16.10.2010   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 280/1

1.

Informācijas un komunikāciju tehnoloģijas (IKT) paver ļoti plašas iespējas visos dzīves aspektos – darbā, izklaidēs, saskarsmē un izglītībā. Tās ir neaizvietojamas mūsdienu informācijas ekonomikā un sabiedrībā kopumā.

2.

Eiropas Savienība ir viens no pasaules vadošajiem spēkiem progresīvu IKT jomā un ir apņēmības pilna šo statusu saglabāt. Lai šo mērķi sasniegtu, ir paredzams, ka Eiropas Komisija drīzumā pieņems jauno Eiropas Digitalizācijas programmu, kuru komisāre Kroes ir pasludinājusi par prioritāti (4).

3.

EDAU apzinās IKT sniegtos ieguvumus un piekrīt, ka ES būtu jādara viss iespējamais, lai veicinātu to attīstību un plašu izmantošanu. Tāpat EDAU pilnībā atbalsta komisāres Kroes un komisāres Reding viedokli, ka personai ir jābūt šīs jaunās vides centrā (5). Personām ir jābūt iespējai paļauties uz IKT spēju nodrošināt informācijas neaizskaramību un kontrolēt tās lietojumu, kā arī jābūt drošiem, ka viņu tiesības uz privātumu un datu aizsardzību digitālajā telpā tiek cienītas. Šo tiesību ievērošana ir ļoti būtisks nosacījums, lai radītu patērētāju uzticēšanos. Savukārt šāda uzticēšanās ir izšķirošs faktors, lai pilsoņi izmantotu jaunos pakalpojumus (6).

4.

ES ir stingrs tiesiskais regulējums attiecībā uz datu/privātuma aizsardzību, un tā principi ir pilnībā piemērojami arī digitālajā laikmetā. Tomēr nedrīkst ļauties bezrūpībai. Daudzos gadījumos IKT izraisa jaunas bažas, kas nav apzinātas esošajā regulējumā. Tādēļ ir nepieciešams veikt atsevišķas darbības, lai nodrošinātu, ka ES tiesību aktos paredzētās personu tiesības arī turpmāk garantē efektīvu aizsardzību šajā jaunajā vidē.

5.

Šajā atzinumā tiek apspriesti pasākumi, kurus Eiropas Savienība varētu veicināt vai īstenot, lai garantētu personu privātuma un datu aizsardzību globalizētā pasaulē, kuras virzību arī turpmāk noteiks tehnoloģijas. Tiek apspriesti gan likumdošanas, gan citi instrumenti.

6.

Pēc vispārēja pārskata par IKT kā jaunu parādību, kas rada gan iespējas, gan riskus, tiek apspriesta vajadzība praktiski integrēt datu un privātuma aizsardzību jau no pašiem jauno informācijas un komunikāciju tehnoloģiju pirmsākumiem (dēvēts par “integrētas privātās dzīves aizsardzības”(Privacy by Design) principu). Lai panāktu šā principa ievērošanu, tiek apspriesta vajadzība iekļaut “integrētas privātās dzīves aizsardzības” principu datu aizsardzības tiesiskajā regulējumā vismaz divos dažādos veidos. Pirmkārt, iestrādājot to kā vispārīgu, saistošu principu un, otrkārt, iestrādājot to noteiktās IKT jomās, kurās vērojami īpaši datu aizsardzības/privātuma neaizskaramības riski, kurus ir iespējams novērst ar pienācīgu tehnisko arhitektūru un uzbūvi. Šīs jomas ir radiofrekvenču identifikācija (RFID), sociālo tīklu lietojumprogrammas un pārlūkprogrammas. Noslēgumā tiek sniegti priekšlikumi attiecībā uz citiem rīkiem un principiem, kuru mērķis ir personas privātuma un datu aizsardzība IKT jomā.

7.

Attiecībā uz iepriekš minēto atzinumā tiek rūpīgi analizēti daži jautājumi, kurus sabiedriskajā apspriešanā par privātās dzīves nākotni (7) izvirzījusi 29. panta darba grupa. Turklāt šā atzinuma pamatā ir iepriekšējie EDAU atzinumi, piemēram, 2007. gada 25. jūlija atzinums par Datu aizsardzības direktīvas īstenošanu, 2007. gada 20. decembra atzinums par radiofrekvenču identifikāciju (RFID) un divi atzinumi par E-privātuma direktīvu. (8)

8.

IKT mēdz salīdzināt ar citiem būtiskiem pagātnes izgudrojumiem, piemēram, elektrību. Kaut arī varētu būt pāragri mēģināt novērtēt IKT patieso vēsturisko ietekmi, tomēr to saikne ar ekonomikas izaugsmi attīstītajās valstīs ir nepārprotama. IKT ir izveidojušas darba vietas, ieguvumus ekonomikā un sniegušas ieguldījumu vispārējā labklājībā. IKT ietekme neaprobežojas tikai ar ekonomiku, ņemot vērā tās būtisko lomu inovāciju un radošuma attīstībā.

9.

Turklāt IKT ir mainījušas to, kā cilvēki strādā, sazinās un mijiedarbojas. Tā, piemēram, iedzīvotāji arvien vairāk paļaujas uz IKT attiecībā uz sociālo un ekonomisko mijiedarbību. Personas var izmantot daudzas IKT lietojumprogrammas, piemēram, e-veselības, e-transporta, e-valdības, kā arī inovatīvas interaktīvās sistēmas izklaidei un mācībām.

10.

Apzinoties šos ieguvumus, visas Eiropas iestādes ir paudušas gatavību atbalstīt IKT kā rīku, kas nepieciešams Eiropas nozaru konkurētspējas paaugstināšanai un tās ekonomikas atlabšanas paātrināšanai. Tādēļ 2009. gada augustā Komisija pieņēma Ziņojumu par Eiropas konkurētspēju digitālajā jomā (9) un uzsāka sabiedrisko apspriedi par piemērotām nākotnes stratēģijām attiecībā uz IKT attīstības veicināšanu. Komisija 2009. gada 7. decembrī sniedza arī savu ieguldījumu šajā apspriedē, proti, “Post i2010 Strategy – Toward an open, green and competitive knowledge society” (10). Eiropas Parlaments tikko ir arī pieņēmis ziņojumu, kura mērķis ir sniegt vadlīnijas Komisijai digitālās programmas formulēšanā (11).

11.

Vienlaikus ar IKT attīstību saistītajām iespējām un ieguvumiem ir vērojami arī jauni riski, jo īpaši attiecībā uz privātumu un privātpersonu datu aizsardzību. IKT nereti izraisa savāktās, sašķirotās, atlasītās, pārsūtītās vai citādi saglabātās informācijas apjoma palielināšanos (nereti veidos, ko personas pat nepamana) un tādēļ pieaug arī risku skaits.

12.

Piemēram, radiofrekvenču identifikācijas (RFID) mikroshēmas uz patēriņa precēm (atsevišķām) aizstāj svītru kodus. Uzlabojot informācijas plūsmu piegādes ķēdē (tādā veidā samazinot “drošības” rezervju nepieciešamību, nodrošinot precīzākas prognozes utt.), jaunajai sistēmai vajadzētu dot labumu gan uzņēmējiem, gan patērētājiem. Tomēr vienlaikus tas izraisa satraucošo iespējamību, ka dažādas personas dažādos nolūkos varētu veikt izsekošanu, izmantojot personu lietām pievienotos marķējumus.

13.

Cits piemērs ir datu izkaisītā apstrāde (cloud computing), kas pamatā ir viesotu lietojumprogrammu pakalpojumu piegāde internetā privātpersonām un juridiskām personām. Šeit ietilpst pakalpojumi, sākot no fotoattēlu datu bāzēm, kalendāriem, tīmekļa e-pasta un klientu datu bāzēm līdz sarežģītākiem ar uzņēmējdarbību saistītiem pakalpojumiem. Gan uzņēmēju, gan privātpersonu ieguvumi ir acīmredzami: izmaksu samazināšana (novēršamās izmaksas), neatkarība no vietas (viegla piekļuve informācijai jebkurā vietā pasaulē), automatizācija (nav nepieciešami īpaši IT resursi un programmatūras modernizācija) utt. Vienlaikus pastāv ļoti reāli drošības pārrāvumu un datorpirātisma riski. Ir arī draudi zaudēt piekļuvi un kontroli attiecībā uz personas pašas datiem.

14.

