31.7.2012

ET

Euroopa Liidu Teataja

C 229/90

---

Euroopa Majandus- ja Sotsiaalkomitee arvamus teemal „Ettepanek: Euroopa Parlamendi ja nõukogu määrus üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus)”

COM(2012) 11 (final) – 2012/011 (COD)

2012/C 229/17

Pearaportöör: Jorge PEGADO LIZ

16. veebruaril 2012 otsustas Euroopa Parlament ja 1. märtsil 2012 otsustas nõukogu vastavalt Euroopa Liidu toimimise lepingu artiklile 304 konsulteerida Euroopa Majandus- ja Sotsiaalkomiteega järgmises küsimuses:

„Ettepanek: Euroopa Parlamendi ja nõukogu määrus üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus)”

COM(2012) 11 (final) – 2012/011 (COD).

21. veebruaril 2012 tegi komitee juhatus käesoleva arvamuse ettevalmistamise ülesandeks tööhõive, sotsiaalküsimuste ja kodakondsuse sektsioonile.

Arvestades töö kiireloomulisust, määras komitee täiskogu 481. istungjärgul 23.–24. mail 2012 (23. mai istungil) pearaportööriks Jorge PEGADO LIZI ja võttis vastu järgmise arvamuse. Poolt hääletas 165, vastu hääletas 34, erapooletuks jäi 12.

1.   Kokkuvõte ja soovitused

1.1

Komitee tunneb heameelt komisjoni üldise suundumuse üle, väljendab oma nõusolekut kavandatud volitusnormiga ja kiidab üldjoontes heaks ettepaneku eesmärgid, mis lähtuvad täpselt ühest komitee arvamusest. Andmekaitse õigusseisundi küsimuses on komitee seisukohal, et andmete töötlemist ja edastamist siseturu piires tuleb piirata lähtuvalt õigusest isikuandmete kaitsele põhiõiguste harta artikli 8 ja Euroopa Liidu toimimise lepingu artikli 16 lõike 2 mõttes.

1.2	Määruse valimise osas kohaseimaks õiguslikuks vahendiks, arvestades järgitavaid eesmärke, lahknevad komitees arvamused. Komitee kutsub komisjoni üles paremini välja tooma ja põhjendama, miks on kõnealune vahend direktiiviga võrreldes eelistatud, isegi hädavajalik.

1.3	Sellele vaatamata avaldab komitee kahetsust asjaolu üle, et liiga palju on erandeid ja piiranguid, mis mõjutavad isikuandmete kaitse seadusega kinnitatud põhimõtteid.

1.4

Uues digitaalmajanduse kontekstis jagab komitee komisjoni arvamust, mille kohaselt „on üksikisikutel õigus kontrollile oma isikuandmete üle”, ja soovib, et nimetatud õigus laieneks erinevatele kasutustele, mille tarbeks on loodud isiklikud profiilid erinevate (seaduslike ja mõnikord ka ebaseaduslike) vahendite abil kogutud andmete põhjal, ja kogutud andmete töötlemisele.

1.5	Kuna tegemist on põhiõigustega, peaks erivaldkondi ühtlustav määrus siiski võimaldama liikmesriikidel kehtestada oma riiklikus õiguses sätteid, mis puuduvad nimetatud määrusest või on soodsamad nimetatud määruses kehtestatutest.

1.6	Lisaks ei saa komitee heaks kiita kõiki peaaegu süstemaatilisi viiteid delegeeritud õigusaktidele, mis ei kuulu selgelt ELi toimimise lepingu artikli 290 alla.

1.7

Komitee tunneb siiski heameelt püüdluste üle luua tõhus institutsiooniline raamistik, mis tagaks õigusnormide tõhusa toimimise nii ettevõtjate (andmekaitseametnikud) kui ka liikmesriikide avaliku halduse (sõltumatud järelevalveasutused) tasandil. Komitee eelistaks siiski, et komisjon valiks kodanike tegelike vajaduste ja ootustega paremas kooskõlas oleva ning teatud majandus- ja sotsiaaltegevuse valdkondade eripärale vastava süstemaatilisema lähenemisviisi.

1.8

Komitee leiab, et ettepaneku tekstis on võimalik teha hulgaliselt parandusi ja täpsustusi ning esitab mitme artikli puhul konkreetsed näited seoses õiguste parema määratlemise, üldiselt kodanike ja eraldi töötajate kaitse tugevdamise, nõusoleku laadi, töötlemise seaduslikkuse ja eriti andmekaitseametnike kohustuste ning tööalaste andmete töötlemisega.

