18.2.2012   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 48/2

1.

2011. gada 29. augustā Komisija pieņēma priekšlikumu Eiropas Parlamenta un Padomes regulai (“Priekšlikums” vai “ierosinātā regula”) par administratīvo sadarbību, izmantojot Iekšējā tirgus informācijas sistēmu “IMI”) (3). Tajā pat dienā Priekšlikums tika nosūtīts EDAU, lai veiktu apspriešanos.

2.

Pirms Priekšlikuma pieņemšanas EDAU bija iespēja sniegt neoficiālus komentārus par Priekšlikumu un pirms tam par Komisijas paziņojumu “Vienotā tirgus labāka pārvaldība, palielinot administratīvo sadarbību: Iekšējā tirgus informācijas sistēmas (“IMI”) paplašināšanas un attīstības stratēģija” (“IMI stratēģijas paziņojums”) (4), kas tika sagatavots pirms Priekšlikuma. Daudzi no šiem komentāriem Priekšlikumā ir ņemti vērā, un tā rezultātā Priekšlikumā ir pastiprināti datu aizsardzības aizsargmehānismi.

3.

EDAU atzinīgi vērtē to, ka Komisija oficiāli ar viņu apspriedās un ka atsauce uz šo atzinumu ir iekļauta Priekšlikuma preambulā.

4.

IMI ir informācijas tehnoloģijas rīks, kas ļauj dalībvalstu kompetentajām iestādēm veikt savstarpēju informācijas apmaiņu, piemērojot Iekšējā tirgus tiesību aktus. IMI dod iespēju ES dalībvalstu valsts, reģionālajām un vietējām iestādēm ātri un viegli sazināties ar atbilstošajām iestādēm citās Eiropas valstīs. Tas ietver arī attiecīgo personas datu, tostarp sensitīvu datu, apstrādi.

5.

IMI sākotnēji tika veidots kā saziņas rīks sadarbībai starp divām pusēm informācijas apmaiņā saskaņā ar Profesionālo kvalifikāciju direktīvu (5) un Pakalpojumu direktīvu (6). IMI palīdz lietotājiem atrast pareizo iestādi, ar kuru sazināties citā valstī, un sazināties ar to, izmantojot iztulkotus standarta jautājumu un atbilžu komplektus (7).

6.

Tomēr IMI ir paredzēta kā elastīga, horizontāla sistēma, kas var sniegt atbalstu daudzās iekšējā tirgus tiesību aktu jomās. Paredzēts, ka tās lietošana tiks pakāpeniski paplašināta, lai nākotnē nodrošinātu atbalstu vēl citām likumdošanas jomām.

7.

Paredzēts paplašināt arī IMI funkcijas. Papildus divpusējai sadarbībai informācijas apmaiņā ir paredzētas vai jau īstenotas arī citas funkcijas, piemēram, “paziņošanas procedūras, brīdinājuma mehānismi, savstarpējās palīdzības pasākumi un problēmu risināšana” (8), kā arī “informācijas repozitoriji, kurus IMI dalībnieki var izmantot turpmākai atsaucei” (9). Daudzas, taču ne visas no šīm funkcijām var ietvert arī personas datu apstrādi.

8.

Priekšlikuma mērķis ir sniegt IMI skaidru juridisko pamatu un visaptverošu datu aizsardzības regulējumu.

9.

2007. gada pavasarī Komisija lūdza 29. panta datu aizsardzības jautājumu darba grupu (“WP29”) sniegt atzinumu, lai pārskatītu IMI ietekmi uz datu aizsardzību. WP29 izdeva atzinumu 2007. gada 20. septembrī (10). Atzinumā Komisijai bija ieteikts paredzēt skaidrāku juridisko pamatu un īpašus datu aizsardzības aizsargmehānismus datu apmaiņai IMI. EDAU aktīvi piedalījās IMI jautājumu apakšgrupas darbā un atbalstīja WP29 atzinuma secinājumus.

10.

Pēc tam EDAU turpināja sniegt papildu norādes Komisijai, kā pakāpeniski nodrošināt visaptverošāko IMI datu aizsardzības regulējumu (11). Šīs sadarbības ietvaros un kopš 2008. gada 22. februāra atzinuma par IMI īstenošanu (12) izdošanas EDAU pastāvīgi aizstāvējis jauna juridiska instrumenta nepieciešamību parastās likumdošanas procedūras ietvaros, lai izveidotu visaptverošāko IMI datu aizsardzības regulējumu un nodrošinātu juridisko noteiktību. Priekšlikums šādam juridiskam instrumentam nav ierosināts (13).

11.

EDAU vispārīgais viedoklis par IMI ir pozitīvs. EDAU atbalsta Komisijas mērķus, izveidojot elektronisku sistēmu informācijas apmaiņai un regulējot tās datu aizsardzības aspektus. Šāda saskaņota sistēma ne tikai paaugstinās sadarbības efektivitāti, bet tā var arī palīdzēt nodrošināt konsekventu atbilstību piemērojamajiem datu aizsardzības tiesību aktiem. To var panākt, sniedzot skaidru regulējumu, kādas informācijas apmaiņu var veikt, ar ko un ar kādiem nosacījumiem.

12.

EDAU arī atzinīgi vērtē to, ka Komisija ierosina horizontālu juridisko instrumentu attiecībā uz IMI Padomes un Parlamenta regulas formā. Viņš ir gandarīts, ka Priekšlikumā visaptveroši apskatīti svarīgākie datu aizsardzības jautājumi, kas attiecas uz IMI. Viņa komentāri lasāmi, ņemot vērā šo pozitīvo fonu.

13.