Ieguvumu un risku līdzāspastāvēšana ir vērojama arī citās jomās, kurās lieto IKT. Piemēram, e-veselība, kas var paaugstināt efektivitāti, samazināt izmaksas, paplašināt pieejamību un kopumā uzlabot veselības aprūpes pakalpojumu kvalitāti. Tomēr saistībā ar e-veselību nereti aktualizēts jautājums par šādas informācijas sekundārās izmantošanas leģitimitāti, kas paredz jebkādas sekundārās izmantošanas mērķu rūpīgu analīzi (12). Turklāt ar elektronisko veselības datu plašāku izmantojumu sistēmas saskaras ar nerimstošiem skandāliem, kas atklāj daudzus gadījumus, kad datorpirāti ielaužas elektronisko veselības datu sistēmās.

15.

Kopumā zināmā mērā atlikušais risks visticamāk turpinās pastāvēt pat pēc atbilstīga novērtējuma veikšanas un nepieciešamo pasākumu piemērošanas. Nulles riska situācija būtu neiespējama. Tomēr, kā norādīts turpmāk, pasākumus var un vajag īstenot, lai šādus riskus samazinātu līdz piemērotam līmenim.

16.

Praksē IKT potenciālos ieguvumus var just tikai tad, ja tiek izveidota uzticība, citiem vārdiem, ja tiek nodrošināta lietotāju vēlme paļauties uz IKT to iezīmju un sniegto ieguvumu dēļ. Šāda uzticēšanās tiks izveidota tikai tad, ja IKT ir uzticamas, drošas, personiski kontrolējamas un garantē personas datu un privātuma aizsardzību.

17.

Izplatīti riski un trūkumi, tādi kā iepriekš minētie, jo īpaši gadījumos, kad ir iesaistīta ļaunprātīga personas datu izmantošana vai pārkāpumi šajā jomā, tādējādi izpaužot personisku informāciju, visticamāk apdraudēs personu uzticēšanos informācijas sabiedrībai. Tas varētu nopietni apdraudēt IKT attīstību un to sniegtos potenciālos ieguvumus.

18.

Vienlaikus draudus privātumam un datu aizsardzībai nevar risināt, likvidējot, nepieļaujot vai atsakoties no IKT lietošanas vai popularizēšanas. Tas nebūtu nedz iespējami, nedz reālistiski; tas neļautu personām izmantot IKT sniegtos ieguvumus un nopietni ierobežotu kopējās to sniegtās priekšrocības.

19.

EDAU uzskata, ka daudz labāks risinājums ir IKT veidošana un attīstīšana tādā veidā, lai tiktu respektēts privātums un datu aizsardzība. Tādēļ ir ļoti būtiski iestrādāt privātumu un datu aizsardzību visā tehnoloģijas aprites ciklā, no sākotnējā projektēšanas posma līdz to galējai novietošanai, lietošanai un likvidēšanai. To parasti dēvē par “integrēto privātās dzīves aizsardzību”(PbD) un tā tiek analizēta turpmāk tekstā.

20.

PbD var ietvert dažādas darbības atkarībā no konkrētā gadījuma vai lietojuma. Tā, piemēram, atsevišķos gadījumos var būt nepieciešams likvidēt/samazināt personas datus vai novērst nevajadzīgu un/vai nevēlamu datu apstrādi. Citos gadījumos PbD var ietvert rīkus, ar kuru palīdzību var uzlabot personu kontroli pār saviem datiem. Šādi pasākumi būtu jāapsver, formulējot standartus un/vai labo praksi. Tos var arī iestrādāt informācijas un komunikāciju sistēmu arhitektūrā vai arī to vienību struktūrās, kas apstrādā personas datus.

21.

Nepieciešamība piemērot PbD principu ir vērojama daudzās dažādās IKT vidēs. Tā, piemēram, veselības aprūpes nozare arvien vairāk paļaujas uz IKT infrastruktūru, kas nereti ietver ar pacientu veselību saistītas informācijas centralizētu uzkrāšanu. PbD principa piemērošana veselības aprūpes nozarē nozīmētu dažādu pasākumu piemērotības izvērtēšanu, piemēram, iespēju makismāli samazināt centralizēti glabājamo datu apjomu vai ierobežot to līdz indeksam, izmantot šifrēšanas rīkus, piešķirt piekļuves tiesības, stingri balstoties uz principu “nepieciešams zināt”, padarīt datus anonīmus, tiklīdz tie vairs nav nepieciešami utt.

22.

Līdzīgi arī transporta sistēmas arvien biežāk tiek nodrošinātas ar modernām IKT lietojumprogrammām ar noklusējuma iestatījumiem, kas mijiedarbojas ar transportlīdzekli un tā vidi, īstenojot dažādus mērķus un funkcijas. Tā, piemēram, automobiļi arvien vairāk tiek aprīkoti ar jaunām IKT funkcijām (GPS, GSM, sensoru tīkls utt.), kas norāda ne tikai to atrašanās vietu, bet arī faktisko tehnisko stāvokli. Šo informāciju varētu izmantot, piemēram, lai aizstātu esošo ceļa nodokļa sistēmu ar ceļa nodevu, kas balstīta uz lietošanas biežumu. PbD piemērošanai šādu sistēmu arhitektūras izveidē vajadzētu atbalstīt pēc iespējas retāku personas datu apstrādi un tālāku pārsūtīšanu (13). Saskaņā ar šo principu centralizētas arhitektūras vietā priekšroka būtu dodama decentralizētai vai daļēji decentralizētai arhitektūrai, kas ierobežo datu izpaušanu un novietošanu līdz centrālajam punktam.

23.

Minētie piemēri apliecina, ka gadījumos, kad informācijas un komunikāciju tehnoloģijas tiek veidotas saskaņā ar PbD principu, ir iespējams ievērojami samazināt riskus privātumam un datu aizsardzībai.

24.

Būtisks jautājums ir, vai uzņēmēji, IKT ražotāji/nodrošinātāji un datu apstrādātāji ir ieinteresēti PbD principa popularizēšanā un iestrādāšanā IKT. Šajā kontekstā svarīgi ir arī izvērtēt PbD pieprasījumu.

25.

Komisija 2007. gadā publicēja paziņojumu, aicinot uzņēmējus izmantot inovāciju iespējas, lai radītu un ieviestu privātumu uzlabojošās tehnoloģijas (PETs), šādi uzlabojot privātuma un personas datu aizsardzību no paša attīstības cikla sākuma (14).

26.

Šobrīd pieejamie fakti liecina, ka ne IKT ražotāji, ne datu apstrādātāji (ne privātajā, ne sabiedriskajā sektorā) nav spējuši sistemātiski īstenot vai popularizēt PbD. Ir minēti dažādi pamatojumi, tostarp finansiālo stimulu vai institucionālā atbalsta trūkums, nepietiekams pieprasījums utt. (15)

27.

Vienlaikus lietotāju pieprasījums pēc PbD ir bijis diezgan zems. IKT produktu un pakalpojumu lietotāji varētu ar pilnām tiesībām uzskatīt, ka to privātums un personas dati ir aizsargāti de facto, kaut arī daudzos gadījumos tā nebūt nav. Dažos gadījumos viņi vienkārši nav spējīgi veikt nepieciešamos drošības pasākumus, lai aizsargātu savus personiskos vai citu datus. Nereti iemesls ir pilnīgu vai pat daļēju zināšanu trūkums attiecībā uz riskiem. Tā, piemēram, kopumā jaunieši ignorē privātuma riskus, kas saistīti ar personiskas informācijas norādīšanu sabiedriskajā tīmeklī un neņem vērā privātuma iestatījumus. Savukārt citi lietotāji apzinās riskus, bet, iespējams, viņiem nav nepieciešamās tehniskās zināšanas, lai piemērotu aizsardzības tehnoloģijas, piemēram, tādas, kas aizsargā interneta savienojumu, vai arī lai mainītu pārlūkprogrammu iestatījumus, tādējādi samazinot profilēšanu, kas balstīta uz viņu tīklklejošanas novērošanu.

28.

Vienlaikus privātuma un datu aizsardzības apdraudējums ir ļoti reāls. Ja privātums un datu aizsardzība nav ņemta vērā jau no sākuma, tad nereti ir pārāk vēlu un ekonomiski pārāk neizdevīgi šādas sistēmas izlabot, kā arī pārāk vēlu, lai novērstu jau nodarīto ļaunumu. Iepriekšējos gados vērojamais datu krātuvju uzlaušanas gadījumu skaita pieaugums pilnībā ilustrē šo problēmu un apstiprina integrētas privātās dzīves aizsardzības nepieciešamību.

