ISSN 1725-5201

doi:10.3000/17255201.C_2009.128.lav

Eiropas Savienības

Oficiālais Vēstnesis

C 128

European flag  

Izdevums latviešu valodā

Informācija un paziņojumi

52. sējums
2009. gada 6. jūnijs


Paziņojums Nr.

Saturs

Lappuse

 

I   Rezolūcijas, ieteikumi un atzinumi

 

ATZINUMI

 

Eiropas Datu aizsardzības uzraudzītājs

2009/C 128/01

Eiropas Datu aizsardzības uzraudzītāja atzinums par ES un ASV Augsta līmeņa kontaktgrupas galīgo pārskata ziņojumu par informācijas apmaiņu un privātumu, un personas datu aizsardzību

1

2009/C 128/02

Eiropas Datu aizsardzības uzraudzītāja atzinums par Komisijas paziņojumu Eiropas Parlamentam, Padomei, Eiropas Ekonomikas un sociālo lietu komitejai un Reģionu komitejai: Ceļā uz Eiropas e-tiesiskuma stratēģiju

13

2009/C 128/03

Eiropas Datu aizsardzības uzraudzītāja atzinuma projektspar priekšlikumu Eiropas Parlamenta un Padomes direktīvai par pacienta tiesību piemērošanu pārrobežu veselības aprūpē

20

2009/C 128/04

Otrais Eiropas Datu aizsardzības uzraudzītāja atzinums par pārskatīto Eiropas Parlamenta un Padomes Direktīvu 2002/58/EK par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (Direktīva par privāto dzīvi un elektronisko komunikāciju)

28

2009/C 128/05

Eiropas Datu aizsardzības uzraudzītāja atzinums par ierosināto Padomes direktīvu, ar ko dalībvalstīm uzliek pienākumu obligāti uzturēt jēlnaftas un/vai naftas produktu rezerves

42

 

IV   Informācija

 

EIROPAS SAVIENĪBAS IESTĀŽU UN STRUKTŪRU SNIEGTA INFORMĀCIJA

 

Komisija

2009/C 128/06

Euro maiņas kurss

45

 

Labojums

2009/C 128/07

Labojums Eiropas Centrālās bankas noteiktajā procentu likmē tās refinansēšanas operācijām (OV C 124, 2009. gada 4. jūnijs)

46

LV

 


I Rezolūcijas, ieteikumi un atzinumi

ATZINUMI

Eiropas Datu aizsardzības uzraudzītājs

6.6.2009   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 128/1


Eiropas Datu aizsardzības uzraudzītāja atzinums par ES un ASV Augsta līmeņa kontaktgrupas galīgo pārskata ziņojumu par informācijas apmaiņu un privātumu, un personas datu aizsardzību

2009/C 128/01

EIROPAS DATU AIZSARDZĪBAS UZRAUDZĪTĀJS,

ņemot vērā Eiropas Kopienas dibināšanas līgumu un it īpaši tā 286. pantu,

ņemot vērā Eiropas Savienības Pamattiesību hartu un it īpaši tās 8. pantu,

ņemot vērā Eiropas Parlamenta un Padomes Direktīvu 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šo datu brīvu apriti,

ņemot vērā Eiropas Parlamenta un Padomes Regulu (EK) Nr. 45/2001 (2000. gada 18. decembris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti, un it īpaši tās 41. pantu,

IR PIEŅĒMIS ŠO ATZINUMU.

I.   IEVADS - ATZINUMA KONTEKSTS

1.

Eiropas Savienības Padomes prezidentvalsts 2008. gada 28. maijā, gatavojoties ES 2008. gada 12. jūnija samitam, Pastāvīgo pārstāvju komitejai paziņoja, ka ES un ASV Augsta līmeņa kontaktgrupa (High Level Contact Group; še turpmāk HLCG) ar dalīšanos informācijā un privātuma un personas datu aizsardzību saistītu jautājumu jomā ir galīgā variantā izstrādājusi pārskata ziņojumu. Pārskatu darīja atklātībā pieejamu 2008. gada 26. jūnijā (1).

2.

Pārskatā ir mēģināts apzināt vienotus privātuma un datu aizsardzības principus kā pirmo soli pretī tam, lai varētu dalīties informācijā ar Amerikas Savienotajām Valstīm, apkarojot terorismu un smagus pārvalstiskus noziegumus.

3.

Padomes prezidentvalsts paziņojumā norāda, ka tā priecāsies par visām idejām saistībā ar minētā pārskata ziņojuma turpinājumu, un konkrēti – par reakciju uz pārskata ziņojuma ieteikumiem, kā virzīties uz priekšu. EDAU uz uzaicinājumu atbild, nākot klajā ar šo atzinumu, pamatojoties uz pašreizējo stāvokli, kas ir darīts atklātībā zināms un neskar nevienu turpmāku nostāju, ko viņš varētu ieņemt, analizējot attiecīgā jautājuma attīstību.

4.

EDAU norāda, ka HLCG ir darbojusies apstākļos, ko, it īpaši kopš 2001. gada 11. septembra, iezīmē ASV un ES savstarpējas datu apmaiņas attīstība ar starptautisku nolīgumu vai citu tipu instrumentu starpniecību. Pie tādiem pieder Eiropola un Eurojust nolīgumi ar Amerikas Savienotajām Valstīm, kā arī PDR nolīgumi un SWIFT lieta, par ko notika ES un ASV ierēdņu vēstuļu apmaiņa, lai noteiktu obligātas datu aizsardzības garantijas (2).

5.

Turklāt ES arī piedalās sarunās un vienojas par līdzīgiem instrumentiem, ar ko ir paredzētas personas datu apmaiņas ar citām trešām valstīm. Jaunāks piemērs ir Eiropas Savienības un Austrālijas nolīgums par aviopārvadātāju veikto Eiropas Savienības pasažieru datu reģistra (PDR) datu apstrādi un pārsūtīšanu Austrālijas muitas dienestam (3).

6.

Šādā kontekstā rodas iespaids, ka trešo valstu tiesībaizsardzības iestāžu lūgumi piesūtīt tām personas informāciju aizvien vēršas plašumā, un turklāt tas aptver gan parastas valstu datu bāzes, gan citu tipu datnes, konkrēti – privātā sektora savāktus datus.

7.

EDAU atgādina arī to, ka būtisks elements ir problēma saistībā ar personas datu pārsūtīšanu trešām valstīm, policijai un tiesu iestādēm sadarbojoties krimināllietās, kuru risina Padomes pamatlēmumā par tādu personas datu aizsardzību, ko apstrādā, policijai un tiesu iestādēm sadarbojoties krimināllietās (4), kuru, paredzams, pieņems līdz 2008. gada beigām.

8.

Ir paredzams, ka tāda transatlantiska informācijas apmaiņa tikai pieņemsies, un skars papildu sektorus, kur apstrādā datus. Tādā kontekstā dialogs par “transatlantisku tiesībaizsardzību” reizē ir apsveicams un diskrēts. Tas ir apsveicams tādā nozīmē, ka tas varētu veidot skaidrāku sistēmu datu apmaiņām, kas notiek pašlaik vai notiks nākotnē. Tas ir arī diskrēts, jo tāda sistēma varētu padarīt likumīgu ārkārtīgi plašu datu pārsūtīšanu kādā jomā – tiesībaizsardzībā – kuras radītās sekas cilvēkiem ir īpaši smagas, un kurā stingri un uzticami drošības pasākumi un garantijas tālab ir vēl jo vajadzīgākas (5).

9.

Šī atzinuma nākamā nodaļā uzmanība būs pievērsta pašreizējam stāvoklim un iespējamiem attīstības virzieniem. III nodaļā uzmanība būs pievērsta tāda instrumenta darbības jomai un būtībai, kurš ļautu dalīties informācijā. Atzinuma IV nodaļā no vispārējas perspektīves būs analizētas juridiskas problēmas, kas ir saistītas ar iespējama nolīguma saturu. Tajā uzmanība būs pievērsta tādām problēmām kā Amerikas Savienotajās Valstīs nodrošinātās aizsardzības izvērtējuma nosacījumi, un pārrunāts jautājums, kā izmantot ES normatīvo sistēmu par aizsardzības izvērtējuma kritēriju. Minētajā nodaļā būs uzskaitītas arī galvenās prasības, kas jāiekļauj tādā nolīgumā. Visbeidzot, atzinuma V nodaļā būs analizēti pārskata ziņojumam pievienotie privātuma principi.

II.   PAŠREIZĒJAIS STĀVOKLIS UN IESPĒJAS VIRZĪTIES UZ PRIEKŠU

10.

EDAU šādi vērtē pašreizējo stāvokli. Ir gūti panākumi, nosakot vienotus standartus, kā dalīties informācijā un aizsargāt privātumu un personas datus.

11.

Tomēr jebkāda ES un ASV nolīguma gatavošanas darbi vēl nav galā. Ir jāpaveic vairāk. Pārskata ziņojumā HLCG piemin vairākas neatrisinātas problēmas, kuru vidū “kompensācijas” problēma ir visnopietnākā. Joprojām nav vienprātības, cik plaši tiesiskas kompensācijas pasākumi ir vajadzīgi (6). Piecas citas neatrisinātas problēmas ir apzinātas pārskata ziņojuma 3. nodaļā. Turklāt no šī atzinuma izriet, ka arī daudzi citi jautājumi vēl nav atrisināti, piemēram, jautājums par informācijas apmaiņas instrumenta darbības jomas plašumu un būtību.

12.

Tā kā pārskata ziņojumā par labāko variantu ir atzīts tāds nolīgums, kas uzliek saistības – EDAU tam piekrīt – piesardzība ir vēl jo vajadzīgāka. Ir jāturpina rūpīgi un nopietni gatavoties, pirms varētu panākt nolīgumu.

13.

Visbeidzot, pēc EDAU domām, nolīguma noslēgšanai vajadzētu notikt saskaņā ar Lisabonas Līgumu, protams, atkarībā no tā, kā tas stājas spēkā. Patiesi, ja tas notiktu saskaņā ar Lisabonas Līgumu, nevajadzētu rasties neskaidrībām par ES pīlāru nošķīrumu. Turklāt būtu nodrošināta pilnīga Eiropas Parlamenta iesaiste līdz ar Tiesas veiktu juridisku kontroli.

14.

Tādos apstākļos labākais, kā virzīties uz priekšu, būtu izstrādāt ceļvedi, lai vēlākā stadijā panāktu iespējamu nolīgumu. Tādā ceļvedī varētu būt šādi elementi –

norādes, kā HLCG (vai kādai citai grupai) turpināt darbu, kā arī tā termiņi

agrā stadijā – diskusijas un, iespējams, vienošanās par būtiskām problēmām, piem., nolīguma darbības jomu un būtību

pamatojoties uz vienotu minēto būtisko problēmu izpratni, sīkāk izstrādāt datu aizsardzības principus

ieinteresēto personu iesaiste dažādās procedūras stadijās

Eiropas pusei – risināt organizatoriskus ierobežojumus.

III.   INFORMĀCIJAS APMAIŅAI PIEŅEMTA INSTRUMENTA DARBĪBAS JOMA UN BŪTĪBA

15.

Pēc EDAU viedokļa ir ļoti svarīgi, lai iespējama instrumenta darbības joma un būtība, kā arī datu aizsardzības principi būtu skaidri definēti, jo tas būtu pirmais solis turpmākā tādu instrumentu izstrādē.

16.

Runājot par darbības jomu, svarīgi jautājumi, kas jāatbild, ir šādi –

kas ir iesaistītie darbību veicēji gan tiesībaizsardzības jomā, gan ārpus tās;

kas ir domāts ar “tiesībaizsardzības vajadzībām”, un kāda ir to saikne ar citām vajadzībām, piemēram, attiecīgas valsts drošību, un konkrētāk, ar robežkontroli un sabiedrības veselības aizsardzību;

kā attiecīgais instruments iekļausies vispārējā transatlantiskas drošības teritorijas perspektīvē.

17.

Būtības definīcijai vajadzētu padarīt skaidrākus šādus jautājumus –

vajadzības gadījumā – kādā pīlārā notiks sarunas par instrumentu;

vai instruments uzliks saistības ES un ASV;

vai tam būs tiešas sekas – tādā nozīmē, ka tajā ir paredzētas cilvēku tiesības un pienākumi, ko tiesu iestādes var īstenot;

vai instrumentā pašā būs paredzēta informācijas apmaiņa, vai arī būs noteikts obligāts informācijas apmaiņas standarts, ko papildinātu ar konkrētiem nolīgumiem;

kā instruments saistīsies ar esošiem instrumentiem – vai tas tos respektēs, aizstās vai papildinās.

III. 1.   Instrumenta darbības joma

Iesaistītie dalībnieki

18.

Lai gan HLCG sniegtajā pārskata ziņojumā nav skaidru norāžu par precīzu nākotnē pieņemamā instrumenta darbības jomu, no tajā minētajiem principiem var secināt, ka to ir paredzēts attiecināt gan uz savstarpēju privātu un valsts mēroga darbību veicēju datu pārsūtīšanu (7) gan arī valsts iestāžu savstarpēju datu pārsūtīšanu.

—   Privātu un valsts mēroga dalībnieki –

19.

EDAU saskata loģiku izmantot nākotnē pieņemamu instrumentu, lai privāti un valstu mēroga dalībnieki savstarpēji pārsūtītu datus. Tādus instrumentus izstrādā, pamatojoties uz ASV puses pēdējo gadu lūgumiem saņemt informāciju no privātpersonām. EDAU norāda, ka patiesi – privāti darbību veicēji kļūst par regulāras informācijas avotu tiesībaizsardzības perspektīvē, vienalga, vai tas notiktu ES vai starptautiskā līmenī (8). SWIFT lieta bija nopietns precedents, kurā privātu uzņēmējsabiedrību lūdza regulāri pārsūtīt visus datus kādas trešās valsts tiesībaizsardzības iestādēm (9). Vācot PDR datus no aviosabiedrībām, ir izmantots tas pats domu gājiens. EDAU uzskata, ka jautājumā par iecerētu, Eiropas PDR sistēmai paredzētu pamatlēmumu, viņš jau ir apšaubījis tādas tendences likumīgumu (10).

20.

Ir vēl divi iemesli nesteigties nākotnē pieņemama instrumenta darbības jomā iekļaut datus, ko savā starpā pārsūta privāti un valstu mēroga darbību veicēji.

21.

Pirmkārt, tādu datu iekļaušana varētu radīt negribētas sekas pašā ES teritorijā. EDAU ir nopietni norūpējies, ja privātu uzņēmējsabiedrību (piem., finanšu iestāžu) datus vispār var pārsūtīt trešām valstīm, tad tas varētu radīt stipru spiedienu, lai Eiropas Savienības tiesībaizsardzības iestādēm vienu un to pašu tipu datus darītu vienādi pieejamus. PDR sistēma ir piemērs tādam nevēlamam notikumu pavērsienam, ko sākusi ASV, bez izšķirības vācot visus pasažieru datus, un kas ir transponēts arī Eiropas iekšējā kontekstā (11) – bez skaidriem pierādījumiem, ka tāda sistēma ir vajadzīga un samērīga.

22.

Otrkārt, EDAU atzinumā par Komisijas ierosināto ES PDR arī izvirzīja jautājumu par (pirmā vai trešā pīlāra) datu aizsardzības sistēmu, ko piemērot valsts mēroga un privātiem darbību veicēju sadarbības nosacījumiem, – vai noteikumiem par pamatu būtu jāņem datu apstrādātāju kvalitāte (privātais sektors) vai iecerētais mērķis (tiesībaizsardzība)? Pirmā un trešā pīlāra robežšķirtne nebūt nav skaidra gadījumos, ja privātiem darbību veicējiem ir uzticēts pienākums apstrādāt personas datus tiesībaizsardzības vajadzībām. Tādā sakarā ir svarīgi, ka ģenerāladvokāts Bot nesenā atzinumā par datu glabāšanas lietu (12) ir ierosinājis tādos gadījumos novilkt robežšķirtni, bet priekšlikumā piebilst – “robežšķirtni noteikti var kritizēt, un dažā ziņā tā var šķist mākslīga.” EDAU arī norāda, ka Tiesas nolēmums PDR jautājumā (13) pilnībā nedod atbildi uz jautājumu, kādu tiesisko sistēmu piemērot. Piemēram, tas, ka uz dažām darbībām neattiecas Direktīva 95/46/EK, automātiski nenozīmē, ka minētās darbības var regulēt saskaņā ar trešo pīlāru. Tādējādi tas, iespējams, atstāj iespēju divdomīgi interpretēt jautājumu par to, kādas tiesības piemērot, un noteikti rada juridiskas neskaidrības par datu subjektiem pieejamām juridiskām garantijām.

23.

No šādas perspektīves EDAU uzsver, ka ir jānodrošina, lai nākotnē pieņemamos instrumentos, kuros ietverti vispārēji datu aizsardzības principi, nevar leģitimizēt kuru katru transatlantisku, no privātpersonām un valsts struktūrām iegūtu personas datu savstarpēju pārsūtīšanu. Pārsūtīšanu var iekļaut kādā nākotnē paredzamā instrumentā tikai ar noteikumu, ka –

iecerētajā instrumentā ir paredzēts, ka pārsūtīšana ir atļauta tikai tad, ja ir pierādīts, ka tā ir absolūti obligāta konkrētām vajadzībām, par katru konkrētu gadījumu pieņemot individuālu lēmumu;

pati pārsūtīšana ir saistīta ar nopietniem datu aizsardzības drošības pasākumiem (kā aprakstīts šajā atzinumā).

Turklāt EDAU ņem vērā neskaidrības par to, kādu datu aizsardzības sistēmu piemērot, un tālab lūdz pašreizējā ES tiesību stāvoklī noteikti neietvert no privātpersonām un valsts struktūrām iegūtu personas datu savstarpēju pārsūtīšanu.

—   Valstu iestāžu starpā –

24.

Nav skaidrota precīza informācijas apmaiņas joma. Pirmajam solim, turpinot vienota instrumenta izstrādi, būtu jābūt – precizēt iecerētā instrumenta darbības jomu. Paliek konkrēti neatbildēti jautājumi, vai –

Ciktāl ir runa par Eiropas Savienības datu bāzēm, vai instruments attiektos uz centralizētām datu bāzēm, ko (daļēji) apsaimnieko ES, piemēram, uz Eiropola un Eurojust datu bāzēm, vai uz decentralizētām datu bāzēm, ko apsaimnieko dalībvalstis – vai arī uz abējādām datu bāzēm;

instrumenta darbības joma attiecas uz savstarpēji savienotiem tīkliem, tas ir, vai paredzētās garantijas attieksies uz datiem, ar ko savstarpēji apmainās dalībvalstis vai aģentūras gan Eiropas Savienībā, gan arī Amerikas Savienotajās Valstīs;

instruments attiektos tikai uz savstarpējām tiesībaizsardzības (policijas, tiesu iestāžu, iespējams, muitas) jomas datu bāzu vai arī citu datu bāzu –, piemēram, nodokļu datu bāzu – apmaiņu ar informāciju;

instruments attiektos arī uz valstu drošības aģentūru datu bāzēm, vai arī būtu paredzēta minēto aģentūru piekļuve tiesībaizsardzības datu bāzēm citu līgumslēdzēju pušu teritorijā (ES piekļuve ASV datu bāzēm un otrādi);

instruments attiektos uz informācijas pārsūtīšanu, atsevišķi izskatot katru konkrētu gadījumu, vai arī uz pastāvīgu piekļuvi esošām datu bāzēm. Tāda hipotēze noteikti radītu samērības problēmas, kas būs sīkāk pārrunātas V nodaļas 3. punktā

Tiesībaizsardzības mērķis

25.

Iespējama nolīguma mērķa definēšana arī ir iemesls neskaidrībām. Tiesībaizsardzības mērķis ir skaidri norādīts ievadā, kā arī pirmajā pārskata ziņojumam pievienotajā principā, un tas būs sīkāk analizēts atzinuma IV nodaļā. EDAU jau norādījis – minētie paziņojumi liecina, ka datu apmaiņa īpaši skartu trešā pīlāra jautājumus, un var minēt, vai tā ir tikai pirmais solis pretī plašākai informācijas apmaiņai. Šķiet skaidrs, ka pie “valsts drošības” mērķiem, kā norādīts pārskata ziņojumā, pieder terorisma, organizētas noziedzības un citu noziegumu apkarošana. Bet – vai ir paredzēts pieļaut datu apmaiņu arī citādu valsts interešu vārdā, piemēram, iespējamu sabiedrības veselības aizsardzības apdraudējumu dēļ?

26.

EDAU iesaka mērķa noteikšanā aprobežoties ar precīzi apzinātu datu apstrādi, un pamatot politikas izvēli, definējot mērķus.

Pasaules mēroga transatlantiska aizsargāta teritorija

27.

Plašā, pārskata ziņojuma aptvertā joma būtu jāaplūko pasaules mēroga transatlantiskas aizsargātas teritorijas perspektīvē, par ko diskutē tā dēvētā “Nākotnes grupa” (14). Grupas 2008. gada jūnija pārskata ziņojumā uzmanība ir pievērsta iekšlietu politikas ārējiem aspektiem. Tajā ir atbalstīta doma, ka “Eiropas Savienībai līdz 2014. gadam būtu jāpieņem lēmums par politisku mērķi – brīvības, drošības un tiesiskuma jomā izveidot eiroatlantiskas sadarbības teritoriju ar Amerikas Savienotajām Valstīm”. Sadarbība sniegtos tālāk par drošību stingrā nozīmē, un vismaz aptvertu tādus tematus, kas ir aplūkoti EK Līguma IV sadaļā, piemēram, imigrāciju, vīzas un patvēruma piešķiršanu, un civiltiesisku sadarbību. Ir jāapšauba, ciktāl nolīgums par datu aizsardzības pamatprincipiem, piemēram, par HLCG pārskata ziņojumā minētajiem, varētu būt par pamatu informācijas apmaiņai tik plašos mērogos.

28.

Ja viss rit kā iecerēts, līdz 2014. gadam pīlāru struktūra vairs nepastāvēs, un datu aizsardzībai visā Eiropas Savienībā būs viens juridisks pamats (saskaņā ar Lisabonas Līgumu – 16. pants līgumā par Eiropas Savienības funkcionēšanu). Tomēr tas, ka no datu aizsardzības normēšanas viedokļa ES mērogā notiek saskaņošana, nenozīmē, ka jebkurā nolīgumā ar kādu trešo valsti varētu paredzēt personas datu pārsūtīšanu neatkarīgi no iecerētajiem mērķiem. Datu aizsardzības garantijas var būt jāpielāgo atkarībā no datu apstrādes konteksta un nosacījumiem konkrētās jomās, piemēram, tiesībaizsardzībā. EDAU iesaka ņemt vērā dažādo perspektīvu sekas, gatavojot turpmākos nolīgumus.

III.2.   Nolīguma būtība

Eiropas organizatoriskā sistēma

29.

Īstermiņā katrā ziņā būtiski ir noteikt, kādā pīlārā notiks sarunas par attiecīgo mehānismu. Tas jo īpaši ir vajadzīgs iekšējas normatīvas datu aizsardzības sistēmas dēļ, jo to ietekmēs tādi nolīgumi. Vai tā būs pirmā pīlāra sistēma – galvenokārt Direktīva 95/46/EK ar konkrētiem režīmiem, kā datus pārsūtīt trešām valstīm – vai arī trešā pīlāra sistēma, kurā, pārsūtot datus trešām valstīm, režīms nav tik stingrs? (15)

30.

Kaut gan tiesībaizsardzības mērķi gūst virsroku, kā jau minēts, HLCG pārskata ziņojumā tomēr ir minēta datu vākšana no privātiem dalībniekiem, un mērķus var arī interpretēt plaši, ievērojami pārsniedzot drošības jomu, ietverot arī, piem., imigrācijas un robežkontroles problēmas, bet arī, iespējams, sabiedrības veselības aizsardzību. Ņemot vērā tādas neskaidrības, būtu ļoti ieteicams pagaidīt pīlāru saskaņošanu saskaņā ar ES tiesībām, kā paredzēts Lisabonas Līgumā, lai izveidotu skaidru juridisko pamatu sarunām un precīzi noteiktu Eiropas iestāžu, it īpaši Eiropas Parlamenta un Komisijas uzdevumus.

Instruments, kas uzliek saistības

31.

Būtu jānoskaidro, vai diskusijās gūtie secinājumi liks noslēgt saprašanās memorandu, vai kādu citu instrumentu, kas neuzliek saistības, – vai arī starptautisku nolīgumu, kas uzliek saistības.

32.

EDAU atbalsta to, ka pārskata ziņojumā ir dota priekšroka nolīgumam, kas uzliek saistības. EDAU uzskata, ka oficiāls nolīgums, kas uzliek saistības, ir obligāts priekšnoteikums katrai datu pārsūtīšanai ārpus ES, neatkarīgi no datus pārsūtīšanas mērķa. Datus nevar pārsūtīt uz trešo valsti bez attiecīgiem nosacījumiem un drošības pasākumiem, kas ir paredzēti konkrētā tiesiskā sistēmā (turklāt tādā, kas uzliek saistības). Citiem vārdiem sakot, saprašanās memorands vai cits instruments, kas neuzliek saistības, var noderēt, lai dotu ievirzi sarunām par turpmākiem nolīgumiem, kas uzliek saistības, bet tas nekad nevarēs aizstāt nolīgumu, kas uzliek saistības.

Tieša iedarbība

33.

Instrumentam būtu vienādi jāuzliek saistības gan ASV, gan ES un tās dalībvalstīm.

34.

Turklāt būtu jānodrošina, lai cilvēki būtu tiesīgi īstenot tiesības, un it īpaši – saņemt kompensāciju – pamatojoties uz principiem, par ko ir panākta vienprātība. Pēc EDAU domām, to vislabāk var nodrošināt, ja instrumenta būtiskos noteikumus formulē tā, ka tie rada tiešas sekas Eiropas Savienības rezidentiem, un tos var izmantot tiesā. Tālab instrumentā ir skaidri jāformulē tiešas sekas, ko radīs starptautiskais nolīgums, kā arī nosacījumi tā transponēšanai Eiropas iekšējās tiesībās un attiecīgu valstu tiesībās, lai nodrošinātu pasākumu efektivitāti.

Saistība ar citiem instrumentiem

35.

Svarīgs ir arī jautājums par to, ciktāl nolīgums ir savrups vai arī katrā konkrētā gadījumā tas ir jāpapildina ar turpmākiem nolīgumiem par konkrētām datu apmaiņām. Patiesi ir apšaubāmi, vai viens nolīgums, ar vienotu standartu kompleksu, varētu pienācīgi aptvert daudzas dažādas nianses, datus apstrādājot trešajā pīlārā. Vēl apšaubāmāk ir tas, ka ar nolīgumu – bez papildu diskusijām un drošības pasākumiem – varētu ļaut automātiski apstiprināt jebkādu personas datu pārsūtīšanu – neatkarīgi no pārsūtīšanas mērķa un attiecīgo datu būtības. Turklāt nolīgumi ar trešām valstīm ne vienmēr ir pastāvīgi, jo tos var saistīt ar konkrētiem apdraudējumiem, tos var pārskatīt, un tiem var būt pašizbeigšanās klauzulas (sunset clauses). No otras puses, vispārpieņemti obligāti standarti, kas ir atzīti kādā instrumentā, kurš uzliek saistības, varētu atvieglināt turpmākas diskusijas par tādu personas datu pārsūtīšanu, kas ir saistāmi ar konkrētām datu bāzēm vai apstrādes darbībām.

36.

EDAU tālab dotu priekšroku attīstīt obligātu datu aizsardzības kritēriju kompleksu, ko katrā konkrētā gadījumā, kā minēts HLCG pārskata ziņojumā, papildinātu ar konkrētiem papildu noteikumiem, nevis tā alternatīvu – noslēgt savrupu nolīgumu. Tādi konkrēti papildu nosacījumi ir priekšnosacījums, lai varētu paredzēt datu pārsūtīšanu konkrētās lietās. Tas palīdzētu panākt no datu aizsardzības viedokļa saskaņotu pieeju.

Esošo instrumentu izmantojums

37.

Būtu jāizskata arī tas, kā iespējamu vispārēju nolīgumu apvienot ar jau esošiem nolīgumiem, ko ES un ASV ir noslēgušas savā starpā. Būtu jāatceras, ka ar esošiem nolīgumiem nav uzliktas tādas pašas saistības – konkrēti būtu jāpiesauc PDR nolīgums (tas, kas dod lielāku juridisku skaidrību), Eiropola un Eurojust nolīgumi, vai SWIFT gadījumā notikusī vēstuļu apmaiņa (16). Vai jauna vispārēja sistēma papildinātu esošos instrumentus, vai arī tie paliktu neskarti, un jaunā sistēma attiektos tikai uz citām personas datu apmaiņām nākotnē? Pēc EDAU viedokļa, juridiska konsekvence prasītu saskaņotu noteikumu kompleksu, kas attiektos gan uz noslēgtiem, gan nākotnē noslēdzamiem nolīgumiem par datu pārsūtīšanu, un attiecīgi tos papildinātu.

38.

Vispārēja nolīguma piemērošanai esošiem instrumentiem būtu tāda priekšrocība, ka stiprākas kļūtu ar tiem uzliktās saistības. Tas būtu īpaši apsveicami instrumentiem, ar ko neuzliek juridiskas saistības, piemēram, SWIFT vēstuļu apmaiņai, jo tas uzliktu pienākumu ievērot vismaz vispārēju privātuma principu kompleksu.

IV.   VISPĀRĒJS JURIDISKS IZVĒRTĒJUMS

39.

Šajā nodaļā aplūkos, kā jāizvērtē konkrētas sistēmas vai instrumenta aizsardzības līmenis, arī jautājums par piemērotiem kritērijiem un vajadzīgajām pamatprasībām.

Pietiekama līmeņa aizsardzība

40.

Pēc EDAU domām, būtu jāsaprot, ka vienam no galveniem nākotnes instrumenta rezultātiem būtu jābūt tādam, ka personas datus varētu pārsūtīt uz Amerikas Savienotajām Valstīm tikai tad, ja ASV iestādes garantētu attiecīga līmeņa aizsardzību (un otrādi).

41.

EDAU uzskata, ka tikai nopietna piemērotības pārbaude nodrošinās pietiekamas personas datu aizsardzības līmeņa garantijas. Viņš uzskata, ka vispārējam pamatnolīgumam, kā darbības joma būtu tik plaša kā HLCG pārskata ziņojuma, vispār būtu grūti izturēt nopietnu piemērotības pārbaudi. Vispārējā nolīguma piemērotību varētu atzīt tikai tad, ja nolīgumu apvienotu ar piemērotiem, īpašiem nolīgumiem, kas būtu noslēgti katrā konkrētā gadījumā atsevišķi.

42.

Trešo valstu nodrošinātās aizsardzības līmeņa izvērtējums nav ārkārtas parādība, kur nu vēl Eiropas Komisijai, – piemērotība ir pirmā pīlāra prasība, lai datus varētu pārsūtīt. Vairākos gadījumos piemērotība ir mērīta saskaņā ar Direktīvas 95/46/EK 25. pantu, pamatojoties uz konkrētiem kritērijiem, un to ir apstiprinājuši Eiropas Komisijas lēmumi (17). Trešajā pīlārā tāda sistēma nav skaidri paredzēta – datu aizsardzības piemērotības mērīšana ir paredzēta tikai konkrētās, 11. un 13. pantā paredzētās situācijās – vēl nepieņemtajā datu aizsardzības pamatlēmumā (18), un ir atstāta dalībvalstu ziņā.

43.

Aplūkojamā gadījumā darbības joma skar tiesībaizsardzības vajadzības, un Komisija vada diskusijas Padomes pārraudzībā. Konteksts atšķiras no “drošas ostas” principu vai Kanādas likumu piemērotības izvērtēšanas konteksta, un vairāk piederas nesenajām PDR sarunām ar ASV un Austrāliju, kas notika trešā pīlāra tiesiskajā sistēmā. Tomēr HLCG principi ir minēti arī tādā kontekstā kā programma, kas paredz atteikties no vīzām, un kura ir saistīta ar robežu un imigrācijas, un tātad pirmā pīlāra jautājumiem.

44.

EDAU iesaka jebkādu piemērotības analīzi nākotnē iespējamu instrumentu sakarā pamatot ar minētajās dažādajās jomās gūto pieredzi. Viņš iesaka sīkāk attīstīt jēdzienu “piemērotība” nākotnē iespējamu instrumentu kontekstā, pamatojoties uz kritērijiem, kas ir līdzīgi tiem, kuri jau ir izmantoti, nosakot piemērotību.

Savstarpēja atzīšana – savstarpējība

45.

Otrs aizsardzības līmeņa elements ir saistīts ar ES un ASV sistēmu savstarpēju atzīšanu. HLCG pārskata ziņojumā par to ir minēts, ka mērķis būtu “panākt savstarpēju privātuma un datu aizsardzības sistēmu efektivitātes atzīšanu jomās, uz ko attiecas minētie principi” (19), un panākt “privātuma un personas datu aizsardzības tiesību aktu līdzvērtīgu un savstarpēju piemērojumu”.

46.

EDAU uzskata par pašsaprotamu, ka savstarpēja atzīšanu (jeb savstarpējība) ir iespējama tikai tad, ja ir garantēta attiecīga līmeņa aizsardzība. Citiem vārdiem sakot, nākotnē pieņemamam instrumentam būtu jāsaskaņo obligātā līmeņa aizsardzība (izmantojot piemērotības analīzi, ņemot vērā vajadzību pēc īpašiem nolīgumiem, ko atsevišķi pieņem katrā konkrētā gadījumā). Vienīgi ar tādu priekšnosacījumu varētu atzīt savstarpējību.

47.

Pirmais elements, kas jāņem vērā, ir būtisku datu aizsardzības noteikumu savstarpējība. Pēc EDAU viedokļa, nolīgumā būtu jārisina jautājums par būtisku datu aizsardzības noteikumu savstarpējības jēdzienu, lai, no vienas puses, nodrošinātu datu apstrādi ES (un ASV) teritorijā, pilnībā respektējot vietējos datu aizsardzības likumus, un, no otras puses, lai, nolīguma jomā apstrādājot datus ārpus to izcelsmes valsts, būtu respektēti nolīgumā ietvertie datu aizsardzības principi.

48.

Otrs elements ir kompensācijas mehānismu savstarpējība. Būtu jānodrošina, lai Eiropas pilsoņiem būtu pieejama attiecīga kompensācija, ja ar viņiem saistītus datus apstrādā Amerikas Savienotajās Valstīs (neatkarīgi no tiesībām, ko piemēro apstrādei), un lai Eiropas Savienība un tās dalībvalstis tādas pašas tiesības dotu ASV pilsoņiem.

49.

Trešais elements ir savstarpēja tiesībaizsardzības iestāžu piekļuve personas datiem. Ja kāds instruments ASV iestādēm dotu piekļuvi datiem no Eiropas Savienības, savstarpējība nozīmētu, ka tāda pati piekļuve būtu jādod ES iestādēm, lai piekļūtu datiem no ASV. Savstarpējība nedrīkst kaitēt efektīvai datu subjektu aizsardzībai. Tas ir priekšnosacījums “transatlantiskai” piekļuvei, ko izmantotu tiesībaizsardzības iestādes. Tas konkrēti nozīmē, ka –

Amerikas Savienoto Valstu iestādēm nebūtu jādod tieša piekļuve datiem ES teritorijā (un otrādi). Piekļuve būtu jādod, tikai izmantojot netiešu, lūgumu sistēmu.

Piekļuvei būtu jānotiek tās valsts datu aizsardzības iestāžu un tiesu iestāžu kontrolē, kurā notiek datu apstrāde.

Amerikas Savienoto Valstu iestādēm piekļūstot ES datu bāzēm būtu jārespektē svarīgākie datu aizsardzības noteikumi (skat. iepriekš) un datu subjektiem jānodrošina pilnīga kompensācija.

Instrumenta precizitāte

50.

Īpaši izvērtējuma nosacījumu aspekti (piemērotība, līdzvērtība, savstarpēja atzīšana) ir būtiski, jo ar tiem nosaka aizsardzības saturu no precizitātes, juridiskas skaidrības un aizsardzības efektivitātes viedokļa. Iecerētā instrumenta saturam ir jābūt precīzam un akurātam.

51.

Turklāt, būtu jābūt skaidram, ka visos īpašos nolīgumos, ko noslēgs kādā nākamā pakāpē, arī vajadzēs iekļaut sīki izstrādātus un pilnīgus datu aizsardzības drošības pasākumus, kas attieksies uz paredzēto datu apmaiņu. Vien tādu divkāršu, konkrētu datu aizsardzības principu piemērojums nodrošinās vajadzīgo vispārējā nolīguma saderību ar īpašajiem nolīgumiem, kā jau ir norādīts šī atzinuma 35. un 36. punktā.

Izstrādājot modeli citām trešām valstīm

52.

Tas, ciktāl nolīgums ar ASV varētu noderēt kā paraugs citām trešām valstīm, ir pelnījis īpašu uzmanību. EDAU norāda, ka Nākotnes grupas pārskata ziņojumā arī Krievija ir minēta kā stratēģiska ES partnervalsts – līdztekus ASV. Ciktāl principi ir neitrāli, un atbilst būtiskiem ES drošības pasākumiem, tie varētu radīt derīgu precedentu. Tomēr īpašie aspekti, kas datu pārsūtīšanas gadījumos būtu saistīti, piem., ar saņēmējas valsts tiesisko sistēmu, neļautu nolīgumu transponēt tīrā formā. Tikpat svarīgs būs demokrātijas stāvoklis trešās valstis – būtu jāpārliecinās, ka principus, par ko panākta vienprātība, saņēmējā valstī efektīvi garantē un īsteno.

Kādi ir aizsardzības līmeņu vērtēšanas kritēriji

53.

Tiešai vai netiešai piemērotībai jebkurā gadījumā vajadzētu atbilst starptautiskai un Eiropas tiesiskai sistēmai, un it īpaši datu aizsardzības drošības pasākumiem, par ko ir panākta vienprātība. Tie ir ierakstīti ANO pamatnostādnēs, Eiropas Padomes 108. konvencijā un tā papildu protokolā, EDSO pamatnostādnēs un iecerētajā datu aizsardzības pamatlēmumā, kā arī – pirmā pīlāra vajadzībām – Direktīvā 95/46/EK (20). Visos minētajos instrumentos ir līdzīgi principi, ko plašāk pazīst kā personas datu aizsardzības stūrakmeņus.

54.

Ir vēl jo svarīgāk iepriekš minētos principus pienācīgi ņemt vērā, analizējot iespējama nolīguma sekas, piemēram, tāda, kas ir paredzēts HLCG pārskata ziņojumā. Instruments, kas attieksies uz visu kādas trešās valsts tiesību īstenošanas jomu, patiesi būtu stāvoklis, kam nav precedenta. Pirmajā pīlārā pieņemto lēmumu un ES trešajā pīlārā ar trešām valstīm noslēgto (Eiropola, Eurojust) nolīgumu piemērotība vienmēr ir bijusi saistīta ar konkrētu datu pārsūtīšanu, bet šajā gadījumā datu pārsūtīšana varētu kļūt iespējama daudz plašākā jomā, jo sasniedzamie mērķi būtu daudz plašāki (apkarot kriminālnoziegumus, sargāt valstu un sabiedrību drošību, kā arī robežas) un būtu aptverts nezināms skaits datu bāzu.

Galvenās prasības

55.

Nosacījumi, kas jāievēro, pārsūtot personas datus trešām valstīm, ir izstrādāti 29. panta darba grupas darba dokumentā (21). Kuram katram nolīgumam par obligātiem privātuma principiem būtu jāiztur atbilsmes pārbaude, nodrošinot datu aizsardzības drošības pasākumu efektivitāti.

Runājot par būtību – datu aizsardzības principiem būtu jānodrošina augsta līmeņa aizsardzība, un tiem būtu jāatbilst tādiem standartiem, kas saskan ar ES principiem. HLCG pārskata ziņojumā ietvertie 12 principi šī atzinuma V nodaļā no šāda viedokļa būs analizēti sīkāk.

Par īpašiem aspektiem – atkarībā no nolīguma būtības, un it īpaši, ja tas ir oficiāls starptautisks nolīgums – likumiem un procedūrām ir jābūt izstrādātām pietiekami sīki, lai tos varētu efektīvi īstenot.

Par pārraudzību – lai nodrošinātu tādu likumu ievērošanu, par kuriem ir panākta vienprātība, būtu jāievieš konkrēti, gan iekšēji (revīzijas), gan ārēji (pārskatīšana) kontroles mehānismi. Tādiem mehānismiem ir jābūt vienādi pieejamiem abām nolīguma pusēm. Pārraudzībā izmanto mehānismus, ar ko nodrošina ievērošanu makrolīmenī, piemēram, kopīgus pārskatīšanas mehānismus, kā arī ievērošanu mikrolīmenī, piemēram, individuālu kompensāciju.

56.

Līdztekus trijām minētajām galvenajām prasībām īpaša uzmanība būtu jāpievērš konkrētiem aspektiem, kas ir saistīti ar personas datu apstrādi tiesībaizsardzības sakarā. Tā tiešām ir joma, kurā pamattiesības var mazliet ciest – ierobežojumu dēļ. Tālab būtu jāpieņem drošības pasākumi, lai kompensētu cilvēku tiesību ierobežojumus, it īpaši šādos aspektos, ņemot vērā sekas, ko tie rada cilvēkiem, –

Pārskatāmība – informāciju un piekļuvi personas datiem var ierobežot tiesībaizsardzības sakarā, piemēram, ņemot vērā diskrētas izmeklēšanas vajadzības. Lai gan Eiropas Savienībā parasti ievieš papildu mehānismus, lai kompensētu būtiskus tiesību ierobežojumus (kuros bieži vien ir iesaistītas neatkarīgas datu aizsardzības iestādes), ir jānodrošina, lai būtu pieejami līdzīgi kompensācijas mehānismi, pārsūtot informāciju uz kādu trešo valsti.

Kompensācija – iepriekš minētu iemeslu dēļ cilvēkiem vajadzētu izmantot alternatīvas tiesību aizsardzības iespējas, konkrēti – izmantojot neatkarīgas pārraudzības iestādes, kā arī tiesas (tribunālus).

Datu glabāšana – datu glabāšanas ilguma pamatojums var nebūt pārskatāms. Ir jāparedz tādi pasākumi, kas datu subjektiem vai pārraudzības iestādēm neliegtu efektīvi īstenot tiesības.

Tiesībaizsardzības iestāžu atbildība – ja nav efektīvas pārskatāmības, kontroles mehānismi, ko izmanto ieinteresētas personas vai struktūras, nekādi nevar būt plaši. Būtiski tomēr ir izveidot stabilus kontroles mehānismus, ņemot vērā datu diskrētumu un to, ka apstrādāto datu dēļ pret cilvēkiem var vērst piespiedu pasākumus. Atbildība ir nopietna problēma no saņēmējas valsts kontroles mehānismu viedokļa, bet arī, atkarībā no tā, kādas ir pārskatīšanas iespējas datu izcelsmes valstī vai reģionā. Pārskatīšanas mehānismi ir paredzēti konkrētos nolīgumos, piem., PDR nolīgumā, un EDAU sirsnīgi iesaka tos iekļaut arī vispārējā instrumentā.

V.   PRINCIPU ANALĪZE

Ievads

57.

HLCG dokumentā iekļautos 12 principus šajā nodaļā analizēs no šādas perspektīves –

šie principi liecina par to, ka gan ASV, gan ES ir kopīgi uzskati par principu piemērošanas līmeni, jo ir saskatāma līdzība ar 108. konvencijas principiem.

Tomēr nepietiek noslēgt nolīgumu par principu piemērošanas līmeni. Juridiskajam instrumentam būtu jābūt pietiekami stipram, lai nodrošinātu tā ievērošanu.

EDAU nožēlo, ka principiem nav pievienots paskaidrojuma raksts.

Būtu jāsaprot, ka, pirms sākt principu aprakstīšanu, abām pusēm ir vienādi jāsaprot izmantotais formulējums, piemēram, saistībā ar jēdzienu par personas informāciju vai par cilvēkiem, ko aizsargā. Tādā ziņā ļoti noderētu definīcijas.

1.   Konkrēti izstrādāti mērķi

58.

Pirmais HLCG pārskata ziņojuma minētais princips paredz, ka personas informāciju apstrādā likumīgām tiesībaizsardzības vajadzībām. Kā iepriekš minēts, tas nodod Eiropas Savienībai kriminālnoziegumu novēršanu, konstatāciju, izmeklēšanu vai ar tiem saistītu tiesvedību. Amerikas Savienotajās Valstīs tomēr tiesībaizsardzības interpretācija sniedzas tālāk par kriminālnoziegumiem, un pie tās pieder “robežu apsardzības, sabiedrības drošības un valsts drošības vajadzības”. Nav skaidrs, kādas sekas būs tādām ES un ASV definēto mērķu nesaskaņām. Lai gan pārskata ziņojumā ir minēts, ka praksē mērķi visnotaļ var saskanēt, ir svarīgi precīzi zināt, ciktāl tie nesaskan. Tiesībaizsardzības jomā, ņemot vērā veikto pasākumu sekas cilvēkiem, mērķu aprobežošanas princips ir stingri jāievēro, un definētajam mērķim ir jābūt skaidram un paredzētam. Ņemot vērā pārskata ziņojumā minēto savstarpējību, arī šķiet būtiski tuvināt minētos mērķus. Īsumā – ir vajadzīgs skaidrojums, kā jāsaprot minētais princips.

2.   Integritāte/datu kvalitāte

59.

EDAU ir gandarīts par to, ka ir paredzēts noteikums, kas prasa akurātu, atbilstīgu, savlaicīgu un pilnīgu personas informāciju, kura ir vajadzīga likumīgai apstrādei. Tāds princips ir pamatnosacījums efektīvai datu apstrādei.

3.   Vajadzība un samērība

60.

Ar minēto principu kļūst skaidra savstarpēja savāktās informācijas saistība ar vajadzību pēc tādas informācijas, lai sasniegtu tiesību aktos fiksēto tiesībaizsardzības mērķi. Tāda prasība pēc tiesiskas bāzes ir pozitīvs elements, kas apliecina datu apstrādes likumīgumu. EDAU norāda, ka, lai gan tas stiprina juridisku skaidrību par datu apstrādi, tomēr apstrādes juridiskais pamats ir kādas trešās valsts tiesības. Kādas trešās valsts tiesību akti vien nevar būt likumīgs pamats personas datu pārsūtīšanai (22). HLCG pārskata ziņojuma kontekstā šķiet pieņemts, ka trešās valsts, t. i., Amerikas Savienoto Valstu tiesību likumīgums ir būtībā atzīts. Būtu jātur prātā, ja tāda domu gaita šajā gadījumā var būt pamatota, ņemot vērā, ka ASV ir demokrātiska valsts, tāds pats modelis nedarbotos attiecībās ar kuru katru citu trešo valsti, un to nevarētu transponēt.

61.

Saskaņā ar HLCG pārskata ziņojuma pielikumu personas datu pārsūtīšanai ir jābūt būtiskai, vajadzīgai un pareizai. EDAU uzsver, ka, lai apstrāde būtu samērīga, tā nedrīkst nevajadzīgi jaukties privātā dzīvē, un apstrādes mehānismiem ir jābūt līdzsvarotiem, ņemot vērā datu subjektu tiesības un intereses.

62.

Minētā iemesla dēļ piekļuvei to informācijai būtu jānotiek, katru konkrētu gadījumu izskatot atsevišķi, atkarībā no praktiskām konkrētas izmeklēšanas vajadzībām. Trešās valsts tiesībaizsardzības iestādēm dota pastāvīga piekļuve ES datu bāzēm būtu jāuzskata par nesamērīgu un nepietiekami pamatotu. EDAU atgādina, ka pat noslēgto datu apmaiņas nolīgumu kontekstā, piem., PDR nolīguma gadījumā, datu apmaiņa balstās uz konkrētiem apstākļiem un to noslēdz uz konkrētu laiku (23).

63.

Pēc tās pašas loģikas būtu jāregulē datu glabāšanas laiks – dati būtu jāglabā tikai tik ilgi, cik vajadzīgs, ņemot vērā konkrētus mērķus, kas jāsasniedz. Ja tie vairs nav svarīgi saistībā ar apzināto mērķi, tie būtu jādzēš. EDAU nopietni iebilst pret tādu datu noliktavu izveidi, kurās glabātos informācija par cilvēkiem, ko netur aizdomās, – gaidot, kad to ievajadzēsies.

4.   Informācijas aizsardzība

64.

Pasākumi un procedūras, sargājot datus pret neatļautu lietojumu, grozīšanu un citiem apdraudējumiem, ir izstrādāti minētajos principos, kā arī noteikums, ar ko piekļuve ir dota tikai īpaši pilnvarotiem cilvēkiem. EDAU uzskata, ka ar to pietiek.

65.

Turklāt principu varētu papildināt ar noteikumu, kurā būtu minēts, ka ir jāveic to personu uzskaite, kuras piekļūst datiem. Tas stiprinās drošības pasākumu efektivitāti, lai ierobežotu piekļuvi datiem un novērstu to nelikumīgu lietojumu.

66.

Turklāt būtu jāparedz savstarpēja informēšana drošības pārkāpumu gadījumos – datu saņēmēji ASV, kā arī Eiropas Savienībā būtu atbildīgi par partneru informēšanu, ja viņu saņemtie dati ir nelikumīgi darīti atklātībā pieejami. Tas palīdzēs stiprināt atbildību par datu apstrādes drošību.

5.   Īpašu kategoriju personas informācija

67.

Princips, kas aizliedz konfidenciālu datu apstrādi, pēc EDAU uzskatiem ir jūtami vājināts ar izņēmumu, ar ko vispār ir pieļauta tādu konfidenciālu datu apstrāde, kuriem attiecīgas valsts tiesības paredz “pienācīgus drošības pasākumus”. Tieši tāpēc, ka dati ir konfidenciāli, jebkāda atkāpe no aizlieguma principa ir attiecīgi un precīzi jāpamato, uzskaitot vajadzības, un apstākļus, kādos apzinātu tipu konfidenciālus datus var apstrādāt, kā arī – norādot, kādai ir jābūt datu apstrādātāju kvalifikācijai, lai viņi būtu tiesīgi apstrādāt tāda veida datus. EDAU uzskata, ka, lai arī būtu jāparedz dažādi drošības pasākumi, konfidenciāliem datiem nevajadzētu būt elementam, kas varētu ierosināt izmeklēšanu. Tie varētu būt pieejami konkrētos apstākļos, bet tikai kā papildu informācija par datu subjektiem, kuru lietas jau izmeklē. Principa formulējumā tādi drošības pasākumi un nosacījumi ir jānumurē tā, lai to skaitu nevarētu patvarīgi palielināt.

6.   Atbildība

68.

Kā izvērsti skaidrots šī atzinuma 55. un 56. punktā, faktiski jānodrošina to attiecīgo valstu iestāžu struktūru atbildība, kuras apstrādā personas datus, un nolīgumā jādod garantijas par to, kā šādu atbildību nodrošinās. Tas ir vēl jo svarīgāk, ņemot vērā to, ka trūkst pārskatāmības, ko ierasti saista ar personas datu apstrādi tiesībaizsardzības kontekstā. Tādējādi, ja to, ka valsts struktūras ir atbildīgas, piemin, sīkāk neskaidrojot atbildības mehānismus un sekas, – kā tagad ir darīts pielikumā – tā nav pietiekama garantija. EDAU iesaka skaidrojumu dot pašā instrumentā.

7.   Neatkarīga un efektīva pārraudzība

69.

EDAU pilnībā atbalsta, ka tiktu iekļauts noteikums, kurā būtu paredzēta neatkarīga un efektīva pārraudzība, ko veic viena vai vairākas atklātas pārraudzības iestādes. Viņš uzskata, ka būtu skaidri jānosaka, kā interpretēt neatkarību, it īpaši to, no kā minētās iestādes ir neatkarīgas, un kam tās ir pakļautas. Ir vajadzīgi attiecīgi kritēriji, kuros būtu ņemta vērā organizatoriska un funkcionāla neatkarība no izpildvaras un likumdošanas struktūrām. EDAU atgādina, ka būtisks ir elements – nodrošināt efektīvu to principu ievērošanu, par ko ir panākta vienprātība. Šo iestāžu iejaukšanās un to pilnvaru īstenošana arī ir būtiski svarīga, ņemot vērā jautājumu par valstu iestāžu atbildību par personas datu apstrādi, kā minēts iepriekš. Datu subjektiem datu pastāvēšana un to kompetences būtu jādara skaidri redzamas, lai tie varētu īstenot tiesības, it īpaši, ja vairākas iestādes ir kompetentas atkarībā no apstrādes konteksta.

70.

Turklāt EDAU iesaka nākotnē iespējamā nolīgumā paredzēt arī pārraudzības iestāžu savstarpējas sadarbības mehānismus.

8.   Individuāla piekļuve un tiesiskas aizsardzības līdzekļi

71.

Konkrētas garantijas ir vajadzīgas, tiesībaizsardzības kontekstā runājot par piekļuvi un tiesiskas aizsardzības līdzekļiem. Tādā sakarā EDAU ir gandarīts par principu, kas paredz, ka cilvēkiem ir nodrošināta/vajadzētu nodrošināt piekļuvi un līdzekļus, lai “labotu un/vai svītrotu savu personas informāciju”. Tomēr ir palikušas dažas neskaidrības par indivīdu definīciju (būtu jāaizsargā visi datu subjekti, un ne tikai attiecīgas valsts pilsoņi), un apstākļi, kādos indivīdi varētu iebilst pret viņu informācijas apstrādi. Ir jāprecizē, kādos “attiecīgos gadījumos” iebildumus var celt, un kādos ne. Datu subjektiem būtu jābūt skaidram, kādos apstākļos, – atkarībā piem., no iestādes tipa, izmeklēšanas tipa vai citiem kritērijiem – viņi varēs īstenot savas tiesības.

72.

Turklāt, ja nav tiešas iespējas pamatoti iebilst pret apstrādi, būtu jābūt iespējai veikt netiešu pārbaudi, ar tādas neatkarīgas iestādes starpniecību, kura ir atbildīga par apstrādes pārraudzību.

9.   Pārskatāmība un paziņojumi

73.

EDAU atkārtoti uzsver to, cik svarīga ir efektīva pārskatāmība, lai indivīdi varētu īstenot tiesības, un vairotu vispārēju attiecīgas valsts iestāžu atbildību par personas datu apstrādi. Viņš atbalsta izstrādātos principus, un īpaši izceļ to, ka ir vajadzīga gan vispārēja paziņošana, gan individuāla paziņošana attiecīgam indivīdam. Tas atspoguļojas pielikuma 9. punktā ietvertajā principā.

74.

Tomēr pārskata ziņojuma 2, A. B nodaļā (“principi, par ko ir panākta vienprātība”) ir minēts, ka Amerikas Savienotajās Valstīs pārskatāmība var ietvert “individuālu vai kompleksu publikāciju Federālajā reģistrā, individuālu paziņošanu, un darīšanu atklātībā pieejamu tiesas prāvā”. Ir jābūt skaidram, ka ar publikāciju oficiālā vēstnesī vien nepietiek, lai garantētu pietiekamu datu subjekta informētību. Līdztekus vajadzībai pēc individuāla paziņojuma, EDAU atgādina, ka informācija ir jānodrošina tādā formā un valodā, kas datu subjektam ir viegli saprotama.

10.   Kompensācija

75.

Lai garantētu tiesību efektīvu īstenošanu, cilvēkiem ir jāvar celt sūdzības neatkarīgās datu aizsardzības iestādēs, un viņiem ir jābūt pieejamiem tiesiskas aizsardzības līdzekļiem neatkarīgā un objektīvā tiesā (tribunālā). Abiem kompensācijas līdzekļiem būtu jābūt vienādi pieejamiem.

76.

Piekļuve neatkarīgai datu aizsardzības iestādei ir vajadzīga, jo tā nodrošina elastīgu un lētāku palīdzību kontekstā – tiesībaizsardzībā –, kas cilvēkiem var būt samērā neizprotams. Datu aizsardzības iestādes var arī nodrošināt palīdzību, īstenojot piekļuvi tiesībām datu subjektu vārdā, ja izņēmumi viņiem liedz tiešu piekļuvi saviem personas datiem.

77.

Piekļuve tiesu sistēmai ir papildu un obligāta garantija tam, ka datu subjekti var censties panākt kompensāciju iestādē, kas pieder pie tāda demokrātiskas sistēmas atzara, kurš ir nošķirts no tām valsts iestādēm, kuras reāli apstrādā viņu datus. Tādi efektīvi tiesiskas aizsardzības līdzekļi ir Eiropas Tiesā (24) atzīti par “būtiskiem, lai indivīdiem nodrošinātu efektīvu tiesību aizsardzību. (...) (Tie) atspoguļo vispārēju Kopienas tiesību principu, kas ir dalībvalstu vispārpieņemto konstitucionālo tradīciju pamatā un ir ierakstīts Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvencijas 6. un 13. pantā.” Tas, ka pastāv tiesiskas aizsardzības līdzekļi, ir arī skaidri paredzēts Eiropas Savienības Pamattiesību hartas 47. pantā un EK Direktīvas 95/46/EK 22. pantā, neskarot nekādus administratīvus aizsardzības līdzekļus.

11.   Automatizēti individuāli lēmumi

78.

EDAU ir gandarīts par noteikumu, ar ko ir paredzēti attiecīgi drošības pasākumi personas informācijas automatizētas apstrādes gadījumā. Viņš norāda, ka vienota izpratne par to, ko uzskatīt par “nopietnu nelabvēlīgu darbību pret būtiskām indivīda interesēm” palīdzētu noskaidrot minētā principa piemērojuma apstākļus.

12.   Pārsūtīšana tālāk

79.

Daži nosacījumi, kas ir izvirzīti datu tālākai pārsūtīšanai, nav skaidri. Konkrēti, ja pārsūtīšanai tālāk ir jāatbilst starptautiskiem mehānismiem un nolīgumiem, ko savā starpā ir noslēgušas valstis, kas sūta un saņem datus, būtu jāprecizē, vai tas attiecas uz to abu valstu savstarpējiem nolīgumiem, kas ir sākušas pārsūtīt datus, vai divām valstīm, kas ir iesaistītas tālākā pārsūtīšanā. Pēc EDAU domām, to divu valstu savstarpējiem nolīgumiem, kuras ir sākušas pārsūtīšanu, noteikti ir jābūt noslēgtiem.

80.

EDAU arī norāda, ka “likumīgas valsts intereses”, ar ko pieļauj datu tālāku pārsūtīšanu, ir definētas ļoti plaši. Valsts drošības joma paliek neskaidra, un datu pārsūtīšanas attiecināšana uz gadījumiem, kad ir pārkāptas ētikas normas vai noteikumi par regulētām profesijām šķiet nepamatota un tiesībaizsardzības kontekstā pārmērīga.

VI.   SECINĀJUMI

81.

EDAU ir gandarīts par ES un ASV iestāžu kopīgo veikumu tiesībaizsardzības jomā, kur datu aizsardzība ir būtiski svarīga. Viņš tomēr grib uzsvērt, ka problēma ir sarežģīta, konkrēti no precīzas darbības jomas un būtības viedokļa, un tālab tā ir pelnījusi rūpīgu un nopietnu analīzi. Transatlantiska instrumenta iespaids uz datu aizsardzību būtu rūpīgi jāapsver saistībā ar esošo tiesisko sistēmu un sekām, ko tas rada pilsoņiem.

82.

EDAU aicina panākt lielāku skaidrību un konkrētus noteikumus, it īpaši šādos aspektos –

noskaidrot instrumenta būtību, kuram būtu jāuzliek juridiskas saistības, lai nodrošinātu pietiekamu juridisku skaidrību;

būtu jāveic rūpīga piemērotības analīze, balstoties uz nopietnām prasībām pret projekta būtību, īpašiem aspektiem un pārraudzību. EDAU uzskata, ka vispārēja instrumenta piemērotību varētu atzīt tikai apvienojumā ar attiecīgiem konkrētiem nolīgumiem katrā konkrētā gadījumā.

Aprakstīt piemērojuma jomu, dot skaidru un vienotu definīciju, kādas tiesībaizsardzības vajadzības ir liktas uz spēles;

precizēt, kādi ir mehānismi, ar ko varētu privātas struktūras iesaistīt datu pārsūtīšanas shēmās;

ievērot samērības principu, datu apmaiņu paredzot, katru konkrētu gadījumu izskatot atsevišķi, ja ir konkrēta vajadzība;

stipri pārraudzības mehānismi, kā arī datu subjektiem pieejami kompensāciju mehānismi, un administratīvi un tiesiskas aizsardzības līdzekļi;

efektīvi pasākumi, kas visiem datu subjektiem garantētu tiesību īstenošanu neatkarīgi no pilsonības;

neatkarīgu datu aizsardzības iestāžu iesaiste, it īpaši saistībā ar pārraudzību un palīdzību datu subjektiem.

83.

EDAU uzsver, ka būtu jāvairās no steigas principu izstrādē, jo tā liktu pieņemt nepietiekamus risinājumus, kuru sekas būtu pretējas tām, kas ir iecerētas no datu aizsardzības viedokļa. Tālab labākais, ko tagad darīt, lai virzītos uz priekšu, būtu izstrādāt ceļvedi, lai vēlākā stadijā, iespējams, noslēgtu nolīgumu.

84.

EDAU arī aicina panākt lielāku pārskatāmību datu aizsardzības principu izstrādē. Tikai ar visu ieinteresēto personu, arī Eiropas Parlamenta, iesaisti par instrumentu varētu notikt demokrātiskas debates, un tas varētu gūt vajadzīgo atbalstu un atzīšanu.

Briselē, 2008. gada 11. novembrī

Peter HUSTINX

Eiropas datu aizsardzības uzraudzītājs


(1)  Padomes dokuments Nr. 9831/08, pieejams vietnē – http://ec.europa.eu/justice_home/fsj/privacy/news/index_en.htm

(2)  

Amerikas Savienoto Valstu un Eiropas Policijas biroja 2001. gada 6. decembra nolīgums un Eiropola un ASV papildu nolīgums par personas datu un saistītas informācijas apmaiņu – publicēts Eiropola interneta vietnē;

Amerikas Savienoto Valstu un Eurojust nolīgums par tiesu iestāžu sadarbību, 2006. gada 6. novembris, publicēts Eurojust interneta vietnē;

Eiropas Savienības un Amerikas Savienoto Valstu nolīgums par aviopārvadātāju veikto pasažieru datu reģistra (PDR) datu apstrādi un pārsūtīšanu Amerikas Savienoto Valstu Iekšzemes drošības departamentam (IDD) (2007 PDR nolīgums) – Briselē parakstīts 2007. gada 23. jūlijā, un Vašingtonā 2007. gada 26. jūlijā, OV L 204, 4.8.2007., 18. lpp.;

ASV un ES iestāžu vēstuļu apmaiņa par teroristu finansējuma izsekošanas programmu, 2007. gada 28. jūnijs.

(3)  OV L 213, 8.8.2008., 49. lpp.

(4)  Padomes pamatlēmums par tādu personas datu aizsardzību, ko apstrādā, policijai un tiesu iestādēm sadarbojoties krimināllietās, 2008. gada 24. jūnija variants, kas ir pieejams interneta vietnē http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=en&DosId=193371

(5)  Par to, ka ir vajadzīga skaidra juridiska sistēma, skat. šī atzinuma III un IV nodaļu.

(6)  Pārskata 5. lappuse, C punkts.

(7)  Skat. konkrēti pārskata ziņojuma 3. nodaļas, “Neatrisināti jautājumi, kas attiecas uz transatlantiskām attiecībām”, 1. punktu – “Privātu struktūru pienākumu konsekvence, pārsūtot datus”.

(8)  Šajā jautājumā skat. EDAU 2007. gada 20. decembra atzinumu par ierosināto Padomes pamatlēmumu izmantot pasažieru datu reģistra (Passenger Name Record – PNR) datus tiesībaizsardzības vajadzībām, OV C 110, 01.05.2008., 1. lpp. “Agrāk tiesībaizsardzības nozares un privātā sektora darbības bija skaidri nošķirtas, ja tiesībaizsardzības uzdevumus veic īpaši norīkotas iestādes, konkrēti policijas spēki, un privātu darbību veicējiem katrā konkrētā gadījumā individuāli lūdz darīt zināmus personas datus tiesībaizsardzības iestādēm. Tagad pastāv tendence tiesībaizsardzības vajadzību dēļ regulāri uzspiest sadarbību privātu darbību veicējiem”.

(9)  Skat. 29. panta darba grupas atzinumu Nr. 10/2006 (2006. gada 22. novembris) par personas datu apstrādi, ko veic Society for Worldwide Interbank Financial Telecommunication (SWIFT), WP 128.

(10)  Atzinums sniegts 2007. gada 20. decembrī, op. cit.

(11)  Skat. 8. zemsvītras piezīmē minēto ierosināto Padomes pamatlēmumu izmantot pasažieru datu reģistra (Passenger Name Record – PNR) datus tiesībaizsardzības vajadzībām, ko pašlaik pārrunā Padomē.

(12)  Ģenerāladvokāta Bot2008. gada 14. oktobrī sniegts atzinums – Īrija pret Eiropas Parlamentu un Padomi, (Lieta C-301/06), 108. punkts.

(13)  Tiesas 2006. gada 30. maija nolēmums – Eiropas Parlaments pret Eiropas Savienības Padomi (C-317/04) un Eiropas Kopienu Komisiju (C-318/04), apvienotas lietas C-317/04 un C-318/04, ECR [2006] P. I-4721.

(14)  Neoficiālās augsta līmeņa padomdevēju grupas pārskata ziņojums par Eiropas iekšlietu politikas nākotni – “Brīvība, drošība, privātums – Eiropas iekšlietas atvērtā pasaulē”, 2008. gada jūnijs, pieejams tīkla vietnē register.consilium.europa.eu

(15)  Skat. 11. un 13. DPFD pantu, kas minēts atzinuma 7. punktā.

(16)  Skat. 2. zemsvītras piezīmi.

(17)  Komisijas lēmumi par personas datu aizsardzības piemērotību trešās valstīs, arī Argentīnā, Kanādā, Šveicē, Amerikas Savienotajās Valstīs, Gērnsijā, Menas salā un Džersijā, ir pieejami internetā – http://ec.europa.eu/justice_home/fsj/privacy/thridcountries/index_en.htm

(18)  Dalībvalstīm ir ierobežota tādu datu pārsūtīšana trešām valstīm vai starptautiskām struktūrām, kuri ir saņemti no kompetentām citu dalībvalstu iestādēm.

(19)  A nodaļa. Starptautisks nolīgums, kas uzliek saistības, 8. lpp.

(20)  

ANO pamatnostādnes datorizētu personas datņu jautājumos, kuras Ģenerālā Asambleja ir pieņēmusi 1990. gada 14. decembrī, ir pieejamas internetā – www.unhchr.ch/html/menu3/b/71.htm

Eiropas Padomes personas datu automātiskas apstrādes jomā pieņemtā indivīdu aizsardzības konvencija, 1981. gada 28. janvāris, pieejama internetā – www.conventions.coe.int/treaty/en/Treaties/html/108.htm

EDSO pamatnostādnes privātuma un personas datu pārrobežu plūsmu aizsardzībai, pieņemta 1980. gada 23. septembrī, pieejama internetā –www.oecd.org/document/20/0,3343,en_2649_34255_15589524_1_1_1_1,00.html

Projekts Padomes pamatlēmumam par tādu personas datu aizsardzību, ko apstrādā, policijai un tiesu iestādēm sadarbojoties krimināllietās, pieejams internetā http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=en&DosId=193371

Eiropas Parlamenta un Padomes Direktīva 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti, OV L 281, 23.11.1995., 31. lpp.

(21)  Darba dokuments (1998. gada 24. jūlijs) par personas datu pārsūtīšanu trešām valstīm – kā piemērot ES datu aizsardzības direktīvas 25. un 26. pantu; WP12.

(22)  Konkrēti skat. Direktīvas 95/46/EK 7. panta c) un e) punktu. 29. panta darba grupa 2002. gada 24. oktobra atzinumā Nr. 6/2002 par pasažieru sniegtās informācijas (Passenger Manifest Information) un citu no aviosabiedrībām saņemtu datu pārsūtīšanu Savienotajām Valstīm, konstatēja, ka “nešķiet pieņemams, ka trešās valsts vienpusējam, savās interesēs pieņemtam lēmumam vajadzētu likt regulāri pārsūtīt visus datus, ko aizsargā ar minēto direktīvu”.

(23)  Minētais nolīgums un ar to saistītās saistības beigsies un pārstās būt spēkā septiņus gadus pēc parakstīšanas dienas, ja vien Puses savstarpēji nevienojas to aizstāt.

(24)  Lieta 222/84 Johnston [1986] ECR 1651; lieta 222/86 Heylens [1987] ECR 4097; lieta C-97/91 Borelli [1992] ECR I-6313).


6.6.2009   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 128/13


Eiropas Datu aizsardzības uzraudzītāja atzinums par Komisijas paziņojumu Eiropas Parlamentam, Padomei, Eiropas Ekonomikas un sociālo lietu komitejai un Reģionu komitejai: Ceļā uz Eiropas e-tiesiskuma stratēģiju

2009/C 128/02

EIROPAS DATU AIZSARDZĪBAS UZRAUDZĪTĀJS,

ņemot vērā Eiropas Kopienas dibināšanas līgumu un jo īpaši tā 286. pantu,

ņemot vērā Eiropas Savienības Pamattiesību hartu un jo īpaši tās 8. pantu,

ņemot vērā Eiropas Parlamenta un Padomes Direktīvu 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šo datu brīvu apriti (1),

ņemot vērā Eiropas Parlamenta un Padomes Regulu (EK) Nr. 45/2001 (2000. gada 18. decembris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti (2), un jo īpaši tās 41. pantu,

IR PIEŅĒMIS ŠO ATZINUMU

I.   IEVADS

1.

Komisijas paziņojumu Eiropas Parlamentam, Padomei, Eiropas Ekonomikas un sociālo lietu komitejai un Reģionu komitejai: Ceļā uz Eiropas e-tiesiskuma stratēģiju (turpmāk – paziņojums) pieņēma 2008. gada 30. maijā. EDAU šo atzinumu iesniedz saskaņā ar Regulas (EK) Nr. 45/2001 41. pantu.

2.

Paziņojuma mērķis ir ierosināt e-tiesiskuma stratēģiju, ar ko iecerēts palielināt pilsoņu uzticēšanos Eiropas tiesiskuma telpai. E-tiesiskuma svarīgākajam mērķim vajadzētu būt veicināt tiesiskuma efektīvāku pārvaldību pilsoņu interesēs visā Eiropā. ES būtu jārīkojas, lai pilsoņiem darītu pieejamu informāciju, vienlaikus novēršot valodas, kultūras un tiesiskos šķēršļus, ko rada sistēmu daudzējādība. Paziņojumam ir pievienots rīcības plāns un dažādu projektu izpildes grafiks

3.

Šajā atzinumā EDAU komentē paziņojumu, ņemot vērā tajā apskatīto personas datu apstrādi, privātuma aizsardzību elektronisko sakaru nozarē un brīvu datu apriti.

II.   PRIEKŠVĒSTURE UN KONTEKSTS

4.

TI Padome (3) 2007. gada jūnijā apzināja vairākas e-tiesiskuma attīstības prioritātes:

izveidot Eiropas saskarni (e-tiesiskuma portālu);

radīt nosacījumus, lai vienotā tīklā saslēgtu vairākus reģistrus, piemēram, sodāmības reģistrus, maksātnespējas reģistrus, komercreģistrus un uzņēmējdarbības reģistrus un zemes reģistrus;

sākt gatavoties IKT izmantojumam Eiropas maksājumu rīkojuma procedūrā;

uzlabot videokonferenču tehnoloģiju izmantošanu pārrobežu tiesvedības lietās, it īpaši lai iegūtu pierādījumus;

izstrādāt rakstiskas un mutiskas tulkošanas atbalsta instrumentus.

5.

Kopš tā laika darbs pie e-tiesiskuma izveides ir būtiski virzījies uz priekšu. Komisija uzskata – turpinot šajā sakarā sākto darbu, ir jānodrošina, lai par prioritāriem uzskata operatīvus projektus un decentralizētas struktūras, vienlaikus nodrošinot koordināciju Eiropas līmenī, izmantojot pastāvošos juridiskos instrumentus un lietojot IT rīkus, lai uzlabotu to efektivitāti. Arī Eiropas Parlaments ir paudis atbalstu e-tiesiskuma projektam (4).

6.

Komisija konsekventi ir mudinājusi izmantot modernas informācijas tehnoloģijas gan civillietās, gan krimināllietās. Tas ir bijis par pamatu tādiem instrumentiem kā Eiropas maksājuma rīkojums. Komisija kopš 2003. gada pārvalda Eiropas tiesiskās sadarbības tīkla portālu civillietās un komerclietās, kas pilsoņiem ir pieejams 22 valodās. Komisija tāpat ir izveidojusi Eiropas Tiesu atlantu. Šie instrumenti ir turpmākās Eiropas e-tiesiskuma sistēmas sākotnējie elementi. Krimināllietu jomā Komisija ir sākusi darbu, lai izstrādātu instrumentu, kas ļautu apmainīties ar informāciju, kura iegūta no dalībvalstu sodāmības reģistriem (5). Drošas sistēmas saziņai ar valstu iestādēm ir attīstījusi ne tikai Komisija, bet arī Eurojust.

7.

Ar e-tiesiskumu ir iecerēts piedāvāt vairākas iespējas, lai nākamos gados Eiropas tiesisko telpu darītu pilsoņiem konkrētāk pieejamu. Lai izstrādātu vispārēju stratēģiju par šo nozīmīgo jautājumu, Komisija pieņēma minēto e-tiesiskuma paziņojumu. Paziņojumā ir izklāstīti objektīvi kritēriji, lai apzinātu prioritātes, jo īpaši turpmāku Eiropas līmeņa projektu prioritātes, kas ļautu saprātīgos termiņos sasniegt konkrētus rezultātus.

8.

Komisijas dienestu darba dokumentā, kas ir pavaddokuments paziņojumam un kurā iekļauts ietekmes novērtējuma kopsavilkums, ir sniegta arī papildu informācija (6). Ietekmes novērtējuma ziņojums ir sagatavots, ņemot vērā dalībvalstu, tiesu iestāžu, juridisko profesiju pārstāvju, pilsoņu un uzņēmēju reakcijas. EDAU viedoklis nav lūgts. Ietekmes novērtējumā priekšroka dota tādai problēmu risināšanas politikai,, kas apvieno Eiropas aspektus un valstu kompetences. Paziņojumā ir ieteikta šāda politiska risinājuma izvēle. Stratēģijā galvenā vērība būs pievērsta šādiem jautājumiem – videokonferenču izmantošana, e-tiesiskuma portāla izveide, tulkošanas iekārtu uzlabošana, piedāvājot automātiskus tiešsaistē pieejamus tulkošanas instrumentus, saziņas sekmēšana starp tiesu iestādēm, plašāks savstarpēju savienojumu izmantojums starp valstu reģistriem un tiešsaistes Eiropas procedūru instrumentiem (piemēram, Eiropas maksājumu rīkojums).

9.

EDAU atbalsta, ka jākoncentrējas uz minētajām darbībām. Kopumā EDAU atbalsta vispārēju pieeju e-tiesiskumam. Viņš piekrīt tam, ka uzlabojumi ir vajadzīgi trijās jomās – tiesiskuma pieejamības, Eiropas tieslietu iestāžu savstarpējas sadarbības un pašas tieslietu sistēmas efektivitātes jomā. Šāda pieeja ietekmē vairākas iestādes un personas:

dalībvalstis, kuru primārā atbildība ir nodrošināt efektīvu un uzticamu tieslietu sistēmu darbību;

Eiropas Komisiju, kas pilda “Līgumu sarga” pienākumus;

dalībvalstu tiesu iestādes, kurām ir vajadzīgi modernāki instrumenti, lai sazinātos, jo īpaši pārrobežu lietās;

juridisko profesiju pārstāvjus, pilsoņus un uzņēmējus, kas iestājas par labāku IT instrumentu izmantojumu, lai rastu apmierinošākus risinājumus to “tiesiskuma vajadzībām”.

10.

Paziņojums ir cieši saistīts ar priekšlikumu Padomes lēmumam par Eiropas sodāmības reģistru informācijas sistēmas (ECRIS) izveidi. EDAU 2008. gada 16. septembrī par šo priekšlikumu pieņēma atzinumu (7). Viņš pauda atbalstu priekšlikumam, ja būs ņemti vērā vairāki apsvērumi. Jo īpaši viņš norādīja – ar papildu datu aizsardzības garantijām būtu jākompensē tas, ka policijas un tiesu iestāžu sadarbībā pašlaik nepastāv vispārējs datu aizsardzības tiesiskais regulējums. Tāpēc viņš uzvēra – lai veiktu sistēmas datu aizsardzības uzraudzību, ir vajadzīga efektīva koordinācija, kurā ir iesaistītas dalībvalstu iestādes un Komisija, kas nodrošina kopēju sakaru infrastruktūru.

11.

Dažus šā atzinuma ieteikumus būtu vērts atgādināt:

Būtu jāizdara atsauce uz augsta līmeņa datu aizsardzību, kas ir priekšnoteikums visu īstenošanas pasākumu pieņemšanai;

Juridiskas noteiktības labad tekstā būtu jāprecizē Komisijas atbildība par sistēmas kopīgo infrastruktūru, kā arī Regulas (EK) Nr. 45/2001 piemērošana;

Komisijai, nevis dalībvalstīm, arī būtu jābūt atbildīgai par savstarpēju saslēgumu programmatūru, lai uzlabotu apmaiņas efektivitāti un ļautu labāk uzraudzīt sistēmas darbību.

Būtu skaidri jānosaka un jāprecizē automātiskās tulkošanas izmantojums, lai, nemazinot pārsūtītās informācijas kvalitāti, veicinātu abpusēju izpratni par noziedzīgiem nodarījumiem.

12.

Šie ieteikumi joprojām labi raksturo kontekstu, kurā analizēs šo paziņojumu.

III.   PAZIŅOJUMĀ PAREDZĒTĀ INFORMĀCIJAS APMAIŅA

13.

E-tiesiskumam ir ļoti plaša darbības joma, kas visumā aptver IKT izmantojumu Eiropas Savienībā tiesvedības procedūrās. Tas attiecas uz vairākiem jautājumiem, piemēram, projektiem, lai efektīvāk sniegtu informāciju tiesvedībā iesaistītām personām. Tostarp tā ir tiešsaistē pieejama informācija par tiesu sistēmām, tiesību aktiem un precedentiem, elektronisko sakaru sistēmām, kas nodrošina savienojumus starp tiesvedībā iesaistītām personām un tiesām un pilnībā elektronizētu procedūru izveidi. E-tiesiskuma darbības jomā ir arī Eiropas projekti, piemēram, elektronisku instrumentu izmantojums, lai ierakstītu pratināšanas, un informācijas apmaiņas vai savstarpēju saslēgumu projekti.

14.

Pat ja darbības joma ir ļoti plaša, EDAU ir norādījis, ka tajā ir iekļauta informācija par krimināllietu tiesvedību un par civilu un komerciālu tiesu sistēmu, tomēr nav iekļauta informācija par administratīvu tiesu sistēmu. Kaut gan ir paredzēts izveidot saiti ar Tiesiskās sadarbības atlantiem krimināllietās un civillietās, tomēr nav izveidota saite ar atlantu administratīvās lietās, kaut gan būtu lietderīgi, ja pilsoņiem un uzņēmumiem būtu labāka piekļuve tiesu administratīvām sistēmām, proti, administratīviem tiesību aktiem un sūdzību procedūrām. Tāpat būtu jānodrošina arī saite ar “Valstu padomju un augstāko administratīvo tiesu asociāciju”(“Association of Councils of State”). Šie papildinājumi būtu pilsoņu interesēs, lai viņi būtu labāk informēti par administratīvo tiesu sistēmu, cenšoties rast skaidrību dažādo procedūru jūklī – kas bieži izpaužas administratīvos tiesību aktos ar tajos paredzētajiem daudziem tribunāliem.

15.

Tāpēc EDAU iesaka e-tiesiskumā iekļaut administratīvās procedūras. Kā daļu no šā jaunā elementa, e-tiesiskuma projektus būtu jāievieš, lai palielinātu datu aizsardzības noteikumu, kā arī valsts datu aizsardzības iestāžu redzamību, jo īpaši attiecībā uz datiem, ko apstrādā e-tiesiskuma sistēmā. Tas būtu saskaņā ar tā saucamo Londonas ierosmi, ar ko 2006. gada novembrī nāca klajā datu aizsardzības iestādes un kuras mērķis ir popularizēt datu aizsardzību un darīt to efektīvāku.

IV.   JAUNAIS PAMATLĒMUMS PAR DATU AIZSARDZĪBU, POLICIJAS UN TIESU IESTĀDĒM SADARBOJOTIES KRIMINĀLLIETĀS

16.

Tā kā tiesu iestāžu starpā palielinās apmaiņa ar personu datiem, kā tas paredzēts paziņojumā, tad vēl jo svarīgāks kļūst tiesiskais regulējums, ko piemēro datu aizsardzībai. Šajā sakarā EDAU atzīmē, ka trīs gadus pēc sākotnējā Komisijas priekšlikuma Eiropas Savienības Padome 27. novembrī pieņēma pamatlēmumu par tādu personas datu aizsardzību, ko apstrādā, policijas un tiesu iestādēm sadarbojoties krimināllietās (8). Ar šo jauno tiesību aktu nodrošinās vispārēju tiesisku regulējumu datu aizsardzības jomā “trešā pīlāra” jautājumiem, papildinot “pirmā pīlāra” datu aizsardzības noteikumus, kas iekļauti Direktīvā 95/46/EK.

17.

EDAU pauž gandarījumu par šo juridisko instrumentu, kas ir pirmais nozīmīgais solis, lai policijas un tiesu iestāžu starpā paredzētu datu aizsardzību. Tomēr teksta galīgajā redakcijā paredzētais datu aizsardzības līmenis nav pilnībā pietiekams. Jo īpaši ar pamatlēmumu reglamentēta tikai starp dalībvalstīm, ES iestādēm un sistēmām notiekoša policijas un tiesu iestāžu datu apmaiņa, taču tajā nav iekļauta valsts iekšienē notiekošā datu apmaiņa. Turklāt pieņemtajā pamatlēmumā nav noteikts pienākums klasificēt dažādās datu subjektu kategorijas, piemēram, aizdomās turamos, noziedzniekus, lieciniekus un upurus, lai nodrošinātu, ka viņu datu apstrādē piemēro atbilstīgākus aizsardzības pasākumus. Tajā nav ievērota pilnīga konsekvence ar Direktīvu 95/46/EK, jo īpaši, kas attiecas uz nolūku precizēšanu, kādos var veikt personas datu tālāku apstrādi. Tajā arī nav paredzēta neatkarīga attiecīgo valsts un ES datu aizsardzības iestāžu grupa, kas nodrošinātu labāku datu aizsardzības iestāžu darba koordināciju, kā arī sniegtu būtisku ieguldījumu, lai panāktu pamatlēmuma saskaņotu piemērošanu.

18.

Tas nozīmētu, ka situācijā, kad daudz pūliņu tiek veltīti, lai izstrādātu kopīgas sistēmas personas datu pārrobežu apmaiņai, joprojām pastāv atšķirības noteikumos, saskaņā ar kuriem šos datus apstrādā un iedzīvotāji var īstenot savas tiesības dažādās ES valstīs.

19.

EDAU vēlreiz atgādina, ka datu aizsardzības nodrošināšana augstā pakāpē policijas un tiesu iestāžu sadarbībā, kā arī atbilstība Direktīvai 95/46/EK ir vajadzīgais papildinājums citiem ieviestajiem vai paredzētajiem pasākumiem, lai atvieglinātu personas datu pārrobežu apmaiņu tiesībaizsardzībā. Tas izriet ne vien no iedzīvotāju tiesībām uz personas datu aizsardzības pamattiesību ievērošanu, bet arī no tiesībaizsardzības iestāžu vajadzības sadarboties, lai nodrošinātu apmaināmo datu kvalitāti – kā apstiprināts paziņojuma pielikumā saistībā ar sodāmības informācijas savstarpēju savietojamību –, uzticību starp dažādu valstu iestādēm un, visbeidzot, pārrobežu situācijās savākto pierādījumu tiesisko derīgumu.

20.

Tādēļ EDAU mudina ES iestādes šos aspektus īpaši ņemt vērā, ne vien īstenojot paziņojumā paredzētos pasākumus, bet arī, lai pēc iespējas ātrāk sāktu apsvērt turpmākus tiesiskās sistēmas uzlabojumus datu aizsardzībai tiesībaizsardzības jomā.

V.   E-TIESISKUMA PROJEKTI

E-tiesiskuma instrumenti Eiropas mērogā

21.

EDAU atzīst, ka personas datu apmaiņa ir būtisks aspekts brīvības, drošības un tiesiskuma telpas izveidē. Šā iemesla dēļ EDAU atbalsta priekšlikumu e-tiesiskuma stratēģijai, vienlaikus šajā sakarībā uzsverot datu aizsardzības nozīmi. Patiesi, datu aizsardzības ievērošana ir ne tikai juridisks pienākums, bet arī svarīgs aspekts, lai nodrošinātu iecerēto sistēmu veiksmīgu darbību, t. i., lai nodrošinātu datu apmaiņas kvalitāti. Tas vienlīdz attiecas uz iestādēm un struktūrām, kad tās apstrādā personas datus un kad tiek izstrādāti jauni politikas pasākumi. Noteikumus un principus būtu jāpiemēro un jāievēro praksē, un īpaši jāņem vērā informācijas sistēmu plānojuma un izstrādes stadijā. Privātuma un datu aizsardzība būtībā ir “galvenie veiksmes faktori” veiksmīgai un līdzsvarotai informācijas sabiedrībai. Tādēļ ir vērts tajos izdarīt ieguldījumus un darīt to pēc iespējas drīzāk.

22.

Šajā sakarībā EDAU uzsver, ka paziņojumā nav paredzēta centralizēta Eiropas datubāze. Viņš pauž gandarījumu par to, ka priekšroka dota decentralizētām struktūrām. EDAU atgādina, ka viņš sniedza atzinumu par ECRIS  (9) un par Prīmes ierosmi (10). Savā atzinumā par ECRIS EDAU pauda viedokli, ka decentralizēta struktūra palīdz izvairīties no personas datu papildu dublēšanas centrālā datubāzē. Savā atzinumā par Prīmes ierosmi viņš ierosināja pienācīgi ņemt vērā sistēmas mērogu, apspriežot savienojumus starp datubāzēm. It īpaši būtu jānosaka datu paziņošanas konkrētie formāti, piemēram, sodāmības datu pieprasījumiem tiešsaistē, arī ņemot vērā valodu atšķirības, un būtu pastāvīgi jāpārrauga datu apmaiņas precizitāte. Šos aspektus būtu jāņem vērā arī saistībā ar ierosmēm, kas izriet no e-tiesiskuma stratēģijas.

23.

Eiropas Komisija gatavojas sniegt ieguldījumu e-tiesiskuma instrumentu stiprināšanā un attīstībā Eiropas mērogā, cieši sadarbojoties ar dalībvalstīm un citiem partneriem. Atbalstot dalībvalstu centienus, tā vienlaikus gatavojas izstrādāt vairākus savus elektroniskus instrumentus, lai palielinātu sistēmu savietojamību, lai atvieglotu sabiedrības piekļuvi tiesiskumam, lai atvieglotu saziņu starp tiesu iestādēm un gūtu ievērojamu apjomradītu ietaupījumu Eiropas mērogā. Attiecībā uz dalībvalstu lietoto datorprogrammu savietojamību, nav obligāti visām dalībvalstīm lietot to pašu programmu – kaut gan tas būtu vispraktiskākais risinājums, taču šīm programmām jābūt pilnībā savietojamām.

24.

EDAU ierosina, ka sistēmu savienojumos un savietojamībā būtu pienācīgi jāņem vērā mērķa ierobežojuma princips, un tās būtu jābalsta uz datu aizsardzības standartiem (“privātums plānojumā”). Katra mijiedarbības izpausme starp dažādām sistēmām būtu rūpīgi jādokumentē. Savietojamība nekad nedrīkstētu izraisīt tādu situāciju, ka iestāde, kam nav tiesību piekļūt konkrētiem datiem vai izmantot tos, tomēr piekļūst tiem, izmantojot citu informācijas sistēmu. EDAU vēlas vēlreiz uzsvērt, ka tikai ar savietojamību vien nedrīkstētu pamatot mērķa ierobežojuma principa apiešanu (11).

25.

Turklāt vēl viens būtisks aspekts ir nodrošināt to, lai pastiprināta pārrobežu personas datu apmaiņa notiktu vienlaikus ar datu aizsardzības iestāžu pastiprinātu uzraudzību un sadarbību. 2006. gada 29. maija atzinumā attiecībā uz pamatlēmumu par sodāmības informācijas apmaiņu (12) EDAU jau uzsvēra, ka pamatlēmuma priekšlikumā būtu jāapskata ne tikai sadarbība starp centrālajām iestādēm, bet arī sadarbība starp dažādām kompetentām datu aizsardzības iestādēm. Šī vajadzība ir kļuvusi vēl svarīgāka, jo sarunās par nesen pieņemto pamatlēmumu par tādu personas datu aizsardzību, kurus apstrādā, policijas un tiesu iestādēm sadarbojoties krimināllietās (13), nolēma svītrot nosacījumu, ar kuru bija paredzēts izveidot darba grupu, kurā apvienotu ES datu aizsardzības iestādes un koordinētu to rīcību attiecībā uz datu apstrādi, policijas un tiesu iestādēm sadarbojoties krimināllietās. Tādēļ, lai nodrošinātu iedarbīgu uzraudzību, kā arī no sodāmības reģistriem iegūtu datu labu pārrobežu apriti, starp datu aizsardzības iestādēm būtu jāizveido efektīvi koordinācijas mehānismi (14). Šajos mehānismos būtu jāņem vērā arī EDAU uzraudzības kompetence attiecībā uz s-TESTA infrastruktūru (15). Ar e-tiesiskuma instrumentiem varētu atbalstīt šos mehānismus, kurus varētu izstrādāt ciešā sadarbībā ar datu aizsardzības iestādēm.

26.

Paziņojuma 4.2.1. punktā norādīts, ka no sodāmības reģistriem iegūtas informācijas apmaiņai svarīgi būs iet tālāk par tiesu iestāžu sadarbību, iekļaujot arī citus mērķus, piemēram, piekļuvi konkrētiem ziņojumiem. EDAU uzsver, ka, veicot jebkādu personas datu apstrādi citiem mērķiem, izņemot tos, kam tie vākti, būtu jāņem vērā konkrētie noteikumi, kas izklāstīti atbilstīgajos datu aizsardzības tiesību aktos. Konkrēti, personas datu apstrādi turpmākiem mērķiem būtu jāatļauj tikai tad, ja tas vajadzīgs Kopienas datu aizsardzības tiesību aktos uzskaitītajām interesēm (16), un ar noteikumu, ka šie mērķi ir izklāstīti tiesiskos pasākumos.

27.

Attiecībā uz sodāmības reģistru savienošanu paziņojumā teikts, ka, gatavojoties pamatlēmuma par tādas informācijas apmaiņu, kas gūta no sodāmības reģistriem, spēkā stāšanās brīdim, Komisija uzsāks divus priekšizpētes pētījumus, lai organizētu projektu tā attīstības gaitā un lai paplašinātu informācijas apmaiņu, attiecinot to uz trešo valstu valstspiederīgajiem, kas tiesāti par kriminālnoziegumiem. Komisija 2009. gadā nodrošinās dalībvalstis ar datorprogrammām, kas izstrādātas, lai dotu iespēju operatīvi apmainīties ar visiem datiem par sodāmību. Šī atsauces sistēma apvienojumā ar s-TESTA izmantošanu informācijas apmaiņai sniegs apjomradītus ietaupījumus, jo dalībvalstīm nevajadzēs veikt katrai savu izstrādes darbu. Tas atvieglos arī projekta realizāciju.

28.

Šajā sakarībā EDAU pauž gandarījumu par s-TESTA infrastruktūras izmantošanu, kas ir apliecinājusi sevi kā uzticama datu apmaiņas sistēma, un ierosina, ka statistikas elementus saistībā ar paredzētajām datu apmaiņas sistēmām būtu jādefinē detalizēti un pienācīgi jāņem vērā vajadzība nodrošināt datu aizsardzības uzraudzību. Piemēram, statistikas datos varētu skaidri ietvert tādus elementus kā pieprasījumu skaits, lai piekļūtu personas datiem vai veiktu labojumus tajos, atjaunināšanas procesa ilgums un pabeigtības pakāpe, tādu personu īpašības, kam ir piekļuve šādiem datiem, kā arī drošības pārkāpumu gadījumi. Turklāt statistikas dati un uz tiem balstīti ziņojumi būtu jādara pilnībā pieejami kompetentām datu aizsardzības iestādēm.

Automātiska tulkošana un tulkotāju datubāze

29.

Automātiskas tulkošanas izmantošana ir lietderīgs instruments, kas varētu veicināt attiecīgo dalībnieku savstarpēju sapratni dalībvalstīs. Tomēr automātiskas tulkošanas izmantošanas rezultātā nedrīkstētu samazināties apmainītās informācijas kvalitāte, it īpaši, ja šo informāciju izmanto, lai pieņemtu lēmumus, kas attiecīgām personām izraisa juridiskas sekas. EDAU norāda, ka ir svarīgi skaidri definēt un ierobežot automātiskās tulkošanas izmantošanu. Automātiskās tulkošanas izmantošana, nosūtot informāciju, kas nav precīzi priekštulkota, piemēram, papildu piezīmes vai specifikācijas, kuras pievienotas atsevišķos gadījumos, iespējams, var nevēlami ietekmēt nosūtītās informācijas – un līdz ar to arī uz tās pamata pieņemto lēmumu – kvalitāti, un tāpēc principā būtu novēršama (17). EDAU ierosina ņemt vērā šo ieteikumu, veicot pasākumus, kas izriet no paziņojuma.

30.

Paziņojumā pausta vēlme izveidot juridisku tekstu mutisku un rakstisku tulkotāju datubāzi, lai uzlabotu juridisku tulkojumu kvalitāti. EDAU atbalsta šo mērķi, taču atgādina, ka minētā datubāze būs pakļauta attiecīgiem datu aizsardzības tiesību aktiem. It īpaši, ja datubāzē būs dati par tulkotāju darba vērtējumu, tas iepriekš varētu būt jāpārbauda datu aizsardzības iestādēm.

Virzība uz Eiropas e-tiesiskuma rīcības plānu

31.

Paziņojuma 5. punktā norādīts, ka atbildība skaidri jāsadala starp Komisiju, dalībvalstīm un citām tiesu iestāžu sadarbībā iesaistītajām personām. Komisija uzņemsies vispārēju koordināciju, mudinot pieredzes apmaiņu, un plānos, sagatavos un koordinēs informāciju e-tiesiskuma portālā. Turklāt Komisija turpinās darbu, lai savstarpēji savienotu sodāmības reģistrus, un arī turpmāk uzņemsies tiešu atbildību par civiltiesību tīklu un atbalstīs krimināltiesību tīklu. Dalībvalstīm būs jāatjaunina tā informācija par savām tiesu sistēmām, kas pieejama e-tiesiskuma vietnē. Citi dalībnieki ir civiltiesību un krimināltiesību tīkli un Eurojust. Viņi izstrādās instrumentus, kas vajadzīgi efektīvākai tiesu iestāžu sadarbībai, it īpaši automātiskas tulkošanas rīkus un drošas apmaiņas sistēmas, ciešā sadarbībā ar Komisiju. Paziņojumam ir pievienots rīcības plāna projekts un dažādu projektu izpildes grafiks.

32.

Šajā sakarībā EDAU uzsver, ka ECRIS sistēmā, no vienas puses, nav izveidota centralizēta Eiropas datubāze un nav paredzēta tieša piekļuve tādām datubāzēm, kurās ietverti citu dalībvalstu sodāmības reģistri, savukārt valstu mērogā, no otras puses, atbildība par pareizu informāciju ir centralizēta dalībvalstu centrālajās iestādēs. Šādā mehānismā dalībvalstis ir atbildīgas par valstu datubāzu darbību un efektīvu informācijas apmaiņas norisi. Nav skaidrs, vai tās ir vai nav atbildīgas par savienojumu programmatūru. Komisija nodrošinās dalībvalstis ar datorprogrammām, kas izstrādātas, lai dotu iespēju operatīvi apmainīties ar visiem datiem par sodāmību. Šo atsauces sistēmu informācijas apmaiņai apvienos ar s-TESTA izmantojumu.

33.

EDAU saprot, ka arī sakarā ar analogām e-tiesiskuma ierosmēm varētu ieviest līdzīgas sistēmas un Komisija būs atbildīga par kopīgo infrastruktūru, kaut gan paziņojumā tas nav konkrēti norādīts. Juridiskas noteiktības labad EDAU ierosina precizēt šo atbildību par pasākumiem, kas izriet no paziņojuma.

E-tiesiskuma projekti

34.

Pielikumā uzskaitīta virkne projektu, ko jāīsteno turpmāko piecu gadu laikā. Pirmais projekts “E-tiesiskuma lapu izstrāde” ir saistīts ar e-tiesiskuma portālu. Rīcībai vajadzīga priekšizpēte un portāla izveide. Turklāt jāievieš pārvaldības metodes un informācija tiešsaistē visās ES valodās. Otrais un trešais projekts ir saistīts ar sodāmības reģistru savienošanu. Projekts Nr. 2 attiecas uz valstu sodāmības reģistru savienošanu. Projektā Nr. 3 pēc priekšizpētes un tiesību akta priekšlikuma iesniegšanas paredzēts izveidot Eiropas reģistru notiesātiem trešo valstu piederīgajiem. EDAU norāda, ka pēdējais projekts vairs nav minēts Komisijas darba programmā, un gribētu noskaidrot, vai tas atspoguļo izmaiņas Komisijas plānotajos projektos vai vienkārši šis konkrētais projekts atlikts uz vēlāku laiku.

35.

Paziņojumā ir uzskaitīti arī trīs projekti elektroniskās apmaiņas jomā un trīs projekti tulkošanas palīdzības jomā. Sāksies izmēģinājuma projekts – pakāpeniska salīdzinošas daudzvalodu juridiskās vārdnīcas apkopošana. Citi atbilstīgi projekti ir saistīti ar dinamisku veidlapu izveidi, ar ko papildināt Eiropas tiesību aktu tekstus, kā arī ar video konferenču izmantošanas veicināšanu starp tiesu iestādēm. Visbeidzot, kā daļa no e-tiesiskuma forumiem katru gadu notiks sanāksmes par e-tiesiskuma tēmām un tieslietu speciālistu mācības par tiesu iestāžu sadarbību. EDAU ierosina šādās sanāksmēs un mācībās pievērst pienācīgu uzmanību datu aizsardzības tiesību aktiem un praksei.

36.

Tādēļ pielikumā paredzēts plašs Eiropas instrumentu klāsts, lai atvieglinātu informācijas apmaiņu starp iesaistītajām personām dažādās dalībvalstīs. Starp šiem instrumentiem nozīmīga loma būs e-tiesiskuma portālam, par kuru galvenokārt būs atbildīga Komisija.

37.

Daudzu šo instrumentu kopīga īpatnība būs tāda, ka informāciju un personas datus gan valstu, gan ES mērogā apmainīs un pārvaldīs dažādas iesaistītās personas, uz kurām attiecas datu aizsardzības pienākumi, kā arī pārvaldības iestādes, kas izveidotas, pamatojoties uz Direktīvu 95/46/EK vai Regulu (EK) Nr. 45/2001. Šajā sakarībā, kā EDAU jau ir skaidri paudis savā atzinumā par iekšējā tirgus informācijas sistēmu (18), būtiski ir nodrošināt to, lai atbildību par dada aizsardzības noteikumu ievērošanu nodrošinātu efektīvā un vienotā veidā.

38.

Tas nozīmē galvenokārt to, ka, no vienas puses, atbildībai par personas datu apstrādi šajās sistēmās jābūt skaidri definētai un sadalītai, un ka, no otras puses, kad vien vajadzīgs, jāizveido atbilstīgi koordinācijas mehānismi – it īpaši saistībā ar pārraudzību.

39.

Jaunu tehnoloģiju izmantošana ir viens no e-tiesiskuma ierosmju stūrakmeņiem – valstu reģistru savienošana, elektroniskā paraksta izveide, droši tīkli, virtuālās apmaiņas platformas un videokonferenču pastiprināta izmantošana turpmāko gadu laikā būs būtiski e-tiesiskuma ierosmju aspekti.

40.

Šajā sakarībā ir būtiski, lai datu aizsardzības jautājumus ņem vērā pēc iespējas agrākā stadijā un iekļauj paredzēto instrumentu struktūrā. Īpaši svarīga ir gan sistēmas struktūra, gan atbilstīgu drošības pasākumu īstenošana. Šī pieeja “privātums plānojumā” dotu iespēju attiecīgām e-tiesiskuma ierosmēm nodrošināt personas datu efektīvu pārvaldi, vienlaikus nodrošinot datu aizsardzības principu un datu apmaiņas drošības ievērošanu starp dažādām iestādēm.

41.

Turklāt EDAU uzsver, ka tehnoloģijas instrumentus būtu jālieto ne vien, lai nodrošinātu informācijas apmaiņu, bet arī lai uzlabotu attiecīgo personu tiesību ievērošanu. Ņemot vērā minēto, EDAU pauž gandarījumu, ka paziņojumā izdarīta atsauce uz iedzīvotāju iespēju pieprasīt ziņas par savu sodāmību tiešsaistē un tādā valodā, kādu viņi paši izvēlas (19). Sakarā ar šo jautājumu EDAU atgādina, ka savā atzinumā par Komisijas priekšlikumu par sodāmības reģistru apmaiņu viņš pauda gandarījumu par iespēju attiecīgai personai vērsties dalībvalsts centrālajā iestādē ar lūgumu sniegt informāciju par savu sodāmību ar noteikumu, ka attiecīgā persona ir vai ir bijusi lūguma iesniedzējas vai lūguma saņēmējas dalībvalsts rezidents vai valstspiederīgais. Doma izmantot iestādi, kas attiecīgai personai atrodas tuvāk, kā “vienotu pieturvietu” EDAU izvirzīja arī sociālās apdrošināšanas sistēmu koordinācijas jomā. Tādēļ EDAU mudina Komisiju turpināt iesākto, stiprinot tehnoloģijas instrumentus – it īpaši piekļuvi tiešsaistē – dodot iespēju iedzīvotājiem labāk pārvaldīt savus personas datus arī tad, ja viņi pārvietojas dažādās dalībvalstīs.

VI.   SECINĀJUMI

42.

EDAU atbalsta pašreizējo priekšlikumu izveidot e-tiesiskumu un ierosina ņemt vērā šajā atzinumā izklāstītās piezīmes, proti:

ņemt vērā neseno pamatlēmumu par tādu personas datu aizsardzību, ko apstrādā, policijas un tiesu iestādēm sadarbojoties krimināllietās – arī tā trūkumus – ne vien īstenojot paziņojumā paredzētos pasākumus, bet arī lai pēc iespējas ātrāk sāktu apsvērt iespēju veikt turpmākus datu aizsardzības uzlabojumus tiesībaizsardzības sistēmā;

iekļaut e-tiesiskumā administratīvas procedūras. Kā daļu no šī jaunā aspekta būtu jāuzsāk e-tiesiskuma projekti, lai veicinātu datu aizsardzības noteikumu, kā arī valstu datu aizsardzības iestāžu redzamību, it īpaši saistībā ar tāda veida datiem, kādus apstrādā e-tiesiskuma projektos;

arī turpmāk priekšroku dot decentralizētām struktūrām;

nodrošināt to, lai sistēmu savienojumos un savstarpējā savietojamībā pienācīgi ņemtu vērā mērķa ierobežojuma principu;

paredzētajās sistēmās piešķirt skaidru atbildību visām personas datu apstrādē iesaistītajām personām un nodrošināt efektīvas koordinācijas mehānismus starp datu aizsardzības iestādēm;

nodrošināt to, ka, veicot jebkādu personas datu apstrādi citiem mērķiem, izņemot tos, kam tie vākti, būtu jāņem vērā konkrētie noteikumi, kas izklāstīti atbilstīgajos datu aizsardzības tiesību aktos;

skaidri definēt un ierobežot automātiskas tulkošanas izmantošanu, lai veicinātu savstarpēju izpratni par noziedzīgiem nodarījumiem, neietekmējot pārsūtītās informācijas kvalitāti;

precizēt Komisijas atbildību par kopīgām infrastruktūrām, piemēram, s-TESTA;

sakarā ar jaunu tehnoloģiju izmantojumu nodrošināt, ka datu aizsardzības jautājumus ņem vērā pēc iespējas agrīnākā stadijā (“privātums plānojumā”), kā arī atbalstīt tehnoloģijas instrumentus, kas dotu iespēju iedzīvotājiem labāk pārvaldīt savus personas datus arī tad, ja viņi pārvietojas starp vairākām dalībvalstīm.

Briselē, 2008. gada 19. decembrī

Peter HUSTINX

Eiropas Datu aizsardzības uzraudzītājs


(1)  OV L 281, 23.11.1995., 31. lpp.

(2)  OV L 8, 12.1.2001., 1. lpp.

(3)  Skat. 10393/07 JURINFO 21.

(4)  Skatīt projektu Eiropas Parlamenta ziņojumam (Juridisko jautājumu komiteja).

(5)  Skatīt, jo īpaši tālāk tekstā minēto Eiropas sodāmības reģistru informācijas sistēmu (ECRIS).

(6)  Komisijas dienestu darba dokuments – Pavaddokuments Komisijas paziņojumam Padomei, Eiropas Parlamentam un Eiropas Ekonomikas un sociālo lietu komitejai“Ceļā uz Eiropas e-tiesiskuma stratēģiju” – Ietekmes novērtējuma kopsavilkums, 30.5.2008, SEC(2008) 1944.

(7)  EDAU atzinums par Eiropas sodāmības reģistru informācijas sistēmas (ECRIS) izveidi, piemērojot Pamatlēmuma 2008/XX/TI 11. pantu, pieejams EDAU vietnē: www.edps.europa.eu (izvēlaties iedaļu “consultation” un pēc tam iedaļu “opinions”, 2008. gads).

(8)  Tiesību akts OV vēl nav publicēts.

(9)  Skat. 4. zemsvītras piezīmi 18. punktu.

(10)  OV C 89, 10.4.2008., 4. lpp.

(11)  OV C 91, 19.4.2006., 53. lpp. Skatīt arī EDAU komentārus par Komisijas paziņojumu par Eiropas datubāzu savietojamību, Brisele, 10.3.2006.

(12)  OV C 313, 20.12.2006., 26. lpp.

(13)  Skatīt iepriekš, IV nodaļu.

(14)  Skatīt EDAU atzinumu par ECRIS, 8. punktu un 37.–38. punktu.

(15)  Par to skatīt turpmāk, 27.–28. punktu.

(16)  It īpaši skatīt Direktīvas 95/46/EK 13. pantu un Regulas (EK) Nr. 45/2001 20. pantu.

(17)  Skatīt 39.–40. punktu EDAU atzinumā par ECRIS.

(18)  OV C 270, 25.10.2008., 1. lpp.

(19)  Skatīt paziņojuma 6. punktu.


6.6.2009   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 128/20


Eiropas Datu aizsardzības uzraudzītāja atzinuma projektspar priekšlikumu Eiropas Parlamenta un Padomes direktīvai par pacienta tiesību piemērošanu pārrobežu veselības aprūpē

2009/C 128/03

EIROPAS DATU AIZSARDZĪBAS UZRAUDZĪTĀJS,

ņemot vērā Eiropas Kopienas dibināšanas līgumu un jo īpaši tā 286. pantu,

ņemot vērā Eiropas Savienības Pamattiesību hartu un jo īpaši tās 8. pantu,

ņemot vērā Eiropas Parlamenta un Padomes Direktīvu 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti,

ņemot vērā Eiropas Parlamenta un Padomes Regulu (EK) Nr. 45/2001 (2000. gada 18. decembris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti, un jo īpaši tās 41. pantu,

ņemot vērā 2008. gada 2. jūlijā nosūtīto lūgumu EDAU sniegt atzinumu saskaņā ar Regulas (EK) Nr. 45/2001 28. panta 2. punktu,

IR PIEŅĒMIS ŠO ATZINUMU.

I.   IEVADS

Priekšlikums direktīvai par pacienta tiesību piemērošanu pārrobežu veselības aprūpē

1.

Komisija 2008. gada 2. jūlijā pieņēma priekšlikumu Eiropas Parlamenta un Padomes direktīvai par pacienta tiesību piemērošanu pārrobežu veselības aprūpē (turpmāk – “priekšlikums”) (1). Komisija priekšlikumu nosūtīja EDAU, lai tas sniegtu atzinumu saskaņā ar Regulas (EK) Nr. 45/2001 28. panta 2. punktu.

2.

Ar priekšlikumu ir paredzēts ES izveidot pārrobežu veselības aprūpes Kopienas regulējumu gadījumiem, ja pacientam vajadzīgo aprūpi sniedz citā dalībvalstī, nevis pacienta mītnes valstī. Tas izstrādāts, balstoties uz trim pamataspektiem:

kopīgu principu izveidošana visās ES veselības sistēmās, skaidri definējot dalībvalstu pienākumus;

īpaša regulējuma izstrāde pārrobežu veselības aprūpei, nodrošinot skaidrību par pacientu tiesībām uz veselības aprūpi citā dalībvalstī;

ES sadarbības veselības aprūpes jomā veicināšana tādās jomās kā citās valstīs izdotu recepšu atzīšana, Eiropas references tīkli, medicīnas tehnoloģijas novērtējums, datu vākšana, kvalitāte un drošums.

3.

Šim regulējumam ir divējāds mērķis – nodrošināt pietiekamu skaidrību par tiesībām saņemt izdevumu atlīdzību par citās dalībvalstīs sniegtu veselības aprūpi un nodrošināt, ka attiecībā uz pārrobežu aprūpi ir garantēta augsta veselības aprūpes kvalitāte, drošība un efektivitāte.

4.

Pārrobežu veselības aprūpes sistēmas īstenošanai ir vajadzīga attiecīgas ar pacientu veselības aprūpi saistītas informācijas apmaiņa (turpmāk – “veselības informācija”) starp dažādu dalībvalstu pilnvarotām organizācijām un veselības aprūpes speciālistiem. Šo informāciju uzskata par delikātu, un uz to attiecas stingrāki datu aizsardzības noteikumi, kā paredzēts Direktīvas 95/46/EK 8. pantā par īpašām datu kategorijām.

EDAU konsultācija

5.

EDAU pauž gandarījumu par to, ka tam ir lūgta konsultācija par šo jautājumu un ka priekšlikuma preambulā ir ietverta atsauce uz šo konsultāciju saskaņā ar Regulas (EK) Nr. 45/2000 28. pantu.

6.

Šī ir pirmā reize, kad ar EDAU oficiāli apspriežas par priekšlikumu direktīvai veselības aprūpes jomā. Tāpēc dažas no šajā atzinumā ietvertajām piezīmēm ir plašākas un attiecas uz vispārīgiem personas datu aizsardzības jautājumiem veselības aprūpes jomā, un tās būtu piemērojamas arī citiem attiecīgiem tiesiskiem instrumentiem (saistošiem vai nē).

7.

Vispirms EDAU vēlētos paust atbalstu ierosmēm uzlabot pārrobežu veselības aprūpes apstākļus. Faktiski šis priekšlikums būtu jāskata vispārējā aspektā – saistībā ar EK programmu iedzīvotāju veselības uzlabošanai informācijas sabiedrībā. Citas saistītās ierosmes ir Komisijas iecerētā direktīva un paziņojums par cilvēku orgānu donoriem un transplantāciju (2), ieteikums par elektronisko veselības karšu sistēmu pārrobežu sadarbspēju (3), kā arī iecerētais paziņojums par tālmedicīnu (4). Tomēr EDAU ir nobažījies par to, ka visas minētās ierosmes nav cieši saistītas un/vai tām nav saiknes privātuma un datu drošības jomā, tādējādi kavējot ieviest vienotu datu aizsardzības pieeju veselības aprūpē, it īpaši attiecībā uz jauno informācijas un sakaru tehnoloģiju izmantošanu. Piemēram, lai gan iecerētās direktīvas priekšlikuma 10. apsvērumā ir skaidri minēta tālmedicīna, nav atsauces uz attiecīgā EK paziņojuma datu aizsardzības aspektu. Turklāt, lai gan elektroniskās veselības kartes, iespējams, ir līdzeklis veselības informācijas nosūtīšanai starp valstīm, nav paredzēta saikne ar privātās dzīves jautājumiem, kas minēti attiecīgajā Komisijas ieteikumā (5). Tas liek domāt, ka vispārējais veselības aprūpes privātuma aspekts vēl joprojām nav skaidri definēts un dažos gadījumos tā vispār nav.

8.

Tas ir acīmredzams arī pašreizējā priekšlikumā, un EDAU pauž nožēlu par to, ka datu aizsardzības aspekti nav izskatīti detalizēti. Protams, priekšlikumā ir atsauces uz datu aizsardzību, bet parasti tās ir vispārīgas un nepietiekami atbilst konkrētām ar privātumu saistītām vajadzībām un pārrobežu veselības aprūpes prasībām.

9.

EDAU vēlas uzsvērt, ka vienota un rūpīga datu aizsardzības pieeja visos ierosinātajos veselības aprūpes instrumentos ne tikai garantēs iedzīvotāju pamattiesības uz viņu datu aizsardzību, bet arī veicinās turpmāku pārrobežu veselības aprūpes attīstību ES.

II.   DATU AIZSARDZĪBA PĀRROBEŽU VESELĪBAS APRŪPĒ

Vispārīgs aspekts

10.

Eiropas Kopienas galvenais mērķis ir izveidot iekšējo tirgu, telpu bez iekšējām robežām, kurā ir nodrošināta preču, pakalpojumu un kapitāla brīva aprite un personu brīva pārvietošanās. Sniedzot pilsoņiem iespēju vieglāk pārvietoties un uzturēties citās dalībvalstīs, kas nav viņu izcelsmes dalībvalsts, protams, rodas ar veselības aprūpi saistīti jautājumi. Tāpēc deviņdesmitajos gados Tiesa saistībā ar iekšējo tirgu skatīja jautājumus par citās dalībvalstīs veiktu medicīnas izmaksu iespējamu atlīdzināšanu. Tiesa atzina, ka pakalpojumu sniegšanas brīvība, kas noteikta EK līguma 49. pantā, ietver personu brīvību pārvietoties uz citu dalībvalsti, lai saņemtu medicīnisku aprūpi (6). Tādējādi pret pacientiem, kuri vēlējās saņemt pārrobežu veselības aprūpi, vairs nevarēja attiekties citādāk nekā pret valstspiederīgajiem to izcelsmes valstī, kuri saņēma to pašu medicīnisko aprūpi, nešķērsojot robežu.

11.

Minētie Tiesas spriedumi ir pašreizējā priekšlikuma pamatā. Tā kā Tiesas judikatūra ir balstīta uz atsevišķām lietām, ar pašreizējiem priekšlikumiem ir paredzēts viest lielāku skaidrību nolūkā nodrošināt, lai vispārīgāk un iedarbīgāk piemēro brīvību saņemt un sniegt veselības pakalpojumus. Taču, kā minēts iepriekš, priekšlikums ir arī daļa no vērienīgākas programmas, kuras mērķis ir uzlabot iedzīvotāju veselību informācijas sabiedrībā, jo ES saskata lielas iespējas stiprināt pārrobežu veselības aprūpi, izmantojot informācijas tehnoloģiju.

12.

Acīmredzamu iemeslu dēļ pārrobežu veselības aprūpes noteikumu izstrāde ir delikāts jautājums. Tas attiecas uz delikātu jomu, kurā dalībvalstis ir izveidojušas atšķirīgas valstu sistēmas, piemēram, attiecībā uz apdrošināšanu un izmaksu atlīdzināšanu vai veselības aprūpes infrastruktūras organizāciju, kā arī veselības aprūpes informācijas tīkliem un lietojumprogrammām. Lai gan Kopienas likumdevējs pašreizējā priekšlikumā pievēršas tikai pārrobežu veselības aprūpei, noteikumi vismaz ietekmēs to, kā ir organizētas valstu veselības aprūpes sistēmas.

13.

Pārrobežu veselības aprūpes nosacījumu uzlabošana sniegs labumu iedzīvotājiem. Tomēr vienlaikus iedzīvotājiem tas ietvers arī dažus riskus. Ir jāatrisina daudzas praktiskas problēmas, kas raksturīgas pārrobežu sadarbībai starp cilvēkiem no dažādām valstīm, kas runā dažādās valodās. Tā kā laba veselība ir ļoti svarīga katram iedzīvotājam, būtu jānovērš jebkuras pārpratumu iespējas un ar tām saistītas neprecizitātes. Protams, pārrobežu veselības aprūpes uzlabojumi kopā ar informācijas tehnoloģijas attīstību ievērojami ietekmē personas datu aizsardzību. Efektīvāka un tādējādi arvien lielāka veselības informācijas apmaiņa, lielāki attālumi starp attiecīgajām personām un iestādēm, dažādi valsts tiesību akti, ar ko īsteno datu aizsardzības noteikumus, rada jautājumus par datu drošību un juridisku noteiktību.

Veselības informācijas aizsardzība

14.

Jāuzsver, ka veselības informācija ir īpaša datu kategorija, kurai vajadzētu būt vairāk aizsargātai. Kā nesen paziņoja Eiropas Cilvēktiesību tiesa saistībā ar Eiropas Cilvēktiesību konvencijas 8. pantu: “Personas datu, it īpaši medicīnas datu, aizsardzība ir būtiski svarīga, lai persona baudītu savas tiesības uz privātās un ģimenes dzīves neaizskaramību, kā garantēts Konvencijas 8. pantā” (7). Pirms skaidrot veselības informācijas apstrādes stingrākus noteikumus, kas paredzēti Direktīvā 95/46/EK, turpmāk izklāstīts īss apskats par jēdzienu “veselības informācija”.

15.

Direktīvā 95/46/EK veselības informācija nav īpaši definēta. Parasti izmanto plašu skaidrojumu, bieži veselības informāciju definējot kā “personas datus, kam ir skaidra un cieša saikne ar personas veselības stāvokļa aprakstu” (8). Šajā sakarā veselības informācijā parasti iekļauj medicīnisku informāciju (piemēram, ārstu nosūtījumus uz izrakstītās receptes, medicīnisko apskašu rezultātus, laboratoriju analīzes, radiogrāfijas attēlus, u. c.), kā arī administratīvus un finanšu datus, kas saistīti ar veselību (piemēram, dokumentus par uzņemšanu slimnīcā, sociālās apdrošināšanas numuru, ārstu vizīšu grafiku, rēķinus par veselības aprūpes pakalpojumu sniegšanu u. c.). Būtu jānorāda, ka terminu “medicīniska informācija” (9) dažkārt izmanto arī, lai atsauktos uz informāciju par veselību, tāpat kā terminu “veselības informācija” (10). Visā šajā atzinumā lietots jēdziens “veselības informācija”.

16.

Lietderīga “veselības informācijas” definīcija ir sniegta ISO 27799 – “visa informācija, kas attiecas uz indivīda fizisko vai garīgo veselību vai uz veselības pakalpojumu sniegšanu indivīdam un kurā var būt iekļauta: a) informācija par indivīda reģistrāciju veselības pakalpojumu sniegšanai; b) informācija par maksājumiem vai par indivīdam pieejamo veselības aprūpi; c) numurs, simbols vai dati, kas piešķirti indivīdam, lai viņu identificētu veselības aprūpes nolūkos; d) visa informācija par indivīdu, kas savākta, sniedzot viņam veselības aprūpes pakalpojumus; e) informācija, kas iegūta, analizējot vai apskatot ķermeņa daļu vai no tā iegūtu materiālu; un f) identifikācijas dati par personu (veselības aprūpes speciālistu), kas indivīdam sniedz veselības aprūpes pakalpojumus”.

17.

EDAU pauž stingru atbalstu konkrētas termina “veselības informācija” definīcijas pieņemšanai saistībā ar pašreizējo priekšlikumu, ko turpmāk varētu izmantot citos attiecīgos EK tiesību aktos (skat. šī atzinuma III iedaļu).

18.

Direktīvas 95/46/EK 8. pantā izklāstīti noteikumi par īpašu kategoriju datu apstrādi. Šie noteikumi ir stingrāki nekā citu datu apstrādes noteikumi, kas izklāstīti Direktīvas 95/46/EK 7. pantā. Par to liecina 8. panta 1. punktā ietvertā skaidrā norāde, ka dalībvalsts aizliedz apstrādāt inter alia ar veselību saistītu informāciju. Turpmākos minētā panta punktos ir ietverti vairāki aizlieguma izņēmumi, taču tie ir šaurāki nekā parastas informācijas apstrādes pamatojums, kas izklāstīts 7. pantā. Piemēram, aizliegumu nepiemēro, ja datu subjekts ir devis precīzi formulētu piekrišanu (8. panta 2. punkta a) apakšpunkts), turpretī Direktīvas 95/46/EK 7. panta a) apakšpunktā ir prasīta nepārprotama atļauja. Turklāt dalībvalsts tiesību aktos var noteikt, ka dažos gadījumos pat datu subjekta piekrišana nav pietiekams iemesls aizlieguma atcelšanai. 8. panta trešā daļa attiecas tikai uz veselības informācijas apstrādi. Saskaņā ar minēto daļu, attiecīgā panta pirmajā daļā ietverto aizliegumu nepiemēro, ja datu apstrādi pieprasa profilaktiskās medicīnas, medicīniskas diagnozes, aprūpes vai ārstēšanas, vai veselības aprūpes pakalpojumu pārvaldības nodrošināšanas nolūkiem un ja šos datus apstrādā veselības aizsardzības darba profesionālis saskaņā ar attiecīgās valsts tiesībām vai valsts kompetento iestāžu ieviestiem noteikumiem par dienesta noslēpuma pienākumu, vai cita persona, uz kuru arī attiecas tāds pat pienākums ievērot slepenību.

19.

Direktīvas 95/46/EK 8. pantā liels uzsvars ir uz faktu, ka dalībvalstīm būtu jānodrošina piemēroti vai pietiekami aizsargmehānismi. Piemēram, 8. panta 4. punktā dalībvalstīm ir atļauts paredzēt papildu izņēmumus attiecībā uz aizliegumu apstrādāt delikātu informāciju, pamatojoties uz būtiskām sabiedrības interesēm, taču ievērojot piemērotu aizsargmehānismu nodrošināšanu. Kopumā tas uzsver dalībvalstu pienākumu īpaši rūpīgi pārraudzīt delikātu datu apstrādi, piemēram, veselības informācijas apstrādi.

Veselības informācijas aizsardzība pārrobežu situācijās

Dalībvalstu kolektīva atbildība

20.

Dalībvalstīm vajadzētu būt īpaši ņemt vērā tikko minēto pienākumu, ja notiek pārrobežu apmaiņa ar veselības informāciju. Kā minēts iepriekš, pārrobežu apmaiņa ar veselības informāciju palielina risku, ka datus apstrādās neprecīzi vai nelikumīgi. Neapšaubāmi tas var radīt būtiskas negatīvas sekas datu subjektam. Gan piederības dalībvalsts (kur pacients ir apdrošinātā persona), gan ārstniecības dalībvalsts (kurā faktiski sniedz veselības aprūpes pakalpojumu) ir saistītas šajā procesā un tāpēc ir par to kolektīvi atbildīgas.

21.

Šajā sakarā veselības informācijas drošība ir svarīgs jautājums. Iepriekš minētajā nesenajā lietā Eiropas Cilvēktiesību tiesa īpaši uzsvēra veselības informācijas konfidencialitāti: “Veselības informācijas konfidencialitātes ievērošana ir svarīgs princips Konvencijas līgumslēdzēju pušu tiesību sistēmās. Ir būtiski ne tikai ievērot pacienta privātumu, bet arī saglabāt viņa vai viņas uzticību medicīnas speciālistiem un veselības aprūpes pakalpojumiem kopumā.” (11).

22.

Turklāt Direktīvā 95/46/EK izklāstītajos datu aizsardzības noteikumos paredzēts, ka piederības dalībvalstij būtu pacientam jānodrošina pietiekama, pareiza un atjaunināta informācija par viņa vai viņas personas datu nosūtīšanu uz citu dalībvalsti, vienlaikus nodrošinot minēto datu drošu nosūtīšanu uz attiecīgo dalībvalsti. Ārstniecības dalībvalstij arī būtu jānodrošina tādu datu droša saņemšana un pietiekama aizsardzības pakāpe, kad datus patiešām apstrādā, ievērojot attiecīgās valsts datu aizsardzības tiesību aktus.

23.

EDAU priekšlikumā vēlētos skaidri norādīt dalībvalstu kolektīvos pienākumus, ņemot vērā elektronisku informācijas paziņošanu, īpaši saistībā ar jaunajām informācijas un sakaru tehnoloģiju lietojumprogrammām, kā izklāstīts turpmāk.

Elektroniska veselības informācijas paziņošana

24.

Labāku veselības informācijas pārrobežu apmaiņu veido, galvenokārt izmantojot informācijas tehnoloģijas. Lai gan datu apmaiņu pārrobežu veselības aprūpē joprojām var veikt, izmantojot papīra dokumentus (piemēram, pacients dodas uz citu dalībvalsti, ņemot līdzi visu attiecīgo veselības informāciju, piemēram, laboratorijas analīzes, ārstu nosūtījumus u. c.), ir skaidri paredzēts tā vietā izmantot elektroniskus līdzekļus. Elektronisku veselības informācijas sūtīšanu veiks, izmantojot veselības aprūpes informācijas sistēmas, kas pastāv (vai kuras izveidos) dalībvalstīs (slimnīcās, klīnikās u. c.), kā arī izmantojot jaunas tehnoloģijas, piemēram, elektroniskās veselības ierakstu lietojumprogrammas (iespējams, internetā), un citus līdzekļus, tādus kā pacientu un ārstu veselības kartes. Protams, ir iespējams, ka izmanto kombinētas papīra un elektroniskās apmaiņas veidus, atkarībā no dalībvalstu veselības aprūpes sistēmām.

25.

E-veselības un tālmedicīnas lietojumprogrammas, kas ietilpst ierosinātās direktīvas darbības jomā, būs balstītas tikai uz elektronisku veselības informācijas apmaiņu (piemēram, veselības stāvokļa rādītāji, attēli u. c.), parasti saistībā ar citām pastāvošām elektroniskām veselības aprūpes informācijas sistēmām ārstniecības un piederības dalībvalstīs. Tas ietver sistēmas, kas darbojas pacienta-ārsta režīmā (piemēram, attāla pārraudzīšana un diagnoze), kā arī ārsta-ārsta režīmā (piemēram, saziņa starp veselības aprūpes speciālistiem, lai gūtu ekspertu padomus īpašās veselības aprūpes lietās). Citās specifiskākās veselības aprūpes lietojumprogrammās, ko izmanto vispārīgi, lai nodrošinātu pārrobežu veselības aprūpi, arī var izmantot vienīgi elektronisku informācijas apmaiņu, piemēram, elektroniskās receptes (e-recepte) vai elektroniskie nosūtījumi (e-nosūtījums), kas dažās dalībvalstīs jau ir ieviests valsts mērogā (12).

Veselības informācijas pārrobežu apmaiņas problēmjomas

26.

Ņemot vērā minētos apsvērumus, līdzās pastāvošajai dažādībai dalībvalstu veselības sistēmās, kā arī aizvien lielākai e-veselības lietojumprogrammu attīstībai, attiecībā uz datu aizsardzību pārrobežu veselības aprūpē izvirzās šādas divas problēmjomas: a) dažādi drošības līmeņi, ko dalībvalstīs var piemērot personas datu aizsardzībai (attiecībā uz tehniskiem un organizatoriskiem pasākumiem), un b) privātuma iekļaušana e-veselības lietojumprogrammās, it īpaši no jauna izstrādātās programmās. Turklāt īpaša uzmanība būtu vajadzīga arī citiem aspektiem, piemēram, veselības informācijas sekundārai izmantošanai, it īpaši statistikas izstrādes jomā. Šie jautājumi ir sīkāk analizēti turpmāk šajā nodaļā.

Informācijas drošība dalībvalstīs

27.

Kaut gan Direktīvas 95/46/EK un 2002/58/EK Eiropā piemēro vienoti, dažādās valstīs var būt atšķirīgs atsevišķu aspektu skaidrojums un īstenošana, it īpaši jomās, kurās juridiskie noteikumi ir vispārīgi un ir atstāti dalībvalstu ziņā. Šajā sakarā galvenā izskatāmā joma ir apstrādes drošība, proti, dalībvalstu īstenoti pasākumi (tehniski un organizatoriski), lai garantētu veselības informācijas drošību.

28.

Lai gan veselības informācijas stingra aizsardzība ir visu dalībvalstu pienākums, pašlaik attiecībā uz veselības aprūpi ES nav vispārēji pieņemtas definīcijas attiecībā uz “pietiekamu” drošības līmeni, kuru varētu piemērot pārrobežu veselības aprūpes gadījumā. Tā, piemēram, slimnīcai vienā dalībvalstī saskaņā ar attiecīgās valsts paredzētajiem datu aizsardzības noteikumiem varētu būt pienākums pieņemt īpašus drošības pasākumus (piemēram, drošības politikas un rīcības kodeksu noteikšana, īpaši noteikumi līgumdarbiem un ārējiem līgumdarbiniekiem, revīzijas prasības u. c.), turpretī citās dalībvalstīs tas tā var nebūt. Tāda nekonsekvence var ietekmēt pārrobežu datu apmaiņu, it īpaši elektroniski, jo nav iespējams garantēt datu drošību (no tehniskā un organizatoriskā viedokļa) vienādā līmenī starp dažādām dalībvalstīm.

29.

Tādēļ ir vajadzīga turpmāka saskaņošana šajā jomā, nosakot kopīgu drošības prasību kopumu veselības aprūpē, kas būtu jāpieņem dalībvalstu veselības aprūpes pakalpojumu sniedzējiem. Šī vajadzība nepārprotami saskan ar vispārēju vajadzību definēt ES veselības aprūpes sistēmu kopējos principus, kā izklāstīts priekšlikumā.

30.

Tas būtu jādara vispārīgi, dalībvalstīm neuzspiežot konkrētus tehniskus risinājumus, tomēr nosakot pamatu savstarpējai atzīšanai un pieņemšanai, piemēram, tādās jomās kā drošības politikas definīcija, pacientu un veselības aprūpes speciālistu identifikācija un autentifikācija u. c. Pastāvošos Eiropas un starptautiskos standartus (piemēram, ISO un CEN) veselības aprūpes un drošības jomā, kā arī vispārpieņemtas un juridiski pamatotas tehniskas koncepcijas (piemēram, elektroniskie paraksti (13) varētu izmantot kā tādas virzības ceļvedi.

31.

EDAU atbalsta domu par veselības aprūpes drošības saskaņošanu ES mērogā un uzskata, ka Komisijai būtu jānāk klajā ar attiecīgām ierosmēm, kas saskan ar pašreizējā priekšlikuma pamatu (skat. III iedaļu).

Privātums e-veselības lietojumprogrammās

32.

Privātumam un drošībai vajadzētu būt daļai no jebkuras veselības aprūpes sistēmas izstrādes un īstenošanas, it īpaši saistībā ar e-veselības lietojumprogrammām, kā minēts šajā priekšlikumā (“privātums plānojumā”). Atbalsts šim neapstrīdamajam argumentam jau ir pausts arī citos attiecīgos politikas dokumentos (14), gan vispārīgos, gan tādos, kas attiecas tieši uz veselības aprūpi (15).

33.

Sakarā ar priekšlikumā apspriesto e-veselības sadarbspēju, jēdziens “privātums plānojumā” būtu vēlreiz jāuzsver kā pamats visiem iecerētajiem attīstības pasākumiem. Minētais jēdziens attiecas uz vairākiem atšķirīgiem līmeņiem – organizatorisko, semantisko un tehnisko.

Organizatoriskā līmenī privātums būtu jāapsver, izstrādājot dalībvalstu veselības aprūpes organizāciju veselības informācijas apmaiņai vajadzīgās procedūras. Tas var tieši ietekmēt apmaiņas veidu un to, cik daudz datu nosūta (piemēram, ja iespējams, izmanto identifikācijas numurus, nevis pacientu īstos vārdus).

Semantiskā līmenī privātuma un drošības prasības būtu jāiestrādā jaunos standartos un shēmās, piemēram, izstrādājot elektronisku recepšu veidni, kā apspriests priekšlikumā. To varētu izstrādāt, pamatojoties uz pastāvošiem tehniskiem standartiem šajā jomā, piemēram, standartiem par datu konfidencialitāti un digitālo parakstu, un ievērojot veselības aprūpes jomas īpašās vajadzības, proti, kvalificētu veselības aprūpes speciālistu autentifikāciju atbilstīgi to uzdevumiem.

Tehniskā līmenī sistēmu struktūrām un lietotāju programmām būtu jāpielāgo privātumu stiprinošas tehnoloģijas, īstenojot minēto semantisko izstrādi.

34.

EDAU uzskata, ka elektronisko recepšu jomu varētu izmantot kā sākumpunktu privātuma un drošības prasību iekļaušanai ļoti agrīnā sistēmu izstrādes posmā (skat. III iedaļu).

Citi aspekti

35.

Papildu aspekts, ko varētu izvērtēt saistībā ar pārrobežu veselības informācijas apmaiņu ir veselības informācija sekundāra izmantošana, it īpaši to izmantošana statistikas mērķiem, kā izklāstīts pašreizējā priekšlikumā.

36.

Kā minēts 18. punktā, Direktīvas 95/46/EK 8. panta 4. punktā ir paredzēta iespēja veselības informāciju izmantot sekundāri. Tomēr tāda turpmāka apstrāde būtu jāveic tikai “sabiedrības būtisku interešu” dēļ un tai jāpiemēro “pietiekami aizsargmehānismi”, kas ietverti valsts tiesību aktos, vai tam jānotiek saskaņā ar uzraudzības iestādes lēmumu (16). Turklāt statistikas datu apstrādes gadījumā, kā minēts arī EDAU atzinumā par priekšlikumu regulai par Kopienas statistiku par sabiedrības veselību un veselības aizsardzību un drošību darbā (17), papildu apdraudējumu rada dažādās jēdzienu “konfidencialitāte” un “datu aizsardzība” nozīmes, kas var izpausties, no vienas puses, īstenojot datu aizsardzības tiesību aktus, un no otras, statistikas tiesību aktus.

37.

EDAU vēlas minētos elementus uzsvērt saistībā ar pašreizējo priekšlikumu. Būtu jāiekļauj skaidrākas atsauces uz datu aizsardzības prasībām attiecībā uz veselības informācijas vēlāku izmantošanu (skat. III iedaļu).

III.   SĪKĀKA PRIEKŠLIKUMA ANALĪZE

Priekšlikuma noteikumi par datu aizsardzību

38.

Dažādās priekšlikuma daļās ir iekļautas vairākas atsauces uz datu aizsardzību un privātumu, konkrēti:

3. apsvērumā cita starpā norādīts, ka direktīva jāīsteno un jāpiemēro, pienācīgi ievērojot tiesības uz privāto dzīvi un personas datu aizsardzību;

11. apsvērums attiecas uz pamattiesībām uz privātumu saistībā ar personas datu apstrādi un konfidencialitāti kā diviem visas Kopienas veselības aprūpes sistēmu darbības pamatprincipiem;

17. apsvērumā tiesības uz personas datu aizsardzību aprakstītas kā indivīdu pamattiesības, kas būtu jānodrošina, it īpaši pievēršot uzmanību indivīdu tiesībām piekļūt veselības informācijai, arī saistībā ar pārrobežu veselības aprūpi, kā noteikts Direktīvā 95/46/EK;

3. pantā, kurā izklāstīta direktīvas saistība ar citiem Kopienas noteikumiem, 1. punkta a) apakšpunktā ir atsauce uz Direktīvu 95/46/EK un Direktīvu 2002/58/EK;

5. pantā par ārstniecības dalībvalsts atbildību, 1. punkta f) apakšpunktā noteikts, ka privātuma tiesību aizsardzība ietilpst ārstniecības dalībvalsts atbildības jomā saskaņā ar valsts pasākumiem, ar ko īsteno Direktīvu 95/46/EK un Direktīvu 2002/58/EK;

6. pantā par veselības aprūpi citā dalībvalstī, 5. punktā uzsvērts, ka pacientiem, kas dodas uz citu dalībvalsti, lai tur saņemtu veselības aprūpi, vai vēlas saņemt veselības aprūpi citā dalībvalstī, tāpat saskaņā ar valsts pasākumiem, ar ko īsteno Direktīvas 95/46/EK un 2002/58/EK, ir tiesības piekļūt savai slimības vēsturei;

12. pantā par pārrobežu veselības aprūpes kontaktpunktiem dalībvalstīs, 2. panta a) apakšpunktā norādīts, ka minētajiem kontaktpunktiem cita starpā vajadzētu būt atbildīgiem par informācijas sniegšanu un izplatīšanu pacientiem par personas datu aizsardzības garantijām, ko sniedz citā dalībvalstī;

16. pantā par e-veselību noteikts, ka informācijas un sakaru tehnoloģiju saderības nodrošināšanas pasākumos būtu jāievēro personas datu aizsardzības pamattiesības saskaņā ar piemērojamiem tiesību aktiem;

Visbeidzot, 18. panta 1. punktā cita starpā ir minēts, ka datu vākšanu statistikas un pārraudzības nolūkos vajadzētu īstenot saskaņā ar attiecīgās valsts un Kopienas tiesību aktiem par personas datu aizsardzību.

39.

EDAU pauž gandarījumu par to, ka, izstrādājot priekšlikumu, ir ņemta vērā datu aizsardzība un ka ir mēģināts parādīt vispārējo vajadzību pēc privātuma saistībā ar pārrobežu veselības aprūpi. Tomēr pastāvošie priekšlikuma noteikumi par datu aizsardzību ir vai nu pārāk vispārīgi vai arī uz dalībvalstu pienākumiem attiecas visai selektīvi un sadrumstaloti:

it īpaši 3. un 11. apsvērums kopā ar 3. panta 1. punkta a) apakšpunktu, 16. pantu un 18. panta 1. punktu faktiski skar vispārīgo datu aizsardzības sistēmu (pēdējie divi minētie punkti attiecas uz e-veselību un statistikas vākšanu, taču nenosakot īpašas ar privātumu saistītas prasības);

attiecībā uz dalībvalstu atbilstību vispārēja atsauce ir 5. panta 1. punkta f) apakšpunktā;

17. apsvērumā un 6. panta 5. punktā ietverta konkrētāka atsauce uz pacientu tiesībām piekļūt informācijai ārstniecības dalībvalstī;

visbeidzot, 12. panta 2. punkta a) apakšpunktā ir noteikums par pacientu tiesībām uz informāciju piederības dalībvalstī (izmantojot valstu kontaktpunktu darbību).

Turklāt, kā jau minēts šī atzinuma ievadā, citos EK juridiskos instrumentos (saistošos vai nesaistošos) nav saiknes un/vai atsauces uz privātuma aspektiem veselības aprūpes jomā, it īpaši attiecībā uz jaunu informācijas un sakaru tehnoloģiju lietojumprogrammu izmantojumu (piemēram, tālmedicīna vai elektroniskās veselības kartes).

40.

Tādējādi, lai gan apgalvo, ka privātums ir pārrobežu veselības aprūpes prasība, joprojām nav vispārīga redzējuma gan attiecībā uz dalībvalstu atbildību, gan attiecībā uz specifiskiem apstākļiem, ko rada pārrobežu veselības aprūpes pakalpojumu sniegšana (pretstatā valsts veselības aprūpes pakalpojumu sniegšanai). Sīkāk būtu jāmin šādi aspekti:

dalībvalstu atbildība nav vienoti izklāstīta, jo dažādās priekšlikuma daļās ir uzsvērti daži pienākumi (piekļuves tiesības un informācija), turpretī citi ir pilnībā noklusēti, piemēram, apstrādes drošība;

saistībā ar pārrobežu veselības aprūpi nav atsauces uz bažām par dalībvalstu nesaskaņotu rīcību attiecībā uz drošības pasākumiem un uz vajadzību saskaņot veselības informācijas drošību Eiropas mērogā;

nav atsauces uz privātuma iekļaušanu e-veselības lietojumprogrammās. Tas nav pietiekami atspoguļots arī e-recepšu gadījumā.

41.

Turklāt īpašas bažas rada 18. pants, kas attiecas uz datu vākšanu statistikas un pārraudzības nolūkos. Pirmā daļa attiecas uz “statistikas un citiem papildu datiem”; turklāt daudzskaitlī minēti “pārraudzības mērķi” un norādītas jomas, uz kurām attiecas tādi pārraudzības mērķi, proti, pārrobežu veselības aprūpes sniegšana, nodrošinātā aprūpe, tās sniedzēji un pacienti, izmaksas un rezultāti. Šajā sakarā ir veikta samērā neskaidra, vispārīga atsauce uz datu aizsardzības tiesību aktiem, bet nav noteiktas konkrētas prasības par vēlāku veselības informācijas izmantošanu, kā minēts Direktīvas 95/46/EK 8. panta 4. punktā. Turklāt minētā panta otrajā daļā ir ietverts beznosacījumu pienākums vismaz reizi gadā pārsūtīt Komisijai lielus informācijas apjomus. Tā kā nav skaidras atsauces uz izvērtējumu par tādas nosūtīšanas nepieciešamību, šķiet, ka Kopienas likumdevējs pats ir noteicis vajadzību veikt tādu datu nosūtīšanu Komisijai.

EDAU ieteikumi

42.

Lai sekmīgi risinātu minētos jautājumus, EDAU sniedz vairākus ieteikumus; tie turpmāk izklāstīti kā pieci soļi grozījumu veikšanai.

1. solis – definēt veselības informāciju

43.

4. pantā ir definēti priekšlikumā lietotie galvenie termini. EDAU stingri iesaka minētajā pantā iekļaut “veselības informācijas” definīciju. Būtu jāpiemēro plaša “veselības informācijas” interpretācija, kā tā, kas minēta šā atzinuma II iedaļā (14. un 15. punktā).

2. solis – iekļaut īpašu pantu par datu aizsardzību

44.

EDAU arī stingri iesaka priekšlikumā iekļaut īpašu pantu par datu aizsardzību, kurā vienkārši un saprotami varētu izklāstīt vispārīgu privātuma aspektu. Tādā pantā a) būtu jāapraksta piederības un ārstniecības dalībvalstu pienākumi, cita starpā vajadzība pēc apstrādes drošības, un b) būtu jānorāda galvenās turpmākas attīstības jomas, proti, drošības saskaņošana un privātuma iekļaušana e-veselības programmās. Īpašus noteikumus minētajos jautājumos var veikt (ierosinātajā pantā) tā, kā turpmāk parādīts 3. un 4. solī.

3. solis – īpaši drošības saskaņošanas noteikumi

45.

Pēc 2. solī aprakstītā grozījuma EDAU iesaka Komisijai pieņemt mehānismu, ar ko valsts mērogā definē veselības informācijas kopēji pieņemamu drošības pakāpi, ņemot vērā šajā jomā pastāvošos tehniskos standartus. Tam vajadzētu būt ietvertam priekšlikumā. To, iespējams, varētu īstenot, izmantojot Komiteju procedūru, kā jau norādīts priekšlikuma 19. pantā, un to piemēro citām priekšlikuma daļām. Turklāt varētu izmantot papildu instrumentus attiecīgu pamatnostādņu izstrādei, iesaistot visas ieinteresētās puses, piemēram, 29. panta darba grupu un EDAU.

4. solis – iekļaut privātumu e-receptes veidnē

46.

14. pantā par citā dalībvalstī izsniegtu recepšu atzīšanu paredzēta Kopienas recepšu veidnes izstrāde, atbalstot e-recepšu saderību. Šo pasākumu pieņem, izmantojot Komiteju procedūru, kā noteikts priekšlikuma 19. panta 2. punktā.

47.

EDAU ierosina, lai iecerētajā e-receptes veidnē būtu ietverts privātums un drošība, pat tādas veidnes pamata semantiskajā definīcijā. To būtu skaidri jānorāda 14. panta 2. punkta a) apakšpunktā. Arī šajā gadījumā visu attiecīgo ieinteresēto pušu iesaiste ir ļoti svarīga. Šajā sakarā EDAU vēlas būt informēts par šo jautājumu un saistībā ar to veiktajām darbībām, izmantojot ierosināto Komiteju procedūru.

5. solis – vēlāka veselības informācijas izmantošana statistikas un pārraudzības nolūkiem

48.

Lai izvairītos no pārpratumiem, EDAU mudina precīzāk skaidrot jēdzienu “citi papildu dati” 18. panta 1. punktā. Turklāt minēto pantu būtu jāgroza tā, lai tajā būtu skaidrāka norāde uz prasībām par vēlāku veselības informācijas izmantojumu, kā paredzēts Direktīvas 95/46/EK 8. panta 4. punktā. Turklāt otrajā daļā paredzētajam pienākumam pārsūtīt visus datus Komisijai būtu jāpiemēro vajadzības izvērtējums par pārsūtīšanu likumīgiem mērķiem, kas pienācīgi precizēti jau iepriekš.

IV.   SECINĀJUMI

49.

EDAU vēlētos paust atbalstu ierosmēm uzlabot pārrobežu veselības aprūpes apstākļus. Tomēr viņš pauž bažas par faktu, ka EK ar veselības aprūpi saistītās ierosmes ne vienmēr ir labi koordinētas attiecībā uz informācijas un sakaru tehnoloģiju izmantošanu, privātumu un drošību, tādējādi kavējot vispārējas datu aizsardzības pieejas pieņemšanu veselības aprūpē.

50.

EDAU atzinīgi vērtē to, ka pašreizējā priekšlikumā ir ietverta atsauce uz privātumu. Tomēr, kā izklāstīts šā atzinuma III iedaļā, ir vajadzīgi vairāki grozījumi, lai nodrošinātu skaidras prasības gan ārstniecības, gan piederības dalībvalstīm, kā arī lai pienācīgi ietvertu pārrobežu veselības aprūpes datu aizsardzības aspektu:

4. pantā būtu jāiekļauj “veselības informācijas” definīcija, kurā ietverti visi personas dati, kam ir skaidra un cieša saistība ar personas veselības statusa aprakstu. Tam principā būtu jāietver medicīniska informācija, kā arī administratīvi un finanšu dati, kas saistīti ar veselību;

Stingri ieteicams iekļaut pantu par datu aizsardzību. Tādā pantā būtu skaidri jāizklāsta vispārējs redzējums, aprakstot piederības un ārstniecības dalībvalstu pienākumus, norādot galvenās turpmākas attīstības jomas, proti, drošības saskaņošana un privātuma integrācija, it īpaši e-veselības programmās;

Komisijai ir ieteikts saistībā ar šo priekšlikumu pieņemt mehānismu, ar ko valsts mērogā definē veselības informācijas kopēji pieņemamu drošības pakāpi, ņemot vērā šajā jomā pastāvošos tehniskos standartus. Būtu jāveicina arī papildu ierosmes, iekļaujot visas ieinteresētās personas, 29. panta darba grupu un EDAU;

Ir ieteikts jēdzienu “privātums plānojumā” iekļaut ierosinātajā Kopienas e-recepšu veidnē (arī semantiskā līmenī). To būtu skaidri jānorāda 14. panta 2. punkta a) apakšpunktā. EDAU vēlas būt informēts par šo jautājumu un par saistībā ar to veiktajām darbībām, izmantojot ierosināto Komiteju procedūru;

Ir ieteicams 18. pantā ietvert precīzāku formulējumu un nepārprotamu atsauci uz konkrētām prasībām attiecībā uz vēlāku veselības informācijas izmantošanu, kā minēts Direktīvas 95/46/EK 8. panta 4. punktā.

Briselē, 2008. gada 2. decembrī

Peter HUSTINX

Eiropas datu aizsardzības uzraudzītājs


(1)  COM(2008) 414 galīgā redakcija. Lūdzu, ņemiet vērā, ka tajā pašā dienā ir pieņemts arī papildu paziņojums – Kopienas regulējums par pacientu tiesību piemērošanu pārrobežu veselības aprūpē (COM (2008) 415 galīgā redakcija). Tomēr, tā kā minētais paziņojums ir diezgan vispārīgs, EDAU izvēlējās izskatīt direktīvas priekšlikumu.

(2)  Paziņots Komisijas darba programmā.

(3)  Komisijas Ieteikums (2008. gada 2. jūlijs) par elektronisko veselības karšu sistēmu pārrobežu sadarbspēju (izziņots ar dokumenta numuru C(2008) 3282), OV L 190, 18.7.2008, 37. lpp.

(4)  Paziņots Komisijas darba programmā.

(5)  Par to liecina fakts, ka 1. zemsvītras piezīmē minētajā paziņojumā nav atsauču uz privātumu vai datu aizsardzību; ar minēto paziņojumu ir paredzēts izklāstīt Kopienas noteikumus par pacientu tiesību piemērošanu pārrobežu veselības aprūpē.

(6)  Skatīt lietu 158/96, Kohll [1998] ECR I-1931, 34. punkts. Cita starpā skat. lietu C-157/99, Smits and Peerbooms [2001] ECR I-5473 un lietu C-385/99, Müller-Fauré and Van Riet [2003] ECR I-12403.

(7)  Skat. Eiropas Cilvēktiesību tiesa, 2008. gada 17. jūlijs, I v. Finland (pieteikums Nr. 20511/03), 38. punkts.

(8)  Skat. 29. panta darba grupas darba dokumentā par personas veselības datu apstrādi elektroniskās veselības kartēs (electronic health recordsEHR), 2007. gada februāris, WP 131, II.2. punkts. Par “personas datu” plašu nozīmi skat. – 29. panta darba grupas Atzinums 4/2007 par personas datu jēdzienu, WP 136.

(9)  Eiropas Padome, Ieteikums Nr. R(97)5 par medicīnas informācijas aizsardzību.

(10)  ISO 27799:2008 “Veselības informātika – informācijas drošības pārvaldība veselības jomā, izmantojot ISO/IEC 27002”.

(11)  Eiropas Cilvēktiesību tiesa, 2008. gada 17. jūlijs, I v. Finland (pieteikums Nr. 20511/03), 38. punkts.

(12)  E-veselības Eiropas Pētniecības telpas ziņojums “Ceļā uz Eiropas e-pētniecības telpas izveidi, Eiropas Komisija, Informācijas sabiedrība un plašsaziņas līdzekļi” (), 2007. gada marts, http://ec.europa.eu/information_society/activities/health/docs/policy/ehealth-era-full-report.pdf

(13)  Eiropas Parlamenta un Padomes Direktīva 1999/93/EK (1999. gada 13. decembris) par Kopienas elektronisko parakstu sistēmu, OV L 13 19.1.2000, 12.-20. lpp.

(14)  EDAU un ES Pētniecības un tehnoloģijas attīstība, politikas dokuments, EDAU, 2008. gada aprīlis, http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/Papers/PolicyP/08-04-28_PP_RTD_EN.pdf

(15)  Komisijas Ieteikums (2008. gada 2. jūlijs) par elektronisko veselības karšu sistēmu pārrobežu sadarbspēju (izziņots ar dokumenta numuru C(2008) 3282), OV L 190, 18.7.2008., 37. lpp.

(16)  Skat arī Direktīvas 95/46/EK 34. apsvērumu. Par šo punktu skat. arī 16. lpp. 29. panta darba grupas atzinumā par elektroniskām veselības kartēm (EHR), kas minēts 8. zemsvītras piezīmē.

(17)  OV C 295, 7.12.2007., 1. lpp.


6.6.2009   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 128/28


Otrais Eiropas Datu aizsardzības uzraudzītāja atzinums par pārskatīto Eiropas Parlamenta un Padomes Direktīvu 2002/58/EK par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (Direktīva par privāto dzīvi un elektronisko komunikāciju)

2009/C 128/04

EIROPAS DATU AIZSARDZĪBAS UZRAUDZĪTĀJS,

ņemot vērā Eiropas Kopienas dibināšanas līgumu un it īpaši tā 286. pantu,

ņemot vērā Eiropas Savienības Pamattiesību hartu un it īpaši tās 8. pantu,

ņemot vērā Eiropas Parlamenta un Padomes Direktīvu 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti,

ņemot vērā Eiropas Parlamenta un Padomes Direktīvu 2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē,

ņemot vērā Eiropas Parlamenta un Padomes Regulu (EK) Nr. 45/2001 (2000. gada 18. decembris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti, un it īpaši tās 41. pantu,

IR PIEŅĒMIS ŠO ATZINUMU.

I.   IEVADS

Pašreizējais stāvoklis

1.

Eiropas Komisija 2007. gada 13. novembrī ierosināja tiesību aktu, ar ko citastarp izdara grozījumus direktīvā par privātumu un elektronisku komunikāciju, ko parasti dēvē par ePrivātuma direktīvu (1) (turpmāk “ierosināts tiesību akts” vai “Komisijas ierosināts tiesību akts”). EDAU 2008. gada 10. aprīlī pieņēma atzinumu par Komisijas ierosināto tiesību aktu un nāca klajā ar ieteikumiem uzlabot ierosināto tiesību aktu, lai palīdzētu nodrošināt to, ka ierosinātie grozījumi cilvēkiem nodrošinātu cik vien iespējams labu privātuma un personas datu aizsardzību (“EDAU pirmais atzinums”) (2).

2.

EDAU sveica Komisijas ierosinājumu izveidot obligātu aizsargpasākumu pārkāpumu paziņošanas sistēmu, kas uzņēmumiem liktu paziņot cilvēkiem, ka viņu personas dati ir bojāti. Turklāt viņš arī pauda gandarījumu par jaunu noteikumu, kas ļauj juridiskām personām (piem., patērētāju apvienībām un interneta pakalpojumu nodrošinātājiem) celt tiesā prasību pret surogātpasta sūtījumu izplatītājiem, papildinot surogātpasta sūtījumu apkarošanas instrumentus.

3.

Parlamenta diskusijās pirms Eiropas Parlamenta pirmā lasījuma EDAU sniedza vēl dažus padomus – un saistībā ar jautājumiem, kas bija aktualizējušies ziņojumos, ar ko nāca klajā vispārējo pakalpojumu direktīvas un ePrivātuma direktīvas (3) pārskatīšanas jautājumos kompetentas Eiropas Parlamenta komitejas – ar piebildēm par dažiem konkrētiem jautājumiem (“piebildes”) (4). Piebildes galvenokārt attiecās uz jautājumiem saistībā ar datu plūsmu datu apstrādi un intelektuālā īpašuma tiesību aizsardzību.

4.

Eiropas Parlaments (“EP”) 2008. gada 24. septembrī pieņēma normatīvo rezolūciju par ePrivātuma direktīvu (“pirmais lasījums”) (5). EDAU pozitīvi vērtēja vairākus EP ierosinātus grozījumus, kas bija pieņemti pēc EDAU atzinuma un iepriekš minētajām piebildēm. Pie svarīgākiem grozījumiem piederēja pienākumu ziņot par aizsargpasākumu pārkāpumiem attiecināt arī uz informācijas sabiedrības pakalpojumu nodrošinātājiem (t. i., uzņēmumiem, kas darbojas internetā). EDAU sveica arī grozījumu, kas ļauj juridiskām un fiziskām personām celt prasības par visiem ePrivātuma direktīvas pārkāpumiem (ne tikai par surogātpasta sūtījumu noteikumu pārkāpumiem kā Komisijas ierosinātajā tiesību aktā). Pēc Parlamenta pirmā lasījuma Komisija pieņēma grozītu ierosinātu tiesību aktu par ePrivātuma direktīvu (turpmāk “Grozītais ierosinātais tiesību akts”) (6).

5.

Padome 2008. gada 27. novembrī panāca politisku vienošanos pārskatīt noteikumus par telekomunikāciju paketi, arī par ePrivātuma direktīvu, kas kļūs par Padomes Kopējo nostāju (“Kopējā nostāja”) (7). Kopējo nostāju darīs zināmu Eiropas Parlamentam saskaņā ar Eiropas Kopienas dibināšanas līguma 251. panta 2. punktu, un tas var nozīmēt, ka EP ierosinās grozījumus.

Vispārējs pārskats par Padomes nostāju

6.

Padome ir grozījusi būtiskus ierosinātā tiesību akta elementus un nav akceptējusi daudzus EP pieņemtos grozījumus. Tā kā Kopējā nostājā noteikti ir pozitīvi elementi, EDAU ir visnotaļ nobažījies par tās saturu kopumā, it īpaši tāpēc, ka Kopējā nostājā nav iestrādāti daži pozitīvi, EP ierosināti grozījumi, grozītais ierosinātais tiesību akts, un ar 29. panta darba grupas starpniecību publiskoti EDAU un Eiropas Datu aizsardzības iestāžu atzinumi (8).

7.

Ir noticis pretējais, vairākos gadījumos grozītais ierosinātais tiesību akts un EP ierosinātie grozījumi, kas pilsoņiem dotu aizsardzības līdzekļus, ir svītroti vai būtiski vājināti. Tādējādi tā līmeņa aizsardzība, kas cilvēkiem ir dota Kopējā nostājā, ir būtiski vājināta. Tāpēc EDAU tagad nāk klajā ar otru atzinumu cerībā, ka, ePrivātuma direktīvai atrodoties likumdošanas procesā, pieņems jaunus grozījumus, ar ko datu aizsardzības līdzekļus atjaunos.

8.

Otrā atzinumā uzmanība ir pievērsta dažiem būtiskiem aspektiem, un tajā nav atkārtoti visi EDAU pirmā atzinumā vai piebildēs izteiktie argumenti, kas joprojām ir spēkā. Šajā atzinumā konkrēti ir pārrunāti šādi jautājumi –

noteikumi par aizsargpasākumu pārkāpumu paziņošanu;

ePrivātuma direktīvas piemērošanas joma privātos un atklātībā pieejamos privātos tīklos;

datu plūsmu datu apstrāde drošības vajadzībām;

juridisku personu iespējas celt tiesvedību par ePrivātuma direktīvas pārkāpumiem.

9.

Pievēršoties iepriekš minētiem jautājumiem, Padomes Kopējā nostāja šajā atzinumā ir analizēta, salīdzinot ar EP pirmo lasījumu un Komisijas grozīto ierosināto tiesību aktu. Atzinumā ir iekļauti ieteikumi, kā vienkāršot ePrivātuma direktīvu un nodrošināt, lai direktīva arī turpmāk pietiekami aizsargātu cilvēku privātumu un personas datus.

II.   NOTEIKUMI PAR AIZSARGPASĀKUMU PĀRKĀPUMU PAZIŅOŠANU

10.

EDAU ir pārliecināts, ka ir jāizstrādā aizsargpasākumu pārkāpumu paziņošanas sistēma, kā iestādēm un cilvēkiem paziņot par viņu personas datu bojāšanu (9). Paziņojumi par aizsargpasākumu pārkāpumiem var palīdzēt cilvēkiem veikt vajadzīgos pasākumus, lai mazinātu iespējamu bojājumu radītos kaitējumus. Turklāt pienākums sūtīt paziņojumus, informējot par aizsargpasākumu pārkāpumiem, mudinās uzņēmumus uzlabot datu drošību un vairot to atbildību tiem uzticēto personas datu jomā.

11.

Komisijas grozītais ierosinātais tiesību akts, Eiropas Parlamenta pirmais lasījums un Padomes Kopējā nostāja liecina par trijām dažādām pašlaik izskatāmām pieejām aizsargpasākumu pārkāpumu paziņošanai. Katrai no trijām pieejām ir pozitīvi aspekti. Tomēr EDAU uzskata, ka visas minētās pieejas var uzlabot, un iesaka ņemt vērā še turpmāk aprakstītos ieteikumus, apsverot pēdējos soļus pirms aizsargpasākumu pārkāpumu paziņošanas sistēmas pieņemšanas.

12.

Analizējot trīs minētās aizsargpasākumu pārkāpumu paziņošanas sistēmas, vērā ir jāņem pieci būtiski aspekti i) kāda ir aizsargpasākumu pārkāpumu definīcija; ii) uz kādām struktūrām attiecas paziņošanas pienākums (“pienākuma aptvertās struktūras”); iii) kādi parametri nosaka, ka ir jāīsteno paziņošanas pienākums; iv) kā izvēlēties struktūru, kas noteiks, vai aizsargpasākumu pārkāpums atbilst parametriem, un v) kas saņem paziņojumu.

Pārskats pār Komisijas, Padomes un EP pieeju

13.

Gan Eiropas Parlaments, gan Komisija, gan Padome ir izvēlējusies dažādas pieejas, kā paziņot par aizsargpasākumu pārkāpumiem. EP pirmajā lasījumā grozīja sākotnējo Komisijas ierosinātajā tiesību aktā ietverto aizsargpasākumu pārkāpumu paziņošanas sistēmu (10). Saskaņā ar EP pieeju paziņošanas pienākums attiecas gan uz atklātībā pieejamu elektronisku komunikāciju pakalpojumu nodrošinātājiem, gan arī uz informācijas sabiedrības pakalpojumu nodrošinātājiem (“PPECS” un “ISSP”). Turklāt tāda pieeja paredz, ka par visiem personas datu režīma pārkāpumiem būtu jāziņo normatīvai vai kompetentai attiecīgas valsts iestādei (kopā – “iestādes”). Ja iestādēm būtu jānosaka, vai pārkāpums ir smags, tās prasītu PPEC un ISSP to uzreiz paziņot piemeklētajai personai. Ja pārkāpumi radītu tūlītējas un tiešas briesmas, PPECS un ISSP vispirms to paziņotu cilvēkiem, un tikai tad iestādēm, un negaidītu normatīvas iestādes lēmumu. Struktūrām, kas var iestādēm pierādīt, ka “ir piemēroti attiecīgi tehniskas aizsardzības pasākumi”, kas padara datus nelasāmus nevienam, kurš nav pilnvarots tiem piekļūt, nav pienākuma informēt patērētājus.

14.

Saskaņā ar Padomes pieeju paziņojumi ir jāsūta gan abonentiem, gan iestādēm, bet tikai tādos gadījumos, ja struktūra, uz ko attiecas pienākums, uzskata, ka pārkāpums rada nopietnu apdraudējumu abonenta privātumam (t. i., ir notikusi identitātes zādzība vai krāpniecība, miesas bojājumi, smagi pazemojumi vai reputācijas iedragāšana).

15.

Komisijas grozītajā ierosinātajā tiesību aktā ir palicis EP pienākums iestādēm paziņot par visiem pārkāpumiem. Tomēr pretstatā EP pieejai grozītajā ierosinātajā tiesību aktā ir iekļauts izņēmums paziņošanas prasībai – tā neattiecas uz attiecīgiem cilvēkiem, ja PPEC kompetentai iestādei pierāda, ka i) pārkāpuma dēļ “visnotaļ ir paredzams, ka” neradīsies nekāds ļaunums (t. i., saimnieciski zaudējumi, sociāls ļaunums vai identitātes zādzība) vai ii) datiem, uz ko attiecas pārkāpums, ir piemēroti “attiecīgi tehnoloģiskas aizsardzības pasākumi”. Tādējādi Komisijas pieejā ir iekļauta nodarītā ļaunuma analīze saistībā ar individuāliem paziņojumiem.

16.

Svarīgi ir ņemt vērā, ka saskaņā ar EP (11) un Komisijas pieeju tieši iestādēm ir uzlikts pienākums noteikt, vai pārkāpums ir smags un vai visnotaļ ir paredzams, ka tas nodarīs ļaunumu. Saskaņā ar Padomes pieeju lēmums, gluži pretēji, ir atstāts ieinteresētu struktūru ziņā.

17.

Gan Padomes, gan Komisijas pieeja attiecas tikai uz PPECS, un neattiecas uz ISSPs – kā paredzēts EP pieejā.

Aizsargpasākumu pārkāpumu definīcijas

18.

EDAU priecājas, ka trijos ierosinātos tiesību aktos ir viena un tā pati aizsargpasākumu pārkāpumu paziņošanas definīcija, ar ko saskaņā par pārkāpumiem atzīst “drošības pārkāpumus, kas izraisa nejaušu vai nelikumīgu personas datu iznīcināšanu, zudumu, pārveidi, neatļautu izpaušanu, vai nelikumīgu piekļuvi tiem, tos pārsūtot, glabājot vai citādi apstrādājot (...) ” (12).

19.

Še turpmāk būs norādīts, ka šī definīcija ir apsveicama, ciktāl tā ir pietiekami plaša, lai aptvertu lielāko daļu attiecīgo situāciju, kurās varbūt ir jāziņo par aizsargpasākumu pārkāpumiem.

20.

Pirmkārt, definīcijā ir aptverti gadījumi, kad trešā persona ir neatļauti piekļuvusi personas datiem, piemēram, ielaužoties serverī ar personas datiem un izgūstot minēto informāciju.

21.

Otrkārt, definīcija attiektos arī uz gadījumiem, ja personas dati ir pazaudēti vai darīti atklātībā zināmi, kaut arī neatļauta piekļuve vēl būtu jāpierāda. Pie tādiem gadījumiem piederētu situācijas, kad personas dati var būt pazaudēti (piem., CD-ROM, USB datu nesēju vai citu pārnēsājamu ierīču gadījumā), vai parasti lietotāji tos ir darījuši atklātībā pieejamus (darbinieku dati ar interneta starpniecību var nejauši kādu laiku atrasties atklātībā pieejamā vidē). Tā kā bieži vien nebūs pierādījumu, kas liecinātu, ka dati dažkārt var būt pieejami trešām personām, kam tas nav atļauts – vai arī tādas personas varētu tos, lietot, šķiet pareizi definīcijas darbības jomā iekļaut tādus gadījumus. Tātad EDAU iesaka paturēt šo definīciju. EDAU iesaka ietvert aizsargpasākumu pārkāpumu definīciju arī ePrivātuma direktīvas 2. pantā, jo tas labāk saderēs ar visu direktīvas struktūru un nodrošinās lielāku skaidrību.

Struktūras, uz ko vajadzētu attiecināt paziņošanas pienākumu

22.

Paziņošanas pienākums saskaņā ar EP pieeju attiecas gan uz PPECS, gan ISSPs. Tomēr saskaņā ar Padomes un Komisijas sistēmu tikai PPECS, piemēram, telekomunikāciju uzņēmumiem un interneta piekļuves nodrošinātājiem, būs pienākums paziņot cilvēkiem, ja aizsargpasākumu pārkāpumi izraisa personas datu bojājumus. Citās darbības jomās, piemēram, tiešsaistes bankām, tiešsaistes vairumtirgotājiem, tiešsaistes veselības aizsardzības nodrošinātājiem un citiem tāda pienākuma nav. Še turpmāk sīkāk aprakstītu iemeslu dēļ EDAU uzskata, ka no valstu politikas perspektīves būtiski svarīgi ir nodrošināt, lai uz informācijas sabiedrības dienestiem, pie kā pieder tiešsaistes uzņēmumi, tiešsaistes bankas, tiešsaistes veselības aizsardzības nodrošinātāji, utt., arī attiektos paziņošanas prasība.

23.

Pirmkārt, EDAU norāda, lai gan aizsargpasākumu pārkāpumi, kas uzliktu paziņošanas pienākumu, noteikti ir vērsti pret telekomunikāciju uzņēmumiem, tas pats attiecas uz citu tipu uzņēmumiem/pakalpojumu nodrošinātājiem. Var teikt, ka tiešsaistes vairumtirgotāji, tiešsaistes bankas, tiešsaistes aptiekas no aizsargpasākumu pārkāpumiem cietīs tikpat ļoti, ja ne vairāk kā telekomunikāciju uzņēmumi. Tāpēc apdraudējumu apsvērumi nesveras par labu tam, lai pārkāpumu paziņošanas prasība aprobežotos tikai ar PPECS. Vajadzību pēc plašākas pieejas pierāda citu valstu pieredze. Piemēram, gandrīz visos Savienoto Valstu štatos (pašlaik vairāk nekā 40 štatos) ir ieviesti aizsargpasākumu pārkāpumu paziņošanas likumi, kam ir plašāka piemērošanas joma un kas aptver ne tikai PPECS, bet visas struktūras, kuru rīcībā ir attiecīgi personas dati.

24.

Otrkārt, kaut gan pārkāpumi, kas skar tādus personas datus, ko parasti apstrādā PPECS, noteikti var ietekmēt cilvēku privātumu, tas pats – un varbūt pat vēl vairāk – attiecas uz tādu personas informāciju, ko apstrādā ISSP. Noteikti banku un citu finanšu iestāžu rīcībā var būt ļoti konfidenciāla informācija (piem., dati par banku kontiem), kuru atklājot, to var izmantot identitātes zādzībai. Tāpat arī ļoti diskrētas veselības stāvokļa informācijas atklāšana tiešsaistes dienestos cilvēkiem var ļoti kaitēt. Tālab tādi personas dati, ko var bojāt, prasa arī plašāku aizsargpasākumu pārkāpumu paziņošanas piemērojumu, un tā obligāti ir jāattiecina vismaz uz ISSP.

25.

Pret šī panta piemērošanas jomas paplašināšanu, t. i., pret to, lai šī prasība attiektos uz lielāku skaitu struktūru, vēršas, piesaucot dažus juridiskus aspektus. Konkrēti tas, ka ePrivātuma direktīvas darbības joma kopumā attiecas tikai uz PPECS, ir uzdots par šķērsli piemērot to arī ISSP.

26.

Šādā sakarā EDAU vēlas atgādināt, ka i) nav nekādu juridisku šķēršļu direktīvas darbības jomā iekļaut citus darbību veicējus, ne tikai PPECS. Kopienas likumdevējiem šajā ziņā ir pilnīga rīcības brīvība. ii) Ir citi precedenti, kad ePrivātuma direktīva ir piemērota citām struktūrām, ne tikai PPECS.

27.

Piemēram, 13. pants neattiecas tikai uz PPECS, bet uz visām uzņēmējsabiedrībām, kas izsūta nelūgtus paziņojumus, kas prasa, lai iepriekš būtu saņemta piekrišana tādus saņemt. Vēl turklāt ePrivātuma direktīvas 5. panta 3. punkts, kurā inter alia ir aizliegts lietotāju datoros glabāt informāciju, piemēram, sīkdatnes, uzliek saistības ne tikai PPECS, bet gan visiem, kas mēģina glabāt informāciju vai gūt piekļuvi informācijai, ko cilvēki glabā datoros. Vēl turklāt Komisija pašreizējā likumdošanas procesā ir ierosinājusi pat paplašināt 5. panta 3. punkta piemērojumu, ja līdzīgas tehnoloģijas (sīkdatnes/spiegu programmas) piegādā, izmantojot ne tikai elektroniskas saziņas sistēmas, bet arī visus citus iespējamus paņēmienus (nosūknējot datus internetā vai pārnesot ārējos datu glabātājos, piemēram, CD-ROM, USB pirkstiņos jeb ātrdarbīgās atmiņās, utt.). Visi minētie elementi ir labi, un tie būtu jāpatur, turklāt tie arī rada precedentus, kas ir nozīmīgi diskusijās par piemērojuma jomu.

28.

Vēl šajā likumdošanas procesā Komisija un EP, un droši vien arī Padome, turklāt ir ierosinājusi jaunu 6.6. panta a) punktu, par ko būs runāts še turpmāk un kas attiektos uz citām struktūrām nekā PPECS.

29.

Visbeidzot, ņemot vērā pilnībā pozitīvos elementus, kas ir atvasināti no pienākuma paziņot par aizsargpasākumu pārkāpumiem, ir paredzams, ka cilvēki gaidīs ieguvumu no tiem ne tikai tad, kad viņu personas datus būs bojājuši PPECS, bet arī ISSP. Cilvēki var vilties, ja, piemēram, nesaņems informāciju, kad tiešsaistes banka būs pazaudējusi viņu bankas konta informāciju.

30.

Īsi sakot, EDAU ir pārliecināts, ka aizsargpasākumu pārkāpumu paziņošanas jēga pilnībā būs īstenota tikai tad, ja gan PPECS, gan ISSP būs iekļauti pienākuma aptvertajās struktūrās.

Parastāko paziņojumu parametri

31.

Runājot par paziņojumu parametriem, kā būs izskaidrots še turpmāk, EDAU ir pārliecināts, ka grozītā ierosinātā tiesību akta parametrs “ir visnotaļ iespējams kaitēt” ir pareizākais no trijiem ierosinātiem standartiem. Tomēr ir svarīgi nodrošināt, lai “kaitēt” būtu pietiekami plaši izprasts jēdziens, kas attiektos uz visiem gadījumiem, kad vien būtu kaitēts cilvēku privātumam vai citām likumīgām interesēm. Citādā ziņā labāk būtu izveidot jaunu parametru, ar ko saskaņā paziņošana būtu obligāta “ja ir visnotaļ iespējams, ka pārkāpums cilvēkiem rada kaitējumus”.

32.

Iepriekšējā iedaļā ir ieskicēts, ka nosacījumi, ar ko saskaņā cilvēkiem ir jāsniedz paziņojumi (tos dēvē par “standartiem” jeb “parametriem”) EP, Komisijas un Padomes pieejā ir dažādi. Acīmredzot paziņojumu apjoms, ko cilvēki saņems, lielākoties būs atkarīgs no paziņojumu standartu jeb parametru kompleksa.

33.

Padomes un Komisijas sistēmā paziņojumi ir jāsūta, ja pārkāpums ir “smags abonenta privātuma pārkāpums” (Padome) un ja “ir visnotaļ iespējams, ka pārkāpuma dēļ notiks kaitējums patērētāju interesēm” (Komisija). EP sistēmā cilvēkiem paziņo tad, ja to nosaka “pārkāpuma smagums” (t. i., cilvēkiem ir jāpaziņo, ja pārkāpumu atzīst par “smagu”). Paziņošana nav vajadzīga, ja pārkāpumu par tādu neatzīst (13).

34.

EDAU to saprot tā – ja personas dati ir bojāti, var teikt, ka cilvēki, kam pieder dati, jebkādos apstākļos ir tiesīgi uzzināt par notikušo starpgadījumu. Tomēr ir visi iemesli apdomāt, vai tas ir pareizs risinājums, ņemot vērā citas intereses un citus apsvērumus.

35.

Ir norādīts, ka pienākums sūtīt paziņojumus ik reizi, kad personas dati ir bojāti, citiem vārdiem sakot, bez kādiem ierobežojumiem, var izraisīt to, ka paziņojumu ir pārāk daudz, un daudzo paziņojumu dēļ iestājas pagurums (“notice fatigue”), un tas varētu radīt intereses zudumu (desensitization). Kā še turpmāk būs aprakstīts, EDAU apzinās tāda argumenta svaru; un tomēr viņš grib uzsvērt, ka ir norūpējies par to, ka paziņojumu var būt pārāk daudz, un tas varēs liecināt par informācijas drošības prakses izgāšanos plašos mērogos.

36.

Kā iepriekš norādīts, EDAU saskata potenciālas negatīvas sekas tam, ka paziņojumu var būt pārāk daudz, un gribētu palīdzēt, lai tiesiskais regulējums, kas ir izstrādāts aizsargpasākumu pārkāpumu paziņošanai, nodrošinātu, ka tas nenotiek. Ja cilvēki bieži saņems paziņojumus par pārkāpumiem pat tādos gadījumos, ja nekādu negatīvu seku, kaitējuma vai briesmu nav, var izrādīties, ka mēs graujam vienu no svarīgākiem paziņojumu sniegšanas mērķiem, jo cilvēki ironiskā kārtā var ignorēt paziņojumus tādos gadījumos, kad viņiem patiesībā vajadzētu kaut ko darīt, lai aizsargātos. Panākt pareizo līdzsvaru, sniedzot nozīmīgus paziņojumus tālab ir svarīgi, jo, ja cilvēki nereaģēs uz saņemtajiem paziņojumiem, paziņošanas sistēmu efektivitāte būs ļoti maza.

37.

Lai pieņemtu pareizus parametrus (kas novērstu to, ka paziņojumu var būt pārāk daudz), līdztekus apsvērumiem par to, kas var izraisīt paziņojumu sūtīšanu, ir jāapsver citi faktori, it īpaši – jādefinē aizsargpasākumu pārkāpumi un tas, uz kādu informāciju attiecas paziņošanas pienākums. Šajā sakarā EDAU norāda, ka saskaņā ar trijām ierosinātām pieejām paziņošanas apjomi var būt lieli, ņemot vērā plašo aizsargpasākumu pārkāpumu definīciju, par ko bija runāts iepriekš. Tādas rūpes par to, ka paziņojumu var būt pārāk daudz, pamato arī tas, ka aizsargpasākumu pārkāpumu definīcija aptver visu tipu personas datus. Lai gan EDAU uzskata, ka tāda pieeja (neaprobežoties ar tāda tipa personas datiem, par ko ir jāpaziņo) ir pareiza – pretstatā citām pieejām, piemēram, ASV likumiem, kuros prasības ir koncentrētas uz informācijas diskrētumu – tas vienalga ir vērā ņemams faktors.

38.

Ņemot vērā iepriekš minēto, un neaizmirstot arī dažādos mainīgos lielumus, EDAU atzīst par pareizu izstrādāt tādu standartu vai parametru, kas noteiktu, kādos gadījumos paziņošana vairs nav obligāta.

39.

Ierosinātie standarti t. i., ja pārkāpums “nopietni apdraud privātumu” vai “ir visnotaļ paredzams, ka tas nodarīs ļaunumu”, rada iespaidu, ka abos gadījumos ir runāts arī, piemēram, par kaitējumu sabiedriskam stāvoklim vai reputācijai un par saimnieciskiem zudumiem. Piemēram, tādi standarti pievērstos gadījumiem, kad identitātes zādzība būtu iespējama atklātībā nepieejamu identifikatoru, piemēram, kāda cilvēka pases numura vai arī privātās dzīves informācijas atklāšanas dēļ. EDAU sveic tādu pieeju. Viņš ir pārliecināts, ka ieguvumi, ko dod aizsargpasākumu pārkāpumu paziņošana, nebūtu pilnīgi, ja paziņošanas sistēma attiektos tikai uz pārkāpumiem, kas rada saimnieciskus kaitējumus.

40.

Izvēloties no diviem ierosinātiem standartiem, EDAU dod priekšroku Komisijas standartam “visnotaļ ir paredzams, ka tas nodarīs ļaunumu”, jo tāds standarts cilvēkiem nodrošinās pienācīgāku aizsardzību. Paziņot par pārkāpumiem ir daudz pamatotāk, ja par tiem “visnotaļ ir paredzams, ka tie nodarīs ļaunumu” cilvēku privātumam nekā tad, ja tie tikai “radīs nopietnus draudus”, ka tāds kaitējums varētu notikt. Tādējādi, ja paziņošana attieksies tikai uz tādiem pārkāpumiem, kas radīs nopietnus draudus cilvēku privātumam, tas jūtami ierobežos tādu pārkāpumu skaitu, par ko būtu jāziņo. Ja paziņošana attieksies tikai uz tādiem pārkāpumiem, tas dotu pārāk lielu rīcības brīvību PPECS un ISSP – no tāda viedokļa, vai vispār ir jāpaziņo – jo tiem daudz vieglāk būtu pamatot secinājumu, ka “nopietni apdraudējumi” nepastāv, un nekāds kaitējums “visnotaļ nav paredzams”. Kaut gan noteikti ir jāvairās no tā, ka paziņojumu varētu būt pārāk daudz, kamēr nav pierādīts pretējais, tas būtu jālīdzsvaro ar cilvēku privātuma interešu aizsardzību, un cilvēki būtu jāaizsargā vismaz tad, ja visnotaļ ir paredzams, ka pārkāpums viņiem kaitēs. Vēl turklāt izteiksme “visnotaļ ir paredzams, ka” praksē būs efektīvāka – gan pienākuma aptvertām struktūrām, gan kompetentām iestādēm, jo tā prasa objektīvi izvērtēt katru gadījumu un attiecīgi tā kontekstu.

41.

Turklāt personas datu pārkāpumi var nodarīt tādu kaitējumu, ko ir grūti aprēķināt, un kas katrā konkrētā gadījumā var būt citāds. Patiesi, viena un tā paša tipa datu atklāšana atkarībā no individuāliem apstākļiem var nodarīt nopietnu kaitējumu vienam cilvēkam, bet daudz mazāku citam. Nebūtu pareizi noteikt tādus parametrus, kas prasītu, lai kaitējums būtu taustāms, nopietns vai smags. Piemēram, Padomes pieeja, kas prasa, lai pārkāpums nopietni skartu kāda privātumu, cilvēkiem nodrošinātu nepietiekamu aizsardzību, jo parametri prasa, lai privātumam nodarītās sekas būtu “nopietnas”. Tas arī paver iespējas subjektīviem vērtējumiem.

42.

Lai gan formulējums “ir visnotaļ iespējams kaitēt” šķiet piemērots aizsargpasākumu pārkāpumu paziņošanas parametrs, EDAU tomēr ir nobažījies, ka tas var neaptvert visus gadījumus, kad cilvēkiem būtu jāpaziņo par notikušo, t. i., visos gadījumos, kad negatīvas sekas cilvēku privātumam vai citām likumīgām tiesībām ir visnotaļ iespējamas. Tāpēc varētu apsvērt parametrus, kas prasītu paziņošanu, “ja visnotaļ ir paredzams, ka pārkāpums cilvēkiem izraisīs nelabvēlīgas sekas”.

43.

Tādiem alternatīviem parametriem ir papildu priekšrocība – tie saskan ar ES tiesību aktiem datu aizsardzības jomā. Patiesi, datu aizsardzības direktīvā bieži ir pieminētas nelabvēlīgas sekas datu subjektu tiesībām un brīvībām. Piemēram, 18. pants un 49. apsvērums, kurā ir runāts par pienākumu datu aizsardzības iestādēs reģistrēt datu apstrādes darbības, ļauj dalībvalstīm šo pienākumu nepiemērot gadījumos, ja apstrādē “nav visnotaļ paredzams, ka tā varētu nelabvēlīgi iespaidot datu subjektu tiesības un brīvības”. Līdzīgs formulējums ir lietots Kopējās nostājas 16.6. pantā, lai juridiskas personas varētu celt prasības pret surogātpasta sūtījumu izplatītājiem.

44.

Turklāt, ņemot vērā iepriekš minēto, varētu arī gaidīt, ka pienākuma aptvertās struktūras, un it īpaši iestādes, kas ir kompetentas īstenot datu aizsardzības tiesību aktus, būtu labāk iepazinušās ar iepriekš minētiem parametriem, un tādējādi palīdzētu tos izvērtēt no viedokļa – vai kāds konkrēts pārkāpums atbilst prasītam parametram.

Struktūra, kas nosaka, vai aizsargpasākumu pārkāpums atbilst parametriem

45.

Saskaņā ar EP pieeju (izņemot tiešu briesmu gadījumus) un Komisijas grozīto ierosināto tiesību aktu no dalībvalstu iestādēm būs atkarīgs, kā noteikt, vai aizsargpasākumu pārkāpums atbilst parametriem, kas aktivē pienākumu sūtīt paziņojumus attiecīgiem cilvēkiem.

46.

EDAU uzskata, ka iestādes iesaistei ir svarīga nozīme, nosakot, vai parametri ir ievēroti, jo tas savā ziņā garantē pareizu likumu piemērojumu. Tāda sistēma var novērst to, ka uzņēmumi nepareizi izvērtē pārkāpumu un uzskata, ka tas nekaitē/nav smags, un tādējādi izvairās no paziņošanas, lai gan patiesībā par to būtu jāpaziņo.

47.

No otras puses, EDAU ir norūpējies par to, ka tāds režīms, kas iestādēm prasītu izvērtējumu, varētu nebūt praktisks, un to būtu grūti piemērot, vai arī izrādītos, ka praksē tas drīzāk kaitē nekā palīdz. Tādējādi tas pat var mazināt cilvēku datu aizsardzības līdzekļu efektivitāti.

48.

Patiesi, saskaņā ar tādu pieeju ir paredzams, ka datu aizsardzības iestādes slīks aizsargpasākumu pārkāpumu paziņojumos, un tām var rasties nopietnas grūtības veikt vajadzīgos izvērtējumus. Ir svarīgi atcerēties, ka, lai izvērtētu, vai pārkāpums atbilst parametriem, iestādēm vajadzēs saņemt pietiekami daudz slēptas informācijas, kas bieži ir sarežģīta tehniska informācija, kura būs jāapstrādā ļoti ātri. Ņemot vērā izvērtēšanas grūtības un to, ka dažu iestāžu resursi ir ierobežoti, EDAU ir nobažījies, ka iestādēm ļoti grūti būs veikt šo pienākumu, un tas var atņemt resursus citām svarīgām prioritātēm. Turklāt tāda sistēma var iestādēm uzkraut lieku nastu; patiesi, ja tās nolemj, ka pārkāpums nav smags, un tomēr cilvēkiem ir nodarīts kaitējums, potenciāli no iestādes varētu prasīt atbildību.

49.

Iepriekš minētās grūtības kļūst vēl lielākas, ja ņem vērā to, ka laiks ir svarīgs faktors, kā mazināt apdraudējumus, ko rada aizsargpasākumu pārkāpumi. Ja iestādes nespēj izvērtējumu pabeigt ļoti īsā laikā, papildu laiks, kas iestādēm ir vajadzīgs, lai veiktu izvērtējumus, var palielināt attiecīgiem cilvēkiem nodarīto kaitējumu. Tālab tāds papildu pasākums, ar ko ir paredzēts cilvēkiem nodrošināt lielāku aizsardzību, smieklīgā kārtā var samazināt aizsardzību salīdzinājumā ar sistēmām, kas izmanto tiešu paziņošanu.

50.

Minēto iemeslu dēļ EDAU uzskata, ka labāk būtu izveidot sistēmu, kā iesaistītām struktūrām izvērtēt, vai pārkāpums atbilst parametriem, kā paredzēts Padomes pieejā.

51.

Tomēr, lai izvairītos no iespējamas ļaunprātīgas izmantošanas, piemēram, struktūras neatteiktos no paziņošanas tādos apstākļos, kad noteikti ir jāpaziņo, ir ļoti svarīgi iekļaut dažus še turpmāk aprakstītos datu aizsardzības līdzekļus.

52.

Pirmkārt, tas, ka pienākuma aptvertām struktūrām ir jānosaka, vai tām ir jāsūta paziņojums, protams, tām uzliek arī pienākumu prasīt obligāti paziņot iestādēm par visiem pārkāpumiem, kas atbilst prasītajiem parametriem. No ieinteresētām struktūrām tādos gadījumos būtu jāprasa informēt iestādes par notikušo pārkāpumu un iemesliem, kāpēc tās ir pieņēmušas attiecīgu lēmumu par paziņojumu, kā arī paziņojuma saturs.

53.

Otrkārt, iestādēm ir jāuztic uzdevums – nopietna pārraudzība. Veicot šo uzdevumu, iestādēm ir jāļauj – bet nevis jāuzliek pienākums – izskatīt pārkāpuma apstākļus un prasīt tādas korektīvas darbības, kas varētu būt vajadzīgas (14). Pie tā būtu jāpieder ne tikai paziņojumi cilvēkiem (ja tas nav jau darīts), bet arī spējas uzlikt pienākumu darboties tā, lai novērstu turpmākus pārkāpumus. Iestādēm šajā ziņā būtu jāpiešķir efektīvas pilnvaras un resursi, un iestādēm ir jādod vajadzīgā rīcības brīvība, lai pieņemtu lēmumus, kad reaģēt uz paziņojumiem par aizsargpasākumu pārkāpumiem. Citiem vārdiem sakot, tas ļautu iestādēm būt selektīvām un izmeklēt, piemēram, plašu, patiesi postīgu aizsargpasākumu pārkāpumu, pārbaudīt un nodrošināt likumos ietverto prasību ievērošanu.

54.

Lai sasniegtu iepriekš minēto, līdztekus, piemēram, ePrivātuma direktīvas 15.a.3. pantā un datu aizsardzības direktīvā atzītām pilnvarām, EDAU iesaka iespraust šādu formulējumu “Ja abonentiem vai attiecīgiem cilvēkiem vēl nav paziņots, kompetenta attiecīgas valsts iestāde, apsvērusi pārkāpuma būtību, var prasīt, lai to dara PPECS vai ISSP”.

55.

Turklāt EDAU iesaka EP un Padomei apliecināt EP ierosinātos pienākumus (122. grozījums, 4.1.a pants) struktūrām savās sistēmās un tajos personas datos, ko tās ir paredzējušas apstrādāt, veikt apdraudējumu ekspertīzi un to identifikāciju. Saskaņā ar šo pienākumu, struktūras izstrādā konkrēti piemērotas un precīzas drošības pasākumu definīcijas, ko īstās reizēs piemērot, un kam būtu jābūt iestāžu rīcībā. Ja notiek aizsargpasākumu pārkāpums, tāds pienākums palīdzēs pienākuma aptvertām struktūrām – un pēc tam arī iestādēm kā pārraudzītājām – noteikt, vai informācijas bojājums var cilvēkiem radīt kaitīgas sekas vai kaitējumu.

56.

Treškārt, pienākums, kas ir uzlikts pienākuma aptvertām struktūrām – pieņemt lēmumus par to, vai tām ir jāpaziņo cilvēkiem, ir jāpapildina ar pienākumu uzturēt sīku un pilnīgu iekšēju revīziju uzskaiti, kurā būtu aprakstīti visi notikušie pārkāpumi un visi paziņojumi par tiem, kā arī veiktie pasākumi, lai izvairītos no turpmākiem pārkāpumiem. Iekšēju revīziju uzskaitei ir jābūt iestāžu rīcībā, lai to varētu pārskatīt un, iespējams, izmeklēt. Tas ļaus iestādēm veikt pārraudzību. To varētu nodrošināt, pieņemot apmēram šādu formulējumu – “PPECS un ISSP patur un uztur pilnīgu un sīku uzskaiti par visiem notikušiem aizsargpasākumu pārkāpumiem, ar tiem saistītu svarīgu tehnisku informāciju un to, kas ir darīts, lai labotu stāvokli. Uzskaita arī atsauces par visiem paziņojumiem, kas ir izdoti abonentiem vai attiecīgiem cilvēkiem un kompetentām attiecīgu valstu iestādēm, arī to datumu un saturu. Pēc lūguma kompetentai attiecīgas valsts iestādei uzrāda uzskaiti.”

57.

Protams, lai nodrošinātu konsekvenci minēto parametru īstenošanā, kā arī citu svarīgu aizsargpasākumu pārkāpumu paziņošanas sistēmas aspektus, piemēram, paziņojumu formātu un procedūras, pareizi būtu Komisijai, konsultējoties ar EDAU, 29. panta darba grupu un svarīgām ieinteresētām personām, paredzēt tehniskus īstenošanas pasākumus.

Paziņojumu saņēmēji

58.

Runājot par paziņojumu saņēmējiem, EDAU dod priekšroku EP un Komisijas formulējumiem, nevis Padomes formulējumiem. Patiesi, EP vārda “abonenti” vietā izmanto vārdu “lietotāji”. Komisija lieto “abonenti” un “attiecīgi cilvēki”. Gan EP, gan Komisijas formulējumos kā paziņojumu saņēmēji ir iekļauti ne tikai konkrētā brīža abonenti, bet arī izbijuši abonenti un trešās personas, piemēram, lietotāji, kas sadarbojas ar dažām pienākuma aptvertām struktūrām, neko neabonējot. EDAU sveic tādu pieeju un aicina EP un Padomi to paturēt.

59.

Tomēr EDAU norāda uz vairākām terminoloģiskām nekonsekvencēm EP pirmajā lasījumā, un tās būtu jānovērš. Piemēram, vārds “abonenti” gandrīz visur, bet ne gluži visur ir aizstāts ar vārdu “lietotāji”, un citos gadījumos – ar vārdu “patērētāji.” Tas būtu jāsaskaņo.

III.   ePRIVĀTUMA DIREKTĪVAS PIEMĒROŠANAS JOMA – VALSTU TĪKLI UN PRIVĀTI TĪKLI

60.

Pašreizējās ePrivātuma direktīvas 3.1 pantā ir paredzēts izveidot struktūras, uz ko direktīva attiecas galvenokārt, t. i., struktūras, kas apstrādā datus “saistībā ar” atklātībā pieejamu elektronisku komunikācijas pakalpojumu sniegšanu valstu tīklos (še iepriekš tie ir dēvēti par “PPECS – public electronic communication services”) (15). PPECS darbības, piemēram, ir piekļuves nodrošināšana internetam, informācijas pārraide pa elektroniskiem tīkliem, mobilie sakari un telefonsakari, utt.

61.

EP pieņēma 121. grozījumu, lai grozītu Komisijas ierosinātā tiesību akta 3. pantu, ar ko saskaņā ePrivātuma direktīvas piemērošanas joma ir paplašināta, tajā iekļaujot “personas datu apstrādi saistībā ar atklātībā pieejamu Kopienas elektronisko komunikāciju pakalpojumu sniegšanu valstu tīklos un privātos komunikāciju tīklos, kā arī atklātībā pieejamos privātos tīklos, (...)” (ePrivātuma direktīvas 3.1. pants). Diemžēl Padome un Komisija nav uzskatījusi par iespējamu pieņemt šo grozījumu, un tālab nav iestrādājusi šo pieeju Kopējā nostājā un grozītajā ierosinātajā tiesību aktā.

ePrivātuma direktīvas piemērojums atklātībā pieejamos privātos tīklos

62.

Še turpmāk izskaidrotu iemeslu dēļ un palīdzot veidot konsensu, EDAU aicina paturēt 121. grozījuma būtību. Turklāt EDAU ierosina iekļaut tādu grozījumu, kas vēl vairāk palīdzētu skaidrot to, uz kādu tipu pakalpojumiem attiektos paplašinātā darbības joma.

63.

Privātus tīklus bieži lieto, lai nodrošinātu elektroniskus komunikāciju pakalpojumus, piemēram interneta piekļuvi nenoteiktam skaitam cilvēku, kas potenciāli varētu būt liels. Tā notiek, piemēram, interneta kafejnīcu nodrošinātā interneta piekļuvē, kā arī viesnīcās, restorānos, lidostās, vilcienos un citādos atklātībā pieejamos iestādījumos iekārtotos Wi-Fi punktos, kur tādus pakalpojumus bieži vien sniedz kā papildinājumu citiem pakalpojumiem (dzērieniem, miteklim, utt.).

64.

Visos iepriekš minētos piemēros komunikāciju pakalpojumi, t. i., interneta piekļuve, ir darīti atklātībā pieejami nevis kādas valsts tīklos, bet gan tīklos, ko var uzskatīt par privātiem, t. i., privāti apsaimniekotos tīklos. Turklāt, lai gan iepriekš minētos gadījumos komunikāciju pakalpojumus sniedz sabiedrībai, tā kā lietotais tīkls ir privāts, nevis atklātībā pieejams, uz tādu pakalpojumu sniegšanu droši vien neattiecas visa ePrivātuma direktīva vai vismaz daži tās panti (16). Tādējādi tādos gadījumos nav aizsargātas cilvēku pamattiesības, kas ir garantētas ePrivātuma direktīvā, un lietotājiem rodas dažāds juridisks stāvoklis, no kuriem vieni interneta piekļuves pakalpojumiem piekļūst pa attiecīgu valstu telekomunikāciju līdzekļiem, bet citi – pa privātiem tīkliem. Tā notiek, lai gan cilvēku privātumam un personas datiem visos šajos gadījumos apdraudējums ir tikpat liels kā tad, kad pakalpojumu sniegšanai izmanto kādas valsts tīklus. Īsi sakot, nešķiet, ka būtu kāds pamatojums, kas saskaņā ar komunikāciju pakalpojumu direktīvu attaisnotu to, ka attieksme pret privātos tīklos sniegtiem pakalpojumiem ir citāda salīdzinājumā ar tādiem, ko sniedz valstu tīklos.

65.

Tālab EDAU atbalstītu grozījumu, piemēram, EP ierosināto 121. grozījumu, ar ko saskaņā ePrivātuma direktīva attiektos arī uz personas datu apstrādi saistībā ar atklātībā pieejamu elektronisku komunikāciju pakalpojumu sniegšanu privātos komunikāciju tīklos.

66.

EDAU tomēr apzinās, ka tāds formulējums varētu izraisīt neparedzamas un, iespējams, negribētas sekas. Patiesi, to vien, ka privāti tīkli ir pieminēti, varētu interpretēt tā, lai aptvertu gadījumus, kādos direktīvas piemērojums noteikti nav paredzēts. Piemēram, varētu apgalvot, ka tieša vai stingra šāda formulējuma interpretācija varētu attiecināt direktīvu uz tādu māju īpašniekiem, kurās ir uzstādīts Wi-Fi  (17).– kas ļauj tīklam pievienoties visiem, kuri ir iekārtas darbības rādiusā (parasti – ir mājās) – kaut arī 121. grozījumā tas nav iecerēts. Lai no tā izvairītos, EDAU ierosina pārfrāzēt 121. grozījumu, ePrivātuma direktīvas piemērošanas jomā iekļaujot “personas datu apstrādi saistībā ar atklātībā pieejamu Kopienas elektronisko komunikāciju pakalpojumu sniegšanu valstu tīklos vai atklātībā pieejamos privātos komunikāciju tīklos, ...”

67.

Tas palīdzētu padarīt skaidrāku to, ka ePrivātuma direktīva attieksies tikai uz tādiem privātiem tīkliem, kas ir atklātībā pieejami. Piemērojot ePrivātuma direktīvu tikai atklātībā pieejamiem privātiem tīkliem (nevis jebkuram privātam tīklam), ir noteikts robežlielums, lai direktīva aptvertu tikai komunikācijas pakalpojumus, ko sniedz privātos tīklos, kas ir ar nodomu darīti pieejami sabiedrībai. Tāds formulējums vēl vairāk palīdzēs uzsvērt to, ka privātu tīklu pieejamība sabiedrības locekļiem ir svarīgākais faktors, lai noteiktu, uz ko direktīva attiecas (līdztekus noteikumam par atklātībā pieejamiem komunikāciju pakalpojumiem). Citiem vārdiem sakot, neatkarīgi no tā, vai tīkls ir valsts vai privāts tīkls, ja tas ir apzināti darīts sabiedrībai pieejams, lai nodrošinātu atklātībā pieejamus komunikāciju pakalpojumus, piemēram, piekļuvi internetam – kaut arī tāds pakalpojums papildina kādu citu (piem., mitekli viesnīcā), uz tāda tipa pakalpojumiem/tīkliem attiektos ePrivātuma direktīva.

68.

EDAU norāda, ka še iepriekš atbalstītā pieeja, ar ko saskaņā ePrivātuma direktīvu piemēro atklātībā pieejamiem privātiem tīkliem, atbilst pieejai, ko ir pieņēmušas vairākas dalībvalstis, kur iestādes tāda tipa pakalpojumus, kā arī pakalpojumus, ko sniedz gluži privāti tīkli, jau uzskata par ePrivātuma direktīvas piemērošanas jomā īstenojamiem attiecīgas valsts noteikumiem (18).

69.

Vairojot juridisku skaidrību par struktūru, ko aptver jaunā darbības joma, varbūt vajadzētu ePrivātuma direktīvā iekļaut grozījumu, lai definētu “atklātībā pieejamus privātus tīklus”, un tas varētu būt šāds – “atklātībā pieejami privāti tīkli ir privāti apsaimniekoti tīkli, kam sabiedrības locekļi, pieņemot attiecīgus noteikumus, parasti var neierobežoti piekļūt vai nu par maksu, vai arī kopā ar citiem pakalpojumiem vai piedāvājumiem.”

70.

Praksē iepriekš minētā pieeja nozīmētu to, ka būtu aptverti arī privāti tīkli viesnīcās un citās iestādēs, kur sabiedrības locekļu piekļuvi internetam nodrošina ar privātu tīklu starpniecību. Un otrādi, nebūtu aptverta komunikāciju pakalpojumu sniegšana gluži privātos tīklos, kur pakalpojumi ir ierobežoti mazām, konkrētām cilvēku grupām. Tālab, piemēram, direktīva neattiektos uz virtuāliem privātiem tīkliem un patērētāju mājām, kur ir uzstādītas Wi-Fi iekārtas. Tāpat tā neattiektos uz pakalpojumiem, ko sniedz gluži korporatīvi tīkli.

Privāti tīkli ePrivātuma direktīvas piemērošanas jomā

71.

Še iepriekš ierosināto privāto tīklu svītrošanu per se vajadzētu uzskatīt par pagaidu pasākumu, par ko vēl vajadzētu debatēt. Patiesi, tā kā direktīva no vienas puses rada sekas privātumam, jo tā neattiecas ne uz vienu gluži privātu tīklu un, no otras puses, tā skar daudzus cilvēkus, kas parasti piekļūst internetam pa korporatīviem tīkliem, nākotnē to vajadzētu apsvērt atkārtoti. Tāpēc, un lai veicinātu debates par šo tematu, EDAU iesaka ePrivātuma direktīvā iekļaut apsvērumu, ar ko saskaņā Komisija atklāti konsultētos par ePrivātuma direktīvas piemērojumu visiem privātiem tīkliem – ņemot vērā EDAU, datu aizsardzības iestāžu un citu svarīgu ieinteresētu personu devumu. Turklāt apsvērumā varētu īpaši norādīt, ka pēc atklātajām konsultācijām Komisijai vajadzētu ierosināt attiecīgu tiesību aktu, lai paplašinātu vai ierobežotu to struktūru tipu skaitu, uz ko vajadzētu attiekties ePrivātuma direktīvai.

72.

Līdztekus iepriekš minētajam dažādi ePrivātuma direktīvas panti būtu attiecīgi jāgroza, lai līdztekus valstu tīkliem visos noteikumos par darbībām būtu skaidri piesaukti atklātībā pieejami privāti tīkli.

IV.   DATU PLŪSMU APSTRĀDE DROŠĪBAS VAJADZĪBĀM

73.

Likumdošanas procesā, kas ir saistīts ar ePrivātuma direktīvas pārskatīšanu, uzņēmumi, kuri sniedz drošības pakalpojumus, apgalvoja, ka ePrivātuma direktīvā ir jāiestrādā pants, ar ko likumīgi būtu atļauts vākt datu plūsmu datus, lai tiešsaistē garantētu efektīvu drošību.

74.

Tāpēc EP iekļāva 181. grozījumu, radot jaunu – 6.6. panta a) punktu – kurā būtu skaidri atļauts apstrādāt datu plūsmu datus drošības vajadzībām – “neskarot atbilstību citiem noteikumiem, kas nav ietverti Direktīvas 95/46/EK 7. pantā un šīs direktīvas 5. pantā, likumīgās datu apstrādātāju interesēs var apstrādāt datu plūsmu datus, lai īstenotu tehniskus tīklu un informācijas drošības pasākumus saskaņā ar 4. panta c) apakšpunktu Eiropas Parlamenta un Padomes Regulā (EK) Nr. 460/2004 (2004. gada 10. marts), ar ko izveido Eiropas Tīklu un informācijas drošības aģentūru, lai garantētu atklātībā pieejamu elektronisko sakaru pakalpojumu, atklātībā pieejamu vai privātu elektronisku sakaru tīklu, informācijas sabiedrības pakalpojumu vai ar tiem saistītu termināliekārtu vai elektronisku sakaru sistēmu drošību, izņemot gadījumus, ja datu subjektu pamattiesības un brīvības ir svarīgākas par tādām interesēm. Datu apstrādei ir jāaprobežojas ar to, kas obligāti ir vajadzīgs tādām aizsardzības darbībām.”

75.

Komisijas grozītā ierosinātā tiesību aktā šis grozījums būtībā ir pieņemts, bet no tā ir svītrota svarīga klauzula, ar ko paredzēts nodrošināt to, ka citi direktīvas panti būtu jārespektē – ir svītrota klauzula, kas skan – “neskarot (...) šīs direktīvas ...”). Padome pieņēma pārstrādātu versiju, sperot vēl soli tālāk svarīgu aizsargpasākumu atšķaidīšanā un atsverot 181. grozījumā iestrādātās intereses ar šādu formulējumu “datu plūsmu datus var apstrādāt, ciktāl tas ir obligāti vajadzīgs, lai nodrošinātu (...) tīklu un informācijas drošību, kā noteikts 4.(c) pantā Eiropas Parlamenta un Padomes Regulai (EK) Nr. 460/2004 (2004. gada 10. marts), ar ko izveido Eiropas Tīklu un informācijas drošības aģentūru.”

76.

Še turpmāk būs sīkāk skaidrots, kāpēc 6.6. panta a) punkts nav vajadzīgs un to var izmantot ļaunprātīgi, it īpaši, ja to pieņem tādā formā, kurā nav iekļauti svarīgi aizsardzības līdzekļi, klauzulas par citu direktīvas pantu respektēšanu un interešu līdzsvarošanu. Tāpēc EDAU iesaka atteikties no šī panta vai vismaz nodrošināt, lai visos pantos, kas attiecas uz šo jautājumu, būtu iekļauti to pašu tipu aizsardzības līdzekļi, kuri ir iekļauti EP ierosinātajā 181. grozījumā.

Juridisks pamatojums datu plūsmu datu apstrādei, ko saskaņā ar pašreizējiem datu aizsardzības jomā pieņemtiem tiesību aktiem piemēro elektroniskiem komunikāciju pakalpojumiem un citiem datu apstrādātājiem

77.

Tas, ciktāl atklātībā pieejamu elektronisku komunikāciju pakalpojumu nodrošinātāji var likumīgi apstrādāt datu plūsmu datus, ir normēts ePrivātuma direktīvas 6. pantā, kurā datu plūsmu datu apstrāde ir ierobežota ar dažām vajadzībām, piemēram, rēķiniem, savstarpējiem savienojumiem un jaunu pakalpojumu laišanu tirgū. Apstrāde var notikt vienīgi īpašos apstākļos, piemēram, ar cilvēku piekrišanu – gadījumos, kad tirgū laiž jaunus pakalpojumus. Turklāt citi datu apstrādātāji, piemēram informācijas sabiedrības pakalpojumu nodrošinātāji, var apstrādāt datu plūsmu datus saskaņā ar datu aizsardzības direktīvas 7. pantu, kurā ir noteikts, ka datu apstrādātāji var apstrādāt personas datus, ja to ļauj vismaz viena no vairākām uzskaitītām tiesiskām bāzēm, ko dēvē arī par tiesiskiem pamatojumiem.

78.

Tāda tiesiska pamatojuma piemērs ir datu aizsardzības direktīvas 7. panta a) punkts, kurā ir prasīta datu subjekta piekrišana. Piemēram, ja kāds tiešsaistes vairumtirgotājs vēlas apstrādāt datu plūsmu datus, lai sūtītu reklāmas materiālus vai jaunu pakalpojumu tirgū laišanas materiālus, viņam ir jāsaņem attiecīgā cilvēka piekrišana. Cits 7. pantā ietverts tiesisks pamatojums dažos gadījumos var ļaut, piemēram, drošības uzņēmumiem, kas sniedz drošības pakalpojumus, apstrādāt datu plūsmu datus drošības vajadzībām. Tā pamatā ir 7. panta f) punkts, kurā ir noteikts, ka datu apstrādātāji var apstrādāt personas datus, ja tas ir “vajadzīgs datu apstrādātāju vai trešo personu likumīgām interesēm – vai tādu personu likumīgām interesēm, kurām datus atklāj, izņemot gadījumus, ja datu subjektu pamattiesības un brīvības ir svarīgākas par tādām interesēm ...” Datu aizsardzības direktīvā nav konkrēti uzskaitīti gadījumi, kad personas datu apstrāde atbilstu tādai prasībai. Lēmumus toties pieņem datu apstrādātāji, katru gadījumu izskatot konkrēti, bieži vien ar attiecīgas valsts datu aizsardzības iestāžu un citu iestāžu piekrišanu.

79.

Būtu jāizskata datu aizsardzības direktīvas 7. panta mijiedarbība ar ierosināto ePrivātuma direktīvas 6.6. panta a) punktu. Ierosinātajā 6.6. panta a) punktā ir norādīti konkrēti norādīti apstākļi, kādos būtu ievērotas iepriekš aprakstītās 7. panta f) punkta prasības. Patiesi, atļaujot apstrādāt datu plūsmu datus, lai palīdzētu nodrošināt tīklu un informācijas drošību, 6.6. panta a) punkts paver iespēju datus apstrādāt likumīgās datu apstrādātāja interesēs.

80.

Še turpmāk būs sīkāk izskaidrots, kāpēc EDAU uzskata, ka ierosinātais 6.6 panta a) punkts nav nedz vajadzīgs, nedz izmantojams. Patiesi, no juridiskā viedokļa nav jānoskaidro, vai konkrēta tipa datu apstrāde, šajā gadījumā datu plūsmu datu apstrāde drošības vajadzībām, atbilst datu aizsardzības direktīvas 7. panta f) punkta prasībām, un tādā gadījumā var būt vajadzīga attiecīgā cilvēka piekrišana – ex 7. panta a) punkts. Kā norādīts iepriekš, īstenošanas mērogos to parasti izvērtē datu apstrādātāji, t. i., uzņēmumi – saziņā ar datu aizsardzības iestādēm – un vajadzības gadījumā tiesas. Visumā EDAU uzskata, ka konkrētos gadījumos likumīga datu plūsmu datu apstrāde drošības vajadzībām, ko veic, neapdraudot cilvēku pamattiesības un pamatbrīvības, atbildīs datu aizsardzības direktīvas 7. panta f) punkta prasībām, un tāpēc to varēs veikt. Vēl turklāt datu aizsardzības un ePrivātuma direktīvā nav citu precedentu, kā atlasīt dažu tipu datu apstrādes darbības vai citādi pret tām izturēties – darbības, kas atbilst 7. panta f) punkta prasībām – un nekas nav darīts, lai pierādītu, ka dažas darbības būtu jāveic citādi. Gluži pretēji, kā iepriekš norādīts, šķiet, ka daudzos apstākļos tāda tipa darbības ļoti labi sadzīvotu ar pašreizējo formulējumu. Tāpēc nav vajadzīgs juridisks noteikums, ar ko būtu paredzēts apstiprināt piekrišanu.

EP, Padomes, un Komisijas versija 6.6. panta a) punktam

81.

Iepriekš, lai gan tas nebija vajadzīgs, jau ir paskaidrots – ir svarīgi izcelt, ka EP ierosinātais 181. grozījums tomēr bija izstrādāts, mazliet ņemot vērā privātuma un datu aizsardzības principus, kas ir ietverti datu aizsardzības tiesību aktos. EP ierosinātais 181. grozījums varētu vēl vairāk pievērsties datu aizsardzības un privātuma interesēm, piemēram, iespraužot vārdus “īpašos gadījumos”, lai nodrošinātu selektīvu šī panta piemērojumu vai paredzot īpašu iesaldēšanas termiņu.

82.

Grozījumā Nr. 181 ir daži pozitīvi elementi. Tajā ir apstiprināts, ka apstrādei vajadzētu atbilst visiem citiem datu aizsardzības principiem, ko piemēro personas datu apstrādei (“neskarot .... atbilstību direktīvas 95/46/EK un (..) neskarot atbilstību (..) Direktīvai 95/46/EK (..) un šai direktīvai”). Turklāt, lai gan 181. grozījums ļauj apstrādāt datu plūsmu datus drošības vajadzībām, tajā ir līdzsvarotas to struktūru intereses, kuras apstrādā datu plūsmu datus, un tādu cilvēku intereses, kā datus apstrādā, lai datu apstrāde varētu notikt tikai tad, ja cilvēku pamattiesības un pamatbrīvības nav svarīgākas par datu apstrādes struktūras interesēm (“izņemot gadījumus, ja datu subjektu pamattiesības un brīvības ir svarīgākas par tādām interesēm”). Šāda prasība ir būtiski svarīga, jo īpašos gadījumos tā var atļaut apstrādāt datu plūsmu datus; tomēr tā neļautu struktūrai apstrādāt nevienu datu plūsmu kopumā.

83.

Padomes pārstrādātā grozījuma versijā ir slavējami elementi, piemēram, tas, ka ir saglabāts termins “obligāti vajadzīgs”, kas uzsver to, ka šī panta piemērošanas joma ir ierobežota. Tomēr Padomes versijā ir pazuduši iepriekš minētie datu aizsardzības un privātuma aizsardzības līdzekļi. Lai gan spēkā joprojām ir vispārēji datu aizsardzības noteikumi, neatkarīgi no tā, vai katrā gadījumā ir dota konkrēta atsauce, Padomes 6.6. panta a) punkta versiju tomēr var interpretēt kā tādu, kas dod visas datu plūsmu datu apstrādes pilnvaras, nepiemērojot nekādus datu aizsardzības un privātuma aizsardzības līdzekļus, kuri vienmēr ir spēkā, apstrādājot datu plūsmu datus. Tālab var teikt, ka datu plūsmu datus var vākt, glabāt, un izmantot arī turpmāk, neievērojot datu aizsardzības principus un īpašus pienākumus, kas citādi attiecas uz atbildīgām personām – piemēram, kvalitātes principu vai pienākumu godīgi un likumīgi apstrādāt datus, un turēt tos slepenībā un drošībā. Turklāt, tā kā pantā nav atsauces uz attiecīgiem datu aizsardzības principiem, kas uzliek informācijas glabāšanas termiņus vai konkrētus termiņus, Padomes versiju var interpretēt kā tādu, kas neierobežoti ilgi ļauj drošības vajadzībām vākt datus un apstrādāt datu plūsmu datus.

84.

Turklāt Padome ir vājinājusi privātuma aizsardzību dažās dokumenta daļās, izmantojot pēc iespējas aptuvenu izteiksmi. Piemēram, atsauce uz “likumīgām datu apstrādātāja interesēm” ir svītrota, un tas liek apšaubīt to, kādu tipu struktūras varētu izmantot šo izņēmumu. Ir būtiski svarīgi censties nepavērt durvis tam, lai kāds lietotājs vai juridiska persona sāktu izmantot šo grozījumu.

85.

Svaigākā EP un Padomes pieredze rāda, ka ir grūti tiesību aktos definēt, ciktāl un kādos apstākļos datu apstrāde drošības vajadzībām var būt likumīga. Nav domājams, ka jelkāds spēkā esošs pants – vai tāds, kas nākotnē stāsies spēkā – likvidētu acīmredzamos apdraudējumus, ko radītu tas, ka izņēmumu pārlieku plaši piemērotu citu iemeslu dēļ, nevis tāpēc, ka tas būtu tikai saistīts ar drošību, vai to darītu struktūras, uz ko izņēmumam nevajadzētu attiekties. Tas nenozīmē, ka apstrāde nedrīkstētu notikt vispār. Tomēr to, vai apstrāde var notikt, un ciktāl tā varētu notikt, īstenošanas līmenī būtu labāk izvērtēt. Struktūrai, kas vēlas iesaistīties datu apstrādē, vajadzētu ar datu aizsardzības iestādēm un, iespējams, ar 29. panta darba grupu pārrunāt apstrādes mērogus un nosacījumus. Savukārt ePrivātuma direktīvā varētu iekļaut pantu, kurā būtu ļauts apstrādāt datu plūsmu datus drošības vajadzībām, ja to skaidri ir atļāvušas datu aizsardzības iestādes.

86.

Ņemot vērā no vienas puses apdraudējumu, ko 6.6. panta a) punkts rada cilvēku pamattiesībām uz datu aizsardzību un privātumu, un, no otras puses – kā šajā atzinumā skaidrots – to, ka no juridiska viedokļa šis pants nav vajadzīgs, EDAU ir secinājis, ka labākais iznākums būtu pilnībā svītrot ierosināto 6.6. panta a) punktu.

87.

Ja pretēji EDAU ieteikumam pieņem kādu tekstu, kas aptuveni saskan ar kādu no pašreizējām 6.6. panta a) punkta versijām, tajā būtu jāiestrādā iepriekš aplūkotie datu aizsardzības līdzekļi. Tas būtu arī pareizi jāintegrē pašreizējā 6. panta struktūrā, ieteicams – kā jauns, 2.a punkts.

V.   JURIDISKU PERSONU SPĒJAS CELT PRASĪBAS PAR ePRIVĀTUMA DIREKTĪVAS PĀRKĀPUMIEM

88.

EP ir pieņēmis 133. grozījumu, ar ko interneta piekļuves nodrošinātājiem un citām juridiskām personām, piemēram, patērētāju apvienībām, celt tiesvedību par kura katra ePrivātuma direktīvas panta pārkāpumiem (19). Nelaimīgā kārtā ne Komisija, ne Padome to nav pieņēmusi. EDAU uzskata šo grozījumu par ļoti labu un iesaka to saglabāt.

89.

Lai saprastu to, cik svarīgs ir šis grozījums, ir jāaptver, ka ar cilvēkam privātuma un datu aizsardzības jomā nodarītu, atsevišķi ņemtu kaitējumu vien parasti nepietiek, lai celtu prasību tiesā. Cilvēki parasti paši neiet tiesā tāpēc vien, ka viņiem ir piesūtīts surogātpasta sūtījums vai tāpēc, ka viņu vārdi būtu kļūdas pēc iekļauti telefongrāmatā. Šis grozījums ļautu patērētāju apvienībām un arodbiedrībām, kas kolektīvi pārstāv patērētāju intereses, viņu vārdā celt prasības tiesās. Ir paredzams, ka lielāka īstenošanas mehānismu dažādība veicinās lielāku atbilsmi ePrivātuma direktīvas prasībām, un tātad lielāku ieinteresētību efektīvā tās piemērošanā.

90.

Dažu dalībvalstu juridiskās sistēmās ir precedenti – tajās jau ir paredzēta iespēja prasīt kolektīvu kompensāciju, lai ļautu patērētājiem vai interešu grupām celt kompensācijas prasības pret personām, kas ir izraisījušas kaitējumu.

91.

Vēl turklāt daži dalībvalstu konkurences likumi (20) pilnvaro patērētājus, interešu grupas (līdztekus piemeklētiem konkurentiem) celt tiesvedību pret struktūrām, kas ir izdarījušas pārkāpumus. Domu gaita, ar ko tāda pieeja ir pamatota, paredz, ka uzņēmumi, kas pārkāpj konkurences likumus, visticamāk gūst peļņu, jo patērētāji, kam nodarīts mazs kaitējums, parasti nelabprāt ceļ prasību. Tādu domu gaitu mutantis mutandi var piemērot datu aizsardzības un privātuma jomā.

92.

Vēl svarīgāk, kā iepriekš norādīts, ir tas, ka juridisku personu, piemēram patērētāju apvienību un PPECS, padarīšana par tiesīgām celt prasības tiesās stiprina patērētāju pozīcijas un kopumā veicina datu aizsardzības jomā pieņemtu tiesību aktu ievērošanu. Ja pastāv lielāka iespējamība, ka tiesā sūdzēs uzņēmumus, kas pārkāpj konkurences likumus, ir paredzams, ka tie vairāk investēs datu aizsardzības jomā pieņemtu tiesību aktu ievērošanā, un tas beigu beigās radīs lielāku privātumu un patērētāju aizsardzību. Visu minēto iemeslu dēļ EDAU aicina EP un Padomi pieņemt noteikumu, kas ļautu juridiskām personām celt tiesvedību par visiem ePrivātuma direktīvas pārkāpumiem.

VI.   SECINĀJUMI

93.

Padomes Kopējā nostājā, EP pirmā lasījumā un Komisijas grozītā ierosinātā tiesību aktā ir dažādā pakāpē ietverti pozitīvi elementi, kas palīdzētu stiprināt cilvēku privātuma un personas datu aizsardzību.

94.

Tomēr EDAU uzskata, ka uzlabojumi ir iespējami, it īpaši Padomes Kopējā nostājā, kurā diemžēl nav paturēti daži EP ierosināti grozījumi, kas ir iecerēti, lai palīdzētu cilvēkiem nodrošināt pietiekamu privātuma un personas datu aizsardzību. EDAU aicina EP un Padomi atjaunot privātuma aizsardzības līdzekļus, kas ir iestrādāti EP pirmajā lasījumā.

95.

Turklāt EDAU uzskata, ka pareizi būtu vienkāršot dažus direktīvas pantus. Tas ir it īpaši patiesi aizsargpasākumu pārkāpumiem veltīto pantu gadījumā, jo EDAU uzskata, ka visus pārkāpumu paziņošanas dotos labumus vislabāk varēs īstenot, ja jau pašā sākumā ir izveidota pareiza sistēma. Visbeidzot, EDAU uzskata, ka pareizi būtu uzlabot un skaidrāk formulēt dažus direktīvas pantus.

96.

Ņemot vērā iepriekš minēto, EDAU aicina EP un Padomi pielikt visas pūles, lai uzlabotu un padarītu skaidrākus dažus ePrivātuma direktīvas pantus, reizē atjaunojot EP pirmajā lasījumā ierosinātos grozījumus, ar ko paredzēts nodrošināt attiecīga līmeņa privātumu un datu aizsardzību. Lai to nodrošinātu, 97., 98., 99. un 100. še turpmāk dotajā punktā ir apkopoti uz spēles liktie jautājumi un nākts klajā ar dažiem ieteikumiem un ierosinātiem priekšlikumiem. EDAU aicina visas iesaistītās personas tos ņemt vērā, ePrivātuma direktīvai virzoties pretī pieņemšanai galīgā variantā.

Aizsargpasākumu pārkāpumi

97.

Gan Eiropas Parlaments, gan Komisija, gan Padome ir izvēlējusies dažādas pieejas, kā paziņot par aizsargpasākumu pārkāpumiem. Atšķirības trijos modeļos pastāv, inter alia, attiecībā uz struktūrām, uz ko attiecas pienākums, paziņojumu sūtīšanas parametriem jeb standartiem, uz datu subjektiem, kas ir tiesīgi saņemt paziņojumus, utt. EP un Padomei ir jādara viss iespējamais, lai izstrādātu stabilu juridisku sistēmu aizsargpasākumu pārkāpumu novēršanai. Lai to panāktu, EP un Padomei vajadzētu –

paturēt aizsargpasākumu pārkāpumu definīciju EP, Padomes un Komisijas dokumentos, jo tā ir pietiekami plaša, lai aptvertu lielāko daļu attiecīgo gadījumu, kad būtu jāpaziņo par aizsargpasākumu pārkāpumiem.

Informācijas sabiedrības pakalpojumu nodrošinātājus iekļaut to struktūru vidū, uz ko attiecas ierosinātā paziņošanas prasība. Var teikt, ka tiešsaistes vairumtirgotāji, tiešsaistes bankas, tiešsaistes aptiekas no aizsargpasākumu pārkāpumiem cietīs tikpat ļoti, ja ne vairāk kā telekomunikāciju uzņēmumi. Pilsoņi cerēs, ka viņiem paziņos ne tikai tad, ja no aizsargpasākumu pārkāpumiem cietīs interneta piekļuves nodrošinātāji, bet it īpaši, ja tas notiks viņu tiešsaistes bankām un tiešsaistes aptiekām.

Runājot par paziņošanas ierosināšanu, grozītā ierosinātā tiesību akta parametrs “visnotaļ iespējams kaitēt” ir pareizs parametrs, kas nodrošina sistēmas funkcionēšanu. Tomēr ir svarīgi nodrošināt, lai “kaitēt” būtu pietiekami plaši izprasts jēdziens, kas attiektos uz visiem gadījumiem, kad vien būtu kaitēts cilvēku privātumam vai citām likumīgām interesēm. Citādā ziņā labāk būtu izveidot jaunu parametru, ar ko saskaņā paziņošana būtu obligāta “ja ir visnotaļ iespējams, ka pārkāpums cilvēkiem rada kaitējumus”. Padomes pieeja, kas prasa, lai pārkāpums nopietni skartu kāda privātumu, cilvēkiem nodrošinātu nepietiekamu aizsardzību, jo parametri prasa, lai privātumam nodarītās sekas būtu “nopietnas”. Tas arī paver iespējas subjektīviem vērtējumiem.

Lai gan iestāžu iesaiste, nosakot, vai attiecīgām struktūrām ir jāpaziņo cilvēkiem, noteikti ir pozitīvas sekas, tā varētu būt nerentabla un grūti piemērojama, un tā varētu arī atņemt resursus citām svarīgām prioritātēm. Ja iestādes nevar reaģēt ļoti strauji, EDAU ir nobažījies, ka tāda sistēma var pat mazināt cilvēku aizsardzību un iestādēm uzkraut lieku nastu. Tādējādi, EDAU kopumā iesaka izveidot sistēmu, kurā no attiecīgām struktūrām ir atkarīgs izvērtējums, vai paziņojumi būtu jāsūta.

Lai iestādes varētu pārraudzīt pienākuma aptverto struktūru veiktos izvērtējumus, vai tām būtu jāsūta paziņojumi, ir jāīsteno šādi aizsardzības līdzekļi –

Jānodrošina, ka tādām struktūrām ir jāpaziņo iestādēm par visiem pārkāpumiem, kas atbilst prasītiem parametriem.

Jādod iestādēm pārraudzības uzdevums, kas ļautu tām būt selektīvām, lai būtu efektīvas. Lai sasniegtu iepriekš minēto, ir jāiekļauj šāds formulējums – “Ja abonentiem vai attiecīgiem cilvēkiem vēl nav paziņots, kompetenta attiecīgas valsts iestāde, apsvērusi pārkāpuma būtību, var prasīt, lai to dara PPECS vai ISSP”.

Jāpieņem jauns pants, kurā būtu prasīts, lai struktūras uzturētu sīku un pilnīgu iekšēju revīziju uzskaiti. To varētu nodrošināt, pieņemot apmēram šādu formulējumu – “PPECS un ISSP patur un uztur pilnīgu un sīku uzskaiti par visiem notikušiem aizsargpasākumu pārkāpumiem, ar tiem saistītu svarīgu tehnisku informāciju un to, kas ir darīts, lai labotu stāvokli. Uzskaita arī atsauces par visiem paziņojumiem, kas ir izdoti abonentiem vai attiecīgiem cilvēkiem un kompetentām attiecīgu valstu iestādēm, arī to datumu un saturu. Pēc lūguma kompetentai attiecīgas valsts iestādei uzrāda uzskaiti.”

Lai nodrošinātu konsekvenci aizsargpasākumu pārkāpumu paziņošanas sistēmas īstenošanā, Komisijai, pēc iepriekšējām apspriedēm ar EDAU, 29. panta darba grupu un citām svarīgām ieinteresētām personām ir jādod spējas paredzēt tehniskus īstenošanas pasākumus.

Runājot par to, kādiem cilvēkiem ir jāpaziņo, izmantot Komisijas vai EP terminoloģiju “attiecīgi cilvēki” vai “piemeklēti lietotāji”, kas aptver visus cilvēkus, kā personas dati ir bojāti.

Atklātībā pieejami privāti tīkli

98.

Komunikāciju pakalpojumus bieži vien dara sabiedrībai pieejamus nevis ar atklātībā pieejamiem tīkliem, bet gan ar privāti apsaimniekotu tīklu starpniecību, uz kuriem direktīva droši vien neattiecas (piem., Wi-Fi punkti viesnīcās un lidostās). EP ir pieņēmis 121. grozījumu (3. pants), ar ko ir paplašināta direktīvas piemērošanas joma, iekļaujot tajā valstu un privātus komunikāciju tīklus, kā arī atklātībā pieejamus privātus tīklus. Šajā sakarā EP un Padomei vajadzētu –

Paturēt 121. grozījuma būtību, bet izteikt to citādi, lai ePrivātuma direktīvas piemērošanas jomā iekļaujot “personas datu apstrādi saistībā ar atklātībā pieejamu Kopienas elektronisko komunikāciju pakalpojumu sniegšanu valstu tīklos vai atklātībā pieejamos privātos komunikāciju tīklos”. Tā skaidri neatteiktos uz gluži privāti apsaimniekotiem tīkliem (salīdzinājumā ar atklātībā pieejamiem privātiem tīkliem).

Attiecīgi grozīt visus darbības noteikumus, lai skaidri piesauktu atklātībā pieejamus privātus tīklus līdztekus attiecīgu valstu tīkliem.

Iekļaut grozījumu, kurā būtu definēts, ka “atklātībā pieejami privāti tīkli ir privāti apsaimniekoti tīkli, kam parasti var neierobežoti piekļūt sabiedrības locekļi neatkarīgi no tā vai tas notiek par maksu, vai saziņā ar citiem pakalpojumiem, vai piedāvājumiem, atkarībā no tā, vai viņi pieņem attiecīgus noteikumus”. Tas nodrošinās lielāku juridisku skaidrību par struktūrām, uz ko attiecas jaunā darbības joma.

Pieņemt jaunu apsvērumu, kas ļautu Komisijai atklāti konsultēties par ePrivātuma direktīvas piemērojumu visiem privātiem tīkliem, ņemot vērā EDAU, 29. panta darba grupas un svarīgu ieinteresētu personu ieguldījumu. Īpaši norādīt, ka pēc atklātajām konsultācijām Komisijai vajadzētu ierosināt attiecīgu priekšlikumu, lai paplašinātu vai ierobežotu to struktūru tipu skaitu, uz ko vajadzētu attiekties ePrivātuma direktīvai.

Datu plūsmu apstrāde drošības vajadzībām

99.

EP pirmā lasījumā pieņēma 181. grozījumu (6.6. panta a) punkts), kurā ir paredzēts atļaut datu plūsmu datus apstrādāt drošības vajadzībām. Padomes Kopējā nostājā ir pieņemta jauna versija, kurā daži privātuma aizsardzības līdzekļi ir atšķaidīti. Šajā sakarā EDAU iesaka EP un Padomei –

Atteikties no šī panta pilnībā, jo tas nav vajadzīgs – un, ja to lietotu ļaunprātīgi, tas varētu lieki apdraudēt cilvēku datu aizsardzību un privātumu.

Savukārt, ja ir jāpieņem kāds pašreizējā 6.6. panta a) punkta variants, iestrādāt šajā atzinumā pārrunātos datu aizsardzības līdzekļus (līdzīgus EP ierosinātajiem grozījumiem).

Tiesvedība par ePrivātuma direktīvas pārkāpumiem

100.

Parlaments ir pieņēmis 133. grozījumu (13.6. pants), kurā juridiskām personām ir dotas spējas celt tiesvedību par visu direktīvas pantu pārkāpumiem. Diemžēl Padome to nav paturējusi. Padomei un EP vajadzētu –

Atbalstīt pantu, kas dod iespēju juridiskām personām, piemēram, patērētāju apvienībām un arodbiedrībām, tiesības celt tiesvedību par visu direktīvas pantu pārkāpumiem (ne tikai par noteikumiem, kas attiecas uz surogātpasta sūtījumiem kā pašreizējā Kopējā nostājā un grozītā ierosinātā tiesību aktā). Lielāka īstenošanas mehānismu dažādība palīdzēs kopumā nodrošināt labāku ePrivātuma direktīvas ievērošanu un efektīvāku piemērojumu.

Problēmas un risinājumi

101.

Visos iepriekš minētos jautājumos EP un Padomei ir jārisina problēma, kā izstrādāt pareizus likumus un noteikumus, kas ir gan izmantojami un funkcionāli, un respektētu cilvēku tiesības uz privātumu un datu aizsardzību. EDAU cer, ka iesaistītās personas darīs visu, kas ir viņu spēkos, lai uzveiktu šo pārbaudījumu, un cer, ka šis atzinums palīdzēs.

Briselē, 2009. gada 9. janvārī

Peter HUSTINX

Eiropas Datu aizsardzības uzraudzītājs


(1)  ePrivātuma direktīvas, direktīvu 2002/21/EK, 2002/19/EK, 2002/20/EK, 2002/22/EK un 2002/58/EK, kā arī Regulas (EK) Nr. 2006/2004 pārskatīšana (turpmāk “telekomunikāciju paketes pārskatīšana”) pieder pie plašāka pārskatīšanas procesa, veidojot ES telekomunikāciju iestādi.

(2)  2008. gada 10. aprīļa atzinums par ierosināto direktīvu, ar ko, citu starpā, groza Direktīvu 2002/58/EK par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīvu par privāto dzīvi un elektroniskām komunikācijām), OV C 181, 18.7.2008., 1. lpp.

(3)  Direktīva 2002/22/EK par universālo pakalpojumu un lietotāju tiesībām attiecībā uz elektronisko komunikāciju tīkliem un pakalpojumiem (universālo pakalpojumu direktīva), OV L 108., 24.4.2002, 51. lpp.

(4)  EDAU piebildes par dažiem jautājumiem sakarā ar IMCO ziņojumu par direktīvas 2002/22/EK (universāli pakalpojumi) & direktīvas 2002/58/EK (ePrivātuma direktīvas), (2008. gada 2. septembris) pārskatīšanu. Tas ir pieejams tīkla vietnē www.EDAU.europa.eu

(5)  Eiropas Parlamenta normatīvā rezolūcija (2008. gada 24. septembris) par ierosināto Eiropas Parlamenta un Padomes direktīvu, ar ko groza Direktīvu 2002/22/EK par universāliem pakalpojumiem un lietotāju tiesībām attiecībā uz elektronisko komunikāciju tīkliem, Direktīvu 2002/58/EK par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē, un Regulu (EK) Nr. 2006/2004 par sadarbību patērētāju tiesību aizsardzības jomā (COM(2007) 698 – C6-0420/2007 – 2007/0248(COD).

(6)  Grozīta ierosinātā Eiropas Parlamenta un Padomes direktīva, ar ko groza Direktīvu 2002/22/EK par universālo pakalpojumu un lietotāju tiesībām attiecībā uz elektronisko sakaru tīkliem un pakalpojumiem, Direktīvu 2002/58/EK par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē un Regulu (EK) Nr. 2006/2004 par sadarbību patērētāju tiesību aizsardzības jomā, Brisele, 6.11.2008, COM(2008) 723 galīgā redakcija.

(7)  Pieejama atklātībā pieejamā Padomes interneta vietnē.

(8)  Atzinums 2/2008 par direktīvas 2002/58/EK (par privātās dzīves aizsardzību elektronisko komunikāciju nozarē – ePrivātuma direktīvas) pārskatīšanu, kas ir pieejama 29. panta darba grupas tīkla lapā.

(9)  Šajā atzinumā ir lietots vārds “bojāts”, runājot par visiem personas datu pārkāpumiem, kas notikuši, nejauši vai nelikumīgi tos iznīcinot, pazaudējot, sagrozot, neatļauti atklājot vai darot atklātībā pieejamus, pārsūtot, glabājot vai citādi apstrādājot.

(10)  EP ierosinātos grozījumos Nr. 187., 124. līdz 127., kā arī 27., 21. un 32. šim jautājumam ir pievērsta īpaša uzmanība.

(11)  Vienīgais izņēmums ir tūlītējas un tiešas briesmas, un tad pienākuma aptvertajām struktūrām vispirms ir jāinformē patērētāji.

(12)  Kopējās nostājas un grozītā ierosinātā tiesību akta 2. panta i) punkts, un EP pirmā lasījuma 3.3. pants.

(13)  Skat. 11. zemsvītras piezīmi par šī noteikuma izņēmumiem.

(14)  15a. panta 3. punktā ir atzītas tādas pārraudzības pilnvaras, un noteikts, ka “dalībvalstis kompetentām iestādēm un vajadzības gadījumā citām iestādēm nodrošina visas vajadzīgās izmeklēšanas pilnvaras un resursus, arī iespēju saņemt visu svarīgāko informāciju, kas varētu būt vajadzīga, lai pārraudzītu un īstenotu saskaņā ar šo direktīvu pieņemtos attiecīgu valstu tiesību aktus.”

(15)  “Šī direktīva attiecas uz personas datu apstrādi saistībā ar atklātībā pieejamu elektronisko komunikāciju pakalpojumu sniegšanu atklātībā pieejamos komunikāciju tīklos”.

(16)  A contrario, varētu teikt – tāpēc, ka komunikāciju pakalpojumus sniedz sabiedrībai, kaut arī tīkls ir privāts, uz tādu pakalpojumu attiecas esošais tiesiskais regulējums, kaut gan tīkls ir privāts. Patiesībā, piem., Francijā darba devējus, kas darbiniekiem nodrošina piekļuvi internetam, pielīdzina tādiem interneta piekļuves nodrošinātājiem, kas komerciāli nodrošina interneta piekļuvi. Tāda interpretācija nav vispāratzīta par pareizu.

(17)  Parasti – vietēji bezvadu tīkli (Local Area Network – LAN).

(18)  Skat. 16. zemsvītras piezīmi.

(19)  EP pirmā lasījuma 13.6. pants.

(20)  Skat., piemēram, UWG 8. pantu – Vācijas negodīgas konkurences likumu.


6.6.2009   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 128/42


Eiropas Datu aizsardzības uzraudzītāja atzinums par ierosināto Padomes direktīvu, ar ko dalībvalstīm uzliek pienākumu obligāti uzturēt jēlnaftas un/vai naftas produktu rezerves

2009/C 128/05

EIROPAS DATU AIZSARDZĪBAS UZRAUDZĪTĀJS,

ņemot vērā Eiropas Kopienas dibināšanas līgumu un it īpaši tā 286. pantu,

ņemot vērā Eiropas Savienības Pamattiesību hartu un it īpaši tās 8. pantu,

ņemot vērā Eiropas Parlamenta un Padomes Direktīvu 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (1),

ņemot vērā Eiropas Parlamenta un Padomes Regulu (EK) Nr. 45/2001 (2000. gada 18. decembris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti, un it īpaši tās 41. pantu (2),

ņemot vērā Eiropas Datu aizsardzības uzraudzītājam 2008. gada 14. novembrī nosūtīto lūgumu dot atzinumu saskaņā ar Regulas (EK) Nr. 45/2001 28. panta 2. punktu,

IR PIEŅĒMIS ŠO ATZINUMU.

I.   IEVADS

1.

Komisija 2008. gada 13. novembrī ierosināja Padomes direktīvu, ar ko dalībvalstīm uzliek pienākumu obligāti uzturēt jēlnaftas un/vai naftas produktu rezerves (še turpmāk “ierosinātais tiesību akts”) (3).

2.

Ierosinātajā tiesību aktā ir paredzēts Kopienā garantēt naftas piegāžu augsta līmeņa drošību, liekot lietā uzticamus un pārskatāmus mehānismus, kam pamatā ir dalībvalstu solidaritāte, uzturēt obligātas naftas un naftas produktu rezerves, kā arī ieviest procedūras, kas ir vajadzīgas, lai novērstu nopietnu minēto produktu nepietiekamību.

3.

Komisija 2008. gada 14. novembrī saskaņā ar Regulas (EK) Nr. 45/2001 28. panta 2. punktu priekšlikumu ir nosūtījusi EDAU, lai saņemtu atzinumu. EDAU ir gandarīts, ka viņam ir lūgta konsultācija par šo jautājumu, un ka saskaņā ar Regulas (EK) Nr. 45/2000 28. pantu priekšlikuma preambulā ir ietverta atsauce uz minēto konsultāciju.

4.

Pirms pieņemt ierosināto tiesību aktu, Komisija neoficiāli konsultējās ar EDAU par konkrētu ierosinātā tiesību akta pantu (pašreizējo 19. pantu). EDAU jutās gandarīts par neoficiālo konsultāciju, jo tā viņam ļāva nākt klajā ar dažiem ieteikumiem, pirms Komisija pieņem ierosināto tiesību aktu.

II.   IEROSINĀTĀ TIESĪBU AKTA ANALĪZE

Vispārēja analīze

5.

Šis jautājums labi rāda to, ka datu aizsardzības noteikumus nedrīkst aizmirst nekādos apstākļos. Situācijā, kas attiecas uz dalībvalstīm un to pienākumu ārkārtējiem gadījumiem glabāt naftas krājumus, kas galvenokārt pieder juridiskām personām, personas datu apstrāde nav acīmredzama, bet, lai gan tā principā nav pamanāma, tā tomēr var notikt. Noteikti būtu jāapsver iespējamība, ka personas datus apstrādā, un attiecīgi jārīkojas.

6.

Pašreizējā situācijā faktiski ir divas direktīvā paredzētas darbības, kurās varētu apstrādāt personas datus. Pirmā ir dalībvalstu informācijas vākšana par naftas krājumiem, un pēc tam – minētās informācijas pārsūtīšana Komisijai. Otrā darbība ir saistīta ar Komisijas pilnvarām kontrolēt dalībvalstis. Informācijas vākšana par naftas krājumu īpašniekiem varētu aptvert personas datus, piemēram, uzņēmumu direktoru vārdus un kontaktinformāciju. Informācijas vākšana, kā arī tās pārsūtīšana Komisijai būtu personas datu apstrāde, un tā liktu piemērot vai nu attiecīgu valstu tiesību aktus, ar ko īsteno Direktīvu 95/46/EK, vai Regulu (EK) Nr. 45/2001 – atkarībā no tā, kas patiesībā apstrādā datus. Tāpat tas, ka Komisijai ir piešķirtas pilnvaras pārbaudīt dalībvalstu rezerves krājumus, pie kā pieder pilnvaras vākt informāciju vispār, varētu paredzēt personas datu vākšanu un tāpēc arī to apstrādi.

7.

Neoficiālajā konsultācijā, kurā apsprieda tikai jautājumus par Komisijai piešķirtām izmeklēšanas pilnvarām, EDAU ieteica Komisijai noteikt, vai personas datu apstrāde Komisijas veiktas izmeklēšanas sakarā notiktu regulāri un tieši izmeklēšanas vajadzībām. Pēc izvērtējuma ir ierosinātas divas pieejas.

8.

Ja personas datu apstrāde nebija paredzēta, un tāpēc notiktu gluži neregulāri, EDAU ieteica, pirmkārt, skaidri svītrot personas datu apstrādi kā tādu, kas kalpo Komisijas veiktas izmeklēšanas vajadzībām un, otrkārt, norādīt, ka nekādus personas datus, kas izmeklēšanas gaitā varētu nākt Komisijas rīcībā, nevāks vai neņems vērā, un gadījumos, ja tos ievāktu nejauši, tos uzreiz iznīcinās. EDAU turklāt ierosināja kā vispārēju nodrošinājuma klauzulu iekļaut pantu, kurā būtu teikts, ka direktīva neskar Direktīvā 95/46/EK un Regulā (EK) Nr. 45/2001 ietvertos datu aizsardzības noteikumus.

9.

Ja, no otras puses, būtu paredzēts, ka datu apstrāde notiek regulāri saskaņā ar Komisijas veiktu izmeklēšanu, EDAU ieteica Komisijai iekļaut tādu tekstu, kurā atspoguļotos īsta datu aizsardzības izvērtējuma rezultāti. Tajā vajadzētu būt šādiem elementiem – (I) datu apstrādes patiesie mērķi, (II) vajadzība pēc datu apstrādes, lai sasniegtu mērķus, un (III) datu apstrādes samērīgums.

10.

Lai gan EDAU neoficiālā konsultācija attiecās tikai uz Komisijas pilnvarām veikt izmeklēšanu, viņa piebildes tikpat labi attiecās uz citām galvenām darbībām, kas ir skaidrotas ierosinātajā direktīvā, proti, uz dalībvalstu informācijas vākšanu un sūtīšanu Komisijai.

11.

Ierosinātās direktīvas galīgajā variantā ir skaidri redzams, ka Komisija ir secinājusi – direktīvas sakarā personas datu apstrāde nav paredzēta. EDAU ar gandarījumu konstatē, ka viņa pirmā ierosinātā pieeja pilnībā atspoguļota ierosinātajā tiesību aktā.

12.

EDAU tāpēc apliecina atbalstu tam, kā Komisija ierosinātajā direktīvā ir nodrošinājusi datu aizsardzības noteikumu ievērošanu. Atzinuma turpmākā daļā būs sniegti tikai daži sīki izstrādāti ieteikumi.

Piebildes par niansēm

13.

Ierosinātās direktīvas 15. pantā ir runa par dalībvalstu pienākumu ik nedēļu sūtīt Komisijai statistikas biļetenus par to, cik lieli komerciāli pieejami krājumi glabājas to teritorijā. Tādā informācijā parasti ir maz personas datu. Tomēr tajā var būt informācija par fiziskām personām, kam pieder naftas krājumi, vai arī – kas strādā kādai juridiskai personai, kam krājumi pieder. Lai novērstu to, ka dalībvalstis sniedz Komisijai tādu informāciju, 15. panta 1. punktā ir norādīts, ja dalībvalstis tā dara, tās nedrīkst minēt attiecīgo krājumu īpašnieku vārdus. Lai gan jāapzinās, ka vārdu svītrošana ne vienmēr dos tādus datus, ko nevar atvedināt uz kādu fizisku personu, tomēr šķiet, ka tādā situācijā (statistikas biļeteni par naftas krājumiem) pietiks ar tādu papildu frāzi, lai garantētu, ka Komisijai nesūtīs nekādus personas datus.

14.

Komisijas pilnvaras veikt pārbaudes ir paredzētas ierosinātās direktīvas 19. pantā. Minētais pants skaidri rāda, ka Komisija ir ievērojusi pirmo pieeju, kā iepriekš skaidrots 8. punktā. Tajā ir norādīts, ka personas datu vākšana nevar piederēt pie Komisijas veiktām pārbaudēm. Arī, ja Komisijas rīcībā nāktu tādi dati, tos nevar ņemt vērā, un tie ir jāiznīcina – ja tie nejauši ir savākti. Lai tādu formulējumu saskaņotu ar datu aizsardzības tiesību aktos lietoto formulējumu un novērstu pārpratumus, EDAU iesaka vārdu “vākšana” 2. punkta pirmā teikumā aizstāt ar vārdu “apstrāde”.

15.

EDAU ir gandarīts, ka ierosinātajā tiesību aktā ir iekļauta vispārēja nodrošinājuma klauzula par svarīgākiem datu aizsardzības tiesību aktiem. Dalībvalstīm, kā arī Komisijai un citām Kopienas struktūrām 20. pantā ir atgādināti pienākumi, ko attiecīgi uzliek Direktīva 95/46/EK un Regula (EK) Nr. 45/2001. Klauzulā vēl ir uzsvērtas datu subjektu tiesības, ko dod minētie noteikumi, piemēram, tiesības iebilst pret datu apstrādi, tiesības piekļūt saviem datiem un tiesības tos labot neprecizitāšu gadījumos. Droši vien var izteikt piebildi par minētā panta atrašanās vietu ierosinātā tiesību aktā. Tā kā tas ir vispārējs, tas neaprobežojas tikai ar Komisijas tiesībām veikt izmeklēšanu. EDAU tāpēc iesaka pārcelt pantu uz direktīvas pirmo daļu, piemēram, pēc 2. panta.

16.

Tāpat 25. apsvērumā ir piesaukta direktīva 95/46/EK un Regula (EK) Nr. 45/2001. Apsvēruma mērķis tomēr nav pietiekami skaidrs, jo tajā ir tikai pieminēti datu aizsardzības tiesību akti vispār, un nekas cits nav teikts. Apsvērumā būtu skaidri jānorāda, ka attiecīgā direktīva neskar minētos tiesību aktus. Turklāt apsvēruma pēdējā teikumā, šķiet, ir paredzēts, ka datu aizsardzības tiesību aktos ir skaidri prasīts, lai apstrādātāji uzreiz iznīcinātu nejauši savāktus datus. Lai gan ir iespējams, ka tas izriet no izklāstītajiem noteikumiem, bet minētajā tiesību tāds pienākums nav atrodams. Vispārējs datu aizsardzības princips paredz, ka personas datus neglabā ilgāk kā vajadzīgs tiem mērķiem, kam tie ir vākti vai apstrādāti. Ja apsvēruma pirmo daļu pielāgo tā, ka še nupat ir ierosināts, pēdējais teikums kļūst lieks. EDAU tāpēc ierosina svītrot 25. apsvēruma pēdējo teikumu.

III.   SECINĀJUMI

17.

EDAU vēlas apliecināt atbalstu tam, kā Komisija ierosinātajā direktīvā ir nodrošinājusi datu aizsardzības noteikumu ievērošanu.

18.

Iedziļinoties sīkumos, EDAU iesaka

vārdu “vākšana” 19. panta 2. punkta pirmā teikumā aizstāt ar vārdu “apstrāde”;

pārcelt 20. pantu, vispārēju datu aizsardzības noteikumu, uz direktīvas sākumu, proti, tūlīt pēc 2. panta;

25. apsvērumam pievienot norādi, ka attiecīgā direktīva neskar Direktīvu 95/46/EK un Regulu (EK) Nr. 45/2001;

svītrot 25. apsvēruma pēdējo teikumu.

Briselē, 2009. gada 3. februārī

Peter HUSTINX

Eiropas Datu aizsardzības uzraudzītājs


(1)  OV L 281, 23.11.1995., 31. lpp.

(2)  OV L 8, 12.1.2001., 1. lpp.

(3)  COM(2008) 775, galīgā redakcija.


IV Informācija

EIROPAS SAVIENĪBAS IESTĀŽU UN STRUKTŪRU SNIEGTA INFORMĀCIJA

Komisija

6.6.2009   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 128/45


Euro maiņas kurss (1)

2009. gada 5. jūnijs

2009/C 128/06

1 euro =


 

Valūta

Maiņas kurss

USD

ASV dolārs

1,4177

JPY

Japānas jēna

137,48

DKK

Dānijas krona

7,4472

GBP

Lielbritānijas mārciņa

0,87920

SEK

Zviedrijas krona

10,9250

CHF

Šveices franks

1,5191

ISK

Islandes krona

 

NOK

Norvēģijas krona

8,9700

BGN

Bulgārijas Ieva

1,9558

CZK

Čehijas krona

27,003

EEK

Igaunijas krona

15,6466

HUF

Ungārijas forints

289,10

LTL

Lietuvas lits

3,4528

LVL

Latvijas lats

0,7094

PLN

Polijas zlots

4,5420

RON

Rumānijas leja

4,2185

TRY

Turcijas lira

2,1834

AUD

Austrālijas dolārs

1,7606

CAD

Kanādas dolārs

1,5657

HKD

Hongkongas dolārs

10,9887

NZD

Jaunzēlandes dolārs

2,2263

SGD

Singapūras dolārs

2,0530

KRW

Dienvidkorejas vons

1 768,65

ZAR

Dienvidāfrikas rands

11,4189

CNY

Ķīnas juaņa renminbi

9,6871

HRK

Horvātijas kuna

7,3550

IDR

Indonēzijas rūpija

14 078,75

MYR

Malaizijas ringits

4,9556

PHP

Filipīnu peso

67,016

RUB

Krievijas rublis

43,5789

THB

Taizemes bats

48,464

BRL

Brazīlijas reāls

2,7345

MXN

Meksikas peso

18,7066

INR

Indijas rūpija

66,7910


(1)  Datu avots: atsauces maiņas kursu publicējusi ECB.


Labojums

6.6.2009   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 128/46


Labojums Eiropas Centrālās bankas noteiktajā procentu likmē tās refinansēšanas operācijām

(Eiropas Savienības Oficiālais Vēstnesis C 124, 2009. gada 4. jūnijs )

2009/C 128/07

1. lappusē un uz pirmā vāka:

tekstu:

“1,00 % 2009. gada 4. jūnijs”

lasīt šādi:

“1,00 % 2009. gada 1. jūnijs”.