Tomēr EDAU brīdina, ka vienas centralizētas elektroniskas sistēmas izveidošana daudzām administratīvās sadarbības jomām rada arī risku. Svarīgākie no šiem riska veidiem ir lielāka datu apjoma kopīga un plašāka izmantošana nekā nepieciešams efektīvas sadarbības nolūkā, kā arī tas, ka šie dati, tostarp potenciāli novecojuši un neprecīzi dati, var saglabāties elektroniskajā sistēmā ilgāk nekā nepieciešams. Arī informācijas sistēmas, kas pieejama 27 dalībvalstīs, drošība ir sensitīvs jautājums, jo visa sistēma būs tikai tik droša, cik to nodrošinās vājākais ķēdes posms.

14.

Attiecībā uz IMI juridisko regulējumu, kas jāizveido ar ierosināto regulu, EDAU vērš uzmanību uz diviem galvenajiem izaicinājumiem:

15.

Šie galvenie izaicinājumi kalpo kā svarīgi atsauces punkti un lielā mērā nosaka EDAU pieeju šajā atzinumā.

16.

Pirmkārt, IMI ir sistēma, ko izmanto 27 dalībvalstīs. Pašreizējā Eiropas tiesību aktu harmonizācijas stadijā pastāv ievērojamas atšķirības starp valstu administratīvajiem procesiem, kā arī valstu datu aizsardzības tiesību aktiem. IMI ir jāveido tā, lai lietotāji katrā no šīm 27 dalībvalstīm varētu ievērot savus valstu tiesību aktus, tostarp valstu datu aizsardzības tiesību aktus, veicot apmaiņu ar personas datiem IMI. Tajā pat laikā datu subjektiem ir jābūt pārliecībai, ka viņu dati tika konsekventi aizsargāti neatkarīgi no tā, ka dati, izmantojot IMI, tiek nosūtīti uz citu dalībvalsti. Konsekvence, tajā pat laikā ievērojot dažādību, ir galvenais izaicinājums, lai izveidotu gan tehnisku, gan likumīgu IMI infrastruktūru. Jāizvairās no nevajadzīgas sarežģītības un sadrumstalotības. Datu apstrādes operācijām IMI jābūt caurskatāmām, jābūt skaidram atbildības par lēmumu pieņemšanu attiecībā uz sistēmas uzbūvi, tās pastāvīgu uzturēšanu un lietošanu un arī tās uzraudzību sadalījumam.

17.

Otrkārt, atšķirībā no citām liela apjoma IT sistēmām, piemēram, Šengenas Informācijas sistēma, Vīzu informācijas sistēma, Muitas informācijas sistēma vai Eurodac, kurās uzsvars ir uz sadarbību specifiskās, skaidri noteiktās jomās, IMI ir horizontāls rīks informācijas apmaiņai, un to var izmantot, lai atvieglotu informācijas apmaiņu daudzās dažādās politikas jomās. Ir arī paredzēts, ka IMI tvērums pakāpeniski paplašināsies, aptverot citas politikas jomas, un var mainīties arī tās funkcijas, lai iekļautu citus pagaidām nekonkretizētus administratīvās sadarbības veidus. Šīs IMI raksturīgās pazīmes apgrūtina skaidru sistēmas funkciju un datu apmaiņas, kas var notikt sistēmā, noteikšanu. Tāpēc ir arī grūtāk skaidri noteikt piemērotus datu aizsardzības aizsargmehānismus.

18.

EDAU atzīst, ka pastāv nepieciešamība nodrošināt elastību, un ņem vērā Komisijas vēlēšanos veidot regulu, kas “būtu piemērojama nākotnē” regulu. Taču tam nevajadzētu novest pie skaidrības vai juridiskās noteiktības trūkuma attiecībā uz sistēmas funkcijām un īstenojamajiem datu aizsardzības aizsargmehānismiem. Šī iemesla dēļ, kur vien tas iespējams, Priekšlikumam būtu jābūt specifiskākam un nevajadzētu aprobežoties tikai ar galveno Direktīvā 95/46/EK un Regulā (EK) Nr. 45/2001 noteikto datu aizsardzības principu atkārtošanu (14).

19.

EDAU atzinīgi vērtē, ka Priekšlikumā skaidri definēts IMI pašreizējais tvērums un I pielikumā uzskaitīti attiecīgie Savienības akti, balstoties uz kuriem var veikt informācijas apmaiņu. Tas ietver sadarbību saskaņā ar Profesionālo kvalifikāciju direktīvas, Pakalpojumu direktīvas un Direktīvas par pacientu tiesību piemērošanu pārrobežu veselības aprūpē specifiskiem noteikumiem (15).

20.

Tā kā ir paredzama IMI tvēruma paplašināšanās, potenciālie paplašināšanās mērķi ir uzskaitīti II pielikumā. Pozīcijas no II pielikuma var pārcelt uz I pielikumu, saskaņā ar deleģēto aktu, kas jāpieņem Komisijai pēc ietekmes novērtējuma (16).

21.

EDAU atzinīgi novērtē šo rīcības veidu, jo tas i) skaidri norobežo IMI tvērumu un ii) nodrošina caurskatāmību, vienlaicīgi iii) pieļaujot elastību gadījumos, kad IMI izmantos papildu informācijas apmaiņai nākotnē. Tas arī nodrošina, ka, izmantojot IMI, nevar veikt informācijas apmaiņu bez i) atbilstoša juridiskā pamata īpašā iekšējā tirgus tiesību aktā, kas atļauj vai pilnvaro informācijas apmaiņu (17), un ii) atsauces uz šo juridisko pamatu regulas I pielikumā.

22.

Ņemot vērā iepriekš norādīto, vēl joprojām pastāv neskaidrības attiecībā uz IMI tvērumu, politikas jomām, kur varētu notikt IMI paplašināšana un attiecībā uz funkcijām, kas ir vai var tikt iekļautas IMI.

23.

