KOMISJONI TEATIS EUROOPA PARLAMENDILE, NÕUKOGULE, EUROOPA MAJANDUS- JA SOTSIAALKOMITEELE NING REGIOONIDE KOMITEELE Eraelu puutumatuse kaitsmine ühendatud maailmas Euroopa isikuandmete kaitse raamistik 21. sajandil /* COM/2012/09 final */
KOMISJONI TEATIS EUROOPA PARLAMENDILE,
NÕUKOGULE, EUROOPA MAJANDUS- JA SOTSIAALKOMITEELE NING REGIOONIDE KOMITEELE Eraelu puutumatuse kaitsmine ühendatud
maailmas
Euroopa isikuandmete kaitse raamistik 21. sajandil (EMPs kohaldatav tekst)
1.
ISIKUANDMETE KAITSEGA SEOTUD PROBLEEMID TÄNAPÄEVA
ÜHISKONNAS
Tehnoloogia ja üleilmastumise kiire areng on
põhjalikult muutnud üha suurema mahuga isikuandmete kogumist, kasutamist ja
edastamist. Euroopas on ligikaudu 250 miljonit internetikasutajat, kelle elu
mõjutavad uued teabevahetuskanalid, nagu suhtlusvõrgustikud, ja suurte
andmehulkade kaugsäilitamine. Samal ajal on isikuandmetest saanud paljude
ettevõtjate jaoks trump. Potentsiaalsete klientide andmete kogumine, koondamine
ja analüüsimine on sageli oluline osa nende majandustegevusest[1]. Uues digikeskkonnas on üksikisikutel õigus
kontrollile oma isikuandmete üle. Isikuandmete kaitse on Euroopas
põhiõigus, mis on sätestatud Euroopa Liidu põhiõiguste harta artiklis 8 ning
Euroopa Liidu toimimise lepingu artikli 16 lõikes 1, mistõttu tuleb seda
kaitsta. Usalduse puudumisel suhtuvad tarbijad veebist
ostmisesse ja uute teenuste aktsepteerimisse kõhklevalt. Seepärast on
isikuandmete kaitse kõrge tase äärmiselt oluline ka selleks, et suurendada
usaldust sidusteenuste vastu ja kasutada ära digimajanduse potentsiaali,
edendades seeläbi majanduskasvu ja ELi ettevõtjate konkurentsivõimet. Selleks et andmed saaksid vabalt liikuda ühest
liikmesriigist teise, peavad kogu ELis kehtima ajakohased ja sidusad eeskirjad.
Ettevõtjatel on vaja selgeid ja ühtseid eeskirju, et tagada õiguskindlus ja
minimeerida halduskoormust. See on ülimalt oluline ühtse turu toimimiseks ning majanduskasvu
ergutamiseks, uute töökohtade loomiseks ja innovatsiooni soodustamiseks[2]. ELi isikuandmete kaitse
eeskirjade ajakohastamine, millega tugevdatakse nende eeskirjade siseturu
mõõdet, tagab üksikisikute andmete kaitse kõrge taseme ning edendab
õiguskindlust, selgust ja järjepidevust. Seepärast on sellel oluline koht
Euroopa Komisjoni Stockholmi tegevuskavas[3]
ja Euroopa digitaalarengu tegevuskavas[4]
ning laiemalt võttes aitab see kaasa ELi majanduskasvu strateegia
(Euroopa 2020)[5]
arendamisele. Euroopa isikuandmete kaitse keskne õigusakt on
1995. aasta andmekaitsedirektiiv,[6]
mille vastuvõtmine oli isikuandmete kaitse valdkonnas ajalooline samm. Endiselt
on jõus selle eesmärgid tagada ühtse turu toimimine ning üksikisikute
põhiõiguste ja -vabaduste tõhus kaitse. Siiski tuleb tõdeda, et see võeti vastu
17 aastat tagasi, mil internet oli alles lapsekingades. Tänapäevases uute
probleemidega digikeskkonnas ei suuda kehtivad eeskirjad kindlustada ei
nõutavat ühtlustatust ega isikuandmete kaitsega seotud õiguse tagamiseks
vajalikku tõhusust. Seepärast teeb Euroopa Komisjon ettepaneku ELi isikuandmete
kaitse raamistikku põhjalikult reformida. Lisaks loodi Euroopa Liidu toimimise lepingu
artikliga 16 isikuandmete kaitset ja isikuandmete vaba liikumist käsitleva
ajakohastatud ja tervikliku lähenemisviisi uus õiguslik alus, mis hõlmab ka
kriminaalasjades tehtavat politsei- ja õiguskoostööd[7]. Kõnealust lähenemisviisi on
arvesse võetud Euroopa Komisjoni Stockholmi programmi ja Stockholmi tegevuskava
käsitlevates teatistes,[8]
milles rõhutatakse vajadust luua terviklik isikuandmete kaitse süsteem, mis
hõlmaks kõiki liidu pädevuses olevaid valdkondi, ja tagada, et põhiõigust
isikuandmete kaitsele kohaldatakse ühtselt. Selleks et ELi isikuandmete kaitse raamistiku
reformiks läbinähtaval viisil ette valmistuda, on komisjon alates
2009. aastast korraldanud üldsusega isikuandmete kaitse valdkonnas
konsulteerimisi[9]
ja pidanud huvirühmadega intensiivset dialoogi[10].
