/* KOM/2010/0609 lõplik */ KOMISJONI TEATIS EUROOPA PARLAMENDILE, NÕUKOGULE, MAJANDUS- JA SOTSIAALKOMITEELE NING REGIOONIDE KOMITEELE Terviklik lähenemisviis isikuandmete kaitsele Euroopa Liidus
[pic] | EUROOPA KOMISJON | Brüssel 4.11.2010 KOM(2010) 609 lõplik KOMISJONI TEATIS EUROOPA PARLAMENDILE, NÕUKOGULE, MAJANDUS- JA SOTSIAALKOMITEELE NING REGIOONIDE KOMITEELE Terviklik lähenemisviis isikuandmete kaitsele Euroopa Liidus KOMISJONI TEATIS EUROOPA PARLAMENDILE, NÕUKOGULE, MAJANDUS- JA SOTSIAALKOMITEELE NING REGIOONIDE KOMITEELE Terviklik lähenemisviis isikuandmete kaitsele Euroopa Liidus 1. UUED PROBLEEMID SEOSES ISIKUANDMETE KAITSEGA 1995. aasta andmekaitsedirektiiv[1] on Euroopa Liidus isikuandmete kaitse valdkonnas äärmiselt oluline õigusakt. Direktiivis käsitletakse Euroopa integratsiooniprotsessi kahte kõige vanemat ja võrdselt olulist eesmärki: isikute põhiõiguste ja -vabaduste, eelkõige andmekaitset käsitleva põhiõiguse kaitset ning siseturu, st käesoleval juhul isikuandmete vaba liikumise väljakujundamist. Viisteist aastat pärast direktiivi vastuvõtmist on nii need kaks eesmärki kui ka direktiivis sätestatud põhimõtted ikka veel ajakohased. Tehnoloogia kiire areng ja üleilmastumine on maailma siiski põhjalikult muutnud ning tekitanud isikuandmete kaitse valdkonnas uusi probleeme. Üksikisikud saavad tänu tehnoloogiale hõlpsalt jagada teavet oma käitumise ja eelistuste kohta ning teha selle üldsusele ennenägematus ulatuses üleilmselt kättesaadavaks. Kõige sagedamini tehakse seda ilmselt suhtlusvõrkude kaudu, kuhu kuulub sadu miljoneid inimesi üle kogu maailma, kuid selleks on ka teisi võimalusi. Ka pilvandmetöötlus, st Interneti-põhine andmetöötlus, mille puhul asuvad tarkvara, jagatud ressursid ja teave kaugserverites (nn pilves), võib tekitada andmekaitsega seotud probleeme, kuna üksikisikud võivad salvestada kellegi teise serveris olevatesse programmidesse delikaatseid isikuandmeid, kaotades seega nende üle kontrolli. Hiljutises uuringus kinnitati, et andmekaitseasutused, ettevõtjate ühendused ja tarbijaorganisatsioonid on ühisel seisukohal, et Internetis toimuvast tegevusest tulenevad ohud eraelu puutumatusele ja isikuandmete kaitsele aina suurenevad[2]. Samal ajal on isikuandmete kogumise viisid muutunud äärmiselt keeruliseks ja neid ei ole lihtne tuvastada . Näiteks saavad majandustegevuses osalejad keerukate vahendite abil jälgida üksikisikute käitumist ja kujundada selle alusel oma tegevust. Andmete automatiseeritud kogumist hõlmavate menetluste, näiteks elektroonilise piletimüügi ja maanteemaksu elektroonilise kogumise ning geograafilise asukoha määramise seadmete aina laialdasem kasutamine muudab üksikisikute asukoha kindlaksmääramise hõlpsaks sel lihtsal põhjusel, et nad kasutavad mobiilseadmeid. Ka ametiasutused kasutavad e-valitsuse rakenduste abil isikuandmeid aina enam, näiteks nakkushaiguse puhangu korral üksikisikute jälgimiseks, terrorismi ja kuritegevuse ärahoidmise ja nende vastase võitluse tõhustamiseks, sotsiaalkindlustusskeemide haldamiseks, maksustamise eesmärgil jne. Kõik see tõstatab küsimuse, kas ELi kehtivad andmekaitsealased õigusaktid pakuvad täielikke ja tõhusaid lahendusi nimetatud probleemidele. Kõnealuse teema uurimiseks hakkas komisjon läbi vaatama kehtivat õigusraamistikku, korraldades selleks 2009. aasta mais kõrgetasemelise konverentsi, millele järgnesid 2009. aasta lõpuni kestnud konsultatsioonid üldsusega[3]. Käivitati ka mitu uuringut[4]. Saadud vastustes kinnitati direktiivi aluspõhimõtete ajakohasust ja toetati direktiivi tehnoloogiliselt neutraalse laadi säilitamist. Siiski tuvastati mitu probleemset aspekti. Need on järgmised: - Uute tehnoloogiate mõju Konsultatsioonide raames nii üksikisikutelt kui ka organsatsioonidelt saadud vastustes kinnitati vajadust selgitada ja täpsustada andmekaitse põhimõtete kohaldamist uute tehnoloogiate suhtes eesmärgiga tagada üksikisikute isikuandmete tegelik tõhus kaitse hoolimata tehnoloogiast, mida kasutatakse nende andmete töötlemiseks, ning andmete vastutavate töötlejate täielik teadlikkus uute tehnoloogiate mõjust andmekaitsele. Nimetatud küsimusi on osaliselt käsitletud direktiivis 2002/58/EÜ (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv),[5] millega on täpsustatud ja täiendatud üldist andmekaitsedirektiivi elektroonilise side sektoris[6]. - Andmekaitse siseturumõõtme laiendamine Mitme sidusrühma, eriti rahvusvaheliste ettevõtjate üheks peamiseks mureks on see, et liikmesriikide andmekaitsealaseid õigusakte ei ole hoolimata ELi ühisest õigusraamistikust vajalikul määral ühtlustatud. Sidusrühmad rõhutasid ka vajadust suurendada õiguskindlust, vähendada halduskoormust ning tagada majandustegevuses osalejatele ja teistele andmete vastutavatele töötlejatele võrdsed tingimused. - Üleilmastumine ja rahvusvahelise andmeedastuse täiustamine Mitu sidusrühma pöörasid tähelepanu sellele, et andmete töötlemise aina suurem delegeerimine, kusjuures sageli väljapoole ELi, tekitab probleeme seoses andmete töötlemise suhtes kohaldatava õiguse ja asjaomase vastutuse jaotusega. Mitu organisatsiooni osutasid rahvusvahelise andmeedastuse praeguse korra teatavatele puudustele ja leidsid, et selline kord tuleks läbi vaadata ja seda tuleks ühtlustada, et muuta andmeedastus senisest lihtsamaks ja vähem tülikaks. - Andmekaitse-eeskirjade tõhusa täitmise tagamiseks vajaliku institutsioonilise struktuuri tugevdamine Sidusrühmad on seisukohal, et andmekaitse-eeskirjade senisest parema täitmise tagamiseks on vaja parandada andmekaitseasutuste tööd. Teatavad organisatsioonid tegid ettepaneku suurendada artikli 29 töörühma tegevuse läbipaistvust ( vt punkt 2.5 ) ning selgitada töörühma ülesandeid ja volitusi. - Andmekaitsealase õigusraamistiku sidususe suurendamine Avaliku konsultatsiooni käigus rõhutasid kõik sidusrühmad vajadust üldise õigusakti järele, mida kohaldataks andmetöötlustoimingute suhtes kõikides ELi sektorites ja poliitikavaldkondades ning mis tagaks sidusa lähenemise ning ühtse, tervikliku ja tõhusa kaitse[7]. Nimetatud probleemsed aspektid eeldavad ELilt ulatuslikku ja terviklikku lähenemisviisi , millega oleks tagatud üksikisikute andmekaitset käsitleva põhiõiguse täielik austamine nii ELis kui ka väljaspool seda . Sellise lähenemisviisi väljatöötamiseks on ELile Lissaboni lepinguga ette nähtud täiendavad vahendid: ELi põhiõiguste harta (sh artikkel 8, milles tunnistatakse isikuandmete kaitset eraldi õigusena) on muudetud õiguslikult siduvaks ja ette on nähtud uus õiguslik alus,[8] mis võimaldab kehtestada üksikisikute kaitse valdkonnas seoses isikuandmete töötlemise ja selliste andmete vaba liikumisega ulatuslikke ja sidusaid ELi õigusakte. Uus õiguslik alus annab ELile võimaluse kehtestada andmekaitse reguleerimiseks ühe õigusakti, kaasates selle reguleerimisalasse kriminaalasjades tehtava politsei- ja õigusalase koostöö valdkonna. ELi