Pirmkārt, nevar izslēgt, ka IMI tvērums var paplašināties ārpus tām politikas jomām, kas uzskaitītas I un II pielikumā. Tas var notikt, ja IMI lietošanu paredz noteikta veida informācijas apmaiņai nevis Komisijas deleģētajā aktā, bet aktā, ko pieņem Parlaments un Padome tādā gadījumā, kad šāda apmaiņa nav paredzēta II pielikumā (18).

24.

Otrkārt, lai gan tvēruma paplašināšana, iekļaujot citas politikas jomas, dažos gadījumos var prasīt nelielas izmaiņas esošajās sistēmas funkcijās, vai tās var nebūt nepieciešamas vispār (19), citiem paplašinājumiem var būt nepieciešamas jaunas un atšķirīgas funkcijas vai būtiskas esošo funkciju izmaiņas.

25.

Šo nenoteiktību risināšanai EDAU iesaka divvirzienu pieeju. Viņš ierosina, pirmkārt, paskaidrot un specifiskāk risināt tās funkcijas, kas jau ir paredzamas, un otrkārt, piemērot atbilstošus procesuālus aizsargmehānismus, lai nodrošinātu, ka datu aizsardzība tiek rūpīgi apsvērta IMI pilnveidošanā nākotnē.

26.

EDAU iesaka regulā konkretizēt funkcijas, ja tās jau ir zināmas, piemēram, informācijas apmaiņa, kas norādīta I un II pielikumā.

27.

Piemēram, varētu paredzēt konkrētākus un skaidrākus pasākumus SOLVIT  (22) (noteikumi par “ārējiem dalībniekiem” un “problēmu risināšanu”) integrēšanai IMI un profesionāļu un pakalpojumu sniedzēju direktorijām (noteikumi par “repozitorijiem”).

28.

Papildu paskaidrojumi būtu jāsniedz arī attiecībā uz “brīdinājumiem”, kurus jau izmanto saskaņā ar Pakalpojumu direktīvu un var ieviest attiecībā uz papildu politikas jomām. Konkrēti, “brīdinājumu” kā funkciju vajadzētu skaidrāk definēt 5. pantā (kopā ar citām funkcijām, piemēram, divpusēja sadarbība informācijas apmaiņā un repozitoriji). Jāpaskaidro arī piekļuves tiesības un uzglabāšanas periodi attiecībā uz brīdinājumiem (23).

29.

Ja nolūks ir panākt, lai regula “būtu piemērojama m nākotnē” attiecībā uz papildu funkcijām, kas varētu būt nepieciešamas ilgtermiņā, un tādējādi atļaut papildu funkcijas, kas regulā vēl nav noteiktas, būtu nepieciešami atbilstoši procesuāli aizsargmehānismi, lai nodrošinātu, ka tiek noteikti atbilstoši nosacījumi nepieciešamo datu aizsardzības aizsargmehānismu īstenošanai pirms jaunu funkciju ieviešanas. Tādiem pašiem nosacījumiem būtu jāattiecas uz sistēmas paplašināšanos citās politikas jomās, kur tas ietekmē datu aizsardzību.

30.

EDAU iesaka skaidru mehānismu, kas nodrošina, ka pirms katras funkciju paplašināšanas vai paplašināšanās jaunās politikas jomās tiek rūpīgi izvērtēti datu aizsardzības jautājumi un nepieciešamības gadījumā IMI arhitektūrā tiek īstenoti papildu aizsargmehānismi vai tehniskie pasākumi. Konkrēti:

31.

Šie procesuālie aizsargmehānismi (datu aizsardzības ietekmes novērtējums un apspriešanās) būtu jāattiecina uz paplašināšanos gan ar Komisijas deleģēto aktu (pozīcijas pārcelšana no II pielikuma uz I pielikumu), gan ar Parlamenta un Padomes regulu, iekļaujot pozīciju, kas nav bijusi paredzēta II pielikumā.

32.

Visbeidzot, EDAU iesaka regulā paskaidrot, vai deleģēto aktu, kurus Komisijas būs pilnvarota pieņemt atbilstīgi 23. pantam, tvērums ietvers kādus citus jautājumus, izņemot pozīciju pārcelšanu no II pielikuma uz I pielikumu. Ja iespējams, regulā būtu jāpiešķir pilnvaras Komisijai pieņemt īpašus īstenošanas vai deleģētos aktus, lai turpmāk noteiktu visas sistēmas papildu funkcijas vai risinātu datu aizsardzības jautājumus, kas varētu rasties nākotnē.

33.

EDAU atzinīgi vērtē to, ka vesela nodaļa (II nodaļa) ir veltīta dažādu IMI iesaistīto dalībnieku funkciju un atbildības skaidrošanai. Noteikumus varētu papildināt šādi:

34.

9. pantā aprakstīta atbildība, kas izriet no Komisijas kā kontrolētāja lomas. EDAU iesaka iekļaut papildu noteikumu, atsaucoties uz Komisijas lomu, lai nodrošinātu, ka sistēma tiek veidota, piemērojot “integrēta privātuma” principus, kā arī tās koordinējošo lomu attiecībā uz datu aizsardzības jautājumiem.

35.

EDAU ir gandarīts, ka 7. pantā uzskaitītie IMI koordinatoru pienākumi tagad konkrēti ietver koordinēšanas uzdevumus saistībā ar datu aizsardzību, tostarp darbību kā Komisijas kontaktpersonai. Viņš iesaka arī paskaidrot, ka šie koordinēšanas uzdevumi ietver arī kontaktus ar valstu datu aizsardzības iestādēm.

36.

10. pantā paredzēti aizsargmehānismi attiecībā uz piekļuves tiesībām. EDAU atzinīgi vērtē to, ka, ievērojot viņa komentārus, šie noteikumi būtiski pastiprināti.

37.

