PIELIKUMS

Pamatnostādnes par datu aizsardzības noteikumu īstenošanu Sadarbības sistēmā patērētāju tiesību aizsardzībai (CPCS)

1.   IEVADS

Sadarbībai starp valstu patērētāju tiesību aizsardzības iestādēm ir būtiska nozīme, lai nodrošinātu iekšējā tirgus pareizu darbību, jo efektīvas tiesību aktu īstenošanas trūkums pārrobežu lietās iedragā patērētāju uzticību, traucējot pieņemt pārrobežu piedāvājumus, tādējādi arī samazinot viņu uzticību vietējam tirgum, kā arī rada konkurences izkropļojumus.

CPCS ir IT rīks, kas izveidots saskaņā ar CPC regulu, un tas nodrošina strukturētu mehānismu informācijas apmaiņai starp valstu patērētāju tiesību aizsardzības iestādēm, kas ietilpst CPC tīklā. Tas ļauj valsts iestādei sazināties ar citām CPC tīklā ietilpstošām valsts iestādēm, lai saņemtu palīdzību ES patērētāju aizsardzības tiesību aktu iespējamo pārkāpumu izmeklēšanā un atklāšanā un īstenošanas darbību veikšanā ar mērķi izbeigt nelikumīgu komercpraksi, ko pārdevēji un piegādātāji īsteno attiecībā uz citās ES valstīs dzīvojošiem patērētājiem. Informācijas pieprasījumi un saziņa starp kompetentajām valsts iestādēm ar CPC regulas piemērošanu saistītos jautājumos notiek, izmantojot CPCS.

CPC regulas mērķis ir uzlabot patērētāju aizsardzības tiesību aktu īstenošanu iekšējā tirgū, ES līmenī izveidojot valstu īstenošanas iestāžu tīklu, un izveidot nosacījumus dalībvalstu savstarpējai sadarbībai. CPC regulā ir noteikts, ka šāda informācijas apmaiņa un savstarpējas palīdzības pieprasījumi starp valstu īstenošanas iestādēm jāveic, izmantojot šim nolūkam īpaši paredzētu datu bāzi. Līdz ar to CPCS ir izveidota ar mērķi atvieglināt šo administratīvo sadarbību un informācijas apmaiņu, lai nodrošinātu ES patērētāju aizsardzības tiesību aktu īstenošanu.

Sadarbība paredzēta tikai attiecībā uz to tiesību aktu pārkāpumiem Kopienā, kuri ir minēti CPC regulas pielikumā un aizsargā patērētāju kopīgās ekonomiskās intereses.

2.   PAMATNOSTĀDŅU DARBĪBAS JOMA UN MĒRĶIS

Šo pamatnostādņu mērķis ir risināt centrālo jautājumu par to, kā nodrošināt efektīvu un produktīvu sadarbību starp dalībvalstu kompetentajām iestādēm, vienlaikus ievērojot pamattiesības uz privātumu un personas datu aizsardzību.

Datu aizsardzības direktīvā (1) personas dati ir definēti kā visa informācija, kas attiecas uz identificētu vai identificējamu fizisku personu; identificējama persona ir tāda persona, kuru var tieši vai netieši identificēt, jo īpaši pēc identifikācijas numura vai pēc viena vai vairākiem šai personai raksturīgiem fiziskās, fizioloģiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktoriem.

Tā kā valstu īstenošanas ierēdņi (lietu izskatītāji), kuri ir CPCS lietotāji, ne vienmēr var būt datu aizsardzības lietpratēji un pietiekami pārzināt datu aizsardzības prasības, kas noteiktas attiecīgās valsts datu aizsardzības tiesību aktos, ir ieteicams sniegt CPCS lietotājiem pamatnostādnes, kurās izskaidrota CPCS darbība no praktiskā datu aizsardzības viedokļa, kā arī sīki izklāstīti sistēmā iekļautie aizsardzības pasākumi un iespējamie riski, kas saistīti ar sistēmas lietošanu.

Šo pamatnostādņu mērķis ir aptvert visus svarīgākos datu aizsardzības jautājumus saistībā ar CPCS un lietotājdraudzīgā veidā sniegt skaidrojumu, kuru var izmantot visi CPCS lietotāji. Tomēr tās nesniedz izsmeļošu CPCS datu aizsardzības seku analīzi.

Lai pārliecinātos, ka šie ieteikumi atbilst valsts datu aizsardzības tiesību aktu prasībām, ir ieteicams apspriesties ar dalībvalsts datu aizsardzības iestādēm. No šīm valstu datu aizsardzības iestādēm CPCS lietotāji var iegūt arī papildu palīdzību un ieteikumus atbilstības nodrošināšanai datu aizsardzības prasībām. Šo iestāžu saraksts un to kontaktinformācija, kā arī tīmekļa vietņu adreses ir pieejamas tīmekļa vietnē:

http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/#eu

Ir jāpaskaidro, ka personas datu apstrāde ir jāveic saskaņā ar Datu aizsardzības direktīvā paredzētajiem īpašajiem principiem un nosacījumiem. Piemērojot regulu, lietu izskatītājiem ir tiesības apmainīties ar datiem, tostarp ar personas datiem, izmantojot CPCS, ja datu apstrādes mērķis ir pārtraukt to ES patērētāju aizsardzības tiesību aktu pārkāpumus, kas uzskaitīti CPC regulas pielikumā. Tomēr pirms šādu datu apstrādes ir rūpīgi jāizvērtē, vai datu aizsardzības principi ir ievēroti un vai CPC regulas mērķus nav iespējams sasniegt bez datu apstrādes.

