This document is an excerpt from the EUR-Lex website
Document 52016PC0237
Proposal for a COUNCIL DECISION on the conclusion, on behalf of the European Union, of an Agreement between the United States of America and the European Union on the protection of personal information relating to the prevention, investigation, detection, and prosecution of criminal offenses
Ettepanek: NÕUKOGU OTSUS Ameerika Ühendriikide ja Euroopa Liidu vahelise kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmisega seotud isikuandmete kaitse kokkuleppe Euroopa Liidu nimel sõlmimise kohta
Ettepanek: NÕUKOGU OTSUS Ameerika Ühendriikide ja Euroopa Liidu vahelise kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmisega seotud isikuandmete kaitse kokkuleppe Euroopa Liidu nimel sõlmimise kohta
COM/2016/0237 final - 2016/0126 (NLE)
EUROOPA KOMISJON
Brüssel,29.4.2016
COM(2016) 237 final
2016/0126(NLE)
Ettepanek:
NÕUKOGU OTSUS
Ameerika Ühendriikide ja Euroopa Liidu vahelise kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmisega seotud isikuandmete kaitse kokkuleppe Euroopa Liidu nimel sõlmimise kohta
SELETUSKIRI
1.ETTEPANEKU TAUST
•Ettepaneku põhjused ja eesmärgid
2006. aasta novembris loodi komisjoni, nõukogu eesistuja ning Ameerika Ühendriikide justiitsministeeriumi, sisejulgeolekuministeeriumi, ja välisministeeriumi kõrgematest ametnikest koosnev kõrgetasemeline kontaktrühm, et uurida võimalusi ELi ja USA vaheliseks tihedamaks ja tõhusamaks koostööks õiguskaitsealase teabe vahetamisel, tagades samal ajal isikuandmete ja eraelu puutumatuse kaitse. Kõrgetasemelise kontaktrühma 2009. aasta oktoobri lõpparuandes 1 jõuti järeldusele, et parimaks lahenduseks oleks rahvusvaheline kokkulepe, mis kohustaks nii ELi kui ka USAd kohaldama õiguskaitsealaste andmete Atlandi-ülese edastamise suhtes ühtseid kokkulepitud andmekaitse põhimõtteid: selle eeliseks oleks eraelu puutumatust ja isikuandmete kaitset käsitlevate tõhusate põhimõtete kehtestamine, mille alusel toimuks õiguskaitsealase teabe vahetus ning mis tagaks õiguskindluse kõrgeima taseme.
Nõukogu võttis 3. detsembril 2010 vastu otsuse anda komisjonile volitused alustada läbirääkimisi Euroopa Liidu ja Ameerika Ühendriikide vahelise kokkuleppe sõlmimiseks, mis käsitleb kriminaalasjadega seotud politsei- ja õigusalase koostöö raames kuritegude, sealhulgas terrorismi tõkestamiseks, uurimiseks, avastamiseks ja nende eest vastutusele võtmiseks edastatavate ja töödeldavate isikuandmete kaitset (edaspidi „raamkokkulepe”) 2 .
Komisjon alustas läbirääkimisi 28. märtsil 2011. Pooled parafeerisid kokkuleppe teksti 8. septembril 2015.
Raamkokkuleppega kehtestatakse (esimest korda) ühelt poolt USA ja teiselt poolt ELi või selle liikmesriikide vahel isikuandmete 3 kriminaalõiguse rakendamise eesmärgil edastamise suhtes kohaldatavate andmekaitse põhimõtete ja kaitsemeetmete terviklik raamistik. Eesmärgil on kaks tahku – tagada andmekaitse kõrge tase ja seega edendada poolte vahelist koostööd. Kuigi raamkokkulepe ei ole ise isikuandmete USA-le edastamise õiguslikuks aluseks, täiendab see vajaduse korral kehtivate või tulevaste andmeedastust käsitlevate lepingute või sellist edastamist lubavate siseriiklike õigusaktide andmekaitsemeetmeid.
See kujutab endast märkimisväärset edasiminekut võrreldes praeguse olukorraga, kus isikuandmeid edastatakse üle Atlandi selliste õigusaktide (rahvusvahelised lepingud või siseriiklikud õigusnormid) alusel, mis ei hõlma üldse või hõlmavad väga nõrku andmekaitset käsitlevaid sätteid.
•Kooskõla poliitikavaldkonnas kehtivate sätetega
Raamkokkuleppega parandatakse kaitset, mis tagatakse ELi andmesubjektide isikuandmetele kriminaalõiguse rakendamise eesmärgil USA-le edastamise korral. Kõikehõlmava andmekaitse tagatiste raamistiku loomisega täiendatakse kokkuleppega kehtivaid lepinguid (nii liikmesriikide ja USA vahelisi kui ELi ja USA vahelisi kahepoolseid lepinguid), mille alusel edastatakse kriminaalõiguse rakendamise eesmärgil USA-le isikuandmeid, juhul ja niivõrd, kui need lepingud ei hõlma nõutud tasemel kaitsemeetmeid.
Lisaks sellele on kokkuleppe tulevaste ELi/liikmesriikide ja USA vaheliste lepingute „turvavõrguks”, allapoole mida kaitsetase langeda ei või. See on tuleviku jaoks oluline tagatis ja suur edusamm võrreldes praeguse olukorraga, kus iga uue lepingu puhul tuleb kaitsemeetmed, kaitsevahendid ja õigused uuesti läbi rääkida.
Kokkuvõtvalt kaasneb raamkokkuleppega märkimisväärne lisandväärtus ELi andmesubjektidele pakutava kaitse taseme tõstmise näol vastavalt ELi esmase ja teisese õiguse nõuetele. Esimest korda võetakse kasutusele andmekaitsevahend, mis hõlmab terviklikul ja järjepideval viisil vastava valdkonna kõiki andmete edastamisi (nt Atlandi-ülene andmevahetus kriminaalasjadega seotud politsei- ja õigusalase koostöö raames). Lisaks sellele põhjendatakse raamkokkuleppes Atlandi-üleses kontekstis andmete rahvusvahelisele edastamisele kehtestatud üldnõudeid, mis on sätestatud 14. aprillil 2016 vastu võetud direktiivis üksikisikute kaitse kohta seoses pädevates asutustes isikuandmete töötlemisega kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumise kohta (edaspidi „politseidirektiiv”) 4 . Sellest tulenevalt luuakse raamkokkuleppega ka oluline pretsedent võimalike sarnaste lepingute sõlmimiseks teiste rahvusvaheliste partneritega.
•Kooskõla Euroopa Liidu muude poliitikavaldkondadega
Raamkokkulepe peaks märkimisväärselt mõjutama Ameerika Ühendriikidega tehtavat politsei- ja õiguskaitsekoostööd. Andmekaitse eeskirjade ja tagatiste ühtse ja tervikliku raamistiku loomine võimaldab ühelt poolt ELi või selle liikmesriikide ning teiselt poolt USA kriminaalõiguse rakendamise eest vastutavatel asutustel omavahel tõhusamalt koostööd teha. Lisaks tagatakse sellega, et kehtivad lepingud sisaldavad kõiki vajalikke kaitsemeetmeid. See muudab õiguskaitsealase koostöö järjepidevaks ja tagab andmete vahetamisel suurema õiguskindluse. Kokkulepe lihtsustab tulevikus ka USAga kriminaalõiguse rakendamise valdkonnas andmete edastamist käsitlevate lepingute sõlmimist, kuna andmekaitsemeetmed oleksid juba kokkulepitud ning seega ei tule nende üle üha uuesti ja uuesti läbirääkimisi pidada. Ühtsete standardite kehtestamine selles olulises, kuid keerulises koostöövaldkonnas on oluline saavutus, mis võib Atlandi-ülestes andmevoogudes usalduse taastamisele märkimisväärselt kaasa aidata.
2.ÕIGUSLIK ALUS, SUBSIDIAARSUS JA PROPORTSIONAALSUS
•Õiguslik alus
Käesoleva ettepaneku õiguslik alus on ELi toimimise lepingu artikkel 16 koostoimes ELi toimimise lepingu artikli 218 lõike 6 punktiga a.
•Subsidiaarsus
Raamkokkulepe kuulub ELi toimimise lepingu artikli 3 lõike 2 alusel ELi ainupädevusse. Subsidiaarsuse põhimõtet seetõttu ei kohaldata.
•Proportsionaalsus
Raamkokkuleppega sätestatakse nõukogu läbirääkimisjuhistes nõutud andmekaitse tagatised. Tagatisi peetakse nii Euroopa Liidu põhiõiguste harta kui ka ELi acquis´ alusel oluliseks elemendiks, millega tagatakse kaitse nõutav tase isikuandmete edastamisel kolmandasse riiki. Sellise kaitsetaseme tagamiseks ei piisaks oluliselt väiksema ulatusega tagatistest ega ka väiksema siduva jõuga õiguskaitsevahendist. Seetõttu hõlmab ettepanek ainult ühelt poolt Ameerika Ühendriikide ja teiselt poolt Euroopa Liidu või selle liikmesriikide vahel õiguskaitse kontekstis edastatavate isikuandmete kaitseraamistiku kehtestamist käsitleva poliitilise eesmärgi saavutamiseks vajalikku.
•Vahendi valik
Isikuandmete kaitse jaoks kehtivaid lepinguid täiendava ning tulevaste lepingute aluseks oleva siduva raamistiku kehtestamist on võimalik tagada ainult ELi ja Ameerika Ühendriikide vahelise rahvusvahelise kokkuleppe sõlmimise kaudu.
Lisaks sellele, nagu rõhutati kõrgetasemelise kontaktrühma 2009. aasta oktoobri aruandes, tagab rahvusvaheline kokkulepe õiguskindluse kõrgeima taseme.
3.JÄRELHINDAMISTE, SIDUSRÜHMADEGA KONSULTEERIMISE JA MÕJU HINDAMISTE TULEMUSED
•Järelhindamised/ kehtivate õigusaktide toimivuskontroll
Ei kohaldata.
