EIROPAS KOMISIJA

Briselē, 25.7.2024

COM(2024) 357 final

KOMISIJAS PAZIŅOJUMS EIROPAS PARLAMENTAM UN PADOMEI

Otrais ziņojums par Vispārīgās datu aizsardzības regulas piemērošanu

1Ievads

Šis ir Komisijas otrais ziņojums par Vispārīgās datu aizsardzības regulas (VDAR) piemērošanu, kas pieņemts saskaņā ar VDAR 97. pantu. Pirmais ziņojums tika pieņemts 2020. gada 24. jūnijā (“2020. gada ziņojums”) ( 1 )).

VDAR ir viens no ES pieejas digitālajai pārveidei stūrakmeņiem. Tās pamatprincipi – taisnīga, droša un pārredzama personas datu apstrāde, nodrošinot, ka personas saglabā kontroli – ir visu ar personas datu apstrādi saistīto ES politiku pamatā.

Kopš 2020. gada ziņojuma ES ir pieņēmusi vairākas iniciatīvas, kuru mērķis ir digitālās pārkārtošanās centrā izvirzīt indivīdus. Katrai iniciatīvai ir konkrēts mērķis, piemēram, radīt drošāku vidi tiešsaistē, padarīt digitālo ekonomiku taisnīgāku un konkurētspējīgāku, veicināt revolucionāru pētniecību, nodrošināt droša un uzticama mākslīgā intelekta (MI) izstrādi un izveidot patiesu vienoto datu tirgu. Visos gadījumos, kad runa ir par personas datiem, šīs iniciatīvas balstās uz VDAR. VDAR ir arī pamatā nozaru iniciatīvām, kas ietekmē personas datu apstrādi, piemēram, finanšu pakalpojumu, veselības aprūpes, nodarbinātības, mobilitātes un tiesībaizsardzības jomā.

Ieinteresēto personu, datu aizsardzības iestāžu un dalībvalstu vidū valda plaša vienprātība par to, ka, neraugoties uz dažām problēmām, VDAR ir devusi nozīmīgus rezultātus personām un uzņēmumiem. Uz risku balstīta, tehnoloģiski neitrāla pieeja nodrošina stingru datu subjektu aizsardzību un samērīgus pienākumus datu pārziņiem un apstrādātājiem. Tajā pašā laikā vairākās jomās jāpanāk turpmāks progress. Turpmākajos gados īpaša uzmanība jāpievērš tam, lai atbalstītu ieinteresēto personu — jo īpaši mazo un vidējo uzņēmumu (MVU), mazo operatoru, pētnieku un pētniecības organizāciju – centienus nodrošināt atbilstību, datu aizsardzības iestādēm sniedzot skaidrākus un praktiskākus norādījumus un panākot konsekventāku VDAR interpretāciju un izpildi visā ES.

Saskaņā ar VDAR 97. pantu Komisijai jo īpaši jāpārbauda, kā tiek piemērota un darbojas personas datu starptautiska nosūtīšana uz trešām valstīm (t. i., valstīm ārpus ES/EEZ) (VDAR V nodaļa) un kā tiek piemēroti un darbojas valstu datu aizsardzības iestāžu sadarbības un konsekvences mehānismi (VDAR VII nodaļa). Tomēr, tāpat kā 2020. gada ziņojumā, šajā ziņojumā ir sniegts vispārējs VDAR piemērošanas novērtējums, neaprobežojoties tikai ar šiem diviem elementiem: tajā ir arī noteiktas vairākas darbības, kas vajadzīgas, lai atbalstītu VDAR efektīvu piemērošanu galvenajās prioritārajās jomās.

Šajā ziņojumā ņemti vērā šādi avoti: i) Padomes nostāja un konstatējumi, kas pieņemti 2023. gada decembrī ( 2 ); ii) informācija, kas iegūta no ieinteresētajām personām, jo īpaši izmantojot VDAR daudzpusējo ieinteresēto personu grupu ( 3 ) un publisku uzaicinājumu iesniegt atsauksmes ( 4 ); un iii) datu aizsardzības iestāžu informācija (izmantojot Eiropas Datu aizsardzības kolēģijas (“kolēģija”) ( 5 ) ieguldījumu un Pamattiesību aģentūras (FRA) ziņojumu, kas sagatavots, pamatojoties uz intervijām ar atsevišķām datu aizsardzības iestādēm ( 6 ) (“FRA ziņojums”). Ziņojuma pamatā ir arī Komisijas veiktā pastāvīgā VDAR piemērošanas uzraudzība, tostarp divpusējie dialogi ar dalībvalstīm par valsts tiesību aktu atbilstību, aktīvs ieguldījums kolēģijas darbā un cieša saziņa ar plašu ieinteresēto personu loku par regulas praktisko piemērošanu.

2VDAR ieviešana un sadarbības un konsekvences mehānismu darbība 

VDAR vienas pieturas aģentūras izpildes sistēmas mērķis ir nodrošināt saskaņotu interpretāciju un izpildi, ko veic neatkarīgas datu aizsardzības iestādes. Tāpēc datu aizsardzības iestādēm ir jāsadarbojas pārrobežu apstrādes gadījumos, kad tas būtiski ietekmē datu subjektus vairākās dalībvalstīs. Strīdus starp iestādēm risina kolēģija, piemērojot VDAR konsekvences mehānismu.

2.1Pārrobežu lietu izskatīšanas efektivitātes uzlabošana: procesuālo noteikumu priekšlikums

2020. gada ziņojumā tika atzīmēta nepieciešamība panākt efektīvāku un saskaņotāku pārrobežu lietu izskatīšanu visā ES, jo īpaši ņemot vērā būtiskās atšķirības valstu administratīvajās procedūrās un VDAR sadarbības mehānisma jēdzienu interpretācijā. Tāpēc 2023. gada jūlijā Komisija pieņēma priekšlikumu regulai par procesuālajiem noteikumiem ( 7 ), pamatojoties arī uz jautājumu sarakstu, ko kolēģija iesniedza Komisijai 2022. gada oktobrī ( 8 ), un ieinteresēto personu ( 9 ) un dalībvalstu ( 10 ) ieguldījumu. Priekšlikums papildina VDAR, paredzot sīki izstrādātus noteikumus par pārrobežu sūdzībām, sūdzības iesniedzēja iesaisti, personu, pret kurām vērsta izmeklēšana, (pārziņu un apstrādātāju) tiesībām uz pienācīgu procesu un sadarbību starp datu aizsardzības iestādēm. Šo procesuālo aspektu saskaņošana veicinās savlaicīgu izmeklēšanas pabeigšanu un tiesiskās aizsardzības līdzekļu ātru nodrošināšanu personām. Par priekšlikumu pašlaik notiek sarunas Eiropas Parlamentā un Padomē.

2.2Ciešāka sadarbība starp datu aizsardzības iestādēm un konsekvences mehānisma izmantošana

Pārrobežu lietu skaits pēdējos gados ir ievērojami palielinājies. Datu aizsardzības iestādes ir izrādījušas lielāku gatavību izmantot sadarbības instrumentus, kas paredzēti VDAR. Visas datu aizsardzības iestādes izmantoja savstarpējās palīdzības instrumentu ( 11 ), kā arī “neoficiālus” pieprasījumus brīvprātīgi sniegt savstarpēju palīdzību. Datu aizsardzības iestādes dod priekšroku neoficiāliem pieprasījumiem, kuros nav noteikts termiņš vai obligāts pienākums atbildēt. Lai gan kolēģija 2021. gadā pieņēma pamatnostādnes par kopīgām operācijām ( 12 ), iestādes vēl joprojām šo instrumentu ( 13 ) nav daudz izmantojušas, kā galvenos iemeslus tā ierobežotai izmantošanai minot valstu procedūru atšķirības un skaidrības trūkumu par procedūru.

VDAR sniedz attiecīgajām datu aizsardzības iestādēm iespēju izteikt būtisku un motivētu iebildumu, ja tās nepiekrīt vadošās datu aizsardzības iestādes lēmuma projektam pārrobežu lietā. Ja datu aizsardzības iestādes nevar panākt vienprātību par būtisku un motivētu iebildumu, VDAR paredz strīdu izšķiršanu kolēģijā ( 14 ). Visbiežāk aplūkotie temati būtiskos un motivētos iebildumos bija šādi: i) apstrādes juridiskais pamats; ii) informēšanas un pārredzamības pienākumi; iii) paziņošana par datu aizsardzības pārkāpumiem; iv) datu subjektu tiesības; v) atkāpes attiecībā uz starptautisku nosūtīšanu; vi) korektīvo pasākumu izmantošana; un vii) administratīvā naudas soda apmērs.

VDAR izpildes sistēmas pamatā ir pieņēmums par godprātīgu un efektīvu sadarbību starp datu aizsardzības iestādēm. Lai gan strīdu izšķiršanas procedūrai ir svarīga nozīme šajā izpildes arhitektūrā, tā jāizmanto tādā gaisotnē, kādā tā tika izstrādāta, proti, pienācīgi ņemot vērā kompetenču sadalījumu starp datu aizsardzības iestādēm, nepieciešamību ievērot tiesības uz pienācīgu procesu un ieinteresētību panākt savlaicīgu lietas atrisināšanu datu subjektiem. Katrai strīdu izšķiršanas procedūrai ir vajadzīgi ievērojami resursi no vadošās iestādes, attiecīgajām iestādēm un kolēģijas sekretariāta, un tā kavē tiesiskās aizsardzības līdzekļu nodrošināšanu datu subjektiem.

Datu aizsardzības iestādes arvien vairāk izmanto VDAR konsekvences mehānismu. Tas sastāv no trīs daļām: i) kolēģijas atzinumiem; ii) strīdu risināšanas kolēģijā; un iii) steidzamības procedūras ( 21 ).

Kolēģija savos atzinumos arvien vairāk pievēršas svarīgiem vispārpiemērojamiem jautājumiem ( 22 ). Kolēģijai būtu jānodrošina savlaicīga un jēgpilna apspriešanās pirms šo atzinumu pieņemšanas. Lietās, kas iesniegtas strīdu izšķiršanai, ir risināti tādi jautājumi kā datu apstrādes juridiskais pamats saistībā ar paradumorientētu reklāmu sociālajos medijos un bērnu datu apstrādi tiešsaistē. Lielākā daļa sekojošo saistošo lēmumu ir apstrīdēti Vispārējā tiesā.

Kolēģijas lēmumu pieņemšanas procesa pārredzamība ir būtiska, lai nodrošinātu, ka tiek ievērotas tiesības uz labu pārvaldību saskaņā ar ES Pamattiesību hartu. VDAR steidzamības procedūra ļauj datu aizsardzības iestādēm atkāpties no sadarbības un konsekvences mehānisma, lai vajadzības gadījumā veiktu steidzamus pasākumus datu subjektu tiesību un brīvību aizsardzībai. Atkāpjoties no VDAR paredzētās parastās sadarbības procedūras, tādi instrumenti kā steidzamības procedūra ir paredzēti izmantošanai tikai ārkārtas apstākļos un gadījumos, kad parastā sadarbības procedūra nevar aizsargāt datu subjektu tiesības un brīvības.

2.3Stingrāka izpilde

Datu aizsardzības iestādes pēdējos gados ir ievērojami pastiprinājušas izpildes darbības, tostarp piemērojušas ievērojamus naudas sodus nozīmīgās lietās pret “lielo tehnoloģiju” daudznacionāliem uzņēmumiem. Naudas sodi tika uzlikti, piemēram, par: i) apstrādes likumības un drošības pārkāpumiem; ii) īpašu kategoriju personas datu apstrādes pārkāpumiem; un iii) personu tiesību neievērošanu ( 25 ). Tas licis privātajiem uzņēmumiem “nopietni uztvert datu aizsardzību” ( 26 ), kā arī palīdzējis organizācijās nostiprināt noteikumu ievērošanas kultūru. Datu aizsardzības iestādes pieņem lēmumus, ar kuriem konstatē VDAR pārkāpumus lietās, kas balstītas uz sūdzībām, un lietās, kas ierosinātas pēc savas iniciatīvas. Daudzas datu aizsardzības iestādes ir efektīvi izmantojušas izlīguma procedūras, kuras gan nav pieejamas visās dalībvalstīs, lai sūdzības iesniedzējam pieņemamā veidā ātri atrisinātu uz sūdzībām balstītas lietas. Procesuālo noteikumu priekšlikumā ir atzīta iespēja sūdzības atrisināt izlīguma ceļā ( 27 ).

Datu aizsardzības iestādes ir plaši izmantojušas savas korektīvās pilnvaras, lai gan piemēroto korektīvo pasākumu skaits dažādās iestādēs ir ļoti atšķirīgs. Papildus naudas sodiem visbiežāk izmantotie korektīvie pasākumi bija brīdinājumi, rājieni un rīkojumi ievērot VDAR. Pārziņi un apstrādātāji bieži valsts tiesās apstrīd lēmumus, kuros konstatēti VDAR pārkāpumi, visbiežāk procesuālu iemeslu dēļ ( 28 ).

Lai gan lielākā daļa datu aizsardzības iestāžu uzskata, ka to izmeklēšanas instrumenti ir atbilstoši, dažām ir vajadzīgi papildu instrumenti valsts līmenī, piemēram, atbilstošas sankcijas gadījumos, kad pārziņi nesadarbojas vai nesniedz vajadzīgo informāciju ( 32 ). Datu aizsardzības iestādes uzskata, ka nepietiekami resursi, kā arī tehnisko un juridisko zināšanu trūkums ir galvenais faktors, kas ietekmē to izpildes spējas ( 33 ).

2.4Kolēģija

Kolēģijas sastāvā ir katras dalībvalsts vienas datu aizsardzības iestādes vadītājs un Eiropas Datu aizsardzības uzraudzītājs, bet Komisija piedalās bez balsstiesībām. Kolēģijai, kuras darbu atbalsta sekretariāts, ir uzdots nodrošināt VDAR konsekventu piemērošanu ( 34 ). Lielākā daļa datu aizsardzības iestāžu uzskata, ka kolēģijai ir bijusi pozitīva loma to savstarpējās sadarbības stiprināšanā ( 35 ). Daudzas datu aizsardzības iestādes atvēl kolēģijas darbībai ievērojamus resursus, lai gan mazākas iestādes norāda, ka to lielums liedz tām pilnībā iesaistīties ( 36 ). Dažas iestādes uzskata, ka būtu jāuzlabo kolēģijas darba efektivitāte, jo īpaši samazinot sanāksmju skaitu un pievēršot mazāku uzmanību maznozīmīgiem jautājumiem ( 37 ). Atkarībā no iznākuma sarunās par VDAR procesuālo noteikumu priekšlikumu, kura mērķis ir samazināt to lietu skaitu, kas iesniegtas kolēģijai strīdu izšķiršanai, var būt nepieciešams apsvērt, vai kolēģijai ir vajadzīgi papildu resursi.

Līdz 2023. gada novembrim kolēģija bija pieņēmusi 35 pamatnostādnes. Lai gan ieinteresētās personas un datu aizsardzības iestādes tās ir atzinušas par lietderīgām, tomēr gan ieinteresētās personas, gan datu aizsardzības iestādes uzskata, ka pamatnostādnes būtu jāsagatavo ātrāk un ka to kvalitāte būtu jāuzlabo ( 38 ). Ieinteresētās personas norāda, ka pamatnostādnes bieži vien ir pārāk teorētiskas, pārāk garas un neatspoguļo VDAR uz risku balstīto pieeju ( 39 ). Datu aizsardzības iestādēm un kolēģijai būtu jāsniedz kodolīgas un praktiskas pamatnostādnes, kas sniedz atbildes uz konkrētām problēmām un atspoguļo līdzsvaru starp datu aizsardzību un citām pamattiesībām. Pamatnostādnēm vajadzētu būt viegli saprotamām arī personām bez juridiskas izglītības, piemēram, tiem, kas strādā MVU un brīvprātīgo organizācijās ( 40 ). Viens no veidiem, kā to panākt, ir padarīt pamatnostādņu sagatavošanu pārredzamāku un apspriesties agrīnā posmā, lai nodrošinātu labāku izpratni par tirgus dinamiku, uzņēmējdarbības praksi un to, kā pamatnostādnes piemērot praksē ( 41 ). Atzinīgi vērtējams tas, ka savā stratēģijā 2024.–2027. gadam kolēģija ir uzsvērusi savu mērķi sniegt praktiskus norādījumus, kas ir pieejami attiecīgajai auditorijai ( 42 ).

Ieinteresētās personas uzsver, ka ir vajadzīgas papildu pamatnostādnes, jo īpaši par anonimizāciju un pseidonimizāciju ( 43 ), likumīgām interesēm un zinātnisko pētniecību ( 44 ). Komisija 2020. gada ziņojumā aicināja kolēģiju pieņemt pamatnostādnes par zinātnisko pētniecību, bet pamatnostādnes vēl nav pieņemtas. Atzīstot zinātniskās pētniecības nozīmi sabiedrībā, jo īpaši slimību uzraudzībā un ārstēšanas metožu izstrādē, kā arī inovācijas veicināšanā, ir būtiski, lai datu aizsardzības iestādes nekavējoties precizētu šos jautājumus ( 45 ). Valsts iestādes arī gūtu labumu no norādījumiem, kā risināt konkrētas problēmas, ar kurām tās saskaras ( 46 ).

