Eiropas Datu aizsardzības uzraudzītāja atzinuma “Kā risināt ar lielajiem datiem saistītās problēmas – aicinājums nodrošināt pārredzamību, lietotāju kontroli, integrētu datu aizsardzību un pārskatatbildību” kopsavilkums

(Pilns šā atzinuma teksts angļu, franču un vācu valodā pieejams Eiropas Datu aizsardzības uzraudzītāja (EDAU) tīmekļa vietnē www.edps.europa.eu)

“Tiesības uz netraucēšanu nudien ir visu brīvību pamatā” (1)

Ja lielos datus izmanto atbildīgi, tie var sniegt sabiedrībai un privātpersonām vērā ņemamus ieguvumus un uzlabojumus ne vien veselības aprūpes, zinātniskās pētniecības un vides jomā, bet arī citās sfērās. Tomēr pastāv nopietnas bažas par to, kāda ir milzīga datu apmēra apstrādes faktiskā un iespējamā ietekme uz privātpersonu tiesībām un brīvībām, tostarp tiesībām uz privātumu. Tāpēc uz lieto datu radītajām problēmām un riskiem ir jāreaģē ar rezultatīvāku datu aizsardzību.

Tehnoloģija nedrīkstētu noteikt mūsu vērtības un tiesības, taču nevajadzētu arī uzskatīt, ka nav iespējams vienlaicīgi sekmēt inovāciju un saglabāt pamattiesības. Jaunie uzņēmējdarbības modeļi, apzinot nebijušas iespējas personiskās informācijas masveida vākšanai, tūlītējai pārsūtīšanai, kombinēšanai un atkārtotai izmantošanai neparedzētiem mērķiem, ir radījuši jaunus datu aizsardzības principu apdraudējumus, tāpēc ir rūpīgi jāizvērtē šo principu piemērošana.

Eiropas datu aizsardzības tiesību aktu uzdevums ir aizsargāt mūsu pamattiesības un vērtības, tostarp mūsu tiesības uz privātumu. Jautājums ir nevis par to, vai lielajiem datiem jāpiemēro datu aizsardzības tiesību akti, bet gan par to, kā tos novatoriski piemērot jaunos apstākļos. Līdzšinējie datu aizsardzības principi, tostarp pārredzamība, samērīgums un mērķa ierobežošana, ir pamats, kas mums būs vajadzīgs pamattiesību dinamiskākai aizsardzībai lielo datu pasaulē. Tomēr tie ir jāpapildina ar “jauniem” principiem, kas izstrādājušies gadu gaitā, piemēram, pārskatatbildību, kā arī integrēto un noklusēto privātuma aizsardzību. Ir paredzēts, ka tiesisko regulējumu nostiprinās un modernizēs ES datu aizsardzības reformas pakete (2).

ES grasās izmantot lielos datus, lai maksimāli palielinātu izaugsmi un konkurētspēju. Tomēr digitālajā vienotajā tirgū nedrīkst nepārdomāti importēt datu virzītu tehnoloģiju un uzņēmējdarbības modeļus, kas kļuvuši par ekonomikas standartelementu citur pasaulē. Tā vietā ES ir jārāda paraugs, izstrādājot pārskatatbildīgas personas datu apstrādes metodes. Internets ir tiktāl attīstījies, ka uzraudzība – cilvēku rīcības izsekošana – tiek uzskatīta par dažu veiksmīgāko uzņēmumu neatņemamu peļņas modeļa elementu. Šī tendence ir kritiski jāizvērtē, un ir jāmeklē citas iespējas.

Katrā ziņā un neatkarīgi no izvēlētajiem uzņēmējdarbības modeļiem organizācijām, kas apstrādā lielu personiskās informācijas daudzumu, ir jāievēro piemērojamie datu aizsardzības tiesību akti. Eiropas Datu aizsardzības uzraudzītājs (EDAU) uzskata, ka, lai lielo datu attīstība būtu atbildīga un ilgtspējīga, ir jānodrošina četri pamatelementi:

Lai nodrošinātu pārredzamību, privātpersonas ir skaidri jāinformē par to, kuri dati, tostarp novērošanas vai izsecināšanas gaitā iegūtie, tiek apstrādāti, jāuzlabo informēšana par to, kā un kādiem nolūkiem tiek izmantota viņu informācija, tajā skaitā jānorāda, kādu metodi lieto algoritmos, ar kuriem izsaka pieņēmumus un prognozes par privātpersonām.