toimimise lepingu artiklis 16 on ühine välis- ja julgeolekupoliitika hõlmatud vaid osaliselt, kuna erieeskirjad andmete töötlemise kohta liikmesriikides tuleb kehtestada nõukogu otsusega, millel on erinev õiguslik alus[9]. Tuginedes nimetatud uutele õiguslikele võimalustele, seab komisjon oma esmaseks eesmärgiks tagada andmekaitset käsitleva põhiõiguse austamine kogu ELis ja kõikides ELi poliitikavaldkondades, arendades samal ajal andmekaitse siseturumõõdet ja hõlbustades isikuandmete vaba liikumist. Isikuandmete kaitset käsitleva põhiõiguse tagamisel tuleb täielikult arvesse võtta teisi hartas sätestatud asjakohaseid põhiõigusi ja muid aluslepingutes nimetatud eesmärke. Käesolevas teatises kirjeldatakse, kuidas kavatseb komisjon ajakohastada kõikides ELi tegevusvaldkondades isikuandmete kaitset käsitlevat ELi õigussüsteemi, võttes seejuures eelkõige arvesse üleilmastumisest ja uutest tehnoloogiatest tulenevaid aspekte, et üksikisikutele oleks seoses nende isikuandmete töötlemisega kõikides ELi tegevusvaldkondades ka edaspidi tagatud kaitse kõrge tase. See võimaldab ELil jääda kogu maailmas kõrgete andmekaitsenõuete edendamisel juhtivaks jõuks. 2. TERVIKLIK LÄHENEMISVIIS ANDMEKAITSELE: PEAMISED EESMÄRGID 2.1. Tugevdada üksikisikute õigusi 2.1.1. Tagada igas olukorras üksikisikutele asjakohane kaitse Kehtivates ELi andmekaitsealastes õigusaktides sätestatud eeskirjade eesmärk on kooskõlas ELi põhiõiguste hartaga kaitsta füüsiliste isikute põhiõigusi ja eelkõige nende õigust isikuandmete kaitsele [10]. Mõiste „isikuandmed” on üksikisikute kaitse seisukohalt ELi andmekaitsealastes õigusaktides äärmiselt oluline mõiste ning sellest tulenevalt on andmete vastutavatele töötlejatele ja volitatud töötlejatele pandud teatavad kohustused[11]. Mõiste „isikuandmed” hõlmab kogu teavet, mis on otseselt või kaudselt seotud tuvastatud või tuvastatava isikuga. Isiku tuvastatavuse kindlakstegemisel tuleb arvesse võtta „kõiki vahendeid, mida vastutav töötleja või keegi muu võib andmesubjekti tuvastamiseks tõenäoliselt kasutada”[12]. Seadusandja on kehtestanud sellise lähenemisviisi selle paindlikkuse tõttu, mis võimaldab seda kohaldada erinevates olukordades ja erinevate arengusuundade suhtes, mis mõjutavad põhiõigusi, sealhulgas selliste suhtes, mida ei olnud direktiivi vastuvõtmise ajal võimalik ette näha. Samal ajal ei pruugi sellise ulatusliku ja paindliku lähenemisviisi tõttu olla direktiivi reguleerimisalasse kuuluvates olukordades alati selge, kuidas tuleks olukorda käsitleda, kas üksikisikutel on õigus andmekaitsele ja kas andmete vastutavad töötlejad peaksid täitma direktiivis ettenähtud kohustusi[13] . ELi õiguse kohaselt tuleks lisameetmeid võtta ka olukorras, kus töödeldakse eriteavet. Asjaomased meetmed on mitmel juhul juba ka ette nähtud. Näiteks teabe salvestamine lõppseadmesse (näiteks mobiiltelefoni) on lubatud vaid üksikisiku nõusoleku korral. Võib juhtuda, et seda küsimust peab käsitlema ka ELi tasandil, näiteks seoses võtme ja koodiga varustatud andmete, asukohta käsitlevate andmete ja andmekogumistehnoloogiatega, mis võimaldavad koondada eri allikatest saadud andmeid, ning olukordadega, kus tuleb tagada IT-süsteemide konfidentsiaalsus ja terviklus[14]. Seega tuleb kõiki eespool nimetatud küsimusi hoolikalt analüüsida. Komisjon kaalub, kuidas tagada andmekaitse-eeskirjade ühtne kohaldamine, võttes seejuures arvesse uute tehnoloogiate mõju üksikisikute õigustele ja vabadustele ning eesmärki tagada siseturul isikuandmete vaba liikumine. 2.1.2. Suurendada andmesubjektide jaoks läbipaistvust Selleks et üksikisikud saaksid kasutada kontrolli enda kohta kogutud andmete üle ja et oleks tagatud isikuandmete tõhus kaitse, on vaja läbipaistvust. Seega on oluline, et andmete vastutavad töötlejad teavitaksid üksikisikuid läbipaistval viisil põhjalikult ja selgelt nii sellest, kes kogub ja töötleb nende kohta kogutud andmeid, millisel viisil, millisel eesmärgil ja kui kaua seda tehakse, kui ka üksikisiku õigustest, kui ta soovib enda kohta kogutud andmetega tutvuda või neid parandada või kustutada. Andmesubjektile antavat teavet käsitlevad sätted[15] ei ole piisavad. Läbipaistvuse peamiseks eelduseks on selgelt ja arusaadavalt sõnastatud teabe lihtne kättesaadavus . See kehtib eelkõige Interneti kohta, kus isikuandmete kaitse eeskirjad ei ole sageli selged ega läbipaistvad,[16] neid on keeruline leida ning sageli ei vasta need täiel määral kehtivatele õigusaktidele. Nii võib see olla näiteks käitumispõhise Interneti-reklaami puhul, kus nii sellega seotud inimeste arvukuse kui ka tehnoloogilise keerukuse tõttu on üksikisikul keeruline saada teada ja mõista, kas selle raames kogutakse isikuandmeid, kes neid kogub ja millisel eesmärgil seda tehakse. Erilist tähelepanu tuleb pöörata lastele , kuna nemad ei pruugi olla isikuandmete töötlemisega seotud ohtudest, tagajärgedest, tagatistest ega õigustest teadlikud[17]. Komisjon kaalub järgmist: - lisada isikuandmete läbipaistva töötlemise üldpõhimõte õigusraamistikku; - kehtestada andmete vastutavatele töötlejatele konkreetsed kohustused seoses sellega, millist teavet avaldada ja kuidas seda teha, sealhulgas kohustused laste ees; - koostada andmete vastutavate töötlejate jaoks üks või mitu ELi tüüpvormi (isikuandmete kaitse eeskirjad) . Oluline on teavitada üksikisikuid ka sellest, kui nende kohta kogutud andmeid on juhuslikult või ebaseaduslikult hävitatud ja muudetud, need on läinud kaotsi, nendega on tutvutud ning neid on avalikustatud isikutele, kellele ei oleks tohtinud neid avaldada. Eraelu puutumatust ja elektroonilist sidet käsitleva direktiivi hiljutise läbivaatamise raames kehtestati telekommunikatsioonisektoris kohustus teatada isikuandmetega seotud rikkumisest . Kuna andmetega seotud rikkumiste oht on ka teistes sektorites (nt finantssektoris), uurib komisjon võimalust laiendada seda kohustust ka teistele sektoritele. See oleks kooskõlas komisjoni deklaratsiooniga andmete puutumatuse rikkumisest teavitamise kohta, mille ta esitas Euroopa Parlamendile elektroonilist sidet reguleeriva raamistiku reformi raames 2009. aastal[18]. Niisugune uurimine ei mõjuta eraelu puutumatust ja elektroonilist sidet käsitlevat direktiivi, mis tuleb siseriiklikku õigusesse üle võtta 25. maiks 2011[19]. Selles küsimuses tuleb välja töötada ühtne ja sidus lähenemisviis. Komisjon teeb järgmist: - uurib võimalusi muuta üldises õigusraamistikus isikuandmetega seotud rikkumistest teatamine üldreegliks , sealhulgas näha ette selliste teadete saajad ja kriteeriumid, mille korral tekib kohustus kõnealusest rikkumisest teatada. 