementas. Naujos skaitmeninės technologijos atveria naujų galimybių Europos Sąjungos (toliau – ES) plačiajai visuomenei, įmonėms ir viešojo administravimo institucijoms.

Kad būtų toliau skatinamas tarpvalstybinis keitimasis duomenimis ir duomenų ekonomikos augimas, Europos Parlamentas ir Taryba, remdamiesi Europos Komisijos (toliau – Komisija) pasiūlymu, 2018 m. lapkričio mėn. priėmė Reglamentą (ES) 2018/1807 dėl laisvo ne asmens duomenų judėjimo Europos Sąjungoje pagrindų (toliau – Laisvo ne asmens duomenų judėjimo reglamentas) 1 . Šis reglamentas taikomas nuo 2019 m. gegužės 28 d. Laisvo asmens duomenų judėjimo principas jau yra nustatytas Reglamente (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (toliau – Bendrasis duomenų apsaugos reglamentas) 2 . Todėl jau padėti visapusiški Europos bendros duomenų erdvės ir laisvo visų duomenų judėjimo Europos Sąjungoje 3 pagrindai.

Laisvo ne asmens duomenų judėjimo reglamentas suteikia teisinio tikrumo įmonėms – pagal jį jos gali tvarkyti duomenis bet kurioje norimoje ES vietoje, be to, jis padeda didinti pasitikėjimą duomenų tvarkymo paslaugomis ir kovoti su susaistymo su pardavėju praktika. Tai suteiks klientams daugiau pasirinkimo galimybių, padės didinti efektyvumą ir skatins diegti debesijos technologijas – dėl to ES įmonės sutaupys daug lėšų. Vieno tyrimo duomenimis, prie debesijos kompiuterijos perėjusių ES įmonių IT išlaidos gali sumažėti 20–50 proc. 4

Šiais dviem reglamentais užtikrinamas laisvas duomenų judėjimas tarp valstybių narių – tai suteikia duomenų tvarkymo paslaugų naudotojams galimybę naudoti skirtingose ES rinkose surinktus duomenis savo produktyvumui ir konkurencingumui didinti. Todėl naudotojai gali visapusiškai pasinaudoti didelės ES rinkos teikiamais masto ekonomijos pranašumais ir taip didinti savo konkurencingumą pasaulyje bei stiprinti vidinius Europos duomenų ekonomikos ryšius.

Trys svarbūs Laisvo ne asmens duomenų judėjimo reglamento aspektai:

·juo valstybėms narėms iš esmės draudžiama nustatyti duomenų vietos reikalavimus. Šios taisyklės išimtys gali būti pateisinamos tik visuomenės saugumo priežastimis, laikantis proporcingumo principo;

·jame nustatomas bendradarbiavimo mechanizmas, kad kompetentingos institucijos ir toliau galėtų naudotis turimomis teisėmis susipažinti su kitoje valstybėje narėje tvarkomais duomenimis;

·juo įmonėms suteikiama paskatų padedant Komisijai parengti savitvarkos elgesio taisyklių, susijusių su paslaugų teikėjų keitimu ir duomenų perkėlimu, sąvadus. 

Šių gairių paskirtis

Šiomis gairėmis įgyvendinama Laisvo ne asmens duomenų judėjimo reglamento 8 straipsnio 3 dalis, kurioje reikalaujama, kad Komisija paskelbtų gaires dėl to reglamento ir Bendrojo duomenų apsaugos reglamento sąveikos, „visų pirma kiek tai susiję su duomenų rinkiniais, kuriuos sudaro ir asmens, ir ne asmens duomenys“.

Šių gairių paskirtis – padėti naudotojams, ypač mažosioms ir vidutinėms įmonėms, suprasti Laisvo ne asmens duomenų judėjimo reglamento ir Bendrojo duomenų apsaugos reglamento sąveiką 5 . Todėl šiose gairėse visų pirma nagrinėjami šie aspektai: i) ne asmens ir asmens duomenų sąvokos; ii) abiejuose reglamentuose nustatyti laisvo duomenų judėjimo principai ir draudimai taikyti duomenų vietos reikalavimus; iii) duomenų perkeliamumo sąvoka pagal Laisvo ne asmens duomenų judėjimo reglamentą. Jose aptariami ir abiejuose reglamentuose nustatyti savitvarkos reikalavimai.

Laisvo ne asmens duomenų judėjimo reglamentas taikomas tik duomenims, kurie nėra Bendrajame duomenų apsaugos reglamente apibrėžti asmens duomenys. Bendruoju duomenų apsaugos reglamentu reglamentuojamas asmens duomenų tvarkymas – tai labai svarbus ES duomenų apsaugos sistemos elementas 6 . Šis reglamentas valstybėse narėse įsigaliojo 2018 m. gegužės 25 d. Jame nustatomos suderintos taisyklės dėl ES ir EEE gyventojų apsaugos tvarkant jų asmens duomenis ir dėl laisvo tokių duomenų judėjimo. Bendrajame duomenų apsaugos reglamente, be kita ko, i) nurodoma, kokia informacija yra asmens duomenys, ii) nustatomi teisiniai jų tvarkymo pagrindai ir iii) nustatomos teisės ir pareigos, kurių reikia paisyti ir kurias reikia vykdyti tvarkant šiuos duomenis 7 . Dėl laisvo asmens duomenų judėjimo principo Bendrojo duomenų apsaugos reglamento 1 straipsnio 3 dalyje nustatyta, kad „[l]aisvas asmens duomenų judėjimas Sąjungoje nėra nei ribojamas, nei draudžiamas dėl su fizinių asmenų apsauga tvarkant jų asmens duomenis susijusių priežasčių“.

Realybėje duomenų rinkinius daugeliu atvejų greičiausiai sudaro ir asmens, ir ne asmens duomenys. Tokie rinkiniai dažnai vadinami mišriais duomenų rinkiniais. 2.2 skirsnyje smulkiau paaiškinama Laisvo ne asmens duomenų judėjimo reglamento ir Bendrojo duomenų apsaugos reglamento sąveika, susijusi su mišriais duomenų rinkiniais.

Siekiant aiškumo, Bendrajame duomenų apsaugos reglamente ir Laisvo ne asmenų duomenų judėjimo reglamente nėra nustatyta prieštaringų įpareigojimų.

2.    Laisvo ne asmens duomenų judėjimo reglamento ir Bendrojo duomenų apsaugos reglamento sąveika: mišrūs duomenų rinkiniai

2.1.    Ne asmens duomenų sąvoka Laisvo ne asmens duomenų judėjimo reglamente

Laisvo ne asmens duomenų judėjimo reglamentu 8 siekiama užtikrinti laisvą duomenų, išskyrus asmens duomenis, judėjimą. Visame reglamento tekste vartojama sąvoka „duomenys“ turėtų būti suprantama kaip duomenys, išskyrus Reglamento (ES) 2016/679 [Bendrojo duomenų apsaugos reglamento] 4 straipsnio 1 punkte apibrėžtus asmens duomenis 9 . Tokie duomenys, kurie šiame dokumente dar vadinami ne asmens duomenimis, apibrėžiami kaip Bendrajame duomenų apsaugos reglamente nurodytų asmens duomenų priešprieša (a contrario).

Asmens duomenys

Bendrajame duomenų apsaugos reglamente nurodoma: „asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius.“

Asmens duomenų apibrėžtis tikslingai plati ir Bendrajame duomenų apsaugos reglamente yra iš esmės nepakeista, palyginti su ankstesniu teisės aktu 10 . Įvairūs asmens duomenų apibrėžties elementai, pavyzdžiui, „bet kokia informacija“, „apie“, „kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti“, jau išnagrinėti 2007 m. birželio 20 d. 29 straipsnio darbo grupės 11 nuomonėje 4/2007 (WP 136) dėl asmens duomenų sąvokos.

Tokiose srityse kaip moksliniai tyrimai įprasta asmens duomenims suteikti pseudonimus, kad nebūtų atskleista asmens tapatybė. Pseudonimų suteikimas yra asmens duomenų tvarkymas taip, kad nesinaudojant papildoma informacija jų nebūtų įmanoma susieti su konkrečiu asmeniu. Ši papildoma informacija saugoma atskirai ir yra apsaugota organizacinėmis arba techninėmis (pavyzdžiui, šifravimo) priemonėmis 12 , 13 . Nepaisant to, duomenys, kuriems suteikti pseudonimai, yra tebelaikomi informacija apie asmenį, kurio tapatybę galima nustatyti, jei naudojantis papildoma informacija juos įmanoma susieti su tuo asmeniu 14 . Tokie duomenys pagal Bendrąjį duomenų apsaugos reglamentą laikomi asmens duomenimis.

Ne asmens duomenys

Jei duomenys nėra Bendrajame duomenų apsaugos reglamente apibrėžti asmens duomenys, jie laikomi ne asmens duomenimis. Pagal kilmę galima išskirti šias ne asmens duomenų grupes:

·pirma, duomenys, kurie nuo pat pradžių nėra susiję su fiziniu asmeniu, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti, pavyzdžiui, ant vėjo jėgainių įrengtų jutiklių sugeneruoti duomenys apie oro sąlygas arba duomenys apie pramonės mašinų techninės priežiūros poreikius;

·antra, duomenys, kurie iš pradžių buvo asmens duomenys, bet vėliau tapo anoniminiai 15 . Asmens duomenų anoniminimas nėra tas pat, kas pseudonimų suteikimas (žr. pirmiau), nes tinkamai anonimintų duomenų neįmanoma susieti su konkrečiu asmeniu net naudojantis papildomais duomenimis 16 , todėl jie laikomi ne asmens duomenimis.