2.5Datu aizsardzības iestādes

2.5.1Neatkarība un resursi

Datu aizsardzības iestāžu neatkarība ir nostiprināta ES Pamattiesību hartā un Līgumā par Eiropas Savienības darbību. VDAR ir noteiktas prasības, lai nodrošinātu datu aizsardzības iestāžu “pilnīgu neatkarību” ( 47 ). FRA ziņojumā konstatēts, ka lielākā daļa datu aizsardzības iestāžu darbojas neatkarīgi no valdības, parlamenta vai citām valsts struktūrām ( 48 ).

Datu aizsardzības iestādēm ir vajadzīgi atbilstoši cilvēkresursi, tehniskie un finanšu resursi, lai tās varētu efektīvi un neatkarīgi veikt savus uzdevumus saskaņā ar VDAR. Komisija 2020. gada ziņojumā norādīja, ka resursu nodrošināšana datu aizsardzības iestādēm joprojām nav apmierinošā līmenī, un tā ir pastāvīgi apspriedusi šo jautājumu ar dalībvalstīm. Kopš tā laika situācija ir uzlabojusies.

Lai gan šī statistika liecina par vispārēju tendenci, ka datu aizsardzības iestāžu resursi palielinās, iestādes pašas uzskata, ka tām joprojām trūkst pietiekamu cilvēkresursu ( 50 ). Tās uzsver, ka ir vajadzīgas ļoti specializētas tehniskās zināšanas, jo īpaši par jaunajām un topošajām tehnoloģijām ( 51 ), kuru trūkums ietekmē viņu darba kvantitāti un kvalitāti, kā arī iestādēm ir grūti konkurēt ar privāto sektoru, lai piesaistītu cilvēkresursus. Datu aizsardzības iestādes norāda, ka nepietiekamas juridiskās zināšanas un valodu prasmju trūkums ir faktori, kas ietekmē to sniegumu. Zems atalgojums, nespēja autonomi atlasīt darbiniekus un liela darba slodze ir uzsvērti kā galvenie faktori, kas ietekmē iestāžu spēju pieņemt darbā un noturēt personālu ( 52 ). Datu aizsardzības iestādes arī uzsver, ka tām ir vajadzīgi finanšu resursi, lai modernizētu un digitalizētu savus procesus un iegādātos tehnisko aprīkojumu ( 53 ). Visas datu aizsardzības iestādes pilda vēl citus uzdevumus papildus tiem, kas tām uzticēti ar VDAR ( 54 ), piemēram, kā Direktīvas par datu aizsardzību tiesībaizsardzības jomā un E-privātuma direktīvas uzraudzības iestādēm, bet daudzas pauž bažas par papildu pienākumiem saskaņā ar jaunajiem digitālās jomas tiesību aktiem ( 55 ).

2.5.2Grūtības izskatīt lielu skaitu sūdzību

Vairākas datu aizsardzības iestādes norāda, ka pārāk liela daļa to resursu tiek izmantoti, lai izskatītu lielu skaitu sūdzību, no kurām lielākā daļa ir nenozīmīgas un nepamatotas, taču katras sūdzības izskatīšana saskaņā ar VDAR ir pienākums, ko var pārskatīt tiesā ( 56 ). Tas nozīmē, ka datu aizsardzības iestādes nevar piešķirt pietiekamus resursus citām darbībām, piemēram, izmeklēšanai pēc pašu iniciatīvas, sabiedrības informēšanas kampaņām un sadarbībai ar pārziņiem ( 57 ). Datu aizsardzības iestādēm kā valsts iestādēm ir rīcības brīvība sadalīt savus resursus pēc saviem ieskatiem, lai izpildītu katru no saviem uzdevumiem (kas uzskaitīti VDAR 57. panta 1. punktā) sabiedrības interesēs. Daudzas datu aizsardzības iestādes ir pieņēmušas stratēģijas, lai palielinātu sūdzību izskatīšanas efektivitāti, piemēram, automatizācija ( 58 ), izlīguma procedūru izmantošana ( 59 ) un ar līdzīgiem jautājumiem saistītu sūdzību grupēšana ( 60 ).

2.5.3VDAR interpretācija, ko veic valstu datu aizsardzības iestādes

VDAR galvenais mērķis bija likvidēt sadrumstaloto pieeju datu aizsardzībai, kas pastāvēja saskaņā ar iepriekšējo Datu aizsardzības direktīvu (Direktīva 95/46/EK) ( 61 ). Tomēr datu aizsardzības iestādes joprojām atšķirīgi interpretē galvenos datu aizsardzības jēdzienus ( 62 ). Ieinteresētās personas to uzskata par galveno šķērsli konsekventai VDAR piemērošanai ES. Atšķirīga interpretācija joprojām rada juridisko nenoteiktību un palielina izmaksas uzņēmumiem (piemēram, pieprasot atšķirīgu dokumentāciju vairākām dalībvalstīm), traucējot personas datu brīvu apriti ES, kavējot pārrobežu uzņēmējdarbību un kavējot pētniecību un inovāciju neatliekamu sabiedrības problēmu risināšanā.

Ieinteresētās personas ir vērsušas uzmanību šādiem konkrētiem jautājumiem: i) apstāklis, ka datu aizsardzības iestādēm trijās dalībvalstīs katrai ir atšķirīgs viedoklis par piemērotu juridisko pamatu personas datu apstrādei klīnisko pārbaužu veikšanā; ii) bieži ir atšķirīgi viedokļi par to, vai vienība ir pārzinis vai apstrādātājs; un iii) dažos gadījumos datu aizsardzības iestādes neievēro kolēģijas pamatnostādnes vai valsts līmenī publicē pamatnostādnes, kas ir pretrunā kolēģijas pamatnostādnēm ( 63 ). Šie jautājumi saasinās, ja vairākas datu aizsardzības iestādes vienā dalībvalstī izmanto pretrunīgas interpretācijas.

Dažas ieinteresētās personas arī uzskata, ka dažas datu aizsardzības iestādes un kolēģija pieņem interpretācijas, kuras atšķiras no VDAR uz risku balstītās pieejas, tādējādi radot izaicinājumu digitālās ekonomikas attīstībai ( 64 ) un mediju brīvībai un plurālismam. Viņi norāda uz šādām jomām, kurās pastāv problēmas: i) anonimizācijas interpretācija; ii) likumīgo interešu un piekrišanas juridiskais pamats ( 65 ); un iii) izņēmumi attiecībā uz automatizētas individuālas lēmumu pieņemšanas aizliegumu ( 66 ). Jāatgādina, ka datu aizsardzības iestādēm un kolēģijai ir uzdots nodrošināt gan fizisku personu aizsardzību saistībā ar viņu personas datu apstrādi, gan personas datu brīvu apriti ES. Kā atzīts VDAR ( 67 ), tiesības uz personas datu aizsardzību ir jāņem vērā saistībā ar to funkciju sabiedrībā un jālīdzsvaro ar citām pamattiesībām saskaņā ar proporcionalitātes principu.

2.5.4Sadarbība ar pārziņiem un apstrādātājiem

Ieinteresētās personas uzsver ieguvumus, ko sniedz iespēja iesaistīties konstruktīvā dialogā ar datu aizsardzības iestādēm, lai nodrošinātu, ka tās jau no paša sākuma ievēro VDAR, jo īpaši attiecībā uz jaunajām tehnoloģijām. Ieinteresētās personas norāda, ka dažas datu aizsardzības iestādes aktīvi sadarbojas ar pārziņiem, savukārt citas reaģē lēni, sniedz neskaidras atbildes vai neatbild vispār ( 68 ).

3VDAR īstenošana dalībvalstīs

3.1Sadrumstalotība valsts tiesību aktu piemērošanā

Lai gan VDAR kā regula ir tieši piemērojama, tā liek dalībvalstīm pieņemt tiesību aktus konkrētās jomās un dod tām iespēju konkretizēt tās piemērošanu ierobežotā skaitā jomu ( 69 ). Pieņemot tiesību aktus valsts līmenī, dalībvalstīm tas ir jādara saskaņā ar VDAR paredzētajiem nosacījumiem un ierobežojumiem. Tāpat kā 2020. gadā ieinteresētās personas ziņo par grūtībām, ko rada valstu noteikumu sadrumstalotība, ja dalībvalstīm ir iespēja precizēt VDAR piemērošanu, jo īpaši attiecībā uz:

·minimālo vecumu bērna piekrišanai attiecībā uz informācijas sabiedrības pakalpojumu piedāvāšanu šim bērnam ( 70 );

·dalībvalstu ieviestajiem papildu nosacījumiem attiecībā uz ģenētisko datu, biometrisko datu vai veselības datu apstrādi ( 71 );

·tādu personas datu apstrādi, kas attiecas uz sodāmību un noziedzīgiem nodarījumiem ( 72 ), un tas rada grūtības dažās regulētās nozarēs.

Vienlaikus ir svarīgi, ka daudzas ieinteresētās personas ziņo, ka ar sadrumstalotību saistītās problēmas galvenokārt izriet no tā, ka datu aizsardzības iestādes atšķirīgi interpretē VDAR, nevis tāpēc, ka dalībvalstis izmanto fakultatīvas specifikācijas klauzulas.

Dalībvalstis uzskata, ka zināma sadrumstalotība, iespējams, ir pieņemama un ka VDAR paredzētās specifikācijas klauzulas joprojām ir noderīgas, jo īpaši attiecībā uz apstrādi, ko veic valsts iestādes ( 73 ). VDAR paredz, ka dalībvalstīm, sagatavojot tiesību aktus, kas attiecas uz personas datu apstrādi, ir jāapspriežas ar savas valsts datu aizsardzības iestādi ( 74 ). FRA ziņojumā tika konstatēts, ka dažas valdības šīm iestādēm ir noteikušas ļoti īsus termiņus un dažos gadījumos vispār neapspriežas ar tām ( 75 ).

3.2Komisijas veiktā uzraudzība

Komisija pastāvīgi uzrauga VDAR īstenošanu. Komisija ir uzsākusi pārkāpuma procedūras pret dalībvalstīm saistībā ar tādiem jautājumiem kā datu aizsardzības iestāžu neatkarība (tostarp brīvība no ārējas ietekmes un tiesiskās aizsardzības līdzekļu pieejamība atlaišanas gadījumā) ( 76 ), kā arī datu subjektu tiesības uz efektīvu tiesisko aizsardzību gadījumos, kad datu aizsardzības iestāde neizskata sūdzību ( 77 ). Uzraudzības ietvaros Komisija arī pieprasa, lai datu aizsardzības iestādes, stingri ievērojot konfidencialitāti, regulāri sniegtu informāciju ( 78 ) par procesā esošām liela mēroga pārrobežu lietām, jo īpaši tām, kas attiecas uz lieliem starptautiskiem tehnoloģiju uzņēmumiem.

Komisija regulāri sazinās ar dalībvalstīm par VDAR īstenošanu. Komisija turpināja izmantot VDAR dalībvalstu ekspertu grupu ( 79 ), kā noteikts 2020. gada ziņojumā, lai veicinātu diskusijas un pieredzes apmaiņu par VDAR efektīvu īstenošanu. Ekspertu grupa ir īpaši apspriedusi šādus jautājumus: i) tiesu uzraudzība, kad tās pilda savus uzdevumus (VDAR 55. pants; Hartas 8. pants); ii) līdzsvara saglabāšana starp tiesībām uz datu aizsardzību un tiesībām uz vārda brīvību (VDAR 85. pants); un iii) tiesības uz efektīvu tiesību aizsardzību tiesā pret uzraudzības iestādi (VDAR 78. pants). Pēc šīm diskusijām Komisija apkopoja pārskatus par pieejām, kas izmantotas minēto noteikumu īstenošanai dalībvalstīs ( 80 ). Komisija arī izmantoja šo grupu, lai apmainītos viedokļiem ar dalībvalstīm, sagatavojot procesuālo noteikumu priekšlikumu.

Valstu tiesību aktu un prakses atbilstība datu aizsardzības noteikumiem, kas izklāstīti ES tiesību aktu kopumā par Šengenas zonu, tiek novērtēta arī Šengenas izvērtēšanas ietvaros, ko kopīgi veic dalībvalstis un Komisija. Gadā tiek veikti vismaz pieci datu aizsardzības izvērtējumi uz vietas, kuros pašlaik galvenā uzmanība pievērsta lielapjoma IT sistēmām un Šengenas Informācijas sistēmai, Vīzu informācijas sistēmai, kā arī valstu datu aizsardzības iestāžu uzraudzības lomai attiecībā uz šīm sistēmām.

Komisija aktīvi piedalās daudzās lietās, kas tiek izskatītas Tiesā (pēdējos gados aptuveni 30 prejudiciāli nolēmumi gadā) un kurām ir būtiska nozīme VDAR pamatjēdzienu konsekventā interpretācijā. Pieaugošā tiesas judikatūra ir sniegusi vairākus precizējumus, piemēram, par personas datu definīciju ( 81 ), īpašām personas datu kategorijām ( 82 ), pārzini ( 83 ), piekrišanu ( 84 ), likumīgajām interesēm ( 85 ), piekļuves tiesībām ( 86 ), tiesībām uz dzēšanu ( 87 ), tiesībām uz kompensāciju ( 88 ), automatizētu individuālu lēmumu pieņemšanu ( 89 ), administratīviem sodiem ( 90 ), datu aizsardzības inspektoriem ( 91 ), personas datu publicēšanu reģistros ( 92 ) un VDAR piemērošanu parlamenta darbībai ( 93 ).

4Datu subjekta tiesības

Cilvēki arvien vairāk pārzina un aktīvi izmanto savas tiesības saskaņā ar VDAR ( 94 ). Datu aizsardzības iestādes piešķir ievērojamus resursus, lai veicinātu plašākas sabiedrības izpratni par datu aizsardzības tiesībām un pienākumiem, piemēram, izmantojot sociālo medijus un televīzijas kampaņas, palīdzības tālruņus, informatīvos izdevumus un prezentācijas izglītības iestādēs ( 95 ). Daudzas no šīm iniciatīvām ir saņēmušas ES finansējumu ( 96 ). Pamattiesību aģentūra norāda, ka, lai gan sabiedrības informētība par datu aizsardzību ir palielinājusies, joprojām trūkst izpratnes par datu aizsardzību, par ko liecina liels skaits nenozīmīgu vai nepamatotu sūdzību ( 97 ). Ir izstrādāti vairāki lietotājdraudzīgi digitālie rīki, lai datu subjektiem būtu vieglāk īstenot savas tiesības ( 98 ). Leģislatīviem aktiem, jo īpaši Datu pārvaldības aktam ( 99 ), būtu jārada papildu veidi, kā datu subjekti nākotnē varētu izmantot savas tiesības. Uzņēmēji atzīmē, ka tiesības uz datu dzēšanu tiek izmantotas arvien biežāk, savukārt tiesības labot un tiesības iebilst tiek izmantotas reti.

4.1Piekļuves tiesības

Pārziņi ziņo, ka datu subjekti visbiežāk izmanto piekļuves tiesības (VDAR 15. pants). Lai gan kolēģija 2022. gadā pieņēma pamatnostādnes par šīm tiesībām, pārziņi turpina ziņot par problēmām, piemēram, interpretējot jēdzienu “nepamatoti vai pārmērīgi pieprasījumi” ( 100 ), atbildot uz lielu skaitu pieprasījumu un apstrādājot pieprasījumus, kas iesniegti nolūkos, kuri nav saistīti ar datu aizsardzību, piemēram, lai vāktu pierādījumus tiesvedībai ( 101 ). Pilsoniskās sabiedrības organizācijas norāda, ka atbildes uz piekļuves pieprasījumiem bieži vien ir novēlotas vai nepilnīgas, bet saņemtie dati ne vienmēr ir salasāmā formātā ( 102 ). Valsts iestādes norāda uz grūtībām nodrošināt piekļuves tiesības, vienlaikus ievērojot noteikumus par publisku piekļuvi dokumentiem ( 103 ). Tāpēc ir atzinīgi vērtējams tas, ka kolēģija 2024. gada februārī sāka kopīgu rīcību par koordinētu izpildes satvaru attiecībā uz piekļuves tiesībām ( 104 ).

4.2Tiesības uz pārnesamību

Komisija 2020. gada ziņojumā apņēmās izpētīt praktiskus līdzekļus, kā panākt, lai personas plašāk izmantotu tiesības uz datu pārnesamību (VDAR 20. pants) saskaņā ar datu stratēģiju. Kopš tā laika Komisija ir pieņēmusi vairākas iniciatīvas, kas papildina šīs tiesības. Šīs iniciatīvas atvieglo vieglu pāreju starp pakalpojumiem, tādējādi radot lielāku izvēli personām, atbalstot konkurenci un inovāciju un ļaujot personām gūt labumu no savu datu izmantošanas. Datu akts dod viedierīču lietotājiem plašākas tiesības uz tādu datu pārnesamību, kas ģenerēti, izmantojot šādas ierīces, un nosaka, ka produkta konstrukcija vai ražotāja vai datu turētāja aizmugursistēmas serveris padara šādu pārnesamību tehniski iespējamu. Digitālo tirgu aktā ir noteikts, ka platformas pamatpakalpojumu sniedzējiem, kas identificēti kā “vārtziņi”, ir jānodrošina lietotāju datu efektīva pārnesamība, tostarp pastāvīga un reāllaika piekļuve šādiem datiem. Vairākas citas Komisijas iniciatīvas, par kurām pašlaik notiek sarunas vai par kurām ir panākta politiska vienošanās, piemēram, Platformu darba direktīva ( 105 ), Eiropas veselības datu telpa ( 106 ) un Satvars piekļuvei finanšu datiem ( 107 ), paredz lielākas pārnesamības tiesības konkrētās jomās.

