EIROPAS KOMISIJA

Briselē, 24.6.2020

SWD(2020) 115 final

KOMISIJAS DIENESTU DARBA DOKUMENTS

[…]

Pavaddokuments dokumentam

KOMISIJAS PAZIŅOJUMS EIROPAS PARLAMENTAM UN PADOMEI

Datu aizsardzība kā iedzīvotāju tiesību nodrošināšanas un ES digitālās pārkārtošanās pīlārs – Vispārīgās datu aizsardzības regulas piemērošanas divi gadi

{COM(2020) 264 final}

Saturs

1    Konteksts    

2    VDAR izpildes panākšana un sadarbības un konsekvences mehānismu darbība    

2.1    Datu aizsardzības iestāžu pastiprināto pilnvaru izmantošana    

Specifiskas publiskā sektora problēmas    

Sadarbība ar citiem regulatoriem    

2.2    Sadarbības un konsekvences mehānismi    

Vienas pieturas aģentūra    

Savstarpēja palīdzība    8

Konsekvences mehānisms    8

Risināmās problēmas    9

2.3    Ieteikumi un pamatnostādnes    10

Informētības uzlabošana un ieteikumi no datu aizsardzības iestādēm    10

Eiropas Datu aizsardzības kolēģijas pamatnostādnes    11

2.4    Datu aizsardzības iestāžu resursi    12

3    Saskaņoti noteikumi, bet joprojām noteikta sadrumstalotība un atšķirīgas pieejas    14

3.1    VDAR īstenošana dalībvalstīs    14

Galvenās ar īstenošanu valsts līmenī saistītās problēmas    15

Tiesību uz personas datu aizsardzību un tiesību uz vārda un informācijas brīvību saskaņošana    16

3.2    Neobligātās konkretizēšanas klauzulas un to robežas    17

Sadrumstalotība saistīta ar neobligāto konkretizēšanas klauzulu izmantošanu    17

4    Iespēju došana personām kontrolēt to datus    19

5    Organizāciju, jo īpaši mazo un vidējo uzņēmumu, iespējas un problēmas    22

Rīkkopa uzņēmumiem    24

6    VDAR piemērošana jaunām tehnoloģijām    26

7    Starptautiskā nosūtīšana un globālā sadarbība    28

7.1    Privātums — globāla problēma    28

7.2    VDAR nosūtīšanas rīkkopa    29

Lēmumi par aizsardzības līmeņa pietiekamību    31

Atbilstošas garantijas    35

Atkāpes    41

Ārvalstu tiesu vai iestāžu lēmumi — nav pamats nosūtīšanai    42

7.3    Starptautiskā sadarbība datu aizsardzības jomā    44

Divpusējā dimensija    44

Multilaterālā dimensija    46

I pielikums. Neobligātās konkretizēšanas klauzulas valstu tiesību aktos

II pielikums. Datu aizsardzības iestāžu resursu pārskats

1Konteksts

Vispārīgā datu aizsardzības regula 1 (turpmāk tekstā — “VDAR”) tika pieņemta pēc 8 gadu sagatavošanas darba, regulas projekta izstrādes un iestāžu sarunām, un 2018. gada 25. maijā pēc 2 gadu pārejas perioda (no 2016. gada maija līdz 2018. gada maijam) sākās regulas piemērošana. Saskaņā ar VDAR 97. pantu Komisija 2 gadus pēc tās piemērošanas sākuma datuma un pēc tam reizi 4 gados iesniedz novērtējuma un pārskata ziņojumus par šo regulu.

Šis novērtējums ir arī daļa no tās daudzpusīgās pieejas, ko Komisija īstenoja jau pirms VDAR piemērošanas sākuma un ko tā ir turpinājusi aktīvi izmantot arī pēc tam. Šīs pieejas ietvaros Komisija ir iesaistījusies pastāvīgā divpusējā dialogā ar dalībvalstīm par valstu tiesību aktu atbilstību VDAR, kā arī aktīvi sniegusi ieguldījumu Eiropas Datu aizsardzības kolēģijas (turpmāk tekstā — “kolēģija”) darbā, piedāvājot savu pieredzi un zināšanas, atbalstījusi datu aizsardzības iestādes un uzturējusi ciešu saziņu ar plašu dažādu ieinteresēto personu loku saistībā ar regulas praktisko piemērošanu.

Šis novērtējums pamatojas uz Komisijas izvērtējumu par VDAR piemērošanas pirmo gadu, kura rezultāti ir apkopoti 2019. gada jūlija paziņojumā 2 . Tas arī seko 2018. gada janvāra paziņojumam par VDAR piemērošanu 3 . Komisija ir arī pieņēmusi Komisijas vadlīnijas par Savienības datu aizsardzības regulējuma piemērošanu vēlēšanu kontekstā, kas tika publicētas 2018. gada septembrī, kā arī Norādījumus par lietotnēm, kas sniedz atbalstu cīņā pret Covid-19 pandēmiju saistībā ar datu aizsardzību, kas pieņemti 2020. gada aprīlī.

Lai gan tas īpaši pievēršas diviem jautājumiem, kas izcelti VDAR 97. panta 2. punktā, proti, datu starptautiskai nosūtīšanai un sadarbības un konsekvences mehānismiem, šajā novērtējumā ir izmantota plašāka pieeja, lai risinātu jautājumus, kurus pēdējo 2 gadu laikā ir uzdevušas dažādas personas.

Lai sagatavotu izvērtējumu, Komisija ir ņēmusi vērā šādu organizāciju ieguldījumu:

·Padome 4 ;

·Eiropas Parlaments (Pilsoņu brīvību, tieslietu un iekšlietu komiteja) 5 ;

·Kolēģija 6 un atsevišķas datu aizsardzības iestādes 7 , pamatojoties uz Komisijas nosūtīto aptauju;

·daudzpusējās ieinteresēto personu ekspertu grupas VDAR piemērošanas atbalstam 8 dalībnieku atsauksmes, arī pamatojoties uz Komisijas nosūtīto aptauju;

·un no ieinteresētajām personām saņemtais ad hoc ieguldījums.

2VDAR izpildes panākšana un sadarbības un konsekvences mehānismu darbība

Ar VDAR palīdzību tika radīta novatoriska pārvaldības sistēma un izveidots pamats patiesai Eiropas līmeņa datu aizsardzības kultūrai, kuras mērķis ir panākt ne tikai datu aizsardzības noteikumu saskaņotu interpretēšanu, bet arī to saskaņotu piemērošanu un izpildes panākšanu. Tās pīlāri ir neatkarīgas datu valsts aizsardzības iestādes un jaunizveidotā kolēģija.

Tā kā datu aizsardzības iestādes ir ļoti svarīgas visas ES datu aizsardzības sistēmas darbībai, Komisija rūpīgi uzrauga to faktisko neatkarību, tostarp attiecībā uz pienācīgu finanšu, tehnisko un cilvēkresursu pieejamību.

Ņemot vērā līdz šim uzkrāto mazo pieredzi, vēl ir par agru pilnībā novērtēt sadarbības un konsekvences mehānisma darbību 9 . Turklāt datu aizsardzības iestādes vēl nav izmantojušas visus VDAR paredzētos instrumentus, lai vēl vairāk uzlabotu savu sadarbību.

2.1Datu aizsardzības iestāžu pastiprināto pilnvaru izmantošana

Ar VDAR tiek izveidotas neatkarīgas datu aizsardzības iestādes, kā arī tām tiek piešķirtas saskaņotas un plašākas izpildes panākšanas pilnvaras. Kopš VDAR piemērošanas sākuma datuma šīs iestādes ir izmantojušas plašu klāstu korektīvu pilnvaru, kas tām noteiktas šajā regulā, piemēram, administratīvi naudas sodi (22 ES/EEZ iestādes) 10 , brīdinājumi un rājieni (23), rīkojumi izpildīt datu subjekta pieprasījumus (26), rīkojumi nodrošināt apstrādes darbību atbilstību VDAR (27) un rīkojumi labot, dzēst vai ierobežot apstrādi (17). Aptuveni puse no visām datu aizsardzības iestādēm (13) ir piemērojušas pagaidu vai pastāvīgus apstrādes ierobežojumus, tostarp aizliegumus. Tas pierāda, ka visi VDAR paredzētie korektīvie pasākumi tiek apzināti piemēroti. Atkarībā no atsevišķu lietu apstākļiem datu aizsardzības iestādes izmantoja arī iespēju piemērot administratīvus naudas sodus kā papildu korektīvo pasākumu vai citu korektīvo pasākumu vietā.

VDAR panākumi nav jāmēra piemēroto naudas sodu skaitā, jo VDAR paredz plašāku korektīvo pilnvaru klāstu. Piemēram, atkarībā no apstākļiem datu apstrādes aizliegums vai datu aprites apturēšana var būt daudz iedarbīgāks atturošs pasākums.

Specifiskas publiskā sektora problēmas

VDAR ļauj dalībvalstīm noteikt, vai un kādā mērā administratīvos naudas sodus var piemērot publiskām iestādēm un organizācijām. Ja dalībvalstis izvēlas šādu iespēju, datu aizsardzības iestādes joprojām var izmantot visas parējās korektīvās pilnvaras attiecībā uz publiskām iestādēm un struktūrām 12 .

Vēl viena specifiska problēma ir tiesu uzraudzība. Lai gan VDAR ir piemērojama tiesu darbībai, datu aizsardzības iestādes neuzrauga tiesas, kad tiesu iestādes pilda savus uzdevumus. Tomēr atbilstoši hartai un LESD dalībvalstīm ir pienākums uzticēt šādu apstrādes darbību uzraudzību neatkarīgai tiesu sistēmas iestādei 13 .

Sadarbība ar citiem regulatoriem

Kā norādīts Komisijas 2019. gada jūlija paziņojumā, Komisija atbalsta mijiedarbību ar citiem regulatoriem, pilnībā ievērojot attiecīgās pilnvaras. Daudzsološas sadarbības jomas ietver patērētāju tiesību aizsardzību un konkurenci. Kolēģija ir apliecinājusi savu gatavību sadarboties ar citiem regulatoriem — jo īpaši saistībā ar koncentrāciju digitālajos tirgos 14 . Komisija ir atzinusi privātuma un datu aizsardzības nozīmi, uzskatot to par kvalitatīvu konkurences parametru 15 . Kopā ar Patērētāju tiesību aizsardzības tīkla pārstāvjiem kolēģijas dalībnieki ir piedalījušies kopējos darbsemināros par ES patērētāju tiesību un datu aizsardzības tiesību aktu labāku izpildes panākšanu. Šī pieeja tiks īstenota, lai sekmētu vienotu izpratni un rastu praktiskus risinājumus to konkrēto problēmu risināšanai, ar ko saskaras patērētāji (jo īpaši digitālajā ekonomikā).

Lai nodrošinātu konsekventu pieeju privātuma un datu aizsardzībai, kā arī, kamēr nav pieņemta E-privātuma regula, cieša sadarbība ar iestādēm, kuras atbildīgas par E-privātuma direktīvas 16 jeb elektronisko sakaru lex specialis īstenošanu, ir ļoti svarīga. Ciešāka sadarbība ar iestādēm, kuras pilnvarotas rīkoties atbilstoši TID direktīvai 17 , un ar TID sadarbības grupu nāktu par labu gan šīm, gan arī datu aizsardzības iestādēm.

2.2Sadarbības un konsekvences mehānismi

Ar VDAR tika izveidots sadarbības mehānisms (vienas pieturas aģentūras sistēma operatoriem, kopīgas operācijas un datu aizsardzības iestāžu savstarpējā palīdzība) un konsekvences mehānisms, lai sekmētu datu aizsardzības noteikumu vienotu piemērošanu, izmantojot konsekventu interpretāciju un iestāžu iespējamo nesaskaņu risināšanu kolēģijā.

Uzaicinot visas datu aizsardzības iestādes, kolēģija ir tikusi izveidota kā ES iestāde, kurai ir juridiska personība, kura ir pilnībā darboties spējīga un kuru atbalsta sekretariāts 18 . Kolēģija ir ļoti svarīga divu iepriekšminēto mehānismu darbībai. Līdz 2019. gada beigām kolēģija bija pieņēmusi 67 dokumentus, tostarp 10 jaunas pamatnostādnes 19 un 43 atzinumus 20 21 .

Kolēģijas nozīmīgā loma kļuva acīmredzama, kad bija ātri jāsniedz konsekvents VDAR skaidrojums un jārod nekavējoties piemērojami risinājumi ES līmenī. Piemēram, Covid-19 uzliesmojuma kontekstā 2020. gada martā kolēģija pieņēma paziņojumu par personas datu apstrādi, kur cita starpā bija apskatīts apstrādes likumīgums un mobilo ierīču atrašanās vietas datu izmantošana minētajā kontekstā 22 . Savukārt 2020. gada aprīlī tā pieņēma pamatnostādnes par veselības datu apstrādi zinātniskās pētniecības nolūkos saistībā ar Covid-19 uzliesmojumu  23 un pamatnostādnes par atrašanās vietas datu un kontaktu izsekošanas rīku izmantošanu saistībā ar Covid-19 uzliesmojumu 24 . Kolēģija ir arī devusi ievērojamu ieguldījumu Komisijas un dalībvalstu veiktās ES pieejas izstrādē attiecībā uz izsekošanas lietotnēm.

Datu aizsardzības iestāžu ikdienas sadarbība, rīkojoties individuāli vai kolēģijas dalībnieku lomā, pamatojas uz informācijas apmaiņu un ziņošanu par iestāžu uzsāktajām lietām. Lai sekmētu iestāžu saziņu, Komisija ir sniegusi ievērojamu atbalstu, nodrošinot tām informācijas apmaiņas sistēmu 25 . Vairums iestāžu uzskata, ka tā ir pielāgota sadarbības un konsekvences mehānismu vajadzībām, lai gan šo sistēmu ir iespējams vēl vairāk uzlabot, piemēram, padarot to vieglāk lietojamu.

Lai gan ir pagājis maz laika, jau var noteikt vairākus sasniegumus un problēmas, kas ir izklāstītas tālāk tekstā. Tās liecina, ka līdz šim datu aizsardzības iestādes ir efektīvi izmantojušas sadarbības instrumentus, dodot priekšroku elastīgākiem risinājumiem.

Vienas pieturas aģentūra

Pārrobežu lietās dalībvalsts datu aizsardzības iestāde parasti var iesaistīties kā i) vadošā iestāde, kad ekonomikas dalībnieka galvenā uzņēmējdarbības vieta atrodas attiecīgajā dalībvalstī, vai kā ii) attiecīgā iestāde, ja ekonomikas dalībniekam ir darbības vieta šīs dalībvalsts teritorijā, ja ir būtiski skartas šīs dalībvalsts iedzīvotāju intereses vai ja šai iestādei ir iesniegta sūdzība.

Šāda cieša sadarbība ir kļuvusi par ikdienas praksi — kopš VDAR piemērošanas datuma visu dalībvalstu datu aizsardzības iestādes kādā brīdī ir tikušas atzītas par pārrobežu lietu vadošajām iestādēm vai attiecīgajām iestādēm, lai gan dažādā mērā.

Laikposmā no 2018. gada 25. maija līdz 2019. gada 31. decembrim, izmantojot vienas pieturas aģentūras procedūru, tika iesniegts 141 lēmuma projekts, kā rezultātā tika pieņemti 79 galīgie lēmumi. Šā ziņojuma publicēšanas datumā vēl nav pieņemti vairāki svarīgi lēmumi ar pārrobežu elementu, kuru gadījumā tiek izmantots vienas pieturas aģentūras mehānisms. Daži no šiem lēmumiem ir saistīti ar lieliem starptautiskiem tehnoloģiju uzņēmumiem 27 . Tiek paredzēts, ka šie lēmumi skaidros situāciju un palīdzēs labāk saskaņot VDAR interpretāciju.

Savstarpēja palīdzība

Datu aizsardzības iestādes ir plaši izmantojušas savstarpējās palīdzības instrumentu.

Absolūti lielākā daļa datu aizsardzības iestāžu uzskata, ka savstarpējā palīdzība ir ļoti noderīgs sadarbības instruments, un nav saskārušās ar kādiem īpašiem šķēršļiem, izmantojot savstarpējās palīdzības procedūru. Brīvprātīgā savstarpējās palīdzības apmaiņa, kad nav noteikts juridisks termiņš vai stingrs pienākums atbildēt, ir tikusi izmantota daudz biežāk — 2427 gadījumos. Īrijas datu aizsardzības iestāde ir nosūtījusi un saņēmusi visvairāk savstarpējās palīdzības pieprasījumu (527 nosūtītie pieprasījumi un 359 saņemtie pieprasījumi), kam sekoja Vācijas iestādes (260 nosūtītie pieprasījumi/356 saņemtie pieprasījumi).

Taču vēl nav notikušas kopīgās operācijas 30 , kas ļautu vairāku dalībvalstu datu aizsardzības iestādēm iesaistīties pārrobežu lietu izmeklēšanas līmenī. Kolēģijā joprojām tiek apspriests, kā praktiski izmantot šo instrumentu un kā sekmēt tā lietošanu.

Konsekvences mehānisms

Līdz šim ir izmantota tikai pirmā konsekvences mehānisma daļa, proti, kolēģijas atzinumu pieņemšana 31 . Vēl nav notikusi strīdu risināšana kolēģijas līmenī 32 vai izmantota steidzamības procedūra 33 .

Risināmās problēmas

Lai gan datu aizsardzības iestādes ir ļoti aktīvi sadarbojušās kolēģijā un jau plaši izmanto savstarpējās palīdzības sadarbības instrumentu, joprojām notiek patiesi kopējas datu aizsardzības kultūras izveide.

Jo īpaši pārrobežu lietu gadījumā ir vajadzīga efektīvāka un saskaņotāka pieeja un visu VDAR paredzēto sadarbības rīku labāka izmantošana. Attiecībā uz šo jautājumu pastāv plaša vienprātība, jo par to dažādos veidos ir spriedis Eiropas Parlaments, Padome, Eiropas Datu aizsardzības uzraudzītājs, ieinteresētās personas (daudzpusējā ieinteresēto persona grupa un citas personas), kā arī datu aizsardzības iestādes.

Galvenās šajā kontekstā risināmās problēmas ietver atšķirības šādos jautājumos:

·valsts administratīvās procedūras, jo īpaši attiecībā uz sūdzību risināšanas procedūrām, sūdzību pieņemamības kritērijiem, procesu ilgumu dažādu grafiku dēļ vai termiņu neesamības dēļ, brīdi procesa laikā, kad tiek piešķirtas tiesības tikt uzklausītam, informāciju un sūdzības iesniedzēju iesaisti procesa laikā;

·ar sadarbības mehānismu saistītu jēdzienu skaidrošana, piemēram, būtiskā informācija, jēdzieni “nekavējoties” un “sūdzība”, dokuments, kas tiek definēts kā vadošās datu aizsardzības iestādes “lēmuma projekts”, izlīgums (jo īpaši procedūra, kuras rezultātā tiek panākts izlīgums, un šāda izlīguma juridiskā forma); un

·pieeja, lai noteiktu brīdi, kad uzsākt sadarbības procedūru, iesaistīt attiecīgās datu aizsardzības iestādes un paziņot tām informāciju. Vairāki daudzpusējās ieinteresēto personu grupas dalībnieki arī ir norādījuši, ka sūdzības iesniedzējiem nav skaidrs, kā pārrobežu situācijās tiek risinātas viņu lietas. Turklāt uzņēmumu pārstāvji minēja, ka noteiktos gadījumos datu valsts aizsardzības iestādes nenosūtīja lietas vadošajai datu aizsardzības iestādei, bet gan risināja šos gadījumus kā vietējas lietas.

Komisija atbalsta kolēģijas paziņojumu par to, ka tā ir sākusi apsvērt, kā kliedēt šīs bažas. Proti, kolēģija ir norādījusi, ka tā skaidros procesuālās darbības, kas saistītas ar sadarbību starp vadošo datu aizsardzības iestādi un attiecīgajām datu aizsardzības iestādēm, analizēs valstu administratīvās procesuālās tiesības, veidos galveno jēdzienu kopēju interpretāciju un stiprinās saziņu un sadarbību (tostarp kopīgas operācijas). Kolēģijas pārdomu un analīzes rezultātā būtu jāizstrādā efektīvāka sadarbības kārtība pārrobežu lietās 38 , tostarp izmantojot tās dalībnieku pieredzi un zināšanas un pastiprinot sekretariāta iesaisti. Ir arī jānorāda, ka kolēģijas uzdevumu panākt konsekventu VDAR interpretāciju nevar izpildīt, vienkārši atrodot mazāko kopsaucēju.

Visbeidzot, kā ES iestādei kolēģijai ir arī jāievēro ES administratīvās tiesības un jānodrošina lēmumu pieņemšanas procesa pārredzamība.

2.3Ieteikumi un pamatnostādnes

Informētības uzlabošana un ieteikumi no datu aizsardzības iestādēm

Vairākas datu aizsardzības iestādes izveidoja jaunus rīkus, piemēram, palīdzības līnijas iedzīvotājiem un uzņēmumiem, kā arī rīkkopas uzņēmumiem 39 . Daudzi operatori atbalsta pragmatismu, kādu šīs iestādes ir izrādījušas, palīdzot piemērot VDAR. Dažas ir jo īpaši aktīvi un cieši sadarbojušās un sazinājušās ar datu aizsardzības speciālistiem, tostarp ar datu aizsardzības speciālistu asociāciju starpniecību. Daudzas iestādes ir arī nākušas klajā ar pamatnostādnēm, kurās apskatīta datu aizsardzības speciālistu loma un pienākumi, lai palīdzētu tiem ikdienas darbību veikšanā, kā arī ir organizējušas īpaši datu aizsardzības speciālistiem paredzētus seminārus. Tomēr ne visas datu aizsardzības iestādes ir šādi rīkojušās.

