Europos Komisija paskelbė gaires dėl laisvo ne asmens duomenų judėjimo

Gegužės 29 dieną Europos Komisija paskelbė naujas gaires dėl laisvo ne asmens duomenų judėjimo sąveikos su ES duomenų apsaugos taisyklėmis. Pagal bendrosios skaitmeninės rinkos strategiją priimtu ir valstybėse narėse jau pradėtu taikyti naujuoju Reglamentu dėl laisvo ne asmens duomenų judėjimo duomenis be nepagrįstų apribojimų leidžiama saugoti ir tvarkyti visoje ES. Gairėmis siekiama padėti naudotojams suprasti šių naujų taisyklių ir Bendrojo duomenų apsaugos reglamento (BDAR) sąveiką, ypač kai duomenų rinkinius sudaro tiek asmens, tiek ne asmens duomenys.

Kartu su prieš metus įsigaliojusiu Bendruoju duomenų apsaugos reglamentu naujuoju Reglamentu dėl laisvo ne asmens duomenų judėjimo užtikrinama stabili duomenų tvarkymo srities teisinė ir verslo aplinka. Naujuoju reglamentu ES šalims užkertamas kelias priimti teisės aktus, kuriais nustatomi nepagrįsti reikalavimai duomenis saugoti tik šalies teritorijoje. Tai pirmasis tokio pobūdžio teisės aktas pasaulyje. Naujosiomis taisyklėmis didinamas teisinis tikrumas įmonėms ir kuriamas pasitikėjimas bei sudaromos palankesnės sąlygos MVĮ ir startuoliams kurti naujas novatoriškas paslaugas, naudotis geriausiais duomenų tvarkymo paslaugų pasiūlymais vidaus rinkoje ir plėsti tarpvalstybinę veiklą.

Paskelbtose gairėse pateikiama praktinių pavyzdžių, kaip turėtų būti taikomos taisyklės, kai įmonė tvarko duomenų rinkinius, kuriuos sudaro ir asmens, ir ne asmens duomenys. Jose taip pat paaiškinamos asmens ir ne asmens duomenų, įskaitant mišrius duomenų rinkinius, sąvokos, išdėstomi laisvo duomenų judėjimo principai ir užkertamas kelias taikyti duomenų vietos reikalavimus tiek pagal Bendrąjį duomenų apsaugos reglamentą, tiek pagal Reglamentą dėl laisvo ne asmens duomenų judėjimo ir paaiškinama duomenų perkeliamumo sąvoka pagal Reglamentą dėl laisvo ne asmens duomenų judėjimo. Gairėse aptariami ir abiejuose reglamentuose nustatyti savitvarkos reikalavimai.

Gairės ypač svarbios privačioms bendrovėms, visų pirma mažosioms ir vidutinėms įmonėms, organizacijoms ir kitiems subjektams, kurie vykdydami profesinę veiklą tvarko duomenis, t. y. rengia, renka, saugo ir perduoda duomenis, atlieka kitus duomenų – tiek asmens, tiek ne asmens – tvarkymo veiksmus. Gairės gali būti naudingos ir toms įmonėms, kurios tvarko vien ne asmens duomenis, nes gairėse nurodomos situacijos, kai duomenims gali būti taikomi vietos reikalavimai arba tam tikromis sąlygomis duomenų apsaugos taisyklės.

Kaip nustatyta BDAR, asmens ir ne asmens duomenys skiriasi. Pagal kilmę galima skiriamos šios ne asmens duomenų grupės:

• duomenys, kurie nuo pat pradžių nėra susiję su fiziniu asmeniu, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti, pavyzdžiui, vėjo jėgainėse įrengtų jutiklių sugeneruoti duomenys apie oro sąlygas arba duomenys apie pramonės mašinų techninės priežiūros poreikius, arba
• duomenys, kurie iš pradžių buvo asmens duomenys, bet vėliau tapo anoniminiai.

Pavyzdžiui, teigiama, kad asmens sveikatos duomenys gali būti mišraus duomenų rinkinio dalis. Kaip antai, elektroniniai sveikatos įrašai, klinikinių tyrimų duomenys arba įvairių mobiliųjų sveikatos ir gerovės (pavyzdžiui, sveikatos būklės vertinimo, priminimo išgerti vaistus arba kūno rengybos pažangos sekimo) programėlių renkami duomenys. Dėl technologijų raidos tiksliai atskirti šiuos duomenų rinkinius sudarančius asmens ir ne asmens duomenis vienus nuo kitų tampa vis sunkiau. Todėl tokie duomenų rinkiniai turi būti tvarkomi laikantis Bendrojo duomenų apsaugos reglamento, ypač (atsižvelgiant į tai, kad asmens sveikatos duomenys pagal tą reglamentą laikomi specialios kategorijos duomenimis) jo 9 straipsnio, kuriame nustatytas bendras draudimas tvarkyti specialių kategorijų duomenis ir šio draudimo išimtys.

Gairėse pateikiama daugiau ne asmens duomenų pavyzdžių, tačiau, siekiant padėti geriau suvokti, paaiškinama ir anonimintų bei pseudononimintų asmens duomenų sąvoka, taip pat aprašoma asmens ir ne asmens duomenų riba.

Laisvo ne asmens duomenų judėjimo taisyklės dera su galiojančiomis laisvo asmens duomenų judėjimo ir perkeliamumo Europos Sąjungoje taisyklėmis. Šios taisyklės:

• užtikrina laisvą duomenų judėjimą tarp valstybių. Naujosiomis taisyklėmis nustatoma duomenų saugojimo ir tvarkymo visoje ES sistema, kuria užkertamas kelias duomenų vietos apribojimams. Valstybės narės turės pranešti Komisijai apie visus likusius arba planuojamus duomenų vietos apribojimus ir Komisija įvertins, ar jie pagrįsti. Abu reglamentai veiks kartu, kad būtų sudarytos sąlygos laisvai judėti visiems duomenims – ir asmens, ir ne asmens – ir taip būtų sukurta bendra Europos duomenų erdvė. Mišrių duomenų rinkinių atveju asmens duomenims bus taikomas Bendrasis duomenų apsaugos reglamentas, kuriuo užtikrinamas laisvas asmens duomenų judėjimas, o ne asmens duomenims – laisvo ne asmens duomenų judėjimo principas;
• užtikrina galimybes gauti duomenis reguliuojamosios kontrolės tikslais.  Kad ir kur ES būtų saugomi arba tvarkomi duomenys, valdžios institucijos galės gauti duomenis tikrinimo ir priežiūros tikslais. Valstybės narės gali taikyti sankcijas naudotojams, kurie kompetentingos institucijos paprašyti nesuteikia prieigos prie kitoje valstybėje narėje saugomų duomenų;
• skatins kurti debesijos paslaugų elgesio taisyklių sąvadus, kad būtų lengviau keisti debesijos paslaugų teikėjus; jie turės būti parengti iki 2019 m. lapkričio pabaigos. Dėl to debesijos paslaugų rinka taps lankstesnė, o ES duomenų paslaugos prieinamesnės.