29.

Iepriekš minētais acīmredzami norāda, ka IKT ražotājiem un pakalpojumu sniedzējiem attiecībā uz tehnoloģijām, kas paredzētas personas datu apstrādei, būtu kopā ar datu apstrādātājiem jābūt atbildīgiem par to, lai tajās būtu iestrādāti datu un privātuma aizsardzības mehānismi. Daudzos gadījumos tas nozīmētu, ka privātums būtu jāiestrādā pēc noklusējuma.

30.

Šajā kontekstā būtu jāapsver pasākumi, kas jāveic politikas veidotājiem, lai veicinātu PbD principa iestrādāšanu IKT attīstībā. Pirmkārt, ir jāsaprot, vai esošais datu aizsardzības tiesiskais regulējums ietver pietiekamus nosacījumus, lai nodrošinātu, ka PbD principu īsteno gan datu apstrādātāji, gan IKT ražotāji/attīstītāji. Otrkārt, ir jānoskaidro, kas būtu jādara saistībā ar Eiropas Digitalizācijas programmu, lai nodrošinātu, ka IKT nozare veido patērētāju uzticēšanos.

31.

ES ir spēcīgs datu aizsardzības un privātuma regulējums, kas iestrādāts Direktīvā 95/46/EK (16), Direktīvā 2002/58/EK (17), kā arī Eiropas Cilvēktiesību tiesas (18) un Eiropas Kopienu Tiesas praksē.

32.

Datu aizsardzības direktīva attiecas uz “jebkuru ar personas datiem veiktu darbību vai darbību kopumu” (vākšana, uzglabāšana, atklāšana utt.). Tajā ir noteikti principi un pienākumi, kas jāievēro tiem, kas apstrādā personas datus (“datu apstrādātāji”). Tajā ir paredzētas personas tiesības, piemēram, tiesības piekļūt personas datiem. E-privātuma direktīva īpaši attiecas uz privātuma aizsardzību elektronisko komunikāciju nozarē (19).

33.

Spēkā esošā Datu aizsardzības direktīva neietver skaidru prasību attiecībā uz PbD. Tomēr tā ietver netiešus nosacījumus, atbilstoši kuriem dažādās situācijās ir iespējams pieprasīt PbD principa īstenošanu. Jo īpaši tās 17. pants paredz, ka datu apstrādātāji īsteno atbilstošus tehniskus un organizatoriskus pasākumus, lai novērstu nelikumīgu datu apstrādi (20). PbD tādējādi ir ietverts ļoti vispārīgā veidā. Turklāt direktīvas nosacījumi galvenokārt ir adresēti datu apstrādātājiem un personas datu apstrādei. Nosacījumi skaidri neparedz, ka informācijas un komunikāciju tehnoloģijās ir jāievēro privātums un datu aizsardzība, kā nodrošināšanai ir nepieciešams vērsties arī pie IKT izstrādātājiem un ražotājiem, tostarp ietverot standartizācijas posmā veiktās darbības.

34.

E-privātuma direktīva ir konkrētāka. Tās 14. panta 3. punktā noteikts, ka “Ja nepieciešams, var pieņemt pasākumus, lai nodrošinātu, ka gala iekārta ir veidota tā, lai tā būtu savietojama ar lietotāju tiesībām aizsargāt un kontrolēt to personas datu izmantošanu, saskaņā ar Direktīvu 1999/5/EK un Padomes 1986. gada 22. decembra Lēmumu 87/95/EEK par standartizāciju informācijas tehnoloģijas un komunikāciju jomā”. Tomēr šis nosacījums nekad nav bijis piemērots (21).

35.

Lai gan abu direktīvu iepriekš minētie nosacījumi palīdz integrētas privātās dzīves aizsardzības principa veicināšanā, faktiski ar tiem nav bijis pietiekami, lai nodrošinātu privātuma iekļaušanu IKT.

36.

Šīs situācijas rezultātā tiesību akti pietiekami precīzi nenosaka, ka IKT tiek veidotas saskaņā ar PbD principu. Tāpat arī datu aizsardzības iestādēm nav pietiekamu tiesību, lai nodrošinātu PbD principa iestrādi. Rezultāts ir neefektivitāte. Tā, piemēram, datu aizsardzības iestādes būtu tiesīgas sodīt par nespēju izpildīt personas piekļuves pieprasījumu un tām būs tiesības pieprasīt noteiktu pasākumu īstenošanu, lai novērstu datu prettiesisku apstrādi. Tomēr ne vienmēr ir pietiekami skaidrs, vai to tiesības ir gana plašas, lai pieprasītu tādas sistēmas izveidi, kas veicina personu datu aizsardzības tiesības (22). Piemēram, pamatojoties uz esošo tiesību aktu nosacījumiem, nav skaidrs, vai būtu iespējams pieprasīt, lai informācijas sistēmas arhitektūru veido tā, lai veicinātu situāciju, kurā uzņēmumi personu piekļuves pieprasījumus varētu apstrādāt ātrāk un automātiski. Turklāt vēlāki mēģinājumi mainīt tehnoloģiju pēc tās izstrādes un novietošanas var kļūt par risinājumu savārstījumu, kas nedarbojas pilnīgi un ir finansiāli apgrūtinoši.

37.

EDAU viedoklis, ko atbalsta arī 29. panta darba grupa (23), ir tāds, ka esošajā tiesiskajā regulējumā būtu vieta precīzāk noteiktam PbD principa apstiprinājumam.

38.

Šajā kontekstā EDAU iesaka Komisijai īstenot četrus darbības virzienus:

39.

EDAU ierosina esošajā datu aizsardzības tiesiskajā regulējumā neatgriezeniskā un nepārprotamā veidā iekļaut integrētas privātās dzīves aizsardzības principu. Tas padarītu PbD principu stiprāku, skaidrāku un paredzēs tā efektīvu īstenošanu, papildus sniedzot vairāk leģitimitātes par tā ieviešanu atbildīgajām iestādēm pieprasīt tā de facto piemērošanu praksē. Tas ir jo īpaši nepieciešams, ņemot vērā iepriekš minētos faktus – ne tikai tādēļ, ka princips ir svarīgs uzticēšanās veicināšanas rīks, bet arī tādēļ, ka tas būtu stimuls ieinteresētajām personām ieviest PbD un uzlabot esošajā tiesiskajā regulējumā iekļautās garantijas.

40.

Šis priekšlikums ir balstīts uz 29. panta darba grupas ieteikumu ieviest “integrētas privātās dzīves aizsardzību” kā vispārīgu principu datu aizsardzības tiesiskajā regulējumā, jo īpaši, Datu aizsardzības direktīvā. Atbilstīgi 29. panta darba grupai: “Šim principam vajadzētu būt saistošam tehnoloģiju izstrādātājiem un ražotājiem, kā arī datu apstrādātājiem, kas nolēmuši iegūt un izmantot IKT. Viņiem būtu jāuzliek par pienākumu ievērot tehnoloģisku datu aizsardzību jau informācijas-tehnoloģiju procedūru un sistēmu plānošanas posmā. Šādu sistēmu un pakalpojumu sniedzējiem, kā arī apstrādātājiem būtu jādemonstrē, ka viņi ir veikuši visus nepieciešamos pasākumus, lai ievērotu šos nosacījumus.”

41.

EDAU arī atzinīgi vērtē komisāres Viviane Reding atbalstu integrētas privātās dzīves aizsardzības principam kontekstā ar Datu aizsardzības direktīvas pārskata paziņošanu (24).

42.

Iepriekš minētais nosaka šāda regulējuma saturu. Pirmais un svarīgākais – vispārīgajam integrētas privātās dzīves aizsardzības principam vajadzētu būt tehnoloģiski neitrālam. Ar šo principu nebūtu jāmēģina regulēt tehnoloģiju, tas ir, tam nevajadzētu ietvert konkrētus specifiskus risinājumus. Tā vietā tam būtu jānosaka, ka esošie privātuma un datu aizsardzības principi būtu jāintegrē informācijas un komunikāciju sistēmās un risinājumos. Tas ļautu ieinteresētajām personām, ražotājiem, datu apstrādātājiem un datu aizsardzības iestādēm interpretēt principa nozīmi atbilstīgi katram konkrētajam gadījumam. Otrkārt, principa ievērošanai būtu jābūt saistošai dažādos posmos, sākot no standartu noteikšanas un arhitektūras izveides līdz brīdim, kad datu apstrādātāji tos ievieš.

43.