No ieinteresētajām personām saņemtās atsauksmes arī liecina, ka pastāv vairākas ar norādījumiem un ieteikumiem saistītas problēmas:

·datu valsts aizsardzības iestādēm vai pat datu aizsardzības iestādēm vienā dalībvalstī (piemēram, Vācijā saistībā ar pārziņa un apstrādātāja jēdzieniem) nav konsekventas pieejas un norādījumu par noteiktiem jautājumiem (piemēram, par sīkdatnēm 40 , atsaukšanos uz leģitīmām interesēm, datu aizsardzības pārkāpumu paziņojumiem vai datu aizsardzības ietekmes novērtējumiem);

·starp valsts līmenī pieņemtām pamatnostādnēm un kolēģijas pamatnostādnēm pastāv pretrunas;

·noteiktām valsts līmenī pieņemtām pamatnostādnēm nav veikta sabiedriskā apspriešana;

·datu aizsardzības iestādēm ir dažāds sadarbības līmenis ar ieinteresētajām personām;

·kavēta atbilžu sniegšana uz informācijas pieprasījumiem;

·grūtības saņemt praktiskus un noderīgus ieteikumus no datu aizsardzības iestādēm;

·vajadzība palielināt īpašo zināšanu par nozarēm līmeni dažās datu aizsardzības iestādēs (piemēram, par veselības aprūpes un farmaceitisko nozari).

Vairākas no šīm problēmām ir arī saistītas ar resursu trūkumu dažās datu aizsardzības iestādēm (sk. tālāk).

Eiropas Datu aizsardzības kolēģijas pamatnostādnes

Līdz šim kolēģija ir pieņēmusi vairāk nekā 20 pamatnostādnes, aptverot galvenos VDAR aspektus 43 . Šīs pamatnostādnes ir ļoti svarīgs rīks konsekventai VDAR piemērošanai, un tāpēc tās lielā mērā ir atbalstījušas ieinteresētās personas. Šīs personas augstu vērtē sistemātiskās sabiedriskās (6-8 nedēļas) apspriešanas. Tomēr tās vēlas plašāku dialogu ar kolēģiju. Šajā kontekstā ir jāturpina un jāpastiprina mērķtiecīgi izvēlētiem jautājumiem veltītu darbsemināru organizēšana pirms pamatnostādņu izstrādes, lai nodrošinātu pārredzamību, iekļaušanu un kolēģijas darba būtiskumu. Ieinteresētās personas arī lūdz, lai pamatnostādnēs (nevis atzinumos atbilstoši VDAR 64. panta 2. punktam) tiktu apskatīta visstrīdīgāko jautājumu interpretācija, jo par pamatnostādnēm tiek organizēta sabiedriskā apspriešana. Dažas ieinteresētās personas aicināja izstrādāt praktiskākas pamatnostādnes, sīki izklāstot VDAR jēdzienu un noteikumu piemērošanu 44 . Daudzpusējās ieinteresēto personu grupas dalībnieki uzsver vajadzību sniegt konkrētākus piemērus, lai pēc iespējas mazinātu atšķirīgas interpretācijas iespējas dažādās datu aizsardzības iestādēs. Vienlaikus pieprasījumu skaidrot VDAR piemērošanu un nodrošināt juridisko noteiktību rezultātā nevajadzētu noteikt papildu prasības vai mazināt uz risku balstītās pieejas un pārskatatbildības principa priekšrocības.

Ieinteresētās personas vēlas papildu kolēģijas pamatnostādnes par šādiem jautājumiem: datu subjektu tiesību darbības joma (tostarp nodarbinātības kontekstā); jauninājumi atzinumā par uz leģitīmām interesēm balstītu apstrādi; pārziņa, kopīga pārziņa un apstrādātāja jēdzieni, un vajadzīgā pušu vienošanās par kārtību 45 ; VDAR piemērošana jaunajām tehnoloģijām (piemēram, blokķēdēm un mākslīgajam intelektam); apstrāde zinātniskās pētniecības kontekstā (tostarp saistībā ar starptautisko sadarbību); bērnu datu apstrāde; pseidonimizācija un anonimizācija; un datu par veselības stāvokli apstrāde.

Kolēģija jau ir norādījusi, ka tā sagatavos pamatnostādnes par daudziem no šiem jautājumiem un ka dažos gadījumos darbs jau ir sākts (piemēram, par leģitīmo interešu izmantošanu kā apstrādes juridisko pamatu).

Ieinteresētās personas lūdz kolēģiju attiecīgos gadījumos atjaunināt un pārskatīt esošās pamatnostādnes, ņemot vērā pieredzi, kas apkopota kopš to publicēšanas un izmantojot iespēju pēc vajadzības sniegt detalizētāku informāciju.

2.4Datu aizsardzības iestāžu resursi

Visu datu aizsardzības iestāžu nodrošināšana ar vajadzīgajiem cilvēku, tehniskajiem un finanšu resursiem, telpām un infrastruktūru ir priekšnoteikums efektīvai to uzdevumu izpildei un pilnvaru īstenošanai, un tāpēc tas ir būtisks to neatkarības priekšnosacījums 46 .

Kopš VDAR stāšanās spēkā 2016. gadā vairumam datu aizsardzības iestāžu ir piešķirts vairāk darbinieku un resursu 47 . Tomēr daudzas no šīm iestādēm joprojām ziņo, ka tām nav pietiekami resursu 48 .

Tabulā II pielikumā ir sniegts pārskats par datu valsts aizsardzības iestāžu cilvēku un budžeta resursiem.

Resursu trūkums ietekmē ne tikai datu aizsardzības iestāžu spēju panākt noteikumu izpildi valsts līmenī, bet arī spēju piedalīties un sniegt ieguldījumu sadarbības un konsekvences mehānismu darbībā, kā arī kolēģijas veiktajā darbā. Kā norādīja kolēģija, vienas pieturas aģentūras mehānisma sekmes ir atkarīgas no laika un centieniem, ko datu aizsardzības iestādes var veltīt, lai apstrādātu atsevišķas pārrobežu lietas un sadarbotos saistībā ar tām. Resursu trūkumu problēmu saasina lielāka iestāžu loma tādu liela mēroga IT sistēmu uzraudzībā, kas pašlaik tiek izstrādātas. Turklāt datu aizsardzības iestādēm Īrijā un Luksemburgā ir īpašas vajadzības saistībā ar resursiem, ņemot vērā to kā vadošo iestāžu lomu VDAR izpildes panākšanā attiecībā uz lielajiem tehnoloģiju uzņēmumiem, kas galvenokārt atrodas šajās dalībvalstīs.

Lai gan Padome ir norādījusi uz sadarbības mehānisma un tā termiņu ietekmi uz datu aizsardzības iestāžu darbu 50 , VDAR uzliek dalībvalstīm par pienākumu nodrošināt to datu aizsardzības iestādēm pienācīgus cilvēku, finanšu un tehniskos resursus 51 .

Kolēģijas sekretariāts, ko nodrošina Eiropas datu aizsardzības uzraudzītājs 52 , pašlaik sastāv no 20 darbiniekiem, tostarp juridiskajiem, IT un saziņas ekspertiem. Jānovērtē, vai nākotnē šis skaitlis būtu jāpalielina, lai efektīvi pildītu savu uzdevumu sniegt analītisku, administratīvu un loģistikas atbalstu kolēģijai un tās apakšgrupām, tostarp pārvaldot informācijas apmaiņas sistēmu.

3Saskaņoti noteikumi, bet joprojām noteikta sadrumstalotība un atšķirīgas pieejas 

VDAR paredz konsekventu pieeju datu aizsardzības noteikumiem visā ES, aizstājot dažādus valsts regulējuma režīmus, kas pastāvēja atbilstoši 1995. gada Datu aizsardzības direktīvai.

3.1VDAR īstenošana dalībvalstīs

VDAR ir tieši piemērojama visās dalībvalstīs kopš 2018. gada 25. maija. Saskaņā ar regulu dalībvalstīm ir jāpieņem tiesību akti, jo īpaši lai izveidotu datu valsts aizsardzības iestādes un paredzētu nosacījumus to dalībniekiem nolūkā nodrošināt, ka visas iestādes rīkojas pilnīgi neatkarīgi, izpildot savus uzdevumus un izmantojot savas pilnvaras atbilstoši VDAR. Juridiski pienākumi un publiski uzdevumi var kalpot par personas datu apstrādes juridisko pamatu tikai tad, ja tie ir noteikti (Savienības) vai valsts tiesību aktos. Turklāt dalībvalstīs ir jāparedz noteikumi par sodiem, jo īpaši attiecībā uz pārkāpumiem, kuru gadījumā nepiemēro administratīvus naudas sodus, kā arī jāsaskaņo tiesības uz personas datu aizsardzību ar tiesībām uz vārda un informācijas brīvību. Valsts tiesību aktos var arī paredzēt juridisko pamatu atkāpei no vispārēja aizlieguma veikt īpašu personas datu kategoriju apstrādi, piemēram, būtiskas sabiedrības intereses sabiedrības veselības jomā, tostarp aizsardzība pret nopietniem pārrobežu veselības apdraudējumiem. Dalībvalstīm arī jānodrošina sertifikācijas struktūru akreditācija.

Komisija pārrauga VDAR ieviešanu valstu tiesību aktos. Šā ziņojuma sagatavošanas laikā visas dalībvalstis, izņemot Slovēniju, bija pieņēmušas jaunus datu aizsardzības tiesību aktus vai pielāgojušas savus tiesību aktus šajā jomā. Tāpēc Komisija aicināja Slovēniju sniegt skaidrojumu par līdz šim panākto progresu, kā arī uzstājīgi lūdza pabeigt šo procesu 53 .

Komisijas koordinētā Šengenas izvērtēšanas mehānisma kontekstā tiek arī novērtēta valsts tiesību aktu atbilstība datu aizsardzības noteikumiem saistībā ar Šengenas acquis. Komisija un dalībvalstis kopā novērtē, kā valstis īsteno un piemēro Šengenas acquis vairākās jomās — datu aizsardzības ziņā tas attiecas uz tādām liela mēroga IT sistēmām kā Šengenas informācijas sistēma un Via informācijas sistēma un ietver datu aizsardzības iestāžu lomu, uzraugot personas datu apstrādi šajās sistēmās.

Valstu līmenī joprojām turpinās nozaru tiesību aktu pielāgošanas darbs. Pēc VDAR iekļaušanas Līgumā par Eiropas Ekonomikas zonu tā tiek piemērota arī Norvēģijā, Islandē un Lihtenšteinā. Šīs valstis ir pieņēmušas arī savus valsts līmeņa datu aizsardzības tiesību aktus.

Komisijas izmantos visus tās rīcībā esošos instrumentus, tostarp pārkāpuma procedūras, lai panāktu, ka dalībvalstis ievēro VDAR.

Galvenās ar īstenošanu valsts līmenī saistītās problēmas

Valsts tiesību aktu un divpusējās informācijas apmaiņas ar dalībvalstīm izvērtēšanas laikā līdz šim noteiktās galvenās problēmas ir šādas:

·VDAR piemērošanas ierobežojumi; dažas dalībvalstis, piemēram, pilnībā izslēdz valstu parlamentu darbību;

·atšķirības valstu konkretizācijas tiesību aktu piemērošanā. Dažas dalībvalstis sasaista savu valsts tiesību aktu piemērojamību ar vietu, kur tiek piedāvātas preces vai pakalpojumi, savukārt citas ar pārziņa vai apstrādātāja uzņēmējdarbības vietu. Tas ir pretēji VDAR paredzētajam harmonizācijas mērķim;

·valsts tiesību akti, par kuriem rodas jautājumi attiecībā uz tiesību uz datu aizsardzību aizskāruma samērīgumu. Piemēram, Komisija uzsāka pārkāpuma procedūru pret dalībvalsti, kas pieņēma tiesību aktu, saskaņā ar kuru tiesnešiem bija jāatklāj noteikta informācija par to privātām darbībām, kas pārkāpj tiesības uz privātās dzīves neaizskaramību un personas datu aizsardzību 54 ;

·nav neatkarīgas iestādes, lai uzraudzītu datu apstrādi tiesās, kad tās pilda savus uzdevumus 55 ;

·tiesību akti jomās, kuras pilnībā regulē VDAR, kas pārsniedz paredzētās konkretizēšanas vai ierobežošanas iespējas robežas. Tas jo īpaši attiecas uz gadījum    iem, kad valstu noteikumi ietver nosacījumus apstrādei, kuri pamatojas uz leģitīmajām interesēm, paredzot līdzsvara rašanu starp pārziņa un attiecīgo personu interesēm, lai gan saskaņā ar VDAR katram pārzinim šāds līdzsvars ir jārod individuāli un jāpaļaujas uz šo juridisko pamatu;

·konkretizēšana un papildu prasības, kas ir plašākas nekā apstrāde, lai izpildītu juridisku pienākumu vai publisku uzdevumu (piemēram, videonovērošanai privātajā sektorā vai tiešās tirgvedības vajadzībām), kā arī VDAR izmantotie jēdzieni (piemēram, plašā mērogā vai dzēšana).

Lietās, kuru gadījumā Tiesa vēl nav pieņēmusi lēmumu, daži no šiem jautājumiem var tikt precizēti 56 .

Tiesību uz personas datu aizsardzību un tiesību uz vārda un informācijas brīvību saskaņošana

Konkrēta problēma attiecas uz dalībvalstu pienākumu rast līdzsvaru starp tiesībām uz personas datu aizsardzību un tiesībām uz vārda un informācijas brīvību 57 . Šī problēma ir ļoti sarežģīta, jo, novērtējot līdzsvaru starp šīm pamattiesībām, ir arī jāņem vērā preses un plašsaziņas līdzekļu tiesību aktos iekļautie nosacījumi un garantijas.

Komisija turpinās novērtēt valsts tiesību aktus, pamatojoties uz hartas prasībām. Līdzsvara rašana ir jāparedz tiesību aktos, ievērojot šo pamattiesību būtību, un tai ir jābūt proporcionālai un nepieciešamai (hartas 52. panta 1. punkts). Datu aizsardzības noteikumiem nevajadzētu ietekmēt tiesību uz vārda un informācijas brīvību īstenošanu, jo īpaši radot atturošu ietekmi vai to interpretējot tā, lai izdarītu spiedienu uz žurnālistiem atklāt viņu informācijas avotus.

3.2Neobligātās konkretizēšanas klauzulas un to robežas

VDAR dod dalībvalstīm iespēju konkretizēt tās piemērošanu ierobežotā skaitā jomu. Šī manevrēšanas iespēja valsts tiesību aktos ir jānošķir no pienākuma īstenot noteiktus VDAR nosacījumus, kā norādīts iepriekš. Neobligātās konkretizēšanas klauzulas ir uzskaitītas I pielikumā.

Uz šo manevrēšanas iespēju dalībvalstu tiesību aktos attiecas VDAR nosacījumi un ierobežojumi, un nav pieļaujams paralēls datu valsts aizsardzības regulējums 58 . Dalībvalstīm ir pienākums grozīt vai atcelt datu valsts aizsardzības tiesību aktus, tostarp nozaru tiesību aktus, kuros ir datu aizsardzības aspekti.

Turklāt dalībvalstu tiesību aktos arī nedrīkst būt iekļauti nosacījumi, kas var radīt neskaidrību attiecībā uz VDAR tiešo piemērojamību. Tāpēc, ja VDAR pieļauj, ka tās noteikumi tiek konkretizēti vai ierobežoti ar dalībvalstu tiesību aktiem, dalībvalstis, ciktāl tas vajadzīgs saskaņotības dēļ un lai valstu noteikumus padarītu saprotamus tām personām, kam tie ir piemērojami, var valstu tiesību aktos iekļaut šīs regulas elementus 59 .

Ieinteresētās personas uzskata, ka dalībvalstīm būtu jāierobežo neobligāto konkretizēšanas klauzulu izmantošana vai jāatturas no to izmantošanas, jo tās nesekmē harmonizāciju. Valsts līmeņa atšķirības tiesību aktu piemērošanā un šo aktu interpretācijā datu aizsardzības iestādēs ievērojami palielina tiesiskās atbilstības izmaksas visā ES.

Sadrumstalotība saistīta ar neobligāto konkretizēšanas klauzulu izmantošanu

·Vecuma ierobežojums bērnu piekrišanai saistībā ar informācijas sabiedrības pakalpojumiem

Vairākas dalībvalstis ir izmantojušas iespēju noteikt piekrišanas vecumu, kas ir mazāks nekā 16 gadi, attiecībā uz informācijas sabiedrības pakalpojumiem (VDAR 8. panta 1. punkts). Tā 9 dalībvalstis piemēro 16 gadu vecuma ierobežojumu, 8 dalībvalstis ir izvēlējušās 13 gadus, sešas — 14 gadus, bet trīs — 15 gadus 60 .

Attiecīgi uzņēmumam, kurš sniedz informācijas sabiedrības pakalpojumus visā ES teritorijā, ir jānošķir iespējamo lietotāju vecums atkarībā no to dzīvesvietas dalībvalsts. Tas ir pretēji VDAR galvenajam mērķim nodrošināt personu vienlīdzīgu aizsardzības līmeni un uzņēmējdarbības iespējas visās dalībvalstīs.

Šādu atšķirību dēļ rodas situācijas, kad pārziņa uzņēmējdarbības dalībvalstī ir cits vecuma ierobežojums nekā dalībvalstīs, kur dzīvo datu subjekti.

·Veselība un pētniecība

Ieviešot atkāpes no vispārējā aizlieguma apstrādāt īpašu kategoriju personas datus 61 , dalībvalstu tiesību aktos ir dažāda pieeja konkretizēšanas līmenim un garantijām, tostarp veselības aprūpes un pētniecības vajadzībām. Vairums dalībvalstu ir ieviesušas vai uzturējušas spēkā papildu nosacījumus ģenētisko datu, biometrisko datu vai veselības datu apstrādei. Tas arī attiecas uz atkāpēm, kas saistītas ar datu subjektu tiesībām pētniecības nolūkos 62  — gan attiecībā uz atkāpju apmēru, gan attiecīgajām garantijām. 

Turpmākas kolēģijas pamatnostādnes par personas datu izmantošanu zinātniskās pētniecības jomā šajā ziņā palīdzēs veidot saskaņotu pieeju. Komisija sniegs informāciju kolēģijai, jo īpaši attiecībā uz pētniecību veselības jomā, tostarp uzdodot konkrētus jautājumus un analizējot konkrētus scenārijus, ko tā saņēmusi no pētniecības kopienas. Būtu noderīgi, ja šīs pamatnostādnes varētu pieņemt pirms programmas “Apvārsnis Eiropa” uzsākšanas, lai saskaņotu datu aizsardzības praksi un sekmētu datu koplietošanu pētniecības progresa panākšanai. Kolēģijas pamatnostādnes par personas datu apstrādi veselības aprūpes jomā arī varētu būt noderīgas.

VDAR nodrošina stabilu satvaru valstu tiesību aktiem sabiedrības veselības jomā un nepārprotami ietver pārrobežu veselības apdraudējumus, kā arī epidēmiju un to izplatības uzraudzību 63 , kas bija būtiski cīņas pret Covid-19 pandēmiju kontekstā.

ES līmenī Komisija 2020. gada 8. aprīlī pieņēma Ieteikumu par vienotu Savienības rīkkopu tehnoloģiju un datu izmantošanai šajā kontekstā, tostarp attiecībā uz mobilajām lietotnēm un anonimizētu mobilitātes datu izmantošanu 64 , bet 2020. gada 16. aprīlī norādījumus par lietotnēm, kas sniedz atbalstu cīņā pret pandēmiju saistībā ar datu aizsardzību 65 . Šajā kontekstā kolēģija 2020. gada 19. martā publicēja paziņojumu par datu apstrādi 66 , kam 2020. gada 21. aprīlī sekoja pamatnostādnes par datu apstrādi pētniecības nolūkos un par atrašanās vietas datu un kontaktu izsekošanas rīku izmantošanu minētajos apstākļos 67 . Šajos ieteikumos un pamatnostādnēs tiek skaidrots, kā personas datu aizsardzības noteikumi un principi ir piemērojami cīņas pret pandēmiju kontekstā.

·Plaši datu subjektu tiesību ierobežojumi

Vairumā datu valsts aizsardzības tiesību aktu, kas ierobežo datu subjektu tiesības, nav skaidri norādītas ar šādiem ierobežojumiem aizsargātu vispārējo sabiedrības interešu mērķi, un/vai tie nepietiekami atbilst VDAR 23. panta 2. punkta nosacījumiem un garantijām 68 . Vairākās dalībvalstīs nav iespējas veikt proporcionalitātes pārbaudi vai ierobežojumi ir pat plašāki nekā VDAR 23. panta 1. punkta darbības joma. Piemēram, tā kā pārzinim būtu jāveic nesamērīgas darbības, dažos valsts tiesību aktos nav paredzētas piekļuves tiesības personas datiem, kas tiek uzglabāti atbilstīgi saglabāšanas pienākumam vai saistībā ar publiskiem uzdevumiem, nosakot šādu ierobežojumu ne tikai saistībā ar vispārējo sabiedrības interešu mērķiem.

·Papildu prasības uzņēmumiem

Lai gan prasība par obligātu datu aizsardzības speciālistu pamatojas uz riskā balstītu pieeju 69 , viena dalībvalsts 70 to ir paplašinājusi, iekļaujot kvantitatīvu kritēriju, pieprasot uzņēmumiem, kuros vismaz 20 darbinieki pastāvīgi ir iesaistīti automātiskā personas datu apstrādē, nozīmēt datu aizsardzības speciālistu neatkarīgi no riskiem, kas saistīti ar apstrādes darbībām 71 . Tā rezultātā ir radies papildu slogs.