Ņemot vērā IMI horizontālo raksturu un paplašināšanās iespējas, ir svarīgi nodrošināt, lai sistēma garantētu “Ķīnas mūra” piemērošanu, ierobežojot informāciju, kas apstrādāta vienā politikas jomā, tikai ar šo politikas jomu. IMI lietotājiem vajadzētu i) piekļūt tikai tai informācijai, kura tiem nepieciešama, un ii) informācijai tikai vienā politikas jomā.

38.

Ja nav iespējams novērst situāciju, ka IMI lietotājam ir tiesības piekļūt informācijai attiecībā uz vairākām politikas jomām (tas tā varētu būt, piemēram, dažās pašvaldību iestādēs), sistēmai vismaz nevajadzētu atļaut apvienot informāciju no dažādām politikas jomām. Ja nepieciešams, izņēmumus varētu noteikt īstenošanas tiesību aktos vai Savienības tiesību aktā, stingri ievērojot nolūka ierobežojuma principu.

39.

Šie principi tagad galvenajos vilcienos aprakstīti regulas tekstā, taču tos varētu pastiprināt un precizēt.

40.

Attiecībā uz Komisijas piekļuves tiesībām EDAU atzinīgi vērtē to, ka Priekšlikuma 9. panta 2. un 4. punktā un 10. panta 6. punktā, kopumā ņemot, noteikts, ka Komisijai nav piekļuves personas datiem, ar kuriem apmaiņa veikta dalībvalstu starpā, izņemot gadījumos, kad Komisija ir nozīmēta kā administratīvās sadarbības procedūras dalībnieks.

41.

Būtu vēl vairāk jākonkretizē arī ārējo dalībnieku piekļuves tiesības un piekļuves tiesības brīdinājumiem (24). Attiecībā uz brīdinājumiem EDAU iesaka noteikt regulā, ka brīdinājumi nav nosūtāmi pēc noklusējuma visām attiecīgajām kompetentajām iestādēm visās dalībvalstīs, bet tikai tām, kas ir iesaistītas un kurām jābūt informētām par tiem. Tas neizslēdz brīdinājumu nosūtīšanu visām dalībvalstīm konkrētos gadījumos vai konkrētās politikas jomās, ja tie attiecas uz visām. Līdzīgi, nepieciešams veikt katras situācijas analīzi, lai izlemtu, vai Komisijai būtu jābūt piekļuvei brīdinājumiem.

42.

Priekšlikuma 13. pantā pagarināts datu uzglabāšanas IMI ilgums no pašreizējiem sešiem mēnešiem (skaitot no lietas slēgšanas) līdz pieciem gadiem, “bloķējot” datus pēc 18 mēnešiem. “Bloķēšanas” perioda laikā dati ir pieejami tikai, ievērojot īpašu izguves procedūru, kuru var ierosināt tikai pēc datu subjekta pieprasījuma vai gadījumā, kad dati ir nepieciešami, “lai iegūtu pierādījumu par informācijas apmaiņu, izmantojot IMI”.

43.

Tādējādi dati faktiski tiek uzglabāti IMI trīs noteiktus laikposmus:

44.

Papildus šiem vispārīgiem noteikumiem 13. panta 2. punktā atļauts saglabāt datus “informācijas repozitorijā” tik ilgi, cik tas šādam mērķim nepieciešams, ar datu subjekta piekrišanu vai gadījumos, kad “tas ir nepieciešams, lai izpildītu Savienības akta prasības”. Turklāt 14. pantā paredzēts līdzīgs bloķēšanas mehānisms IMI lietotāju personas datu uzglabāšanai piecus gadus, skaitot no dienas, kad viņi vairs nav IMI lietotāji.

45.

Citu īpašu nosacījumu nav. Tāpēc jādomā, ka vispārīgie noteikumi attieksies ne tikai uz divpusēju sadarbību informācijas apmaiņā, bet arī uz brīdinājumiem, problēmu risinājumiem (kā tas ir SOLVIT  (26)) un uz visām pārējām funkcijām, tostarp personas datu apstrādi.

46.

EDAU ir vairākas bažas attiecībā uz uzglabāšanas periodiem, ņemot vērā Direktīvas 95/46/EK 6. panta 1. punkta e) apakšpunktu un Regulas (EK) Nr. 45/2001 4. panta 1. punkta e) apakšpunktu; tajos ietverta prasība uzglabāt personas datus tikai tik ilgi, cik tas ir nepieciešams nolūkam, kādam dati tika apkopoti vai tiek vēlāk apstrādāti.

47.

Attiecībā uz pirmo laikposmu no informācijas augšupielādes līdz lietas slēgšanai EDAU ir bažas par risku, ka dažas lietas var nekad netikt slēgtas, vai tikt slēgtas tikai pēc neproporcionāli ilga laikposma. Tā rezultātā atsevišķi personas dati var saglabāties datu bāzē ilgāk nekā nepieciešams vai pat bezgalīgi.

48.

EDAU saprot, ka Komisija ir panākusi virzību praktiskā līmenī, lai samazinātu lietu uzkrāšanos IMI, un ir ieviesta divpusējas sadarbības sistēma datu apmaiņai, lai uzraudzītu savlaicīgu lietu slēgšanu un periodiski atgādinātu tiem, kas termiņus neievēro. Papildus tam, jauna izmaiņa sistēmas funkcijās, ievērojot “integrēta privātuma” pieeju, atļauj, nospiežot vienu taustiņu, pieņemt atbildi un vienlaicīgi slēgt lietu. Iepriekš tam bija nepieciešamas divas atsevišķas darbības, un tas varētu būt radījis dažas no pasīvajām lietām, kas palikušas sistēmā.

49.

EDAU atzinīgi vērtē šos praktiskā līmenī īstenotos centienus. Taču viņš iesaka pašā regulas tekstā paredzēt garantijas, ka lietas IMI tiek savlaicīgi slēgtas un ka pasīvās lietas (lietas, kurās nenotiek aktivitātes) tiek dzēstas no datu bāzes.

