26.7.2011   

LT

Europos Sąjungos oficialusis leidinys

C 220/1

1.

2011 m. vasario 24 d. Europos Komisija priėmė pasiūlymą dėl Europos Parlamento ir Tarybos direktyvos, kuria iš dalies keičiamos direktyvų 89/666/EEB, 2005/56/EB ir 2009/101/EB nuostatos dėl centrinių, komercinių ir bendrovių registrų sąveikos (3) (toliau – pasiūlymas), o paskui pasikonsultavo su EDAPP.

2.

EDAPP džiaugiasi, kad su juo konsultuojamasi, kaip to reikalaujama Reglamento (EB) Nr. 45/2001 28 straipsnio 2 dalyje, ir kad į pasiūlymo preambulę įtraukta nuoroda į šią nuomonę.

3.

Šio pasiūlymo tikslas – sudaryti lengvesnes tarptautinio bendradarbiavimo ir verslo registrų informacijos mainų Europos ekonominėje erdvėje sąlygas ir suaktyvinti šiuos procesus, taip padidinant skaidrumą ir įvairiose valstybėse prieinamos informacijos patikimumą. Efektyvios administracinio bendradarbiavimo procedūros, susijusios su verslo registrais, turi esminę reikšmę siekiant didinti pasitikėjimą Europos bendrąja rinka, užtikrinant saugesnę verslo aplinką vartotojams, kreditoriams ir kitiems verslo partneriams, mažinant administracinę naštą ir didinant teisinį saugumą. Administracinio bendradarbiavimo procedūrų, susijusių su verslo registrais, aktyvinimas Europoje yra labai svarbus tarptautinių susijungimų, buveinės perkėlimo ir užsienio filialų registracijos informacijos atnaujinimo procedūrų atveju, jeigu šiose srityse šiuo metu nėra bendradarbiavimo mechanizmų arba jie yra riboti.

4.

Šiuo tikslu pasiūlymu siekiama iš dalies pakeisti tris esamas direktyvas:

5.

Verslo registrai yra kiekvienoje valstybėje narėje, jie organizuojami nacionaliniu, regioniniu arba vietos lygmeniu. 1968 m. buvo nustatytos bendros taisyklės, kuriose numatyti būtiniausi verslo informacijos atskleidimo (registravimo ir paskelbimo) standartai (7). Nuo 2007 m. sausio 1 d. valstybės narės taip pat turi turėti elektroninius verslo registrus (8) ir leisti tretiesiems asmenims susipažinti su internetinio registro turiniu.

6.

Bendradarbiavimo verslo registrų srityje iš skirtingų valstybių narių aiškiai reikalaujama kai kuriuose Europos teisės aktuose, kad būtų lengviau vykdyti ribotos atsakomybės bendrovių tarptautinius susijungimus (9) ir tarptautinį Europos bendrovės (SE) (10) bei Europos kooperatinės bendrovės (SCE) (11) buveinės perkėlimą.

7.

1992 m. verslo registrų srityje Europoje sukurtas savanoriškas bendradarbiavimo mechanizmas. Kol kas vadinamajam Europos verslo registrui (EVR) (12) priklauso 19 valstybių narių ir šešių kitų Europos šalių oficialūs verslo registrai. 2006–2009 m. EVR buvo įtrauktas į mokslinių tyrimų projektą BRITE (13), kurio tikslas buvo sukurti visos Europos verslo registrų sąveikai skirtą technologijų platformą. Tačiau kartu su pasiūlymu pateikiamame poveikio vertinime paaiškinama, kad EVR susiduria su didelėmis plėtros, valdymo ir finansavimo problemomis: remiantis poveikio vertinimu, tokios formos, kokios yra dabartinis bendradarbiavimo mechanizmas, nevisiškai tenkina galimus naudotojus.

8.

Kartu su pasiūlymu pateikiamame aiškinamajame memorandume pažymima, kad Europos e. teisingumo portalas (14) turi tapti svarbiausiu prieigos prie teisinės informacijos, teisinių ir administracinių institucijų, registrų, duomenų bazių ir kitų ES teikiamų paslaugų punktu. Be to, jame patvirtinama, kad pasiūlymu papildomas e. teisingumo projektas ir kad pasiūlymas turėtų padėti tretiesiems asmenims lengviau gauti verslo informaciją per portalą.

9.

Remiantis poveikio vertinimu, kitas svarbus projektas, galintis užtikrinti sąveiką, yra Vidaus rinkos informacinė sistema (angl. IMI) (15). IMI – tai elektroninė priemonė kasdieniam viešųjų administracijų administraciniam bendradarbiavimui pagal Paslaugų direktyvą (2006/123/EB) ir Profesinių kvalifikacijų direktyvą (2005/36/EB) remti. Šiuo metu IMI plečiama ir, remiantis poveikio vertinimu, galėtų padėti įgyvendinti kitas direktyvas, įskaitant įmonių teisės direktyvas.

10.

Pasiūlymo 3 straipsniu Direktyva 2009/101/EB keičiama keliais atžvilgiais. Iš jų du pakeitimai turi didelę reikšmę duomenų apsaugai.

11.