•Konsulteerimine sidusrühmadega
Komisjon on korrapäraselt esitanud nõukogu määratud erikomiteele tehtud edusammude kohta suulise ja kirjaliku aruande. Euroopa Parlamenti on kodanikuvabaduste, justiits- ja siseasjade komisjoni kaudu korrapäraselt suuliselt ja kirjalikult teavitatud.
•Eksperdiarvamuste kogumine ja kasutamine
Algatusega rakendatakse nõukogu 3. detsembri 2010. aasta läbirääkimisjuhiseid.
•Mõju hindamine
Mõjuhindamise teostamine ei olnud vajalik. Kavandatud leping on nõukogu läbirääkimisjuhistega kooskõlas.
•Õigusloome kvaliteet ja lihtsustamine
Ei kohaldata.
•Põhiõigused
Raamkokkuleppe sätete eesmärk on kaitsta Euroopa Liidu Põhiõiguste Harta artiklis 8 sätestatud põhiõigust isikuandmete kaitsele ning artiklis 47 sätestatud õigust tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele.
4.MÕJU EELARVELE
Kavandatud kokkuleppel puudub mõju eelarvele.
5.MUUD KÜSIMUSED
•Rakenduskavad ning järelevalve, hindamis- ja aruandluskord
Rakendamine liikmesriikide poolt on vajalik, kuid õigusaktidesse märkimisväärsete muudatuste tegemist ei ole ette näha, kuna raamkokkuleppe sisulised sätted peegeldavad suures ulatuses EL ja/või siseriiklikus õiguses ELi ja riiklike ametiasutuste suhtes juba kohaldatavaid eeskirju.
•Ettepaneku sätete üksikasjalik selgitus
Raamkokkulepe hõlmab kooskõlas nõukogu läbirääkimisjuhistega viie kategooria sätteid: i) horisontaalsed sätted; ii) andmekaitse põhimõtted ja kaitsemeetmed; iii) üksikisiku õigused; iv) lepingu kohaldamise ja järelevalvega seotud aspektid; ning v) lõppsätted.
i) Horisontaalsed sätted
i) Kokkuleppe eesmärk (Artikkel 1)
Kokkuleppe eesmärgi saavutamiseks (st tagada isikuandmete kaitse kõrge tase ja tõhustada koostööd õiguskaitse valdkonnas) kehtestatakse raamkokkuleppega raamistik isikuandmete kaitseks, kui isikuandmeid edastatakse ühelt poolt Ameerika Ühendriikide ja teiselt poolt Euroopa Liidu või selle liikmesriikide vahel seoses kuritegude, sealhulgas terrorismi, tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmisega. Viitega mõistetele „kuritegude tõkestamine, uurimine, avastamine ja nende eest vastutusele võtmine” (edaspidi ühiselt „õiguskaitse”) tagatakse, et kõnealune kokkulepe on kooskõlas ELi praeguse ja tulevase andmekaitse acquis raamistikuga (st üksikisikute kaitset isikuandmete töötlemisel ja selliste andmete vaba liikumist käsitleva määruse („isikuandmete kaitse üldmääruse” 5 ) ja „politseidirektiivi” vahel kohaldamisala piiritlemine).
Täpsustades, et raamkokkulepe ei ole iseenesest isikuandmete edastamise õiguslik alus ning selleks on alati vaja (eraldi) õiguslikku alust, nähtub artiklist 1, et raamkokkulepe on autentne põhiõigusi käsitlev kokkulepe, millega kehtestatakse selliste edastamiste suhtes kohaldatavad kaitsevahendid ja -meetmed.
ii) Mõisted (artikkel 2)
Raamkokkuleppe olulised mõisted on määratletud artiklis 2. Mõisted „isikuandmed”, „isikuandmete töötlemine”, „pooled”, „liikmesriik” ja „pädev asutus” on olemuslikult kooskõlas sellega, kuidas neid kontseptsioone on määratletud teistes ELi ja USA vahelistes lepingutes ja/või ELi andmekaitse acquis´s.
ii) Kokkuleppe kohaldamisala (artikkel 3)
Raamkokkuleppe artiklis 3 määratletakse raamkokkuleppe kohaldamisala. Sellega tagatakse, et raamkokkuleppes sätestatud kaitsevahendeid ja -meetmeid kohaldatakse kõigi andmevahetuste suhtes, mis leiavad aset Atlandi-ülese kriminaalasjades tehtava õiguskaitsealase koostöö raames. See hõlmab siseriiklike õigusaktide, ELi ja USA vaheliste lepingute (nt ELi-USA vastastikuse õigusabi leping), liikmesriikide ja USA vaheliste lepingute (nt vastastikuse õigusabi lepingud, raskete kuritegude tõkestamisel ja nende vastu võitlemisel tehtavat koostööd edendavad lepingud, terroriste käsitlevat teavet hõlmavad lepingud) ning samuti isikuandmete eraõiguslike üksuste poolt õiguskaitse eesmärgil edastamist käsitlevate erilepingute (nt ELi ja USA vaheline broneeringuinfo leping 6 ja terrorismi rahastamise jälgimise programmi leping 7 ) alusel toimuvaid edastamisi. Kohaldamisala on formuleeritud „andmete edastamise alusel”, st see hõlmab põhimõtteliselt kõiki ELi ja USA vahelisi kriminaalõiguse rakendamise eesmärgil andmete edastamisi, sõltumata asjaomase andmesubjekti kodakondsusest või elukohast.
Raamkokkulepe ei hõlma USA ja liikmesriikide riikliku julgeoleku kaitsmise eest vastutavate pädevate asutuste vahelist andmete edastamist (või muus vormis koostööd).
iv) Diskrimineerimise keeld (artikkel 4)
Artiklis 4 sätestatakse, et pooled rakendavad raamkokkulepet enda ja teise poole kodanike suhtes ilma meelevaldse ja põhjendamatu diskrimineerimiseta.
Kõnealuse artikliga täiendatakse ja tõhustatakse kokkuleppe teisi sätteid (eelkõige artikleid, milles sätestatakse üksikisikute suhtes kohaldatavaid kaitsemeetmeid nagu juurdepääs isikuandmetele, andmete parandamine ning üksikisikute õiguskaitse haldusmenetluse teel, vt allpool), kuna sellega tagatakse, et ELi kodanikke koheldakse kõnealuste sätete praktikas rakendamisel USA ametiasutuste poolt põhimõtteliselt võrdsetel alustel USA kodanikega.
v) Kokkuleppe mõju (artikkel 5)
Mis puutub ELi/selle liikmesriikide ja USA vahel kehtivatesse lepingutesse, siis täiendab raamkokkulepe neid vajaduse korral, st juhul ja niivõrd, kui need lepingud ei hõlma nõutud tasemel andmekaitsemeetmeid 8 .
Raamkokkuleppe (ja eelkõige selle üksikisiku õigusi käsitlevate artiklite) tõhus rakendamine tõstab esile eelduse kooskõla kohta andmete rahvusvahelise edastamise suhtes kohaldatavate eeskirjadega. Tegemist ei ole automaatse ega üldise eeldusega ning nagu kõiki eeldusi, on seda võimalik tagasi lükata. Tegemist ei ole automaatse eeldusega, kuna selle kohaldamine sõltub sõnaselgelt raamlepingu tõhusast rakendamisest USA poolt ning täpsemalt – nagu on selgitatud artikli 5 lõikes 2 – üksikisikuõigusi (eelkõige juurdepääs isikuandmetele, andmete parandamine ning üksikisikute õiguskaitse haldusmenetluse ja kohtumenetluse teel) käsitlevate artiklite tõhusast rakendamisest. Tegemist ei ole ka üldise eeldusega: kuna raamkokkulepe ei ole „iseseisev” andmete edastamist reguleeriv meede, on selline eeldus kohaldatav juhtumipõhiselt, st hinnates, kas raamkokkulepe koos edastamise suhtes kohaldatava konkreetse õigusliku alusega tagab ELi andmekaitse eeskirjadele vastava kaitsetaseme. Teisisõnu, erinevalt piisavustagatist käsitlevast otsusest ei tähenda käesolevas klauslis sätestatu USAs pakutava kaitsetaseme kui sellise üldist tunnustamist ega edastamiste üldist lubamist.
ii) Andmekaitse põhimõtted ja kaitsemeetmed
Allpool kirjeldatud artiklid hõlmavad isikuandmete töötlemist ning peamisi kaitsemeetmeid ja piiranguid käsitlevaid olulisi põhimõtteid.
i) Eesmärgi ja kasutuse piirangud (artikkel 6)
Kooskõlas Euroopa Liidu põhiõiguste harta ning ELi acquis´ga kohaldatakse artiklis 6 eesmärgi piirangu põhimõtet kõigi raamkokkuleppega hõlmatud isikuandmete edastamiste suhtes nii erijuhtumite puhul kui ka juhtumite puhul, kus USA ja EL/liikmesriigid sõlmivad kokkuleppe, mille alusel lubatakse isikuandmeid edastada suuremas mahus. Töötlemine (mis hõlmab edastamist) saab toimuda ainult raamkokkuleppes üheselt määratletud õiguspärastel eesmärkidel, st seoses kuritegude, sealhulgas terrorismi, tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmisega.
Lisaks poole esimesele vastu võtvale asutusele võivad isikuandmete edasitöötlemisega tegeleda teised (õiguskaitseasutused, reguleerivad või haldusasutused) asutused, kui see ei ole vastuolus andmete edastamise esmase eesmärgiga ning see asutus vastab kõigile raamkokkuleppe muudele tingimustele.
Andmeid edastav pädev asutus võib erandjuhtudel kehtestada täiendavaid tingimusi (nt andmete kasutamisele).