2.1.3. Tõhustada kontrolli enda kohta kogutud andmete üle Selleks et tagada üksikisikutele andmekaitse kõrge tase, tuleb andmete töötlemist andmete vastutavate töötlejate poolt piirata andmete kogumise eesmärgiga (võimalikult väheste andmete kogumise põhimõte) ja säilitada andmesubjektide tõhus kontroll nende kohta kogutud andmete üle . ELi põhiõiguste harta artikli 8 lõikes 2 on sätestatud, et „igaühel on õigus tutvuda tema kohta kogutud andmetega ja nõuda nende parandamist”. Üksikisikutel peaks olema alati võimalus tutvuda enda kohta kogutud andmetega, neid parandada, kustutada ja sulgeda, välja arvatud juhul, kui selle takistamise eesmärgid on ette nähtud õigusaktides. Nimetatud õigused on küll sätestatud kehtivas õigusraamistikus, kuid kuna nende kasutamise viisi ei ole ühtlustatud, on neid teatavates liikmesriikides võimalik kasutada lihtsamalt kui teistes. Selliste õiguste kasutamine on muutunud eriti suureks probleemiks Internetis, kus andmeid säilitatakse sageli asjaomast isikut sellest teavitamata ja/või tema loata. Eelkõige kehtib see Interneti suhtlusvõrkude kohta, kuna selles keskkonnas on üksikisikul väga keeruline oma isikuandmeid tõhusalt kontrollida. Komisjon on saanud mitu järelepärimist üksikisikutelt, kes ei saanud Interneti-teenuste pakkujatele antud isikuandmeid (näiteks pilte) kustutada ning kelle õigust tutvuda enda kohta kogutud andmetega ning neid muuta ja kustutada seega piirati. Seepärast tuleks kõnealused õigused senisest täpsemalt sätestada, neid tuleks selgitada ja võimaluse korral tugevdada. Komisjon kaalub, kuidas teha järgmist: - tugevdada võimalikult väheste andmete kogumise põhimõtet ; - parandada andmetega tutvumise ning nende muutmise, kustutamise ja sulgemise õiguse tegelikke kasutusviise (näiteks kehtestada üksikisikute taotlustele vastamise tähtaeg, lubada kasutada nimetatud õigusi elektroonilisel teel ja sätestada, et andmetega tutvumise õigust peaks saama kasutada üldjuhul tasuta); - täpsustada nn õigust olla unustatud , st üksikisiku õigust nõuda enda kohta kogutud andmete töötlemise lõpetamist ja selliste andmete kustutamist, kui neid ei ole õiguspärastel eesmärkidel enam vaja. - See kehtib näiteks juhul, kui isik on tühistanud nõusoleku, mille ta oli varem andnud enda kohta kogutud andmete töötlemiseks, või kui selliste andmete säilitamise aeg on möödunud; - andmete liikuvuse tagamiseks laiendada andmesubjekti õigusi, st anda üksikisikule sõnaselge õigus kanda enda kohta käivad andmed (nt fotod või sõprade nimekiri) ühest rakendusest või teenuskeskkonnast üle teise, kui see on tehniliselt teostatav, ilma et andmete vastutavatel töötlejatel oleks õigus seda takistada. 2.1.4. Suurendada teadlikkust Lisaks hädavajalikule läbipaistvusele tuleb suurendada ka üldsuse ja eelkõige noorte teadlikkust isikuandmete töötlemisega seotud ohtudest ja oma õigustest. Eurobaromeetri 2008. aasta uuringust selgus, et suur osa ELi liikmesriikide inimestest peab isikuandmete kaitse alast teadlikkust oma riigis väikeseks[20]. Teadlikkuse suurendamisele peaksid kaasa aitama ja seda edendama nii liikmesriikide ametiasutused, eelkõige andmekaitse- ja haridusasutused, kui ka andmete vastutavad töötlejad ja kodanikuühiskonna organisatsioonid. Nad peaksid võtma muid kui õiguslikke meetmeid, näiteks korraldama trüki- ja elektroonilises meedias teavituskampaaniaid ning pakkuma veebisaitidel selget teavet, muu hulgas andmesubjektide õiguste ja andmete vastutavate töötlejate kohustuste kohta. Komisjon analüüsib järgmist: - võimalust kaasrahastada andmekaitsealast teavitustegevust ELi eelarvest; - vajadust ja võimalust lisada õigusraamistikku kohustus korraldada kõnealuses valdkonnas teavitustegevust . 2.1.5. Tagada teadlik ja vabatahtlik nõusolek Kui üksikisiku isikuandmete töötlemiseks nõutakse tema teadlikku nõusolekut, peaks see kehtivate õigusaktide kohaselt olema „vabatahtlik, konkreetne ja teadlik tahteavaldus”, millega ta annab nõusoleku töödelda oma isikuandmeid[21]. Liikmesriikides tõlgendatakse sätestatut aga erinevalt: mõnes liikmesriigis nõutakse üldjuhul kirjalikku nõusolekut, teises piisab kaudsest nõusolekust. Internetis, kus isikuandmete kaitse poliitika on läbipaistmatu, on üksikisikutel sageli veelgi keerulisem teada oma õigusi ja anda teadlik nõusolek. Selle muudab veelgi raskemaks asjaolu, et teatavatel juhtudel ei ole isegi selge, mida mõistetakse vabatahtliku, konkreetse ja teadliku nõusoleku all andmete töötlemisega. Nii on see näiteks käitumispõhise reklaami puhul, kus mõned peavad kasutaja nõusolekuks Interneti-brauseri seadeid. Seega tuleks täpsustada andmesubjekti nõusoleku tingimusi, et teadlik nõusolek oleks alati tagatud ja et üksikisik oleks täiesti teadlik nii nõusoleku andmisest kui ka sellest, milliseid andmeid ta lubab töödelda. See oleks kooskõlas ELi põhiõiguste harta artikliga 8. Oluliste mõistete täpne määratlemine võib soodustada iseregulatsiooni algatusi ELi õigusega kooskõlas olevate praktiliste lahenduste väljatöötamiseks. Komisjon analüüsib nõusolekut käsitlevate eeskirjade täpsustamise ja tugevdamise viise. 2.1.6. Kaitsta delikaatseid andmeid Selliste delikaatsete andmete töötlemine, mis paljastavad rassilise ja etnilise päritolu, poliitilised vaated, usulised ja filosoofilised veendumused, ametiühingusse kuulumise, tervisliku seisundi ja seksuaalelu, on praegu üldiselt keelatud, välja arvatud üksikud erandid, mille puhul tuleb järgida teatavaid tingimusi ja tagatisi[22]. Arvestades tehnoloogia ja ühiskonna arengut, on vaja analüüsida delikaatseid andmeid käsitlevaid sätteid ning uurida, kas delikaatsete andmete hulka tuleks lisada uusi andmeliike ja veelgi täpsustada nende töötlemise tingimusi. Näiteks ei ole delikaatsete andmete hulka praegu sõnaselgelt arvatud äärmiselt eriliste omadustega geeniandmed. Komisjon kaalub järgmist: - kas delikaatsete andmete hulka tuleks lisada uusi andmeliike, näiteks geeniandmed ; - vajadust senisest enam täpsustada ja ühtlustada delikaatsete andmete töötlemise tingimusi . 2.1.7. Tõhustada õiguskaitsevahendeid ja sanktsioone Selleks et tagada andmekaitse-eeskirjade jõustamine, peavad õiguskaitsevahendeid ja sanktsioone käsitlevad sätted olema tõhusad . Andmekaitse-eeskirjade rikkumine, mis hõlmab vaid üht üksikisikut, võib tegelikult mõjutada märkimisväärset hulka sarnases olukorras olevaid isikuid. Seepärast komisjon: - kaalub võimalust anda õigus esitada hagi liikmesriikide kohtusse ka andmekaitseasutustele ja kodanikuühiskonna organisatsioonidele ning muudele ühendustele, kes esindavad andmesubjektide huve ; - hindab vajadust tugevdada sanktsioone käsitlevaid sätteid , näiteks näha sanktsioonide tõhustamiseks sõnaselgelt ette andmekaitse tõsise rikkumise korral kriminaalkorras karistamine. 