Jungtinės Karalystės sprendimų dėl tinkamumo projektai: EDAV priima nuomones

Briuselis, spalio 20 d. Paskutinės plenarinės sesijos metu EDAV priėmė dvi nuomones dėl Europos Komisijos sprendimų dėl Jungtinės Karalystės sprendimų dėl tinkamumo pagal Bendrąjį duomenų apsaugos reglamentą (BDAR) ir Teisėsaugos direktyvą galiojimo pratęsimo iki 2031 m. gruodžio mėn.*

EDAV nuomonėse, kurių Komisija paprašė pagal BDAR 70 straipsnio 1 dalies s punktą ir Teisėsaugos direktyvos 51 straipsnio 1 dalies g punktą, nagrinėjamas siūlomas dviejų JK sprendimų dėl tinkamumo, kurių galiojimas baigiasi 2025 m.gruodžio mėn., galiojimo pratęsimas šešeriems metams.

Pratęsus Jungtinės Karalystės sprendimų dėl tinkamumo galiojimą, Europoje įsisteigusios organizacijos ir kompetentingos institucijos galės toliau perduoti duomenis Jungtinėje Karalystėje įsisteigusioms organizacijoms ir institucijoms neįgyvendindamos papildomų garantijų**.

„EDAVpalankiai vertina tai, kad, nepaisant naujausių Jungtinės Karalystės teisinės sistemos pakeitimų, toliau derinama Jungtinės Karalystės ir Europos duomenų apsaugos sistema. 

Raginu Europos Komisiją atsižvelgti į Valdybos iškeltus klausimus ir užtikrinti veiksmingą stebėseną priėmus sprendimus. Tai padidins Jungtinės Karalystės tinkamumo patikimumą ir užtikrins didesnį teisinį tikrumą organizacijoms ir kompetentingoms institucijoms, perduodančioms asmens duomenis iš Europos į Jungtinę Karalystę.“

EDAV pirmininkė, Anu Talus

Apie BDAR nuomonę

Valdybos teigimu, dauguma Jungtinės Karalystės duomenų apsaugos sistemos pakeitimų siekiama paaiškinti ir palengvinti teisės aktų laikymąsi. 

Kai kurie sprendimo projekto aspektai galėtų būti išsamiau paaiškinti. 

EDAV prašo Europos Komisijos toliau analizuoti ir stebėti 2023 m. Išlaikytos ES teisės (atšaukimo ir reformos) akto, dar vadinamo REUL aktu, pakeitimus, visų pirma ES teisės viršenybės principo panaikinimą ir tiesioginio ES teisės principų taikymo panaikinimą.

EDAV pažymi, kad valstybės sekretoriui suteikti nauji įgaliojimai atlikti naujos duomenų apsaugos sistemos pakeitimus priimant antrinius reglamentus, kuriems reikia mažiau parlamentinės kontrolės. Tai taikytina tarptautiniam duomenų perdavimui, automatizuotam sprendimų priėmimui ir Informacijos komisaro biuro valdymui. EDAV ragina Komisiją šalinti galimą skirtumų riziką galutiniame sprendime dėl tinkamumo pabrėžiant sritis, kurias ji ketina atidžiai stebėti.

EDAV taip pat ragina Komisiją toliau tobulinti savo vertinimą ir stebėti duomenų perdavimo iš Jungtinės Karalystės į trečiąsias šalis taisykles. Pagal naują tinkamumo testą, nustatytą 2025 m. Duomenų (naudojimo ir prieigos) aktu, reikalaujama, kad trečiosios valstybės apsaugos lygis nebūtų iš esmės žemesnis už Jungtinės Karalystės sistemoje duomenų subjektams numatytą apsaugos lygį, tačiau šis testas nesusijęs su vyriausybės prieigos rizika, teisių gynimo priemonėmis asmenims ir nepriklausomos priežiūros institucijos poreikiu.

Komisija taip pat turėtų toliau vertinti ir stebėti, kaip Jungtinės Karalystės vyriausybė tariamai naudoja pranešimus apie techninius pajėgumus, kuriuose reikalaujama, kad įmonės apeitų šifravimą, nes taip būtų sukurtas sisteminis pažeidžiamumas ir kiltų pavojus elektroninių ryšių vientisumui ir konfidencialumui.

Galiausiai EDAV ragina Komisiją toliau vertinti ir stebėti informacijos komisaro struktūros pokyčius ir naudojimąsi savo įgaliojimais imtis taisomųjų veiksmų. Atsižvelgdama į tai, EDAV teigiamai vertina informacijos komisaro skaidrumo politiką ir jo vykdymo užtikrinimo veiklos statistinių ir analitinių duomenų prieinamumą.

Naujaisiais sprendimais dėl tinkamumo bus papildyti 2021 m. sprendimai, kurie ir toliau bus taikomi į 2025 m. sprendimų projektus neįtrauktoms sritims. EDAV remiasi savo 2021 m. nuomonėmis (14/2021 ir 15/2021). Visų pirma, 2021 m. akcentuotas glaudus BDAR sistemos ir Jungtinės Karalystės teisinės sistemos suderinimas su pagrindinėmis nuostatomis (įskaitant, pavyzdžiui, skaidrumą, duomenų subjektų teises ir specialių kategorijų duomenis) tebėra aktualus ir šiandien.

Apie LED nuomonę

EDAV palankiai vertina nuolatinį duomenų apsaugos sistemos derinimą Europoje ir Jungtinėje Karalystėje ir ragina Komisiją papildyti savo vertinimą dėl aspektų, susijusių su nacionalinio saugumo išimtimis. Dėl tokių išimčių teisėsaugos institucijoms gali būti netaikoma dauguma duomenų apsaugos principų ir kai kurios tarptautinės duomenų perdavimo taisyklės, be to, gali būti apriboti ICO vykdymo užtikrinimo ir tikrinimo įgaliojimai.

EDAV prašo Komisijos išanalizuoti Jungtinės Karalystės asmens duomenų perdavimo trečiosioms šalims taisykles, visų pirma naują tinkamumo testą, taip pat, kaip ir nuomonėje dėl BDAR.

Valdyba taip pat atkreipia dėmesį į lankstesnį požiūrį į automatizuotą sprendimų priėmimą ir naujus įgaliojimus, suteiktus valstybės sekretoriui šiuo klausimu. Ji primena prasmingos žmogaus atliekamos peržiūros svarbą ir primygtinai ragina Komisiją paaiškinti ir stebėti galimas asmenų teisės į žmogaus įsikišimą išimtis.

Galiausiai EDAV pripažįsta, kad baudžiamosios teisėsaugos agentūrų priežiūros sistema ir teisių gynimo mechanizmai iš esmės nepasikeitė, ir pakartoja, kad Komisija turi atidžiai stebėti, kaip Jungtinės Karalystės duomenų apsaugos sistemoje asmenims taikomi taisomieji įgaliojimai ir teisių gynimo priemonės.

Pastaba redaktoriams:

* 2025 m. liepos 22 d. Europos Komisija paskelbė du įgyvendinimo sprendimų, kuriais iš dalies keičiami įgyvendinimo sprendimai dėl tinkamos asmens duomenų apsaugos Jungtinėje Karalystėje pagal BDAR 45 straipsnio 3 dalį ir Teisėsaugos direktyvos 36 straipsnio 3 dalį, projektus. Šiais sprendimų projektais siekiama pratęsti ankstesnių 2021 m. birželio 28 d. priimtų sprendimų dėl tinkamumo galiojimą. 
2025 m. gegužės mėn. Komisija priėmė sprendimą pratęsti JK sprendimo dėl tinkamumo galiojimą dar šešiems mėnesiams – nuo 2025 m. birželio mėn. iki gruodžio mėn. 2025 m. gegužės mėn. EDAV priėmė nuomonę dėl šio pratęsimo.

** Sprendimas dėl tinkamumo yra pagrindinis ES duomenų apsaugos teisės aktų mechanizmas, leidžiantis Europos Komisijai nustatyti, ar trečioji šalis arba tarptautinė organizacija užtikrina tinkamą duomenų apsaugos lygį. Europos Komisija, remdamasi Reglamento (ES) 2016/679 45 straipsniu, turi įgaliojimus nustatyti, ar ES nepriklausanti šalis užtikrina tinkamą duomenų apsaugos lygį.

Sprendimo dėl tinkamumo priėmimas apima: 1) Europos Komisijos pasiūlymas; 2) Europos duomenų apsaugos valdybos nuomonę; 3) ES šalių atstovų patvirtinimas; 4) Europos Komisijos sprendimo priėmimas.