1.9	Komitee leiab samuti, et tuleks kaasata teatud elemendid, millega praegu arvestatud ei ole, eelkõige kohaldamisala laienemine, tundlike andmete töötlemine ja ühishagid.

1.10

Komitee leiab seega, et otsingumootorid, mille sissetulekust suurem osa tuleneb saidikülastajate isikuandmete (nende profiilide) põhjal tehtavast suunatud reklaamist, peavad kuuluma selgesõnaliselt määruse kohaldamisalasse. Sama peaks kehtima ka materjalide salvestamise teenust pakkuvate serverite ja teatud tarkvara (pilvandmetöötlus) kohta, mis koguvad kasutajate andmeid kaubanduslikel eesmärkidel.

1.11

Lisaks peaks sama kehtima ka sotsiaalvõrgustikes avaldatud isikliku teabe kohta, mis peaks vastavalt „õigusele olla unustatud” lubama asjaomasel isikul muuta või kustutada oma andmeid või kustutada isiku soovil tema isiklik lehekülg ning viited teistele, sagedasti külastatavatele veebilehtedele, kus isiku andmeid kopeeritakse ja kommenteeritakse. Sel eesmärgil tuleks muuta artiklit 9.

1.12

Lõpuks kutsub komitee komisjoni üles vaatama üle oma ettepaneku teatud aspekte, mida ta peab vastuvõetamatuks tundlike valdkondade, näiteks lastekaitse, vaidlustamisõiguse, profiilianalüüsi, õiguste teatud piirangute puhul, 250 töötaja piiri puhul andmekaitseametniku määramiseks või ühtse kontaktpunkti määratlemise viisi puhul.

2.   Sissejuhatus

2.1	Komiteele esitati taotlus koostada arvamus teemal „Ettepanek: Euroopa Parlamendi ja nõukogu määrus üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus)” (1).

2.2

Siiski tuleb märkida, et kõnealune ettepanek kuulub n-ö paketti, mis sisaldab lisaks veel sissejuhatavat teatist (2), ettepanekut (3) ja „Komisjoni aruannet Euroopa Parlamendile, nõukogule, Euroopa Majandus- ja Sotsiaalkomiteele ning Regioonide Komiteele nõukogu 27. novembri 2008. aasta raamotsuse (kriminaalasjades tehtava politsei- ja õigusalase koostöö raames töödeldavate isikuandmete kaitse kohta) artikli 29 lõike 2 alusel” (4). Komiteelt ei ole taotletud arvamust mitte kavandatavate õigusaktide terviku, vaid ainult määruse eelnõu kohta, kuigi taotlus oleks tulnud esitada ka direktiivi eelnõu kohta.

2.3	Ettepanek, mille kohta taotleti komitee arvamust, asub komisjoni sõnul ELi kahe kõige olulisema õiguslik-poliitilise ja poliitilis-majandusliku suunise lõikepunktis.

2.3.1.

Ühelt poolt tunnistatakse ELi põhiõiguste harta artiklis 8 ja ELi toimimise lepingu artikli 16 lõikes 1 andmekaitse põhiõiguseks, mida tuleb sellisena ka kaitsta. Sellele alusele tuginevad Euroopa Komisjoni teatised Stockholmi programmi ja selle elluviimise tegevuskava kohta (5).

2.3.2.

Teiselt poolt Euroopa digitaalarengu tegevuskava ja üldisem strateegia „Euroopa 2020”, millega edendatakse andmekaitse ühtse turu mõõtme tugevdamist ja ettevõtjatel lasuva halduskoormuse vähendamist.

2.4

Komisjoni kavatseb ajakohastada ja moderniseerida andmekaitsealaseid konsolideeritud direktiivis 95/46/EÜ esitatud põhimõtteid, et tagada tulevikus isiku õigused ja eraelu puutumatus digitaalühiskonnas ja selle võrgustikes. Eesmärk on tugevdada kodanikuõigusi, konsolideerida ELi siseturg, tagada igas valdkonnas (sealhulgas õigusalane koostöö kriminaalasjades) andmekaitse kõrge tase, sel eesmärgil kehtestatud õigusnormide nõuetekohane jõustamine, lihtsustada andmete piiriülest käitlemist ja rajada andmekaitse valdkonnas universaalsed standardid.