Isikuandmeid töödeldakse ainult juhul, kui see on „otseselt seotud nende töötlemise eesmärgiga, ei lähe sellest kaugemale ja ei ole liiga ulatuslik”.
Artikkel 6 on kokkuleppe seisukohast väga oluline: sellega tagatakse kaitsemeetmete kohaldamine vastavate andmete kogu „eluea” jooksul alates nende esialgsest EList edastamisest kuni töötlemiseni USA pädeva asutuse poolt ning vastupidi, samuti võimaliku edasi jagamise korral mõnele teisele USA asutusele/töötlemiseni mõne teise USA asutuse poolt, või andmete edastamise korral USAst ELi või (mõne) liikmesriigi pädevale asutusele, võimaliku edasi jagamise korral mõnele teisele ELi või liikmesriigi asutusele.
ii) Andmete edasisaatmine (artikkel 7)
Artiklis 7 sätestatud andmete edasisaatmist käsitlevad piirangud näevad ette, et juhul kui USA ametiasutus kavatseb ELilt või mõnelt selle liikmesriigilt saadud andmeid kokkuleppega mitteseotud kolmandale riigile/rahvusvahelisele organisatsioonile edasi saata, peab ta selleks saama EList algselt isikuandmed USAsse saatnud pädeva asutuse eelneva nõusoleku. Kõnealust reeglit kohaldatakse ka juhul, kui ELi või mõne liikmesriigi asutus kavatseb kolmandale riigile/rahvusvahelisele organisatsioonile edasi saata USAst saadud andmeid.
Nõusoleku andmisel võtab pädev asutus, kes algselt isikuandmed edastas, arvesse kõiki asjakohaseid asjaolusid, sealhulgas isikuandmete algse edastamise eesmärki ja seda, kas kolmas riik, kelle suhtes käesolev kokkulepe ei ole siduv, või rahvusvaheline organ tagab isikuandmete kaitse vajalikul tasemel. Pädev asutus võib isikuandmete edasisaatmise suhtes kehtestada ka eritingimusi.
Lisaks sellele, sarnaselt eesmärgi piirangut (vt artikkel 6 eespool), säilitamisperioode (vt artikkel 12 allpool) ja tundlikku teavet (vt artikkel 13 allpool) käsitlevatele artiklitele, võetakse kõnealuses artiklis sõnaselgelt arvesse mittekahtlustatavate isikute andmete suuremahulise edastamise erilist tundlikkust (nt kõigi lennule minevate reisijate broneeringuinfo, kuigi nende suhtes konkreetne kahtlustus puudub). Artikli kohaselt võib isikuandmete edastamine muul viisil kui konkreetsete juhtumitega seoses toimuda ainult kooskõlas kokkuleppega ettenähtud eritingimustega, milles on sätestatud edasisaatmise põhjendus.
Kõnealuses artiklis (lõige 4) käsitletakse ka erijuhtumit, kus andmed saadetakse edasi teisele riigile ELi sees (nt Prantsuse politsei jagab Saksa politseiga USAst FBI-lt saadud teavet). Artiklis sätestatakse, et kui kohaldatavate eeskirjade alusel on sellisteks edasisaatmisteks vaja eelnevat nõusolekut, ei saa algselt teabe edastanud ametiasutus (nt USA FBI) andmekaitsest tulenevatel põhjustel nõusolekust keelduda või tingimusi kehtestada (kuna raamkokkulepe on kõigi kõnealuste ametiasutuste suhtes siduv).
iii) Andmete kvaliteet ja terviklus (artikkel 8)
Pooled võtavad mõistlikke meetmeid tagamaks, et edastatud isikuandmeid säilitatakse andmete õiguspäraseks töötlemiseks vajaliku ja asjakohase täpsuse, asjakohasuse, ajakohasuse ja terviklikkusega. Kui vastu võttev või edastav pädev asutus saab teada tõsistest kahtlustest seoses vastu võetud või edastatud isikuandmete asjakohasuse, ajakohasuse, terviklikkuse või täpsusega, teatab ta sellest võimaluse korral andmeid edastavale/vastu võtvale asutusele
iv) Infoturve (artikkel 9) ja infoturbe intsidentidest teatamine (artikkel 10)
Kõnealuste artiklitega tagatakse raamkokkuleppe poolte vahel vahetatavate isikuandmete kõrgetasemeline turvalisus.
Esiteks, tulenevalt artiklist 9 võtavad pooled asjakohaseid tehnilisi, turva- ja organisatsioonilisi meetmeid, et kaitsta isikuandmeid juhusliku või ebaseadusliku hävitamise, juhusliku hävimise ja volitamata avaldamise, muutmise, juurdepääsu või muu töötlemise eest. Nende meetmete kohaselt on isikuandmetele juurdepääs ainult volitatud töötajatel.
Teiseks, tulenevalt artiklist 10, võetakse intsidendi korral, mille puhul esineb märkimisväärse kahju oht, kohe asjakohaseid meetmeid kahju leevendamiseks. Sellised meetmed hõlmavad andmeid edastanud pädeva asutuse teavitamist, kui see on intsidendi asjaolusid arvesse võttes asjakohane, ka asjaomase üksikisiku teavitamist. Artiklis on esitatud ka teavitamiskohustuse suhtes kohaldatavate erandite täielik loetelu, mis vastavad mõistlikele piirangutele (nt riiklik julgeolek).
v) Arvestuse pidamine (artikkel 11)
Pooled kasutavad tõhusaid meetodeid (nt logid), et tõendada isikuandmete töötlemise ja kasutamise seaduslikkust.
Kõnealune nõue kujutab endast märkimisväärset kaitsemeedet üksikisikute jaoks, kuna sellega pannakse õiguskaitseasutustele kohustus tõendada, et teatavate andmete töötlemine teostati vastavalt seadusele. Andmetöötlustoimingute dokumenteerimise kohustus eeldab eelkõige seda, et ebaseadusliku töötlemise korral jääb sellest maha „jälg”. See peaks lihtsustama töötlemistoimingute seaduslikkust käsitlevate kaebuste läbivaatamist ning nõuete esitamist.
vi) Säilitamise tähtajad (artikkel 12)
Andmete töötlemise suhtes kohaldatakse konkreetseid säilitustähtaegu, mille eesmärk on tagada, et andmeid ei säilitata kauem, kui on vajalik ja asjakohane. Säilitustähtaegade kindlaks määramisel tuleb arvesse võtta erinevaid asjaolusid, eelkõige andmete töötlemise või kasutamise eesmärke, andmete liiki ning mõju asjaomaste andmesubjektide õigustele ja huvidele.
Samuti täpsustatakse, et pooled sõlmivad kokkuleppe andmete suuremahuliseks edastamiseks, mis sisaldab konkreetseid sätteid säilitustähtaegade kohta. Selle sättega nõustuvad pooled põhimõttega, et sellised suuremahulist andmete edastamist käsitlevad kokkulepped sisaldavad konkreetseid säilitustähtaegu, mida ei tule enam uuesti kokku leppida.
Säilitustähtajad vaadatakse korrapäraselt läbi, et teha kindlaks, kas kohaldatavat tähtaega on vaja muutunud asjaolude tõttu muuta.
Läbipaistvuse tagamiseks säilitustähtajad avaldatakse või tehakse need muul viisil avalikkusele kättesaadavaks.
vii) Isikuandmete erikategooriad (artikkel 13)
Selliste isikuandmete töötlemine, mis paljastavad rassilise või etnilise päritolu, poliitilised vaated ja usulised või muud veendumused, kuuluvuse ametiühingusse või käsitlevad tervislikku seisundit või seksuaalelu, võib toimuda ainult asjakohaseid kaitsemeetmeid kohaldades kooskõlas seadusega (nt andmete maskimine pärast seda, kui andmete töötlemise eesmärk on saavutatud või andmetele juurdepääsu saamiseks järelevalve teostaja loa nõudmine).
Isikuandmete suuremahulist edastamist võimaldavates kokkulepetes tuleb täiendavalt täpsustada nõuded ja tingimused, mille kohaselt võib andmete erikategooriaid töödelda.
Andmete erikategooriaid käsitlevad sätted on kooskõlas nõudega, mille kohaselt on töötlemine eesmärgi ja kasutuse piiranguid käsitleva artikli 6 alusel otseselt asjakohane ega ületa selle otstarbe piire.
viii) Automatiseeritud otsused (artikkel 15)
Andmete töötlemine, mille tulemuseks võivad olla üksikisiku suhtes märkimisväärselt kahjulikke tagajärgi põhjustavad otsused (nt profileerimise kontekstis), ei või põhineda üksnes isikuandmete automatiseeritud töötlemisel, välja arvatud juhul, kui see on lubatud riigisisese õiguse kohaselt ja selle suhtes kehtivad asjakohased kaitsemeetmed, mille hulka kuulub inimese sekkumise võimalus.
ix) Läbipaistvus (artikkel 20)
Üksikisikutel on õigus saada teavet (üldise teate avaldamise teel või isiku teavitamise teel ning „mõistlike piirangute” raames) nende isikuandmete töötlemise eesmärkide ja võimaliku edasise kasutamise kohta, isikuandmete töötlemist reguleerivate seaduste või muude õigusnormide kohta, kolmandate isikute kohta, kellele isikuandmeid avaldatakse ning olemasolevate isikuandmetele juurdepääsu, nende parandamise ja õiguskaitse võimaluste kohta.
Üksikisikute teadlikkuse tõstmine selle kohta, miks ja kes nende andmeid töötleb, aitab kaasa üksikisikute võimalusele kasutada oma õigust isikuandmetele juurdepääsule, nende parandamisele ja õiguskaitsele (vt artiklid 16–19 allpool).
iii) Üksikisiku õigused
Kõnealused õigused on eriti asjakohased andmesubjektide kaitse jaoks, sest neil on esimest korda võimalik teostada üldiselt kohaldatavaid õigusi andmete mis tahes Atlandi-ülese edastamise suhtes õiguskaitse valdkonnas kriminaalasjades.
i) Juurdepääs ja andmete parandamine (artikkel 16 ja artikkel 17).