50.

EDAU aicina vēlreiz apsvērt, vai ir atbilstošs pamatojums pašreizējā sešu mēnešu termiņa pagarināšanai līdz 18 mēnešiem pēc lietas slēgšanas, un, ja tā ir, vai šis pamatojums attiecas tikai uz divpusēju sadarbību informācijas apmaiņā, vai arī uz citiem funkciju veidiem. IMI ir pastāvējusi jau vairākus gadus, un būtu jāizmanto šajā ziņā gūtā praktiskā pieredze.

51.

Ja IMI saglabājas kā rīks informācijas apmaiņai (pretstatā datņu apstrādes sistēmai, datu bāzei vai arhivēšanas sistēmai), un vēl ar nosacījumu, ka kompetentajām iestādēm tiek nodrošināti līdzekļi, lai izgūtu no sistēmas informāciju, ko tās saņēmušas (elektroniski vai papīra formātā, taču jebkurā gadījumā tādā veidā, ka tās var izmantot izgūto informāciju kā pierādījumu (27)), šķiet, ka nepieciešamība vispār saglabāt datus IMI pēc lietas slēgšanas ir ļoti niecīga.

52.

Divpusējas sadarbības informācijas apmaiņā potenciāla nepieciešamība uzdot papildu jautājumus pat pēc atbildes saņemšanas un līdz ar to pēc lietas slēgšanas varētu, iespējams, pamatot (saprātīgi īsu) (datu) saglabāšanas termiņu pēc lietas slēgšanas. Pašreizējais sešu mēnešu termiņš šķiet pietiekams šim nolūkam.

53.

EDAU uzskata, ka Komisija arī nav sniegusi pietiekamu pamatojumu “bloķēto” datu uzglabāšanas līdz pieciem gadiem ilgā termiņā nepieciešamībai un proporcionalitātei.

54.

Paskaidrojuma raksta 8. lapā ir atsauce uz Tiesas nolēmumu Rijkeboer lietā (28). EDAU iesaka Komisijai pārskatīt šīs lietas ietekmi uz datu uzglabāšanu IMI. Viņš uzskata, ka Rijkeboer lieta nenosaka prasību konfigurēt IMI tā, lai saglabātu datus piecus gadus pēc lietas slēgšanas.

55.

EDAU neuzskata atsauci uz nolēmumu Rijkeboer lietā vai uz datu subjektu tiesībām piekļūt saviem datiem par pietiekamu un piemērotu pamatojumu datu uzglabāšanai IMI piecus gadus pēc lietas slēgšanas. Tikai “žurnalēšanas datu” (stingri definētu, lai izslēgtu jebkādu saturu, cita starpā, jebkādus pielikumus vai sensitīvus datus) uzglabāšana varētu būs neitrālāka iespēja, ko būtu vērts vēl apsvērt. Taču šajā brīdī EDAU nav pārliecināts, ka pat tas būtu vai nu nepieciešams, vai proporcionāls.

56.

Turklāt skaidrības trūkums par to, kas var piekļūt “bloķētajiem datiem” un kādam nolūkam, arī ir problemātisks. Tikai atsauce uz izmantošanu, “lai iegūtu pierādījumu par informācijas apmaiņu” (kā tas ir 13. panta 3. punktā), nav pietiekama. Ja tiek saglabāts noteikums par “bloķēšanu”, jebkurā gadījumā būtu jāprecizē, kas var pieprasīt pierādījumu par informācijas apmaiņu un kādā kontekstā. Papildus datu subjektam, vai arī citiem būtu tiesības pieprasīt piekļuvi? Ja tā, vai tās būtu tikai kompetentās iestādes, un vai tikai, lai pierādītu, ka konkrētā informācijas apmaiņa ar konkrēto saturu ir notikusi (gadījumā, ja šādu apmaiņu apstrīd kompetentās iestādes, kas nosūtīja vai saņēma ziņu)? Vai ir paredzēti citi lietošanas veidi, “lai iegūtu pierādījumu par informācijas apmaiņu” (29)?

57.

EDAU iesaka skaidrāk nodalīt brīdinājumus un informācijas repozitorijus. Viens ir izmantot brīdinājumu kā saziņas rīku, lai brīdinātu kompetentās iestādes par konkrētu pārkāpumu vai aizdomām, un pavisam cits – saglabāt šo brīdinājumu datu bāzē ilgāku vai pat nenoteiktu laikposmu. Brīdinājuma informācijas uzglabāšana izraisītu vēl papildu bažas, un tai būtu nepieciešami īpaši noteikumi un papildu datu aizsardzības aizsargmehānismi.

58.

Tāpēc EDAU iesaka regulā kā noklusējuma noteikumu noteikt, ka i) ja vertikālajos tiesību aktos nav noteikts citādi, un ievērojot piemērotus papildu aizsargmehānismus, uz brīdinājumiem tiek attiecināts sešu mēnešu uzglabāšanas termiņš, un jāievēro, ka ii) šis termiņš sākas no brīdinājuma nosūtīšanas brīža.

59.

Kā alternatīvu iespēju EDAU iesaka ierosinātajā regulā konkrēti noteikt sīki izstrādātus aizsargmehānismus attiecībā uz brīdinājumiem. EDAU ir gatavs palīdzēt Komisijai un likumdevējiem ar papildu ieteikumiem šajā ziņā, ja tiek izvēlēta otrā pieeja.

60.

EDAU atzinīgi vērtē personas datu, kas minēti Direktīvas 95/46/EK 8. panta 1. punktā, no vienas puses, un personas datu, kas minēti 8. panta 5. punktā, no otras puses, nodalīšanu. Viņš arī atzinīgi vērtē, ka regulā ir skaidri noteikts, ka īpašu kategoriju datu apstrāde var notikt tikai, pamatojoties uz īpašiem Direktīvas 95/46/EK 8. pantā minētiem noteikumiem.

