EUROOPA KOMISJON

Brüssel,10.1.2017

COM(2017) 10 final

2017/0003(COD)

Ettepanek:

EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS,

milles käsitletakse eraelu austamist ja isikuandmete kaitset elektroonilise side puhul ning millega tunnistatakse kehtetuks direktiiv 2002/58/EÜ (privaatsust ja elektroonilist sidet käsitlev määrus)

(EMPs kohaldatav tekst)

{SWD(2017) 3 final}
{SWD(2017) 4 final}
{SWD(2017) 5 final}
{SWD(2017) 6 final}

SELETUSKIRI

1.ETTEPANEKU TAUST

1.1.Ettepaneku põhjused ja eesmärgid

Digitaalse ühtse turu strateegia 1 üks eesmärk on suurendada usaldust digitaalsete teenuste turvalisuse vastu. Andmekaitseraamistiku reform ja eelkõige määruse (EL) 2016/679 (edaspidi „isikuandmete kaitse üldmäärus“) 2 vastuvõtmine olid oluline samm selle eesmärgi suunas. Digitaalse ühtse turu strateegias kuulutati ühtlasi välja direktiivi 2002/58/EÜ (edaspidi „e-privaatsuse direktiiv“) 3 läbivaatamine, et tagada elektroonilise side teenuste kasutajate privaatsuse kaitse kõrge tase ja võrdsed võimalused kõigile turuosalistele. Käesoleva ettepanekuga vaadatakse läbi e-privaatsuse direktiiv, võttes arvesse digitaalse ühtse turu strateegia eesmärke ja tagades järjepidevuse isikuandmete kaitse üldmäärusega.

E-privaatsuse direktiiviga tagatakse põhiõiguste ja -vabaduste kaitse, eelkõige eraelu puutumatuse austamine, side konfidentsiaalsus ja isikuandmete kaitse elektroonilise side sektoris. Sellega tagatakse samuti elektroonilise side andmete, seadmete ja teenuste vaba liikumine Euroopa Liidus. Sellega rakendatakse Euroopa Liidu teiseses õiguses Euroopa Liidu põhiõiguste harta (edaspidi „harta“) artiklis 7 sätestatud eraelu puutumatuse austamise põhiõigus side valdkonnas.

Komisjon tegi kooskõlas parema õigusloome nõuetega e-privaatsuse direktiivi järelhindamise õigusloome kvaliteedi ja tulemuslikkuse programmi raames. Hindamisest nähtub, et praeguse raamistiku eesmärgid ja põhimõtted on jätkuvalt otstarbekad. Pärast e-privaatsuse direktiivi viimast läbivaatamist 2009. aastal on turul siiski toimunud olulised tehnoloogilised ja majanduslikud muutused. Tarbijad ja ettevõtjad tuginevad traditsiooniliste sideteenuste asemel üha enam isikutevahelist sidet võimaldavatele uutele internetipõhistele teenustele, nagu IP-kõned, kiirsõnumid ja veebipõhised e-posti teenused. Nende OTT-teenuste suhtes ei kohaldata üldjuhul kehtivat Euroopa Liidu elektroonilise side raamistikku, sealhulgas e-privaatsuse direktiivi. Seega ei ole direktiiv pidanud sammu tehnoloogia arenguga, mistõttu ei ole tagatud kaitse uute teenuste kaudu toimuva side valdkonnas.

1.2.Kooskõla poliitikavaldkonnas praegu kehtivate õigusnormidega

1.3.Kooskõla muude liidu tegevuspõhimõtetega

E-privaatsuse direktiiv on osa elektroonilise side õigusraamistikust. 2016. aastal võttis komisjon vastu ettepaneku direktiivi kohta, millega kehtestatakse Euroopa elektroonilise side seadustik 4 ja millega vaadatakse läbi kõnealune raamistik. Kuigi käesolev ettepanek ei ole Euroopa elektroonilise side seadustiku olemuslik osa, tugineb see osaliselt seal esitatud mõistetele, sealhulgas elektroonilise side teenuse mõistele. OTT-teenuse osutajad kuuluvad käesoleva ettepaneku kohaldamisalasse, nagu ka Euroopa elektroonilise side seadustiku kohaldamisalasse, et kajastada turu tegelikku olukorda. Lisaks sellele täiendab Euroopa elektroonilise side seadustik käesolevat ettepanekut, tagades elektroonilise side teenuste turvalisuse.

Raadioseadmete direktiiviga 2014/53/EL 5 tagatakse raadioseadmete ühtne turg. Eelkõige nõutakse sellega, et enne turule laskmist peavad raadioseadmed sisaldama turvaseadmeid, et tagada kasutajate isikuandmete ja eraelu puutumatuse kaitse. Raadioseadmete direktiivi ja Euroopa standardimismäärusega (EL) 1025/2012 6 on komisjonile antud õigus võtta meetmeid. Käesolev ettepanek ei mõjuta raadioseadmete direktiivi.

Ettepank ei sisalda konkreetseid sätteid andmete säilitamise kohta. Ettepanekus säilitatakse e-privaatsuse direktiivi artikli 15 sisu ja viiakse see vastavusse isikuandmete kaitse üldmääruse artikli 23 konkreetse sõnastusega, millega on kehtestatud alus, mille põhjal liikmesriigid võivad piirata e-privaatsuse direktiivi konkreetsete artiklitega kehtestatud õiguste ja kohustuste ulatust. Seega on liikmesriikidel võimalik säilitada või luua riiklikke andmete säilitamise raamistikke, millega kehtestatakse muu hulgas sihtotstarbelise säilitamise meetmed, kui kõnealused raamistikud vastavad Euroopa Liidu õigusele, võttes arvesse Euroopa Kohtu otsuseid e-privaatsuse direktiivi ning Euroopa Liidu põhiõiguste harta tõlgendamise valdkonnas 7 .

Lisaks eelöeldule ei kohaldata ettepanekut Euroopa Liidu institutsioonide, organite ja asutuste tegevuse suhtes. Ettepanekus sätestatud põhimõtted ja asjakohased kohustused elektroonilise side andmete töötlemisega seotud side ja eraelu puutumatuse austamise õiguse kohta on siiski lisatud määruse ettepanekusse, millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 8 .

2.ÕIGUSLIK ALUS, SUBSIDIAARSUS JA PROPORTSIONAALSUS

2.1.Õiguslik alus

Ettepaneku õiguslik alus on Euroopa Liidu toimimise lepingu artikkel 16 ja artikkel 114.

Euroopa Liidu toimimise lepingu artikliga 16 on kehtestatud konkreetne õiguslik alus, et võtta vastu eeskirju füüsiliste isikute kaitse kohta seoses isikuandmete töötlemisega liidu institutsioonides ning liikmesriikides liidu õiguse kohaldamisalasse kuuluva tegevuse puhul ning samuti selliste andmete vaba liikumise eeskirju. Kuna füüsilise isikuga seotud elektroonilise side puhul on üldjuhul tegemist isikuandmetega, peaks füüsiliste isikute kaitse seoses side privaatsuse tagamise ja selliste andmete töötlemisega põhinema artiklil 16.

Lisaks sellele on ettepaneku eesmärk kaitsta juriidiliste isikute sidet ja sellega seotud õigustatud huvisid. Harta artikli 7 alusel antud õiguste tähendus ja kohaldamisala on kooskõlas harta artikli 52 lõikega 3 sama, kui on sätestatud Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artikli 8 lõikes 1. Euroopa Liidu Kohtu 9 ja Euroopa Inimõiguste Kohtu 10 lahendid kinnitavad harta artikli 7 ulatuse kohta, et juriidiliste isikute kutsetegevust ei tohi arvata välja harta artikli 7 ja Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artikli 8 alusel antud õiguse kaitsest.

Kuna algatusel on kaks eesmärki ning kuna komponenti, mis käsitleb juriidiliste isikute side kaitset ja kõnealuse elektroonilise side siseturu saavutamise ja vastava toimimise tagamise eesmärki, ei saa pidada ainult juhuslikuks, peaks algatus põhinema ka Euroopa Liidu toimimise lepingu artiklil 114.

2.2.Subsidiaarsus

Side austamine on hartas tunnustatud põhiõigus. Elektroonilise side sisust võib leida väga tundlikku teavet sides osalevate lõppkasutajate kohta. Samuti võivad ka elektroonilisest sidest saadud metaandmed avaldada väga tundlikku ja isiklikku teavet, nagu Euroopa Liidu Kohus on selgelt kinnitanud 11 . Enamik liikmesriike tunnustavad samuti side kui eraldiseisva põhiseadusliku õiguse kaitse vajadust. Kuigi liikmesriikidel on võimalik kehtestada poliitikameetmeid, millega tagatakse, et seda õigust ei rikuta, ei ole ilma Euroopa Liidu õigusnormideta võimalik seda ühetaoliselt saavutada ja see piiraks elektroonilise side teenuste kasutamisega seotud isikuandmete ja isikustamata teabe piiriüleseid voogusid. Lisaks muule on isikuandmete kaitse üldmäärusega järjepidevuse säilitamiseks vaja vaadata läbi e-privaatsuse direktiiv ning võtta meetmeid nende kahe õigusakti kooskõlla viimiseks.

Tehnoloogia areng ja digitaalse ühtse turu strateegia eesmärgid on andnud suurema põhjuse võtta meetmeid Euroopa Liidu tasandil. Euroopa Liidu digitaalse ühtse turu strateegia edu oleneb sellest, kui tõhusalt suudab EL kõrvaldada riikide kapseldumise ja tõkked ning hakata kasutama Euroopa digitaalsest ühtsest turust saadavaid eeliseid ja sääste. Kuna internet ja digitaaltehnoloogia ei tunne piire, on probleemi mõõde ühe liikmesriigi territooriumist laiem. Liikmesriigid üksi ei saa praeguses olukorras probleeme tulemuslikult lahendada. Digitaalse ühtse turu nõuetekohase toimimise eeltingimuseks on võrdsete võimaluste tagamine asendatavaid teenuseid pakkuvatele ettevõtjatele ja võrdse kaitse tagamine lõppkasutajatele Euroopa Liidu tasandil.

2.3.Proportsionaalsus

Privaatsuse ja side austamise tõhusa õiguskaitse tagamiseks on vaja laiendada kohaldamisala, et see hõlmaks OTT-teenuse osutajaid. Kuigi mitmed populaarsed OTT-teenuse osutajad järgivad juba praegu täielikult või osaliselt side konfidentsiaalsuse põhimõtet, ei saa põhiõiguste kaitset jätta sektori enda reguleerida. Üha olulisem on ka tulemuslik privaatsuse kaitse lõppseadmete puhul, kuna need on muutunud era- ja kutseelus hädavajalikuks, et talletada tundlikku teavet. E-privaatsuse direktiivi rakendamise abil ei ole õnnestunud tulemuslikult suurendada lõppkasutajate mõjuvõimu. Seega on eesmärgi saavutamiseks vaja rakendada põhimõte, mille kohaselt koondatakse nõusoleku andmine tarkvarasse ja antakse kasutajatele teavet selle privaatsusseadete kohta. Käesoleva määruse täitmise tagamisel tuginetakse isikuandmete kaitse üldmääruse järjepidevuse mehhanismidele ja järelevalveasutustele. Lisaks sellele võimaldab ettepanek liikmesriikidel võtta konkreetsel õiguspärasel eesmärgil erandlikke riiklikke meetmeid. Seega ei lähe ettepanek eesmärgi saavutamiseks vajalikust kaugemale ja vastab Euroopa Liidu lepingu artiklis 5 sätestatud proportsionaalsuse põhimõttele. Mõjutatud teenuste suhtes kehtestatud kohustuste tase hoitakse võimalikult madalal, kahjustamata seejuures asjakohaseid põhiõigusi.

2.4.Vahendi valik

Komisjon esitab määruse ettepaneku, et tagada järjepidevus isikuandmete kaitse üldmäärusega ning õiguskindlus kasutajatele ja ettevõtjatele, vältides erinevat tõlgendamist liikmesriikides. Määruse abil on võimalik tagada kasutajatele kaitse võrdne tase kogu liidus ja piiriüleselt tegutsevate ettevõtjate jaoks väiksemad nõuete täitmise kulud.

3.JÄRELHINDAMISE, SIDUSRÜHMADEGA KONSULTEERIMISE JA MÕJU HINDAMISE TULEMUSED

3.1.Praegu kehtivate õigusaktide järelhindamine või toimivuse kontroll

Õigusloome kvaliteedi ja tulemuslikkuse programmi raames toimunud hindamisel uuriti, kui tõhusalt on e-privaatsuse direktiiv aidanud kaasa eraelu puutumatuse austamise nõuetekohase kaitse tagamisele ja side pidamise konfidentsiaalsusele ELis. Selle raames prooviti teha kindlaks võimalikud liiasused.

Õigusloome kvaliteedi ja tulemuslikkuse programmi raames toimunud hindamisel jõuti järeldusele, et direktiivi eespool kirjeldatud eesmärgid on jätkuvalt asjakohased. Kui isikuandmete kaitse üldmäärusega tagatakse isikuandmete kaitse, siis e-privaatsuse direktiiviga tagatakse sellise side konfidentsiaalsus, mis võib samuti sisaldada isikustamata teavet ja juriidilise isikuga seotud teavet. Seega tuleks eraldi õigusakti abil tagada harta artiklis 7 sätestatud õiguste tulemuslik kaitse. Ka muud sätted, näiteks õigusnormid mittetellitud turundusteadaannete saatmise kohta, on samuti osutunud jätkuvalt asjakohaseks.

Tulemuslikkuse ja tõhususe seisukohast leiti õigusloome kvaliteedi ja tulemuslikkuse programmi raames tehtud hindamise tulemusena, et direktiiv ei ole täielikult täitnud oma eesmärke. Teatavate sätete ebaselge sõnastus ja õiguskontseptsioonide mitmetimõistetavus on seadnud ohtu harmoneerimise, mis tekitab ettevõtjatele probleeme piiriülesel tegutsemisel. Hindamine näitas samuti, et mõned sätted on tekitanud ettevõtjatele ja tarbijatele ebavajaliku koormuse. Näiteks lõppseadmete konfidentsiaalsuse kaitseks kehtestatud nõustumise norm ei saavutanud oma eesmärke, kuna lõppkasutajatele kuvatakse palve nõustuda püsiküpsiste kasutamisega, ilma et kasutajad mõistaksid nende olemust, ning teatavatel juhtudel kasutatakse küpsiseid isegi ilma kasutajate nõusolekuta. Nõustumise norm on liiga ulatuslik, kuna see hõlmab ka privaatsusega mitteseotud sekkuvat käitumist, ning ei ole piisavalt ulatuslik, kuna see ei hõlma selgelt teatavaid jälitamistehnikaid (näiteks seadmetuvastust), mis ei pruugi hõlmata seadmele juurdepääsu või sinna salvestamist. Viimaks võib selle rakendamine olla ettevõtjatele kulukas.

