Briuselis, liepos 11 d. Liepos 9 ir 10 d. į dvyliktąjį plenarinį Europos duomenų apsaugos valdybos (EDAV) posėdį susirinko Europos ekonominės erdvės (EEE) duomenų apsaugos institucijų atstovai ir Europos duomenų apsaugos priežiūros pareigūnas (EDAPP). Per plenarinį posėdį aptarti įvairūs klausimai.
Stebėjimo vaizdo kameromis gairės
Valdyba priėmė stebėjimo vaizdo kameromis gaires, kuriose paaiškinama, kaip Bendrasis duomenų apsaugos reglamentas (BDAR) taikomas tvarkant asmens duomenis, kai naudojami vaizdo prietaisai, ir kuriomis siekiama užtikrinti nuoseklų BDAR taikymą šioje srityje. Šios gairės taikomos ir tradiciniams, ir išmaniesiems vaizdo prietaisams. Pastarųjų atveju gairėse daugiausia dėmesio skiriama taisyklėms dėl ypatingų kategorijų duomenų tvarkymo. Be to, gairės apima, be kita ko, duomenų tvarkymo teisėtumą, išimties namų ūkiams taikymą ir filmuotos medžiagos atskleidimą trečiosioms šalims. Dėl šių gairių bus rengiamos viešos konsultacijos.
EDAV ir EDAPP bendras atsakymas LIBE komitetui dėl JAV CLOUD akto poveikio
EDAV priėmė bendrą EDAV ir EDAPP atsakymą į Europos Parlamento Piliečių laisvių, teisingumo ir vidaus reikalų komiteto (LIBE) prašymą atlikti teisinį vertinimą, susijusį su JAV CLOUD akto poveikiu ES teisės duomenų apsaugos sistemai ir įgaliojimais derėtis dėl ES ir JAV susitarimo dėl tarpvalstybinės prieigos prie elektroninių įrodymų vykdant teisminį bendradarbiavimą baudžiamosiose bylose. Pagal CLOUD aktą JAV teisėsaugos institucijoms leidžiama reikalauti, kad JAV paslaugų teikėjai atskleistų duomenis nepriklausomai nuo to, kur tie duomenys saugomi.
EDAV ir EDAPP pabrėžia, kad išsamus ES ir JAV susitarimas dėl tarpvalstybinės prieigos prie elektroninių įrodymų, apimantis patikimas procedūrines ir esmines pagrindinių teisių apsaugos priemones, yra tinkamiausia priemonė užtikrinti būtiną ES duomenų subjektų apsaugos lygį ir įmonių teisinį tikrumą.
BDAR 64 straipsnis. Nuomonė dėl duomenų tvarkytojų standartinių sutarčių sąlygų pagal BDAR 28 straipsnio 8 dalį (pateikė Danijos priežiūros institucija)
EDAV priėmė nuomonę dėl standartinių sutarčių sąlygų (SSS), nustatančių duomenų tvarkytojų duomenų tvarkymo procedūrą, projekto, kurį valdybai pateikė Danijos priežiūros institucija. Nuomone, kuri yra pirmoji šia tema, siekiama užtikrinti nuoseklų BDAR 28 straipsnio, susijusio su duomenų tvarkytojais, taikymą. Joje valdyba pateikė kelias rekomendacijas, į kurias reikia atsižvelgti siekiant, kad Danijos priežiūros institucijos pateiktas SSS projektas būtų laikomas standartinėmis sutarčių sąlygomis. Jei bus įgyvendintos visos rekomendacijos, pagal BDAR 28 straipsnio 8 dalį Danijos priežiūros institucija galės šį susitarimo projektą naudoti kaip sutarčių standartines sąlygas.
BDAR 64 straipsnis. Nuomonė dėl elgesio kodeksų stebėsenos įstaigų akreditacijos kriterijų (pateikė Austrijos priežiūros institucija)
Gavusi Austrijos priežiūros institucijos sprendimo dėl elgesio kodeksų stebėsenos įstaigų akreditacijos kriterijų projektą, EDAV priėmė savo nuomonę. EDAV sutiko, kad visiems kodeksams, taikomiems ne valdžios institucijoms ir įstaigoms, pagal BDAR reikėtų priskirti akredituotas stebėsenos įstaigas.
