Personas datu aizsardzība

Personas datu aizsardzība un privātās dzīves neaizskaramība ir Eiropas pamattiesības. Eiropas Parlaments vienmēr ir uzstājis uz to, ka ir jārod līdzsvars starp drošības palielināšanu un cilvēktiesību aizsardzību, tostarp attiecībā uz datu aizsardzību un privātumu. 2018. gada maijā stājās spēkā jaunie, digitālajam laikmetam pielāgotie ES datu aizsardzības noteikumi, kas nostiprina iedzīvotāju tiesības un vienkāršo noteikumus uzņēmumiem. Eiropas Parlamenta pasūtījumā sagatavotajā pētījumā norādīts, ka ES tiesību akti, kas attiecas uz datu plūsmu regulēšanu, Eiropas Savienībā ik gadu veido IKP 51,6 miljardus EUR vērtībā. Pētījums, kas sagatavots Izmeklēšanas komitejai Pegasus un līdzvērtīgas novērošanas spiegprogrammatūras izmantošanas izmeklēšanai (PEGA komitejai), apliecina datu aizsardzības nozīmi demokrātijas un individuālo brīvību aizsardzībā Eiropas Savienībā.

Juridiskais pamats

Līguma par Eiropas Savienības darbību (LESD) 16. pants;

ES Pamattiesību hartas 7. un 8. pants.

Mērķi

Eiropas Savienībai ir jānodrošina, lai konsekventi tiktu piemērotas pamattiesības uz datu aizsardzību, kas ir noteiktas ES Pamattiesību hartā. Ņemot vērā eksponenciālo datu pārsūtīšanas apjoma pieaugumu, (datu apmaiņa starp ES, ASV un Kanādu veido lielāko daļu no šī pieauguma), ir jāstiprina ES nostāja attiecībā uz personas datu aizsardzību visās ES politikas jomās.

Sasniegumi

A. Institucionālais satvars

1. Lisabonas līgums

Pirms Lisabonas līguma stāšanās spēkā tiesību akti attiecībā uz datu aizsardzību brīvības, drošības un tiesiskuma telpā (BDTT) bija sadalīti starp pirmo pīlāru (datu aizsardzība privātām un komerciālām vajadzībām, izmantojot Kopienas metodi) un trešo pīlāru (datu aizsardzība tiesībaizsardzības vajadzībām, ko pārzināja starpvaldību līmenī). Līdz ar to lēmumu pieņemšanas process balstījās uz diviem dažādiem noteikumu kopumiem. Pīlāru struktūra izzuda, stājoties spēkā Lisabonas līgumam, kas ir radījis stingrāku pamatu skaidrākas un efektīvākas datu aizsardzības sistēmas izveidei, vienlaikus paredzot jaunas pilnvaras Eiropas Parlamentam, kas nu kļuvis par līdzvērtīgu partneri likumdošanas procesā. LESD 16 pants nosaka, ka Eiropas Parlaments un Padome pieņem noteikumus par fizisko personu aizsardzību attiecībā uz Eiropas Savienības iestāžu, struktūru un aģentūru veikto personas datu apstrādi, kā arī personas datu apstrādi, ko veic dalībvalstis saistībā ar Eiropas Savienības tiesību aktu darbības jomu.

2. Stratēģiskās pamatnostādnes brīvības, drošības un tiesiskuma telpā

Pēc Tamperes programmas un Hāgas programmas (attiecīgi 1999. gada oktobris un 2004. gada novembris) 2009. gada decembrī Eiropadome apstiprināja daudzgadu programmu brīvības, drošības un tiesiskuma telpas (BDTT) jomā laikam no 2010.–2014. gadam – Stokholmas programmu. 2014. gada jūnija secinājumos Eiropadome definēja likumdošanas un darbības plānošanas stratēģiskās pamatnostādnes BDTT jomā, kā tas ir noteikts LESD 68. pantā. Viens no pamatmērķiem ir uzlabot personas datu aizsardzību ES.

B. Galvenie likumdošanas instrumenti datu aizsardzībai

1. ES Pamattiesību harta

ES Pamattiesību hartas 7. un 8. pantā privātās dzīves neaizskaramība un personas datu aizsardzība ir atzītas par cieši saistītām, taču atsevišķām pamattiesībām.