Juurdepääsuõigusega tagatakse, et üksikisikul on õigus taotleda juurdepääsu oma isikuandmetele ja see saada. Loetletud on juurdepääsu piiravad põhjused ning need vastavad mõistlikele piirangutele (nt riikliku julgeoleku kaitsmine, kuritegude uurimise või kuritegude eest vastutusele võtmise ärahoidmine, teiste õiguste ja vabaduste kaitsmine). Üksikisikule ei tohi tekitada ülemääraseid kulusid tema isikuandmetele juurdepääsu saamise tingimusena.
Andmete parandamisõigusega tagatakse, et üksikisikul on õigus taotleda oma isikuandmete korrigeerimist või parandamist, juhul kui need andmed on ebaõiged või neid on mittenõuetekohaselt töödeldud. See võib hõlmata andmete täiendamist, kustutamist, sulgemist või muid meetmeid või meetodeid ebaõigete andmete või mittenõuetekohase töötlemise käsitlemiseks.
Kui andmeid vastu võtva riigi pädev asutus, olles saanud üksikisiku taotluse, saanud teate isikuandmete esitajalt või viinud läbi uurimise, jõuab järeldusele, et andmed on ebaõiged või neid on mittenõuetekohaselt töödeldud, laseb ta andmeid täiendada, need kustutada või sulgeda või kasutab muid andmete korrigeerimise või parandamise meetodeid.
Kui kohaldatav riigisisene õigus seda võimaldab, on üksikisikul õigus volitada järelevalveasutust (st ELi andmesubjekti puhul riiklik andmekaitseasutus) taotlema tema nimel isikuandmetele juurdepääsu või nende parandamist. Võimalus kasutada oma õiguste teostamiseks asutust neile tuttava õigussüsteemi raames peaks andmesubjekte oma õiguste jõustamisel konkreetselt aitama.
Kui isikuandmetele juurdepääsu või nende parandamist ei võimaldata või seda piiratakse, esitab asutus, kellelt andmetele juurdepääsu või nende parandamist taotleti, üksikisikule (või tema volitatud esindajale) andmetele juurdepääsu või nende parandamise keelamise või piiramise põhjused. Kohustuse esitada üksikisikule põhjendatud vastus eesmärk on võimaldada ja lihtsustada üksikisikul teostada oma õigust õiguskaitsele haldusmenetluse ja kohtumenetluse teel juhul, kui asjaomane õiguskaitseasutus andmetele juurdepääsu/nende parandamist ei luba või seda piirab.
iii) Õiguskaitse haldusmenetluse teel (artikkel 18)
Üksikisikul on õigus kaitsta oma õigusi haldusmenetluses, kui ta juurdepääsutaotlus või taotlus ebaõigete isikuandmete parandamiseks on tagasi lükatud. Andmetele juurdepääsu ja nende parandamise puhul on asjaomasel andmesubjektil oma õiguste tõhusaks teostamiseks õigus volitada järelevalveasutust (st ELi andmesubjekti puhul riiklik andmekaitseasutus) või muud esindajat, kui kohaldatav riigisisene õigus seda võimaldab.
Pädev asutus, kelle poole on õiguste kaitseks pöördutud, teatab andmesubjektile kirjalikult vajaduse korral ka seda, milliseid heastamis- või parandusmeetmeid võetakse.
iii) Õiguskaitse kohtumenetluse teel (artikkel 19)
Poolte kodanikel on õigus pöörduda kohtusse juhul, kui i) talle keeldutakse võimaldamast andmetele juurdepääsu, ii) keeldutakse tema andmete parandamisest või iii) teise poole ametiasutused on tema andmed ebaseaduslikult avaldanud.
USAs on see sätestatud president Obama poolt 24. veebruaril 2016. aastal allkirjastatud õiguskaitset kohtumenetluse teel käsitlevas seaduses (Judicial Redress Act). Kõnealuse seaduse kohaldusala laiendatakse „hõlmatud riikide” 9 kodanikele, nimetatud kolm õiguskaitse motiivi on sätestatud USA 1974. aasta eraelu puutumatuse seaduses (1974 U.S. Privacy Act), mida praegu kohaldatakse ainult USA kodanike ja alaliste elanike suhtes. Raamkokkuleppe preambuli neljandas põhjenduses selgitatakse, et kõnealune kohaldusala laiendamine hõlmab broneeringuinfo lepingu ja terrorismi rahastamise jälgimise programmi lepingu raames vahetatud andmeid. Koos õiguskaitset kohtumenetluse teel käsitleva seadusega parandab artikkel 19 seega märkimisväärselt ELi kodanike õiguskaitset.
Kuigi õiguskaitset kohtumenetluse teel käsitlev seadus sisaldab mitmeid piiranguid (eelkõige kohaldatakse seda „hõlmatud riikide” kodanike andmete suhtes, kelle andmed on edastanud ELi õiguskaitseasutused, kuid mitte ainult ELi kodanike andmete suhtes), vastatakse raamkokkuleppe artikliga 19 ELi pikaaegsetele lootustele.
Säte vastab president Junckeri poliitilistele suunistele, mille kohaselt „peab USA tagama, et kõigil ELi kodanikel on õigus kaitsta oma andmekaitseõigusi USA kohtutes, olenemata sellest, kas elatakse USA territooriumil või mitte. Sellise diskrimineerimise kõrvaldamine on oluline, et taastada usaldus, millele peavad tuginema tihedad Atlandi-ülesed suhted.” Samuti vastab see Euroopa Parlamendi 12. märtsi 2014. aasta resolutsioonile USA Riikliku Julgeolekuagentuuri jälgimisprogrammi kohta, millega Euroopa Parlament palus viivitamatult jätkata USAga raamkokkulepet käsitlevaid läbirääkimisi, et „seada ELi kodanike õigused samale alusele USA kodanike õigustega (...)” ning tagama „tõhusad ja rakendatavad (...) haldus- ja õiguslikud abinõud kõigile ELi kodanikele USAs, ilma diskrimineerimiseta” 10 .
Artikli 19 lõikes 3 selgitatakse, et eespool nimetatud kolme õiguskaitse menetluse laiendamine ei piira teiste andmetöötluse suhtes kohaldatavate õiguskaitsevahendite kasutamist (nt haldusmenetluse seaduse (Administrative Procedure Act), elektroonilise kommunikatsiooni puutumatuse kaitset käsitleva seaduse (Electronics Communication Privacy Act) või teabevabaduse seaduse (Freedom of Information Act) raames. Nimetatud teised õiguskaitse õiguslikud alused on avatud kõigile ELi andmesubjektidele, kelle andmeid edastatakse õiguskaitse eesmärgil, sõltumata nende kodakondsusest või elukohast.
iv) Raamkokkuleppe kohaldamise ja järelevalvega seotud aspektid
i) Vastutus (artikkel 14)
Kehtestatakse meetmed raamkokkuleppega hõlmatud isikuandmeid töötlevate asutuste vastutuse suurendamiseks. Vastu võtva asutuse poolt isikuandmete edasi jagamisel teistele asutustele tuleks neid teavitada käesoleva kokkuleppe kohaselt edastatavate isikuandmete suhtes kohaldatavatest kaitsemeetmetest ja võimalikest täiendavatest (piiravatest) tingimustest, mis on edastamisele eesmärgi ja kasutuse piiranguid käsitleva artikli 6 lõike 3 kohaselt lisatud. Tõsise nõuete rikkumise suhtes kohaldatakse asjakohaseid ja hoiatavaid karistus-, tsiviil- või haldusõiguslikke sanktsioone.
Vastutuse suurendamist käsitlevad meetmed hõlmavad vajaduse korral ka isikuandmete edastamise lõpetamist käesoleva kokkuleppega hõlmamata poolte üksustele, kes ei taga isikuandmete tõhusat kaitset, võttes arvesse käesoleva kokkuleppe eesmärki (ning eelkõige käesoleva kokkuleppe sätteid, mis käsitlevad eesmärgi ja kasutuse piiranguid ja andmete edasisaatmist). Kõnealune säte käsitleb olukorda, kus ELi asutus on saatnud isikuandmed USA föderaalasutusele (st käesoleva kokkuleppega hõlmatud asutus) ning seejärel edastatakse andmed edasi osariigitasandi õiguskaitseasutusele. Põhiseadusest tulenevalt on USA võimalused piiratud, et seada osariikidele rahvusvahelise tasandi kohustusi 11 . USA föderaalsetele asutustele edastatud ja siis osariigi tasandi õiguskaitseasutustele jagatud andmete kaitse jätkumise tagamiseks hõlmab kõnealune artikkel i) poolte „muid asutusi” (st käesoleva kokkuleppega hõlmamata asutused nagu USA osariikide asutused); ii) sätestatakse, et neile teatatakse raamkokkuleppega ette nähtud kaitsemeetmed; ning iii) sätestatakse, et vajaduse korral lõpetatakse andmete edastamine sellistele asutustele juhul, kui nad ei kaitse isikuandmeid tõhusalt, võttes arvesse käesoleva raamkokkuleppe eesmärki ning eelkõige selle artikleid, mis käsitlevad eesmärgi ja kasutuse piiranguid ja andmete edasisaatmist.
Eesmärgiga tagada, et raamkokkuleppega vastavuse eest vastutaks pädev õiguskaitseasutus, on kõnealune artikkel oluliseks nurgakiviks, millele toetub kokkuleppe raames tõhus õigus- ja järelevalvesüsteem. See lihtsustab ka rikkumiste (ning sellest tuleneva riigiasutuste vastutuse) korral üksikisikute nõuete esitamist.