Dabar galiojančios Direktyvos 2009/101/EB 2 straipsnyje jau reikalaujama kiekvienos valstybės narės verslo registre atskleisti tam tikrą būtiniausią informaciją, kad tretieji asmenys galėtų sužinoti informaciją apie įmones. Kaip paaiškinta šios nuomonės 1.2 skyriuje, valstybės narės taip pat turi turėti elektroninius verslo registrus ir leisti tretiesiems asmenims susipažinti su šių registrų turiniu internete.

12.

2 straipsnyje išvardijama vienuolika pagrindinių dalykų apie įmonę, kurie turi būti atskleisti visuomenei, įskaitant:

13.

Duomenų apsaugos požiūriu svarbu tai, kad 2 straipsnyje taip pat reikalaujama atskleisti asmenų, kurie yra i) įgalioti atstovauti įmonei ir (arba) ii) kitaip dalyvauja atliekant įmonės „administravimą, priežiūrą ar kontrolę“„paskyrimą, atleidimą iš pareigų ir duomenis“ (kursyvu išskirta ir pabraukta EDAPP).

14.

Pasiūlyme informacijos, kurią reikalaujama atskleisti pagal 2 straipsnį, sąrašas nepakeistas. Nėra nauja ir tai, kad kiekviena valstybė narė turi padaryti šią informaciją viešai prieinamą elektroniniu būdu. Pasiūlymo naujovė yra ta, kad informacija, kuri iki šiol buvo prieinama tik išskaidytai, paprastai tik vietos kalba ir vietos interneto svetainėse, dabar bus nesunkiai prieinama per bendrą Europos platformą arba prieigos punktą daugiakalbėje aplinkoje.

15.

Šiuo tikslu pasiūlyme į direktyvą siūloma įtraukti naują 3a straipsnį, pagal kurį būtų numatyta, jog „valstybės narės užtikrina, kad 2 straipsnyje nurodytus dokumentus ir duomenis, kurie buvo pateikti registrui, pareiškėjui paprašius, galima gauti elektroninėmis priemonėmis per bendrą Europos elektroninę bazę, prie kurios galima prisijungti iš kiekvienos valstybės narės“. Pasiūlyme išsamesnį reglamentavimą paliekama numatyti deleguotuosiuose teisės aktuose.

16.

Pasiūlyme į tą pačią Direktyvą 2009/101/EB taip pat įtraukiamas 4a straipsnis, kuriame būtų numatyta, kad „valstybės narės imasi priemonių, reikalingų siekiant užtikrinti, kad 3 straipsnio 1 dalyje nurodyti registrai yra tarpusavyje suderinami ir sudaro elektroninį tinklą (toliau – elektroninis tinklas)“. Pasiūlyme ir vėl išsamesnį reglamentavimą numatyta pateikti deleguotuosiuose teisės aktuose.

17.

Rūpestį duomenų apsaugos srityje keliantiems klausimams sureguliuoti pasiūlyme į visų trijų iš dalies keistinų direktyvų tekstus įtraukiamas konkretus straipsnis dėl duomenų apsaugos, pagal kurį reikalaujama, kad „įgyvendinant šią direktyvą vykdomas asmens duomenų tvarkymas atliekamas vadovaujantis Europos Parlamento ir Tarybos direktyva 95/46/EB“.

18.

EDAPP pritaria Komisijos nuomonei, kad i) naudojant informacines ir ryšių technologijas gali būti padedama padidinti bendradarbiavimo verslo registrų srityje efektyvumą ir ii) didinant verslo registrų informacijos prieinamumą gali būti padidintas skaidrumas. Todėl jis pritaria pasiūlymo tikslams. Jo pastabas reikia vertinti atsižvelgiant į šį konstruktyvų požiūrį.

19.

Kartu EDAPP pabrėžia, kad didesnis asmens duomenų prieinamumas taip pat lemia didesnes grėsmes asmens duomenims. Pavyzdžiui, nors įmonės atstovą lengviau tiksliai identifikuoti atskleidus jo privatų adresą, atskleidimas gali turėti ir neigiamą poveikį šio asmens teisei į asmens duomenų apsaugą. Visų pirma tai taikytina asmens duomenims, plačiai prieinamiems internete skaitmenine forma ir įvairiomis kalbomis per nesunkiai prieinamą Europos platformą arba prieigos punktą.

20.

Ne taip seniai verslo registrų asmens duomenys (pvz., direktoriaus vardas, pavardė, adresas ir parašo pavyzdys) buvo atskleidžiami visuomenei popierine forma ir vietos kalba, neretai tik pareiškėjui asmeniškai apsilankius vietos registre. Svarbu pripažinti, kad ši padėtis kokybiškai skiriasi nuo viešo duomenų atskleidimo skaitmenine forma per visuotinį elektroninį prieigos punktą. Viešu asmens duomenų atskleidimu per nesunkiai prieinamą visos Europos platformą arba prieigos punktus nueinama dar toliau ir dar labiau padidinamas informacijos prieinamumas bei grėsmės atitinkamų asmenų duomenų apsaugai.

21.

Tarp esamų grėsmių privatumui (dėl galimybės per bendrą elektroninį prieigos punktą nesunkiai gauti duomenis skaitmenine forma) yra tapatybės vagystė ir kita nusikalstama veikla, taip pat grėsmė, kad atskleista informacija bus neteisėtai surinkta ir panaudota atitinkamų asmenų. Nesant tinkamų garantijų, informacija gali būti parduota kitiems asmenims arba kartu su kita informacija perparduota vyriausybėms naudoti nesusijusiais ir neatskleistais tikslais (pvz., mokesčių įstatymams įgyvendinti ar kitokiems baudžiamiesiems ar administraciniams tyrimams) nesant tinkamo teisinio pagrindo (16).

