22.6.2011   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 181/1

1.

2010. gada 4. novembrī Komisija pieņēma paziņojumu ar nosaukumu “Vispusīga pieeja personas datu aizsardzībai Eiropas Savienībā” (“Paziņojums”) (3). Paziņojums nosūtīts EDAU, lai saņemtu atzinumu. EDAU atzinīgi novērtē to, ka Komisija ar to apspriedās saskaņā ar Regulas (EK) Nr. 45/2001 41. pantu. Arī pirms paziņojuma pieņemšanas EDAU bija iespēja izteikt neoficiālus komentārus. Daži komentāri ir ņemti vērā dokumenta galīgajā versijā.

2.

Šā paziņojuma mērķis ir noteikt Komisijas pieeju personas datu aizsardzības ES tiesiskās sistēmas pārskatīšanai visās Savienības rīcības jomās, jo īpaši ņemot vērā problēmas saistībā ar globalizāciju un jaunām tehnoloģijām (4).

3.

EDAU atzinīgi novērtē paziņojumu kopumā, jo ir pārliecināts, ka spēkā esošā personas datu aizsardzības ES tiesiskā regulējuma pārskatīšana ir nepieciešama, lai nodrošinātu efektīvu aizsardzību, turpinot attīstīt informācijas sabiedrību. Jau savā 2007. gada 25. jūlija atzinumā attiecībā uz Datu aizsardzības direktīvas īstenošanu (5) EDAU secināja, ka ilgtermiņā Direktīvas 95/46/EK grozījumi būs nenovēršami.

4.

Paziņojums ir nozīmīgs solis ceļā uz šādām tiesību aktu izmaiņām, kas savukārt būtu visnozīmīgākais attīstības posms ES datu aizsardzības jomā kopš Direktīvas 95/46/EK pieņemšanas, ko parasti uzskata par galveno datu aizsardzības stūrakmeni Eiropas Savienībā (un plašāk Eiropas Ekonomikas zonā).

5.

Paziņojums sniedz pareizo regulējumu mērķtiecīgai pārskatīšanai, jo tajā kopumā ir apzināti arī galvenie jautājumi un problēmas. EDAU piekrīt Komisijas viedoklim, ka nākotnē joprojām būs vajadzīga stingra datu aizsardzības sistēma, jo esošie vispārējie datu aizsardzības principi joprojām ir derīgi sabiedrībā, kurā straujas tehnoloģiju attīstības un globalizācijas dēļ notiek būtiskas izmaiņas. Tāpēc ir jāveic esošo tiesību aktu noteikumu pārskatīšana.

6.

Paziņojumā ir pareizi norādīts, ka problēmas ir milzīgas. EDAU pilnīgi piekrīt šim paziņojumam un norāda, ka piedāvātajiem risinājumiem ir jābūt tikpat vērienīgiem un jāveicina efektīva aizsardzība.

7.

Šajā atzinumā piedāvātie risinājumi ir novērtēti, pamatojoties uz šādiem diviem kritērijiem: vērienīgums un efektivitāte. Kopumā perspektīva ir pozitīva. EDAU atbalsta paziņojumu, taču tajā pašā laikā kritiski vērtē aspektus, kur, viņaprāt, lielāks vērienīgums radītu efektīvāku sistēmu.

8.

Ar šo atzinumu EDAU vēlas veicināt turpmāku datu aizsardzības tiesiskā regulējuma attīstību. EDAU gaida Komisijas priekšlikumu, kas paredzams 2011. gada vidū, un cer, ka tā ieteikumus ņems vērā šā priekšlikuma redakcijā. Turklāt viņš norāda, ka šķiet, ka Komisija no kopējā instrumenta ir izslēgusi noteiktas jomas, piemēram, datu apstrādi ES iestādēs un struktūrās. Ja Komisija tiešām nolemtu šajā posmā dažas jomas neaplūkot, par ko EDAU izteiktu nožēlu, viņš aicina Komisiju apņemties īsā un noteiktā laika posmā īstenot vispusīgu arhitektūru.

9.

Šis atzinums nav skatāms atsevišķi no citiem. Tā pamatā ir iepriekšējas nostājas, kas dažādos gadījumos ir bijušas EDAU un Eiropas datu aizsardzības iestādēm. Jo īpaši ir jāuzsver, ka jau pieminētajā EDAU 2007. gada 25. jūlija atzinumā bija norādīti un aplūkoti galvenie turpmāko izmaiņu elementi (6). Tāpat tā pamatā ir pārrunas ar ieinteresētajām personām privātuma un datu aizsardzības jomā. Viņu ieguldījums nodrošināja ļoti lietderīgu pamatu gan paziņojumam, gan šim atzinumam. Var secināt, ka ir zināms sinerģijas līmenis attiecībā uz to, kā uzlabot datu aizsardzības efektivitāti.

10.

Cits svarīgs šā atzinuma pamatelements ir dokuments ar nosaukumu “The Future of Privacy” (“Privātuma nākotne”) – 29. panta datu aizsardzības jautājumu darba grupas un policijas un tieslietu darba grupas kopējais ieguldījums apspriešanā, kuru Komisija uzsāka 2009. gadā (DG dokuments “Par privātuma nākotni”) (7).

11.

Pavisam nesen, 2010. gada 15. novembra preses konferencē, EDAU sniedza pirmo reakciju uz šo paziņojumu. Šajā atzinumā ir sīkāk izklāstīti vispārīgie uzskati, kas izvirzīti preses konferences laikā (8).

12.

Visbeidzot, šajā atzinumā ir izmantoti arī vairāki iepriekšējie EDAU atzinumi, kā arī 29. panta datu aizsardzības jautājumu darba grupas dokumenti. Attiecīgajos gadījumos atsauces uz šiem atzinumiem un dokumentiem ir atrodamas dažādās šā atzinuma vietās.

13.

Datu aizsardzības noteikumu pārskatīšana notiek ļoti svarīgā vēsturiskā brīdī. Paziņojumā konteksts ir izklāstīts ļoti plaši un pārliecinoši. Pamatojoties uz šo aprakstu, EDAU ir apzinājis četrus pamata dzinējspēkus, kas nosaka vidi, kādā notiek pārskatīšanas process.

14.

Pirmais dzinējspēks ir tehnoloģiju attīstība. Mūsdienu tehnoloģijas nav tādas pašas, kādas bija laikā, kad iecerēta un pieņemta Direktīva 95/46/EK. Tādas tehnoloģiju parādības kā mākoņdatošana, paradumorientētā reklāma, sociālie tīkli, ceļa nodevas iekasēšanas automāti un atrašanās vietas noteikšanas ierīces ļoti būtiski maina veidu, kādā apstrādā datus, un izraisa milzīgas datu aizsardzības problēmas. Eiropas datu aizsardzības noteikumu pārskatīšanai būs efektīvi jārisina šīs problēmas.

15.

Otrais dzinējspēks ir globalizācija. Aizvien plašāka tirdzniecības barjeru likvidēšana ir ļāvusi uzņēmējdarbībai izvērsties visā pasaulē. Pēdējos gados ir būtiski pieaugusi pārrobežu datu apstrāde un starptautiska datu nosūtīšana. Pateicoties informācijas un komunikāciju tehnoloģijām, datu apstrāde ir kļuvusi globāla: internets un mākoņdatošana ir ļāvusi lielu datu daudzumu apstrādi delokalizēt pasaules mērogā. Tāpat pēdējā desmitgadē ir pieaugušas starptautiskas policijas un tiesu iestāžu aktivitātes cīņā pret terorismu un cita veida starptautisko organizēto noziedzību, kas saistīts ar milzīgu informācijas apmaiņu tiesībaizsardzības nolūkos. Tas viss ir nopietns iemesls apsvērt, kā globalizētajā pasaulē var efektīvi nodrošināt personas datu aizsardzību, būtiski nekavējot starptautiskās apstrādes darbības.

16.

Trešais dzinējspēks ir Lisabonas līgums. Lisabonas līguma stāšanās spēkā iezīmē jaunu laikmetu datu aizsardzības jomā. LESD 16. pantā ir iekļautas ne tikai datu subjekta individuālās tiesības, bet arī ir noteikts tiešs tiesiskais pamats stingram visas ES mēroga tiesību aktam par datu aizsardzību. Turklāt pīlāru struktūras atcelšana nosaka Eiropas Parlamentam un Padomei pienākumu nodrošināt datu aizsardzību visās ES tiesību jomās. Citiem vārdiem sakot, tas dod iespēju noteikt vispusīgu datu aizsardzības tiesisko regulējumu, kas piemērojams privātajā sektorā, dalībvalstu valsts pārvaldes sektorā un ES iestādēs un struktūrās. Attiecībā uz to Stokholmas programma (9) pastāvīgi norāda, ka Eiropas Savienībai ir jānodrošina vispusīga stratēģija, lai aizsargātu datus ES iekšienē un attiecībās ar citām valstīm.

17.

Ceturtais dzinējspēks ir paralēlā attīstība, kas notiek starptautisko organizāciju kontekstā. Šobrīd notiek dažādas pārrunas, kas vērstas uz pašreizējo datu aizsardzības tiesisko instrumentu modernizēšanu. Attiecībā uz to noteikti jāpiemin apspriešana, kas risinās saistībā ar turpmāko Eiropas Padomes 108. konvencijas (10) ESAO privātuma vadlīniju pārskatīšanu (11). Vēl viena būtiska izstrāde ir saistīta ar starptautisko standartu pieņemšanu par personas datu un privātuma aizsardzību, kā rezultātā varētu pieņemt vispārēji saistošu instrumentu datu aizsardzības jomā. Visas šīs iniciatīvas ir pelnījušas pilnīgu atbalstu. To kopējam mērķim ir jābūt efektīvas un pastāvīgas aizsardzības nodrošināšanai tehnoloģiju vadītā un globalizētā vidē.

18.

Stingrs datu aizsardzības regulējums ir nepieciešamās sekas būtiskumam, kāds datu aizsardzībai piešķirts saskaņā ar Lisabonas līgumu, jo īpaši Eiropas Savienības Pamattiesību hartas 8. pantā un LESD 16. pantā, kā arī stingrā saikne ar hartas 7. pantu (12).

19.

Tomēr stingrs datu aizsardzības regulējums noder arī plašākām sabiedrības un privātām interesēm informācijas sabiedrībā, kur datu apstrāde notiek globālā mērogā. Datu aizsardzība veicina uzticēšanos, un uzticēšanās ir būtisks faktors, lai mūsu sabiedrība darbotos pareizi. Ir svarīgi datu aizsardzības pasākumus veidot tā, lai tie pēc iespējas aktīvi atbalstītu, nevis kavētu citas likumīgas tiesības un intereses.

20.

Svarīgi citu likumīgo interešu piemēri ir spēcīga Eiropas ekonomika, fizisku personu drošība, kā arī valdību pārskatatbildība.

21.

Ekonomiskā attīstība ES iet roku rokā ar jaunu tehnoloģiju un pakalpojumu ieviešanu un laišanu tirgū. Informācijas sabiedrībā informācijas un komunikāciju tehnoloģiju un pakalpojumu parādīšanās un sekmīga izvēršana ir atkarīga no uzticēšanās. Ja cilvēki neuzticas IKT, šīs tehnoloģijas visdrīzāk cietīs neveiksmi (13). Un cilvēki IKT uzticēsies vienīgi tad, ja viņu dati būs aizsargāti. Tādēļ datu aizsardzībai ir jābūt neatņemamai tehnoloģiju un pakalpojumu sastāvdaļai. Stingrs datu aizsardzības regulējums veicina Eiropas ekonomiku ar noteikumu, ka šis regulējums ir ne tikai stingrs, bet arī pareizi piemērots. Tādēļ šajā jomā būtu vajadzīga turpmāka saskaņošana ES līmenī un administratīvā sloga samazināšana (sk. atzinuma 5. nodaļu).

22.

Pēdējos gados ir daudz runāts par nepieciešamību līdzsvarot privātumu un drošību, jo īpaši attiecībā uz datu apstrādes un apmaiņas instrumentiem policijas un tiesu iestāžu sadarbības jomā (14). Datu aizsardzība bieži vien kļūdaini ir raksturota kā šķērslis pilnīgai personu fiziskās drošības aizsardzībai (15), vai arī vismaz kā nenovēršams noteikums, kas ir jāievēro tiesībaizsardzības iestādēm. Tomēr šis apstāklis neizsaka visu. Stingrs datu aizsardzības regulējums var uzlabot un pastiprināt drošību. Pamatojoties uz datu aizsardzības principiem, ja tie pareizi piemēroti, personas datu apstrādātājiem ir jānodrošina, lai informācija būtu rūpīga un aktuāla un lai liekā informācija, kas nav vajadzīga tiesībaizsardzības mērķiem, tiktu dzēsta no sistēmas. Tāpat var norādīt uz pienākumu īstenot tehnoloģiju un organizatoriskos pasākumus, lai nodrošinātu tādu sistēmas drošību, kā sistēmu aizsardzību pret neatļautu atklāšanu vai piekļuvi, kā tas ir datu aizsardzības jomā.

23.

Datu aizsardzības principu ievērošana varētu aizvien vairāk nodrošināt to, ka tiesībaizsardzības iestādes darbojas, ievērojot tiesiskumu, kas veicina uzticēšanos tām un tādēļ sekmē lielāku uzticēšanos mūsu sabiedrībā. Judikatūra, kas izstrādāta saskaņā ar Eiropas Cilvēktiesību konvencijas 8. pantu, nodrošina to, ka policija un tiesu iestādes var apstrādāt visus datus, kas būtiski to darbam, taču ne neierobežoti. Datu aizsardzībai nepieciešama līdzsvarota pieeja (sk. atzinuma 9. nodaļu par policiju un tiesu iestādēm).

24.

Demokrātiskā sabiedrībā valdība ir atbildīga par visām darbībām, tostarp par personas datu izmantošanu dažādām sabiedrības interesēm, kam tos izmanto. Tostarp ir datu publicēšana internetā, lai nodrošinātu pārredzamību, datu izmantošana, pamatojot politiku, piemēram, sabiedrības veselības, transporta vai nodokļu jomā, vai personu uzraudzība tiesībaizsardzības nolūkos. Stingrs datu aizsardzības regulējums ļauj valdībām labas pārvaldības ietvaros pildīt savus pienākumus un atbildēt par veiktajām darbībām.

25.

Paziņojumā ir pareizi norādīts, ka viens no būtiskākajiem pašreizējā regulējuma trūkumiem ir tas, ka dalībvalstīm ir piešķirta pārāk liela rīcības brīvība, īstenojot Eiropas noteikumus valsts tiesību aktos. Saskaņošanas trūkumam ir daudz negatīvu seku informācijas sabiedrībā, kur fiziskās robežas starp dalībvalstīm kļūst aizvien nebūtiskākas (sk. atzinuma 5. nodaļu).

26.

Pirmais un oficiālākais iemesls, kādēļ datu aizsardzības vispārīgos principus nevajadzētu un nevarētu mainīt, ir tiesiskā būtība. Šie principi ir noteikti Eiropas Padomes 108. konvencijā, kas ir saistoša visām dalībvalstīm. Šī konvencija ir datu aizsardzības pamatā ES. Turklāt daži pamatprincipi ir skaidri pieminēti Eiropas Savienības pamattiesību hartas 8. pantā. Lai mainītu šos principus, būtu jāmaina arī Līgumi.

27.

Tomēr tas neizsaka visu. Ir arī pakārtoti iemesli, kādēļ nevar mainīt vispārīgos principus. EDAU uzskata, ka informācijas sabiedrībai nevajadzētu un tā nevar darboties bez pienācīgas personu privātuma un personas datu aizsardzības. Jo vairāk informācijas apstrādā, jo labāka aizsardzība ir vajadzīga. Informācijas sabiedrībai, kur par katru tiek apstrādāts milzīgs informācijas apjoms, ir jāveidojas uz personas veiktas kontroles jēdziena, lai ļautu viņam(-ai) darboties kā individuālai personai un demokrātiskā sabiedrībā izmantot savas brīvības, piemēram, vārda un runas brīvību.

28.

Turklāt ir grūti iedomāties kontroli, ko veic persona, nenosakot pienākumus personas datu apstrādātājiem ierobežot apstrādi saskaņā ar nepieciešamības, samērīguma un nolūka ierobežojuma principiem. Tikpat grūti ir iedomāties kontroli, ko veic pati persona, ja nav atzītas datu subjekta tiesības, piemēram, tiesības piekļūt, labot, dzēst vai bloķēt datus.

29.

EDAU uzsver, ka datu aizsardzība ir atzīta par vienu no pamattiesībām. Tas nenozīmē, ka datu aizsardzībai demokrātiskā sabiedrībā vienmēr ir jābūt pārākai par citām būtiskām tiesībām un interesēm, taču tas ietekmē aizsardzības būtību un vērienu, kādam jābūt saskaņā ar ES tiesisko regulējumu, lai nodrošinātu to, ka datu aizsardzības prasības vienmēr ir pienācīgi ņemtas vērā.

30.

Šo būtiskāko ietekmi var definēt šādi:

EDAU iesaka Komisijai ņemt vērā šo ietekmi, ierosinot likumdošanas risinājumus.

31.

Paziņojumā ir pareizi uzsvērta nepieciešamība stiprināt likumdošanas kārtību attiecībā uz datu aizsardzību. Šajā kontekstā ir vērts atgādināt to, ka DG dokumentā “Par privātuma nākotni” (17) datu aizsardzības iestādes uzsvēra nepieciešamību ieviest stingrākas lomas datu aizsardzības jomas dalībniekiem, jo īpaši datu subjektiem, personas datu apstrādātājiem un pašām uzraudzības iestādēm.

32.

Šķiet, ka starp ieinteresētajām personām ir liela vienprātība par to, ka, ņemot vērā tehnoloģiju attīstību un globalizāciju, stingrāka likumdošanas kārtība ir ļoti būtiska ceļā uz vērienīgu un efektīvu datu aizsardzību arī nākotnē. Kā jau ir norādīts 7. punktā, šie ir EDAU novērtējuma kritēriji jebkuram ierosinātajam risinājumam.

33.

Kā ir atgādināts paziņojumā, Direktīva 95/46/EK ir piemērojama visām personas datu apstrādes darbībām dalībvalstīs gan valsts, gan privātajā sektorā, izņemot datu apstrādi tādu darbību gaitā, uz kuriem neattiecas bijušie Kopienas tiesību akti (18). Lai gan saskaņā ar bijušo Līgumu bija vajadzīgs šāds izņēmums, pēc Lisabonas līguma stāšanās spēkā tā vairs nav. Turklāt šāds izņēmums ir pretrunā LESD 16. panta tekstam un jebkurā gadījumā tā būtībai.