ELi asutused saavad USA poolelt aru pärida ning saada neilt vastu asjaomast teavet selle kohta, kuidas nad täidavad artiklist 14 tulenevaid kohustusi (sealhulgas võetud meetmete kohta). Ühiste läbivaatamistega (vt artikkel 23 allpool) seoses pööratakse erilist tähelepanu kõnealuse artikli tõhusale rakendamisele.
ii) Tõhus järelevalve (artikkel 21)
Pooled tagavad, et neil on üks või mitu avaliku järelevalve asutust, kes teostavad sõltumatu järelevalve funktsioone ja volitusi, sealhulgas läbivaatamine, uurimine ja sekkumine. Kõnealustel asutustel on õigus vastu võtta üksikisikute kaebusi seoses käesoleva raamkokkuleppe rakendamise meetmetega ja neid kaebusi menetleda ning algatada käesoleva kokkuleppega seotud õigusrikkumiste suhtes vastutusele võtmine või distsiplinaarmenetlus. Võttes arvesse USA süsteemi iseärasusi, teostatakse ELis andmekaitseasutuste järelevalvefunktsioone kumulatiivselt mitme asutuse kaudu (sh kõrgemad privaatsusametnikud, peainspektorid, privaatsuse ja põhivabaduste järelevalveametid jne).
Kõnealuse artikliga täiendatakse isikuandmetele juurdepääsu, andmete parandamist ning üksikisikute õiguskaitset haldusmenetluse teel käsitlevate sätete alusel rakendatavaid kaitsemeetmeid. Eelkõige võimaldab see üksikisikutel esitada sõltumatutele asutustele kaebusi selle kohta, kuidas teine pool on raamlepingut rakendanud.
iii) Koostöö järelevalveasutuste vahel (artikkel 22)
Järelevalvet teostavad asutused teevad koostööd eesmärgiga tagada kokkuleppe tõhus rakendamine, eelkõige seoses üksikisiku isikuandmetele juurdepääsu, andmete parandamist ja õiguskaitset haldusmenetluse teel käsitlevate õiguste kaudse teostamisega (vt artiklid 16–18 eespool).
Lisaks sellele määratakse kindlaks riiklikud kontaktpunktid, kes abistavad konkreetse juhtumi puhul asjaomase järelevalveasutuse kindlakstegemisel. Võttes eelkõige arvesse USA erinevate järelevalvet teostavate asutuste arvu, aitab abi- ja koostöötaotluste keskse kontaktpunkti loomine kaasa kõnealuste taotluste tõhusale läbivaatamisele.
iv) Ühine läbivaatamine (artikkel 23)
Pooled vaatavad korrapäraselt ühiselt läbi raamkokkuleppe rakendamise ja selle tõhususe, pöörates erilist tähelepanu üksikisiku õigusi (juurdepääs isikuandmetele, isikuandmete parandamine, õiguskaitse haldusmenetluse ja kohtumenetluse teel), samuti käesoleva kokkuleppega hõlmamata poolte koosseisu kuuluvate territoriaalsete üksuste küsimust (st USA osariigid) käsitlevate artiklite tõhusale rakendamisele. Esimene ühine läbivaatamine toimub hiljemalt kolme aasta jooksul käesoleva kokkuleppe jõustumisest ja pärast seda korrapäraselt.
Delegatsioonide koosseisud hõlmavad nii andmekaitseasutuste kui ka õiguskaitse- ja õigusasutuste esindajaid. Ühise läbivaatamise tulemused avalikustatakse.
v) Lõppsätted
Raamleping sisaldab mitmeid lõppsätteid, mis käsitlevad:
teise poole teavitamist õigusaktidest, mis mõjutavad oluliselt käesoleva kokkuleppe rakendamist. USA teavitab ELi spetsiaalselt õiguskaitset kohtumenetluse teel käsitleva seaduse (artikkel 24) sätete kohaldamisega seotud meetmetest;
konsultatsioone vaidluste puhul, mis tulenevad seda, kuidas kokkulepet tõlgendada või kohaldada (artikkel 25);
võimalust peatada kokkuleppe kohaldamine ühe poole poolt, kui teine pool on kokkulepet oluliselt rikkunud (artikkel 26);
kokkuleppe territoriaalset kohaldamist, et võtta arvesse Ühendkuningriigi, Iirimaa ja Taani eriolukorda (artikkel 27);
kokkuleppe sõlmimist määramata ajaks (mis on põhjendatud kokkuleppe laadiga, mis on raamistik, millega sätestatakse kaitsevahendid ja -meetmed, samuti võimaluse tõttu peatada ja lõpetada kokkulepe kehtivus) (artikkel 28);
iga poole võimalust kokkulepe lõpetada, teatades sellest teisele poolele, samal ajal täpsustatakse, et enne kokkuleppe lõpetamist edastatud isikuandmete töötlemist jätkatakse raamlepingu kohaselt (artikli 29 lõiked 2 ja 3);
kokkuleppe jõustumist järgmise kuu esimesel päeval pärast kuupäeva, mil lepingupooled on vahetanud teateid kokkuleppe jõustumiseks vajalike sisemenetluste lõpuleviimisest (artikli 29 lõige 1);
keeleklauslilt (vahetult enne allkirjarida), milles sätestatakse, et i) kokkulepe sõlmitakse inglise keeles ning EL koostab selle ELi ülejäänud 23 ametlikus keeles; ii) võimalus kinnitada kokkuleppe teksti autentsust mis tahes muus ELi ametlikus keeles diplomaatiliste nootide vahetamise teel Ameerika Ühendriikidega; iii) Kokkuleppe autentsetes keeleversioonides esinevate lahknevuste korral on ingliskeelne versioon ülimuslik.
2016/0126 (NLE)
Ettepanek:
NÕUKOGU OTSUS
Ameerika Ühendriikide ja Euroopa Liidu vahelise kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmisega seotud isikuandmete kaitse kokkuleppe Euroopa Liidu nimel sõlmimise kohta
EUROOPA LIIDU NÕUKOGU,
võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artiklit 16 koostoimes artikli 218 lõike 6 punktiga a,
võttes arvesse Euroopa Komisjoni ettepanekut,
võttes arvesse Euroopa Parlamendi nõusolekut, 12
pärast konsulteerimist Euroopa Andmekaitseinspektoriga
ning arvestades järgmist:
(1)Kooskõlas nõukogu otsusega [...] 13 allkirjastati XX XXXX 2016 Ameerika Ühendriikide ja Euroopa Liidu vaheline kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmisega seotud isikuandmete kaitse kokkuleppe (edaspidi „kokkulepe”), eeldusel et see sõlmitakse hilisemal kuupäeval.
(2)Raamkokkuleppega soovitakse kehtestada ühelt poolt USA ja teiselt poolt ELi või selle liikmesriikide vahel isikuandmete kriminaalõiguse rakendamise eesmärgil edastamise suhtes kohaldatavate andmekaitse põhimõtete ja kaitsemeetmete terviklik raamistik. Eesmärk on tagada andmekaitse kõrge tase, ja seega edendada poolte vahelist koostööd. Kuigi raamkokkulepe ei ole ise isikuandmete USA-le edastamise õiguslikuks aluseks, täiendab see vajaduse korral kehtivate või tulevaste andmeedastust käsitlevate lepingute või sellist edastamist lubavate siseriiklike õigusaktide andmekaitsemeetmeid.
(3)Kokkuleppe kõik sätted kuuluvad liidu pädevusse. Liit on vastu võtnud direktiivi 2016/XXX/EL 14 üksikisikute kaitse kohta seoses pädevates asutustes isikuandmete töötlemisega kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumise kohta.
(4)Euroopa Liidul on ainupädevus ulatuses, milles kokkulepe võib ühiseid liidu õigusnorme mõjutada või nende reguleerimisala muuta.
(5)Euroopa Liidu lepingule ja Euroopa Liidu toimimise lepingule lisatud protokolli nr 21 (Ühendkuningriigi ja Iirimaa seisukoha kohta vabadusel, turvalisusel ja õigusel rajaneva ala suhtes) artikli 6a kohaselt ei ole käesoleva kokkuleppega kehtestatud eeskirjad, mis on seotud isikuandmete töötlemisega Euroopa Liidu toimimise lepingu kolmanda osa V jaotise 4. peatüki (õigusalane koostöö kriminaalasjades) või 5. peatüki (politseikoostöö) reguleerimisalasse kuuluvate tegevuste käigus, Ühendkuningriigi ega Iirimaa suhtes siduvad, kui Ühendkuningriik ja Iirimaa ei ole seotud eeskirjadega, mille puhul tuleb järgida kokkuleppega kehtestatud sätteid.
(6)Kooskõlas Euroopa Liidu lepingule ja Euroopa Liidu toimimise lepingule lisatud protokolli nr 22 (Taani seisukoha kohta) artiklitega 1 ja 2 ei osale Taani käesoleva otsuse vastuvõtmises ning leping ei ole Taani suhtes siduv ega kohaldatav,
(7)Kokkulepe tuleks liidu nimel heaks kiita,
ON VASTU VÕTNUD KÄESOLEVA OTSUSE:
Artikkel 1
Käesolevaga kiidetakse Euroopa Liidu nimel heaks Ameerika Ühendriikide ja Euroopa Liidu vaheline kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmisega seotud isikuandmete kaitse kokkulepe.
Kokkuleppe tekst on lisatud käesolevale otsusele.
Artikkel 2
Nõukogu eesistuja nimetab isiku, kes on volitatud liidu nimel esitama kõnealuse kokkuleppe artikli 29 lõikes 1 sätestatud teate, et väljendada Euroopa Liidu nõusolekut end kokkuleppega siduda.
Artikkel 3
Käesolev otsus jõustub selle Euroopa Liidu Teatajas 15 avaldamise päeval.