Balstoties uz esošo tiesisko regulējumu, kā arī iepriekš ierosināto vispārīgo nosacījumu pēc tā pieņemšanas, PbD princips ir jāintegrē esošajos un topošajos likumdošanas instrumentos. Tā, piemēram, atbilstīgi pašreizējām ar inteliģentajām transporta sistēmām saistītajām iniciatīvām Komisijai būs īpaša sākotnēja atbildība par pasākumu, standartizācijas iniciatīvu, procedūru un labās prakses definēšanu. Šo uzdevumu izpildē PbD principam būtu piešķirama svarīgākā nozīme.

44.

Tāpat EDAU norāda, ka integrētas privātās dzīves aizsardzības principam ir īpaša nozīme arī attiecībā uz brīvību, drošību un tiesiskumu, jo īpaši saistībā ar informācijas pārvaldības stratēģijas mērķiem, kas paredzēti Stokholmas programmā (25). Atzinumā saistībā ar Stokholmas programmu EDAU uzsvēra, ka informācijas apmaiņas arhitektūra būtu jābalsta uz “integrētu privātās dzīves aizsardzību” (26). “Proti, tas nozīmē, ka informācijas sistēmas, kuras tiek plānotas sabiedrības drošības mērķiem, vienmēr ir jāizstrādā saskaņā ar principu “konstrukcijā iekļauta privātās dzīves neaizskaramība”.”

45.

29. panta darba grupa savā atzinumā par privātuma nākotni (27) vēl konkrētāk uzstāj uz to, ka attiecībā uz brīvību, drošību un tiesiskumu – tas ir, jomās, kurās valsts sektora iestādes ir galvenās dalībnieces un kurās uzraudzību palielinoši pasākumi tieši skar pamattiesības uz privātumu un datu aizsardzību – integrētas privātās dzīves aizsardzības nosacījumi būtu jāpadara obligāti ievērojami. Valdības ar šo nosacījumu ieviešanu informācijas sistēmās veicinātu integrētu privātās dzīves aizsardzību kā attīstību veicinoši pasūtītāji.

46.

Informācijas un komunikāciju tehnoloģijas kļūst arvien sarežģītākas un ietver lielākus privātuma un datu aizsardzības riskus. Kopumā digitālā informācija, kurai ir vieglāk piekļūt, kuru ir vieglāk kopēt un pārsūtīt, ir pakļauta lielākam riskam nekā informācija, kas tiek glabāta uz papīra. Virzoties uz savstarpēji savienotu objektu tīmekļiem, riski pieaugs. Jo lielāki ir privātuma/datu aizsardzības riski, jo lielāks būs pieprasījums pēc uzlabotiem datu/privātuma aizsardzības mehānismiem. Tādēļ PbD īstenošanas nepieciešamības pamatojums ir neatspēkojamāks IKT nozarē. Papildus, kā aprakstīts iepriekš, personu uzticēšanās IKT ir pamats tam, lai pilsoņi pieņemtu šos jaunos pakalpojumus, savukārt privātums un datu aizsardzība ir šīs uzticības stūrakmeņi.

47.

Iepriekš minētais norāda uz to, ka IKT attīstības stratēģijai ir jāietver nepieciešamība iestrādāt privātumu un datu aizsardzību kā neatņemamu IKT elementu, tas ir, jāņem vērā integrētas privātās dzīves aizsardzības princips.

48.

Tādējādi Eiropas Digitalizācijas programmā būtu nepārprotami jāapstiprina integrētas privātās dzīves aizsardzības princips kā nepieciešams elements, lai nodrošinātu pilsoņu uzticēšanos IKT un tiešsaistes pakalpojumiem. Tajā būtu jāapliecina, ka privātuma neaizskaramība un uzticība ir savstarpēji saistītas un ka integrētas privātās dzīves aizsardzībai ir jābūt par pamatfaktoru uzticamas IKT nozares attīstībā.

49.

Komisijai būtu jānosaka integrēta privātās dzīves aizsardzība kā pamatprincips politikas, darbību un iniciatīvu īstenošanā konkrētās IKT nozarēs, tostarp tādās kā e-veselība, e-iepirkums, e-sociālā drošība, e-mācības utt. Daudzas no šīm iniciatīvām būs veicamās darbības atbilstīgi Eiropas Digitalizācijas programmai.

50.

Tas nozīmē, ka, piemēram, iniciatīvas, kas paredzētas, lai nodrošinātu valdības lietojumu lielāku efektivitāti un atbilstību jaunākajiem sasniegumiem, tādējādi ļaujot personām sazināties ar pārvaldes iestādēm, būtu jāveido un jāīsteno saskaņā ar integrētas privātās dzīves aizsardzības principu. Tas pats attiecas uz Komisijas politiku un darbībām, kas vērstas uz ātrāku internetu un digitālā satura pārraidi vai vispārēju fiksēto un bezvadu sakaru un datu pārraides veicināšanu.

51.

Iepriekš minētais attiecas arī uz jomām, kurās Komisija ir atbildīga par liela mēroga IT sistēmām, tādām kā SIS un VIS, kā arī uz tiem gadījumiem, kuros Komisijas atbildība attiecas vien uz šādas sistēmas kopējās infrastruktūras izstrādi un uzturēšanu, piemēram, Eiropas Sodāmības reģistru informācijas sistēmas (ECRIS) gadījumā.

52.

PbD principa attīstība būs atkarīga no katras konkrētās nozares un situācijas. Tā, piemēram, gadījumos, kad tiesību aktu priekšlikumi papildinās Komisijas iniciatīvas konkrētās IKT nozarēs, daudzos gadījumos būs pieņemami iekļaut skaidru atsauci uz PbD jēdziena piemērošanu konkrētā IKT lietojuma/sistēmas izstrādē. Izstrādājot konkrētas nozares rīcības plānus, būtu jānodrošina, ka tie paredz sistemātisku tiesiskā regulējuma piemērošanu un jo īpaši garantē, ka attiecīgā IKT tiek veidota saskaņā ar integrētās privātās dzīves aizsardzības principu.

53.

Attiecībā uz pētniecību – Septītā un turpmākās pamatprogrammas būtu jāizmanto kā rīks, lai atbalstītu projektus, kuru mērķis ir analizēt standartus, IKT tehnoloģijas un arhitektūru, kas labāk nodrošina privātumu un jo īpaši integrētas privātās dzīves aizsardzības principu. Papildus PbD principam būtu jākļūst par nepieciešamu elementu, kas jāņem vērā plašākos IKT projektos, kuru mērķis ir personas datu apstrāde.

54.

Ņemot vērā īpašus riskus personu privātumam un datu aizsardzībai vai citus faktorus (rūpniecības nozares nevēlēšanās nodrošināt PbD produktus, patērētāju pieprasījums utt.), dažos gadījumos varētu būt nepieciešams likumdošanas un citos instrumentos definēt skaidrākus un specifiskākus pasākumus integrētai privātās dzīves aizsardzībai, kas būtu iestrādājami noteikta veida informācijas un komunikāciju produktā/tehnoloģijā.

55.

EDAU ir identificējis vairākas nozares (RFID, sociālo tīklu veidošana un pārlūkprogrammu lietojumi), kuras, viņaprāt, šajā posmā Komisijai būtu rūpīgi jāizvērtē un kurām būtu nepieciešams stingrāks regulējums, ņemot vērā iepriekš pausto viedokli. Šīs trīs jomas tiek apspriestas turpmāk.

56.

RFID marķējumu var iestrādāt priekšmetos, dzīvniekos un cilvēkos. Tos var lietot, lai savāktu un uzglabātu personas datus, piemēram, slimības vēsturi, kā arī izsekotu cilvēku pārvietošanos vai dažādiem mērķiem noteiktu uzvedības profilu. Tas ir izdarāms, personām par to nezinot (28).

57.

Lai sabiedrība uzticētos RFID un nākotnes “lietiskajam internetam”, ir nepieciešamas efektīvas garantijas attiecībā uz datu aizsardzību, privātumu un visiem saistītajiem ētiskajiem apsvērumiem. Tikai tad tehnoloģijas varēs sniegt to neskaitāmos ekonomiskos un sociālos ieguvumus.

58.

Datu aizsardzības direktīvu un E-privātuma direktīvu piemēro ar RFID lietojumu palīdzību veikto datu apkopošanai (29). Cita starpā tās paredz, ka ir nepieciešams ieviest atbilstošu privātuma aizsardzību pirms RFID lietojumu darbības uzsākšanas (30).

59.

