Direktyvos 95/46/EB 29 straipsnio duomenų apsaugos darbo grupė (toliau – 29 str. darbo grupė), pagrindinė darbo grupė, sudaryta iš visų Europos Sąjungos valstybių narių asmens duomenų apsaugos priežiūros institucijų atstovų, šiuo metu didžiausią dėmesį skiria duomenų apsaugos reformos įgyvendinimui, rengia metodinę informaciją Bendrojo duomenų apsaugos reglamento (toliau – BDAR) temomis, siekiant bendro suvokimo ir BDAR taikymo visose valstybėse narėse.

 

2017 m. veiksmų planas


Susitikime 29 str. darbo grupė informavo, kad yra patvirtintas 2017 m. BDAR įgyvendinimo veiksmų planas. Jis papildo 2016-ųjų metų prioritetus, planuojama skirti dėmesį sertifikavimo, poveikio duomenų apsaugai, administracinių baudų skyrimo klausimams, Europos duomenų apsaugos valdybos įsteigimui, plane nustatyta nauji tikslai ir siekiami ateinančių metų rezultatai.

 

„Fablab“ – seminaras duomenų apsaugos priežiūros institucijoms ir visuomenei


2017 m. balandžio 5–6 d. Briuselyje 29 str. darbo grupė surengė antrąjį „Fablab“ seminarą, siekiant padėti laiku pasirengti ir tinkamai įgyvendinti BDAR. Seminare dalyvavo daugiau kaip 90 dalyvių iš visų Europos Sąjungos valstybių narių – asmens duomenų apsaugos priežiūros institucijų, pramonės, pilietinė visuomenės, įvairių asociacijų, mokslo pasaulio atstovai. Susitikime didžiausias dėmesys skirtas prioritetiniams BDAR įgyvendinimo pasirengimo klausimams ir praktinių problemų sprendimui.

 

Dėl asmens sutikimo, kad būtų tvarkomi duomenys


Seminaras pradėtas nuo sutikimo tvarkyti asmens duomenis klausimų (BDAR 4 ir 7 straipsnių nuostatos). Seminaro dalyviai sutarė, kad BDAR sutikimo klausimais esama daugiau tęstinumo ir tik keletas naujovių. Ir šiuo metu asmens sutikimas yra vienas iš duomenų tvarkymo teisinių pagrindų. Atkreiptas dėmesys, kad, įsigaliojus BDAR, sutikimo, kaip teisinio duomenų tvarkymo pagrindo, atvejai bus tikrinami griežčiau, ypač dėl tinkamų sutikimo gavimo sąlygų.

Šiuo metu numatyta pagrindinė užduotis duomenų apsaugos priežiūros institucijoms susitarti dėl kai kurių sąvokų, terminijos ir pateikti išaiškinimus visuomenei, pavyzdžiui, ką reiškia sutikimas duotas laisva valia, nedviprasmiškas sutikimas, aiškiai atskirtas nuo kitų klausimų (BDAR 7.2 str.) ir kt.

Kalbėta apie tarpvalstybinius duomenų srautus, išreikštas susirūpinimas dėl dalijimosi jautriais duomenimis, kai duomenų apsaugos reguliavimas nevienodas. Nepilnamečiai asmenys yra BDAR prioritetas, ir su jais susiję sudėtingi sutikimo davimo klausimai turi būti sprendžiami valstybių narių lygmeniu. Mokslinių tyrimų kontekste buvo aptartas sutikimo antriniam duomenų panaudojimui gavimo klausimas. Dalyviai domėjosi atšaukto sutikimo sąlygomis ir pasekmėmis, kai vartotojas atsisako duoti sutikimą. Susitikime atkreiptas dėmesys, kad rengiant gaires ir išaiškinimus būtina lankstumas, atsižvelgiant į technologijų vystymąsi ir jų atveriančias įvairias galimybes. Taip pat kelti kiti klausimai dėl sutikimo.

 

Pranešimai apie duomenų saugumo pažeidimus

Seminare vyko speciali sesija, skirta aptarti pranešimų apie duomenų saugumo pažeidimus klausimams (BDAR 33 ir 34 straipsnių nuostatos).

Pranešimai apie duomenų saugumo pažeidimus pranešimai vertintini kaip tam tikra priemonė pagerinti atitiktį. Visose valstybėse nėra iki galo aiškūs tokių pranešimų pateikimo ir nagrinėjimo atvejai, todėl apsvarstyta galimybė apsikeisti praktiniais pavyzdžiais – anonimizuotų pranešimų apžvalgomis. Tai padėtų mokytis vieniems iš kitų. Prie planuojamų rengti gairių paprašyta būtinai prisijungti ir IT specialistus. Organizacijų atstovai prašo daugiau lankstumo dėl pranešimo turinio, taip pat neaišku, kaip spręsti dilemą, kad būtų įgyvendintas įsipareigojimas pateikti pranešimą, tačiau išvengti geros reputacijos netekimo. Bene esminiai klausimai vis dar išlieka, apie kokius būtent atvejus reikėtų pranešti, kada ir kokiomis priemonėmis. Keltas klausimas, ką daryti, kai pranešimas negalimas dėl vykstančio kriminalinio tyrimo. Kol kas kyla neaiškumų, kaip apie įvykusį incidentą reikės pranešti duomenų subjektui ir ką reiškia „pateikti informaciją aiškia kalba“. Taip pat ieškota atsakymų ir į kitus klausimus dėl pranešimų apie duomenų saugumo pažeidimus.

 

Profiliavimas

Vienoje iš seminaro sesijų dalyviai aptarė klausimus, susijusius su profiliavimo ir automatizuotų sprendimų taikymu (BDAR 4 ir 22 straipsnių nuostatos).

BDAR profiliavimas yra laikomas vienu iš duomenų apdorojimo pobūdį ir šiame teisės akte nėra numatyta uždrausti profiliavimą ar automatizuotą sprendimų priėmimą, tačiau šie procesai turi vykti teisėtai. Susitikime apsvarstyta skaidrumo klausimai, kiek žmogus dalyvauja sprendimų priėmimo procese, sąžiningas duomenų tvarkymas, sprendimų priėmimo logika, komercinės ir procesinės paslaptys profiliavimo procese. Seminare atkreiptas dėmesys, kad nėra iki galo aiškus skirtumas tarp automatizuotų sprendimų ir sprendimų su žmogaus įsikišimu. Vaikų amžiaus klausimas taip pat keltas ir profiliavimo aspektu, kaip nustatyti ar asmuo vaikas ar ne, be to, skirtingose šalyse yra nustatyta skirtingos vaikų amžiaus ribos. Aptariant profiliavimo tikslus išskirta, kad profiliavimas atliekamas dėl dviejų priežasčių – siekiant stebėti asmenų elgesį arba suprasti problemą ir rasti sprendimą. Atkreiptas dėmesys, kad tobulinamas dirbtinis intelektas ir mašinos kartais priima geresnius sprendimus negu žmonės. Apsvarstytos duomenų subjekto perspektyvos, kad duomenų subjektas turi teisę žinoti išvadas apie save ir turėti teisę prieštarauti, pavyzdžiui, atsižvelgiant į draudimo riziką. Pabrėžta, kad net ir rengiant rekomendacijas nebus atsakymų, kurie tiktų visiems atvejams. Profiliavimas kiekviename sektoriuje skirsis.