61.

Šajā sakarā EDAU saprot, ka IMI tiks apstrādāts ievērojams daudzums sensitīvu datu, uz kuriem attiecas Direktīvas 95/46/EK 8. panta 2. punkts. Patiešām, no pašiem pirmsākumiem, kad IMI tika ieviesta, lai atbalstītu administratīvo sadarbību saskaņā ar Pakalpojumu un Profesionālo kvalifikāciju direktīvām, tā bija paredzēta šādu datu apstrādei, jo īpaši datu, kas attiecas uz kriminālu un administratīvu pārkāpumu reģistriem, kas varētu ietekmēt profesionāļa vai pakalpojumu sniedzēja tiesības veikt darbības/sniegt pakalpojumus citā dalībvalstī.

62.

Turklāt ievērojams daudzums sensitīvu datu saskaņā ar 8. panta 1. punktu (galvenokārt ar veselību saistītie dati) arī, iespējams, tiks apstrādāts IMI pēc tam, kad IMI paplašinās, lai iekļautu SOLVIT moduli (30). Visbeidzot, nevar izslēgt, ka nākotnē, izmantojot IMI, atsevišķos gadījumos vai sistemātiski varētu tikt apkopoti citi slepeni dati.

63.

EDAU ir gandarīts, ka 16. pantā ir īpaša atsauce uz Komisijas pienākumu ievērot iekšējos noteikumus, kas pieņemti, lai izpildītu Regulas (EK) Nr. 45/2001 22. panta prasības, un pieņemt un atjaunināt IMI drošības plānu.

64.

Lai nostiprinātu šos noteikumus, EDAU iesaka noteikt regulā prasību veikt riska novērtējumu un pārskatīt drošības plānu pirms katras IMI paplašināšanas, iekļaujot jaunu politikas jomu, vai pirms jaunas funkcijas, kas ietekmē personas datus, iekļaušanas (31).

65.

Turklāt EDAU atzīmē, ka 16. pantā un 16. apsvērumā ir atsauce tikai uz Komisijas pienākumiem un EDAU uzraudzības lomu. Šī atsauce var būt maldinoša. Lai gan ir taisnība, ka Komisija ir sistēmas operators, un tādējādi ir atbildīga par lielāko daļu drošības uzturēšanas IMI, pienākumi ir arī kompetentajām iestādēm, un to uzraudzību, savukārt, veic valstu datu aizsardzības iestādes. Tāpēc 16. pantā un 16. apsvērumā būtu jāiekļauj atsauce arī uz drošības pienākumiem, kas attiecināmi uz pārējiem IMI dalībniekiem saskaņā ar Direktīvu 95/46/EK, un valsts datu aizsardzības iestāžu uzraudzības pilnvarām.

66.

Attiecībā uz 17. panta 1. punktu EDAU iesaka iekļaut regulā konkrētākus noteikumus, lai nodrošinātu, ka datu subjekti ir pilnībā informēti par viņu datu apstrādi IMI. Ņemot vērā, ka IMI izmanto daudzas kompetentās iestādes, tostarp daudzas nelielas pašvaldību iestādes bez pietiekamiem resursiem, noteikti tiek ieteikts paziņošanas noteikumu koordinēt valsts līmenī.

67.

17. panta 2. punkta a) apakšpunktā ir prasība Komisijai sniegt paziņojumu par privātumu attiecībā uz tās veiktajām datu apstrādes darbībām saskaņā ar Regulas (EK) Nr. 45/2001 10. un 11. pantu. Turklāt 17. panta 2. punkta b) apakšpunktā ir prasība Komisijai sniegt arī informāciju par “administratīvās sadarbības procedūru datu aizsardzības aspektiem IMI, kā minēts 12. pantā”. Visbeidzot, 17. panta 2. punkta c) apakšpunktā ir prasība Komisijai sniegt informāciju par “datu subjektu tiesību izņēmumiem vai ierobežojumiem, kā minēts 19. pantā”.

68.

EDAU ir gandarīts par šiem noteikumiem, kas palīdz veicināt datu apstrādes operāciju IMI pārredzamību. Kā norādīts 2. iedaļas 1. punktā, IT sistēmas, ko izmanto 27 dažādās dalībvalstīs, gadījumā ir kritiski svarīgi nodrošināt konsekvenci attiecībā uz sistēmas darbību, piemērotajiem datu aizsardzības aizsargmehānismiem un informāciju, kas tiek sniegta datu subjektiem (32).

69.

Ņemot vērā iepriekš norādīto, 17. panta 2. punkta noteikumus vajadzētu pastiprināt. Komisija kā sistēmas operators atrodas visizdevīgākajā situācijā, lai uzņemtos proaktīvu lomu, sniedzot datu aizsardzības paziņojuma pirmo “kārtu” un citu attiecīgu informāciju datu subjektiem savā daudzvalodīgajā tīmekļa vietnē arī kompetento iestāžu “vārdā”, t. i. aptverot informāciju, kas tiek prasīta saskaņā ar Direktīvas 95/46/EK 10. un 11. pantu. Tādā gadījumā bieži vien pietiktu ar to, ka paziņojumos, ko sniedz dalībvalstu kompetentās iestādes, būtu atsauce uz Komisijas sniegto paziņojumu, papildinot to tikai tiktāl, lai atbilstu iespējamajām īpašas papildu informācijas prasībām, kas konkrēti noteiktas valsts tiesību aktos.

70.

Turklāt 17. panta 2. punkta b) apakšpunktā būtu jāpaskaidro, ka Komisijas sniegtā informācija visaptveroši aptvers visas politikas jomas, visus administratīvās sadarbības procedūru veidus un visas IMI funkcijas, kā arī konkrētās datu kategorijas, kuru apstrāde ir atļauta. Tajā būtu jāiekļauj arī jautājumu komplekti, ko praksē jau izmanto divpusējā sadarbībā IMI tīmekļa vietnē,.