Brüssel,
Nõukogu nimel
eesistuja
EUROOPA KOMISJON
Brüssel,29.4.2016
COM(2016) 237 final
LISA
AMEERIKA ÜHENDRIIKIDE JA
EUROOPA LIIDU VAHELINE KURITEGUDE TÕKESTAMISE, UURIMISE, AVASTAMISE JA NENDE EEST VASTUTUSELE VÕTMISEGA SEOTUD ISIKUANDMETE KAITSE KOKKULEPE
lisatud dokumendile:
Ettepanek: nõukogu otsus
Ameerika Ühendriikide ja Euroopa Liidu vahelise kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmisega seotud isikuandmete kaitse kokkuleppe Euroopa Liidu nimel allkirjastamise kohta
AMEERIKA ÜHENDRIIKIDE JA
EUROOPA LIIDU VAHELINE KURITEGUDE TÕKESTAMISE, UURIMISE, AVASTAMISE JA NENDE EEST VASTUTUSELE VÕTMISEGA SEOTUD ISIKUANDMETE KAITSE KOKKULEPE
SISUKORD
Preambul
Artikkel 1: Eesmärk
Artikkel 2: Mõisted
Artikkel 3: Kohaldamisala
Artikkel 4: Diskrimineerimise keeld
Artikkel 5: Kokkuleppe mõju
Artikkel 6: Eesmärgi ja kasutuse piirangud
Artikkel 7: Andmete edasisaatmine
Artikkel 8: Andmete kvaliteedi ja tervikluse säilitamine
Artikkel 9: Infoturve
Artikkel 10: Infoturbe intsidentidest teatamine
Artikkel 11: Arvestuse pidamine
Artikkel 12: Säilitamise tähtajad
Artikkel 13: Isikuandmete erikategooriad
Artikkel 14: Vastutus
Artikkel 15: Automatiseeritud otsused
Artikkel 16: Juurdepääs
Artikkel 17: Isikuandmete parandamine
Artikkel 18: Õiguskaitse haldusmenetluse teel
Artikkel 19: Õiguskaitse kohtumenetluse teel
Artikkel 20: Läbipaistvus
Artikkel 21: Tõhus järelevalve
Artikkel 22: Koostöö järelevalveasutuste vahel
Artikkel 23: Ühine läbivaatamine
Artikkel 24: Teavitamine
Artikkel 25: Konsulteerimine
Artikkel 26: Kokkuleppe kohaldamise peatamine
Artikkel 27: Territoriaalne kohaldamine
Artikkel 28: Kokkuleppe kehtivus
Artikkel 29: Kokkuleppe jõustumine ja lõpetamine
Pidades meeles, et Ameerika Ühendriigid ja Euroopa Liit on kindlalt otsustanud tagada kuritegude, sealhulgas terrorismi, tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise raames vahetatavate isikuandmete kaitse kõrge taseme;
kavatsedes luua kestva õigusraamistiku, mis lihtsustaks selliste andmete vahetamist, mis on olulised kuritegude, sealhulgas terrorismi, tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise seisukohast, selleks et kaitsta mõlema poole demokraatlikku ühiskonda ja ühiseid väärtusi;
kavatsedes eelkõige sätestada kaitsetasemed, mis tagatakse isikuandmete vahetamisel USA ning ELi ja selle liikmesriikide kehtivate ja tulevaste kokkulepete alusel kuritegude, sealhulgas terrorismi, tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise valdkonnas;
tunnistades, et teatavates isikuandmete töötlemist käsitlevates kokkulepetes, mis poolte vahel kehtivad, on sätestatud, et nende kokkulepetega on tagatud piisav kaitsetase kõnealuste kokkulepete kohaldamisalas, kinnitavad pooled, et käesolevat kokkulepet ei tohiks käsitada nii, nagu see muudaks kõnealuseid kokkuleppeid, lisaks neile tingimusi või kalduks neist muul viisil kõrvale; märkides siiski, et käesoleva kokkuleppe artikliga 19 kehtestatud kohustusi, mis käsitlevad õiguskaitset kohtumenetluse teel, kohaldataks kõigi andmeedastuste suhtes, mis kuuluvad käesoleva kokkuleppe kohaldamisalasse, ilma et see piiraks selliste kokkulepete läbivaatamist või muutmist tulevikus nende tingimuste kohaselt;
tunnustades mõlema poole kauaaegseid traditsioone eraelu puutumatuse austamisel, mis on muu hulgas väljendatud õiguskaitse valdkonnas kohaldatavates eraelu ja isikuandmete kaitse põhimõtetes, mille on välja töötanud ELi – USA kõrgetasemeline teabevahetuse, eraelu puutumatuse kaitse ja isikuandmete kaitse kontaktrühm, Euroopa Liidu põhiõiguste hartas ja kohaldatavates ELi seadustes, Ameerika Ühendriikide konstitutsioonis ja kohaldatavates USA seadustes ning Majanduskoostöö ja Arengu Organisatsiooni (OECD) teabevahetuse hea tava põhimõtetes; ning
tunnustades proportsionaalsuse ja vajalikkuse ning asjakohasuse ja mõistlikkuse põhimõtteid nii, nagu pooled neid oma õigusraamistikes on rakendanud;
ON AMEERIKA ÜHENDRIIGID JA EUROOPA LIIT KOKKU LEPPINUD JÄRGMISES:
Artikkel 1: Kokkuleppe eesmärk
1. Käesoleva kokkuleppe eesmärk on tagada isikuandmete kaitse kõrge tase ja tõhustada koostööd Ameerika Ühendriikide ning Euroopa Liidu ja selle liikmesriikide vahel seoses kuritegude, sealhulgas terrorismi, tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmisega.
2. Selleks kehtestatakse käesoleva kokkuleppega raamistik isikuandmete kaitseks, kui isikuandmeid edastatakse ühelt poolt Ameerika Ühendriikide ja teiselt poolt Euroopa Liidu või selle liikmesriikide vahel.
3. Käesolev kokkulepe iseenesest ei ole isikuandmete edastamise õiguslik alus. Isikuandmete edastamiseks peab alati olema õiguslik alus.
Artikkel 2: Mõisted
Käesolevas lepingus kasutatakse järgmisi mõisteid:
1.Isikuandmed – teave tuvastatud või tuvastatava füüsilise isiku kohta. Tuvastatav isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige isikukoodi põhjal või ühe või mitme tema füüsilise, füsioloogilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal.
2.Isikuandmete töötlemine – toiming või toimingute kogum, mis hõlmab andmete kogumist, säilitamist, kasutamist, muutmist, korrastamist või struktureerimist, avaldamist või levitamist või hävitamist.
3.Pooled – Euroopa Liit ja Ameerika Ühendriigid.
4.Liikmesriik – Euroopa Liidu liikmesriik.
5.Pädev asutus – Ameerika Ühendriikide puhul USA riiklik õiguskaitseasutus, kes vastutab kuritegude, sealhulgas terrorismi, tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise eest, ning Euroopa Liidu puhul Euroopa Liidu asutus või liikmesriigi asutus, kes vastutab kuritegude, sealhulgas terrorismi, tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise eest.
Artikkel 3: Kohaldamisala
1. Käesolevat kokkulepet kohaldatakse selliste isikuandmete suhtes, mille edastab ühe poole pädev asutus teise poole pädevale asutusele või mis edastatakse muul viisil vastavalt kokkuleppele, mis on sõlmitud Ameerika Ühendriikide ja Euroopa Liidu või selle liikmesriikide vahel kuritegude, sealhulgas terrorismi, tõkestamiseks, uurimiseks, avastamiseks ja nende eest vastutusele võtmiseks.
2. Käesolev kokkulepe ei mõjuta ega piira isikuandmete edastamist ega muid koostöövorme liikmesriikide ja Ameerika Ühendriikide nende asutuste vahel, kes vastutavad riigi julgeoleku kaitsmise eest, välja arvatud artikli 2 lõikes 5 nimetatud asutused.
Artikkel 4: Diskrimineerimise keeld
Pooled täidavad käesolevast kokkuleppest tulenevaid kohustusi oma kodanike ja teise poole kodanike isikuandmete kaitseks nende kodakondsusest olenemata ning ilma meelevaldse ja põhjendamatu diskrimineerimiseta.
Artikkel 5: Kokkuleppe mõju
1. Käesolev kokkulepe täiendab vajaduse korral, kuid ei asenda isikuandmete kaitset käsitlevaid sätteid poolte või Ameerika Ühendriikide ja liikmesriikide vahelistes sellistes rahvusvahelistes kokkulepetes, milles käsitletakse käesoleva kokkuleppe kohaldamisalasse kuuluvaid küsimusi.
2. Pooled võtavad kõik vajalikud meetmed, selleks et rakendada käesolevat kokkulepet, sealhulgas eelkõige kokkuleppes sätestatud nende vastavaid kohustusi, mis on seotud juurdepääsuga isikuandmetele, andmete parandamisega ning üksikisikute õiguskaitsega haldusmenetluse ja kohtumenetluse teel. Käesoleva kokkuleppega ettenähtud kaitsemeetmeid ja õiguskaitsevahendeid saavad üksikisikud ja üksused kasutada poolte kohaldatavate riigisiseste õigusnormidega ettenähtud viisil. Ameerika Ühendriikides kohaldatakse riigi kohustusi viisil, mis on kooskõlas föderalismi aluspõhimõtetega.
3. Lõike 2 jõustamisega loetakse, et kui Ameerika Ühendriigid või Euroopa Liit ja selle liikmesriigid töötlevad isikuandmeid seoses küsimustega, mis kuuluvad käesoleva kokkuleppe kohaldamisalasse, toimub see kooskõlas nende vastavate andmekaitsealaste õigusaktidega, mis piiravad isikuandmete rahvusvahelist edastamist või seavad sellele tingimusi, ja täiendavat luba selliste õigusaktide kohaselt ei ole selleks vaja.
Artikkel 6: Eesmärgi ja kasutuse piirangud
1. Isikuandmeid edastatakse konkreetsel eesmärgil, mis on artiklis 1 sätestatud andmete edastamise õigusliku aluse kohaselt lubatud.