34.

EDAU uzskata, ka vispusīgs tiesiskais datu aizsardzības instruments, kurā ir iekļauta policijas un tiesu iestāžu sadarbība krimināllietās, ir jāuzskata par vienu no galvenajiem uzlabojumiem, ko var sniegt jaunais tiesiskais regulējums. Tas ir conditio sine qua non (nepieciešamais priekšnoteikums) efektīvai datu aizsardzībai nākotnē.

35.

Pamatojot šo apgalvojumu, EDAU uzver šādus argumentus:

36.

Iekļaujot policiju un tiesu iestādes vispārīgā tiesiskajā instrumentā, iegūs ne vien pilsoņi, saņemot lielākas garantijas, bet arī tiks atvieglots policijas iestāžu darbu. Dažādu noteikumu kopumu piemērošana ir apgrūtinoša, nevajadzīgi laikietilpīga un traucē starptautiskai sadarbībai (sk. tālāk atzinuma 9. nodaļu). Tas ir arguments par labu arī to apstrādes darbību iekļaušanai, ko veic valstu drošības dienesti, ciktāl tas ir iespējams saskaņā ar pašreizējiem ES tiesību aktiem.

37.

Periodu kopš Direktīvas 95/46/EK pieņemšanas 1995. gadā var raksturot kā tehnoloģiski vētrainu. Pastāvīgi tiek ieviestas jaunas tehnoloģiju izstrādes un ierīces. Daudzos gadījumos tas būtiski ir mainījis veidu, kādā tiek apstrādāti personas dati. Informācijas sabiedrību vairs nevar uzskatīt par paralēlu vidi, kurā personas var piedalīties brīvprātīgi, tā ir kļuvusi par neatņemamu mūsu ikdienas dzīves daļu. Piemēram “Lietiskā interneta” jēdziens (22) izveido saikni starp fiziskiem objektiem un ar tiem saistītu informāciju internetā.

38.

Tehnoloģijas turpinās attīstīties. Tas ietekmē jauno tiesisko regulējumu. Tiesiskajam regulējumam ir jābūt efektīvam ilgāku laiku, tajā pašā laikā nekavējot turpmāku tehnoloģiju attīstību. Tas nosaka, ka tiesiskajiem pasākumiem ir jābūt tehnoloģiski neitrāliem. Taču regulējumam ir jāsniedz lielāka tiesiskā noteiktība uzņēmumiem un personām. Tiem ir jāsaprot, ko no viņiem gaida un jāspēj īstenot savas tiesības. Tātad tiesiskajiem pasākumiem jābūt precīziem.

39.

EDAU uzskata, ka datu aizsardzības vispārējam tiesiskajam instrumentam ir jābūt formulētam tehnoloģiski pēc iespējas neitrālāk. Tas nozīmē, ka dažādo dalībnieku tiesības un pienākumi ir jāformulē vispārīgi un neitrāli, lai tie pēc būtības būtu spēkā esoši un īstenojami neatkarīgi no tā, kāda tehnoloģija ir izvēlēta personas datu apstrādei. Ņemot vērā tehnoloģijas attīstības tempu mūsdienās, citas iespējas nemaz nav. EDAU ierosina papildus esošajiem datu aizsardzības principiem ieviest jaunas “tehnoloģiski neitrālas” tiesības, kurām varētu būt īpaša nozīme strauji mainīgajā elektroniskajā vidē (sk. jo īpaši 6. un 7. nodaļu).

40.

Direktīva 95/46/EK pēdējos 15 gadus ir bijusi ES datu aizsardzības galvenais elements. Tā ir ieviesta dalībvalstu tiesību aktos un to piemēro dažādi dalībnieki. Laika gaitā piemērošana ir guvusi labumu no praktiskās pieredzes un izmantojusi Komisijas, datu aizsardzības iestāžu (valstu līmenī un 29. panta darba grupas ietvaros) un valstu un Eiropas tiesu norādījumus.

41.

Ir jāuzsver, ka šādai attīstībai ir vajadzīgs laiks, jo īpaši, ja runa ir par vispārīgo regulējumu, kas nosaka pamattiesības; šis laiks vajadzīgs, lai izveidotu tiesisko noteiktību un stabilitāti. Jauns vispārīgs tiesiskais instruments ir jāveido ar pārliecību, ka tas spēs izveidot tiesisko noteiktību un stabilitāti ilgākam laika periodam, paturot prātā, ka ir ļoti grūti paredzēt, kā turpmāk attīstīsies tehnoloģijas un globalizācija. Jebkurā gadījumā EDAU pilnībā atbalsta mērķi izveidot tiesisko noteiktību ilgākam laika periodam, salīdzinot ar Direktīvas 95/46/EK perspektīvu. Īsāk sakot, ja tehnoloģijas attīstās strauji, tiesību aktiem ir jābūt stabiliem.

42.

Īstermiņā ir būtiski nodrošināt esošās likumdošanas kārtības efektivitāti, pirmkārt, koncentrējoties uz izpildi valstu un ES līmenī (šā atzinuma 11. nodaļa).

43.

EDAU pilnībā atbalsta vispusīgu pieeju datu aizsardzībai, kas ir ne tikai paziņojuma virsraksts, bet arī izejas punkts, un tajā noteikti ir iekļauta vispārīgo noteikumu par datu aizsardzību paplašināšana saistībā ar jautājumiem par policijas un tiesu iestāžu sadarbību krimināllietās (23).

44.

Tomēr EDAU arī norāda, ka Komisija neplāno šajā vispārīgajā tiesiskajā instrumentā iekļaut visas datu apstrādes darbības. Proti, nebūs iekļauta datu apstrāde, ko veic ES iestādes, struktūras, biroji un aģentūras. Komisija norāda, ka tā “novērtēs nepieciešamību jaunajam vispārīgajam tiesiskajam regulējumam pielāgot citus tiesību aktus”.

45.

Ir skaidrs, ka EDAU dod priekšroku apstrādes iekļaušanai vispārīgajā tiesiskajā regulējumā ES līmenī. EDAU atgādina, ka tāds bija bijušā EKL 286. panta, kurā pirmo reizi Līguma līmenī bija minēta datu aizsardzība, sākotnējais nolūks. EKL 286. pantā vienkārši bija norādīts, ka tiesiskos instrumentus, kas attiecas uz personas datu apstrādi, piemēro arī iestādēm. Vēl būtiskāk ir tas, ka viena tiesību akta teksta pastāvēšana ļauj izvairīties no pretrunu riska starp noteikumiem un ir vispiemērotākais datu apmaiņai starp ES līmeņa un valsts un privātajām organizācijām dalībvalstīs. Turklāt tiek novērsts risks, ka pēc Direktīvas 95/46/EK grozīšanas vairs nebūs nekādas politiskās intereses grozīt Regulu (EK) Nr. 45/2001 vai piešķirt šiem grozījumiem pietiekamu prioritāti, lai izvairītos no spēkā stāšanās datumu neatbilstības.

46.

EDAU aicina Komisiju, gadījumā, ja tā secinās, ka apstrādes ES līmenī iekļaušana vispārējā tiesiskajā instrumentā nebūtu atbilstīga, apņemties visīsākajā iespējamajā termiņā un, vēlams, līdz 2011. gada beigām ierosināt Regulas (EK) Nr. 45/2001 pielāgošanu (nevis “novērtēt nepieciešamību”).

47.

Tikpat svarīgi ir tas, ka Komisija nodrošina, lai novārtā nepaliktu arī citas jomas, proti:

48.

Visbeidzot, vispārīgo datu aizsardzības tiesisko instrumentu var papildināt un tas ir jāpapildina ar papildu nozaru un īpašajiem noteikumiem, piemēram, attiecībā uz policijas un tiesu iestāžu sadarbību, kā arī attiecībā uz citām jomām (25). Ja ir vajadzīgs un saskaņā ar subsidiaritātes principu, šie papildu noteikumi ir jāpieņem ES līmenī. Ja tas ir pamatoti, īpašās jomās dalībvalstis var izstrādāt papildu noteikumus (sk. 5.2. sadaļu).

49.

Saskaņošanai ir ļoti būtiska nozīme ES datu aizsardzības tiesību aktos. Paziņojumā ir pareizi uzsvērts, ka iekšējam tirgum ir svarīga loma datu aizsardzībā, jo ir nepieciešams nodrošināt personas datu brīvu plūsmu starp dalībvalstīm iekšējā tirgū. Taču saskaņošanas līmenis saskaņā ar spēkā esošo direktīvu ir novērtēts kā neapmierinošs. Paziņojumā ir atzīts, ka šī ir viena no galvenajām bažām, ko atkārtoti paudušas ieinteresētās personas. Ieinteresētās personas jo īpaši uzsver nepieciešamību veicināt tiesisko noteiktību, samazināt administratīvo slogu un nodrošināt vienādus spēles noteikumus uzņēmumiem. Kā Komisija pareizi norāda, tas jo īpaši attiecas uz personas datu apstrādātājiem, kuri atrodas vairākās dalībvalstīs un kuriem ir jāievēro (iespējams atšķirīgās) datu aizsardzības tiesību aktu prasības (26).

50.

Saskaņošana ir būtiska ne tikai iekšējam tirgum, bet arī, lai nodrošinātu pienācīgu datu aizsardzību. LESD 16. pantā ir noteikts, ka “ikvienam” ir tiesības uz savu personas datu aizsardzību. Lai šīs tiesības varētu reāli ievērot, visā ES ir jābūt garantētam līdzvērtīgam aizsardzības līmenim. DG dokumentā “Par privātuma nākotni” ir uzsvērti vairāki noteikumi attiecībā uz to, ka datu subjekta pozīcijas visās dalībvalstīs netiek ieviestas vai interpretētas vienādi (27). Globalizētajā un savstarpēji saistītajā pasaulē šīs atšķirības varētu apdraudēt vai mazināt personu aizsardzību.

51.

EDAU uzskata, ka turpmāka un labāka saskaņošana ir viens no galvenajiem pārskatīšanas procesa mērķiem. EDAU atzinīgi novērtē Komisijas apņemšanos izpētīt iespējas panākt turpmāku datu aizsardzības saskaņošanu ES līmenī. Tomēr viņš ar zināmu pārsteigumu norāda, ka paziņojumā šajā posmā nav izvirzītas konkrētas iespējas. Tādēļ EDAU norāda dažas jomas, kurās steidzami nepieciešama lielāka konverģence (sk. 5.3. sadaļu). Turpmāka saskaņošana šajās jomās ir jāpanāk, ne tikai samazinot valstu rīcības brīvības robežas attiecībā uz tiesību aktiem, bet arī novēršot to, ka dalībvalstis veic nepareizu īstenošanu (sk. 11. nodaļu) un nodrošinot pastāvīgāku un koordinētāku izpildi (sk. arī 10. nodaļu).

52.

Direktīvā ir iekļauti vairāki noteikumi, kas ir plaši formulēti, sniedzot iespēju veikt atšķirīgu interpretāciju. Direktīvas 9. apsvērumā ir skaidri apstiprināts, ka dalībvalstīm ir sniegta noteikta rīcības brīvība un ka tādēļ var rasties atšķirības šīs direktīvas ieviešanā. Dažus noteikumus, tostarp arī ļoti būtiskus noteikumus, dalībvalstis ir ieviesušas atšķirīgi (28). Šī situācija nav apmierinoša, tāpēc būtu jāpanāk lielāka konverģence.

53.

Tas nenozīmē, ka atšķirības būtu jāizslēdz pilnībā. Dažās jomās varētu būt vajadzīga elastība, lai aizsargātu attaisnotu specifiku, svarīgas sabiedrības intereses vai dalībvalstu institucionālo autonomiju. EDAU uzskata, ka atšķirības starp dalībvalstīm būtu jāierobežo jo īpaši šādās īpašās situācijās:

54.

Definīcijas (Direktīvas 95/46/EK 2. pants). Definīcijas ir tiesību sistēmas stūrakmens, un tās visās dalībvalstīs būtu jāinterpretē vienādi bez jebkādas īstenošanas brīvības. Saskaņā ar spēkā esošo regulējumu ir radušās atšķirības, piemēram, attiecībā uz jēdzienu “personas datu apstrādātājs” (controller) (29). EDAU ierosina pašreizējā 2. panta sarakstam pievienot jaunus vienumus, lai nodrošinātu lielāku tiesisko noteiktību, piemēram, par anonīmajiem datiem, pseidonīmajiem datiem, tiesu datiem, datu nosūtīšanu un datu aizsardzības inspektoru.

55.

Apstrādes likumība (5. pants). Jaunajam tiesiskajam regulējumam ir jābūt pēc iespējas precīzākam attiecībā uz galvenajiem elementiem, kas nosaka datu apstrādes likumību. Direktīvas 5. pantā (kā arī 9. apsvērumā) dalībvalstīm ir noteikts pienākums precīzāk noteikt apstākļus, kādos apstrāde ir likumīga, tāpēc nākotnes regulējumā tas varētu nebūt vajadzīgs.

56.

Datu apstrādes pamatojumi (7. un 8. pants). Datu apstrādes noteikumu definēšana ir būtiskākais jebkura datu aizsardzības tiesību akta elements. Dalībvalstīm nevajadzētu atļaut ieviest papildu vai grozītus pamatojumus datu apstrādei vai izslēgt jau esošos. Noviržu iespēja ir jāizslēdz vai jāierobežo (jo īpaši attiecībā uz slepeniem datiem (30)). Jaunajā tiesiskajā instrumentā apstrādes pamatojumiem ir jābūt formulētiem skaidri, šādi samazinot novērtēšanas brīvību, piemērojot vai izpildot. Jo īpaši būtu jākonkretizē piekrišanas jēdziens (sk. 6.5. sadaļu). Turklāt pamatojums, ņemot vērā likumīgās personas datu apstrādātāja intereses (7. panta f) apakšpunkts), tā elastīgās būtības dēļ sniedz pārāk plašas interpretācijas iespējas. Ir vajadzīga turpmāka konkretizēšana. Vēl viens noteikums, kas, iespējams, ir jākonkretizē, ir 8. panta 2. punkta b) apakšpunkts, kurā ir atļauta slepeno datu apstrāde, ja tā vajadzīga, lai īstenotu personas datu apstrādātāja pienākumus un īpašās tiesības nodarbinātības tiesību jomā (31).

57.

Datu subjekta tiesības (10.–15. pants). Šī ir viena no jomām, kurā dalībvalstis nav konsekventi īstenojušas un interpretējušas visus direktīvas elementus. Datu subjektu tiesības ir efektīvas datu aizsardzības galvenais elements. Tādēļ manevrēšanas iespējas ir būtiski jāsamazina. EDAU ierosina, ka informācijai, kuru personas datu apstrādātājs nodrošina datu subjektam, ir jābūt vienādai visā ES.

58.

Starptautiska pārsūtīšana (25.–26. pants). Šī joma ir izraisījusi plašu kritiku tādēļ, ka tajā nav vienādas prakses visā ES. Ieinteresētās personas ir izteikušas kritiku, ka Komisijas lēmumi par pietiekamību dalībvalstīs tiek interpretēti un īstenoti ļoti atšķirīgi. “Saistošie uzņēmumu noteikumi” (BCR) ir vēl viens elements, kur EDAU iesaka veikt turpmāku saskaņošanu (sk. 9. nodaļu).

59.

Valstu datu aizsardzības iestādes (28. pants). Valstu DAI 27 dalībvalstīs ir pakļautas ļoti atšķirīgiem noteikumiem, jo īpaši attiecībā uz to statusu, resursiem un pilnvarām. 28. pants ir daļēji veicinājis šīs atšķirības, jo tas nav precīzi formulēts (32) un ir turpmāk jākonkretizē atbilstoši Eiropas Savienības Tiesas spriedumam lietā C-518/07 (33) (sk. turpmāk 10. nodaļā).

60.

Paziņošanas prasības (Direktīvas 95/46/EK 18.–21. pants) ir vēl viena joma, kurā līdz šim dalībvalstīm piešķirta būtiska brīvība. Paziņojumā ir pareizi atzīts, ka saskaņota sistēma samazinātu izmaksas, kā arī administratīvo slogu personas datu apstrādātājiem (34).

61.

Šī ir joma, kur galvenajam mērķim ir jābūt vienkāršošanai. Datu aizsardzības regulējuma pārskatīšana ir unikāla iespēja turpmāk vienkāršot un/vai samazināt pašreizējo paziņošanas prasību tvērumu. Paziņojumā ir atzīts, ka ieinteresēto personu vidū ir vispārīga vienprātība, ka pašreizējā paziņošanas sistēma ir diezgan apgrūtinoša un nerada pievienoto vērtību fizisku personu personas datu aizsardzībai (35). Tādēļ EDAU atzinīgi novērtēja Komisijas apņemšanos izpētīt dažādas iespējas, kā vienkāršot esošo paziņošanas sistēmu.

62.

EDAU uzskata, ka šīs vienkāršošanas izejas punkts būtu pāreja no sistēmas, kur paziņošana ir obligāts noteikums,, ja vien nav noteikts citādi (t. i., “izņēmumu sistēma”), uz mērķtiecīgāku sistēmu. Izņēmumu sistēma ir izrādījusies neefektīva, jo dalībvalstīs tika īstenota nekonsekventi (36). EDAU ierosina apsvērt šādas alternatīvas:

Papildus varētu ieviest visā Eiropā paziņojuma standartveidlapu, lai nodrošinātu saskaņotu pieeju attiecībā uz pieprasīto informāciju.

63.

Pašreizējās paziņošanas sistēmas pārskatīšana nedrīkst kaitēt iepriekšējās pārbaudes pienākuma uzlabošanai noteiktiem apstrādes pienākumiem, kas varētu radīt īpašu risku (piemēram, plaša mēroga informācijas sistēmas). EDAU atbalstītu daļēja to gadījumu saraksta iekļaušanu tiesiskajā instrumentā, kuriem ir vajadzīga šāda iepriekšējā pārbaude. Šim nolūkam lietderīgs paraugs ir Regula (EK) Nr. 45/2001 par personas datu apstrādi ES iestādēs un struktūrās (37).

64.

