|
11.5.2012 |
ET |
Euroopa Liidu Teataja |
C 136/1 |
Euroopa andmekaitseinspektori arvamus seadusandlike ettepanekute kohta, mis käsitlevad tarbijavaidluste kohtuvälise ja veebipõhise lahendamise süsteeme
2012/C 136/01
EUROOPA ANDMEKAITSEINSPEKTOR,
võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artiklit 16,
võttes arvesse Euroopa Liidu põhiõiguste hartat, eriti selle artikleid 7 ja 8,
võttes arvesse Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (1),
võttes arvesse Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrust (EÜ) nr 45/2001 üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutuses ning selliste andmete vaba liikumise kohta, eriti selle artiklit 41 (2),
ON VASTU VÕTNUD JÄRGMISE ARVAMUSE:
I. SISSEJUHATUS
I.1. Euroopa andmekaitseinspektoriga konsulteerimine ja arvamuse eesmärk
|
1. |
29. novembril 2011 võttis komisjon vastu kaks seadusandlikku ettepanekut vaidluste kohtuvälise lahendamise kohta (edaspidi „ettepanekud”):
|
|
2. |
6. detsembril 2011 jõudsid kohtuvälise lahendamise ettepanek ja veebipõhise lahendamise ettepanek Euroopa andmekaitseinspektori kätte konsulteerimiseks. Euroopa andmekaitseinspektoriga konsulteeriti mitteametlikult ka juba enne ettepanekute vastuvõtmist ning ta esitas mitteametlikud märkused. Euroopa andmekaitseinspektoril on hea meel nii varajase konsulteerimise üle kui ka asjaolu üle, et ettepanekutes on võetud arvesse enamikku märkustes esitatud soovitustest. |
|
3. |
Käesoleva arvamuse eesmärk on analüüsida ettepanekutes sätestatud isikuandmete töötlemist ja selgitada, kuidas neis on käsitletud andmekaitseküsimusi. Arvamus keskendub veebipõhise lahendamise ettepanekule, sest sellega kaasneb vaidlustega seotud isikuandmete tsentraliseeritud töötlemine veebipõhise platvormi kaudu. |
I.2. Ettepanekute eesmärk
|
4. |
Vaidluste kohtuvälise lahendamise mehhanismid pakuvad alternatiivset vaidluste lahendamise võimalust, mis on tavaliselt odavam ja kiirem kui juhtumi lahendamine kohtus. Kohtuvälise lahendamise ettepaneku eesmärk on tagada, et vaidluste kohtuvälise lahendamise üksused oleks olemas kõikides ELi liikmesriikides, et lahendada mis tahes piiriülesed tarbijavaidlused, mis tulenevad kaupade müümisest või teenuste osutamisest ELi territooriumil. |
|
5. |
Veebipõhise lahendamise ettepanek rajaneb kogu ELi hõlmaval tarbijavaidluste kohtuvälise lahendamise võimaluse olemasolul. Sellega luuakse veebipõhine platvorm (edaspidi „veebipõhise lahendamise platvorm”), mida tarbijad ja kauplejad saavad kasutada, et esitada pädevale vaidluste kohtuvälise lahendamise üksusele kaebusi piiriüleste veebipõhiste tehingute kohta. |
II. ÜLDISED MÄRKUSED
|
6. |
Euroopa andmekaitseinspektor toetab ettepanekute eesmärki ja on rahul sellega, et andmekaitse põhimõtteid on võetud arvesse juba ettepanekute koostamise kõige varasemas etapis. |
|
7. |
Samuti on Euroopa andmekaitseinspektoril hea meel selle üle, et veebipõhise lahendamise ettepanekus (5) viidatakse andmekaitset käsitlevate õigusaktide kohaldatavusele ning kohtuvälise lahendamise ettepanekus (6) riiklike õigusaktide kohaldatavusele, millega rakendatakse direktiiv 95/46/EÜ, lisaks viidatakse ka Euroopa andmekaitseinspektoriga konsulteerimisele (7). |
III. KONKREETSED MÄRKUSED
III.1. Vastutavate töötlejate roll: vastutus tuleb selgemalt määratleda
|
8. |
Vastavalt veebipõhise lahendamise ettepanekule toimub iga vaidluse puhul, mis esitatakse veebipõhise vaidluste lahendamise platvormi kaudu, andmete töötlemine kolme liiki osalejate poolt:
Artikli 11 lõikes 4 on öeldud, et kõiki nimetatud osalisi tuleb seoses isikuandmete töötlemisega, mis on seotud nende vastutusvaldkonnaga, käsitada kui vastutavaid töötlejaid. |
|
9. |
Mõnikord võib paljusid vastutavaid töötlejaid pidada vastutatavaks samade isikandmete töötlemise eest (9). Näiteks võivad konkreetse vaidlusega seotud andmetega, mis on saadetud veebipõhise lahendamise platvormi kaudu, tutvuda mitu veebipõhise vaidluste lahendamise korraldajat ja vaidlusega tegelev pädev vaidluste kohtuvälise lahendamise mehhanism. Samu isikuandmeid võib töödelda ka komisjon veebipõhise lahendamise platvormi toimimise ja haldamise eesmärgil. |