71.

Kā jau atzīmēts 2. iedaļas 1. punktā, EDAU vēlreiz atgādina, ka ir kritiski svarīgi nodrošināt konsekvenci attiecībā uz sistēmas darbību un piemērotajiem datu aizsardzības aizsargmehānismiem. Šī iemesla dēļ EDAU vēlētos konkretizēt noteikumus par piekļuves, koriģēšanas un dzēšanas tiesībām.

72.

18. pantā jākonkretizē, kam jāiesniedz datu subjektu piekļuves pieprasījums. Tam jābūt skaidram attiecībā uz piekļuvi datiem dažādos laikposmos:

73.

Regulā būtu jābūt prasībai kompetentajām iestādēm sadarboties attiecībā uz piekļuves pieprasījumiem atbilstoši nepieciešamībai. Koriģēšana un dzēšana jāveic, “iespējami drīz, bet vēlākais 60 dienu laikā” nevis “60 dienu laikā”. Jāpiemin arī iespēja izveidot datu aizsardzības moduli un “integrēta privātuma” risinājuma iespēja starpiestāžu sadarbībai attiecībā uz piekļuves tiesībām, kā arī uz “datu subjektu pilnvarošanu”, piemēram, sniedzot viņiem tiešu piekļuvi saviem datiem, kad tas ir nepieciešams un iespējams.

74.

Pēdējo gadu laikā ir izstrādāts “koordinētas uzraudzības” modelis. Šis uzraudzības modelis, kas tagad darbojas Eurodac un Muitas informācijas sistēmas atsevišķās daļās, ir pieņemts arī Vīzu informācijas sistēmai (VIS) un otrās paaudzes Šengenas Informācijas sistēmai (SIS-II).

75.

Šim modelim ir trīs slāņi:

76.

Šis modelis ir sekmīgi attaisnojies, un nākotnē to vajadzētu paredzēt citām informācijas sistēmām.

77.

EDAU atzinīgi vērtē to, ka Priekšlikuma 20. pantā īpaši paredzēta koordinēta uzraudzība valsts datu aizsardzības iestāžu un EDAU starpā, plašākā izpratnē sekojot modelim, kas izveidots VIS un SIS II regulās (33).

78.

EDAU pastiprinātu noteikumus par koordinētu uzraudzību noteiktos to punktos un šajā nolūkā atbalstītu līdzīgus noteikumus tiem, kas noteikti, piemēram, Vīzu informācijas sistēmas (VIS regulas 41.–43. pants), Šengenas II (SIS II regulas 44.–46. pants) kontekstā un paredzēti Eurodac  (34). Īpaši noderīgi būtu, ja regulā:

79.

Ņemot vērā iepriekš norādīto, EDAU apzinās IMI pašreizējo nelielo izmēru, apstrādāto datu dažādo raksturu, kā arī atrašanos attīstības stadijā. Tāpēc viņš atzīst, ka attiecībā uz sanāksmju un auditu biežumu varētu būt ieteicama lielāka elastība. Īsumā, EDAU iesaka regulā noteikt nepieciešamos minimālos noteikumus, lai nodrošinātu efektīvu sadarbību, taču neizveidot nevajadzīgus administratīvos slogus.

80.

Priekšlikuma 20. panta 3. punktā nav prasības organizēt regulāras sanāksmes, bet tikai noteikts, ka EDAU var “uzaicināt valstu uzraudzības iestādes tikties …, kad tas nepieciešams”. EDAU atzinīgi vērtē to, ka šie nosacījumi atstāj iesaistīto personu ziņā lēmumu par sanāksmju biežumu un praktiskajiem aspektiem, kā arī citiem procedūras jautājumiem attiecībā uz to sadarbību. Par to var vienoties reglamentos, kas Priekšlikumā jau minēti.

81.

Attiecībā uz regulāriem auditiem arī būtu efektīvāk, ja to iestāžu, kas sadarbojas, ziņā atstātu iespēju savos reglamentos noteikt, kad un cik bieži šādi auditi jāorganizē. Tas var būt atkarīgs no daudziem faktoriem un var arī mainīties laika gaitā. Tāpēc EDAU atbalsta Komisijas pieeju, kas pieļauj lielāku elastību arī šajā ziņā.

82.

EDAU atzinīgi vērtē to, ka Priekšlikumā sniegts skaidrs juridiskais pamats IMI izmantošanai valsts mērogā un ka uz šādu izmantošanu attiecas vairāki nosacījumi, tostarp tas, ka jākonsultējas ar valstu datu aizsardzības iestādi un izmantošanai jābūt atbilstīgai valsts tiesību aktiem.

83.

EDAU atzinīgi vērtē prasības, kas noteiktas 22. panta 1. punktā attiecībā uz informācijas apmaiņu, kā arī to, ka 22. panta 3. punktā nodrošināta paplašināšanās pārskatāmība, izmantojot atjaunināta trešo valstu, kas izmanto IMI, saraksta publicēšanu Oficiālajā Vēstnesī (22. panta 3. punkts).

84.

EDAU arī iesaka Komisijai sašaurināt atsauci uz atkāpēm atbilstīgi Direktīvas 95/46/EK 26. pantam, iekļaujot tikai 26. panta 2. punktu. Citiem vārdiem: kompetentajām iestādēm vai citiem ārējiem dalībniekiem trešā valstī, kas nenodrošina atbilstošu aizsardzību, nebūtu jābūt tiešai piekļuvei IMI, ja vien nepastāv atbilstoši līguma punkti. Šie punkti jāapspriež ES līmenī.

85.