EDAU uzskata, ka pārskatīšanas process ir arī iespēja no jauna apsvērt datu aizsardzības tiesiskā instrumenta veidu. Regula, vienots instruments, kas tieši piemērojams dalībvalstīs, ir visefektīvākais līdzeklis datu aizsardzības pamattiesību aizsargāšanai un reāla iekšējā tirgu, kur var notikt brīva personas datu aprite un kur aizsardzības līmenis ir vienlīdzīgs neatkarīgi no valsts vai sektora, kurā dati tiek apstrādāti.

65.

Regula samazinātu iespēju veikt pretrunīgu interpretāciju un nepamatotas atšķirības, īstenojot un piemērojot tiesību aktus. Tā arī samazinātu to, cik būtiski ir noteikt tiesību aktus, kas piemērojami apstrādes darbībām ES, kas ir viens no pretrunīgākajiem esošās sistēmas aspektiem (sk. 9. nodaļu).

66.

Datu aizsardzības jomā regula būtu daudz pamatotāka, jo:

67.

Regulas kā vispārīgā instrumenta izvēle vajadzības gadījumā ļauj noteikumus adresēt dalībvalstīm, kur ir nepieciešams elastīgums. Tas arī neietekmē dalībvalstu kompetenci vajadzības gadījumā pieņemt papildu noteikumus datu aizsardzībai saskaņā ar ES tiesību aktiem.

68.

EDAU pilnībā atbalsta paziņojumu, kur ir ierosināts nostiprināt fizisku personu tiesības, jo esošie tiesiskie instrumenti nesniedz pilnīgi efektīvu aizsardzību, kas nepieciešama aizvien sarežģītākajā digitalizētajā pasaulē.

69.

Pirmkārt, digitalizētās pasaules attīstība ir saistīta ar strauju personas datu vākšanas, izmantošanas un nosūtīšanas ļoti sarežģītā un nepārredzamā veidā, pieaugumu. Fiziskas personas bieži vien nezina vai neizprot, kā tas notiek, kas vāc viņu datus un kādā veidā notiek kontrole. Šīs parādības piemērs ir tas, kā reklāmu tīkla nodrošinātāji, izmantojot sīkdatnes un līdzīgas ietaises, novēro fizisku personu darbības tīmekļa meklētājos, lai veiktu mērķtiecīgu reklamēšanu. Kad lietotāji apmeklē tīmekļa vietnes, tie nezina, ka kāda neredzama trešā persona atzīmē šādus apmeklējumus un veido lietotāju reģistru, kas balstīts uz informāciju par viņu dzīvesveidu, par to, kas tiem patīk vai nepatīk.

70.

Otrkārt, attīstība stimulē fiziskas personas aizvien aktīvāk kopīgot personas informāciju, piemēram, sociālajos tīklos. Aizvien vairāk jaunu cilvēku piedalās sociālajos tīklos un sazinās ar domubiedriem. Ir šaubas par to, vai (gados jauni) cilvēki apzinās šādas publiskošanas mērogu un savu darbību ilgtermiņa ietekmi.

71.

Pārredzamībai ir ļoti liela nozīme jebkurā datu aizsardzības shēmā, ne tikai tai raksturīgās vērtības dēļ, bet arī tādēļ, ka tā ļauj īstenot arī citus datu aizsardzības principus. Vienīgi tad, ja personas zina par datu apstrādi, tās spēs īstenot savas tiesības.

72.

Pārredzamība ir aplūkota vairākos Direktīvas 95/46/EK noteikumos. 10. un 11. pantā ir noteikts pienākums sniegt personām informāciju par to, ka tiek vākti viņu personas dati. Turklāt 12. pantā ir atzītas viņu tiesības saņemt personas datu kopiju saprotamā formā (piekļuves tiesības). 15. pantā ir atzītas tiesības piekļūt loģiskajai operācijai, kurā tiek gatavoti automatizēti lēmumi, kas rada juridiskas sekas. Visbeidzot, bet ne mazāk svarīgi, 6. panta 1. punkta a) apakšpunkts, kurā ir noteikts, ka apstrādei ir jābūt godīgai, arī ir saistīts ar pārredzamības prasību. Personas datus nedrīkst apstrādāt slēptiem vai slepeniem nolūkiem.

73.

Paziņojumā ir ierosināts pievienot vispārīgu pārredzamības principu. Atbildot uz šo ierosinājumu, EDAU uzsver, ka pārredzamības jēdziens jau ir neatņemama pašreizējā datu aizsardzības tiesiskā regulējuma daļa, taču netiešā veidā. Tas izriet no dažādiem noteikumiem, kas attiecas uz pārredzamību, kā ir norādīts iepriekšējā punktā. EDAU uzskata, ka tiešai pārredzamības principa ieviešanai, saistītai vai nesaistītai ar esošajiem godīgas apstrādes noteikumiem, varētu būt pievienotā vērtība. Tas palielinātu tiesisko noteiktību un arī apstiprinātu to, ka personas datu apstrādātājam jebkuros apstākļos, ne tikai pēc pieprasījuma vai tad, kad to nosaka īpašas tiesiskās normas, personas dati ir jāapstrādā pārredzamā veidā.

74.

Tomēr iespējams, ka ir daudz svarīgāk nostiprināt esošos noteikumus, kas attiecas uz pārredzamību, piemēram, esošais Direktīvas 95/46/EK 10. un 11. pants. Šajos noteikumos ir noteikti informācijas elementi, kas ir jānodrošina, taču nav precizēta kārtība. Konkrētāk, EDAU ierosina nostiprināt esošos noteikumus, nosakot:

75.

EDAU atbalsta to, ka vispārīgajā instrumentā ir jāiekļauj noteikums par paziņošanu par personas datu pārkāpumu, kas paplašina pienākumu, kurš bija iekļauts pārskatītajā e-Privātuma direktīvā noteiktiem sniedzējiem līdz visiem personas datu apstrādātājiem, kā ir ierosināts paziņojumā. Saskaņā ar pārskatīto e-Privātuma direktīvu pienākums attiecas tikai uz elektroniskās saziņas pakalpojumu sniedzējiem (telefonijas (tostarp VoIP) pakalpojuma un interneta piekļuves sniedzējiem). Uz citiem personas datu apstrādātājiem šis pienākums neattiecas. Iemesli, kas attaisno pienākumu, pilnībā attiecas arī uz citiem personas datu apstrādātājiem, kas nav elektroniskās saziņas pakalpojumu sniedzēji.

76.

Paziņojumu par drošības pārkāpumu var izmantot dažādiem nolūkiem un mērķiem. Visacīmredzamākais, kas uzsvērts paziņojumā, ir tā izmantojums informēšanas rīka veidā, kas fiziskām personām liek apzināties risku, ar ko tie sastopas, ja viņu personas dati ir nokļuvuši atklātībā. Tas viņiem var palīdzēt veikt nepieciešamos pasākumus, lai mazinātu šo risku. Piemēram, uzzinājušas par pārkāpumiem, kas skar viņu finanšu informāciju, fiziskas personas, cita starpā, varēs nomainīt paroles vai anulēt kontus. Turklāt paziņojumi par drošības pārkāpumiem veicina efektīvu citu direktīvā norādīto principu un pienākumu piemērošanu. Piemēram, prasības par drošības pārkāpuma paziņošanu rosina personas datu apstrādātājus īstenot stingrākus drošības pasākumus, lai novērstu drošības pārkāpumus. Drošības pārkāpums ir arī rīks, lai stiprinātu personas datu apstrādātāju atbildību un veicinātu pārskatatbildību (sk. 7. nodaļu). Visbeidzot, tas izmantojams kā DAI noteikumu izpildes rīks. Paziņojums par pārkāpumu var rosināt DAI veikt vispārējas personas datu apstrādātāju prakses izmeklēšanu.

77.

Īpašos noteikumus par drošības pārkāpumiem grozītajā e-Privātuma direktīvā plaši apsprieda tiesiskā regulējuma parlamentārajā posmā, kas risinājās pirms e-Privātuma direktīvas pieņemšanas. Šajās sarunās tika ņemti vērā 29. panta darba grupas un EDAU atzinumi, kā arī citu ieinteresēto personu viedokļi. Noteikumos ir atspoguļoti dažādu ieinteresēto personu viedokļi. Tie pārstāv līdzsvarotas intereses: lai gan kritēriji, kas nosaka pienākumu paziņot, būtībā, ir atbilstīgi, lai aizsargātu fiziskas personas, tie tomēr nerada ne pārlieku apgrūtinājumu, ne nelietderīgas prasības.

78.

Datu aizsardzības direktīvas 7. pantā ir norādīti seši juridiskie pamatojumi personas datu apstrādei. Viens no tiem ir fiziskas personas piekrišana. Personas datu apstrādātājam ir atļauts apstrādāt personas datus tādā apjomā, par kādu fiziskās personas ir devušas apzinātu piekrišanu, lai viņu dati tiktu vākti un turpmāk apstrādāti.

79.

Praksē lietotājiem ir ierobežota kontrole pār saviem datiem, jo īpaši tehnoloģiju vidē. Viena no metodēm, ko reizēm lieto, ir netieša piekrišana, kas ir piekrišana, kura ir varbūtēja. Tā var izrietēt no fiziskas personas darbības (piemēram, tas, ka tiek izmantota tīmekļa vietne, tiek uzskatīts par piekrišanu reģistrēt lietotāja datus tirgvedības nolūkiem). Tāpat tas var izrietēt no klusēšanas vai bezdarbības (ķeksīša neizņemšana no atzīmētas rūtiņas ir uzskatāma par piekrišanu).

80.

Saskaņā ar direktīvu, lai piekrišana būtu derīga, tai jābūt apzinātai, brīvprātīgi sniegtai un konkrēti norādītai. Tai ir jābūt apzinātai fiziskas personas vēlmju paušanai, ar ko tā norāda, ka piekrīt tās personas datu apstrādei. Veidam, kādā tiek sniegta piekrišana, ir jābūt nepārprotamam.

81.

Piekrišana, kas izrietējusi no darbības vai jo īpaši no klusēšanas vai bezdarbības, bieži vien nav nepārprotama piekrišana. Tomēr bieži vien nav skaidrs, kas ir patiesa, nepārprotama piekrišana. Daži personas datu apstrādātāji izmanto šo neskaidrību, lietojot metodes, kas nav piemērotas, lai iegūtu patiesu un nepārprotamu piekrišanu.

82.

Ņemot vērā iepriekš minēto, EDAU atbalsta Komisijas viedokli, ka ir jānoskaidro piekrišanas robežas un jāpārliecinās, ka vērā tiek ņemta vienīgi skaidri sniegta piekrišana. Šajā kontekstā EDAU ierosina (39):

83.

Datu pārnesamība un tiesības būt aizmirstam ir divi saistīti jēdzieni, kuri izvirzīti paziņojumā, lai nostiprinātu datu subjektu tiesības. Tie papildina principus, kas jau ir minēti direktīvā, nodrošinot datu subjektam tiesības iebilst pret turpmāku viņa(-as) personas datu apstrādi un pienākumu personas datu apstrādātājam dzēst informāciju, tiklīdz tā vairs nav vajadzīga apstrādes nolūkiem.

84.

Šiem diviem jaunajiem jēdzieniem lielākā pievienotā vērtība ir informācijas sabiedrības kontekstā, kur aizvien lielāks datu apjoms tiek automātiski saglabāts un uzglabāts nenoteiktu laika periodu. Prakse liecina, ka arī tad, ja datus ir augšupielādējis datu subjekts, kontroles iespējas, kas tam reāli ir pār saviem personas datiem, praksē ir ļoti ierobežotas. Jo īpaši tas ir patiesi, ņemot vērā milzīgo atmiņu, kāda šobrīd ir internetā. Turklāt, no ekonomikas viedokļa, personas datu apstrādātājam daudz dārgāk izmaksā dzēst datus, nekā tos uzglabāt. Tādēļ fiziskas personas tiesību īstenošana ir pretrunā dabiskām ekonomiskām tendencēm.

85.

Gan datu pārnesamība, gan tiesības būt aizmirstam varētu veicināt līdzsvara maiņu par labu datu subjektam. Datu pārnesamības mērķis būtu sniegt fiziskai personai lielāku kontroli pār savu informāciju, savukārt tiesības būt aizmirstam nodrošinātu, ka informācija pēc noteikta laika perioda pazūd arī tad, ja datu subjekts nav rīkojies vai pat nemaz nav zinājis, ka dati ir bijuši saglabāti.

86.

Konkrētāk, datu pārnesamība ir saprotama kā lietotāja spēja mainīt izvēli attiecībā uz viņa datu apstrādi, jo īpaši saistībā ar jauniem tehnoloģiju pakalpojumiem. Tas aizvien vairāk attiecas uz pakalpojumiem, kas saistīti ar informācijas, tostarp personas datu, piemēram, mobilā tālruņa un pakalpojumiem, kas saglabā attēlus, e-pastu un citu informāciju, uzglabāšanu, reizēm izmantojot mākoņdatošanas pakalpojumus.

87.

Fiziskām personām ir jābūt iespējai viegli un brīvi mainīt pakalpojumu sniedzēju un pārsūtīt personas datus citam sniedzējam. EDAU uzskata, ka esošās tiesības, kas noteiktas Direktīvā 95/46/EK, varētu pastiprināt, iekļaujot pārnesamības tiesības, jo īpaši informācijas sabiedrības pakalpojumu kontekstā, lai palīdzētu fiziskām personām nodrošināt, ka sniedzēji un citi saistīti personas datu apstrādātāji sniedz tiem piekļuvi viņu personīgajai informācijai, tajā pašā laikā nodrošinot, lai iepriekšējie sniedzēji vai personas datu apstrādātāji dzēstu šo informāciju arī tad, ja tie vēlētos to paturēt saviem likumīgiem nolūkiem.

88.

Jaunas tiesību aktā noteiktas “tiesības būt aizmirstam” nodrošinātu personas datu dzēšanu vai aizliegumu tos lietot turpmāk bez nepieciešamības datu subjektam veikt darbības, taču ar noteikumu, ka šie dati jau ir glabāti noteiktu laiku. Citiem vārdiem sakot, datiem tiktu piešķirts sava veida derīguma termiņš. Šāds princips jau ir apstiprināts valstu tiesu lietās vai tiek piemērots konkrētos sektoros, piemēram, policijas datnēm, krimināllietu ierakstiem vai disciplinārām datnēm: dažu valstu tiesību aktos informācija par fiziskām personām tiek automātiski dzēsta vai to nedrīkst tālāk apstrādāt vai izplatīt, jo īpaši pēc noteikta laika perioda, turklāt nav nepieciešama iepriekšēja katra gadījuma analīze.

89.

Šajā sakarā jaunās “tiesības būt aizmirstam” būtu jāsaista ar datu pārnesamību. Pievienotā vērtība, ko tas varētu sniegt, ir tā, ka tas neprasītu nekādas pūles vai uzstājību no datu subjekta puses, lai dati tiktu dzēsti, jo tam būtu jānotiek objektīvā un automātiskā veidā. Vienīgi ļoti īpašos apstākļos, kad varētu būt īpaša nepieciešama datus saglabāt ilgāk, datu apstrādātājam varētu būt tiesības tos saglabāt. Šīs “tiesības būt aizmirstam” pārnestu pierādīšanas pienākumu no fiziskas personas uz personas datu apstrādātāju un personas datu apstrādei noteiktu “noklusējuma privātuma” iestatījumu.

90.

EDAU uzskata, ka tiesības būt aizmirstam varētu izrādīties īpaši noderīgas informācijas sabiedrības pakalpojumu kontekstā. Pienākums pēc noteikta laika perioda dzēst vai turpmāk neizplatīt informāciju īpaši būtisks ir plašsaziņas līdzekļos vai internetā, visvairāk sociālajos tīklos. Attiecībā uz termināla iekārtām būtu lietderīgi arī, ja tie vairs nav fiziskas personas valdījumā, dati, ko uzglabā uz pārnēsājamām iekārtām vai datoriem pēc noteikta laika perioda tiek automātiski dzēsti vai bloķēti. Šādā nozīmē tiesības būt aizmirstam var izskaidrot kā “integrētās privātuma aizsardzības” pienākumu.

91.

Kopumā EDAU uzskata, ka datu pārnesamība un tiesības būt aizmirstam ir lietderīgi jēdzieni. Varētu būt noderīgi tos iekļaut tiesiskajā instrumentā, bet, iespējams, aprobežojoties ar elektronisko vidi.

92.

Saskaņā ar Direktīvu 95/46/EK nav nekādu īpašu noteikumu par bērnu personas datu apstrādi. Tajā nav atzīts, ka īpašos apstākļos būtu nepieciešama īpaša aizsardzība to neaizsargātības dēļ un tādēļ, ka tas rada tiesisko nenoteiktību, jo īpaši šādās jomās:

93.

EDAU uzskata, ka bērnu intereses būtu labāk aizsargātas, ja jaunajā tiesiskajā instrumentā būtu iekļauti papildu noteikumi, kas īpaši attiecas uz bērnu personas datu vākšanu un turpmāku apstrādi. Šādi īpaši noteikumi nodrošinātu arī tiesisko noteiktību šajā īpašajā jomā, un tas būtu noderīgi personas datu apstrādātājiem, kuri šobrīd ir pakļauti dažādām tiesiskām prasībām.

94.

EDAU ierosina tiesiskajā instrumentā iekļaut šādus noteikumus:

95.

Fiziskas personas tiesību nostiprināšanai nebūtu jēgas, ja trūktu efektīva procesuāla mehānisma, lai īstenotu šīs tiesības. Šajā kontekstā EDAU iesaka ES tiesību aktos iekļaut kolektīvās tiesiskās aizsardzības mehānismus datu aizsardzības pārkāpuma gadījumā. Jo īpaši kolektīvās tiesiskās aizsardzības mehānismus, kas ļautu pilsoņu grupām apvienot savas prasības vienotā rīcībā, varētu būt iedarbīgs rīks, lai atvieglotu datu aizsardzības noteikumu īstenošanu (42). Šo jauninājumu DG dokumentā “Par privātuma nākotni” atbalstīja datu aizsardzības iestādes.

96.

