Atgal

Naujienos

2017. 02. 28

Bendrasis duomenų apsaugos reglamentas – tarpvalstybinis asmens duomenų tvarkymas ir „vieno langelio“ principas

Itin reikšmingu ir verslui naudingu pakeitimu, kurį įneš Reglamento įsigaliojimas, yra „vieno langelio“ (angl. one stop shop) principo nustatymas. Jis reiškia, kad duomenų valdytojo ar duomenų tvarkytojo pagrindinės arba vienintelės buveinės priežiūros institucija įgys teisę veikti kaip vadovaujanti priežiūros institucija tarpvalstybinio duomenų tvarkymo atveju. Tik su ja duomenų valdytojas arba duomenų tvarkytojas palaikys ryšius vykdydamas tarpvalstybinį duomenų tvarkymą.

Tarpvalstybinis asmens duomenų tvarkymas    

Vadovaujančios priežiūros institucijos nustatymas aktualus tik tada, kai duomenų valdytojas ar tvarkytojas atlieka tarpvalstybinį asmens duomenų tvarkymą. Reglamento 4 straipsnio 23 dalyje įvardyti du atvejai, kai asmens duomenų tvarkymas laikytinas tarpvalstybiniu:

a) asmens duomenų tvarkymas vykdomas Sąjungoje, kai veiklą vykdo duomenų valdytojo arba duomenų tvarkytojo buveinės daugiau kaip vienoje valstybėje narėje, ir duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs daugiau kaip vienoje valstybėje narėje; arba

b) asmens duomenų tvarkymas vykdomas Europos Sąjungoje, kai veiklą vykdo duomenų valdytojo arba duomenų tvarkytojo vienintelė buveinė, kuris daro arba gali padaryti didelį poveikį duomenų subjektams daugiau nei vienoje valstybėje narėje;

Nors a) punktas yra pakankamai konkretus, tačiau reikia pastebėti, kad buveinių turėjimas daugiau nei vienoje valstybėje narėje šiuo atveju turėtų būti suprantamas pakankamai plačiai. 2016 m. sausio mėnesį Teisingumo ir vartotojų reikalų generalinio direktorato paskelbtoje informacijos suvestinėje kaip pavyzdys situacijos, kurią siekia išspręsti Reglamente nustatytas reguliavimas, pateikiamas parduotuvių tinklas, kurio pagrindinė buveinė yra Prancūzijoje, o dar 14-oje kitų ES šalių parduotuvės veikia frančizės pagrindu, renkančios ir perduodančios asmens duomenis toliau tvarkyti pagrindinei buveinei Prancūzijoje. Esamas reguliavimas verstų kiekvieną parduotuvę tvarkyti duomenis pagal šalies, kurioje yra įsikūrusi, teisę bei teikti pranešimus dėl visų duomenų tvarkymo operacijų, taip patiriant papildomų išlaidų ir apsunkinant tarpvalstybinį duomenų perdavimą, tačiau nuo Reglamento įsigaliojimo toks parduotuvių tinklas būtų laikomas vienu duomenų valdytoju, turinčiu buveinę daugiau nei vienoje valstybėje narėje ta apimtimi, kiek asmens duomenys yra tvarkomi tarpvalstybiniu lygmeniu. Šis pavyzdys parodo, kad įsisteigusiu keliose valstybėse narėse subjektu būtų ne vien tiesiogiai vienai įmonių grupei priklausančios motininės įmonės valdomos bendrovės, bet ir bendrovės, kurias vienija priklausymas vienai frančizei.

Daugiau diskusijų kelia Reglamento 4 straipsnio 23 dalies b) punktas, pateikiantis sąvoką „didelis poveikis“, kuri savo esme yra vertinamoji ir kurios apibrėžimas Reglamente nėra pateikiamas. Apie šią sąvoką Direktyvos 95/46/EB 29 straipsnio darbo grupė duomenų apsaugai tvarkant asmens duomenis (toliau – 29 straipsnio darbo grupė) pasisakė 2016 m. gruodžio 13 dienos Gairėse dėl valdytojo ar tvarkytojo vadovaujančios priežiūros institucijos nustatymo (toliau – Gairės). 29 straipsnio darbo grupė nurodė, kad „didelio poveikio“ testas iš esmės yra skirtas užtikrinti, jog priežiūros institucijos turėtų formaliai bendradarbiauti Reglamente nustatyta tvarka tada, „kai priežiūros institucija siekia patvirtinti priemonę, galinčią turėti teisinių padarinių, susijusią su duomenų tvarkymo operacijomis, kuriomis daromas didelis poveikis daugeliui duomenų subjektų keliose valstybėse narėse“ (Reglamento preambulės 135 punktas). Nors kiekvienas atvejis turėtų būti vertinamas individualiai, 29 straipsnio darbo grupė Gairėse kaip „didelio poveikio“ vertinimo faktorius nurodė nustatyti, ar tvarkymas:

  • duomenų subjektams sukelia arba gali sukelti žalą, praradimus ar pavojų;
  • sukėlė ar gali sukelti realų poveikį teisių apribojimo ar galimybių praradimo prasme;
  • paveikė arba gali paveikti duomenų subjekto sveikatą, gerovę ar ramybę;
  • paveikė arba gali paveikti individo finansinį arba ekonominį statusą ar būklę;
  • atveria kelią diskriminacijai ar nesąžiningų sąlygų taikymui;
  • apima specialių kategorijų duomenų ar kitų intervencinių duomenų, ypatingai vaikų asmens duomenų, analizę;
  • sukelia arba gali sukelti reikšmingus duomenų subjektų elgesio pasikeitimus;
  • turi duomenų subjektams nesitikimas, nelauktas ar nepageidaujamas pasekmes;
  • sukelia gėdos jausmą ar kitas negatyvias pasekmes, tarp jų ir žalą reputacijai; arba
  • apima plataus asmens duomenų spektro tvarkymą.
  • duomenų subjektams sukelia arba gali sukelti žalą, praradimus ar pavojų;
  • sukėlė ar gali sukelti realų poveikį teisių apribojimo ar galimybių praradimo prasme;
  • paveikė arba gali paveikti duomenų subjekto sveikatą, gerovę ar ramybę;
  • paveikė arba gali paveikti individo finansinį arba ekonominį statusą ar būklę;
  • atveria kelią diskriminacijai ar nesąžiningų sąlygų taikymui;
  • apima specialių kategorijų duomenų ar kitų intervencinių duomenų, ypatingai vaikų asmens duomenų, analizę;
  • sukelia arba gali sukelti reikšmingus duomenų subjektų elgesio pasikeitimus;
  • turi duomenų subjektams nesitikimas, nelauktas ar nepageidaujamas pasekmes;
  • sukelia gėdos jausmą ar kitas negatyvias pasekmes, tarp jų ir žalą reputacijai; arba
  • apima plataus asmens duomenų spektro tvarkymą.

Kaip minėta, šis sąrašas yra rekomendacinio pobūdžio, o kai kurie faktoriai išlieka pakankamai abstraktūs. Tačiau jis vis vien suteikia tam tikras gaires, kuriomis galima vadovautis sprendžiant dėl tarpvalstybinio asmens duomenų tvarkymo pobūdžio, tuo tarpu konkretesnė praktika šiuo klausimu turėtų susiformuoti taikant šį mechanizmą po Reglamento įsigaliojimo.

Bet kuriuo atveju, be minėtų keliose šalyse veikiančių prekybos tinklų, tokio pobūdžio pasikeitimai taip pat turėtų būti naudingi, pavyzdžiui, ir tarptautinėms viešbučių grupėms, kurios viduje neretai keičiasi informacija apie klientus bendrose duomenų bazėse, įvairioms tarptautinėms korporacijoms, vidaus sistemose besikeičiančioms informacija apie kandidatus į darbo vietas ir kitoms keliose šalyse veikiančioms ir duomenis tarp savo skirtingų buveinių perduodančioms bendrovėms.

Vadovaujančios priežiūros institucijos nustatymas 

Reglamento preambulės 36 punkte yra išsamiai išdėstyti vadovaujančios priežiūros institucijos nustatymo principai. Vadovaujanti priežiūros institucija siejama su pagrindine duomenų valdytojo buveine Europos Sąjungoje. Tai įprastai yra bendrovės centrinės administracijos vieta, tačiau galimi atvejai, kada sprendimai dėl asmens duomenų tvarkymo tikslų ir priemonių priimami kitoje duomenų valdytojo buveinėje ES, o tokiais atvejais ta kita buveinė turėtų būti laikoma pagrindine buveine. Reglamentas nurodo remtis objektyviais kriterijais, atsižvelgiant į nustatytos pagrindinės buveinės galimybes vykdyti veiksmingą ir realią valdymo veiklą, priimti pagrindinius sprendimus dėl duomenų tvarkymo tikslų ir priemonių.