4Iespēju došana personām kontrolēt to datus

VDAR padara pamattiesības efektīvas, jo īpaši tiesības uz personas datu aizsardzību, lai gan tas attiecas arī uz citām hartā atzītām pamattiesībām, tostarp tiesībām uz privātās un ģimenes dzīves neaizskaramību, tiesībām uz vārda un informācijas brīvību, nediskrimināciju, domu, apziņas un reliģijas brīvību, brīvību veikt uzņēmējdarbību un tiesībām uz tiesību efektīvu aizsardzību. Starp šīm tiesībām ir jāatrod līdzsvars atbilstoši proporcionalitātes principam 72 .

VDAR dod iedzīvotājiem juridiski īstenojamas tiesības, piemēram, piekļuves tiesības, tiesības uz labošanu vai dzēšanu, iebilšanu, pārnesamību un lielāku pārredzamību. Tā arī dod iedzīvotājiem tiesības iesniegt sūdzības datu aizsardzības iestādei, tostarp izmantojot pārstāvības prasības, kā arī tiesības uz tiesiskās aizsardzības līdzekļiem.

Saskaņā ar 2019. gada jūlija Eirobarometra 73 apsekojumu un Pamattiesību aģentūras 74 apsekojumu iedzīvotāji ir aizvien labāk informēti par savām tiesībām.

Iedzīvotāji aizvien biežāk izmanto savas tiesības iesniegt sūdzību datu aizsardzības iestādei individuāli vai kopā ar citiem iesniedzējiem (pārstāvības prasība) 75 . Tikai dažās dalībvalstīs nevalstiskajām organizācijām ir tiesības uzsākt tiesvedību bez pilnvarojuma atbilstoši iespējai, ko tām dod VDAR. Sagaidāms, ka pēc pieņemšanas ierosinātā direktīva par pārstāvības prasībām patērētāju kolektīvo interešu aizsardzībai 76 pastiprinās pārstāvības prasību regulējumu arī datu aizsardzības jomā.

Atsauksmes no daudzpusējās ieinteresēto personu grupas liecina, ka organizācijas ir īstenojušas dažādus pasākumus, lai sekmētu datu subjektu tiesību ievērošanu, tostarp procesus, kas nodrošina pieprasījumu individuālu izskatīšanu un pārziņa atbildes sagatavošanu, vairāku kanālu izmantošanu (pasts, īpaša e-pasta adrese, tīmekļa vietne utt.), atjauninātas iekšējās procedūras un savlaicīgas pieprasījumu iekšējās apstrādes politiku, kā arī personāla apmācību. Daži uzņēmumi ir izveidojuši digitālus portālus, kas pieejami no uzņēmuma tīmekļa vietnes (vai darbiniekiem no uzņēmuma intraneta), lai sekmētu datu subjektu tiesību ievērošanu.

Tomēr vēl ir jāpanāk progress šādos jautājumos:

·ne visi datu pārziņi izpilda savu pienākumu sekmēt datu subjektu tiesību izmantošanu 79 . Viņiem jānodrošina, ka datu subjektiem ir efektīvi izmantojams kontaktpunkts, kur var izskaidrot savas problēmas. Tas var būt datu aizsardzības speciālists, kura kontaktinformācija ir aktīvi jānodod datu subjektam 80 . Saziņas iespējas nedrīkst ietver tikai e-pastu, jo datu subjektam ir jādod iespēja sazināties ar pārzini arī citā veidā;

·iedzīvotāji joprojām saskaras ar grūtībām, kad pieprasa piekļuvi saviem datiem, piemēram, no platformām, datu brokeriem un reklāmas tehnoloģiju uzņēmumiem;

·tiesības uz datu pārnesamību netiek izmantotas pilnā mērā. Komisijas 2020. gada 19. februārī pieņemtajā Eiropas Datu stratēģijā (turpmāk tekstā — Datu stratēģija) 81 ir uzsvērta vajadzība sekmēt šo tiesību īstenošanu visos iespējamos veidos (piemēram, paredzot tehniskas saskarnes un mašīnlasāmus formātus, tā iespējot (gandrīz) reāllaika datu pārnesamību). Ekonomikas dalībnieki ir norādījuši, ka dažkārt ir grūti sniegt datus strukturētā, bieži izmantotā mašīnlasāmā formātā (jo nav standarta). Tikai noteiktu nozaru organizācijas, piemēram, banku, telekomunikāciju, ūdens un apkures skaitītāju jomā, ziņo par to, ka ir ieviesušas vajadzīgās saskarnes 82 . Ir izstrādāti jauni tehnoloģiski rīki, lai sekmētu, ka iedzīvotāji izmanto VDAR paredzētās tiesības, kas ietver ne tikai datu pārnesamību (piemēram, personas datu telpas un personīgās informācijas pārvaldības pakalpojumi);

·bērnu tiesības: vairāki daudzpusējās ieinteresēto personu grupas dalībnieki ir uzsvēruši vajadzību sniegt informāciju bērniem, kā arī to, ka daudzas organizācijas ignorē faktu, ka bērniem varētu rūpēt to datu apstrāde. Padome ir norādījusi, ka, sagatavojot rīcības kodeksus, īpaša uzmanība jāpievērš bērnu aizsardzībai. Šis jautājums ir arī datu aizsardzības iestāžu uzmanības centrā 83 ;

·tiesības uz informāciju. Dažiem uzņēmumiem ir izteikti juridiska pieeja — tie uztver datu aizsardzības paziņojumus kā juridisku uzdevumu, un informācija ir ļoti sarežģīta, grūti saprotama vai nepilnīga, lai gan VDAR ir noteikts, ka visai informācijai ir jābūt kodolīgai un ka ir jāizmanto skaidra un vienkārša valoda 84 . Šķiet, ka daži uzņēmumi neievēro kolēģijas ieteikumus, piemēram, attiecībā uz to struktūru nosaukumu norādīšanu, ar kurām tie kopīgo datus;

·vairākas dalībvalstis ar saviem tiesību aktiem lielā mērā ir ierobežojušas datu subjektu tiesības, dažos gadījumos pat lielākā apjomā, nekā iespējams atbilstoši VDAR 23. pantam;

·personu tiesību īstenošanu dažkārt kavē dažu nozīmīgu digitālā tirgus dalībnieku prakse, kā rezultātā iedzīvotājiem ir ļoti grūti izvēlēties iestatījumus, kas visvairāk aizsargā to privātumu (tā pārkāpjot prasību par integrēto datu aizsardzību un datu aizsardzību pēc noklusējuma 85 ) 86 .

Ieinteresētās personas ar nepacietību gaida kolēģijas pamatnostādnes par datu subjektu tiesībām.

5Organizāciju, jo īpaši mazo un vidējo uzņēmumu, iespējas un problēmas

Organizāciju iespējas

VDAR sekmē konkurenci un inovāciju. Kopā ar Nepersondatu brīvas aprites regulu 87 tā nodrošina datu brīvu apriti ES un rada vienotus spēles noteikumus uzņēmumiem, kuru uzņēmējdarbības vieta nav Eiropā. Izveidojot saskaņotu personas datu aizsardzības regulējumu, VDAR panāk, ka uz visiem starptautiskā tirgus dalībniekiem attiecas vienādi noteikumi un ka tie visi var izmantot tās pašas iespējas neatkarīgi no uzņēmējdarbības un apstrādes veikšanas vietas. VDAR tehnoloģiskā neitralitāte nodrošina datu aizsardzības satvaru jaunu tehnoloģiju attīstībai. Integrētās datu aizsardzības un datu aizsardzības pēc noklusējuma principi kalpo par stimulu novatoriskiem risinājumiem, kas jau no paša sākuma ietver datu aizsardzības apsvērumus un var mazināt datu aizsardzības noteikumu izpildes izmaksas.

Turklāt privātums kļūst par svarīgu konkurences parametru, ko iedzīvotāji aizvien biežāk ņem vērā, izvēloties pakalpojumus. Tie, kas ir labāk informēti vai kam vairāk rūp datu aizsardzības jautājumi, meklē produktus un pakalpojumus, kas nodrošina personas datu efektīvu aizsardzību. Tiesību uz datu pārnesamību ieviešana var mazināt šķēršļus tādu uzņēmumu ienākšanai, kas piedāvā novatoriskus un datu aizsardzībai labvēlīgus pakalpojumus. Jāuzrauga, cik liela ir iespējamā šo tiesību plašākas izmantošanas ietekme uz tirgiem dažādās nozarēs. Atbilstība datu aizsardzības noteikumiem un to pārredzama piemērošana veidos uzticību saistībā ar iedzīvotāju personas datu izmantošanu, tā radot jaunas iespējas uzņēmumiem.

Līdzīgi kā jebkurš regulējums, datu aizsardzības noteikumi ir saistīti ar atbilstības izmaksām uzņēmumiem. Tomēr šīs izmaksas ir mazākas par iespējām un priekšrocībām, ko dod lielāka uzticība digitālajai inovācijai, kā arī par sociālajiem ieguvumiem, kas izriet no pamattiesību ievērošanas. Nodrošinot vienlīdzīgus konkurences apstākļus un dodot datu aizsardzības iestādēm to, kas tām nepieciešams noteikumu izpildes efektīvai panākšanai, VDAR novērš iespēju, ka neatbilstoši uzņēmumi var netraucēti izmantot uzticību, ko veidojuši tie, kas ievēro noteikumus.

Mazo un vidējo uzņēmumu (MVU) īpašās problēmas

Ne tikai ieinteresētās personas, bet arī Eiropas Parlaments, Padome un datu aizsardzības iestādes uzskata, ka VDAR piemērošana rada īpašas grūtības mikro, mazajiem un vidējiem uzņēmumiem, kā arī nelielām brīvprātīgo un labdarības organizācijām.

Saskaņā ar uz risku balstīto pieeju nebūtu pareizi noteikt atkāpes, pamatojoties uz ekonomikas dalībnieku lielumu, jo izmērs pats par sevi neliecina par risku, ko šajā organizācijā veiktā personas datu apstrāde var radīt iedzīvotājiem. Uz risku balstītā pieeja apvieno elastību ar efektīvu aizsardzību. Šādā pieejā tiek ņemtas vērā to MVU vajadzības, kas neveic datu apstrādi kā pamatdarbību, un to pienākumi tiek noteikti, jo īpaši pamatojoties uz tā riska iespēju un smaguma pakāpi, kas saistīts ar šādu uzņēmumu veikto apstrādi 88 .

Neatkarīgi no tā uzņēmuma lieluma, kurš veic apstrādi, pret maza apjoma un zema riska apstrādi nevajadzētu attiekties tāpat kā pret augsta riska un biežu apstrādi. Tāpēc kolēģija secināja, ka “jebkurā gadījumā likumdevēja veicinātā, uz risku balstīta pieeja ir jāpatur spēkā, jo risks datu subjektiem nav atkarīgs no pārziņu lieluma” 89 . Datu aizsardzības iestādēm šis princips ir pilnībā jāpiemēro, nodrošinot VDAR izpildi, ieteicams izmantojot kopēju Eiropas pieeju, lai neradītu šķēršļus vienotajam tirgum.

Datu aizsardzības iestādes ir izstrādājušas vairākus instrumentus un uzsvērušas savu nolūku tos vēl vairāk uzlabot. Dažas iestādes ir uzsākušas informēšanas kampaņas un pat organizē bezmaksas VDAR apmācību MVU.

Dažām darbībām, ar kurām īpaši atbalstīja MVU, tika piešķirts ES finansējums. Komisija sniedza finansiālu atbalstu, trīs posmos piešķirot dotācijas EUR 5 miljonu apmērā — pēdējie divi posmi bija īpaši paredzēti datu valsts aizsardzības iestāžu atbalstam to centienos uzrunāt iedzīvotājus un MVU. Tā rezultātā 2018. gadā EUR 2 miljoni par darbībām 2018.-2019. gadā tika piešķirti deviņām datu aizsardzības iestādēm (Beļģijas, Bulgārijas, Dānijas, Ungārijas, Lietuvas, Latvijas, Nīderlandes, Slovēnijas un Islandes iestādēm) 91 , bet 2019. gadā EUR 1 miljons par darbībām 2020. gadā tika piešķirts četrām datu aizsardzības iestādēm (Beļģijas, Maltas un Slovēnijas iestādēm, kā arī Horvātijas un Īrijas partnerībai) 92 . 2020. gadā tiks piešķirts papildu EUR 1 miljons.

Neskatoties uz šīm iniciatīvām, MVU un jaunuzņēmumi bieži norāda, ka viņiem ir grūtības īstenot pārskatatbildības principu, kas noteikts VDAR 93 . Tie ziņo, ka ne vienmēr saņem pietiekami norādījumu un praktisku ieteikumu no datu valsts aizsardzības iestādēm vai ka šādu norādījumu un ieteikumu saņemšanai ir vajadzīgs pārāk daudz laika. Ir arī bijuši gadījumi, kad iestādes bija izrādījušas ne pārāk lielu vēlēšanos iesaistīties juridisku problēmu risināšanā. Nonākot šādās situācijās, MVU bieži vēršas pie ārējiem konsultantiem un juristiem, lai ieviestu pārskatatbildības principu un uz risku balstītu pieeju (tostarp pārredzamības prasības, apstrādes darbību reģistrēšanu un datu aizsardzības pārkāpumu paziņošanu). Tas šiem uzņēmumiem var radīt papildu izmaksas.

Viena konkrēta problēma ir apstrādes darbību reģistrēšana, ko MVU un mazās asociācijas uzskata par apgrūtinošu administratīvu slogu. Atkāpe no šā pienākuma VDAR 30. panta 5. punktā tiešām ir ļoti šaura. Tomēr nevajadzētu pārvērtēt centienus, kas saistīti ar šā pienākuma izpildi. Ja MVU pamatdarbība nav saistīta ar personas datu apstrādi, šādiem ierakstiem būtu jābūt vienkāršiem un neapgrūtinošiem. Tas pats attiecas uz brīvprātīgo un citām asociācijām. Šādus vienkāršotus ierakstus varētu vieglāk sagatavot, izmantojot ierakstu veidnes, ko praksē jau izmanto dažas datu aizsardzības iestādes. Jebkurā gadījumā visiem, kuri apstrādā personas datus, ir jābūt to datu apstrādes pārskatam, kas ir pārskatatbildības principa pamata prasība.

Praktisku rīku, piemēram saskaņotu veidlapu datu aizsardzības pārkāpumiem un vienkāršotu apstrādes darbību ierakstu, izstrāde kolēģijā ES līmenī var palīdzēt MVU un mazajām asociācijām 94 , kuru pamatdarbība neietver personas datu apstrādi, izpildīt to pienākumus.

Dažādas nozaru asociācijas ir mēģinājušas uzlabot informētību un sniegt informāciju saviem biedriem, piemēram, konferencēs un semināros, piedāvājot uzņēmumiem informāciju par pieejamajiem norādījumiem vai izstrādājot privātumu aizsardzības nodrošināšanas palīdzības pakalpojumu biedriem. Tās arī ziņo par aizvien lielāku tādu semināru, sanāksmju un pasākumu skaitu, ko organizē domnīcas un MVU asociācijas un kas ir veltīti ar VDAR saistītiem jautājumiem.

Lai uzlabotu visu datu brīvu apriti ES un panāktu VDAR un Nepersondatu brīvas aprites regulas konsekventu piemērošanu, Komisija ir arī sagatavojusi praktiskus norādījumus par noteikumiem, kas regulē jauktu datu kopu, kuras sastāv no personas datiem un nepersondatiem, apstrādi un kas ir veltīti īpaši MVU 95 .

Rīkkopa uzņēmumiem

VDAR piedāvā rīkus, kas palīdz pierādīt atbilstību, piemēram, rīcības kodeksus, sertifikācijas mehānismus un līguma standartklauzulas.

·Rīcības kodeksi

Kolēģija ir sagatavojusi pamatnostādnes 96 , lai atbalstītu kodeksu izstrādātājus un palīdzētu tiem sagatavot, grozīt vai paplašināt kodeksus, kā arī lai sniegtu praktiskus norādījumus un palīdzību interpretācijā. Šajās pamatnostādnēs ir arī skaidrotas kodeksu iesniegšanas, apstiprināšanas un publicēšanas procedūras gan valsts, gan ES līmenī, izklāstot minimālos kritērijus.

Ieinteresētās personas uzskata, ka rīcības kodeksi ir ļoti noderīgi instrumenti. Lai gan valsts līmenī ir īstenoti daudzi kodeksi, vēl tiek gatavoti vairāki ES mēroga rīcības kodeksi (piemēram, attiecībā uz mobilajām veselības lietotnēm, veselības pētniecību genomikā, mākoņdatošanu, tiešo tirgvedību, apdrošināšanu, preventīvu apstrādi un konsultāciju pakalpojumiem bērniem) 97 . Ekonomikas dalībnieki uzskata, ka ES līmeņa rīcības kodeksi ir daudz plašāk jāpopularizē, jo tie sekmē VDAR konsekventu piemērošanu visās dalībvalstīs.

Tomēr ekonomikas dalībniekiem ir arī jāiegulda laiks un līdzekļi rīcības kodeksu izstrādē un vajadzīgo neatkarīgo uzraudzības struktūru izveidē. MVU pārstāvji ir uzsvēruši, cik svarīgi un noderīgi ir rīcības kodeksi, kas piemēroti to situācijai un nav saistīti ar nesamērīgi lielām izmaksām.

Attiecīgi vairāku nozaru uzņēmumu asociācijas ir īstenojušas cita veida pašregulējuma rīkus, piemēram, paraugprakses kodeksus vai norādījumus. Lai gan šādi rīki var sniegt noderīgu informāciju, tos nav apstiprinājušas datu aizsardzības iestādes un tos arī nevar izmantot, lai pierādītu atbilstību VDAR.

Padome norāda, ka rīcības kodeksos īpaša uzmanība jāpievērš bērnu datu un datu par veselību apstrādei. Komisija atbalsta rīcības kodeksus, kas saskaņotu pieeju veselības aprūpes un pētniecības jomā un sekmētu personas datu pārrobežu apstrādi 98 . Kolēģija pašlaik apstiprina akreditācijas prasību projektu rīcības kodeksu uzraudzības struktūrām, ko piedāvājušas vairākas datu aizsardzības iestādes 99 . Kad starptautiski vai ES rīcības kodeksi būs gatavi iesniegšanai datu aizsardzības iestādēm, lai tos apstiprinātu, par tiem konsultēsies ar kolēģiju. Starptautisku kodeksu ātra izstrāde ir jo īpaši svarīga jomās, kur notiek ievērojamu datu apjomu (piemēram, mākoņdatošana) vai sensitīvo datu (piemēram, veselība/pētniecība) apstrāde.

·Sertifikācija

Sertifikācija var būt noderīgs instruments, lai pierādītu atbilstību noteiktām VDAR prasībām. Tā var palielināt juridisko noteiktību uzņēmumiem un popularizēt VDAR pasaulē.

Kā norādīts pētījumā par sertifikāciju, kas publicēts 2019. gada aprīlī 100 , mērķim būtu jāietver attiecīgo shēmu izmantošanas popularitātes sekmēšana. Sertifikācijas shēmu izstrādi ES atbalstīs kolēģijas pieņemtās pamatnostādnes par sertifikācijas kritērijiem 101 un par sertifikācijas struktūru akreditāciju 102 .

Drošība un integrētā datu aizsardzība ir galvenie elementi, kas jāņem vērā saskaņā ar VDAR izveidotajās sertifikācijas shēmās, un šie jautājumi tiktu labāk risināti, ja visā ES būtu kopīga un tālejoša pieeja. Komisija turpinās atbalstīt esošos kontaktus starp Eiropas Savienības Kiberdrošības aģentūru (ENISA), datu aizsardzības iestādēm un kolēģiju.

Kas attiecas uz kiberdrošību, pēc Kiberdrošības akta pieņemšanas Komisija pieprasīja, lai ENISA sagatavotu divas sertifikācijas shēmas, no kurām viena būtu paredzēta mākoņpakalpojumiem 103 . Tiek apsvērtas papildu shēmas, kas veltītas patēriņa preču un pakalpojumu kiberdrošībai. Lai gan šajās atbilstoši Kiberdrošības aktam izveidotajās sertifikācijas shēmās netiek tieši skatīti datu aizsardzības un privātuma jautājumi, tās palielina iedzīvotāju uzticību digitālajiem pakalpojumiem un produktiem. Šādas shēmas var nodrošināt pierādījumus par to, ka tiek ievēroti integrētās drošības principi, kā arī ka tiek īstenoti atbilstoši tehniskie un organizatoriskie pasākumi, kuri ir saistīti ar personas datu apstrādes drošību.

·Līguma standartklauzulas

Komisija izstrādā standartklauzulas līgumiem starp pārziņiem un apstrādātājiem 104 , arī ņemot vērā līguma standartklauzulu modernizāciju attiecībā uz starptautisko nosūtīšanu (sk. 7.2. iedaļu). Komisijas pieņemts savienības akts būs saistošs visā ES, kas nodrošinās pilnīgu harmonizāciju un juridisko noteiktību.

6VDAR piemērošana jaunām tehnoloģijām

Tehnoloģiski neitrāls regulējums, kas atvērts jaunām tehnoloģijām

VDAR ir tehnoloģiski neitrāla un uzticību veicinoša, kā arī balstīta uz principiem 105 . Šie principi, tostarp likumīga un pārredzama apstrāde, nolūka ierobežojumi un datu minimizēšana, dod stabilu pamatu personas datu aizsardzībai neatkarīgi no apstrādes darbībām un izmantotajām metodēm.

Daudzpusējās ieinteresēto personu grupas dalībnieki norāda, ka kopumā VDAR ir pozitīva ietekme uz jaunu tehnoloģiju izstrādi un ka tā kalpo par labu pamatu inovācijai. VDAR tiek uzskatīta par nozīmīgu un elastīgu rīku, lai nodrošinātu jaunu tehnoloģiju attīstību atbilstoši pamattiesībām. Tās galveno principu īstenošana ir jo īpaši svarīga, ja notiek intensīva datu apstrāde. VDAR uz risku balstītā un tehnoloģiski neitrālā pieeja nodrošina datu aizsardzības līmeni, kas ir pienācīgs, lai novērstu apstrādes risku, tostarp tādu, ko rada jaunās tehnoloģijas.