4.3Tiesības iesniegt sūdzību

Kā liecina lielais sūdzību skaits, cilvēki ir labi informēti par tiesībām iesniegt sūdzību datu aizsardzības iestādē. Pilsoniskās sabiedrības organizācijas norāda uz nepamatotām atšķirībām valstu praksē sūdzību izskatīšanā, un tas ir jautājums, ko Komisijas risina procesuālo noteikumu priekšlikumā. Tikai dažas dalībvalstis ir izmantojušas VDAR paredzēto iespēju bezpeļņas struktūrai nodrošināt tiesības rīkoties neatkarīgi no datu subjekta pilnvarojuma (80. panta 2. punkts). Tomēr 2020. gadā pieņemtā Pārstāvības prasību direktīva ( 108 ) šajā ziņā nodrošinās lielāku saskaņotību, atvieglojot personu kolektīvās prasības par VDAR pārkāpumiem. Valstu pasākumus, ar kuriem īsteno direktīvu, sāka piemērot 2023. gada jūnijā.

4.4Bērnu personas datu aizsardzība

Bērniem, apstrādājot viņu personas datus, ir vajadzīga īpaša aizsardzība ( 109 ). VDAR veido daļu no visaptveroša tiesiskā regulējuma, kas nodrošina bērnu aizsardzību gan bezsaistē, gan tiešsaistē ( 110 ). Ņemot vērā bērnu pieaugošo klātbūtni tiešsaistē, pēdējos gados ES un valstu līmenī ir veikti vairāki pasākumi, lai atbalstītu bērnu aizsardzību tiešsaistē. Datu aizsardzības iestādes ir uzlikušas ievērojamus naudas sodus sociālo mediju uzņēmumiem par VDAR pārkāpumiem, apstrādājot bērnu datus. Tās arī sadarbojas ar citām iestādēm, lai aicinātu vairāk aizsargāt bērnus reklāmas jomā. Komisija 2020. gada ziņojumā aicināja kolēģiju pieņemt pamatnostādnes par bērnu datu apstrādi, un šis darbs pašlaik tiek veikts ( 111 ). Digitālo pakalpojumu aktā ir iekļauti īpaši noteikumi, lai nodrošinātu augsta līmeņa privātumu, drošumu un drošību bērniem, kuri izmanto tiešsaistes platformas.

Dažas ieinteresētās personas ziņo par problēmām saistībā ar datu subjektu tiesību īstenošanu, ja datu subjekti ir bērni. Jo īpaši tiek norādīts, ka bērni pilnībā neizprot savas tiesības, viņiem trūkst digitālo prasmju un viņi var tikt pakļauti neatļautai ietekmei ( 112 ). Komisija ir finansējusi vairākas valsts līmeņa iniciatīvas saistībā ar bērnu datu aizsardzību un bērnu izpratnes veicināšanai par datu aizsardzību ( 113 ). Īstenojot stratēģiju “Bērniem labāks internets” (BIK+), Komisija nodrošina bērniem izpratnes veicināšanas resursus un apmācību par viņu digitālajām tiesībām, tostarp datu aizsardzību (piemēram, digitālo piekrišanu) ( 114 ). Arvien lielāka uzmanība tiek pievērsta vajadzībai pēc efektīviem un privātumu neapdraudošiem vecuma pārbaudes rīkiem. Komisija 2024. gada sākumā kopā ar dalībvalstīm izveidoja vecuma pārbaudes darba grupu, kolēģiju un Eiropas Audiovizuālo mediju pakalpojumu regulatoru grupu, lai apspriestu un sniegtu atbalstu Eiropas mēroga pieejas izstrādē attiecībā uz vecuma pārbaudi. Tagad šo darbu turpinās Digitālo pakalpojumu akta padome nepilngadīgo tiesību aizsardzības darba grupā. Saistībā ar ES digitālās identitātes regulu ( 115 ), kas stājās spēkā 2024. gada maijā, Komisija strādā pie tā, lai nodrošinātu, ka Eiropas digitālās identitātes maks 2026. gadā tiek piedāvāts visiem ES pilsoņiem un iedzīvotājiem, tostarp vecuma pārbaudes mērķiem. Tikmēr, pirms maka ekosistēma būs pilnībā darbotiesspējīga, tiks izstrādāts un visā ES darīts pieejams īstermiņa risinājums vecuma pārbaudes veikšanai.

5Organizāciju, jo īpaši MVU, iespējas un problēmas

VDAR ir radījusi vienlīdzīgus konkurences apstākļus uzņēmumiem, kas darbojas iekšējā tirgū, un tās tehnoloģiski neitrālā, inovācijām labvēlīgā pieeja ļauj uzņēmumiem samazināt birokrātiju un panākt lielāku patērētāju uzticēšanos ( 116 ). Daudzi uzņēmumi ir izveidojuši iekšējo datu aizsardzības kultūru un uzskata privātumu un datu aizsardzību par galvenajiem konkurences parametriem. Uzņēmumi novērtē VDAR uz risku balstīto pieeju kā pamatprincipu, kas nodrošina to pienākumu elastību un mērogojamību ( 117 ).

5.1Instrumentu kopums uzņēmumiem

VDAR nodrošina instrumentu kopumu, kas ļauj organizācijām elastīgi pārvaldīt un pierādīt savu atbilstību, tostarp rīcības kodeksus, sertifikācijas mehānismus un līguma standartklauzulas. Kā norādīts 2020. gada ziņojumā, Komisija 2021. gadā pieņēma līguma standartklauzulas, kas nosaka pārziņa un apstrādātāja attiecības ( 118 ). Šīs līguma standartklauzulas nodrošina gatavu un viegli ieviešamu brīvprātīgu atbilstības instrumentu, kas ir īpaši noderīgs MVU vai organizācijām, kurām var nebūt resursu, lai apspriestu atsevišķus līgumus ar saviem tirdzniecības partneriem. Uzņēmumiem ir atšķirīgas atsauksmes par līguma standartklauzulu izmantošanu tādā nozīmē, ka daži uzņēmumi (galvenokārt MVU) tās izmanto pilnībā vai daļēji, savukārt citi (galvenokārt lielāki uzņēmumi) parasti tās neizmanto, jo dod priekšroku savu klauzulu izmantošanai.

Uzņēmumi uzsver, ka rīcības kodeksiem ir liels potenciāls kā nozarei specifiskam un izmaksu ziņā efektīvam atbilstības nodrošināšanas instrumentam ( 119 ). Tomēr rīcības kodeksu izstrāde ir bijusi ierobežota( 120 ). Saskaņā ar līdz šim pieejamo informāciju ir apstiprināti tikai divi ES mēroga kodeksi (abi mākoņdatošanas nozarē), savukārt seši kodeksi ir apstiprināti valsts līmenī ( 121 ). Ieinteresētās personas ziņo par apgrūtinošām prasībām (tostarp nepieciešamību izveidot akreditētu pārraudzības struktūru), datu aizsardzības iestāžu iesaistes trūkumu un ilgu apstiprināšanas procesu kā galvenos faktorus, kas ierobežo rīcības kodeksu ieviešanu ( 122 ).

Ir vajadzīga lielāka procesa pārredzamība un skaidri apstiprināšanas termiņi. Datu aizsardzības iestādēm un – ES mēroga kodeksu gadījumā – kolēģijai aktīvāk jāveicina rīcības kodeksu izstrāde, sadarbojoties ar apvienībām, kas tos izstrādā. Tas ļaus novērst atšķirīgās interpretācijas un paātrināt apstiprināšanas procesu. Ieinteresētās personas pauž nožēlu par ilgo kavēšanos rīcības kodeksu pieņemšanā, ko izraisa jautājumu paralēla apspriešana saistībā ar darbu pie pamatnostādnēm. Tāpat uzņēmumi ziņo, ka sertifikācija netiek plaši izmantota, jo izstrādes process ir lēns un sarežģīts. Līdzīgi kā rīcības kodeksu gadījumā, datu aizsardzības iestādēm būtu jāparedz skaidrāki termiņi sertifikācijas pārskatīšanai un apstiprināšanai.

Kolēģija savā 2024.–2027. gada stratēģijā ir apņēmusies arī turpmāk atbalstīt atbilstības nodrošināšanas pasākumus, piemēram, sertifikāciju un rīcības kodeksus, tostarp sadarbojoties ar galvenajām ieinteresēto personu grupām, lai izskaidrotu, kā rīkus var izmantot ( 123 ).

5.2Īpašas problēmas MVU un mazajiem operatoriem

Komisija 2020. gada ziņojumā aicināja pastiprināt centienus, lai atbalstītu MVU atbilstību VDAR. Pēdējos gados datu aizsardzības iestādes un kolēģija ir turpinājušas izstrādāt atbilstības nodrošināšanas instrumentus MVU, ko daļēji atbalsta ar Komisijas finansējumu ( 124 ). Kolēģija 2023. gada aprīlī publicēja datu aizsardzības rokasgrāmatu mazajiem uzņēmumiem ( 125 ), kas sniedz praktisku informāciju MVU pieejamā un viegli saprotamā formātā.

MVU daudzās dalībvalstīs uzsver priekšrocības, ko sniedz pielāgots atbalsts no vietējām datu aizsardzības iestādēm. Tomēr datu aizsardzības iestāžu atšķirīgās pieejas izpratnes veicināšanai un sniegto norādījumu dēļ dažās dalībvalstīs MVU uzskata, ka panākt atbilstību ir sarežģīti un baidās no nosacījumu izpildes ( 126 ). Datu aizsardzības iestādēm būtu jādivkāršo centieni risināt šīs problēmas, tostarp proaktīvi sadarbojoties ar MVU, lai novērstu jebkādas nepamatotas bažas saistībā ar atbilstības nodrošināšanu. Datu aizsardzības iestādēm būtu jānodrošina īpaši pielāgots atbalsts un praktiski rīki, proti, veidnes (piemēram, datu aizsardzības ietekmes novērtējumu veikšanai), palīdzības līnijas, ilustratīvi piemēri, kontrolsaraksti un norādījumi par konkrētām datu apstrādes darbībām (piemēram, rēķinu sagatavošanu vai informatīviem izdevumiem), kā arī tehniskiem un organizatoriskiem pasākumiem. Tā kā lielākajai daļai MVU nav zināšanu par datu aizsardzību, visiem MVU adresētajiem norādījumiem vajadzētu būt viegli saprotamiem tiem, kuriem nav juridiskas izglītības ( 127 ).

Saskaņā ar VDAR uz risku balstīto pieeju MVU, kas veic zema riska apstrādes darbības, neuzņemas būtisku atbilstības nodrošināšanas slogu. Lai gan atkāpi attiecībā uz apstrādes darbību uzskaiti ( 128 ) piemēro ierobežotos apstākļos ( 129 ), MVU, kas veic zema riska apstrādes darbības, var nodrošināt atbilstību, veicot vienkāršotu uzskaiti, izmantojot datu aizsardzības iestāžu nodrošinātās veidnes. Turklāt šāda uzskaite būtu jāuzskata par noderīgu instrumentu, lai MVU varētu izvērtēt savas apstrādes darbības.

5.3Datu aizsardzības speciālisti

Datu aizsardzības speciālistiem ir svarīga loma VDAR atbilstības nodrošināšanā organizācijās, kurās viņi strādā. Kopumā datu aizsardzības speciālistiem, kas darbojas ES, ir nepieciešamās zināšanas un prasmes, lai veiktu savus uzdevumus saskaņā ar VDAR, un viņu neatkarība tiek respektēta ( 130 ). Tomēr joprojām pastāv vairākas problēmas, proti: i) grūtības iecelt datu aizsardzības speciālistus ar vajadzīgajām zināšanām; ii) ES mēroga izglītības un apmācības standartu trūkums; iii) nespēja pienācīgi integrēt datu aizsardzības speciālistus organizatoriskajos procesos; iv) resursu trūkums: v) papildu uzdevumi, kas nav saistīti ar datu aizsardzību; un vi) nepietiekams darba stāžs ( 131 ). Kolēģija norādīja, ka datu aizsardzības iestādēm ir jāpastiprina izpratnes veicināšanas pasākumi, kā arī informēšanas un izpildes darbības, lai nodrošinātu, ka datu aizsardzības speciālisti var pildīt savus pienākumus saskaņā ar VDAR ( 132 ).

6VDAR kā viens no ES politikas stūrakmeņiem digitālajā jomā

6.1Digitālā politika, kuras pamatā ir VDAR

Komisija 2020. gada ziņojumā apņēmās atbalstīt datu aizsardzības regulējuma konsekventu piemērošanu attiecībā uz jaunām tehnoloģijām, lai veicinātu inovāciju un tehnoloģiju attīstību. Kopš tā laika ES ir pieņēmusi virkni iniciatīvu, no kurām dažas papildina VDAR vai precizē, kā tā būtu jāpiemēro attiecīgās jomās, lai sasniegtu konkrētus mērķus, kā izklāstīts turpmāk.

·Digitālo pakalpojumu akts ( 133 ), kura mērķis ir nodrošināt drošu tiešsaistes vidi personām un uzņēmumiem, aizliedz tiešsaistes platformām rādīt reklāmu, kuras pamatā ir profilēšana, izmantojot “īpašas personas datu kategorijas”, kā definēts VDAR.

·Lai padarītu digitālos tirgus taisnīgākus un konkurētspējīgākus, Digitālo tirgu akts ( 134 ) aizliedz operatoriem, kas noteikti par “vārtziņiem”, “apvienot” un “savstarpēji izmantot” personu datus starp to platformas pamatpakalpojumiem un citiem pakalpojumiem, ja vien lietotājs nav devis savu piekrišanu, kā definēts VDAR.

·MI aktā ( 135 ) ir precizēti ES datu aizsardzības noteikumi konkrētās jomās, kurās MI tiek izmantots, piemēram, biometriskās tālidentifikācijas sistēmās, īpašu kategoriju datu apstrādē, lai atklātu novirzes, un personu datu turpmākā apstrādē regulatīvajās smilškastēs.

·Direktīva par platformu darbu ( 136 ) papildina VDAR nodarbinātības jomā, paredzot noteikumus par automatizētām uzraudzības un lēmumu pieņemšanas sistēmām, ko izmanto digitālās darba platformas, un jo īpaši ierobežojumus attiecībā uz personas datu apstrādi, pārredzamību, cilvēka virsvadību un pārskatīšanu un pārnesamību.

·Regula par politisko reklāmu ( 137 ) aizliedz politiskajā reklāmā izmantot īpašu kategoriju personas datus un prasa lielāku pārredzamību attiecībā uz izmantotajām mērķorientēšanas un pastiprināšanas metodēm.

·Eiropas digitālās identitātes regula ļauj izveidot universālu, uzticamu un drošu Eiropas digitālās identitātes maku. Tas ļaus privātpersonām apliecināt tādus personas identitātes atribūtus kā vecums, vadītāja apliecība, diploms un bankas konts, pilnībā kontrolējot savus personas datus un neveicot nevajadzīgu datu kopīgošanu.

Priekšlikums E-privātuma regulai ( 138 ), lai aizstātu pašreizējo E-privātuma direktīvu ( 139 ) un papildinātu privātuma un datu aizsardzības tiesisko regulējumu, tiek apspriests jau vairākus gadus. Ir jāpārdomā šīs iniciatīvas turpmākie soļi, tostarp tās saistība ar VDAR.

Sadarbspējīgas Eiropas akta ( 140 ) mērķis ir padarīt digitālos publiskos pakalpojumus sadarbspējīgus visā ES. Tas veicina datu aizsardzības iestāžu sadarbību, jo īpaši izmantojot sadarbspējas “regulatīvās smilškastes”.

Vairākas ES iniciatīvas nodrošina juridisko pamatu personas datu apstrādei, ko veic privātas struktūras, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem. Visiem šādiem tiesību aktiem jābūt rūpīgi mērķorientētiem, lai līdz minimumam samazinātu iejaukšanos tiesībās uz personas datu aizsardzību, un tiem jābūt samērīgiem ar sasniedzamo mērķi ( 141 ). Harta, VDAR un Tiesas judikatūra nodrošina satvaru, balstoties uz kura šīs iniciatīvas būtu jāvērtē. Ierosinātajā nelikumīgi iegūtu līdzekļu legalizācijas novēršanas tiesību aktu paketē ( 142 ) ir ietverti būtiski aizsardzības pasākumi personas datu aizsardzībai, neapdraudot mērķi mazināt nelikumīgi iegūtu līdzekļu legalizēšanas un teroristu finansēšanas riskus un efektīvi atklāt noziedzīgus mēģinājumus ļaunprātīgi izmantot ES finanšu sistēmu.