3.2.Konsulteerimine sidusrühmadega

Komisjon korraldas 12. aprillist 5. juulini 2016 avaliku konsultatsiooni, millele laekus 421 vastust 12 . Peamised järeldused on järgmised 13 .

–Vajadus elektroonilise side konfidentsiaalsust käsitlevate erieeskirjade järele elektroonilise side sektoris: 83,4 % vastanud kodanikest, tarbija- ja kodanikuühiskonna organisatsioonidest ja 88,9 % avaliku sektori asutustest nõustuvad ning 63,4 % tööstussektori vastajatest ei nõustu.

–Kohaldamisala laiendamine uutele sideteenustele (OTT-teenustele): 76 % kodanikest ja kodanikuühiskonnast ja 93,1 % avaliku sektori asutustest nõustuvad, kuid tööstussektori vastajatest pooldavad kõnealust laiendamist ainult 36,2 %.

–Liiklus- ja asukohaandmete töötlemiseks nõusoleku andmisega seotud erandite muutmine: 49,1 % kodanikest, tarbija- ja kodanikuühiskonna organisatsioonidest ja 36 % avaliku sektori asutustest eelistavad erandeid mitte laiendada ning 36 % tööstussektori vastajatest pooldavad erandite laiendamist ja 2/3 tööstussektori vastajatest pooldavad lihtsalt vastavate sätete kehtetuks tunnistamist.

–Toetus küpsiste kasutamiseks nõusoleku andmise probleemi jaoks välja pakutud lahendustele: 81,2 % kodanikest ja 63 % avaliku sektori asutustest toetavad ettepanekut kohustada lõppseadmete tootjaid turustama tooteid, millel on privaatsusseaded vaikimisi aktiveeritud, ning 58,3 % tööstussektori vastajatest pooldavad enese- või kaasreguleerimise toetamise varianti.

Lisaks sellele korraldas Euroopa Komisjon 2016. aasta aprillis kaks seminari, millel käsitleti avaliku konsultatsiooni peamisi küsimusi ning millest üks oli avatud kõigile sidusrühmadele ja teine riikide pädevatele asutustele. Seminaridel väljendatud arusaamad kajastasid avaliku konsultatsiooni tulemust.

–78 % sõnul on väga oluline, et nende arvutis, nutitelefonis või tahvelarvutis olevatele isikuandmetele saaks juurdepääsu ainult nende loaga.

–72 % sõnul on väga oluline, et tagataks nende e-kirjade ja veebis saadetavate kiirsõnumite konfidentsiaalsus.

–89 % nõustub välja pakutud variandiga, et nende brauseri vaikeseaded peaksid peatama nende teabe jagamise.

3.3.Eksperdiarvamuste kogumine ja kasutamine

Komisjon tugines järgmisele asutusevälisele eksperdiabile.

–Sihtotstarbelised konsultatsioonid ELi eksperdirühmadega: artikli 29 alusel asutatud andmekaitse töörühma arvamus; Euroopa Andmekaitseinspektori arvamus; õigusloome kvaliteedi ja tulemuslikkuse programmi platvormi arvamus; Elektroonilise Side Euroopa Reguleerivate Asutuste Ühendatud Ameti seisukohad; Euroopa Liidu Võrgu- ja Infoturbeameti seisukohad ning tarbijakaitsealase koostöö võrgustiku seisukohad.

–Asutusevälised eksperditeadmised, eelkõige järgmised kaks uuringut:

–uuring „ePrivacy Directive: assessment of transposition, effectiveness and compatibility with proposed Data Protection Regulation“ (e-privaatsuse direktiiv: ülevõtmise, tulemuslikkuse ja välja pakutud isikuandmete kaitse määrusega kooskõla hindamine) (SMART 2013/007116);

–uuring „Evaluation and review of Directive 2002/58 on privacy and the electronic communication sector“ (privaatsust ja elektroonilise side sektorit käsitleva direktiivi 2002/58 hindamine ja läbivaatamine) (SMART 2016/0080).

3.4.Mõjuhinnang

Järgmisi poliitikavariante hinnati tulemuslikkuse, tõhususe ja sidususe kriteeriumide alusel:

–variant 1: muud kui seadusandlikud (pehme õiguse) meetmed;

–variant 2: privaatsuse/konfidentsiaalsuse ning lihtsustamise piiratud tugevdamine;

–variant 3: privaatsuse/konfidentsiaalsuse ning lihtsustamise mõõdukas tugevdamine;

–variant 4: privaatsuse/konfidentsiaalsuse ning lihtsustamise ulatuslik tugevdamine;

–variant 5: e-privaatsuse direktiivi kehtetuks tunnistamine.

Varianti 3 peeti enamike aspektide seisukohast eelistatud variandiks, et saavutada eesmärgid, võttes samas arvesse tõhusust ja sidusust. Peamised eelised on järgmised.

–Õigusakti kohaldamisala laiendamine uutele funktsionaalselt samaväärsetele elektroonilise side teenustele aitab suurendada elektroonilise side konfidentsiaalsuse kaitset. Lisaks suurendatakse määruse abil lõppkasutaja kontrolli, selgitades, et nõusolekut saab väljendada asjakohaste tehniliste seadete abil.

–Mittetellitud teadaannete vastane kaitse paraneb tänu sellele, et kehtestatakse kohustus kuvada helistaja numbrit või lisada turunduslike kõnede numbritele eesliide ning suurendatakse soovimatutelt numbritelt tulevate kõnede blokeerimise võimalusi.

–Regulatiivset keskkonda lihtsustatakse ja muudetakse selgemaks, vähendades liikmesriikide otsustusvõimalusi, tunnistades kehtetuks aegunud sätted ning laiendades nõusoleku normidega seotud erandeid.

Variandi 3 majanduslik mõju on eeldatavasti üldjoontes proportsionaalne ettepaneku eesmärkidega. Traditsiooniliste elektroonilise side teenuste osutajatele avanevad sideandmete töötlemisega seotud ärivõimalused ja OTT-teenuse osutajate suhtes hakatakse kohaldama samu õigusnorme. Sellest tekivad operaatoritele täiendavad nõuete täitmisega seotud kulud. See muudatus ei mõjuta siiski märkimisväärselt juba nõusoleku alusel tegutsevaid OTT-teenuse osutajaid. Lisaks ei ole selle variandi mõju tuntav nendes liikmesriikides, kus on need õigusnormid OTT-teenuse osutajatele juba laiendatud.

Kui nõusoleku andmine koondatakse sellisesse tarkvarasse nagu internetibrauser ning kasutajaid kutsutakse üles valima oma privaatsusseadeid ja laiendatakse küpsiste kasutamisega nõustumise normi erandeid, peaks olulisel osal ettevõtjatest olema võimalik loobuda küpsiste kohta kuvatavate bänneritest ja teadaannetest, mis võib tuua kaasa märkimisväärse kulude kokkuhoiu ja lihtsustamise. Samas võib veebis konkreetsele sihtrühmale reklaami tegevatel ettevõtjatel olla keerulisem saada nõusolekut, kui suur osa kasutajatest seadistab oma seadme blokeerima kolmandate osapoolte küpsiseid. Samal ajal ei võta nõusoleku andmise koondamine veebisaitide käitajatelt võimalust saada nõusolek lõppkasutajale esitatava individuaalse palvete alusel ning seega säilitada oma praegune ärimudel. Teatavatele brauserite või sarnase tarkvara pakkujatele tekiksid täiendavad kulud, kuna nende puhul tuleks tagada privaatsust soodustavad seaded.

Asutusevälise uuringu raames tehti kindlaks kolm erinevat variandi 3 rakendamise stsenaariumi, lähtuvalt sellest, milline üksus tekitab dialoogiakna, mis kuvatakse kasutajale, kes on seadistanud oma seadme blokeerima kolmandate osapoolte küpsiseid või keelanud jälitamise, kui ta külastab veebisaiti, millel soovitakse, et kasutaja muudaks oma valikut. Üksused, mis võidakse määrata seda tehnilist ülesannet täitma, on 1) tarkvara, näiteks internetibrauserid; 2) kolmanda osapoole jälgimiskomponent; 3) individuaalsed veebisaidid (s.o infoühiskonna teenus, mida kasutaja soovib kasutada). Variant 3 võimaldaks esimese stsenaariumi kasutamisel (brauseri lahendus) hoida nõuete täitmisega seotud kuludelt lähtestsenaariumiga võrreldes kokku 70 % (948,8 miljonit eurot säästu) ja see on käesolevas ettepanekus ka rakendatud. Teiste stsenaariumide kasutamisel oleks kulude kokkuhoid väiksem. Kuna üldine sääst tuleneb suures osas selles, et mõjutatud ettevõtjate arv väheneb väga märkimisväärselt, eeldatakse, et ühe ettevõtja nõuete täitmisega seotud individuaalsed kulud oleksid keskmiselt praegusest suuremad.

3.5.Õigusnormide toimivus ja lihtsustamine

Eelistatud variandi alusel välja pakutud poliitikameetmed aitavad saavutada lihtsustamise ja halduskoormuse vähendamise eesmärki kooskõlas õigusloome kvaliteedi ja tulemuslikkuse programmi raames tehtud hindamise tulemustega ning õigusloome kvaliteedi ja tulemuslikkuse programmi platvormi arvamusega 17 .

Õigusloome kvaliteedi ja tulemuslikkuse programmi platvorm esitas komisjonile kolm soovituste komplekti.

–Kodanike eraelu kaitset tuleks tugevdada, viies e-privaatsust käsitleva direktiivi vastavusse isikuandmete kaitse üldmäärusega.

–Kodanike kaitset mittetellitud turustamise eest tuleks muuta tulemuslikumaks, lisades küpsistega nõustumise normile erandid.

–Komisjon tegeleb riikliku rakendamise probleemidega ja soodustab parimate tavade tutvustamist liikmesriikide vahel.

Ettepanek sisaldab eelkõige järgmist:

–tehnoloogianeutraalsete määratluste kasutamine, et hõlmata uusi teenuseid ja tehnoloogiaid ning tagada määruse tulevikukindlus;

–turvalisusnormide kehtetuks tunnistamine, et kõrvaldada regulatiivne kattuvus;

–kohaldamisala selgitamine, et vähendada liikmesriikides erineva rakendamise riski (arvamuse punkt 3) või see kõrvaldada;

–küpsiste ja muude identifikaatorite kasutamisega nõustumise normi selgitamine ja lihtsustamine, nagu on selgitatud punktides 3.1 ja 3.4 (arvamuse punkt 2);

–järelevalveasutuste vastavusse viimine isikuandmete kaitse üldmääruse täitmise tagamiseks pädevate ametiasutustega ning tuginemine isikuandmete kaitse üldmääruse järjepidevuse mehhanismile.

3.6.Mõju põhiõigustele

4.MÕJU EELARVELE

5.MUU TEAVE

5.1.Rakenduskavad ning järelevalve, hindamise ja aruandluse kord

5.2.Ettepaneku sätete üksikasjalik selgitus

I peatükk sisaldab üldsätteid: reguleerimisese (artikkel 1), kohaldamisala (artiklid 2 ja 3) ning mõisted, sealhulgas viited teiste ELi õigusaktide, näiteks isikuandmete kaitse üldmääruse mõistetele.

II peatükk sisaldab olulisi sätteid elektroonilise side konfidentsiaalsuse tagamiseks (artikkel 5) ning kirjeldab, millistel piiratud eesmärkidel ja mis tingimustel võib sideandmeid töödelda (artiklid 6 ja 7). Selles käsitletakse samuti lõppseadmete kaitset, i) tagades neisse salvestatud teabe terviklikkuse ja ii) kaitstes lõppseadmetest eetrisse antavat teavet, sest see võib võimaldada lõppkasutaja kindlaks teha (artikkel 8). Viimaks kirjeldatakse artiklis 9 lõppkasutajate nõusolekut, mis on käesoleva määruse keskne õiguslik alus, ning viidatakse otseselt selle määratlusele ja tingimustele, nagu on sätestatud isikuandmete kaitse üldmääruses, ning artikliga 10 kehtestatakse elektroonilist sidet võimaldava tarkvara pakkujatele kohustus aidata lõppkasutajatel privaatsusseadete suhtes tulemuslikke valikuid teha. Artiklis 11 kirjeldatakse otstarbeid ja tingimusi, mille puhul liikmesriikidel on lubatud eespool nimetatud sätteid piirata.

III peatükis käsitletakse lõppkasutajate õigust kontrollida elektroonilise side saatmist ja vastuvõtmist, et kaitsta oma privaatsust: i) lõppkasutajate õigus takistada helistaja liini numbri kuvamist anonüümsuse tagamiseks (artikkel 12) koos selle piirangutega (artikkel 13) ning ii) üldkasutatavate numbripõhiste isikutevahelise side teenuste pakkujate kohustus võimaldada piirata soovimatute kõnede vastuvõtmist (artikkel 14). Selles peatükis reguleeritakse ka tingimusi, mille alusel võib lõppkasutajad lisada üldkasutatavatesse kataloogidesse (artikkel 15) ning tingimusi, mille alusel võib toimuda mittetellitud side otseturunduse eesmärgil (artikkel 17). Selles käsitletakse ka turvalisusriske ja kehtestatakse elektroonilise side teenuste osutajatele kohustus hoiatada lõppkasutajaid juhul, kui esineb võrkude ja teenuste turvalisust kahjustada võiv konkreetne risk. Elektroonilise side teenuste osutajate suhtes kohaldatakse isikuandmete kaitse üldmääruse ja Euroopa elektroonilise side seadustikuga kehtestatud turvalisuse kohustusi.

IV peatükis sätestatakse käesoleva määruse järelevalve ja täitmise tagamine ning antakse see ülesandeks isikuandmete kaitse üldmääruse eest vastutavatele järelevalveasutustele, et tagada tugev sünergia andmekaitse üldiste küsimuste ja side konfidentsiaalsuse vahel (artikkel 18). Euroopa Andmekaitsenõukogu volitusi laiendatakse (artikkel 19) ning käesoleva määrusega seotud piirüleste küsimuste suhtes kohaldatakse isikuandmete kaitse üldmäärusega ette nähtud koostöö ja järjepidevuse mehhanismi (artikkel 20).

V peatükis kirjeldatakse lõppkasutajate käsutuses olevaid erinevaid õiguskaitsevahendeid (artiklid 21 ja 22) ning määratavaid karistusi (artikkel 24), sealhulgas haldustrahvide määramise üldtingimusi (artikkel 23).

VI peatükis käsitletakse delegeeritud õigusaktide ja rakendusaktide vastuvõtmist kooskõlas Euroopa Liidu toimimise lepingu artiklitega 290 ja 291.

VII peatükk sisaldab käesoleva määruse lõppsätteid: e-privaatsuse direktiivi kehtetuks tunnistamine, järelevalve ja läbivaatamine, jõustumine ja kohaldamine. Läbivaatamise käigus kavatseb komisjon muu hulgas hinnata seda, kas õiguslikke, tehnilisi või majanduslikke muutusi ning 25. maiks 2020 tehtavat määruse (EL) 2016/679 esimest hindamist arvesse võttes on jätkuvalt vaja eraldi õigusakti.