Tādēļ lietu izskatītājiem, kam ir piekļuve CPCS, katrā konkrētajā gadījumā pirms personu datu apstrādes būs jāveic šāds novērtējums (2). Pamatnostādņu mērķis ir palīdzēt lietu izskatītājiem veikt šo novērtējumu, sniedzot dažus datu aizsardzības pamatprincipus, kas jāņem vērā.

Pamatnostādņu mērķis ir arī izskaidrot dažus CPCS struktūras sarežģītos aspektus, kas attiecas uz kopīgām apstrādes operācijām un kopīgām pārbaudes tiesībām, nosakot Komisijas un dalībvalstu kompetento iestāžu kā CPCS datu apmaiņas “līdzkontrolētāju” pienākumus.

3.   CPCS – IT RĪKS SADARBĪBAI ĪSTENOŠANAS JOMĀ

CPCS ir IT rīks, kuru izstrādājusi un kura darbību uztur Komisija sadarbībā ar dalībvalstīm. CPCS mērķis ir palīdzēt dalībvalstīm praktiski īstenot ES patērētāju aizsardzības tiesību aktus. To izmanto CPC tīkls, kurā ietilpst dalībvalstu un EEZ valstu norīkotas valsts iestādes, lai sadarbotos un apmainītos ar informāciju ar patērētāju aizsardzības tiesību aktu īstenošanu saistītos jautājumos atbilstīgi CPC regulai.

CPC regulas 10. pantā noteikts, ka:

CPC regulas 12. panta 3. punktā papildus norādīts:

CPCS atvieglina sadarbību un informācijas apmaiņu attiecībā uz to direktīvu un regulu pārkāpumiem Kopienas teritorijā, kas minētas CPC regulas pielikumā, kurā apspriesti dažādi temati, tostarp negodīga komercprakse, tālpārdošana, patēriņa kredīti, kompleksie ceļojumi, negodīgi līgumu noteikumi, daļlaiks, elektroniskā tirdzniecība un citi temati. CPCS nevar izmantot informācijas apmaiņai par tiesiskiem jautājumiem, kuri nav norādīti šajā pielikumā.

Piemēri:

I.

Beļģijā reģistrēts tirgotājs izmanto negodīgus nosacījumus savos darījumos ar patērētājiem, kuri dzīvo Francijā, tādējādi pārkāpjot Direktīvu par negodīgiem līguma noteikumiem. Patērētāju tiesību aizsardzības iestāde Francijā var izmantot CPCS, lai pieprasītu patērētāju tiesību aizsardzības iestādei Beļģijā veikt pret tirgotāju visus nepieciešamos īstenošanas pasākumus, kas Beļģijā ir pieejami, lai nekavējoties izbeigtu Kopienā notiekošu pārkāpumu.

II.

Patērētāju tiesību aizsardzības iestāde Dānijā saņem sūdzības par to, ka konkrēta tīmekļa vietne izmanto krāpniecisku un maldinošu komercpraksi, kas kaitē patērētājiem. Tīmekļa vietne ir reģistrēta Zviedrijā. Dānijas patērētāju tiesību aizsardzības iestādei ir vajadzīga ar šo tīmekļa vietni saistīta informācija. Tā var izmantot CPCS, lai pieprasītu informāciju Zviedrijas patērētāju tiesību aizsardzības iestādei, kurai ir pienākums to sniegt.

Dalībvalstis augšupielādē informāciju, kas tiek saglabāta CPCS; tai var piekļūt dalībvalstis, kam attiecīgā informācija ir adresēta, un Komisija var izdzēst šo informāciju (3). CPCS izmanto kā informācijas glabātavu un līdzekli datu apmaiņai ar efektīvas un drošas sakaru sistēmas starpniecību.

No datu aizsardzības viedokļa šādas datu bāzes izveidošana vienmēr rada noteiktu risku personas datu aizsardzības pamattiesībām, proti, lielāka datu apjoma apmaiņa, nekā ir nepieciešams efektīvai sadarbībai; tādu datu uzglabāšana, kas bija jāizdzēš; tādu datu turēšana, kas vairs nav precīzi vai ir nepareizi; nespēja nodrošināt datu subjektu tiesību un datu kontrolieru pienākumu ievērošanu. Tādēļ šādi riski ir jānovērš, nodrošinot, ka CPCS lietotāji ir labi informēti un apmācīti par datu aizsardzības noteikumiem un spēj nodrošināt atbilstību attiecīgajiem datu aizsardzības tiesību aktiem.

4.   DATU AIZSARDZĪBAS TIESISKĀ UN UZRAUDZĪBAS SISTĒMA

Datu aizsardzības jomā kopš 1995. gada Eiropas Savienībā pastāv vispāratzīta tiesiskā sistēma – Datu aizsardzības direktīva (4), kurā reglamentēta personas datu apstrāde dalībvalstīs, un Datu aizsardzības regula (5), kurā reglamentēta personas datu apstrāde Eiropas Savienības iestādēs un struktūrās. Tas, kuru tiesību aktu piemērot, pašreiz ir atkarīgs no tā, kas ir konkrētais CPCS dalībnieks vai lietotājs.

Komisijas īstenotās apstrādes darbības ir reglamentētas Datu aizsardzības regulā, savukārt apstrādes darbības, ko veic lietu izskatītāji kompetentajās valsts īstenošanas iestādēs, reglamentētas valstu tiesību aktos, ar kuriem transponē Datu aizsardzības direktīvu.