Vienlaikus šis tiesiskais regulējums pilnībā neatrisina visas šīs tehnoloģijas izraisītās bažas saistībā ar datu un privātuma aizsardzību. Tas ir tādēļ, ka direktīvas nav pietiekami detalizētas attiecībā uz RFID lietojumos ieviešamo aizsardzības mehānismu veidu. Esošos nosacījumus ir nepieciešams papildināt ar tādiem, kas nosaka specifiskus aizsardzības mehānismus, jo īpaši paredzot, ka tehnisku risinājumu (integrētas privātās dzīves aizsardzības) iestrāde RFID tehnoloģijā ir obligāta. Tas attiecas uz marķējumiem, kuros uzglabā personas datus, kam būtu jāietver deaktivācijas komandas, kā arī uz kriptogrāfijas metožu lietošanu marķējumos, kuros uzglabā noteikta veida personu datus.

60.

Komisija 2007. gada martā pieņēma paziņojumu (31), kurā cita starpā atzīta vajadzība izstrādāt detalizētas vadlīnijas praktiskai RFID ieviešanai, kā arī nepieciešamība pieņemt projektēšanas kritērijus, lai izvairītos no privātuma un drošības apdraudējuma.

61.

Šo mērķu sasniegšanai Komisija 2009. gada maijā pieņēma ieteikumu par privātuma un datu aizsardzības principu īstenošanu RFID lietojumos (32). Attiecībā uz RFID lietojumiem mazumtirdzniecībā tajā ir paredzēta marķējuma deaktivēšana tirdzniecības vietā, ja vien personas neiebilst pret tā saglabāšanu. Tas pieļaujams tikai tad, ja privātuma un datu aizsardzības ietekmes novērtējumā ir atzīts, ka marķējums, ja tas saglabā darbspēju ārpus tirdzniecības vietas, nerada iespējamu privātuma vai personas datu aizsardzības apdraudējumu, un ar nosacījumu, ka personas var pieprasīt marķējuma bezmaksas deaktivēšanu.

62.

EDAU atbalsta Komisijas pieeju lietot pašregulācijas instrumentus. Tomēr, kā turpmāk norādīts, ir paredzams, ka pašregulācija nenodrošinās gaidīto rezultātu, līdz ar to EDAU aicina Komisiju būt gatavai pieņemt alternatīvus pasākumus.

63.

EDAU bažījas, ka RFID lietojumus apkalpojošās organizācijas mazumtirdzniecības sektorā varētu neievērot iespēju, ka RFID marķējumu varētu novērot nevēlamas trešās personas. Šāda novērošana varētu atklāt marķējumā saglabātos personas datus (ja tādi ir), kā arī ļaut trešai personai vēlāk izsekot vai atpazīt personu, vienkārši izmantojot unikālos identifikatorus, kas ietverti vienā vai vairākos personu pārnēsātājos marķējumos, vidē, kas var būt pat ārpus RFID lietojumu darbības zonas. Turklāt EDAU uztrauc, ka RFID lietojumu operatoriem varētu būt vēlme pārlieku paļauties uz izņēmuma gadījumu, tādējādi saglabājot marķējuma darbspēju ārpus tirdzniecības vietas.

64.

Ja iepriekš minētais piepildās, tad varētu būt pārāk vēlu, lai mazinātu riskus, iespējams, jau skarto personu datu un privātuma aizsardzībai. Vēl jo vairāk, ņemot vērā pašregulējuma iezīmes, valstu ieviešanas iestādes varētu atrasties vājākā pozīcijā, pieprasot RFID lietojumu operatoriem piemērot īpašus integrētas privātās dzīves aizsardzības pasākumus.

65.

Šajā kontekstā EDAU aicina Komisiju būt gatavai ierosināt tiesību aktu instrumentus, kas regulētu RFID lietošanas pamatelementus gadījumā, ja esošā tiesiskā regulējuma efektīva īstenošana neizdodas. Komisijas novērtējuma pieņemšanu nevajadzētu pārlieku atlikt, jo atlikšana pakļautu personas apdraudējumam, turklāt tas varētu negatīvi iespaidot nozari, ņemot vērā pārāk augsto tiesisko nenoteiktību un potenciāli lielākas grūtības un izmaksas, kas nepieciešamas iesakņojušos problēmu risināšanai.

66.

Attiecībā uz potenciāli ierosināmajiem pasākumiem EDAU iesaka nodrošināt izvēles principu, atbilstoši kuram visi patēriņa produktiem pievienotie RFID marķējumi pēc noklusējuma tiktu deaktivēti tirdzniecības vietā. Varētu būt, ka Komisijai noteikt konkrētu izmantojamo tehnoloģiju nav nepieciešama vai atbilstoša rīcība. Tā vietā Savienības tiesību aktiem būtu jāievieš juridiski saistošs pienākums saņemt piekrišanu, atstājot uzņēmumu ziņā šīs prasības īstenošanas veidu.

67.

RFID marķējuma radītā informācija, piemēram, informācija par produktu, nākotnē varētu tik iesaistīta globālajā sakaru infrastruktūras tīklā. To parasti sauc par “lietisko internetu”. Bažas saistībā ar datu/privātuma aizsardzību rodas, jo, izmantojot RFID marķējumu, kas papildu informācijai par produktu var ietvert arī personas datus, ir iespējams identificēt faktiskos priekšmetus/objektus.

68.

Joprojām ir neskaidrības attiecībā uz to, kas nodrošinās ar RFID marķējumu saistītās informācijas uzglabāšanu. Kā tā tiks organizēta? Kam būs piekļuves tiesības? Komisija 2009. gada jūnijā pieņēma paziņojumu par lietisko internetu (33), kurā skaidri norādītas potenciālās datu un privātuma aizsardzības problēmas šajā jomā.

69.

EDAU vēlas uzsvērt dažus no paziņojumā skartajiem jautājumiem, kam, viņaprāt, būtu jāpievērš pienācīga uzmanība, lietiskajam internetam attīstoties. Pirmkārt, decentralizētas arhitektūras nepieciešamība varētu veicināt ES tiesiskā regulējuma pārskatāmību un izpildāmību. Otrkārt, cik vien iespējams, būtu jāsaglabā personas tiesības uz to, ka tā netiek izsekota. Citiem vārdiem, personas bez to piekrišanas ar RFID marķējuma palīdzību varētu izsekot tikai ļoti nedaudzos gadījumos. Šādai piekrišanai vajadzētu būt nepārprotamai. To parasti sauc par “mikroshēmu apklusināšanu”(silence of chips) un tiesībām uz vienatni. Visbeidzot – integrētai privātās dzīves aizsardzībai vajadzētu būt lietiskā interneta veidošanas pamatprincipam. Tas, piemēram, varētu nozīmēt, ka konkrēti RFID lietojumi ar iegultiem mehānismiem, kas sniedz lietotājiem kontroles iespējas, tiek izstrādāti, izmantojot privātuma noklusējuma iestatījumus.

70.

EDAU cer, ka Komisija ar to konsultēsies, īstenojot paziņojumā paredzētās darbības, jo īpaši izstrādājot paziņojumu par privātumu un uzticēšanos globālajā informācijas sabiedrībā.

71.

Sociālie tīkli šobrīd ir ļoti populāri. Šķiet, ka tie pārspēj pat e-pastus. Tie vieno cilvēkus ar līdzīgām interesēm un/vai darbībām. Ir iespējams veidot savus profilus tiešsaistē un koplietot tādus multivides failus kā videoklipus, fotoattēlus, mūzikas ierakstus, kā arī karjeras profilus.

72.

Sociālo tīklu izmantošana ir strauji kļuvusi populāra jauniešu vidū, un šo tīklu popularitāte arvien pieaug. Pēdējo gadu laikā interneta lietotāju vidējais vecums Eiropā ir samazinājies: bērni deviņu līdz desmit gadu vecumā to lieto vairākas reizes nedēļā, savukārt jaunieši 12 līdz 14 gadu vecumā – katru dienu, nereti no vienas līdz trīs stundām.

73.

Sociālo tīklu attīstība ir sniegusi lietotājiem iespēju internetā augšupielādēt informāciju par sevi un trešām personām. To darot, saskaņā ar 29. panta darba grupu (34) interneta lietotāji attiecībā uz to augšupielādētajiem datiem ir uzskatāmi par datu apstrādātajiem atbilstīgi Datu aizsardzības direktīvas bijušajam 2.d pantam (35). Tomēr lielākajā daļā gadījumu šāda apstrāde ir uzskatāma par mājsaimniecības atbrīvojumam atbilstošu saskaņā ar bijušo direktīvas 3. panta 2. punktu. Vienlaikus sociālo tīklu pakalpojumu sniedzēji ir uzskatāmi par datu apstrādātājiem, ciktāl tie nodrošina līdzekļus lietotāju datu apstrādei un sniedz visus ar lietošanas pārvaldību saistītos pamatpakalpojumus (piemēram, kontu reģistrāciju un dzēšanu).