Tai, kurioje šalyje faktiškai tvarkomi duomenys, sprendžiant dėl pagrindinės duomenų valdytojo buveinės neturi reikšmės, esminiu kriterijumi yra vieta, kur faktiškai priimami sprendimai dėl duomenų tvarkymo. 29 straipsnio darbo grupė Gairėse taip pat nurodo svarbų aspektą, kad yra įmanoma situacija, kai tarptautinė bendrovė vienoje buveinėje priima sprendimus dėl asmens duomenų tvarkymo vienu tikslu, o kitu tikslu sprendimai priimami kitoje šalyje įsikūrusioje buveinėje. Tokiu atveju galima situacija, kai priklausomai nuo duomenų tvarkymo tikslo, vadovaujančia priežiūros institucija bus skirtingų valstybių priežiūros institucijos. Minėtas principas taikomas ir įmonių grupės vykdomo duomenų tvarkymo atveju, siejant įmonių grupės pagrindinę buveinę su kontroliuojančios įmonės pagrindine buveine, išskyrus atvejus, kai duomenų tvarkymo tikslus ir priemones nustato kita įmonė.

Tais atvejais, kai duomenų valdytojo centrinė administracija yra už Europos Sąjungos ribų, nurodyto principo laikytis nėra galimybės ir atitinkamai pagrindine buveine laikoma vieta, kurioje Europos Sąjungoje vykdoma pagrindinė duomenų tvarkymo veikla. Tai reiškia nustatymą, kur faktiškai yra vykdoma duomenų tvarkymo veikla, kuria priimami esminiai sprendimai dėl duomenų tvarkymo.  

Gairėse taip pat pateikiami tokie valdytojo pagrindinės buveinės, kai tai ne centrinė ES valstybėje narėje įsikūrusi administracija, nustatymo faktoriai:

  • Kur sprendimams dėl tvarkymo tikslų ir būdų suteikiamas galutinis patvirtinimas?
  • Kur priimami sprendimai dėl komercinės veiklos, į kurią patenka asmens duomenų tvarkymas?
  • Kas praktiškai turi galią dėl sprendimų įgyvendinimo?
  • Kur įsikūręs vadovas (ar vadovai), priimantys bendrus valdymo sprendimus dėl tarpvalstybinio duomenų perdavimo?
  • Jei tai viena teritorija, kur valdytojas ar tvarkytojas yra įsteigtas kaip bendrovė?
  • Kiti faktoriai, kurie gali būti reikšmingi atsižvelgiant į aplinkybes. 

Gairėse 29 straipsnio darbo grupė išaiškino ir Reglamente neaptartą situaciją, kai visi duomenų tvarkymo sprendimai priimami už ES ribų ir nei viena ES esanti buveinė tokių sprendimų nepriima. Tokiu atveju kaip pragmatišką sprendimą darbo grupė rekomenduoja duomenų valdytojui paskirti buveinę, kuri veiktų kaip pagrindinė buveinė. Tai neturėtų būti suprantama kaip vien formalus veiksmas, šiai buveinei turėtų būti suteiktos teisės įgyvendinti sprendimus dėl duomenų tvarkymo veiklos ir prisiimti atsakomybę už šią veiklą (be kita ko, turėti tam pakankamai turto). To nepadarius, 29 straipsnio darbo grupės nuomone nebus galima paskirti vadovaujančios priežiūros institucijos ir atitinkamai pasinaudoti „vieno langelio“ principu veikiančios sistemos pranašumais.  

29 straipsnio darbo grupė Gairėse pažymėjo, kad nors duomenų valdytojas pats nustato savo pagrindinę buveinę ir atitinkamai kuri priežiūros institucija jam yra pagrindinė, tačiau šis sprendimas gali būti vėliau ginčijamas suinteresuotos priežiūros institucijos. Tokiu būdu ribojama galimybė duomenų valdytojams piktnaudžiauti ieškant palankesnės teisinės padėties (angl. forum shopping), nes atitinkamai suinteresuotos priežiūros institucijos ar Europos duomenų apsaugos valdyba bendradarbiaudamos tarpusavyje gali nustatyti faktinę pagrindinę buveinę. Įrodinėjimo pareiga iškilus tokioms abejonėms teks valdytojams ir tvarkytojams.  