Komisija un izraudzītās kompetentās iestādes ir divi galvenie CPCS dalībnieki ar noteiktiem pienākumiem, un kā līdzkontrolētājiem tām ir pienākums paziņot un iesniegt savas apstrādes darbības attiecīgām uzraudzības iestādēm iepriekšējai pārbaudei un nodrošināt datu aizsardzības noteikumu ievērošanu. Neskatoties uz to, valsts tiesību aktos, ar kuriem transponēta Datu aizsardzības direktīva, var iekļaut atkāpes no paziņošanas un iepriekšējās pārbaudes prasībām.

Tiesību aktu saskaņošana datu aizsardzības jomā tika veikta, lai nodrošinātu augstu datu aizsardzības līmeni un lai aizsargātu fizisko personu pamattiesības, bet vienlaikus atļautu personas datu brīvu plūsmu starp dalībvalstīm. Tā kā valstu īstenošanas pasākumu ietekmē var būt pieņemti atšķirīgi noteikumi un lai nodrošinātu atbilstību datu aizsardzības noteikumiem, CPCS lietotājiem ir ļoti ieteicams apspriest šīs pamatnostādnes ar savas valsts datu aizsardzības iestādēm, jo var atšķirties noteikumi, piemēram, attiecībā uz fiziskām personām sniedzamo informāciju vai pienākumu paziņot datu aizsardzības iestādēm par noteiktām datu apstrādes operācijām.

ES datu aizsardzības tiesiskās sistēmas būtiska iezīme ir tā, ka to uzrauga neatkarīgas datu aizsardzības iestādes. Iedzīvotājiem ir tiesības iesniegt sūdzības šīm iestādēm un ātri atrisināt savus ar datu aizsardzību saistītos jautājumus, nevēršoties tiesā. Personas datu apstrādi valstu līmenī uzrauga valsts datu aizsardzības iestādes, bet personas datu apstrādi Eiropas iestādēs uzrauga Eiropas Datu aizsardzības uzraudzītājs (EDAU) (6). Attiecīgi Komisiju uzrauga EDAU, bet citus CPCS lietotājus – valsts datu aizsardzības iestādes.

5.   KAS IR KAS CPCS? KOPĪGAS PĀRBAUDES TIESĪBAS

CPCS ir kopīgu apstrādes operāciju un kopīgu pārbaudes tiesību uzskatāms piemērs. Lai gan tikai dalībvalstu kompetentās iestādes vāc, reģistrē, izpauž personas datus un apmainās ar tiem, Komisija ir atbildīga par šo datu uzglabāšanu savos serveros un par datu dzēšanu no tiem. Komisijai nav piekļuves šiem personas datiem, taču tā tiek uzskatīta par sistēmas administratori un operatori.

Tādējādi dažādu uzdevumu un pienākumu sadalījumu starp Komisiju un dalībvalstīm var rezumēt šādi:

—	Katra kompetentā iestāde ir datu kontrolieris attiecībā uz savu datu apstrādes darbībām.

—

Komisija nav sistēmas lietotāja, bet gan tās operatore, kura, pirmkārt, ir atbildīga par sistēmas struktūras uzturēšanu un drošību. Tomēr Komisijai ir arī piekļuve brīdinājumiem, atbildes informācijai un citai ar konkrētu lietu saistītai informācijai (7). Tādējādi Komisija var uzraudzīt CPC regulas un CPC regulā uzskaitīto patērētāju aizsardzības tiesību aktu piemērošanu un apkopot statistikas informāciju saistībā ar šiem pienākumiem. Vienlaikus Komisijai nav piekļuves informācijai, kas iekļauta savstarpējās palīdzības un izpildes pieprasījumos, jo tie ir adresēti vienīgi tām dalībvalstu kompetentajām iestādēm, kuras izskata konkrēto lietu. Neskatoties uz minēto, CPC regulā ir paredzēta Komisijas palīdzība kompetentajām iestādēm konkrētu strīdu izskatīšanā (8), kā arī iespēja uzaicināt Komisiju piedalīties saskaņotā izmeklēšanā, kurā iesaistītas vairāk nekā divas dalībvalstis (9).

—	CPCS dalībnieki ir līdzatbildīgi par datu apstrādes likumīgumu, informācijas sniegšanu, piekļuves tiesībām, iebildumiem un labojumiem.

—	Komisija un katra kompetentā iestāde kā kontrolieri atbild par to, lai noteikumi, saskaņā ar ko tās veic savas datu apstrādes darbības, atbilstu datu aizsardzības noteikumiem.

6.   CPCS DALĪBNIEKI UN LIETOTĀJI

CPCS ir dažādi piekļuves profili – piekļuve datu bāzei ir ierobežota un piešķirta tikai noteiktai kompetentās iestādes amatpersonai (autentificēts lietotājs), un to nevar nodot citai personai. Piekļuvi CPCS var piešķirt tikai tām amatpersonām, par kurām dalībvalstu kompetentās iestādes ir paziņojušas Komisijai. Lai iekļūtu sistēmā, ir nepieciešama pieteikšanās/parole, kuru var iegūt vienotais sadarbības birojs.

