Briuselis, spalio 9 d. Per naujausią plenarinį posėdį Europos duomenų apsaugos valdyba (EDAV) priėmė nuomonę dėl tam tikrų pareigų, susijusių su pasikliovimu duomenų tvarkytoju (-ais) ir pagalbiniu (-iais) duomenų tvarkytoju (-ais), Teisėto intereso gaires, pareiškimą dėl papildomų BDAR vykdymo užtikrinimo procedūrinių taisyklių nustatymo ir 2024–2025 m. EDAV darbo programą.
Pirma, Danijos duomenų apsaugos institucijai (DAI) pateikus prašymą Valdybai pagal BDAR 64 straipsnio 2 dalį, EDAV priėmė nuomonę dėl tam tikrų pareigų, susijusių su pasikliovimu duomenų tvarkytoju (-ais) ir pagalbiniu (-iais) duomenų tvarkytoju (-ais). BDAR 64 straipsnio 2 dalyje nustatyta, kad bet kuri DAI gali prašyti Valdybos pateikti nuomonę visuotinai taikomais arba poveikį daugiau nei vienoje valstybėje narėje darančiais klausimais.
Nuomonėje kalbama apie atvejus, kai duomenų valdytojai pasikliauja vienu ar daugiau duomenų tvarkytojų ir pagalbinių duomenų tvarkytojų. Visų pirma jame nagrinėjami aštuoni klausimai dėl tam tikrų duomenų valdytojų, pasikliaujančių duomenų tvarkytojais ir pagalbiniais duomenų tvarkytojais, pareigų aiškinimo, taip pat dėl duomenų valdytojo ir duomenų tvarkytojo sutarčių, visų pirma kylančių iš BDAR 28 straipsnio, formuluotės.
Nuomonėje paaiškinama, kad duomenų valdytojai turėtų turėti galimybę bet kuriuo metu lengvai gauti informaciją apie visų duomenų tvarkytojų, pagalbinių duomenų tvarkytojų ir kt. tapatybę (t. y. vardą ir pavardę, adresą, kontaktinį asmenį), kad galėtų kuo geriau įvykdyti savo prievoles pagal BDAR 28 straipsnį. Be to, duomenų valdytojo pareiga patikrinti, ar duomenų tvarkytojai (pagalbiniai duomenų tvarkytojai) pateikia „pakankamas garantijas“, turėtų būti taikoma neatsižvelgiant į pavojų duomenų subjektų teisėms ir laisvėms, nors tokio patikrinimo mastas gali skirtis, visų pirma atsižvelgiant į su duomenų tvarkymu susijusią riziką.
Nuomonėje taip pat teigiama, kad nors pirminis duomenų tvarkytojas turėtų užtikrinti, kad jis pasiūlytų pagalbinius duomenų tvarkytojus, kuriems būtų suteiktos pakankamos garantijos, galutinį sprendimą ir atsakomybę dėl konkretaus pagalbinio duomenų tvarkytojo dalyvavimo priima duomenų valdytojas.
EDAV mano, kad pagal BDAR duomenų valdytojas neprivalo sistemingai prašyti pagalbinio duomenų tvarkymo sutarčių, kad patikrintų, ar duomenų apsaugos prievolės buvo perduotos duomenų tvarkymo grandinei. Duomenų valdytojas turėtų įvertinti, ar būtina prašyti tokių sutarčių kopijos arba jas peržiūrėti, kad galėtų įrodyti atitiktį BDAR.
Be to, kai asmens duomenys perduodami už Europos ekonominės erdvės ribų tarp dviejų (pagalbinių) duomenų tvarkytojų, duomenų tvarkytojas, kaip duomenų eksportuotojas, turėtų parengti atitinkamus dokumentus, pavyzdžiui, susijusius su naudotu perdavimo pagrindu, perdavimo poveikio vertinimu ir galimomis papildomomis priemonėmis. Tačiau, kadangi duomenų valdytojui vis dar taikomos BDAR 28 straipsnio 1 dalyje nustatytos pareigos dėl „pakankamų garantijų“, be 44 straipsnyje nustatytų pareigų užtikrinti, kad perduodant asmens duomenis nebūtų pakenkta apsaugos lygiui, jis turėtų įvertinti šiuos dokumentus ir galėti juos parodyti kompetentingai duomenų apsaugos institucijai.
Be to, Valdyba priėmė Teisėtu interesu grindžiamo asmens duomenų tvarkymo gaires.
Duomenų valdytojams reikia teisinio pagrindo, kad jie galėtų teisėtai tvarkyti asmens duomenis. Teisėtas interesas yra vienas iš šešių galimų teisinių pagrindų.
Šiose gairėse analizuojami BDAR 6 straipsnio 1 dalies f punkte nustatyti kriterijai, kuriuos duomenų valdytojai turi atitikti, kad teisėtai tvarkytų asmens duomenis teisėto intereso pagrindu. Jame taip pat atsižvelgiama į neseniai priimtą ETT sprendimą šiuo klausimu (C-621/22, 2024 m. spalio 4 d.).
Kad galėtų remtis teisėtu interesu, duomenų valdytojas turi atitikti tris kumuliacines sąlygas:
-
duomenų valdytojas arba trečioji šalis siekia teisėto intereso;
-
būtinybė tvarkyti asmens duomenis siekiant teisėto intereso;
-
Fizinių asmenų interesai arba pagrindinės laisvės ir teisės nėra viršesni už duomenų valdytojo arba trečiosios šalies teisėtą (-us) interesą (-us) (pusiausvyros nustatymas).