|
10. |
Seda arvestades on Euroopa andmekaitseinspektor rahul, et veebipõhise lahendamise ettepaneku põhjenduses 20 on sätestatud, et andmekaitset käsitlevaid õigusakte kohaldatakse kõigi nimetatud osaliste suhtes. Siiski tuleks veebipõhise lahendamise ettepaneku seadusandlikus osas täpsustada vähemalt seda, millistele vastutavatele töötlejatele peavad andmesubjektid saatma oma taotlused andmetele juurdepääsuks, andmete parandamiseks, blokeerimiseks ja kustutamiseks ning milline vastutav töötleja vastutab andmekaitset käsitlevate õigusaktide konkreetsete rikkumiste korral (näiteks seoses andmete turvalisusega). Ühtlasi tuleb andmesubjekte sellest teavitada. |
III.2. Juurdepääsu piiramine ja andmete säilitamisperiood
|
11. |
Vastavalt veebipõhise lahendamise ettepaneku artiklile 11 pääsevad veebipõhise platvormi kaudu töödeldavatele isikuandmetele juurde ainult:
|
|
12. |
Euroopa andmekaitseinspektor toetab selliseid otstarbe ja juurdepääsuõiguste piiranguid. Samas ei ole selge, kas kõik veebipõhise vaidluste lahendamise platvormi korraldajad (keda on vähemalt 54), pääsevad juurde kõikide vaidlustega seotud isikuandmetele. Euroopa andmekaitseinspektor soovitab täpsustada, et iga veebipõhise vaidluste lahendamise platvormi korraldaja pääseb juurde ainult andmetele, mida ta vajab oma kohustuste täitmiseks vastavalt artikli 6 lõikele 2. |
|
13. |
Andmete säilitamisperioodiga seoses on Euroopa andmekaitseinspektoril hea meel artikli 11 lõike 3 üle, millega lubatakse isikuandmeid säilitada üksnes nii kaua, kui on vaja vaidluse lahendamiseks ning selleks, et tagada andmesubjektidele õigus oma andmetele juurdepääsuks. Samuti on andmekaitseinspektor rahul kohustusega kustutada automaatselt kõik andmed kuus kuud pärast otsuse tegemist vaidluse kohta. |
III.3. Andmete eriliikide töötlemine: võimalik vajadus eelkontrolli järele
|
14. |
Ettepanekute eesmärki arvestades on võimalik, et töödeldakse isikuandmeid, mis on seotud rikkumiskahtlustusega. Seoses vaidlustega, mis tulenevad tervisega seotud kaupade müügist või teenuste osutamisest, võidakse töödelda ka terviseandmeid. |
|
15. |
Seega võib isikuandmete töötlemisele veebipõhise vaidluste lahendamise platvormi raames kehtida nõue, et kooskõlas määruse (EÜ) nr 45/2001 artikliga 27 ja direktiivi 95/46/EÜ artikliga 20 (11) peavad neid eelnevalt kontrollima riiklikud andmekaitseasutused ja Euroopa andmekaitseinspektor. Euroopa andmekaitseinspektor mõistab, et komisjon on teadlik vajadusest hinnata enne veebipõhise vaidluste lahendamise platvormi kasutuselevõttu seda, kas töötlemise suhtes tuleks teostada eelkontrolli. |
III.4. Euroopa andmekaitseinspektoriga konsulteerimine seoses kaebuse vormiga seonduvate delegeeritud õigusaktide ja rakendusaktidega
|
16. |
Elektroonilisel kaebuse vormil (edaspidi „vorm”) esitatavat teavet on üksikasjalikult kirjeldatud veebipõhise lahendamise ettepaneku lisas. See hõlmab poolte isikuandmeid (nimi, aadress ja kui on, siis e-posti ja veebisaidi aadress) ning andmeid, mille eesmärk on määrata kindlaks, milline vaidluste kohtuvälise lahendamise üksus on pädev asjaomase vaidlusega tegelema (tarbija elukoht ajal, mil kaup või teenus telliti, asjaomase kauba või teenuse liik jne). |
|
17. |
Euroopa andmekaitseinspektor on rahul sellega, et artikli 7 lõikes 6 tuletatakse meelde, et vormi ja selle lisade vahendusel töödeldakse üksnes andmeid, mis on täpsed ja asjakohased ega ületa otstarbe piire. Ka lisas sisalduv andmete loetelu järgib otstarbe piiramise põhimõtet. |
|
18. |
Siiski on loetelu võimalik muuta delegeeritud õigusaktidega ning vormi üksikasju reguleeritakse rakendusaktidega (12). Euroopa andmekaitseinspektor soovitab lisada viite vajadusele konsulteerida Euroopa andmekaitseinspektoriga juhul, kui sellised õigusaktid käsitlevad isikuandmete töötlemist. |