22.

Todėl reikia atidžiai įvertinti, kokią asmeninę informaciją reikėtų padaryti prieinamą per bendrą Europos platformą arba prieigos punktą ir kokios papildomos duomenų apsaugos garantijos, įskaitant technines priemones, kurios ribotų paieškos ar atsisiuntimo galimybes bei duomenų gavybą, turėtų būti taikomos.

23.

Kaip pažymėta šios nuomonės 2.1 ir 2.2 skyriuose, siūlomi Direktyvos 2009/101/EB 3a ir 4a straipsniai yra labai bendri ir jais daug esminių klausimų paliekama reglamentuoti deleguotuosiuose teisės aktuose.

24.

Nors EDAPP pripažįsta lankstumo poreikį, taigi ir deleguotųjų teisės aktų poreikį, jis pabrėžia, kad būtinos duomenų apsaugos garantijos yra esminiai dalykai, kuriuos reikėtų aiškiai ir konkrečiai numatyti tiesiogiai pačios siūlomos direktyvos tekste. Šiuo atžvilgiu jų negalima laikyti „neesminiais dalykais“, kuriuos galima įtraukti į paskiau pagal Sutarties dėl Europos Sąjungos veikimo 290 straipsnį priimamus deleguotuosius teisės aktus.

25.

Todėl EDAPP rekomenduoja sukonkretinti pasiūlymo duomenų apsaugos nuostatas ir pateikti ne vien nuorodą į Direktyvą 95/46/EB (žr. 3.4–3.13 skyrius). Paskui, pasikonsultavus su EDAPP ir, jei taikytina, su nacionalinėmis duomenų apsaugos institucijomis, į deleguotuosius teisės aktus būtų galima įtraukti papildomas nuostatas, susijusias su konkrečių garantijų įgyvendinimu (žr. šios nuomonės 3.5, 3.6, 3.8, 3.9, 3.10, 3.12 ir 3.13 skyrius).

26.

Pasiūlyme ne tik nenurodytos svarbiausios duomenų apsaugos garantijos – jame labai neišsamiai reglamentuoti ir kiti klausimai. Visų pirma pasiūlyme numatoma esminius klausimus, kaip norima įgyvendinti siūlomą i) verslo registrų sujungimą ir ii) viešą duomenų atskleidimą, reglamentuoti deleguotuosiuose teisės aktuose.

27.

Šių kitų esminių pasiūlymo elementų aiškumas yra būtina tinkamų duomenų apsaugos garantijų patvirtinimo sąlyga. Todėl EDAPP rekomenduoja šiuos esminius dalykus nustatyti pačioje siūlomoje direktyvoje (žr. šios nuomonės 3.4 ir 3.5 skyrius).

28.

Kol kas pasiūlyme numatoma deleguotuosiuose teisės aktuose nustatyti taisykles, susijusias su elektroninio tinklo valdymu, tvarkymu, eksploatavimu ir atstovavimu jam (17).

29.

Nors poveikio vertinime ir aiškinamajame memorandume nustatoma tam tikra sinergija su IMI ir e. teisingumo portalu, siūlomos direktyvos tekste paliekama įvairių galimybių leisti įgyvendinti bet kurią iš šių sinergijų ar jas visas, įskaitant EVR perkūrimą, IMI naudojimą kai kuriems duomenų mainams ir (arba) e. teisingumo portalo naudojimą kaip platformos (prieigos punkto) verslo registruose esančiai informacijai teikti visuomenei.

30.

Neatmetamos ir kitos galimybės, pvz., paskelbti konkurso dėl teisės kurti ir eksploatuoti elektroninį tinklą arba Komisijai suteikti tiesioginę funkciją kurti ir eksploatuoti sistemą. Elektroninio tinklo valdymo struktūroje taip pat gali dalyvauti valstybių narių atstovai.

31.

Be to, nors dabartinės formos pasiūlyme numatoma „bendra Europos elektroninė bazė“ (kursyvu išskirta ir pabraukta EDAPP), neatmetama, kad per paskesnę teisėkūros procedūrą pasiūlymo tekstas gali būti pakeistas numatant labiau decentralizuotą struktūrą.

32.

EDAPP taip pat pažymi, kad nors dabartiniame pasiūlyme verslo registrų sujungimo su kitomis duomenų bazėmis (pvz., su žemės registrais ar civiliniais registrais) klausimas konkrečiai nesprendžiamas, iš tikrųjų tai techniškai įmanoma, o kai kuriose valstybėse narėse jau įgyvendinama (18).

33.

Pasirinkus vieną ar kitą iš šių alternatyvų gali būti sukurta visiškai skirtinga elektroninio tinklo ir elektroninės priemonės, naudojamos viešam duomenų atskleidimui, valdymo struktūra. Taip susijusioms šalims tektų skirtingi vaidmenys ir įsipareigojimai, taip pat skirtingi vaidmenys ir įsipareigojimai duomenų apsaugos požiūriu.

34.

