SlideShare a Scribd company logo

4 mindaugas valancius

R
Rugile Butkeviciute

ppt

Education
1 of 20
Download to read offline
Atsakomybė už asmens duomenų tvarkymo pažeidimus elektroninėje erdvėje. Bylų apžvalga Mindaugas Valančius
2 Asmens duomenų apsaugos reguliavimo taikymas Pagal Asmens duomenų teisinės apsaugos įstatymo 1 str. 3 d. 1 p., įstatymas taikomas asmens duomenų tvarkymui, kai: • asmens duomenis savo veikloje tvarko duomenų valdytojas, įsteigtas ir veikiantis Lietuvos Respublikos teritorijoje; • asmens duomenis tvarko ES ar EEE valstybės duomenų valdytojo filialas arba atstovybė, įsteigti ir veikiantys Lietuvos Respublikoje. Tokiu atveju jiems taikomos Lietuvos įstatymo nuostatos, skirtos duomenų valdytojui.
• Asmuo pasiskundė Ispanijos duomenų apsaugos institucijai dėl Google indeksuojamos informacijos apie jį; • Google indeksavo prieš 16 metų laikraščio internetinio puslapio teisėtai paskelbtą informaciją apie tai, kad to asmens nekilnojamasis turtas yra parduodamas iš varžytinių išieškant jo socialinio draudimo skolas; • Priežiūros institucijai apskųstos JAV ir Ispanijos Google bendrovės; • Indeksavimu užsiima tik Google JAV bendrovė, o Ispanijos bendrovė užsiima tik reklama.3 Google Spain byla (I)
• Google: paieškos variklių veikimo operacijų negalima prilyginti trečiųjų asmenų tinklalapiuose esančių duomenų, pateikiamų paieškos rezultatų sąraše, tvarkymui, nes šie varikliai tvarko visą per internetą pasiekiamą informaciją, neskirstydami jos į asmens duomenis ir kitokius duomenis. • ESTT: a) „asmens duomenų tvarkymas“ apibrėžiamas kaip reiškiantis „bet kurią operaciją ar operacijų rinkinį“; b) Google „renka“ asmens duomenis, kuriuos „atgamina“, „užrašo“, panaudodama indeksavimo programas „surūšiuoja“, „išsaugo“ serveriuose ir „padaro prieinamus“ paieškos rezultatų sąrašų pavidalu; c) šios išvados nepaneigia aplinkybė, kad šie duomenys jau paskelbti internete ir paieškos variklis jų nepakeičia; d) operacijos turi būti laikomos tvarkymu taip pat tais atvejais, kai jos atliekamos tik su jau paskelbta, pavyzdžiui, žiniasklaidos priemonėse, informacija. 4 Google Spain byla (II)
• Google: paieškos variklio eksploatuotojas neturėtų būti laikomas taip tvarkomų duomenų „valdytoju“, nes jis nežino apie šių duomenų egzistavimą ir jų nekontroliuoja. • ESTT: a) duomenų valdytojas - „fizinis ar juridinis asmuo <...>, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir būdus“; b) paieškos variklio eksploatuotojas nustato šios veiklos, taigi ir asmens duomenų tvarkymo, kurį jis pats ir atlieka vykdydamas šią veiklą, tikslus ir būdus; c) naudotojams atlikus paiešką pagal fizinio asmens vardą, kartu su rezultatų sąrašu jiems bus pateikta sustruktūrinta su šiuo asmeniu susijusios informacijos, kurią galima rasti internete, apžvalga, leidžianti sudaryti daugiau ar mažiau išsamų duomenų subjekto profilį. 5 Google Spain byla (III)
• Google: nagrinėjamą asmens duomenų tvarkymą vykdo tik Google Inc., kuri paieškos paslaugą teikia be jokio Google Spain, padedančios Google grupei vykdyti tik reklaminę veiklą, kuri yra atskira nuo jos paieškos variklio paslaugos, kišimosi, todėl asmens duomenų apsaugos reguliavimas Google Spain neturėtų būti taikomas. • ESTT: a) nuostata dėl direktyvos taikymo reikalauja ne to, kad atitinkamą duomenų tvarkymą atliktų „pats“ padalinys, o tik to, kad tvarkymas būtų atliekamas šiam padaliniui „vykdant veiklą“ (nacionalinės nuostatos taikomos, jeigu duomenys tvarkomi „duomenų valdytojo padaliniui veikiant valstybės narės teritorijoje “); b) plačia taikymo sritimi siekiama išvengti situacijos, kai asmeniui neužtikrinama joje numatyta apsauga arba vengiama jam ją suteikti; c) paieškos variklio eksploatuotojo veikla ir atitinkamoje valstybėje narėje esančio jo padalinio veikla yra neatsiejamai susijusios, nes su reklaminiams pranešimams skirtomis vietomis susijusi veikla yra priemonė, kuria siekiama padaryti atitinkamą paieškos variklį ekonomiškai pelningą.6 Google Spain byla (IV)