Šajā sakarā Padome ir uzsvērusi, ka visiem jaunajiem ES tiesību aktiem, kuros ietverti noteikumi par personas datu apstrādi, jāatbilst VDAR un Tiesas judikatūrai.

6.2Tiesiskais regulējums datu kopīgošanas uzlabošanai

Datu stratēģijas mērķis ir izveidot vienotu datu tirgu, kurā dati brīvi plūst ES iekšienē un starp nozarēm, sniedzot labumu uzņēmumiem, pētniekiem un valsts pārvaldes iestādēm. Datu stratēģijas galvenais mērķis ir izveidot kopīgas Eiropas datu telpas, kas atvieglo datu apvienošanu, piekļuvi tiem un kopīgošanu. Attiecībā uz personas datiem VDAR nodrošina satvaru visām iniciatīvām, kuru mērķis ir uzlabot datu brīvu apriti ES, kas pats par sevi ir VDAR mērķis. VDAR paredzētā personas datu aizsardzība nav skarta.

Datu pārvaldības akts ( 143 ) un Datu akts ( 144 ) ir Datu stratēģijas pīlāri. Datu pārvaldības aktā ir paredzēti konkrēti noteikumi saistībā ar tādu valsts sektora datu atkalizmantošanu, kas satur personu datus, un noteikts tiesiskais regulējums attiecībā uz datu starpniecības pakalpojumiem, tostarp personiskās informācijas pārvaldības pakalpojumiem (PIPP) vai personas datu mākoņiem, kas tiek piedāvāti, lai datu subjektiem dotu iespējas īstenot savas tiesības saskaņā ar VDAR. Tas arī nosaka nosacījumus datu izmantošanai altruistiskiem nolūkiem. Datu akts stiprina datu subjektu kontroli pār viņu ģenerētajiem datiem, izmantojot viedobjektus, kas tiem pieder, ko tie īrē vai nomā, nosakot tehniskās prasības attiecībā uz piekļuvi datiem un pārnesamību.

Eiropas veselības datu telpa (EVDT) ( 145 ) atspoguļo veselības datu nozarē apzinātās īpašās vajadzības, vienlaikus pamatojoties arī uz VDAR. Tā ļauj personām viegli piekļūt saviem veselības datiem elektroniskā formātā un kopīgot tos ar veselības aprūpes speciālistiem, tostarp citās dalībvalstīs, tādējādi uzlabojot veselības aprūpes pakalpojumu sniegšanu un palielinot pacientu kontroli pār saviem datiem. Tā arī ievieš vienotu tiesisko regulējumu veselības datu atkalizmantošanai tādos nolūkos kā pētniecība, inovācijas un sabiedrības veselība, pamatojoties uz veselības datu piekļuves struktūras izdotu atļauju. Lai nodrošinātu personas datu aizsardzību, EVDT izveidos uzticamu vidi drošai piekļuvei veselības datiem un to apstrādei. Komisija turpina atbalstīt darbu pie kopīgu Eiropas datu telpu izveides 14 nozarēs, īstenojot jauno tiesisko regulējumu un finansējot nozaru iniciatīvas.

6.3Jaunu digitālo noteikumu pārvaldība

Digitālo noteikumu izstrāde rada nepieciešamību pēc ciešas sadarbības visās regulējuma jomās ( 146 ). Šāda sadarbība ir vēl jo vairāk nepieciešama, jo datu aizsardzības jautājumi arvien vairāk pārklājas, piemēram, ar konkurences tiesību, patērētāju tiesību, digitālā tirgus noteikumu, elektronisko sakaru regulējuma un kiberdrošības jautājumiem. Piemēram, gadījumā, kad tiek novērtēta modeļu “maksā vai piekrīti” saderība ar ES tiesību aktiem.

Dažos gadījumos datu aizsardzības iestādēm ir uzdots izpildīt konkrētus jauno ES digitālo tiesību aktu ( 147 ) noteikumus. Ar jaunajām digitālajām regulām tiek izveidotas arī īpašas struktūras, kas apvieno kompetentus regulatorus, lai nodrošinātu saskaņotu izpildi, piemēram, Digitālo tirgu akta augsta līmeņa grupu, Eiropas Datu inovācijas kolēģiju (kas izveidota saskaņā ar Datu pārvaldības aktu) un Eiropas Digitālo pakalpojumu padomi (kas izveidota saskaņā ar Digitālo pakalpojumu aktu). TID2 direktīvā ( 148 ) ir izklāstīti detalizētāki noteikumi par sadarbību starp regulatīvajām iestādēm un datu aizsardzības iestādēm tādu drošības incidentu gadījumā, kad ir notikuši personas datu aizsardzības pārkāpumi.

Ārpus šīm formālajām struktūrām datu aizsardzības iestādes veic pasākumus, lai nodrošinātu, ka to darbības ir papildinošas un saskanīgas ar citām regulējuma jomām. 2020. gada jūlijā patērētāju un datu aizsardzības iestādes izveidoja “brīvprātīgo grupu”, lai noteiktu paraugpraksi un dalītos izpildes pieredzē. Datu aizsardzības iestādes turpina piedalīties kopīgos darbsemināros ar Patērētāju tiesību aizsardzības sadarbības tīklu. Kolēģija 2023. gadā izveidoja darba grupu datu aizsardzības, konkurences un patērētāju aizsardzības mijiedarbības jautājumos.

Lai gan šīs norises ir pozitīvas, ir vajadzīgi strukturētāki un efektīvāki sadarbības līdzekļi, jo īpaši, lai risinātu situācijas, kas skar lielu skaitu cilvēku ES un kurās iesaistīti vairāki regulatori ( 149 ). Visām šādām struktūrām jānodrošina, ka iestādes vienmēr ir atbildīgas par visiem jautājumiem, kas saistīti ar noteikumu ievērošanu savās kompetences jomās. Dalībvalstīm arī jāstrādā pie tā, lai nodrošinātu pienācīgu sadarbību valsts līmenī ( 150 ).

7Starptautiskā datu nosūtīšana un globālā sadarbība

7.1VDAR datu nosūtīšanas instrumentu kopums

Datu plūsmas ir kļuvušas par sabiedrības digitālās pārveides un ekonomikas globalizācijas neatņemamu sastāvdaļu. Vairāk nekā jebkad agrāk privātuma ievērošana ir nosacījums stabilām, drošām un konkurētspējīgām komerciālām plūsmām, un tā arī veicina daudzus starptautiskās sadarbības veidus. VDAR datu nosūtīšanas instrumentu kopums, kas paredzēts tās V nodaļā, piedāvā dažādus instrumentus dažādiem datu nosūtīšanas scenārijiem, vienlaikus nodrošinot, ka datiem, kuri tiek nosūtīti ārpus ES, joprojām tiek nodrošināts augsts aizsardzības līmenis. 

Kopš 2020. gada ziņojuma ES datu aizsardzības tiesību aktos noteiktās prasības attiecībā uz datu nosūtīšanu ir precizētas sīkāk, un nosūtīšanas instrumentu kopums ir turpinājis attīstīties. Svarīgs precizējums attiecas uz jēdzienu “starptautiska nosūtīšana”, ko kolēģija ( 151 ) ir definējusi kā tādu, kas ietver personas datu izpaušanu, ko veic pārzinis vai apstrādātājs, uz kura veikto apstrādi attiecas VDAR, citam pārzinim vai apstrādātājam trešā valstī neatkarīgi no tā, vai uz tā veikto apstrādi attiecas VDAR ( 152 ). Šie kolēģijas norādījumi bija īpaši svarīgi, lai nodrošinātu juridisko noteiktību Eiropas pārziņiem un apstrādātājiem par scenārijiem, kādos ir vajadzīgs nosūtīšanas instruments saskaņā ar VDAR V nodaļu.

Tiesa spriedumā lietā Schrems II ( 153 ) ir sniegusi arī papildu skaidrojumus par aizsardzību, kas jāpanāk ar dažādiem nosūtīšanas instrumentiem, lai nodrošinātu, ka netiek apdraudēts VDAR garantētais aizsardzības līmenis( 154 ). Jo īpaši ar šiem instrumentiem ir jānodrošina, ka personām, kuru dati tiek nosūtīti ārpus ES, tiek nodrošināts aizsardzības līmenis, kas būtībā ir līdzvērtīgs ES garantētajam līmenim ( 155 ). ES datu nosūtītāja pienākums ir novērtēt, vai tas tā ir, ņemot vērā datu nosūtīšanas konkrētos apstākļus ( 156 ).

Lai novērtētu aizsardzības līmeni, datu nosūtītājiem ir jāņem vērā gan datu aizsardzības pasākumi, kas noteikti datu nosūtīšanas instrumentā, kurš noslēgts ar datu saņēmēju ārpus ES (piemēram, līgums), gan attiecīgie tās valsts tiesību sistēmas aspekti, kurā atrodas datu saņēmējs, jo īpaši attiecībā uz valsts iestāžu iespējamo piekļuvi datiem šajā valstī ( 157 ). Pēdējais aspekts ir jānovērtē, ņemot vērā VDAR 45. pantā noteiktos kritērijus, lai pieņemtu lēmumu par aizsardzības līmeņa pietiekamību. Tiesa arī sīkāk precizēja šos kritērijus, jo īpaši attiecībā uz noteikumiem par valsts iestāžu piekļuvi personas datiem tiesībaizsardzības un valsts drošības nolūkos.

Šī interpretācija ir atspoguļota arī kolēģijas norādījumos, kuros tā atjaunināja savu “pietiekamības atsauces” dokumentu ( 158 ) (sniedzot norādījumus par elementiem, kas Komisijai jāņem vērā, novērtējot, vai dati ir pietiekami aizsargāti). Kolēģija arī pieņēma jaunus norādījumus, kuros sniegti papildu skaidrojumi par: i) elementiem, kas individuāliem datu nosūtītājiem jāņem vērā, novērtējot aizsardzības līmeni; ii) iespējamiem avotiem, kurus var izmantot; un iii) iespējamo papildu pasākumu piemēriem (piemēram, līgumiskas un tehniskas garantijas) ( 159 ). Norādījumos īpaši uzsvērts, ka katrs datu nosūtītāju veiktais novērtējums ir unikāls un ka tādēļ tajos ir jāņem vērā katras nosūtīšanas īpatnības, kas var atšķirties atkarībā no datu nosūtīšanas mērķa, iesaistīto struktūru veida, nozares, kurā notiek nosūtīšana, nosūtīto personas datu kategorijām utt. ( 160 ).

Ņemot vērā šos dažādos precizējumus par prasībām starptautiskai datu nosūtīšanai, pēdējos gados ir veikti būtiski pasākumi, lai turpinātu izstrādāt un ieviest praksē VDAR datu nosūtīšanas instrumentu kopumu.

7.1.1Lēmumi par aizsardzības līmeņa pietiekamību

Kā redzams arī no ieinteresētajām personām saņemtajās atsauksmēs, lēmumiem par aizsardzības līmeņa pietiekamību joprojām ir būtiska nozīme VDAR datu nosūtīšanas instrumentu kopumā ( 161 ), jo tie nodrošina vienkāršu un visaptverošu risinājumu datu nosūtīšanai, neliekot datu nosūtītājam nodrošināt papildu aizsardzības pasākumus vai saņemt atļauju. Nodrošinot brīvu personas datu apriti, šie lēmumi ir pavēruši ES operatoriem komerciālus kanālus, tostarp papildinot un paplašinot tirdzniecības nolīgumu sniegtās priekšrocības, kā arī atvieglojuši sadarbību ar ārvalstu partneriem daudzās jomās, sākot no regulatīvās sadarbības līdz pētniecībai.

Kopš 2020. gada ziņojuma publicēšanas ir turpinājis pieaugt to valstu skaits, kuras ir ieviesušas mūsdienīgus datu aizsardzības tiesību aktus, cita starpā paredzot galvenos datu aizsardzības principus, individuālās tiesības un efektīvu izpildi, ko veic neatkarīgi regulatori. Šī tendence ( 162 ) ir arī ļāvusi Komisijai intensīvāk strādāt, lai nodrošinātu aizsardzības līmeņa pietiekamību. Tas ietver lēmuma par aizsardzības līmeņa pietiekamību pieņemšanu attiecībā uz Apvienoto Karalisti ( 163 ), kam ir būtiska nozīme, lai nodrošinātu, ka pēc tās izstāšanās no ES pienācīgi darbojas dažādie nolīgumi, kas ir noslēgti ar Apvienoto Karalisti. Lai nodrošinātu, ka lēmums par aizsardzības līmeņa pietiekamību joprojām atbilst nākotnes prasībām, tajā ir iekļauta turpināmības klauzula, kuras termiņš beigsies 2025. gadā, un pēc tam to var atjaunot, ja aizsardzības līmenis joprojām būs pietiekams. Komisija pieņēma arī lēmumu par aizsardzības līmeņa pietiekamību attiecībā uz Korejas Republiku ( 164 ), kas papildina ES un Korejas brīvās tirdzniecības nolīgumu par personas datu plūsmām un atvieglo regulatīvo sadarbību. Lēmuma par aizsardzības līmeņa pietiekamību pirmā pārskatīšana ir plānota 2024. gada beigās.

Turklāt pēc tam, kad lēmums par aizsardzības līmeņa pietiekamību attiecībā uz ES un ASV privātuma vairogu tika atzīts par spēkā neesošu, Komisija sāka sarunas ar Amerikas Savienoto Valstu (ASV) valdību, lai izstrādātu turpmāku vienošanos saskaņā ar Tiesas precizētajām prasībām ( 165 ). ASV prezidents pieņēma jaunu izpildrīkojumu par aizsardzības pasākumu uzlabošanu attiecībā uz Amerikas Savienoto Valstu sakaru izlūkošanas darbībām, ar ko ieviesa jaunus saistošus un izpildāmus aizsardzības pasākumus, lai nodrošinātu, ka datiem valsts drošības nolūkos var piekļūt tikai tiktāl, cik tas ir nepieciešams un samērīgi, un ka eiropiešiem ir pieejama efektīva tiesiskā aizsardzība. Pamatojoties uz to, Komisija pieņēma lēmumu par aizsardzības līmeņa pietiekamību attiecībā uz ES un ASV datu privātuma regulējumu (DPR) ( 166 ), kas ļauj personas datiem brīvi plūst no ES uz ASV uzņēmumiem, kuri pievienojas DPR. Tā kā ASV valdības ieviestie aizsardzības pasākumi valsts drošības jomā attiecas uz visiem datu sūtījumiem ASV uzņēmumiem neatkarīgi no izmantotā VDAR nosūtīšanas mehānisma, ir būtiski atvieglota citu instrumentu, piemēram, līguma standartklauzulu un saistošu uzņēmuma noteikumu, izmantošana. DPR darbības pirmā pārskatīšana notiks 2024. gada vasarā, lai pārbaudītu, vai visi attiecīgie elementi ir pilnībā ieviesti ASV tiesiskajā regulējumā un efektīvi darbojas praksē.

Pašlaik notiek sarunas par aizsardzības līmeņa pietiekamību ar Brazīliju un Keniju, kā arī pirmo reizi ar vairākām starptautiskām organizācijām (piemēram, sarunas par aizsardzības līmeņa pietiekamību ir beigu posmā ar Eiropas Patentu organizāciju) ( 167 ). Atsaucoties arī dažādu ieinteresēto personu aicinājumiem ( 168 ), Komisija ir aktīvi iesaistījusies izpētes sarunās ar valstīm dažādos pasaules reģionos.

Komisija arī pastāvīgi uzrauga norises valstīs, kuras jau sekmīgi izmanto aizsardzības pietiekamības atzinumus, un periodiski pārskata esošos lēmumus atbilstoši saviem pienākumiem saskaņā ar VDAR ( 169 ). Komisija 2023. gada aprīlī pieņēma ziņojumu par pirmo regulāro pārskatīšanu attiecībā uz to, kā darbojas lēmums par aizsardzības līmeņa pietiekamību Japānā ( 170 ), kurā secināts, ka Japāna turpina nodrošināt pienācīgu aizsardzības līmeni ( 171 ). Pārskatīšana parādīja, ka kopš savstarpējo lēmumu par aizsardzības līmeņa pietiekamību pieņemšanas ES un Japānas datu aizsardzības regulējumi ir vēl vairāk tuvinājušies.

Turklāt saskaņā ar VDAR 97. pantu pirmā pārskatīšana, izvērtējot 11 lēmumus par aizsardzības līmeņa pietiekamību ( 172 ), kuri pieņemti saskaņā ar iepriekšējo ES datu aizsardzības regulējumu (Datu aizsardzības direktīva), tika sākta 2020. gadā, vērtējot, kā tiek piemērota un darbojas VDAR. Šīs pārskatīšanas daļas pabeigšana tika atlikta, lai ņemtu vērā Tiesas spriedumu lietā Schrems II lietā un turpmāko kolēģijas interpretāciju. Iepriekš minētie Tiesas precizējumi par aizsardzības pietiekamības standarta galvenajiem elementiem, izraisīja detalizētu informācijas apmaiņu ar attiecīgajām valstīm un teritorijām par to tiesiskā regulējuma attiecīgajiem aspektiem, kā arī par pārraudzības un izpildes mehānismiem.