Šiuo atžvilgiu EDAPP pabrėžia, kad bet kuriuo atveju, kai yra tvarkomi asmens duomenys, labai svarbu teisingai nustatyti, kas yra „duomenų valdytojas“. Tai savo nuomonėje 1/2010 dėl sąvokų „duomenų valdytojas“ ir „duomenų tvarkytojas“ (19) pabrėžė ir 29 straipsnio darbo grupė. Pagrindinė priežastis, dėl kurios taip svarbu aiškiai ir nedviprasmiškai nurodyti duomenų valdytoją, yra tai, kad nuo to priklauso, koks asmuo atsako už duomenų apsaugos taisyklių laikymąsi ir, be to, tai svarbu nustatant taikytiną teisę (20).

35.

Kaip pažymėta 29 straipsnio darbo grupės nuomonėje, „jei nėra pakankamai aišku, kas ir ką turi daryti, pvz., niekas neprisiima atsakomybės arba gali būti daug duomenų valdytojų, aiškiai kyla grėsmė, kad bus daroma per mažai arba visai nieko nedaroma, ir teisės aktų nuostatos gali likti neįgyvendintos“.

36.

EDAPP pabrėžia, kad aiškumo ypač reikia tais atvejais, kai bendradarbiauja daug subjektų. Paprastai taip būna ES informacinių sistemų, naudojamų viešiems tikslams, jeigu tvarkymo tikslas yra nustatytas ES teisėje, atveju.

37.

Dėl šių priežasčių EDAPP rekomenduoja pačios siūlomos direktyvos tekste konkrečiai, aiškiai ir nedviprasmiškai nustatyti:

38.

Duomenų apsaugos požiūriu šie patikslinimai turėtų būti konkretūs ir nedviprasmiški siekiant, remiantis pačia siūloma direktyva, nustatyti, ar konkretų subjektą reikėtų laikyti „duomenų valdytoju“, ar „duomenų tvarkytoju“.

39.

Iš esmės pasiūlyme turėtų būti aiškiai padėta nustatyti, kaip atrodo iš viso dabartinio direktyvos projekto apskritai, kad kiekvienas verslo registrų valdytojas ir sistemos operatorius (-iai) turėtų būti laikomi duomenų valdytoju savo vykdomos veiklos atžvilgiu. Atsižvelgiant į tai, turint omenyje, kad dabar pasiūlyme valdymo struktūra neaprašyta ir neapibrėžiama, kas bus elektroninės sistemos operatorius (-iai), negalima atmesti, kad tam tikras subjektas ar subjektai, kurie galiausiai praktiškai eksploatuos sistemą, veiks kaip duomenų tvarkytojai, o ne valdytojai. Visų pirma taip gali nutikti tuo atveju, jeigu ši veikla būtų užsakoma iš trečiojo asmens, kuris veiktų griežtai pagal nurodymus. Bet kuriuo atveju atrodo, kad išlieka daug duomenų valdytojų, bent po vieną kiekvienoje valstybėje narėje (verslo registrus prižiūrintys subjektai). Tai, kad eksploatuotojais, „platintojais“ ar kt. gali būti kiti (privatūs) subjektai, šio aspekto nekeičia. Bet kuriuo atveju tai reikėtų nurodyti siūlomoje direktyvoje, kad būtų užtikrintas aiškumas ir teisinis saugumas.

40.

Galiausiai, nors tai ne mažiau svarbu, pasiūlyme reikėtų konkrečiau ir išsamiau aprašyti su šiais vaidmenimis susijusius įsipareigojimus. Pavyzdžiui, į pasiūlymą reikėtų įtraukti operatoriaus (-ių) vaidmenį užtikrinant, kad sistema būtų sukurta privatumui palankiu būdu, ir jo koordinavimo funkciją duomenų apsaugos klausimais.

41.

EDAPP pažymi, kad visi šie patikslinimai bus svarbūs nustatant, kokios duomenų apsaugos priežiūros institucijos yra kompetentingos ir už kokių asmens duomenų tvarkymą.

42.

Atrodo, kad dabartinės formos elektroniniame tinkle nenumatyta padaryti visos kiekviename verslo registre saugomos informacijos automatiškai prieinamos visiems kitiems visų kitų valstybių narių verslo registrams: pasiūlyme tereikalaujama, kad verslo registrai būtų tarpusavyje sujungti ir sąveikūs, ir todėl nustatomos sąlygos, kuriomis leidžiama keistis informacija ir ją gauti ateityje. Siekiant užtikrinti teisinį saugumą, pasiūlyme reikėtų patikslinti, ar yra būtent taip.

43.

Be to, pasiūlyme taip pat nenurodoma, kokios duomenų srautų ir (arba) administracinio bendradarbiavimo procedūros gali vykti naudojant tarpusavyje sujungtus verslo registrus (21). EDAPP supranta, jog norint užtikrinti, kad ateityje būtų galima atitikti galimus poreikius, reikia tam tikro lankstumo. Atsižvelgdamas į tai, EDAPP mano, kad labai svarbu pasiūlyme nurodyti duomenų srautų sistemą ir administracinio bendradarbiavimo procedūras, kurios ateityje gali vykti naudojant elektroninį tinklą. Visų pirma tai svarbu siekiant užtikrinti, kad i) bet kokie duomenų mainai vyks remiantis patikimu teisiniu pagrindu ir kad ii) bus numatytos tinkamos duomenų apsaugos garantijos.

