12.9.2015

Eiropas Savienības Oficiālais Vēstnesis

C 301/1

EDAU ieteikumi par ES iespējām datu aizsardzības reformas īstenošanā

(Pilns teksts angļu, franču un vācu valodā ir pieejams EDAU vietnē www.edps.europa.eu)

(2015/C 301/01)

2015. gada 24. jūnijā trīs galvenās ES iestādes – Eiropas Parlaments, Padome un Eiropas Komisija – sāka koplēmuma sarunas par ierosināto Vispārīgo datu aizsardzības regulu jeb tā dēvēto neformāla “trialoga” procedūru (1). Trialoga pamatā ir Komisijas 2012. gada janvāra priekšlikums, Parlamenta 2014. gada 12. marta normatīvā rezolūcija un Padomes 2015. gada 15. jūnijā pieņemtā vispārējā pieeja (2). Trīs iestādes ir apņēmušās aplūkot Vispārīgo datu aizsardzības regulu kā daļu no plašākā datu aizsardzības reformas tiesību aktu kopuma, kas ietver priekšlikumu direktīvai par policijas un tiesu iestāžu darbību. Pēc procesa, kam būtu jābeidzas 2015. gada beigās, 2016. gada sākumā varētu notikt oficiāla abu tiesību aktu pieņemšana, kurai sekotu divu gadu pārejas posms (3).

Eiropas Datu aizsardzības uzraudzītājs (EDAU) ir neatkarīga ES iestāde. Uzraudzītājs nepiedalās trialogā, bet saskaņā ar Regulas 45/2001 41. panta 2. punktu “attiecībā uz personas datu apstrādi … nodrošina to, ka Kopienas iestādes un struktūras ievēro fizisku personu pamattiesības un brīvības un jo īpaši viņu tiesības uz privāto dzīvi”, un atbild “… par padomu sniegšanu Kopienas iestādēm un struktūrām un datu subjektiem visās lietās, kas attiecas uz personas datu apstrādi”. Uzraudzītājs un uzraudzītāja palīgs tika iecelti amatā 2014. gada decembrī, saņemot konkrētu uzdevumu būt konstruktīvākiem un aktīvākiem, un 2015. gada martā publicēja piecu gadu stratēģiju, kurā izklāsta, kā plāno īstenot šo uzdevumu un nodrošināt pārskatatbildību (4).

Šis atzinums ir EDAU stratēģijas pirmais svarīgais rezultāts. Pamatojoties uz diskusijām ar ES iestādēm, dalībvalstīm, pilsoniskās sabiedrības, nozares un citām ieinteresētajām personām, mūsu ieteikumu mērķis ir palīdzēt trialoga dalībniekiem laikus panākt pareizo konsensu. Atzinumam par Vispārīgo datu aizsardzības regulu ir divas daļas:

—	EDAU redzējums par nākotnē orientētiem datu aizsardzības noteikumiem ar ilustratīviem mūsu ieteikumu piemēriem un

—

pielikums (Atzinuma Nr. 3/2015 pielikums – Vispārīgās datu aizsardzības regulas teksta versiju un EDAU ieteikumu salīdzinoša tabula) ar tabulu, kuras četrās ailēs pantu pa pantam var salīdzināt attiecīgi Komisijas, Parlamenta un Padomes pieņemto Vispārīgās datu aizsardzības regulas tekstu un EDAU ieteikumus.

Atzinums ir publicēts mūsu tīmekļa vietnē un ar mobilās lietotnes starpniecību. Tas 2015. gada rudenī tiks papildināts ar ieteikumiem attiecībā uz Vispārīgās datu aizsardzības regulas apsvērumiem un (kad Padome būs pieņēmusi vispārējo nostāju attiecībā uz direktīvu) datu aizsardzību policijas un tiesu iestāžu darbības kontekstā.

EDAU 2012. gada martā pieņemtais visaptverošais atzinums par Komisijas ierosināto reformas tiesību aktu kopumu paliek spēkā. Taču ir pagājuši trīs gadi un pienācis laiks atjaunināt mūsu padomus, ciešāk iedziļinoties likumdevēju nostājā un piedāvājot konkrētus ieteikumus (5). Tāpat kā 2012. gada atzinums, šis atzinums ir saskaņā ar 29. panta darba grupas atzinumiem un paziņojumiem, tostarp 17. jūnijā pieņemto papildinājumu par svarīgākajiem tematiem trialoga kontekstā, kura izstrādē kā darba grupas pilntiesīgs loceklis ir piedalījies EDAU (6).

Reta iespēja – kāpēc šī reforma ir tik svarīga

ES personas datu aizsardzības noteikumu reformas maratons tuvojas noslēgumam. Vispārīgā datu aizsardzības regula turpmākajās desmitgadēs potenciāli ietekmēs visus ES iedzīvotājus, visas organizācijas, kas atrodas ES un apstrādā personas datus, un organizācijas ārpus ES, kas apstrādā fizisku personu datus ES (7). Šis ir piemērots laiks, lai nodrošinātu fizisku personu pamattiesību un brīvību aizsardzību datu virzītajā nākotnes sabiedrībā.

Efektīva datu aizsardzība sniedz plašākas iespējas fiziskām personām un stimulē rīcībai atbildīgos uzņēmumus un publiskās iestādes. Tiesību akti šajā jomā ir sarežģīti un tehniski, tāpēc ir vajadzīgas ekspertu – jo īpaši neatkarīgu uzraudzības iestāžu, kas izprot ar noteikumu ievērošanu saistītās problēmas,– konsultācijas. Vispārīgā datu aizsardzības regula visticamāk būs viena no garākajām Savienības tiesību aktu krājumā, tāpēc pašlaik ES jātiecas būt selektīvai, jākoncentrējas uz noteikumiem, kas tiešām ir vajadzīgi, un jāvairās no detaļām, kuras kā neparedzētas sekas varētu būt šķērslis nākotnes tehnoloģijām. Visas iestādes savos tekstos iestājas par skaidrību un saprotamību personas datu apstrādē, tāpēc Vispārīgajā datu aizsardzības regulā vārdiem jāsakrīt ar darbiem, proti, regulai jābūt pēc iespējas kodolīgai un viegli saprotamai.