Visų pirma, tik teisėti, aiškiai ir tiksliai suformuluoti, realūs ir esami interesai gali būti laikomi teisėtais. Pavyzdžiui, tokie teisėti interesai galėtų egzistuoti tuo atveju, kai asmuo yra klientas arba dirba duomenų valdytojui.
Antra, jei yra pagrįstų, taip pat veiksmingų, bet mažiau intervencinių alternatyvų siekiamiems interesams įgyvendinti, duomenų tvarkymas gali būti nelaikomas būtinu. Duomenų tvarkymo būtinumas taip pat turėtų būti nagrinėjamas laikantis duomenų kiekio mažinimo principo.
Trečia, duomenų valdytojas turi užtikrinti, kad jo teisėtas interesas nebūtų viršesnis už asmens interesus, t. y. pagrindines laisvių teises. Atlikdamas šį palyginimą duomenų valdytojas turi atsižvelgti į fizinių asmenų interesus, duomenų tvarkymo poveikį ir jų pagrįstus lūkesčius, taip pat į tai, ar yra papildomų apsaugos priemonių, kuriomis būtų galima apriboti poveikį fiziniam asmeniui.
Be to, šiose gairėse paaiškinama, kaip šis vertinimas turėtų būti atliekamas praktiškai, be kita ko, įvairiomis konkrečiomis aplinkybėmis, pavyzdžiui, sukčiavimo prevencijos, tiesioginės rinkodaros ir informacijos saugumo srityse. Dokumente taip pat paaiškinamas ryšys tarp šio teisinio pagrindo ir tam tikrų duomenų subjektų teisių pagal BDAR.
Dėl gairių iki 2024 m. lapkričio 20 d. bus rengiamos viešos konsultacijos.
Be to, Valdyba priėmė pareiškimą po to, kai Europos Parlamentas ir Taryba iš dalies pakeitė Europos Komisijos pasiūlymą dėl reglamento, kuriuo nustatomos papildomos procedūrinės taisyklės, susijusios su BDAR vykdymo užtikrinimu.
Pareiškime iš esmės palankiai vertinami Europos Parlamento ir Tarybos padaryti pakeitimai ir rekomenduojama toliau nagrinėti konkrečius elementus, kad naujuoju reglamentu būtų pasiekti valdžios institucijų bendradarbiavimo supaprastinimo ir BDAR vykdymo užtikrinimo gerinimo tikslai.
Pareiškime pateikiamos praktinės rekomendacijos, kurios gali būti naudojamos būsimuose trišaliuose dialoguose. Visų pirma EDAV pakartoja, kad draugiškiems susitarimams reikia teisinio pagrindo ir suderintos procedūros, ir teikia rekomendacijas, siekdama užtikrinti, kad kuo veiksmingiau būtų pasiektas bendras sutarimas dėl pagrindinių klausimų santraukos. Valdyba taip pat palankiai vertina tai, kad įtraukti papildomi terminai, ir primena, kad jie turi būti realistiški, ir primygtinai ragina teisėkūros institucijas ginčų sprendimo procedūroje panaikinti nuostatas, susijusias su tinkamais ir pagrįstais prieštaravimais ir motyvų pareiškimu.
Pareiškime palankiai vertinamas tikslas užtikrinti didesnį skaidrumą, tačiau norint parengti bendrą bylos medžiagą, kaip siūlo Europos Parlamentas, reikėtų atlikti sudėtingus Europos ir nacionaliniu lygmenimis naudojamų dokumentų valdymo ir komunikacijos sistemų pakeitimus. Techniniai jo įgyvendinimo sprendimai turėtų būti atidžiai įvertinti, o prieigos prie jo suteikimo sąlygos turėtų būti išsamiau paaiškintos.
EDAV palankiai vertina Tarybos pakeitimą, kuriuo vadovaujančiai DAI leidžiama paprastais ir paprastais atvejais netaikyti vadinamojo tvirtesnio bendradarbiavimo, tačiau pabrėžia, kad reikia išsamiau paaiškinti šios išimties taikymo sritį.
EDAV pirmininkė Anu Talus sakė: „Reglamento projektu galima gerokai supaprastinti BDAR vykdymo užtikrinimą didinant bylų nagrinėjimo veiksmingumą. Reikia didesnio suderinimo ES lygmeniu, kad BDAR bendradarbiavimo ir nuoseklumo užtikrinimo mechanizmai būtų kuo veiksmingesni.“
Per paskutinę plenarinę sesiją Valdyba priėmė savo 2024–2025 m. darbo programą. Tai pirmoji iš dviejų darbo programų, kuriomis bus įgyvendinama 2024 m. balandžio mėn. priimta 2024–2027 m. EDAV strategija. Jis grindžiamas EDAV strategijoje nustatytais prioritetais ir jame taip pat atsižvelgiama į poreikius, kurie, kaip nustatyta, yra svarbiausi suinteresuotiesiems subjektams.
Galiausiai EDAV nariai sutiko suteikti stebėtojo statusą EDAV veikloje Kosovo informacijos ir privatumo agentūrai (Kosovano DAI) pagal EDAV darbo tvarkos taisyklių 8 straipsnį.
Čia paskelbtas pranešimas spaudai buvo automatiškai išverstas iš anglų kalbos. EDAV negarantuoja vertimo tikslumo. Jei kyla abejonių, žr. oficialų tekstą anglų kalba.