Lietotāju kontrole palīdzēs nodrošināt privātpersonām vairāk tiesību, lai tām būtu lielākas iespējas konstatēt negodīgas tendences un iebilst pret kļūdām. Tā palīdzēs novērst datu sekundāru izmantošanu nolūkos, kas neatbilst pamatoti gaidītajiem – attiecīgos gadījumos jaunās paaudzes lietotāju kontrole nodrošinās privātpersonām autentiskāku un informācijā pamatotāku izvēli, kā arī paplašinās viņu iespējas uzlabot savu personas datu izmantošanu.

Stingras tiesības uz piekļuvi un datu pārnesamību, kā arī rezultatīvi nepiekrišanas mehānismi var kļūt par priekšnosacījumu, kas palielinātu lietotāju iespējas kontrolēt savus datus, un palīdzēt veicināt jaunu uzņēmējdarbības modeļu veidošanos un efektīvāku un pārredzamāku personas datu izmantošanu.

Iestrādājot sistēmās un procesos datu aizsardzību jau izstrādes posmā un pielāgojot datu aizsardzību, lai tā nodrošinātu lielāku pārredzamību un lietotāju kontroli, pārskatatbildīgi datu kontrolieri varēs ne tikai izmantot lielo datu sniegtās priekšrocības, bet arī garantēt privātpersonu cieņas un brīvību neaizskaršanu.

Tomēr datu aizsardzība ir tikai daļa no risinājuma. ES ir saskaņotāk jāizmanto pieejamie mūsdienīgie instrumenti, tostarp patērētāju tiesību aizsardzības, pretmonopolu, pētniecības un izstrādes jomā, lai tirgū, kur var attīstīties privātumam nekaitīgi pakalpojumi, nodrošinātu garantijas un izvēli.

Lai risinātu ar lielajiem datiem saistītos problēmjautājumus, mums jāsekmē inovācija un vienlaicīgi jāaizsargā pamattiesības. Patlaban uzņēmumiem un citām organizācijām, kas veltī lielas pūles personas datu inovatīvu pielietojumu meklējumiem, tikpat inovatīvi jāpievēršas datu aizsardzības tiesību aktu piemērošanai.

Pamatojoties uz akadēmiķu, daudzu regulatoru un ieinteresēto personu sniegto devumu, EDAU vēlas ES un ārpus tās veicināt jaunu atklātu un ar informāciju pamatotu diskusiju – ar plašāku pilsoniskās sabiedrības, izstrādātāju, uzņēmumu, akadēmiķu, publisko iestāžu un regulatoru līdzdalību – par to, kā vislabāk izmantot nozares radošo potenciālu, lai panāktu tiesību aktu īstenošanu un lietotāju privātuma un citu pamattiesību optimālu aizsardzību.

Lai risinātu ar lielajiem datiem saistītos problēmjautājumus, mums jāsekmē inovācija un vienlaicīgi jāaizsargā pamattiesības. Lai to izdarītu, iedibinātie Eiropas datu aizsardzības tiesību aktu principi būtu jāsaglabā, taču jāpiemēro jaunos veidos.

Sarunās par ierosināto Vispārīgo datu aizsardzības regulu patlaban norit pēdējie posmi. Esam aicinājuši ES likumdevējus pieņemt datu aizsardzības reformas paketi, kas nostiprina un modernizē tiesisko regulējumu, lai saglabātu tā iedarbīgumu lielo datu laikmetā, palielinot privātpersonu uzticēšanos un pārliecību tiešsaistes vidē un digitālajā vienotajā tirgū (3).

Atzinumā 3/2015, kam pievienoti ieteikumi visam ierosinātās regulas tekstam, mēs skaidri norādījām, ka līdzšinējiem datu aizsardzības principiem, tostarp vajadzīgumam, samērīgumam, datu minimizācijai, mērķa ierobežošanai un pārredzamībai, arī turpmāk jābūt jomas pamatprincipiem. Tie ir pamats, no kura sākt savu pamattiesību aizsargāšanu lielo datu pasaulē (4).

Vienlaikus šie principi jānostiprina un jāpiemēro iedarbīgāk, kā arī mūsdienīgākā, elastīgākā, radošākā un novatoriskākā veidā. Tie arī jāpapildina ar jauniem principiem, piemēram, pārskatatbildību un datu aizsardzību, kā arī integrēto un noklusēto privātumu.

Lielāka pārredzamība, stingras tiesības uz piekļuvi un datu pārnesamību un rezultatīvi nepiekrišanas mehānismi varētu kļūt par priekšnosacījumiem, kas palielinātu lietotāju iespējas kontrolēt savus datus, kā arī palīdzēt veicināt efektīvākus personas datu tirgus gan patērētāju, gan uzņēmēju interesēs.

Visbeidzot, lai mūsu tiesībaizsardzība būtu rezultatīva globālajā vidē, ļoti svarīgi ir arī paplašināt ES datu aizsardzības tiesību aktu tvērumu, to attiecinot arīdzan uz organizācijām, kuru mērķauditorija ir privātpersonas ES, kā arī ļaut datu aizsardzības iestādēm piemērot jēgpilnus tiesiskās aizsardzības līdzekļus, tostarp iedarbīgus sodus, kā paredzētu ierosinātā regula. Liela nozīme šajā jomā ir reformas procesam.

Lai nodrošinātu produktīvu tiesībaizsardzību, neatkarīgām datu aizsardzības iestādēm ir vajadzīgas ne tikai juridiskās pilnvaras un spēcīgi instrumenti, bet arī resursi, ar ko pielāgot savas spējas datu virzītas uzņēmējdarbības attīstībai.

Pienācīgs regulējums ir ļoti svarīgs, taču ar to nepietiek. Uzņēmumiem un citām organizācijām, kas veltī lielas pūles personas datu inovatīvu pielietojumu meklējumiem, tikpat inovatīvi būtu jācenšas ievērot datu aizsardzības principus. Savukārt datu aizsardzības iestādēm būtu jāpanāk reāla atbilstība, jāuzslavē par to, kā arī jānovērš nevajadzīga birokrātija un rakstu darbi.

Kā norādīts EDAU 2015.–2019. gada stratēģijā, tā mērķis ir palīdzēt šo centienu īstenošanā.

Mēs grasāmies izveidot ārēju ētikas padomdevēju grupu, kurā darbosies ievērojamas un neatkarīgas personas ar pieredzi vairākās nozarēs, kas spēj “pētīt cilvēktiesību, tehnoloģijas, tirgu un uzņēmējdarbības modeļu savstarpējo saistību 21. gadsimtā”, padziļināti analizēt lielo datu ietekmi, novērtēt to ieviestās pārmaiņas mūsu sabiedrībā, kā arī palīdzēt norādīt uz politiskā procesā risināmiem jautājumiem (5).

Mēs arī izstrādāsim godīgas informācijas politikas paraugu, kas var veicināt paraugpraksi visu datu kontrolieru darbā un būs īpaši paredzēts ES struktūrām, kuras sniedz tiešsaistes pakalpojumus.

Visbeidzot, mēs veicināsim diskusijas, kurās, piemēram, apzināt, veicināt un sekmēt paraugpraksi, ar ko palielināt pārredzamību un lietotāju kontroli personas datu krātuvēm un datu pārnesamības iespējām. EDAU grasās rīkot politikas veidotājiem, personām, kas ES iestādēs apstrādā lielu personiskas informācijas apmēru, un ārējiem ekspertiem paredzētu darbsemināru par lielo datu aizsardzību, noteikt jomas, kurās jāturpina īpašu norāžu izstrāde, un palīdzēt Interneta privātuma inženierijas tīklam (IPEN) darboties kā starpdisciplīnu zināšanu centram, kurā pulcējas inženieri un privātuma eksperti.

Briselē, 2015. gada 19. novembrī

Eiropas datu aizsardzības uzraudzītājs

Giovanni BUTTARELLI

(1) Sabiedrisko pakalpojumu komisija pret Pollak, 343 U.S. 451, 467 (1952) (tiesnesis William O. Douglas, atšķirīgais viedoklis).

(2) Eiropas Komisija 2012. gada 25. janvārī pieņēma Eiropas datu aizsardzības satvara reformas paketi. Paketi veido: i) “Paziņojums” (COM(2012) 9 galīgā redakcija); ii) priekšlikums vispārīgajai “Datu aizsardzības regulai” (“Ierosinātā regula”) (COM(2012) 11 galīgā redakcija); un iii) priekšlikums “Direktīvai” par datu aizsardzību krimināltiesību izpildes jomā (COM(2012) 10 galīgā redakcija).

(4) Mēs nedrīkstam ļauties kārdinājumam vājināt pašreizējo aizsardzības līmeni, cenšoties izpildīt šķietamu vajadzību pēc mazprasīgākas regulatīvās pieejas lielajiem datiem. Datu aizsardzībai arī turpmāk jāattiecas uz visu apstrādes procesu – ne tikai datu izmantošanu, bet arī to vākšanu. Nepamatots ir arī vispārējais izņēmums attiecībā uz pseidonimizētu vai publiski pieejamu datu apstrādi. Personas datu definīciju nedrīkst mainīt, taču regulā to varētu precizēt. Tai patiešām jāaptver visi dati, kas saistīti ar jebkuru privātpersonu, kuru datu pārzinis vai kāda cita puse ir identificējusi vai noteikusi vai varētu identificēt vai noteikt.