Vertinant, ar duomenys anoniminti tinkamai, turi būti atsižvelgiama į konkrečias ir specifines kiekvieno atskiro atvejo aplinkybes 17 . Keletas pakartotinio tapatybės nustatymo iš anoniminiais laikytų duomenų rinkinių pavyzdžių rodo, kad atlikti tokį vertinimą gali būti sudėtinga 18 . Norint įvertinti, ar asmens tapatybė gali būti nustatyta, reikia atsižvelgti į visas pagrįstai tikėtinas asmens tapatybės tiesioginio ar netiesioginio nustatymo priemones, kurias gali panaudoti duomenų valdytojas ar kitas asmuo 19 .

Ne asmens duomenų pavyzdžiai

·Anoniminiais gali būti laikomi duomenys, apibendrinti taip, kad iš jų nebegalima nustatyti atskirų įvykių, pavyzdžiui, atskirų asmens kelionių į užsienį ar jo keliavimo modelių (šie duomenys gali būti laikomi asmens duomenimis) 20 . Anoniminiai duomenys naudojami, pavyzdžiui, rengiant statistiką arba pardavimo ataskaitas (pavyzdžiui, siekiant įvertinti tam tikro produkto ir jo savybių populiarumą).

·Kiti pavyzdžiai – didelio dažnio prekybos duomenys finansų sektoriuje arba tiksliojo ūkininkavimo duomenys, padedantys stebėti ir optimizuoti pesticidų, maisto medžiagų ir vandens naudojimą.

Tačiau jei ne asmens duomenis galima kokiu nors būdu susieti su konkrečiu asmeniu ir taip sudaryti sąlygas tiesiogiai ar netiesiogiai nustatyti jo tapatybę, šie duomenys turi būti laikomi asmens duomenimis.

Pavyzdžiui, jei gamybos linijos kokybės kontrolės ataskaitos duomenis galima susieti su konkrečiais gamyklos darbuotojais (pavyzdžiui, darbuotojais, kurie nustato gamybos parametrus), jie turi būti laikomi asmens duomenimis ir turi būti taikomas Bendrasis duomenų apsaugos reglamentas. Tokios pačios taisyklės taikomos, kai dėl technologijų ir duomenų analizės raidos tampa įmanoma anoniminius duomenis paversti asmens duomenimis.  21

Kadangi asmens duomenų apibrėžtyje nurodomi fiziniai asmenys, juridinių asmenų pavadinimų ir kontaktinių duomenų rinkiniai iš principo yra ne asmens duomenys 22 . Tačiau tam tikrais atvejais jie gali būti asmens duomenys 23 . Taip gali būti, pavyzdžiui, jei juridinio asmens pavadinimas sutampa su fizinio asmens, kuriam jis priklauso, vardu ir pavarde arba jei ši informacija susijusi su fiziniu asmeniu, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti 24 .

2.2.    Mišrūs duomenų rinkiniai

Laisvo duomenų judėjimo Europos Sąjungoje klausimas Laisvo ne asmens duomenų judėjimo reglamente ir Bendrajame duomenų apsaugos reglamente nagrinėjamas dviem skirtingais požiūriais.

Laisvo ne asmens duomenų judėjimo reglamente nustatomas bendras draudimas taikyti ne asmens duomenų vietos reikalavimus. Reglamento 4 straipsnio 1 dalimi draudžiama taikyti duomenų vietos reikalavimus, išskyrus atvejus, kai jie pateisinami visuomenės saugumo priežastimis, laikantis proporcingumo principo.

Bendruoju duomenų apsaugos reglamentu užtikrinama ne tik aukšto lygio asmens duomenų apsauga, bet ir laisvas asmens duomenų judėjimas. Reglamento 1 straipsnio 3 dalyje nustatyta, kad laisvas asmens duomenų judėjimas „nėra nei ribojamas, nei draudžiamas dėl su fizinių asmenų apsauga tvarkant jų asmens duomenis susijusių priežasčių“. Kartu šiais dviem reglamentais numatomas laisvas visų duomenų judėjimas Europos Sąjungoje. Konkrečios nuostatos išsamiau nagrinėjamos 3.1 ir 3.2 skirsniuose.

Mišrų duomenų rinkinį sudaro ir asmens, ir ne asmens duomenys. Mišrūs duomenų rinkiniai sudaro didžiąją duomenų ekonomikoje naudojamų duomenų rinkinių dalį ir yra įprasti dėl technologinių naujovių, pavyzdžiui, daiktų interneto (jį sudaro skaitmeniniu ryšiu susieti objektai), dirbtinio intelekto ir technologijų, sudarančių sąlygas didžiųjų duomenų analizei.

Mišrių duomenų rinkinių pavyzdžiai:

·įmonės mokesčių apskaitos duomenys, kuriuose nurodytas įmonės valdančiojo direktoriaus vardas, pavardė ir telefono numeris;

·banko duomenų rinkiniai, visų pirma rinkiniai, apimantys informaciją apie klientą ir sandorių duomenis. Pavyzdžiai: mokėjimo (kredito ir debeto kortelėmis) paslaugos, ryšių su partneriais valdymo (PRM) sistemos, paskolų susitarimai ir dokumentai, kuriuose pateikiami ir su fiziniais, ir su juridiniais asmenimis susiję duomenys;

·mokslo tiriamosios institucijos turimi anoniminti statistiniai duomenys ir surinkti pradiniai neapdoroti duomenys, pavyzdžiui, atskirų respondentų atsakymai į statistinio tyrimo klausimus;

·įmonės žinių apie IT problemas ir jų sprendimus duomenų bazė, pagrįsta atskirų IT incidentų ataskaitomis;

·su daiktų internetu susiję duomenys, apimantys duomenis, iš kurių galima daryti prielaidas apie asmenis, kurių tapatybę galima nustatyti (pavyzdžiui, prielaidas apie jų buvimą konkrečioje vietoje ir naudojimo įpročius);

·gamybos įrangos naudojimo žurnalo duomenų analizė gamybos pramonėje.

Pavyzdys: ryšių su klientais valdymo paslaugos

Kai kurie bankai naudojasi trečiųjų šalių teikiamomis ryšių su klientais valdymo (CRM) paslaugomis – tam CRM sistemoje turi būti pateikiami kliento duomenys. CRM sistemoje saugomi duomenys apima visą informaciją, kurios reikia norint veiksmingai valdyti bendravimą su klientu, kaip antai jo pašto ir e. pašto adresus, telefono numerį, informaciją apie perkamus produktus bei paslaugas ir pardavimo ataskaitas, įskaitant apibendrintus duomenis. Taigi šie duomenys gali apimti ir asmens, ir ne asmens duomenis apie klientą.

Dėl mišrių duomenų rinkinių Laisvo ne asmens duomenų judėjimo reglamente nurodoma 25 :

„Tais atvejais, kai duomenų rinkinius sudaro ir asmens, ir ne asmens duomenys, šis reglamentas taikomas duomenų rinkinio daliai, kurią sudaro ne asmens duomenys. Kai asmens ir ne asmens duomenys duomenų rinkinyje yra neatsiejamai susiję, šiuo reglamentu nedaromas poveikis Reglamento (ES) 2016/679 taikymui.“

Tai reiškia, kad tuo atveju, kai duomenų rinkinį sudaro ir asmens, ir ne asmens duomenys:

·duomenų rinkinio daliai, kurią sudaro ne asmens duomenys, taikomas Laisvo ne asmens duomenų judėjimo reglamentas;

·duomenų rinkinio daliai, kurią sudaro asmens duomenys, taikoma Bendrojo duomenų apsaugos reglamento nuostata dėl laisvo duomenų judėjimo 26 ;

·jei ne asmens ir asmens duomenys rinkinyje yra neatsiejamai susiję, visam mišriam duomenų rinkiniui, net jei asmens duomenys sudaro tik nedidelę jo dalį, visapusiškai taikomos Bendrajame duomenų apsaugos reglamente nustatytos duomenų apsaugos teisės ir pareigos 27 .

Šis aiškinimas atitinka teisę į asmens duomenų apsaugą, kuri užtikrinama Europos Sąjungos pagrindinių teisių chartijoje 28 ir Laisvo ne asmens duomenų judėjimo reglamento 8 konstatuojamojoje dalyje 29 . Šio reglamento 8 konstatuojamojoje dalyje nustatyta, kad „šiuo reglamentu nedaromas poveikis teisiniam pagrindui dėl fizinių asmenų apsaugos tvarkant asmens duomenis <...> ir visų pirma [Bendrajam duomenų apsaugos reglamentui] ir <...> direktyvoms (ES) 2016/680 ir 2002/58/EB“.

Praktinis pavyzdys

ES veiklą vykdanti bendrovė teikia paslaugas naudodamasi interneto platforma. Įmonės (klientai) kelia į platformą dokumentus, kurie apima mišrius duomenų rinkinius. Dokumentus į platformą kelianti įmonė, kaip duomenų valdytoja, turi užtikrinti, kad duomenys būtų tvarkomi laikantis Bendrojo duomenų apsaugos reglamento. Duomenų valdytojos vardu tvarkydama duomenų rinkinį, paslaugas teikianti bendrovė (toliau – duomenų tvarkytoja) duomenis turi saugoti ir tvarkyti laikydamasi Bendrojo duomenų apsaugos reglamento, pavyzdžiui, ji turi užtikrinti, kad, be kita ko, naudojant šifravimo priemones, būtų garantuotas tinkamas duomenų saugumo lygis.

Sąvoka „neatsiejamai susiję“ neapibrėžta nė viename iš šių dviejų reglamentų 30 . Praktiniais sumetimais ji gali apibūdinti situaciją, kai duomenų rinkinį sudaro ir asmens, ir ne asmens duomenys ir kai juos atskirti vienus nuo kitų būtų arba neįmanoma, arba, duomenų valdytojo požiūriu, ekonomiškai neefektyvu ar techniškai neįgyvendinama. Pavyzdžiui, pirkdama ryšių su klientais valdymo (CRM) ir pardavimo ataskaitų rengimo sistemas, įmonė turėtų išleisti programinei įrangai dvigubai daugiau, nes turėtų atskirai pirkti CRM (asmens duomenys) programinę įrangą ir pardavimo ataskaitų rengimo (apibendrinti ir (arba) ne asmens duomenys) remiantis CRM duomenimis programinę įrangą.