Galīgais juridiskais teksts jānosaka Parlamentam un Padomei kā likumdevējiem ar Komisijas kā tiesību aktu ierosinātājas un līgumu sargātājas atbalstu. Lai gan EDAU nepiedalās trialoga sarunās, mēs esam juridiski kompetenti piedāvāt konsultācijas un darīt to aktīvi saskaņā ar uzdevumu, kas uzraudzītājam un uzraudzītāja palīgam tika dots, stājoties amatā, un EDAU nesen pieņemto stratēģiju. Šajā atzinumā ir izmantota vairāk nekā desmit gadu ilgā pieredze, kas uzkrāta, uzraugot datu aizsardzības noteikumu ievērošanu un sniedzot politiskas konsultācijas, lai palīdzētu iestādēm nonākt pie rezultāta, kurā būtu ievērotas fizisku personu intereses.

Likumdošana ir iespēju māksla. Katra no iespējām, kuru kā savu teksta versiju piedāvā attiecīgi Komisija, Parlaments un Padome, satur daudz vērā ņemamu noteikumu, tomēr katru no šīm iespējām var uzlabot. Raugoties no mūsu viedokļa, rezultāts nebūs ideāls, taču mēs vēlamies atbalstīt iestādes, palīdzot sasniegt iespējami labāko rezultātu. Tāpēc mūsu ieteikumi nepārsniedz trīs piedāvāto tekstu robežas. Mūsu pastāvīgo rūpju lokā ir šādi trīs aspekti:

—	izdevīgāki noteikumi pilsoņiem,

—	noteikumi, kas darbosies praksē,

—	ilgtspējīgi noteikumi.

Ar šo atzinumu tiek īstenots pārredzamības un pārskatatbildības princips, duāls princips, kas, iespējams, ir Vispārīgās datu aizsardzības regulas ievērojamākā inovācija. Trialoga procesam pašlaik tiek pievērsta ciešāka uzmanība nekā jebkad agrāk. Mūsu ieteikumi ir publiski, un mēs vēlētos aicināt visas ES iestādes pārņemt šo iniciatīvu un rādīt piemēru, lai šī tiesību aktu reforma būtu nevis slepena kompromisa, bet pārredzama procesa rezultāts.

ES jāpanāk jauna vienošanās datu aizsardzības jomā, jāatver jauna lappuse. Pārējā pasaule mūs uzmanīgi vēro. Jaunā tiesību akta kvalitātei un mijiedarbībai ar globālajām tiesību sistēmām un tendencēm ir īpaši svarīga nozīme. Ar šo atzinumu EDAU apliecina, ka ir ieinteresēts un gatavs palīdzēt panākt, lai ES maksimāli lietderīgi izmanto šo vēsturisko iespēju.

1. Izdevīgāki noteikumi pilsoņiem

ES noteikumu mērķis vienmēr ir bijis atvieglot datu plūsmas gan ES teritorijā, gan ar tirdzniecības partneriem, vienlaikus pievēršot īpašu uzmanību fizisku personu tiesībām un brīvībām. Internets ir pavēris nepieredzēta apmēra savienojamības, pašizpausmes un vērtības radīšanas iespējas uzņēmumiem un patērētājiem. Tomēr privātums eiropiešiem ir svarīgāks nekā jebkad agrāk. Saskaņā ar 2015. gada jūnijā veikto Eirobarometra apsekojumu par datu aizsardzību (8) vairāk nekā seši no desmit pilsoņiem neuzticas tiešsaistes uzņēmumiem, bet divas trešdaļas uztrauc tas, ka viņiem nav pilnīgas kontroles pār tiešsaistē sniegtu informāciju.

Reformētajā tiesiskajā regulējumā jāsaglabā un, ja iespējams, jāpaaugstina standarti attiecībā uz fiziskām personām. Datu aizsardzības reformas tiesību akti sākotnēji tika ierosināti kā instrumenti, lai “nostiprinātu tiesības uz privātumu tiešsaistē”, nodrošinot, ka cilvēki labāk apzinās savas tiesības un stingrāk kontrolē savu informāciju (9). Pilsoniskās sabiedrības pārstāvji 2015. gada aprīlī rakstīja Eiropas Komisijai, lai aicinātu iestādes ievērot šos mērķus (10).

Spēkā esošie principi, kas noteikti Pamattiesību hartā un ES primārajos tiesību aktos, būtu jāpiemēro konsekventi, dinamiski un inovatīvi, lai tie praksē efektīvi darbotos pilsoņu labā. Reformai jābūt visaptverošai, tāpēc nolemts pieņemt tiesību aktu kopumu, bet, tā kā uz datu apstrādi visticamāk attieksies atsevišķi juridiski instrumenti, jābūt skaidrībai par to precīzo piemērošanas jomu un to, kā tie darbojas kopā, nepieļaujot nepilnības, kas varētu novest pie kompromisiem attiecībā uz aizsardzības pasākumiem (11).

EDAU izpratnē sākuma punkts ir cilvēka cieņa, kas stāv pāri jautājumiem par vienkāršu atbilstību tiesību aktiem (12). Mūsu ieteikumi pamatojas uz katra Vispārīgās datu aizsardzības regulas panta atsevišķu un kumulatīvu novērtējumu, pievēršot uzmanību tam, vai attiecīgais pants stiprinās fizisku personu stāvokli salīdzinājumā ar pašreizējo tiesisko regulējumu. Atsauces punkts ir principi, kas ir datu aizsardzības pamatā, t. i., Pamattiesību hartas 8. pants (13).

1.1. Definīcijas – jābūt skaidrībai par to, kas ir personas dati

Fiziskām personām būtu jābūt iespējai efektīvāk īstenot savas tiesības attiecībā uz jebkādu informāciju, kas ļauj šīs personas identificēt vai izcelt, arī tad, ja informāciju uzskata par “pseidonimizētu” (14).