Tuo tarpu situacijose, susijusiose tiek su duomenų valdytoju, tiek su duomenų tvarkytoju, kompetentinga vadovaujančia priežiūros institucija būtų laikoma valstybės narės, kurioje yra duomenų valdytojo pagrindinė buveinė, priežiūros institucija, o duomenų tvarkytojo priežiūros institucija turėtų būti laikoma susijusia priežiūros institucija, su kuria vykdomas bendradarbiavimas.

Susijusi priežiūros institucija       

Reglamento 4 straipsnio 22 punktas apibrėžia susijusią priežiūros instituciją kaip priežiūros instituciją, kuri yra susijusi su asmens duomenų tvarkymu dėl to, kad: a) duomenų valdytojas arba duomenų tvarkytojas yra įsisteigęs tos priežiūros institucijos valstybės narės teritorijoje; b) duomenų tvarkymas daro arba gali padaryti didelį poveikį tos priežiūros institucijos valstybėje narėje gyvenantiems duomenų subjektams; arba c) skundas buvo pateiktas tai priežiūros institucijai. Kaip matyti, b) atveju taikytinos jau anksčiau aptartas „didelio poveikio“ kriterijus. Susijusių priežiūros institucijų vaidmuo ypatingai reikšmingas tada, kai tam tikro klausimo nusprendžia nenagrinėti vadovaujanti priežiūros institucija bei atvejais, kai kyla poreikis priežiūros institucijoms bendradarbiauti tarpusavyje.        

Bendradarbiavimas       

Reglamentas vadovaujančiai priežiūros institucijai suteikia kompetenciją pagal Reglamentą jai suteiktus įgaliojimus priimti privalomus sprendimus. Visgi, tarpvalstybinio duomenų perdavimo atveju, vadovaujanti priežiūros institucija turės su susijusiomis priežiūros institucijomis derinti priimamus sprendimus, teikti jų projektus tam, kad susijusios priežiūros institucijos pateiktų savo poziciją.        

Siekiant apsaugoti asmenų, kurių duomenys yra tvarkomi, interesus, kiekvienai priežiūros institucijai suteikiama kompetencija nagrinėti jai pateiktą skundą arba galimą Reglamento pažeidimą, jeigu dalykas yra susijęs tik su buveine jos valstybėje narėje arba daro didelį poveikį duomenų subjektams tik jos valstybėje narėje. Kaip matyti, šiuo atveju taip pat įvedama aukščiau aptarta „didelio poveikio“ sąvoka. Net ir šiuo atveju, Reglamentas numato pareigą priežiūros institucijai informuoti vadovaujančią priežiūros instituciją, kuri per tris savaites nuo informacijos gavimo privalės nuspręsti, ar ji pageidaus nagrinėti atvejį bendradarbiaudama su pranešusiąja priežiūros institucija, ar leis atvejį nagrinėti pranešusiajai suinteresuotai priežiūros institucijai.        

Reglamente pabrėžiama, kad bendradarbiavimas tarp pagrindinės ir suinteresuotų priežiūros institucijų pirmiausia grindžiamas gera valia. Atitinkamai, 29 straipsnio darbo grupė dėl bendradarbiavimo pažymi, kad Reglamentas reikalauja vadovaujančiai ir suinteresuotoms priežiūros institucijoms bendradarbiauti tarpusavyje priimtinomis sąlygomis ir tik bendradarbiavimui nepasiekus priimtinų rezultatų remtis formaliu nuoseklumo užtikrinimo mechanizmu.        

Nuoseklumo užtikrinimo mechanizmas, įtvirtintas Reglamento 2 skirsnyje, apima ne vien privalomą bendradarbiavimą tarp nacionalinių priežiūros institucijų, Europos duomenų apsaugos valdybos bei Europos Komisijos, tačiau ir šios Valdybos veiklą tarpininkaujant ir sprendžiant ginčus tarp priežiūros institucijų, iškilusius atliekant minėtas bendradarbiavimo procedūras. Tokiuose ginčuose Europos duomenų apsaugos valdyba priims galutinį įpareigojantį sprendimą, kurį suinteresuota priežiūros institucija (ar institucijos) turės įgyvendinti per vieną mėnesį nuo sužinojimo apie Valdybos sprendimą.        

Pagal Reglamento preambulės 136 punktą ir 64 straipsnį, užtikrinimo mechanizmas taip pat įpareigos nacionalines priežiūros institucijas teikti savo sprendimo projektą Europos duomenų apsaugos valdybai tada, kai:        

  • juo siekiama priimti duomenų tvarkymo operacijų, kurioms taikomas poveikio duomenų apsaugai vertinimo reikalavimas, sąrašą;
  • jis yra susijęs su tuo, ar elgesio kodekso projektas arba elgesio kodekso keitimas ar išplėtimas atitinka Reglamentą;
  • juo siekiama patvirtinti įstaigos akreditacijos arba sertifikavimo įstaigos akreditacijos kriterijus;
  • juo siekiama nustatyti standartines duomenų apsaugos sąlygas;
  • juo siekiama duoti leidimą taikyti sutarčių sąlygas;
  • juo siekiama patvirtinti įmonei privalomas taisykles.

Valdyba tokiu atveju įvertinusi projektus pateiks savo nuomonę ta apimtimi, kiek šie klausimai apima keleto valstybių narių interesus. Į šią nuomonę priežiūros institucija įpareigojama „kuo labiau atsižvelgti“. Tokia tvarka turėtų užtikrinti nuoseklumą tarp sprendimų, kuriuos suinteresuotos priežiūros institucijos priims tais pačiais klausimais, tačiau gali lemti papildomą vėlavimą prieš priimant sprendimus.        

Pokyčiai iš asmens duomenų subjektų perspektyvos       

Pasakytina, kad pati kreipimosi tvarka iš esmės nesikeis nuo esamos, nes duomenų subjektai šiuo metu teikia skundus ir prašymus vietos priežiūros institucijai, tą patį jie turės daryti ir įsigaliojus Reglamentui. Duomenų subjektai kreipėsi ir toliau kreipsis į savo vietos priežiūros institucija dėl jų teisių apsaugos nepaisant to, kur yra tam tikros tarptautinės organizacijos būstinė Europos Sąjungoje. Visgi, įsigaliojus Reglamentui jų prašymai turėtų būti nagrinėjami efektyviau nei dabar dėl stiprėsiančio priežiūros institucijų bendradarbiavimo.        

Išvados     

„Vieno langelio“ principu paremta sistema lems daug glaudesnį bendradarbiavimą tarp skirtingų šalių priežiūros institucijų. Skirtingai nei pagal šiuo metu galiojantį reguliavimą, Reglamente nustatyta konkreti priežiūros institucijų bendradarbiavimo ir keitimosi informacija tvarka, kuria priežiūros institucijos privalės vadovautis laikydamosi nurodytų terminų. Taigi, „vieno langelio“ principas neapribos nacionalinių priežiūros institucijų galimybių kontroliuoti jų šalyse atliekamu duomenų tvarkymo operacijų, o kaip tik išplės jų turimas galias, leis daug efektyviau bendradarbiauti tarpusavyje, vykdyti bendras operacijas ir laiku gauti savitarpio pagalbą.       

Kartu su „vieno langelio“ principu atsisakius ir dabartinės pareigos pranešti priežiūros institucijoms apie visas duomenų tvarkymo operacijos, kuri minėtoje suvestinėje nurodytais paskaičiavimais įmonėms kainuoja apie 130 mln. EUR kasmet, reikšmingai supaprastina tarpvalstybinio duomenų perdavimo procedūras, sumažina biurokratinę naštą. Nustatę vadovaujančią priežiūros instituciją, tarpvalstybinį duomenų perdavimą vykdantys subjektai turėtų suformuoti asmens duomenų tvarkymo strategiją, ją suderinti su vadovaujančia priežiūros institucija ir įgyvendinti šią strategiją visose savo buveinėse, esančiose Europos Sąjungoje.       

Tačiau būtina pažymėti, kad konkretūs šio principo įgyvendinimo elementai išlieka abstraktūs ir plačiau atsiskleis tik pradėjus šią sistemą įgyvendinti praktikoje. Kaip ir kitais atvejais, tinkamas vidaus įrašų apie asmens duomenų tvarkymo veiksmus kaupimas laikytinas esmine priemone, galinčia padėti įrodyti, kad vadovaujanti priežiūros institucija buvo teisingai pasirinkta.