Rinkinį sudarančių duomenų atskyrimas taip pat gali gerokai sumažinti duomenų rinkinio vertę. Be to, duomenų pobūdis kinta (žr. 2.1 skirsnį) ir dėl to dar sunkiau įžvelgti aiškius skirtumus tarp skirtingų kategorijų duomenų, taigi ir juos atskirti.

Svarbu tai, kad nė viename iš šių dviejų reglamentų įmonės nėra įpareigojamos atskirti jų valdomus ar tvarkomus rinkinius sudarančių duomenų.

Todėl tais atvejais, kai duomenų rinkinys yra mišrus, paprastai turi būti vykdomos Bendrajame duomenų apsaugos reglamente nustatytos duomenų valdytojų ir tvarkytojų pareigos ir paisoma jame nustatytų duomenų subjektų teisių.

Asmens sveikatos duomenų tvarkymas

Asmens sveikatos duomenys gali būti mišraus duomenų rinkinio dalis. Pavyzdžiai: elektroniniai sveikatos įrašai, klinikinių tyrimų duomenys arba įvairių mobiliųjų sveikatos ir gerovės (pavyzdžiui, sveikatos būklės vertinimo, priminimo išgerti vaistus arba kūno rengybos pažangos sekimo) programėlių renkami duomenys 31 . Dėl technologijų raidos tiksliai atskirti šiuos duomenų rinkinius sudarančius asmens ir ne asmens duomenis vienus nuo kitų tampa vis sunkiau. Todėl tokie duomenų rinkiniai turi būti tvarkomi laikantis Bendrojo duomenų apsaugos reglamento, ypač (atsižvelgiant į tai, kad asmens sveikatos duomenys pagal tą reglamentą laikomi specialios kategorijos duomenimis) jo 9 straipsnio, kuriame nustatytas bendras draudimas tvarkyti specialių kategorijų duomenis ir šio draudimo išimtys.

Asmens sveikatos duomenis apimančių mišrių rinkinių duomenys gali būti vertingas informacijos šaltinis, pavyzdžiui, atliekant tolesnius medicinos mokslinius tyrimus, vertinant šalutinį receptinio vaisto poveikį, rengiant ligų statistiką ar kuriant naujas sveikatos priežiūros paslaugas ar gydymo būdus. Tačiau atliekant pirminio ir tolesnio duomenų tvarkymo veiksmus turi būti laikomasi Bendrojo duomenų apsaugos reglamento. Todėl toks asmens sveikatos duomenų tvarkymas turi turėti tinkamą teisinį pagrindą 32 ir deramą pagrindimą, būti saugus ir atliekamas numačius pakankamas apsaugos priemones.

Galiausiai svarbu suteikti asmenims ir įmonėms teisinį tikrumą ir užtikrinti jų pasitikėjimą duomenų tvarkymu. Tai labai svarbu ir duomenų ekonomikai. Šiais dviem reglamentais įgyvendinamas šis tikslas ir kartu jais abiem siekiama netrikdyti laisvo duomenų judėjimo.

3.    Laisvas duomenų judėjimas ir duomenų vietos reikalavimų panaikinimas

Šiame skirsnyje išsamiau paaiškinama Laisvo ne asmens duomenų judėjimo reglamente vartojama duomenų vietos reikalavimų sąvoka ir Bendrajame duomenų apsaugos reglamente vartojama laisvo judėjimo principo sąvoka. Nors šios nuostatos skirtos valstybėms narėms, įmonėms gali būti naudinga susidaryti tikslesnį vaizdą apie tai, kaip šie du reglamentai padeda užtikrinti laisvą visų duomenų judėjimą Europos Sąjungoje.

3.1.    Laisvas ne asmens duomenų judėjimas

Laisvo ne asmens duomenų judėjimo reglamente 33 nustatyta, kad „[d]uomenų vietos reikalavimai yra draudžiami, išskyrus atvejus, kai jie pateisinami visuomenės saugumo priežastimis laikantis proporcingumo principo“.

Duomenų vietos reikalavimas yra apibrėžtas 34 kaip „valstybės narės įstatymuose ar kituose teisės aktuose numatyta arba dėl bendrosios ir nuoseklios valstybių narių ir viešosios teisės reglamentuojamų subjektų administracinės praktikos, įskaitant praktiką viešųjų pirkimų srityje, nedarant poveikio Direktyvos 2014/24/ES taikymui, kylanti pareiga, draudimas, sąlyga, apribojimas arba kitoks reikalavimas, pagal kurį duomenys turi būti tvarkomi konkrečios valstybės narės teritorijoje arba kuris trukdo duomenis tvarkyti bet kurioje kitoje valstybėje narėje“ 35 .

Iš šios apibrėžties matyti, kad priemonės, kuriomis ribojamas laisvas duomenų judėjimas Europos Sąjungoje, gali būti įvairių formų. Jos gali būti nustatytos įstatymuose ar kituose teisės aktuose arba net būti taikomos remiantis bendrąja ir nuoseklia administracine praktika. Be to, draudimas taikyti duomenų vietos reikalavimus taikomas ir tiesioginėms, ir netiesioginėms priemonėms, kuriomis būtų apribotas laisvas ne asmens duomenų judėjimas.

Tiesioginis duomenų vietos reikalavimas gali būti, pavyzdžiui, įpareigojimas saugoti duomenis konkrečioje geografinėje vietovėje (pavyzdžiui, serveriai turėtų būti tam tikroje valstybėje narėje) arba įpareigojimas laikytis specifinių nacionalinių techninių reikalavimų (pavyzdžiui, turėtų būti naudojami konkretūs nacionaliniai duomenų formatai).

Netiesioginiai duomenų vietos reikalavimai, kurie trukdo tvarkyti ne asmens duomenis bet kurioje kitoje valstybėje narėje, gali būti įvairių formų. Tai gali būti reikalavimas naudoti konkrečioje valstybėje narėje sertifikuotas arba patvirtintas technines priemones arba kiti reikalavimai, dėl kurių tampa sunkiau duomenis tvarkyti už konkrečios Europos Sąjungos geografinės vietovės arba teritorijos ribų 36 , 37 .

Vertinant, ar konkreti priemonė laikytina netiesioginiu duomenų vietos reikalavimu, turi būti atsižvelgiama į konkrečias kiekvieno atvejo aplinkybes.

Laisvo ne asmens duomenų judėjimo reglamente 38 vartojama sąvoka „visuomenės saugumas“ yra apibrėžta Europos Sąjungos Teisingumo Teismo praktikoje. Visuomenės saugumas apima valstybės narės vidaus ir išorės saugumą 39 , taip pat viešojo saugumo klausimus, visų pirma siekiant palengvinti nusikalstamų veikų tyrimą, atskleidimą ir baudžiamąjį persekiojimą už jas. Ši sąvoka grindžiama prielaida, kad yra reali ir pakankamai didelė grėsmė vienam iš pagrindinių visuomenės interesų 40 , pavyzdžiui, grėsmė institucijų veikimui, esminių viešųjų paslaugų teikimui ir gyventojų išlikimui, taip pat pavojus, kad bus rimtai sutrikdyti išorės santykiai arba taikus tautų sambūvis, arba grėsmė kariniams interesams.

Be to, bet kokie visuomenės saugumo priežastimis pateisinami duomenų vietos reikalavimai turi būti proporcingi. Vadovaujantis Europos Sąjungos Teisingumo Teismo praktika, patvirtintos priemonės pagal proporcingumo principą turi būti tinkamos siekiamam tikslui įgyvendinti ir neviršyti to, kas būtina tam tikslui pasiekti 41 .

Aiškumo sumetimais draudimas taikyti duomenų vietos reikalavimus nedaro poveikio jau galiojantiems ES teisėje nustatytiems apribojimams 42 .

Be to, Laisvo ne asmens duomenų judėjimo reglamentu įmonėms nenustatoma jokių įpareigojimų ir neapribojama jų laisvė sudaryti sutartis ir pačioms spręsti, kur bus tvarkomi jų duomenys.

Valstybės narės turi per savo nacionalinius bendruosius informacijos elektroninėmis priemonėmis centrus (nacionalinėse interneto svetainėse) viešai skelbti informaciją apie jų teritorijoje taikomus duomenų vietos reikalavimus. Jos turi nuolat ją atnaujinti arba pateikti atnaujintą informaciją centriniam informacijos punktui, įsteigtam pagal kitą ES teisės aktą 43 . Kad įmonėms būtų patogiau ir kad jos galėtų lengvai rasti reikiamą informaciją visoje ES, Komisija portale „Jūsų Europa“ 44 skelbs nuorodas į šiuos informacijos punktus.

3.2.    Laisvas asmens duomenų judėjimas

Bendrajame duomenų apsaugos reglamente 45 nustatyta, kad laisvas asmens duomenų judėjimas Sąjungoje negali būti nei ribojamas, nei draudžiamas dėl su fizinių asmenų apsauga tvarkant jų asmens duomenis susijusių priežasčių.

Jei valstybė narė nustato asmens duomenų vietos reikalavimus dėl kitų priežasčių nei asmens duomenų apsauga, jie turi būti įvertinti atsižvelgiant į Sutarties dėl Europos Sąjungos veikimo 46 , 47 ir atitinkamų ES teisės aktų, kaip antai Paslaugų direktyvos 48 ir E. komercijos direktyvos 49 , nuostatas dėl pagrindinių laisvių ir į priežastis, dėl kurių leidžiama nukrypti nuo nuostatų dėl tų laisvių.