4. novembril 2010 avaldas komisjon teatise „Terviklik lähenemisviis
isikuandmete kaitsele Euroopa Liidus”,[11]
milles nähti ette reformi põhipunktid. 2011. aasta septembrist detsembrini
osales komisjon Euroopa riiklike andmekaitseasutuste ja Euroopa
andmekaitseinspektoriga süvendatud dialoogis, et leida võimalusi ELi
isikuandmete kaitse eeskirjade ühtsemaks kohaldamiseks kõikides ELi
liikmesriikides[12]. Nendest aruteludest selgus, et nii kodanikud kui
ka ettevõtjad soovisid, et Euroopa Komisjon reformiks põhjalikult ELi
isikuandmete kaitse eeskirju. Olles hinnanud erinevate poliitikavalikute[13] mõju, teeb Euroopa Komisjon
nüüd ettepaneku luua kõiki liidu poliitikavaldkondi hõlmav tugev ja ühtne
õigusraamistik, mis tugevdaks üksikisikute õigusi ja isikuandmete kaitse
valdkonna ühtse turu mõõdet ning vähendaks ettevõtjate jaoks bürokraatiat[14]. Komisjon teeb ettepaneku, et
uus raamistik koosneks järgmistest õigusaktidest: –
määrus (millega asendatakse
direktiiv 95/46/EÜ), millega kehtestatakse ELi isikuandmete kaitse üldraamistik[15]; –
direktiiv (millega
asendatakse raamotsus 2008/977/JSK[16]),
millega kehtestatakse kuritegude tõkestamise, tuvastamise ja kohtumenetluse
ning õiguskaitseasutuste asjaomase tegevuse eesmärgil töödeldavate
isikuandmete kaitse eeskirjad. Käesolevas teatises tuuakse esile ELi isikuandmete
kaitse raamistiku reformi peamised punktid.
2.
Üksikisikute kontroll oma isikuandmete üle
Seni isikuandmete kaitse valdkonnas kehtinud ELi
peamise õigusakti, direktiivi 95/46/EÜ kohaselt ei ole üksikisikute võimalused
kasutada oma õigust isikuandmete kaitsele liikmesriikides piisavalt
ühtlustatud. Ka isikuandmete kaitse eest vastutavate riiklike
andmekaitseasutuste volitused ei ole piisavalt ühtlustatud, et tagada nende
eeskirjade ühtne ja tõhus kohaldamine. See tähendab, et nende õiguste
kasutamine tegelikkuses on mõnes liikmesriigis keerulisem kui teises, eriti
veebikeskkonnas. Probleemide põhjuseks on ka iga päev kogutava
teabe maht ja asjaolu, et kasutajad ei ole alati täielikult teadlikud sellest,
et nende andmeid kogutakse. Kuigi paljud eurooplased leiavad, et isikuandmete
avaldamine kuulub üha enam moodsa elu juurde,[17]
tunneb 72 % Euroopa internetikasutajatest siiski muret, et nende käest
küsitakse veebikeskkonnas liiga palju isikuandmeid[18]. Neile tundub, et neil puudub
oma andmete üle kontroll. Neid ei ole nõuetekohaselt teavitatud, mis juhtub
nende isikuandmetega ning kellele ja mis eesmärgil neid edastatakse. Sageli ei
tea nad, kuidas oma õigusi veebikeskkonnas kasutada. Õigus
olla unustatud Euroopa tudeng, kes on liitunud interneti
suhtlusvõrgustikuga, otsustab tutvuda kõikide isikuandmetega, mis võrgustikul
tema kohta on. Seda tehes mõistab ta, et võrgustik kogub tema kohta palju
rohkem andmeid, kui ta aimata oskas, ja et endiselt säilitatakse teatavaid
isikuandmeid, mis ta enda arvates oli kustutanud. ELi isikuandmete kaitse eeskirjade reformiga
tagatakse, et sellist asja enam ei juhtu. Selleks nähakse ette: – sõnaselge nõue, millega kohustatakse
interneti suhtlusvõrgustikke (ja muid andmetöötlejaid) minimeerima kasutaja
kohta kogutavate ja töödeldavate isikuandmete mahtu; – nõue tagada vaikesätetega, et andmeid ei
avalikustata; – andmetöötlejate sõnaselge kohustus kustutada
inimese isikuandmed, kui see inimene seda sõnaselgelt nõuab ja kui nende
andmete säilitamiseks ei ole muud õiguspärast põhjust.