3.   Üldised tähelepanekud

3.1

Uues digitaalmajanduse kontekstis jagab komitee komisjoni arvamust, mille kohaselt on „üksikisikutel õigus kontrollile oma isikuandmete üle”, ja soovib, et nimetatud õigus laieneks erinevatele kasutustele, mille tarbeks on loodud isiklikud profiilid arvukate (seaduslike ja mõnikord ka ebaseaduslike) vahendite abil kogutud andmete põhjal, ja kogutud andmete töötlemisele. Komitee leiab ka, et lähtuvalt põhiõiguste harta artiklis 8 sisalduvast õigusest kaitsele tuleb piirata andmete käitlemist ja edastamist ühtse turu raames. Tegu on ELi institutsioonilises õiguses ja liikmesriikide õiguses kehtestatud põhiõigusega.

3.2

Kõigile ELi kodanikele ja elanikele kehtivad sellest tulenevalt hartas ja lepingutes määratletud põhiõigused; samuti tunnustatakse nimetatud õigusi liikmesriikide õigussüsteemides, mõnikord isegi põhiseaduses. Muud õigused, nagu õigus isikuportreele või õigus eraelu puutumatusele, täiendavad ja tugevdavad asjaomast õigust andmekaitsele. Nimetatud õiguste kasutamiseks peab isikul olema võimalik taotleda andmete muutmist interneti leheküljel, oma profiili või faili kustutamist serverist, vastasel korral peab isikul olema võimalik saada sellekohane kohtumäärus.

3.3

Isikuandmeid sisaldavad andmekogud on vajalikud riigiasutustele (6), ettevõtete personalitöös, kaubandusteenusteks, ühendustele ja ametiühingutele, poliitilistele erakondadele, sotsiaalvõrgustikele ja interneti otsingumootoritele, kuid kaitsmaks andmekogudesse seaduslikult kantud isikute eraelu, peavad nimetad kogud erinevatel põhjustel sisaldama vaid vastavate eesmärkide täitmiseks otseselt vajalikke andmeid ning neid ei tohi info- ja kommunikatsioonitehnoloogia abil ilma vastava vajaduse ja õigusliku kaitseta omavahel siduda. Piiranguteta kõigile andmetele ligipääsu omava asutuse olemasolu kujutaks endast ohtu kodanikuvabadustele ja eraelule.

3.4	Asjaomastel isikutel peab olema õigus pääseda ligi eraõiguslike isikute hallatavates andmekogudes olevatele andmetele, neid muuta ning isegi need kustutada, kui tegu on kaubanduslike või sotsiaalvõrgustike andmekogudega.

3.5

Asjaomastel isikutel peab olema õigus pääseda ligi riigiasutuste või eraettevõtete hallatavatele seadusega nõutud andmekogudele, vea korral andmeid muuta ja andmed isegi kustutada, kui need ei ole pärast õiguslikult määratletud säilitamise aega enam vajalikud, näiteks amnestia korral juriidilises andmekogus või töölepingu lõppemisel.

3.6

Komitee tunneb heameelt komisjoni üldise suunitluse üle, tunnistades, et konsolideeritud direktiivi 95/46/EÜ eesmärgid on endiselt päevakajalised, olgugi et nende sõnastamisest on möödunud 17 aastat ning kõigi digitaalkeskkonnas aset leidnud tehnoloogia- ja sotsiaalsete arengute tõttu on vältimatu nende põhjalik läbivaatamine. Näiteks ei käsitleta direktiivis 95/46/EÜ politsei- ja õigusalase koostöö raames kuritegude karistamise ja karistuste täideviimisega tegelevate asutuste vahelise piiriülese teabe- ja andmevahetuse teatud aspekte. Nimetatud küsimust käsitletakse direktiivi eelnõus, mis on lisatud isikuandmete kaitse paketti, mille üle komiteega ei ole konsulteeritud.

