Europos duomenų apsaugos valdyba

Europos duomenų apsaugos valdybos (EDAV) trisdešimt ketvirtoji plenarinė sesija. Schrems II, Antrosios mokėjimo paslaugų direktyvos (MPD 2) ir Bendrojo duomenų apsaugos reglamento (BDAR) sąveika ir raštas EP narei L. Ďuriš Nicholsonovai dėl kontaktų atsek

Monday, 20 July, 2020

Briuselis, liepos 20 d. 34-osios plenarinės sesijos metu EDAV priėmė pareiškimą dėl Europos Sąjungos Teisingumo Teismo sprendimo byloje Facebook Ireland prieš Schrems. Valdyba priėmė Antrosios Mokėjimo paslaugų direktyvos (MPD 2) ir BDAR sąveikos gaires, taip pat parengė atsakymą EP narei L. Ďuriš Nicholsonovai dėl kontaktų atsekimo, mobiliųjų programėlių suderinamumo ir PDAV.

EDAV priėmė pareiškimą dėl Europos Sąjungos Teisingumo Teismo sprendimo Data Protection Commissioner prieš Facebook Ireland ir Maximillian Schrems (C-311/18), kuriuo panaikinamas Sprendimas 2016/1250 dėl ES ir JAV „privatumo skydo“ užtikrinamos apsaugos tinkamumo ir kuriuo Komisijos sprendimas 2010/87 dėl sutarčių standartinių sąlygų, nustatytų asmens duomenų perdavimui trečiosiose šalyse įsikūrusiems tvarkytojams, laikomas galiojančiu.

Dėl „privatumo skydo“, EDAV pažymi, kad ES ir JAV turėtų sukurti išsamią ir veiksmingą sistemą, kuria būtų užtikrinama, kad asmens duomenų apsaugos lygis JAV iš esmės būtų tapatus ES užtikrinamam lygiui, laikantis Teisingumo Teismo sprendimo. EDAV ketina toliau atlikti konstruktyvų vaidmenį užtikrindama transatlantinio asmens duomenų perdavimo saugumą ir siekdama naudos EEE piliečiams ir organizacijoms, taip pat yra pasirengusi Europos Komisijai teikti pagalbą ir rekomendacijas, kad padėtų Komisijai kartu su JAV sukurti naują sistemą, visiškai atitinkančią ES duomenų apsaugos teisę.

Dėl standartinių sutarčių sąlygų EDAV atkreipia dėmesį į tai, kad būtent eksportuotojas ir importuotojas, svarstydamas, ar sutikti su standartinėmis sutarčių sąlygomis, privalo užtikrinti, kad būtų išlaikytas toks apsaugos lygis, kuris iš esmės atitinka BDAR užtikrinamą apsaugos lygį atsižvelgiant į ES chartiją. Atlikdamas tokį išankstinį vertinimą duomenų eksportuotojas (prireikus, padedamas duomenų importuotojo) atsižvelgia į standartinių sutarčių sąlygų turinį, konkrečias duomenų perdavimo aplinkybes ir teisinę tvarką, taikomą duomenų importuotojo valstybėje. Teisingumo Teismas pažymi, kad eksportuotojui gali tekti apsvarstyti galimybę imtis papildomų priemonių be tų, kurios įtrauktos į standartines sutarčių sąlygas. EDAV toliau vertins, kokios tai galėtų būti papildomos priemonės.

EDAV taip pat atkreipia dėmesį į priežiūros institucijoms suteiktus įgaliojimus sustabdyti arba uždrausti duomenų perdavimą į trečiąją valstybę pagal standartines sutarčių sąlygas, jeigu, kompetentingos priežiūros institucijos manymu ir atsižvelgiant į visas to perdavimo aplinkybes, tų standartinių sutarčių sąlygų nesilaikoma arba negali būti laikomasi toje trečiojoje valstybėje, ir perduodamų duomenų apsaugos neįmanoma užtikrinti kitomis priemonėmis, visų pirma tais atvejais, kai duomenų valdytojas arba tvarkytojas pats nesustabdė arba nenutraukė duomenų perdavimo.

EDAV primena, kad ji priėmė gaires dėl BDAR 49 straipsnio ir kad tokios nukrypti leidžiančios nuostatos turi būti taikomos kiekvienu konkrečiu atveju.

EDAV Teisingumo Teismo sprendimą įvertins išsamiau ir suinteresuotiesiems subjektams pateiks daugiau aiškinamosios informacijos bei rekomendacijų dėl asmens duomenų perdavimo į trečiąsias valstybes priemonių naudojimo pagal Teisingumo Teismo sprendimą. EDAV ir jos Europos priežiūros institucijos taip pat yra pasirengusios, kaip nurodo ESTT, visoje EEE užtikrinti nuoseklumą.

Su visu dokumento tekstu galima susipažinti adresu https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en.

EDAV priėmė antrosios Mokėjimo paslaugų direktyvos (MPD 2) gaires. MPD 2 modernizuojama mokėjimo paslaugų rinkos teisinė sistema. Svarbu tai, kad MPD 2 nustatoma naujų mokėjimo inicijavimo paslaugų (angl. PISP) ir informavimo apie sąskaitas paslaugų (angl. AISP) teisinė sistema. Naudotojai gali prašyti, kad šiems naujiems mokėjimo paslaugų teikėjams būtų suteikta prieiga prie jų mokėjimo sąskaitų. Po 2019 m. vasario mėn. surengto suinteresuotųjų šalių seminaro EDAV parengė BDAR taikymo šioms naujoms mokėjimo paslaugoms gaires.

Gairėse nurodyta, kad šiomis aplinkybėmis tvarkyti specialių kategorijų asmens duomenis paprastai draudžiama (pagal BDAR 9 straipsnio 1 dalį), išskyrus atvejus, kai duomenų subjektas duoda aiškų sutikimą (BDAR 9 straipsnio 2 dalies a punktas) arba duomenis tvarkyti būtina dėl svarbių viešojo intereso priežasčių (BDAR 9 straipsnio 2 dalies g punktas).

Gairėse taip pat aptariamos sąlygos, kuriomis sąskaitas tvarkantys mokėjimo paslaugų teikėjai (angl. ASPSP) suteikia prieigą PISP ir AISP prie mokėjimo sąskaitos informacijos, ypač neapibendrintą prieigą prie mokėjimo sąskaitų.

Gairėse paaiškinta, kad nei MPD 2 66 straipsnio 3 dalies g punkte, nei 67 straipsnio 2 dalies f punkte neleidžiama toliau tvarkyti duomenų, išskyrus atvejus, kai duomenų subjektas yra davęs sutikimą pagal BDAR 6 straipsnio 1 dalies a punktą arba duomenis tvarkyti leidžiama pagal Sąjungos arba valstybės narės teisę. Gairės bus pateiktos viešoms konsultacijoms.

Galiausiai Valdyba patvirtino raštą, kuriame atsakoma į EP narės L. Ďuriš Nicholsonová klausimus dėl duomenų tvarkymo kovojant su COVID-19. Rašte nagrinėjami klausimai dėl kontaktų sekimo taikomųjų programų suderinamumo ir sąveikumo, reikalavimo atlikti tokio duomenų tvarkymo PDAV ir laikotarpio, kuriuo gali būti tvarkomi duomenys, nustatymo.

EDPB_Press Release_2020_12