Komisija 2024. gada 15. janvārī publicēja ziņojumu par šiem 11 lēmumiem kopā ar detalizētiem valstu ziņojumiem, kuros aprakstītas norises katrā valstī un teritorijā kopš lēmumu par aizsardzības līmeņa pietiekamību pieņemšanas, kā arī noteikumus, kas attiecas uz valsts iestāžu piekļuvi datiem, jo īpaši tiesībaizsardzības un valsts drošības nolūkos ( 173 ). Ziņojumā secināts, ka visas 11 valstis un teritorijas turpina nodrošināt pienācīgu aizsardzības līmeni personas datiem, kas nosūtīti no ES. Tajā atspoguļots, ka visas attiecīgās valstis un teritorijas ir dažādos veidos modernizējušas un nostiprinājušas savu privātuma tiesisko regulējumu. Turklāt, lai novērstu attiecīgās aizsardzības līmeņa atšķirības, ar dažām no tām tika apspriesti un saskaņoti papildu aizsardzības pasākumi no Eiropas nosūtītajiem personas datiem, ja tādi bija nepieciešami, lai nodrošinātu nepārtrauktību lēmumiem par aizsardzības līmeņa pietiekamību.

Šie pārskati arī liecina, ka lēmumi par aizsardzības līmeņa pietiekamību ir nevis “galapunkts”, bet gan veido pamatu ciešākai sadarbībai un turpmākai regulējuma konverģencei starp ES un šiem līdzīgi domājošajiem partneriem. Piemēram, ziņojumā par pirmo pārskatīšanu attiecībā uz to, kā darbojas lēmums par aizsardzības līmeņa pietiekamību Japānā, ir atzīts, ka Japānas datu aizsardzības regulējuma turpmāka stiprināšana var pavērt ceļu, lai lēmumu par aizsardzības līmeņa pietiekamību attiecinātu ne tikai uz komerciālu apmaiņu, bet arī uz nosūtīšanu, kas pašlaik ir izslēgta no tā darbības jomas, piemēram, regulatīvās sadarbības un pētniecības jomā. Šobrīd notiek sarunas, lai izpētītu iespējamo jomas paplašināšanu. Kopumā lēmumi par aizsardzības līmeņa pietiekamību ir kļuvuši par stratēģisku elementu ES vispārējās attiecībās ar šiem ārvalstu partneriem un ir atzīti par būtisku priekšnosacījumu sadarbības padziļināšanai daudzās jomās.

Augošais to valstu un teritoriju tīkls, attiecībā uz kurām ES ir pieņēmusi lēmumu par aizsardzības līmeņa pietiekamību, ne tikai veido stingru pamatu pastiprinātai divpusējai sadarbībai, bet arī paver jaunas iespējas, lai maksimāli palielinātu ieguvumus no drošām un brīvām datu plūsmām un ciešāk sadarbotos ar līdzīgi domājošiem partneriem datu aizsardzības noteikumu izpildes jomā. Tāpēc 2024. gada martā Komisija rīkoja pirmo augsta līmeņa sanāksmi par drošām datu plūsmām, pulcējot atbildīgos ministrus un datu aizsardzības iestāžu vadītājus no 15 valstīm un teritorijām, attiecībā uz kurām ES ir pieņēmusi lēmumu par aizsardzības līmeņa pietiekamību, kā arī Eiropas Datu aizsardzības kolēģijas priekšsēdētāju ( 174 ). Sanāksmē tika noteikti vairāki konkrēti rīcības virzieni, pie kuriem šajā grupā turpinās darbs.

Pateicoties to tīklveida darbībai, Eiropas Komisijas pieņemtie lēmumi par aizsardzības līmeņa pietiekamību kļūst arvien nozīmīgāki arī ārpus ES, jo ar tiem tiek nodrošināta brīva datu aprite ne tikai ar 30 EEZ valstu tautsaimniecībām, bet arī ar daudzām citām tādām jurisdikcijām visā pasaulē, kas atbilstoši saviem datu aizsardzības noteikumiem atzīst, ka valstis, attiecībā uz kurām ir pieņemts ES lēmums par aizsardzības līmeņa pietiekamību, ir droši galamērķi ( 175 ).

7.1.2Instrumenti, kas nodrošina pienācīgus aizsardzības pasākumus

Kopš 2020. gada ziņojuma ir izstrādāti papildu instrumenti, kas nodrošina pienācīgus aizsardzības pasākumus, un ir izdoti praktiski norādījumi, lai atvieglotu to izmantošanu.

Kā paziņots 2020. gada ziņojumā, Komisija ir pieņēmusi modernizētas līguma standartklauzulas ( 176 ), kas izstrādātas, lielā mērā balstoties uz dažādu ieinteresēto personu atsauksmēm ( 177 ). Jaunās līguma standartklauzulas ir aizstājušas trīs līguma standartklauzulu kopumus, kas tika pieņemti saskaņā ar Datu aizsardzības direktīvu. Galvenie jauninājumi ir šādi: i) atjauninātas garantijas saskaņā ar VDAR; ii) modulāra pieeja, kas piedāvā vienotu kontaktpunktu, kurš aptver dažādus datu nodošanas scenārijus; iii) lielāka elastība attiecībā uz to, kā vairākas puses var izmantot līguma standartklauzulas; un iv) praktisku instrumentu kopums, ar ko panākt atbilstību spriedumam lietā Schrems II.

Ieinteresētās personas atzinīgi novērtēja modernizētās līguma standartklauzulas, un saņemtās atsauksmes apstiprina, ka līguma standartklauzulas joprojām ir instruments, ko ES datu nosūtītāji izmanto visvairāk ( 178 ). Lai palīdzētu datu nosūtītājiem to centienos nodrošināt atbilstību, Komisija ir izstrādājusi jautājumus un atbildes, sniedzot papildu norādījumus par klauzulu izmantošanu ( 179 ), kas tiks papildus atjaunināti, ja radīsies jauni jautājumi, tostarp ņemot vērā turpmākās atsauksmes, kas tiks saņemtas šā izvērtējuma ietvaros.

Daudzi datu nosūtītāji ziņo par grūtībām veikt spriedumā lietā Schrems II prasītos “datu nosūtīšanas ietekmes novērtējumus”, jo īpaši atsaucoties uz to sarežģītību, kā arī izmaksām un laiku, kas nepieciešams to veikšanai ( 180 ). Lai gan viņi atzinīgi vērtē kolēģijas norādījumus un līguma standartklauzulas, viņi aicina sniegt papildu norādījumus (piemēram, par iesaistīto pušu pienākumiem un datu nosūtīšanas ietekmes novērtējumu detalizācijas pakāpi), kā arī papildu rīkus, lai palīdzētu veikt šādus novērtējumus (piemēram, veidnes, vispārējus valstu novērtējumus, risku sarakstus). Lai gan ieinteresētās personas galvenokārt sniedza šādas atsauksmes par līguma standartklauzulām, tāpat ir jāizvērtē arī citi nosūtīšanas instrumenti (piemēram, saistošie uzņēmuma noteikumi). Tāpēc ir svarīgi, lai kolēģija, pamatojoties uz pieredzi, kas gūta pēdējos gados, piemērojot sprieduma lietā Schrems II prasības, tostarp valstu datu aizsardzības iestāžu izpildes pasākumu ietvaros, apsvērtu iespēju izpētīt veidus/rīkus, kā turpmāk palīdzēt datu nosūtītājiem to centienos nodrošināt atbilstību šajā kontekstā.

Lai papildinātu esošās līguma standartklauzulas, Komisija izstrādā papildu klauzulu kopumus, lai ES datu nosūtītājiem nodrošinātu visaptverošu un saskaņotu paketi. Tā ietvers līguma standartklauzulas saskaņā ar Regulu (ES) 2018/1725 attiecībā uz datiem, ko ES iestādes un struktūras nosūta komerciāliem operatoriem trešās valstīs ( 181 ), un līguma standartklauzulas datu nosūtīšanai trešo valstu datu saņēmējiem, uz kuru apstrādes darbībām tieši attiecas VDAR. Tas tiek darīts, atbildot uz ieinteresēto personu aicinājumu īpaši aptvert scenārijus, kuros datu saņēmējs ietilpst VDAR teritoriālās piemērošanas jomā (piemēram, tāpēc, ka attiecīgā apstrāde ir vērsta uz ES tirgu saskaņā ar VDAR 3. panta 2. punktu) ( 182 ). Kā precizējusi kolēģija, datu nosūtīšanas instruments saskaņā ar VDAR V nodaļu ir vajadzīgs arī šajā gadījumā, jo personas datiem, ko apstrādā ārpus ES, ir lielāks risks, piemēram, sakarā ar iespējami pretrunīgiem valsts tiesību aktiem vai nesamērīgu valdības piekļuvi trešā valstī ( 183 ). Jaunās līguma standartklauzulas, ko izstrādā Komisija, būs paredzētas tieši šim scenārijam un pilnībā ņems vērā prasības, kas saskaņā ar VDAR jau ir tieši piemērojamas minētajiem pārziņiem un apstrādātājiem ( 184 ).

Kā atzīst arī dažādas ieinteresētās personas ( 185 ), paraugklauzulām ir arvien lielāka nozīme datu plūsmu veicināšanā visā pasaulē. Vairākās jurisdikcijās ES līguma standartklauzulas ir apstiprinātas kā nosūtīšanas mehānisms atbilstoši to datu aizsardzības tiesību aktiem, ar nelieliem formāliem pielāgojumiem attiecīgās valsts tiesību sistēmas normām ( 186 ). Vairākas citas valstis ir pieņēmušas savas paraugklauzulas, kurām ir svarīgas kopīgas iezīmes ar ES līguma standartklauzulām ( 187 ). Īpaši nozīmīgs piemērs ir paraugklauzulu izveide, ko veic citas starptautiskas/reģionālas organizācijas vai tīkli, piemēram, Eiropas Padomes 108. konvencijas Padomdevēja komiteja, Ibērijas pussalas un Latīņamerikas valstu datu aizsardzības tīkls un Dienvidaustrumāzijas valstu asociācija (ASEAN) ( 188 ). Tas paver jaunas iespējas atvieglot datu plūsmas starp dažādiem pasaules reģioniem, pamatojoties uz paraugklauzulām. Konkrēts piemērs ir ES un ASEAN rokasgrāmata par ES līguma standartklauzulām un ASEAN paraugklauzulām, kas, pamatojoties uz uzņēmumu sniegto informāciju, palīdz tiem nodrošināt atbilstību saskaņā ar abiem klauzulu kopumiem ( 189 ).

Papildus līguma standartklauzulām joprojām plaši izmanto saistošos uzņēmuma noteikumus (SUN) datu plūsmām starp uzņēmumu grupu dalībniekiem vai starp uzņēmumiem, kas iesaistīti kopīgā saimnieciskā darbībā. Kopš ir spēkā VDAR, kolēģija ir pieņēmusi 80 pozitīvus atzinumus par valstu lēmumiem, ar kuriem apstiprina SUN ( 190 ). Kolēģija arī izdeva norādījumus, kuri tika atjaunināti, lai ņemtu vērā VDAR prasības un spriedumu lietā Schrems II, pārziņiem par elementiem, kas jāiekļauj SUN (un informāciju, kas jāsniedz SUN pieteikumā)( 191 ). Saistībā ar SUN tiek izstrādāti arī atjaunināti norādījumi datu apstrādātājiem ( 192 ). Tā kā SUN mērķis ir ieviest uzņēmumos saistošu datu aizsardzības politiku/programmas, daudzas ieinteresētās personas uzskata tos par īpaši noderīgu atbilstības nodrošināšanas instrumentu un uzticamu nosūtīšanas instrumentu ( 193 ). Tajā pašā laikā ieinteresētās personas joprojām ziņo, ka valstu datu aizsardzības iestāžu apstiprināšanas procesa ilgums un sarežģītība kavē SUN plašāku ieviešanu. Tāpēc ir svarīgi, lai iestādes turpinātu darbu pie apstiprināšanas procesa pilnveidošanas un saīsināšanas.

Kopš 2020. gada ziņojuma ir veikti pasākumi, lai atvieglotu sertifikācijas un rīcības kodeksu kā nosūtīšanas instrumentu izmantošanu, piemēram, kolēģijai pieņemot īpašas pamatnostādnes par abiem rīkiem ( 194 ). Tajā pašā laikā ieinteresētās personas norāda uz tām pašām problēmām saistībā ar apstiprināšanas procesa ilgumu un sarežģītību, kas minētas iepriekš attiecībā uz sertifikāciju un rīcības kodeksiem kā pārskatatbildības instrumentiem.

Visbeidzot, VDAR paredz arī īpašus instrumentus – starptautiskus nolīgumus un administratīvas vienošanās, ko apstiprinājušas datu aizsardzības iestādes –, ko valsts iestādēm jāizmanto, lai nosūtītu personas datus saviem partneriem trešās valstīs vai starptautiskām organizācijām. Kolēģija pieņēma pamatnostādnes par aizsardzības pasākumiem, kas jāiekļauj šādos instrumentos ( 195 ) un kas var veicināt sarunas par šādiem nolīgumiem un vienošanos.

7.1.3Papildināmības nodrošināšana ar citām politikas jomām

Tā kā datu plūsmas ir kļuvušas būtiskas tik daudzām darbībām, ir svarīgi nodrošināt, ka datu aizsardzības politika un citas politikas jomas papildina viena otru. Datu aizsardzības pasākumu iekļaušana starptautiskajos instrumentos ne tikai bieži ir priekšnoteikums datu plūsmām, bet arī svarīga stabilas un uzticamas sadarbības veicinātāja.

Piemēram, lai nodrošinātu savstarpēju atzīšanu un atvieglotu tiesībaizsardzības iestāžu pārrobežu piekļuvi uzņēmumu rīcībā esošajiem elektroniskajiem pierādījumiem un tādējādi efektīvāk cīnītos pret noziedzību, būtiski ir starptautiskie nolīgumi, kas paredz nepieciešamos datu aizsardzības pasākumus, tostarp nodrošinot pieprasījuma iesniedzējas iestādes aizsardzības nepārtrauktību. Šī pieeja ir atspoguļota Konvencijas par kibernoziegumiem Otrajā papildu protokolā ( 196 ), kas pilnveido spēkā esošos noteikumus, lai iegūtu pārrobežu piekļuvi elektroniskiem pierādījumiem kriminālizmeklēšanā, vienlaikus nodrošinot atbilstošus datu aizsardzības pasākumus. Pa šo laiku protokolu ir parakstījušas vairākas ES dalībvalstis. Tāpat notiek divpusējas sarunas starp ES un ASV par nolīgumu par pārrobežu piekļuvi elektroniskajiem pierādījumiem sadarbībai krimināllietās ( 197 ).

Apmaiņa ar pasažieru datu reģistra (PDR) datiem ir vēl viena ES drošības politikas joma, kas ir guvusi labumu no stingru datu aizsardzības pasākumu izstrādes. ES un Kanāda 2023. gadā pabeidza sarunas par jaunu PDR nolīgumu saskaņā ar prasībām, ko Tiesa izklāstījusi Atzinumā 1/15 ( 198 ). Līdzīgi aizsardzības pasākumi ir ieviesti ES un Apvienotās Karalistes Tirdzniecības un sadarbības nolīguma PDR nodaļā. Stingrāku privātuma aizsardzības līdzekļu iekļaušana šajos nolīgumos, kas var kalpot par paraugu turpmākiem nolīgumiem ar citiem partneriem, sniedz juridisko noteiktību gaisa pārvadātājiem, vienlaikus nodrošinot svarīgas informācijas apmaiņas stabilitāti terorisma un citu smagu starptautisku noziegumu apkarošanai.

Komisija arī atbalsta stingrus noteikumus privātuma aizsardzībai un digitālās tirdzniecības veicināšanai Pasaules Tirdzniecības organizācijā notiekošajās sarunās saistībā ar kopīgā paziņojuma iniciatīvu par elektronisko tirdzniecību. Līdzīgi noteikumi par nepamatotu šķēršļu novēršanu digitālajai tirdzniecībai, vienlaikus aizsargājot pusēm nepieciešamo politikas telpu datu aizsardzības jomā, ir konsekventi iekļauti brīvās tirdzniecības nolīgumos, ko ES noslēgusi pēc VDAR piemērošanas sākuma, jo īpaši ES un Apvienotās Karalistes Tirdzniecības un sadarbības nolīgumā un nolīgumos ar Čīli, Japānu un Jaunzēlandi. Noteikumi par privātumu un datu plūsmām tiek apspriesti arī sarunās par digitālo tirdzniecību, kas notiek ar Singapūru un Dienvidkoreju.