3.7

Komitee kiidab üldjoontes heaks ettepaneku eesmärgid, mis aitavad kaasa põhiõiguste kaitsele ja lähtuvad täpselt komitee arvamusest (7), eriti mis puudutab järgmist: — ühtse andmekaitsereeglite kogu loomine, mis kehtiks üle terve ELi ning tagaks võimalikult kõrgetasemelise kaitse; — selgesõnaline kinnitus, et isikuandmed saavad ELis vabalt liikuda; — mitmete ebavajalike administratiivsete kohustuste kustutamine, mis komisjoni hinnangul kujutaks ettevõtjatele iga-aastast 2,3 miljoni euro suurust kokkuhoidu; — ettevõtjatele ja organisatsioonidele pandud kohustus teavitada riiklikke kontrollasutusi viivitamatult (võimalusel 24 tunni jooksul) tõsistest isikuandmetega seotud rikkumistest; — kodanike võimalus pöörduda oma riigi andmekaitseasutuste poole, seda isegi juhul, kui nende andmeid töötleb ettevõtja, kelle asukoht on väljaspool ELi territooriumi; — isikutele oma andmetele ligipääsu ja isikuandmete ühelt teenusepakkujalt teisele ülekandmise lihtsustamine (õigus andmete ülekandmisele); — õigus olla võrgukeskkonnas unustatud, tagamaks kodanikele parim interneti-andmete kaitsega seotud ohtude haldamine, sealhulgas võimalus, et asjaomaste isikute andmed kustutatakse, kui nende alalhoidmiseks ei ole enam seaduslikke põhjuseid; — andmekaitset käsitlevate sõltumatute riiklike ametiasutuste rolli tugevdamine praegusega võrreldes, et nimetatud asutused saaksid paremini tagada ELi reeglite kohaldamise ja järgimise oma riigi territooriumil, eriti kuna neil on õigus määrata reegleid eiravatele ettevõtjatele trahve, mis võivad ulatuda kuni 1 miljoni euroni või 2 %-ni ettevõtja aastasest kogukäibest; — tehnoloogiline neutraalsus ja kõigile andmetöötlusviisidele (nii automaatsele kui ka käsitsi töötlemisele) kohaldamine; — kohustus teostada andmekaitsealaseid mõjuanalüüse.

3.8

Komitee tunneb heameelt, et keskendutakse põhiõiguste kaitsele, ning märgib oma täielikku nõusolekut kavandatud, esmakordselt seadusandluses kasutatava õigusliku aluse valikuga. Lisaks rõhutab komitee käesoleva ettepaneku olulisust ühtse turu rajamisel ning selle positiivset mõju strateegia „Euroopa 2020” raames. Määruse valimise osas nõustub osa komitee liikmeid nende rühmakuuluvusest sõltumatult komisjoniga ja leiab, et tegemist on kohaseima õigusliku vahendiga ühtse kohaldamise ja ühtviisi kõrge andmekaitse taseme tagamiseks kõigis liikmesriikides; teine osa liikmeid on arvamusel, et direktiiv oleks vahend, mis võimaldaks paremini järgida subsidiaarsuse põhimõtete ja kaitsta andmeid eelkõige neis liikmesriikides, kus on juba tagatud komisjoni ettepanekus määratletust kõrgem kaitsetase. Samuti on komitee teadlik asjaolust, et ka liikmesriikide arvamused selles küsimuses lahknevad. Seega kutsub komitee komisjoni üles tugevdama oma ettepaneku alust, väljendades selgemalt vastavust subsidiaarsuse põhimõttele ja põhjused, miks määruse valimine on eesmärkide saavutamiseks vältimatult vajalik.

3.8.1

Kuna tegemist on kohe ja täielikult ilma ülevõtmise vajaduseta kõigis liikmesriikides kohaldatava määrusega, juhib komitee komisjoni tähelepanu vajadusele jälgida tõlgete ühtsust kõigis keeltes, mida ettepaneku juures tehtud ei ole.

3.9

Komitee leiab ühelt poolt, et teatud õiguste kaitsmisel, mida praegu arvukate erandite ja piirangute tõttu ei ole õigupoolest sõnastatudki, oleks ettepanekus võidud minna kaugemale, ning teiselt poolt, et ettepanekus oleks tulnud paremini tasakaalustada eri osapoolte õigused. Seega on oht, et andmekaitse kui põhiõiguse eesmärgid ja ühtse turu eesmärgid on viimase kasuks tasakaalust väljas. Komitee jagab üldjoontes Euroopa andmekaitseinspektori arvamust (8).

3.10

Komitee oleks eelistanud, et komisjon valiks kodanike tegelike vajaduste ja ootustega paremas kooskõlas oleva ning teatud majandus- ja sotsiaaltegevuse valdkondade (näiteks e-kaubandus, otseturundus, töösuhted, avaliku sektori asutused, järelevalve ja turvalisus, DNA jne) olemusele paremini vastava lähenemisviisi, kohandades õigussüsteemi väga erinevatest andmetöötlusviisidest lähtudes.

3.11

Mis puutub erinevatesse ettepanekus esitatud sätetesse (kõik esitatud artiklis 86), siis sõltuvad õigusliku vahendi ja süsteemi toimimise väga olulised aspektid tulevastest delegeeritud õigusaktidest (26 volituste delegeerimist määratlemata ajaks). Komitee leiab, et see ületab märkimisväärselt lepingu artiklis 290 esitatud ja ELi toimimise lepingu artiklit 290 käsitlevas komisjoni teatises määratletud piirid (9), mis avaldab mõju vahendi õiguskindlusele. Komitee on seisukohal, et teatavat hulka volituste delegeerimisi võiks reguleerida otse Euroopa seadusandja. Teised jälle võiksid kuuluda riikide järelevalveasutuste või nende üleeuroopalise ühenduse pädevusse (10). See tugevdaks subsidiaarsuse põhimõtete rakendamist ja aitaks suurendada õiguskindlust.