Pavyzdys

Nacionalinėje teisėje yra nustatytas reikalavimas darbo užmokesčio ataskaitas laikyti konkrečioje valstybėje narėje dėl priežasčių, susijusių su teisės aktais nustatyta kontrole, kurią vykdo, pavyzdžiui, nacionalinis mokesčių administratorius. Tokia nacionalinė nuostata nepatektų į Bendrojo duomenų apsaugos reglamento 1 straipsnio 3 dalies taikymo sritį, nes joje nurodytos kitos priežastys nei asmens duomenų apsauga. Vietoj to šis reikalavimas turėtų būti įvertintas atsižvelgiant į Sutarties dėl Europos Sąjungos veikimo nuostatas dėl pagrindinių laisvių ir į priežastis, dėl kurių leidžiama nukrypti nuo nuostatų dėl tų laisvių.

Bendrajame duomenų apsaugos reglamente 50 pripažįstama, kad valstybės narės gali nustatyti sąlygas, be kita ko, apribojimus, susijusius su genetinių, biometrinių arba asmens sveikatos duomenų tvarkymu. Tačiau, kaip nurodyta 53 konstatuojamojoje dalyje, šias sąlygas taikant tarpvalstybiniam tokių duomenų tvarkymui tokie nacionaliniai apribojimai neturėtų trikdyti laisvo asmens duomenų judėjimo Europos Sąjungoje. Tai atitinka Sutarties dėl Europos Sąjungos veikimo 16 straipsnį, kuriame nustatytas teisinis pagrindas, kuriuo remiantis galima priimti su teise į asmens duomenų apsaugą ir su laisvu tokių duomenų judėjimu susijusias taisykles.

3.3    Laisvo ne asmens duomenų judėjimo reglamento taikymo sritis

Kaip jau minėta, Laisvo ne asmens duomenų judėjimo reglamentu siekiama užtikrinti laisvą ne asmens duomenų judėjimą Sąjungoje 51 . Todėl jis netaikomas už ES ribų vykdomoms duomenų tvarkymo operacijoms ir su tokiu duomenų tvarkymu susijusiems duomenų vietos reikalavimams 52 , 53 .

Todėl pagal 2 straipsnio 1 dalį reglamentas taikomas elektroninių ne asmens duomenų tvarkymui ES, kurį:

(a)ES gyvenantiems arba įsisteigusiems naudotojams teikia paslaugų teikėjas, neatsižvelgiant į tai, ar paslaugų teikėjas yra įsisteigęs Sąjungoje, ar ne, arba

(b)ES gyvenantis fizinis asmuo arba joje įsisteigęs juridinis asmuo vykdo savo reikmėms.

Pavyzdžiai:

Laisvo ne asmens duomenų judėjimo reglamento 2 straipsnio 1 dalies a punktas:

·JAV įsisteigęs debesijos paslaugų teikėjas teikia duomenų tvarkymo paslaugas ES gyvenantiems arba įsisteigusiems klientams. Debesijos paslaugų teikėjas administruoja savo veiklą per ES teritorijoje, kur saugomi arba kitaip tvarkomi jo Europos klientų duomenys, esančius serverius. Debesijos paslaugų teikėjas neturi turėti ES infrastruktūros, jis taip pat gali, pavyzdžiui, vietą ES serveryje nuomotis. Tokiam duomenų tvarkymui Laisvo ne asmens duomenų judėjimo reglamentas taikomas.

·Japonijoje įsisteigęs debesijos paslaugų teikėjas siūlo savo paslaugas Europos klientams. Paslaugų teikėjo duomenų tvarkymo pajėgumai yra Japonijoje ir ten vykdoma visa tvarkymo veikla. Šiuo atveju, jei visa duomenų tvarkymo veikla vykdoma už ES ribų, Laisvo ne asmens duomenų judėjimo reglamentas netaikomas 54 .

Laisvo ne asmens duomenų judėjimo reglamento 2 straipsnio 1 dalies b punktas:

·Mažas Europos startuolis iš A valstybės narės nusprendžia išplėsti savo verslą atidarydamas padalinį B valstybėje narėje. Siekdamas mažinti išlaidas, šis startuolis nusprendžia centralizuoti naujojo padalinio duomenų saugojimą ir tvarkymą savo serveryje, kuris yra A valstybėje narėje. Valstybės narės negali uždrausti tokių IT centralizavimo veiksmų, išskyrus atvejus, kai tai pateisinama visuomenės saugumo priežastimis, laikantis proporcingumo principo.

Nors Laisvo ne asmens duomenų judėjimo reglamentas netaikomas, jei visa ne asmens duomenų tvarkymo veikla vykdoma už ES ribų, Bendrojo duomenų apsaugos reglamento nuostatų turi būti laikomasi, jei duomenų rinkinį sudaro asmens duomenys. Visų pirma turi būti laikomasi taisyklių dėl asmens duomenų perdavimo į trečiąsias valstybes arba tarptautinėms organizacijoms pagal Bendrąjį duomenų apsaugos reglamentą 55 .

3.4    Veikla, susijusi su valstybių narių vidaus organizavimu

Laisvo ne asmens duomenų judėjimo reglamentas neįpareigoja valstybių narių naudotis užsakomosiomis paslaugomis siekiant teikti paslaugas, susijusias su ne asmens duomenimis, kurias jos nori teikti pačios, arba paslaugų teikimą organizuoti kitu būdu nei sudarant viešąsias sutartis 56 .

Laisvo ne asmens duomenų judėjimo reglamento 2 straipsnio 3 dalies antroje pastraipoje nustatyta:

„Šiuo reglamentu nedaromas poveikis įstatymams ir kitiems teisės aktams, kurie susiję su valstybių narių vidaus organizavimu ir pagal kuriuos valdžios institucijoms ir viešosios teisės reglamentuojamiems subjektams, apibrėžtiems Direktyvos 2014/24/ES 57 2 straipsnio 1 dalies 4 punkte, suteikiami duomenų tvarkymo įgaliojimai ir pareigos be privačių šalių atlygio pagal sutartį, taip pat valstybių narių įstatymams ir kitiems teisės aktams, kuriuose numatomas tų įgaliojimų ir pareigų įgyvendinimas“ 58 .

Gali būti pagrįstų interesų, dėl kurių reikėtų rinktis tokį duomenų tvarkymo paslaugų teikimą sau, kaip antai naudojantis vidaus ištekliais arba pagal valdžios institucijų tarpusavio susitarimus. Tipiniai pavyzdžiai apima „valdžios debesijos“ naudojimą arba kai valdžios įstaiga paskiria centralizuotą IT agentūrą teikti duomenų tvarkymo paslaugas viešosioms institucijoms ir įstaigoms.

Vis dėlto Laisvo ne asmens duomenų judėjimo reglamente valstybės narės skatinamos atsižvelgti į ekonominį efektyvumą ir kitą išorės paslaugų teikėjų teikiamą naudą 59 , 60 . Kai tik nacionalinės valdžios institucijos pradeda tvarkyti duomenis naudodamosi privačių šalių už sutartinį atlygį teikiamomis užsakomosiomis paslaugomis, o duomenų tvarkymas yra vykdomas ES, tokiam duomenų tvarkymui taikomas Laisvo ne asmens duomenų judėjimo reglamentas, o tai reiškia, kad laisvo ne asmens duomenų judėjimo principas taikomas nacionalinių valdžios institucijų bendrajai ir administracinei praktikai. Visų pirma jos neturi nustatyti duomenų vietos apribojimų, pavyzdžiui, viešųjų pirkimų konkursuose 61 .

4    Laisvą duomenų judėjimą skatinantys savitvarkos metodai

Savitvarka skatina inovacijas ir rinkos dalyvių pasitikėjimą bei sudaro sąlygas labiau atsižvelgti į pokyčius rinkoje. Šiame skirsnyje apžvelgiamos savitvarkos iniciatyvos, susijusios tiek su asmens, tiek su ne asmens duomenų tvarkymu.

4.1    Duomenų perkėlimas ir debesijos paslaugų teikėjų keitimas

Vienas iš Laisvo ne asmens duomenų judėjimo reglamento tikslų yra užkirsti kelią susaistymo su pardavėju praktikai. Ši praktika yra tada, kai naudotojai negali pakeisti paslaugų teikėjo, nes jų duomenys yra „užrakinti“ teikėjo sistemoje, pavyzdžiui, dėl specifinio duomenų formato ar sutartimi įformintų susitarimų, ir jie negali būti perduodami už pardavėjo IT sistemos ribų. Užtikrinti duomenų perkėlimą be kliūčių yra svarbu, kad naudotojai galėtų laisvai pasirinkti duomenų tvarkymo paslaugų teikėjus ir taip būtų užtikrinta veiksminga konkurencija rinkoje.

Duomenų perkeliamumas tarp įmonių tampa vis svarbesnis įvairiuose skaitmeniniuose sektoriuose, įskaitant debesijos paslaugų sektorių.

Pagal Laisvo ne asmens duomenų judėjimo reglamento 6 straipsnį Komisija turi skatinti ir padėti Sąjungos lygmeniu rengti savitvarkos elgesio taisyklių sąvadus (toliau – elgesio taisyklių sąvadai), kad prisidėtų prie konkurencingos duomenų ekonomikos. Tai suteikia pagrindą pramonei rengti savitvarkos elgesio taisyklių, susijusių su paslaugų teikėjų keitimu ir duomenų perkėlimu tarp skirtingų IT sistemų, sąvadus. 

Rengiant tokius duomenų perkėlimo elgesio taisyklių sąvadus reikėtų atsižvelgti į keletą aspektų, visų pirma:

·geriausią praktiką sudarant palankesnes sąlygas rinktis kitus paslaugų teikėjus ir perkelti duomenis naudojant struktūrinius, įprastai naudojamus ir automatinio nuskaitymo formatus;

·minimalios informacijos reikalavimus, siekiant užtikrinti, kad prieš sudarant sutartį profesionaliesiems naudotojams būtų pateikta pakankamai išsami ir aiški informacija apie procesus, techninius reikalavimus, terminus ir mokesčius, taikomus, kai profesionalusis naudotojas nori pakeisti paslaugų teikėją arba persikelti duomenis į nuosavas informacinių technologijų sistemas;

·sertifikavimo schemų metodus, kad būtų galima geriau palyginti debesijos paslaugas, ir

·komunikacijos veiksmų planus, siekiant didinti informuotumą apie elgesio taisyklių sąvadus.