74.

Juridiski tas nozīmē, ka atbilstīgi bijušajam direktīvas 2.d pantam interneta lietotāji un sociālo tīklu pakalpojumu sniedzēji kā “datu apstrādātāji” ir līdzatbildīgi personas datu apstrādē, lai gan atbildības pakāpe un pienākumu kopums atšķiras.

75.

Tātad lietotājiem būtu jāzina un jāsaprot, ka, apstrādājot savu un citu personisko informāciju, uz tiem attiecas ES tiesību aktu nosacījumi par datu aizsardzību, kas cita starpā paredz pienākumu iegūt apzinātu piekrišanu no tiem, kuru informācija tiek augšupielādēta, kā arī iesaistītajām personām nodrošināt labošanas, noraidīšanas utt. tiesības. Līdzīgi arī sociālo tīklu pakalpojumu sniedzējiem ir cita starpā jāīsteno pienācīgi tehniskie un organizatoriskie pasākumi, kas, ievērojot apstrādes potenciālos riskus un datu veidu, novērstu nesankcionētu apstrādi. Tas savukārt nozīmē, ka sociālo tīklu pakalpojumu sniedzējiem būtu jānodrošina privātumu veicinoši noklusējuma iestatījumi, tostarp iestatījumi, kas piekļuvi profilam ierobežo līdz lietotāja paša izvēlētām personām. Iestatījumiem būtu jāietver arī prasība saņemt lietotāja piekrišanu pirms tā profils kļūst pieejams trešām personām, un ierobežotas piekļuves profili nedrīkstētu parādīties meklēšanas rezultātos, izmantojot iekšējās meklētājprogrammas.

76.

Diemžēl starp likumdošanas prasībām un faktisko izpildi ir starpība. No juridiskā viedokļa raugoties, interneta lietotāji ir uzskatāmi par datu apstrādātājiem un ir pakļauti ES datu un privātuma aizsardzības tiesiskajam regulējumam, tomēr faktiski lietotāji nereti neapzinās šo lomu. Kopumā lietotāji nepietiekami apzinās, ka viņi apstrādā personas datus un ka, publicējot šādu informāciju, ir iespējami privātuma un datu aizsardzības apdraudējumi. Jo īpaši jaunieši publicē informāciju tiešsaistē, neizvērtējot šādas rīcības sekas sev un citiem, piemēram, attiecībā uz turpmāko pieteikšanos izglītības iestādēs vai darbā.

77.

Vienlaikus sociālo tīklu pakalpojumu sniedzēji nereti atteikšanos (opt-outs) izvēlas kā noklusējuma iestatījumu, tādējādi sekmējot personiskās informācijas atklāšanu. Citi kā noklusējuma iestatījumu uzliek profilu pieejamību vispārējām meklētājprogrammām. Tas liek apšaubīt faktisko personu piekrišanu informācijas atklāšanai, kā arī sociālo tīklu atbilstību direktīvas 17. panta nosacījumiem (aprakstīts iepriekš), kas paredz pienācīgu tehnisku un organizatorisku pasākumu īstenošanu, lai novērstu nesankcionētu apstrādi.

78.

Iepriekš minētais palielina personu privātuma un datu aizsardzības apdraudējumu. Tas pakļauj interneta lietotājus, kā arī personas, kuru dati tiek augšupielādēti, acīmredzamiem viņu privātuma un datu aizsardzības tiesību pārkāpumiem.

79.

Šādā kontekstā jautājums, uz kuru Komisijai jāatbild, ir šāds – kas būtu jādara un ko būtu iespējams darīt, lai šo problēmu risinātu. Šajā atzinumā netiek sniegta visaptveroša atbilde uz jautājumu, tā vietā tiek piedāvāti vairāki priekšlikumi turpmākai izvērtēšanai.

80.

Pirmais priekšlikums ir ieguldīt lietotāju izglītībā. Tātad ES iestādēm un dalībvalstīm būtu jāiegulda līdzekļi, lai izglītotu un uzlabotu izpratni par sociālo tīklu tīmekļa vietņu izraisītajiem draudiem. Tā, piemēram, Informācijas sabiedrības un saziņas līdzekļu ĢD īsteno programmu “Drošāks internets”, kuras mērķis ir dot iespējas un aizsargāt bērnus un jauniešus, līdzfinansējot, piemēram, izpratnes veicināšanas pasākumus (36). Nesen ES iestādes uzsāka kampaņu “Padomā, pirms ievieto internetā” ar nolūku veicināt izpratni par apdraudējumu, ko rada personiskas informācijas koplietošana ar svešiniekiem.

81.

EDAU aicina Komisiju turpināt atbalstīt šāda veida darbības. Vienlaikus arī pašiem sociālo tīklu pakalpojumu nodrošinātājiem vajadzētu būt aktīviem, jo viņi ir juridiski un sociāli atbildīgi par lietotāju izglītošanu attiecībā uz viņu pakalpojumu izmantošanu drošā un privātumu neapdraudošā veidā.

82.

Kā minēts iepriekš, sociālajā tīklā publicēto informāciju dažādos veidos ir iespējams padarīt pieejamu visiem, izmantojot noklusējuma iestatījumus. Tā, piemēram, informācija var būt pieejama sabiedrībai kopumā, tostarp caur meklētājprogrammām, kas tai var piešķirt indeksu un tādā veidā arī tieši novirzīt. Tomēr informācijas pieejamību var ierobežot, piešķirot piekļuves tiesības “izvēlētiem draugiem”, vai arī saglabāt tās pilnīgu privātumu. Protams, tīmekļa vietnēs profila pieejamība un lietotā terminoloģija atšķiras.

83.

Vienlaikus, kā uzsvērts iepriekš, tikai retais sociālās tīklošanas pakalpojumu lietotājs zina, kā regulēt piekļuvi viņu publicētajai informācijai, un tikai retais domā par to, kā mainīt privātuma noklusējuma iestatījumus. Privātuma iestatījumi parasti netiek mainīti, jo lietotāji neapzinās šādas bezdarbības sekas, vai arī nezina, kā tas izdarāms. Līdz ar to vairākumā gadījumu privātuma iestatījumu nenomainīšana nenozīmē, ka personas ir pieņēmušas apzinātu lēmumu koplietot informāciju. Tādēļ ir jo īpaši svarīgi, ka trešās personas, piemēram, meklētājprogrammas neuzrāda individuālos profilus, balstoties uz pieņēmumu, ka, nenomainot noklusējuma iestatījumus (attiecībā uz privātumu), lietotāji ir piekrituši informācijas vispārējai pieejamībai.

84.

Kaut arī lietotāju izglītošana varētu līdzēt problēmas risināšanā, tomēr ir nepieciešamas arī papildu darbības. Kā savā atzinumā par sociālajiem tīkliem ierosina 29. panta darba grupa, sociālo tīklu pakalpojumu nodrošinātājiem būtu jāpiedāvā privātumu neapdraudoši bezmaksas privātuma noklusējuma iestatījumi. Tas ļautu lietotājiem labāk apzināties savas darbības, kā arī ļautu pamatotāk izlemt, vai viņi vēlas apmainīties ar informāciju, un ja vēlas, tad ar ko.

85.

Komisija ir noslēgusi nolīgumu ar 20 sociālo tīklu pakalpojumu sniedzējiem, kas zināms kā “Drošāki sociālo kontaktu veidošanas principi Eiropas Savienībai” (37). Nolīguma mērķis ir uzlabot nepilngadīgo drošību, kad viņi izmanto sociālo kontaktu vietnes Eiropā. Šādi principi ietver daudzus nosacījumus, kas izriet no iepriekš aprakstītā datu aizsardzības tiesiskā regulējuma. Tie ietver, piemēram, nosacījumu, ka ar rīku un tehnoloģiju palīdzību ir jāsniedz lietotājiem iespējas pašiem kontrolēt savas personiskās informācijas lietojumu un izplatīšanu. Tajā ir ietverta arī nepieciešamība nodrošināt privātuma noklusējuma iestatījumus.

86.