3.12	Komitee mõistab komisjoni põhjuseid keskenduda valdkonna juriidilist eripära arvesse võttes vaid füüsiliste isikute õigustele, kuid soovib, et ka andmed juriidiliste isikute kohta, eriti juriidilise isiku staatusega seostuvad andmed, pälviksid komisjoni tähelepanu.

4.   Konkreetsed märkused

Positiivsed punktid

4.1   Ettepanek on vastavuses direktiivi 95/46/EÜ sisu ja eesmärkidega, eriti mis puudutab teatud määratlusi, andmekvaliteedi ja andmetöötluse seaduslikkuse peamisi põhimõtteid, isikuandmete erikategooriate töötlemist ning teatud teabe- ja andmetele ligipääsu õigusi.

4.2   Ettepanek on heas mõttes innovaatiline põhiaspektides, mis käsitlevad uusi määratlusi, nõusoleku tingimuste paremat täpsustamist, eriti laste puhul, ja uute õiguste kategoriseerimist, näiteks parandamise ja kustutamise õigus ning eelkõige õigus olla digitaalkeskkonnas unustatud, õigus esitada vastuväiteid ja luua profiile ning samuti andmetöötlejate ja alltöövõtjate detailsed kohustused, andmeturve ja üldine, peamiselt administratiivset laadi karistuste raamistik.

4.3   Komitee tunneb heameelt püüdluste üle luua ettepanekuga tõhus institutsiooniline raamistik, mis tagaks õigusnormide tõhusa toimimise nii ettevõtjate (andmekaitseametnikud) kui ka liikmesriikide avaliku halduse (sõltumatud järelevalveasutused) tasandil, ning samuti koostöö tugevdamise üle asutuste ja komisjoni vahel (Euroopa Andmekaitsenõukogu loomine). Siiski juhib komitee tähelepanu vajadusele säilitada liikmesriikides üleriigiliste ja teatud osas piirkondlike andmekaitseametnike pädevus.

4.4   Lõpuks hindab komitee positiivseks toimimisjuhendite väljatöötamisele kaasaaitamise ja andmekaitsemärkide või -märgiste sertifitseerimisele osutatud tähtsuse.

Mida võiks arendada

4.5   Artikkel 3 – Territoriaalne kohaldamisala

4.5.1   Lõikes 2 ette nähtud kohaldamistingimused on liiga piiravad; tuletagem meelde juhtumeid ravimiettevõtjatega, kelle peakontorid asuvad väljaspool Euroopat ning kes soovivad kliiniliste katsete läbiviimiseks pääseda ligi ELis elavate asjaomaste isikute kliinilistele andmetele.

4.6   Artikkel 4 – Mõisted

4.6.1   „Nõusoleku” mõiste, mis on kogu andmekaitse ülesehituse alus, ning selle elemendid peaksid olema täpsemini sõnastatud, eelkõige määratlus „nõusolekut väljendav tegevus” (iseäranis prantsuskeelses versioonis).

4.6.2   „Andmete edastamise” mõiste, mida praegu kusagil ei määratleta, peaks kuuluma artiklisse 4.

4.6.3   „Õigluse” mõiste, mida mainitakse artikli 5 punktis a, tuleb määratleda.

4.6.4   „Ilmselgelt avalikustatud” andmete mõiste (artikli 9 lõike 2 punkt e) tuleb samuti täpsemalt määratleda.

4.6.5   „Profiilianalüüsi” mõiste, mida kasutatakse kogu ettepaneku ulatuses, tuleb samuti määratleda.

4.7   Artikkel 6 – Töötlemise seaduslikkus

4.7.1   Punktis f esitatud väljend „vastutava töötleja õigustatud huvi”, mida ei kajastata eelnevates punktides, tundub ebaselge ja subjektiivne ning peaks olema täpsemalt sõnastatud tekstis eneses ja mitte delegeeritud õigusaktis (lõige 5), seda enam, et lõikes 4 ei mainita punkti f (näiteks on see vajalik postiteenuste ja otseturunduse jaoks (11)).

4.8   Artikkel 7 – Nõusolek

Lõikes 3 tuleks viidata, et nõusoleku tühistamine peatab töötlemise tulevikus ja et see mõjutab töötlemise seaduslikkust alates nõusoleku tühistamise hetkest.