Ieinteresētās personas jo īpaši norādīja, ka VDAR nolūka ierobežojumu un turpmākas atbilstīgas apstrādes, datu minimizēšanas, glabāšanas ierobežojumu, pārredzamības un pārskatatbildības principi, kā arī nosacījumi, atbilstoši kuriem var likumīgi īstenot automātiskas lēmumu pieņemšanas procesus 106 , lielā mērā kliedē ar mākslīgā intelekta izmantošanu saistītās bažas.

VDAR progresīvā un uz risku balstītā pieeja tiks arī piemērota mākslīgā intelekta iespējamā nākotnes regulējumā, kā arī īstenojot Datu stratēģiju. Datu stratēģijas mērķis ir sekmēt datu pieejamību un kopēju Eiropas datu telpu veidošanu, ko atbalsta apvienotie mākoņinfrastruktūras pakalpojumi. Kas attiecas uz personas datiem, VDAR nosaka galveno tiesisko regulējumu, kura ietvaros katrā atsevišķā gadījumā var izstrādāt efektīvu risinājumu atkarībā no katras datu telpas rakstura un satura.

VDAR ir uzlabojusi informētību par personas datu aizsardzību gan ES, gan ārpus tās un likusi uzņēmumiem mainīt savu praksi, lai inovācijas laikā ņemtu vērā datu aizsardzības principus. Tomēr pilsoniskās sabiedrības organizācijas norāda, ka, lai gan VDAR ietekme uz jaunu tehnoloģiju izstrādi šķiet pozitīva, lielo digitālās jomas tirgus dalībnieku prakse vēl nav būtiski mainījusies, lai nodrošinātu privātuma aizsardzībai labvēlīgāku apstrādi. Spēcīga un efektīva VDAR izpildes panākšana attiecībā uz lielajām digitālajām platformām un integrētajiem uzņēmumiem, tostarp tādās jomās kā tiešsaistes reklāma un mikromērķorientēšana, ir ļoti svarīgs iedzīvotāju aizsardzības elements.

Komisija analizē plašākus jautājumus, kas saistīti ar lielo digitālo ekonomikas dalībnieku uzvedību tirgū Digitālo pakalpojumu akta pakotnes kontekstā 107 . Kas attiecas uz pētniecību sociālo plašsaziņas līdzekļu jomā, Komisija atgādina, ka sociālo plašsaziņas līdzekļu platformas nedrīkst izmantot VDAR kā attaisnojumu, lai ierobežotu pētnieku un faktu pārbaudītāju piekļuvi nepersondatiem, piemēram, statistikas datiem par to, kādas mērķorientētas reklāmas ir nosūtītas noteiktām iedzīvotāju grupām, kritērijiem šīs mērķorientācijas izstrādei, informācijai par viltus kontiem utt.

VDAR tehnoloģiski neitrālā un progresīvā pieeja tika pārbaudīta Covid-19 pandēmijas laikā un izrādījās sekmīga. Tās ar principiem pamatotie noteikumi sniedza atbalstu vīrusa izplatības apkarošanas un uzraudzības rīku izstrādē.

Risināmās problēmas

Jauno tehnoloģiju izstrāde un piemērošana neliek apšaubīt šos principus. Problēmas ir saistītas ar skaidrojumu, kā piemērot pārbaudītus principus konkrētu tehnoloģiju izmantošanai, piemēram, mākslīgajam intelektam, blokķēdēm, lietu internetam, sejas atpazīšanas tehnoloģijām un kvantu skaitļošanai.

Šajā kontekstā Eiropas Parlaments un Padome uzsvēra vajadzību pastāvīgi veikt uzraudzību, lai noskaidrotu, kā VDAR tiek piemērota jaunām tehnoloģijām un lielajiem tehnoloģiju uzņēmumiem. Turklāt ieinteresētās personas brīdina, ka, lai noteiktu, vai VDAR joprojām ir aktuāla, arī ir jāveic pastāvīga uzraudzība.

Nozares ieinteresētās personas uzsver, ka inovācijai ir vajadzīgs, lai VDAR tiktu piemērota, pamatojoties uz principiem un atbilstoši tās garam, nevis formālā un neelastīgā veidā. Šīs personas uzskata, ka kolēģijas pamatnostādnes par VDAR principu, jēdzienu un noteikumu piemērošanu jaunajām tehnoloģijām, piemēram, mākslīgajam intelektam, blokķēdēm vai lietu internetam, ņemot vērā uz risku balstīto pieeju, palīdzētu sniegt skaidrojumus un nodrošināt lielāku juridisko noteiktību. Šādi nesaistoši rīki ir ļoti piemēroti, lai papildinātu VDAR piemērošanu jaunajām tehnoloģijām, jo tie nodrošina lielāku juridisko noteiktību un tos var pārskatīt atbilstoši tehnoloģiskajai attīstībai. Dažas ieinteresētās personas arī norāda, ka nozaru pamatnostādnes par VDAR piemērošanu jaunajām tehnoloģijām varētu būt noderīgas.

Kolēģija ir paziņojusi, ka tā turpinās apsvērt jauno tehnoloģiju ietekmi uz personas datu aizsardzību.

Ieinteresētās personas arī uzsver, ka regulatoriem ir svarīgi ļoti labi saprast, kā tehnoloģijas tiek izmantotas, un iesaistīties dialogā ar nozares pārstāvjiem par jauno tehnoloģiju attīstību. Viņas uzskata, ka “regulatīvās smilšu kastes” pieeja kā līdzeklis norādījumu saņemšanai par noteikumu piemērošanu varētu būt interesanta iespēja jauno tehnoloģiju pārbaudīšanai un palīdzības sniegšanai uzņēmumiem saistībā ar integrētās datu aizsardzības un datu aizsardzības pēc noklusējuma piemērošanu jaunajām tehnoloģijām.

Runājot par turpmākām darbībām politikas jomā, ieinteresētās personas iesaka, ka visiem nākotnes politikas priekšlikumiem par mākslīgo intelektu būtu jābalstās uz esošo juridisko regulējumu un jābūt saskaņotiem ar VDAR. Iespējamās konkrētās problēmas ir rūpīgi jāizvērtē, pamatojoties uz attiecīgiem pierādījumiem, pirms tiek piedāvāti jauni, preskriptīvi noteikumi.

Komisijas Baltajā grāmatā par mākslīgo intelektu ir piedāvātas vairākas politikas iespējas, par ko ieinteresētajām personām tika lūgts sniegt viedokli līdz 2020. gada 14. jūnijam. Kas attiecas uz sejas atpazīšanu, proti, tehnoloģiju, kas varētu būtiski ietekmēt iedzīvotāju tiesības, baltajā grāmatā bija atsauce uz pašreizējo likumdošanas regulējumu, kā arī tika uzsāktas sabiedriskas debates par tiem konkrētajiem apstākļiem (ja tādi ir), kas varētu pamatot mākslīgā intelekta izmantošanu sejas atpazīšanai un citiem attālinātās biometriskās identifikācijas nolūkiem publiskās vietās, kā arī par kopējiem piesardzības pasākumiem.

7Starptautiskā nosūtīšana un globālā sadarbība

7.1Privātums — globāla problēma

Prasībai par personas datu aizsardzību nav robežu, jo cilvēki visā pasaulē aizvien vairāk novērtē un vēlas aizsargāt savu privātumu un savu datu drošību.

Vienlaikus nav noliedzams, ka mūsu savstarpēji saistītajā pasaulē datu plūsmas ir ļoti svarīgas iedzīvotājiem, valdībām, uzņēmumiem un arī sabiedrībai kopumā. Tās veido neatņemamu tirdzniecības, publisko iestāžu sadarbības un sociālās mijiedarbības daļu. Šajā ziņā pašreizējā Covid-19 pandēmija arī izgaismo, cik svarīga ir personas datu nosūtīšana un apmaiņa daudzu nozīmīgu darbību veikšanai, tostarp, lai nodrošinātu valdības un komerciālās darbības nepārtrauktību, jo tā dod iespēju veikt tāldarbu un izmantot citus risinājumus, kas lielā mērā ir atkarīgi no informācijas un komunikācijas tehnoloģijām, attīstītu sadarbību zinātniskajā diagnostikas, ārstēšanas un vakcīnu pētniecībā un cīnītos pret tādiem jauniem kibernoziedzības veidiem kā tiešsaistes krāpšanas shēmas, kur tiek piedāvātas viltotas zāles, apgalvojot, ka tās novērš vai ārstē Covid-19.

Uz šī fona privātuma aizsardzībai un datu aprites sekmēšanai ir jāiet roku rokā daudz vairāk nekā jebkad iepriekš. ES, kuras datu aizsardzības režīms apvieno atvērtību starptautiskai datu nosūtīšanai un augstu iedzīvotāju aizsardzības līmeni, ir īpaši piemērota drošu un uzticamu datu plūsmu sekmēšanai. VDAR jau ir kļuvusi par atskaites punktu starptautiskā līmenī un daudzām pasaules valstīm kalpojusi par katalizatoru, lai apsvērtu modernu privātuma noteikumu ieviešanu.

Tā ir patiešām globāla tendence, kas aptver reģionus no Čīles līdz Dienvidkorejai, no Brazīlijas līdz Japānai, no Kenijas līdz Indijai, no Tunisijas līdz Indonēzijai un no Kalifornijas līdz Taivānai. Un tie ir vien daži piemēri. Šie notikumi ir pārsteidzoši ne tikai kvantitatīvā, bet arī kvalitatīvā ziņā — daudzi no nesen pieņemtajiem vai pieņemamajiem privātuma tiesību aktiem pamatojas uz kopēju garantiju, tiesību un izpildes panākšanas mehānismu pamatkopumu, kas ir kopīgs ar ES. Pasaulē, kur pārāk bieži ir ne tikai atšķirīga, bet pat pretēja pieeja regulējuma izstrādei, tendence virzībai uz globālu konverģenci ir ļoti pozitīva, jo tā dod jaunas iespējas palielināt iedzīvotāju aizsardzību Eiropā, vienlaikus sekmējot datu plūsmas un pazeminot darījumu izmaksas uzņēmējiem.

7.2VDAR nosūtīšanas rīkkopa 

Tā kā aizvien vairāk publisko un privāto ekonomikas dalībnieku savās ikdienas darbībās paļaujas uz starptautiskām datu plūsmām, elastīgi instrumenti, ko var pielāgot dažādām nozarēm, uzņēmējdarbības modeļiem un nosūtīšanas situācijām, kļūst aizvien vajadzīgāki. Atspoguļojot šīs vajadzības, VDAR piedāvā modernizētu rīkkopu, kas sekmē personas datu nosūtīšanu no ES uz trešo valsti vai starptautisku organizāciju, vienlaikus panākot, ka datiem joprojām tiek nodrošināta augsta līmeņa aizsardzība. Tā kā mūsdienu pasaulē dati viegli šķērso robežas un VDAR sniegtā aizsardzība būtu nepilnīga, ja to attiecinātu tikai uz apstrādi ES teritorijā, šāda aizsardzības nepārtrauktība ir svarīga.

Ar VDAR V nodaļu likumdevējs ir apstiprinājis nosūtīšanas noteikumu arhitektūru, kas jau pastāvēja atbilstoši Direktīvai 95/46: datu nosūtīšana var notikt, ja Komisija ir pieņēmusi pietiekamas aizsardzības atzinumu attiecībā uz trešo valsti vai starptautisku organizāciju vai, ja tāda nav, pārzinis vai apstrādātājs ES (datu eksportētājs) ir sniedzis pienācīgas garantijas, piemēram, noslēdzot līgumu ar saņēmēju (datu importētājs). Turklāt tiesību aktos noteiktais nosūtīšanas pamats (t. s. atkāpes) joprojām ir pieejams noteiktās situācijās, kuru gadījumā likumdevējs ir izlēmis, ka interešu līdzsvars pieļauj datu nosūtīšanu, ja tiek izpildīti zināmi nosacījumi. Vienlaikus šī reforma ir padarījusi esošos noteikumus skaidrākus un vienkāršākus, piemēram, detalizēti paredzot nosacījumus pietiekamas aizsardzības atzinuma pieņemšanai vai saistošiem uzņēmuma noteikumiem un nosakot, ka atļaujas saņemšanas prasības ir piemērojamas tikai ļoti mazam skaitam īpašu gadījumu, kā arī pilnībā atceļot paziņošanas prasības. Turklāt ir ieviesti tādi jauni nosūtīšanas rīki kā rīcības kodeksi vai sertifikācijas shēmas, kā arī ir paplašināta iespēja izmantot esošos instrumentus (piemēram, līguma standartklauzulas).

Mūsdienu digitālā ekonomika ļauj ārvalstu ekonomikas dalībniekiem (attālināti, bet) tieši darboties ES iekšējā tirgū un konkurēt par Eiropas klientiem un to personas datiem. Šādiem ekonomikas dalībniekiem, mērķtiecīgi pievēršoties Eiropas iedzīvotājiem, lai piedāvātu preces vai pakalpojumus vai uzraudzītu to uzvedību, ir jāievēro ES tiesību akti tieši tāpat kā ES ekonomikas dalībniekiem. Tas ir atspoguļots VDAR 3. pantā, kur ES datu aizsardzības noteikumu tiešā piemērojamība tiek attiecināta uz noteiktām pārziņu un apstrādātāju apstrādes darbībām ārpus ES. Tas garantē, ka tiek ievērotas nepieciešamās garantijas un ka uz visiem uzņēmumiem, kas darbojas ES tirgū, attiecas vienādi noteikumi.

Plašā piemērojamība ir viens no iemesliem, kāpēc VDAR ietekme ir jūtama arī citās pasaules daļās. Tāpēc pēc visaptverošas sabiedriskās apspriešanas pieņemtie sīki izstrādātie kolēģijas norādījumi par VDAR teritoriālās piemērošanas jomu ir svarīgi, lai palīdzētu ārvalstu ekonomikas dalībniekiem noteikt, vai un uz kādām apstrādes darbībām attiecas regulas garantijas, tostarp izmantojot konkrētus piemērus 109 .

ES datu aizsardzības tiesību aktu piemērošanas darbības jomas paplašināšana pati par sevi tomēr nav pietiekama, lai garantētu to ievērošanu praksē. Padome ir arī norādījusi 110 , ka ir ļoti svarīgi nodrošināt, ka ārvalstu ekonomikas dalībnieki ievēro šos tiesību aktus un ka tiek panākta to efektīva izpilde attiecībā uz šādiem ārvalstu ekonomikas dalībniekiem. Šajā ziņā pārstāvja iecelšanai ES (VDAR 27. panta 1. un 2. punkts), pie kura iedzīvotāji un uzraudzības iestādes var vērsties papildus vai tā atbildīgā uzņēmuma vietā, kurš darbojas ārvalstīs 111 , būtu jābūt galvenajai lomai. Šī pieeja, kas aizvien biežāk tiek izmantota arī citos kontekstos 112 , ir jāpiemēro daudz aktīvāk, lai dotu skaidru vēstījumu par to, ka uzņēmējdarbības vietas atrašanās ārpus ES neatbrīvo ārvalstu ekonomikas dalībniekus no atbildības saskaņā ar VDAR. Ja ekonomikas dalībnieki neizpilda savu pienākumu iecelt pārstāvi 113 , uzraudzības iestādēm jāizmanto visa izpildes panākšanas rīkkopa, kas norādīta VDAR 58. pantā (piemēram, publiski brīdinājumi, pagaidu vai pastāvīgs aizliegums veikt apstrādi ES, izpildes panākšana attiecībā uz kopīgiem pārziņiem, kuru uzņēmējdarbības vieta ir ES).

Visbeidzot, ir ļoti svarīgi, lai kolēģija pabeigtu papildu precizējumus par attiecībām starp 3. pantu par VDAR tiešo piemērojamību un V nodaļas noteikumiem par starptautisku nosūtīšanu 114 .

Lēmumi par aizsardzības līmeņa pietiekamību

Ieinteresēto personu sniegtās atsauksmes apliecina, ka lēmumi par aizsardzības līmeņa pietiekamību joprojām ir nozīmīgs ES ekonomikas dalībnieku rīks, lai droši pārsūtītu personas datus uz trešām valstīm 115 . Šādi lēmumi piedāvā visaptverošāko, vistiešāko un izmaksu ziņā visefektīvāko risinājumu datu nosūtīšanai, jo tie tiek izmantoti arī pārsūtīšanai ES teritorijā, tā nodrošinot personas datu drošu un brīvu apriti bez papildu nosacījumiem vai vajadzības saņemt atļauju. Tāpēc lēmumi par aizsardzības līmeņa pietiekamību var atvērt komerciālus kanālus ekonomikas dalībniekiem no ES un sekmēt sadarbību starp publiskām iestādēm, vienlaikus dodot priviliģētu piekļuvi ES vienotajam tirgum. Pamatojoties uz 1995. gada direktīvā paredzēto praksi, VDAR nepārprotami atļauj pieņemt lēmumu par aizsardzības līmeņa pietiekamību attiecībā uz noteiktu trešās valsts teritoriju vai noteiktu nozari vai jomu trešā valstī (t. d. daļējā aizsardzības līmeņa pietiekamība).

VDAR pamatojas uz pēdējo gadu laikā gūto pieredzi un Tiesas skaidrojumiem, kur tika noteikts sīki izklāstīts elementu kopums, kas Komisijai jāņem vērā izvērtēšanas laikā. Atbilstoši pietiekama aizsardzības līmeņa standartam aizsardzības līmenim ir jābūt salīdzināmam ar Savienībā nodrošināto (vai pēc būtības līdzvērtīgam) 116 . Tas ietver visaptverošu visas trešās valsts sistēmas novērtēšanu, kas ietver privātuma aizsardzības mehānismu būtību, to efektīvu īstenošanu un izpildes panākšanu, kā arī noteikumus publiskām iestādēm par piekļuvi personas datiem, jo īpaši saistībā ar tiesībaizsardzību un valsts drošības vajadzībām 117 .

Minētais ir arī atspoguļots bijušās 29. panta datu aizsardzības darba grupas pieņemtajos norādījumos (ko atbalstīja kolēģija) — jo īpaši tā sauktajā aizsardzības līmeņa “pietiekamības atsaucē”, kur tiek papildus skaidroti elementi, kas Komisijai jāņem vērā, veicot aizsardzības līmeņa pietiekamības novērtējumus, tostarp sniedzot “būtiskas garantijas” par publisku iestāžu piekļuvi personas datiem 118 . Tas jo īpaši pamatojas uz Eiropas Cilvēktiesību tiesas judikatūru. Lai gan pēc būtības līdzvērtīga aizsardzības līmeņa standarts neietver ES noteikumu burtisku replicēšanu (kopēšanu), ņemot vērā, ka līdzekļi salīdzināma aizsardzības līmeņa nodrošināšanai var atšķirties dažādās privātuma sistēmās, tā bieži atspoguļojot dažādas juridiskās tradīcijas, tomēr ir vajadzīgs augsts aizsardzības līmenis.

Šo standartu pamato fakts, ka lēmums par aizsardzības līmeņa pietiekamību pēc būtības dod trešai valstij vienotā tirgus ieguvumus attiecībā uz datu brīvu plūsmu. Tomēr tas arī nozīmē, ka dažkārt būs būtiskas atšķirības starp attiecīgajā valstī nodrošināto aizsardzības līmeni un VDAR, kas būs jānovērš, piemēram, sarunās par papildu garantijām. Šādas garantijas ir jāuztver pozitīvi, jo tās vēl vairāk pastiprina aizsardzību, kas pieejama iedzīvotājiem ES. Vienlaikus Komisija piekrīt kolēģijai, ka ir svarīgi pastāvīgi uzraudzīt to piemērošanu praksē, tostarp attiecībā uz efektīvu izpildes panākšanu, ko nodrošina trešo valstu datu aizsardzības iestāde 119 .

VDAR tiek skaidrots, ka lēmumi par aizsardzības līmeņa pietiekamību ir “dzīvi instrumenti", kas ir pastāvīgi jāuzrauga un periodiski jāpārskata 120 . Atbilstoši šīm prasībām Komisija regulāri apmainās ar datiem ar attiecīgajām iestādēm, lai aktīvi rīkotos pēc jauniem notikumiem. Piemēram, kopš lēmuma pieņemšanas par ES un ASV privātuma vairogu 2016. gadā 121 , Komisija kopā ar kolēģijas pārstāvjiem ir sagatavojusi 3 gada pārskatus, lai novērtētu visus regulējuma funkcionēšanas aspektus 122 . Šie pārskati pamatojās uz informāciju, kas saņemta, apmainoties ar datiem ar ASV iestādēm, kā arī saņemot datus no citām ieinteresētajām personām, piemēram, ES datu aizsardzības iestādēm, pilsoniskās sabiedrības un tirdzniecības asociācijām. Tie ir ļāvuši uzlabot dažādu regulējuma aspektu praktisko funkcionēšanu. Skatoties plašāk, gada pārskati ir devuši ieguldījumu izvērstāka dialoga par privātuma jautājumiem izveidē ar ASV valsts pārvaldi kopumā, kā arī konkrēti par ierobežojumiem un garantijām attiecība uz valsts drošību.

Veicot VDAR novērtējumu, Komisijai ir arī jāpārskata lēmumi par aizsardzības līmeņa pietiekamību, kas pieņemti atbilstoši 1995. gada direktīvai 123 . Komisijas dienesti ir iesaistījušies intensīvā dialogā ar katru no 11 attiecīgajām valstīm un teritorijām, lai novērtētu, kā kopš lēmuma par aizsardzības līmeņa pietiekamību ir attīstījušās to personas datu aizsardzības sistēmas un vai tās atbilst VDAR standartam. Vajadzība nodrošināt šādu lēmumu nepārtrauktību (jo tie ir galvenais tirdzniecības un starptautiskās sadarbības instruments) ir viens no faktoriem, kas licis vairākām šīm valstīm un teritorijām modernizēt un pastiprināt savus privātuma tiesību aktus. Tas noteikti ir atbalstāmi. Ar dažām no šīm valstīm un teritorijām tiek apspriestas papildu garantijas, lai novērstu būtiskas aizsardzības atšķirības.

Tomēr, ņemot vērā, ka paredzamajā 16. jūlija spriedumā Tiesa var sniegt skaidrojumus, kas varētu būt nozīmīgi attiecībā uz noteiktiem aizsardzības līmeņa pietiekamības standarta elementiem, Komisija atsevišķi ziņos par minēto 11 lēmumu par aizsardzības līmeņa pietiekamību novērtējumu pēc tam, kad Tiesa būs sagatavojusi spriedumu norādītajā lietā 124 .

Komisija pilnībā piekrīt ieinteresēto personu aicinājumam veikt intensīvākas sarunas ar noteiktām trešām valstīm, lai, iespējams, pieņemtu jaunus pietiekamas aizsardzības atzinumus 127 . Tā aktīvi pēta šādu iespēju attiecībā uz citiem svarīgiem partneriem Āzijā, Latīņamerikā un kaimiņattiecību valstīs, izmantojot esošo tendenci virzīties uz lielāku globālo konverģenci stingrāku datu aizsardzības standartu noteikšanā. Piemēram, visaptveroši privātuma tiesību akti ir tikuši pieņemti vai drīzumā likumdošanas procesā būtu jāapstiprina Latīņamerikā (Brazīlija, Čīle), kā arī situācija daudzsološi attīstās Āzijā (piemēram, Indijā, Indonēzijā, Malaizijā, Šrilankā, Taivānā un Taizemē), Āfrikā (piemēram, Etiopijā, Kenijā), kā arī Eiropas austrumu un dienvidu kaimiņattiecību valstīs (piemēram, Gruzijā, Tunisijā). Ja tas būs iespējams, Komisija mēģinās pieņemt visaptverošus lēmumus par aizsardzības līmeņa pietiekamību, kas iekļaus gan privāto, gan publisko sektoru 128 .

Turklāt VDAR tika arī ieviesta iespēja Komisijai pieņemt pietiekamas aizsardzības atzinumus attiecībā uz starptautiskām organizācijām. Laikā, kad dažas starptautiskās organizācijas modernizē savu datu aizsardzības sistēmu, īstenojot visaptverošus noteikumus, kā arī mehānismus, kas paredz neatkarīgu uzraudzību un efektīvu aizsardzību, var pirmo reizi apsvērt arī šādu iespēju.

Visbeidzot, Komisija augstu vērtē faktu, ka citas valstis īsteno datu nosūtīšanas mehānismus, kas ir līdzīgi pietiekamas aizsardzības atzinumam. Tādējādi tās bieži atzīst, ka ES un valstis, attiecībā uz kurām Komisija ir pieņēmusi lēmumu par aizsardzības līmeņa pietiekamību, ir drošs nosūtīšanas galamērķis 131 . Gan augošais to valstu skaits, kas gūst labumu no ES lēmumiem par aizsardzības līmeņa pietiekamību, gan šāda veida atzīšana citās valstīs var radīt tādu valstu tīklu, kur datu aprite var notikt brīvi un droši. Komisija to uzskata par apsveicamu notikumu, kas vēl vairāk palielinās ieguvumus no lēmumiem par aizsardzības līmeņa pietiekamību trešās valstīs un sekmēs globālo konverģenci. Šāda veida sinerģijas var arī dot noderīgu ieguldījumu drošas un brīvas datu aprites satvara izstrādē, piemēram, iniciatīvas “brīva datu aprite ar uzticību” kontekstā (sk. zemāk).

Atbilstošas garantijas

Papildus visaptverošajam risinājumam jeb pietiekamas aizsardzības atzinumam VDAR paredz vairākus citus nosūtīšanas instrumentus. Par šīs rīkkopas elastību liecina VDAR 46. pants, kurš regulē datu nosūtīšanu, pamatojoties uz “atbilstošām garantijām”, tostarp īstenojamām datu subjektu tiesībām un efektīviem tiesiskās aizsardzības līdzekļiem. Lai sniegtu atbilstošas garantijas, ir pieejami dažādi instrumenti, lai apmierinātu gan komerciālu ekonomikas dalībnieku, gan publisko struktūru nosūtīšanas vajadzības.

·Līguma standartklauzulas

Pirmā šo instrumentu grupa attiecas uz līgumiskiem rīkiem, kas var būt individuāli izstrādātās, ad hoc aizsardzības klauzulas, par ko vienojas ES datu eksportētājs un datu importētājs ārpus ES un ko apstiprina kompetentā datu aizsardzības iestāde (VDAR 46. panta 3. punkta a) apakšpunkts), vai paraugklauzulas, ko iepriekš apstiprinājusi Komisija (VDAR 46. panta 2. punkta c) un d) apakšpunkts 132 ). Vissvarīgākais no šiem instrumentiem ir tā sauktās līguma standartklauzulas, proti, datu aizsardzības paraugklauzulas, ko datu eksportētājs un datu importētājs var brīvprātīgi iekļaut savā līgumā (piemēram, pakalpojumu līgums, kura gadījumā ir jānosūta personas dati), kur tiek izklāstītas ar atbilstošām garantijām saistītās prasības.

Līguma standartklauzulas ir visbiežāk izmantotais nosūtīšanas mehānisms 133 . Tūkstošiem ES uzņēmumu paļaujas uz līguma standartklauzulām, lai sniegtu saviem klientiem, piegādātājiem, partneriem un darbiniekiem plašu pakalpojumu klāstu, tostarp pakalpojumus, kas ir būtiski svarīgi ekonomikas funkcionēšanai. To lielā popularitāte liecina, ka līguma standartklauzulas ir ļoti noderīgas uzņēmumiem, tiem tiecoties panākt atbilstību prasībām, kā arī ir īpaši izdevīgas tiem uzņēmumiem, kam nav resursu, lai vienotos par individuālu līgumu ar katru no biznesa partneriem. Pateicoties standartizācijai un iepriekšējai apstiprināšanai, līguma standartklauzulas piedāvā uzņēmumiem viegli īstenojamu rīku, lai izpildītu datu aizsardzības prasības nosūtīšanas kontekstā.

Pašreizējais līguma standartklauzulu kopums 134 tika pieņemts un apstiprināts, pamatojoties uz 1995. gada direktīvu. Līguma standartklauzulas paliek spēkā līdz to grozīšanai, aizstāšanai vai atcelšanai, ja tas ir vajadzīgs, ar Komisijas lēmumu (VDAR 46. panta 5. punkts). VDAR dod lielāku iespēju izmantot līguma standartklauzulas datu nosūtīšanai gan ES teritorijā, gan uz citām valstīm. Komisija sadarbojas ar ieinteresētajām personām, lai izmantotu šīs iespējas un atjauninātu pašreizējās klauzulas 135 . Lai nodrošinātu, ka līguma nākotnes standartklauzulas ir derīgas paredzētajam mērķim, Komisija ir apkopojusi atsauksmes par ieinteresēto personu pieredzi ar līguma standartklauzulām, izmantojot Daudzpusējo ieinteresēto personu grupu VDAR jautājumos, kā arī īpašu darbsemināru, kas notika 2019. gada septembrī, un saziņu ar vairākiem uzņēmumiem, kas izmanto līguma standartklauzulas, un pilsoniskās sabiedrības organizācijām. Kolēģija arī atjaunina vairākas pamatnostādnes, kas varētu būt svarīgas līguma standartklauzulu pārskatīšanai, piemēram, par pārziņa un apstrādātāja jēdzieniem.

Strādājot ar šiem jautājumiem, Komisija arī apsver veidus, kā padarīt esošo līguma standartklauzulu “arhitektūru” daudz vieglāk izmantojamu, piemēram, aizstājot vairākus standartklauzulu kopumus ar vienu visaptverošu dokumentu. Tomēr ir grūti atrast labu līdzsvaru starp vajadzību pēc skaidrības un noteiktas standartizācijas pakāpes, no vienas puses, un nepieciešamo elastību, no otras puses, kas ļauj šīs klauzulas izmantot vairākiem ekonomikas dalībniekiem, kam ir dažādas prasības, kā arī atšķirīgos kontekstos un dažāda veida nosūtīšanai.

Vēl ir jāapsver arī tāds svarīgs aspekts kā iespējamā vajadzība (ņemot vērā Tiesā notiekošo tiesvedību 137 ) sīkāk precizēt garantijas attiecībā uz ārvalstu publisko iestāžu piekļuvi datiem, kas pārsūtīti atbilstoši līguma standartklauzulām, jo īpaši valsts drošības nolūkos. Tas var ietvert prasību datu importētājam, eksportētājam vai abiem rīkoties, kā arī datu aizsardzības iestāžu lomas skaidrošanu šādā kontekstā. Lai gan līguma standartklauzulu pārskatīšanā ir panākts labs progress, ir jāgaida Tiesas spriedums, lai pārskatītajās klauzulās atspoguļotu jebkādas iespējamās papildu prasības, pirms lēmuma projektu par jauno līguma standartklauzulu kopumu var iesniegt kolēģijai atzinuma sagatavošana un pirms to var piedāvāt pieņemt, izmantojot komitoloģijas procedūru 138 .

Komisija paralēli uztur saziņu ar starptautiskajiem partneriem, kas izstrādā līdzīgus rīkus 139 . Šis dialogs, kas ļauj apmainīties ar pieredzi un paraugprakses piemēriem, varētu dot ievērojamu ieguldījumu konverģences panākšanā “uz vietas”, šādi sekmējot atbilstību pārrobežu nosūtīšanas noteikumiem, kas piemērojumi uzņēmumiem, kuri darbojas dažādos pasaules reģionos.

·Saistoši uzņēmuma noteikumi (SUN)

Vēl viens svarīgs instruments ir tā sauktie saistošie uzņēmuma noteikumi (SUN). Tie ir juridiski saistoši politikas dokumenti un vienošanās, kas piemērojamas uzņēmumu grupas dalībniekiem, tostarp to darbiniekiem (VDAR 46. panta 2. punkta b) apakšpunkts, 47. pants). SUN izmantošana iespējo personas datu brīvu apriti starp dažādiem grupas dalībniekiem visā pasaulē, tā novēršot vajadzību noslēgt līgumu ar visām korporatīvajām struktūrām, vienlaikus nodrošinot, ka vienādi augsts personas datu aizsardzības līmenis tiek ievērots visā grupā. SUN piedāvā īpaši labu risinājumu sarežģītām un lielām uzņēmumu grupām, kā arī ciešai to uzņēmumu sadarbībai, kas apmainās ar datiem vairākās jurisdikcijās. Atšķirībā no 1995. gada direktīvas, atbilstoši VDAR saistošos uzņēmuma noteikumus var izmantot tādu uzņēmumu grupa, kas iesaistīti kopējā saimnieciskajā darbībā, bet nav daļa no vienas korporatīvās grupas.

Procesuāli SUN ir jāapstiprina kompetentajām datu aizsardzības iestādēm, pamatojoties uz nesaistošu kolēģijas atzinumu 140 . Lai virzītu šo procesu, kolēģija ir pārskatījusi SUN “atsauces dokumentus” (nosakot standartus pēc būtības) pārziņiem 141 un apstrādātājiem 142 , ņemot vērā VDAR, un turpina atjaunināt šos dokumentus, pamatojoties uz uzraudzības iestāžu gūto praktisko pieredzi. Kolēģija ir arī pieņēmusi vairākus norāžu dokumentus, lai palīdzētu pieteikuma iesniedzējiem, kā arī lai racionalizētu SUN pieteikuma iesniegšanas un apstiprināšanas procesu 143 . Saskaņā ar kolēģijas norādīto apstiprināšanai tiek gatavoti vairāk nekā 40 SUN, un ir paredzēts, ka puse no šiem SUN tiks apstiprināta līdz 2020. gada beigām 144 . Datu aizsardzības iestādēm ir svarīgi turpināt apstiprināšanas procesa racionalizēšanu, jo ieinteresētās personas bieži norāda, ka šādu procedūru garums ir praktisks šķērslis plašākai SUN izmantošanai.

Visbeidzot, kas attiecas uz SUN, ko apstiprinājusi AK datu aizsardzības iestāde — Informācijas komisāra birojs, — uzņēmumi varētu turpināt tos izmantot kā derīgu nosūtīšanas mehānismu atbilstoši VDAR arī pēc ES un AK izstāšanās līguma pārejas perioda beigām, bet tikai tad, ja šie noteikumi tiek grozīti, lai jebkādu saikni ar AK tiesisko kārtību aizstātu ar atbilstošām atsaucēm uz uzņēmumu struktūrām un kompetentajām iestādēm ES. Jebkādu jaunu SUN apstiprināšana jālūdz ES uzraudzības iestādei.

·Sertifikācijas mehānismi un rīcības kodeksi

Papildus esošo nosūtīšanas instrumentu modernizēšanai un piemērošanas paplašināšanai ar VDAR ir arī ieviesti jauni instrumenti, tā paplašinot starptautiskās nosūtīšanas iespējas. Tas ietver apstiprinātu rīcības kodeksu un sertifikācijas mehānismu (piemēram, privātuma zīmogu vai zīmju) izmantošanu noteiktos apstākļos, lai nodrošinātu atbilstošas garantijas. Šie ir augšupēji rīki, kas ļauj izmantot individuāli pielāgotus risinājumus — kā vispārējās pārskatatbildības mehānismu (sk. VDAR 40.-42. pantu), kā arī konkrēti datu starptautiskai nosūtīšanai, — piemēram, atspoguļojot attiecīgās nozares vai sektora vai noteiktu datu plūsmu īpašās iezīmes un vajadzības. Salāgojot pienākumus ar riskiem, rīcības kodeksi var kļūt par ļoti noderīgu un izmaksu ziņā efektīvu veidu, kā maziem un vidējiem uzņēmumiem izpildīt tiem ar VDAR uzliktos pienākumus.

Kas attiecas uz sertifikācijas mehānismiem, lai gan kolēģija ir pieņēmusi pamatnostādnes, lai sekmētu šo mehānismu izmantošanu ES, tā joprojām izstrādā kritērijus sertifikācijas mehānismu kā starptautiskas nosūtīšanas rīku apstiprināšanai. Tas pats attiecas uz rīcības kodeksiem — kolēģija izstrādā pamatnostādnes rīcības kodeksu kā nosūtīšanas rīku izmantošanai.

Tā kā ir ļoti svarīgi ekonomikas dalībniekiem nodrošināt plašu klāstu dažādu nosūtīšanas instrumentu, kas ir pielāgoti to vajadzībām, kā arī ņemot vērā noteiktu sertifikācijas mehānismu spēju sekmēt datu nosūtīšanu, vienlaikus nodrošinot augstu datu aizsardzības līmeni, Komisija aicina kolēģiju pēc iespējas ātrāk sagatavot savus norādījumus par šo jautājumu. Tas attiecas gan uz materiāliem (kritēriji), gan procesuāliem aspektiem (apstiprināšana, uzraudzība utt.). Ieinteresētās personas ir paudušas lielu interesi par šiem nosūtīšanas mehānismiem, un tām ir jāspēj pilnībā izmanot VDAR rīkkopu. Kolēģijas pamatnostādnes arī popularizētu datu aizsardzības ES modeli visā pasaulē un sekmētu konverģenci, jo citās privātuma sistēmās tiek izmantoti līdzīgi instrumenti.

Analizējot pašreizējos standartizācijas centienus privātuma jomā Eiropas un starptautiskā līmenī, var izdarīt vērtīgus secinājumus. Viens interesants piemērs ir nesen publiskotais standarts ISO 27701 145 , kura mērķis ir palīdzēt uzņēmumiem izpildīt privātuma prasības un pārvaldīt risku, kas saistīts ar personas datu apstrādi, izmantojot privātuma informācijas pārvaldības sistēmas. Lai gan sertifikācija atbilstoši šim standartam neļauj pilnībā izpildīt VDAR 42. un 43. panta prasības, privātuma informācijas pārvaldības sistēmu izmantošana var palielināt pārskatatbildību, tostarp datu starptautiskās nosūtīšanas kontekstā.

·Starptautiski nolīgumi un administratīvas vienošanās

VDAR arī dod iespēju sniegt atbilstošas garantijas attiecībā uz datu nosūtīšanu starp publiskām iestādēm vai struktūrām, pamatojoties uz starptautiski nolīgumiem (46. panta 2. punkta a) apakšpunkts) vai administratīvu vienošanos (46. panta 3. punkta b)apakšpunkts). Lai gan abiem instrumentiem jānodrošina vienāds iznākums attiecībā uz garantijām, tostarp īstenojamām datu subjekta tiesībām un efektīviem tiesiskās aizsardzības līdzekļiem, tiem ir dažāds juridiskais raksturs un pieņemšanas procedūra.

Atšķirībā no starptautiskiem nolīgumiem, kas rada saistošus pienākumus atbilstoši starptautiskajām tiesībām, administratīvas vienošanās (piemēram, saprašanās memoranda formā) parasti nav saistošas, un tāpēc tās no sākuma ir jāapstiprina kompetentajai datu aizsardzības iestādei (sk. arī VDAR 108. apsvērumu). Viens agrīns piemērs attiecas uz administratīvu vienošanos par personas datu nosūtīšanu starp EEZ un citu valstu finanšu uzraugiem, kas sadarbojas Starptautiskās Vērtspapīru komisiju organizācijas (IOSCO) paspārnē, par ko 2019. gada sākumā kolēģija sniedza savu atzinumu 146 . Kopš tā laika kolēģija ir vēl labāk izstrādājusi savu to “minimālo garantiju” interpretāciju, kuras jāsniedz starptautiskos (sadarbības) nolīgumos un administratīvās vienošanās starp publiskām iestādēm vai struktūrām (tostarp starptautiskām organizācijām), lai izpildītu VDAR 46. panta prasības. 2020. gada 18. janvārī tā izstrādāja pamatnostādnes 147 , tādējādi atbildot uz dalībvalstu lūgumu sniegt papildu skaidrojumu un norādījumus par to, ko varētu uzskatīti par atbilstošām garantijām, pārsūtot datus starp publiskām iestādēm 148 . Kolēģija stingri iesaka publiskām iestādēm izmantot šīs pamatnostādnes kā atskaites punktu savās sarunās ar trešām personām 149 .

Pamatnostādnēs tiek parādīta šādu instrumentu struktūras elastība, tostarp attiecībā uz tādiem svarīgiem aspektiem kā uzraudzība 150 un tiesību aizsardzība 151 . Tam būtu jāļauj publiskajām iestādēm pārvarēt grūtības, piemēram, nodrošinot īstenojamas datu subjektu tiesības ar nesaistošu vienošanos palīdzību. Svarīgs šādas vienošanās elements ir pastāvīga kompetentās datu aizsardzības iestādes veiktā uzraudzība, ko sekmē informācijas un ierakstu saglabāšanas prasības, kā arī datu aprites apturēšana, ja praksē vairs nav iespējams nodrošināt atbilstošas garantijas.

Atkāpes

Visbeidzot, VDAR ir precizēta tā saukto atkāpju izmantošana. Datu nosūtīšanai ir konkrēts pamatojums (piemēram, nepārprotama piekrišana 152 , līguma izpilde vai svarīgi sabiedrības interešu iemesli), kas paredzēts tiesību aktos un ko ekonomikas dalībnieki var izmantot, ja nav citu nosūtīšanas rīku un ja tiek izpildīti noteikti nosacījumi.

Lai skaidrotu šāda tiesību aktos noteikta pamata izmantošanu, kolēģija ir pieņēmusi īpašus norādījumus 153 un ir interpretējusi 49. pantu vairākās lietās attiecībā uz konkrētiem nosūtīšanas scenārijiem 154 . Tā kā atkāpes pēc būtības ir izņēmumi, kolēģija uzskata, ka atkāpes ir jāinterpretē šauri un jāizvērtē katrā individuālā gadījumā. Neskatoties uz šauro interpretāciju, to pamatojums aptver daudzus dažādus nosūtīšanas scenārijus. Tas jo īpaši attiecas uz datu nosūtīšanu no publiskām iestādēm un privātām struktūrām, kas vajadzīga “svarīgu sabiedrības interešu iemeslu” dēļ, piemēram, starp konkurences, finanšu, nodokļu vai muitas iestādēm, dienestiem, kas kompetenti risināt sociālā nodrošinājuma vai sabiedrības veselības jautājumus (piemēram, veicot kontaktu izsekošanu lipīgu infekcijas slimību gadījumā vai lai izskaustu dopinga lietošanu sportā) 155 . Vēl viena joma ir pārrobežu sadarbība krimināllietās tiesībaizsardzības nolūkos, jo īpaši smagu noziegumu gadījumos 156 .

Kolēģija ir skaidrojusi, ka, lai gan būtiskās sabiedrības intereses ir jāatzīst ES vai dalībvalstu tiesību aktos, to var arī noteikt, pamatojoties uz “starptautisku nolīgumu vai konvenciju, kur tiek atzīts noteikts mērķis un paredzēta starptautiska sadarbība, lai sekmētu šā mērķa sasniegšanu, kas var kalpot par rādītāju, novērtējot sabiedrības interešu pastāvēšanu atbilstoši 49. panta 1. punkta d) apakšpunktam, ja vien ES vai dalībvalstis ir parakstījušas attiecīgo nolīgumu vai konvenciju” 157 .