Komisija 2010. gada janvāra sākumā nāca klajā ar ziņojumu, kurā ietverti principu īstenošanas novērtējuma rezultāti (38). EDAU bažījas par ziņojumā norādīto – proti, vairāki pasākumi ir veikti, tomēr daudzi citi nav. Tā, piemēram, ziņojumā minētas problēmas attiecībā uz informācijas pieejamību par tīmekļa vietnēs pieejamajiem drošības pasākumiem un rīkiem. Tāpat tajā norādīts, ka mazāk kā puse nolīguma parakstītāju ir ierobežojuši piekļuvi nepilngadīgo profiliem, padarot to pieejamu tikai viņu draugiem.

87.

Saistībā ar šo galvenais jautājums ir par to, vai ir nepieciešami papildu politikas pasākumi, lai nodrošinātu, ka sociālajos tīklos ir iestrādāti privātuma noklusējuma iestatījumi. Šo jautājumu aktualizēja iepriekšējā informācijas sabiedrības komisāre Viviane Reding, kas norādīja uz iespējamu tiesību aktu nepieciešamību (39). Līdzīgi arī Eiropas Ekonomikas un sociālo lietu komiteja norādīja, ka paralēli pašregulējumam minimālos aizsardzības standartus būtu nepieciešams noteikt arī tiesību aktos (40).

88.

Kā iepriekš norādīts, sociālo tīklu pakalpojumu sniedzēju pienākums iestrādāt privātuma noklusējuma iestatījumus ir netieši noteikts Datu aizsardzības direktīvas 17. pantā (41), kas paredz datu apstrādātājiem veikt pienācīgus tehniskos un organizatoriskos pasākumus (“gan apstrādes sistēmas izveides laikā, gan pašas apstrādes laikā”), lai, ievērojot datu apstrādes riskus un šo datu veidu, saglabātu to drošību un novērstu jebkādu nesankcionētu apstrādi.

89.

Tomēr šis pants ir pārlieku vispārīgs un tam trūkst konkrētības arī šajā saistībā. Tas skaidri neraksturo pienācīgus tehniskos un organizatoriskos pasākumus sociālo tīklu kontekstā. Tādēļ šobrīd pastāv tiesiska nenoteiktība, kas rada problēmas gan regulētājiem, gan personām, kuru privātums un personas dati netiek pilnībā aizsargāti.

90.

Ņemot vērā iepriekš minēto, EDAU aicina Komisiju sagatavot tiesību aktus, kas iekļautu vismaz vispārēju nosacījumu attiecībā uz obligātiem privātuma aizsardzības iestatījumiem, kuru papildinātu konkrētākas prasības:

91.

Līdztekus obligātai privātuma noklusējuma iestatījumu nodrošināšanai joprojām ir aktuāls jautājums par to, vai papildu konkrēti datu aizsardzības un citi pasākumi (piemēram, attiecībā uz nepilngadīgo aizsardzību) arī būtu atbilstoši. Plašākā kontekstā tas ir jautājums par to, vai līdztekus obligātai privātuma iestatījumu nodrošināšanai būtu adekvāti radīt konkrētu satvaru arī šādiem pakalpojumiem, kas attiecīgi regulētu citus aspektus. EDAU lūdz Komisiju ņemt vērā šo jautājumu.

92.

Reklāmu tīklu pakalpojumu sniedzēji izmanto sīkfailus un citas ierīces, lai novērotu lietotāju uzvedību, viņiem klejojot internetā, ar nolūku apkopot informāciju par viņu interesēm un izveidot profilus. Vēlāk šī informācija tiek izmantota, lai izsūtītu attiecīgās reklāmas (42).

93.

Datu apstrādi regulē Datu aizsardzības direktīva (attiecībā uz personas datiem) un arī E-privātuma direktīvas 5. panta 3. punkts. Šis pants precīzi nosaka, ka lietotājs ir jāinformē un viņam ir jāsniedz iespēja piekrist vai noraidīt ierīču, tādu kā sīkfaili utt., uzglabāšanu viņu datorā vai citā ierīcē (43).

94.

Līdz šim reklāmu tīklu pakalpojumu sniedzēji ir paļāvušies, ka pārlūkprogrammu iestatījumi un privātuma aizsardzības stratēģijas nodrošinās lietotāju informētību un ļaus viņiem atļaut vai noraidīt sīkfailu saņemšanu. Viņi ir skaidrojuši izdevēju privātuma stratēģijās, kā atteikties no sīkfailu saņemšanas pilnībā vai arī atļaut to atkarībā no attiecīgā gadījuma. To darot, viņi ir centušies izpildīt savu pienākumu sniegt lietotājiem iespēju atteikties no sīkfailu saņemšanas.

95.

Kaut arī teorētiski šī metode (ar pārlūkprogrammu) varētu nodrošināt jēgpilnu, apzinātu piekrišanu, faktiskā situācija ir pavisam citāda. Kopumā lietotājiem nav pat pamata sapratnes par jebkādu datu savākšanu, vēl jo vairāk, ka to dara trešās personas, šādu datu vērtību, to izmantošanu, tehnoloģijas darbību un jo īpaši, kā un kur var atteikties. Darbības, kas veicamas lietotājam, lai atteiktos, šķiet ne tikai sarežģītas, bet arī pārmērīgas (vispirms ir jāiestata pārlūkprogramma, lai saņemtu sīkfailus, un tad jāveic atteikšanās funkcija).

96.

Rezultātā tikai nedaudzi veic atteikšanās funkciju, un ne tādēļ, ka viņi ir pieņēmuši apzinātu lēmumu saņemt uz viņu uzvedību balstītu reklāmu, bet drīzāk tādēļ, ka viņi neapzinās, ka, neizmantojot atteikšanās iespēju, viņi patiesībā piekrīt to saņemt.

97.

Tādējādi, lai gan no juridiskā viedokļa E-privātuma direktīvas 5. panta 3. punkts nodrošina efektīvu tiesisku aizsardzību, faktiski, interneta lietotāji ir pakļauti novērošanai ar nolūku nosūtīt uz viņu uzvedības balstītu reklāmu, kaut arī faktiski daudzos, ja ne lielākajā daļā gadījumu, viņi vispār neapzinās, ka tiek novēroti.

98.

29. panta darba grupa gatavo atzinumu, kura mērķis ir skaidrot juridiskos nosacījumus uz uzvedību balstītas reklāmas veikšanai, kas ir apsveicami. Tomēr situācijas risināšanai ar interpretāciju varētu nepietikt un varētu būt, ka Eiropas Savienībai būs jāveic papildu darbības.

99.

Kā minēts iepriekš, tīmekļa pārlūkprogrammas parasti pieļauj zināmas kontroles iespējas attiecībā uz konkrētiem sīkfailu veidiem. Šobrīd vairākuma tīmekļa pārlūkprogrammu noklusējuma iestatījumi pieļauj visu sīkfailu saņemšanu. Citiem vārdiem, pārlūkprogrammas ir iestatītas tā, lai saņemtu visus sīkfailus neatkarīgi no to mērķiem. Tikai gadījumos, kad lietotāji maina iestatījumus savos pārlūkprogrammu lietojumos, lai noraidītu sīkfailu saņemšanu, viņi tos nesaņems, bet kā minēts iepriekš, tikai retais lietotājs šādu darbību veic. Turklāt, pirmoreiz instalējot vai atjauninot pārlūkprogrammu lietojumus, privātuma vednis nedarbojas.

100.

Šo problēmu varētu risināt, pārlūkprogrammās iestrādājot privātuma noklusējuma iestatījumus. Citiem vārdiem sakot, ja tajās būtu nodrošināts iestatījums “nepieņemt trešo personu sīkfailus”. Lai šo risinājumu papildinātu un padarītu to efektīvāku, pārlūkprogrammām būtu jāpieprasa, lai lietotāji izskatītu privātuma vedni, pirmoreiz instalējot vai atjauninot pārlūkprogrammu. Ir nepieciešams vairāk granularitātes un skaidrākas informācijas par sīkfailu veidiem un dažu noderīgumu. Lietotāji, kas vēlas tikt novēroti ar nolūku saņemt reklāmu, tiks pienācīgi informēti un viņiem vajadzēs mainīt iestatījumus. Tas sniegtu labākas kontroles iespējas pār viņu personas datiem un privātumu. EDAU uzskata, ka tas būt efektīvs veids, kā cienīt un saglabāt lietotāju piekrišanu (44).

101.