• Google: vadovaujantis proporcingumo principu visi prašymai eliminuoti informaciją turi būti teikiami atitinkamo tinklalapio rengėjui, nes šis atsako už šios informacijos paviešinimą, gali įvertinti šio paviešinimo teisėtumą ir turi pačių veiksmingiausių ir mažiau ribojimų lemiančių priemonių padaryti šią informaciją nepasiekiamą • ESTT: a) duomenų subjektai turi teisę prieštarauti duomenų apie jį tvarkymui remiantis privalomu ir teisėtu pagrindu; b) paieškos sistema labai palengvina informacijos prieinamumą visiems informacijos apie duomenų subjektą ieškantiems asmenims, ši operacija gali labiau apriboti duomenų subjekto pagrindinę teisę į privataus gyvenimo gerbimą, nei tinklalapio rengėjo atliktas informacijos paskelbimas; c) interneto svetainėje paskelbta informacija dažnai būna pakartota kitose svetainėse, be to, už jos paskelbimą atsakingi asmenys ne visuomet patenka į ES teisės aktų taikymo sritį, todėl būtų neįmanoma užtikrinti veiksmingą ir visapusišką duomenų subjektų apsaugą, jei asmenys iš pradžių turėtų pasiekti, kad interneto svetainių rengėjai ištrintų informaciją apie juos. 7 Google Spain byla (V)
• Google: duomenų subjektams teisės suteikiamos tik su sąlyga, kad atitinkamas tvarkymas nesuderinamas su direktyva arba egzistuoja su jo konkrečia padėtimi susijęs privalomas ir teisėtas pagrindas, o ne todėl, kad jie paprasčiausiai mano, jog dėl šio tvarkymo jiems gali atsirasti neigiamų padarinių, arba jie pageidauja, kad taip tvarkomi duomenys būtų užmiršti. • ESTT: a) neatitiktis gali atsirasti ne tik tuomet, kai tokie duomenys yra netikslūs, bet ir tuomet, kai jie yra neadekvatūs, nereikšmingi ar pertekliniai pagal tvarkymo tikslus, neatnaujinti arba saugomi ilgiau, nei reikalinga; b) teisės aktuose nustatytos duomenų subjekto teisės iš principo yra viršesnės ne tik už paieškos variklio eksploatuotojo ekonominį interesą, bet ir už šios visuomenės interesą surasti šią informaciją vykdant paiešką pagal šio subjekto asmenvardį. Tačiau taip nebūtų tuo atveju, kai dėl konkrečių aplinkybių, kaip antai subjekto padėties viešajame gyvenime, paaiškėtų, kad šių pagrindinių teisių apribojimą pateisina viršesnis šios visuomenės interesas turėti įtraukimo į atitinkamus sąrašus suteikiamą prieigą prie atitinkamos informacijos. 8 Google Spain byla (VI)
9 Weltimmo byla (I) • Weltimmo yra Slovakijoje registruota bendrovė • Weltimmo interneto svetainėse teikė nekilnojamojo turto skelbimų paslaugas Vengrijoje • Vienas iš Weltimmo savininkų gyveno Vengrijoje ir atstovavo bendrovę įvairiose institucijose • Weltimmo neteisėtai tvarkė Vengrijos vartotojų asmens duomenis
10 Weltimmo byla (II) • Sulaukusi vartotojų skundų, Vengrijos asmens duomenų apsaugos institucija Weltimmo skyrė 32 000 eurų baudą. • Weltimmo pateikė teismui skundą, kurio argumentai: a) Vengrijos priežiūros institucija neturėjo kompetencijos nagrinėti bylos ir negalėjo taikyti Vengrijos teisės kitoje valstybėje narėje įsisteigusiam paslaugų teikėjui; b) pagal Direktyvos 95/46 28 straipsnio 6 dalį ši institucija privalėjo kreiptis į šioje srityje kompetentingą Slovakijos instituciją, kad ši vietoj jos imtųsi priemonių.
11 ESTT: Direktyvos 96/45 4 straipsnio 1 dalies a punktas aiškintinas taip, kad pagal jį leidžiama taikyti kitos nei ta, kur asmens duomenų valdytojas registruotas, valstybės narės teisės aktus dėl asmens duomenų apsaugos, jeigu: • šis valdytojas per nuolatinį vienetą tos valstybės narės teritorijoje • veiksmingai ir realiai vykdo bent minimalią veiklą, kurios pagrindu atliekamas šis tvarkymas. Weltimmo byla (III)