2017/0003 (COD)

Ettepanek:

EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS,

milles käsitletakse eraelu austamist ja isikuandmete kaitset elektroonilise side puhul ning millega tunnistatakse kehtetuks direktiiv 2002/58/EÜ (privaatsust ja elektroonilist sidet käsitlev määrus)

(EMPs kohaldatav tekst)

EUROOPA PARLAMENT JA EUROOPA LIIDU NÕUKOGU,

võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artikleid 16 ja 114,

võttes arvesse Euroopa Komisjoni ettepanekut,

olles edastanud seadusandliku akti eelnõu liikmesriikide parlamentidele,

võttes arvesse Euroopa Majandus- ja Sotsiaalkomitee arvamust 18 ,

võttes arvesse Regioonide Komitee arvamust 19 ,

võttes arvesse Euroopa Andmekaitseinspektori arvamust 20 ,

toimides seadusandliku tavamenetluse kohaselt

ning arvestades järgmist:

(1)Euroopa Liidu põhiõiguste harta (edaspidi „harta“) artikliga 7 kaitstakse igaühe põhiõigust sellele, et austataks tema era- ja perekonnaelu, kodu ja edastatavate sõnumite saladust. Selle õiguse oluline aspekt on privaatsuse austamine side puhul. Elektroonilise side konfidentsiaalsuse abil tagatakse, et poolte vahetatud teavet ja sellise side väliseid elemente, sealhulgas teabe saatmise aega, lähtekohta ja sihtkohta, ei avaldata kellelegi peale sides osalejate. Konfidentsiaalsuse põhimõtet tuleks kohaldada praegu kasutusel olevate ja tulevikus kasutusele võetavate sidevahendite, sealhulgas telefonikõnede, internetiühenduse, kiirsõnumite rakenduste, e-posti, internetis helistamise ja sotsiaalmeedia kaudu sõnumite saatmise suhtes.

(2)Elektroonilise side sisu võib anda sides osalevate füüsiliste isikute kohta väga tundlikku teavet, alates isiklikest kogemustest ja emotsioonidest kuni tervisliku seisundi, seksuaalse sättumuse ja poliitiliste vaadeteni, mille avaldamine võib põhjusta põhjustada isiklikku, sotsiaalset ja majanduslikku kahju või häbitunnet. Samuti võivad väga tundlikku ja isiklikku teavet anda ka elektroonilisest sidest saadud metaandmed. Need metaandmed hõlmavad numbreid, millele on helistatud, külastatud veebisaite, geograafilist asukohta, helistamise kellaaega, kuupäeva ja kõne kestust jms, mis võimaldab teha täpseid järeldusi elektroonilises sides osalevate inimeste eraelu, näiteks nende sotsiaalsete suhete, igapäevaste harjumuste ja tegevuste, huvide, eelistuste jms kohta.

(3)Elektroonilise side andmed võivad anda teavet ka juriidiliste isikute kohta, näiteks avaldada ärisaladusi või muud majandusliku väärtusega tundlikku teavet. Seetõttu tuleks käesoleva määruse sätteid kohaldada nii füüsiliste kui ka juriidiliste isikute suhtes. Lisaks sellele tuleks käesoleva määrusega tagada, et Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 21 sätteid kohaldatakse ka juriidilisest isikust lõppkasutajate suhtes. See hõlmab määruses (EL) 2016/679 esitatud nõusoleku määratlust. Kui osutatakse lõppkasutaja (sealhulgas juriidilise isiku) nõusolekule, siis tuleks kohaldada seda määratlust. Lisaks sellele peaksid nii juriidilisest isikust kui ka füüsilisest isikust lõppkasutajatel olema järelevalveasutustega seoses samad õigused ning käesoleva määruse kohaldamisalasse kuuluvad järelevalveasutused peaksid vastutama ka käesoleva määruse juriidiliste isikute suhtes kohaldamise järelevalve eest.

(4)Vastavalt harta artikli 8 lõikele 1 ja Euroopa Liidu toimimise lepingu artikli 16 lõikele 1 on igaühel õigus tema kohta käivate isikuandmete kaitsele. Määruses (EL) 2016/679 sätestatakse õigusnormid, mis käsitlevad füüsiliste isikute kaitset isikuandmete töötlemisel ja isikuandmete vaba liikumist. Elektroonilise side andmed võivad hõlmata isikuandmeid, nagu on määratletud määruses (EL) 2016/679.

(5)Käesoleva määrusega täpsustatakse ja täiendatakse määrusega (EL) 2016/679 kehtestatud isikuandmete kaitse üldiseid õigusnorme isikuandmetena käsitatavate elektroonilise side andmete osas. Seega ei vähenda käesolev määrus määrusega (EL) 2016/679 füüsilistele isikutele tagatud kaitse taset. Elektroonilise side teenuste osutajatel tuleks lubada elektroonilise side andmete töötlemist ainult käesoleva määruse alusel.

(6)Kuigi Euroopa Parlamendi ja nõukogu direktiivi 2002/58/EÜ 22 põhimõtted ja peamised sätted on üldjoontes jätkuvalt otstarbekohased, ei ole see direktiiv pidanud täielikult sammu tehnoloogia ja turu tegeliku arenguga, mille tõttu ei ole privaatsuse kaitse ja konfidentsiaalsus elektroonilise side valdkonnas piisavalt järjepidev ja tõhus. Arengu hulka kuulub selliste elektroonilise side teenuste jõudmine turule, mis on tarbija seisukohast traditsiooniliste teenuste asendusteenused, aga mille puhul ei ole vaja järgida sama õigusnormide komplekti. Teine arengusuund on seotud uute tehnoloogiatega, mis võimaldavad jälitada lõppkasutajate käitumist veebis ja mida direktiiv 2012/58/EÜ ei reguleeri. Seepärast tuleks direktiiv 2002/58/EÜ kehtetuks tunnistada ja asendada käesoleva määrusega.

(7)Liikmesriikidele tuleks anda võimalus säilitada käesoleva määrusega lubatud piirides riiklikke sätteid, millega täpsustatakse või selgitatakse käesoleva määruse õigusnormide kohaldamist, et tagada nende õigusnormide tulemuslik kohaldamine ja tõlgendamine, või selliseid sätteid kehtestada. Seega peaks selles valdkonnas liikmesriikidele antud kaalutlusruum säilitama tasakaalu eraelu ja isikuandmete kaitse ning elektroonilise side andmete vaba liikumise vahel.

(8)Käesolevat määrust tuleks kohaldada elektroonilise side teenuste osutajate, üldkasutatavate kataloogide pakkujate ning elektroonilist sidet, sealhulgas andmete hankimist ja internetis teabe esitamist, võimaldava tarkvara pakkujate suhtes. Käesolevat määrust tuleks samuti kohaldada füüsiliste ja juriidiliste isikute suhtes, kes kasutavad elektroonilise side teenuseid otseturunduslike äriliste teadaannete saatmiseks või kes koguvad lõppkasutajate lõppseadmega seotud või sinna salvestatud teavet.

(9)Käesolevat määrust tuleks kohaldada elektroonilise side andmete suhtes, mida töödeldakse seoses Euroopa Liidus elektroonilise side teenuste osutamise ja kasutamisega olenemata sellest, kas töötlemine toimub Euroopa Liidus. Lisaks tuleks selleks, et mitte võtta Euroopa Liidu lõppkasutajatelt tulemuslikku kaitset, kohaldada käesolevat määrust ka elektroonilise side andmete suhtes, mida töödeldakse seoses väljastpoolt Euroopa Liitu Euroopa Liidu lõppkasutajatele osutatavate elektroonilise side teenustega.

(10)Euroopa Liidu siseturule lastud raadioseadmed ja nende tarkvara peavad vastama Euroopa Parlamendi ja nõukogu direktiivile 2014/53/EL 23 . Käesolev määrus ei tohiks mõjutada direktiivi 2014/53/EL ühegi nõude kohaldatavust ega komisjoni õigust võtta vastavalt direktiivile 2014/53/EL vastu delegeeritud õigusakte, millega nõutakse, et konkreetse kategooria või klassi raadioseadmed sisaldaksid turvaseadmeid, et tagada kasutajate isikuandmete ja privaatsuse kaitse.

(11)Side jaoks kasutatavad teenused ja nende osutamise tehnilised vahendid on märkimisväärselt muutunud. Lõppkasutajad kasutavad traditsiooniliste telefonikõnede, tekstsõnumite (SMSide) ja elektronposti edastamise teenuste asemel üha enam samaväärsete funktsioonidega internetipõhiseid teenuseid, näiteks IP-kõnesid, sõnumiteenuseid ja veebipõhiseid meiliteenuseid. Funktsionaalselt samaväärsete teenuste kasutamisel lõppkasutajate tulemusliku ja samaväärse kaitse tagamiseks kasutatakse käesolevas määruses [Euroopa Parlamendi ja nõukogu direktiivis, millega kehtestatakse Euroopa elektroonilise side seadustik, 24 ] kasutatud elektroonilise side teenuste määratlust. See määratlus ei hõlma ainult internetiühenduse teenuseid ja täielikult või osaliselt signaalide edastamises seisnevaid teenuseid, vaid ka isikutevahelise side teenuseid, mis võivad olla numbripõhised, aga ei pruugi seda olla, näiteks IP-kõne, sõnumiteenused ja veebipõhised meiliteenused. Side konfidentsiaalsuse kaitse on ülioluline ka teist teenust täiendavate isikutevahelise side teenuste puhul ning seetõttu peaksid olema käesoleva määrusega hõlmatud sellised teenused, millel on ka sidefunktsioon.

(12)Ühendatud seadmed ja masinad peavad üksteisega üha rohkem sidet elektroonilise side võrkude abil (asjade internet). Masinatevahelise side edastamine hõlmab signaalide edastamist võrgus ja seega on selle puhul üldjuhul tegemist elektroonilise side teenusega. Privaatsuse ja side konfidentsiaalsuse õiguse täieliku kaitse tagamiseks ning usaldusväärse ja turvalise asjade interneti edendamiseks digitaalsel ühtsel turul on vaja selgitada, et käesolevat määrust tuleks kohaldada masinatevahelise side edastamise suhtes. Seega tuleks käesoleva määrusega tagatud konfidentsiaalsuse põhimõtet kohaldada ka masinatevahelise side edastamise suhtes. Konkreetseid turvameetmeid võiks võtta ka valdkondlike õigusaktide, näiteks direktiivi 2014/53/EL alusel.

(13)Kiirete ja tõhusate raadioside tehnoloogiate areng on suurendanud üldkasutatava internetiühenduse kättesaadavust raadiovõrkudes, millele on juurdepääs kõigil, kes viibivad avalikes või osaliselt piiratud juurdepääsuga kohtades, näiteks nn kuumkohad (i.k. hotspots), mis asuvad linna erinevates kohtades, poodides, ostukeskustes ja haiglates. Kuna sellised sidevõrgud on antud kasutamiseks määramata lõppkasutajate rühmale, tuleks kaitsta nende võrkude kaudu edastatava side konfidentsiaalsust. Fakt, et elektroonilise raadioside teenused võivad täiendada teisi teenuseid, ei tohiks takistada sideandmete konfidentsiaalsuse kaitse tagamist ja käesoleva määruse kohaldamist. Seega tuleks käesolevat määrust kohaldada elektroonilise side andmete suhtes, mida edastatakse elektroonilise side teenuste ja üldkasutatavate sidevõrkude abil. Samas ei tohiks käesolevat määrust kohaldada lõppkasutajate suletud rühmade suhtes, näiteks ettevõttesiseste võrkude suhtes, millele on juurdepääs ainult ettevõtte töötajatel.

(14)Elektroonilise side andmete mõiste tuleks määratleda piisavalt laial ja tehnoloogianeutraalsel viisil, et see hõlmaks mis tahes teavet edastatud või vahetatud sisu kohta (elektroonilise side sisu) ning teavet elektroonilise side teenuste lõppkasutaja kohta, mida on töödeldud elektroonilise side sisu edastamise, levitamise või vahetamise võimaldamiseks, sealhulgas andmed side lähte- ja sihtkoha jälitamiseks ja kindlaks tegemiseks, geograafiline asukoht ning side kuupäev, kellaaeg, kestus ja liik. Olenemata sellest, kas kõnealused signaalid ja nendega seotud andmed edastatakse mööda traati, raadio teel, optiliselt või elektromagnetiliselt, sealhulgas satelliitvõrkude, kaabelvõrkude, püsivõrkude (ahel- ja pakettkommuteeritud, k.a internet), liikuva maaside võrkude või elektrikaabelsüsteemide abil, tuleks kõnealuste signaalidega seotud andmeid käsitada elektroonilise side metaandmetena ning nende suhtes tuleks seega kohaldada käesoleva määruse sätteid. Elektroonilise side metaandmed võivad sisaldada teenuse tellimuse osaks olevat teavet, kui sellist teavet töödeldakse elektroonilise side sisu edastamise, levitamise või vahetamise otstarbel.

(15)Elektroonilise side andmeid tuleks kohelda konfidentsiaalsena. See tähendab, et tuleks keelata igasugune sekkumine elektroonilise side andmete edastamisse, kas otseselt inimsekkumise teel või automaatse masintöötlemise abil, kui selleks ei ole kõigi sidet pidavate poolte nõusolekut. Sideandmete infopüügi keeldu tuleks kohaldada sideandmete edastamise ajal, s.o kuni elektroonilise side sisu on laekunud ettenähtud adressaadile. Elektroonilise side andmete infopüük võib toimuda näiteks siis, kui keegi muu kui sidet pidavad pooled kuulab kõnesid, loeb, skannib või salvestab elektroonilise side sisu või sellega seotud metaandmeid muul otstarbel kui side pidamiseks. Infopüük toimub ka siis, kui kolmandad isikud jälgivad, milliseid veebisaite külastatakse, mõõdavad külastuste aega, teistega suhtlemist jms, ilma et neil oleks selleks asjaomase lõppkasutaja nõusolek. Tehnoloogia arenedes on suurenenud ka infopüügiga tegelemise tehniliste viiside arv. Need viisid võivad hõlmata kõike alates selliste seadmete paigaldamisest, mis koguvad määratud alas asuvatest lõppseadmetest andmeid, näiteks nn IMSI-püüdurid (IMSI ehk rahvusvaheline mobiilabonendi identifikaator, i.k. International Mobile Subscriber Identity), kuni programmide ja tehnikateni, mille abil jälgitakse lõppkasutajate profiilide koostamiseks salaja veebikasutuse harjumusi. Muud infopüügi näited on sõnumiandmete või sisuandmete, sealhulgas veebikasutuse tavade kogumine krüpteerimata raadiovõrkudest ja ruuteritest ilma lõppkasutajate nõusolekuta.