Konkreetsel juhul kohustaks see võrguteenuse pakkujat kustutama tudengi andmed
kohe ja täielikult. Nagu on rõhutatud Euroopa digitaalses tegevuskavas,
on just mure privaatsuse pärast üks sagedasematest põhjustest, miks inimesed ei
osta kaupu ja teenuseid veebist. Võttes arvesse, kui suur on info- ja
kommunikatsioonitehnoloogia sektori panus Euroopa üldise tootlikkuse kasvu –
20 % otse info- ja kommunikatsioonitehnoloogia sektori kaudu ning
30 % asjaomaste investeeringute kaudu[19]
–, on usaldus selliste teenuste vastu äärmiselt tähtis, et ergutada ELi
majanduse kasvu ja parandada Euroopa tööstuse konkurentsivõimet. Andmetega seotud
rikkumisest teavitamine Häkkerid ründasid ELis asuvatele klientidele
pakutavat hasartmänguteenust. Rikkumine mõjutas andmebaase, mis sisaldavad
kümnete miljonite kasutajate isikuandmeid (sealhulgas nimed, aadressid ja
võimalik, et ka krediitkaardi andmed). Äriühing ootas nädal aega, enne kui ta
asjaga seotud kasutajaid sellest teavitas. ELi isikuandmete kaitse eeskirjade reformiga
tagatakse, et sellist asja ei saa enam juhtuda. Uute eeskirjadega kohustatakse
äriühinguid: – tugevdama rikkumiste ärahoidmiseks ja
tõkestamiseks turvameetmeid; – teatama andmetega seotud rikkumistest
põhjendamatu viivituseta nii riiklikule andmekaitseasutusele (võimaluse korral
24 tunni jooksul alates rikkumise avastamisest) kui ka asjaga seotud isikutele. Komisjoni esildatud uute õigusaktide eesmärk on
tugevdada õigusi ning anda inimestele tõhusad vahendid, et nad saaksid kindlad
olla, et neid teavitatakse täielikult sellest, mis toimub nende isikuandmetega,
ja et nad saaksid oma õigusi tõhusamalt kasutada. Selleks et tugevdada üksikisikute isikuandmete
kaitsega seotud õigusi, teeb komisjon ettepaneku uute eeskirjade kohta, et parandada üksikisikute võimalusi oma andmeid
kontrollida. Selleks - tagatakse, et kui on vaja üksikisikut nõusolekut,
tuleb see anda sõnaselgelt, mis tähendab, et see peab põhinema asjaomase
isiku avaldusel või selget nõusolekut väljendaval tegevusel ja see antakse
vabatahtlikult; - internetikasutajatele tagatakse õigus
olla veebikeskkonnas unustatud ja õigus lasta oma andmed kustutada,
kui nad loobuvad nõusolekust ja kui andmete säilitamiseks ei ole muud
õiguspärast alust; - tagatakse võimalus tutvuda hõlpsalt oma
isikuandmetega ja õigus andmete ülekandmisele: õigus saada
töötlejalt säilitatud andmete koopia ja vabadus kanda oma andmed takistusteta
üle ühe teenusepakkuja juurest teise juurde; - tugevdada õigust
teabele, nii et üksikisikud saavad täielikult aru, kuidas nende
isikuandmeid käsitletakse, eriti kui andmete töötlemine on seotud lastega;
parandada üksikisikute võimalusi oma õigusi kasutada. Selleks
- tugevdatakse riiklike
andmekaitseasutuste sõltumatust ja volitusi, nii et nad oleksid kaebuste
tõhusaks menetlemiseks asjakohaselt varustatud ja et neil oleksid volitused
korraldada tõhusat uurimist, teha siduvaid otsuseid ja kehtestada tõhusaid ja
hoiatavaid sanktsioone; - tõhustatakse isikuandmete kaitsega seotud
õiguste rikkumise korral kohaldatavaid halduslikke ja
õiguskaitsevahendeid. See tähendab eelkõige, et kindlaksmääratud
tingimustele vastavad ühendused saavad üksikisiku nimel kohtusse hagi esitada; tugevdada andmeturvet. Selleks - soodustatakse eraelu puutumatust
suurendavate tehnoloogiate (tehnoloogiad, millega kaitstakse eraelu
käsitleva teabe puutumatust, minimeerides isikuandmete säilitamist), eraelu
puutumatust tagavate vaikesätete ja eraelu puutumatuse
sertifitseerimiskava kasutamist; - kehtestatakse andmetöötlejatele üldine
kohustus[20]
teavitada isikuandmetega seotud rikkumisest põhjendamatu viivituseta nii
andmekaitseasutusi (võimaluse korral 24 tunni jooksul) kui ka asjaga seotud
isikuid; suurendada andmetöötlejate vastutust. Selleks - nõutakse, et
andmetöötlejad nimetavad ametisse andmekaitseametniku üle 250 töötajaga
äriühingutes ja äriühingutes, mis on seotud töötlemistegevusega, millega selle
laadi, ulatuse või eesmärgi tõttu kaasneb oht üksikisikute õigustele ja
vabadustele (riskantsed töötlemistoimingud); - kehtestatakse põimitud isikuandmete
kaitse põhimõte kindlustamaks, et menetluste ja süsteemide kavandamise
etapis võetakse arvesse isikuandmete kaitse meetmeid; - kehtestatakse kohustus korraldada
organisatsioonides, mis on seotud riskantsete töötlemistoimingutega, isikuandmete
kaitsele avalduva mõju hindamisi.