BDAR 64 straipsnis. Nuomonė dėl priežiūros institucijos kompetencijos pasikeitus aplinkybėms, susijusioms su pagrindine arba vienintele buveine
Valdyba priėmė nuomonę dėl priežiūros institucijos kompetencijos pasikeitus aplinkybėms, susijusioms su pagrindine arba vienintele buveine. Taip gali atsitikti, kai pagrindinė buveinė perkeliama Europos ekonominėje erdvėje, pagrindinė buveinė perkeliama iš trečiosios šalies į EEE arba tuomet, kai pagrindinės arba vienintelės buveinės EEE nebelieka. Tokiomis aplinkybėmis EDAV laikosi nuomonės, kad vadovaujančiosios priežiūros institucijos kompetenciją gali perimti kita priežiūros institucija. Šiuo atveju bus toliau taikoma 60 straipsniu nustatyta bendradarbiavimo procedūra ir naujoji vadovaujančioji priežiūros institucija bus įpareigota bendradarbiauti su buvusia vadovaujančiąja priežiūros institucija ir kitomis atitinkamomis priežiūros institucijomis, kad būtų pasiektas bendras sutarimas. Kompetencija gali būti perimta tol, kol kompetentinga priežiūros institucija nepriima galutinio sprendimo.
Bendra EDAV ir EDAPP nuomonė dėl eHDSI
Valdyba priėmė bendrą EDAV ir EDAPP nuomonę dėl asmens duomenų apsaugos aspektų, susijusių su pacientų duomenų tvarkymu e. sveikatos skaitmeninių paslaugų infrastruktūroje (eHDSI). Tai pirmoji bendra EDAV ir EDAPP nuomonė, priimta gavus Europos Komisijos prašymą pagal Reglamento (ES) 2018/1725 dėl ES institucijų ir įstaigų duomenų apsaugos 42 straipsnio 2 dalį. Šioje nuomonėje EDAV ir EDAPP mano, kad šiuo konkrečiu atveju, taip pat dėl konkretaus pacientų duomenų tvarkymo eHDSI, nėra jokios priežasties nesutikti su Europos Komisijos vertinimu, kuriame ji išnagrinėjo savo, kaip duomenų tvarkytojo, vaidmenį. Be to, bendroje nuomonėje pabrėžiamas poreikis užtikrinti, kad visos Komisijos, kaip duomenų tvarkytojos, pareigos vykdant šią duomenų tvarkymo operaciją, kaip nurodyta taikytinuose duomenų apsaugos teisės aktuose, būtų aiškiai išdėstytos atitinkamame įgyvendinimo akte.
Kipro PDAV sąrašas
EDAV priėmė nuomonę dėl poveikio duomenų apsaugai vertinimo (PDAV) sąrašo, kurį valdybai pateikė Kipras. PDAV sąrašai yra svarbi priemonė, kuria užtikrinama, kad BDAR būtų nuosekliai taikomas visoje Europos ekonominėje erdvėje. PDAV – procedūra, padedanti nustatyti ir sumažinti duomenų apsaugos riziką, kuri galėtų paveikti asmenų teises ir laisves.
BDAR 64 straipsnis. Nuomonė dėl 35 straipsnio 5 dalies sąrašų, kuriuos pateikė Prancūzija, Ispanija ir Čekija (atleidimas nuo PDAV).
EDAV priėmė nuomonę dėl 35 straipsnio 5 dalies sąrašų, kuriuos valdybai pateikė Prancūzijos, Ispanijos ir Čekijos priežiūros institucijos.
Rekomendacija dėl Europos duomenų apsaugos priežiūros pareigūno sąrašo pagal Reglamento (ES) 2018/1725 39 straipsnio 4 dalį (PDAV sąrašas)
EDAV priėmė rekomendaciją dėl sąrašo pagal 39 straipsnio 4 dalį, kurį valdybai pateikė EDAPP. Prieš patvirtindamas šiuos sąrašus EDAPP turi konsultuotis su Europos duomenų apsaugos valdyba, jei „tokie sąrašai yra susiję su duomenų tvarkymo operacijomis, kurias duomenų valdytojas atlieka bendrai su vienu ar daugiau duomenų valdytojų, kurie nėra Sąjungos institucijos ir organai“ (Reglamento (ES) 2018/1725 39 straipsnio 6 dalis). Panašiai kaip ir poveikio duomenų apsaugai vertinimo sąrašai pagal BDAR, EDAPP sąraše duomenų valdytojams pateikiama informacija apie duomenų tvarkymo veiklą, dėl kurios reikia atlikti poveikio duomenų apsaugai vertinimą.