Debesijos paslaugų rinkoje Komisija ėmėsi veiksmų siekdama palengvinti bendrosios skaitmeninės rinkos debesijos suinteresuotųjų šalių darbo grupių, vienijančių debesijos srities specialistus ir profesionaliuosius naudotojus, įskaitant mažąsias ir vidutines įmones, veiklą. Šiuo etapu vienas pogrupis (darbo grupė SWIPO) 62 rengia duomenų perkėlimo ir debesijos paslaugų teikėjų keitimo savitvarkos elgesio taisyklių sąvadą, o kitas pogrupis (darbo grupė CSRPERT) 63 siekia parengti debesijos saugumo sertifikavimo taisykles.

Darbo grupė SWIPO rengia elgesio taisyklių sąvadus, susijusius su įvairiomis debesijos paslaugomis: paslaugine infrastruktūra (IaaS), paslaugine platforma (PaaS) ir paslaugine programine įranga (SaaS).

Komisija tikisi, kad skirtingi elgesio taisyklių sąvadai bus papildyti pavyzdinėmis sutarčių sąlygomis 64 . Jos leis užtikrinti pakankamą techninį ir teisinį specifiškumą, susijusį su praktiniu elgesio taisyklių sąvadų įgyvendinimu ir taikymu, o tai bus ypač svarbu mažosioms ir vidutinėms įmonėms. Rengti pavyzdines sutarčių sąlygas planuojama parengus elgesio taisyklių sąvadus (jie turėtų būti parengti iki 2019 m. lapkričio 29 d.).

Pagal Laisvo ne asmens duomenų judėjimo reglamento 8 straipsnį Komisija iki 2022 m. lapkričio 29 d. įvertins reglamento įgyvendinimą. Taip bus galima įvertinti: i) poveikį laisvam duomenų judėjimui Europoje; ii) reglamento taikymą, ypač mišriems duomenų rinkiniams; iii) kokiu mastu valstybės narės veiksmingai panaikino esamus nepagrįstus duomenų vietos apribojimus ir iv) elgesio taisyklių sąvadų, susijusių su duomenų perkėlimu ir debesijos paslaugų teikėjų keitimu, veiksmingumą rinkoje.

Perkeliamumo sąvoka ir sąveika su Bendruoju duomenų apsaugos reglamentu

Abu reglamentai 65 susiję su duomenų perkeliamumu ir tikslu palengvinti duomenų perkėlimą iš vienos IT aplinkos į kitą, t. y. arba į kito teikėjo sistemas, arba į vidaus sistemas. Taip užkertamas kelias susaistymui su pardavėju ir skatinama paslaugų teikėjų tarpusavio konkurencija. Tačiau, kiek tai susiję su tikslinių interesų grupių ir nuostatų teisinio pobūdžio ryšiu, reglamentų požiūris į perkeliamumą skiriasi.

Teisė į asmens duomenų perkeliamumą pagal Bendrojo duomenų apsaugos reglamento 20 straipsnį yra susijusi su duomenų subjekto ir duomenų valdytojo santykiu. Ji susijusi su duomenų subjekto teise gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui, struktūriniu, įprastai naudojamu ir automatinio nuskaitymo formatu ir teise persiųsti tuos duomenis kitam duomenų valdytojui arba į savo paties duomenų saugojimo pajėgumus, duomenų valdytojui, kuriam asmens duomenys buvo pateikti, nesudarant tam kliūčių 66 . Paprastai šiame santykyje duomenų subjektai yra įvairių internetinių paslaugų vartotojai, norintys vieną šių paslaugų teikėją pakeisti kitu.

Laisvo ne asmens duomenų judėjimo reglamento 6 straipsnyje nenustatoma profesionaliųjų naudotojų teisė persikelti duomenis, tačiau numatomas savitvarkos metodas, pagal kurį pramonei taikomi savanoriški elgesio taisyklių sąvadai. Jame taip pat atsižvelgiama į atvejus, kai profesionalusis naudotojas duomenų tvarkymą perduoda duomenų tvarkymo paslaugas teikiančiai trečiajai šaliai 67 . Pagal Laisvo ne asmens duomenų judėjimo reglamento 3 straipsnio 8 punktą profesionalusis naudotojas gali būti tiek fizinis, tiek juridinis asmuo, įskaitant valdžios institucijas ar viešosios teisės reglamentuojamus subjektus, kuris naudojasi duomenų tvarkymo paslauga arba prašo jam tokią paslaugą teikti, kad galėtų užsiimti prekyba, verslu, amatu, profesija arba kad galėtų atlikti savo užduotis.

Praktiškai pagal Laisvo ne asmens duomenų judėjimo reglamento 6 straipsnį numatytas perkeliamumas yra susijęs su verslo subjektų sąveika tarp profesionaliojo naudotojo (kuris asmens duomenų tvarkymo atvejais pagal Bendrąjį duomenų apsaugos reglamentą gali būti laikomas duomenų valdytoju) ir paslaugų teikėjo (kuris panašiai kai kuriais atvejais gali būti laikomas duomenų tvarkytoju).

Nepaisant skirtumų, gali būti su mišriais duomenų rinkiniais susijusių atvejų, kai duomenų perkėlimui būtų taikomas ir Laisvo ne asmens duomenų judėjimo reglamentas, ir Bendrasis duomenų apsaugos reglamentas.

Pavyzdys

Debesijos paslaugą naudojanti įmonė nusprendžia pakeisti debesijos paslaugų teikėją ir visus duomenis perkelti į naujo paslaugų teikėjo sistemas. Paslaugų teikėjo keitimas ir duomenų perkėlimas numatytas kliento ir debesijos paslaugų teikėjo sutartyje. Jei senasis debesijos paslaugų teikėjas laikosi pagal Laisvo ne asmens duomenų judėjimo reglamentą parengtų elgesio taisyklių sąvadų, duomenų perkėlimas turi būti vykdomas laikantis jame nustatytų reikalavimų.

Jei perkeltų duomenų rinkinį taip pat sudaro asmens duomenys, perkėlimas turi atitikti visas susijusias Bendrojo duomenų apsaugos reglamento nuostatas, visų pirma užtikrinti, kad naujasis debesijos paslaugų teikėjas laikytųsi taikomų reikalavimų, kaip antai saugumo 68 . 

Pavyzdys

Jeigu bankas nusprendžia pakeisti savo ryšių su klientais valdymo (CRM) paslaugų teikėją, tikėtina, kad kai kurie (asmens ir ne asmens) duomenys iš senojo teikėjo sistemų turi būti perkelti į naujojo teikėjo sistemas. Šiems duomenims tuomet bus taikomi skirtingi reguliavimo reikalavimai – kai kurie iš Bendrojo duomenų apsaugos reglamento, kiti iš Laisvo ne asmens duomenų judėjimo reglamento.

4.2    Asmens duomenų apsaugos elgesio taisyklių sąvadai ir sertifikavimo schemos

Siekiant įrodyti, kad laikomasi Bendrajame duomenų apsaugos reglamente nustatytų įpareigojimų, gali būti naudojami elgesio taisyklių sąvadai (elgesio kodeksai) ir sertifikavimo schemos (žr. 24 straipsnio 3 dalį ir 28 straipsnio 5 dalį).

Pagal Bendrojo duomenų apsaugos reglamento 40 straipsnio 1 dalį ir 42 1 straipsnį valstybės narės, priežiūros institucijos, Europos duomenų apsaugos valdyba ir Komisija turėtų skatinti pramonę parengti elgesio taisyklių sąvadus ir nustatyti duomenų apsaugos sertifikavimo mechanizmus.

Asociacijos ar kitos įstaigos, atstovaujančios konkrečios kategorijos duomenų valdytojams arba duomenų tvarkytojams, gali parengti elgesio taisyklių sąvadą konkrečiam sektoriui. Sąvado projektas turi būti pateiktas atitinkamai kompetentingai priežiūros institucijai tvirtinti 69 . Jeigu elgesio taisyklių sąvado projektas yra susijęs su keliose valstybėse narėse vykdoma duomenų tvarkymo veikla, priežiūros institucija, prieš patvirtindama sąvado projektą, jį turi pateikti Europos duomenų apsaugos valdybai. Tada valdyba pateikia savo nuomonę dėl to, ar kodekso projektas atitinka Bendrąjį duomenų apsaugos reglamentą.

Europos duomenų apsaugos valdyba paskelbė gaires 1/2019 dėl elgesio taisyklių sąvadų ir stebėsenos įstaigų pagal Bendrąjį duomenų apsaugos reglamentą 70 . Gairėse pateikiama informacija apie elgesio taisyklių sąvadų rengimą, jų patvirtinimo kriterijus ir kita naudinga informacija. Atitinkamai Europos duomenų apsaugos valdybos gairėse 1/2018 dėl sertifikavimo ir sertifikavimo kriterijų nustatymo pagal Bendrojo duomenų apsaugos reglamento 42 ir 43 straipsnius pateikiama informacija apie sertifikavimą pagal šį reglamentą ir sertifikavimo kriterijų rengimą ir tvirtinimą 71 .

Debesijos sektoriaus parengtų elgesio taisyklių sąvadų pavyzdžiai

ES debesijos elgesio taisyklių sąvadas, kurį rengti padėjo Komisija, parengtas bendradarbiaujant su Debesijos pramonės specialiąja grupe (angl. Cloud Select Industry Group, C-SIG), remiantis Duomenų apsaugos direktyva 72 ir vėliau Bendruoju duomenų apsaugos reglamentu. ES debesijos elgesio taisyklių sąvade aptariamos visos debesijos paslaugos: paslauginė programinė įranga (SaaS), paslauginė platforma (PaaS) ir paslauginė infrastruktūra (IaaS) 73 .