44.

EDAPP nuomone, bet kokia duomenų mainų ar kitokia duomenų tvarkymo veikla naudojant elektroninį tinklą (pvz., viešas asmens duomenų atskleidimas per bendrą platformą ir (arba) prieigos punktą) turėtų būti pagrįsta privalomu ES teisės aktu, priimtu remiantis patikimu teisiniu pagrindu. Tai reikėtų aiškiai reglamentuoti siūlomoje direktyvoje (22).

45.

Be to, pasiūlyme numatyta, kad deleguotuosiuose teisės aktuose nustatomi tokie dalykai (23):

46.

Dėl pirmosios ir antrosios įtraukų EDAPP mano, kad tam tikras esmines garantijas reikėtų numatyti pačioje siūlomoje direktyvoje (žr. šios nuomonės 3.12 ir 3.13 skyrius). Papildomą informaciją galima nustatyti deleguotuosiuose teisės aktuose.

47.

Dėl automatizuoto keitimosi duomenimis EDAPP palankiai vertina tai, kad pasiūlyme reikalaujama, kad deleguotuosiuose teisės aktuose būtų numatytas „dokumentų ir duomenų formato, jų turinio ir saugojimo bei paieškos laikotarpio standartų, kuriuos įgyvendinus bus galima automatiškai keistis duomenimis, apibrėžimas“.

48.

Siekdamas šioje srityje didesnio aiškumo, EDAPP rekomenduoja pačioje siūlomoje direktyvoje aiškiai nurodyti, kad naudojant elektroninį tinklą galima i) specialiai mechaniniu būdu verslo registrams keistis duomenimis kiekvienu konkrečiu atveju (kaip numatyta ES teisės akte, pvz., susijungimo ar buveinės perkėlimo atveju) ir ii) automatizuotai perduoti duomenis (kaip numatyta ES teisės akte, pvz., atnaujinant registro informaciją apie užsienio filialus).

49.

Norėdamas dar daugiau aiškumo, EDAPP taip pat rekomenduoja pakeisti siūlomą atitinkamo Direktyvos 2009/101/EB 4 straipsnio a punkto 3 dalies i papunktį siekiant užtikrinti, kad i) deleguotuosiuose teisės aktuose būtų išsamiai reglamentuoti ir mechaniniu, ir automatizuotu būdu vykstantys duomenų mainai, ii) būtų reglamentuotos visos tvarkymo operacijos, kurios gali būti susijusios su asmens duomenimis (ne tik saugojimas ir atkūrimas), ir kad iii) deleguotųjų teisės aktų konkrečiose duomenų apsaugos nuostatose būtų užtikrintas praktinis reikiamų duomenų apsaugos garantijų taikymas.

50.

Pavyzdžiui, 4 straipsnio a punkto 3 dalies i papunktis galėtų būti pakeistas taip:

51.

Pirmiausia EDAPP pabrėžia, kad nors įmonių atstovų (ir kitų valdant įmonę dalyvaujančių asmenų) vardai ir pavardės (ir galbūt kiti duomenys, kaip antai privatus adresas) neabejotinai yra akivaizdžiausi asmens duomenys, kurie gali būti tvarkomi elektroniniame tinkle ir (arba) viešai atskleidžiami per bendrą elektroninę platformą ir (arba) prieigos punktą, ir tai tikrai nėra vienintelė verslo registruose saugoma asmeninė informacija.

52.

Visų pirma kai kuriuose iš Direktyvos 2009/101/EB 2 straipsnyje išvardytų dokumentų (pvz., steigimo dokumente, įstatuose ir apskaitos dokumentuose) gali būti ir kitų asmenų asmens duomenų. Tarp šių duomenų, be kita ko, gali būti įvairiausių asmenų vardų, pavardžių, adresų, galbūt identifikacinių kodų, gimimo datų ir net ranka rašytų parašų skenuotų versijų, įskaitant įmonę įsteigusius asmenis, teisininkus, apskaitininkus, darbuotojus ar notarus.

53.

Antra, jeigu įmonės duomenys yra susieti su asmens (pvz., direktoriaus) vardu, jie taip pat galėtų būti laikomi asmens duomenimis, susijusiais su šiuo asmeniu. Pavyzdžiui, jeigu verslo registro duomenys rodo, kad konkretus asmuo yra likviduojamos įmonės direktorių valdybos narys, ši informacija taip pat yra svarbi šiam asmeniui.

54.

Siekdamas užtikrinti, kad būtų aišku, kokie asmens duomenys tvarkomi, ir kad tvarkomi duomenys būtų proporcingi pasiūlymo tikslams, EDAPP rekomenduoja pasiūlymą patikslinti taip, kaip nurodyta šios nuomonės 3.7 skyriuje.

55.

Direktyvos 2009/101/EB 2 straipsnyje neapibrėžiama, kokius „duomenis“ apie atitinkamus asmenis (įmonių atstovus ir kitus valdant įmonę dalyvaujančius asmenis) reikalaujama atskleisti.

56.