2. Eiropas Padome

a. 1981. gada Konvencija Nr. 108

Eiropas Padomes 1981. gada 28. janvāra Konvencija par fizisku personu aizsardzību attiecībā uz automātisku personas datu apstrādi bija pirmais juridiski saistošais instruments, kas pieņemts datu aizsardzības jomā. Tās mērķis ir “(..) nodrošināt jebkurai personai (..) tās tiesību un pamatbrīvību, it īpaši privātās dzīves jomā, ievērošanu attiecībā uz automātisku personas datu apstrādi”. Protokola, ar kuru groza konvenciju, mērķis ir paplašināt tās darbības jomu, paaugstināt datu aizsardzības līmeni un uzlabot tā efektivitāti.

b. Eiropas Cilvēktiesību konvencija (ECK)

1950. gada 4. novembra Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvencijas 8. pantā ir nostiprinātas ikviena cilvēka tiesības uz “privātās un ģimenes dzīves, dzīvokļa un sarakstes” neaizskaramību.

3. Pašreizējie ES leģislatīvie instrumenti datu aizsardzības jomā

a. Vispārīgā datu aizsardzības regula (GDPR)

2018. gada maijā stājās spēkā Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula). Tās mērķis ir aizsargāt visus ES iedzīvotājus pret privātuma un datu aizsardzības pārkāpumiem pasaulē, kurā datiem ir aizvien lielāka nozīme, vienlaikus izveidojot skaidru un konsekventāku regulējumu uzņēmumiem. Pilsoņu tiesības ietver prasību, ka viņiem jādod skaidra piekrišana savu datu apstrādei, un tiesības saņemt skaidru un saprotamu informāciju par apstrādi; Tiesības tikt aizmirstam: cilvēks var prasīt, lai par viņu savāktie dati tiktu dzēsti; tiesības pārnest savus datus pie cita pakalpojumu sniedzēja (piemēram, pārejot no viena sociālā tīkla uz citu); tiesības zināt, ja sistēmas, kur viņa dati glabājas, uzlauztas. Jaunie noteikumi attiecas uz visiem uzņēmumiem, kas darbojas ES. Arī tiem, kas bāzēti ārpus ES. Turklāt ir iespējams piemērot korektīvus pasākumus uzņēmumiem, kas neievēro noteikumus, piemēram, brīdināt tos vai piemērot tiem naudas sodus. 2020. gada 24. jūnijā Eiropas Komisija nāca klajā ar ziņojumu par regulas izvērtēšanu un pārskatīšanu[1].

b. Datu aizsardzības noteikumu piemērošanas direktīva

2018. gada maijā stājās spēkā Eiropas Parlamenta un Padomes Direktīva 2016/680 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI. Šī direktīva aizsargā iedzīvotāju pamattiesības uz datu aizsardzību gadījumos, kad personas datus izmanto tiesībaizsardzības iestādes. Tā nodrošina, ka cietušo, liecinieku un noziedzīgos nodarījumos aizdomās turēto personas dati tiek pienācīgi aizsargāti, un atvieglo pārrobežu sadarbību cīņā pret noziedzību un terorismu. 2022. gada 25. jūlijā Eiropas Komisija beidzot publicēja ziņojumu par Tiesībaizsardzības direktīvas piemērošanu un darbību. Tam sekoja Pilsoņu brīvību, tieslietu un iekšlietu komitejas (LIBE) pasūtīts novērtējuma pētījums, kurā pausta kritika par Tiesībaizsardzības direktīvas īstenošanu[2].

c. Direktīva par privāto dzīvi un elektronisko komunikāciju

Eiropas Parlamenta un Padomes Direktīva 2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju), kura grozīta ar Direktīvu 2009/136/EK. Tā aptver delikāto jautājumu par datu saglabāšanu, kas vairākkārt ticis iesniegts Eiropas Savienības Tiesā, kura pieņēmusi vairākus ar šo problemātiku saistītus spriedumus, no kuriem pēdējais tika pieņemts 2020. gadā un kurā norādīts, ka ES tiesību akti nepieļauj vispārējā un nediferencētā veidā saglabāt informāciju par datu plūsmu un atrašanās vietu.

Joprojām tiek izskatīts 2017. gada priekšlikums Eiropas Parlamenta un Padomes regulai par privātās dzīves neaizskaramību un personas datu aizsardzību elektronisko sakaru jomā un ar ko atceļ Direktīvu 2002/58/EK (Privātuma un elektronisko sakaru regula). Eiropas Parlamenta eksperti norādīja, ka Parlamentam būtu jāpretojas Padomes mēģinājumiem izslēgt Eiropas datu aizsardzības principu piemērojamību[3].

d. Uz personas datu apstrādi, ko veic Savienības iestādes un struktūras, attiecas

Eiropas Parlamenta un Padomes Regula (ES) 2018/1725 (2018. gada 23. oktobris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Savienības iestādēs, struktūrās, birojos un aģentūrās un par šādu datu brīvu apriti un ar ko atceļ Regulu (EK) Nr. 45/2001 un Lēmumu Nr. 1247/2002/EK. Tā stājās spēkā 2018. gada 11. decembrī.

e. Noteikumi par datu aizsardzību nozaru leģislatīvajos aktos

Papildus iepriekš minētajiem galvenajiem tiesību aktiem datu aizsardzības jomā īpaši noteikumi par datu aizsardzību ir iekļauti arī nozaru leģislatīvajos aktos, piemēram:

• Eiropas Parlamenta un Padomes Direktīvas (ES) 2016/681 (2016. gada 27. aprīlis) par pasažieru datu reģistra (PDR) datu izmantošanu teroristu nodarījumu un smagu noziegumu novēršanai, atklāšanai, izmeklēšanai un saukšanai pie atbildības par tiem 13. pants (par personas datu aizsardzību);
• Padomes 2004. gada 29. aprīļa Direktīvas 2004/82/EK par pārvadātāju pienākumu darīt zināmus datus par pasažieriem (IPI) 6. pants (par datu apstrādi); Šī direktīva tiks atcelta ar divām jaunām regulām, par kurām Parlaments balsoja 2024. gada 24. aprīļa plenārsēdē, par iepriekšējas pasažieru informācijas vākšanu un pārsūtīšanu ārējo robežu kontroles uzlabošanai un atvieglošanai un par iepriekšējas pasažieru informācijas vākšanu un nosūtīšanu teroristu nodarījumu un smagu noziegumu novēršanai, atklāšanai, izmeklēšanai un saukšanai pie atbildības par tiem[4];
• Eiropas Parlamenta un Padomes Regulas (ES) 2016/794 (2016. gada 11. maijs) par Eiropas Savienības Aģentūru tiesībaizsardzības sadarbībai (Eiropolu) VI nodaļa (par datu aizsardzības pasākumiem);
• Padomes Regulas (ES) 2017/1939 (2017. gada 12. oktobris), ar ko īsteno ciešāku sadarbību Eiropas Prokuratūras (EPPO) izveidei VIII nodaļa.

4. ES galvenie starptautiskie nolīgumi par datu pārsūtīšanu

a. Komercdatu nosūtīšana: lēmumi par aizsardzības līmeņa pietiekamību

Saskaņā ar VDAR 45. pantu Komisijai ir pilnvaras noteikt, vai valsts, kas nav ES dalībvalsts, nodrošina pietiekamu datu aizsardzības līmeni, pamatojoties vai nu uz tās tiesību aktiem, vai arī starptautiskajām saistībām, ko tā uzņēmusies.

Tā kā datu pārsūtīšana starp ES un Ziemeļameriku ir eksponenciāli palielinājusies, ASV pusē dominējot privātai tiešsaistes reklāmai un izlūkošanai[5], Parlaments ir pieņēmis vairākas rezolūcijas, kurās paustas bažas par transatlantiskajām datu plūsmām. Tas jo īpaši uzskata, ka ES un ASV privātuma vairogs nenodrošina pienācīgu aizsardzības tādā līmeni, kādu prasa ES tiesību akti, savukārt EST ir atkārtoti atzinusi par spēkā neesošiem lēmumus par aizsardzības līmeņa pietiekamību attiecībā uz ASV (sk. 2015. gada spriedumu par drošības zonu Schrems un 2020. gada spriedumu par ES un ASV privātuma vairogu Schrems II).

Neraugoties uz to, ka ASV datu aizsardzības režīms nav reformēts, Eiropas Komisija panāca vēl vienu vienošanos ar ASV un iesniedza priekšlikumu vēl vienam ES un ASV datu privātuma regulējumam. Pēc LIBE komitejas priekšlikuma iesniegšanas 2023. gada 11. maijā Parlaments pieņēma rezolūciju par ES un ASV datu privātuma regulējuma sniegtās aizsardzības pietiekamību, kurā secināja, ka ES un ASV datu privātuma regulējums nenodrošina aizsardzības līmeņa līdzvērtīgumu, tāpēc aicināja Komisiju turpināt sarunas ar ASV kolēģiem, bet atturēties no konstatējuma par aizsardzības līmeņa pietiekamību pieņemšanas, kamēr nav pilnībā īstenoti visi rezolūcijā un EDAK atzinumā sniegtie ieteikumi.

2023. gada 10. jūlijā Komisija pieņēma trešo ES un ASV datu privātuma regulējumu.

b. ES un ASV “Jumta” nolīgums

Saskaņā ar piekrišanas procedūru Parlaments bija iesaistīts nolīguma apstiprināšanā starp ASV un ES par personas informācijas aizsardzību saistībā ar noziedzīgu nodarījumu novēršanu, izmeklēšanu un atklāšanu, kā arī saukšanu pie atbildības par tiem – tā saukto “jumta nolīgumu”. Tā mērķis ir nodrošināt augsta līmeņa aizsardzību personas informācijai, kas tiek pārsūtīta sakarā ar transatlantisko sadarbību tiesībaizsardzības nolūkos, proti, saistībā ar cīņu pret terorismu un organizēto noziedzību.

c. ES un ASV, ES un Austrālijas un ES un Kanādas nolīgumi par pasažieru datu reģistru (PDR)

ES ir parakstījusi divpusējus pasažieru datu reģistra (PDR) nolīgumus ar Amerikas Savienotajām Valstīm, Austrāliju un Kanādu. PDR dati ietver informāciju, ko pasažieri sniedz, rezervējot lidojumus vai reģistrējoties lidojumiem, un datus, ko aviopārvadātāji savākuši savām komerciālajām vajadzībām. PDR datus var izmantot tiesībaizsardzības iestādes, lai cīnītos pret smagiem noziegumiem un terorismu.

Attiecībā uz Kanādu EST 2017. gada 26. jūlija Atzinumā 1/15 paziņoja, ka paredzēto nolīgumu starp ES un Kanādu, kas parakstīts 2014. gada 25. jūnijā, nevar noslēgt tā pašreizējā redakcijā. Pēc šā atzinuma saņemšanas 2018. gada jūnijā tika sāktas un pašlaik notiek jaunas sarunas ar Kanādu par PDR.

2020. gada 18. februārī Padome pieņēma lēmumu, ar ko pilnvaro sākt sarunas starp ES un Japānu par nolīgumu par pasažieru datu reģistra (PDR) datu pārsūtīšanu un izmantošanu, kas arī joprojām turpinās.

d. ES un ASV Teroristu finansēšanas izsekošanas programma (TFTP)

Saistībā ar Teroristu finansēšanas izsekošanas programmu ES ir parakstījusi divpusēju nolīgumu ar ASV par finanšu ziņojumapmaiņas datu apstrādi un nodošanu no ES uz ASV.

5. Datu aizsardzības aspekti nozaru rezolūcijās

Vairākas Parlamenta rezolūcijas par dažādām politikas jomām skar arī personas datu aizsardzību, lai nodrošinātu konsekvenci ar ES tiesību aktiem par datu aizsardzību un privātās dzīves aizsardzību konkrētajās nozarēs.

6. ES datu aizsardzības uzraudzības iestādes

Eiropas Datu aizsardzības uzraudzītājs (EDAU) ir neatkarīga uzraudzības iestāde, kas nodrošina datu aizsardzības pienākumu ievērošanu ES iestādēs un struktūrās. EDAU pamatpienākumi ir uzraudzība, konsultēšana un sadarbība.

Eiropas Datu aizsardzības kolēģija (EDAK) ir kādreizējā 29. panta darba grupa, tagad tai ir ES iestādes un juridiskas personas statuss un neatkarīgs sekretariāts. To veido ES valstu datu aizsardzības iestāžu, EDAU un Eiropas Komisijas pārstāvji. EDAK ir plašas pilnvaras, lai izšķirtu strīdus starp valstu uzraudzības iestādēm un sniegt padomus un vadlīnijas par galvenajiem jēdzieniem Vispārīgajā datu aizsardzības regulā un Datu aizsardzības noteikumu piemērošanas direktīvā.

Eiropas Parlamenta loma

Parlamentam, kurš privātuma aizsardzību izvirzīja par politisku prioritāti, ir bijusi svarīga loma ES tiesību aktu izstrādē personas datu aizsardzības jomā. Turklāt saskaņā ar parasto likumdošanas procedūru tam, lemjot par datu aizsardzības reformu, bija tādas pašas pilnvaras kā Padomei. 2017. gadā tika pabeigts darbs pie pēdējās nozīmīgās mozaīkas daļas – jaunā privātuma un elektronisko sakaru regulējuma. Pašlaik tiek gaidīts, kad Padome beidzot pabeigs savu darbu, lai varētu sākties sarunas iestāžu starpā.

Daudzās rezolūcijās Parlaments ir paudis šaubas par ES pilsoņu aizsardzības pietiekamību ES un ASV drošības zonas satvarā un pēc tam arī par ES un ASV privātuma vairogu. Pēc tam, kad Schrems II lieta noveda pie Eiropas Komisijas Īstenošanas lēmuma (ES) 2016/1250 atcelšanas tāpēc, ka ES un ASV privātuma vairoga nolīgumā paredzētā aizsardzība tika atzīta par nepietiekamu, jo bija bažas, ka pretēji tam, ko prasīja ES tiesību akti, ASV valdības uzraudzības pilnvaras ir neierobežotas, un ka ES pilsoņiem nav efektīvu tiesiskās aizsardzības līdzekļu, Eiropas Parlaments pieņēma rezolūciju, kurā pauda nožēlu par to, ka Komisija attiecības ar ASV ir nostādījusi augstāk par ES pilsoņu interesēm[6].

Pēc LIBE komitejas priekšlikuma iesniegšanas 2023. gada 11. maijā Parlaments pieņēma rezolūciju par ES un ASV datu privātuma regulējuma sniegtās aizsardzības pietiekamību, kurā secināja, ka ES un ASV datu privātuma regulējums nenodrošina aizsardzības līmeņa līdzvērtīgumu, tāpēc aicināja Komisiju turpināt sarunas ar ASV kolēģiem, bet atturēties no konstatējuma par aizsardzības līmeņa pietiekamību pieņemšanas, kamēr nav pilnībā īstenoti visi rezolūcijā un EDAK atzinumā sniegtie ieteikumi. 2023. gada 10. jūlijā Komisija pieņēma lēmumu par ES un ASV datu privātuma regulējumu.

Parlaments ir izveidojis komiteju, kura ES dalībvalstīs izmeklē Pegasus un līdzvērtīgas novērošanas spiegprogrammatūras izmantošanu (PEGA). PEGA komiteja, ko vada EP deputāts Jeroen Lenaers, ir rūpīgi izpētījusi praksi izmantot spiegprogrammatūru, lai izsekotu opozīcijas locekļus, žurnālistus, juristus un pilsoniskās sabiedrības aktīvistus, kā arī to, kā šāda prakse ietekmē demokrātiskos procesus un individuālās tiesības ES. Izmeklēšanas laikā PEGA komiteja apspriedās ar ES un pasaules vadošajiem akadēmiķiem, praktiķiem un iestādēm. Parlamenta Politikas departaments sagatavoja ziņojumus par PEGA darba braucieniem uz Poliju, Grieķiju un Kipru. 2023. gada 8. maijā PEGA komiteja balsojumā pieņēma savu galīgo ziņojumu par izmeklēšanu saistībā ar iespējamiem pārkāpumiem un administratīvām kļūmēm ES tiesību aktu piemērošanā saistībā ar Pegasus un līdzvērtīgas novērošanas spiegprogrammatūras izmantošanu (referente Sophie in’t Veld), kurā iekļauts arī ieteikums izveidot ES tehnoloģiju laboratoriju, kas pētītu un uzraudzītu spiegprogrammatūras izmantošanu, kas vērsta pret ES iedzīvotājiem. Parlamenta ieteikums Padomei un Komisijai saistībā ar PEGA ziņojuma tika pieņemts 2023. gada 15. jūnija plenārsēdē. Taču Komisija savlaicīgi nereaģēja uz ieteikumu un bloķēja EP deputātu ierosināto ES tehnoloģiju laboratorijas izmēģinājuma projektu.

Parlaments ir arī pasūtījis vairākus pētījumus, lai tam būtu zinātniskā bāze, uz ko balstīt savu likumdošanas darbību, kas skar tehnoloģiju attīstību un datu aizsardzību, tostarp pētījumu par Vispārīgās datu aizsardzības regulas (GDPR) ietekmi uz mākslīgo intelektu, pētījumu par biometrijas izmantošanu atpazīšanā un uzvedības atklāšanā, pētījumu parMetaverse un kā pēdējo – pētījumu par tiesību aktiem un IKT[7].

 

Pablo Abril Marti / Mariusz Maciejewski

05-2024