12 ESTT argumentai: • direktyvos tikslas – užtikrinti veiksmingą ir visapusišką teisės į privatų gyvenimą apsaugą ir išvengti teisės nuostatų apėjimo; • direktyvoje įtvirtinta lanksti padalinio sąvokos samprata, pagal kurią atmetamas formalus požiūris, kad įmonė turėtų būti įsteigta tik savo registracijos vietoje; • reikalaujama ne to, kad duomenis atitinkamai tvarkytų „pats“ padalinys, o tik to, kad tai būtų atliekama šiam padaliniui „vykdant veiklą“. Weltimmo byla (IV)
13 ESTT nuomone, nacionalinės teisės taikymui gali būti svarbios šios aplinkybės: • Weltimmo veikla, kurią vykdydamas jis tvarkė duomenis, buvo eksploatuoti Vengrijos teritorijoje esančio nekilnojamojo turto skelbimų interneto svetaines; • svetainės parengtos vengrų kalba, todėl veikla iš esmės ar net visiškai skirta Vengrijai, • Weltimmo Vengrijoje turėjo atstovą; • atstovas buvo įgaliotas išieškoti iš šios veiklos kilusius reikalavimus ir atstovauti per administracinį ir teismo procesus. Weltimmo byla (V)
14 ESTT: • padariusi išvadą, kad taikytina kitos valstybės narės teisė, priežiūros institucija negali skirti sankcijų už savo valstybės narės teritorijos ribų; • priežiūros institucija privalo prašyti šios kitos valstybės narės priežiūros institucijos konstatuoti šios teisės pažeidimą ir taikyti sankcijas, jeigu pagal ją galima tai daryti, remiantis perduota informacija. Weltimmo byla (VI)
15 Pagal Bendrąjį duomenų apsaugos reglamentą duomenų valdytojas kontroliuojamas pagrindinėje įsisteigimo vietoje, tačiau asmuo gali skųstis bet kur: • jeigu duomenų valdytojas įsisteigęs daugiau nei vienoje valstybėje arba duomenų tvarkymas gali paveikti daugiau nei vienos valstybės duomenų subjektus, siekiant vienodos praktikos atsakomybę gali taikyti vadovaujanti priežiūros institucija; • bet kokia kita institucija, gavusi skundą, traktuojama kaip susijusi institucija; • vadovaujanti institucija priimdama bendrą sprendimą turi bendradarbiauti su susijusiomis institucijomis; • sprendimą atmesti skundą gali priimti bet kuri institucija; • susijusi institucija gali priimti sprendimus taikyti atsakomybę, jeigu duomenų tvarkymas susijęs tik su viena valstybe ir vienos valstybės duomenų subjektais, tačiau tam turi pritarti vadovaujanti institucija. Reglamentas
16 Facebook (Schrems) byla (I) • Austrijos pilietis M. Schrems kreipėsi į Airijos asmens duomenų priežiūros instituciją, prašydamas uždrausti Facebook Ireland perduoti jo asmens duomenis į JAV Facebook Inc. • M. Schrems rėmėsi Edward Snowden atskleista informacija apie Jungtinių Amerikos Valstijų žvalgybos tarnybų, visų pirma Nacionalinės saugumo agentūros (National Security Agency, NSA), veiklą bei vykdomą stebėjimo programą, įskaitant Facebook duomenų tikrinimą.
17 Facebook (Schrems) byla (II) Airijos asmens duomenų apsaugos institucija atsisakė uždrausti Facebook Ireland teikti M. Schrems asmens duomenis į JAV remdamasi šiais argumentais: • nėra įrodymų, jog NSA susipažino su suinteresuotojo asmens duomenimis; • Europos Komisija savo sprendime yra konstatavusi, kad Jungtinės Amerikos Valstijos užtikrina adekvatų duomenų apsaugos lygį.
18 Facebook (Schrems) byla (III) • Asmens duomenys už ES ribų gali būti teikiami tik tuo atveju, jeigu ne ES šalyje yra užtikrinamas tinkamas duomenų apsaugos lygis. • Europos Komisija buvo priėmusi sprendimą, pagal kurį buvo pripažįstama, kad perduodant duomenis į JAV yra užtikrinamas tinkamas duomenų apsaugos lygis, jeigu bendrovės savanoriškai įsipareigoja laikytis Komisijos patvirtintų Safe Harbour principų.
19 Facebook (Schrems) byla (IV) ESTT panaikino Europos Komisijos sprendimą dėl Safe Harbour principų, teigdama, kad: • Safe Harbour principai neužtikrina tinkamo asmens duomenų apsaugos lygio, nes principų įsipareigoja laikytis JAV bendrovės, o ne JAV institucijos; • Europos Komisijos sprendime yra išimtis, leidžianti nacionalinio saugumo pagrindu be apribojimų nukrypti nuo Safe Harbour principų, nors ES teisėje sekimo priemonės leidžiamos tik laikantis proporcingumo bei kitų reikalavimų.
Ačiū už dėmesį!