2.2. Siseturumõõtme laiendamine 2.2.1. Suurendada õiguskindlust ja tagada andmete vastutavatele töötlejatele võrdsed tingimused Andmekaitsel on ELis märkimisväärne siseturumõõde , mis tähendab seda, et siseturul tuleb tagada isikuandmete vaba liikumine liikmesriikide vahel. Seega ei ole riiklike andmekaitsealaste õigusaktide ühtlustamine piiratud direktiivi kohase minimaalse ühtlustamisega, vaid see ulatub täieliku ühtlustamiseni[23]. Samal ajal on liikmesriikidele direktiiviga antud teatavates valdkondades tegutsemisvabadus ning neil on lubatud säilitada ja kehtestada teatavates olukordades erieeskirju[24]. Kuna liikmesriigid on direktiivi mõnikord ka valesti rakendanud, on see kaasa toonud erinevused direktiivi rakendamiseks kehtestatud riiklikes õigusaktides , mis on vastuolus direktiivi ühe peamise eesmärgiga, nimelt tagada isikuandmete vaba liikumine siseturul . Selline olukord on tekkinud mitmes sektoris, näiteks isikuandmete töötlemisel tööhõivega seoses ja rahvatervise eesmärgil. Ühtluse puudumisele on korduvalt osutanud ka erasektori sidusrühmad, eelkõige majandustegevuses osalejad, kes on pidanud seda ka üheks peamiseks probleemiks, kuna see põhjustab neile täiendavaid kulusid ja suurendab nende halduskoormust. Eelkõige on see probleemiks andmete vastutavatele töötlejatele, kes on registreeritud mitmes liikmesriigis, kuna nemad peavad täitma iga sellise riigi kehtestatud nõudeid ja järgima nende tavasid. Lisaks põhjustab direktiivi erinev rakendamine liikmesriikides õiguslikku ebakindlust mitte ainult andmete vastutavatele töötlejatele, vaid ka andmesubjektidele, mistõttu võib kannatada kaitse ühesugune tase, mida loodeti direktiiviga saavutada ja tagada. Komisjon analüüsib võimalusi ühtlustada andmekaitse-eeskirju ELi tasandil senisest enam . 2.2.2. Vähendada halduskoormust Võrdsete tingimuste kehtestamise korral ei ole vaja täita erinevate riikide nõudeid ja seega väheneks andmete vastutavate töötlejate halduskoormus märkimisväärselt. Andmete vastutavate töötlejate halduskoormust ja kulusid saaks vähendada ka praeguse teatamissüsteemi läbivaatamise ja lihtsustamisega [25]. Andmete vastutavad töötlejad on üksmeelel, et praegune üldine kohustus teatada andmekaitseasutusele igast andmetöötlustoimingust on koormav ja see ei anna üksikisikute isikuandmete kaitsele tõelist lisaväärtust. Lisaks antakse direktiiviga just selles aspektis liikmesriikidele tegutsemisvabadus, mille kohaselt nad võivad kehtestada erandeid ja lihtsustada süsteemi ning määrata kindlaks järgitava korra. Ühtlustatud ja lihtsustatud süsteem vähendaks eelkõige mitmes liikmesriigis registreeritud ettevõtjate kulusid ja halduskoormust. Komisjon analüüsib praeguse teatamissüsteemi lihtsustamise ja ühtlustamise võimalusi, sealhulgas võimalust koostada ELi ühtne registreerimisvorm . 2.2.3. Selgitada eeskirju, milles käsitletakse kohaldatavat õigust ja liikmesriikide vastutust Juba komisjoni esimeses, 2003. aasta aruandes andmekaitsedirektiivi rakendamise kohta[26] rõhutati asjaolu, et kohaldatavat õigust käsitlevad sätted[27] on mitmes aspektis puudulikud ja seetõttu võivad tekkida õigussüsteemide vahelised lahknevused, mida on püütud direktiivi artikliga 4 ära hoida. Olukord ei ole paranenud ja seega ei oska andmete vastutavad töötlejad ega andmekaitseasutused mitut liikmesriiki hõlmavas olukorras sageli otsustada ei vastutava liikmesriigi ega kohaldatava õiguse üle. Eelkõige kehtib see olukorras, kus mitmes liikmesriigis registreeritud rahvusvaheline ettevõtja peab andmete vastutava töötlejana täitma eri riikide nõudeid või kus andmete vastutav töötleja ei ole registreeritud ELis, kuid pakub teenuseid ELi kodanikele. Üleilmastumine ja tehnoloogia areng muudab olukorra veelgi keerulisemaks : andmete vastutavad töötlejad tegutsevad üha enam erinevates liikmesriikides ja jurisdiktsioonides, pakkudes teenuseid ja abi ööpäevaringselt. Tänu Internetile saavad väljapoole Euroopa Majanduspiirkonda[28] registreeritud andmete vastutavad töötlejad vahemaa tagant teenuseid hõlpsasti pakkuda ja Internetis isikuandmeid töödelda ning seega on isikuandmete ja seadmete asukohta igal konkreetsel hetkel sageli keeruline tuvastada (näiteks pilvandmetöötlusega seotud rakenduste ja teenuste puhul). Komisjon on siiski seisukohal, et üksikisikuid ei tohi jätta ilma kaitsest, millele on neil õigus ELi põhiõiguste harta ja ELi andmekaitsealaste õigusaktide alusel, isegi kui nende isikuandmeid töötlev andmete vastutav töötleja on registreeritud kolmandas riigis. Komisjon uurib kohaldatava õiguse , sealhulgas sellise õiguse kindlaksmääramise kriteeriume käsitlevate sätete läbivaatamise ja täpsustamise võimalusi, et suurendada õiguskindlust, määrata kindlaks liikmesriikide vastutus andmekaitse-eeskirjade kohaldamisel ja tagada ELi andmesubjektidele kaitse võrdväärne tase sõltumata andmete vastutava töötleja geograafilisest asukohast. 2.2.4. Suurendada andmete vastutavate töötlejate vastutust Haldusmenetluse lihtsustamisega ei tohiks kaasneda tõhusa andmekaitse tagamiseks andmete vastutavatele töötlejatele pandud vastutuse vähenemine . Komisjon on seega seisukohal, et andmete vastutavate töötlejate kohustusi, sealhulgas sisekontrollimehhanisme ja koostööd andmekaitseasutustega tuleks õigusraamistikus hoopis täpsustada. Lisaks tuleks tagada, et kõnealust vastutust kannaksid ka sellised andmete vastutavad töötlejad, kellel on ametisaladuse hoidmisega seotud kohustus (näiteks advokaadid) või kes delegeerivad andmete töötlemise edasi teistele üksustele (näiteks töötlejad), mida juhtub aina sagedamini. Seega uurib komisjon võimalusi, kuidas saaks nõuda andmete vastutavatelt töötlejatelt tõhusa poliitika ja tõhusate mehhanismide kehtestamist, et selle kaudu oleks tagatud kooskõla andmekaitse-eeskirjadega . Selleks võtab komisjon arvesse praegust arutelu vastutuse põhimõtte („ accountability ”) võimaliku sätestamise üle[29]. Sellise põhimõtte sätestamisega ei suurendataks andmete vastutavate töötlejate halduskoormust, kuna võetavad meetmed oleksid pigem seotud andmekaitse-eeskirjade täitmist tõhustavate tagatiste ja mehhanismide loomisega, vaid hoopis vähendataks ja lihtsustataks teatavaid haldusmenetlusi, nagu teatamine (vt punkt 2.2.2). Sellega seoses oleks oluline edendada juba komisjoni 2007. aasta teatises käsitletud eraelu puutumatust soodustavate tehnoloogiate ja eraelu kavandatud puutumatuse põhimõtte kasutuselevõttu, mis muu hulgas tagaks ka andmeturbe[30]. Selleks et suurendada andmete vastutavate töötlejate vastutust, analüüsib komisjon järgmist: - muuta sõltumatu andmekaitseametniku ametisse määramine kohustuslikuks ning ühtlustada tema ülesandeid ja volitusi käsitlevaid eeskirju,[31] pöörates tähelepanu meetmetele, mille abil saaks ära hoida põhjendamatu halduskoormuse, mis mõjutaks eriti väike- ja mikroettevõtjaid; - - lisada õigusraamistikku andmete vastutavatele töötlejatele kohustus teostada teatavatel juhtudel (näiteks delikaatsete andmete töötlemise korral ning juhul, kui andmete töötlemine hõlmab eelkõige eritehnoloogiate, -mehhanismide või -menetluste tõttu konkreetseid riske, sealhulgas profiili koostamine ja videovalve) andmekaitsele avaldatava mõju hindamist ; - edendada eraelu puutumatust soodustavate tehnoloogiate kasutuselevõttu ja töötada välja eraelu kavandatud puutumatuse põhimõtte konkreetse rakendamise võimalused. 