4.9   Artikkel 14 – Teavitamine

4.9.1   Lõike 4 punktis b tuleks määratleda kõige hilisem tähtaeg.

4.10   Artikkel 31 – Järelevalveasutuse teavitamine isikuandmetega seotud rikkumisest

4.10.1   Mis tahes rikkumistest teavitamine võib ohustada süsteemi toimimist ja lõpuks kujutada endast tõket süüdlaste tegelikuks vastutuselevõtmiseks.

4.11   Artikkel 35 – Andmekaitseametnik

4.11.1   Tuleb täpsemini määratleda andmekaitseametniku ametiga seotud tingimused, eriti mis puudutab kaitset vallandamise vastu, mis peab olema selgelt sõnastatud ning ületama ajavahemikku, mille jooksul asjaomane isik vastaval ametikohal töötab; alustingimused, mis vastavad nimetatud ametikohaga seotud selgetele nõuetele; andmekaitseametniku vabastamine mis tahes vastutusest, kui ta teavitab tööandjat või riiklikke andmekaitseasutusi ebakorrapärasustest; töötajate esindajate õigus osaleda otse andmekaitseametniku määramisel ning nimetatud ametnike õigus pidevale teabele (12) ettetulnud probleemide ja nende lahenduste kohta. Ametikohale eraldatud ressursside küsimust tuleks samuti täpsustada.

4.12   Artikkel 39 – Sertifitseerimine

4.12.1   Sertifitseerimine peaks olema üks komisjoni ülesannetest.

4.13   Artiklid 82 ja 33 – Töötlemine töösuhte kontekstis

4.13.1   Artiklis 82 puudub selgesõnaline viide tulemuslikkuse hindamisele (samuti puudub see artiklist 20 profiilianalüüsi kohta). Samuti ei ole täpsustatud, kas nimetatud volitus kehtib ka andmekaitseametnikke käsitlevate sätete sõnastamisel. Profiilianalüüsi keeld töösuhete kontekstis peaks samuti olema täpsustatud isikuandmete kaitse mõjuhinnangus (artikkel 33).

4.14   Artiklid 81, 82, 83 ja 84

4.14.1   „Käesoleva määruse piires” asemel tuleks öelda „vastavalt käesolevale määrusele”.

Mis on puudu ja peaks olema kaasatud

4.15   Reguleerimisala

4.15.1   Põhiõiguste puhul peaks ühtlustamine erivaldkondades võimaldama kehtestada liikmesriikidel oma riiklikus õiguses sätteid, mis puuduvad määrusest või on soodsamad määruses kehtestatutest, nagu seda tehakse artiklites 80–85 ette nähtud valdkondadega.

4.15.2   Isikute IP-aadressid tuleks määruses samuti selgelt hõlmata kaitstavate isikuandmete alla ja mitte ainult põhjendustesse.

4.15.3   Otsingumootorid, mis saavad suurema osa oma sissetulekust reklaamist ning mis koguvad kasutajate isiklikke andmeid ja kasutavad neid kaubanduslikel eesmärkidel, peavad samuti kuuluma määruse kohaldamisalasse ja mitte ainult põhjendustesse.

4.15.4   Tuleb täpsustada, et sotsiaalvõrgustikud kuuluvad kohaldamisalasse ja seda mitte ainult juhul, kui nad kasutavad profiilianalüüsi kaubanduslikel eesmärkidel.

4.15.5   Teatud kontrolli- ja filtreerimismeetodid võitlevad väidetavalt võltsimise vastu ning kuna nende eesmärk on teha teatud kasutajatele profiilianalüüse, jälgida ja kontrollida viimaste kõiki tegemisi ilma vastava kohtu loata, peavad ka need kuuluma määruse kohaldamisalasse.

4.15.6   Samuti on soovitatav, et ELi institutsioonid ja asutused oleksid allutatud määruses kehtestatud kohustustele.

4.16   Artikkel 9 – Isikuandmete eriliigid

4.16.1   Parim tegutsemisviis oleks määratleda vastavalt asjaoludele, olukordadele ja andmetöötluse eesmärkidele erikorrad. Nendesse valdkondadesse tuleb lisada profiilianalüüsi keeld.

4.16.2   Statistilistel eesmärkidel läbiviidava tundlike isikuandmete töötlemise põhimõtetele tuleb lisada diskrimineerimise keelu põhimõte.