(16)Side salvestamise keelu eesmärk ei ole keelata igasugust automaatset, vahepealset ja ajutist teabe salvestamist, kui see toimub ainult elektroonilise side võrgus edastamise eesmärgil. See ei tohiks takistada elektroonilise side andmete töötlemist selleks, et tagada elektroonilise side teenuste turvalisus ja jätkuvus (sh turvaohtude, näiteks pahavara esinemise kontrollimine), ega metaandmete töötlemist teenuse kvaliteedi nõuete täitmiseks näiteks latentsusaja, faasivärina jms osas.

(17)Elektroonilise side andmete töötlemine võib olla kasulik ettevõtjatele, tarbijatele ja ühiskonnale tervikuna. Direktiiviga 2002/58/EÜ võrreldes laiendatakse käesoleva määrusega elektroonilise side teenuste osutajate võimalusi töödelda elektroonilise side metaandmeid lõppkasutajate nõusoleku alusel. Samas peavad lõppkasutajad väga oluliseks oma side, sealhulgas oma veebikasutuse konfidentsiaalsust ja soovivad kontrollida elektroonilise side andmete kasutamist muul otstarbel kui side edastamiseks. Seetõttu tuleks käesoleva määrusega nõuda, et elektroonilise side teenuste osutajad saaksid lõppkasutajate nõusoleku elektroonilise side metaandmete töötlemiseks; see peaks hõlmama teenusele juurdepääsu andmise ja ühenduse säilitamise jaoks genereeritud andmeid seadme asukoha kohta. Asukohaandmeid, mis genereeritakse muus kontekstis kui elektroonilise side teenuste osutamine, ei tuleks käsitada metaandmetena. Elektroonilise side teenuste osutajad võivad kasutada elektroonilise side metaandmeid ärilisel otstarbel näiteks selleks, et pakkuda kuumuskaarte, mille puhul on tegemist andmete graafilise kujutamisega, kus inimeste asukoha näitamiseks kasutatakse värve. Teatava aja jooksul teatavas suunas kulgeva liikluse kuvamiseks on vaja identifikaatorit, mille abil seostada üksikisikute asukohad konkreetsete ajavahemike järel. Anonüümsete andmete kasutamise korral ei saaks sellist identifikaatorit kasutada ega liikumist kuvada. Elektroonilise side metaandmete selline kasutusviis võiks näiteks aidata avaliku sektori asutustel ja ühistranspordiettevõtjatel teha kindlaks kohad, kus hakata arendama uut taristut, lähtudes olemasoleva rajatise kasutusest ja koormusest. Kui teatavat tüüpi elektroonilise side metaandmete töötlemise ja eelkõige uut tehnoloogiat kasutava töötlemise tulemusena ning töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt suur oht füüsiliste isikute õigustele ja vabadustele, tuleks enne töötlemist teha andmekaitsealane mõjuhinnang ja vajaduse korral konsulteerida järelevalveasutusega kooskõlas määruse (EL) 2016/679 artiklitega 35 ja 36.

(18)Lõppkasutajad võivad anda nõusoleku oma metaandmete töötlemiseks, et saada konkreetseid teenuseid, näiteks pettusevastase kaitse teenuseid (kasutusandmete, asukoha ja kliendikonto analüüsimisega reaalajas). Digitaalmajanduses osutatakse teenuseid sageli muu vastutasu kui raha eest, näiteks kuvatakse lõppkasutajatele reklaame. Käesoleva määruse kohaldamisel peaks lõppkasutaja nõusolekul olema sama tähendus kui andmesubjekti nõusolekul määruse (EL) 2016/679 alusel ja selle suhtes tuleks kohaldada samu tingimusi, olenemata sellest, kas lõppkasutaja on füüsiline või juriidiline isik. Lairibaühenduse ja kõneside baasteenuseid tuleb käsitada hädavajalike teenustena, et üksikisikud saaksid suhelda ja digitaalmajandusest kasu saada. Nõusolek interneti või kõneside kasutuse andmete töötlemiseks ei kehti, kui andmesubjektil pole tõelist või vaba valikuvõimalust või ta ei saa nõusoleku andmisest keelduda või seda tagasi võtta, ilma et see talle kahju tekitaks.

(19)Elektroonilise side sisu on seotud harta artiklist 7 tuleneva era-ja perekonnaelu, kodu ja edastatavate sõnumite saladuse kaitsmise põhiõiguse olemusega. Mis tahes sekkumine elektroonilise side sisusse peaks olema lubatud ainult väga selgelt kindlaks määratud tingimustes, konkreetsel otstarbel ja selle kuritarvitamise vältimiseks tuleks võtta nõuetekohased kaitsemeetmed. Käesoleva määrusega antakse elektroonilise side teenuste osutajatele võimalus töödelda elektroonilise side andmeid nende edastamise ajal, kui kõik asjaomased lõppkasutajad on andnud selleks teadliku nõusoleku. Teenuseosutajad võivad näiteks pakkuda teenuseid, mille raames skannitakse e-kirju sealt teatava eelnevalt kindlaks määratud materjali eemaldamiseks. Side sisu tundlikkust arvesse võttes eeldatakse käesolevas määruses, et selliste sisuandmete töötlemine põhjustab füüsiliste isikute õigustele ja vabadustele suure riski. Seda liiki andmete töötlemisel peaks elektroonilise side teenuse osutaja enne töötlemist alati konsulteerima järelevalveasutusega. Selline konsulteerimine peaks toimuma kooskõlas määruse (EL) 2016/679 artikli 36 lõigetega 2 ja 3. Eeldus ei hõlma sisuandmete töötlemist lõppkasutaja soovitud teenuse osutamiseks, kui lõppkasutaja on nõustunud sellise töötlemisega ning see toimub rangelt ainult asjaomase teenuse osutamiseks vajaliku aja vältel ja on sellega proportsionaalne. Pärast seda, kui üks lõppkasutaja on elektroonilise side sisu ära saatnud ja ette nähtud lõppkasutaja(d) on selle vastu võtnud, võib selle salvestada või talletada lõppkasutaja, mitu lõppkasutajat või kolmas isik, kellele nad on andnud kõnealuste andmete salvestamise või talletamise õiguse. Kõnealuste andmete mis tahes töötlemine peab toimuma kooskõlas määrusega (EL) 2016/679.

(20)Elektroonilise side võrkude lõppkasutajate lõppseadmed ja selliste lõppseadmete kasutamisega seotud mis tahes teave, mis on sellisesse seadmesse salvestatud või mida need seadmed eetrisse annavad, mille kohta võidakse teha päring või mida töödeldakse, et ühendada see seade muu seadme ja/või võrguseadmega, on osa lõppkasutajate erasfäärist, mida tuleb kaitsta Euroopa Liidu põhiõiguste harta ja Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni alusel. Võttes arvesse, et sellised seadmed sisaldavad või töötlevad teavet, mis võib avaldada üksikasju üksikisiku emotsionaalse, poliitilise ja sotsiaalse eripära kohta (sealhulgas side sisu, pildid, üksikisiku asukoht, kui saadakse juurdepääs seadme GPS-funktsioonile, kontaktide nimekirjad ja juba seadmesse salvestatud teave), on selliste seadmetega seotud teabe puhul vaja täiustatud privaatsuse kaitset. Lisaks sellele võivad lõppkasutaja teadmata sattuda tema lõppseadmesse nn nuhkvara, veebilutikad, varjatud identifikaatorid, püsiküpsised ja muud sarnased soovimatud jälitamisvahendid, et saada juurdepääs teabele, salvestada varjatud teavet ja jälitada lõppkasutaja tegevust. Lõppkasutaja seadmega seotud teavet võidakse tuvastamise ja jälitamise jaoks koguda kasutaja teadmata ka kaugmeetodil, kasutades selliseid tehnikaid nagu seadmetuvastus, ning see võib tõsiselt rikkuda nende lõppkasutajate privaatsust. Lõppkasutajate tegevuse salaja jälgimise tehnikad, näiteks nende veebitegevuse või lõppseadme asukoha jälitamine või lõppkasutaja lõppseadme toimimise kahjustamine, ohustavad tõsiselt lõppkasutajate privaatsust. Seetõttu peaks igasugune selline lõppkasutaja lõppseadet puudutav sekkumine olema lubatud ainult juhul, kui lõppkasutaja on sellega nõus ja see toimub konkreetsel ja läbipaistval eesmärgil.

(21)Lõppseadme töötlemis- ja salvestusfunktsioonide kasutamiseks või sinna salvestatud teabele juurdepääsu saamiseks nõusoleku hankimise kohustusest võib erandi teha ainult juhul, kui sellega ei rikuta privaatsust või rikutakse seda ainult väga piiratud määral. Näiteks ei ole vaja küsida nõusolekut, et lubada tehnilist salvestamist või juurdepääsu, mis on rangelt vajalik ja proportsionaalne selleks, et saavutada õiguspärane eesmärk ja võimaldada lõppkasutajal kasutada konkreetset tema poolt soovitud teenust. See võib hõlmata küpsiste salvestamist ühe konkreetse seansi ajaks veebisaidil, et jälgida lõppkasutaja sisestatud andmeid mitmel eri lehel kuvatud elektrooniliste vormide täitmise käigus. Küpsised võivad olla õigustatud ja kasulik vahend, näiteks veebisaidi külastajate arvu mõõtmiseks. Kui infoühiskonna teenuse osutajad kontrollivad seadistust, et osutada teenust lõppkasutaja seadete kohaselt ja lihtsalt logivad fakti, et lõppkasutaja seade ei suuda võtta vastu lõppkasutaja soovitud sisu, siis ei tohiks seda käsitada juurdepääsuna kõnealusele seadmele või seadme töötlemisfunktsiooni kasutamisena.

(22)Teabe esitamiseks ja lõppkasutaja nõusoleku saamiseks kasutatavad meetodid peaksid olema võimalikult kasutajasõbralikud. Võttes arvesse püsiküpsiste ja muude jälitamistehnikate üldlevinud kasutamist, küsitakse lõppkasutajatelt üha enam nõusolekut selliste püsiküpsiste salvestamiseks nende lõppseadmesse. Seetõttu on lõppkasutajad üle koormatud nõusoleku andmise palvetega. Selle probleemi võib lahendada tehniliste vahendite kasutamine nõusoleku andmiseks, näiteks läbipaistvate ja kasutajasõbralike seadete abil. Seega tuleks anda käesoleva määrusega võimalus väljendada nõusolekut brauseri või muu rakenduse asjakohase seade kasutamise teel. Valikud, mille lõppkasutajad teevad oma brauseri või muude rakenduste privaatsuse üldseadete määramisel, peaksid olema kolmandatele isikutele siduvad ja nende vastu jõustatavad. Veebibrauser on tarkvararakenduse liik, mis võimaldab hankida internetist teavet ja seda kuvada. Sama funktsiooni võimaldavad ka teist liiki rakendused, näiteks helistamist ja sõnumite saatmist või marsruudi juhiste andmist võimaldavad rakendused. Veebibrauserid vahendavad suurt osa sellest, mis toimub lõppkasutaja ja veebisaidi vahel. Sellest seisukohast on need eelisolukorras, et aktiivselt aidata lõppkasutajal kontrollida lõppseadmesse suunduvaid ja sealt väljuvaid teabevoogusid. Täpsemalt saab veebibrausereid kasutada kaitsemeetmena, mis aitab lõppkasutajatel takistada juurdepääsu oma lõppseadmest (näiteks nutitelefon, tahvelarvuti, või arvuti) pärinevale teabele või selle salvestamist.

(23)Lõimitud ja vaikimisi andmekaitse põhimõtted on kodifitseeritud määruse (EL) 2016/679 artiklis 25. Enamikus praegu kasutatavates brauserites on küpsiste vaikeseadeks määratud kõigi küpsiste lubamine. Seega tuleks kohustada internetis teabe hankimist ja esitamist võimaldava tarkvara pakkujad seadistama tarkvara nii, et see annab võimaluse takistada kolmandaid isikuid lõppseadmesse teavet salvestamast, mis on sageli sõnastatud kujul „blokeeri kolmandate osapoolte küpsised“. Lõppkasutajatele tuleks pakkuda privaatsusseadete eri variante alates kõrgeimast tasemest (näiteks „blokeeri alati küpsiste kasutamine“) kuni madalaimani (näiteks „luba küpsised alati“) ning vahepealne tase (näiteks „blokeeri kolmandate osapoolte küpsised“ või „luba ainult algse osapoole küpsised“). Sellised privaatsusseaded tuleks esitada kergesti nähtaval ja mõistetaval viisil.

(24)Selleks, et veebibrauserid saaksid hankida määruses (EL) 2016/679 määratletud lõppkasutaja nõusoleku näiteks kolmanda osapoole püsiküpsiste salvestamise lubamiseks, peaksid need muu hulgas nõudma lõppseadme lõppkasutaja selget kinnitust selle kohta, et ta on vabalt andnud konkreetse teadliku ja ühemõttelise nõusoleku selliste küpsiste salvestamiseks lõppseadmesse ja neile seal juurdepääsu lubamiseks. Sellist tegevust võib käsitada kinnitusena näiteks juhul, kui lõppkasutajad peavad oma nõusoleku kinnitamiseks aktiivselt valima võimaluse „lubada kolmandate osapoolte küpsised“ ja neile antakse valiku tegemiseks vajalik teave. Selleks tuleb nõuda interneti kasutamist võimaldava tarkvara pakkujatelt, et lõppkasutajaid teavitataks installimise ajal võimalusest valida eri valikuvõimaluste seast privaatsuse seaded ja neil palutakse teha valik. Esitatud teave ei tohiks veenda kasutajaid loobuma kõrgema tasemega privaatsuse seadete valimisest ja see peaks sisaldama asjakohast teavet riskide kohta, mis seostuvad sellega, kui lubatakse kolmandate osapoolte küpsiste salvestamine arvutisse, sealhulgas üksikisiku veebikasutuse ajaloo kohta pikaajaliste aruannete koostamine ja selliste aruannete kasutamine suunatud reklaami saatmiseks. Julgustatakse andma veebibrauserites kasutajatele lihtsaid võimalusi muuta oma privaatsusseadeid kasutamise käigus igal ajal ja seada teatavate veebisaitide jaoks erandeid või kanda need lubatud veebisaitide nimekirja või täpsustada, milliste veebisaitide puhul on kolmandate osapoolte küpsised alati lubatud või pole kunagi lubatud.