7.2Starptautiskā sadarbība datu aizsardzības jomā

7.2.1Divpusējā dimensija

Komisija ir turpinājusi iesaistīties dialogā ar valstīm un starptautiskām organizācijām par privātuma noteikumu izstrādi, reformu un īstenošanu, tostarp sniedzot informāciju sabiedriskajā apspriešanā par tiesību aktu projektiem vai regulatīviem pasākumiem privātuma jomā ( 199 ), sniedzot liecības kompetentām parlamentārajām struktūrām ( 200 ) un piedaloties īpašās sanāksmēs ar valdības pārstāvjiem, parlamentārajām delegācijām un regulatoriem no daudziem pasaules reģioniem ( 201 ). Vairāki no šiem pasākumiem ir veikti, izmantojot ES finansēto projektu “Uzlabota datu aizsardzība un datu aprite”, kas atbalsta valstis, kuras plāno izstrādāt modernas datu aizsardzības sistēmas vai stiprināt savu regulatīvo iestāžu spējas, nodrošinot apmācību, zināšanu apmaiņu, spēju veidošanu un apmaiņu ar paraugpraksi. Komisija atbalstīja arī citas iniciatīvas, piemēram, ES un Latīņamerikas un Karību jūras reģiona valstu kopienas (CELAC) digitālo aliansi.

Datu aizsardzībai arī turpmāk būs svarīga loma Komisijas darbā, kas saistīts ar paplašināšanos. ES datu aizsardzības tiesību akti ir svarīgs elements paplašināšanās procesā iesaistīto valstu vispārējos centienos saskaņot savu tiesisko regulējumu ar ES tiesisko regulējumu (jo īpaši tāpēc, ka personas datu apstrāde un apmaiņa ir tik daudzu politikas jomu pamatā). Turklāt datu aizsardzības iestādes neatkarība un pareiza darbība ir galvenais vispārējās kontroles un līdzsvara, kā arī tiesiskuma elements, un tas kļūs arvien svarīgāks, jo ES pakāpeniski integrēs paplašināšanās procesā iesaistītās valstis vienotajā tirgū (kā to paredz tādas iniciatīvas kā Rietumbalkānu izaugsmes plāns).

Informācijas apmaiņa starp regulatoriem ir arvien svarīgāks aspekts ES dialogā ar trešām valstīm. Kā minēts 2020. gada ziņojumā, Komisija ir izveidojusi “Datu aizsardzības akadēmiju”, lai veicinātu informācijas apmaiņu starp ES un trešo valstu datu aizsardzības iestādēm un tādējādi sekmētu spēju veidošanu un uzlabotu sadarbību “uz vietas”. Akadēmija piedāvā īpaši pielāgotas apmācības pēc trešo valstu iestāžu pieprasījuma un apvieno tiesībaizsardzības iestāžu, akadēmisko aprindu, privātā sektora un Eiropas iestāžu pārstāvju speciālās zināšanas. Apmācību pievienotā vērtība ir dažādo komponentu pielāgošana pieprasījuma iesniedzējas iestādes interesēm un vajadzībām. Turklāt šīs apmācības ļauj ES un trešo valstu datu aizsardzības iestādēm nodibināt kontaktus, dalīties ar zināšanām, apmainīties ar pieredzi un paraugpraksi un noteikt iespējamās sadarbības jomas. Akadēmija līdz šim ir nodrošinājusi apmācības Indonēzijas, Brazīlijas, Kenijas, Nigērijas un Ruandas datu aizsardzības iestādēm un pašlaik gatavo apmācības vairākām citām valstīm.

Papildus tam, cik svarīgi ir uzturēt dialogu starp regulatoriem, pieaug nepieciešamība, kā atzīts arī no Padomes un kolēģijas ( 202 ) saņemtajās atsauksmēs, izstrādāt piemērotus juridiskos instrumentus ciešākai sadarbībai un savstarpējai palīdzībai, tostarp nodrošinot nepieciešamo informācijas apmaiņu saistībā ar izmeklēšanu. Tā kā privātuma pārkāpumi arvien vairāk rada sekas pārrobežu mērogā, tos bieži vien var efektīvi izmeklēt un risināt, tikai sadarbojoties ES un trešo valstu regulatoriem. Tāpēc Komisija lūgs atļauju sākt sarunas, lai noslēgtu izpildes sadarbības nolīgumus ar attiecīgajām trešām valstīm (kā paredzēts arī VDAR 50. pantā). Šajā sakarā Komisija ņem vērā kolēģijas prasību par potenciālajiem partneriem uzskatīt īpaši tās valstis, kurās visvairāk operatoru ir tieši pakļauti VDAR, jo īpaši G7 valstis un/vai valstis, attiecībā uz kurām ir pieņemts lēmums par aizsardzības līmeņa pietiekamību ( 203 ).

Šādu sadarbības nolīgumu izpildes panākšanas jomā un savstarpējās palīdzības nolīgumu ieviešana arī palīdzētu nodrošināt atbilstību un efektīvu izpildi attiecībā uz ārvalstu operatoriem, uz kuriem attiecas VDAR, piemēram, tāpēc, ka tie darbojas ES tirgū, piedāvājot preces vai pakalpojumus. Padome atzīmē, ka šādos gadījumos ir svarīgi panākt atbilstību VDAR, un pauž bažas par vienlīdzīgiem konkurences apstākļiem ar struktūrām ES, kā arī par personu tiesību efektīvu aizsardzību ( 204 ). Komisija piekrīt Padomes aicinājumam izpētīt dažādus veidus, kā atvieglot izpildi šajā scenārijā. Lai gan oficiālākām sadarbības formām ar trešo valstu regulatoriem noteikti varētu būt svarīga nozīme, būtu aktīvāk jāizmanto arī citi – jau pastāvoši – sadarbības veidi. Tās ietver VDAR 58. pantā paredzētā izpildes instrumentu kopuma pilnīgu izmantošanu un ES esošo ārvalstu uzņēmumu pārstāvju iesaistīšanu (kas iecelti saskaņā ar VDAR 27. pantu).

7.2.2Daudzpusējā dimensija

Komisija arī turpina aktīvi piedalīties vairākos starptautiskos forumos, lai atbalstītu kopīgas vērtības un veidotu konverģenci reģionālā un globālā līmenī.

Tas ietver, piemēram, aktīvu dalību Konvencijas par personu aizsardzību attiecībā uz personas datu automātisko apstrādi (Konvencija Nr. 108) konsultatīvās komitejas darbā, kas ir vienīgais juridiski saistošais daudzpusējais instruments personas datu aizsardzības jomā. Līdz šim 31 valsts ir ratificējusi grozījumu protokolu, lai modernizētu Konvenciju Nr. 108 ( 205 ), tostarp daudzas ES dalībvalstis, kā arī dažas valstis, kas nav Eiropas Padomes locekles (Argentīna, Maurīcija un Urugvaja). No ES dalībvalstīm vēl nav parakstījusi tikai viena dalībvalsts ( 206 ), savukārt astoņas dalībvalstis ( 207 ) ir parakstījušas, bet nav ratificējušas modernizēto konvenciju. Komisija aicina vienu atlikušo dalībvalsti parakstīt modernizēto konvenciju, bet pārējās dalībvalstis ātri uzsākt ratifikācijas procesu, lai šī konvencija tuvākajā nākotnē varētu stāties spēkā. Papildus iepriekš minētajam Komisija arī turpina aktīvi sekmēt trešo valstu pievienošanos konvencijai.

G20 un G7 līmenī diskusijās par privātumu un datu plūsmām galvenā uzmanība tika pievērsta Japānas sākotnēji ierosinātajam jēdzienam “datu brīva aprite uzticēšanās gaisotnē” (DBAU), kurā atzīts, ka datu aizsardzība un drošība var veicināt uzticēšanos digitālajai ekonomikai un atvieglot datu plūsmas ( 208 ). Šajā sakarā ESAO ir īpaši svarīga loma, jo tā nodrošina forumu DBAU ekspertu kopienai, kurā pulcējas plašs ieinteresēto personu loks (valdību, regulatoru, nozares, pilsoniskās sabiedrības un akadēmisko aprindu pārstāvji), lai dotu savu ieguldījumu konkrētos projektos un jautājumos, kas saistīti ar DBAU. Turklāt ievērojams DBAU iniciatīvas rezultāts, kura sasniegšanā Komisija sniedza būtisku ieguldījumu, ir tas, ka ESAO ir pieņēmusi Deklarāciju par valdības piekļuvi privātā sektora struktūru rīcībā esošiem personas datiem, kas ir pirmais starptautiskais instruments šajā jomā. Tajā ir ietvertas vairākas kopīgas prasības, lai aizsargātu privātumu, piekļūstot personas datiem valsts drošības un tiesībaizsardzības nolūkos. Ņemot vērā to, ka pasaulē arvien vairāk tiek atzīts, ka uzticēšanos datu nosūtīšanai negatīvi ietekmē nesamērīga valdības piekļuve, šī deklarācija ir svarīgs ieguldījums uzticamas datu aprites veicināšanā. Komisija turpinās mudināt valstis pievienoties deklarācijai, ko var izdarīt arī tās dalībvalstis, kas nav ESAO dalībvalstis.

Komisija arī sadarbojas ar dažādām reģionālām organizācijām un tīkliem, kas veido kopīgus datu aizsardzības pasākumus. Tas attiecas, piemēram, uz ASEAN, Āfrikas Savienību, Āzijas un Klusā okeāna valstu privātuma iestāžu forumu, Ibērijas pussalas un Latīņamerikas valstu datu aizsardzības tīklu un Āfrikas datu aizsardzības iestāžu tīklu (NADPA – RADPD). Konkrēts šādas auglīgas sadarbības piemērs ir iepriekš minētās ES un ASEAN rokasgrāmatas par paraugklauzulām izstrāde.

Visbeidzot, Komisija uztur dialogu ar dažādām starptautiskām organizācijām, tostarp, lai izpētītu veidus, kā vēl vairāk atvieglot datu apriti starp ES un šādām organizācijām. Tā kā daudzas organizācijas pēdējos gados ir modernizējušas savus datu aizsardzības regulējumus vai pašlaik to dara, rodas arī jaunas iespējas pieredzes un paraugprakses apmaiņai. Šajā ziņā Eiropas Datu aizsardzības uzraudzītāja organizētie ikgadējie darbsemināri ar starptautiskām organizācijām un īpaša darba grupa starptautiskas datu nosūtīšanas jautājumos ir izrādījušies īpaši noderīgi forumi, lai apmainītos un izpētītu konkrētus sadarbības instrumentus, tostarp personas datu apmaiņai ( 209 ).

8Secinājums

Sešu gadu laikā kopš VDAR kļuva piemērojama, tā ir paplašinājusi cilvēku iespējas, ļaujot viņiem patiesi kontrolēt savus datus. Regula ir arī palīdzējusi radīt vienlīdzīgus konkurences apstākļus uzņēmumiem un nodrošinājusi vienu no stūrakmeņiem to iniciatīvu kopumam, kas virza digitālo pārkārtošanos ES.

Lai pilnībā sasniegtu abus VDAR mērķus, proti, personu stingru aizsardzību, vienlaikus nodrošinot personas datu brīvu apriti ES un drošas datu plūsmas ārpus ES, jākoncentrējas uz šādām jomām:

·VDAR stingra izpilde, sākot ar Komisijas priekšlikuma par procesuālajiem noteikumiem ātru pieņemšanu, lai nodrošinātu ātrus tiesiskās aizsardzības līdzekļus un juridisko noteiktību lietās, kas skar personas visā ES;

·proaktīvs atbalsts, ko datu aizsardzības iestādes sniedz ieinteresētajām personām to centienos nodrošināt atbilstību, jo īpaši MVU un mazajiem operatoriem;

·VDAR konsekventa interpretācija un piemērošana visā ES;

·efektīva regulatoru sadarbība gan valstu, gan ES līmenī, lai garantētu augošā ES digitālo noteikumu kopuma konsekventu un saskaņotu piemērošanu;

·Komisijas starptautiskās datu aizsardzības stratēģijas turpmāka attīstība.

Lai atbalstītu VDAR efektīvu piemērošanu un sniegtu informāciju turpmākām pārdomām par datu aizsardzību, ir vajadzīgas vairākas šeit norādītās darbības. Komisija atbalstīs un uzraudzīs to īstenošanu, arī ņemot vērā nākamo ziņojumu 2028. gadā. 

Efektīvu sadarbības struktūru izveide

Eiropas Parlaments un Padome tiek aicināti ātri pieņemt priekšlikumu par VDAR procesuālajiem noteikumiem.

Kolēģija un datu aizsardzības iestādes tiek aicinātas:

-regulāri sadarboties ar citiem nozares regulatoriem jautājumos, kas ietekmē datu aizsardzību, jo īpaši ar tiem, kas izveidoti saskaņā ar jaunajiem ES digitālajiem tiesību aktiem, un aktīvi piedalīties ES līmeņa struktūrās, kuru mērķis ir veicināt regulatoru sadarbību;

-pilnīgāk izmantot VDAR paredzētos sadarbības instrumentus, lai strīdu izšķiršana tiktu izmantota tikai kā galējais līdzeklis;

-ieviest efektīvāku un mērķorientētu darba kārtību attiecībā uz pamatnostādnēm, atzinumiem un lēmumiem un noteikt prioritāros jautājumus, lai samazinātu slogu datu aizsardzības iestādēm un ātrāk reaģētu uz tirgus norisēm.

Dalībvalstīm ir:

-jānodrošina faktiska un pilnīga valsts datu aizsardzības iestāžu neatkarība;

-jāpiešķir pietiekami resursi datu aizsardzības iestādēm, lai tās varētu pildīt savus uzdevumus, jo īpaši nodrošinot tām tehniskos resursus un speciālās zināšanas, kas vajadzīgas, lai strādātu ar jaunajām tehnoloģijām un izpildītu jaunos pienākumus saskaņā ar digitālajiem tiesību aktiem;

-jānodrošina datu aizsardzības iestādēm izmeklēšanas instrumenti, kas tām vajadzīgi, lai efektīvi izmantotu VDAR paredzētās izpildes pilnvaras;

-jāatbalsta dialogs starp datu aizsardzības iestādēm un citiem valstu regulatoriem, jo īpaši tiem, kas izveidoti saskaņā ar jaunajiem digitālajiem tiesību aktiem.

Komisija:

-aktīvi sekmēs to, lai likumdevēji ātri pieņemtu priekšlikumu par VDAR procesuālajiem noteikumiem;

-turpinās cieši uzraudzīt valstu datu aizsardzības iestāžu faktisko un pilnīgo neatkarību;

-veidos sinerģiju un konsekvenci starp VDAR un visiem tiesību aktiem, kas attiecas uz personas datu apstrādi, pamatojoties uz pieredzi, un vajadzības gadījumā veiks atbilstošus pasākumus, lai nodrošinātu juridisko noteiktību;

-apsvērs, kā labāk risināt strukturētas un efektīvas dažādu regulatīvo iestāžu sadarbības nepieciešamības jautājumu, lai garantētu ES digitālo noteikumu efektīvu, konsekventu un saskaņotu piemērošanu, vienlaikus respektējot datu aizsardzības iestāžu kompetenci visos jautājumos, kas saistīti ar personas datu apstrādi.

Tiesiskā regulējuma īstenošana un papildināšana

Dalībvalstīm ir:

-jānodrošina savlaicīga apspriešanās ar datu aizsardzības iestādēm pirms tiesību aktu pieņemšanas par personas datu apstrādi.

Komisija:

-turpinās izmantot visus tās rīcībā esošos instrumentus, ieskaitot pārkāpuma procedūras, lai nodrošinātu, ka dalībvalstis ievēro VDAR;

-turpinās atbalstīt viedokļu un valsts prakses apmaiņu starp dalībvalstīm, tostarp ar VDAR dalībvalstu ekspertu grupas starpniecību;

-veiks darbības, lai nodrošinātu, ka bērni tiešsaistē tiek aizsargāti, cienīti un ka viņiem tiek dotas pilnvērtīgas iespējas;

-apsvērs iespējamos turpmākos pasākumus saistībā ar E-privātuma regulas priekšlikumu, tostarp tā saistību ar VDAR.

Atbalsts ieinteresētajām personām

Kolēģija un datu aizsardzības iestādes tiek aicinātas:

-iesaistīties konstruktīvā dialogā ar pārziņiem un apstrādātājiem par atbilstību VDAR;

-vēl vairāk pastiprināt centienus, lai sekmētu MVU atbilstību, sniedzot īpaši pielāgotus norādījumus un rīkus, kliedējot jebkādas nepamatotas bažas par atbilstību tiem MVU, kuru pamatdarbība nav personas datu apstrāde, un palīdzot tiem viņu centienos nodrošināt atbilstību;

-atbalstīt to, ka uzņēmumi īsteno efektīvus pasākumus, lai nodrošinātu atbilstību, piemēram, izmanto sertifikāciju un rīcības kodeksus (arī kā nosūtīšanas instrumentus), apstiprināšanas procesā sadarbojoties ar ieinteresētajām personām, nosakot skaidrus apstiprināšanas termiņus un, kā solīts kolēģijas stratēģijā 2024.–2027. gadam, paskaidrojot galvenajām ieinteresēto personu grupām, kā šos rīkus var izmantot;

-nodrošināt, ka valsts pamatnostādnes un VDAR piemērošana valsts līmenī atbilst kolēģijas pamatnostādnēm un Tiesas judikatūrai;

-novērst VDAR atšķirīgās interpretācijas datu aizsardzības iestādēs, tostarp starp iestādēm tajā pašā dalībvalstī;

-sniegt kodolīgas, praktiskas un attiecīgajai auditorijai pieejamas pamatnostādnes atbilstoši kolēģijas stratēģijai 2024.–2027. gadam;

-savlaicīgāk un jēgpilnāk apspriesties par pamatnostādnēm un atzinumiem, lai labāk izprastu tirgus dinamiku un uzņēmējdarbības praksi, pienācīgi ņemtu vērā saņemtās atsauksmes un pieņemto interpretāciju konkrēto piemērošanu;

-noteikt par prioritāti notiekošā darba pabeigšanu pie pamatnostādnēm par bērnu datiem, zinātnisko pētniecību, anonimizāciju, pseidonimizāciju un likumīgajām interesēm;

-pastiprināt izpratnes veicināšanas pasākumus, kā arī informēšanas un izpildes darbības, lai nodrošinātu, ka datu aizsardzības speciālisti var pildīt savus pienākumus saskaņā ar VDAR.