Gadījumos, kad ietekme ir neliela, maz ticams, ka datu aizsardzības noteikumu pārkāpumā cietušie pret datu apstrādātājiem iesniegtu individuālas prasības, ņemot vērā izmaksas, laika patēriņu, neskaidrības, riskus un apgrūtinājumus, kas tiem rastos. Šīs grūtības var pārvarēt vai būtiski atvieglot, ja ir kolektīvās tiesiskās aizsardzības sistēma, kas pārkāpumu upuriem ļauj apvienot savas individuālās prasības vienotā rīcībā. EDAU atbalstītu arī kvalificētu iestāžu, piemēram, patērētāju asociāciju vai valsts iestāžu, pilnvarojumu iesniegt prasības par zaudējumu atlīdzību datu aizsardzības noteikumu pārkāpumu upuru vārdā. Šīs prasības nedrīkstētu kaitēt datu subjekta tiesībām iesniegt individuālas prasības.

97.

Kolektīvās prasības ir svarīgas ne tikai, lai nodrošinātu pilnīgu kompensāciju vai cita veida korektīvu darbību, tās netieši īsteno arī atturošu funkciju. Risks, ka saskaņā ar šādām prasībām varētu būt jāatlīdzina lieli kolektīvie zaudējumi, palielinātu datu apstrādātāju centienus efektīvi nodrošināt atbilstību. Attiecībā uz to uzlabota privāta izpilde, izmantojot kolektīvās tiesiskās aizsardzības mehānismus, papildinātu valsts izpildiestāžu darbību.

98.

Paziņojumā nav norādīta nostāja attiecībā uz šo tematu. EDAU ir zināms par notiekošajām sarunām Eiropas līmenī par patērētāju kolektīvās tiesiskās aizsardzības ieviešanu. Tāpat, pamatojoties uz pieredzi citās tiesību sistēmās, EDAU apzinās pārmērīguma risku, ko varētu radīt šādi mehānismi. Taču viņš uzskata, ka šie faktori nav pietiekami, lai, ņemot vērā ieguvumus, ko tie sniegtu, noraidītu vai atliktu to ieviešanu datu aizsardzības tiesību aktos (43).

99.

EDAU uzskata, ka papildus fizisku personu tiesību nostiprināšanai mūsdienīgā juridiskajā instrumentā ir jābūt iekļautiem arī vajadzīgajiem rīkiem, kas palielinātu datu apstrādātāju atbildību. Vēl konkrētāk, regulējumā ir jābūt iekļautiem pamudinājumiem datu apstrādātājiem privātajā vai valsts pārvaldes sektorā savas uzņēmējdarbības procesos aktīvi iekļaut datu aizsardzības pasākumus. Šie rīki, pirmkārt, būtu lietderīgi, jo, kā iepriekš minēts, tehnoloģiju attīstības rezultātā strauji ir pieaugusi personas datu vākšana, lietošana un pārsūtīšana, kas palielina riskus privātumam un fizisku personu personas datu aizsardzībai, un tie ir efektīvi jākompensē. Otrkārt, pašreizējā regulējumā nav – izņemot dažus pienācīgi definētus noteikumus – (sk. turpmāk), šādu rīku, un personas datu apstrādātāji varētu īstenot reaģējošu pieeju datu aizsardzībai un privātumam un rīkoties vienīgi tad, kad problēma ir radusies. Šāda pieeja atspoguļojas statistikā, kas liecina par vāju atbilstības praksi un datu nozaudēšanu kā problēmu, kas atkārtojas.

100.

EDAU uzskata, ka esošais regulējums nav pietiekams, lai šajos un nākotnes apstākļos efektīvi aizsargātu personas datus. Jo lielāks ir risks, jo lielāka vajadzība īstenot konkrētus pasākumus, kas informāciju aizsargā praktiskā līmenī un sniedz efektīvu aizsardzību. Ja vien aktīvie pasākumi netiks īstenoti de facto, kļūdas, neveiksmes un nolaidība visticamāk turpināsies, apdraudot fizisku personu privātumu šajā aizvien vairāk digitalizētajā sabiedrībā. Lai to panāktu, EDAU ierosina šādus pasākumus.

101.

EDAU ierosina juridiskajā instrumentā iekļaut jaunu noteikumu, pieprasot datu apstrādātājiem ieviest atbilstīgus un efektīvus pasākumus, lai īstenotu tiesiskā instrumenta principus un pienākumus un pēc pieprasījuma varētu to pierādīt.

102.

Šāda veida noteikums nav pavisam jauns. Direktīvas 95/46/EK 6. panta 2. punktā ir atsauce uz principiem, kas saistīti ar datu kvalitāti, un ir minēts, ka “personas datu apstrādātājam jānodrošina 1. punkta izpilde”. Tāpat arī 17. panta 1. pantā ir noteikts, ka personas datu apstrādātājiem ir jāīsteno atbilstoši tehniski un organizatoriski pasākumi. Tomēr šiem noteikumiem ir ierobežots tvērums. Vispārēja noteikuma par pārskatatbildību iekļaušana rosinātu personas datu apstrādātājus īstenot aktīvus pasākumus, lai varētu atbilst visiem datu aizsardzības likuma elementiem.

103.

Noteikumam par pārskatatbildību būtu tādas sekas, ka personas datu apstrādātājiem būtu pienākums īstenot iekšējus mehānismus un kontroles sistēmas, nodrošinot atbilstību regulējuma principiem un pienākumiem. Piemēram, tas nozīmētu, ka augstākā līmeņa vadībai būtu jāiesaistās datu aizsardzības politikā, plānošanas procedūrās, lai nodrošinātu skaidru visu datu apstrādes procedūru identifikāciju, izmantojot saistošu datu aizsardzības politiku, kas arī ir pastāvīgi jāpārskata un jāatjaunina, lai iekļautu jaunās datu apstrādes operācijas, ievērojot datu kvalitātes, paziņojuma, drošības, piekļuves utt. principus. Tas arī noteiktu, ka personas datu apstrādātājiem ir jāsaglabā pierādījumi, lai iestādēm pēc pieprasījuma varētu pierādīt atbilstību. Arī atbilstības pierādīšana plašai sabiedrībai atsevišķos gadījumos būtu jānosaka kā obligāta. To varētu izdarīt, piemēram, pieprasot personas datu apstrādātājiem iekļaut datu aizsardzību publiskos (gada) pārskatos, kad šie pārskati ir obligāti saskaņā ar citiem pamatojumiem.

104.

Protams, ka ieviešamo iekšējo un ārējo pasākumu veidiem ir jābūt atbilstīgiem un atkarīgiem no katra atsevišķa gadījuma faktiem un apstākļiem. Ir atšķirība, vai personas datu apstrādātājs apstrādā pāris simtu klientu ierakstus, kur ietverti tikai vārdi un adreses, vai tas apstrādā miljoniem pacientu ierakstus, tostarp viņu slimības vēsturi. Tas pats attiecas uz īpašiem veidiem, kādos būtu jānovērtē pasākumu efektivitāte. Ir nepieciešama mērogojamība.

105.

Vispārīgam vispusīgajam datu aizsardzības tiesiskajam instrumentam nevajadzētu noteikt īpašas pārskatatbildības prasības, bet vienīgi tās galvenos elementus. Paziņojumā ir paredzēti atsevišķi elementi, lai pastiprinātu personas datu apstrādātāju atbildību, kas ir ļoti atzīstami. Vēl vairāk, EDAU pilnībā atbalsta to, ka noteiktos apstākļos datu aizsardzības ierēdņiem un privātuma ietekmes novērtējumiem būtu jābūt obligātiem.

106.

Turklāt EDAU saskaņā ar LESD 290. pantu iesaka deleģēt Komisijai pilnvaras papildināt pamata prasības, kas nepieciešamas, lai atbilstu pārskatatbildības standartam. Šādu pilnvaru izmantošana veicinātu personas datu apstrādātāju tiesisko noteiktību un atbilstības saskaņošanu visā ES. Izstrādājot šādu īpašu instrumentu, būtu jāapspriežas ar 29. panta darba grupu un EDAU.

107.

Visbeidzot, konkrētus pārskatatbildības pasākumus, kas jāīsteno personas datu apstrādātājiem, varētu noteikt arī datu aizsardzības iestādes savu izpildes pilnvaru ietvaros. Lai to izdarītu, datu aizsardzības iestādēm būtu jāpiešķir jaunas pilnvaras, kas ļautu tām noteikt korektīvus pasākumus vai sankcijas. Piemēri varētu būt iekšēju atbilstības programmu izveide, lai ieviestu integrētu privātuma aizsardzību konkrētās precēs vai pakalpojumos utt. Korektīvi pasākumi ir jāpiemēro vienīgi, ciktāl tas ir atbilstīgi, samērīgi un lietderīgi, lai nodrošinātu atbilstību piemērojamajiem un īstenojamajiem tiesiskajiem standartiem.

108.

Integrēta privātuma aizsardzība attiecas uz datu aizsardzības un privātuma integrēšanu, sākot jau ar to preču, pakalpojumu un procedūru ieceri, kas saistītas ar personas datu apstrādi. EDAU uzskata, ka integrēta privātuma aizsardzība ir pārkatatbildības elements. Attiecīgi, personas datu apstrādātājiem būtu prasīts pierādīt, ka tie atbilstīgos gadījumos īsteno integrēto privātuma aizsardzību. Nesen Datu aizsardzības un privātuma komisāru 32. starptautiskajā konferencē pieņēma rezolūciju, kurā bija atzīts, ka integrēta privātuma aizsardzība ir būtiska pamata privātuma aizsardzības daļa (44).

109.

Direktīvā 95/46/EK ir iekļauti vairāki noteikumi, kas veicina integrētu privātuma aizsardzību (45), taču tajā šāds pienākums nav skaidri atzīts. EDAU ir apmierināts ar to, ka paziņojumā integrēta privātuma aizsardzība ir atbalstīta kā rīks, kas nodrošinātu atbilstību datu aizsardzības noteikumiem. Viņš iesaka iekļaut saistošu noteikumu, kurā norādīts “integrētas privātuma aizsardzības” pienākums, kas varētu veidoties, pamatojoties uz Direktīvas 95/46/EK 46. apsvēruma formulējumu. Vēl konkrētāk, šāds noteikums skaidri noteiktu personas datu apstrādātājiem pienākumu īstenot tehniskus un organizatoriskus pasākumus gan apstrādes sistēmas izveides laikā, gan pašas apstrādes laikā, jo īpaši, lai nodrošinātu personas datu aizsardzību un novērstu jebkādu nesankcionētu apstrādi (46).

110.

Pamatojoties uz šādiem noteikumiem, personas datu apstrādātājiem, cita starpā, būtu pienākums nodrošināt, lai datu apstrādes sistēmas būtu izstrādātas tā, lai apstrādātu pēc iespējas mazāk personas datu, ieviest noklusētā privātuma iestatījumus, piemēram, sociālajos tīklos, pēc noklusējuma saglabātu individuālos profilus, neatklājot citiem, un ieviest rīkus, kas ļautu lietotājiem labāk aizsargāt savus personas datus (piemēram, piekļuves kontroles, šifrēšanu).

111.

Ieguvumus no skaidrākas atsauces uz integrētu privātuma aizsardzību var apkopot šādi:

112.

Šā pienākuma kombinētās ietekmes rezultātā radīsies lielāks pieprasījums pēc precēm un pakalpojumiem ar integrētu privātuma aizsardzību, kas varētu mudināt nozari apmierināt šādu pieprasījumu. Galvenais, tas būtu jāapsver, lai izveidotu atsevišķu pienākumu, kas paredzēts tādu jaunu preču un pakalpojumu izstrādātājiem un ražotājiem, kam varētu būt ietekme uz datu aizsardzību un privātumu. EDAU iesaka iekļaut šādu atsevišķu pienākumu, kas turpmāk ļautu personas datu apstrādātājiem izpildīt savus pienākumus.

113.

Integrētās privātuma aizsardzības iekļaušanu tiesību aktos varētu papildināt ar noteikumu, kas nosaka vispārējas integrētās privātuma aizsardzības prasības, kas piemērojamas visās nozarēs, visām precēm un pakalpojumiem, piemēram, saskaņā ar šo principu nodrošinot lietotājam lielākas pilnvaras.

114.

Turklāt saskaņā ar LESD 290. pantu EDAU iesaka deleģēt Komisijai pilnvaras vajadzības gadījumā papildināt pamatprasības integrētai privātuma aizsardzībai atsevišķām precēm un pakalpojumiem. Šādu pilnvaru izmantošana veicinātu personas datu apstrādātāju tiesisko noteiktību un atbilstības saskaņošanu visā ES. Izstrādājot šādu specifisku instrumentu, ir jāapspriežas ar 29. panta darba grupu un EDAU (tāpat skatīt 106. punktu par pārskatatbildību).

115.

Visbeidzot, datu aizsardzības iestādēm būtu jāpiešķir pilnvaras piemērot korektīvus pasākumus vai sankcijas saskaņā ar līdzīgiem ierobežojošiem noteikumiem, kādi ir minēti 107. punktā, ja personas datu apstrādātāji nepārprotami nav īstenojuši noteiktas darbības gadījumos, kad tas būtu nepieciešams.

116.

Paziņojumā ir atzīta nepieciešamība izpētīt ES sertifikācijas shēmu izveides iespējas precēm un pakalpojumiem atbilstīgi privātuma prasībām. EDAU pilnībā atbalsta šo mērķi un ierosina iekļaut noteikumu, kas nodrošinātu to izveidi un iespējamu ietekmi visā ES, ko vēlāk varētu turpmāk izstrādāt papildu tiesību aktos. Šim noteikumam būtu jāpapildina noteikumi par pārskatatbildību un integrētu privātuma aizsardzību.

117.

Brīvprātīgas sertifikācijas shēmas ļautu pārbaudīt, vai personas datu apstrādātājs ir īstenojis pasākumus, lai ievērotu tiesiskā instrumenta norādījumus. Turklāt personas datu apstrādātāji vai pat preces un pakalpojumi, kam ir piešķirts šāds sertifikāts, varētu gūt konkurences pārsvaru pār citiem. Šādas shēmas arī palīdzētu datu aizsardzības iestādēm pildīt uzraudzības un izpildes lomu.

118.

Kā iepriekš ir norādīts 2. nodaļā, ir ievērojami palielinājusies personas datu pārsūtīšana pāri ES robežām saistībā ar jauno tehnoloģiju attīstību, daudznacionālu uzņēmumu nozīmi un aizvien lielāku valdību ietekmi personas datu apstrādē un kopīgošanā starptautiskā mērogā. Šis ir viens no galvenajiem iemesliem, kas pamato pašreizējā tiesiskā regulējuma pārskatīšanu. Tātad šī ir viena no jomām, kurās EDAU pieprasa vērienu un efektivitāti, jo te ir skaidri nepieciešama konsekventāka aizsardzība, ja datus apstrādā ārpus ES.

119.

EDAU uzskata, ka ir jāveic lielāks ieguldījums starptautisku noteikumu attīstībā. Lielāka saskaņošana attiecībā uz personas datu aizsardzības līmeni visā pasaulē ievērojami noskaidrotu vērā ņemamo principu būtību un datu pārsūtīšanas noteikumus. Šiem globālajiem noteikumiem būtu jāsaskaņo prasība pēc augstiem datu aizsardzības standartiem, ieskaitot galvenos ES datu aizsardzības elementus, ar reģionālajām īpatnībām.

120.

EDAU atbalsta vērienīgo darbu, kas līdz šim paveikts datu aizsardzības pilnvaroto starptautiskās konferences ietvaros, lai attīstītu un izplatītu tā dēvētos “Madrides standartus”, lai tos integrētu saistošā instrumentā un, iespējams, ierosinātu starpvaldību konferenci (47). EDAU aicina Komisiju īstenot nepieciešamās iniciatīvas, lai atvieglotu šā mērķa realizēšanu.

121.

EDAU uzskata, ka ir svarīgi nodrošināt arī konsekvenci starp šo starptautisko standartu iniciatīvu, pašreizējo ES datu aizsardzības regulējuma pārskatīšanu un citiem notikumiem, piemēram, pašreizējo ESAO privātuma vadlīniju un Eiropas Padomes 108. konvencijas pārskatīšanu, kas šobrīd pieejamas trešo valstu parakstīšanai (sk. arī 17. punktu). EDAU uzskata, ka te Komisijai ir būtiska nozīme sarunās ar ESAO un Eiropas Padomi konkretizējot, kā tā veicinās šādu konsekvenci.

122.

Tā kā pilnīgu konsekvenci nav viegli panākt, vismaz tuvākajā nākotnē joprojām saglabāsies noteiktas atšķirības starp tiesību aktiem ES un a fortiori aiz ES robežām. EDAU uzskata, ka jaunajam tiesiskajam instrumentam būs jāprecizē piemērojamo tiesību aktu kritēriji un jānodrošina racionalizēti mehānismi datu plūsmām, kā arī datu plūsmās iesaistīto dalībnieku pārskatatbildība.

123.

Pirmkārt, tiesiskajam instrumentam ir jānodrošina, lai ES tiesību akti būtu piemērojami tad, ja personas datus apstrādā ārpus ES robežām, bet pastāv pamatota prasība piemērot ES tiesību aktus. Piemērs, kādēļ tas ir vajadzīgs, ir ārpus Eiropas mākoņdatošanas pakalpojumi, kas paredzēti ES iedzīvotājiem. Vidē, kur dati netiek fiziski uzglabāti un apstrādāti noteiktā vietā, kur pakalpojuma sniedzējiem un lietotājiem, kas atrodas dažādās valstīs, ir ievērojama ietekme uz datiem, ir grūti apzināt, kas ir atbildīgs par atbilstību kuriem datu aizsardzības principiem. Jo īpaši datu aizsardzības iestādes sniedz norādījumus par to, kā šādos gadījumos interpretēt un piemērot Direktīvu 95/46/EK, bet ar norādījumiem vien nepietiek, lai šādā jaunā vidē nodrošinātu tiesisko noteiktību.

124.

Nepieciešamību Eiropas teritorijā panākt lielāku tiesiskā regulējuma precizitāti un vienkāršotus kritērijus, kā noteikt, kuri tiesību akti ir piemērojami, nesenajā atzinumā uzsvēra 29. panta darba grupa (48).

125.