1.2. Visai datu apstrādei jābūt gan likumīgai, gan pamatotai

—

Prasības, saskaņā ar kurām visai datu apstrādei jābūt ierobežotai ar konkrētiem nolūkiem un juridiski pamatotai, ir kumulatīvas, nevis alternatīvas. Mēs iesakām izvairīties no šo principu sapludināšanas, kas nozīmētu to vājināšanu. Tā vietā ES būtu jāsaglabā, jāvienkāršo un jāīsteno iedibinātā koncepcija par to, ka personas dati jāizmanto tikai veidos, kas ir savienojami ar sākotnējiem nolūkiem, kuriem dati vākti (15).

—

Piekrišana ir viens no iespējamiem apstrādes juridiskajiem pamatiem, taču jāvairās no obligāti atzīmējamiem lodziņiem gadījumos, kad personai nav jēgpilnas izvēles un gadījumos, kad datu apstrāde vispār nav vajadzīga. Mēs iesakām piedāvāt cilvēkiem iespēju sniegt piekrišanu plašā vai šaurā izpratnē, piemēram, klīniskiem pētījumiem, kura tiek ievērota un kuru var atsaukt (16).

—

EDAU atbalsta drošus, inovatīvus risinājumus personas datu starptautiskai nosūtīšanai, kuri atvieglo datu apmaiņu un kuros tiek ievēroti datu aizsardzības un uzraudzības principi. Personu nepietiekamas aizsardzības dēļ mēs noteikti neiesakām atļaut nosūtīt datus, pamatojoties uz pārziņa likumīgajām interesēm, un nedomājam, ka ES būtu jāatļauj trešo valstu iestādēm tieši piekļūt datiem, kas atrodas ES. Trešo valstu iestāžu izdoti nosūtīšanas pieprasījumi būtu jāatzīst vienīgi gadījumos, kad tajos ir ievērotas līgumos par savstarpēju juridisku palīdzību, starptautiskos nolīgumos un citos likumīgos starptautiskās sadarbības instrumentos noteiktās normas (17).

1.3. Neatkarīgāka, autoritatīvāka uzraudzība

—	ES uzraudzības iestādēm būtu jābūt gatavām pildīt pienākumus no Vispārīgās datu aizsardzības regulas spēkā stāšanās dienas, un Eiropas Datu aizsardzības kolēģijai jābūt pilnīgi darbspējīgai, tiklīdz regulu sāk piemērot (18).

—	Iestādēm jāspēj izskatīt un izmeklēt sūdzības un prasības, ko iesniedz datu subjekti vai struktūras, organizācijas un asociācijas.

—

Individuālo tiesību īstenošana prasa efektīvu atbildības un kompensāciju sistēmu atlīdzības saņemšanai par kaitējumu, kas radies no nelikumīgas datu apstrādes. Tā kā atlīdzības saņemšanai praksē pastāv nepārprotami šķēršļi, vajadzētu būt iespējai fiziskas personas tiesvedībā pārstāvēt struktūrām, organizācijām un asociācijām (19).

2. Noteikumi, kas darbosies praksē

Aizsardzības pasākumus nevajadzētu jaukt ar formalitātēm. Pārmērīga detalizācija un darbības procesu mikropārvaldības mēģinājumi nākotnē varētu kļūt arhaiski. Šajā ziņā mēs varētu sekot paraugam ES konkurences jomā, kur samērā ierobežots sekundāro tiesību aktu kopums tiek stingri piemērots un veicina pārskatatbildības un izpratnes kultūru uzņēmumu vidū (20).

Visos trīs tekstos no personām, kas atbild par personas datu apstrādi, tiek prasīta lielāka skaidrība un vienkāršība (21). Tāpat arī tehniskajiem pienākumiem ir jābūt kodolīgiem un viegli saprotamiem, ja gribam, lai pārziņi tos pareizi īstenotu (22).

Spēkā esošās procedūras nav akmenī cirstas – mūsu ieteikumu mērķis ir apzināt veidus, kā mazināt birokrātiju, priekšrakstus attiecībā uz dokumentāciju un nevajadzīgas formalitātes. Mēs iesakām pieņemt tiesību aktus tikai tad, ja tie patiešām ir vajadzīgi. Tas nodrošina rīcības brīvību tiklab uzņēmumiem, kā publiskajām un uzraudzības iestādēm – telpu, kas jāaizpilda ar pārskatatbildību un uzraudzības iestāžu vadlīnijām. Ievērojot mūsu ieteikumus, Vispārīgās datu aizsardzības regulas teksts kopumā būtu par gandrīz 30 % īsāks salīdzinājumā ar trīs iestāžu piedāvāto tekstu vidējo garumu (23).

2.1. Efektīvi aizsardzības pasākumi, nevis procedūras

—

Dokumentācijai būtu jābūt nevis atbilstības nodrošināšanas mērķim, bet līdzeklim; reformai jākoncentrējas uz rezultātiem. Mēs iesakām mērogojamu pieeju, kas ļautu samazināt ar dokumentāciju saistītos pārziņu pienākumus līdz vienam politikas dokumentam par to, kā pārzinis ievēros regulu, ņemot vērā riskus, un prasību pārredzami apliecināt atbilstību tiklab attiecībā uz datu nosūtīšanu, kā līgumiem ar apstrādātājiem un pārkāpumu paziņošanu (24).

—

Pamatojoties uz precīziem riska novērtējuma kritērijiem un ņemot vērā mūsu ES iestāžu uzraudzības pieredzi, mēs iesakām noteikt, ka par datu aizsardzības pārkāpumiem uzraudzības iestādei jāziņo un datu aizsardzības ietekmes novērtējumi jāveic tikai tad, ja ir apdraudētas datu subjektu tiesības un brīvības (25).

—	Būtu aktīvi jāveicina nozares iniciatīvas, piemēram, saistošo uzņēmuma noteikumu vai privātuma zīmogu izmantošana (26).

