Europos duomenų apsaugos valdyba

Europos duomenų apsaugos valdybos trisdešimt septintasis plenarinis posėdis: Gairės dėl duomenų valdytojų ir duomenų tvarkytojų, Gairės dėl veiksmų nukreipimo į socialinių tinklų naudotojus, darbo grupė skundams, pateiktiems atsižvelgiant į ESTT sprendimą

Friday, 4 September, 2020

Briuselis, rugsėjo 3 d. Valdyba priėmė gaires dėl BDAR nustatytų duomenų valdytojo ir duomenų tvarkytojo sąvokų ir Gaires dėl veiksmų nukreipimo į socialinių tinklų naudotojus. Be to, EDAV atsižvelgdama į ESTT sprendimą Schrems II, sudarė darbo grupę skundams, pateiktiems atsižvelgiant į ESTT sprendimą Schrems II, nagrinėti ir darbo grupę dėl papildomų priemonių, kurias taikyti gali būti pavesta duomenų eksportuotojams ir importuotojams, siekiant užtikrinti tinkamą perduodamų duomenų apsaugą, atsižvelgiant į ESTT sprendimą Schrems II.

Valdyba priėmė Gaires dėl duomenų valdytojo ir duomenų tvarkytojo sąvokų pagal BDAR. Pradėjus taikyti BDAR kilo klausimas, kaip BDAR pakeitė šias sąvokas, visų pirma bendro duomenų valdymo sąvoką (kaip apibrėžta BDAR 26 straipsnyje ir keliuose ESTT sprendimuose), taip pat BDAR IV skyriuje (visų pirma BDAR 28 straipsnyje) nustatytas duomenų tvarkytojų prievoles.

2019 m. kovo mėn. EDAV kartu su savo sekretoriatu surengė suinteresuotųjų subjektų renginį, kuriame paaiškėjo, kad reikia daugiau praktinių gairių, ir EDAV galėjo geriau įsigilinti į šios srities poreikius ir problemas. Naujosios gairės susideda iš dviejų pagrindinių dalių: vienoje paaiškinamos įvairios sąvokos, kitoje pateikiamos išsamios gairės dėl pagrindinių šių sąvokų pasekmių duomenų valdytojams, duomenų tvarkytojams ir bendriems duomenų valdytojams. Gairėse pateikiama struktūrinė schema su papildomais praktiniais nurodymais. Gairės bus pateiktos viešoms konsultacijoms.

EDAV priėmė Gaires dėl veiksmų nukreipimo į socialinių tinklų naudotojus. Jose suinteresuotosioms šalims pateikiama praktinių gairių ir įvairių situacijų pavyzdžių, kad jos galėtų greitai nustatyti „scenarijų“, kuris yra panašiausias į tai, kaip jos ketina nukreipti savo veiksmus. Pagrindinis gairių tikslas – paaiškinti socialinių tinklų paslaugų teikėjo ir tikslinio asmens vaidmenis ir atsakomybę. Šiuo tikslu gairėse, be kita ko, nustatomi galimi pavojai asmens laisvei, pagrindiniai subjektai ir jų vaidmenys, pagrindinių duomenų apsaugos reikalavimų, pavyzdžiui, teisėtumo ir skaidrumo, taikymas ir poveikio duomenų apsaugai vertinimas, taip pat pagrindiniai socialinių tinklų paslaugų teikėjų ir tikslinių asmenų susitarimų elementai. Be to, gairėse daug dėmesio skiriama įvairiems veiksmų nukreipimo mechanizmams, specialių kategorijų duomenų tvarkymui ir bendrų duomenų valdytojų pareigai sudaryti tinkamą susitarimą pagal BDAR 26 straipsnį. Plenarinio posėdžio dalyviai šias gaires pateiks viešoms konsultacijoms.

EDAV sudarė darbo grupę po ESTT sprendimo Schrems II pateiktiems skundams nagrinėti. Iš viso EEE duomenų apsaugos institucijoms pateikti 101 identiški skundai prieš kelis duomenų valdytojus EEE valstybėse narėse dėl jų naudojimosi „Google“ ir „Facebook“ paslaugomis, kurias teikiant perduodami asmens duomenys. Konkrečiai nevyriausybinės organizacijos NOYB atstovaujami skundų pateikėjai teigia, kad „Google“ ir „Facebook“, remdamosi ES ir JAV „privatumo skydo“ susitarimo arba standartinėmis sutarčių sąlygomis, perduoda asmens duomenis į JAV ir kad pagal neseniai priimtą ESTT sprendimą byloje C-311/18 duomenų valdytojas negali užtikrinti tinkamos skundo pateikėjų duomenų apsaugos. Darbo grupė išanalizuos šį klausimą ir užtikrins glaudų EDAV narių bendradarbiavimą.

Atsižvelgdama į ESTT sprendimą Schrems II ir liepos 23 d. patvirtinusi dažnai užduodamų klausimų dokumentą, EDAV sudarė darbo grupę. Ši darbo grupė paruoš rekomendacijas, padėsiančias duomenų valdytojams ir duomenų tvarkytojams vykdyti savo pareigą nustatyti ir įgyvendinti papildomas priemones tinkamai į trečiąsias šalis perduodamų apsaugai užtikrinti.

EDAV pirmininkė Andrea Jelinek: „EDAV gerai žino, kad Schrems II sprendimu duomenų valdytojams nustatoma svarbi pareiga. Be šio pareiškimo ir dažnai užduodamų klausimų, kuriuos parengėme iškart po to, kai buvo priimtas šis sprendimas, taip pat parengsime rekomendacijas, padėsiančias duomenų valdytojams ir duomenų tvarkytojams vykdyti savo pareigą nustatyti ir įgyvendinti tinkamas papildomas teisinio, techninio ir organizacinio pobūdžio priemones ir taip pasiekti lygiavertę į trečiąsias šalis perduodamų asmens duomenų apsaugą. Tačiau sprendimo poveikis yra platus, o duomenų perdavimo į trečiąsias šalis aplinkybės labai skirtingos. Todėl nėra vieno visiems tinkamo sprendimo. Kiekviena organizacija turės įvertinti savo duomenų tvarkymo veiksmus ir perdavimus ir imtis atitinkamų priemonių.“

Pastaba redaktoriams
Primename, kad visus EDAV plenariniame posėdyje patvirtintus dokumentus turi patikrinti teisininkai, kalbininkai ir formatavimo specialistai. EDAV interneto svetainėje jie bus paskelbti užbaigus šias patikras.

EDPB_Press Release_2020_14