EDAU uzskata, ka vēlamā iespēja būtu tiesisko instrumentu izklāstīt regulā, kas radītu identiskus noteikumus, kuri piemērojami visās dalībvalstīs. Regula nepieciešamību noteikt piemērojamos tiesību aktus padarītu mazāk svarīgu. Šis ir viens no iemesliem, kādēļ EDAU atbalsta regulas pieņemšanu. Taču arī regula dalībvalstīm varētu atstāt zināmu rīcības brīvību. Ja jaunajā instrumentā saglabāsies būtiska rīcības brīvība, EDAU atbalstītu darba grupas ierosinājumu pāriet no dažādu valstu tiesību aktu izkliedētas piemērošanas pie centralizētas vienotu tiesību aktu piemērošanas visās dalībvalstīs, kur atrodas personas datu apstrādātāja uzņēmumi. Turklāt viņš ir par labāku sadarbību un koordināciju starp datu aizsardzības iestādēm starptautiskās lietās un sūdzībās (sk. 10. nodaļu).

126.

Konsekvences un augsta līmeņa kritēriju nepieciešamība ir jāņem vērā ne tikai saistībā ar globāliem datu aizsardzības principiem, bet arī attiecībā uz starptautisku pārsūtīšanu. EDAU pilnībā atbalsta Komisijas mērķi racionalizēt pašreizējās starptautiskas datu pārsūtīšanas procedūras un nodrošināt vienveidīgu un saskaņotu pieeju attiecībās ar trešām valstīm un starptautiskām organizācijām.

127.

Datu plūsmas mehānismā ir iekļauta gan pārsūtīšanu privātajā sektorā, jo īpaši, izmantojot līguma klauzulas vai Saistošos uzņēmuma noteikumus (BCR), gan pārsūtīšanu starp valstu iestādēm. BCR ir viens no elementiem, kur būtu vēlama saskaņotāka un racionalizētāka pieeja. EDAU iesaka jaunajā tiesiskajā instrumentā skaidri aplūkot BCR apstākļus (49):

128.

Komisija vairākkārt ir uzsvērusi to, cik svarīgi ir stiprināt datu aizsardzību tiesībaizsardzības un noziegumu novēršanas kontekstā, kur apmaiņa ar personu informāciju un tās lietošana ir būtiski pieaugusi. Tāpat arī Stokholmas programma, kuru apstiprināja Eiropas Padome, atsaucas uz stingru datu aizsardzības režīmu kā galveno priekšnoteikumu ES informācijas pārvaldības stratēģijai šajā jomā (50).

129.

Vispārīgā datu aizsardzības regulējuma pārskatīšana ir lieliska iespēja panākt virzību šajā jautājumā, jo īpaši tādēļ, ka paziņojumā Pamatlēmums 2008/977 ir pareizi raksturots kā neatbilstīgs (51).

130.

Šā atzinuma 3.2.5. nodaļā EDAU pierādīja, kādēļ policijas un tiesu iestāžu joma būtu jāiekļauj vispārīgā instrumentā. Policijas un tiesu iestāžu iekļaušanai ir arī virkne papildu priekšrocību. Tas nozīmē, ka noteikumi vairs neattieksies tikai uz pārrobežu datu apmaiņu (52), bet arī uz iekšzemes apstrādi. Pienācīga personas datu apmaiņas ar trešām valstīm aizsardzība būs labāk garantēta arī saistībā ar starptautiskiem nolīgumiem. Turklāt DAI būs tādas pašas paplašinātas un saskaņotas pilnvaras attiecībā uz policiju un tiesu iestādēm, kādas tām ir attiecībā uz citiem personas datu apstrādātājiem. Visbeidzot, pašreizējais 13. pants, kas ļauj dalībvalstīm pieņemt īpašus tiesību aktus, lai īpašu sabiedrības interešu dēļ ierobežotu pienākumus un tiesības, kas noteiktas saskaņā ar vispārējo instrumentu, būs jāpiemēro tādā pašā ierobežojošā veidā, kā tas piemērojams citām jomām. Īpašie aizsardzības pasākumi, kas šajā nozarē paredzēti vispārīgajā instrumentā, būs jāievēro arī valstu tiesību aktos, kuri pieņemti policijas un tiesu iestāžu sadarbības jomā.

131.

Tomēr šāda iekļaušana neizslēdz īpašus noteikumus un atkāpes, kurās pienācīgi ņemta vērā šā sektora specifika atbilstoši Lisabonas līgumam pievienotajai 21. deklarācijai. Ierobežojumus datu subjekta tiesībām var noteikt, taču tiem ir jābūt nepieciešamiem, samērīgiem un tie nedrīkst kaitēt pašu tiesību būtiskiem elementiem. Šajā kontekstā ir jāuzsver, ka Direktīva 95/46/EK, tostarp 13. pants, šobrīd tiek piemērota tiesībaizsardzībai dažādās jomās (piemēram, nodokļi, muitas, krāpšanas apkarošana), kuras būtiski neatšķiras no daudzām darbībām policijas un tiesu iestāžu jomā.

132.

Turklāt ir jāievieš arī īpaši aizsardzības pasākumi, lai atbalstītu datu subjektu, piešķirot tam papildu aizsardzību jomā, kurā personas datu apstrāde varētu būt apgrūtinošāka.

133.

Ņemot vērā iepriekš minēto, EDAU uzskata, ka jaunajā regulējumā saskaņā ar 108. konvenciju un Ieteikumu Nr. R (87) 15 ir jāiekļauj vismaz šādi elementi:

134.

Paziņojumā ir norādīts, ka “Pamatlēmums neaizstāj daudzos sektorālos tiesību aktus policijas un tiesu iestāžu sadarbībai krimināllietās, kas pieņemti ES līmenī, jo īpaši tos, kas regulē Eiropola, Eurojust, Šengenas informācijas sistēmas (SIS) un Muitas informācijas sistēmas (CIS) darbību, kuros arī ir ietverti īpaši datu aizsardzības režīmi un/vai atsauce uz Eiropas Padomes datu aizsardzības dokumentiem”.

135.

EDAU uzskata, ka jaunajam tiesiskajam regulējumam ir jābūt, cik vien iespējams, skaidram, vienkāršam un konsekventam. Gadījumā, ja ir dažādu režīmu paplašinājumi, kas piemērojami, piemēram, Eiropolam, Eurojust, SIS un Prüm, atbilstība noteikumiem paliek vai pat kļūst vēl sarežģītāka. Tas ir viens no iemesliem, kādēļ EDAU atbalsta vispusīgu tiesisko instrumentu visām jomām.

136.

Tomēr EDAU saprot, ka dažādu sistēmu noteikumu saskaņošana prasīs ievērojamu darbu, kas jāveic rūpīgi. EDAU uzskata, ka paziņojumā minētajai pakāpeniskajai pieejai ir jēga tik ilgi, kamēr ir skaidra un acīmredzama apņemšanās konsekventi un efektīvi nodrošināt augsta līmeņa datu aizsardzību. Proti:

137.

EDAU pilnībā atbalsta Komisijas mērķi risināt jautājumu par datu aizsardzības iestāžu (DAI) statusu un vēl skaidrāk nostiprināt to neatkarību, resursus un izpildes pilnvaras.

138.

EDAU arī uzstāj, ka jaunajā tiesiskajā instrumentā ir nepieciešams noskaidrot būtisko DAI neatkarības jēdzienu. Eiropas Savienības Tiesa nesen ir pieņēmusi lēmumu šajā jautājumā lietā C-518/07 (54), kur tā uzsvēra, ka neatkarība nozīmē jebkādas ārējās ietekmes neesamību. DAI nevar ne lūgt, ne pieņemt kāda norādījumus. EDAU ierosina šīs neatkarības elementus skaidri kodificēt tiesību aktos.

139.

Lai DAI varētu pildīt savus uzdevumus, tām jāpiešķir pietiekami cilvēku un finanšu resursi. EDAU ierosina šo prasību iekļaut tiesību aktos. (55) Visbeidzot tas uzsver nepieciešamību pārliecināties, ka iestādēm ir pilnībā saskaņotas pilnvaras attiecībā uz izmeklēšanu un attiecībā uz pietiekamu atturošu un korektīvu pasākumu un sankciju piemērošanu. Tas veicinātu tiesisko noteiktību datu subjektiem un personas datu apstrādātājiem.

140.

DAI neatkarības, resursu un pilnvaru nostiprināšanai ir jānorit līdz ar pastiprinātu sadarbību daudzpusējā līmenī, jo īpaši ņemot vērā pieaugošo datu aizsardzības jautājumu skaitu Eiropas mērogā. Galvenā infrastruktūra, kas jāizmanto šādai sadarbībai, noteikti ir 29. panta darba grupa.

141.

Vēsture liecina, ka kopš darbības sākuma 1997. gadā līdz šim brīdim grupas darbība ir izvērsusies. Tā ir panākusi lielāku neatkarību un praksē vairs nav uzskatāma par vienkāršu Komisijas konsultatīvo darba grupu. EDAU ierosina turpmāk uzlabot darba grupas darbību, tostarp attiecībā uz tās infrastruktūru un neatkarību.

142.

EDAU uzskata, ka grupas ietekmīgums ir cieši saistīts ar tās dalībnieku neatkarību un pilnvarām. Darba grupas autonomija ir jānodrošina jaunajā tiesiskajā regulējumā saskaņā ar kritērijiem, kurus DAI pilnīgai neatkarībai Eiropas Savienības Tiesa izklāstīja lietā C-518/07. EDAU uzskata, ka darba grupai būtu arī jānodrošina pietiekami resursi, budžets un jāpaplašina sekretariāts, lai sekmētu tās ieguldījumu.

143.

Attiecībā uz darba grupas sekretariātu EDAU novērtē faktu, ka tas ir iekļauts Tieslietu ĢD datu aizsardzības vienībā, jo darba grupa var gūt labumu no efektīviem un elastīgiem kontaktiem un saņemt jaunāko informāciju par datu aizsardzības attīstību. Taču, no otras puses, viņš pauda bažas par faktu, ka Komisija (konkrētāk – vienība) vienlaicīgi ir darba grupas atzinumu locekle, sekretariāts un adresāts. Tas attaisnotu lielāku sekretariāta neatkarību. EDAU aicina Komisiju, konsultējoties ar ieinteresētajām personām, izvērtēt, kā varētu vislabāk nodrošināt šo neatkarību.

144.

Visbeidzot, lai nostiprinātu DAI pilnvaras, lielākas pilnvaras ir nepieciešamas arī darba grupai, struktūrā iekļaujot labākus noteikumus un aizsardzības pasākumus, un lielāku pārredzamību. Tas attiecas gan uz darba grupas padomdevēja lomu, kā arī izpildes lomu.

145.

Ja runa ir par grupas padomdevēja lomu Komisijai, ir efektīvi jāīsteno darba grupas nostāja, jo īpaši saistībā ar direktīvas un citu datu aizsardzības instrumentu principu interpretēšanu un piemērošanu, citiem vārdiem sakot, lai nodrošinātu darba grupas nostājas autoritatīvu raksturu. Starp DAI ir jānotiek turpmākām pārrunām, lai apzinātu, kādā veidā to iekļaut tiesiskajā instrumentā.

146.

EDAU ierosina risinājumus, kas darba grupas atzinumus padarītu autoritatīvākus, būtiski nemainot tās darbības veidu. EDAU ierosina iekļaut pienākumu DAI un Komisijai īpaši ņemt vērā darba grupas pieņemtos atzinumus un kopējo nostāju, pamatojoties uz modeli, kas pieņemts Eiropas Elektronisko komunikāciju regulatoru iestādes (BEREC) nostājām (56). Turklāt jaunais tiesiskais instruments varētu noteikt darba grupai skaidru uzdevumu pieņemt “skaidrojošus ieteikumus”. Šādi alternatīvie risinājumi piešķirtu darba grupas nostājām nozīmīgāku lomu arī Tiesās.

147.

Saskaņā ar pašreizējo regulējumu datu aizsardzības tiesību aktu izpilde dalībvalstīs ir atstāta 27 datu aizsardzības iestāžu ziņā un koordinēšana attiecībā uz konkrētām lietām ir neliela. Ja runa ir par lietām, kur ir iesaistīta vairāk nekā viena dalībvalsts, vai tām nepārprotami ir globāls mērogs, uzņēmumiem, kas spiesti vienas darbības dēļ sadarboties ar dažādām valsts iestādēm, palielina izdevumus un paaugstina nekonsekventas piemērošanas risku: izņēmuma gadījumos viena veida apstrādes darbības viena DAI var uzskatīt par likumīgām, bet cita par aizliegtām.

148.

Dažām lietām ir stratēģisks mērogs, kuru vajadzētu risināt centralizēti. 29. panta darba grupa atvieglo darbību koordinēšanu un izpildi (57) starp DAI, risinot lielus datu apstrādes jautājumus ar šādu starptautisku saistību. Tas ir saistīts ar sociālajiem tīkliem un meklēšanas rīkiem (58), kā arī attiecas uz koordinētām pārbaudēm, ko veic dažādās dalībvalstīs saistībā ar telekomunikāciju un veselības apdrošināšanas jautājumiem.

149.

Tomēr saskaņā ar pašreizējo regulējumu izpildes darbībām, kuras var īstenot darba grupa, ir ierobežojumi. Darba grupa var pieņemt kopējo nostāju, taču nav tāda instrumenta, kas nodrošinātu, ka šī nostāja tiks efektīvi īstenotas praksē.

150.

EDAU ierosina tiesiskajā regulējumā iekļaut papildu noteikumus, kas atbalstītu koordinētu izpildi, jo īpaši:

151.

EDAU iebilstu pret stingrāku pasākumu, piemēram, saistoša spēka piešķiršanu DG29 nostājām, ieviešanu. Tas apdraudētu individuālu DAI neatkarības statusu, kas dalībvalstīm ir jāgarantē saskaņā ar valstu tiesību aktiem. Ja darba grupas lēmumiem būtu tieša ietekme uz trešām personām, piemēram, personas datu apstrādātājiem, ir jāparedz jaunas procedūras, tostarp aizsardzības pasākumi, piemēram, pārredzamība un tiesiskā aizsardzība, tostarp iespēja iesniegt apelāciju Eiropas Savienības Tiesā.

152.

Ir jānoregulē arī veids, kādā EDAU sadarbojas ar darba grupu. EDAU ir darba grupas loceklis, un viņš grupā sniedz ieguldījumu nostājā par galvenajām ES stratēģiskajām izstrādēm, nodrošinot atbilstību EDAU nostājai. EDAU norāda uz aizvien pieaugošo tādu privātuma aizsardzības jautājumu skaitu gan privātajā, gan valsts pārvaldes sektorā, kam daudzās dalībvalstīs ir saistība ar valsts līmeni un kur darba grupai ir īpaša loma.

153.

EDAU ir papildu uzdevums konsultēt par attīstību ES kontekstā, kas ir jāsaglabā. Kā ES struktūra EDAU īsteno šo padomdevēja kompetenci attiecībā uz ES iestādēm, tāpat kā valstu DAI sniedz padomus savām valdībām.

154.

EDAU un darba grupa darbojas no dažādām, bet savstarpēji papildinošām perspektīvām. Tādēļ ir nepieciešams saglabāt un, iespējams, uzlabot koordinēšanu starp darba grupu un EDAU, lai panāktu, ka darbs galvenajos datu aizsardzības jautājumos tiek veikts kopīgi, piemēram, regulāri saskaņojot darba kārtības (61) un nodrošinot pārredzamību jautājumos, kam ir lielāks valsts vai īpašs ES aspekts.

155.

Pašreizējā direktīvā koordinēšana nav minēta tā vienkāršā iemesla dēļ, ka laikā, kad direktīva tika pieņemta, EDAU vēl nepastāvēja, bet pēc sešiem pastāvēšanas gadiem EDAU un darba grupas savstarpējā papildināmība ir skaidri redzama un to varētu atzīt oficiāli. EDAU atgādina, ka saskaņā ar Regulu (EK) Nr. 45/2001 viņa pienākums ir sadarboties ar valstu DAI un piedalīties darba grupas darbībās. EDAU iesaka jaunajā tiesiskajā instrumentā skaidri pieminēt sadarbību un vajadzības gadījumā to strukturēt, piemēram, nosakot sadarbības procedūru.

156.

Šie apsvērumi ir piemērojami arī jomām, kurās uzraudzība ir jākoordinē arī Eiropas un valstu līmeni. Tas attiecas uz ES iestādēm, kas apstrādā ievērojamus datu apjomus, ko iesniegušas valstu iestādes vai uz liela mēroga informācijas sistēmām ar Eiropas un valsts komponentu.

157.

Pašreizējā sistēma dažām ES iestādēm un liela mēroga informācijas sistēmām, piemēram, Eiropolam, Eurojust un pirmās paaudzes Šengenas informācijas sistēmai (SIS), ir apvienotās uzraudzības iestādes, kurās ir valstu DAI pārstāvji, un tas ir palicis pēc starpvaldību sadarbības laikā pirms Lisabonas līguma pieņemšanas, un vairs neatbilst ES iestāžu struktūrai, kuras neatņemama sastāvdaļa šobrīd ir Eiropols un Eurojust un kur tagad ir iekļauta arī Schengen aquis  (62).

158.

Paziņojumā ir norādīts, ka Komisija 2011. gadā uzsāks konsultācijas ar ieinteresētajām personām par šo uzraudzības sistēmu pārskatīšanu. EDAU aicina Komisiju pēc iespējas ātrāk (īsā un konkrētā laika periodā, sk. iepriekš) pieņemt savu nostāju notiekošajās pārrunās par uzraudzību. EDAU šajās pārrunās pieņems šādu viedokli.

159.

Kā izejas punkts ir jāgarantē, lai visas uzraudzības iestādes izpildītu obligātās prasības par neatkarību, resursiem un izpildes pilnvarām. Turklāt ir jānodrošina, lai tiktu ņemtas vērā perspektīvas un īpašās zināšanas, kas pastāv ES līmenī. Tas nozīmē, ka sadarbībai ir jānotiek ne tikai starp valstu iestādēm, bet arī ar Eiropas DAI (šobrīd EDAU). EDAU uzskata par nepieciešamu ievērot modeli, kas izpilda šīs prasības (63).

160.

Pēdējos gados ir attīstīts “koordinētās uzraudzības” modelis. Šāds uzraudzības modelis, kas šobrīd darbojas Eurodac un Muitas informācijas sistēmas daļās, drīz tiks paplašināts līdz Vīzu informācijas sistēmai (VIS) un otrās paaudzes Šengenas informācijas sistēmai (SIS II). Šim modelim ir trīs pakāpes: 1) uzraudzība valsts līmenī, ko veic DAI; 2) uzraudzība ES līmenī, ko nodrošina EDAU; 3) tiek nodrošināta koordinēšana, organizējot regulāras tikšanās, ko sasauc EDAU, kas darbojas kā koordinēšanas mehānisma sekretariāts. Šis modelis ir izrādījies veiksmīgs un efektīvs, un turpmāk tāds ir jāparedz arī citām informācijas sistēmām.