4.17   Järgmistes valdkondades tuleks kaasata (seni kasutamata) võimalused:

—	töötajate esindajate osalemine kõigil riiklikel tasanditel ja ELi tasandil õiguslikult siduvate ettevõtluseeskirjade väljatöötamisel, mis peaks edaspidi olema isikuandmete rahvusvahelise edastamisetingimus (artikkel 43);

—	Euroopa töönõukogu teavitamine ja konsultatsioon töötajate isikuandmete rahvusvahelise edastamise korral (eriti kolmandatesse riikidesse);

—	Euroopa sotsiaalpartnerite ning tarbijate ja inimõiguste kaitse alaste valitsusväliste organisatsioonide teavitamine ning nende osalemine töörühma „Artikkel 29” asendava Euroopa Andmekaitsenõukogu liikmete määramisel;

—	nimetatud partnerite ja eeltoodud valitsusväliste organisatsioonide teavitamine ja nende osalemine riiklikul tasandil andmekaitseametite liikmete määramisel, mida samuti ei ole ette nähtud.

4.18   Artiklid 74–77 – Ühishagid seoses ebaseaduslike andmekogude ning kahju ja huvidega

4.18.1   Suurem osa isikuandmete rikkumistest on kollektiivsed. Sellisel juhul ei ole tegu mitte üksikisiku, vaid inimeste rühma või kõigi ühte registrisse kantud inimeste vastu suunatud teoga. Sellistele rikkumistele reageerimisel ei ole tavapärased individuaalsed kaebemenetlused adekvaatne lahendus. Kuigi artikliga 76 antakse igale asutusele, organisatsioonile või ühendusele, mis tegeleb asjaomaste isikute õiguste kaitsega, õigus algatada ühe või mitme isiku nimel artiklites 74 ja 75 ette nähtud menetlusi, ei kehti sama kahjude või huvide heastamise või hüvitamise kohta, kuna viimasel juhul nähakse artiklis 77 see võimalus ette vaid üksikisikutele ega tunnistata ühise esindamise menetlust või ühishagi.

4.18.2   Seepärast tuletab komitee meelde, et on juba aastaid mitmes arvamuses toetanud ELi tasandil ühishagi ühtlustatud õigusvahendi loomise vajalikkust ja kiireloomulisust, kuna see on vajalik mitmetes ELi õigusvaldkondades ja on olemas mitmes liikmesriigis.

Sellega ei saa nõustuda

4.19   Artikkel 8 – Lapsed

4.19.1   „Laps” määratletakse kui alla 18-aastane isik (artikli 4 punkt 18), lähtuvalt New Yorgi konventsioonist; on vastuvõetamatu, et artikli 8 lõikes 1 antakse lastele alates 13. eluaastast võimalus anda nõusolek oma isikuandmete töötlemiseks.

4.19.2   Olgugi et komitee mõistab vajadust määratleda erireeglid VKEdele, on vastuvõetamatu, et komisjon võib delegeeritud õigusakti abil vabastada VKEd selgelt ja lihtsalt laste õiguste järgimise kohustusest.

4.20   Artikkel 9 – Eriliigid

4.20.1   Samuti ei ole artikli 9 lõike 2 punkti a puhul vähimatki põhjust, miks lapsed võiksid anda oma nõusoleku oma etnilist päritolu, poliitilisi vaateid, religiooni, tervist, seksuaalelu või süüdimõistvaid kohtuotsuseid puudutavate isikuandmete töötlemiseks.

4.20.2   Isikute endi poolt (näiteks Facebookis) avaldatud andmeid ei tohiks kaitse alt välja jätta, nagu võib järeldada artikli 9 punktist e, vaid neile peaks kehtima vähemalt õigus olla unustatud.

4.21   Artikkel 13 – Õigused vastuvõtjate ees

4.21.1   Lõpus esitatud erand „välja arvatud juhul, kui see on võimatu või kui see nõuab ülemääraseid jõupingutusi” on põhjendamatu ja vastuvõetamatu.

4.22   Artikkel 14 – Teavitamine

4.22.1   Sama erand artikli 5 punktis b on samuti vastuvõetamatu.

4.23   Artikli 19 lõige 1 – Vaidlustamisõigus

4.23.1   Ebaselgelt sõnastatud erand „täiesti õiguspärasel alusel” on vastuvõetamatu ja õõnestab vaidlustamisõigust.

4.24   Artikkel 20 – Profiilianalüüs

4.24.1   Profiilianalüüsi keeld ei tohiks piirduda ainuüksi automaatse töötlemisega (13).

4.24.2   Prantsuskeelses versioonis asendada lõike 2 punktis a väljend „qui ont été invoquées” väljendiga „qui ont été mises en place” (eesti keeles „on võetud”).