3.
digitaalse ühtse turu isikuandmete kaitse eeskirjad
Hoolimata senise direktiivi eesmärgist tagada kogu
ELis samaväärne isikuandmete kaitse tase, erinevad liikmesriikide eeskirjad
üksteisest endiselt märkimisväärselt. Sellest tulenevalt tuleb andmetöötlejatel
kasutada 27 riigi õigusakte ja nõudeid. Tulemuseks on killustunud
õiguskeskkond, mis tekitab õiguskindlusetust ja põhjustab üksikisikute
ebaühtlase kaitse. See on tekitanud ettevõtjatele tarbetuid kulusid ja
halduskoormust ning võtnud ühtsel turul tegutsevatelt ettevõtjatelt
stiimuli laiendada oma tegevust üle piiride. Isikuandmete kaitse eest vastutavate ametiasutuste
ressursid ja volitused erinevad liikmesriigiti märkimisväärselt[21]. Mõnel juhul ei suuda nad oma
täitmisega seotud ülesandeid nõuetekohaselt täita. Selliste asutuste koostöö
Euroopa tasandil (olemasoleva nõuanderühma, nn artikli 29 töörühma kaudu)[22] ei taga alati ühtset täitmist
ja seda tuleb täiustada. Isikuandmete kaitse eeskirjade ühtne täitmine
kogu Euroopas Argmaine äriühing, millel on ELis mitu
tegevuskohta, kasutab kogu Euroopat hõlmavat virtuaalset kaardistamissüsteemi,
kuhu kogutakse kõikide eramajade ja üldkasutatavate hoonete pilte, millele
võivad sattuda ka tänaval viibivad inimesed. Ühes liikmesriigis on leitud, et
on ebaseaduslik avaldada udustamata pilte inimestest, kes ei ole enda
pildistamisest teadlikud. Teistes liikmesriikides ei ole seda isikuandmete kaitse
eeskirjade rikkumiseks peetud. Nii ei ole riiklikud andmekaitseasutused saanud
probleemile ühtset lahendust leida. ELi isikuandmete kaitse eeskirjade reformiga
tagatakse, et sellist asja ei saa tulevikus juhtuda, sest: – isikuandmete kaitse nõuded ja -meetmed
nähakse ette ELi määrusega, mis on kogu liidus otsekohaldatav; – otsuse selle kohta, kas äriühing tegutseb
seaduslikult, saab teha üksnes selle riigi andmekaitseasutus, kus on äriühingu
peamine tegevuskoht; – riiklike andmekaitseasutuste tegevuse kiire
ja tõhus kooskõlastamine (eeldusel, et teenust osutatakse eri liikmesriikides
asuvatele isikutele) aitab tagada, et uusi ELi isikuandmete kaitse eeskirju
kohaldatakse ja täidetakse kõikides liikmesriikides ühtselt.
Riiklikke ametiasutusi ja nende koostööd tuleb
tugevdada, et tagada eeskirjade ühtne täitmine ja kohaldamine kogu ELis. ELi tasandil toimiv tugev, selge ja ühtne
õigusraamistik aitab kasutada digitaalse ühtse turu potentsiaali ning edendab
majanduskasvu, innovatsiooni ja töökohtade loomist. Määrusega kaotatakse
õiguskorra killustatus 27 liikmesriigi vahel ja kaotatakse turulepääsu tõkked,
mis on eriti oluline mikro-, väike- ja keskmise suurusega ettevõtjate
seisukohast. Uute eeskirjadega antakse ELi äriühingutele ka
eelis ülemaailmses konkurentsis. Reformitud õigusraamistiku alusel saavad nad
tagada oma klientidele, et väärtuslikke isikuandmeid käsitletakse vajaliku
ettevaatuse ja hoolega. Usaldus järjepideva ELi õiguskorra vastu on
teenuseosutajate seisukohast väga oluline ja annab stiimuli investoritele, kes
otsivad teenuste osutamiseks optimaalsete tingimustega kohta. Isikuandmete kaitse valdkonna ühtse turu mõõtme tugevdamiseks teeb komisjon ettepaneku: - näha ELi tasandil ette isikuandmete kaitse
eeskirjad määruse kaudu, mis on otsekohaldatav kõikides liikmesriikides[23] ja mis lõpetaks eri
liikmesriikide isikuandmete kaitset käsitlevate seaduste kumulatiivse ja
üheaegse kohaldamise. See tooks äriühingutele kaasa aastas ligikaudu 2,3
miljardi euro suuruse netosäästu juba ainuüksi halduskoormuse vähendamise arvel; - lihtsustada õiguskeskkonda, vähendades
olulisel määral bürokraatiat ja kaotades formaalsused, nagu üldine
teatamiskohustus (mis toob aastas kaasa 130 miljoni euro suuruse netosäästu
juba ainuüksi halduskoormuse vähendamise arvel). Võttes arvesse mikro-, väike-
ja keskmise suurusega ettevõtjate tähtsust Euroopa majanduse konkurentsivõime
seisukohast, pööratakse erilist tähelepanu selliste ettevõtjate vajadustele; - suurendada veelgi riiklike
andmekaitseasutuste sõltumatust ja volitusi, et võimaldada neil korraldada
uurimisi, teha siduvaid otsuseid ja kehtestada tõhusaid ja hoiatavaid
sanktsioone, ning kohustada liikmesriike andma neile selleks piisavalt
vahendeid; - luua ELis isikuandmete kaitse ühtse
kontaktpunkti süsteem: ELi andmetöötlejatel tuleb suhelda ainult ühe
andmekaitseasutusega, s.t selle riigi andmekaitseasutusega, kus asub
äriühingu peamine tegevuskoht; - luua tingimused andmekaitseasutuste
sujuvaks ja tõhusaks koostööks, sealhulgas näha ette kohustus, et