(25)Juurdepääsuks elektroonilise side võrkudele on vaja korrapäraselt saata teatavaid andmepakette, et leida võrk või muud seadmed võrgus või säilitada nendega ühendust. Lisaks peab seadmetel olema määratud kordumatu aadress, et neid saaks kõnealuses võrgus kindlaks teha. Ka raadio- ja mobiilside standardid hõlmavad aktiivsete signaalide eetrisse andmist, mis sisaldavad selliseid kordumatuid identifikaatoreid nagu MAC-aadress, IMEI-number (International Mobile Station Equipment Identity ehk rahvusvaheline mobiilseadme identifikaator), IMSI-number jms. Ühel raadioside tugijaamal (s.o saatja ja vastuvõtja), näiteks raadioside juurdepääsupunktil on konkreetne ulatus, milles selline teabehõive saab toimuda. Tegutsema on asunud teenuseosutajad, kes pakuvad seadmetega seotud teabe skannimisel põhinevaid jälitamisteenuseid, millel on mitu funktsiooni, sealhulgas inimeste loendamine, andmete esitamine järjekorras ootavate inimeste arvu kohta, konkreetses piirkonnas viibivate inimeste arvu kindlaks tegemine jms. Sellist teavet võib kasutada sekkuvamal otstarbel, näiteks lõppkasutajatele personaalseid pakkumisi sisaldavate äriliste teadaannete saatmine, kui nad sisenevad poodi. Kuigi mõned neist funktsioonidest ei tekita suuri privaatsusega seotud riske, tekivad suured riskid näiteks selliste funktsioonide puhul, mis võimaldavad jälitada üksikisikuid pikema aja jooksul, sealhulgas nende korduvaid käike konkreetsetesse kohtadesse. Selliselt käituvad teenuseosutajad peaksid kuvama hõlmatud ala servas silmatorkavaid teateid, mis teavitaksid lõppkasutajaid enne kindlaks määratud alasse sisenemist sellest, et kõnealuses piirkonnas on kasutusel asjakohane tehnoloogia, jälgimise eesmärgist, jälgimise eest vastutavast isikust ja kõigist meetmetest, mida lõppkasutaja saab lõppseadmes võtta teabe kogumise minimeerimiseks või peatamiseks. Kui isikuandmeid kogutakse vastavalt määruse (EL) 2016/679 artiklile 13, siis tuleks esitada lisateavet.

(26)Kui elektroonilise side andmete töötlemine elektroonilise side teenuste osutajate poolt kuulub käesoleva määruse kohaldamisalasse, tuleks käesolevas määruses ette näha võimalus, et Euroopa Liit või liikmesriigid saavad teatavatel tingimustel piirata õigusaktidega teatavaid kohustusi ja õigusi, kui selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et kaitsta konkreetseid avalikke huve, sealhulgas riigi julgeolek, riigikaitse, avalik julgeolek ning kuritegude tõkestamine, uurimine ja avastamine või nende eest vastutusele võtmine või kriminaalkaristuste täitmisele pööramine, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmine ja nende vältimine ning muud olulised eesmärgid Euroopa Liidu või liikmesriigi üldistes avalikes huvides, eelkõige Euroopa Liidu või liikmesriigi olulised majandus- või finantshuvid või järelevalve-, kontrolli või regulatiivfunktsioon, mis on seotud avaliku võimu teostamisega selliste huvide puhul. Seega ei tohiks käesolev määrus mõjutada liikmesriikide võimalusi tegeleda elektroonilise side seadusliku infopüügiga või võtta muid meetmeid, kui see on vajalik ja proportsionaalne eespool nimetatud avaliku huvi kaitsmiseks kooskõlas Euroopa Liidu põhiõiguste hartaga ning Euroopa inimõiguste ja põhivabaduste kaitse konventsiooniga, nagu neid on tõlgendanud Euroopa Liidu Kohus ja Euroopa Inimõiguste Kohus. Elektroonilise side teenuste osutajad peaksid nägema ette asjakohased menetlused, et pädevad ametiasutused saaksid esitada põhjendatud taotlusi, võttes vajaduse korral arvesse ka vastavalt artikli 3 lõikele 3 määratud esindaja rolli.

(27)Helistaja liini numbri kuvamise osas on vaja kaitsta helistava isiku õigust loobuda helistaja liini numbrinäidu edastamisest ja kõne saaja õigust keelduda ilma numbrinäiduta liinidelt saabuvatest kõnedest. Teatavad lõppkasutajad, eelkõige nõustamistelefonid ja muud samalaadsed organisatsioonid on huvitatud neile helistavate isikute anonüümsuse tagamisest. Vastuvõtja liini numbrinäidu kuvamise osas on vaja kaitsta kõne vastuvõtja õigust ja õigustatud huvi loobuda selle liini numbrinäidu kuvamisest, millega helistaja on tegelikult ühendatud.

(28)Teatavatel juhtudel peab olema võimalik helistaja liini numbrinäidu edastamise keeld tühistada. Lõppkasutajate õigust privaatsusele seoses helistaja liini numbrinäidu edastamisega tuleks piirata, kui see on vajalik häirivate kõnede allika kindlaks tegemiseks, ja seoses helistaja liini numbrinäidu edastamisega ja asukohaandmetega, kui see on vajalik, et hädaabiteenistused, näiteks automaatne hädaabikõne (eCall), saaksid täita oma ülesandeid võimalikult tulemuslikult.

(29)On olemas tehnoloogia, mis võimaldab elektroonilise side teenuste osutajatel anda lõppkasutajatele võimaluse piirata soovimatute kõnede vastuvõtu eri viisidel, sealhulgas blokeerides kõned, mille puhul helistaja ei ole tegelikult telefoni juures, ning muud pettuslikud ja häirivad kõned. Üldkasutatavate numbripõhiste isikutevahelise side teenuste osutajad peaksid võtma selle tehnoloogia kasutusele ja kaitsma lõppkasutajaid häirivate kõnede eest tasuta. Teenuseosutajad peaksid tagama, et lõppkasutajad on selliste funktsioonide olemasolust teadlikud, näiteks tuleks seda võimalust tutvustada oma veebilehel.

(30)Üldkasutatavad elektroonilise side teenuste lõppkasutajate kataloogid on laialdaselt saadaval. Üldkasutatavad kataloogid on mis tahes kataloogid või teenused, mis sisaldavad teavet lõppkasutajate kohta, näiteks telefoninumbreid (sealhulgas mobiiltelefoninumbreid), ja e-posti aadressi kontaktandmeid, ning hõlmavad numbriinfoteenuseid. Füüsiliste isikute õigus privaatsusele ja isikuandmete kaitsele eeldab, et füüsilisest isikust lõppkasutajatelt küsitakse nõusolekut enne nende isikuandmete kataloogi lisamist. Juriidiliste isikute õigustatud huvi eelduseks on, et juriidilisest isikust lõppkasutajad võivad keelduda nendega seotud andmete kataloogi lisamisest.

(31)Kui füüsilisest isikust lõppkasutajad annavad oma nõusoleku enda andmete lisamiseks sellistesse kataloogidesse, siis peaks neil olema võimalus määrata nõusoleku alusel kindlaks, millise kategooria isikuandmed kataloogi lisatakse (näiteks nimi, e-posti aadress, kodune aadress, kasutajanimi, telefoninumber). Lisaks sellele peaksid üldkasutatavate kataloogide pakkujad teavitama lõppkasutajaid kataloogi otstarbest ja otsingufunktsioonidest, enne kui nad lõppkasutaja kõnealusesse kataloogi lisavad. Lõppkasutajatel peaks olema võimalus määrata nõusoleku alusel kindlaks, millise kategooria isikuandmete alusel saab nende kontaktandmeid otsida. See, millise kategooria isikuandmed on kataloogi lisatud ja millise kategooria isikuandmete alusel saab lõppkasutaja kontaktandmeid otsida, ei pea olema ilmtingimata sama.

(32)Käesolevas määruses tähendab otseturundus mis tahes kujul reklaami, mille puhul füüsiline või juriidiline isik saadab elektroonilise side teenuseid kasutades otseturundusteadaandeid otse ühele või mitmele kindlaks tehtud või kindlaks tehtavatele lõppkasutajatele. Lisaks ärilisel otstarbel toodete ja teenuste pakkumisele peaks see samuti hõlmama poliitiliste erakondade saadetud teateid, kui erakonnad võtavad enda tutvustamiseks füüsiliste isikutega ühendust elektroonilise side teenuseid kasutades. Sama peaks kehtima teadete suhtes, mille muud mittetulundusühendused saadavad oma organisatsiooni toetamiseks.

(33)Tuleks tagada kaitsemeetmed, mis kaitseksid lõppkasutajaid otseturunduslike mittetellitud teadaannete eest, mis rikuvad lõppkasutajate eraelu puutumatust. Privaatsuse rikkumise ja häirimise ulatust käsitatakse suhteliselt sarnasena olenemata sellest, milliseid tehnoloogiaid või kanaleid sellise elektroonilise side jaoks kasutatakse, kas tegemist on näiteks automatiseeritud numbrivalimis- ja sidesüsteemi, kiirsõnumirakenduse, e-posti, SMSi, MMSi, Bluetoothi või muu sarnasega. Seetõttu on põhjendatud nõue, et enne otsturundusliku elektroonilise ärilise teadaande lõppkasutajale saatmist, tuleb saada lõppkasutaja nõusolek, et kaitsta tõhusalt üksikisikute eraelu puutumatust ning juriidiliste isikute õigustatud huvisid. Õiguskindluse huvides ja tagamaks, et mittetellitud elektroonilise side eest kaitsvad õigusnormid on tulevikukindlad, on põhjendatud vajadus määrata kindlaks ühtne õigusnormide kogum, mis ei varieeru vastavalt selliste mittetellitud teadaannete edastamiseks kasutatud tehnoloogiale, tagades samal ajal kogu Euroopa Liidu kodanikele samaväärse kaitse taseme. Samas on mõistlik lubada e-posti kontaktandmete kasutamist olemasoleva kliendisuhte kontekstis sarnaste toodete või teenuste pakkumiseks. See võimalus peaks kehtima ainult selle ettevõtte puhul, mis on omandanud elektroonilised kontaktandmed kooskõlas määrusega (EL) 2016/679.

(34)Kui lõppkasutajad on andnud oma nõusoleku otseturunduslike mittetellitud teadaannete saamiseks, siis peaks neile alati jääma võimalus oma nõusolekust lihtsasti loobuda. Et hõlbustada otseturunduslikke mittetellitud teadaandeid reguleerivate Euroopa Liidu õigusnormide täitmise tulemuslikku tagamist, on vaja keelata isikuandmete varjamine ning valeidentiteedi või vale tagasisaatmisaadressi või helistaja numbri kasutamine otseturunduslike mittetellitud äriliste teadaannete saatmisel. Mittetellitud turundusteadaanded peaksid seega olema selliste teadaannetena selgelt äratuntavad ja neis peaks olema märgitud teadaande edastanud juriidiline või füüsiline isik või juriidiline või füüsiline isik, kelle nimel teadaanne edastatakse, ning teadaannete saajatele tuleb esitada teave, mis on vajalik, et nad saaksid kasutada oma õigust keelduda edasise kirjaliku ja/või suulise turundusteabe saamisest.

(35)Nõusoleku lihtsa tagasivõtmise võimaldamiseks peaksid e-posti teel otseturundusteadaandeid saatvad juriidilised ja füüsilised isikud lisama lingi või kehtiva elektronposti aadressi, mida lõppkasutajad saavad kasutada oma nõusoleku tagasivõtmiseks. Häälkõnede ja automatiseeritud numbrivalimis- ja sidesüsteemide abil otseturundusteadaandeid edastavad juriidilised ja füüsilised isikud peaksid kuvama liini numbri, millel saab ettevõttele helistada, või lisama oma numbrile konkreetse koodi, mis näitab, et tegemist on turundusliku kõnega.

(36)Kui otseturundusliku häälkõne puhul ei kasutata automatiseeritud numbrivalimis- ja sidesüsteeme, on need saatja jaoks kulukamad ega tekita lõppkasutajatele mingeid rahalisi kulusid. Liikmesriikidel peaks seega olema võimalik luua ja/või hoida töös riiklikke süsteeme, mis lubavad selliseid kõnesid ainult neile lõppkasutajatele, kes ei ole nende saamisest keeldunud.

(37)Elektroonilise side teenuste osutajad peaksid teavitama lõppkasutajaid meetmetest, mida nad saavad võtta oma side turvalisuse kaitsmiseks, näiteks kasutades konkreetset liiki tarkvara või krüpteerimistehnoloogiat. Nõue teavitada lõppkasutajaid konkreetsetest turvaohtudest ei vabasta teenuseosutajat kohustusest võtta omal kulul viivitamata asjakohaseid meetmeid, et kõrvaldada võimalikud uued ja ettenägematud turvariskid ning taastada teenuse turvalisuse tavapärane tase. Teave turvariskide kohta tuleks abonendile esitada tasuta. Turvalisust hinnatakse kooskõlas määruse (EL) 2016/679 artikliga 32.

(38)Täieliku järjepidevuse tagamiseks määrusega (EL) 2016/679 tuleks anda käesoleva määruse sätete täitmise tagamine ülesandeks määruse (EL) 2016/679 sätete täitmise tagamise eest vastutavatele ametiasutustele ning käesolev määrus tugineb määruse (EL) 2016/679 järjepidevuse mehhanismile. Liikmesriikidele peaks olema võimalik omada rohkem kui ühte järelevalveasutust, et see oleks kooskõlas riigi põhiseaduse ning organisatsioonilise ja haldusstruktuuriga. Järelevalveasutused peaksid samuti vastutama käesoleva määruse kohaldamise järelevalve eest juriidiliste isikute elektroonilise side andmete puhul. Sellised lisaülesanded ei tohiks seada ohtu järelevalveasutuse suutlikkust täita oma ülesandeid, mis on seotud isikuandmete kaitsega määruse (EL) 2016/679 ja käesoleva määruse alusel. Igale järelevalveasutusele tuleks tagada täiendavad rahalised vahendid ja töötajad, ruumid ja taristu, mis on vajalikud nende käesolevast määrusest tulenevate ülesannete tulemuslikuks täitmiseks.

(39)Igal järelevalveasutusel peaks olema oma liikmesriigi territooriumil pädevus kasutada käesoleva määrusega antud volitusi ja täita selles sätestatud ülesandeid. Käesoleva määruse järjepideva järelevalve ja täitmise tagamiseks kogu Euroopa Liidus peaks järelevalveasutustel olema igas liikmesriigis samad ülesanded ja volitused juhtida õigusasutuste tähelepanu käesoleva määruse rikkumistele ja osaleda kohtumenetluses ilma, et see piiraks süüdistuse ettevalmistamise eest vastutavate asutuste siseriiklike õigusaktide kohaseid volitusi. Liikmesriike ja nende järelevalveasutusi julgustatakse võtma käesoleva määruse kohaldamisel arvesse mikro-, väikeste ja keskmise suurusega ettevõtjate erivajadusi.

(40)Käesoleva määruse õigusnormide täitmise tagamise tugevdamiseks peaks igal järelevalveasutusel olema volitus määrata käesoleva määruse mis tahes rikkumise eest karistusi, sealhulgas haldustrahve, lisaks muudele käesoleva määruse kohaselt võetavatele asjakohastele meetmetele või nende asemel. Käesolevas määruses tuleks loetleda rikkumised, sätestada asjakohaste haldustrahvide ülemmäär ja nende määramise kriteeriumid, mille üle peaks iga juhtumi puhul eraldi otsustama pädev järelevalveasutus, võttes arvesse konkreetse olukorra kõiki asjakohaseid asjaolusid, pidades eelkõige silmas rikkumise laadi, raskusastet, ajalist kestvust ja tagajärgi ning meetmeid, mis võetakse käesoleva määruse kohaste kohustuste täitmise tagamiseks ja rikkumise tagajärgede vältimiseks või leevendamiseks. Käesoleva määruse alusel trahvi määramise puhul tuleks ettevõtjana käsitada ettevõtjat Euroopa Liidu toimimise lepingu artiklite 101 ja 102 tähenduses.