2.2.5. Toetada iseregulatsiooni algatusi ja analüüsida ELi sertifitseerimiskavasid Komisjon jääb arvamusele, et andmete vastutavate töötlejate iseregulatsiooni algatused saavad kaasa aidata senisest paremale andmekaitse-eeskirjade täitmise tagamisele . Iseregulatsiooni, nimelt tegevusjuhendite koostamise ulatust[32] käsitlevaid andmekaitsedirektiivi sätteid on siiani väga harva kasutatud ja erasektori sidusrühmad ei pea neid rahuldavaks. Komisjon analüüsib ka ELi sertifitseerimiskavade ( nt eraelu puutumatuse märgiste ) võimalikku loomist eraelu puutumatust austavate protsesside, tehnoloogiate, toodete ja teenuste jaoks[33]. Sellised märgised annaksid üksikisikule teavet kasutatavate tehnoloogiate, toodete ja teenuste kohta ning need oleksid olulised ka andmete vastutavate töötlejate vastutuse seisukohast: kui andmete vastutav töötleja kasutab sertifitseeritud tehnoloogiaid, tooteid ja teenuseid, aitaks see tõendada, et ta täidab talle pandud kohustusi ( vt punkt 2.2.4 ). Samal ajal oleks oluline tagada eraelu puutumatuse märgiste usaldusväärsus ning uurida, kuidas need sobivad õiguslike kohustuste ja rahvusvaheliste tehniliste standardite süsteemi. Komisjon teeb järgmist: - analüüsib iseregulatsiooni algatuste toetamise , sealhulgas tegevusjuhendite kasutuselevõtu edendamise võimalusi; - hindab ELi sertifitseerimiskavade loomise teostatavust eraelu puutumatuse ja andmekaitse valdkonnas. 2.3. Andmekaitse-eeskirjade läbivaatamine politseikoostöö ja kriminaalasjades tehtava õigusalase koostöö valdkonnas Andmekaitsedirektiivi kohaldatakse isikuandmete kõikide töötlemistoimingute suhtes, mida tehakse nii liikmesriikide avalikus kui ka erasektoris. Seda ei kohaldata isikuandmete töötlemise suhtes, kui see toimub sellise tegevuse käigus, mis jääb väljapoole ühenduse õigust, nagu näiteks tegevused politseikoostöö ja kriminaalasjades tehtava õigusalase koostöö valdkonnas[34]. Lissaboni lepinguga kaotati ELi varasem sammaste struktuur ja nähti ette isikuandmete kaitse uus ja ulatuslik õiguslik alus kõikides liidu poliitikavaldkondades[35]. Eelnevat arvesse võttes ja pidades silmas ELi põhiõiguste hartas sätestatut, toonitati komisjoni teatistes Stockholmi programmi ja Stockholmi programmi tegevuskava kohta[36] vajadust „kõikehõlmava kaitsesüsteemi järele” ja vajadust „kindlustada ELi jäigem seisukoht üksikisiku isikuandmete kaitse suhtes kõikides poliitikavaldkondades, sealhulgas õigusaktide täitmise tagamise ja kuritegude vältimise valdkonnas.” ELi vahend isikuandmete kaitseks kriminaalasjades tehtava politsei- ja õigusalase koostöö valdkonnas on raamotsus 2008/977/JSK [37]. Raamotsus on oluline samm valdkonnas, kus ühised andmekaitsestandardid on hädavajalikud, kuid seda tuleb edasi arendada. Raamotsust kohaldatakse ainult isikuandmete piiriülese vahetamise suhtes ELis , kuid mitte liikmesriigis tehtavate töötlemistoimingute suhtes. Sellist vahet on praktikas keeruline teha ning see võib raskendada raamotsuse tegelikku rakendamist ja kohaldamist[38]. Samuti on raamotsusega kehtestatud liialt ulatuslikud erandid eesmärgi piiritlemise põhimõttest . Raamotsuse puuduseks on ka see, et andmete täpsuse ja usaldusväärsuse määra alusel ei ole kindlaks määratud andmete eri kategooriaid, et faktidel põhinevaid andmeid ei ole eristatud arvamustel ja isiklikel hinnangutel põhinevatest andmetest,[39] ning et andmesubjekte (kurjategijad, kahtlustatavad, ohvrid, tunnistajad jne) ei ole jagatud eri kategooriatesse kehtestades muude kui kahtlustatavate kohta käivate andmete jaoks eritagatised[40]. Raamotsus ei asenda ELi tasandil politseikoostöö ja kriminaalasjades tehtava õigusalase koostöö kohta vastuvõetud valdkonnapõhiseid õigusakte ,[41] eelkõige neid, mis hõlmavad Europoli, Eurojusti, Schengeni infosüsteem (SIS) ja tolliinfosüsteemi[42] toimimist ning millega on kehtestatud konkreetne andmekaitsekord ja/või milles on tavaliselt viidatud Euroopa Nõukogu andmekaitsealastele dokumentidele. Politseikoostöö ja õigusalase koostöö valdkonnas on kõik liikmesriigid toetanud Euroopa Nõukogu soovitust nr R (87) 15, milles on täpsustatud konventsioonis nr 108 nimetatud põhimõtete kohaldamist politsei valdkonnas. Nimetatud soovitus ei ole siiski õiguslikult siduv. Selline olukord võib otseselt mõjutada üksikisikute võimalusi kasutada kõnealuses valdkonnas oma õigust andmekaitsele (näiteks saada teada, milliseid isikuandmeid töödeldakse ja vahetatakse, kes seda teeb ja millisel eesmärgil ning kuidas kasutada oma õigusi, nagu õigust tutvuda enda kohta kogutud andmetega). Selleks et luua ELis ja kolmandate riikide suhtes ulatuslik ja sidus süsteem, on vaja kaaluda politseikoostöö ja kriminaalasjades tehtava õigusalase koostöö valdkonnas kehtivate andmekaitse-eeskirjade läbivaatamist . Komisjon rõhutab, et politsei- ja õigussüsteemi eripära nõuetekohaselt arvesse võttes jäävad ulatusliku andmekaitsekorra üldises raamistikus selle süsteemi jaoks kehtima konkreetsed andmekaitse-eeskirjad, nagu sellele on viidatud Lissaboni lepingule lisatud 21. deklaratsioonis. See tähendab näiteks vajadust kaaluda, mil määral üksikisiku teatavate andmekaitseõiguste kasutamine kahjustaks kuritegude ärahoidmist, avastamist, uurimist, nende eest süüdistuse esitamist või kriminaalkaristuse täitmisele pööramist. Komisjon teeb eelkõige järgmist: - kaalub üldiste andmekaitse-eeskirjade kohaldamist ka politseikoostöö ja kriminaalasjades tehtava õigusalase koostöö valdkonnas , sealhulgas liikmesriigis andmete töötlemise hõlmamist, kehtestades vajaduse korral ühtsed piirangud üksikisikute õigusele andmekaitsele, näiteks seoses õigusega tutvuda andmetega ja läbipaistvuse põhimõttega; - uurib vajadust kehtestada uues üldises andmekaitsealases raamistikus ühtlustatud erisätted , näiteks andmekaitse kohta seoses geeniandmete töötlemisega kriminaalõiguse eesmärkidel või andmesubjektide (tunnistajad, kahtlustatavad jne) eri kategooriatesse jagamise kohta politseikoostöö ja kriminaalasjades tehtava õigusalase koostöö valdkonnas; - käivitab 2011. aastal konsultatsiooni kõikide asjaomaste sidusrühmadega, et selgitada välja parim viis politseikoostöö ja kriminaalasjades tehtava õigusalase koostöö valdkonnas kehtivate järelevalvesüsteemide läbivaatamiseks , eesmärgiga tagada tõhus ja sidus andmekaitsejärelevalve kõikides ELi institutsioonides, asutustes ja ametites; - hindab vajadust ühtlustada pikas perspektiivis ELi tasandil eriõigusaktidega politseikoostöö ja kriminaalasjades tehtava õigusalase koostöö kohta vastuvõetud valdkonnapõhised erieeskirjad uue ja üldise andmekaitseraamistikuga. 