161.

Kamēr notiek pārskatīšanas process, ir jācenšas nodrošināt pilnīgu un efektīvu pastāvošo noteikumu īstenošanu. Šie noteikumi joprojām būs piemērojami līdz jaunā regulējuma pieņemšanai un tad ieviesti dalībvalstu tiesību aktos. Šajā virzienā var apzināt vairākus darbību veidus.

162.

Pirmkārt, Komisijai ir jāturpina uzraudzīt dalībvalstu atbilstība Direktīvai 95/46/EK, kur tas nepieciešams, izmantojot savas izpildes pilnvaras saskaņā ar LESD 258. pantu. Nesen ir uzsākta pārkāpuma procedūra par to, ka nav pareizi īstenots Direktīvas 28. pants attiecībā uz prasību par DAI neatkarību (64). Arī citās jomās ir jāuzrauga un jāizpilda pilnīga atbilstība. (65) Tādēļ EDAU atzinīgi novērtē un pilnībā atbalsta paziņojumā norādīto Komisijas apņemšanos īstenot aktīvu pārkāpuma procedūru ierosināšanas politiku. Komisijai ir arī jāturpina ar dalībvalstīm strukturēts dialogs par īstenošanu (66).

163.

Otrkārt, ir jāveicina izpilde valstu līmenī, lai nodrošinātu praktisku datu aizsardzības noteikumu piemērošanu, tostarp attiecībā uz jaunām tehnoloģijām un globālo procesu dalībniekiem. DAI ir pilnībā jāizmanto izmeklēšanas un piespiedu pasākumu īstenošanas pilnvaras. Tāpat ir svarīgi, lai praksē tiktu pilnīgi īstenotas esošās subjektu tiesības, jo īpaši piekļuves tiesības.

164.

Treškārt, šķiet, ka īstermiņā ir nepieciešama lielāka izpildes koordinēšana. Šajā saistībā ļoti būtiska ir DG 29 un tās skaidrojošo dokumentu loma, taču arī DAI ir jāveic viss iespējamais, lai īstenotu tos praksē. Ir jāizvairās no atšķirīgiem risinājumiem ES mēroga vai globālās lietās, un darba grupā var un vajag panākt kopīgu pieeju. Ievērojamu pievienoto vērtību var sniegt arī ES mēroga koordinētas izmeklēšanas darba grupas vadībā.

165.

Ceturtkārt, ir aktīvi “jāiestrādā” datu aizsardzības principi jaunajos noteikumos, kuriem varētu būt tieša vai netieša ietekme uz datu aizsardzību. ES līmenī EDAU veic lielu darbu, lai uzlabotu Eiropas tiesību aktus, un šis darbs ir jāpiemēro arī valstu līmenī. Tādēļ datu aizsardzības iestādēm ir pilnībā jāizmanto savas padomdevēja pilnvaras, lai nodrošinātu šādu aktīvu pieeju. Datu aizsardzības iestādēm, tostarp EDAU, var būt aktīva loma tehnoloģiju attīstības uzraudzībā. Uzraudzība ir svarīga, lai varētu agrīnā posmā apzināt jaunās tendences, izcelt iespējamo saistību ar datu aizsardzību, atbalstīt aizsardzībai draudzīgus risinājumus un informēt ieinteresētās personas.

166.

Visbeidzot, ir aktīvi jāveicina sadarbība starp dažādiem dalībniekiem starptautiskā līmenī. Tādēļ ir svarīgi nostiprināt starptautiskos sadarbības instrumentus. Tādas iniciatīvas kā Madrides standarti un notiekošais darbs Eiropas Padomē un ESAO ir pelnījušas pilnīgu atbalstu. Šajā kontekstā ļoti pozitīvi ir tas, ka tagad starptautiskās konferences ietvaros arī ASV Federālā tirdzniecības komisija ir pievienojusies privātuma un datu aizsardzības pilnvaroto saimei.

167.

EDAU atzinīgi novērtē Komisijas paziņojumu kopumā, jo ir pārliecināts, ka esošās personas datu aizsardzības ES tiesiskās sistēmas pārskatīšana ir nepieciešama, lai nodrošinātu efektīvu aizsardzību aizvien vairāk attīstītajā un globalizētajā informācijas sabiedrībā.

168.

Paziņojumā ir apzināti galvenie jautājumi un problēmas. EDAU piekrīt Komisijas viedoklim, ka nākotnē joprojām būs vajadzīga stingra datu aizsardzības sistēma, jo esošie vispārīgie datu aizsardzības principi joprojām ir derīgi sabiedrībā, kurā notiek būtiskas izmaiņas. EDAU piekrīt paziņojuma apgalvojumam, ka problēmas ir milzīgas, un norāda, ka piedāvātajiem risinājumiem ir jābūt tikpat vērienīgiem un jāveicina aizsardzības efektivitāte. Tādēļ viņš attiecībā uz vairākiem punktiem pieprasa vērienīgāku pieeju.

169.

EDAU pilnībā atbalsta vispusīgu pieeju datu aizsardzībai. Tomēr viņš pauž nožēlu, ka Komisija no kopējā tiesiskā instrumenta ir izslēgusi noteiktas jomas, piemēram, datu apstrādi ES iestādēs un struktūrās. Ja Komisija nolemtu nepievērsties šīm jomām, EDAU aicina Komisiju visīsākajā iespējamajā termiņā, bet, vēlams līdz 2011. gada beigām, pieņemt priekšlikumu ES līmenī.

170.

EDAU uzskata, ka pārskatīšanas izejas punkti ir šādi:

171.

EDAU atzinīgi novērtē Komisijas apņemšanos izpētīt iespējas panākt turpmāku datu aizsardzības saskaņošanu ES līmenī. EDAU ir noteicis jomas, kur ir steidzami nepieciešama turpmāka un labāka saskaņošana: definīcijas, datu apstrādes pamatojumi, datu subjektu tiesības, starptautiska pārsūtīšana un datu aizsardzības iestādes.

172.

EDAU ierosina apsvērt šādas alternatīvas, lai vienkāršotu un/vai samazinātu paziņošanas prasību tvērumu:

173.

EDAU uzskata, ka regula – vienots instruments, kas tieši piemērojams dalībvalstīs, ir visefektīvākais līdzeklis, lai aizsargātu datu aizsardzības pamattiesības un panāktu turpmāku konverģenci iekšējā tirgū.

174.

EDAU atbalsta paziņojumā izteikto ierosinājumu nostiprināt fizisko personu tiesības. EDAU ir šādi ierosinājumi:

175.

Regulējumā ir jābūt iekļautiem ierosinājumiem personas datu apstrādātājiem savas uzņēmējdarbības procesos aktīvi iekļaut datu aizsardzības pasākumus. EDAU ierosina ieviest vispārīgus noteikumus par pārskatatbildību un “integrētu privātuma aizsardzību”. Tāpat ir jāievieš arī noteikums par privātuma aizsardzības sertifikācijas shēmām.

176.

EDAU atbalsta vērienīgo darbu, kas līdz šim paveikts datu aizsardzības pilnvaroto starptautiskās konferences ietvaros, lai attīstītu tā dēvētos “Madrides standartus” ar mērķi tos integrēt saistošā instrumentā un, iespējams, ierosināt starpvaldību konferenci. EDAU aicina Komisiju ciešā sadarbībā ar ESAO un Eiropas Padomi veikt konkrētus pasākumus šajā virzienā.

177.

Jaunajam tiesiskajam instrumentam ir jānoskaidro kritēriji, pēc kuriem nosaka piemērojamos tiesību aktus. Ir jānodrošina, lai dati, ko apstrādā ārpus ES robežām, nenonāktu ārpus ES jurisdikcijas, ja ir pamatota prasība piemērot ES tiesību aktus. Ja tiesiskais regulējums būtu regulas veidā, visās dalībvalstīs noteikumi būtu identiski un nebūtu tik būtiski noteikt piemērojamos tiesību aktus (ES iekšienē).

178.

EDAU pilnībā atbalsta mērķi nodrošināt vienveidīgāku un saskaņotāku pieeju attiecībās ar trešām valstīm un starptautiskām organizācijām. Tiesiskajā instrumentā ir jāiekļauj saistošie uzņēmumu noteikumi (BCR).

179.

Vispusīgs instruments, iekļaujot policijas un tiesu iestāžu jomu, ļautu noteikt īpašus noteikumus, kas pienācīgi ņemtu vērā šā sektora specifiku atbilstoši Lisabonas līgumam pievienotajai 21. deklarācijai. Ir jāievieš īpaši aizsardzības pasākumi, lai atbalstītu datu subjektus, piešķirot tiem papildu aizsardzību jomā, kur personas datu apstrāde ir apgrūtinošāka.

180.

Jaunajam tiesiskajam regulējumam ir jābūt, cik vien iespējams, skaidram, vienkāršam un konsekventam. Ir jāizvairās no dažādu režīmu, kas piemērojami, piemēram, Eiropolam, Eurojust, SIS un Prüm, paplašināšanās. EDAU saprot, ka dažādu sistēmu noteikumu saskaņošana būs jāveic rūpīgi un pakāpeniski.

181.

EDAU pilnībā atbalsta Komisijas mērķi risināt jautājumu par datu aizsardzības iestāžu (DAI) statusu un nostiprināt to neatkarību, resursus un izpildes pilnvaras. Viņš iesaka:

182.

EDAU ierosina turpmāk uzlabot 29. panta darba grupas darbību, tostarp attiecībā uz tās neatkarību un infrastruktūru. Darba grupai ir jānodrošina arī pietiekami resursi un jāpaplašina sekretariāts.

183.

EDAU ierosina stiprināt darba grupas padomdevējas lomu, ieviešot pienākumu DAI un Komisijai īpaši ņemt vērā darba grupas pieņemtos atzinumus un kopējo nostāju, ko pieņēmusi darba grupa. EDAU neatbalsta saistoša spēka piešķiršanu darba grupas nostājai, jo īpaši tādēļ, ka atsevišķām DAI ir neatkarīgs statuss. EDAU iesaka Komisijai ieviest īpašus noteikumus, lai jaunajā tiesiskajā instrumentā veicinātu sadarbību ar EDAU.

184.

EDAU aicina Komisiju pēc iespējas ātrāk pieņemt savu nostāju jautājumā par ES struktūru un liela mēroga informācijas sistēmu uzraudzību, ņemot vērā to, ka visām uzraudzības iestādēm ir jāizpilda obligātie kritēriji par neatkarību, pietiekamiem resursiem un izpildes pilnvarām, un ka ir jānodrošina, lai būtu pārstāvēta ES perspektīva. EDAU atbalsta “koordinētas uzraudzības” modeli.

185.

EDAU aicina Komisiju:

22.6.2011   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 181/24

1.

Komisija 2011. gada 2. februārī pieņēma priekšlikumu Eiropas Parlamenta un Padomes direktīvai par pasažieru datu reģistra datu izmantošanu teroristu nodarījumu un smagu noziegumu novēršanai, atklāšanai, izmeklēšanai un saukšanai pie atbildības par tiem (turpmāk tekstā – “Priekšlikums”) (3). Tajā pašā dienā Priekšlikumu nosūtīja EDAU, lai apspriestos ar to.

2.

EDAU ir gandarīts par to, ka Komisija tam lūdz atzinumu. Jau pirms Priekšlikuma pieņemšanas EDAU bija dota iespēja iesniegt neoficiālas piezīmes. Dažas no šīm piezīmēm Priekšlikumā ir ņemtas vērā, un EDAU atzīst, ka vispārējā līmenī Priekšlikumā ir pastiprināti datu aizsardzības drošības pasākumi. Tomēr daudzi jautājumi joprojām raisa bažas, jo īpaši attiecībā uz personas datu vākšanas mērogu un mērķiem.

3.

Diskusijas par iespējamo PDR shēmu Eiropas Savienībā ir raisījušās kopš 2007. gada, kad Komisija šajā jautājumā pieņēma priekšlikumu Padomes pamatlēmumam (4). Eiropas Savienības PDR shēmas galvenais mērķis ir izveidot sistēmu, kas uzliek pienākumu gaisa pārvadātājiem, kuri darbojas starptautiskos reisos starp ES un trešām valstīm, pārsūtīt kompetentām iestādēm PDR datus par visiem pasažieriem, lai novērstu, atklātu un izmeklētu teroristu nodarījumus un smagus noziegumus un sauktu pie atbildības par tiem. Šos datus apkopotu un analizētu Pasažieru informācijas nodaļas, bet analīzes rezultāti tiktu nosūtīti valstu kompetentajām iestādēm katrā dalībvalstī.

4.

Kopš 2007. gada EDAU ir rūpīgi analizējis jaunākos notikumus saistībā ar šo iespējamo Eiropas Savienības PDR shēmu, kā arī notikumu gaitu saistībā ar PDR shēmām trešās valstīs. EDAU 2007. gada 20. decembrī pieņēma atzinumu par šo Komisijas priekšlikumu (5). Daudzos turpmākos gadījumos ne tikai EDAU, bet arī 29. panta darba grupa (6) izteica līdzīgas piezīmes jautājumā par to, cik lielā mērā PDR datu apstrāde tiesībaizsardzības nolūkos ir atbilstīga nepieciešamības un proporcionalitātes principiem, kā arī citiem būtiskiem datu aizsardzības drošības pasākumiem.

5.

Galvenā problēma, kam EDAU pastāvīgi pievēršas, attiecas uz pamatojumu, kāpēc ir nepieciešama Eiropas PDR shēma, kas papildinātu citus daudzos instrumentus, kuri nodrošina personas datu apstrādi tiesībaizsardzības mērķiem.

6.

EDAU atzīst nenoliedzamos uzlabojumus attiecībā uz datu aizsardzību pašreizējā Priekšlikuma redakcijā, salīdzinot ar versiju, par ko to informēja iepriekš. Minētie uzlabojumi jo īpaši attiecas uz Priekšlikuma piemērošanas jomu, dažādu iesaistīto personu funkciju definēšanu (Pasažieru informācijas nodaļas), sensitīvo datu apstrādes izslēgšanu, izšķiršanos par “push” sistēmu bez pārejas perioda (7) un datu saglabāšanas ierobežošanu.

7.

EDAU arī atzinīgi vērtē papildu pasākumus, kas veikti ietekmes novērtēšanā attiecībā uz Eiropas Savienības PDR shēmas izveides iemesliem. Tomēr, lai arī ir vērojama nepārprotama vēlme izskaidrot šīs shēmas nepieciešamību, EDAU starp šiem jaunajiem pamatojumiem joprojām neatrod pārliecinošus argumentus par labu sistēmas izveidei, jo īpaši attiecībā uz visu pasažieru masveidīgu “iepriekšēju novērtēšanu”. Nepieciešamība un proporcionalitāte tiks turpmāk analizēta II nodaļā. III nodaļa tiks skatīti šā priekšlikuma konkrētāki aspekti.

8.

Pierādījumi par datu apstrādes nepieciešamību un proporcionalitāti ir PDR shēmas izveides absolūts priekšnoteikums. EDAU jau iepriekšējos gadījumos, un, proti, saistībā ar Direktīvas 2006/24/EK (“Datu saglabāšanas direktīvas”) iespējamo pārskatīšanu, ir uzstājis, ka nepieciešamība apstrādāt vai uzglabāt liela apjoma informāciju ir jāpamato ar skaidriem pierādījumiem par izmantošanas un rezultāta samērojamību un tai ir jānodrošina novērtējums sine qua non par to, vai līdzīgus rezultātus nevarētu iegūt ar citiem līdzekļiem, kas mazāk aizskar privāto dzīvi (8).

9.

Lai pamatotu šo shēmu, Priekšlikumā un jo īpaši tā ietekmes novērtējumā ir iekļauta plaša dokumentācija un juridiski argumenti, kas tiecas pierādīt, ka minētā shēma ir nepieciešama un atbilst datu aizsardzības prasībām. Tā iet pat vēl tālāk, apgalvojot, ka rada pievienoto vērtību datu aizsardzības standartu saskaņošanas jomā.

10.

Pēc šo elementu analīzes EDAU uzskata, ka Priekšlikums ar tā pašreizējo saturu neatbilst nepieciešamības un proporcionalitātes prasībām, ko paredz Eiropas Savienības Pamattiesību hartas 8. pants, Eiropas Cilvēktiesību konvencijas 8. pants un ES dibināšanas līguma 16. pants. Šāda uzskata pamatojums ir izklāstīts turpmākajos punktos.

11.

EDAU norāda, ka ietekmes novērtējumā ir iekļauti plaši paskaidrojumi un statistikas dati, kas pamato Priekšlikumu. Tomēr šie elementi nav pārliecinoši. Lai to ilustrētu, terorisma un smago noziegumu draudu apraksts Priekšlikuma ietekmes novērtējumā un paskaidrojuma rakstā (9) norāda, ka kriminālo nodarījumu skaits dalībvalstīs 2007. gadā bija 14 000 uz 100 000 iedzīvotāju. Kaut arī šis skaits var šķist iespaidīgs, tas raksturo nediferencētus noziegumu veidus un nekādi nevar noderēt, lai pamatotu Priekšlikumu, kura mērķis ir apkarot tikai dažus smagu starptautisku noziegumu un terorisma veidus. Cits piemērs ir citāts no ziņojuma par narkotiku radītajām “problēmām”, nesaistot statistikas datus ar Priekšlikumā izskatīto narkotiku kontrabandas paveidu, un, pēc EDAU domām, šāda atsauce nav derīga. Tas pats attiecas uz norādēm par noziegumu radītajām sekām, citējot “nozagtā īpašuma vērtību” un izskaidrojot psiholoģisko un fizisko ietekmi uz cietušajiem – bet šie dati nav tieši saistāmi ar Priekšlikuma mērķiem.

12.

Kā pēdējo piemēru ietekmes novērtējums norāda – Beļģija “ziņoja, ka 95 % visu narkotiku konfiskāciju 2009. gadā notika, pateicoties tikai un vienīgi vai galvenokārt PDR datu apstrādei”. Taču ir jāuzsver, ka Beļģija (vēl) nav ieviesusi sistemātisku PDR shēmu, kas būtu salīdzināma ar Priekšlikumā paredzēto. Tas varētu liecināt, ka PDR dati var noderēt konkrētos gadījumos, un EDAU to neapstrīd. Nopietnas datu aizsardzības problēmas drīzāk izraisa plaša datu vākšana ar mērķi sistemātiski novērtēt visus pasažierus.