Recommended

5 danguole morkuniene
5 danguole morkuniene5 danguole morkuniene
5 danguole morkunieneRugile Butkeviciute
 
Programa
ProgramaPrograma
Programalygus.lt Butkeviciute
 
3 dijana sinkūnienė
3 dijana sinkūnienė3 dijana sinkūnienė
3 dijana sinkūnienėRugile Butkeviciute
 
7 marius laurinaitis
7 marius laurinaitis7 marius laurinaitis
7 marius laurinaitisRugile Butkeviciute
 
1 lvi prezentacija
1 lvi prezentacija1 lvi prezentacija
1 lvi prezentacijaRugile Butkeviciute
 
2 zita čeponytė
2 zita čeponytė2 zita čeponytė
2 zita čeponytėRugile Butkeviciute
 
6 ilona petraitytė
6 ilona petraitytė6 ilona petraitytė
6 ilona petraitytėRugile Butkeviciute
 
WOMEN PEACE AND SECURITY
WOMEN PEACE AND SECURITY WOMEN PEACE AND SECURITY
WOMEN PEACE AND SECURITY Rugile Butkeviciute
 

Recommended

5 danguole morkuniene
5 danguole morkuniene5 danguole morkuniene
5 danguole morkunieneRugile Butkeviciute
 
Programa
ProgramaPrograma
Programalygus.lt Butkeviciute
 
3 dijana sinkūnienė
3 dijana sinkūnienė3 dijana sinkūnienė
3 dijana sinkūnienėRugile Butkeviciute
 
7 marius laurinaitis
7 marius laurinaitis7 marius laurinaitis
7 marius laurinaitisRugile Butkeviciute
 
1 lvi prezentacija
1 lvi prezentacija1 lvi prezentacija
1 lvi prezentacijaRugile Butkeviciute
 
2 zita čeponytė
2 zita čeponytė2 zita čeponytė
2 zita čeponytėRugile Butkeviciute
 
6 ilona petraitytė
6 ilona petraitytė6 ilona petraitytė
6 ilona petraitytėRugile Butkeviciute
 
WOMEN PEACE AND SECURITY
WOMEN PEACE AND SECURITY WOMEN PEACE AND SECURITY
WOMEN PEACE AND SECURITY Rugile Butkeviciute
 
Kvietimas konferencija 9 pamoka
Kvietimas konferencija 9 pamokaKvietimas konferencija 9 pamoka
Kvietimas konferencija 9 pamokaRugile Butkeviciute
 
20 years resolution 1325
20 years resolution 132520 years resolution 1325
20 years resolution 1325Rugile Butkeviciute
 
En 1 20 oikolukuvedos nro1
En 1 20 oikolukuvedos nro1En 1 20 oikolukuvedos nro1
En 1 20 oikolukuvedos nro1Rugile Butkeviciute
 
Women peace and security report
Women peace and security reportWomen peace and security report
Women peace and security reportRugile Butkeviciute
 
Pasitikrink ar patiri smurtą
Pasitikrink ar patiri smurtąPasitikrink ar patiri smurtą
Pasitikrink ar patiri smurtąRugile Butkeviciute
 
Ataskaita GenderED
Ataskaita GenderEDAtaskaita GenderED
Ataskaita GenderEDRugile Butkeviciute
 
GenderED report
GenderED reportGenderED report
GenderED reportRugile Butkeviciute
 
Iwpg brochure (1)
Iwpg brochure (1)Iwpg brochure (1)
Iwpg brochure (1)Rugile Butkeviciute
 
Declaration of peace and cessation of war booklet
Declaration of peace and cessation of war bookletDeclaration of peace and cessation of war booklet
Declaration of peace and cessation of war bookletRugile Butkeviciute
 
Iwpg brochure (1)
Iwpg brochure (1)Iwpg brochure (1)
Iwpg brochure (1)Rugile Butkeviciute
 
Lyciu lygybe programa
Lyciu lygybe programaLyciu lygybe programa
Lyciu lygybe programaRugile Butkeviciute
 
Nepriklausoma apzvalga-2018
Nepriklausoma apzvalga-2018Nepriklausoma apzvalga-2018
Nepriklausoma apzvalga-2018Rugile Butkeviciute
 