Iš tikrųjų skirtingose pasiūlymo kalbinėse versijose yra didelių skirtumų, susijusių netgi su tokios frazės kaip „duomenys apie asmenis“ vertimu. Pavyzdžiui, prancūzų kalba ši frazė išversta „l’identité des personnes“ (t. y. asmenų tapatybė), italų kalba – „le generalità delle persone“ (t. y. asmeniniai duomenys, pvz., vardas ir pavardė), vengrų kalba – „személyek adatai“ (t. y. asmenų duomenys), olandų kalba – „de identiteit van de personen“ (t. y. asmenų tapatybė), o rumunų kalba – „identitatea persoanelor“ (t. y. asmenų tapatybė).

57.

Be to, kai kuriose valstybėse narėse įmonės direktorių ir (arba) kitų asmenų, kaip antai kai kurių akcininkų, privatus adresas yra paprastai viešai skelbiamas internete. Kai kuriose kitose valstybėse narėse verslo registras, kuriam ši informacija pateikiama, laiko šią informaciją konfidencialia dėl konfidencialumo požiūriu rūpestį keliančių klausimų, įskaitant tapatybės vagystės grėsmę.

58.

EDAPP rekomenduoja pakeisti Direktyvos 2009/101/EB 2 straipsnį siekiant patikslinti, kokie dar asmens duomenys, be atitinkamų asmenų (įmonių atstovų ir kitų valdant įmonę dalyvaujančių asmenų) vardų ir pavardžių, turi būti atskleidžiami (jeigu turi). Tai darant reikėtų atidžiai apsvarstyti skaidrumo ir šių asmenų tikslaus identifikavimo poreikį, tačiau taip pat užtikrinti pusiausvyrą su kitais konkuruojančiais rūpestį keliančiais klausimais, pvz., poreikiu apsaugoti atitinkamų asmenų privatumą (24).

59.

Jeigu dėl skirtingos nacionalinės praktikos nepavyktų pasiekti susitarimo, 2 straipsnis turėtų būti pakeistas bent tiek, kad jame būtų reikalaujama, kad būtų atskleidžiami „atitinkamų asmenų vardai ir pavardės, o jeigu to konkrečiai reikalaujama pagal nacionalinę teisę, papildomi jų tapatybei nustatyti būtini duomenys“. Tada bus aišku, kad kiekvienai valstybei narei paliekama savo nacionalinės teisės aktuose nuspręsti, kokius dar „duomenis“, be vardų ir pavardžių, reikia atskleisti (jeigu reikia), ir kad papildomus asmens duomenis bus reikalaujama atskleisti tik jeigu tai būtina atitinkamų asmenų tapatybei nustatyti.

60.

Alternatyviai ir turint omenyje tai, kad 2 straipsnyje, užuot iki galo suderinus visos Europos verslo registrų turinį, išvardijama „būtiniausia informacija“, frazę „duomenys apie asmenis“ būtų galima tiesiog pakeisti fraze „asmenų vardai ir pavardės“. Tuomet kiekvienai valstybei narei tektų nuspręsti, kokią papildomą informaciją jos pageidauja atskleisti (jeigu pageidauja).

61.

Direktyvos 2009/101/EB 2 straipsnyje taip pat reikalaujama atskleisti informaciją apie asmenis, dalyvaujančius atliekant įmonės „administravimą, priežiūrą ir kontrolę“. Iš šios plačios formuluotės nevisiškai aišku, ar reikalaujama atskleisti informaciją apie akcininkus, visų pirma informaciją apie akcininkus, turinčius i) didelę, įtakingą ar kontroliuojamąją akcijų dalį, viršijančią tam tikrą ribą, ar ii) „auksinių“ akcijų, sudariusius konkrečius susitarimus ar kitaip realiai kontroliuojančius įmonę arba darančius jai realią įtaką.

62.

EDAPP supranta, kad plati formuluotė reikalinga norint apimti įvairiausias šiuo metu įvairiose valstybėse narėse esančias ribotos atsakomybės įmonių valdymo struktūras. Atsižvelgiant į tai, teisinis tikrumas dėl asmenų, kurių duomenys gali būti atskleidžiami, kategorijų turi esminę reikšmę duomenų apsaugos požiūriu. Todėl EDAPP rekomenduoja pakeisti Direktyvos 2009/101/EB 2 straipsnį siekiant patikslinti, kokius asmens duomenis apie akcininkus reikia atskleisti (jeigu reikia). Tai darant, privaloma atlikti proporcingumo analizę pagal Sprendimą Schecke (kaip nurodyta pirmiau).

63.

Nors pasiūlyme nereikalaujama keistis asmens duomenimis ar juos viešai atskleisti daugiau nei pagal būtiniausius Direktyvos 2009/101/EB 2 straipsnio reikalavimus, joje neatmetama, jog valstybės narės gali nuspręsti reikalauti, kad jų verslo registrai tvarkytų arba atskleistų papildomus asmens duomenis ir padarytų juos prieinamus, be to, per bendrą Europos platformą arba prieigos punktą ir (arba) keistųsi tokiais duomenimis su kitų valstybių narių verslo registrais.

64.

Šis klausimas yra itin keblus juodųjų sąrašų atveju. Kai kuriose šalyse elektroninis registras faktiškai taip pat veikia kaip juodasis sąrašas ir paiešką per elektroninį portalą jame gali atlikti bet kuris trečiasis asmuo, ieškantis informacijos apie įmonės atstovus, kuriems uždrausta verstis savo veikla.

65.

Kad šis klausimas būtų sureguliuotas, EDAPP rekomenduoja pasiūlyme patikslinti, ar valstybės narės, galiausiai nusprendusios, gali – ir kiek gali – viešai atskleisti daugiau informacijos per bendrą portalą ir (arba) tarpusavyje keistis didesniu kiekiu informacijos, vadovaudamosi savo nacionaliniais įstatymais. Tokiu atveju reikėtų atlikti griežtą nacionaline teise paremtą proporcingumo vertinimą (žr. minėtą Sprendimą Schecke) ir, be to, kaip į motyvą atsižvelgti į vidaus rinkos tikslus.

66.

Be to, EDAPP siūlo naudojimąsi šiais įgaliojimais susieti su nacionalinių duomenų apsaugos institucijų atliktinu vaidmeniu, pvz., su jomis konsultuojantis.

67.

Galiausiai EDAPP pabrėžia, kad jeigu būtų numatyta pagal Europos sistemą konkrečiai reikalauti tokių juodųjų sąrašų, tai reikėtų konkrečiai numatyti direktyvoje (25).

68.

EDAPP siūlomoje direktyvoje rekomenduoja konkrečiai numatyti, kad visais atvejais, kai asmens duomenys yra viešai atskleidžiami arba verslo registrai jais keičiasi kitais būdais, būtų numatytos tinkamos garantijos, visų pirma neleidžiančios rinkti duomenų, vykdyti jų gavybos, sujungimo ar perteklinių paieškų, siekiant užtikrinti, kad skaidrumo sumetimais pateikti asmens duomenys nebūtų neteisėtai naudojami papildomiems nesusijusiems tikslams (26).

69.

Visų pirma EDAPP pabrėžia poreikį apsvarstyti technologines ir organizacines priemones laikantis principo, kad privatumas užtikrinamas projektuojant (žr. šios nuomonės 3.14 skyrių). Šios garantijos gali būti praktiškai įgyvendinamos deleguotaisiais teisės aktais. Tačiau principus reikėtų nustatyti pačioje siūlomoje direktyvoje.

70.

EDAPP rekomenduoja į siūlomą direktyvą įtraukti konkrečią nuostatą, kurioje būtų reikalaujama informaciją pagal Direktyvos 95/46/EB 10 ir 11 straipsnius (ir atitinkamas Reglamento (EB) Nr. 45/2001 nuostatas, jei taikytina) duomenų subjektams teikti tinkamai ir išsamiai. Be to, atsižvelgiant į suderintiną valdymo struktūrą ir įvairių susijusių asmenų vaidmenis ir įsipareigojimus, siūlomoje direktyvoje gali būti konkrečiai reikalaujama, kad sistemos operatorius imtųsi iniciatyvos teikti pranešimus ir kitą informaciją duomenų subjektams savo interneto svetainėje, taip pat verslo registrų „vardu“. Prireikus papildomą reglamentavimą galima numatyti deleguotuosiuose teisės aktuose arba nustatyti duomenų apsaugos politikoje.

71.

Pasiūlyme turėtų būti bent nurodytas reikalavimas sukurti tvarką (deleguotuosiuose teisės aktuose), kad duomenų subjektai galėtų naudotis savo teisėmis. Be to, reikėtų nurodyti galimybę sukurti duomenų apsaugos modulį ir privatumo užtikrinimo projektuojant sprendimų galimybę, kad institucijos galėtų bendradarbiauti dėl prieigos teisių, taip pat, jei taikytina, „teisių duomenų subjektams suteikimo“.

72.

Turint omenyje tai, kad Komisija ar kita ES institucija arba įstaiga taip pat gali tvarkyti asmens duomenis elektroniniame tinkle (pvz., veikdama kaip tinklo operatorė arba atkurdama iš jo asmens duomenis), reikėtų pateikti nuorodą į Reglamentą (EB) Nr. 45/2001.

73.

Be to, reikėtų patikslinti, kad Direktyva 95/46/EB taikoma verslo registrams ir kitiems pagal savo nacionalinę teisę valstybėse narėse veikiantiems asmenims, o Reglamentas (EB) Nr. 45/2001 taikomas Komisijai ir kitoms ES institucijoms ir įstaigoms.

74.

Dėl ES esančio verslo registro valdytojo atliekamo asmens duomenų perdavimo trečiojoje šalyje, neužtikrinančioje tinkamo asmens duomenų apsaugos lygio, esančiam verslo registro valdytojui EDAPP visų pirma pabrėžia, kad svarbu skirti du atvejus:

75.

Pirmuoju atveju Direktyvos 95/46/EB 26 straipsnio 1 dalies f punkte leidžiama išimtis, kai „duomenys perduodami iš registro“ laikantis tam tikrų sąlygų. Pavyzdžiui, jeigu verslo registro Europos šalyje valdytojas nori trečiojoje šalyje esančio verslo registro valdytojui perduoti konkretų asmens duomenų rinkinį (pvz., susijusį su užsienio filialų registracija) ir tie patys duomenys jau yra viešai prieinami, bet kuriuo atveju perdavimas turėtų būti įmanomas, net jei atitinkama trečioji šalis neužtikrina tinkamo apsaugos lygio.

76.