Visa informācija, ko sniedz par konkrētu lietu, tostarp visi pielikumi, kas pievienoti šajā lietā sagatavotajai CPCS datnei, ir pieejama tikai to kompetento iestāžu lietotājiem, kuras šo informāciju ir pieprasījušas vai kurām šī informācija ir pieprasīta. Vienotie sadarbības biroji var izlasīt tikai galveno informāciju par lietu, lai varētu noteikt kompetento iestādi, kurai ir jāpārsūta pieprasījums. Tie nevar izlasīt konfidenciālus dokumentus, kas pievienoti pieprasījumam vai brīdinājumam.

Izpildes lietās vispārīga informācija tiek izplatīta lietotājiem visās kompetentajās iestādēs, par kurām ir paziņots kā par atbildīgajām par tiesību aktu pārkāpumiem. Informāciju izplata, izmantojot paziņojumus. Šajos paziņojumos jāsniedz plašs lietas izklāsts un jāizvairās no personas datu iekļaušanas. Var būt izņēmumi no šā noteikuma, piemēram, pārdevēja vai piegādātāja vārds (ja tā ir fiziska persona).

Komisijai nav piekļuves informācijas un izpildes pieprasījumiem vai konfidenciāliem dokumentiem, bet tā saņem paziņojumus un brīdinājumus.

7.   DATU AIZSARDZĪBAS PRINCIPI, KO PIEMĒRO INFORMĀCIJAS APMAIŅĀ

CPCS lietotāji dalībvalstīs var apstrādāt personas datus vienīgi atbilstīgi nosacījumiem un saskaņā ar principiem, kas noteikti Datu aizsardzības direktīvā. Datu kontrolierim ir jānodrošina, ka personas datu apstrāde CPCS notiek saskaņā ar datu aizsardzības principiem.

Ir jāņem vērā arī tas, ka uz CPCS attiecas konfidencialitātes un datu aizsardzības noteikumi. Konfidencialitātes noteikumus un dienesta noslēpuma glabāšanas noteikumus var attiecināt uz visiem datiem, turpretī datu aizsardzības noteikumi attiecas tikai uz personas datiem.

Ir svarīgi atcerēties, ka CPCS lietotāji dalībvalstīs ir atbildīgi par daudzām citām apstrādes darbībām un var nebūt lietpratēji datu aizsardzības jomā. Prasībām par datu aizsardzības ievērošanu CPCS nevajag būt nepamatoti sarežģītām vai radīt pārmērīgu administratīvo slogu. Tām arī nav jāatbilst vienotam paraugam. Šajās pamatnostādnēs sniegti personas datu apstrādes ieteikumi, un jāatceras, ka ne visi CPCS iekļautie dati ir personas dati.

Pirms informācijas augšupielādes CPCS īstenošanas ierēdņiem ir jāapsver, vai nosūtāmie personas dati ir absolūti nepieciešami, lai sasniegtu produktīvas sadarbības mērķus, kā arī tas, kam šie personas dati tiek sūtīti. Īstenošanas ierēdnim ir jāpajautā pašam sev, vai saņēmējam šāda informācija ir absolūti nepieciešama brīdinājuma vai savstarpējās palīdzības pieprasījuma mērķu sasniegšanai.

Turpmākā datu aizsardzības pamatprincipu saraksta mērķis ir palīdzēt īstenošanas ierēdņiem, kam ir piekļuve CPCS, veikt gadījumsecīgu novērtējumu par to, vai ar personas datu apstrādi saistītie datu aizsardzības noteikumi, sistēmā apstrādājot personas datus, vienmēr tiek ievēroti. Īstenošanas ierēdņiem ir jāņem vērā arī tas, ka attiecībā uz turpmāk minēto datu aizsardzības principu piemērošanu valsts līmenī var pastāvēt izņēmumi un ierobežojumi, un viņiem ieteicams apspriesties ar savas valsts datu aizsardzības iestādēm (10).

Kādi datu aizsardzības principi ir jāievēro?

Galvenie datu aizsardzības principi, kas jāatceras, veicot personas datu apstrādi, ir noteikti Datu aizsardzības direktīvā. Tā kā šī direktīva ir transponēta valstu tiesību aktos, lietu izskatītājiem ir jāapspriežas ar savas valsts datu aizsardzības uzraudzības iestādēm par turpmāk minēto principu piemērošanu, un viņiem ieteicams izpētīt, vai attiecībā uz šo principu piemērošanu pastāv izņēmumi vai ierobežojumi.

Pārredzamības princips

Saskaņā ar Datu aizsardzības direktīvu datu subjektam ir tiesības būt informētam par savu personas datu apstrādi. Personas datu apstrādātājam ir jānorāda savs vārds un adrese, datu apstrādes mērķis, datu saņēmēji un visa cita informācija, kas vajadzīga, lai nodrošinātu godprātīgu datu apstrādi (11).

Datus drīkst apstrādāt, tikai ievērojot šādus nosacījumus (12):

—	datu subjekts ir devis savu piekrišanu,

—	datu apstrāde vajadzīga līguma noslēgšanai vai izpildei,

—	datu apstrāde vajadzīga juridisku saistību izpildei,

—	datu apstrāde vajadzīga, lai aizsargātu datu subjekta būtiskas intereses,

—	datu apstrāde vajadzīga sabiedrības interesēs realizējama uzdevuma izpildei vai personas datu apstrādātājam vai trešai personai, kurai dati tiek atklāti, piešķirto oficiālo pilnvaru realizācijai,

—	datu apstrāde vajadzīga personas datu apstrādātāja vai trešo personu, kurām dati tiek atklāti, likumīgo interešu ievērošanai.