Dėl steigimo
Dėl steigimoDėl steigimo
Dėl steigimoRugile Butkeviciute
 
Dokumentas 20180306135233310
Dokumentas 20180306135233310Dokumentas 20180306135233310
Dokumentas 20180306135233310Rugile Butkeviciute
 
Stambulo oficialus vertimas (1)
Stambulo oficialus vertimas (1)Stambulo oficialus vertimas (1)
Stambulo oficialus vertimas (1)Rugile Butkeviciute
 
Spc 12os veiklos ataskaita
Spc 12os veiklos ataskaitaSpc 12os veiklos ataskaita
Spc 12os veiklos ataskaitaRugile Butkeviciute
 
Mic ataskaita 2017
Mic ataskaita 2017 Mic ataskaita 2017
Mic ataskaita 2017 Rugile Butkeviciute
 
Mic ataskaita 2017
Mic ataskaita 2017Mic ataskaita 2017
Mic ataskaita 2017Rugile Butkeviciute
 
0086 180305215155 001
0086 180305215155 0010086 180305215155 001
0086 180305215155 001Rugile Butkeviciute
 
Spc final
Spc finalSpc final
Spc finalRugile Butkeviciute
 

More Related Content

More from Rugile Butkeviciute

Declaration of peace and cessation of war booklet
Declaration of peace and cessation of war bookletDeclaration of peace and cessation of war booklet
Declaration of peace and cessation of war bookletRugile Butkeviciute
 

More from Rugile Butkeviciute (20)

Kvietimas konferencija 9 pamoka
Kvietimas konferencija 9 pamokaKvietimas konferencija 9 pamoka
Kvietimas konferencija 9 pamoka
 
20 years resolution 1325
20 years resolution 132520 years resolution 1325
20 years resolution 1325
 
En 1 20 oikolukuvedos nro1
En 1 20 oikolukuvedos nro1En 1 20 oikolukuvedos nro1
En 1 20 oikolukuvedos nro1
 
Women peace and security report
Women peace and security reportWomen peace and security report
Women peace and security report
 
Pasitikrink ar patiri smurtą
Pasitikrink ar patiri smurtąPasitikrink ar patiri smurtą
Pasitikrink ar patiri smurtą
 
Ataskaita GenderED
Ataskaita GenderEDAtaskaita GenderED
Ataskaita GenderED
 
GenderED report
GenderED reportGenderED report
GenderED report
 
Iwpg brochure (1)
Iwpg brochure (1)Iwpg brochure (1)
Iwpg brochure (1)
 
Declaration of peace and cessation of war booklet
Declaration of peace and cessation of war bookletDeclaration of peace and cessation of war booklet
Declaration of peace and cessation of war booklet
 
Iwpg brochure (1)
Iwpg brochure (1)Iwpg brochure (1)
Iwpg brochure (1)
 
Lyciu lygybe programa
Lyciu lygybe programaLyciu lygybe programa
Lyciu lygybe programa
 
Nepriklausoma apzvalga-2018
Nepriklausoma apzvalga-2018Nepriklausoma apzvalga-2018
Nepriklausoma apzvalga-2018
 
Dėl steigimo
Dėl steigimoDėl steigimo
Dėl steigimo
 
Dokumentas 20180306135233310
Dokumentas 20180306135233310Dokumentas 20180306135233310
Dokumentas 20180306135233310
 
Stambulo oficialus vertimas (1)
Stambulo oficialus vertimas (1)Stambulo oficialus vertimas (1)
Stambulo oficialus vertimas (1)
 
Spc 12os veiklos ataskaita
Spc 12os veiklos ataskaitaSpc 12os veiklos ataskaita
Spc 12os veiklos ataskaita
 
Mic ataskaita 2017
Mic ataskaita 2017 Mic ataskaita 2017
Mic ataskaita 2017
 
Mic ataskaita 2017
Mic ataskaita 2017Mic ataskaita 2017
Mic ataskaita 2017
 
0086 180305215155 001
0086 180305215155 0010086 180305215155 001
0086 180305215155 001
 