2.2. Līdzsvara uzlabošana starp sabiedrības interesēm un personas datu aizsardzību

—

Datu aizsardzības noteikumi nedrīkstētu kavēt apstrādi vēsturiskos, statistikas vai zinātniskos nolūkos, ja tā tiešām notiek sabiedrības interesēs. Atbildīgajām personām jāveic vajadzīgie pasākumi, lai nepieļautu personas datu izmantošanu pret personas interesēm, pievēršot īpašu uzmanību noteikumiem, kas reglamentē sensitīvu, piemēram, veselības datu, apstrādi (27).

—	Pētniekiem un arhīviem būtu jābūt iespējai glabāt datus tik ilgi, cik nepieciešams, ievērojot attiecīgos aizsardzības pasākumus (28).

2.3. Uzticēšanās uzraudzības iestādēm un to pilnvarošana

—

Mēs iesakām atļaut uzraudzības iestādēm izdot vadlīnijas datu pārziņiem un izstrādāt savu iekšējo reglamentu atbilstoši Vispārīgās datu aizsardzības regulas vienkāršotai, atvieglotai piemērošanai, par ko atbild viena uzraudzības iestāde (vienas pieturas aģentūra), kura ir pieejama cilvēkiem (atrodas tuvumā) (29).

—	Iestādēm, pamatojoties uz visiem būtiskajiem apstākļiem, būtu jāspēj noteikt efektīvas, samērīgas un atturošas korektīvas un administratīvas sankcijas (30).

3. Ilgtspējīgi noteikumi

Pašreizējā tiesiskā regulējuma galvenais pīlārs, Direktīva 95/46/EK, ir bijusi paraugs turpmākiem tiesību aktiem datu apstrādes jomā gan ES, gan visā pasaulē un pat nodrošinājusi pamatu Pamattiesību hartas 8. panta par tiesībām uz personas datu aizsardzību formulējumam. Šī reforma noteiks datu apstrādes procesus paaudzei, kas nespēj iedomāties dzīvi bez interneta. Tāpēc ES jābūt pilnīgai izpratnei par šā tiesību akta ietekmi uz fiziskām personām un tā ilgtspējību tehnoloģiju attīstības apstākļos.

Pēdējos gados ir vērojams personas datu ģenerēšanas, vākšanas, analīzes un apmaiņas eksponenciāls pieaugums, kura iemesls ir tādas tehnoloģiskas inovācijas kā lietu internets, mākoņdatošana, lielie dati un atvērtie dati, kuru izmantošanu ES uzskata par būtisku konkurētspējas faktoru (31). Ņemot vērā Direktīvas 95/46/EK ilgmūžību, var pamatoti paredzēt, ka līdz nākamajai lielajai datu aizsardzības noteikumu pārskatīšanai paies tikpat ilgs laiks un tā varētu notikt ne agrāk kā šā gadsimta 30. gadu beigās. Var prognozēt, ka vēl ilgi pirms tam datu virzītas tehnoloģijas būs saplūdušas ar mākslīgo intelektu, dabiskās valodas apstrādi un biometrijas sistēmām, sniedzot iespēju izmantot lietojumprogrammas ar datormācīšanās spēju, lai uzlabotu mākslīgo intelektu.

Šīs tehnoloģijas apdraud datu aizsardzības principus. Tāpēc nākotnē orientētas reformas pamatā jābūt cilvēka cieņai un izpratnei par ētiku. Reformai jāizlīdzina nelīdzsvarotība starp inovāciju personas datu aizsardzībā un to izmantošanā, nodrošinot aizsardzības pasākumu efektivitāti mūsdienu digitalizētajā sabiedrībā.

3.1. Pārskatatbildīga uzņēmējdarbības prakse un inovatīvi inženierrisinājumi

—

Reformai būtu jāmaina pēdējā laikā vērojamā tendence slepeni izsekot fiziskas personas un pieņemt lēmumus, pamatojoties uz slēptiem profiliem. Problēma ir nevis mērķorientēta reklāma vai profilēšanas prakse, bet drīzāk jēgpilnas informācijas trūkums par algoritmisko loģiku, ar kuru tiek veidoti šie profili un kura ietekmē datu subjektus (32). Mēs iesakām prasīt no pārziņiem pilnīgāku pārredzamību.

—

Mēs stingri atbalstām regulā paredzēto integrētas datu aizsardzības un datu aizsardzības pēc noklusējuma principu, kas dos impulsu tirgus virzītu risinājumu ieviešanai digitālajā ekonomikā. Mēs iesakām vienkāršāku formulējumu prasībai par fizisku personu tiesību un interešu integrēšanu ražojumu izstrādē un noklusējuma iestatījumos (33).

3.2. Plašākas iespējas fiziskām personām

Datu pārnesamība digitālajā vidē ir durvis uz lietotāju kontroli pār saviem datiem, kas – kā cilvēki sākuši saprast – līdz šim ir bijusi liegta. Mēs iesakām atļaut tieši nosūtīt datus no viena pārziņa citam pēc datu subjekta pieprasījuma un pilnvarot datu subjektus saņemt datu kopiju, ko viņi paši var nosūtīt citam pārzinim (34).

3.3. Nākotnē piemērojami noteikumi

Mēs iesakām vairīties no valodas un prakses, kas varētu novecot vai kļūt apšaubāma (35).

4. Neatrisināti jautājumi

Nākotnē orientēta ES datu aizsardzības reformas tiesību aktu kopuma pieņemšana būs iespaidīgs, taču nepilnīgs sasniegums.

