Europos duomenų apsaugos valdyba (EDAV) ir Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) patvirtino bendrą nuomonę dėl Duomenų valdymo akto

10 March 2021 EDPB

Briuselis, kovo 10 d. EDAV ir EDAPP patvirtino bendrą nuomonę dėl pasiūlymo dėl Duomenų valdymo akto (DVA). DVA tikslas – turėti prieinamesnių duomenų didinant pasitikėjimą duomenų tarpininkais[1] ir stiprinant dalijimosi duomenimis mechanizmus visoje ES. Visų pirma, pagal DVA ketinama sudaryti palankesnes sąlygas, kad būtų turima prieinamų viešojo sektoriaus duomenų, kuriuos būtų galima pakartotinai panaudoti, kad įmonėms tarpusavyje keistųsi duomenimis ir kad asmens duomenys būtų naudojami dalyvaujant dalijimosi asmens duomenimis tarpininkui. Pagal DVA taip pat siekiama sudaryti sąlygas naudoti duomenis altruistiniais tikslais.

EDAV ir EDAPP pripažįsta teisėtą DVA tikslą – gerinti keitimosi duomenimis vidaus rinkoje sąlygas. Be to, asmens duomenų apsauga yra esminis ir neatsiejamas pasitikėjimo skaitmenine ekonomika elementas. Šioje bendroje nuomonėje EDAV ir EDAPP ragina teisėkūros institucijas užtikrinti, kad būsimas DVA visiškai atitiktų ES asmens duomenų apsaugos teisės aktus, taip skatinant pasitikėjimą skaitmenine ekonomika ir išlaikant ES teisėje numatytą apsaugos lygį prižiūrint ES valstybių narių priežiūros institucijoms. 

EDAV pirmininkė Andrea Jelinek sakė: „ES duomenų apsaugos teisinė sistema netrukdo plėtoti duomenų ekonomikos. Veikiau priešingai – ji šiai ekonomikai padeda. Tik laikantis galiojančių duomenų apsaugos teisės aktų gali būti užtikrintas pasitikėjimas bet kokiu duomenų keitimusi. Bendrasis duomenų apsaugos reglamentas (BDAR) yra pagrindas, kuriuo remiantis turi būti sukurtas Europos duomenų valdymo modelis. Todėl pabrėžiame, kad reikia užtikrinti suderinamumą su BDAR, kiek tai susiję su priežiūros institucijų kompetencija, įvairių dalyvaujančių subjektų vaidmenimis, asmens duomenų tvarkymo teisiniu pagrindu, būtinomis apsaugos priemonėmis ir duomenų subjektų naudojimusi savo teisėmis.

Wojciech Wiewiórowski, Europos duomenų apsaugos priežiūros pareigūnas, pridėjo: „Matome, kad duomenų svarba ekonomikai ir visuomenei didėja, kaip nurodyta Europos duomenų strategijoje. Tačiau „didieji duomenys reikalauja didelės atsakomybės“, todėl turi būti įgyvendintos tinkamos duomenų apsaugos priemonės. Bendras Europos duomenų erdvių pagrindas turėtų užtikrinti, kad nebūtų daromas poveikis duomenų apsaugos teisynui.“

EDAV ir EDAPP mano, kad ES teisės aktų leidėjas turėtų užtikrinti, kad DVA formuluotėje būtų aiškiai ir nedviprasmiškai nurodyta, kad šis aktas neturės įtakos asmenų asmens duomenų apsaugos lygiui ir kad jis nekeis jokių teisių ir pareigų, nustatytų duomenų apsaugos teisės aktuose. 

Dėl viešojo sektoriaus institucijų turimų asmens duomenų pakartotinio naudojimo – EDAV ir EDAPP rekomenduoja suderinti DVA su galiojančiomis asmens duomenų apsaugos taisyklėmis, nustatytomis Bendrajame duomenų apsaugos reglamente, ir su Atvirųjų duomenų direktyva. Be to, turėtų būti paaiškinta, kad viešojo sektoriaus institucijų turimus asmens duomenis pakartotinai naudoti galima tik tuo atveju, jei tai numatyta ES arba valstybės narės teisėje. Tokiuose teisės aktuose turėtų būti išvardyti aiškūs ir suderinami tikslai, dėl kurių tolesnis duomenų tvarkymas gali būti teisėtai leidžiamas arba demokratinėje visuomenėje gali būti laikomas būtina ir proporcinga priemone siekiant apsaugoti BDAR 23 straipsnyje nurodytus tikslus.

Kalbant apie dalijimosi duomenimis paslaugų teikėjus, bendroje nuomonėje pabrėžiama, kad asmenims reikia užtikrinti išankstinės informacijos gavimo galimybę ir kontrolę, atsižvelgiant į pritaikytosios ir standartizuotosios duomenų apsaugos, skaidrumo ir tikslų apribojimo principus.  Be to, reikėtų patikslinti sąlygas, kuriomis tokie paslaugų teikėjai veiksmingai padėtų asmenims naudotis savo, kaip duomenų subjektų, teisėmis.

Duomenų altruizmo klausimu EDAV ir EDAPP rekomenduoja, kad Duomenų valdymo aktas turėtų geriau apibrėžti bendro intereso tikslus, susijusius su tokiu „duomenų altruizmu“. Duomenų altruizmo principas turėtų būti įgyvendinamas taip, kad asmenys galėtų lengvai duoti savo sutikimą ir jį atšaukti.

Atsižvelgdami į galimą riziką duomenų subjektams, kai jų asmens duomenis gali tvarkyti dalijimosi duomenimis paslaugų teikėjai arba duomenų altruizmo organizacijos, EDAV ir EDAPP mano, kad šių subjektų deklaratyvaus registravimo tvarka, kaip nustatyta Duomenų valdymo akte, nenumato pakankamai griežtos tokioms paslaugoms taikomos patikrinimo procedūros. Todėl EDAV ir EDAPP rekomenduoja išnagrinėti alternatyvias procedūras, numatančias sistemingiau įtraukti atskaitomybės priemones, visų pirma elgesio kodekso arba sertifikavimo mechanizmo laikymąsi.

Bendroje nuomonėje taip pat pateikiamos rekomendacijos, susijusios su priežiūros institucijų paskyrimu pagrindinėmis kompetentingomis institucijomis, atsakingomis už DVA nuostatų laikymosi kontrolę, konsultuojantis su kitomis susijusiomis sektoriaus institucijomis.

______________________________________
[1] Žr. pasiūlymo aiškinamąjį memorandumą, 1 psl.

Pastaba redaktoriams. Primename, kad visus Europos duomenų apsaugos valdybos plenariniame posėdyje priimtus dokumentus turi patikrinti teisininkai, kalbininkai ir formatavimo specialistai. Atlikus šias patikras jie bus paskelbti Europos duomenų apsaugos valdybos interneto svetainėje.

EDPB_Press Release_statement_2021_02