Europos debesijos infrastruktūros paslaugų teikėjų (CISPE) elgesio taisyklių sąvadas 74 skirtas IaaS paslaugų teikėjams. CISPE elgesio taisyklių sąvadą sudaro reikalavimai IaaS paslaugų teikėjams, pagal Bendrąjį duomenų apsaugos reglamentą veikiantiems kaip duomenų tvarkytojai. Jame taip pat išdėstytos nuostatos dėl taisyklių sąvado įgyvendinimo ir taikymo valdymo struktūros.

Debesijos saugumo aljanso elgesio taisyklių sąvadas, kuriuo siekiama užtikrinti atitiktį Bendrojo duomenų apsaugos reglamento reikalavimams, skirtas visiems debesijos kompiuterijos sritimi ir Europos teisės aktais dėl asmens duomenų suinteresuotiems subjektams, pavyzdžiui, debesijos paslaugų teikėjams, vartotojams ir potencialiems vartotojams, debesijos paslaugų auditoriams ir tarpininkams. Elgesio taisyklių sąvadas skirtas visiems debesijos paslaugų teikėjams 75 .

4.3    Pasitikėjimo tarptautiniu duomenų tvarkymu skatinimas. Saugumo sertifikavimas

Kaip nurodyta Laisvo ne asmens duomenų judėjimo reglamento 33 konstatuojamojoje dalyje, kai pasitikėjimas tarptautiniu duomenų tvarkymu bus didesnis, rinkos dalyviai ir viešasis sektorius duomenų vietos reikalavimą mažiau tapatins su duomenų saugumu. Lygiagrečiai su 2017 m. Komisijos pasiūlytu kibernetinio saugumo dokumentų rinkiniu 76 CSPCERT darbo grupė rengia rekomendacijas siekiant sukurti Europos debesijos sertifikavimo sistemą (jos bus pateiktos Komisijai). Tokia sistema gali palengvinti laisvą duomenų judėjimą, užtikrinti geresnį debesijos paslaugų palyginamumą ir skatinti debesijos kompiuterijos įsisavinimą. Komisija gali paprašyti Europos Sąjungos kibernetinio saugumo agentūros (ENISA) parengti potencialią sistemą pagal atitinkamas Kibernetinio saugumo akto 77 nuostatas. Tokia sistema gali būti taikoma ir asmens, ir ne asmens duomenims. Be Kibernetinio saugumo akto ir kaip pabrėžta 4.2 skirsnyje, BDAR taip pat gali būti naudojamas siekiant įrodyti, kad nustatytos tinkamos duomenų saugumo užtikrinimo priemonės 78 .

Baigiamosios pastabos

Kad ES galėtų visapusiškai naudotis duomenimis ir kad vertės grandinės galėtų būti plėtojamos visuose sektoriuose tarpvalstybiniu mastu, būtinas teisinis tikrumas ir pasitikėjimas duomenų tvarkymu. Tai užtikrinama abiem reglamentais ir jais abiem siekiama laisvo duomenų judėjimo tikslo. Abiem reglamentais – Laisvo ne asmens duomenų judėjimo reglamentu ir Bendruoju duomenų apsaugos reglamentu – dedamas pagrindas laisvam visų duomenų judėjimui Europos Sąjungoje ir labai konkurencingai Europos duomenų ekonomikai.

(1)

   2018 m. lapkričio 14 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1807 dėl laisvo ne asmens duomenų judėjimo Europos Sąjungoje pagrindų (OL L 303, 2018 11 28, p. 59).

(2)

   2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1).

(3)

     Bendrasis duomenų apsaugos reglamentas taikomas ir Europos ekonominėje erdvėje (EEE), kuri apima Islandiją, Lichtenšteiną ir Norvegiją. Be to, Laisvo ne asmens duomenų judėjimo reglamentas yra pažymėtas kaip svarbus EEE.

(4)

   „Deloitte“ tyrimas Measuring the economic impact of cloud computing in Europe, SMART 2014/0031, 2016. Pateikiamas adresu http://ec.europa.eu/newsroom/document.cfm?doc_id=41184 .

(5)

   2018 m. lapkričio 14 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1807 dėl laisvo ne asmens duomenų judėjimo Europos Sąjungoje pagrindų 37 konstatuojamoji dalis.

(6)

-2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119/1, 2016 5 4, p. 1).

-2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (OL L 295, 2018 11 21, p. 39).

-Direktyva (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, kuria panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (OL L 119, 2016 5 4, p. 89).

-2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyva 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (OL L 201, 2002 7 31, p. 37) (šiuo metu peržiūrima).

(7)

   Daugiau gairių dėl įvairių 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento), ir Europos duomenų apsaugos teisės aspektų pateikiama Europos duomenų apsaugos valdybos svetainėje. Įvairios šios valdybos pagal Bendrojo duomenų apsaugos reglamento 70 straipsnį parengtos gairės pateikiamos adresu https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_lt Šioje svetainėje pateikiama ir nuorodų į Europos duomenų apsaugos valdybos pirmtakės – 29 straipsnio darbo grupės – parengtas gaires, rekomendacijas ir kitus dokumentus. Be to, siekdama didinti piliečių ir įmonių informuotumą apie 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (Bendrąjį duomenų apsaugos reglamentą), Komisija paskelbė komunikatą dėl duomenų apsaugos – Gaires dėl tiesioginio Bendrojo duomenų apsaugos reglamento taikymo (COM/2018/043 final). Komunikatas pateikiamas adresu https://eur-lex.europa.eu/legal-content/LT/TXT/?uri=CELEX:52018DC0043

(8)

   2018 m. lapkričio 14 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1807 dėl laisvo ne asmens duomenų judėjimo Europos Sąjungoje pagrindų 1 straipsnis.

(9)

   Žr. 2018 m. lapkričio 14 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1807 dėl laisvo ne asmens duomenų judėjimo Europos Sąjungoje pagrindų 3 straipsnio 1 punktą.

(10)

   Žr. 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (galiojimo pabaigos data – 2018 m. gegužės 24 d., panaikinta Bendruoju duomenų apsaugos reglamentu) 2 straipsnio a punktą. Taip pat žr. su asmens duomenų apibrėžtimi susijusią Teisingumo Teismo praktiką, kurioje pripažįstama, kad tokia sąvoka turi būti aiškinama plačiai, pavyzdžiui, 2009 m. sausio 29 d. Teisingumo Teismo sprendimą Productores de Música de España (Promusicae) prieš Telefónica de España SAU, C-275/06, ECLI:EU:C:2008:54; 2011 m. lapkričio 24 d. Teisingumo Teismo sprendimą Scarlet Extended SA prieš Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM), C-70/10, ECLI:EU:C:2011:771; 2016 m. spalio 19 d. Teisingumo Teismo sprendimą Patrick Breyer prieš Bundersrepublik Deutschland, C-582/14, ECLI:EU:C:2016:779.

(11)

     29 straipsnio darbo grupė buvo patariamasis organas, kuris teikė Komisijai konsultacijas duomenų apsaugos klausimais ir padėjo formuoti suderintą duomenų apsaugos politiką Europos Sąjungoje. 2018 m. gegužės 25 d. įsigaliojus Bendrajam duomenų apsaugos reglamentui, 29 straipsnio darbo grupę pakeitė Europos duomenų apsaugos valdyba.

(12)

   Žr. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento), 4 straipsnio 5 punktą, kuriame apibrėžiamas pseudonimų suteikimas.

(13)

   Pavyzdžiui, naujo vaisto poveikį tiriančio mokslinio tyrimo duomenys būtų laikomi pseudoniminiais, jei tyrimo dalyvių asmens duomenys mokslinio tyrimo dokumentuose būtų pakeisti unikaliomis žymomis (pavyzdžiui, numeriais ar kodais), o patys su jiems priskirtomis unikaliomis žymomis būtų saugomi atskirai, apsaugotame dokumente (pavyzdžiui, slaptažodžiu apsaugotoje duomenų bazėje).

(14)

   Žr. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento), 26 konstatuojamąją dalį.

(15)

   Žr. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento), 26 konstatuojamąją dalį, kurioje nurodoma: „Todėl duomenų apsaugos principai neturėtų būti taikomi anonimiškai informacijai, t. y. informacijai, kuri nėra susijusi su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta, arba asmens duomenims, kurių anonimiškumas užtikrintas taip, kad duomenų subjekto tapatybė negali arba nebegali būti nustatyta.“

(16)

   Žr. 2016 m. spalio 19 d. Teisingumo Teismo sprendimą Patrick Breyer prieš Bundersrepublik Deutschland, C-582/14, ECLI:EU:C:2016:779. Teisingumo Teismas konstatavo, kad dinaminis interneto protokolo (IP) adresas gali būti asmens duomenys, net jei papildomus duomenis, pagal kuriuos būtų galima nustatyti asmens tapatybę, turi trečioji šalis (pavyzdžiui, interneto paslaugų teikėjas). Galimybe nustatyti asmens tapatybę turi būti laikoma pagrįstai tikėtina asmens tapatybės tiesioginio ar netiesioginio nustatymo priemonė.

(17)

     Duomenų anoniminimas visada turėtų būti atliekamas taikant naujausius ir pažangiausius anoniminimo metodus.

(18)

   Pakartotinio tapatybės nustatymo iš anoniminiais laikytų duomenų pavyzdžių pateikiama Europos Parlamento ITRE komiteto užsakymu atliktame ateities duomenų srautų tyrime: Blackman, C., Forge, S., Data Flows — Future Scenarios: In-Depth Analysis for the ITRE Committee, 2017, p. 22, 2 langelis. Pateikiamas adresu http://www.europarl.europa.eu/RegData/etudes/IDAN/2017/607362/IPOL_IDA(2017)607362_EN.pdf.