Tiesiskuma un godīguma princips

Personas datus nedrīkst vākt vai apstrādāt negodīgi vai nelikumīgi, kā arī izmantot tos mērķiem, kas neatbilst CPC regulā minētajām vajadzībām. Lai apstrāde būtu tiesiska, lietu izskatītājiem ir jāpārliecinās, ka viņiem ir skaidri iemesli, kas pamato apstrādes nepieciešamību. Datu apstrāde jāveic konkrētiem, precīzi formulētiem un likumīgiem nolūkiem, un datus nedrīkst tālāk apstrādāt ar šiem nolūkiem nesavienojamā veidā (13). Tas var būt noteikts vienīgi CPC regulā.

Lai apstrāde būtu godīga, datu subjekti ir jāinformē par viņu datu apstrādes mērķiem un par tiesībām piekļūt datiem, labot tos un iebilst.

Proporcionalitātes, precizitātes un uzglabāšanas perioda princips

Datiem ir jābūt proporcionāliem, adekvātiem, attiecīgiem un ne pārmērīgā apjomā attiecībā uz nolūkiem, kādiem tie savākti un/vai tālāk apstrādāti. Jānodrošina, ka dati ir precīzi un vajadzības gadījumā atjaunināti; jāveic visi atbilstīgie pasākumi, lai nodrošinātu to datu dzēšanu vai labošanu, kuri nav precīzi vai ir nepilnīgi attiecībā uz mērķiem, kādiem tie tika vākti vai kādiem nolūkiem tos turpmāk apstrādā; personas dati ir jāglabā formā, kas ļauj identificēt datu subjektus, ne ilgāk, kā vajadzīgs nolūkiem, kādos dati ir savākti vai kādos tos apstrādā. Ir jānodrošina atbilstīgi aizsargpasākumi tiem personas datiem, ko uzglabā ilgāku laika periodu izmantošanai vēstures, statistikas vai zinātnes mērķiem.

Lietu izskatītājiem ir jāapsver, vai informācija, ko tie apstrādā, ir absolūti nepieciešama attiecīgo mērķu sasniegšanai.

Nolūka ierobežošanas princips

Personas datiem jābūt vāktiem konkrētos, precīzi formulētos un likumīgos nolūkos, tos nedrīkst tālāk apstrādāt ar šiem nolūkiem nesavienojamā veidā, un par tiem ir jāinformē datu subjekts. Lietu izskatītāji drīkst apstrādāt personas datus tikai tad, ja šādai rīcībai ir skaidrs nolūks, t. i., ja CPC regulā ir noteikts juridisks iemesls, pamatojoties uz kuru datus drīkst nosūtīt.

Piekļuves tiesības

Saskaņā ar Datu aizsardzības direktīvu (14) datu subjektiem ir tiesības saņemt informāciju par to, ka viņu personas dati tiek apstrādāti, par datu apstrādes mērķiem, datu saņēmējiem un par to, ka viņiem ir īpašas tiesības, t. i., tiesības uz informāciju un uz datu labošanu. Datu subjektam ir tiesības piekļūt visiem uz viņu attiecināmiem datiem. Datu subjektam ir tiesības arī pieprasīt datu labošanu, dzēšanu vai piekļuves noslēgšanu, ja dati ir nepilnīgi vai neprecīzi vai ja šo datu apstrāde neatbilst datu apstrādes noteikumiem (15).

Konfidenciāli dati

Aizliegts apstrādāt datus, kas atklāj personas rasi, etnisko izcelsmi, politiskos uzskatus, reliģisko vai filozofisko pārliecību, piederību pie arodbiedrībām, kā arī datus, kas attiecas uz veselību, seksuālo dzīvi, nodarījumiem un sodāmību. Tomēr Datu aizsardzības direktīvā (16) ir noteikti daži izņēmuma gadījumi, kad konfidenciālus datus drīkst apstrādāt saskaņā ar noteiktiem nosacījumiem (17). Tā kā CPCS lietotāji var nonākt situācijā, kad tiem ir jāapstrādā konfidenciāli dati (18), attiecībā uz šādiem datiem ir ieteicams ievērot piesardzību. CPCS lietotājiem ir vēlams apspriesties ar savas valsts datu aizsardzības iestādi par to, vai uz konfidenciālu datu apstrādi attiecas izņēmumi.

Izņēmumi

Datu aizsardzības direktīvā ir paredzēti daži izņēmumi, ja tas nepieciešams noziedzīgu nodarījumu novēršanai, izmeklēšanai, atklāšanai vai kriminālvajāšanai. Tas, vai šādi izņēmumi ir iespējami un ciktāl tos var piemērot, lietu izskatītājiem ir jānovērtē, pamatojoties uz valsts tiesību aktiem (19). Ja šādus izņēmumus plānots piemērot, tos ir ieteicams skaidri norādīt katras kompetentās iestādes paziņojumā par personas datu aizsardzību.

Datu aizsardzības principu piemērošana

Piemērojot šos datu aizsardzības principus CPCS darbībā, ir jāņem vērā šādi ieteikumi:

1.	CPCS drīkst izmantot tikai CPC regulā noteiktajiem mērķiem. CPC regulas 13. panta 1. punktā ir noteikts, ka paziņotu informāciju var lietot tikai tam, lai nodrošinātu patērētāju interešu aizsardzības tiesību aktu ievērošanu. Šie tiesību akti ir uzskaitīti CPC regulas pielikumā.

2.