(41)Selleks et täita käesoleva määruse eesmärke, st kaitsta füüsiliste isikute põhiõigusi ja -vabadusi, eelkõige nende õigust isikuandmete kaitsele, ja tagada liidus isikuandmete vaba liikumine, tuleks komisjonile anda Euroopa Liidu toimimise lepingu artikli 290 kohane õigus võtta vastu delegeeritud õigusakte käesoleva määruse täiendamiseks. Delegeeritud õigusaktid tuleks vastu võtta eeskätt seoses esitatava teabega, muu hulgas standardikoonidena, et anda kergesti märgatav ja arusaadav ülevaade lõppseadmest eetrisse antava teabe kogumise, selle otstarbe, selle eest vastutava isiku ja mis tahes meetme kohta, mida lõppseadme kasutaja saab võtta teabe kogumise minimeerimiseks. Delegeeritud õigusaktid on vajalikud ka selleks, et määrata kindlaks otseturunduslike kõnede, sealhulgas automatiseeritud numbrivalimis- ja sidesüsteemide kaudu tehtavate kõnede identifitseerimist võimaldav kood. On eriti oluline, et komisjon korraldaks asjakohaseid konsultatsioone ja et need konsultatsioonid toimuksid vastavalt põhimõtetele, mis on sätestatud 13. aprilli 2016. aasta institutsioonidevahelises parema õigusloome kokkuleppes 25 . Eelkõige selleks, et tagada võrdne osalemine delegeeritud õigusaktide ettevalmistamises, saavad Euroopa Parlament ja nõukogu kõik dokumendid liikmesriikide ekspertidega samal ajal ning nende ekspertidel on pidev juurdepääs komisjoni eksperdirühmade koosolekutele, kus arutatakse delegeeritud õigusaktide ettevalmistamist. Et tagada ühetaolised tingimused käesoleva määruse rakendamiseks, tuleks komisjonile anda ka käesolevas määruses sätestatud rakendusvolitused. Neid volitusi tuleks teostada kooskõlas määrusega (EL) nr 182/2011.

(42)Kuna käesoleva määruse eesmärki, st tagada kogu liidus füüsiliste ja juriidiliste isikute kaitse samaväärne tase ja elektroonilise side andmete vaba liikumine, ei suuda liikmesriigid piisavalt saavutada, küll aga saab seda selle ulatuse ja toime tõttu paremini saavutada liidu tasandil, võib liit võtta meetmeid kooskõlas Euroopa Liidu lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Nimetatud artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev määrus nimetatud eesmärgi saavutamiseks vajalikust kaugemale.

(43)Direktiiv 2002/58/EÜ tuleks kehtetuks tunnistada,

ON VASTU VÕTNUD KÄESOLEVA MÄÄRUSE:

I PEATÜKK
ÜLDSÄTTED

Artikkel 1
Reguleerimisese

1.Käesoleva määrusega kehtestatakse füüsiliste ja juriidiliste isikute põhiõiguste kaitse õigusnormid elektroonilise side teenuste pakkumisel ja kasutamisel ning eelkõige eraelu ja side puutumatuse õigused ja füüsiliste isikute kaitse isikuandmete töötlemisel.

2.Käesoleva määrusega tagatakse elektroonilise side andmete ja elektroonilise side teenuste vaba liikumine Euroopa Liidus, mida ei tohi piirata ega keelata põhjustel, mis on seotud füüsiliste ja juriidiliste isikute eraelu puutumatuse ning füüsiliste isikute kaitsega isikuandmete töötlemisel.

3.Käesoleva määruse sätetega täpsustatakse ja täiendatakse määrust (EL) 2016/679, kehtestades konkreetsed õigusnormid lõigetes 1 ja 2 nimetatud otstarbel.

Artikkel 2
Sisuline kohaldamisala

1.Käesolevat määrust kohaldatakse elektroonilise side andmete töötlemise suhtes, mis toimub seoses elektroonilise side teenuste osutamise ja kasutamisega, ning lõppkasutajate lõppseadmetega seotud teabe suhtes.

2.Käesolevat määrust ei kohaldata

(a)tegevuse suhtes, mis jääb väljapoole Euroopa Liidu õiguse kohaldamisala;

(b)liikmesriikide tegevuse suhtes, mis jääb Euroopa Liidu lepingu V jaotise 2. peatüki kohaldamisalasse;

(c)elektroonilise side teenuste suhtes, mis ei ole üldkasutatavad;

(d)pädevate asutuste tegevuse suhtes, mis toimub kuritegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende vältimise eesmärgil.

3.Elektroonilise side andmete töötlemist Euroopa Liidu institutsioonides, organites ja asutustes reguleerib määrus (EL) 00/0000 [uus määrus, millega asendatakse määrus 45/2001].

4.Käesolevat määrust kohaldatakse, ilma et see piiraks direktiivi 2000/31/EÜ 26 ja eelkõige selle direktiivi artiklites 12 kuni 15 sätestatud vahendajatest teenuseosutajate vastutust käsitlevate õigusnormide kohaldamist.

5.Käesolevat määrust kohaldatakse, ilma et see piiraks direktiivi 2014/53/EL sätete kohaldamist.

Artikkel 3
Territoriaalne kohaldamisala ja esindaja

1.Käesoleva määruse kohaldamisalasse kuuluvad

(a)lõppkasutajatele elektroonilise side teenuste osutamine Euroopa Liidus, olenemata sellest, kas lõppkasutaja peab teenuste eest tasuma;

(b)kõnealuste teenuste kasutamine;

(c)Euroopa Liidus asuvate lõppkasutajate lõppseadmetega seotud teabe kaitse.

2.Kui elektroonilise side teenuse osutaja ei asu Euroopa Liidus, siis nimetab ta kirjalikult oma esindaja Euroopa Liidus.

3.Esindaja peab asuma ühes liikmesriigis, kus asuvad selliste elektroonilise side teenuste lõppkasutajad.

4.Esindajal on õigus vastata lisaks esindatavale teenuseosutajale või tema asemel eelkõige järelevalveasutuste ja lõppkasutajate küsimustele ja anda neile teavet kõigi elektroonilise side andmete töötlemisega seotud teemade kohta, et tagada vastavus käesoleva määruse nõuetele.

5.Esindaja nimetamine vastavalt lõikele 2 toimub, ilma et see piiraks kohtumenetlusi, mis võidakse algatada füüsilise või juriidilise isiku vastu, kes töötleb elektroonilise side andmeid seoses elektroonilise side teenuste osutamisega väljastpoolt Euroopa Liitu Euroopa Liidus asuvatele lõppkasutajatele.

Artikkel 4
Mõisted

1.Käesolevas määruses kasutatakse järgmisi mõisteid:

(a)määruse (EL) 2016/679 mõisted;

(b)vastavalt [direktiivi (millega kehtestatakse Euroopa elektroonilise side seadustik)] artikli 2 punktides 1, 4, 5, 6, 7, 14 ja 21 esitatud mõisted „elektroonilise side võrk“, „elektroonilise side teenus“, „isikutevahelise side teenus“, „numbripõhine isikutevahelise side teenus“, „numbrivaba isikutevahelise side teenus“, „lõppkasutaja“ ja „kõne“;

(c)komisjoni direktiivi 2008/63/EÜ 27 artikli 1 punktis 1 esitatud mõiste „lõppseade“.

2.Lõike 1 punktis b esitatud mõiste „isikutevahelise side teenus“ hõlmab teenuseid, mis võimaldavad isikutevahelist interaktiivset suhtlust teise teenusega olemuslikult seotud väikse lisafunktsioonina.

3.Lisaks kasutatakse käesolevas määruses järgmisi mõisteid:

(a)„elektroonilise side andmed“ – elektroonilise side sisu ja elektroonilise side metaandmed;

(b)„elektroonilise side sisu“ – elektroonilise side teenuste abil vahetatav infosisu, näiteks tekst, kõne, videod, kujutised ja heli;

(c)„elektroonilise side metaandmed“ – elektroonilise side võrgus elektroonilise side sisu edastamiseks, levitamiseks või vahetamiseks töödeldavad andmed, sealhulgas andmed, mida kasutatakse side lähte- ja sihtkoha jälitamiseks ja kindlaks tegemiseks, elektroonilise side teenuste osutamise kontekstis tekitatud andmed seadme asukoha kohta ning side toimumise kuupäev, kellaaeg, kestus ja liik;

(d)„üldkasutatav kataloog“ – trükitud või elektrooniline kataloog elektroonilise side teenuste lõppkasutajate kohta, mis avaldatakse või tehakse üldsusele või selle osale kättesaadavaks, sealhulgas numbriinfoteenuse kaudu;

(e)„elektronpost“ – mis tahes elektrooniline sõnum, mis sisaldab sellist teavet nagu tekst, kõne, video, heli või kujutis, mis on saadetud elektroonilise side võrgus ja mille saab salvestada võrku või sellega seotud arvutiseadmesse või selle saaja lõppseadmesse;

(f)„otseturundusteadaanne“ – mis tahes kujul kirjalik või suuline reklaam, mis saadetakse ühele või mitmele elektroonilise side teenuse kindlakstehtud või kindlakstehtavale lõppkasutajale, sealhulgas inimsekkumist vajavate või mittevajavate automatiseeritud numbrivalimis- ja sidesüsteemide kasutamine, elektronpost, SMS jms;

(g)„otseturunduse häälkõned“ – reaalajas tehtavad kõned, mille puhul ei kasutata automatiseeritud numbrivalimis- ja sidesüsteeme;

(h)„automatiseeritud numbrivalimis- ja sidesüsteemid“ – süsteemid, mis on suutelised automaatselt algatama kõne ühele või mitmele vastuvõtjale kooskõlas süsteemile antud juhistega ning edastama heli, mille puhul ei ole tegemist reaalajas kõnega, sealhulgas automatiseeritud numbrivalimis- ja sidesüsteemid, mis ühendavad kõne vastuvõtja reaalse inimesega.

II PEATÜKK
FÜÜSILISTE JA JURIIDILISTE ISIKUTE ELEKTROONILISE SIDE NING NENDE LÕPPSEADMETESSE SALVESTATUD TEABE KAITSE

Artikkel 5
Elektroonilise side andmete konfidentsiaalsus

Elektroonilise side andmed on konfidentsiaalsed. Elektroonilise side andmetega seotud mis tahes sekkumised, näiteks kuulamine, pealtkuulamine, salvestamine, seire, skannimine või muud liiki infopüük, järelevalve või töötlemine muude isikute kui lõppkasutajate poolt on keelatud, välja arvatud käesoleva määrusega lubatud juhtudel.

Artikkel 6
Elektroonilise side andmete lubatud töötlemine

1.Elektroonilise side võrkude pakkujad ja teenuste osutajad võivad töödelda elektroonilise side andmeid järgmistel juhtudel:

(a)kui see on vajalik side edastamiseks, siis selleks vajaliku aja vältel, või

(b)kui see on vajalik elektroonilise side võrkude ja teenuste turvalisuse säilitamiseks või taastamiseks või tehniliste tõrgete ja/või vigade tuvastamiseks elektroonilise side edastuses, siis selleks vajaliku aja vältel.

2.Elektroonilise side teenuste osutajad võivad töödelda elektroonilise side metaandmeid järgmistel juhtudel:

(a)kui see on vajalik teenuse kvaliteedi kohustuslike nõuete täitmiseks vastavalt [direktiivile, millega kehtestatakse Euroopa elektroonilise side seadustik,] või määrusele (EL) 2015/2120 28 , siis selleks vajaliku aja vältel, või

(b)kui see on vajalik arveldamiseks, sidumistasude arvutamiseks või elektroonilise side teenuste pettusliku või kuritarvitava kasutamise või tellimise tuvastamiseks või peatamiseks või

(c)kui asjaomane lõppkasutaja on andnud oma nõusoleku oma side metaandmete töötlemiseks ühel või mitmel kindlaks määratud otstarbel, sealhulgas kõnealustele lõppkasutajatele konkreetsete teenuste osutamiseks, kui seda eesmärki või neid eesmärke ei saa saavutada anonüümitud teabe töötlemisega.

3.Elektroonilise side teenuste osutajad võivad töödelda elektroonilise side sisu üksnes järgmistel juhtudel:

(a)ainult lõppkasutajale konkreetse teenuse osutamiseks, kui asjaomane lõppkasutaja või asjaomased lõppkasutajad on andnud nõusoleku oma elektroonilise side sisu töötlemiseks ja kõnealuse teenuse osutamine ei ole võimalik ilma sellist sisu töötlemata, või

b)kui kõik asjaomased lõppkasutajad on andnud nõusoleku oma elektroonilise side sisu töötlemiseks ühel või mitmel kindlaks määratud eesmärgil, mida ei saa saavutada anonüümitud teabe töötlemisega, ja kui teenuseosutaja on konsulteerinud järelevalveasutusega. Järelevalveasutusega konsulteerimise suhtes kohaldatakse määruse (EL) 2016/679 artikli 36 lõikeid 2 ja 3.

Artikkel 7
Elektroonilise side andmete salvestamine ja kustutamine

1.Ilma et see piiraks artikli 6 lõike 1 punkti b ja artikli 6 lõike 3 punktide a ja b kohaldamist, kustutab elektroonilise side teenuse osutaja elektroonilise side sisu või anonüümib need andmed pärast seda, kui elektroonilise side sisu on selle ette nähtud saajale või saajatele laekunud. Kõnealuseid andmeid võivad registreerida või salvestada lõppkasutajad või kolmandad isikud, kellele on antud kõnealuste andmete registreerimise, salvestamise või muul viisil töötlemise õigus kooskõlas määrusega (EL) 2016/679.

2.Ilma et see piiraks artikli 6 lõike 1 punkti b ja artikli 6 lõike 2 punktide a ja c kohaldamist, kustutab elektroonilise side teenuse osutaja elektroonilise side metaandmed või anonüümib need andmed pärast seda, kui need ei ole enam side edastamise jaoks vajalikud.

3.Kui elektroonilise side metaandmete töötlemine toimub arveldamise eesmärgil kooskõlas artikli 6 lõike 2 punktiga b, siis võib asjakohaseid metaandmeid säilitada kuni selle ajavahemiku lõpuni, mille vältel võib arve seaduslikult vaidlustada või võib riigi õiguse kohaselt nõuda selle tasumist.