andmekaitseasutused peavad mõne teise andmekaitseasutuse taotluse korral
korraldama uurimisi ja kontrolle ning üksteise otsuseid vastastikku tunnustama; - luua ELi tasandil järjepidevuse
mehhanism tagamaks, et andmekaitseasutuste otsustes, millel on laiem mõju
kogu Euroopale, võetakse täielikult arvesse teiste asjaomaste
andmekaitseasutuste seisukohti, ja et need otsused oleksid täielikult kooskõlas
ELi õigusega; - muuta artikli 29 töörühm sõltumatuks
Euroopa Andmekaitsenõukogu, et ta saaks tõhusamalt osaleda isikuandmete
kaitsega seotud õiguse ühtses kohaldamises ja luua tugeva aluse
andmekaitseasutuste koostööks, sealhulgas koostööks Euroopa
andmekaitseinspektoriga, ning suurendada koostoimet ja tõhusust, nähes ette, et
Euroopa Andmekaitsenõukogu sekretariaadi töö tagab Euroopa
andmekaitseinspektor. Uue ELi määrusega tagatakse isikuandmete kaitsega
seotud põhiõiguse tõhus kaitse kogu Euroopa Liidus ja tugevdatakse ühtse turu
toimimist. Euroopa Liidu Kohus on rõhutanud,[24]
et õigus isikuandmete kaitsele ei ole absoluutne õigus, vaid seda tuleb
arvestada vastavalt selle ülesandele ühiskonnas[25] ja tasakaalustada seda
proportsionaalsuse põhimõtte kohaselt muude põhiõigustega[26]. Seepärast sisaldab määrus
sõnaselgeid sätteid, millega tagatakse muude põhiõiguste – sõna- ja teabevabadus,
õigus kaitsele ja õigus ametisaladusele (näiteks õiguselukutsete puhul), –
kaitse, piiramata kirikute staatust, mis on kindlaks määratud liikmesriikide
õigusaktides.
4.
andmete kasutamine kriminaalasjades tehtavas politsei- ja
õiguskoostöös
Lissaboni lepingu jõustumine ja eelkõige uue
õigusliku aluse (Euroopa Liidu toimimise lepingu artikkel 16) kehtestamine
võimaldavad luua tervikliku isikuandmete kaitse raamistiku, millega tagada
üksikisikute andmete kaitse kõrge tase, ja võtta ühtlasi arvesse kriminaalasjades
tehtava politsei- ja õiguskoostöö spetsiifikat. Eelkõige tagab see, et
läbivaadatud ELi isikuandmete kaitse raamistik katab nii isikuandmete
piiriülest kui ka riigisisest töötlemist. See vähendaks liikmesriikide
õigusaktide erinevusi, millest tõenäoliselt võidab kogu isikuandmete kaitse
valdkond. Samuti võiks see kaasa tuua sujuvama teabevahetuse liikmesriikide
politsei ja õigusasutuste vahel ning seeläbi parandada Euroopas raske
kuritegevuse vastase võitluse valdkonnas tehtavat koostööd. Kriminaalasjadega
seoses andmete töötlemine politsei ja õigusasutuste poolt on praegu
reguleeritud peamiselt raamotsusega 2008/977/JSK, mis pärineb Lissaboni lepingu
jõustumise eelsest ajast. Kuna tegemist on raamotsusega, ei ole komisjonil
volitusi oma eeskirju jõustada, millest tuleneb ebaühtlane rakendamine. Lisaks
on raamotsuse reguleerimisala piiratud piiriülese töölemisega[27]. See tähendab, et selliste
isikuandmete töötlemine, mida ei ole vahetatud, ei kuulu praegu nende ELi
eeskirjade reguleerimisalasse, millega reguleeritakse sellist töötlemist ja
kaitstakse põhiõigust isikuandmete kaitsele. Mõnel juhul tekitab see politseile
ja muudele asutustele praktilisi probleeme, sest nende jaoks ei pruugi olla
ilmselge, kas andmetöötlus on üksnes riigisisene või ka piiriülene, ja nad ei
suuda prognoosida, kas riigisiseseid andmeid hakatakse edaspidi üle piiride
vahetama[28].
ELi uue reformitud isikuandmete kaitse raamistiku
eesmärk on seepärast tagada isikuandmete kaitse ühtlaselt kõrge tase, et suurendada
liikmesriikide politsei ja õigusasutuste vastastikust usaldust, aidates seeläbi
kaasa andmete vabamale liikumisele, ning tõhustada nende koostööd. Selleks et tagada kriminaalasjades tehtava politsei-
ja õiguskoostöö valdkonnas isikuandmete kaitse kõrge tase ja hõlbustada isikuandmete
vahetamist liikmesriikide politsei- ja õigusasutuste vahel, teeb komisjon
isikuandmete kaitse reformi paketi raames ettepaneku direktiivi kohta, millega - kohaldada
kriminaalasjades tehtava politsei- ja õiguskoostöö suhtes üldisi
isikuandmete kaitse põhimõtteid, võttes arvesse nende valdkondade
spetsiifikat[29];
- näha ette minimaalsed ühtlustatud
kriteeriumid ja tingimused, mis reguleerivaid üldiste eeskirjade võimalikke
piiranguid. See on seotud eelkõige üksikisikute õigusega saada teavet, kui politsei
ja õigusasutused nende andmeid menetlevad või nendega tutvuvad. Sellised
piirangud on vajalikud kuritegude tõhusaks tõkestamiseks, uurimiseks,
avastamiseks ja nende eest vastutusele võtmiseks; - kehtestada erieeskirjad, mis võtaksid
arvesse õiguskaitsealase tegevuse spetsiifikat ja teeksid muu hulgas vahet eri
kategooria andmesubjektide vahel, sest nende õigused võivad erineda (nt
tunnistajad ja kahtlusalused).