No savstarpējās palīdzības pieprasījuma vai brīdinājuma iegūto informāciju īstenošanas ierēdņiem ir ieteicams izmantot vienīgi ar konkrēto lietu saistītām vajadzībām, stingri ievērojot datu aizsardzības juridiskās prasības un iepriekš nosakot apstrādes vajadzību saistībā ar izmeklēšanām, kas veiktas plašākās sabiedrības interesēs.

3.	Nosūtot datus, īstenošanas ierēdņiem katrā konkrētajā gadījumā ir jānovērtē, kam vajadzētu saņemt apstrādājamo informāciju.

4.	CPCS lietotājiem ir rūpīgi jāizraugās jautājumi, ko tie uzdod savstarpējās palīdzības pieprasījumā, un tie nedrīkst pieprasīt vairāk datu, nekā nepieciešams. Tas jādara ne tikai tādēļ, lai ievērotu datu kvalitātes principus, bet arī – lai samazinātu administratīvo slogu.

5.

Datu aizsardzības direktīvā (20) ir noteikts, ka personas datiem jābūt precīziem un atjauninātiem. Kompetentajai iestādei, kas sniegusi informāciju, ir ieteicams piedalīties CPCS uzglabāto datu precizitātes nodrošināšanā. CPCS ir papildināta ar uznirstošajiem paziņojumiem, kas regulāri atgādina lietu izskatītājiem par to, ka jāpārbauda, vai personas dati ir precīzi un atjaunināti.

6.

Praktisks veids, kā informēt datu subjektus par viņu tiesībām, ir iekļaut šo informāciju tīmekļa vietnes vispārējā paziņojumā par konfidencialitāti. Katrai kompetentajai iestādei ir ieteicams savā tīmekļa vietnē ievietot paziņojumu par konfidencialitāti. Katram paziņojumam par konfidencialitāti jāatbilst visiem informācijas sniegšanas pienākumiem, kā noteikts Datu aizsardzības direktīvā, tajos ir jāiekļauj saite uz tīmekļa vietni ar Komisijas paziņojumu par konfidencialitāti un jāsniedz papildu informācija, tostarp kompetentās iestādes kontaktinformācija, kā arī informācija par valstī pastāvošajiem ierobežojumiem attiecībā uz piekļuves tiesībām vai tiesībām saņemt informāciju. Visi iesaistītie datu kontrolieri ir atbildīgi par to, lai paziņojumi par konfidencialitāti tiktu publicēti.

7.

Datu subjekti var pieprasīt piekļuvi saviem personas datiem un šo datu labošanu un dzēšanu no vairāk nekā viena avota. Lai gan katra kompetentā iestāde kā datu kontrolieris ir atbildīga par savām datu apstrādes operācijām, attiecībā uz pieprasījumiem pārrobežu lietās ir jāreaģē saskaņoti. Šādās lietās kompetentajām iestādēm ir ieteicams informēt citas iesaistītās kompetentās iestādes par pieprasījuma saņemšanu. Ja kompetentā iestāde uzskata, ka pieprasījuma apstiprināšana var nelabvēlīgi ietekmēt citu kompetento iestāžu veikto izmeklēšanu vai izpildes procedūru, pirms pieprasījuma apstiprināšanas tai ir jālūdz šīm iestādēm sniegt atzinumu. Datu subjekts var iesniegt pieprasījumu arī Komisijai. Komisija var apstiprināt pieprasījumu tikai tad, ja tai ir piekļuve pieprasītajiem datiem. Saņemot pieprasījumu, Komisijai ir jāapspriežas ar kompetento iestādi, kura sniegusi informāciju. Ja netiek pausti iebildumi vai kompetentā iestāde neatbild pienācīgā termiņā, Komisija var pieņemt lēmumu par pieprasījuma apstiprināšanu, pamatojoties uz Datu aizsardzības regulu. Komisijai ir jālūdz arī to kompetento iestāžu atzinums, kuru izmeklēšanu vai izpildes pasākumus var nelabvēlīgi ietekmēt pieprasījuma apstiprināšana. Komisijai jāizskata, vai papildu tehnisko pasākumu iekļaušana CPCS nevarētu atvieglināt šādu procesu.

8.

CPC īstenošanas Lēmumā 2007/76/EK paredzēts, ka CPCS tiek izveidoti datu lauki, kuros norāda uzņēmumu direktoru vārdus un uzvārdus. Īstenošanas ierēdņiem jānovērtē, vai šāda veida personas datu iekļaušana ir nepieciešama lietas izskatīšanai. Nepieciešamība iekļaut uzņēmuma direktora vārdu un uzvārdu tam paredzētajā datu laukā ir jānovērtē katrā konkrētā gadījumā pirms informācijas augšupielādes CPCS un brīdinājuma vai savstarpējās palīdzības pieprasījuma nosūtīšanas citai kompetentajai iestādei.

9.

CPC īstenošanas Lēmumā 2007/76/EK noteikts, ka kompetentajai iestādei, kura augšupielādē informāciju vai izpildes pieprasījumus vai brīdinājumus, ir jānorāda, vai šī informācija tiks apstrādāta konfidenciāli. Tas jādara par katru konkrēto gadījumu. Arī iestādei, kura saņēmusi pieprasījumu, ir jānorāda, vai tās sniegtā informācija ir jāapstrādā konfidenciāli. CPCS ir paredzēta noklusējuma vērtības funkcija attiecībā uz gadījumiem, kad, lai piekļūtu dokumentiem, ir jāsaņem skaidra atļauja no CPCS lietotājiem, ko tie sniedz, atceļot konfidencialitātes karodziņu.