2.4. Andmekaitse üleilmne mõõde 2.4.1. Selgitada ja lihtsustada rahvusvahelist andmeedastust Selleks et edastada isikuandmeid väljapoole ELi ja Euroopa Majanduspiirkonda, on muu hulgas vaja hinnata andmekaitse piisavust . Praegu saavad kolmanda riigi nõuetelevastavust, st seda, kas kolmandas riigis on tagatud kaitse tase, mida EL peab piisavaks, hinnata komisjon ja liikmesriigid. Komisjon on andmekaitse piisavuse hindamisel leidnud, et isikuandmed võivad ilma täiendavate tagatisteta vabalt liikuda 27 ELi liikmesriigist ja 3 EMP riigist nõuetele vastavasse kolmandasse riiki. Andmekaitsedirektiivis ei ole siiski ette nähtud piisavalt täpseid nõudeid, mida komisjon peab andmekaitse piisavuse hindamisel järgima. Ka raamotsusega ei ole sellist komisjoni otsust ette nähtud. Mõnes liikmesriigis hindab andmekaitse piisavust esmalt andmete vastutav töötleja, kes soovib isikuandmeid edastada kolmandale riigile, kusjuures teatavatel juhtudel teostab selle üle hiljem järelevalvet andmekaitseasutus. Sellises olukorras võidakse kolmandate riikide ja rahvusvaheliste organisatsioonide nõuetelevastavust hinnata erinevalt ning seega võib eri liikmesriikide hinnang andmesubjektide kaitse tasemele teatavas kolmandas riigis erineda . Ka kehtivates õigusaktides ei ole üksikasjalikult kirjeldatud ühtseid nõudeid, mille täitmise korral peetakse andmeedastust seaduslikuks. See toob omakorda kaasa erinevused liikmesriigiti. Komisjoni kindlaksmääratud tüüptingimusi isikuandmete edastamise kohta andmete vastutavale[43] ja volitatud töötlejale[44] ei saa kasutada olukorras, kus puudub leping. Seega ei saa selliseid tüüptingimusi kasutada juhul, kui andmeid edastatakse sellise kolmanda riigi ametiasutustele, kus ei ole tagatud kaitse nõuetekohane tase. Ka ELi ja tema liikmesriikide sõlmitud rahvusvahelised lepingud sisaldavad sageli andmekaitse põhimõtteid ja erisätteid. Dokumentide sätted ja nendega ette nähtud õigused võivad erineda ning seega võidakse ka andmekaitset tõlgendada erinevalt, kahjustades sellega andmesubjekti õigusi. Sellises olukorras on komisjon hakanud uurima isikuandmete kaitse põhimõtteid lepingutes, mis on sõlmitud õiguskaitse eesmärkidel ELi ja kolmandate riikide vahel[45]. Iseregulatsiooni ühe vormina on muu hulgas välja töötatud äriühingu sisesed tegevusjuhendid, nn äriühingu siduvad eeskirjad,[46] mis võivad samuti aidata kaasa isikuandmete seaduslikule vahetamisele ühe kontserni eri ettevõtjate vahel. Sidusrühmad on siiski soovitanud seda mehhanismi täiustada ja selle rakendamist lihtsustada. Nimetatud probleemide lahendamiseks on vaja täiustada kehtivaid isikuandmete rahvusvahelise edastuse mehhanisme ning tagada isikuandmete piisav kaitse, kui neid edastatakse väljapoole ELi ja EMPi ning töödeldakse seal. Komisjon kavatseb analüüsida järgmisi võimalusi: - täiustada ja ühtlustada kehtivaid rahvusvahelise andmeedastuse menetlusi , et tagada senisest ühtsem ja sidusam ELi lähenemisviis kolmandate riikide ja rahvusvaheliste organisatsioonide suhtes; - täpsustada andmekaitse piisavuse hindamise menetlust komisjonis ning kriteeriume ja nõudeid , mille alusel tuleb hinnata andmekaitse taset kolmandas riigis ja rahvusvahelises organisatsioonis; - määrata kindlaks kesksed ELi isikuandmete kaitse põhimõtted , mida saaks kasutada kõikides rahvusvahelistes lepingutes. 2.4.2. Edendada üldisi põhimõtteid Andmetöötlus on muutunud üleilmseks ja seega on üksikisikute kaitse valdkonnas vaja välja töötada isikuandmete töötlemise üldised põhimõtted. Kolmandad riigid on oma andmekaitse valdkonna reguleerimisel võtnud sageli eeskujuks ELi vastava õigusraamistiku, mille mõju on nii ELis kui ka väljaspool seda olnud märkimisväärne. ELi peab seega jääma rahvusvahelisel tasandil isikuandmete kaitse õiguslike ja tehniliste standardite väljatöötamisel ja edendamisel juhtivaks jõuks , st et sellised standardid võiksid tugineda ELi ja muu Euroopa andmekaitsealastele õigusaktidele. Eriti oluline on see ELi laienemispoliitika seisukohalt. Komisjon peab äärmiselt oluliseks seda, et standardiorganisatsioonide väljatöötatud rahvusvahelised tehnilised standardid oleksid kajastatud tulevases õigusraamistikus, kuna sellega tagatakse andmekaitse-eeskirjade sidus ja tegelik rakendamine andmete vastutavate töötlejate poolt. Komisjon teeb järgmist: - jätkab andmekaitsealaste kõrgetasemeliste õiguslike ja tehniliste standardite väljatöötamise edendamist kolmandates riikides ja rahvusvahelisel tasandil; - taotleb ELi rahvusvaheliste meetmete raames kaitse vastastikkuse põhimõtte , eelkõige selliste andmesubjektide õiguste tunnustamist, kelle kohta kogutud andmed edastatakse EList kolmandatesse riikidesse; - tõhustab sel eesmärgil koostööd kolmandate riikide ja rahvusvaheliste organisatsioonidega , nagu OECD, Euroopa Nõukogu, ÜRO ja erinevad piirkondlikud organisatsioonid; - jälgib tähelepanelikult rahvusvaheliste tehniliste standardite väljatöötamist standardiorganisatsioonides , nagu CEN ja ISO, et tagada õigusaktide vajalik täiendamine ning oluliste andmekaitsenõuete operatiivne ja tõhus rakendamine. 2.5. Andmekaitse-eeskirjade täitmise senisest paremaks tagamiseks vajaliku institutsioonilise struktuuri tugevdamine Andmekaitse põhimõtete ja -eeskirjade rakendamine ja täitmise tagamine on üksikisikute õiguste austamise seisukohalt äärmiselt oluline. Andmekaitse-eeskirjade täitmise tagamisel on äärmiselt oluline roll andmekaitseasutustel . Nemad on isikuandmete kaitse valdkonnas põhiõiguste ja -vabaduste sõltumatud kaitsjad, tänu kellele saavad üksikisikud olla kindlad oma isikuandmete kaitstuses ja töötlemistoimingute seaduslikkuses. Võttes arvesse Euroopa Kohtu hiljutist otsust andmekaitseasutuste sõltumatuse kohta,[47] peab komisjon vajalikuks nende rolli tugevdada ning tagada neile vajalikud volitused ja vahendid, et nad saaksid nõuetekohaselt täita oma ülesandeid riiklikul tasandil ja üksteisega tehtava koostöö raames. Samal ajal on komisjon seisukohal, et andmekaitseasutused peaksid tugevdama oma koostööd ja koordineerima oma tegevust senisest paremini , eriti piiriülese mõõtmega küsimustes. See on eriti asjakohane rahvusvaheliste ettevõtjate puhul, kes asuvad ja tegutsevad mitmes liikmesriigis, ning juhul, kui on vaja teha järelevalvet koostöös Euroopa andmekaitseinspektoriga[48]. Selles aspektis võiks oluline roll olla ka artikli 29 töörühmal ,[49] kes peab lisaks nõu andmisele[50] kaasa aitama ka ELi andmekaitse-eeskirjade ühtsele kohaldamisele riiklikul tasandil. Kuna andmekaitseasutused kohaldavad ja tõlgendavad ELi eeskirju ka samade andmekaitsealaste küsimuste puhul ikka veel erinevalt, tuleb töörühma rolli nende asutuste seisukohtade koordineerimisel tugevdada, et selle kaudu tagada eeskirjade senisest ühtsem kohaldamine riiklikul tasandil, mis aitab omakorda kaasa andmekaitse taseme ühtlustumisele. Komisjon uurib järgmisi võimalusi: - tugevdada, selgitada ja ühtlustada uues õigusraamistikus riiklike andmekaitseasutuste staatust ja volitusi , rakendades sealhulgas täiel määral nende täieliku sõltumatuse ideed;[51] - parandada andmekaitseasutuste koostööd ja tegevuse koordineerimist ; - kuidas tagada ELi andmekaitse eeskirjade järjepidevam kohaldamine siseturul. See võib hõlmata liikmesriikide andmekaitseinspektorite volituste laiendamist, nende töö paremat kooskõlastamist artikli 29 töörühma kaudu (mis peab muutuma läbipaistvamaks asutuseks) ja/või sellise mehhanismi loomist, millega tagatakse Euroopa Komisjoni kontrolli all eeskirjade järjepidev kohaldamine siseturul . 