5.
ISIKUANDMETE KAITSE GLOBALISEERUNUD MAAILMAS
Üksikisikute õigused tuleb tagada alati, kui
isikuandmeid edastatakse EList kolmandatesse riikidesse ja kui kolmandate
riikide teenusepakkujad kasutavad või analüüsivad liikmesriikide üksikisikute
andmeid. See tähendab, et ELi isikuandmete kaitse standardeid tuleb kohaldada
sõltumata äriühingu või töötlemisüksuse geograafilisest asukohast. Tänapäeva globaliseerunud maailmas edastatakse
isikuandmeid üle järjest enamate virtuaalsete ja geograafiliste piiride ning
neid säilitatakse mitme riigi serverites. Üha enam äriühinguid pakub
pilvandmetöötluse teenuseid, mis võimaldavad klientidel kasutada kaugservereid
ja seal ka oma andmeid säilitada. Nende asjaolude tõttu tuleb seniseid
kolmandatesse riikidesse andmete edastamise mehhanisme täiustada. See hõlmab
piisavat kaitset käsitlevaid otsuseid (s.t otsused, millega tunnistatakse
kolmandate riikide isikuandmete kaitse standardid piisavaks) ja asjakohaseid
kaitsemeetmeid, nagu lepingu tüüptingimused või siduvad ettevõtluseeskirjad,[30] et tagada rahvusvaheliste
töötlemistoimingute puhul isikuandmete kaitse kõrge tase ja hõlbustada andmete
liikumist üle piiride. Siduvad ettevõtluseeskirjad Kontsernil on vaja vahetada korrapäraselt
isikuandmeid ELis asuvate filiaalide ja kolmandates riikides asuvate filiaalide
vahel. Kontsern tahaks kehtestada siduvad ettevõtluseeskirjad, et täita ELi
õigust ja piirata iga andmeedastuse haldusnõudeid. Praktikas tagatakse siduvate
ettevõtluseeskirjadega, et kogu kontsernis kohaldatakse ühtseid eeskirju, mitte
erinevaid siselepinguid. Artikli 29 töörühma tasandil kokkulepitud
praktika kohaselt peavad siduvate ettevõtluseeskirjadega tagatava isikuandmete
kaitse piisavaks tunnistamiseks kolm andmekaitseasutust (üks juhtiv asutus ja
kaks läbivaatajat) need põhjalikult läbi vaatama, kuid oma seisukohti võivad
avaldada ka teised asutused. Lisaks nõutakse mitme liikmesriigi õigusega
siduvate ettevõtluseeskirjade reguleerimisalasse kuuluva andmeedastuse puhul
täiendavaid riiklikke lube, mis muudab nende eeskirjade vastuvõtmise
koormavaks, kulukaks, pikaks ja keeruliseks. Pärast isikuandmete kaitse reformi: – muutub see protsess lihtsamaks ja
ühtlustatumaks; – siduvad ettevõtluseeskirjad kinnitab ainult
üks andmekaitseasutus, kuid tagatakse, et menetluses võivad osaleda ka muud
asjaomased andmekaitseasutused; – kui üks asutus on siduvad ettevõtluseeskirjad
heaks kiitnud, kehtivad need kogu ELis, ilma et selleks oleks vaja täiendavat
riigi tasandi luba. Globaliseerumisega kaasnevate probleemide
lahendamiseks on vaja paindlikke vahendeid ja
mehhanisme, eriti kogu maailmas tegutsevate ettevõtjate jaoks. Samas tuleb
tagada, et isikuandmete kaitses puuduksid augud. Komisjon teeb ettepaneku võtta
järgmised meetmed: - selged eeskirjad, milles on kindlaks määratud, millal kohaldatakse ELi õigust
kolmandates riikides asuvate andmekaitseasutuste suhtes, täpsustades
eelkõige, et kui ELis asuvatele isikutele pakutakse kaupu ja teenuseid või kui
jälgitakse nende käitumist, kohaldatakse Euroopa eeskirju; - Euroopa Komisjon teeb kõik piisavat
kaitset käsitlevad otsused ühemõtteliste ja selgete kriteeriumide alusel,
seahulgas kriminaalasjades tehtava politsei- ja õiguskoostöö valdkonnas; - andmete õiguspärane edastamine kolmandatele
riikidele tehakse lihtsamaks. Selleks tugevdatakse ja lihtsustatakse eeskirju,
mis käsitlevad rahvusvahelist andmeedastust riikidele, mis ei kuulu
piisavuse otsuse reguleerimisalasse, ja eelkõige ühtlustatakse ja laiendatakse
selliste vahendite kasutamist, nagu siduvad ettevõtluseeskirjad, nii et
neid saab kohaldada nii andmetöötlejate suhtes kui ka kontsernides,
mis võtab paremini arvesse andmetöötluses, eriti pilvandmetöötluses osalevate
äriühingute üha kasvavat arvu; - alustatakse dialoogi ja vajaduse
korral läbirääkimisi kolmandate riikidega, eelkõige ELi strateegiliste
partnerite ja Euroopa naabruspoliitika riikidega, ning asjaomaste
rahvusvaheliste organisatsioonidega (Euroopa Nõukogu, Majanduskoostöö ja Arengu
Organisatsioon, ÜRO), et edendada kogu maailmas kõrgeid ja
koostalitlusvõimelisi isikuandmete kaitse standardeid.
6.
KOKKUVÕTE
ELi isikuandmete kaitse reformi eesmärk on luua Euroopa
Liidule moodne, tugev, ühtne ja terviklik isikuandmete kaitse raamistik.
Üksikisikute põhiõigust isikuandmete kaitsele tugevdatakse. Järgitakse ka
muid õigusi, nagu õigus sõna- ja teabevabadusele, lapse õigused,
ettevõtlusõigus, õigus õiglasele kohtulikule arutamisele ja õigus
ametisaladusele (näiteks õiguselukutsete puhul), ning austatakse kirikute
staatust, mis on kindlaks määratud liikmesriikide õigusaktides. Reformist saavad eelkõige kasu üksiksikud, kelle
isikuandmete kaitsega seotud õigusi tugevdatakse ja usaldust digikeskkonna
vastu suurendatakse. Samuti lihtsustatakse reformiga ettevõtjate ja avaliku
sektori jaoks märkimisväärselt õiguskeskkonda. See peaks stimuleerima kogu ELi
ühtsel turul ja ka laiemalt digimajanduse arengut kooskõlas strateegia „Euroopa
2020” ja Euroopa digitaalarengu tegevuskava eesmärkidega. Lisaks suurendab
reform usaldust ka õiguskaitseasutuste vahel, mis võimaldab hõlbustada
nendevahelist andmevahetust ja koostööd raske kuritegevuse vastu võitlemisel,
tagades samal ajal üksikisikute kaitse kõrge taseme. Euroopa Komisjon teeb tihedat koostööd Euroopa
Parlamendi ja nõukoguga, et jõuda ELi uue isikuandmete kaitse raamistiku suhtes
kokkuleppele 2012. aasta lõpuks. Vastuvõtmisprotsessi jooksul ja ka pärast
seda, eriti seoses uute õigusaktide rakendamisega, peab komisjon tihedat ja
läbipaistvat dialoogi kõigi huvitatud isikutega, seahulgas era- ja avaliku
sektori esindajatega. Nende hulka kuuluvad politsei ja õigusasutuste,
elektronside reguleerijate rühma, kodanikuühiskonna organisatsioonide,
andmekaitseasutuste ja akadeemiliste ringkondade ning asjaga seotud ELi
ametite, nagu Eurojusti, Europoli, põhiõiguste ameti ning Euroopa Võrgu- ja
Infoturbeameti esindajad. Võttes arvesse infotehnoloogia pidevat arengut ja sotsiaalse käitumise
mudelite muutumist, on selline dialoog ülimalt oluline vajaliku teabe
saamiseks, mis aitab tagada üksisikute isikuandmete kaitse kõrge taseme, ELi
tööstuse kasvu ja konkurentsivõime, avaliku sektori (sealhulgas politsei ja
õigusasutused) tegevuse tõhususe ning halduskoormuse vähenemise. [1] Väga suurte andmehulkade turg kasvab kogu maailmas
40 % aastas: http://www.mckinsey.com/mgi/publications/big_data/ [2] Vt ka Euroopa Ülemkogu 23. oktoobri 2011. aasta
järeldused, milles on rõhutatud ühtse turu võtmerolli majanduskasvu ja tööhõive
tagamisel ning vajadust kujundada aastaks 2015 välja ühtne digitaalne turg. [3] KOM(2010) 171 (lõplik). [4] KOM(2010) 245 (lõplik). [5] KOM(2010) 2020 (lõplik). [6] Direktiiv 95/46/EÜ üksikisikute kaitse kohta
isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT L 281,
23.11.1995, lk 31). [7] Konkreetsed eeskirjad, mis reguleerivad liikmesriikides
ühise välis- ja julgeolekupoliitika valdkonna andmete töötlemist, nähakse ette
Euroopa Liidu lepingu artiklile 39 tugineva nõukogu otsusega. [8] KOM(2009) 262 ja KOM(2010) 171. [9] Isikuandmete kaitse reformi valdkonnas on toimunud kaks
üldsusega konsulteerimist: üks 2009. aasta juulist detsembrini (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0003_en.htm)
ja teine 2010. aasta novembrist kuni 2011. aasta jaanuarini (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0006_en.htm). [10] Konsultatsioonid korraldati 2010. aastal
liikmesriikide ametiasutuste ja erasektori huvirühmadega. 2010. aasta novembris
korraldas ELi õigusküsimuste volinik Viviane Reding isikuandmete kaitse reformi
käsitleva ümarlaua. 2011. aastal toimus ka muid konkreetsetele küsimustele
(nt andmetega seotud rikkumisest teavitamine) pühendatud seminare. [11] KOM (2010) 609. [12] Vt ELi õigusküsimuste voliniku Viviane Redingi
19. septembri 2011. aasta kiri artikli 29 töörühmale, mis on
avaldatud veebisaidil http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/index_en.htm [13] Vt mõjuhinnang SEC(2012)72. [14] Hilisemas etapis hõlmab see muudatusi spetsiifiliste ja
valdkondlike vahendite vastavusse viimiseks, nt määrus (EÜ) nr 45/2001, EÜT L 8,
12.1.2001, lk 1. [15] Määrusega tehakse ka piiratud arvul tehnilisi kohandusi
eraelu puutumatust ja elektroonilist sidet käsitlevas direktiivis (direktiiv
2002/58/EÜ, mida on viimati muudetud direktiiviga 2009/136/EÜ – ELT L 337,
18.12.2009, lk 11), et võtta arvesse direktiivi 95/46/EÜ muutmist määruseks.