III.5. Turvameetmed: vajadus hinnata mõju isikuandmete puutumatusele
|
19. |
Euroopa andmekaitseinspektor tunnustab konfidentsiaalsust ja turvalisust käsitlevaid sätteid. Veebipõhise lahendamise ettepaneku artiklis 12 kirjeldatud turvameetmed hõlmavad juurdepääsu kontrolli, turvalisuse tagamise kava ja infoturbeintsidentide haldamist. |
|
20. |
Euroopa andmekaitseinspektor soovitab lisada ka viite vajadusele teha isikuandmete puutumatuse mõjuhinnang (koos riskihindamisega) ning asjaolule, et korrapäraselt tuleks kontrollida vastavust andmekaitset käsitlevatele õigusaktidele ja andmete turvalisust ning esitada vastavad aruanded. |
|
21. |
Ühtlasi soovib Euroopa andmekaitseinspektor meenutada, et infotehnoloogiliste vahendite väljatöötamisse veebipõhise vaidluste lahendamise platvormi käivitamiseks tuleb juba kavandamise varajastes etappides lõimida isikuandmete puutumatus ja andmekaitse (lõimitud andmekaitse), sealhulgas vahendite kasutuselevõtt, mis võimaldavad kasutajatel isikuandmeid paremini kaitsta (näiteks autentimine ja krüpteerimine). |
III.6. Andmesubjektidele esitatav teave
|
22. |
Euroopa andmekaitseinspektor on rahul veebipõhise lahendamise ettepaneku põhjendusega 21, milles öeldakse, et andmesubjekte tuleb nende isikuandmete töötlemisest ja nende õigustest teavitada isikuandmete puutumatust käsitleva teate kaudu, mis tehakse üldsusele kättesadavaks. Samas peaks andmesubjektide teavitamise kohustus olema sätestatud ka veebipõhise lahendamise ettepaneku seadusandlikus osas. |
|
23. |
Ühtlasi tuleks andmesubjekte teavitada sellest, milline vastutav töötleja vastutab nende õiguste järgimise eest. Isikuandmete puutumatust käsitlev teade peab olema igale vormi täitjale selgelt nähtav. |
IV. KOKKUVÕTE
|
24. |
Euroopa andmekaitseinspektor on väga rahul sellega, et ettepaneku tekst sisaldab andmekaitse põhimõtteid, eriti seoses otstarbe- ja juurdepääsupiiranguga, andmete säilitamisperioodi piiramise ja turvameetmetega. Ta soovitab siiski järgmist:
|
|
25. |
Ühtlasi tuletab Euroopa andmekaitseinspektor meelde, et isikuandmete töötlemistoimingutele veebipõhise vaidluste lahendamise platvormi raames võib kehtida nõue, et nende suhtes peavad Euroopa andmekaitseinspektor ja riiklikud andmekaitseasutused teostama eelkontrolli. |
Brüssel, 12. jaanuar 2012
Euroopa andmekaitseinspektori asetäitja
Giovanni BUTTARELLI
(1) EÜT L 281, 23.11.1995, lk 31.
(3) KOM(2011) 793 lõplik.
(4) KOM(2011) 794 lõplik.
(5) Veebipõhise lahendamise ettepaneku põhjendused 20 ja 21 ning artikli 11 lõige 4.
(6) Kohtuvälise lahendamise ettepaneku põhjendus 16.
(7) Ettepanekute preambulid ja seletuskirjad.
(8) Iga liikmesriik peab määrama ühe vaidluste veebipõhise lahendamise kontaktpunkti, kus tegutseb vähemalt kaks veebipõhise vaidluste lahendamise platvormi korraldajat. Vaidluste veebipõhise lahendamise kontaktpunktide võrgustiku asutab komisjon.
(9) Vt ka artikli 29 alusel asutatud andmekaitse töörühma arvamus 1/2010 mõistete „vastutav töötleja” ja „volitatud töötleja” kohta, vastu võetud 16. veebruari 2010 (WP 169), lk 17–24, kättesaadav aadressil http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_et.pdf
(10) Vt veebipõhise lahendamise ettepaneku artikli 11 lõige 2.
(11) Määruse (EÜ) nr 45/2001 artiklis 27 on sätestatud, et „tervise ja oletatavate õiguserikkumiste, kriminaalkaristuste või julgeolekumeetmetega seotud andmete” töötlemistoimingute suhtes teostab Euroopa Andmekaitseinspektor eelkontrolli. Vastavalt direktiivi 95/46/EÜ artikli 20 lõikele 1 määravad liikmesriigid oma andmekaitset käsitlevate õigusaktidega kindlaks töötlemistoimingud, mis võivad tekitada konkreetseid riske seoses andmekaitsega, ja selliste töötlemistoimingute suhtes teostavad riiklikud andmekaitseasutused eelkontrolli.
(12) Veebipõhise lahendamise ettepaneku põhjendused 23–24 ja artikli 7 lõiked 4–5.