Artikkel 8
Lõppkasutaja lõppseadmesse salvestatud ja lõppseadmega seotud teabe kaitse

1.Lõppseadme töötlemis- ja salvestamisfunktsioonide kasutamine ning lõppkasutaja lõppseadmest teabe kogumine, sealhulgas selle tarkvara ja riistvara kohta on keelatud, kui seda ei tee asjaomane lõppkasutaja ise, välja arvatud järgmistel alustel:

(a)selle ainus eesmärk on elektroonilise side edastamine elektroonilise side võrgus või

(b)lõppkasutaja on andnud selleks oma nõusoleku või

(c)see on vajalik lõppkasutaja soovitud infoühiskonna teenuse osutamiseks või

(d)see on vajalik veebis külastajate arvu mõõtmiseks, kui kõnealust mõõtmist teostab lõppkasutaja soovitud infoühiskonna teenuse osutaja.

2.Keelatud on koguda teavet, mida lõppseade annab eetrisse selleks, et luua ühendus teise seadme ja/või võrguseadmega, välja arvatud järgmistel juhtudel:

(a)see toimub ainult ühenduse loomiseks ja selleks vajaliku aja vältel või

(b)nähtaval kohal kuvatakse selget teavet vähemalt andmete kogumise viiside, otstarbe ja selle eest vastutava isiku kohta ning muud määruse (EL) 2016/679 artiklis 13 nõutud teavet, kui kogutakse isikuandmeid, ning samuti teavet mis tahes meetmete kohta, mida lõppseadme lõppkasutaja saab võtta teabe kogumise peatamiseks või minimeerimiseks.

Sellise teabe kogumise eeltingimus on riskidega kooskõlas oleva turvalisuse taseme tagamiseks asjakohaste tehniliste ja korralduslike meetmete võtmine, nagu on sätestatud määruse (EL) 2016/679 artiklis 32.

3.Vastavalt lõike 2 punktile b esitatava teabe võib esitada koos standardikoonidega, et anda kergesti märgatav, arusaadav ja loetav sisuline ülevaade teabe kogumisest.

4.Komisjonile antakse õigus võtta vastavalt artiklile 27 vastu delegeeritud õigusakte, et määrata kindlaks standardikoonidega esitatav teave ja standardikoonide esitamise kord.

Artikkel 9
Nõusolek

1.Kohaldatakse määruse (EL) 2016/679 artikli 4 punktis 11 ja artiklis 7 sätestatud nõusoleku mõistet ja nõusoleku andmise tingimusi.

2.Ilma et see piiraks lõike 1 kohaldamist võib juhul, kui see on tehniliselt võimalik ja otstarbekas, anda artikli 8 lõike 1 punkti b otstarbel nõusoleku, kasutades internetile juurdepääsu võimaldava tarkvararakenduse asjakohaseid tehnilisi seadeid.

3.Lõppkasutajatele, kes on andnud nõusoleku elektroonilise side andmete töötlemiseks, nagu on sätestatud artikli 6 lõike 2 punktis c ja artikli 6 lõike 3 punktides a ja b, antakse võimalus oma nõusolek igal ajal tagasi võtta, nagu on sätestatud määruse (EL) 2016/679 artikli 7 lõikes 3, ning kuni töötlemine toimub, tuletatakse neile seda võimalust iga kuue kuu tagant meelde.

Artikkel 10
Pakutavate privaatsusseadete variandid ja neid käsitlev teave

1.Elektroonilist sidet, sealhulgas internetis teabe hankimist ja kuvamist võimaldav turule lastud tarkava pakub võimalust keelata kolmandal isikul lõppkasutaja lõppseadmesse teabe salvestamine või juba lõppseadmesse salvestatud teabe töötlemine.

2.Installimise ajal annab tarkvara lõppkasutajale teada, millised on privaatsusseadete võimalused, ning installimise jätkamiseks peab lõppkasutaja nõustuma ühe seade kasutamisega.

3.25. mai 2018. aasta seisuga juba installitud tarkvara puhul tuleb lõigetega 1 ja 2 kehtestatud nõuded täita esimese tarkvarauuenduse ajal, aga hiljemalt 25. augustil 2018.

Artikkel 11
Piirangud

1.Euroopa Liidu või liikmesriigi õigus võib piirata õigusmeetme abil artiklites 5–8 sätestatud kohustuste ja õiguste ulatust, kui sellise piirangu puhul austatakse põhiõiguste ja -vabaduste olemust ning see on vajalik, asjakohane ja proportsionaalne meede demokraatlikus ühiskonnas ühe või mitme üldise avaliku huvi kaitsmiseks, millele on osutatud määruse (EL) 2016/679 artikli 23 lõike 1 punktides a–e, või jälgimise, kontrolli või regulatiivsete ülesannete täitmiseks, mis on seotud avaliku võimu teostamisega selliste huvide jaoks.

2.Elektroonilise side teenuste osutajad võtavad kasutusele asutusesisesed menetlused, et reageerida taotlustele saada juurdepääs lõppkasutajate elektroonilise side andmetele lõike 1 kohaselt vastu võetud õigusliku meetme alusel. Vastava taotluse korral esitavad nad pädevale järelevalveasutusele teabe asjaomase korra, saabunud taotluste arvu, viidatud õigusliku aluse ja oma vastuse kohta.

III PEATÜKK
FÜÜSILISTE JA JURIIDILISTE ISIKUTE ÕIGUSED ELEKTROONILISE SIDE KONTROLLIMISEKS

Artikkel 12
Helistaja ja vastuvõtja liini numbrinäidu edastamine ja selle piiramine

1.Kui kooskõlas [direktiivi (millega kehtestatakse Euroopa elektroonilise side seadustik)] artikliga [107] pakutakse helistaja ja vastuvõtja liini numbrinäidu edastamist, siis tagavad üldkasutatava numbripõhise isikutevahelise side teenuste osutajad järgmise:

(a)helistaval lõppkasutajal on võimalik takistada enda liini numbrinäidu edastamist kõne või ühenduse alusel või alaliselt;

(b)vastuvõtval lõppkasutajal on võimalik takistada saabuvate kõnede helistaja liini numbrinäidu edastamist;

(c)vastuvõtval lõppkasutajal on võimalik keelduda sissetulevatest kõnedest, kui helistav lõppkasutaja on keelanud oma liini numbrinäidu edastamise;

(d)vastuvõtval lõppkasutajal on võimalik takistada vastuvõtja liini numbrinäidu edastamist helistavale lõppkasutajale.

2.Lõike 1 punktides a, b, c, ja d osutatud võimalused antakse lõppkasutajatele lihtsal viisil ja tasuta.

3.Lõike 1 punkti a kohaldatakse ka Euroopa Liidust kolmandatesse riikidesse tehtavate kõnede suhtes. Lõike 1 punkte b, c ja d kohaldatakse ka kolmandatest riikidest saabuvate kõnede suhtes.

4.Kui pakutakse helistaja või vastuvõtja liini numbrinäidu edastamist, siis esitavad üldkasutatava numbripõhise isikutevahelise side teenuste osutajad üldsusele teabe lõike 1 punktides a, b, c ja d esitatud variantide kohta.

Artikkel 13
Helistaja ja vastuvõtja liini numbrinäidu edastamise ja selle piiramise erandid

1.Kui helistatakse hädaabiteenistustele, tühistavad üldkasutatava numbripõhise isikutevahelise side teenuste osutajad helistaja liini numbrinäidu edastamise keelu ja eiravad lõppkasutaja metaandmete töötlemisest keeldumist või tema nõusoleku puudumist liinipõhiselt hädaabi sidega tegelevate organisatsioonide puhul, sealhulgas häirekeskuste puhul, et sellisele sidele vastata olenemata sellest, kas helistav lõppkasutaja on keelanud oma liini numbrinäidu edastamise.

2.Liikmesriigid kehtestavad konkreetsemad sätted menetluste kasutuselevõtu ja asjaolude kohta, mille korral üldkasutatava numbripõhise isikutevahelise side teenuste osutajad tühistavad ajutiselt helistaja liini numbrinäidu edastamise keelamise, kui lõppkasutaja taotleb pahatahtlike või häirivate kõnede puhul helistaja kindlaks tegemist.

Artikkel 14
Sissetuleva kõne blokeerimine

Üldkasutatava numbripõhise isikutevahelise side teenuste osutajad kasutavad kõrgel tehnilisel tasemel meetmeid, et piirata soovimatute kõnede vastuvõtmist lõppkasutajate poolt, ja annavad vastuvõtvale lõppkasutajale tasuta järgmised võimalused:

(a)blokeerida konkreetsetelt numbritelt või anonüümsetest allikatest sissetulevad kõned;

(b)peatada kolmandate isikute kõnede automaatne suunamine lõppkasutaja lõppseadmesse.

Artikkel 15
Üldkasutatavad kataloogid

1.Üldkasutatavate kataloogide pakkujad peavad saama füüsilisest isikust lõppkasutaja nõusoleku, et lisada nende isikuandmed kataloogi, ja seega peavad nad saama nende lõppkasutajate nõusoleku andmete lisamiseks isikuandmete kategooriate kaupa, kui sellised andmed on asjakohased kataloogi otstarbe jaoks, mille on määranud kindlaks kataloogi tagaja. Kataloogi pakkujad peavad andma füüsilisest isikust lõppkasutajatele võimaluse selliseid andmeid kontrollida, parandada ja kustutada.

2.Üldkasutatavate kataloogide pakkujad teavitavad füüsilisest isikust lõppkasutajaid, kelle isikuandmed on kataloogis, kataloogi võimalikest otsingufunktsioonidest ning saavad lõppkasutajate nõusoleku enne, kui selliseid otsingufunktsioone saab nende andmete puhul kasutada.

3.Üldkasutatavate kataloogide pakkujad annavad juriidilisest isikust lõppkasutajatele võimaluse keelduda nendega seotud andmete lisamisest kataloogi. Kataloogi pakkujad peavad andma juriidilisest isikust lõppkasutajatele võimaluse kõnealuseid andmeid kontrollida, parandada ja kustutada.

4.Võimalus vältida üldkasutatavasse kataloogi lisamist või kontrollida, parandada ja kustutada endaga seotud mis tahes andmeid, antakse lõppkasutajale tasuta.

Artikkel 16
Mittetellitud teadaanded

1.Füüsilised või juriidilised isikud võivad kasutada elektroonilise side teenuseid, et saata otseturundusteadaandeid füüsilisest isikust lõppkasutajatele, kes on andnud selleks oma nõusoleku.

2.Kui füüsiline või juriidiline isik saab oma kliendi elektronposti elektroonilised kontaktandmed toote või teenuse müügi kontekstis kooskõlas määrusega (EL) 2016/679, siis võib kõnealune füüsiline või juriidiline isik kasutada neid elektroonilisi kontaktandmeid oma sarnaste toodete või teenuste otseturunduseks ainult juhul, kui klientidele antakse selge ja otsene võimalus sellisest kasutusest tasuta ja lihtsasti keelduda. Keeldumise õigus antakse teabe kogumise ajal ja iga kord, kui saadetakse sõnum.

3.Ilma et see piiraks lõigete 1 ja 2 kohaldamist, peavad füüsilised ja juriidilised isikud, kes kasutavad otseturunduslike kõnede tegemiseks elektroonilise side teenuseid, tegema järgmist:

(a)esitavad selle liini numbri, mille kaudu saab nendega ühendust võtta, või

(b)esitavad konkreetse koodi ja/või eesliite, mis näitab, et tegemist on turundusliku kõnega.

4.Ilma et see piiraks lõike 1 kohaldamist, võivad liikmesriigid oma õiguses sätestada, et füüsilisest isikust lõppkasutajatele lubatakse otseturunduslike häälkõnede tegemist ainult juhul, kui asjaomane füüsilisest isikust lõppkasutaja ei ole keeldunud kõnealuste teadaannete saamisest.

5.Liikmesriigid tagavad Euroopa Liidu õiguse ja kohaldatavate riiklike õigusaktide raames, et juriidilisest isikust lõppkasutajate õigustatud huvi seoses lõikes 1 sätestatud viisil saadetavate soovimatute teadaannetega on piisavalt kaitstud.

6.Iga füüsiline või juriidiline isik, kes kasutab elektroonilise side teenuseid otseturundusteadaannete edastamiseks, teavitab lõppkasutajaid sellest, et teadaande puhul on tegemist turundusega, ja sellest, millise juriidilise või füüsilise isiku nimel teadaanne edastatakse, ning esitab saajatele vajaliku teabe, et nad saaksid kasutada oma õigust võtta lihtsasti tagasi oma nõusolek saada edaspidi turundusteadaandeid.

7.Komisjonil on õigus võtta vastavalt artikli 26 lõikele 2 rakendusmeetmeid, millega määratakse kindlaks turunduslike kõnede kindlaks tegemiseks kasutatav kood või eesliide vastavalt lõike 3 punktile b.

Artikkel 17
Teave tuvastatud turvariskide kohta

Kui konkreetne risk võib seada ohtu võrkude ja elektroonilise side teenuste turvalisuse, teavitab elektroonilise side teenuse osutaja lõppkasutajaid sellisest riskist ja, kui risk jääb väljapoole teenuseosutaja võetavate meetmete ulatust, mis tahes võimalikest parandusmeetmetest, sealhulgas nende võtmise tõenäolisest kulust.

IV PEATÜKK
SÕLTUMATUD JÄRELEVALVEASUTUSED JA TÄITMISE TAGAMINE

Artikkel 18
Sõltumatud järelevalveasutused

1.Määruse (EL) 2016/679 kohaldamise järelevalve eest vastutavad sõltumatud järelevalveasutused vastutavad ka käesoleva määruse kohaldamise järelevalve eest. Määruse (EL) 2016/679 VI ja VII peatükki kohaldatakse mutatis mutandis. Järelevalveasutustele antud ülesandeid ja volitusi rakendatakse lõppkasutajate suhtes.

2.Lõikes 1 osutatud järelevalveasutused teevad vajaduse korral alati koostööd riigi reguleerivate asutustega, mis on loodud vastavalt [direktiivile, millega kehtestatakse Euroopa elektroonilise side seadustik].

Artikkel 19
Euroopa Andmekaitsenõukogu

Määruse (EL) 2016/679 artikli 68 alusel loodud Euroopa Andmekaitsenõukogul on pädevus tagada käesoleva määruse järjepidev kohaldamine. Selleks täidab Euroopa Andmekaitsenõukogu määruse (EL) 2016/679 artikliga 70 kehtestatud ülesandeid. Euroopa Andmekaitsenõukogu ülesanded on järgmised:

(a)nõustada komisjoni käesoleva määruse võimalike muudatuste kohta;

(b)vaadata omal algatusel või mõne oma liikme või komisjoni taotlusel läbi käesoleva määruse kohaldamist käsitlevad küsimused ning anda käesoleva määruse järjepideva kohaldamise tagamiseks välja suuniseid, soovitusi ja parimaid tavasid.

Artikkel 20
Koostöö ja järjepidevuse menetlused

Iga järelevalveasutus annab panuse käesoleva määruse järjepideva kohaldamise tagamiseks kogu liidus. Selleks teevad järelevalveasutused käesoleva määrusega hõlmatud küsimustes koostööd üksteisega ja komisjoniga vastavalt määruse (EL) 2016/679 VII peatükile.