Uuel määrusel ja uuel direktiivil on eraelu puutumatust ja elektroonilist sidet
käsitleva direktiivi jaoks märkimisväärsed õiguslikud tagajärjed, mistõttu
komisjon arutab neid sobival ajal, võttes arvesse Euroopa Parlamendi ja
nõukoguga käesolevate ettepanekute üle peetavate läbirääkimiste tulemusi. [16] Raamotsus 2008/977/JSK, 27. november 2008,
kriminaalasjades tehtava politsei- ja õigusalase koostöö raames töödeldavate
isikuandmete kaitse kohta, ELT L 350, 30.12.2008, lk. 60. Isikuandmete kaitse
reformi paketi raames võetakse vastu ka aruanne, mis käsitleb raamotsuse
(COM(2012)12) rakendamist liikmesriikides. [17] Vt Eurobaromeerti eriuuring 359: Attitudes on Data
Protection and Electronic Identity in the European Union, juuni 2011, lk
23. [18] Ibidem,
lk 54. [19] Vt Euroopa digitaalarengu tegevuskava, lk 4. [20] Praegu on see eraelu puutumatust ja elektroonilist sidet
käsitleva direktiivi alusel kohustuslik üksnes telekommunikatsioonisektoris. [21] Üksikasjalikum teave selle aspekti kohta on esitatud
seadusandliku ettepanekuga kaasnevas mõjuhinnangus (SEC(2012)72). [22] Artikli 29 töörühm loodi 1996. aastal direktiivi 95/46/EÜ
artikli 29 alusel, tal on nõuandev funktsioon ja ta koosneb liikmesriikide
isikuandmete kaitse järelevalve asutuste, Euroopa andmekaitseinspektori ja
komisjoni esindajatest. Rohkem teavet töörühma tegevuse kohta on esitatud
veebisaidil http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm [23] Tehakse ettepanek näha ette direktiiv, milles määratakse
kindlaks kriminaalasjades tehtava politsei- ja õiguskoostöö (vt 4. jagu) suhtes
kohaldatavad eeskirjad, mis võimaldab liikmesriikidele selles valdkonnas rohkem
paindlikkust. [24] Euroopa Kohtu 9. novembri 2010. aasta otsus liidetud
kohtuasjades C-92/09 ja C-93/09: Volker und Markus Schecke ja Eifert, EKLis
veel avaldamata. [25] Harta artikli 52 lõike 1 kohaselt võib
isikuandmete kaitsega seotud õiguste kasutamist piirata, tingimusel et
piirangud on ette nähtud õigusaktidega, need arvestavad nimetatud õiguste ja
vabaduste olemust ning need on proportsionaalsuse põhimõtte kohaselt vajalikud
ja vastavad tegelikult Euroopa Liidus tunnustatud üldist huvi pakkuvatele eesmärkidele
või vajadusele kaitsta teiste isikute õigusi ja vabadusi. [26] Euroopa Kohtu 6. novembri 2003. aasta otsus
kohtuasjas C-101/01: Lindqvist, EKL 2003, lk I-12971, punktid 82-90, ja 16.
detsembri 2008. aasta otsus kohtuasjas C-73/07: Satamedia, EKL 2008, lk I-9831,
punktid 50-62. [27] Täpsemalt kohaldatakse raamotsust isikuandmete suhtes,
mida edastatakse või tehakse kättesaadavaks või mis on edastatud või
kättesaadavaks tehtud liikmesriikide vahel või mida vahetatakse liikmesriikide
ning ELi institutsioonide ja asutuste vahel (vt artikli 1 lõige 2). [28] Seda kinnitasid ka mõned liikmesriigid oma vastustes
komisjoni küsimustikule, mis käsitles raamotsuse rakendamise aruannet
(COM(2012)12). [29] Vrd Lissaboni lepingu vastuvõtnud valitsustevahelise
konverentsi lõppaktile lisatud deklaratsioon nr 21 isikuandmete kaitse kohta
kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas . [30] Siduvad ettevõtluseeskirjad kujutavad endast Euroopa
isikuandmete kaitse standardi põhjal koostatud tegevusjuhendit, mille on heaks
kiitnud vähemalt üks andmekaitseasutus, mille rahvusvahelised organisatsioonid
koostavad vabatahtlikult ja mida nad vabatahtlikult järgivad, et tagada
isikuandmete nõuetekohane kaitse andmete edastamisel või teataval viisil
edastamisel äriühingute vahel, mis kuuluvad samasse kontserni ja mis on
omavahel seotud asjaomaste eeskirjadega. Neid ei reguleerita sõnaselgelt
direktiiviga 95/46/EÜ, kuid need on praktikas välja kujunenud
andmekaitseasutuste tegevuse tulemusel ja artikli 29 töörühma toetusel.