13.

EDAU uzskata, ka ir pārāk maz atbilstošu un precīzu pamatojuma dokumentu, kas pierādītu šā instrumenta nepieciešamību.

14.

Kaut arī dokumentā ir norādīta datu apstrādes pasākumu saistība ar Hartu, Eiropas Cilvēktiesību konvenciju un ES dibināšanas līguma 16. pantu, tas ir tieši saistīts ar iespējamiem šo tiesību ierobežojumiem un aprobežojas ar secinājumu, ka “tā kā piedāvātās darbības tiktu veiktas ar tiesību aktā paredzēto mērķi apkarot terorismu un citus smagus noziegumus, tās noteikti atbilstu šādām prasībām, ja tās būtu nepieciešamas demokrātiskā sabiedrībā un atbilstu proporcionalitātes principam” (10). Taču trūkst skaidru pierādījumu, ka šie pasākumi ir būtiski un nav citu mazāk apgrūtinošu alternatīvu.

15.

Šādā izpratnē fakts, ka bija paredzēti arī citi mērķi, piemēram, imigrācijas kontrole, “lidošanas aizliegumu saraksts” un veselības aizsardzības drošība, kas galu galā netika iekļauti dokumentā, pamatojoties uz proporcionalitātes apsvērumiem, nenozīmē, ka PDR datu apstrādes “aprobežošanās” ar smagiem noziegumiem un terorismu būtu de facto proporcionāla, jo būtu mazāk apgrūtinoša. Nav izvērtēta arī iespēja ierobežot šo shēmu tikai ar cīņu pret terorismu, neiekļaujot tajā citus noziegumus, kā to paredzēja iepriekšējās PDR shēmas, jo īpaši agrākā Austrālijas PDR shēma. EDAU uzsver, ka šajā iepriekšējā shēmā, par kuru 29. panta darba grupa 2004. gadā pieņēma pozitīvu atzinumu, mērķi bija ierobežoti ar to “pasažieru identificēšanu, kuri var radīt terorisma vai saistītas kriminālas darbības draudus” (11). Austrālijas sistēma arī neparedz nekādu PDR datu saglabāšanu, izņemot attiecībā uz konkrētiem pasažieriem, kuri izraisa konkrētu apdraudējumu (12).

16.

Turklāt attiecībā uz datu subjektu uzraudzības prognozējamību ir šaubas, vai Komisijas Priekšlikums atbilst prasībām par pareizu tiesisko pamatojumu saskaņā ar ES tiesību aktiem: pasažieru “novērtējums” (iepriekšējā redakcijā “riska novērtējums”) tiks veikts, pamatojoties uz pastāvīgi mainīgiem un nepārredzamiem kritērijiem. Kā nepārprotami norādīts tekstā, shēmas galvenais mērķis ir nevis parastā robežkontrole, bet gan izlūkošana (13) un aizdomās neturētu personu apcietināšana pirms nozieguma pastrādāšanas. Šādas sistēmas izveide Eiropas mērogā, paredzot datu vākšanu par visiem pasažieriem un lēmumu pieņemšanu, pamatojoties uz nezināmiem un mainīgiem novērtēšanas kritērijiem, raisa nopietnas bažas par pārskatāmību un proporcionalitāti.

17.

Vienīgais mērķis, kas, pēc EDAU domām, atbilstu pārskatāmības un proporcionalitātes prasībām, būtu PDR datu izmantošana atkarībā no vajadzības, kā norādīts 4. panta 2. punkta c) apakšpunktā, taču vienīgi nopietna un konkrēta apdraudējuma gadījumā, ko apliecina konkrēti rādītāji.

18.

4. panta 2. punkta b) apakšpunkts paredz, ka Pasažieru informācijas nodaļa var veikt pasažieru novērtēšanu un šim nolūkam salīdzināt PDR datus ar “attiecīgām datu bāzēm”, kas minētas 4. panta 2. punkta b) apakšpunktā. Šis noteikums neizskaidro, kuras datu bāzes ir attiecīgās datu bāzes. Tāpēc šis pasākums nav prognozējams, bet to pieprasa gan Harta, gan Eiropas Cilvēktiesību konvencija. Turklāt šis noteikums raisa jautājumus par tā savietojamību ar mērķa ierobežojuma principu – pēc EDAU domām, tas nedrīkst attiekties, piemēram, uz tādu datu bāzi kā EURODAC, kura ir izveidota citiem nolūkiem (14). Turklāt šāda iespēja ir jāparedz tikai, ja rodas īpaša vajadzība kādā konkrētā gadījumā, kad iepriekš ir radušās aizdomas par kādu personu jau pēc nozieguma izdarīšanas. Piemēram, vīzu informācijas sistēmas (15) datu bāzes sistemātiska pārbaude, meklējot tajā visus PDR datus, būtu pārmērīga un neproporcionāla.

19.

Apšaubāms ir apgalvojums, ka šis priekšlikums veicinātu datu aizsardzību, nodrošinot vienāda līmeņa iespējas jautājumā par fizisku personu tiesībām. EDAU atzīst faktu, ka gadījumā, ja tiktu noteikta šīs shēmas nepieciešamība un proporcionalitāte, vienoti standarti visā Eiropas Savienībā, tostarp datu aizsardzības jomā, veicinātu tiesisko skaidrību. Taču pašreizējā Priekšlikuma redakcija, un, proti, tās 28. apsvērums, norāda, ka “(..) direktīva neietekmē dalībvalstu iespējas saskaņā ar savas valsts tiesībām paredzēt sistēmu PDR datu vākšanai un rīcībai ar tiem nolūkos, kas nav šajā direktīvā noteiktie, vai no pārvadāšanas pakalpojumu sniedzējiem, kas nav šajā direktīvā noteiktie, attiecībā uz iekšējiem lidojumiem (..)”.

20.

Tādējādi Priekšlikums veicina saskaņošanu tikai ierobežotā mērā. Tā var attiekties uz datu subjektu tiesībām, bet ne uz mērķa ierobežojumu, un var pieņemt, ka saskaņā ar šādu redakciju PDR sistēmas, ko jau izmanto, piemēram, nelikumīgās imigrācijas apkarošanai, varētu turpināt izmantot arī šīs direktīvas ietvaros.

21.

Tas nozīmē, ka, no vienas puses, saglabātos zināmas atšķirības starp dalībvalstīm, kas jau ir izveidojušas PDR shēmas, un, no otras puses, lielākā daļa dalībvalstu, kas sistemātiski nevāc PDR datus (21 no 27 dalībvalstīm), būtu spiestas to darīt. EDAU uzskata, ka no šāda viedokļa ļoti apšaubāma ir jebkāda pievienotā vērtība datu aizsardzības jomā.

22.

Pretēji tam, 28. apsvēruma radītās sekas ir nopietns mērķa ierobežojuma principa pārkāpums. Pēc EDAU domām, Priekšlikumam ir nepārprotami jānodrošina, lai PDR datus nevarētu izmantot citiem mērķiem.

23.

EDAU rodas līdzīgs secinājums, kāds jau vienreiz radās, novērtējot datu saglabāšanas direktīvu – abos gadījumos patiesas saskaņotības trūkums iet roku rokā ar tiesiskās skaidrības trūkumu. Turklāt personas datu papildu vākšana un apstrāde kļūst obligāta visām dalībvalstīm, kamēr patiesā šīs shēmas nepieciešamība vēl nav noskaidrota.

24.

EDAU arī norāda, ka jaunākie notikumi PDR jautājumā ir saistāmi ar visu ES instrumentu joprojām nepabeigto vispārīgo novērtējumu informācijas apmaiņas pārvaldības jomā, ko Komisija uzsāka 2010. gada janvārī un izklāstīja nesenajā Paziņojumā “Pārskats par informācijas pārvaldību brīvības, drošības un tiesiskuma jomā” (16). Acīmredzami tas ir cieši saistīts ar pašreizējām diskusijām par Eiropas Informācijas pārvaldības stratēģiju. Attiecībā uz to EDAU uzskata, ka rezultāti, ko sniegs pašreizējais darbs pie Eiropas informācijas apmaiņas modeļa un kas paredzami 2012. gadā, ir jāņem vērā, novērtējot vajadzību pēc Eiropas Savienības PDR.

25.

Tāpēc, kā arī ņemot vērā Priekšlikuma un jo īpaši tā ietekmes novērtējuma nepilnības, EDAU uzskata, ka tādos gadījumos kā šis, kad Priekšlikuma būtība aizskar pamattiesības uz privāto dzīvi un datu aizsardzību, ir nepieciešams veikt īpašu ietekmes novērtējumu attiecībā uz privāto dzīvi un datu aizsardzību. Ar vispārīgu ietekmes novērtējumu nepietiek.

26.

Priekšlikuma 2. panta g), h) un i) apakšpunktā ir definēti teroristu nodarījumi, smagi noziegumi un smagi starptautiski noziegumi. EDAU atzinīgi novērtē faktu, ka šīs definīcijas – un to piemērošanas joma – ir atjaunināta, atsevišķi nodalot smagus noziegumus un smagus starptautiskus noziegumus. Šāds nodalījums ir apsveicams, jo īpaši tāpēc, ka tas paredz dažādot personas datu apstrādi, izslēdzot novērtēšanu pēc iepriekš noteiktiem kritērijiem, ja ir runa par smagiem noziegumiem, kas nav starptautiski noziegumi.

27.

Tomēr smago noziegumu definīcija, pēc EDAU ieskatiem, joprojām ir pārāk plaša. Priekšlikumā tas ir ņemts vērā, norādot, ka dalībvalstis joprojām var izslēgt maznozīmīgus pārkāpumus, kas gan atbilst smago noziegumu definīcijai (17), bet nebūtu uzskatāmi par atbilstīgiem proporcionalitātes principam. Šāda redakcija nozīmē, ka Priekšlikumā sniegtā definīcija tikpat labi var attiekties arī uz maznozīmīgiem pārkāpumiem, kuru apstrāde būtu neproporcionāla. Nav saprotams, kas tieši ir jāatzīst par maznozīmīgu pārkāpumu. EDAU uzskata, ka, tā vietā, lai atstātu piemērošanas jomas sašaurināšanas iespēju dalībvalstu pārziņā, Priekšlikumā ir skaidri jāuzskaita pārkāpumi, kas jāiekļauj šajā piemērošanas jomā, kā arī no tās izslēdzamie nodarījumi, kas atzīstami par maznozīmīgiem un neiztur proporcionalitātes pārbaudi.

28.

Tas pats attiecas uz iespēju, ko atstāj atklātu 5. panta 5. punkts, un, proti, paredzot veikt datu apstrādi saistībā ar jebkāda veida nodarījumiem, ja tie tiek konstatēti tiesībaizsardzības pasākuma laikā, kā arī uz iespēju, kas minēta 28. apsvērumā – attiecināt piemērošanas jomu uz citiem mērķiem, kuri nav Priekšlikumā paredzēti, vai uz citiem pārvadāšanas pakalpojumu sniedzējiem.

29.

EDAU raisa bažas arī iespēja, kas paredzēta 17. pantā – iekļaut iekšējos lidojumus šīs direktīvas piemērošanas jomā, ņemot vērā to dalībvalstu pieredzi, kuras jau vāc šādus datus. Šāda PDR shēmas piemērošanas jomas paplašināšana pat vēl vairāk apdraudētu fizisko personu pamattiesības, un to nedrīkst paredzēt, kamēr nav veikta nekāda atbilstoša analīze, tostarp vispusīgs ietekmes novērtējums.

30.

Noslēgumā jāuzsver, ka atstājot atklātu jautājumu par piemērošanas jomu un dodot dalībvalstīm iespējas paplašināt mērķa definīciju, netiek ievērota prasība, ka datus drīkst vākt tikai konkrētiem un skaidri formulētiem mērķiem.

31.

Pasažieru informācijas nodaļu funkcijas un paredzētie aizsargpasākumi attiecībā uz PDR datu apstrādi raisa konkrētus jautājumus, jo īpaši tāpēc, ka šīs nodaļas saņem no gaisa pārvadātājiem datus par visiem pasažieriem un tām – saskaņā ar Priekšlikuma tekstu – ir plašas pilnvaras šo datu apstrādē. Tās attiecas arī uz to pasažieru uzvedības novērtēšanu, kuri netiek turēti aizdomās ne par kādu noziegumu, un uz iespēju salīdzināt PDR datus ar nekur neprecizētām datu bāzēm (18). EDAU piebilst, ka Priekšlikumā ir paredzēti “ierobežotas piekļuves” nosacījumi, tomēr uzskata, ka ar tiem vien nepietiek, ņemot vērā pasažieru informācijas nodaļu plašās pilnvaras.

32.

Pirmkārt, joprojām nav saprotama šīm nodaļām piešķirto pilnvaru būtība un to sastāvs. Priekšlikumā norādīta iespēja, ka par “(..) darbiniekiem var norīkot kompetentu publisko iestāžu darbiniekus”, bet nav sniegtas nekādas garantijas attiecībā uz pasažieru informācijas nodaļu darbinieku kompetenci un godprātību. EDAU ierosina iekļaut direktīvas tekstā attiecīgas prasības, ņemot vērā šajās nodaļās veicamās datu apstrādes sensitīvo būtību.

33.

Otrkārt, Priekšlikums paredz iespēju izveidot vienu pasažieru informācijas nodaļu, kas apkalpo vairākas dalībvalstis. Šāda iespēja paver durvis nepareizas datu izmantošanas riskam, kā arī pieļauj datu nosūtīšanu, neievērojot Priekšlikuma nosacījumus. EDAU atzīst, ka var būt ar efektivitāti saistīti iemesli, jo īpaši mazākām dalībvalstīm, kas liek apvienot spēkus, tomēr EDAU iesaka iekļaut direktīvas tekstā nosacījumus, kas regulētu šādu izvēli. Minētajiem nosacījumiem ir jāregulē sadarbība ar kompetentajām iestādēm, kā arī pārraudzības jautājumi, jo īpaši iesaistot tajos datu aizsardzības iestādes, kas ir atbildīgas par uzraudzību, un ņemot vērā datu subjektu tiesību ievērošanu, jo vienas pasažieru informācijas nodaļas uzraudzības jautājumos var būt kompetentas vairākas iestādes.

34.

Saistībā ar iepriekš izklāstītajiem apsvērumiem rodas funkciju nobīdes risks, jo īpaši attiecībā uz to darbinieku kvalifikāciju, kuri ir pilnvaroti analizēt datus, un attiecībā uz “kopīgas” pasažieru informācijas nodaļas veidošanu starp vairākām dalībvalstīm.

35.

Treškārt, EDAU apšauba aizsargpasākumus, kas paredzēti cīņai pret ļaunprātīgu izmantošanu. Reģistrēšanas pienākumi ir noderīgi, taču nepietiekami. Pašnovērošana ir jāpapildina ar ārēju uzraudzību, kas notiktu strukturētākā veidā. EDAU ierosina organizēt sistemātiskas revīzijas ik pēc četriem gadiem. Jāizstrādā arī drošības noteikumu vispusīga sistēma, kas jāpiemēro horizontāli visās pasažieru informācijas nodaļās.

36.

Priekšlikuma 7. pants paredz vairākus scenārijus, kā notiek datu apmaiņa starp pasažieru informācijas nodaļām – tā būtu uzskatāma par normālu situāciju – vai ārkārtas apstākļos starp dalībvalsts kompetento iestādi un pasažieru informācijas nodaļu. Nosacījumi kļūst arī stingrāki atkarībā no tā, vai piekļuvi pieprasa datu bāzei, kas paredzēta 9. panta 1. punktā un kur datus uzglabā pirmās 30 dienas, vai datu bāzei, kas minēta 9. panta 2. punktā un kur datus turpmāk uzglabā piecus gadus.

37.

Piekļuves nosacījumi tiek stingrāk definēti, ja piekļuves pieprasījums neiekļaujas parastajā procedūrā. Tomēr EDAU norāda, ka piedāvātā teksta redakcija var radīt neskaidrības – 7. panta 2. punktu piemēro konkrētā gadījumā “teroristu nodarījumu un smagu noziegumu novēršanai, atklāšanai, izmeklēšanai vai saukšanai pie atbildības par tiem”; 7. panta 3. punktā minēti izņēmuma apstākļi, “reaģējot uz konkrētiem draudiem vai konkrētu izmeklēšanu, vai saukšanu pie atbildības saistībā ar teroristu nodarījumiem vai smagiem noziegumiem”, 7. panta 4. punkts ļauj novērst “tūlītējus un nopietnus draudus sabiedrības drošībai”, bet 7. panta 5. punkts norāda uz “konkrētiem un faktiskiem draudiem saistībā ar teroristu nodarījumiem vai smagiem noziegumiem”. Atkarībā no šiem kritērijiem mainās arī dažādu iesaistīto personu piekļuves nosacījumi datu bāzēm. Taču nav skaidrs, kāda ir atšķirība starp konkrētiem draudiem, tūlītējiem un nopietniem draudiem un konkrētiem un faktiskiem draudiem. EDAU uzsver nepieciešamību papildus precizēt konkrētos nosacījumus, saskaņā ar kuriem tiks atļauta datu nosūtīšana.

38.

Kā uz datu aizsardzības principu vispārīgu tiesisko pamatu Priekšlikums atsaucas uz Padomes Pamatlēmumu 2008/977/TI, un tas attiecina šā pamatlēmuma piemērošanas jomu uz datu apstrādi iekšzemes līmenī.

39.

EDAU jau 2007. gadā (19) uzsvēra šā pamatlēmuma trūkumus jautājumā par datu subjektu tiesībām. Šajā pamatlēmumā iztrūkstošo elementu vidū īpaši izceļas dažas prasības attiecībā uz datu subjekta informēšanu gadījumos, kad tiek pieprasīta piekļuve viņa datiem – informācija ir jāsniedz saprotamā veidā, jānorāda arī datu apstrādes mērķis, turklāt ir vajadzīgi precīzāki aizsargpasākumi gadījumos, kad tiek iesniegta apelācija datu aizsardzības iestādei, ja tiek liegta tieša piekļuve.

40.