2. Pool ei tohi isikuandmeid täiendavalt töödelda viisil, mis on vastuolus andmete edastamise eesmärgiga. Andmete töötlemine, mis on kooskõlas andmete edastamise eesmärgiga, hõlmab andmete töötlemist raskete kuritegude tõkestamiseks, uurimiseks, avastamiseks ja nende eest vastutusele võtmiseks kehtivate rahvusvaheliste kokkulepete ja kirjalike rahvusvaheliste raamistike sätete kohaselt. Isikuandmete selline töötlemine muude riiklike õiguskaitseasutuste, reguleerivate või haldusasutuste poolt peab toimuma käesoleva kokkuleppe muude sätete kohaselt.
3. Käesolev artikkel ei piira andmeid edastava pädeva asutuse õigust kehtestada konkreetsel juhul täiendavaid tingimusi ulatuses, milles andmete edastamise suhtes kohaldatav õigusraamistik seda pädeval asutusel teha lubab. .Selliste tingimuste hulka ei tohi kuuluda üldised andmekaitsetingimused, st kehtestatud tingimused, mis ei ole seotud konkreetse juhtumi asjaoludega. Kui isikuandmete suhtes on kehtestatud tingimused, peab andmeid vastu võttev pädev asutus neid täitma. Samuti võib isikuandmeid edastav pädev asutus nõuda andmete saajalt teavet edastatud isikuandmete kasutamise kohta.
4. Kui Ameerika Ühendriigid ühelt poolt ja Euroopa Liit või liikmesriik teiselt poolt sõlmivad kokkuleppe isikuandmete edastamiseks muul viisil kui konkreetsete juhtumite, uurimiste või kohtuasjadega seoses, sätestatakse isikuandmete edastamise ja töötlemise täiendavad eesmärgid nimetatud kokkuleppes.
5. Pooled tagavad kooskõlas riigisisese õigusega, et isikuandmeid töödeldakse viisil, mis on otseselt seotud nende töötlemise eesmärgiga, ei lähe sellest kaugemale ja ei ole liiga ulatuslik.
Artikkel 7: Andmete edasisaatmine
1. Kui ühe poole pädev asutus on edastanud konkreetse juhtumiga seotud isikuandmeid teise poole pädevale asutusele, võib neid andmeid edastada riigile, kelle suhtes käesolev kokkulepe ei ole siduv, või rahvusvahelisele organile ainult juhul, kui algselt isikuandmed saatnud pädev asutus on andnud selleks eelneva nõusoleku.
2. Enne isikuandmete edasisaatmiseks lõike 1 kohaselt nõusoleku andmist võtab pädev asutus, kes algselt isikuandmed edastas, arvesse kõiki asjakohaseid asjaolusid, sealhulgas süüteo raskust, isikuandmete algse edastamise eesmärki ja seda, kas asjaomane riik, kelle suhtes käesolev kokkulepe ei ole siduv, või rahvusvaheline organ tagab isikuandmete kaitse vajalikul tasemel. Pädev asutus võib isikuandmete edasisaatmise suhtes kehtestada ka eritingimusi.
3. Kui Ameerika Ühendriigid ühelt poolt ja Euroopa Liit või liikmesriik teiselt poolt sõlmivad kokkuleppe isikuandmete edastamiseks muul viisil kui konkreetsete juhtumite, uurimiste või kohtuasjadega seoses, sätestatakse isikuandmete edastamise ja töötlemise täiendavad eesmärgid nimetatud kokkuleppes. Kokkuleppes sätestatakse ka asjakohased moodused teabe vahetamiseks pädevate asutuste vahel.
4. Käesoleva artikli sätteid ei tõlgendata nii, nagu mõjutaks see nõuet, kohustust või tava, mille kohaselt peab pädev asutus, kes algselt isikuandmed edastas, andma eelneva nõusoleku andmete edasisaatmiseks riigile või organile, kelle suhtes käesolev kokkulepe on siduv, tingimusel et andmekaitse tase kõnealuses riigis või organis ei ole aluseks isikuandmete edasisaatmiseks nõusoleku andmisest keeldumisele või nende edasisaatmise suhtes tingimuste kehtestamisele.
Artikkel 8: Andmete kvaliteedi ja tervikluse säilitamine
Pooled võtavad mõistlikud meetmed tagamaks, et isikuandmeid säilitatakse andmete õiguspäraseks töötlemiseks vajaliku ja asjakohase täpsuse, asjakohasuse, ajakohasuse ja terviklikkusega. Selleks kehtestavad pädevad asutused korra, mille eesmärk on isikuandmete kvaliteedi ja tervikluse tagamine ning mis hõlmab järgmist:
a) artiklis 17 osutatud meetmed;
b) kui isikuandmeid edastav pädev asutus saab teada tõsistest kahtlustest seoses edastatud isikuandmete või hinnangu asjakohasuse, ajakohasuse, terviklikkuse või täpsusega, teatab ta sellest võimaluse korral andmeid vastu võtvale pädevale asutusele;
c) kui isikuandmeid vastu võttev pädev asutus saab teada tõsistest kahtlustest seoses valitsusasutuselt saadud isikuandmete asjakohasuse, ajakohasuse, terviklikkuse või täpsusega või seoses andmeid edastanud pädeva asutuse hinnanguga isikuandmete täpsusele või andmeallika usaldusväärsusele, teatab ta sellest võimaluse korral andmeid edastanud pädevale asutusele.
Artikkel 9: Infoturve
Pooled tagavad, et nad on võtnud asjakohased tehnilised, turva- ja organisatsioonilised meetmed isikuandmete kaitseks järgmise eest:
a) juhuslik või ebaseaduslik hävitamine;
b) juhuslik hävimine ning
c) volitamata avaldamine, muutmine, juurdepääs või muu töötlemine.
Need meetmed peavad hõlmama asjakohaseid kaitsemeetmeid seoses isikuandmetele juurdepääsuks loa saamisega.
Artikkel 10: Infoturbe intsidentidest teatamine
1. Kui avastatakse selline intsident, millega kaasneb isikuandmete juhuslik hävimine või hävitamine või isikuandmetele volitamata juurdepääs, nende volitamata avaldamine või muutmine, mille puhul esineb märkimisväärse kahju oht, hindab andmeid vastu võttev pädev asutus kohe üksikisikutele ja andmeid edastanud pädeva asutuse programmile kahju tekkimise tõenäosust ja ulatust ning võtab kohe asjakohased meetmed kahju leevendamiseks.
2. Kahju leevendamise meetmed hõlmavad andmeid edastanud pädeva asutuse teavitamist. Teavitamisel tuleb siiski arvesse võtta järgmist:
a) infoturbe intsidendist teatamisel võib lisada asjakohaseid piiranguid teate edasi saatmisele;
b) infoturbe intsidendist teatamisega võib viivitada või intsidendist võib jätta teatamata, kui teatamine võib ohustada riigi julgeolekut;
c) infoturbe intsidendist teatamisega võib viivitada, kui teatamine võib ohustada avaliku julgeolekuga seotud operatsioone.
3. Kahju leevendamise meetmed hõlmavad ka üksikisiku teavitamist, kui see on intsidendi asjaolusid arvesse võttes asjakohane, välja arvatud juhul, kui üksikisiku teavitamine võib ohustada:
a) avalikku või riigi julgeolekut;
b) ametlikke järelepärimisi, uurimisi või menetlusi;
c) kuritegude tõkestamist, avastamist, uurimist või nende eest vastutusele võtmist;
d) teiste isikute õigusi ja vabadusi, eelkõige ohvrite ja tunnistajate kaitset.
4. Isikuandmete edastamisega seotud pädevad asutused võivad üksteisega konsulteerida intsidendi üle ja selle üle, kuidas intsidendile reageerida.
Artikkel 11: Arvestuse pidamine
1. Pooled kasutavad tõhusaid meetodeid, selleks et tõendada isikuandmete töötlemise seaduslikkust, ja need meetodid võivad hõlmata nii logi kui ka muul viisil arvestuse pidamist.
2. Pädev asutus võib kasutada logi või arvestust asjaomaste andmebaaside või failide nõuetekohase toimimise tagamiseks, andmete tervikluse ja turvalisuse tagamiseks ning vajaduse korral varukoopiate tegemise korra järgimiseks.
Artikkel 12: Säilitamise tähtajad
1. Pooled näevad oma kohaldatavas õigusraamistikus isikuandmeid sisaldava teabe jaoks ette konkreetsed säilitustähtajad, mille eesmärk on tagada, et isikuandmeid ei säilitata kauem, kui on vajalik ja asjakohane. Säilitustähtaegade kehtestamisel võetakse arvesse isikuandmete töötlemise eesmärke, andmete ja neid töötleva asutuse liiki, mõju mõjutatud isikute asjaomastele õigustele ja huvidele ning muid kohaldatavaid õiguslikke kaalutlusi.
2. Kui Ameerika Ühendriigid ühelt poolt ja Euroopa Liit või liikmesriik teiselt poolt sõlmivad kokkuleppe isikuandmete edastamiseks muul viisil kui konkreetsete juhtumite, uurimiste või kohtuasjadega seoses, sätestatakse isikuandmete edastamise ja töötlemise täiendavad eesmärgid nimetatud kokkuleppes.
3. Pooled sätestavad korra säilitustähtaegade korrapäraseks läbivaatamiseks, mille eesmärk on kindlaks teha, kas kohaldatavat tähtaega on vaja muutunud asjaolude tõttu muuta.