3. KOKKUVÕTE: EDASISED SAMMUD Sarnaselt tehnoloogiale muutuvad kogu aeg ka isikuandmete kasutamise ja jagamise viisid. See seab seadusandja keerulisse olukorda, kuna ta peab looma õigusraamistiku, mis oleks toimuvatest muutustest hoolimata asjakohane. Reformi tulemusena koostatavad ELi andmekaitse-eeskirjad peaksid siseturul pikaks ajaks tagama kaitse kõrge taseme ja õiguskindluse nii üksikisikute, riiklike haldusasutuste ja ettevõtjate jaoks. Eeskirjad ja standardid, mida kohaldavad riiklikud ametiasutused ning mida peavad järgima ettevõtjad ja tehnoloogia arendajad, peavad olukorra ja kasutatava tehnoloogia keerukusest hoolimata olema selged. Ka üksikisikute õigustes ei tohi olla ebaselgust. Kõnealust küsimust käsitlev komisjoni terviklik lähenemisviis , millega soovitakse saavutada käesolevas teatises rõhutatud olulisi eesmärke, on aluseks edasistele aruteludele teiste Euroopa institutsioonide ja muude huvitatud isikutega. Hiljem töötatakse selle alusel välja nii õiguslikud kui ka muud ettepanekud ja meetmed. Seega ootab komisjon tagasisidet käesolevas teatises tõstatatud küsimuste kohta. Saadud tagasiside ja sellele järgneva mõjuhinnangu alusel ning võttes arvesse ELi põhiõiguste hartat esitab komisjon 2011. aastal õigusaktide ettepanekud , et vaadata läbi andmekaitsealane õigusraamistik eesmärgiga kindlustada ELi jäigem seisukoht üksikisiku isikuandmete kaitse suhtes kõikides poliitikavaldkondades, sealhulgas õigusaktide täitmise tagamise ja kuritegude vältimise valdkonnas, võttes seejuures arvesse nimetatud valdkondade eripära. Samal ajal pööratakse tähelepanu ka muudele kui õiguslikele meetmetele, sealhulgas julgustatakse iseregulatsiooni ja uuritakse eraelu puutumatuse märgiste kasutuselevõtmise teostatavust ELis. Komisjon hindab ka vajadust kohandada muid õigusakte uue üldise andmekaitsealase raamistikuga. Eelkõige hõlmab see määrust (EÜ) nr 45/2001, mille sätteid tuleb kohandada uue üldise õigusraamistikuga. Hiljem tuleb hoolikalt uurida ka mõju muude valdkondade õigusaktidele. Komisjon tagab ka edaspidi kõnealuses valdkonnas asjakohase järelevalve ELi õiguse nõuetekohase rakendamise üle, olles karm rikkumiste suhtes , kus ELi andmekaitse-eeskirju ei ole ettenähtud viisil rakendatud ega kohaldatud. Käesolev ülevaade andmekaitsealastest õigusaktidest ei mõjuta liikmesriikide kohustust rakendada kehtivaid isikuandmete alaseid õigusakte ja tagada nende nõuetekohane kohaldamine[52]. Andmekaitse ühtlaselt kõrge taseme tagamine ELis on parim viis võita toetust ELi andmekaitsestandarditele ja edendada neid kogu maailmas. [1] Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT L 281, 23.11.1995, lk 31). [2] Vt „Study on the economic benefits of privacy enhancing technologies”, London Economics, 2010. aasta juuli (http://ec.europa.eu/justice/policies/privacy/docs/studies/final_report_pets_16_07_10_en.pdf), lk 14. [3] Vt üldsusega konsulteerimise raames komisjonile esitatud vastused:http://ec.europa.eu/justice_home/news/consulting_public/news_consulting_0003_en.htm. 2010. aastal toimusid konkreetsetele sidusrühmadele suunatud konsultatsioonid. Komisjoni asepresident Viviane Reding juhatas ka 5. oktoobril Brüsselis toimunud kõrgetasemelist kohtumist sidusrühmadega. Komisjon konsulteeris ka artikli 29 töörühmaga, kes andis märkimisväärse panuse 2009. aasta konsulteerimisse (dokument WP 168) ja võttis 2010. aasta juulis vastu eriotsuse kontseptuaalse vastutuse kohta (dokument WP 173). [4] Lisaks uuringule „Study on the economic benefits of privacy enhancing technologies” (vt joonealune märkus 2) vt ka võrdlusuuring „Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments”, 2010. aasta jaanuar(http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf). Samuti on pooleli isikuandmete kaitset käsitleva ELi tulevase õigusraamistiku mõju hindamine. [5] Euroopa Parlamendi ja nõukogu direktiiv 2002/58/EÜ, 12. juuli 2002, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT L 201, 31.7.2002, lk 37). [6] Andmekaitsedirektiiviga 95/46/EÜ kehtestatakse andmekaitsestandardid kõikide ELi õigusaktide kohta, sealhulgas eraelu puutumatust ja elektroonilist sidet käsitleva direktiivi 2002/58/EÜ kohta (muudetud direktiiviga 2009/136/EÜ (ELT L 337, 18.12.2009, lk 11)). Eraelu puutumatust ja elektroonilist sidet käsitlevat direktiivi kohaldatakse isikuandmete töötlemise suhtes, mis toimub seoses üldkasutatavate elektrooniliste sideteenuste osutamisega üldkasutatavates sidevõrkudes. Selle direktiiviga on kehtestatud andmekaitsedirektiivis esitatud põhimõtete alusel erieeskirjad elektroonilise side sektori jaoks. Direktiivi 95/46/EÜ kohaldatakse muu hulgas ka erasektori sideteenuste suhtes. [7] Pärast konsulteerimist esitasid Europol ja Eurojust palve võtta arvesse nende töö erisusi õigusaktide täitmise tagamise koordineerimisel ja kuritegude ärahoidmisel. [8] Vt ELi toimimise lepingu artikkel 16. [9] Vt ELi toimimise lepingu artikli 16 lõike 2 viimane lõik ja ELi lepingu artikkel 39. [10] Vt Euroopa Kohtu otsus kohtuasjas C-101/01 Blõik ja ELi lepingu artikkel 39. [11] Vt Euroopa Kohtu otsus kohtuasjas C-101/01 Bodil Lindqvist, EKL 2003, lk I-1297, punktid 96 ja 97, ning otsus kohtuasjas C-275/06, Productores de Mśsica de Espańa (Promusicae) vs . Telefónica de Espańa SAU, EKL 2008, lk I-271. Vt ka Euroopa Inimõiguste Kohtu praktika, näiteks 4. detsembri 2008. aasta otsus kohtuasjas S. ja Marper vs . Ühendkuningriik (taotlused nr 30562/04 ja 30566/04) ning 4. mai 2000. aasta otsus kohtuasjas Rotaru vs . Rumeenia (taotlus nr 28341/95), § 55, EIÕK 2000-V. [12] Mõiste „vastutav töötleja” ja „volitatud töötleja” on esitatud direktiivi 95/46/EÜ artikli 2 punktides d ja e. [13] Vt direktiivi 95/46/EÜ põhjendus 26. [14] Vt näiteks IP-aadresse hõlmav juhtum, mida on artikli 29 töörühm käsitlenud arvamuses 4/2007 isikuandmete mõiste kohta (WP 136). [15] Vt näiteks Saksamaa Liitvabariigi Konstitutsioonikohtu ( Bundesverfassungsgericht ) 27. veebruari 2008. aasta otsus, 1 BvR 370/07. [16] Vt direktiivi 95/46/EÜ artiklid 10 ja 11. [17] Eurobaromeetri 2009. aasta uuringus pidasid ligikaudu pooled vastajad veebisaitidel esitatud isikuandmete kaitse eeskirju väga ja pigem ebaselgeks (vt Eurobaromeetri kiiruuring nr 282:http://ec.europa.eu/public_opinion/flash/fl_282_en.pdf). [18] Vt programmi „Turvalisem Internet laste jaoks” raames tehtud kvalitatiivne uuring, milles küsitleti 9–10 ja 12–14aastaseid lapsi ning millest ilmnes, et lapsed kipuvad alahindama Interneti kasutamisega seotud