Antruoju atveju EDAPP rekomenduoja pasiūlyme patikslinti, kad viešai neprieinami duomenys tinkamo apsaugos lygio neužtikrinančios trečiosios šalies subjektams ar asmenims galėtų būti perduodami tik tuo atveju, jeigu duomenų valdytojas pateikia tinkamas asmenų privatumo ir pagrindinių teisių bei laisvių apsaugos ir atitinkamų teisių įgyvendinimo garantijas. Šios garantijos visų pirma galėtų būti numatytos sutarčių, sudarytų remiantis Direktyvos 95/46/EB 26 straipsnio 2 dalimi (27), nuostatose. Jeigu toks duomenų perdavimas trečiosioms šalims nuolat susijęs su duomenimis, kuriais tarpusavyje keičiasi dviejų ar daugiau ES šalių verslo registrai arba jeigu kitais atvejais yra pageidaujami veiksmai ES lygmeniu, derėtis dėl sutarčių nuostatų būtų galima ir ES lygmeniu (26 straipsnio 4 dalis).

77.

EDAPP pabrėžia, kad kitomis leidžiančiomis nukrypti nuostatomis, kaip antai nuostata (26 straipsnio d punktas), pagal kurią „duomenis perduoti būtina arba įstatymų numatyta dėl svarbių visuomenės interesų arba norint nustatyti, įvykdyti ar apginti teisinius ieškinius“, neturėtų būti naudojamasi nuolatiniam duomenų perdavimui į trečiąsias šalis naudojant elektroninį tinklą pateisinti.

78.

EDAPP rekomenduoja pasiūlyme konkrečiai nurodyti ir siekti įgyvendinti atskaitingumo principą (28), nustatyti aiškią tinkamų vidaus mechanizmų ir kontrolės sistemą, skirtą duomenų apsaugos reikalavimų laikymuisi užtikrinti, ir būtų pateikiami įrodymai, kad jų laikomasi, kaip antai:

79.

Kalbant apie privatumo užtikrinimą projektuojant (29), reikėtų pasiūlyme konkrečiai nurodyti šį principą, be to, įgyvendinti jį konkrečiais veiksmais. Visų pirma pasiūlyme reikėtų numatyti, kad elektroninis tinklas būtų sukurtas saugiai ir patikimai, įdiegiant įvairias numatytąsias privatumo garantijas. Kelios galimos privatumo užtikrinimo projektuojant garantijos apima:

80.

EDAPP pritaria pasiūlymo tikslams. Jo pastabas reikėtų vertinti atsižvelgiant į šį konstruktyvų požiūrį.

81.

EDAPP pabrėžia, kad būtinos duomenų apsaugos garantijos turėtų būti aiškiai ir konkrečiai numatytos pačios direktyvos tekste, nes jis laiko jas esminiais dalykais. Deleguotuosiuose teisės aktuose būtų galima numatyti papildomas nuostatas, susijusias su konkrečių garantijų įgyvendinimu.

82.

Siūlomoje direktyvoje reikėtų reglamentuoti valdymo, vaidmenų, kompetencijos ir įsipareigojimų klausimus. Šiuo tikslu siūlomoje direktyvoje reikėtų nustatyti:

83.

Bet kokia naudojant elektroninį tinklą vykdoma duomenų tvarkymo veikla turėtų būti pagrįsta privalomu teisės aktu, pvz., konkrečiu ES teisės aktu, priimtu remiantis patikimu teisiniu pagrindu. Tai reikėtų aiškiai nurodyti siūlomoje direktyvoje.

84.

Reikėtų patikslinti nuostatas dėl taikytinos teisės ir įtraukti nuorodą į Reglamentą (EB) Nr. 45/2001.

85.

Kalbant apie asmens duomenų perdavimą į trečiąsias šalis, pasiūlyme reikėtų patikslinti, kad iš esmės, išskyrus atvejus, kuriems taikomas Direktyvos 95/46/EB 26 straipsnio 1 dalies f punktas, duomenys tinkamo apsaugos lygio neužtikrinančios trečiosios šalies subjektams ar asmenims galėtų būti perduodami tik tuo atveju, jeigu duomenų valdytojas pateikia tinkamas asmenų privatumo ir pagrindinių teisių bei laisvių apsaugos ir atitinkamų teisių įgyvendinimo garantijas. Šios garantijos visų pirma galėtų būti numatytos atitinkamose sutarčių, sudarytų remiantis Direktyvos 95/46/EB 26 straipsnio 2 dalimi, nuostatose.

86.

Be to, Komisija turėtų atidžiai įvertinti, kokių techninių ir organizacinių priemonių imtis, kad būtų užtikrinta, kad privatumas ir duomenų apsauga būtų „projektuojant įdiegti“ į elektroninio tinklo struktūrą (privatumo užtikrinimas projektuojant) ir kad būtų nustatytos tinkamos kontrolės priemonės, skirtos duomenų apsaugos reikalavimų laikymuisi ir to įrodymų pateikimui užtikrinti (atskaitingumas).

87.

Kitos EDAPP pateikiamos rekomendacijos:

26.7.2011   

LT

Europos Sąjungos oficialusis leidinys

C 220/12

26.7.2011   

LT

Europos Sąjungos oficialusis leidinys

C 220/16

26.7.2011   

LT

Europos Sąjungos oficialusis leidinys

C 220/17