Visas iestādes ir vienisprātis, ka Vispārīgās datu aizsardzības regulas principi būtu konsekventi jāpiemēro ES iestādēm. Mēs esam iestājušies par tiesiskā regulējuma juridisko noteiktību un unifikāciju, vienlaikus atzīstot ES publiskā sektora unikalitāti un vajadzību vairīties no pašreizējā pienākumu līmeņa pazemināšanas (kā arī vajadzību noteikt EDAU juridisko un organizācijas pamatu). Tāpēc Komisijai pēc sarunu par Vispārīgo datu aizsardzības regulu pabeigšanas pēc iespējas drīzāk būtu jāiesniedz ar Vispārīgo datu aizsardzības regulu saskaņots priekšlikums Regulas (EK) Nr. 45/2001 pārskatīšanai, lai abus tiesību aktus varētu sākt piemērot vienlaicīgi (36).

Otrkārt, ir skaidrs, ka būs jāgroza Direktīva 2002/58/EK (e-privātuma direktīva). Vēl svarīgāk – ES ir vajadzīgs skaidrs tiesiskais regulējums attiecībā uz komunikācijas konfidencialitāti (tiesību uz privātumu neatņemamu elementu), kurš reglamentētu visus pakalpojumus, kas nodrošina komunikāciju, neaprobežojoties ar publiski pieejamu elektroniskās komunikācijas pakalpojumu sniedzējiem. Tas jānodrošina ar juridiski noteiktu un saskaņojošu regulu, kurā jāparedz vismaz tādi paši aizsardzības standarti kā e-privātuma direktīvā vienlīdzīgos konkurences apstākļos.

Tāpēc mēs šajā atzinumā iesakām aicināt Komisiju pēc iespējas drīzāk apņemties ātri pieņemt priekšlikumus šajās divās jomās.

5. Izšķirošs brīdis digitālajām tiesībām Eiropā un ārpus tās

ES pašlaik ir dota retā iespēja modernizēt un saskaņot personas datu apstrādes noteikumus. Privātums un datu aizsardzība nekonkurē ne ar ekonomikas izaugsmi un starptautisko tirdzniecību, ne lieliskiem pakalpojumiem un ražojumiem – tie ir daļa no kvalitātes un vērtības priekšlikuma. Eiropadome ir atzinusi, ka uzticēšanās ir obligāts priekšnoteikums inovatīviem ražojumiem un pakalpojumiem, kuru pamatā ir personas datu apstrāde.

ES 1995. gadā bija celmlauzis datu aizsardzības jomā. Pašlaik vairāk nekā 100 pasaules valstis ir pieņēmušas datu aizsardzības tiesību aktus, un mazāk nekā puse no tām ir Eiropas valstis (37). ES tomēr turpina piesaistīt to valstu ciešu uzmanību, kuras apsver iespēju izveidot vai pārskatīt savu tiesisko regulējumu. Laikā, kad cilvēku uzticēšanos uzņēmumiem un valdībām ir sašķobījuši atklājumi par masveida novērošanu un datu aizsardzības noteikumu pārkāpumiem, tas uzliek ievērojamu atbildību ES likumdevējiem, kuru šogad pieņemto lēmumu paredzamā ietekme nesniegsies pāri Eiropas robežām.

Pēc EDAU domām, Vispārīgās datu aizsardzības regulas teksta versijas liecina, ka esam uz pareizā ceļa, tomēr bažas, reizēm visai nopietnas, saglabājas. Koplēmuma procesā vienmēr pastāv dažu noteikumu vājināšanas risks, sarunu risinātājiem ar vislabākajiem nodomiem cenšoties panākt politisku kompromisu. Datu aizsardzības reformas gadījumā situācija ir atšķirīga, jo reforma skar pamattiesības un to, kā tās tiks aizsargātas daudzu gadu garumā.

Tāpēc ar šo atzinumu mēs vēlamies palīdzēt ES galvenajām iestādēm risināt problēmas. Mūsu mērķis nav vienīgi atsevišķo datu subjektu tiesību stiprināšana un pārziņu pārskatatbildības paaugstināšana; mēs vēlamies sekmēt inovāciju ar tiesisko regulējumu, kas ir neitrāls attiecībā uz tehnoloģijām, bet pozitīvs attiecībā uz priekšrocībām, kuras tehnoloģijas var sniegt sabiedrībai.

Sarunām tuvojoties noslēgumam, mēs ceram, ka mūsu ieteikumi palīdzēs ES pabeigt reformu, pieņemot noteikumus, kas būs piemērojami daudzus turpmākos gadus un desmitgades, – atverot jaunu lappusi ar globālu perspektīvu datu aizsardzības jomā, ES rādīs piemēru pasaulei.

Briselē, 2015. gada 27. jūlijā

Eiropas Datu aizsardzības uzraudzītājs

Giovanni BUTTARELLI

(1) Kopīgas deklarācijas – Eiropas Parlaments – Padome – Komisija – Kopīgā deklarācija par koplēmuma procedūras praktiskajiem aspektiem (EK līguma 251. pants) (2007/C 145/02), OV C 145, 30.6.2007.

(2) COM(2012)11 final; Eiropas Parlamenta 2014. gada 12. marta normatīvā rezolūcija par priekšlikumu Eiropas Parlamenta un Padomes regulai par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (Vispārīgā datu aizsardzības regula), P7_TA(2014)0212; Priekšlikums – Eiropas Parlamenta un Padomes regula par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (Vispārīgā datu aizsardzības regula) – vispārējas pieejas sagatavošana, Padomes dokuments 9565/15, 11.6.2015.

(3) Garais nosaukums ir “Priekšlikums direktīvai par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti”, COM(2012)10 final; Eiropas Parlamenta 2014. gada 12. marta normatīvā rezolūcija par priekšlikumu direktīvai par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, P7_TA(2014)0219. Attiecībā uz trialoga laiku un tvērumu sk. Eiropadomes 2015. gada 25. un 26. jūnija secinājumus, EUCO 22/15; par trialoga ceļvedi tika runāts Parlamenta, Padomes un Komisijas kopējā preses konferencē http://audiovisual.europarl.europa.eu/AssetDetail.aspx?id=690e8d8d-682d-4755-bfb6-a4c100eda4ed [pēdējo reizi skatīts 20.7.2015.], bet oficiāli tas nav publicēts. Vispārīgā datu aizsardzības regula stājas spēkā divdesmitajā dienā pēc publicēšanas Oficiālajā Vēstnesī, un tās pilnīga piemērošana ir paredzēta divus gadus pēc stāšanās spēkā (91. pants).

(4) Paziņojums par Eiropas datu aizsardzības uzraudzītāja vakanci, COM/2014/10354 (2014/C 163 A/02), OV C 163 A/6, 28.5.2014. Stratēģijā 2015.–2019. gadam EDAU sola “meklēt praksē īstenojamus risinājumus, kas ļauj izvairīties no birokrātijas un saglabāt elastīgumu tehnoloģiskas inovācijas un pārrobežu datu plūsmu apstākļos un dod iespēju fiziskām personām efektīvāk īstenot savas tiesības tiešsaistē un bezsaistē”; Rādot piemēru – EDAU stratēģija 2015.–2019. gadam, 2015. gada marts.

(5) EDAU atzinums par datu aizsardzības reformas tiesību aktu kopumu, 7.3.2015.

(6) Sk. tieslietu, patērētāju un dzimumu līdztiesības komisārei Vĕra Jourová adresētās 29. panta darba grupas vēstules pielikumu, 17.6.2015.

(7) Vispārīgās datu aizsardzības regulas materiālo un teritoriālo piemērošanas jomu īsi apkopot ir sarežģīti. Šķiet, ka iestādes ir vienisprātis vismaz par to, ka piemērošanas joma aptver organizācijas, kas atrodas ES un ir atbildīgas par personas datu apstrādi ES vai ārpus tās, un organizācijas, kas atrodas ārpus ES un apstrādā fizisku personu datus ES saistībā ar preču vai pakalpojumu piedāvāšanu šīm personām vai šo personu novērošanu ES (sk. 2. pantu par materiālo un 3. pantu par teritoriālo piemērošanas jomu).

(8) Citi rezultāti liecina, ka septiņus no desmit respondentiem uztrauc viņu informācijas izmantošana citos nolūkos, nevis nolūkā, kuram tā vākta, katrs septītais respondents uzskata, ka visos gadījumos, pirms tiek vākti un apstrādāti dati, būtu jāsaņem personas nepārprotama piekrišana, un divas trešdaļas respondentu domā, ka ir svarīgi, lai viņiem būtu iespēja nosūtīt personas datus no viena pakalpojumu sniedzēja citam (speciālais Eirobarometrs 431 par datu aizsardzību, 2015. gada jūnijs). Salīdzināmi rezultāti, kas iegūti Pjū pētniecības centra 2014. gadā veiktajā apsekojumā, liecina, ka 91 % amerikāņu uzskata, ka ir zaudējuši kontroli pār to, kā uzņēmumi vāc un izmanto personas datus, 80 % sociālo tīklu lietotāju uztrauc tas, ka trešās personas, piemēram, reklāmdevēji vai uzņēmumi, iegūst viņu datus, un 64 % respondentu uzskata, ka valdībai būtu jādara vairāk, lai regulētu reklāmdevējus (Pjū pētniecības centra privātuma grupas apsekojums, 2014. gada janvāris).

(9) Komisija ierosina visaptverošu datu aizsardzības noteikumu reformu, lai palielinātu lietotāju iespējas kontrolēt savus datus un samazinātu izmaksas uzņēmumiem.

(10) NVO vēstule priekšsēdētājam Junkeram, 21.4.2015. https://edri.org/files/DP_letter_Juncker_20150421.pdf un priekšsēdētāja vietnieka Timmermana kabineta vadītāja atbilde, 17.7.2015. https://edri.org/files/eudatap/Re_EC_EDRi-GDPR.pdf [skatītas 23.7.2015.]. EDAU 2015. gada maijā tikās ar vairāku NVO pārstāvjiem, lai apspriestos par to bažām; PAZIŅOJUMS PRESEI EDPS/2015/04, 1.6.2015., ES datu aizsardzības reforma – EDAU tiekas ar starptautiskām pilsoņu brīvību grupām; pilns diskusijas ieraksts pieejams EDAU tīmekļa vietnē (https://secure.edps.europa.eu/EDPSWEB/edps/EDPS/Pressnews/Videos/GDPR_civil_soc).

(11) 2. panta 2. punkta e) apakšpunkts.

(12) 1. pants.

(13) Pamattiesību hartas 8. pantā ir noteikts [izcēlums pievienots]:

1.	ikvienai personai ir tiesības uz savu personas datu aizsardzību;

2.	šādi dati ir jāapstrādā godprātīgi, noteiktiem mērķiem un ar attiecīgās personas piekrišanu vai ar citu likumīgu pamatojumu, kas paredzēts tiesību aktos. Ikvienam ir pieejas tiesības datiem, kas par viņu savākti, un tiesības ieviest labojumus šajos datos;

3.	atbilstību šiem noteikumiem kontrolē neatkarīga iestāde.

(14) 10. pants. Ja un kamēr nav skaidras un juridiski saistošas pseidonimizētu datu definīcijas, kas šos datus nošķir no personas datiem, šim datu veidam jāpaliek datu aizsardzības noteikumu piemērošanas jomā.

(15) 6. panta 2. un 4. punkts. Ņemot vērā, ka ir bijusi zināma nenoteiktība attiecībā uz jēdziena “savienojamība” izpratni, mēs, ievērojot 29. panta darba grupas atzinumu par nolūka ierobežošanu, iesakām vispārējus kritērijus, lai novērtētu, vai apstrāde ir savienojama ar nolūku (sk. 5. panta 2. punktu).

(16) Efektīva funkcionāla nošķiršana ir viens no veidiem, kā piekrišanas trūkuma gadījumā nodrošināt likumīgu apstrādi, taču likumīgas intereses nevajadzētu interpretēt pārmērīgi plaši. Dažās situācijās atbilstoša alternatīva varētu būt arī beznosacījuma tiesības atteikties. Nosakot, vai piekrišana ir dota brīvi, vērtējums daļēji ir atkarīgs no tā, vai a) datu subjekta un pārziņa attiecībās ir ievērojama nevienlīdzība, un b) gadījumos, kad apstrādi veic saskaņā ar 6. panta 1. punkta b) apakšpunktu, – no tā, vai līguma izpilde vai pakalpojuma sniegšana tiek saistīta ar piekrišanu datu apstrādei, kas šiem nolūkiem nav nepieciešama. (sk. 7. panta 4. punktu). Tas sasaucas ar ES patērētāju tiesībām – saskaņā ar Padomes 1993. gada 5. aprīļa Direktīvas 93/13/EEK par negodīgiem noteikumiem patērētāju līgumos 3. panta 1. punktu “[l]īguma noteikumu, par kuru nebija atsevišķas apspriešanās, uzskata par negodīgu, ja, pretēji prasībai pēc godprātības, tas rada ievērojamu nelīdzsvarotību pušu tiesībās un pienākumos, kas izriet no līguma, un tas notiek par sliktu patērētājam”.

(17) Šie noteikumi ietver atbilstības lēmumus attiecībā uz konkrētām nozarēm un teritorijām, atbilstības lēmumu un saistošo uzņēmuma noteikumu periodisku pārskatīšanu. Sk. 40.–45. pantu.

(18) 73. pants.

(19) 76. pants. Par sarežģījumiem saistībā ar atlīdzības saņemšanu par datu aizsardzības noteikumu pārkāpumiem sk. Pamattiesību aģentūras ziņojumu “Piekļuve tiesiskās aizsardzības līdzekļiem datu aizsardzības jomā ES dalībvalstīs”, 2013. g.

(20) ES noteikumos uzsvars ir likts uz uzņēmumu pašnovērtējumu par atbilstību LESD 101. pantā minētajam pret konkurenci vērstu nolīgumu aizliegumam, bet tirgū dominējošiem uzņēmumiem ir īpašs pienākums izvairīties no jebkādas rīcības, kas varētu vājināt efektīvu konkurenci (Komisijas norādījumu 2009/C 45/02 9. punkts); sk. EDAU sākotnējo atzinumu par privātumu un konkurenci lielo datu laikmetā, 14.3.2014.

(21) Visos trīs tekstos dažādos veidos ir minētas frāzes “saprotamā veidā un formā, skaidrā un vienkāršā valodā” (57. apsvērums, EP; 19. pants, Komisija un Padome), “skaidras un nepārprotamas” tiesības (99. apsvērums, EP; 10.a pants, EP) un “skaidras un viegli saprotamas informācijas” (10. pants, EP, 11. pants, EP) un “īsas, pārredzamas, skaidras un viegli pieejamas” informācijas sniegšana (25. apsvērums, EP, Komisija un Padome; 11. pants, EP).

(22) Parlamenta un Padomes versijā noteikumi par deleģētiem aktiem lielākoties ir svītroti. Mēs uzskatām, ka ES varētu iet vēl tālāk un uzticēt šos tehniskos jautājumus neatkarīgām specializētām iestādēm.

(23) Tekstā saskaņā ar mūsu ieteikumiem būtu aptuveni 20 000 vārdu; trīs iestāžu piedāvāto tekstu vidējais garums ir aptuveni 28 000 vārdu.

(24) 22. pants.

(25) 31. un 33. pants.

(26) 39. pants.

(27) 83. pants. Izpēte un arhivēšana pašas par sevi nav juridisks apstrādes pamats, tāpēc mēs iesakām svītrot 6. panta 2. punktu.

(28) 83.a pants.

(29) 29. panta darba grupa ir izklāstījusi redzējumu par pārvaldību, konsekvences mehānismu un vienas pieturas aģentūru, kura pamatā ir uzticēšanās neatkarīgām uzraudzības iestādēm un kuru veido trīs līmeņi:

—	atsevišķās uzraudzības iestādes, kas ir spēcīgas un pilnīgi apgādātas ar resursiem, lai izskatītu to kompetences jomā esošās lietas;

—	efektīva uzraudzības iestāžu sadarbība ar skaidri noteiktu vadošo iestādi pārrobežu gadījumos;

—

Eiropas Datu aizsardzības kolēģija, kas ir autonoma, ar juridiskas personas statusu, nodrošināta ar pietiekamiem līdzekļiem, sastāv no līdztiesīgām uzraudzības iestādēm, kuras darbojas solidaritātes garā, ar pilnvarām pieņemt saistošus lēmumus un sekretariātu, kas priekšsēdētāja vadībā sniedz kolēģijai atbalstu.

(30) Mēs iesakām arī precizēt noteikumus par uzraudzības iestāžu kompetenci un vadošās iestādes iecelšanu datu transnacionālas apstrādes gadījumos, saglabājot uzraudzības iestāžu iespēju izskatīt tikai vietējas nozīmes lietas. Mēs iesakām vienkāršotu konsekvences mehānisma variantu, kurā ir precīzāk noteikts, kā apzināt gadījumus, kad uzraudzības iestādēm būtu jākonsultējas ar Eiropas Datu aizsardzības kolēģiju un kolēģijai būtu jāpieņem saistošs lēmums, lai nodrošinātu regulas konsekventu piemērošanu.

(31) Komisijas paziņojums “Digitālā vienotā tirgus stratēģija Eiropai”, COM(2015) 192 final; Eiropadomes 2015. gada jūnija secinājumi, EUCO 22/15; Padomes secinājumi par Eiropas rūpniecības digitālo pārveidi, 8993/15.

(32) 14. panta h) apakšpunkts.

(33) 23. pants.

(34) 18. pants. Lai tiesības uz datu pārnesamību būtu efektīvas, mēs turklāt uzskatām, ka to piemērošanas jomai jābūt plašai un tām nav jāattiecas tikai uz apstrādes darbībām, kurās izmanto datu subjekta sniegtus datus.

(35) Piemēram, mēs iesakām nelietot tādus terminus kā “tiešsaiste”, “rakstveidā” un “informācijas sabiedrība”.

(36) Viena no iespējām, kurai mēs dotu priekšroku, ir attiecīga noteikuma iekļaušana pašā Vispārīgajā datu aizsardzības regulā.

(37) Greenleaf, Graham, “Global Data Privacy Laws 2015: 109 Countries, with European Laws Now a Minority” (2015. gada 30. janvāris); (2015) 133 Privacy Laws & Business International Report, 2015. gada februāris; UNSW Law Research Paper Nr. 2015-21.

		ISSN 1977-0952
Eiropas Savienības Oficiālais Vēstnesis		C 301

Izdevums latviešu valodā	Informācija un paziņojumi	58. sējums 2015. gada 12. septembris

Paziņojums Nr.	Saturs	Lappuse
	I Rezolūcijas, ieteikumi un atzinumi
	IETEIKUMI
	Eiropas Datu aizsardzības uzraudzītājs
2015/C 301/01	EDAU ieteikumi par ES iespējām datu aizsardzības reformas īstenošanā	1

	II Informācija
	EIROPAS SAVIENĪBAS IESTĀŽU UN STRUKTŪRU SNIEGTI PAZIŅOJUMI
	Eiropas Komisija
2015/C 301/02	Iebildumu necelšana pret paziņoto koncentrāciju (Lieta M.7579 – Royal Dutch Shell / Keele Oy / Aviation Fuel Services Norway) ( 1 )	9
2015/C 301/03	Iebildumu necelšana pret paziņoto koncentrāciju (Lieta M.7685 – Perrigo / GSK Divestment Businesses) ( 1 )	9

	IV Paziņojumi
	EIROPAS SAVIENĪBAS IESTĀŽU UN STRUKTŪRU SNIEGTI PAZIŅOJUMI
	Eiropas Komisija
2015/C 301/04	Euro maiņas kurss	10
	DALĪBVALSTU SNIEGTA INFORMĀCIJA
2015/C 301/05	Komisijas paziņojums saskaņā ar 16. panta 4. punktu Eiropas Parlamenta un Padomes Regulā (EK) Nr. 1008/2008 par kopīgiem noteikumiem gaisa pārvadājumu pakalpojumu sniegšanai Kopienā – Sabiedrisko pakalpojumu saistības attiecībā uz regulārajiem gaisa pārvadājumiem ( 1 )	11
2015/C 301/06	Komisijas paziņojums saskaņā ar 17. panta 5. punktu Eiropas Parlamenta un Padomes Regulā (EK) Nr. 1008/2008 par kopīgiem noteikumiem gaisa pārvadājumu pakalpojumu sniegšanai Kopienā – Uzaicinājums iesniegt piedāvājumus par regulāro gaisa pārvadājumu pakalpojumu sniegšanu saskaņā ar sabiedrisko pakalpojumu saistībām ( 1 )	12
2015/C 301/07	Komisijas paziņojums saskaņā ar 17. panta 5. punktu Eiropas Parlamenta un Padomes Regulā (EK) Nr. 1008/2008 par kopīgiem noteikumiem gaisa pārvadājumu pakalpojumu sniegšanai Kopienā – Uzaicinājums iesniegt piedāvājumus par regulāro gaisa pārvadājumu pakalpojumu sniegšanu saskaņā ar sabiedrisko pakalpojumu saistībām ( 1 )	13

	V Atzinumi
	PROCEDŪRAS, KAS SAISTĪTAS AR KONKURENCES POLITIKAS ĪSTENOŠANU
	Eiropas Komisija
2015/C 301/08	Iepriekšējs paziņojums par koncentrāciju (Lieta M.7697 – Aéroports de Paris / Select Service Partner Group / JV) – Lieta, kas pretendē uz vienkāršotu procedūru ( 1 )	14
2015/C 301/09	Iepriekšējs paziņojums par koncentrāciju (Lieta M.7595 – TDR Capital / LeasePlan) – Lieta, kas pretendē uz vienkāršotu procedūru ( 1 )	15
2015/C 301/10	Iepriekšējs paziņojums par koncentrāciju (Lieta M.7705 – Benson Elliot / Walton Street / Starwood / Hotel Portfolio) – Lieta, kas pretendē uz vienkāršotu procedūru ( 1 )	16
2015/C 301/11	Iepriekšējs paziņojums par koncentrāciju (Lieta M.7743 – Trailstone/E2M) – Lieta, kas pretendē uz vienkāršotu procedūru ( 1 )	17

	Valūta	Maiņas kurss
USD	ASV dolārs	1,1268
JPY	Japānas jena	136,02
DKK	Dānijas krona	7,4608
GBP	Lielbritānijas mārciņa	0,73060
SEK	Zviedrijas krona	9,3709
CHF	Šveices franks	1,1031
ISK	Islandes krona
NOK	Norvēģijas krona	9,2710
BGN	Bulgārijas leva	1,9558
CZK	Čehijas krona	27,074
HUF	Ungārijas forints	314,74
PLN	Polijas zlots	4,2080
RON	Rumānijas leja	4,4189
TRY	Turcijas lira	3,4302
AUD	Austrālijas dolārs	1,5955
CAD	Kanādas dolārs	1,4945
HKD	Hongkongas dolārs	8,7327
NZD	Jaunzēlandes dolārs	1,7914
SGD	Singapūras dolārs	1,5948
KRW	Dienvidkorejas vona	1 333,25
ZAR	Dienvidāfrikas rands	15,2887
CNY	Ķīnas juaņa renminbi	7,1832
HRK	Horvātijas kuna	7,5500
IDR	Indonēzijas rūpija	16 114,26
MYR	Malaizijas ringits	4,8642
PHP	Filipīnu peso	52,755
RUB	Krievijas rublis	76,6060
THB	Taizemes bāts	40,734
BRL	Brazīlijas reāls	4,3272
MXN	Meksikas peso	18,8722
INR	Indijas rūpija	74,8967


	(1) Dokuments attiecas uz EEZ