Atsauce uz pamatlēmumu rada tiesiskas sekas arī attiecībā uz kompetentās datu aizsardzības iestādes noteikšanu, kura uzraudzītu nākotnē paredzētās direktīvas piemērošanu, jo tai nebūt ne obligāti ir jābūt tai pašai datu aizsardzības iestādei, kas bija kompetenta jautājumos par (bijušo) pirmo pīlāru. EDAU uzskata, ka nav pareizi atsaukties tikai uz pamatlēmumu situācijā, kas izveidojusies pēc Lisabonas, kad viens no galvenajiem mērķiem ir pielāgot tiesisko regulējumu, lai nodrošinātu augsta līmeņa saskaņotu datu aizsardzību visu (bijušo) pīlāru jomās. Tas uzskata, ka Priekšlikumā ir vajadzīgi papildu noteikumi, lai papildinātu minēto atsauci uz Padomes pamatlēmumu, kurā ir konstatēti trūkumi, jo īpaši attiecībā uz piekļuves nosacījumiem personas datiem.

41.

Šīs bažas pilnā mērā ir attiecināmas arī uz datu nosūtīšanas nosacījumiem uz trešām valstīm. Priekšlikums atsaucas uz pamatlēmuma 13. panta 3. punkta ii) apakšpunktu, kurā paredzēti plaši izņēmumi attiecībā uz datu aizsardzības drošības pasākumiem – tas jo īpaši atkāpjas no atbilstības prasības attiecībā uz “likumīgām dominējošām interesēm, īpaši svarīgām sabiedrības interesēm”. Šim izņēmumam ir neskaidrs formulējums, ko iespējams piemērot daudziem PDR datu apstrādes gadījumiem, ja interpretē plašā nozīmē. EDAU uzskata, ka Priekšlikumā ir nepārprotami jānovērš pamatlēmuma izņēmumu piemērošana saistībā ar PDR datu apstrādi un jāuztur spēkā prasība par stingru atbilstības novērtējumu.

42.

Priekšlikums paredz 30 dienu datu saglabāšanas periodu, kā arī piecus gadus ilgu papildu periodu arhīvā. Šis saglabāšanas periods ir būtiski saīsināts, salīdzinot ar dokumenta iepriekšējām versijām, kurās saglabāšana ilga līdz pieciem un pēc tam vēl astoņiem gadiem.

43.

EDAU atzinīgi novērtē pirmā datu saglabāšanas perioda saīsināšanu līdz 30 dienām. Tomēr tas apšauba piecus gadus ilgā datu saglabāšanas papildu perioda nepieciešamību – nav skaidrs, vai ir vajadzība turpināt glabāt šos datus veidā, kas joprojām ļauj identificēt fiziskas personas.

44.

Tas uzsver arī terminoloģijas problēmu tekstā, kura rada būtiskas tiesiskas sekas – 9. panta 2. punkts norāda, ka pasažieru dati tiks “maskēti” un tāpēc būs “anonimizēti”. Taču tālāk tekstā norādīts, ka joprojām ir iespējama piekļuve “pilnīgiem PDR datiem”. Ja tā ir iespējams, tas nozīmē, ka PDR dati nekad netiks pilnībā anonimizēti – kaut arī maskēti, tie joprojām būs identificējami. Tiesiskās sekas ir tādas, ka datu aizsardzības regulējums pilnā mērā paliek spēkā, un tas rada jautājumu pēc būtības – par nepieciešamību un proporcionalitāti attiecībā uz visu pasažieru identificējamu datu glabāšanu piecus gadus.

45.

EDAU ierosina mainīt Priekšlikuma redakciju, saglabājot patiesas anonimizēšanas principu un neparedzot atkāpšanās ceļu uz datu identificēšanu, un tas nozīmē, ka nedrīkst pieļaut nekādu retrospektīvu izmeklēšanu. Šos datus joprojām – un tikai – varēs izmantot vispārīgiem izlūkošanas mērķiem, pamatojoties uz migrācijas plūsmās apzinātām terorisma un ar to saistīto noziegumu problēmām. Tas ir jānodala no datu saglabāšanas identificējamā veidā – ievērojot vairākus drošības pasākumus – gadījumos, kad ir radušās kādas konkrētas aizdomas.

46.

EDAU atzinīgi vērtē faktu, ka sensitīvie dati nav iekļauti apstrādājamo datu sarakstā. Taču tas uzsver, ka Priekšlikums joprojām paredz iespēju nosūtīt šos datus pasažieru informācijas nodaļai, kam pēc tam ir pienākums tos dzēst (4. panta 1. punkts un 11. pants). No minētā formulējuma nav skaidrs, vai pasažieru informācijas nodaļām joprojām ir darba pienākums filtrēt sensitīvos datus, ko atsūta aviolīnijas, vai arī tām ir šādi jārīkojas vienīgi izņēmuma gadījumos, kad aviolīnijas šos datus ir nosūtījušas kļūdas pēc. EDAU iesaka šo tekstu grozīt, lai skaidrāk noteiktu, ka aviolīnijas nedrīkst sūtīt nekādus sensitīvus datus jau pašā datu apstrādes pirmsākumā.

47.

Papildus sensitīviem datiem, to datu saraksts, kurus var nosūtīt, lielā mērā atkārto PDR sarakstu, kas ir spēkā ASV un ko 29. panta darba grupa vairākos atzinumos ir kritizējusi par to, ka tas ir pārāk plašs (20). EDAU uzskata, ka šis saraksts ir jāsaīsina saskaņā ar darba grupas atzinumu, bet jebkurš papildinājums ir pienācīgi jāpamato. Jo īpaši tas attiecas uz lauciņu “vispārīgas piezīmes”, kas ir jāizslēdz no saraksta.

48.

Saskaņā ar 4. panta 2. punkta a) un b) apakšpunktu fizisku personu novērtēšanā pēc iepriekš noteiktiem kritērijiem vai salīdzinot ar attiecīgām datu bāzēm var izmantot automatizētu apstrādi, tomēr novērtējums ir jāpārskata individuāli, neizmantojot automatizētus līdzekļus.

49.

EDAU atzinīgi novērtē paskaidrojumus, kas iekļauti teksta jaunajā versijā. Minētā noteikuma iepriekšējās piemērošanas jomas nenoteiktība attiecībā uz automatizētajiem lēmumiem, kas radīja “personai nelabvēlīgas tiesiskas sekas vai to būtiski ietekmēja (..)”, ir aizstāta ar saprotamāku formulējumu. Tagad ir skaidrs, ka visas pozitīvās sakritības tiks pārskatītas individuāli.

50.

Jaunajā versijā ir arī skaidrs, ka personas novērtējumu nekādos apstākļos nedrīkst pamatot ar tādiem apsvērumiem kā šīs personas rase vai etniskā izcelsme, reliģiskā vai filozofiskā pārliecība, politiskie uzskati, dalība arodbiedrībās, veselība vai dzimumdzīve. Citiem vārdiem, EDAU izprot šo jauno redakciju tā, ka nevienu lēmumu nedrīkst pieņemt, pat daļēji, pamatojoties uz sensitīviem datiem. Tas atbilst noteikumam, saskaņā ar kuru pasažieru informācijas nodaļas nedrīkst apstrādāt nekādus sensitīvus datus, un arī ir jāvērtē atzinīgi.

51.

EDAU uzskata, ka ir ļoti svarīgi veikt rūpīgu novērtējumu par šīs direktīvas ieviešanas gaitu, kā paredzēts 17. pantā. Tas uzskata, ka pārskatīšanas laikā ir ne tikai jānovērtē vispārīgā atbilstība datu aizsardzības standartiem, bet arī pamatīgāk un konkrētāk jāanalizē, vai PDR shēmas patiešām ir nepieciešamas. Šajā ziņā svarīgi ir statistikas dati, kas minēti 18. pantā. EDAU uzskata, ka šajā informācijā ir jānorāda ne tikai tiesībaizsardzības pasākumu skaits, kā bija paredzēts projektā, bet arī reāli notiesājošo spriedumu skaits, kas izriet – vai neizriet – no šiem tiesībaizsardzības pasākumiem. Šādas ziņas ir būtiskas, lai pārskatīšanas rezultāti būtu pārliecinoši.

52.

Priekšlikums neierobežo esošos nolīgumus ar trešām valstīm (19. pants). EDAU uzskata, ka šim noteikumam būtu ciešāk jāsaistās ar vispārējo šīs sistēmas mērķi, kas paredz saskaņot datu aizsardzības drošības pasākumus PDR jomā gan Eiropas Savienībā, gan ārpus tās, kā to ir lūdzis Eiropas Parlaments un formulējusi Komisija savā 2010. gada 21. septembra“Paziņojumā par vispārējo pieeju pasažieru datu reģistra (PDR) datu nosūtīšanai trešām valstīm”.

53.

Tāpēc nolīgumos ar trešām valstīm nebūtu jāiekļauj noteikumi, kas paredz zemākas prasības par direktīvā noteiktajām datu aizsardzības robežvērtībām. Pašlaik ir jo īpaši svarīgi šajā jautājumā atkārtoti pārskatīt nolīgumus ar ASV, Austrāliju un Kanādu, lai izveidotu vispārēju – un saskaņotu – sistēmu.

54.

Eiropas Savienības PDR shēmas izveide, kā arī sarunas ar trešām valstīm par PDR nolīgumiem ir ilglaicīgs izstrādes projekts. EDAU atzīst, ka, salīdzinot ar 2007. gada priekšlikumu Padomes pamatlēmumam par Eiropas Savienības PDR, teksta projektā ir veikti nenoliedzami uzlabojumi. Pievienoti datu aizsardzības drošības pasākumi, kas sagatavoti, pateicoties dažādu iesaistīto personu diskusijām un atzinumiem – jo īpaši tas attiecas uz 29. panta darba grupu, EDAU un Eiropas Parlamentu.

55.

EDAU atzinīgi novērtē šos uzlabojumus un jo īpaši centienus ierobežot Priekšlikuma piemērošanas jomu un PDR datu apstrādes nosacījumus. Tomēr tas ir spiests norādīt, ka šajā priekšlikumā nav izpildīts būtisks priekšnoteikums jebkuras PDR shēmas izstrādei – t. i., nav nodrošināta atbilstība nepieciešamības un proporcionalitātes principiem. EDAU atgādina, ka, pēc tā domām, PDR dati patiesi var būt nepieciešami tiesībaizsardzības mērķiem konkrētos gadījumos un tas atbilst datu aizsardzības prasībām. Taču īpašas bažas rada sistemātiska un nediskriminējoša šo datu izmantošana attiecībā uz visiem pasažieriem.

56.

Ietekmes novērtējumā ir iekļauti elementi, kas tiecas pamatot vajadzību izmantot PDR datus cīņā pret noziedzību, tomēr šī informācija ir pārāk vispārīga un neattaisno liela PDR datu apjoma apstrādi izlūkošanas mērķiem. Pēc EDAU domām, vienīgais pasākums, kas atbilstu datu aizsardzības prasībām, būtu PDR datu izmantošana atkarībā no vajadzības, ja ir radušies nopietni draudi, ko apliecina konkrēti rādītāji.

57.

Papildus minētajam galvenajam trūkumam, EDAU piezīmes attiecas arī uz šādiem aspektiem:

58.

EDAU papildu ieteikums ir tāds, ka jaunākie notikumi Eiropas Savienības PDR jautājumā ir jāvērtē plašākā perspektīvā, arī saistībā ar visu ES instrumentu joprojām nepabeigto vispārīgo novērtējumu informācijas apmaiņas pārvaldības jomā, ko Komisija uzsāka 2010. gada janvārī. Novērtējot vajadzību pēc Eiropas Savienības PDR shēmas, jo īpaši ir jāņem vērā 2012. gadā paredzamie rezultāti, ko sniegs pašreizējais darbs pie Eiropas informācijas apmaiņas modeļa.

—

2010. gada 19. oktobra atzinums par Komisijas Paziņojumu par vispārējo pieeju pasažieru datu reģistra (PDR) datu nosūtīšanai trešām valstīm ir pieejams vietnē: http://www.edps.europa.eu/EDPSWEB/edps/Consultation/OpinionsC/OC2010

—

29. panta darba grupas atzinumi ir pieejami, izmantojot šādu saiti: http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/index_en.htm#data_transfers

22.6.2011   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 181/31

22.6.2011   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 181/34

22.6.2011   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 181/35

Regione Lombardia

DG Agricoltura

Piazza Città di Lombardia 1

20124 Milano MI

ITALIA

—

articles L. 621-1 et suivants du Code rural et de la pêche maritime,

—

projet de décision du directeur général de FranceAgriMer

FranceAgriMer

12 rue Henri Rol Tanguy

TSA 20002

93555 Montreuil sous Bois Cedex

FRANCE

Ministrstvo za kmetijstvo, gozdarstvo in prehrano Republike Slovenije

Dunajska 22

SI-1000 Ljubljana

SLOVENIJA

22.6.2011   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 181/37

1.

Komisija 2011. gada 15. jūnijā saņēma paziņojumu par ierosinātu koncentrāciju, ievērojot Padomes Regulas (EK) Nr. 139/2004 (1) 4. pantu, kuras rezultātā uzņēmumi Bridgepoint Europe IV Investments (2) Sàrl (Luksemburga), kuru pilnībā kontrolē Bridgepoint Capital Group Limited (“Bridgepoint”, Apvienotā Karaliste), un Eurazeo SA (“Eurazeo”, Francija) iegūst Apvienošanās regulas 3. panta 1. punkta b) apakšpunkta izpratnē kopīgu kontroli pār Foncia Groupe SA (“Foncia”, Francija), iegādājoties akcijas.

2.

Attiecīgie uzņēmumi veic šādu uzņēmējdarbību:

3.

Iepriekšējā pārbaudē Komisija konstatē, ka uz paziņoto darījumu, iespējams, attiecas EK Apvienošanās regulas darbības joma. Tomēr galīgais lēmums šajā jautājumā netiek pieņemts. Ievērojot Komisijas paziņojumu par vienkāršotu procedūru noteiktu koncentrācijas procesu izskatīšanai saskaņā ar EK Apvienošanās regulu (2), jānorāda, ka šī lieta ir nododama izskatīšanai atbilstoši paziņojumā paredzētajai procedūrai.

4.

Komisija aicina ieinteresētās trešās personas iesniegt tai savus iespējamos novērojumus par ierosināto darbību.

Novērojumiem jānonāk Komisijā ne vēlāk kā 10 dienas pēc šīs publikācijas datuma. Novērojumus Komisijai var nosūtīt pa faksu (+32 22964301), pa e-pastu uz adresi COMP-MERGER-REGISTRY@ec.europa.eu vai pa pastu ar atsauces numuru COMP/M.6274 – Bridgepoint/Eurazeo/Foncia Groupe uz šādu adresi:

22.6.2011   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 181/39

1.

Komisija 2011. gada 14. jūnijā saņēma paziņojumu par ierosinātu koncentrāciju, ievērojot Padomes Regulā (1) 4. pantu, kuras rezultātā uzņēmums CSN Steel S.L. (Spānija), kas pieder grupai Companhia Siderúrgica Nacional, iegūst Apvienošanās regulas 3. panta 1. punkta b) apakšpunkta izpratnē pilnīgu kontroli pār uzņēmumiem:

iegādājoties akcijas.

2.

Attiecīgie uzņēmumi veic šādu uzņēmējdarbību:

3.

Iepriekšējā pārbaudē Komisija konstatē, ka uz paziņoto darījumu, iespējams, attiecas EK Apvienošanās regulas darbības joma. Tomēr galīgais lēmums šajā jautājumā netiek pieņemts. Ievērojot Komisijas paziņojumu par vienkāršotu procedūru dažu koncentrācijas procesu izskatīšanai saskaņā ar EK Apvienošanās regulu (2), jānorāda, ka šī lieta ir nododama izskatīšanai atbilstoši paziņojumā paredzētajai procedūrai.

4.

Komisija aicina ieinteresētās trešās personas iesniegt tai savus iespējamos novērojumus par ierosināto darbību.

Novērojumiem jānonāk Komisijā ne vēlāk kā 10 dienas pēc šīs publikācijas datuma. Novērojumus Komisijai var nosūtīt pa faksu (+32 22964301), pa e-pastu uz adresi COMP-MERGER-REGISTRY@ec.europa.eu vai pa pastu ar atsauces numuru COMP/M.6265 – CSN/AG Cementos Balboa/Corrugados Azpeitia/Corrugados Lasao/Stahlwerk Thuringen uz šādu adresi:

22.6.2011   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 181/40

1.

Eiropas Komisija 2011. gada 14. jūnijā saņēma paziņojumu par ierosinātu koncentrāciju, ievērojot 4. pantu Padomes Regulā (EK) Nr. 139/2004 (1), kuras rezultātā uzņēmums Talis International Holding GmbH (Vācija), uzņēmuma kontrolakciju sabiedrība, kurā ietilpst Talis Group (“Talis”), Apvienošanās regulas 3. panta 1. punkta b) apakšpunkta nozīmē iegūst kontroli pār visu uzņēmumu Raphael Valves Industries (1975.g.) (“Raphael”) (Izraēla), iegādājoties akcijas.

2.

Attiecīgo uzņēmumu Talis un Raphael saimnieciskā darbība ir vārstu un citu izstrādājumu, kā arī ūdenssaimniecības aprīkojuma, tostarp ūdens ražošanas, piegādes, izplatīšanas un notekūdeņu iekārtu attīstība, ražošana un izplatīšana.

3.

Iepriekšējā pārbaudē Eiropas Komisija konstatē, ka uz paziņoto darījumu, iespējams, attiecas Apvienošanās regulas darbības joma. Tomēr galīgais lēmums šajā jautājumā netiek pieņemts. Ievērojot Komisijas paziņojumu par vienkāršotu procedūru dažu koncentrācijas procesu izskatīšanai saskaņā ar Apvienošanās regulu (2), jānorāda, ka šī lieta ir nododama izskatīšanai atbilstoši paziņojumā paredzētajai procedūrai.

4.

Eiropas Komisija aicina ieinteresētās trešās personas iesniegt tai savus iespējamos novērojumus par ierosināto darbību.

Novērojumiem jānonāk Eiropas Komisijā ne vēlāk kā 10 dienas pēc šīs publikācijas datuma. Novērojumus Eiropas Komisijai var nosūtīt pa faksu (+32 22964301), pa e-pastu uz adresi COMP-MERGER-REGISTRY@ec.europa.eu vai pa pastu ar atsauces numuru COMP/M.6253 – Talis International Holding/Raphael Valves Industries (1975) Ltd uz šādu adresi: