Visoms ES narėms skirtas dviejų metų laikotarpis pritaikyti šias taisykles prie nacionalinių teisės aktų, kurie turi pradės galioti 2018-aisiais. Nors dar likę keletas patvirtinimo formalumų, Europos Parlamentas (EP), ES Taryba ir Europos Komisija (EK) GDPR jau patvirtino. Tai netrukus turėtų padaryti ir Žmogaus teisių komitetas, o atėjus naujiems metams darkart balsuos EP. Tačiau Komisijos tikslas priimti galutinį sprendimą dėl duomenų apsaugos reformos jau įgyvendintas.
Susilaukė lobistų antpuolio
Teisingumo, vartotojų ir lyčių lygybės komisarė Vera Jourova vadina taisykles „aiškiomis“ ir „tinkančiomis skaitmeniniam amžiui“, nes dabartinė Europos duomenų apsaugos direktyva paskutinį kartą buvo peržiūrėta 1995 m.
Atsižvelgiant į technologijų srities pažangą, tarp iki šiol galiojančių taisyklių ir realios situacijos duomenų apsaugos srityje žioji praraja. Negana to, šiuo dokumentu siekiama suvienodinti taisykles visame regione, sukuriant vadinamąją „bendrą skaitmeninę rinką“, kuri verslo įmonėms supaprastintų paslaugų ir prekių judėjimo mainus Europoje.
Komentuodamas priimtą sprendimą, EK vicepirmininkas bei eurokomisaras, atsakingas už bendrąją skaitmeninę rinką Andrus Ansipas sakė, kad GDPR „sunaikins barjerus ir atvers vartus naujoms galimybėms.“ Taip pat, „TechCrunch“ rašo, jis netiesiogiai paneigė naujas taisykles kritikuojančius balsus.
Šio sprendimo priėmimo metu Briuselis buvo sulaukęs grupelės lobistų, kurie, atstovaudami Jungtines Amerikos Valstijas (JAV) ir technologijų kompanijas milžines „Facebook“ ir „Google“, dalyvavo svarstant duomenų apsaugos direktyvą ir aršiai gynė jų interesus. Šios kompanijos buvo tiesiogiai suinteresuotos, kad sprendimas nebūtų priimtas.
Leis plėtoti verslus
Jis pridūrė, kad „susitarimas padės Europai pakloti tvirtus pagrindus inovatyvioms skaitmeninėms paslaugoms. Kitas mūsų žingsnis – pašalinti nepagrįstas kliūtis, ribojančias tarpvalstybinius duomenų srautus.“ A. Ansipas teigė, kad kai kurios valstybės yra nustačiusios ir apribojusios duomenų tvarkymo galimybes už valstybės ribų. Naujasis susitarimas, pareigūno nuomone, padės sukurti klestinčią duomenų ekonomiką ES. Jis pabrėžė, kad tvarkant duomenis bus remiamasi aukščiausiais duomenų apsaugos standartais.
Skandalas padėjo apsispręsti
Diskusijos dėl duomenų apsaugos taisyklių įkarštyje buvo kilęs skandalas: 2013 m. buvęs JAV centrinės žvalgybos valdybos (CŽV) analitikas Edwardas Snowdenas atskleidė, kad JAV vyriausybė ir jos žvalgybos programos bei saugumo agentūros laisvai naudojasi tokių verslo įmonių kaip „Facebook“ surinktais duomenimis apie jų vartotojus ir klientus. Tai ir privertė JAV vyriausybę pasitelkti lobistus ir stengtis bent kiek „atlaisvinti“ duomenų apsaugai keliamus reikalavimus.
E. Snowdeno pateikti duomenys įtikino ES Teisingumo Teismą nutraukti saugaus uosto principą ir pakeisti asmens duomenų perdavimo iš ES į JAV tvarką. Šiuo metu kaip tik vyksta derybos dėl naujojo susitarimo, kuris turėtų būti priimtas 2016 m. sausį.
Taisyklėse – piliečių teisės ir verslo atsakomybės
Kas numatyta naujose duomenų apsaugos taisyklėse? Verta pažymėti, kad dokumente bandoma stiprinti individų duomenų apsaugos teises ir suteikti jiems galimybę nuspręsti, kaip gali būti naudojamasi jų duomenimis. Taip pat siekiama sugriežtinti bei supaprastinti su verslo įmonėmis susijusias taisykles.
Naujosios taisyklės galios ir Europos, ir kitų pasaulio valstybių verslo kompanijoms, turinčioms klientų Europoje, nepriklausomai nuo to, ar kompanija turi atstovybę šiame regione.
Naujame dokumente numatyta, kad baudos už duomenų tvarkymo ir apsaugos pažeidimus gali siekti iki keturių procentų visos įmonės pasaulinės apyvartos, taigi tokios verslo milžinės kaip „Google“ pažeidimo atveju turėtų sumokėti milijardus dolerių. Be to, atsakomybė už duomenų apsaugos pažeidimus priskiriama ne tik duomenų tvarkytojams, bet ir juos samdžiusiai kompanijai.
Jei įmonės renka slaptus vartotojų duomenis, kurių paviešinimas gali turėti neigiamų pasekmių vartotojams, tai joms bus keliamas reikalavimas turėti duomenų apsaugos specialistą, nebent duomenų rinkimas nėra viena pagrindinių įmonės veiklų. Be to, apie duomenų saugumo pažeidimus įmonės iškart turės pranešti atitinkamoms nacionalinėms priežiūros institucijoms.
Vaikams iki 13 m. draudžiama naudotis socialiniais tinklais, o dabar ši amžiaus riba gali išaugti iki 16 metų. Atskiros valstybės narės turės nustatyti, kada paaugliai galės tapti socialinių tinklų vartotojais be tėvų leidimo.
Kiekviena valstybė narė turėtų paskirti instituciją, į kurią suplauktų visi skundai dėl duomenų apsaugos pažeidimų.
Asmenys galės paprasčiau perduoti savo asmeninius duomenis kitoms tarnyboms.
EP narys Janas Philippas Albrechtas, vadovavęs EP deryboms, sakė, kad „Naujieji nurodymai grąžina asmeninių duomenų kontrolę į piliečių rankas: verslo įmonės be asmens leidimo negalės atskleisti informacijos, kurią asmuo jai patikėjo tam tikru tikslu, vartotojai turės duoti aiškų sutikimą dėl jų duomenų panaudojimo.“
Galutinai visos taisyklės paaiškės pasirodžius aiškinamiesiems įstatymo teisės aktams, kuriuose bus išdėstytos konkrečios sąlygos ir apibrėžtos išimtys. Reikia palaukti ir to laiko, kai valstybės narės pritaikys juos savo teisinėms sistemoms. Nors GDPR bus taikomas visame regione, jo pritaikymas kiekvienoje valstybėje bus vis kitoks. Viena aišku – advokatai turės nemažai darbo, padėdami siekiančioms išvengti baudų įmonėms suprasti, kaip ribojama jų veikla ir ką jos turi padaryti, kad naujojo įstatymo būtų laikomasi.