8.   CPCS UN DATU AIZSARDZĪBA

Datu aizsardzībai draudzīga vide

CPCS ir izstrādāta, ievērojot datu aizsardzības tiesību aktu prasības:

—

CPCS izmanto s-TESTA (Eiropas telemātikas pakalpojumu tīkls drošai apmaiņai starp valsts pārvaldes iestādēm). Tā ir uzticama un droša platforma komunikācijai starp Eiropas un valstu pārvaldes iestādēm, kas tiek pārvaldīta. s-TESTA tīkls balstās uz īpašu privātu infrastruktūru, kas ir pilnībā nošķirta no interneta. Sistēmas struktūrā ir iekļauti atbilstoši drošības pasākumi, lai to vislabākajā veidā aizsargātu tīkla vajadzībām. Tīklam piemēro drošības akreditāciju, lai to varētu izmantot tādas informācijas nosūtīšanai, kas klasificēta kā “EU Restricted”.

—

Ir īstenoti vairāki tehniski pasākumi: drošas un personalizētas paroles paziņotajām kompetentajām amatpersonām izraudzītajās iestādēs; droša tīkla (s-TESTA) izmantošana; iznirstošie paziņojumi, kas atgādina lietu izskatītājiem par to, ka personas datu apstrādē viņiem ir jāievēro datu apstrādes noteikumi; dažādu lietotāju profilu izveide, kas modulē piekļuvi informācijai atkarībā no lietotāja veida (kompetentā iestāde, vienotais sadarbības birojs vai Komisija); iespēja ierobežot piekļuvi dokumentiem, nosakot, ka tie ir konfidenciāli dokumenti, un paziņojums CPCS tīmekļa vietnē ar norādi uz datu aizsardzības noteikumiem.

—

Tādu noteikumu pieņemšana (21), kuros reglamentēti galvenie aspekti, lai nodrošinātu atbilstību datu aizsardzības principiem: skaidri dzēšanas noteikumi (kādus datus dzēš, kā un kad to dara); principi, kuros noteikti piekļuves veidi informācijai (pilnīga piekļuve ir tikai tieši iesaistītajām kompetentajām iestādēm, savukārt citiem ir piekļuve tikai vispārīgai informācijai).

—	Darbības pamatnostādnes (22), kurās sīkāk izskaidroti aspekti, kas jāņem vērā, aizpildot dažādus datu laukus, un šīs pamatnostādnes (23).

—

Gada pārskati, lai pārliecinātos, ka kompetentās iestādes pārbauda personas datu precizitāti (ir plānots izmantot tagus, taču šis plāns vēl nav īstenots) un ka lietas ir slēgtas un/vai dzēstas atbilstīgi noteikumiem, lai nodrošinātu, ka lietas netiek aizmirstas. Komisija kopā ar dalībvalstīm regulāri organizē to lietu sistemātisku pārbaudi, kuru apstrādes ilgums ir ievērojami lielāks par vidējo apstrādes ilgumu.

—	Savstarpējās palīdzības lietu automātiska dzēšana pēc pieciem gadiem kopš lietas slēgšanas atbilstīgi CPC regulai.

—	CPCS ir IT rīks, kurš tiek attīstīts ar mērķi panākt draudzīgu vidi datu aizsardzībai. Daudzi aizsargpasākumi jau ir iekļauti sistēmas struktūrā, kas tika izklāstīta iepriekš. Komisija ir gatava izstrādāt turpmākus uzlabojumus, ja tādi nepieciešami.

Daži papildu norādījumi

Cik ilgi lieta ir jāuzglabā, un kad to var slēgt un izdzēst?

Izdzēst informāciju no CPCS var tikai Komisija (24), un parasti tā informāciju dzēš, pamatojoties uz kompetentās iestādes pieprasījumu. Šajā pieprasījumā kompetentajai iestādei ir jāpamato dzēšanas nepieciešamība. Vienīgais izņēmums ir izpildes pieprasījumi. Tos Komisija automātiski dzēš piecus gadus pēc tam, kad informācijas iesniedzēja iestāde ir slēgusi lietu.

Noteikumi ar minētajiem termiņiem ir pieņemti, lai nodrošinātu tādu datu dzēšanu, kas vairs nav vajadzīgi, ir neprecīzi, izrādās nepamatoti un/vai ir uzglabāti maksimāli iespējamo uzglabāšanas laiku.

Kāpēc datu uzglabāšanas periods ir pieci gadi?

Uzglabāšanas perioda mērķis ir veicināt sadarbību starp valsts iestādēm, kas atbildīgas par patērētāju interešu aizsardzības aktu piemērošanu attiecībā uz Kopienā izdarītiem pārkāpumiem, veicināt iekšējā tirgus sekmīgu darbību, patērētāju intereses aizsargājošo tiesību aktu piemērošanas kvalitāti un konsekvenci, patērētāju ekonomisko interešu aizsardzības uzraudzību un piemērošanas standartu un saskaņotības paaugstināšanu. Uzglabāšanas perioda laikā pilnvaroti īstenošanas ierēdņi, kas strādā kompetentajai iestādei, kura iesākumā bija iesaistīta lietas izskatīšanā, var iepazīties ar lietu, lai noteiktu saistību starp iespējamiem atkārtotiem pārkāpumiem, tādējādi nodrošinot labāku un efektīvāku īstenošanu.

Kādu informāciju var iekļaut diskusiju forumā?

Diskusiju forums ir pievienots CPCS, un tas ir rīks, kas paredzēts informācijas apmaiņai attiecībā uz tādiem jautājumiem kā jaunas izpildes pilnvaras un paraugprakse. Lai arī īstenošanas ierēdņi reti izmanto diskusiju forumu, tas kopumā nav paredzēts ar konkrētām lietām saistītu datu apmaiņai, un tajā nedrīkst atsaukties uz personas datiem.

Kādus datus var iekļaut īsajos kopsavilkumos un pievienotajos dokumentos?

CPC īstenošanas Lēmumā 2007/76/EK ir noteikts datu lauks “pievienotie dokumenti”, ko paredzēts izmantot brīdinājumu un informācijas un izpildes pieprasījumu gadījumā. Īsie kopsavilkumi ir lauki, kuros jāizklāsta pārkāpums. Īsajos kopsavilkumos nav ieteicams norādīt personas datus, jo šā datu lauka mērķis ir nodrošināt pārkāpuma vispārīgu izklāstu. Pievienotajos dokumentos esošie personas dati, kas nav absolūti nepieciešami, ir jāaizklāj vai jāizņem no dokumentiem.

Ko nozīmē “pamatotas aizdomas”, ka ir noticis pārkāpums?

Jēdziena “pamatotas aizdomas” interpretācija ir atkarīga no valsts tiesību aktiem. Tomēr aizdomas par pārkāpumu ir jāiekļauj CPCS tikai tad, ja ir pierādījumi tam, ka pārkāpums ir noticis vai varētu būt noticis.

Jautājums par datu nosūtīšanu trešām valstīm

CPC regulā (25) ir noteikts, ka informāciju, kas sniegta saskaņā ar CPC regulu, dalībvalsts var sniegt arī trešās valsts iestādei, ar ko tā ir noslēgusi divpusēju palīdzības nolīgumu, ja vien tam ir piekritusi kompetentā iestāde, kas sākotnēji sniegusi šo informāciju, un ir ievēroti datu aizsardzības noteikumi.

Kamēr Eiropas Savienība nav noslēgusi starptautisku nolīgumu par savstarpējās palīdzības sadarbības pasākumiem (26) ar trešo valsti, jebkurā divpusējā palīdzības nolīgumā ar konkrētu trešo valsti ir jāparedz pienācīgi datu aizsardzības pasākumi un jāziņo par šiem nolīgumiem attiecīgajām datu aizsardzības uzraudzības iestādēm iepriekšējas pārbaudes veikšanai, izņemot gadījumus, ja Komisija ir pārliecināta par to, ka trešā valsts nodrošina atbilstošu aizsardzības līmeni personas datiem, kas saņemti no Savienības saskaņā ar Datu aizsardzības direktīvas 25. pantu.

---

(1)  2. panta a) punkts.

(2)  Ir jāņem vērā, ka datu aizsardzības principi attiecas gan uz elektroniski uzglabātajiem datiem, gan uz datiem, ko uzglabā papīra formātā.

(3)  Dzēšanas noteikumus sk. Lēmumā 2007/76/EK un dokumentā “Sadarbības tīkls patērētāju tiesību aizsardzības jomā. Darbības pamatnostādnes”.

(4)  Direktīva 95/46/EK.

(5)  Regula (EK) Nr. 45/2001.

(6)  http://www.edps.europa.eu/EDPSWEB/edps/EDPS

(7)  CPC Regulas (EK) Nr. 2006/2004 8., 9. un 15. pants.

(8)  CPC Regulas (EK) Nr. 2006/2004 8. panta 5. punkts.

(9)  CPC Regulas (EK) Nr. 2006/2004 9. pants.

(10)  Direktīvas 95/46/EK 11. panta 2. punkts un 13. pants.

(11)  Direktīvas 95/46/EK 10. un 11. pants.

(12)  Direktīvas 95/46/EK 7. pants.

(13)  Direktīvas 95/46/EK 6. panta 1. punkta b) apakšpunkts.

(14)  Direktīvas 95/46/EK 10., 11. un 12. pants.

(15)  Direktīvas 95/46/EK 12. pants.

(16)  Direktīvas 95/46/EK 8. panta 2. punkts.

(17)  Direktīvas 95/46/EK 8. pants.

(18)  Lēmuma 2007/76/EK pielikuma 4. nodaļa.

(19)  Atzinums Nr. 6/2007 par datu aizsardzības jautājumiem saistībā ar Sadarbības sistēmu patērētāju tiesību aizsardzības jomā (CPCS) 01910/2007/EN – WP 139 – pieņemts 2007. gada 21. septembrī, 24.–26. lpp.

(20)  Direktīvas 95/46/EK 6. panta 1. punkta d) apakšpunkts.

(21)  Lēmums 2007/76/EK.

(22)  The Consumer Protection Cooperation Network: Operating Guidelines, ko 2010. gada 8. jūnijā pieņēmusi CPC komiteja.

(23)  Šo pamatnostādņu saturs tiks iekļauts turpmākās CPCS jautājumiem veltītās mācībās.

(24)  CPC Regulas (EK) Nr. 2006/2004 10. pants un CPC īstenošanas Lēmuma 2007/76/EK pielikuma 2. nodaļa.

(25)  CPC Regulas (EK) Nr. 2006/2004 14. panta 2. punkts.

(26)  CPC Regulas (EK) Nr. 2006/2004 18. pants.