EDAU uzsver, ka datu pārsūtīšanas trešām valstīm, kas izmanto tiešu piekļuvi IMI, pamatošanai nevajadzētu izmantot citas atkāpes, piemēram, “datu pārsūtīšana vajadzīga vai ir likumīgi prasīta, pamatojoties uz svarīgām sabiedrības interesēm, vai juridisku prasību pamatojumam, realizācijai vai aizstāvībai” (38).

86.

Atbilstīgi paredzamajai pasākumu pastiprināšanai, lai nodrošinātu lielāku atbildību ES datu aizsardzības regulējuma pārskatīšanas laikā (39), EDAU iesaka regulā noteikt skaidrāku regulējumu attiecībā uz iekšējiem kontroles mehānismiem, kas nodrošina atbilstību datu aizsardzības prasībām un sniedz attiecīgus pierādījumus, ietverot vismaz turpmāk norādītos elementus.

87.

Šajā kontekstā EDAU atzinīgi vērtē prasību regulas 26. panta 2. punktā, ka Komisijai reizi trīs gados jāziņo EDAU par aspektiem, kas saistīti ar datu aizsardzību, tostarp drošību. Būtu ieteicams, ja regulā tiktu paskaidrots, ka EDAU, savukārt, jāsniedz Komisijas ziņojumus valstu datu aizsardzības iestādēm 20. pantā minētās koordinētās uzraudzības ietvaros. Būtu arī noderīgi paskaidrot, ka ziņojumā attiecībā uz katru politikas jomu un katru funkciju jāapskata, kā praksē tiek risināti galvenie datu aizsardzības principi un bažas (piem., informācija datu subjektiem, piekļuves tiesības, drošība).

88.

Turklāt regulā vajadzētu paskaidrot, ka iekšējās kontroles mehānismiem vajadzētu ietvert arī privātuma novērtējumu (tostarp arī drošības riska analīzi), datu aizsardzības politiku (tostarp drošības plānu), kas pieņemta, balstoties uz to rezultātiem, kā arī periodisku pārskatīšanu un auditu.

89.

EDAU atzinīgi vērtē atsauci uz šo principu regulas 6. apsvērumā (40). Viņš iesaka papildus šai atsaucei regulā noteikt arī konkrētus integrēta privātuma aizsargmehānismus, piemēram:

90.

EDAU vispārīgais viedoklis par IMI ir pozitīvs. EDAU atbalsta Komisijas mērķus, izveidojot elektronisku sistēmu informācijas apmaiņai un regulējot tās datu aizsardzības aspektus. EDAU arī atzinīgi vērtē to, ka Komisija ierosina horizontālu juridisko instrumentu attiecībā uz IMI Parlamenta un Padomes regulas formā. Viņš ir gandarīts, ka Priekšlikumā visaptveroši apskatīti svarīgākie datu aizsardzības jautājumi, kas attiecas uz IMI.

91.

Attiecībā uz IMI juridisko regulējumu, kas jāizveido ar ierosināto regulu, EDAU vērš uzmanību uz diviem galvenajiem izaicinājumiem:

92.

IMI funkcijas, kas ir paredzamas jau tagad, ir jānosaka skaidrāk un jāapskata konkrētāk.

93.

Vajadzētu piemērot atbilstošus procesuālos aizsargmehānismus, lai nodrošinātu, ka datu aizsardzība tiek rūpīgi apsvērta IMI pilnveidošanas gaitā nākotnē. Tam būtu jāietver ietekmes novērtējums un apspriešanās ar EDAU un valstu datu aizsardzības iestādēm pirms katras IMI darbības jomas paplašināšanas, iekļaujot jaunu politikas jomu un/vai jaunas funkcijas.

94.

Būtu vēl vairāk jākonkretizē ārējo dalībnieku piekļuves tiesības un piekļuves tiesības brīdinājumiem.

95.

Attiecībā uz (datu) uzglabāšanas laikposmiem:

96.

Regulā būtu jānosaka prasība veikt riska novērtējumu un pārskatīt drošības plānu pirms katras IMI paplašināšanas, iekļaujot jaunu politikas jomu, vai pirms jaunas funkcijas, kas ietekmē personas datus, iekļaušanas.

97.

Noteikumi par informāciju datu subjektiem un piekļuves tiesībām būtu jāpastiprina, un tiem būtu jāveicina konsekventāka pieeja.

98.

EDAU pastiprinātu noteikumus par koordinētu uzraudzību noteiktos to punktos un šajā nolūkā atbalstītu līdzīgus noteikumus tiem, kas noteikti, piemēram, Vīzu informācijas sistēmas, Šengenas II kontekstā un paredzēti Eurodac. Attiecībā uz sanāksmju un auditu biežumu EDAU atbalsta Priekšlikuma elastīgo pieeju, kuras mērķis ir nodrošināt, lai regulā būtu noteikti nepieciešamie minimālie noteikumi, lai nodrošinātu efektīvu sadarbību, neradot nevajadzīgus administratīvos slogus.

99.

Regulai būtu jānodrošina, ka kompetentajām iestādēm vai citiem ārējiem dalībniekiem trešā valstī, kas nenodrošina atbilstošu aizsardzību, nav tiešas piekļuves IMI, ja vien nepastāv atbilstoši līguma punkti. Šie punkti jāapspriež ES līmenī.

100.

Regulā vajadzētu noteikt skaidru regulējumu attiecībā uz atbilstošiem iekšējās kontroles mehānismiem, kas nodrošina datu aizsardzības prasību ievērošanu un pierādījumu tam, tostarp privātuma novērtējumu (tostarp arī drošības riska analīzi), datu aizsardzības politiku (tostarp drošības plānu), kas pieņemts, balstoties uz to rezultātiem, kā arī periodisku pārskatīšanu un auditēšanu.

101.

Regulā vajadzētu noteikt arī īpašus integrētā privātuma aizsargmehānismus.