(19)

   Žr. Reglamento (ES) 2016/679 (Bendrojo duomenų apsaugos reglamento) 26 konstatuojamąją dalį, kurioje nustatyta, kad „[į]sitikinant, ar tam tikros priemonės, pagrįstai tikėtina, galėtų būti naudojamos siekiant nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visus objektyvius veiksnius, pavyzdžiui, sąnaudas ir laiko trukmę, kurių prireiktų tapatybei nustatyti, turint omenyje duomenų tvarkymo metu turimas technologijas bei technologinę plėtrą.“

(20)

   Žr. 2014 m. balandžio 10 d. 29 straipsnio darbo grupės priimtos Nuomonės 05/2014 dėl nuasmeninimo metodų 29 straipsnį (WP216, p. 9): „Tik tuo atveju, kai duomenų valdytojas duomenis agreguoja tokiu lygmeniu, kuriuo nebegalima nustatyti individualių įvykių, iš tokių duomenų sudarytas duomenų rinkinys gali būti laikomas anoniminiu. Pavyzdžiui, jeigu organizacija įvykių lygmeniu renka duomenis apie asmenų judėjimą kelionių metu, įvykių lygmens duomenys apie asmenų keliavimo būdą bet kurios šalies požiūriu vis dar bus laikomi asmens duomenimis, jeigu duomenų valdytojas (arba bet kuri kita šalis) tebeturės galimybę gauti pirminius netvarkytus duomenis, net jeigu iš trečiosioms šalims pateikto rinkinio buvo pašalinti tiesioginiai identifikatoriai. Bet jeigu duomenų valdytojas ištrintų netvarkytus duomenis ir trečiosioms šalims pateiktų tik aukštu lygmeniu agreguotus statistikos duomenis, pvz., „X kryptimi pirmadieniais važiuoja 160 proc. daugiau keleivių nei antradieniais“, tai būtų laikoma anoniminiais duomenimis.“

(21)

     Jei asmens duomenys tvarkomi neteisėtai arba kitaip pažeidžiant Bendrąjį duomenų apsaugos reglamentą, duomenų subjektai (fiziniai asmenys) pagal Bendrąjį duomenų apsaugos reglamentą turi teisę pateikti skundą ES šalies nacionalinei priežiūros institucijai (duomenų apsaugos institucijai) arba pasinaudoti veiksminga teismine teisių gynimo priemone nacionaliniame teisme. Nacionalinių priežiūros institucijų užduotis, kompetenciją ir įgaliojimus reglamentuoja Bendrojo duomenų apsaugos reglamento VI skyriaus 2 skirsnis.

(22)

     2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento), 14 konstatuojamojoje dalyje nurodoma, kad „[š]is reglamentas neapima juridinių asmenų ir visų pirma juridinio asmens statusą turinčių įmonių duomenų, įskaitant juridinio asmens pavadinimą, teisinę formą ir kontaktinius duomenis, tvarkymo“. Tačiau ši nuostata turi būti aiškinama atsižvelgiant į Bendrojo duomenų apsaugos reglamento 4 straipsnio 1 punkte pateiktą asmens duomenų apibrėžtį.

(23)

     Žr. 2010 m. lapkričio 9 d. Teisingumo Teismo sprendimo Volker und Markus Schecke GbR ir Hartmut Eifert prieš Land Hessen, sujungtos bylos C-92/09 ir C-93/09, ECLI:EU:C:2010:662, 52 punktą.

(24)

      https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/application-regulation/do-data-protection-rules-apply-data-about-company_lt

(25)

     Reglamento 2 straipsnio 2 dalis.

(26)

     2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento), 1 straipsnio 3 dalis. Taip pat žr. šio dokumento 3.2 skirsnį.

(27)

     Kaip primenama Komisijos tarnybų darbiniame dokumente Poveikio vertinimas, pridedamas prie Pasiūlymo dėl Europos Parlamento ir Tarybos reglamento dėl laisvo ne asmens duomenų judėjimo Europos Sąjungoje pagrindų (SWD(2017) 304 final, 1 iš 2 dalių, p. 3), mišraus duomenų rinkinio daliai, kurią sudaro asmens duomenys, neatsižvelgiant į jų kiekį rinkinyje, turi būti visapusiškai taikomas Bendrasis duomenų apsaugos reglamentas.

(28)

   Europos Sąjungos pagrindinių teisių chartija (OL C 362, 2012 10 26, p. 391).

(29)

     Reglamento 8 konstatuojamoji dalis.

(30)

     Laisvo ne asmens duomenų judėjimo reglamentas ir Bendrasis duomenų apsaugos reglamentas.

(31)

   Mobiliųjų sveikatos programėlių kūrėjai ir operatoriai turi griežtai laikytis Bendrojo duomenų apsaugos reglamento taisyklių. Šie reikalavimai bus išsamiau išdėstyti šiuo metu rengiamame elgesio kodekse dėl privatumo mobiliųjų sveikatos programėlių srityje. Daugiau informacijos apie jo rengimo eigą pateikiama adresu https://ec.europa.eu/digital-single-market/en/privacy-code-conduct-mobile-health-apps  

(32)

     Žr. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento), 6 straipsnio 1 dalį.

(33)

     Reglamento 4 straipsnio 1 dalis.

(34)

     2018 m. lapkričio 14 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1807 dėl laisvo ne asmens duomenų judėjimo Europos Sąjungoje pagrindų 3 straipsnio 5 punktas.

(35)

   Pažymėtina, kad teisinis netikrumas dėl teisėtų ir neteisėtų duomenų vietos reikalavimų apimties dar labiau apriboja rinkos dalyvių ir viešojo sektoriaus subjektų turimas duomenų tvarkymo vietos pasirinkimo galimybes (žr. 2018 m. lapkričio 14 d. Europos Parlamento ir Tarybos Reglamento (ES) 2018/1807 dėl laisvo ne asmens duomenų judėjimo Europos Sąjungoje pagrindų 4 konstatuojamąją dalį).

(36)

   2018 m. lapkričio 14 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1807 dėl laisvo ne asmens duomenų judėjimo Europos Sąjungoje pagrindų 4 konstatuojamoji dalis.

(37)

   Žr. du prieš priimant Laisvo ne asmens duomenų judėjimo reglamentą atliktus tyrimus dėl duomenų vietos reikalavimų: 1) Godel, M. et al., Facilitating cross border data flows in the Digital Single Market, SMART Nr. 2015/2016. Pateikiamas adresu http://ec.europa.eu/newsroom/document.cfm?doc_id=41185; ; 2) Time.lex, Spark Legal Network ir Tech4i2 tyrimas Cross-border data flow in the digital single market: study on data localisation restrictions, SMART Nr. 2015/0054. Pateikiamas adresu http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=46695.

(38)

   Reglamento 19 konstatuojamoji dalis.

(39)

   Žr., pavyzdžiui, 2010 m. lapkričio 23 d. Teisingumo Teismo sprendimo BadenoViurtembergo federalinė žemė prieš Tsakouridis, C-145/09, ECLI:EU:C:2010:708, 43 punktą ir 2017 m. balandžio 4 d. Sprendimo Sahar Fahimian prieš Bundesrepublik Deutschland, C-544/15, ECLI:EU:C:2017:225, 39 punktą.

(40)

   Žr., pavyzdžiui, 2008 m. gruodžio 22 d. Teisingumo Teismo sprendimo Europos Bendrijų Komisija prieš Austrijos Respubliką, C-161/07, ECLI:EU:C:2008:759, 35 punktą bei jame nurodytą Teismo praktiką ir 2009 m. kovo 26 d. Sprendimo Europos Bendrijų Komisija prieš Italijos Respubliką, C-326/07, ECLI:EC:C:2009:193, 70 punktą ir jame nurodytą Teismo praktiką.

(41)

   Žr., pavyzdžiui, 2010 m. liepos 8 d. Teisingumo Teismo sprendimo Afton Chemical Limited prieš Secretary of State for Transport, C-343/09, ECLI:EU:C:2010:419, 45 punktą ir jame nurodytą Teismo praktiką.

(42)

   Žr., pavyzdžiui, 2006 m. lapkričio 28 d. Direktyvos 2006/112/EB dėl pridėtinės vertės mokesčio bendros sistemos 245 straipsnio 2 dalį, kurioje nustatyta, kad „[v]alstybės narės gali reikalauti, kad jų teritorijoje įsisteigę apmokestinamieji asmenys praneštų joms, kur saugomos sąskaitos-faktūros, jeigu tai daroma už jų teritorijos ribų“. Tačiau šis reikalavimas turi būti aiškinamas laikantis 249 straipsnio, kuriame nustatyta, kad „[k]ai apmokestinamasis asmuo saugo sąskaitas-faktūras, kurias jis išrašo arba gauna elektroninėmis priemonėmis, garantuojančiomis galimybę internetu susipažinti su duomenimis, ir kai jos saugomos valstybėje narėje, kurioje jis nėra įsisteigęs, valstybės narės, kurioje jis įsisteigęs, kompetentingos institucijos turi teisę, taikydamos šią direktyvą, susipažinti su tomis sąskaitomis-faktūromis elektroninėmis priemonėmis, jas parsisiųsti ir naudoti pagal valstybės narės, kurioje apmokestinamasis asmuo yra įsisteigęs, taisyklėse nustatytus apribojimus ir jeigu šioms institucijoms tai reikalinga kontrolės tikslais“.

(43)

   2018 m. lapkričio 14 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1807 dėl laisvo ne asmens duomenų judėjimo Europos Sąjungoje pagrindų 4 straipsnio 4 dalis.

(44)

    https://europa.eu/youreurope/index.htm

(45)

   2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento), 1 straipsnio 3 dalis.

(46)

   Sutarties dėl Europos Sąjungos veikimo suvestinė redakcija (OL C 326, 2012 10 26, p. 47–390).