ohte ja oma riskantse tegevuse tagajärgi(http://ec.europa.eu/information_society/activities/sip/surveys/qualitative/index_en.htm). [19] „Komisjon võtab arvesse Euroopa Parlamendi soovi, et kohustus isikuandmete puutumatuse rikkumisest teavitada ei tohiks piirneda vaid elektronside valdkonnaga, vaid võiks kehtida ka sellistele üksustele nagu teabeühiskonna teenuste pakkujad. […] Komisjon alustab seega viivitamatult vastavaid ettevalmistusi, kaasa arvatud huvigruppidega nõupidamist, eesmärgiga esitada vastavalt vajadusele hiljemalt aastaks 2011 selles valdkonnas ettepanekud. […]” (http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P6-TA-2009-0360+0+DOC+XML+V0//ET). Vt ka direktiivi 2009/136/EÜ (millega muudetakse eraelu puutumatust ja elektroonilist sidet käsitlevat direktiivi) põhjendus 59: „Kodanike huvi olla informeeritud ei piirdu ilmselgelt ainult elektroonilise side sektoriga ja seetõttu tuleks ühenduse tasandil eelisjärjekorras kaaluda konkreetsete ja kohustuslike teavitamise nõuete kehtestamist, mis kehtiksid kõikides sektorites.” [20] Direktiivi 2009/136/EÜ artikkel 4. [21] Vt Eurobaromeetri kiiruuring nr 225 „Data Protection in the European Union”http://ec.europa.eu/public_opinion/flash/fl_225_en.pdf. [22] Vrd direktiivi 95/46/EÜ artikli 2 punkt h. [23] Vrd direktiivi 95/46/EÜ artikkel 8. [24] Euroopa Kohtu kohtuasi C-101/01 Bodil Lindqvist, EKL 2003, lk I-1297, punktid 96 ja 97. [25] Ibidem , lk 97. Vt ka direktiivi 95/46/EÜ põhjendus 9. [26] Vt direktiivi 95/46/EÜ artikkel 18. [27] Komisjoni esimene aruanne andmekaitsedirektiivi 95/46/EÜ rakendamise kohta - KOM(2003) 265. [28] Vt direktiivi 95/46/EÜ artikkel 4. [29] Euroopa Majanduspiirkond kuuluvad ka Norra, Liechtenstein ja Island. [30] Vt eelkõige artikli 29 töörühma 13. juuli 2010. aasta arvamus 3/2010. [31] Eraelu puutumatust soodustavate tehnoloogiate kohta vt komisjoni teatis Euroopa Parlamendile ja nõukogule andmekaitse edendamise kohta eraelu puutumatust soodustavate tehnoloogiate kaudu - KOM(2007) 228. Eraelu kavandatud puutumatuse põhimõte tähendab seda, et eraelu puutumatust ja andmekaitset võetakse arvesse kogu tehnoloogia olelusringi jooksul alates varasest kavandamisetapist kuni tehnoloogia kasutuselevõtu, kasutamise ja kasutuselt kõrvaldamiseni. Nimetatud põhimõtet on käsitletud muu hulgas ka komisjoni teatises „Euroopa digitaalne tegevuskava” - KOM(2010) 245. [32] Juba praegu on mitmes liikmesriigis andmete vastutaval töötlejal võimalus määrata andmekaitseametnik ametisse selleks, et tagada sõltumatul viisil kooskõla ELi ja riiklike andmekaitse-eeskirjadega ning abistada üksikisikuid (vt näiteks Beauftragter für den Datenschutz Saksamaal ja correspondant informatique et libertés (CIL) Prantsusmaal). [33] Vt direktiivi 95/46/EÜ artikkel 27. [34] Vt ka eraelu puutumatust soodustavaid tehnoloogiaid käsitlev teatis (vt joonealune märkus 30). [35] Vt direktiivi 95/46/EÜ artikli 3 lõike 2 esimene taane. [36] Vt ELi toimimise lepingu artikkel 16. [37] Vt KOM(2009) 262, 10.6.2009, ja KOM(2010) 171, 20.4.2010. [38] Nõukogu raamotsus 2008/977/JSK, 27. november 2008, kriminaalasjades tehtava politsei- ja õigusalase koostöö raames töödeldavate isikuandmete kaitse kohta (ELT L 350, 30.12.2008, lk. 60). Raamotsusega on ette nähtud andmekaitsestandardite ainult minimaalne ühtlustamine. [39] Seda vahet ei tehta asjaomastes Euroopa Nõukogu dokumentides, nagu: konventsioon üksikisikute kaitse kohta isikuandmete automaattöötlusel (ETS nr 108), nimetatud konventsiooni lisaprotokoll, milles käsitletakse järelevalveasutusi ja andmete liikumist üle piiri (ETS nr 181), ning Euroopa Nõukogu ministrite komitee liikmesriikidele suunatud 17. septembri 1987. aasta soovitus nr R (87) 15, millega reguleeritakse isikuandmete kasutamist politsei valdkonnas. [40] Vastavalt soovituse nr R (87) 15 põhimõttele 3.2. [41] Vastuolus soovituse nr R (87) 15 põhimõttega 2 ja nimetatud soovituse hindamisaruannetega. [42] Ülevaade asjaomastest õigusaktidest on esitatud komisjoni teatises „Ülevaade teabehaldusest vabadusel, turvalisusel ja õigusel rajaneval alal” (KOM(2010) 385). [43] Selleks et tagada järelevalve andmekaitse üle, on lisaks määruse (EÜ) nr 45/2001 kohasele Euroopa andmekaitseinspektorile, kellel on üldised järelevalvevolitused ELi institutsioonide, asutuste ja ametite üle, asjakohaste õigusaktidega loodud ka ühised järelevalveorganid. [44] Komisjoni otsus 2001/497/EÜ, 15. juuni 2001, kolmandatesse riikidesse isikuandmete edastamise lepingu tüüptingimuste kohta direktiivi 95/46/EÜ alusel (EÜT L 181, 4.7.2001, lk 19); komisjoni otsus 2002/16/EÜ, 27. detsember 2001, kolmandates riikides asuvatele volitatud töötlejatele isikuandmete edastamise lepingu tüüptingimuste kohta direktiivi 95/46/EÜ alusel (EÜT L 6, 10.1.2002, lk 52). komisjoni otsus 2004/915/EÜ, 27. detsember 2004, millega muudetakse otsust 2001/497/EÜ kolmandatesse riikidesse isikuandmete edastamise lepingu alternatiivsete tüüptingimuste kogumi kasutuselevõtu kohta (ELT L 385, 29.12.2004, lk 74). [45] Komisjoni 5. veebruari 2010. aasta otsus kolmandates riikides asuvatele volitatud töötlejatele isikuandmete edastamise lepingu tüüptingimuste kohta nõukogu ja Euroopa Parlamendi direktiivi 95/46/EÜ alusel (ELT L 39, 12.2.2010, lk 5). [46] Stockholmi tegevuskava (vt joonealune märkus 36). [47] Äriühingu siduvad eeskirjad kujutavad endast Euroopa andmekaitsestandardi põhjal koostatud tegevusjuhendit, mille rahvusvahelised organisatsioonid koostavad vabatahtlikult ja mida nad vabatahtlikult järgivad, et tagada isikuandmete nõuetekohane kaitse andmete edastamisel või teataval viisil edastamisel äriühingute vahel, mis kuuluvad samasse kontserni ja mis on omavahel seotud asjaomaste eeskirjadega. Vt:http://ec.europa.eu/justice/policies/privacy/docs/international_transfers_faq/international_transfers_faq.pdf. [48] Euroopa Kohtu 9. märtsi 2010. aasta otsus kohtuasjas C-518/07 komisjon vs . Saksamaa. [49] Praegu näiteks suuremahuliste IT-süsteemide puhul, nagu SIS II (vrd määruse (EÜ) nr 1987/2006 artikkel 46 (ELT L 318, 28.12.2006, lk 4)) ja VIS (vrd määruse (EÜ) nr 767/2008 artikkel 43 (ELT L 218, 13.8.2008, lk 60)). [50] Artikli 29 töörühm on nõuandev organ, kuhu kuulub üks esindaja iga liikmesriigi andmekaitseasutusest ja Euroopa andmekaitseinspektor. Komisjonil, kes pakub töörühmale sekretariaaditeenuseid, on õigus osaleda töös hääleõiguseta vaatlejana. Vaata:http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm . [51] Artikli 29 töörühma ülesandeks on anda nõu komisjonile ELi ja kolmandate riikide andmekaitse taseme ning muude, isikuandmete töötlemisega seotud meetmete kohta. [52] Vt Euroopa Kohtu 9. märtsi 2010. aasta otsus kohtuasjas C-518/07 komisjon vs . Saksamaa. [53] See hõlmab ka nõukogu raamotsust 2008/977/JSK, mille sätete järgimiseks peavad liikmesriigid võtma vajalikke meetmeid enne 27. novembrit 2010.