Spc final
Spc finalSpc final
Spc final
 

4 mindaugas valancius

  • 1. Atsakomybė už asmens duomenų tvarkymo pažeidimus elektroninėje erdvėje. Bylų apžvalga Mindaugas Valančius
  • 2. 2 Asmens duomenų apsaugos reguliavimo taikymas Pagal Asmens duomenų teisinės apsaugos įstatymo 1 str. 3 d. 1 p., įstatymas taikomas asmens duomenų tvarkymui, kai: • asmens duomenis savo veikloje tvarko duomenų valdytojas, įsteigtas ir veikiantis Lietuvos Respublikos teritorijoje; • asmens duomenis tvarko ES ar EEE valstybės duomenų valdytojo filialas arba atstovybė, įsteigti ir veikiantys Lietuvos Respublikoje. Tokiu atveju jiems taikomos Lietuvos įstatymo nuostatos, skirtos duomenų valdytojui.
  • 3. • Asmuo pasiskundė Ispanijos duomenų apsaugos institucijai dėl Google indeksuojamos informacijos apie jį; • Google indeksavo prieš 16 metų laikraščio internetinio puslapio teisėtai paskelbtą informaciją apie tai, kad to asmens nekilnojamasis turtas yra parduodamas iš varžytinių išieškant jo socialinio draudimo skolas; • Priežiūros institucijai apskųstos JAV ir Ispanijos Google bendrovės; • Indeksavimu užsiima tik Google JAV bendrovė, o Ispanijos bendrovė užsiima tik reklama.3 Google Spain byla (I)
  • 4. • Google: paieškos variklių veikimo operacijų negalima prilyginti trečiųjų asmenų tinklalapiuose esančių duomenų, pateikiamų paieškos rezultatų sąraše, tvarkymui, nes šie varikliai tvarko visą per internetą pasiekiamą informaciją, neskirstydami jos į asmens duomenis ir kitokius duomenis. • ESTT: a) „asmens duomenų tvarkymas“ apibrėžiamas kaip reiškiantis „bet kurią operaciją ar operacijų rinkinį“; b) Google „renka“ asmens duomenis, kuriuos „atgamina“, „užrašo“, panaudodama indeksavimo programas „surūšiuoja“, „išsaugo“ serveriuose ir „padaro prieinamus“ paieškos rezultatų sąrašų pavidalu; c) šios išvados nepaneigia aplinkybė, kad šie duomenys jau paskelbti internete ir paieškos variklis jų nepakeičia; d) operacijos turi būti laikomos tvarkymu taip pat tais atvejais, kai jos atliekamos tik su jau paskelbta, pavyzdžiui, žiniasklaidos priemonėse, informacija. 4 Google Spain byla (II)
  • 5. • Google: paieškos variklio eksploatuotojas neturėtų būti laikomas taip tvarkomų duomenų „valdytoju“, nes jis nežino apie šių duomenų egzistavimą ir jų nekontroliuoja. • ESTT: a) duomenų valdytojas - „fizinis ar juridinis asmuo <...>, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir būdus“; b) paieškos variklio eksploatuotojas nustato šios veiklos, taigi ir asmens duomenų tvarkymo, kurį jis pats ir atlieka vykdydamas šią veiklą, tikslus ir būdus; c) naudotojams atlikus paiešką pagal fizinio asmens vardą, kartu su rezultatų sąrašu jiems bus pateikta sustruktūrinta su šiuo asmeniu susijusios informacijos, kurią galima rasti internete, apžvalga, leidžianti sudaryti daugiau ar mažiau išsamų duomenų subjekto profilį. 5 Google Spain byla (III)
  • 6. • Google: nagrinėjamą asmens duomenų tvarkymą vykdo tik Google Inc., kuri paieškos paslaugą teikia be jokio Google Spain, padedančios Google grupei vykdyti tik reklaminę veiklą, kuri yra atskira nuo jos paieškos variklio paslaugos, kišimosi, todėl asmens duomenų apsaugos reguliavimas Google Spain neturėtų būti taikomas. • ESTT: a) nuostata dėl direktyvos taikymo reikalauja ne to, kad atitinkamą duomenų tvarkymą atliktų „pats“ padalinys, o tik to, kad tvarkymas būtų atliekamas šiam padaliniui „vykdant veiklą“ (nacionalinės nuostatos taikomos, jeigu duomenys tvarkomi „duomenų valdytojo padaliniui veikiant valstybės narės teritorijoje “); b) plačia taikymo sritimi siekiama išvengti situacijos, kai asmeniui neužtikrinama joje numatyta apsauga arba vengiama jam ją suteikti; c) paieškos variklio eksploatuotojo veikla ir atitinkamoje valstybėje narėje esančio jo padalinio veikla yra neatsiejamai susijusios, nes su reklaminiams pranešimams skirtomis vietomis susijusi veikla yra priemonė, kuria siekiama padaryti atitinkamą paieškos variklį ekonomiškai pelningą.6 Google Spain byla (IV)