Komisija:

-turpinās sniegt finansiālu atbalstu datu aizsardzības iestāžu darbībām, kas atvieglo MVU īstenot VDAR uzliktos pienākumus;

-izmantos visus pieejamos līdzekļus, lai sniegtu noderīgus skaidrojumus par jautājumiem, kas ir svarīgi ieinteresētajām personām, tostarp MVU, jo īpaši pieprasot kolēģijas atzinumus.

Datu nosūtīšanas un starptautiskās sadarbības instrumentu kopuma turpmāka izstrāde

Kolēģija un datu aizsardzības iestādes tiek aicinātas:

-pabeigt darbu, lai pilnveidotu un saīsinātu saistošu uzņēmuma noteikumu apstiprināšanas procesu, kā arī atjauninātu norādījumus par elementiem, kas jāiekļauj datu apstrādātāja saistošajos uzņēmuma noteikumos;

-izpētīt veidus/rīkus, kā vēl vairāk palīdzēt datu nosūtītājiem to centienos nodrošināt atbilstību sprieduma lietā Schrems II prasībām;

-izpētīt turpmākus veidus, kā nodrošināt efektīvu izpildi attiecībā pret operatoriem, kuri veic uzņēmējdarbību trešās valstīs un uz kuriem attiecas VDAR teritoriālā piemērošanas joma.

Dalībvalstīm ir:

-jānodrošina, lai pēc iespējas ātrāk tiek parakstīta un ratificēta Eiropas Padomes modernizētā Konvencija Nr. 108+, lai tā varētu stāties spēkā.

Komisija:

-panāks turpmāku progresu notiekošajās sarunās par aizsardzības līmeņa pietiekamību, izanalizēs turpmākas pilnveides iespējas, ņemot vērā pašreizējos konstatējumus par aizsardzības līmeņa pietiekamību, un turpinās veidot jaunus dialogus par aizsardzības līmeņa pietiekamību ar ieinteresētajiem partneriem;

-atbalstīs ciešāku sadarbību to valstu tīklā, kuras gūst labumu no lēmumiem par aizsardzības līmeņa pietiekamību;

-pabeigs darbu pie līguma papildu standartklauzulām, jo īpaši attiecībā uz datu nosūtīšanu datu saņēmējiem, uz kuru veikto apstrādi tieši attiecas VDAR, un uz nosūtīšanu saskaņā ar Regulu (ES) 2018/1725 attiecībā uz datu nosūtīšanu, ko veic ES iestādes un struktūras;

-sadarbosies ar starptautiskajiem partneriem, lai atvieglotu datu apriti, pamatojoties uz līguma paraugklauzulām;

-atbalstīs trešās valstīs notiekošos reformu procesus saistībā ar jauniem vai modernizētiem datu aizsardzības noteikumiem, daloties pieredzē un paraugpraksē;

-sadarbosies ar starptautiskām un reģionālām organizācijām, piemēram, ESAO, ASEAN vai G7, lai veicinātu uzticamu datu apriti, kuras pamatā ir augsti datu aizsardzības standarti, tostarp saistībā ar iniciatīvu “Datu aprite uzticēšanās gaisotnē”;

-veicinās un atbalstīs informācijas apmaiņu starp Eiropas un starptautiskajiem regulatoriem, tai skaitā ar tās Datu aizsardzības akadēmijas starpniecību;

-veicinās starptautisko sadarbību izpildes jomā starp uzraudzības iestādēm, tostarp izmantojot sarunas par sadarbību un savstarpējas palīdzības nolīgumus.

(1) ()    Datu aizsardzība kā iedzīvotāju tiesību nodrošināšanas un ES digitālās pārkārtošanās pīlārs – Vispārīgās datu aizsardzības regulas piemērošanas divi gadi, 24.6.2020. COM(2020) 264 final.

(2) ()     https://data.consilium.europa.eu/doc/document/ST-15507-2023-INIT/lv/pdf .

(3) ()    Kopsavilkums par VDAR daudzpusējās ieinteresēto personu ekspertu grupas ieguldījumu ir pieejams šeit: Report from Multistakeholder Expert group on GDPR application - June 2024.pdf . Informācija, kas saņemta, atsaucoties uz publisko uzaicinājumu iesniegt atsauksmes, un divpusējās sanāksmēs ar ieinteresētajām personām saņemtā informācija lielā mērā atbilst VDAR daudzpusējās ieinteresēto personu ekspertu grupas locekļu paustajam viedoklim.

(4) ()     https://ec.europa.eu/info/law/better-regulation/ .

(5) ()     Contribution of the EDPB to the evaluation of the GDPR under Article 97 | Eiropas Datu aizsardzības kolēģija (europa.eu) .

(6) ()     GDPR in practice – Experiences of data protection authorities | Eiropas Savienības Pamattiesību aģentūra (europa.eu) .

(7) ()    Priekšlikums Eiropas Parlamenta un Padomes Regulai, ar ko paredz papildu procesuālos noteikumus attiecībā uz Regulas (ES) 2016/679 īstenošanu (COM/2023/348 final).

(8) ()     https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letter-eu-commission-procedural-aspects-could-be_en .

(9) ()    Izmantojot VDAR daudzpusējo ieinteresēto personu ekspertu grupu un 2023. gada februārī izsludināto uzaicinājumu iesniegt atsauksmes.

(10) ()    Īpaši izmantojot VDAR dalībvalstu ekspertu grupu: https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=en&do=groupDetail.groupDetail&groupID=3461 .

(11) ()    VDAR 61. pants.

(12) ()     internal_edpb_document_1_2021_on_art_62_joint_operations_en.pdf (europa.eu) .

(13) ()    VDAR 62. pants.

(14) ()    VDAR 65. pants.

(15) ()    No 2023. gada 3. novembra (kolēģijas dati).

(16) ()    Saskaņā ar VDAR 60. panta 3. punktu.

(17) ()    No 2023. gada 3. novembra.

(18) ()    Īrijas iestāde iesniedza visvairāk oficiālo pieprasījumu (246), savukārt Vācijas iestādes saņēma visvairāk pieprasījumu (516).

(19) ()    Īrijas iestāde iesniedza visvairāk neoficiālo pieprasījumu (4245), kam sekoja Vācijas iestādes ar 2036 pieprasījumiem.

(20) ()    No 289 iestāžu izteiktajiem būtiskajiem un motivētajiem iebildumiem, Vācijas iestādes izteica 101 (35 %). Vienprātība par būtiskiem un motivētiem iebildumiem tika panākta 15 % gadījumu (kad iebildumus bija izteikušas Vācijas iestādes) līdz pat 100 % gadījumu (saistībā ar Polijas iestādes izteiktajiem iebildumiem).

(21)

()    Attiecīgi VDAR 64., 65. un 66. pants.

(22) ()    Atzinumi saskaņā ar VDAR 64. panta 2. punktu.

(23)

()    Saskaņā ar VDAR 65. panta 1. punkta a) apakšpunktu.

(24) ()    Saskaņā ar VDAR 66. panta 2. punktu.

(25) ()    Sk. kolēģijas sniegto informāciju, 5.3.4. iedaļa.

(26) ()    FRA ziņojums, 36. lpp.

(27) ()    Procesuālo noteikumu priekšlikums, 5. pants.

(28) ()    Rumānijā visi 26 lēmumi, kuros konstatēts pārkāpums, tika apstrīdēti tiesā, savukārt Nīderlandē apstrīdēto lēmumu īpatsvars bija 23 %. Visaugstākais sekmīgi apstrīdēto lēmumu īpatsvars bija Beļģijā (39 %).

(29) ()    Datu aizsardzības iestādes Vācijā uzsāka visvairāk izmeklēšanu pēc savas iniciatīvas (7647), kam sekoja Ungārija (3332), Austrija (1681) un Francija (1571).

(30) ()    2022. gadā deviņas datu aizsardzības iestādes saņēma vairāk nekā 2000 sūdzību. Vislielākais sūdzību skaits tika reģistrēts Vācijā (32 300), Itālijā (30 880), Spānijā (15 128), Nīderlandē (13 133) un Francijā (12 193), savukārt vismazākais sūdzību skaits tika reģistrēts Lihtenšteinā (40), Islandē (140) un Horvātijā (271).

(31) ()    Visas iestādes piemēroja administratīvus naudas sodus, izņemot Dāniju, kas neparedz administratīvus naudas sodus. Vislielākais naudas sodu skaits tika uzlikts Vācijā (2106) un Spānijā (1596). Vismazāk naudas sodu tika uzlikti Lihtenšteinā (3), Islandē (15) un Somijā (20).

(32) ()    FRA ziņojums, 38. lpp.

(33) ()    FRA ziņojums, 20. un 23. lpp. Sk. arī Padomes nostāju un konstatējumus, 17. punkts.

(34) ()    VDAR 70. panta 1. punkts.

(35) ()    FRA ziņojums, 64. lpp.

(36) ()    FRA ziņojums, 67. lpp. 2023. gadā Vācijas datu aizsardzības iestādes lielāko daļu resursu veltīja kolēģijas darbībai (26 pilnslodzes ekvivalenti (PLE)), kam sekoja Īrija (16) un Francija (12) (kolēģijas sniegtā informācija).

(37) ()    FRA ziņojums, 67. lpp.

(38) ()    FRA ziņojums, 67 lpp.; kopsavilkums par VDAR daudzpusējās ieinteresēto personu ekspertu grupas atsauksmēm.

(39) ()    Kopsavilkums par VDAR daudzpusējās ieinteresēto personu ekspertu grupas atsauksmēm.

(40) ()    Sk. arī Padomes nostāju un konstatējumus, 45. punkts.

(41) ()    Sk. arī Padomes nostāju un konstatējumus, 34. punkts.

(42) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf .

(43) ()    Sk. arī Padomes nostāju un konstatējumus, 31. punkta d) apakšpunkts.

(44) ()    Tām ir vajadzīga skaidrība, jo īpaši attiecībā uz termina “zinātniskie pētījumi” nozīmi, piekrišanas nozīmi personas datu apstrādei pētniecības vajadzībām, attiecīgo juridisko pamatu un iesaistīto dalībnieku lomu un atbildību.

(45) ()    Sk. arī Padomes nostāju un konstatējumus, 31. punkta b) apakšpunkts.

(46) ()    Padomes nostāja un konstatējumi, 27.–28. punkts.

(47) ()    VDAR 52. pants.

(48) ()    FRA ziņojums, 31. lpp.

(49) ()    Sk. kolēģijas sniegtās informācijas 4.4.1. iedaļu, arī absolūtos skaitļus.

(50) ()    Tikai piecas datu aizsardzības iestādes uzskata, ka tām ir pietiekami cilvēkresursi (kolēģijas sniegtā informācija, 33. lpp.).

(51) ()    FRA ziņojums, 20. lpp. Dažas datu aizsardzības iestādes konkrētus uzdevumus, piemēram, sūdzību izskatīšanu, juridisko analīzi un kriminālistikas analīzi, uztic ārpakalpojumu sniedzējiem.

(52) ()    FRA ziņojums, 24. lpp.

(53) ()    FRA ziņojums, 22. lpp.

(54) ()    Sk. kolēģijas sniegto informāciju, 4.4.5. iedaļa.

(55) ()    Kolēģijas sniegtā informācija, 32. lpp.

(56) ()    FRA ziņojums, 48. lpp.

(57) ()    FRA ziņojums, 45. lpp. Datu aizsardzības iestādes uzskata, ka ex officio izmeklēšana ir īpaši svarīga, jo sūdzību iesniedzēji varētu nezināt par daudziem VDAR pārkāpumiem.

(58) ()    FRA iņojums, 8. lpp.

(59) ()    FRA ziņojums, 39. lpp.

(60) ()    FRA ziņojums, 41. lpp.

(61) ()    VDAR 9. apsvērums.

(62) ()    Kopsavilkums par VDAR daudzpusējās ieinteresēto personu ekspertu grupas atsauksmēm.

(63) ()    Kopsavilkums par VDAR daudzpusējās ieinteresēto personu ekspertu grupas atsauksmēm.

(64) ()    Kopsavilkums par VDAR daudzpusējās ieinteresēto personu ekspertu grupas atsauksmēm.

(65) ()    Attiecīgi VDAR 6. panta 1. punkta f) apakšpunkts un 6. panta 1. punkta a) apakšpunkts.

(66) ()    VDAR 22. panta 2. punkts.

(67) ()    4. apsvērums

(68) ()    Kopsavilkums par VDAR daudzpusējās ieinteresēto personu ekspertu grupas atsauksmēm. 

(69) ()    Piemēram, minimālais vecums bērna piekrišanai attiecībā uz informācijas sabiedrības pakalpojumiem (VDAR 8. panta 1. punkts).

(70) ()    VDAR 8. panta 1. punkts.

(71) ()    VDAR 9. panta 4. punktā paredzētā iespēja.

(72) ()    VDAR 10. pants.

(73) ()    Padomes nostāja un konstatējumi, 30. punkts.

(74) ()    VDAR 36. pants.

(75) ()    FRA ziņojums, 11. lpp.

(76) ()    Beļģija (2021/4045) un Beļģija (2022/2160).

(77) ()    Somija (2022/4010) un Zviedrija (2022/2022).

(78) ()    Kopā ar informāciju par lietas atsauci, izmeklēšanas veidu (ierosināta pēc savas iniciatīvas vai uz sūdzības pamata), izmeklēšanas tvēruma kopsavilkumu, iesaistītajām datu aizsardzības iestādēm, galvenajiem veiktajiem procesuālajiem pasākumiem un kad tie veikti, ar izmeklēšanu saistītiem vai citiem veiktajiem pasākumiem un kad tie veikti.

(79) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=en&do=groupDetail.groupDetail&groupID=3461 .

(80) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/meetings/consult?lang=en&meetingId=31754&fromExpertGroups=3461 .

(81) ()    Lieta C‑319/22, ECLI:EU:C:2023:837.

(82) ()    Lietas C-184/20, ECLI:EU:C:2022:601; C-252/21, ECLI:EU:C:2023:537.

(83) ()    Lietas C-683/21, ECLI:EU:C:2023:949; C-604/22, ECLI:EU:C:2024:214; C-231/22, ECLI:EU:C:2024:7.

(84) ()    Lieta C-61/19, ECLI:EU:C:2020:901.

(85) ()    Lietas C-597/19, ECLI:EU:C:2021:492; C-252/21, ECLI:EU:C:2023:537.

(86) ()    Lietas C-307/22, ECLI:EU:C:2023:811; C-154/21, ECLI:EU:C:2023:3.

(87) ()    Lieta C-460/20, ECLI:EU:C:2022:962.

(88) ()    Lieta C-300/21, ECLI:EU:C:2023:370; lieta C-687/21, ECLI:EU:C:2024:72; lieta C-667/21, ECLI:EU:C:2023:1022.

(89) ()    Apvienotās lietas C-26/22 un C-64/22, ECLI:EU:C:2023:958.

(90) ()    Lietas C-807/21, ECLI:EU:C:2023:950; Lieta C-683/21, ECLI:EU:C:2023:949.

(91) ()    Lieta C‑453/21, ECLI:EU:C:2023:79.

(92) ()    Lietas C-439/19, ECLI:EU:C:2021:504; C-184/20, ECLI:EU:C:2022:601.

(93) ()    Lietas C-33/22, ECLI:EU:C:2024:46; C‑272/19, ECLI:EU:C:2020:535.

(94) ()    Padomes nostāja un konstatējumi, 13. punkts.

(95) ()    Kolēģijas sniegtā informācija, 6. iedaļa.

(96) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en .

(97) ()    FRA ziņojums, 9. un 48. lpp.

(98) ()    Kopsavilkums par VDAR daudzpusējās ieinteresēto personu ekspertu grupas atsauksmēm.

(99) ()    Regulas (ES) 2022/868 (Datu pārvaldības akts) 10. pants, OV L 152, 3.6.2022., 1.–44. lpp.

(100) ()    VDAR 12. panta 5. punkts.

(101) ()    Tomēr Tiesa ir precizējusi, ka datu subjektam nav jānorāda iemesli, kāpēc tiek pieprasīta piekļuve personas datiem: lieta C-307/22, CS ECLI:EU:C:2023:811, 38. punkts.

(102) ()    Kopsavilkums par VDAR daudzpusējās ieinteresēto personu ekspertu grupas atsauksmēm. 

(103) ()    Padomes nostāja un konstatējumi, 27.–28. punkts.

(104) ()     https://www.edpb.europa.eu/news/news/2024/cef-2024-launch-coordinated-enforcement-right-access_en .

(105) ()     Platform workers: Council confirms agreement on new rules to improve their working conditions - Consilium (europa.eu) .

(106) ()    Priekšlikums Regulai par Eiropas veselības datu telpu (COM/2022/197 final).

(107) ()    Priekšlikums Eiropas Parlamenta un Padomes Regulai par satvaru piekļuvei finanšu datiem un ar ko groza Regulas (ES) Nr. 1093/2010, (ES) Nr. 1094/2010, (ES) Nr. 1095/2010 un (ES) 2022/2554 (COM/2023/360 final).

(108) ()    Direktīva (ES) 2020/1828 (2020. gada 25. novembris) par pārstāvības prasībām patērētāju kolektīvo interešu aizsardzībai un ar ko atceļ Direktīvu 2009/22/EK , OV L 409, 4.12.2020., 1.–27. lpp.

(109) ()    VDAR 38. apsvērums.

(110) ()    Ieteikums par integrētu bērnu aizsardzības sistēmu izstrādi un stiprināšanu bērna interesēs: https://commission.europa.eu/strategy-and-policy/policies/justice-and-fundamental-rights/rights-child/combating-violence-against-children-and-ensuring-child-protection_en .

(111) ()    Sk. arī Padomes nostāju un konstatējumus, 31. punkta a) apakšpunkts.

(112) ()    Kopsavilkums par VDAR daudzpusējās ieinteresēto personu ekspertu grupas atsauksmēm. 

(113) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en .

(114) ()     https://digital-strategy.ec.europa.eu/en/policies/strategy-better-internet-kids .

(115) ()    Regula (ES) 2024/1183, ar ko groza Regulu (ES) Nr. 910/2014 attiecībā uz Eiropas digitālās identitātes satvara izveidi, OV L, 2024/1183, 30.4.2024.

(116) ()    Kā atzīts platformas “Gatavi nākotnei” ziņojumā, augsta līmeņa ekspertu grupa, kas izveidota, lai palīdzētu Komisijai tās centienos vienkāršot ES tiesību aktus un samazināt ar tiem saistītās nevajadzīgās izmaksas: https://commission.europa.eu/law/law-making-process/evaluating-and-improving-existing-laws/refit-making-eu-law-simpler-less-costly-and-future-proof/fit-future-platform-f4f_en . Sk. arī kopsavilkumu par VDAR daudzpusējās ieinteresēto personu ekspertu grupas atsauksmēm un Padomes nostāju un konstatējumus, 12. punkts.

(117) ()    Kopsavilkums par VDAR daudzpusējās ieinteresēto personu ekspertu grupas atsauksmēm.

(118) ()    Komisijas Īstenošanas lēmums (ES) 2021/915 (2021. gada 4. jūnijs) par līguma standartklauzulām starp pārziņiem un apstrādātājiem saskaņā ar VDAR 28. panta 7. punktu un VDAR 29. panta 7.punktu (C/2021/3701), OV L 199, 7.6.2021., 18.–30. lpp.

(119) ()    Kopsavilkums par VDAR daudzpusējās ieinteresēto personu ekspertu grupas atsauksmēm.

(120) ()    Padomes nostāja un konstatējumi, 25. punkts.

(121) ()     https://www.edpb.europa.eu/our-work-tools/accountability-tools/register-codes-conduct-amendments-and-extensions-art-4011_en?f%5B0%5D=coc_scope%3Anational .

(122) ()    Kopsavilkums par VDAR daudzpusējās ieinteresēto personu ekspertu grupas atsauksmēm.

(123) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf .

(124) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en .

(125) ()     https://edpb.europa.eu/sme-data-protection-guide/home_en .

(126) ()    Kopsavilkums par VDAR daudzpusējās ieinteresēto personu ekspertu grupas atsauksmēm.

(127) ()    Sk. Padomes nostāju un konstatējumus, 24. punkts; kopsavilkums par VDAR daudzpusējās ieinteresēto personu ekspertu grupas atsauksmēm.

(128) ()    VDAR 30. panta 5. punkts.

(129) ()    Ja organizācija nodarbina mazāk nekā 250 darbinieku, izņemot gadījumus, kad tās veiktā apstrāde varētu radīt risku datu subjektu tiesībām un brīvībām, apstrāde nav neregulāra vai apstrāde ietver īpašas datu kategorijas, kā minēts VDAR 9. panta 1. punktā, vai personas datus, kas saistīti ar notiesājošiem spriedumiem un nodarījumiem, kas minēti VDAR 10. pantā.

(130) ()    Padomes nostāja un konstatējumi, 26. punkts; EDAK 2023. gada koordinētā izpildes darbība – datu aizsardzības speciālistu iecelšana un amats: https://www.edpb.europa.eu/system/files/2024-01/edpb_report_20240116_cef_dpo_en.pdf .

(131) ()    Kopsavilkums par VDAR daudzpusējās ieinteresēto personu ekspertu grupas atsauksmēm. 

(132) ()    Sk. EDAK koordinētās izpildes darbības ziņojuma ieteikumus.

(133) ()    Eiropas Parlamenta un Padomes Regula (ES) 2022/2065 (2022. gada 19. oktobris) par digitālo pakalpojumu vienoto tirgu un ar ko groza Direktīvu 2000/31/EK (Digitālo pakalpojumu akts), OV L 277, 27.10.2022., 1.–102. lpp.

(134) ()    Regula (ES) 2022/1925 (Digitālo tirgu akts), OV L 265, 12.10.2022., 1.–66. lpp.

(135) ()    Regula (ES) 2024/1689 (Mākslīgā intelekta akts), OV L, 2024/1689, 12.7.2024.

(136) ()     Platform workers: Council confirms agreement on new rules to improve their working conditions - Consilium (europa.eu) .

(137) ()    Regula (ES) 2024/900 par politiskās reklāmas pārredzamību un mērķorientēšanu, OV L, 2024/900, 20.3.2024.

(138) ()    Priekšlikums regulai par privātumu un elektroniskajiem sakariem – COM/2017/010 final.

(139) ()    Direktīva 2002/58/EK (E-privātuma direktīva), OV L 201, 31.7.2002., 37.–47. lpp.

(140)

()    Regula (ES) 2024/903 (Sadarbspējīgas Eiropas akts), OV L, 2024/903, 22.3.2024.

(141) ()    Sk. Padomes nostāju un konstatējumus, 31. punkta f) apakšpunkts.

(142) ()     https://finance.ec.europa.eu/publications/anti-money-laundering-and-countering-financing-terrorism-legislative-package_en .

(143) ()    Regula (ES) 2022/868 (Datu pārvaldības akts) OV L 152, 3.6.2022., 1.–44. lpp.

(144) ()    Regula (ES) 2023/2854 (Datu akts), OV L, 2023/2854, 22.12.2023.

(145) ()     https://www.europarl.europa.eu/doceo/document/TA-9-2024-0331_EN.html .

(146) ()    Sk. Padomes nostāju un konstatējumus, 40–41. punkts. Kopsavilkums par VDAR daudzpusējās ieinteresēto personu ekspertu grupas atsauksmēm.

(147) ()    Sk., piemēram, Datu akta 37. panta 3. punktu.

(148) ()    Direktīva (ES) 2022/2555 (TID2 direktīva), OV L 333, 27.12.2022., 80.–152. lpp.

(149) ()    Sk. Padomes nostāju un konstatējumus, 18. un 40.–41. punktu un kopsavilkumu par VDAR daudzpusējās ieinteresēto personu ekspertu grupas atsauksmēm.

(150) ()     Vācija ir izveidojusi “digitālo kopu”, kas ietver regulatorus no dažādām jomām, lai paplašinātu to sadarbību visos digitalizācijas aspektos un dalītos zināšanās un paraugpraksē: https://www.dataguidance.com/news/germany-bsi-announces-formation-digital-cluster-bonn .

(151) ()     EDAK Pamatnostādnes 05/2021.

(152) ()     EDAK Pamatnostādņu 05/2021 2. iedaļa.

(153) ()     Lieta C-311/18, ECLI:EU:C:2020:559 (Schrems II).

(154) ()    Schrems II, 93. punkts.

(155) ()    Schrems II, 96. un 105. punkts.

(156) ()    Schrems II, 131. punkts.

(157) ()    Schrems II, 105. punkts.

(158) ()     EDAK Ieteikumi 02/2020 un Pietiekamības atsauces, WP 254 rev. 01.

(159) ()     EDAK Ieteikumi 01/2020, ko papildina Ieteikumi 02/2020.

(160) ()     Sk., piemēram., EDAK Ieteikumu 01/2020 8.–13., 32. un 33. punktu.

(161) ()     Sk., piemēram, kolēģijas sniegto informāciju, 7.–un 8. lpp.; Padomes nostāja un konstatējumi, 36. punkts; kopsavilkums par VDAR daudzpusējās ieinteresēto personu ekspertu grupas atsauksmēm.

(162) ()    Komisijas paziņojums “Apmaiņa ar personas datiem un šo datu aizsardzība globalizētā pasaulē”, 10.1.2017., (COM(2017) 7 final).

(163) ()     Komisijas Īstenošanas lēmums (ES) 2021/1772, OV L 360, 11.10.2021., 1.–68. lpp.

(164) ()    Komisijas Īstenošanas lēmums (ES) 2022/254, OV L 44, 24.2.2022., 1.–90. lpp.

(165) ()     https://commission.europa.eu/news/joint-press-statement-european-commissioner-justice-didier-reynders-and-us-secretary-commerce-wilbur-2020-08-10_en .

(166) ()    Komisijas Īstenošanas lēmums (ES) 2023/1795, OV L 231, 20.9.2023., 118.–229. lpp.

(167) ()     Eiropas Patentu organizācija ir starpvaldību organizācija, kas izveidota, pamatojoties uz Eiropas Patentu konvenciju. Tās galvenais uzdevums ir Eiropas patentu piešķiršana. Šajā kontekstā tā cieši sadarbojas ar uzņēmumiem un valsts iestādēm ES dalībvalstīs, kā arī ar dažādām ES iestādēm un struktūrām.

(168) ()     Kolēģijas sniegtā informācija, 7–8. lpp.

(169) ()    VDAR 45. panta 4. un 5. punkts. Sk. arī spriedumu lietā Schrems I, 76. punkts.

(170) ()     Komisijas Īstenošanas lēmums (ES) 2019/419, OV L 76, 19.3.2019., 1.–58. lpp. Sk. arī https://ec.europa.eu/commission/presscorner/detail/en/IP_19_421 . Šis lēmums bija pirmais lēmums par aizsardzības līmeņa pietiekamību, kas pieņemts saskaņā ar VDAR, un pirmā savstarpējā vienošanās par aizsardzības līmeņa pietiekamību.

(171) ()     Komisijas ziņojums par pirmo pārskatīšanu attiecībā uz to, kā darbojas lēmums par aizsardzības līmeņa pietiekamību Japānā, 3.4.2023., COM(2023) 275 final (un SWD(2023) 75 final).

(172) ()     Andora, Argentīna, Kanāda (komerciālajiem operatoriem), Fēru salas, Gērnsija, Menas sala, Izraēla, Džērsija, Jaunzēlande, Šveice un Urugvaja.

(173) ()     Komisijas ziņojums par pirmo pārskatu par to, kā darbojas lēmumi par aizsardzības līmeņa pietiekamību, kas pieņemti saskaņā ar Direktīvas 95/46/EK 25. panta 6. punktu, 15.1.2024., COM(2024) 7 final (un SWD(2024) 3 final).

(174) ()     https://ec.europa.eu/commission/presscorner/detail/en/mex_24_1307#11 .

(175) ()     Piemēram, Argentīna, Kolumbija, Izraēla, Maroka, Šveice un Urugvaja.

(176) ()     Komisijas Īstenošanas lēmums (ES) 2021/914, OV L 199, 7.6.2021., 31–61. lpp.

(177) ()     Tas ietvēra, piemēram, EDAK un EDAU kopīgo atzinumu 2/2021, kas sagatavots līguma standartklauzulu pieņemšanas procedūru ietvaros.

(178) ()     Padomes nostāja un konstatējumi, 37. punkts; kolēģijas sniegtā informācija, 9. lpp.; kopsavilkums par VDAR daudzpusējās ieinteresēto personu ekspertu grupas atsauksmēm.

(179) ()     https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/new-standard-contractual-clauses-questions-and-answers-overview_en .

(180) ()     Sk., piemēram, kopsavilkumu par VDAR daudzpusējās ieinteresēto personu ekspertu grupas atsauksmēm.

(181) ()     Saskaņā ar Regulas (ES) Nr. 2018/1725 48. panta 2. punkta b) apakšpunktu.

(182) ()     Padomes nostāja un konstatējumi, 37. punkts; kolēģijas sniegtā informācija, 9. lpp.; kopsavilkums par VDAR daudzpusējās ieinteresēto personu ekspertu grupas atsauksmēm.

(183) () EDAK Pamatnostādnes 05/2021, 3. lpp.

(184) ()     Kā izklāstīts arī EDAK Pamatnostādņu 05/2021 4. iedaļā.

(185) ()     Kolēģijas sniegtā informācija, 9. lpp.; kopsavilkums par VDAR daudzpusējās ieinteresēto personu ekspertu grupas atsauksmēm.

(186) ()     Piemēram, Apvienotā Karaliste ( https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf ) un Šveices ( https://www.edoeb.admin.ch/edoeb/en/home/datenschutz/arbeit_wirtschaft/datenuebermittlung_ausland.html ).

(187) ()     Piemēram, Jaunzēlande ( https://privacy.org.nz/responsibilities/your-obligations/disclosing-personal-information-outside-new-zealand/ ) un Argentīna ( https://servicios.infoleg.gob.ar/infolegInternet/anexos/265000-269999/267922/norma.htm ).

(188) ()     Sk. https://rm.coe.int/t-pd-2022-1rev10-en-final/1680abc6b4 ; https://www.redipd.org/sites/default/files/2023-02/anexo-modelos-clausulas-contractuales-en.pdf un https://asean.org/wp-content/uploads/3-ASEAN-Model-Contractual-Clauses-for-Cross-Border-Data-Flows_Final.pdf .

(189) ()     https://commission.europa.eu/document/download/df5cd5a0-7387-4a2a-8058-8d2ccfec3062_en?filename=%28Final%29%20Joint_Guide_to_ASEAN_MCC_and_EU_SCC.pdf .

(190) ()     Kolēģijas sniegtā informācija, 9. lpp.

(191) ()     EDAK Ieteikumi 1/2022.

(192) ()     Kolēģijas sniegtā informācija, 9. lpp.

(193) ()     Kopsavilkums par VDAR daudzpusējās ieinteresēto personu ekspertu grupas atsauksmēm.

(194) ()    EDAK Pamatnostādnes 07/2022 un Pamatnostādnes 04/2021.

(195) ()     EDAK Pamatnostādnes 2/2020.

(196) ()     Konvencijas par kibernoziegumiem Otrais papildu protokols par pastiprinātu sadarbību un elektronisko pierādījumu izpaušanu (CETS Nr. 224).

(197) ()     https://commission.europa.eu/news/eu-us-announcement-resumption-negotiations-eu-us-agreement-facilitate-access-electronic-evidence-2023-03-02_en .

(198) ()     Komisijas priekšlikums Padomes lēmumam par to, lai Eiropas Savienības vārdā parakstītu nolīgumu starp Kanādu un Eiropas Savienību par pasažieru datu reģistra (PDR) datu pārsūtīšanu un apstrādi, COM/2024/94 final.

(199) ()     Tas attiecās uz apspriešanu, ko organizēja, piemēram, Austrālija, Ķīna, Ruanda, Argentīna, Brazīlija, Etiopija, Indonēzija, Peru, Malaizija un Taizeme.

(200) ()     Piemēram, Čīles, Ekvadoras un Paragvajas parlamentārajām struktūrām.

(201) () Tas ietvēra arī darbsemināru un mācību apmeklējumu organizēšanu, piemēram, Kenijā, Indonēzijā un Singapūrā.

(202) ()     Kolēģijas sniegtā informācija, 8; lpp. Padomes nostāja un konstatējumi, 38. punkts.

(203) ()     Kolēģijas sniegtā informācija, 8. lpp.

(204) ()     Padomes nostāja un konstatējumi, 39. punkts.

(205) ()     Protokols, ar ko groza Konvenciju par personu aizsardzību attiecībā uz personas datu automatizēto apstrādi (CETS Nr. 223).

(206) ()    Dānija.

(207) ()    Beļģija, Čehija, Grieķija, Īrija, Latvija, Luksemburga, Nīderlande un Zviedrija.

(208) ()     Sk., piemēram, https://www.g7germany.de/resource/blob/974430/2062292/fbdb2c7e996205aee402386aae057c5e/2022-07-14-leaders-communique-data.pdf?download=1 .

(209) ()     https://www.edps.europa.eu/data-protection/our-work/edps-worldwide/data-protection-and-international-organisations_en .