Ārvalstu tiesu vai iestāžu lēmumi — nav pamats nosūtīšanai

Papildus datu nosūtīšanas pamatojuma noteikšanai VDAR V nodaļā tiek arī skaidrots (48. pantā), ka ES nepiederošu tiesu rīkojumu vai administratīvo iestāžu lēmumi paši par sevi nekalpo par šādu pamatu, ja vien šie rīkojumu un lēmumi nav atzīti vai padarīti piemērojami, pamatojoties uz starptautisku nolīgumu (piemēram, nolīgumu par savstarpēju juridisko palīdzību). Ja ES dalībnieks, kuram tas pieprasīts, atklāj datus ārvalstu tiesai vai iestādei, reaģējot uz šādu rīkojumu vai lēmumu, šāda atklāšana tiek uzskatīta par datu starptautisku nosūtīšanu, kam jāpamatojas uz vienu no norādītajiem nosūtīšanas instrumentiem 158 .

VDAR nav bloķējošs tiesību akts, un noteiktos apstākļos ir iespējams atļaut nosūtīšanu, atbildot uz atbilstošu tiesībaizsardzības pieprasījumu no trešās valsts. Svarīgi ir tas, ka ES tiesību aktiem būtu jānosaka, vai attiecīgais gadījums tāds ir un kādas garantijas jāsniedz, lai šāda nosūtīšana varētu notikt.

Savstarpējās tiesību atzīšanas nodrošināšana ir svarīga, jo tiesībaizsardzība noziedzības un jo īpaši kibernoziedzības gadījumā aizvien biežāk ietver pārrobežu aspektus, tādējādi bieži radot jautājumus par jurisdikciju un iespējamas tiesību kolīzijas 164 . Nav pārsteigums, ka labākais veids šādu problēmu risināšanai ir starptautiski nolīgumi, kas paredz nepieciešamos ierobežojumus un garantijas pārrobežu piekļuvei personas datiem, tostarp nodrošinot augstu datu aizsardzības līmeni pieprasītājā iestādē.

Komisija, rīkojoties ES vārdā, ir iesaistījusies daudzpusējās sarunās par otro papildu protokolu Eiropas Padomes (Budapeštas) Konvencijai par kibernoziegumiem, kura mērķis ir uzlabot esošos noteikumus, lai saņemtu pārrobežu piekļuvi elektroniskiem pierādījumiem kriminālizmeklēšanas laikā, protokolā vienlaikus nodrošinot atbilstošas datu aizsardzības garantijas 165 . Līdzīgi divpusējas sarunas ir arī uzsāktas par vienošanos starp ES un Amerikas Savienotajām Valstīm par pārrobežu piekļuvi elektroniskiem pierādījumiem tiesu iestāžu sadarbībai krimināllietās 166 . Šo sarunu laikā Komisija paļaujas uz Eiropas Parlamenta un Padomes atbalstu, kā arī EDAK norādījumiem.

Raugoties plašāk, ir svarīgi nodrošināt, ka tad, kad uzņēmumi, kas aktīvi darbojas Eiropas tirgū, tiek aicināti kopīgot datus tiesībaizsardzības nolūkos, pamatojoties uz leģitīmu pieprasījumu, šie uzņēmumu to varētu darīt, nepārkāpjot tiesību aktus un pilnībā ievērojot ES pamattiesības. Lai uzlabotu šādu nosūtīšanu, Komisija kopā ar tās starptautiskajiem partneriem ir apņēmusies izstrādāt atbilstošu tiesisko regulējumu, lai izvairītos no tiesību kolīzijas un atbalstītu efektīvas sadarbības formas, jo īpaši paredzot vajadzīgās datu aizsardzības garantijas un tādējādi dodot ieguldījumu efektīvā cīņā pret noziedzību.

7.3Starptautiskā sadarbība datu aizsardzības jomā

Konverģences sekmēšana starp dažādām privātuma sistēmām arī nozīmē mācīšanos vienam no otra, apmainoties ar zināšanām, pieredzi un paraugpraksi. Šāda apmaiņa ir ļoti svarīga, lai risinātu jaunas problēmas, kuras kļūst aizvien globālākas gan rakstura, gan mēroga ziņā, Tieši tāpēc Komisija ir aktivizējusi sarunas par datu aizsardzību un datu apriti ar daudziem un dažādiem dalībniekiem, kā arī dažādos formātos divpusējā, reģionālā un daudzpusējā līmenī.

Divpusējā dimensija

Pēc VDAR pieņemšanas ir aizvien lielāka interese par ES pieredzi, izstrādājot, apspriežot un īstenojot mūsdienīgus privātuma noteikumus. Dialogs ar valstīm, kurās notiek līdzīgi procesi, ir norisinājies dažādos veidos.

Komisijas dienesti ir snieguši savu viedokli vairāku sabiedriskās apspriešanās procesu laikā, ko organizējušas ārvalstu valdības, apsverot tiesību aktus privātuma jomā, piemēram, ASV 167 , Indijā 168 , Malaizijā un Etiopijā. Dažās trešās valstīs Komisijas dienestiem ir tikusi dota privilēģija sniegt informāciju kompetentām parlamentārām struktūrām, piemēram, Brazīlijā 169 , Čīlē 170 , Ekvadorā un Tunisijā 171 .

Turklāt pašreizējo datu aizsardzības tiesību aktu reformu kontekstā ir notikušas īpaši šim jautājumam veltītas sanāksmes ar valdības pārstāvjiem vai parlamentārajām delegācijām no daudziem pasaules reģioniem (piemēram, Gruzijas, Kenijas, Taivānas, Taizemes un Marokas). Tas ietvēra semināru un izpētes vizīšu organizēšanu, piemēram, ar Indonēzijas valdības pārstāvjiem un ASV Kongresa darbinieku delegāciju. Tas arī deva iespēju skaidrot svarīgus VDAR jēdzienus, uzlabot savstarpējo izpratni par privātuma jautājumiem un parādīt konverģences ieguvumus, lai nodrošinātu personu tiesību augsta līmeņa aizsardzību, tirdzniecību un sadarbību. Dažos gadījumos tas arī ļāva brīdināt par dažiem nepareizi izprastiem datu aizsardzības aspektiem, kas var izraisīt protekcionisma pasākumu ieviešanu, piemēram, prasību par datu piespiedu teritoriālās ierobežošanas piemērošanu.

Kopš VDAR pieņemšanas Komisija ir arī iesaistījusies sadarbībā ar vairākām starptautiskām organizācijām, tostarp datu apmaiņas ar šīm organizācijas nozīmes kontekstā vairākās politikas jomās. Šajā ziņā ir uzsāktas konkrētas sarunas ar Apvienoto Nāciju Organizāciju, lai sekmētu pārrunas ar visām iesaistītajām ieinteresētajām personām nolūkā nodrošināt datu netraucētu nosūtīšanu un veidotu dziļāku konverģenci starp attiecīgajām datu aizsardzības sistēmām. Šā dialoga ietvaros Komisija cieši sadarbosies ar EDAK, lai precizētu, kā ES publiskās organizācijas un privātie ekonomikas dalībnieki var ievērot savus VDAR paredzētos pienākumus, apmainoties ar datiem ar tādām starptautiskām organizācijām kā ANO.

Komisija ir gatava turpināt dalīties ar informāciju, ko tā uzzinājusi reformu procesā, ar ieinteresētajām valstīm un starptautiskajām organizācijām, līdzīgi kā tā mācījās no citām sistēmām, kad izstrādāja savus priekšlikumu par jauniem ES datu aizsardzības noteikumiem. Šāda veida dialogs nāk par labu ES un tās partneriem, jo tas ļauj gūt labāku izpratni par ātri mainīgo situāciju privātuma jomā un apmainīties ar viedokļiem par jaunajiem juridiskiem un tehnoloģiskajiem risinājumiem.

Multilaterālā dimensija

Papildus divpusējai sadarbībai Komisija arī aktīvi piedalās vairāku daudzpusēju forumu darbā, lai popularizētu kopīgās vērtības un veidotu konverģenci reģionālā un globālā līmenī.

Aizvien lielākais Eiropas Padomes Konvencijas par personu aizsardzību attiecībā uz personas datu automātisko apstrādi, kas ir vienīgais saistošais multilaterālais instruments personas datu aizsardzības jomā, parakstītāju skaits no visas pasaules ir skaidra zīme, ka notiek konverģence virzībā uz stingrākiem noteikumiem 172 . Konvencija, kuru drīkst parakstīt arī valstis, kas nav Eiropas Padomē, jau ir ratificēta 55 valstīs, tostarp vairākās Āfrikas un Latīņamerikas valstīs 173 . Komisija ir devusi ievērojamu ieguldījumu, lai sarunas par konvencijas modernizāciju būtu sekmīgas 174 , un nodrošinājusi, ka tā atspoguļo tos pašus principus, kas iekļauti ES datu aizsardzības noteikumos. Vairums ES dalībvalstu, izņemot Dāniju, Maltu un Rumāniju, ir parakstījušas grozījumu protokolu. Tikai četras dalībvalstis (Bulgārija, Horvātija, Lietuva un Polija) ir ratificējušas grozījumu protokolu. Komisija aicina trīs atlikušās dalībvalstis parakstīt modernizēto konvenciju, kā arī visas dalībvalstis ātri uzsākt ratifikācijas procesu, lai šī konvencija tuvākajā nākotnē varētu stāties spēkā 175 . Papildus iepriekš minētajam Komisija arī turpinās aktīvi sekmēt trešo valstu pievienošanos konvencijai.

Pēdējā laikā G20 un G7 valstis arī ir apspriedušas datu aprites un aizsardzības jautājumus. Pasaules līderi 2019. gadā pirmo reizi atbalstīja domu, ka datu aizsardzība dod ieguldījumu uzticības veidošanā digitālajai ekonomikai un sekmē datu apriti. Ar aktīvu Komisijas atbalstu 176 līderi atbalstīja “datu brīvas aprites ar uzticību” jēdzienu, ko sākotnēji Osakas G20 deklarācijā 177 , kā arī G7 samitā Biaricā piedāvāja Japāna 178 . Šī pieeja ir arī atspoguļota Komisijas 2020. gada paziņojumā “Eiropas Datu stratēģija” 179 , kur tiek izcelts tās nolūks turpināt sekmēt datu kopīgu lietošanu ar uzticamiem partneriem, vienlaikus cīnoties pret tādiem ļaunprātīgas izmantošanas gadījumiem kā (ārvalstu) publisko iestāžu nesamērīga piekļuve datiem.

Tādējādi ES arī spēs izmantot vairākus rīkus dažādās politikas jomās, kur aizvien vairāk tiek ņemta vērā privātuma ietekme — piemēram, pirmais ES regulējums ārvalstu tiešo ieguldījumu Savienībā izvērtēšanai, kas būs pilnībā piemērojams no 2020. gada oktobra, dod ES un tās dalībvalstīm iespēju izvērtēt ieguldījumu darījumus, kam ir ietekme uz “piekļuvi sensitīvai informācijai, tostarp personas datiem, vai spēju kontrolēt šādu informāciju”, ja tie ietekmē drošību vai sabiedrisko kārtību 180 .

Vairākos citos daudzpusējos forumos Komisija sadarbojas ar līdzīgi domājošām valstīm, lai aktīvi popularizētu tās vērtības un standartus. Viens svarīgs forums ir ESAO nesen izveidotā Datu pārvaldības un privātuma darba grupa (DGP), kura īsteno vairākas svarīgas iniciatīvas, kuras saistītas ar datu aizsardzību, datu kopīgu lietošanu un datu nosūtīšanu. Tas iever 2013. gada ESAO privātuma pamatnostādņu novērtēšanu. Turklāt Komisija ir aktīvi sniegusi ieguldījumu ESAO Padomes ieteikumos par mākslīgo intelektu 181 un nodrošinājusi, ka ES uz cilvēku vērstā pieeja (proti, ka mākslīgā intelekta programmām ir jāatbilst pamattiesībām un jo īpaši datu aizsardzības prasībām) ir atspoguļota to galējā versijā. Svarīgi, ka ieteikumi par mākslīgo intelektu, kas vēlāk tika iekļauti G20 mākslīgā intelekta principos, kuri tika pievienoti G20 valstu vadītāju Osakas Deklarācijai kā tās pielikums 182 , iekļauj pārredzamības un paskaidrojamības principus, lai “dotu iespēju tiem, ko nelabvēlīgi ietekmējusi mākslīgā intelekta sistēma, apstrīdēt tās darbības rezultātu, pamatojoties uz vienkāršu un viegli saprotamu informāciju par faktoriem un loģiku, kas kalpoja par pamatu prognozei, ieteikumam vai lēmumam”, tādējādi skaidri atspoguļojot VDAR principus attiecībā uz automatizētu lēmumu pieņemšanu 183 .

Komisija arī aktīvāk iesaistās dialogā ar reģionālām organizācijām un tīkliem, kam ir aizvien lielāka loma kopējo datu aizsardzības standartu noteikšanā 184 , sekmējot paraugprakses piemēru apmaiņu un veicinot sadarbību starp izpildes panākšanas struktūrām. Tas jo īpaši attiecas uz Dienvidaustrumāzijas valstu asociāciju (ASEAN), tostarp notiekošā darba ar datu nosūtīšanas rīkiem kontekstā, Āfrikas Savienību, Āzijas un Klusā okeāna Privātuma iestāžu (APPA) forumu un Ibērijas pussalas un Latīņamerikas valstu datu aizsardzības tīklu — visas šīs organizācijas ir aizsākušas svarīgas iniciatīvas šajā jomā un nodrošina vietu auglīgām sarunām starp privātuma regulatoriem un citām ieinteresētajām personām.

I pielikums. Neobligātās konkretizēšanas klauzulas valstu tiesību aktos

II pielikums. Datu aizsardzības iestāžu resursu pārskats

Tabulā tālāk tekstā ir sniegts datu aizsardzības iestāžu resursu (personāla un budžeta) pārskats sadalījumā pa ES/EEZ dalībvalstīm 191 .

Salīdzinot dalībvalstu rādītājus, ir svarīgi atcerēties, ka iestādēm var būt uzticēti uzdevumi, kas nav saistīti vien ar VDAR, un ka šie uzdevumi dažādās dalībvalstīs var atšķirties. Iestādēs nodarbināto personu skaits uz vienu miljonu iedzīvotāju un to budžeta attiecība pret vienu miljonu eiro no IKP ir iekļauti, tikai lai sniegtu papildu salīdzināšanas iespējas starp līdzīga izmēra dalībvalstīm, un nav jāskata izolēti no citiem datiem. Novērtējot attiecīgās iestādes resursus, ir jāņem vērā gan absolūtie skaitļi, gan koeficienti, gan izmaiņas pēdējo gadu laikā. 

Neapstrādāto datu avots: kolēģija, Komisijas aprēķini. 

(1)

 Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (OV L 119, 4.5.2016., 1.–88. lpp.). 

(2)

Komisijas paziņojums Eiropas Parlamentam un Padomei “Datu aizsardzības noteikumi kā uzticības vairotājs ES un ārpus tās – izvērtējums”, COM(2019) 374 final, 24.7.2019.

(3)

 Komisijas paziņojums Eiropas Parlamentam un Padomei: Spēcīgāka aizsardzība, jaunas iespējas — Komisijas norādes par Vispārīgās datu aizsardzības regulas tiešu piemērošanu, sākot ar 2018. gada 25. maiju, COM(2018)43 final 

(4)

     Padomes viedoklis un atzinumi par Vispārīgās datu aizsardzības regulas piemērošanu – 14994/2/19 Rev2, 15.01.2020.

https://data.consilium.europa.eu/doc/document/ST-14994-2019-REV-2/lv/pdf

(5)

2020. gada 21. februāra Eiropas Parlamenta LIBE komitejas vēstule komisāram Didier Reynders, ats. IPOL-COM-LIBE D (2020)6525.

(6)

     Kolēģijas ieguldījums VDAR novērtēšanā atbilstoši 97. pantam, kas pieņemts 2020. gada 18. februārī: https://edpb.europa.eu/our-work-tools/our-documents/other/contribution-edpb-evaluation-gdpr-under-article-97_lv

(7)

      https://edpb.europa.eu/individual-replies-data-protection-supervisory-authorities_lv

(8)

     Komisijas izveidotās daudzpusējās ieinteresēto personu ekspertu grupas sastāvā ir iekļauti pilsoniskās sabiedrības, uzņēmēju un akadēmisko aprindu pārstāvji, kā arī praktizējoši speciālisti:

https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537&Lang=LV

Daudzpusējas ieinteresēto personu grupas ziņojums ir pieejams šādā tīmekļa vietnē:

https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeeting&meetingId=21356

(9)

     Šo faktu savā viedoklī un atzinumos par VDAR piemērošanu jo īpaši izcēla Padome, kā arī kolēģija savā ieguldījumā novērtējuma sagatavošanā.

(10)

     Iekavās norādītie skaitļi atbilst to ES/EEZ datu aizsardzības iestāžu skaitam, kas ir izmantojušas uzskaitītās pilnvaras laikā no 2018. gada maija līdz 2019. gada novembra beigām. Sk. kolēģijas ieguldījumu, 32.-33. lpp.

(11)

     Vairāki lēmumi, ar kuriem ir piemēroti naudas sodi, vēl ir jāpārskata tiesā.

(12)

     VDAR 83. panta 7. punkts.

(13)

   Hartas 8. panta 3. punkts, LESD 16. panta 2. punkts, VDAR 20. apsvērums.

(14)

     Salīdz. ar Eiropas Datu aizsardzības kolēģijas paziņojumu par datu aizsardzības ietekmi uz ekonomikas koncentrāciju, https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_economic_concentration_lv.pdf.

(15)

     Sk. lietu COMP M. 8124 Microsoft/LinkedIn.

(16)

     Eiropas Parlamenta un Padomes Direktīva 2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju), OV L 201, 31.7.2002., 0037.–0047. lpp.

(17)

     Eiropas Parlamenta un Padomes Direktīva (ES) 2016/1148 (2016. gada 6. jūlijs) par pasākumiem nolūkā panākt vienādi augsta līmeņa tīklu un informācijas sistēmu drošību visā Savienībā (OV L 194, 19.7.2016., 1.–30. lpp.).

(18)

     Sk. sīku informāciju par sekretariāta darbību kolēģijas ieguldījumā, 24.-26. lpp.

(19)

     Papildus 10 pamatnostādnēm, ko pirms VDAR piemērošanas datuma pieņēma 29. panta datu aizsardzības darba grupa un ko ir atbalstījusi kolēģija. Laikā no 2020. gada janvāra līdz maija beigām kolēģija ir arī pieņēmusi 4 papildu pamatnostādnes un atjauninājusi vienas esošās pamatnostādnes.

(20)

     42 no šiem atzinumiem tika pieņemti saskaņā ar VDAR 64. pantu, bet viens saskaņā ar VDAR 70. panta 1. punkta s) apakšpunktu, un tas bija saistīts ar lēmumu par aizsardzības līmeņa pietiekamību attiecībā uz Japānu.

(21)

     Sk. kolēģijas ieguldījumu, 18.-23. lpp., lai iepazītos ar pilnīgu pārskatu par kolēģijas darbību.

(22)

     https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_art_

23gdpr_20200602_lv_1.pdf

(23)

     https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_lv.pdf

(24)

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_

with_annex_lv.pdf

(25)

     Iekšējā tirgus informācijas sistēma (IMI).

(26)

     Sk. kolēģijas ieguldījumu, 8. lpp.

(27)

     Piemēram, 2020. gada 22. maijā atbilstoši regulas 60. pantam Īrijas datu aizsardzības iestāde iesniedza lēmuma projektu citām attiecīgajām iestādēm saistībā ar izmeklēšanu pret Twitter International Company attiecībā uz datu aizsardzības pārkāpuma paziņojumu. Tajā pašā dienā Īrijas datu aizsardzības iestāde arī paziņoja, ka tiek gatavots ar pārredzamību saistīts lēmuma projekts par WhatsApp Ireland Limited (tostarp attiecībā uz pārredzamību saistībā ar to, kāda informācija tiek kopīgota ar Facebook), lai to iesniegtu atbilstīgi 60. pantam.

(28)

     VDAR 61. pants.

(29)

     Sk. kolēģijas ieguldījumu, 12.-14. lpp.

(30)

     VDAR 62. pants.

(31)

     Pamatojoties uz VDAR 64. pantu.

(32)

     VDAR 65. pants.

(33)

     VDAR 66. pants.

(34)

     Saskaņā ar VDAR 64. panta 1. punktu.

(35)

     VDAR 28. panta 8. punkts.

(36)

     Saskaņā ar VDAR 64. panta 2. punktu.

(37)

     Sk. kolēģijas ieguldījumu, 15. lpp.

(38)

     Kā ir norādīts arī Padomes nostājā un atzinumos.

(39)

     Skatīt turpmāk 7. punktu.

(40)

     Kamēr nav pieņemta E-privātuma regula, ir vajadzīga cieša sadarbība ar iestādēm, kuras atbildīgas par E-privātuma direktīvas īstenošanas panākšanu dalībvalstīs. Saskaņā ar šo direktīvu dažās dalībvalstīs iestādes, kurām ir uzticēta E-privātuma direktīvas 5. panta 3. punkta (kur tiek paredzēti nosacījumi, saskaņā ar kuriem var iestatīt sīkdatnes un piekļūt šīm sīkdatnēm lietotāja galiekārtās) izpildes panākšana, nav VDAR uzraudzības iestādes.

(41)

     VDAR 33. pants.

(42)

     Sk. kolēģijas ieguldījumu, 35. lpp.

(43)

     29. panta datu aizsardzības darba grupas kontekstā darbs pamatnostādņu izstrādei sākās jau pirms VDAR piemērošanas datuma 2018. gada 25. maijā. Pamatnostādņu pilnīgu sarakstu sk. vietnē https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_lv

(44)

     Uz to ir arī norādījis Eiropas Parlaments un Padome.