  • 7. • Google: vadovaujantis proporcingumo principu visi prašymai eliminuoti informaciją turi būti teikiami atitinkamo tinklalapio rengėjui, nes šis atsako už šios informacijos paviešinimą, gali įvertinti šio paviešinimo teisėtumą ir turi pačių veiksmingiausių ir mažiau ribojimų lemiančių priemonių padaryti šią informaciją nepasiekiamą • ESTT: a) duomenų subjektai turi teisę prieštarauti duomenų apie jį tvarkymui remiantis privalomu ir teisėtu pagrindu; b) paieškos sistema labai palengvina informacijos prieinamumą visiems informacijos apie duomenų subjektą ieškantiems asmenims, ši operacija gali labiau apriboti duomenų subjekto pagrindinę teisę į privataus gyvenimo gerbimą, nei tinklalapio rengėjo atliktas informacijos paskelbimas; c) interneto svetainėje paskelbta informacija dažnai būna pakartota kitose svetainėse, be to, už jos paskelbimą atsakingi asmenys ne visuomet patenka į ES teisės aktų taikymo sritį, todėl būtų neįmanoma užtikrinti veiksmingą ir visapusišką duomenų subjektų apsaugą, jei asmenys iš pradžių turėtų pasiekti, kad interneto svetainių rengėjai ištrintų informaciją apie juos. 7 Google Spain byla (V)
  • 8. • Google: duomenų subjektams teisės suteikiamos tik su sąlyga, kad atitinkamas tvarkymas nesuderinamas su direktyva arba egzistuoja su jo konkrečia padėtimi susijęs privalomas ir teisėtas pagrindas, o ne todėl, kad jie paprasčiausiai mano, jog dėl šio tvarkymo jiems gali atsirasti neigiamų padarinių, arba jie pageidauja, kad taip tvarkomi duomenys būtų užmiršti. • ESTT: a) neatitiktis gali atsirasti ne tik tuomet, kai tokie duomenys yra netikslūs, bet ir tuomet, kai jie yra neadekvatūs, nereikšmingi ar pertekliniai pagal tvarkymo tikslus, neatnaujinti arba saugomi ilgiau, nei reikalinga; b) teisės aktuose nustatytos duomenų subjekto teisės iš principo yra viršesnės ne tik už paieškos variklio eksploatuotojo ekonominį interesą, bet ir už šios visuomenės interesą surasti šią informaciją vykdant paiešką pagal šio subjekto asmenvardį. Tačiau taip nebūtų tuo atveju, kai dėl konkrečių aplinkybių, kaip antai subjekto padėties viešajame gyvenime, paaiškėtų, kad šių pagrindinių teisių apribojimą pateisina viršesnis šios visuomenės interesas turėti įtraukimo į atitinkamus sąrašus suteikiamą prieigą prie atitinkamos informacijos. 8 Google Spain byla (VI)
  • 9. 9 Weltimmo byla (I) • Weltimmo yra Slovakijoje registruota bendrovė • Weltimmo interneto svetainėse teikė nekilnojamojo turto skelbimų paslaugas Vengrijoje • Vienas iš Weltimmo savininkų gyveno Vengrijoje ir atstovavo bendrovę įvairiose institucijose • Weltimmo neteisėtai tvarkė Vengrijos vartotojų asmens duomenis
  • 10. 10 Weltimmo byla (II) • Sulaukusi vartotojų skundų, Vengrijos asmens duomenų apsaugos institucija Weltimmo skyrė 32 000 eurų baudą. • Weltimmo pateikė teismui skundą, kurio argumentai: a) Vengrijos priežiūros institucija neturėjo kompetencijos nagrinėti bylos ir negalėjo taikyti Vengrijos teisės kitoje valstybėje narėje įsisteigusiam paslaugų teikėjui; b) pagal Direktyvos 95/46 28 straipsnio 6 dalį ši institucija privalėjo kreiptis į šioje srityje kompetentingą Slovakijos instituciją, kad ši vietoj jos imtųsi priemonių.
  • 11. 11 ESTT: Direktyvos 96/45 4 straipsnio 1 dalies a punktas aiškintinas taip, kad pagal jį leidžiama taikyti kitos nei ta, kur asmens duomenų valdytojas registruotas, valstybės narės teisės aktus dėl asmens duomenų apsaugos, jeigu: • šis valdytojas per nuolatinį vienetą tos valstybės narės teritorijoje • veiksmingai ir realiai vykdo bent minimalią veiklą, kurios pagrindu atliekamas šis tvarkymas. Weltimmo byla (III)