4.25   Artikkel 21 – Piirangud

4.25.1   Lõike 1 punkti c sõnastus on vastuvõetamatu, kuna see sisaldab ebaselgeid ja määratlemata väljendeid, näiteks: majanduslikud ja finantshuvid, rahandus-, eelarve- ja maksuküsimused, turu stabiilsus ja terviklus. Viimane väljend lisati ka direktiivi 95/46.

4.26   Artiklid 25, 28 ja 35 – 250 töötaja piir

4.26.1   Teatud kaitsesätete (näiteks andmekaitseametniku nimetamise) kohaldatavuse lävend 250 töötajat tähendaks, et nimetatud sättest saab kasu alla 40 % töötajatest. Kohustusliku dokumentatsiooni puhul tähendaks samasugune piirang, et enamikul töötajatest ei ole võimalust jälgida oma isikuandmete kasutamist ja seega ei allutata seda kontrollile. Komitee teeb ettepaneku seada madalam lävend, näiteks tavaliselt liikmesriikides ettevõtte töötajate huvide esinduse rajamiseks vajalik töötajate arv. Võiks kujundada uue lähenemisviisi, mis lähtuks näiteks määratletud aja jooksul töödeldavate isikuandmete toimikute arvust ega sõltuks ettevõtte või asjaomaste talituse suurusest.

4.27   Artikkel 51 – Ühtne kontaktpunkt

4.27.1   Isegi kui ettevõtjate elu lihtsustamiseks ja andmekaitse mehhanismide tõhusamaks muutmiseks luuakse ühtne kontaktpunkt, on ometi võimalik, et see kahjustaks üldisemalt kodanike ja eelkõige töötajate isikuandmete kaitset, tühistades praegu kehtiva kohustuse, mis nõuab, et isikuandmete edastamiseks antaks ettevõtja nõusolek ning et riiklik andmekaitsekomisjon kiidaks selle heaks (14).

4.27.2   Lisaks tundub see süsteem olevat vastuolus kohapealse haldamise eesmärgiga ning ähvardab kodanikelt ära võtta võimaluse, et nende taotlust töödeldakse neile kõige lähedasemas ja ligipääsetavamas kontrolliasutuses.

4.27.3   Seega leidub põhjuseid, mis räägivad selle kasuks, et jätta pädev asutus kaebuse esitajate elukohariikide tasandile.

---

(1)  COM(2012) 11 final.

(2)  COM(2012) 9 final.

(3)  COM(2012) 10 final.

(4)  COM(2012) 12 final.

(5)  Neis teatistes rõhutatakse, et EL „peab looma tervikliku isikuandmete kaitse süsteemi, mis hõlmaks kõiki liidu pädevuses olevaid valdkondi” ja „tagama, et alati kaitstakse põhiõigust andmekaitsele”, et füüsilistel isikutel oleks võimalik oma andmeid tõhusalt kontrollida.

(6)  Vt Euroopa Majandus- ja Sotsiaalkomitee arvamus teemal „Avaliku sektori valduses oleva teabe taaskasutamine”ELT C 191 29.6.2012, lk 129.

(7)  Vt Euroopa Majandus- ja Sotsiaalkomitee arvamus, ELT C 248 25.8.2011, lk 123.

(8)  Euroopa andmekaitseinspektori arvamus Isikuandmete kaitse paketi (Data Protection Package) kohta, 7. märts 2012.

(9)  COM(2009) 673 final, 9.12.2009.

(10)  Vrd Prantsusmaa Senati esitatud subsidiaarsuse põhimõttega seotud vaie.

(11)  Tuleks veel täpsustada küsimust nimeliselt adresseeritud kirjade tuleviku kohta, sest määruse kohaldamisega kaasneks selliste kirjade keelustamine, olgugi et need kujutavad endast võrdlemisi diskreetset ja suunatud uute klientide otsimise meetodit.

(12)  Näiteks regulaarne aruannete edastamine andmekaitseametniku tegevuse kohta töötajate esindajatele, liikmesriikide või Euroopa töönõukogu või järelevalve nõukogu valitud esindajatele.

(13)  Vt Euroopa Nõukogu ministrite komitee soovitus CM/Rec(2010)13, 23.11.2010.

(14)  Eelkõige sõltumatud haldusasutused, kes tegelevad nimeliste andmetoimikute autoriseerimise ja kontrollimisega; nende pädevusi tuleks laiendada digitaalühiskonnas ja sotsiaalvõrgustikes sõltuvalt individuaalsete profiilide vahetusväärtusest seoses kaubanduslike väljavaadetega.

---

---