(45)

     Pašlaik tiek gatavotas kolēģijas pamatnostādnes par pārziņiem un apstrādātājiem.

(46)

     Sk. VDAR 52. panta 4. punktu.

(47)

     Regula stājās spēkā 2016. gada maijā un pēc divu gadu pārejas perioda kļuva piemērojama 2018. gada maijā.

(48)

     Sk. kolēģijas ieguldījumu, 26.-30. lpp.

(49)

     Vācijā ir 18 iestādes, no kurām viena ir federāla iestāde, bet 17 ir reģionālas iestādes (tostarp divas iestādes Bavārijā).

(50)

     VDAR 60. pants.

(51)

     VDAR 52. panta 4. punkts.

(52)

     VDAR 75. pants.

(53)

     Jānorāda, ka Slovēnijas datu valsts aizsardzības iestāde ir izveidota, pamatojoties uz esošo datu valsts aizsardzības tiesību aktu, un tā uzrauga VDAR piemērošanu šajā dalībvalstī.

(54)

     Šī pārkāpuma procedūra attiecas uz 2019. gada 20. decembra Polijas likumu par tiesnešiem, kas ietekmē tiesnešu neatkarību un cita starpā skar informācijas atklāšanu par tiesnešu iesaisti ar profesionālo darbību nesaistītos pasākumos:

https://ec.europa.eu/commission/presscorner/detail/en/ip_20_772.

(55)

     Sk. hartas 8. panta 3. punktu, LESD 16. pantu, VDAR 20. apsvērumu.

(56)

     Piemēram, vēl nav pieņemts prejudiciāls nolēmums lietā (C-272/19), kur jālemj par atkāpi no VDAR piemērošanas parlamentārai komitejai.

(57)

     VDAR 85. pants.

(58)

     Plaši izmantotais termins “atvērtības klauzulas”, lai apzīmētu konkretizēšanas klauzulas, ir maldinošs, jo tas var radīt iespaidu, ka dalībvalstīm ir plašākas manevrēšanas iespējas, nekā noteikts regulā.

(59)

     VDAR 8. apsvērums.

(60)

     13 gadi Beļģijā, Dānijā, Igaunijā, Somijā, Latvijā, Maltā, Portugālē un Zviedrijā; 14 gadi Austrijā, Bulgārijā, Kiprā, Spānijā, Itālijā un Lietuvā; 15 gadi Čehijā, Grieķijā un Francijā; 16 gadi Vācijā, Ungārijā, Horvātijā, Īrijā, Luksemburgā, Nīderlandē, Polijā, Rumānijā un Slovākijā.

(61)

     VDAR 9. pants.

(62)

     VDAR 89. panta 2. punkts.

(63)

     Sk. VDAR 9. panta 2. punkta i) apakšpunktu un 46. apsvērumu.

(64)

     https://ec.europa.eu/info/sites/info/files/recommendation_on_apps_for_contact_tracing_4.pdf

(65)

https://eur-lex.europa.eu/legal-content/LV/TXT/?uri=CELEX%3A32020H0518

(66)

https://edpb.europa.eu/news/news/2020/statement-processing-personal-data-context-covid-19-outbreak_lv

(67)

     https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_lv

(68)

     Piemēram, tāpēc, ka tajos vienkārši ir atkārtots VDAR 23. panta 1. punkta formulējums.

(69)

     VDAR 37. panta 1. punkts.

(70)

     Vācija.

(71)

     Izmantojot VDAR 37. panta 4. punktā paredzēto konkretizēšanas klauzulu.

(72)

     Salīdz. ar VDAR 4. apsvērumu.

(73)

     https://ec.europa.eu/commission/presscorner/detail/lv/IP_19_2956

(74)

     Eiropas Savienības Pamattiesību aģentūra (FRA) (2020. g.): 2019. gada ziņojumā par pamattiesībām. Datu aizsardzība un tehnoloģijas: https://fra.europa.eu/en/publication/2020/fundamental-rights-survey-data-protection

(75)

     VDAR 80. pants.

(76)

     COM/2018/0184 final — 2018/089 (COD)

(77)

     Saskaņā ar VDAR 77. un 80. pantu.

(78)

     Sk. kolēģijas ieguldījumu, 31.-32. lpp.

(79)

     VDAR 12. panta 2. punkts.

(80)

     VDAR 13. panta 1. punkta b) apakšpunkts un 14. panta 1. punkta b) apakššpunkts.

(81)

     https://eur-lex.europa.eu/legal-content/LV/TXT/PDF/?uri=CELEX:52020DC0066&from=LV

(82)

     Sk. daudzpusējās ieinteresēto personu grupas ziņojumu.

(83)

     Sk. sabiedriskās apspriešanas rezultātus par bērnu datu aizsardzības tiesībām, ko organizēja Īrijas datu aizsardzības iestāde: https://www.dataprotection.ie/sites/default/files/uploads/2019-09/Whose%20Rights%20Are%20They%20Anyway_Trends%20and%20Hightlights%20from%20Stream%201.pdf . Arī Francijas datu aizsardzības iestāde 2020. gada aprīlī uzsāka sabiedrisku apspriešanu: https://www.cnil.fr/fr/la-cnil-lance-une-consultation-publique-sur-les-droits-des-mineurs-dans-lenvironnement-numerique

(84)

     VDAR 12. panta 1. punkts.

(85)

     VDAR 25. pants.

(86)

     Sk. Norvēģijas Patērētāju padomes ziņojumu Deceived by design (“Integrēts apmāns”), kur ir uzsvērti “tumšie modeļi”, noklusējuma iestatījumi un citas iespējas un metodes, ko uzņēmumi izmanto, lai nemanāmi mudinātu lietotājus izvēlēties privātumu ierobežojošākus variantus:

https://www.forbrukerradet.no/undersokelse/no-undersokelsekategori/deceived-by-design/

Sk. arī Transatlantiskā patērētāju dialoga un Heinrich-Böll-Stiftung Brussels Eiropas Savienības biroja 2019. gada decembrī publicēto pētījumu, kurā tika analizēta 3 galveno globālo platformu prakse:

https://eu.boell.org/en/2019/12/11/privacy-eu-and-us-consumer-experiences-across-three-global-platforms

(87)

     Eiropas Parlamenta un Padomes Regula (ES) 2018/1807 (2018. gada 14. novembris) par satvaru nepersondatu brīvai apritei Eiropas Savienībā, OV L 303, 28.11.2018., 59.-68. lpp.

(88)

     VDAR 24. panta 1. punkts.

(89)

     Sk. kolēģijas ieguldījumu, 35. lpp.

(90)

     Sk. kolēģijas ieguldījumu, 35.-45. lpp.

(91)

     https://ec.europa.eu/info/funding-tenders/opportunities/portal/screen/opportunities/topic-details/rec-rdat-trai- ag-2017.

(92)

      https://ec.europa.eu/info/law/law-topic/data-protection/eu-data-protection-rules/eu-funding-supporting-implementation-gdpr_lv

(93)

     Sk. daudzpusējās ieinteresēto personu grupas ziņojumu.

(94)

     Sk. Padomes ieguldījumu.

(95)

     Komisijas paziņojums Eiropas Parlamentam un Padomei, Vadlīnijas par Regulu par satvaru nepersondatu brīvai plūsmai Eiropas Savienībā, COM/2019/250 final.

(96)

  https://edpb.europa.eu/our-work-tools/our-documents/wytyczne/guidelines-12019-codes-conduct-and-monitoring-bodies-under_lv .

(97)

     Sk. daudzpusējās ieinteresēto personu grupas ziņojumu.

(98)

     Sk. darbības, par kurām paziņots Eiropas Datu stratēģijā, 30. lpp.

(99)

     Saskaņā ar VDAR 41. panta 3. punktu. Sk. EDAK atzinumus vietnē: https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_lv

(100)

  https://ec.europa.eu/info/study-data-protection-certification-mechanisms_lv

(101)

  https://edpb.europa.eu/our-work-tools/our-documents/nasoki/guidelines-12018-certification-and-identifying-certification_lv .

(102)

  https://edpb.europa.eu/our-work-tools/our-documents/pokyny/guidelines-42018-accreditation-certification-bodies-under_lv . Vairākas uzraudzības iestādes jau ir iesniegušas savas akreditācijas prasības EDAK gan attiecībā uz rīcības kodeksu uzraudzības struktūrām, gan sertifikācijas struktūrām. Sk. pārskatu vietnē https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_lv .

(103)

  https://ec.europa.eu/digital-single-market/en/news/towards-more-secure-and-trusted-cloud-europe

(104)

     VDAR 28. panta 7. punkts.

(105)

     Kā norādījusi Padome, Eiropas Parlaments un kolēģija savā ieguldījumā novērtējumā.

(106)

     Tomēr ieinteresētās personas ir novērojušas, ka VDAR 22. pants neattiecas uz visiem automātiskas lēmumu pieņemšanas procesiem mākslīgā intelekta kontekstā.

(107)

      https://ec.europa.eu/commission/presscorner/detail/lv/ip_20_962  

(108)

     Komisijas paziņojums Eiropas Parlamentam un Padomei, Apmaiņa ar personas datiem un šo datu aizsardzība globalizētā pasaulē, 10.1.2017. (COM(2017) 7 final).

(109)

     EDAK, Pamatnostādnes 2/2018 par VDAR teritoriālo piemērošanas jomu, 12.11.2019. Pamatnostādnēs ir apskatīti daži jautājumi, kas tika uzdoti sabiedriskās apspriešanas laikā, piemēram, mērķorientēšanas interpretācija un uzraudzības kritēriji.

(110)

   Skatīt Padomes nostājas un secinājumu 34., 35. un 38. punktu.

(111)

     Sk. VDAR 27. panta 4. punktu un 80. apsvērumu (“Pārziņa vai apstrādātāja neatbilstības gadījumā uz iecelto pārstāvi būtu jāattiecina izpildes procedūras”).

(112)

     Priekšlikums, Eiropas Parlamenta un Padomes direktīvai, ar ko paredz saskaņotus noteikumus juridisko pārstāvju iecelšanai ar mērķi iegūt pierādījumus kriminālprocesā (COM/2018/226 final), 3. pants. Priekšlikums, Eiropas Parlamenta un Padomes regulai par to, kā novērst teroristiska satura izplatīšanu tiešsaistē (COM(2018) 640 final), 16. panta 2. un 3. punkts.

(113)

     Saskaņā ar vienu iesniegumu sabiedriskās apspriešanas laikā viens no galvenajiem risināmajiem jautājumiem ir “efektīva izpildes panākšana un reālas sekas tiem, kas izvēlas ignorēt šo prasību [...] Jo īpaši jāatceras, ka tas arī rada uzņēmumiem, kuru uzņēmējdarbības vieta atrodas Savienībā, nelabvēlīgu konkurētspējas situāciju salīdzinājumā ar neatbilstošiem uzņēmumiem, kuri reģistrēti ārpus Savienības un veic uzņēmējdarbību Savienības teritorijā.” Sk. EU Business Partners, 2020. gada 29. aprīļa iesniegums.

(114)

     Vairākos sabiedriskās apspriešanas laikā iesniegtajos iesniegumos ir minēta šī problēma, piemēram, attiecībā uz personas datu nosūtīšanu saņēmējiem ārpus ES, kas nav minēta VDAR.

(115)

   Padomes nostāja un konstatējumi, 17. punkts; Kolēģijas ieguldījums, 5.–6. lpp. Sabiedriskās apspriešanas laikā respondenti, tostarp vairākas uzņēmumu asociācijas (kā Francijas Lielo uzņēmumu asociācija, Digital Europe, Global Data Alliance/BSA, Datoru un komunikācijas nozares asociācija (CCIA) vai ASV Tirdzniecības palāta), aicināja intensīvāk strādāt ar pietiekamas aizsardzības atzinumiem, jo īpaši attiecībā uz svarīgiem tirdzniecības partneriem.

(116)

     ES Tiesas 2015. gada 6. oktobra spriedums lietā C-362/14, Maximillian Schrems pret Data Protection Commissioner (“Schrems”), 73., 74. un 96. punkts. Sk. arī VDAR 104. apsvērumu, kas attiecas uz līdzvērtību pēc būtības.

(117)

     VDAR 45. panta 2. punkts un VDAR 104. apsvērums. Sk. arī Schrems, 75. un 91. punkts.

(118)

     Pietiekamības atsauces, WP 254 rev. 01, 2018. gada 6. februāris (pieejams vietnē https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108 ).

(119)

     Kolēģijas ieguldījums, 5.–6. lpp.

(120)

     Saskaņā ar VDAR 45. panta 4. un 5. punktu Komisijai ir pastāvīgi jāuzrauga norises trešās valstīs un regulāri (vismaz reizi 4 gados) jāpārskata pietiekamas aizsardzības atzinumi. Tie arī dod Komisijai pilnvaras atcelt, grozīt vai apturēt lēmumu par aizsardzības līmeņa pietiekamību, ja tā konstatē, ka attiecīgā valsts vai starptautiskā organizācija vairs nenodrošina pienācīgu aizsardzības līmeni. Saskaņā ar VDAR 97. panta 2. punkta a) apakšpunktu Komisijai ir arī līdz 2020. gadam jāiesniedz Eiropas Parlamentam un Padomei novērtējuma ziņojums. Sk. arī Tiesas 2015. gada 6. oktobra spriedumu lietā C-362/14, Maximillian Schrems pret Data Protection Commissioner, 76. punkts.

(121)

     Komisijas Īstenošanas lēmums (ES) 2016/1250 (2016. gada 12. jūlijs) saskaņā ar Eiropas Parlamenta un Padomes Direktīvu 95/46/EK par pienācīgu aizsardzību, ko nodrošina ES un ASV Privātuma vairogs. Šis lēmums par aizsardzības līmeņa pietiekamību ir īpašs gadījums, proti, tā kā ASV nav vispārēju datu aizsardzības tiesību aktu, notiek paļaušanās uz iesaistīto uzņēmumu solījumiem (kuru izpilde ir panākama atbilstoši ASV tiesību aktiem) piemērot datu aizsardzības noteikumus, kas izklāstīti šajā vienošanās dokumentā. Turklāt privātuma vairogs pamatojas uz ASV valdības īpašajiem apliecinājumiem un solījumiem attiecībā uz piekļuvi nacionālās drošības vajadzībām, kas ir pietiekamas aizsardzības atzinuma pamatā.

(122)

   Pārskatīšana notika 2017. gadā (Komisijas ziņojums Eiropas Parlamentam un Padomei saistībā ar pirmo gada pārskatu par ES un ASV privātuma vairoga darbību, COM (2017) 611 final), 2018. gadā (Komisijas ziņojums Eiropas Parlamentam un Padomei saistībā ar otro gada pārskatu par ES un ASV privātuma vairoga darbību, COM (2018) 860 final) un 2019. gadā (Komisijas ziņojums Eiropas Parlamentam un Padomei par trešo gada pārskatu par ES un ASV privātuma vairogu, COM(2019) 495 final.

(123)

Šie pašreizējie lēmumi par aizsardzības līmeņa pietiekamību attiecas uz valstīm, kas cieši integrētas ar Eiropas Savienību un tās dalībvalstīm (Šveice, Andora, Fēru Salas, Gērnsija, Džērsija, Menas Sala), svarīgiem tirdzniecības partneriem (piemēram, Argentīnu, Kanādu, Izraēlu) un valstīm, kas uzņēmušās vadošo lomu datu aizsardzības tiesību aktu izstrādē savā reģionā (Jaunzēlande, Urugvaja).

(124)

Lieta C-311/18, Data Protection Commissioner pret Facebook Ireland Limited, Maximillian Schrems (Schrems II), attiecas uz lūgumu sniegt prejudiciālu nolēmumu par t. s. līguma standartklauzulām. Tomēr Tiesa var detalizētāk skaidrot noteiktus aizsardzības līmeņa pietiekamības standarta elementus. Tiesas sēde šajā lietā notika 2019. gada 9. jūlijā, un ir paziņots, ka spriedums tiks pieņemts 2020. gada 16. jūlijā.

(125)

     Sk. iepriekš 109. zemsvītras piezīmi. Komisija ir norādījusi, ka, novērtējot to, ar kurām valstīm uzsākt datu aizsardzības pietiekamības sarunas, ir jāņem vērā šādi kritēriji: i) cik nozīmīgas ir ES (esošās vai iespējamās) komerciālās attiecības ar trešo valsti, tostarp brīvās tirdzniecības nolīguma esamība vai notiekošas sarunas, ii) cik nozīmīgas ir personas datu plūsmas no ES, kas atspoguļo ģeogrāfiskās un/vai kultūras saiknes, iii) trešās valsts vadošā loma privātuma un datu aizsardzības jomā, kas varētu kalpot par modeli citām attiecīgā reģiona valstīm, iv) vispārējās politiskās attiecības ar valsti, jo īpaši saistībā ar kopējo vērtību veicināšanu un kopējiem mērķiem starptautiskā līmenī.

(126)

     Eiropas Parlamenta 2018. gada 13. decembra rezolūcija par Japānas nodrošinātās personas datu aizsardzības pietiekamību (2018/2979(RSP)), 27. punkts, Kolēģijas ieguldījums, 5.–6. lpp.

(127)

     Sk. Eiropas Parlamenta 2017. gada 12. decembra rezolūciju par virzību uz digitālās tirdzniecības stratēģiju (2017/2065(INI)), 8. un 9. punktu. Padomes viedoklis un atzinumi par Vispārīgās datu aizsardzības regulas (VDAR) piemērošanu, 19.12.2019. (14994/1/19), 17. punkts, Kolēģijas ieguldījums, 5.–6. lpp.

(128)

     Ko arī ir pieprasījusi Padome, sk. dokumentu “Padomes viedoklis un atzinumi par Vispārīgās datu aizsardzības regulas (VDAR) piemērošanu”, 19.12.2019. (14994/1/19), 17. un 40. punktu. Tomēr šādos gadījumos ir jāizpilda nosacījumi pietiekamas aizsardzības atzinuma pieņemšanai attiecībā uz datu nosūtīšanu publiskām iestādēm, tostarp neatkarīgu uzraudzību.

(129)

     Sk. sarunu norādes, kas pievienotas Padomes lēmumam, ar ko pilnvaro sākt sarunas par jaunu partnerību ar Lielbritānijas un Ziemeļīrijas Apvienoto Karalisti (ST 5870/20 ADD 1 REV 3), 13. un 118. punkts.

(130)

Sk. pārskatīto politisko deklarāciju par ES un Apvienotās Karalistes turpmāko attiecību satvaru, par ko panākta vienošanas sarunvedēju līmenī 2019. gada 17. oktobrī, 8.-10. punktu (pieejama vietnē https://ec.europa.eu/commission/sites/beta-political/files/revised_political_declaration.pdf ).

(131)

     Piemēram, Argentīna, Kolumbija, Izraēla, Šveice un Urugvaja.

(132)

     Līguma standartklauzulas starptautiskai datu nosūtīšanai vienmēr ir jāapstiprina Komisijai, lai gan tās var sagatavot Komisija vai datu valsts aizsardzības iestāde. Visas esošās līguma standartklauzulas ir iekļaujamas pirmajā kategorijā.

(133)

     Saskaņā ar IAPP-EY ikgadējo 2019. gada Privātuma pārvaldības ziņojumu “vispopulārākais no šiem [nosūtīšanas] rīkiem — jau gadu no gada — ir līguma standartklauzulas: šā gada apsekojumā 88 % respondentu norādīja, ka līguma standartklauzulas ir to galvenā metode ekstrateritoriālas datu nosūtīšanas veikšanai, kam seko atbilstība ES un ASV privātuma vairoga shēmai (60 %). No respondentiem, kuri nosūta datus no ES Apvienotajai Karalistei (52 %), 91 % ziņo, ka plāno izmantot līguma standartklauzulas datu pārsūtīšanas atbilstības nodrošināšanai pēc Brexit.”

(134)

     Komisija pašlaik ir pieņēmusi trīs līguma standartklauzulu kopumu attiecībā uz personas datu nosūtīšanu uz trešām valstīm: divi kopumi nosūtīšanai no EEZ pārziņa pārzinim, kas neatrodas EEZ, un viens kopums nosūtīšanai no EEZ pārziņa apstrādātājam, kas neatrodas EEZ. Tie tika grozīti 2016. gadā pēc Tiesas sprieduma Schrems I lietā (C-362/14), lai izslēgtu jebkādus ierobežojumus kompetentajām uzraudzības iestādēm izmantot savas pilnvaras datu nosūtīšanas pārraudzībai. Sk. https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_lv .

(135)

     Sk. kolēģijas ieguldījumu, 6.-7. lpp. Arī Padome ir aicinājusi Komisiju “tuvākajā nākotnē pārskatīt un koriģēt [līguma standartklauzulas], lai ņemtu vērā datu pārziņu un apstrādātāju vajadzības”. Sk. Padomes nostāju un konstatējumus.

(136)

     Vairākos iesniegumos sabiedriskās apspriešanas laikā tika sniegti komentāri par pēdējo scenāriju, bieži paužot bažas par to, ka, prasot ES apstrādātājiem nodrošināt pienācīgas garantijas to attiecībās ar pārziņiem ārpus ES, tiem radītu nelabvēlīgu konkurētspējas situāciju salīdzinājumā ar ārvalstu apstrādātājiem, kas piedāvā līdzīgus pakalpojumus.

(137)

Skatīt Schrems II lietu.

(138)

Saskaņā ar VDAR 46. panta 2. punkta c) apakšpunktu līguma standartklauzulas ir jāpieņem, izmantojot pārbaudes procedūru, kas paredzēta 5. pantā 2011. gada 16. februāra Eiropas Parlamenta un Padomes Regulā (ES) Nr. 182/2011, ar ko nosaka normas un vispārīgus principus par dalībvalstu kontroles mehānismiem, kuri attiecas uz Komisijas īstenošanas pilnvaru izmantošanu, OV L 55, 28.2.2011., 13.-18. lpp. Tas jo īpaši ietver pozitīvu lēmumu komitejā, kas sastāv no dalībvalstu pārstāvjiem.

(139)

     Tas, piemēram, ietver darbu, ko pašlaik veic ASEAN dalībvalstis, lai izstrādātu ASEAN līguma paraugklauzulas. Sk. ASEAN, Galvenās pieejas ASEAN pārrobežu datu plūsmu mehānismam (pieejams vietnē https://asean.org/storage/2012/05/Key-Approaches-for-ASEAN-Cross-Border-Data-Flows-Mechanism.pdf ).

(140)

Pārskatu par līdz šiem pieņemtajiem EDAK atzinumiem sk. vietnē https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_lv .

(141)

      https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614109 .

(142)

      https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614110 .

(143)

     Šos dokumentus pieņēma (bijusī 29. panta datu aizsardzības darba grupa) pēc VDAR stāšanās spēkā, bet pirms pārejas perioda beigām. Sk. WP263 ( https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623056 ); WP264 ( https://edpb.europa.eu/sites/edpb/files/files/file2/wp264_art29_wp_bcr-c_application_form.pdf ); WP265 ( https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623848 ).

(144)

     Kolēģijas ieguldījums, 7. lpp.

(145)

To konkrēto prasību saraksts, kas veido šo ISO standartu, ir pieejams vietnē https://www.iso.org/standard/71670.html .

(146)

     EDAK, Atzinums 4/2019 par administratīvās vienošanās projektu par personas datu pārsūtīšanu starp Eiropas Ekonomikas zonas (EEZ) finanšu uzraudzības iestādēm un EEZ nepiederīgām finanšu uzraudzības iestādēm, 12.2.2019.

(147)

     EDAK, Pamatnostādnes 2/2020 par Regulas 2016/679 46. panta 2. punkta a) apakšpunktu un 46. panta 3. punkta b) apakšpunktu personas datu pārsūtīšanai starp EEZ publiskajām iestādēm un struktūrām un EEZ nepiederīgām publiskajām iestādēm un struktūrām (projekts pieejams vietnē https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-22020-articles-46-2-and-46-3-b_lv ). EDAK ir norādījusi, ka “kompetentā [uzraudzības iestāde] savu pārbaudi pamatos ar vispārējiem ieteikumiem, kas izklāstīti šajās pamatnostādnēs, bet var arī pieprasīt vairāk garantiju atkarībā no konkrētā gadījuma.” EDAK šo pamatnostādņu projektu iesniedza sabiedriskai apspriešanai, kas tika pabeigta 2020. gada 18. maijā.

(148)

   Padomes nostāja un konstatējumi, 20. punkts.

(149)

     Vienlaikus EDAK skaidro, ka publiskās iestādes joprojām var “brīvi pamatoties uz citiem būtiskiem rīkiem, kas paredz atbilstošas garantijas saskaņā ar VDAR 46. pantu”. Kas attiecas uz instrumenta izvēli, EDAK uzsver, ka “ir rūpīgi jāizvērtē, vai izmantot juridiski nesaistošu administratīvu vienošanos, lai sniegtu garantijas publiskajā sektorā, ņemot vērā apstrādes nolūku un attiecīgo datu raksturu. Ja trešās valsts vietējos tiesību aktos EEZ iedzīvotājiem netiek nodrošinātas datu aizsardzības tiesības un netiek paredzēta tiesību aizsardzība, priekšroka jādod juridiski saistoša līguma slēgšanai. Neatkarīgi no pieņemtā instrumenta veida esošajiem pasākumiem ir jābūt efektīviem, lai nodrošinātu pienācīgu īstenošanu, izpildes panākšanu un uzraudzību (67. punkts).

(150)

     Tas, piemēram, var ietvert iekšējo pārbaužu kombinēšanu (ar solījumu informēt otru pusi par jebkādām neatbilstībām) ar neatkarīgu uzraudzību, izmantojot ārējus vai vismaz funkcionāli autonomus mehānismus, kā arī iespēju nosūtīšanas publiskajai iestādei apturēt vai pārtraukt nosūtīšanu.

(151)

     Tas, piemēram, var ietvert tiesai pielīdzināmus, saistošus mehānismus (piemēram, šķīrējtiesas) vai strīdu alternatīvas izšķiršanas mehānismus, kas apvienoti ar iespēju nosūtīšanas publiskajai iestādei apturēt vai pārtraukt personas datu nosūtīšanu, ja puses nespēj vienoties strīda gadījumā, kā arī saņemšanas publiskās iestādes apņemšanos atgriezt vai dzēst personas datus. Saistošos un tiesiski īstenojamos instrumentos izvēloties alternatīvus tiesību aizsardzības mehānismus, jo nav iespēja nodrošināt tiesību efektīvu aizsardzību tiesā, EDAK iesaka lūgt kompetentās uzraudzības iestādes padomu, pirms vienoties par šādiem instrumentiem.

(152)

     Šīs ir izmaiņas salīdzinājumā ar Direktīvu 95/46, saskaņā ar kuru bija vajadzīga vien “viennozīmīga” piekrišana. Turklāt ir piemērojamas vispārējās piekrišanas došanas prasības, kas noteiktas VDAR 4. panta 11. punktā.

(153)

     EDAK, Pamatnostādnes 2/2018 par atkāpēm no Regulas 2016/679 49. panta, 25.5.2018. (pieejamas vietnē https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf ).

(154)

     Tas, piemēram, ietver veselības datu starptautisku nosūtīšanu pētniecības vajadzībām Covid-19 uzliesmojuma kontekstā. Sk. EDAK, Pamatnostādnes 03/2020 par veselības datu apstrādi zinātniskās pētniecības nolūkos saistībā ar Covid-19 uzliesmojumu, 21.4.2020. (pieejamas vietnē https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_lv.pdf ).

(155)

     Sk. 112. apsvērumu.

(156)

     Sk. Eiropas Komisijas iesniegumu Eiropas Savienības vārdā amicus curiae statusā, neatbalstot nevienu no pusēm, lietā US v. Microsoft, 15. lpp.: “Kopumā Savienības, kā arī dalībvalstu tiesību aktos ir atzīta cīņas pret smagiem noziegumiem nozīme — un tādējādi krimināltiesību jomas tiesību aktu izpildes panākšanas un starptautiskās sadarbības šajā jomā nozīme — kā vispārējas intereses mērķis. […] LESD 83. pantā ir noteiktas vairākas noziedzības jomas, kas ir jo īpaši smagas un kam ir pārrobežu dimensija, piemēram, narkotiku kontrabanda.” (pieejams vietnē https://www.supremecourt.gov/DocketPDF/17/17-2/23655/20171213123137791_17-2%20ac%20European%20Commission%20for%20filing.pdf ).

(157)

     Sk. EDAK, Pamatnostādnes par atkāpēm (153. zemsvītras piezīme augstāk), 10. lpp. EDAK ir arī skaidrojusi, ka, lai gan datu nosūtīšanai, kas pamatojas uz sabiedrības interešu atkāpi, nav jābūt “liela mēroga” vai “sistemātiskai”, tai tomēr “jābūt iespējamai tikai noteiktās situācijās un [...] jāizpilda absolūtas nepieciešamības testa kritēriji”, nav prasības par to, ka šādai nosūtīšanai būtu jābūt “neregulārai”.

(158)

     Tas ir skaidri noteikts 48. panta formulējumā (“neskarot citus nosūtīšanas pamatus saskaņā ar šo nodaļu”) un saistītajā 115. apsvērumā (“[n]osūtīšana būtu jāatļauj tikai tad, ja šīs regulas nosacījumi nosūtīšanai uz trešām valstīm ir izpildīti. Tas cita starpā varētu būt gadījumos, kad izpaušana ir nepieciešama, pamatojoties uz svarīgām sabiedrības interesēm, kas atzītas Savienības vai dalībvalsts tiesību aktos, kuri ir piemērojami pārzinim”). To ir arī atzinusi EDAK, sk. pamatnostādnes par atkāpēm (iepriekšējā 153. zemsvītras piezīme), 5. lpp. Visu apstrādes darbību gadījumā ir arī jāizpilda citi garantiju pasākumi, kas norādīti regulā (piemēram, ka dati tiek nosūtīti ar konkrētu nolūku, ir atbilstīgi, tiem jāietver tikai tas, kas nepieciešams pieprasījuma nolūkiem, utt.).

(159)

     Iesniegums Microsoft lietā (156. zemsvītras piezīme augstāk). Kā Komisija skaidroja, VDAR tādējādi padara nolīgumus par savstarpēju juridisko palīdzību par “ieteicamo opciju” datu nosūtīšanai, jo šādi nolīgumi “paredz pierādījumu iegūšanu ar piekrišanu un iemieso rūpīgi pārrunātu līdzsvaru starp dažādu valstu interesēm, kas ir paredzēts, lai mazinātu jurisdikciju konfliktus, kas citādi varētu rasties.” Sk. arī EDAK pamatnostādnes par atkāpēm (153. zemsvītras piezīme augstāk), 5. lpp. (“Situācijās, kad ir starptautisks nolīgums, piemēram, nolīgums par savstarpēju juridisko palīdzību, ES uzņēmumiem parasti jāatsakās izpildīt tieši pieprasījumi un jāiesaka trešās valsts pieprasītājai iestādei izmantot esošu nolīgumu par savstarpēju juridisko palīdzību vai līgumu”).

(160)

     Iesniegums Microsoft lietā (156. zemsvītras piezīme augstāk), 4. lpp.

(161)

     Iesniegums Microsoft lietā (156. zemsvītras piezīme augstāk), 6. lpp.

(162)

     Eiropas Komisija, Priekšlikums, Eiropas Parlamenta un Padomes regulai par Eiropas elektronisko pierādījumu sniegšanas un saglabāšanas rīkojumiem elektronisko pierādījumu gūšanai krimināllietās, 17.4.2018. (COM(2018) 225 final). Padome pieņēma vispārējās pieejas dokumentu attiecībā uz rosināto regulu 2018. gada 7. decembrī (pieejams vietnē https://www.consilium.europa.eu/en/press/press-releases/2018/12/07/regulation-on-cross-border-access-to-eevidence-council-agrees-its-position/# ). Sk. arī EDAU Atzinumu 7/19 par priekšlikumiem attiecībā uz Eiropas elektronisko pierādījumu sniegšanas un saglabāšanas rīkojumiem elektronisko pierādījumu gūšanai krimināllietās (pieejams vietnē  https://edps.europa.eu/data-protection/ourwork/publications/opinions/electronic-evidence-criminal-matters_en ).

(163)

     Paskaidrojuma rakstā, 21. lappusē, ir skaidri norādīts, ka papildus tam, lai nodrošinātu trešo valstu suverēno interešu atzīšanu, aizsargātu attiecīgo personu un novērstu pretrunīgus pienākumus pakalpojumu sniedzējiem, viens svarīgs motivējošais faktors savstarpējai interešu atzīšanai ir savstarpēji pienākumi, proti, lai tiktu ievēroti ES noteikumi, tostarp attiecībā uz personas datu aizsardzību (VDAR 48. pants). Sk. arī 29. panta datu aizsardzības darba grupas 2017. gada 29. novembra paziņojumu “Pārrobežu piekļuves elektroniskiem pierādījumiem datu aizsardzības un privātuma aspekti” (29. panta datu aizsardzības darba grupa) (pieejams vietnē file:///C:/Users/ralfs/AppData/Local/Packages/Microsoft.MicrosoftEdge_8wekyb3d8bbwe/TempState/Downloads/20171207_e-Evidence_Statement_FINALpdf%20(1).pdf ), p. 9.

(164)

     Sk. 29. panta datu aizsardzības darba grupas paziņojumu (iepriekšējā 163. zemsvītras piezīme), 6. lpp.

(165)

     Ieteikums, Padomes lēmums, ar ko pilnvaro piedalīties sarunās par otro papildu protokolu Eiropas Padomes Konvencijai par kibernoziegumiem (Eiropas Padomes līgumu sērija Nr. 185), 5.2.2019. (COM(2019) 71 final). Sk. arī EDAU Atzinumu 3/2019 par dalību sarunās saistībā ar Budapeštas Konvencijas par kibernoziegumiem otro papildu protokolu, 2.4.2019. (pieejams vietnē https://edps.europa.eu/sites/edp/files/publication/19-04-02_edps_opinion_budapest_convention_en.pdf ); EDAK, Ieguldījums Eiropas Padomes Konvencijas par kibernoziegumiem (Budapeštas konvencijas) otrā papildu protokola projekta apspriešanā, 13.11.2019. (pieejams vietnē https://edpb.europa.eu/sites/edpb/files/files/file1/edpbcontributionbudapestconvention_en.pdf ).

(166)

     Sk. Ieteikums, Padomes lēmums, ar ko pilnvaro sākt sarunas par Eiropas Savienības un Amerikas Savienoto Valstu nolīgumu par pārrobežu piekļuvi elektroniskajiem pierādījumiem tiesu iestāžu sadarbībai krimināllietās, 5.2.2019. (COM(2019) 70 final). Sk. arī EDAU Atzinumu 2/2019 par sarunu pilnvarām attiecībā uz ES un ASV nolīgumu par pārrobežu piekļuvi elektroniskiem pierādījumiem (pieejams vietnē https://edps.europa.eu/sites/edp/files/publication/19-04-02_edps_opinion_on_eu_us_agreement_on_e-evidence_en.pdf ).

(167)

Sk. Tiesiskuma un patērētāju ĢD 2018. gada 9. novembra atbildi uz ASV Nacionālās Telekomunikāciju un informācijas pārvaldes uzaicinājumu sniegt publiskus komentārus par rosināto pieeju patērētāju privātumam [lieta Nr. 180821780-8780-01] (pieejama vietnē https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf )

(168)

Sk. Tiesiskuma un patērētāju ĢD 2018. gada 19. novembra atbildi uz Indijas 2018. gada Personas datu aizsardzības likumprojektu Elektronikas un informācijas tehnoloģiju ministrijai (pieejama vietnē https://eeas.europa.eu/delegations/india/53963/submission-draft-personal-data-protection-bill-india-2018-directorate-general-justice_lv).

(169)

Sk. Brazīlijas Senāta 2018. gada 17. aprīļa plenārsēdi (https://www25.senado.leg.br/web/atividade/sessao-plenaria/-/pauta/23384 ), Brazīlijas Kongresa kopējās komitejas MP 869/2018 2019. gada 10. aprīļa sēdi ( https://www12.senado.leg.br/ecidadania/visualizacaoaudiencia?id=15392 ) un Brazīlijas Deputātu palātas īpašās komitejas 2019. gada 26. novembra sēdi (https://www.camara.leg.br/noticias/616579-comissao-discutira-protecao-de-dados-no-ambito-das-constituicoes-de-outros-paises/).

(170)

Sk. Čīles Senāta 2018. gada 29. maija ( https://senado.cl/appsenado/index.php?mo=comisiones&ac=asistencia_sesion&idcomision=186&idsesion=12513&idpunto=15909&sesion=29/05/2018&listado=1 ) un 2019. gada 24. aprīļa (https://www.senado.cl/appsenado/index.php?mo=comisiones&ac=sesiones_celebradas&idcomision=186&tipo=3&legi=485&ano=2019&desde=0&hasta=0&idsesion=13603&idpunto=17283&listado=2) Konstitucionālo, likumdošanas un tieslietu jautājumu komitejas sēdi.

(171)

Sk. Tunisijas Tautas pārstāvju asamblejas Tiesību, brīvību un ārējo attiecību komitejas 2018. gada 2. novembra sēdi ( https://www.facebook.com/1515094915436499/posts/2264094487203201/ ).

(172)

     Ir svarīgi saprast, ka modernizētā konvencija nav vien līgums, kurā paredzētas stingras datu aizsardzības garantijas — ar to tiek arī veidots uzraudzības iestāžu tīkls, kam ir rīki sadarbībai izpildes panākšanas jomā, kā arī tā ir diskusiju, paraugprakses piemēru apmaiņas un starptautisko standartu izstrādes forums (kopā ar Konvencijas komiteju).

(173)

Sk. pilnu konvencijas dalībnieku sarakstu vietnē https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108/signatures . Āfrikas valstis ir Kaboverde, Mauritānija, Maroka, Senegāla un Tunisija, Latīņamerikas valstis — Argentīna, Meksika un Urugvaja. Arī Burkinafaso ir uzaicināta pievienoties konvencijai.

(174)

Sk. modernizētās konvencijas tekstu vietnē https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=09000016807c65bf .

(175)

     Atbilstoši tās 2018. gada 18. maija lēmumam par grozījumu protokolu Ministru komiteja “aicināja dalībvalstis un citus konvencijas dalībniekus nekavējoties veikt vajadzīgos pasākumu, lai trīs gadu laikā, kopš uzsākts protokola parakstīšanas process, ļautu tam stāties spēkā un nekavējoties, bet nekādā gadījumā ne vēlāk kā vienu gadu pēc datuma, kad uzsākts protokola parakstīšanas process, uzsāktu procesu, lai to ratificētu atbilstoši valsts tiesību aktiem...” Tā arī “norādīja deputātiem, ka divas reizes gadā un pirmo reizi vienu gadu pēc protokola parakstīšanas procesa uzsākšanas datuma ir jāizskata vispārējais progress ceļā uz ratifikāciju, pamatojoties uz informāciju, ko ģenerālsekretāram sniedz katra dalībvalsts un citi konvencijas dalībnieki vismaz vienu mēnesi pirms šādas izskatīšanas.” Sk. https://search.coe.int/cm/pages/result_details.aspx?objectid=09000016808a3c9f .

(176)

     2019. gada ES un Japānas samita laikā priekšsēdētājs Jean-Claude Juncker pauda atbalstu Japānas “datu brīvās aprites ar uzticību” iniciatīvai un Osakas sistēmas izmantošanas uzsākšanai un apliecināja, ka Komisija “aktīvi iesaistīties abās iniciatīvās”.

(177)

     Sk. G20 valstu vadītāju Osakas Deklarāciju vietnē https://www.consilium.europa.eu/media/40124/final_g20_osaka_leaders_declaration.pdf  

(178)

     Sk. G7 Biaricas Stratēģiju atklātai, brīvai un drošai digitālai pārveidei vietnē https://www.elysee.fr/admin/upload/default/0001/05/62a9221e66987d4e0d6ffcb058f3d2c649fc6d9d.pdf  

(179)

     Komisijas paziņojums Eiropas Parlamentam, Padomei, Eiropas Ekonomikas un sociālo lietu komitejai un Reģionu komitejai, Eiropas datu stratēģija, 19.2.2020. (COM(2020) 66 final) ( https://eur-lex.europa.eu/legal-content/LV/TXT/PDF/?uri=CELEX:52020DC0066&from=LV ), 23.-24. lpp.

(180)

 Eiropas Parlamenta un Padomes Regula (ES) 2019/452 (2019. gada 19. marts), ar ko izveido regulējumu ārvalstu tiešo ieguldījumu Savienībā izvērtēšanai (OV L 79I, 21.3.2019.), 4. panta 1. punkta d) apakšpunkts.

(181)

      https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0449

(182)

G20 valstu ministru paziņojums par tirdzniecību un digitālo ekonomiku: https://g20trade-digital.go.jp/dl/Ministerial_Statement_on_Trade_and_Digital_Economy.pdf  

(183)

     Sk. VDAR 13. panta 2. punkta f) apakšpunktu, 14. panta 2. punkta g) apakšpunktu un 22. pantu.

(184)

     Sk., piemēram, Āfrikas Savienības Kiberdrošības un personas datu aizsardzības konvenciju (Malabo konvencija) un Ibērijas pussalas un Latīņamerikas valstu datu aizsardzības standartus, ko izstrādājis Ibērijas pussalas un Latīņamerikas valstu datu aizsardzības tīkls.

(185)

Eiropas Padomes Konvencija par personu aizsardzību attiecībā uz personas datu automātisko apstrādi https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108/signatures?p_auth=DW5jevqD  

(186)

Āfrikas Savienības Kiberdrošības un personas datu aizsardzības konvencija https://au.int/en/treaties/african-union-convention-cyber-security-and-personal-data-protection . Vairākas reģionālas ekonomikas kopienas (REK) arī ir izstrādājušas datu aizsardzības noteikumus, piemēram, Rietumāfrikas valstu ekonomikas kopiena (ECOWAS) un Dienvidāfrikas attīstības kopiena (SADC). Sk. attiecīgi http://www.tit.comm.ecowas.int/wp-content/uploads/2015/11/SIGNED-Data-Protection-Act.pdf un http://www.itu.int/ITU-D/projects/ITU_EC_ACP/hipssa/docs/SA4docs/data%20protection.pdf .

(187)

 

(188)

Cita starpā, izmantojot Politikas un regulējuma iniciatīvu digitālai Āfrikai (PRIDA), sk. informāciju vietnē https://www.africa-eu-partnership.org/en/projects/policy-and-regulation-initiative-digital-africa-prida .

(189)

Sk. Eiropas Komisijas un Savienības Augstās pārstāves ārlietās un drošības politikas jautājumos kopīgo paziņojumu “Ceļā uz visaptverošu stratēģiju ar Āfriku” (pieejams vietnē https://eur-lex.europa.eu/legal-content/LV/TXT/PDF/?uri=CELEX:52020JC0004&from=LV ), Digitālās ekonomikas darba grupa, Āfrikas un Eiropas Jaunā digitālās ekonomikas partnerība, Ilgtspējīgas attīstības mērķu sasniegšanas paātrināšana (pieejams vietnē https://www.africa-eu-partnership.org/sites/default/files/documents/finaldetfreportpdf.pdf ).

(190)

  https://eur-lex.europa.eu/legal-content/LV/TXT/PDF/?uri=CELEX:52020DC0066&from=LV , 23. lpp.

(191)

Izņemot Lihtenšteinu.