  • 12. 12 ESTT argumentai: • direktyvos tikslas – užtikrinti veiksmingą ir visapusišką teisės į privatų gyvenimą apsaugą ir išvengti teisės nuostatų apėjimo; • direktyvoje įtvirtinta lanksti padalinio sąvokos samprata, pagal kurią atmetamas formalus požiūris, kad įmonė turėtų būti įsteigta tik savo registracijos vietoje; • reikalaujama ne to, kad duomenis atitinkamai tvarkytų „pats“ padalinys, o tik to, kad tai būtų atliekama šiam padaliniui „vykdant veiklą“. Weltimmo byla (IV)
  • 13. 13 ESTT nuomone, nacionalinės teisės taikymui gali būti svarbios šios aplinkybės: • Weltimmo veikla, kurią vykdydamas jis tvarkė duomenis, buvo eksploatuoti Vengrijos teritorijoje esančio nekilnojamojo turto skelbimų interneto svetaines; • svetainės parengtos vengrų kalba, todėl veikla iš esmės ar net visiškai skirta Vengrijai, • Weltimmo Vengrijoje turėjo atstovą; • atstovas buvo įgaliotas išieškoti iš šios veiklos kilusius reikalavimus ir atstovauti per administracinį ir teismo procesus. Weltimmo byla (V)
  • 14. 14 ESTT: • padariusi išvadą, kad taikytina kitos valstybės narės teisė, priežiūros institucija negali skirti sankcijų už savo valstybės narės teritorijos ribų; • priežiūros institucija privalo prašyti šios kitos valstybės narės priežiūros institucijos konstatuoti šios teisės pažeidimą ir taikyti sankcijas, jeigu pagal ją galima tai daryti, remiantis perduota informacija. Weltimmo byla (VI)
  • 15. 15 Pagal Bendrąjį duomenų apsaugos reglamentą duomenų valdytojas kontroliuojamas pagrindinėje įsisteigimo vietoje, tačiau asmuo gali skųstis bet kur: • jeigu duomenų valdytojas įsisteigęs daugiau nei vienoje valstybėje arba duomenų tvarkymas gali paveikti daugiau nei vienos valstybės duomenų subjektus, siekiant vienodos praktikos atsakomybę gali taikyti vadovaujanti priežiūros institucija; • bet kokia kita institucija, gavusi skundą, traktuojama kaip susijusi institucija; • vadovaujanti institucija priimdama bendrą sprendimą turi bendradarbiauti su susijusiomis institucijomis; • sprendimą atmesti skundą gali priimti bet kuri institucija; • susijusi institucija gali priimti sprendimus taikyti atsakomybę, jeigu duomenų tvarkymas susijęs tik su viena valstybe ir vienos valstybės duomenų subjektais, tačiau tam turi pritarti vadovaujanti institucija. Reglamentas
  • 16. 16 Facebook (Schrems) byla (I) • Austrijos pilietis M. Schrems kreipėsi į Airijos asmens duomenų priežiūros instituciją, prašydamas uždrausti Facebook Ireland perduoti jo asmens duomenis į JAV Facebook Inc. • M. Schrems rėmėsi Edward Snowden atskleista informacija apie Jungtinių Amerikos Valstijų žvalgybos tarnybų, visų pirma Nacionalinės saugumo agentūros (National Security Agency, NSA), veiklą bei vykdomą stebėjimo programą, įskaitant Facebook duomenų tikrinimą.
  • 17. 17 Facebook (Schrems) byla (II) Airijos asmens duomenų apsaugos institucija atsisakė uždrausti Facebook Ireland teikti M. Schrems asmens duomenis į JAV remdamasi šiais argumentais: • nėra įrodymų, jog NSA susipažino su suinteresuotojo asmens duomenimis; • Europos Komisija savo sprendime yra konstatavusi, kad Jungtinės Amerikos Valstijos užtikrina adekvatų duomenų apsaugos lygį.
  • 18. 18 Facebook (Schrems) byla (III) • Asmens duomenys už ES ribų gali būti teikiami tik tuo atveju, jeigu ne ES šalyje yra užtikrinamas tinkamas duomenų apsaugos lygis. • Europos Komisija buvo priėmusi sprendimą, pagal kurį buvo pripažįstama, kad perduodant duomenis į JAV yra užtikrinamas tinkamas duomenų apsaugos lygis, jeigu bendrovės savanoriškai įsipareigoja laikytis Komisijos patvirtintų Safe Harbour principų.
  • 19. 19 Facebook (Schrems) byla (IV) ESTT panaikino Europos Komisijos sprendimą dėl Safe Harbour principų, teigdama, kad: • Safe Harbour principai neužtikrina tinkamo asmens duomenų apsaugos lygio, nes principų įsipareigoja laikytis JAV bendrovės, o ne JAV institucijos; • Europos Komisijos sprendime yra išimtis, leidžianti nacionalinio saugumo pagrindu be apribojimų nukrypti nuo Safe Harbour principų, nors ES teisėje sekimo priemonės leidžiamos tik laikantis proporcingumo bei kitų reikalavimų.