V PEATÜKK
ÕIGUSKAITSEVAHENDID, VASTUTUS JA KARISTUSED

Artikkel 21
Õiguskaitsevahendid

1.Ilma et see piiraks mis tahes muude haldus- või õiguskaitsevahendite kasutamist, saab iga elektroonilise side teenuste lõppkasutaja kasutada määruse (EL) 2016/679 artiklites 77, 78 ja 79 sätestatud õiguskaitsevahendeid.

2.Igal füüsilisel või juriidilisel isikul, kes ei ole lõppkasutaja, keda kahjustab käesoleva määruse rikkumine ja kellel on õigustatud huvi seoses väidetavate rikkumiste peatamise või keelamisega, sealhulgas oma õigustatud ärihuve kaitsval elektroonilise side teenuste osutajal, on õigus alustada kõnealuste rikkumistega seoses kohtumenetlust.

Artikkel 22
Õigus hüvitisele ja vastutus

Igal elektroonilise side teenuste lõppkasutajal, kes on kandnud käesoleva määruse rikkumise tõttu materiaalset või mittemateriaalset kahju, on õigus saada rikkujalt hüvitist tekitatud kahju eest, välja arvatud juhul, kui rikkuja tõendab, et ei ole mingil viisil vastutav kahju põhjustanud sündmuse eest, kooskõlas määruse (EL) 2016/679 artikliga 82.

Artikkel 23
Haldustrahvide määramise üldtingimused

1.Käesoleva artikli kohaldamisel kohaldatakse käesoleva määruse rikkumiste suhtes määruse (EL) 2016/679 VII peatükki.

2.Kooskõlas lõikega 1 määratakse käesoleva määruse järgmiste sätete rikkumise eest haldustrahv, mille suurus on kuni 10 000 000 eurot või ettevõtja puhul kuni 2 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem:

(a)elektroonilise side andmeid töötleva juriidilise või füüsilise isiku kohustused vastavalt artiklile 8;

(b)elektroonilist sidet võimaldava tarkvara pakkuja kohustused vastavalt artiklile 10;

(c)üldkasutatavate kataloogide pakkujate kohustused vastavalt artiklile 15;

(d)elektroonilise side teenuseid kasutava juriidilise või füüsilise isiku kohustused vastavalt artiklile 16.

3.Artiklites 5, 6 ja 7 käsitletud side konfidentsiaalsuse ja elektroonilise side andmete lubatud töötlemise põhimõtete ning andmete kustutamise tähtaegade rikkumise eest määratakse vastavalt käesoleva artikli lõikele 1 haldustrahv, mille suurus on kuni 20 000 000 eurot või ettevõtja puhul kuni 4 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.

4.Liikmesriigid kehtestavad õigusnormid artiklite 12, 13, 14 ja 17 sätete rikkumise eest määratavate karistuste kohta.

5.Artiklis 18 osutatud järelevalveasutuse korralduse täitmata jätmise korral määratakse haldustrahv, mille suurus on kuni 20 000 000 eurot või ettevõtja puhul kuni 4 % tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.

6.Ilma et see piiraks artiklis 18 osutatud järelevalveasutuste parandusvolitusi, võib iga liikmesriik näha ette õigusnormid selle kohta, kas ja millises ulatuses võib määrata haldustrahve selles liikmesriigis asutatud avaliku sektori asutustele ja organitele.

7.Järelevalveasutuse käesoleva artikli kohaste volituste kasutamise suhtes kohaldatakse vastavalt liidu ja liikmesriigi õigusele asjakohaseid menetluslikke kaitsemeetmeid, sealhulgas tulemuslikke õiguskaitsevahendeid ja nõuetekohaseid menetlusi.

8.Kui liikmesriigi õigussüsteemis ei ole haldustrahve ette nähtud, võib käesolevat artiklit kohaldada sellisel viisil, et trahvi algatab pädev järelevalveasutus ning selle määravad pädevad riiklikud kohtud, tagades seejuures, et need õiguskaitsevahendid on tulemuslikud ja järelevalveasutuste määratud haldustrahvidega samaväärse mõjuga. Igal juhul peavad määratavad trahvid olema tõhusad, proportsionaalsed ja heidutavad. Need liikmesriigid teavitavad komisjoni käesoleva lõike kohaselt vastuvõetavatest õigusnormidest hiljemalt [xxx] ning teatavad viivitamata kõigist hilisematest neid õigusnorme mõjutavatest muutmise seadustest või muudatustest.

Artikkel 24
Karistused

1.Liikmesriigid kehtestavad käesoleva määruse rikkumiste korral kohaldatavad karistusnormid, eelkõige seoses selliste rikkumistega, mille korral ei määrata haldustrahvi vastavalt artiklile 23, ning võtavad kõik vajalikud meetmed, et tagada nende normide rakendamine. Sellised karistused peavad olema tõhusad, proportsionaalsed ja heidutavad.

2.Iga liikmesriik teavitab komisjoni vastavalt lõikele 1 vastu võetud õigusnormidest hiljemalt 18 kuud pärast artikli 29 lõikes 2 nimetatud kuupäeva ning teatab viivitamata kõigist hilisematest muudatustest, mis neid mõjutavad.

VI PEATÜKK
DELEGEERITUD ÕIGUSAKTID JA RAKENDUSAKTID

Artikkel 25
Delegeeritud volituste rakendamine

1.Komisjonile antakse õigus võtta vastu delegeeritud õigusakte käesolevas artiklis sätestatud tingimustel.

2.Artikli 8 lõikes 4 nimetatud delegeeritud õigusaktide vastuvõtmise õigus antakse komisjonile määramata ajaks alates [käesoleva määruse jõustumise kuupäevast].

3.Euroopa Parlament või nõukogu võib artikli 8 lõikes 4 osutatud volituste delegeerimise igal ajal tagasi võtta. Tagasivõtmise otsusega lõpetatakse otsuses nimetatud volituste delegeerimine. Otsus jõustub järgmisel päeval pärast selle avaldamist Euroopa Liidu Teatajas või otsuses nimetatud hilisemal kuupäeval. See ei mõjuta juba jõustunud delegeeritud õigusaktide kehtivust.

4.Enne delegeeritud õigusakti vastuvõtmist konsulteerib komisjon iga liikmesriigi määratud ekspertidega kooskõlas 13. aprilli 2016. aasta institutsioonidevahelise kokkuleppega parema õigusloome kohta.

5.Niipea kui komisjon on delegeeritud õigusakti vastu võtnud, teeb ta selle samal ajal teatavaks Euroopa Parlamendile ja nõukogule.

6.Vastavalt artikli 8 lõikele 4 vastu võetud delegeeritud õigusakt jõustub üksnes juhul, kui Euroopa Parlament ega nõukogu ei ole kahe kuu jooksul pärast õigusakti teatavakstegemist Euroopa Parlamendile ja nõukogule esitanud selle suhtes vastuväidet või kui Euroopa Parlament ja nõukogu on enne selle tähtaja möödumist komisjonile teatanud, et nad ei esita vastuväidet. Euroopa Parlamendi või nõukogu algatusel pikendatakse seda tähtaega kahe kuu võrra.

Artikkel 26
Komitee

1.Komisjoni abistab [direktiivi (millega kehtestatakse Euroopa elektroonilise side seadustik)] artikli 110 alusel loodud sidekomitee. Nimetatud komitee on komitee määruse (EL) nr 182/2011 29 tähenduses.

2.Käesolevale lõikele viitamisel kohaldatakse määruse (EL) nr 182/2011 artiklit 5.

VII PEATÜKK
LÕPPSÄTTED

Artikkel 27
Kehtetuks tunnistamine

1.Direktiiv 2002/58/EÜ tunnistatakse kehtetuks alates 25. maist 2018.

2.Viiteid kehtetuks tunnistatud direktiivile käsitatakse viidetena käesolevale määrusele.

Artikkel 28
Järelevalve- ja hindamisklausel

Komisjon koostab hiljemalt 1. jaanuariks 2018 üksikasjaliku programmi käesoleva määruse tulemuslikkuse järelevalve tegemiseks.

Hiljemalt kolm aastat pärast käesoleva määruse kohaldamise kuupäeva ja edaspidi iga kolme aasta järel hindab komisjon käesolevat määrust ning esitab peamised järeldused Euroopa Parlamendile, nõukogule ning Euroopa Majandus- ja Sotsiaalkomiteele. Hindamise põhjal koostatakse vajaduse korral ettepanek käesoleva määruse muutmiseks või kehtetuks tunnistamiseks, võttes arvesse õiguslikku, tehnilist ja majanduslikku arengut.

Artikkel 29
Jõustumine ja kohaldamine

1.Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

2.Seda kohaldatakse alates 25. maist 2018.

Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.

Brüssel,

(1) Komisjoni teatis Euroopa Parlamendile, nõukogule, Euroopa Majandus- ja Sotsiaalkomiteele ning Regioonide Komiteele „Euroopa digitaalse ühtse turu strateegia“, COM(2015) 192 final.

(2) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1–88).

(3) Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiiv 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT L 201, 31.7.2002, lk 37).

(4) Komisjoni ettepanek: Euroopa Parlamendi ja nõukogu direktiiv, millega kehtestatakse Euroopa elektroonilise side seadustik (uuesti sõnastatud) (COM/2016/0590 final – 2016/0288 (COD)).

(5) Euroopa Parlamendi ja nõukogu 16. aprilli 2014. aasta direktiiv 2014/53/EL raadioseadmete turul kättesaadavaks tegemist käsitlevate liikmesriikide õigusaktide ühtlustamise kohta ja millega tunnistatakse kehtetuks direktiiv 1999/5/EÜ (ELT L 153, 22.5.2014, lk 62–106).

(6) Euroopa Parlamendi ja nõukogu 25. oktoobri 2012. aasta määrus (EL) nr 1025/2012, mis käsitleb Euroopa standardimist ning millega muudetakse nõukogu direktiive 89/686/EMÜ ja 93/15/EMÜ ning Euroopa Parlamendi ja nõukogu direktiive 94/9/EÜ, 94/25/EÜ, 95/16/EÜ, 97/23/EÜ, 98/34/EÜ, 2004/22/EÜ, 2007/23/EÜ, 2009/23/EÜ ja 2009/105/EÜ ning millega tunnistatakse kehtetuks nõukogu otsus 87/95/EMÜ ning Euroopa Parlamendi ja nõukogu otsus nr 1673/2006/EÜ (ELT L 316, 14.11.2012, lk 12–33).

(7) Vt liidetud kohtuasjad C-293/12 ja C-594/12, Digital Rights Ireland, Michael Seitlinger jt, ECLI:EU:C:2014:238; liidetud kohtuasjad C-203/15 ja C-698/15, Tele2 Sverige AB ja Secretary of State for the Home Department, ECLI:EU:C:2016:970.

(8) Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrus (EÜ) nr 45/2001 üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta (EÜT L 8, 12.1.2001, lk 1–22).

(9) Vt C-450/06 Varec SA, ECLI:EU:C:2008:91, punkt 48.

(10) Vt muu hulgas Euroopa Inimõiguste Kohtu otsused Niemietz vs. Saksamaa, 16. detsembri 1992. aasta otsus, A-seeria nr 251-B, punkt 29; Société Colas Est jt vs. Prantsusmaa, nr 37971/97, punkt 41; ECHR 2002-III; Peck vs. Ühendkuningriik, nr 44647/98, punkt 57, ECHR 2003-I; samuti Vinci Construction ja GTM Génie Civil et Services vs. Prantsusmaa, nr 63629/10 ja 60567/10, punkt 63, 2. aprill 2015.

(11) Vt joonealune märkus 7.

(12) 162 vastust kodanikelt, 33 kodanikuühiskonnalt ja tarbijaorganisatsioonidelt; 186 vastust tööstussektorilt ja 40 avaliku sektori asutustelt, sealhulgas e-privaatsuse direktiivi täitmise tagamisega tegelevatelt pädevatelt ametiasutustelt.

(13) Aruanne on täismahus saadaval veebisaidil https://ec.europa.eu/digital-single-market/news-redirect/37204.

(14) 2016 Eurobarometer survey (EB) 443 on e-Privacy (e-privaatsust käsitlev 2016. aasta Eurobaromeetri uuring (EB) 443) (SMART 2016/079).

(15) Aruanne on täismahus saadaval veebisaidil https://ec.europa.eu/digital-single-market/news-redirect/37205.

(16) http://ec.europa.eu/transparency/regdoc/?fuseaction=ia.

(17) http://ec.europa.eu/smart-regulation/refit/refit-platform/docs/recommendations/opinion_comm_net.pdf.

(18) ELT C ..., ..., lk …

(19) ELT C ..., ..., lk …

(20) ELT C ..., ..., lk …

(21) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1–88).

(22) Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiiv 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT L 201, 31.7.2002, lk 37).

(23) Euroopa Parlamendi ja nõukogu 16. aprilli 2014. aasta direktiiv 2014/53/EL raadioseadmete turul kättesaadavaks tegemist käsitlevate liikmesriikide õigusaktide ühtlustamise kohta ja millega tunnistatakse kehtetuks direktiiv 1999/5/EÜ (ELT L 153, 22.5.2014, lk 62).

(24) Komisjoni ettepanek: Euroopa Parlamendi ja nõukogu direktiiv, millega kehtestatakse Euroopa elektroonilise side seadustik (uuesti sõnastatud) (COM/2016/0590 final – 2016/0288 (COD)).

(25) Euroopa Parlamendi, Euroopa Liidu Nõukogu ja Euroopa Komisjoni vahel 13. aprillil 2016 sõlmitud institutsioonidevaheline parema õigusloome kokkulepe (ELT L 123, 12.5.2016, lk 1–14).

(26) Euroopa Parlamendi ja nõukogu 8. juuni 2000. aasta direktiiv 2000/31/EÜ infoühiskonna teenuste teatavate õiguslike aspektide, eriti elektroonilise kaubanduse kohta siseturul (direktiiv elektroonilise kaubanduse kohta) (EÜT L 178, 17.7.2000, lk 1–16).

(27) Komisjoni 20. juuni 2008. aasta direktiiv 2008/63/EÜ konkurentsi kohta telekommunikatsioonivõrgu lõppseadmete turgudel (ELT L 162, 21.6.2008, lk 20–26).

(28) Euroopa Parlamendi ja nõukogu 25. novembri 2015. aasta määrus (EL) 2015/2120, millega nähakse ette avatud internetiühendust käsitlevad meetmed ning millega muudetakse direktiivi 2002/22/EÜ universaalteenuse ning kasutajate õiguste kohta elektrooniliste sidevõrkude ja -teenuste puhul ning määrust (EL) nr 531/2012, mis käsitleb rändlust üldkasutatavates mobiilsidevõrkudes liidu piires (ELT L 310, 26.11.2015, lk 1–18).

(29) Euroopa Parlamendi ja nõukogu 16. veebruari 2011. aasta määrus (EL) nr 182/2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes (ELT L 55, 28.2.2011, lk 13–18).