No vienas puses, ņemot vērā problēmas plašumu, citiem vārdiem, pašreiz uz iluzoras piekrišanas balstītu novēroto interneta lietotāju skaitu, no otras puses, problēmas svarīgumu, papildu aizsardzības mehānismu nepieciešamība kļūst aktuālāka. PbD principa iestatīšana tīmekļa pārlūkprogrammās varētu sniegt būtisku ieguldījumu, lai sniegtu personām iespēju kontrolēt datu savākšanu, kas tiek veikta reklāmas mērķiem.

102.

Lai sekmētu šos mērķus, EDAU aicina Komisiju apsvērt likumdošanas pasākumus, pieprasot obligātu privātuma noklusējuma iestatījumu iestrādi pārlūkprogrammās un attiecīgās informācijas nodrošināšanu.

103.

Lai gan ar PbD principa ieviešanu ir lielas iespējas uzlabot personu datu un privātuma aizsardzību, papildu principu ieviešana tiesību aktu izstrādē un īstenošanā ir nepieciešama, lai nodrošinātu patērētāju uzticēšanos IKT. Šajā saistībā EDAU norāda uz pārskatāmības principu un obligātā drošības pārkāpumu regulējuma pieņemšanu, kas būt piemērojams visās nozarēs.

104.

29. panta darba grupa dokumentā “Future of Privacy” (45) ir ieteikusi iekļaut pārskatāmības principu Datu aizsardzības direktīvā. Šis vairākos starptautiskos datu aizsardzības instrumentos (46) atzītais princips paredz, ka iestādēm ir jāievieš procesi, lai nodrošinātu atbilstību esošajiem tiesību aktiem, kā arī jāizstrādā metodes, lai novērtētu un parādītu atbilstību tiesību aktiem un citiem saistošiem instrumentiem.

105.

EDAU pilnībā atbalsta 29. panta darba grupas ieteikumu. Tas uzskata, ka šis princips būs ļoti svarīgs, lai veicinātu efektīvu datu aizsardzības principu un pienākumu piemērošanu. Atbilstīgi pārskatāmības principam datu apstrādātājiem būs jāpierāda, ka viņi ir ieviesuši nepieciešamos mehānismus, lai ievērotu attiecīgos datu aizsardzības tiesību aktus. Tas visticamāk sniegs ieguldījumu efektīvā integrētas privātās dzīves aizsardzības kā īpaši piemērota pārskatāmību apliecinoša elementa ieviešanā IKT tehnoloģijās.

106.

Lai izvērtētu un parādītu pārskatāmību, datu apstrādātāji varētu izmantot iekšējās procedūras, savukārt trešās personas, kas veic auditu vai cita veida pārbaudes un verifikāciju, noslēgumā varētu piešķirt apstiprinājumu vai balvas. Šajā kontekstā EDAU aicina Komisiju apsvērt, vai papildus vispārējam pārskatāmības principam būtu noderīgi tiesību aktos noteikt konkrētus pasākumus pārskatāmības nodrošināšanai, piemēram, izstrādāt privātuma un datu aizsardzības ietekmes novērtējumu un nosacījums, ar kādiem tas izstrādājams.

107.

Pagājušā gada grozījumi E-privātuma direktīvā ieviesa prasību paziņot par datu aizsardzības pārkāpumiem cietušajām personām un arī attiecīgajām iestādēm. Datu aizsardzības pārkāpums ir vispārēji definēts kā jebkurš ar pakalpojumu saistīts pārkāpums, kura rezultātā notiek nosūtīto, uzglabāto vai citādi apstrādāto personas datu iznīcināšana, nozaudēšana, izpaušana utt. Personu informēšana tiks pieprasīta, ja ir ticams, ka drošības pārkāpums varētu nelabvēlīgi ietekmēt viņu personas datus vai privātumu. Tas varētu attiekties uz gadījumiem, kad pārkāpums varētu izraisīt identitātes piesavināšanos, nopietnu pazemojumu vai kaitējumu reputācijai. Attiecīgo iestāžu informēšana par jebkuru datu aizsardzības pārkāpumu būs obligāta neatkarīgi no tā, vai tie rada personu apdraudējumu.

108.

Diemžēl šis nosacījums attiecas tikai uz publiski pieejamiem elektronisko sakaru pakalpojumiem, piemēram, tālruņu sakaru uzņēmumiem, interneta piekļuves pakalpojumu sniedzējiem, tīmekļa e-pasta pakalpojumu sniedzējiem utt. EDAU aicina Komisiju iesniegt priekšlikumus par drošības pārkāpumu nosacījumu piemērošanu visās nozarēs. Attiecībā uz šāda regulējuma saturu EDAU uzskata, ka drošības pārkāpumu tiesiskais regulējums, kas iekļauts E-privātuma direktīvā, norāda uz pieņemamu līdzsvaru starp personu tiesību aizsardzību, tostarp tiesību uz personas datu un privātuma neaizskaramību, un nosacījumiem, kas vērsti uz attiecīgām iestādēm. Vienlaikus tas ir regulējums ar “īstiem zobiem”, jo tas ietver jēgpilnus īstenošanas nosacījumus, kas iestādēm sniedz pietiekamas pilnvaras izmeklēt un sodīt nepakļaušanās gadījumā.

109.

Tādējādi EDAU aicina Komisiju pieņemt tiesību akta priekšlikumu, lai šo regulējumu piemērotu visām nozarēm, to pienācīgi pielāgojot, ja nepieciešams. Papildus tiktu nodrošināta standartu un procedūru vienotība visās nozarēs.

110.

Pārskatītā E-privātuma direktīva ļauj Komisijai pieņemt tehniskus īstenošanas pasākumus, t. i., detalizētus pasākumus attiecībā uz datu drošības pārkāpumu paziņošanu, piemērojot komitoloģijas procedūru (47). Šādas pilnvaras ir pamatotas ar nepieciešamību nodrošināt konsekventu drošības pārkāpumu tiesiskā regulējuma īstenošanu un piemērošanu. Konsekventa īstenošana sekmē to, ka personas visā Kopienā saņem vienādi augsta līmeņa aizsardzību un ka attiecīgās iestādes nav apgrūtinātas ar atšķirīgiem paziņošanas nosacījumiem.

111.

E-privātuma direktīvu pieņēma 2009.gada novembrī. Nav redzamu attaisnojošu iemeslu, kādēļ būtu atliekams darbs pie tehnisko īstenošanas pasākumu pieņemšanas. EDAU rīkoja divus seminārus, kuru mērķis bija dalīties ar un apkopot informāciju attiecībā uz paziņošanu par datu aizsardzības pārkāpumiem. EDAU labprāt dalītos ar šādā veidā iegūtajiem rezultātiem un cer sadarboties ar Komisiju un citām ieinteresētajām personām, lai uzlabotu vispārējo datu aizsardzības pārkāpumu tiesisko regulējumu.

112.

EDAU aicina Komisiju veikt nepieciešamās darbības īsā laikā. Pirms tehnisko īstenošanas pasākumu pieņemšanas Komisijai ir jāiesaistās plašā diskusijā, kurā jākonsultējas ar Eiropas Tīklu un informācijas drošības aģentūru, EDAU un 29. panta darba grupu. Turklāt diskusijā ir jāiesaista arī citas “attiecīgās ieinteresētās personas”, jo īpaši, lai informētu par labākajiem iespējamajiem tehniskajiem un ekonomiskajiem īstenošanas līdzekļiem.

113.

Uzticēšanās vai drīzāk tās trūkums ir atzīta par galveno problēmu informācijas un komunikāciju tehnoloģiju radīšanā un veiksmīgā ieviešanā. Ja cilvēki neuzticēsies tehnoloģijām, tās visticamāk netiks attīstītas. Uzticēšanās IKT ir atkarīga no dažādiem faktoriem; galvenais faktors ir nodrošināt, ka šīs tehnoloģijas nesagrauj personu pamattiesības uz privātuma un personas datu neaizskaramību.

114.

Lai turpinātu stiprināt datu/privātuma aizsardzības tiesisko regulējumu, kura principi ir pilnībā attiecināmi arī uz informācijas sabiedrību, EDAU ierosina Komisijai iestrādāt integrētas privātās dzīves aizsardzības principu dažādos tiesību aktu un politikas veidošanas līmeņos.

115.

EDAU iesaka Komisijai īstenot četrus darbības virzienus:

116.

Trijās minētajās IKT nozarēs EDAU iesaka Komisijai izvērtēt nepieciešamību izstrādāt priekšlikumus, lai ieviestu integrētas privātās dzīves aizsardzības principu īpašos/konkrētos veidos:

117.

Visbeidzot EDAU ierosina Komisijai: