Duomenų apsaugos reforma. Taryba priima poziciją per pirmąjį svarstymą

2016 m. balandžio 8 d. Taryba per pirmąjį svarstymą priėmė poziciją dėl duomenų apsaugos reformos ir sudarė sąlygas Europos Parlamentui balandžio mėn. plenarinėje sesijoje galutinai priimti teisės aktų rinkinį.

Rinkinys bus priimtas formaliai, nes 2015 m. gruodžio mėn. su Europos Parlamentu jau buvo susitarta dėl kompromisinio teksto.

Priėmus poziciją Nyderlandų teisingumo ministras Ardas van der Steuras pasakė: „Patvirtinu, kad Europos Parlamentas įsipareigojo užtikrinti, kad balandžio mėn. būtų galima balsuoti tiek dėl duomenų apsaugos dokumentų rinkinio, tiek dėl PNR direktyvos. Kovo 22 d. Briuselyje įvykdyti išpuoliai dar kartą patvirtino, jog reikia skubiai priimti PNR direktyvą.“

Duomenų apsaugos reforma – teisės aktų rinkinys, kuriuo siekiama atnaujinti ir modernizuoti galiojančias duomenų apsaugos taisykles. Jį sudaro du teisėkūros procedūra priimami dokumentai: Bendrasis duomenų apsaugos reglamentas (kuriuo ketinama pakeisti Direktyvą 95/46/EB) ir Duomenų apsaugos teisėsaugos srityje direktyva (kuria ketinama pakeisti 2008 m. Duomenų apsaugos pamatinį sprendimą).

Asmenų apsauga tvarkant jų asmens duomenis yra viena iš pagrindinių teisių, nustatytų ES pagrindinių teisių chartijoje (8 straipsnis) ir Sutartyje dėl Europos Sąjungos veikimo (16 straipsnis).

Bendrasis duomenų apsaugos reglamentas

Bendrojo duomenų apsaugos reglamento tikslas – pagerinti fizinių asmenų, kurių asmens duomenys tvarkomi, duomenų apsaugą ir užtikrinti daugiau verslo galimybių bendrojoje skaitmeninėje rinkoje, be kita ko, mažinant administracinę naštą.

Aukštesnio lygio duomenų apsauga

Fizinių asmenų asmens duomenų tvarkymo principai ir taisyklės turi atitikti pagrindines teises ir laisves, visų pirma teisę į asmens duomenų apsaugą. Šios sustiprintos duomenų apsaugos teisės duomenų subjektams (fiziniams asmenims, kurių asmens duomenys yra tvarkomi) suteikia galimybę labiau kontroliuoti savo asmens duomenis:

• konkretesnės taisyklės, kuriomis duomenų valdytojams (asmenims, atsakingiems už duomenų tvarkymą) leidžiama tvarkyti asmens duomenis, be kita ko, nustatant reikalavimą gauti atitinkamų fizinių asmenų sutikimą;
• lengvesnė prieiga prie savo asmens duomenų;
• geriau informuojama apie tai, kas nutinka asmens duomenims, po to, kai jais pasidalijama. Tai apima, be kita ko, aiškų ir paprastą fizinių asmenų informavimą apie jiems taikomą privatumo politiką; informuojama gali būti ir standartizuotomis piktogramomis;
• teisė ištrinti asmens duomenis ir „būti pamirštam“. Taip sudaromos sąlygos, pavyzdžiui, duomenų subjektams reikalauti nedelsiant pašalinti asmens duomenis, surinktus arba paskelbtus socialiniame tinkle, kai asmuo dar buvo vaikas;
• jeigu jaunesnis nei 16 metų amžiaus jaunuolis pageidauja naudotis internetinėmis paslaugomis, paslaugų teikėjas turi pabandyti patikrinti, ar tėvai yra davę sutikimą. Valstybės narės gali sumažinti šią amžiaus ribą, bet ne mažiau nei iki 13 metų;
• teisė į duomenų perkeliamumą palengvinant vieno paslaugų teikėjo, pavyzdžiui, socialinio tinklo, turimų asmens duomenų perdavimą kitam paslaugų teikėjui. Taip bus ne tik padidintos duomenų apsaugos teisės, bet ir sustiprinta paslaugų teikėjų konkurencija;
• teisė nesutikti, kad būtų tvarkomi asmens duomenys, susiję su viešuoju interesu arba teisėtais duomenų valdytojo interesais. Ši teisė apima asmens duomenų naudojimą „profiliavimo“ tikslais;
• bendros apsaugos priemonės, taikomos asmens duomenų tvarkymui archyvavimo tikslais, jei tai daroma viešojo intereso, mokslo ir istorinių tyrimų ar statistikos tikslais.

Siekiant užtikrinti galimybę kreiptis į arti esantį teismą, duomenų subjektai turi teisę kreiptis į savo nacionalinį teismą dėl duomenų apsaugos institucijos sprendimo peržiūrėjimo, nepaisant to, kurioje valstybėje narėje duomenų valdytojas yra įsisteigęs.

Geresnės verslo galimybės bendrojoje skaitmeninėje rinkoje

Reglamente numatytas vienas bendras taisyklių rinkinys, galiojantis visoje ES ir taikomas tiek Europos, tiek ir ne Europos įmonėms, teikiančioms internetines paslaugas ES. Taip išvengiama padėties, kai dėl viena kitai prieštaraujančių nacionalinių duomenų apsaugos taisyklių gali sutrikti tarpvalstybinis keitimasis duomenimis. Jame taip pat numatytas glaudesnis valstybių narių bendradarbiavimas siekiant užtikrinti nuoseklų duomenų apsaugos taisyklių taikymą visoje ES. Taip bus užtikrinta sąžininga konkurencija, o įmonės, visų pirma mažosios ir vidutinės įmonės, bus skatinamos kuo geriau pasinaudoti bendrosios skaitmeninės rinkos teikiamomis galimybėmis.

Siekiant sumažinti išlaidas ir užtikrinti teisinį tikrumą svarbiais tarpvalstybiniais atvejais, kai dalyvauja kelios nacionalinės priežiūros institucijos, priimamas vienas priežiūros sprendimas. Šiuo vieno langelio mechanizmu sudaromos galimybės įmonei, kuri vykdo veiklą keliose valstybėse narėse, dirbti tik su ta duomenų apsaugos institucija, kuri yra jos pagrindinės buveinės valstybėje narėje. Šiuo mechanizmu taip pat numatoma ginčų atveju priimti vieną sprendimą, taikomą visoje ES teritorijoje.

Siekiant sumažinti administracines išlaidas, reglamente laikomasi rizika grindžiamo požiūrio: duomenų valdytojai gali įgyvendinti priemones atsižvelgdami į riziką, susijusią su jų vykdomomis duomenų tvarkymo operacijoms. Skirtingų įmonių veikla skiriasi, o tokios veiklos rizika privatumo atžvilgiu gali būti skirtinga. Reglamente nenustatomas vienas visais atvejais tinkantis sprendimas: kuo didesnė rizika, susijusi su asmens duomenų tvarkymo veikla, tuo griežtesnės prievolės.

Daugiau ir geresnių priemonių duomenų apsaugos taisyklių laikymuisi užtikrinti

Reglamentu nustatomos įvairios priemonės, skirtos duomenų valdytojų atsakomybei ir atskaitomybei didinti, siekiant užtikrinti, kad būtų visapusiškai laikomasi naujųjų duomenų apsaugos taisyklių. Duomenų valdytojai turi įgyvendinti tam tikras saugumo priemones, be kita ko, laikytis reikalavimo tam tikrais atvejais pranešti apie asmens duomenų apsaugos pažeidimus. Siekiant užtikrinti reglamento veiksmingumą ir ateityje, nustatyti pritaikytosios ir standartizuotosios duomenų apsaugos principai. Valdžios institucijos ir tos įmonės, kurios vykdo tam tikrą rizikingą duomenų tvarkymą, turi paskirti duomenų apsaugos pareigūną, siekiant užtikrinti, kad būtų laikomasi taisyklių.

Tuo atveju, kai nesilaikoma duomenų apsaugos taisyklių, duomenų subjektai ir, tam tikromis aplinkybėmis, duomenų apsaugos organizacijos gali pateikti skundą priežiūros institucijai arba apskųsti teismine tvarka. Duomenų valdytojams gali būti skiriamos iki 20 mln. € arba 4 % jų bendros metinės apyvartos dydžio maksimalios baudos.

Garantijos dėl asmens duomenų perdavimo už ES ribų

Šiame reglamente nustatytos asmens duomenų perdavimo trečiosioms valstybėms ir tarptautinėms organizacijoms taisyklės. Duomenys gali būti perduodami su sąlyga, kad laikomasi tam tikrų sąlygų ir apsaugos priemonių, visų pirma tuo atveju, jeigu Komisija yra nusprendusi, kad užtikrinamas tinkamas apsaugos lygis. Nauji sprendimai dėl tinkamumo turės būti peržiūrimi ne rečiau kaip kas 4 metus. Galiojantys sprendimai dėl tinkamumo ir atitinkami leidimai tebegalioja tol, kol bus iš dalies pakeisti, visai pakeisti arba panaikinti.

Duomenų apsaugos teisėsaugos srityje direktyva

Šia direktyva siekiama apsaugoti asmens duomenis, tvarkomus nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją, tikslais.

Labai svarbu užtikrinti nuoseklią ir aukšto lygio fizinių asmenų asmens duomenų apsaugą, tuo pat metu sudarant palankesnes sąlygas įvairių valstybių narių teisėsaugos institucijoms keistis asmens duomenimis.

Platesnė taikymo sritis

Naujosios direktyvos taikymo sritis buvo išplėsta, kad į ją būtų įtraukta ne tik nusikalstamų veikų prevencijos, tyrimo, nustatymo ir patraukimo baudžiamojon atsakomybėn už jas veikla, bet ir apsauga nuo grėsmių visuomenės saugumui ir jų prevencija.

Naujoji direktyva būtų taikoma tiek tarpvalstybiniam asmens duomenų tvarkymui, tiek policijos ir teisminių institucijų vykdomam asmens duomenų tvarkymui išimtinai nacionaliniu lygmeniu. Pamatinis sprendimas, kuris bus pakeistas, buvo taikomas tik tarpvalstybiniam keitimuisi duomenimis.

Duomenų subjektų teisės

Taisyklėmis suderinama teisė į privatumą ir būtinybė, kad policija neatskleistų, jog duomenys yra tvarkomi ankstyvame tyrimo etape. Tačiau tekste išvardijama informacija, kurią duomenų subjektas visada turi teisę gauti, kad apsaugotų savo teises, jei jis baiminasi, kad buvo pažeista jo duomenų apsauga.

Naujosios taisyklės bus taikomos ir asmens duomenų perdavimui trečiosioms valstybėms ir tarptautinėms organizacijoms.

Reikalavimų laikymasis

Naująja direktyva numatyta, kad bus paskirtas duomenų apsaugos pareigūnas, kuris padėtų kompetentingoms institucijoms užtikrinti, kad būtų laikomasi duomenų apsaugos taisyklių.

Kita reikalavimų laikymosi užtikrinimo priemonė yra poveikio vertinimas. Jeigu dėl tam tikros rūšies duomenų tvarkymo gali kilti didelis pavojus, jog bus pažeistos fizinių asmenų teisės ir laisvės, kompetentingos institucijos privalo įvertinti galimą tam tikro duomenų tvarkymo poveikį, visų pirma tuo atveju, jei naudojamos naujos technologijos.

Stebėsena ir kompensacija

Direktyvos tekstas yra suderintas su reglamento tekstu siekiant užtikrinti, kad iš esmės būtų taikomi tie patys bendrieji principai. Be to, taisyklės, susijusios su priežiūros institucija, yra labai panašios, nes priežiūros institucija, įsteigta pagal Bendrąjį duomenų apsaugos reglamentą, taip pat gali spręsti tuos klausimus, kuriems taikoma ši direktyva. Naująja direktyva duomenų subjektams taip pat būtų suteikta teisė gauti kompensaciją, jei jie patirtų žalą dėl duomenų tvarkymo, kuris buvo vykdomas nesilaikant taisyklių.

Tolesni veiksmai

Europos Parlamentas turėtų balsuoti per antrąjį svarstymą plenarinėje sesijoje, kuri įvyks kitą savaitę, balandžio 14 d., ketvirtadienį, ir patvirtinti Tarybos per pirmąjį svarstymą priimtą poziciją be pakeitimų ir užbaigti teisėkūros procedūrą.

Po to teisės aktų tekstai bus paskelbti ES oficialiajame leidinyje.

• Duomenų apsaugos reglamentas: Tarybos pozicija po pirmojo svarstymo
• Duomenų apsaugos reglamentas: Tarybos motyvų pareiškimas
• Duomenų apsaugos direktyva: Tarybos pozicija po pirmojo svarstymo
• Duomenų apsaugos direktyva: Tarybos motyvų pareiškimas
• Duomenų apsaugos reforma