(47)

   Taip pat žr. 2008 m. birželio 19 d. Teisingumo Teismo sprendimo Europos Bendrijų Komisija prieš Liuksemburgo Didžiąją Hercogystę, C-319/06, ECLI:EU:C:2008:350, 90–91 punktus. Teismas konstatavo, kad pareiga laikyti ir saugoti tam tikrus dokumentus konkrečioje valstybėje narėje yra laisvės teikti paslaugas apribojimas ir kad šio apribojimo nepakanka pateisinti tuo, kad dėl to valdžios institucijoms paprastai lengviau vykdyti kontrolę.

(48)

   2006 m. gruodžio 12 d. Europos Parlamento ir Tarybos direktyva 2006/123/EB dėl paslaugų vidaus rinkoje (OL L 376, 2006 12 27, p. 36–68).

(49)

   2000 m. birželio 8 d. Europos Parlamento ir Tarybos direktyva 2000/31/EB dėl kai kurių informacinės visuomenės paslaugų, ypač elektroninės komercijos, teisinių aspektų vidaus rinkoje (Elektroninės komercijos direktyva) (OL L 178, 2000 7 17, p. 1–16).

(50)

   2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB (Bendrojo duomenų apsaugos reglamento), 9 straipsnio 4 dalis.

(51)

   Žr. 2018 m. lapkričio 14 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1807 dėl laisvo ne asmens duomenų judėjimo Europos Sąjungoje pagrindų 1 straipsnį.

(52)

   Žr. 2018 m. lapkričio 14 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1807 dėl laisvo ne asmens duomenų judėjimo Europos Sąjungoje pagrindų 15 konstatuojamąją dalį.

(53)

   Sąvoka „tvarkymas“ plačiąja prasme apibrėžta 2018 m. lapkričio 14 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1807 dėl laisvo ne asmens duomenų judėjimo Europos Sąjungoje pagrindų 3 straipsnio 2 punkte ir, kaip pabrėžta 17 konstatuojamojoje dalyje, reglamentas turėtų būti taikomas plačiausiąja duomenų tvarkymo prasme, jį siejant su visų rūšių informacinių technologijų sistemų naudojimu.

(54)

   Pažymėtina, kad 2018 m. lapkričio 14 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1807 dėl laisvo ne asmens duomenų judėjimo Europos Sąjungoje pagrindų nesusijęs su valstybių narių nustatytais duomenų vietos reikalavimais, taikomais ne asmens duomenų saugojimui trečiosiose šalyse, ir šie reikalavimai gali būti nustatyti nacionalinės teisės aktuose. Dėl aiškumo Bendrasis duomenų apsaugos reglamentas taikomas asmens duomenų tvarkymui, kai ES esančių duomenų subjektų asmens duomenis tvarko ES neįsisteigęs duomenų valdytojas arba duomenų tvarkytojas ir duomenų tvarkymo veikla yra susijusi su: a) prekių arba paslaugų siūlymu tokiems duomenų subjektams Sąjungoje, nepaisant to, ar už šias prekes arba paslaugas duomenų subjektui reikia mokėti, arba b) elgesio, kai jie veikia Sąjungoje, stebėsena (žr. Bendrojo duomenų apsaugos reglamento 3 straipsnio 2 dalį).

(55)

   Dėl asmens duomenų perdavimo į trečiąsias valstybes, žr. Komisijos tinklalapį https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-rules-apply-if-my-organisation-transfers-data-outside-eu_lt  ir Komisijos komunikatą Europos Parlamentui ir Tarybai „Keitimasis asmens duomenimis ir jų apsauga globalizuotame pasaulyje“, COM/2017/07 final, paskelbtą https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2017 %3A7 %3AFIN . 2019 m. sausio 23 d. Komisija priėmė sprendimą dėl Japonijos duomenų apsaugos lygio tinkamumo, pagal kurį asmens duomenys gali laisvai judėti tarp ES ir Japonijos, remiantis tvirtomis apsaugos garantijomis.

(56)

   2018 m. lapkričio 14 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1807 dėl laisvo ne asmens duomenų judėjimo Europos Sąjungoje pagrindų 14 konstatuojamoji dalis.

(57)

   2014 m. vasario 26 d. Europos Parlamento ir Tarybos direktyvos 2014/24/ES dėl viešųjų pirkimų, kuria panaikinama Direktyva 2004/18/EB (OL L 94, 2014 3 28, p. 65–242), 2 straipsnio 1 punkte nustatyta, kad „viešosios teisės reglamentuojami subjektai“ – subjektai, pasižymintys visomis toliau išvardytomis charakteristikomis: a) jie įsteigti siekiant konkretaus tikslo – patenkinti bendrojo intereso poreikius, kurie nėra pramoninio ar komercinio pobūdžio; b) jie turi teisinį subjektiškumą ir c) jie didžiąja dalimi finansuojami valstybės, regionų ar vietos valdžios institucijų ar kitų viešosios teisės reglamentuojamų subjektų lėšomis, arba jų valdymas yra prižiūrimas tų institucijų ar subjektų, arba jie turi administracinį, valdymo ar priežiūros organą, kurio daugiau kaip pusę narių skiria valstybės, regionų ar vietos valdžios institucijos arba kiti viešosios teisės reglamentuojami subjektai“.

(58)

     2018 m. lapkričio 14 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1807 dėl laisvo ne asmens duomenų judėjimo Europos Sąjungoje pagrindų 13 konstatuojamojoje dalyje pažymima, kad reglamentu nedaromas poveikis Direktyvai 2014/24/ES.

(59)

   2018 m. lapkričio 14 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1807 dėl laisvo ne asmens duomenų judėjimo Europos Sąjungoje pagrindų 14 konstatuojamoji dalis.

(60)

   Išorės paslaugų teikėjas yra bet koks subjektas, kuris nėra „viešosios teisės reglamentuojamas subjektas“, kaip numatyta 2014 m. vasario 26 d. Europos Parlamento ir Tarybos direktyvos 2014/24/ES dėl viešųjų pirkimų, kuria panaikinama Direktyva 2004/18/EB, 2 straipsnio 1 dalies 4 punkte (OL L 94, 2014 3 28, p. 65–242).

(61)

   2018 m. lapkričio 14 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1807 dėl laisvo ne asmens duomenų judėjimo Europos Sąjungoje pagrindų 13 konstatuojamoji dalis.

(62)

     Debesijos paslaugų teikėjų keitimo ir duomenų perkėlimo klausimų darbo grupė.

(63)

     Europos debesijos paslaugų teikėjų sertifikavimo darbo grupė. Žr. taip pat 4.3 skirsnį.

(64)

     Žr. 2018 m. lapkričio 14 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1807 dėl laisvo ne asmens duomenų judėjimo Europos Sąjungoje pagrindų 30 konstatuojamąją dalį.

(65)

     2018 m. lapkričio 14 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1807 dėl laisvo ne asmens duomenų judėjimo Europos Sąjungoje pagrindų 6 straipsnis ir 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 20 straipsnis.

(66)

     Žr. 29 straipsnio darbo grupės Teisės į duomenų perkeliamumą gaires. WP 242, 1 red., priimtos 2016 m. gruodžio 13 d. ir paskutinį kartą atnaujintos ir patvirtintos 2017 m. balandžio 5 d.

(67)

   2018 m. lapkričio 14 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1807 dėl laisvo ne asmens duomenų judėjimo Europos Sąjungoje pagrindų 29 konstatuojamojoje dalyje nustatyta: „Nors atskiri vartotojai naudojasi galiojančiais Sąjungos teisės aktais [t. y. Bendruoju duomenų apsaugos reglamentu] suteikiama nauda, naudotojams, kurie užsiima verslu arba profesine veikla, nesudarytos sąlygos lengviau pasirinkti kitus paslaugų teikėjus“.

(68)

     Žr. 29 straipsnio darbo grupės 2012 m. liepos 1 d. priimtą Nuomonę 05/2012 dėl debesijos kompiuterijos (WP196), kurioje išsamiau paaiškinta debesijos paslaugų naudotojų ir debesijos paslaugų teikėjų padėtis ir prievolės, susijusios su asmens duomenų tvarkymu.

(69)

   Žr. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 40 straipsnio 5 dalį ir 55 straipsnį.

(70)

   Europos duomenų apsaugos valdyba, 2019 m. vasario 12 d. pagal Reglamentą 2016/679 priimtos Gairės 1/2019 dėl elgesio taisyklių sąvadų ir stebėsenos įstaigų; versija viešosioms konsultacijoms pateikta internete adresu: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12019-codes-conduct-and-monitoring-bodies-under_lt  

(71)

   Europos duomenų apsaugos valdyba, 2019 m. sausio 23 d. pagal Reglamento (EB) Nr. 2016/679 42 ir 43 straipsnius priimtos Gairės Nr. 1/2018 dėl sertifikavimo ir sertifikavimo kriterijų nustatymo. Pateikiama adresu https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-12018-certification-and-identifying-certification_lt

(72)

   1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (galiojimo pabaigos data – 2018 m. gegužės 24 d.).

(73)

   Daugiau informacijos apie ES debesijos elgesio taisyklių sąvadą: https://eucoc.cloud/en/home.html

(74)

   Daugiau informacijos apie CISPE elgesio taisyklių sąvadą: https://cispe.cloud/code-of-conduct/

(75)

   Daugiau informacijos apie CISPE elgesio taisyklių sąvadą pateikiama: https://gdpr.cloudsecurityalliance.org/

(76)

   Daugiau informacijos: https://ec.europa.eu/digital-single-market/en/cyber-security

(77)

   2019 m. balandžio 17 d. Europos Parlamento ir Tarybos reglamentas dėl ES kibernetinio saugumo agentūros ENISA ir informacinių ir ryšių technologijų kibernetinio saugumo sertifikavimo, kuriuo panaikinamas Reglamentas (ES) Nr. 526/2013 (Kibernetinio saugumo aktas).

(78)

   Žr. Kibernetinio saugumo akto 74 konstatuojamąją dalį.