Eiropas Datu aizsardzības kolēģija

Eiropas Datu aizsardzības kolēģija – 34. plenārsēde: Schrems II, Mijiedarbība starp MPD2 un VDAR, kā arī vēstule EP deputātei Ďuriš Nicholsonová par kontaktu izsekošanu, lietotņu savietojamību un novērtējumiem par ietekmi uz datu aizsardzību (NIDA).

Monday, 20 July, 2020

Briselē, 20. jūlijā EDAK tās 34. plenārsēdē pieņēma paziņojumu par EST nolēmumu lietā Facebook Ireland pret Schrems. Kolēģija pieņēma pamatnostādnes par mijiedarbību starp otro maksājumu pakalpojumu direktīvu (MPD2) un VDAR, kā arī atbildi uz EP deputātes Ďuriš Nicholsonová vēstuli par kontaktu izsekošanu, lietotņu savietojamību un NIDA.

EDAK pieņēma paziņojumu par spriedumu Eiropas Savienības Tiesas lietā C-311/18 Datu aizsardzības komisārs pret Facebook Ireland un Maximillian Schrems, ar kuru tiek pasludināts par spēkā neesošu Lēmums 2016/1250 par pienācīgu aizsardzību, ko nodrošina ES un ASV privātuma vairogs, un pasludina par spēkā esošu Komisijas Lēmumu 2010/87 par līguma standartklauzulām (LSK) attiecībā uz personas datu pārsūtīšanu trešās valstīs reģistrētiem apstrādātājiem.

Attiecībā uz privātuma vairogu EDAK norāda, ka ES un ASV ir jāpanāk pilnīgs un efektīvs regulējums, ar ko garantē, ka personas datu aizsardzības līmenis ASV ir būtībā līdzvērtīgs tam, ko garantē ES saskaņā ar spriedumu. EDAK plāno arī turpmāk konstruktīvi piedalīties personas datu transatlantiskās nosūtīšanas nodrošināšanā, kas nāks par labu EEZ iedzīvotājiem un organizācijām, un ir gatava sniegt Eiropas Komisijai palīdzību un norādījumus, lai kopā ar ASV palīdzētu tai izveidot jaunu sistēmu, kas pilnībā atbilst ES datu aizsardzības tiesību aktiem.

Attiecībā uz līguma standartklauzulām EDAK atzīmē nosūtītāja un saņēmēja galveno atbildību, izvērtējot, vai noslēgt LSK, lai nodrošinātu, ka ar tām tiek uzturēts aizsardzības līmenis, kas pēc būtības ir ekvivalents līmenim, ko garantē ar VDAR ES Hartas kontekstā. Veicot šādu iepriekšēju novērtējumu, eksportētājs (vajadzības gadījumā ar importētāja palīdzību) ņem vērā LSK saturu, nosūtīšanas īpašos apstākļus, kā arī importētāja valstī piemērojamo tiesisko regulējumu. Tiesa uzsver, ka nosūtītājam vajadzētu izvērtēt pasākumu ieviešanas iespēju papildus tiem pasākumiem, kas iekļauti LSK. EDAK turpinās vēl pētīt, no kā varētu sastāvēt šie papildu pasākumi.

EDAK arī ņem vērā kompetento uzraudzības iestāžu (UI) pienākumus apturēt vai aizliegt datu nosūtīšanu uz trešo valsti saskaņā ar LSK, ja, saskaņā ar kompetentās UI viedokli un ņemot vērā visus šīs nosūtīšanas apstākļus, šīs klauzulas šajā trešā valstī netiek vai nevar tikt ievērotas un nosūtīto datu aizsardzību nevar nodrošināt ar citiem līdzekļiem, jo īpaši, ja pārzinis vai apstrādātājs pats nav apturējis vai izbeidzis nosūtīšanu.

EDAK atgādina, ka tā ir pieņēmusi pamatnostādnes par VDAR 49. pantu un ka šādas atkāpes ir jāpiemēro katrā gadījumā atsevišķi.

EDAK sīkāk izvērtēs spriedumu un sniegs papildu skaidrojumu ieinteresētajām personām un norādījumus par instrumentu izmantošanu personas datu nosūtīšanai uz trešām valstīm saskaņā ar spriedumu. Kā norādījusi Eiropas Savienības Tiesa, EDAK un tās Eiropas uzraudzības iestādes ir gatavas nodrošināt konsekvenci visā EEZ.

Viss dokuments ir pieejams šeit: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en

EDAK ir pieņēmusi pamatnostādnes par otro maksājumu pakalpojumu direktīvu (MPD2). Ar MPD2 tiek modernizēts maksājumu pakalpojumu tirgus tiesiskais regulējums. Svarīgi, ka ar MPD2 tiek ieviests jauns tiesiskais regulējums maksājumu iniciēšanas pakalpojumiem (MIP) un konta informācijas pakalpojumiem (KIP). Lietotāji var pieprasīt, ka šo jauno maksājumu pakalpojumu sniedzējiem tiek piešķirta piekļuve viņu maksājumu kontiem. Pēc ieinteresēto personu darbsemināra 2019. gada februārī EDAK izstrādāja pamatnostādnes par VDAR piemērošanu šiem jaunajiem maksājumu pakalpojumiem.

Pamatnostādnēs norādīts, ka šajā kontekstā īpašu kategoriju personas datu apstrāde ir visumā aizliegta (atbilstoši VDAR 9. panta 1. apakšpunktam), izņemot gadījumu, kad datu subjekts ir devis nepārprotamu piekrišanu (VDAR 9. panta 2. punkta a) apakšpunkts) vai apstrāde ir vajadzīga būtisku sabiedrības interešu dēļ (VDAR 9. panta 2. punkta g) apakšpunkts).

Pamatnostādnēs ir arī aplūkoti nosacījumi, kādos kontu apkalpojošo maksājumu pakalpojumu sniedzēji piešķir MIP un KIP piekļuvi maksājumu kontu informācijai, jo īpaši detalizētu piekļuvi maksājumu kontiem.

Pamatnostādnēs paskaidrots, ka ne MPD2 66. panta 3. punkta g) apakšpunkts, ne 67. panta 2. punkta f) apakšpunkts neļauj veikt turpmāku apstrādi, ja vien datu subjekts nav devis piekrišanu atbilstoši VDAR 6. panta 1. punkta a) apakšpunktam vai uz apstrādi neattiecas Savienības vai dalībvalsts tiesību akti. Par pamatnostādnēm notiks sabiedriskā apspriešana.

Visbeidzot kolēģija pieņēma atbildes vēstuli EP deputātei Ďuriš Nicholsonová uz viņas jautājumiem par datu aizsardzību cīņas pret Covid-19 kontekstā. Vēstulē aplūkoti jautājumi par kontaktu izsekošanas lietotņu harmonizāciju un savietojamību, NIDA prasībām šādai apstrādei un periodu, kādā apstrāde jāievieš.

EDPB_Press Release_2020_12