4. Pooled avaldavad isikuandmete säilitustähtajad või teevad need muul viisil avalikkusele kättesaadavaks.
Artikkel 13: Isikuandmete erikategooriad
1. Selliste isikuandmete töötlemine, mis paljastavad rassilise või etnilise päritolu, poliitilised vaated ja usulised või muud veendumused, kuuluvuse ametiühingusse või käsitlevad tervislikku seisundit või seksuaalelu, toimub ainult asjakohaseid kaitsemeetmeid kohaldades kooskõlas seadusega. Asjakohased kaitsemeetmed võivad olla: isikuandmete töötlemise eesmärkide piiramine, näiteks andmete töötlemise lubamine ainult igal üksikjuhul eraldi; isikuandmete maskimine, kustutamine või sulgemine pärast seda, kui andmete töötlemise eesmärk on saavutatud; isikuandmetele juurdepääsu omavate töötajate arvu piiramine; isikuandmetele juurdepääsu omavate töötajatele erikoolituse läbimise kohustuse seadmine; isikuandmetele juurdepääsu saamiseks järelevalve teostaja loa nõudmine; või muud kaitsemeetmed. Kaitsemeetmete kehtestamisel võetakse nõuetekohaselt arvesse isikuandmete liiki, andmete erilist tundlikkust ja andmete töötlemise eesmärki.
2. Kui Ameerika Ühendriigid ühelt poolt ja Euroopa Liit või liikmesriik teiselt poolt sõlmivad kokkuleppe isikuandmete edastamiseks muul viisil, kui konkreetsete juhtumite, uurimiste või kohtuasjadega seoses, sisaldab see kokkulepe täpsemaid nõudeid ja tingimusi, mille kohaselt võib isikuandmeid töödelda, võttes nõuetekohaselt arvesse isikuandmete liiki ja nende kasutamise eesmärki.
Artikkel 14: Vastutus
1. Pooled kehtestavad meetmed vastutuse suurendamiseks seoses isikuandmete töötlemisega käesoleva kokkuleppe kohaldamisalas nende pädevate asutuste poolt ja muude asutuste poolt, kellele isikuandmeid on edastatud. Meetmete hulka kuulub teatamine käesoleva kokkuleppe kohaselt edastatavate isikuandmete suhtes kohaldatavatest kaitsemeetmetest ja tingimustest, mida andmeid edastav pädev asutus võib artikli 6 lõike 3 kohaselt kehtestada. Tõsise nõuete rikkumise suhtes kohaldatakse asjakohaseid ja hoiatavaid karistus-, tsiviil- või haldusõiguslikke sanktsioone.
2. Lõikes 1 nimetatud meetmete hulka kuulub vajaduse korral isikuandmete edastamise lõpetamine käesoleva kokkuleppega hõlmamata poolte koosseisu kuuluvate territoriaalsete üksuste sellistele asutustele, kes ei kaitse isikuandmeid tõhusalt, võttes arvesse käesoleva kokkuleppe eesmärki ning eelkõige käesoleva kokkuleppe sätteid, mis käsitlevad eesmärgi ja kasutuse piiranguid ja andmete edasisaatmist.
3. Kui esitatakse väiteid käesoleva artikli mittenõuetekohase rakendamise kohta, võib pool nõuda teiselt poolelt asjakohase teabe esitamist, sealhulgas vajaduse korral käesoleva artikli kohaselt võetud meetmete kohta.
Artikkel 15: Automatiseeritud otsused
Üksikisiku asjaomaste huvide suhtes märkimisväärselt kahjulikke tagajärgi põhjustavad otsused ei või põhineda üksnes isikuandmete automatiseeritud, ilma inimese sekkumiseta toimuval töötlemisel, välja arvatud juhul, kui see on lubatud riigisisese õiguse kohaselt ja selle suhtes kehtivad asjakohased kaitsemeetmed, mille hulka kuulub inimese sekkumise võimalus.
Artikkel 16: Juurdepääs
1. Pooled tagavad, et üksikisikul on õigus taotleda juurdepääsu oma isikuandmetele ja selle saada, kohaldades lõikes 2 sätestatud piiranguid. Juurdepääsu isikuandmetele taotletakse ja saadakse pädevalt asutuselt selles riigis kohaldatava õigusraamistiku kohaselt, kus nõue on esitatud.
2. Konkreetsel juhul isikuandmetele juurdepääsu saamise suhtes võib kohaldada riigisiseses õiguses sätestatud mõistlikke piiranguid, võttes arvesse üksikisiku õigustatud huvisid, selleks et:
a) kaitsta teiste isikute õigusi ja vabadusi, sealhulgas nende privaatsust;
b) kaitsta avalikku ja riigi julgeolekut;
c) kaitsta õiguskaitse seisukohast tundlikku teavet;
d) hoida ära ametlike või õiguslike järelepärimiste, uurimiste või menetluste takistamist;
e) hoida ära kuritegude tõkestamise, avastamise, uurimise või kuritegude eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise kahjustamist;
f) muul viisil kaitsta teabevabadust ja dokumentidele üldsuse juurdepääsu käsitlevates õigusaktides sätestatud huvisid.
3. Üksikisikule ei tekitata ülemääraseid kulusid tema isikuandmetele juurdepääsu saamise tingimusena.
4. Kui kohaldatav riigisisene õigus seda võimaldab, on üksikisikul õigus volitada järelevalveasutus või muu esindaja tema nimel isikuandmetele juurdepääsu taotlema.
5. Kui juurdepääsu isikuandmetele ei võimaldata või seda piiratakse, esitab pädev asutus, kellelt juurdepääsu taotleti, üksikisikule või tema lõike 4 kohaselt volitatud esindajale põhjendamatu viivituseta juurdepääsu keelamise või piiramise põhjused.
Artikkel 17: Isikuandmete parandamine
1. Pooled tagavad, et üksikisikul on õigus taotleda oma isikuandmete korrigeerimist või parandamist, kui ta väidab, et need andmed on ebaõiged või neid on mittenõuetekohaselt töödeldud. Andmete korrigeerimine või parandamine võib hõlmata andmete täiendamist, kustutamist, sulgemist või muid meetmeid või meetodeid ebaõigete andmete või mittenõuetekohase töötlemise käsitlemiseks. Isikuandmete korrigeerimist või parandamist taotletakse pädevalt asutuselt ja seda teostab pädev asutus selles riigis kohaldatava õigusraamistiku kohaselt, kus nõue on esitatud.
2. Kui andmeid vastu võttev pädev asutus, olles:
a) saanud lõike 1 kohase taotluse;
b) saanud teate andmete esitajalt või;
c) viinud läbi uurimise või järelepärimise;
jõuab järeldusele, et käesoleva kokkuleppe kohaselt saadud isikuandmed on ebaõiged või neid on mittenõuetekohaselt töödeldud, laseb ta vastavalt vajadusele andmeid täiendada, need kustutada või sulgeda või kasutab muid andmete korrigeerimise või parandamise meetodeide.
3. Kui kohaldatav riigisisene õigus seda võimaldab, on üksikisikul õigus volitada järelevalveasutus või muu esindaja tema nimel isikuandmete korrigeerimist või parandamist taotlema.
4. Kui isikuandmete korrigeerimist või parandamist ei võimaldata või seda piiratakse, esitab pädev asutus, kellelt andmete korrigeerimist või parandamist taotleti, üksikisikule või tema lõike 3 kohaselt volitatud esindajale põhjendamatu viivituseta andmete korrigeerimise või parandamise keelamise või piiramise põhjused.
Artikkel 18: Õiguskaitse haldusmenetluse teel
1. Pooled tagavad, et üksikisikul on õigus kaitsta oma õigusi haldusmenetluses, kui ta leiab, et tema artikli 16 kohane juurdepääsutaotlus või artikli 17 kohane taotlus ebaõigete andmete või mittenõuetekohase töötlemise parandamiseks on põhjendamatult tagasi lükatud. Haldusmenetluse viib läbi pädev asutus selles riigis kohaldatava õigusraamistiku kohaselt, kus nõue on esitatud.
2. Kui kohaldatav riigisisene õigus seda võimaldab, on üksikisikul õigus volitada järelevalveasutus või muu esindaja tema nimel tema õigusi haldusmenetluses kaitsma.
3. Pädev asutus, kelle poole on õiguste kaitseks pöördutud, viib läbi asjakohased järelepärimised ja kontrollid ning teatab põhjendamatu viivituseta kirjalikult, sealhulgas elektroonilisi sidevahendeid kasutades, menetluse tulemusest, märkides vajaduse korral ka seda, milliseid heastamis- või parandusmeetmeid võetakse. Õiguste täiendava kaitse korrast haldusmenetluse teel teatatakse vastavalt artikli 20 sätetele.
Artikkel 19: Õiguskaitse kohtumenetluse teel
1. Pooled sätestavad oma kohaldatavas õigusraamistikus, et poole kodanikul, kes on vajaduse korral halduslikud õiguskaitsevahendid eelnevalt ammendanud, on õigus pöörduda kohtusse juhul, kui:
a) pädev asutus keeldub talle lubamast juurdepääsu tema isikuandmetele;
b) pädev asutus keeldub tema isikuandmeid parandamast; ning
c) tema isikuandmeid on tahtlikult ja õigusvastaselt avaldatud, millisel juhul on kodanikul õigus taotleda kahju hüvitamist.
2. Kohtumenetlus toimub kooskõlas selles riigis kohaldatava õigusraamistikuga, kus nõue on esitatud.
3. Lõiked 1 ja 2 ei piira üksikisiku isikuandmete töötlemisega seoses muu, selles riigis kehtiva kohtumenetluse kasutamist, kus nõue on esitatud.
4. Käesoleva kokkuleppe kohaldamise peatamise või lõpetamise korral ei kujuta artikli 26 lõige 2 ega artikli 29 lõige 3 endast alust kohtusse sellise nõude esitamiseks, mida ei ole asjaomase poole õigusega enam ette nähtud.
Artikkel 20: Läbipaistvus
1. Pooled teatavad üksikisikule seoses tema isikuandmetega järgmisest, kusjuures teatamine võib toimuda üldise teate avaldamise teel pädeva asutuse poolt või isiku teavitamise teel teatava asutuse suhtes kohaldatavas õiguses sätestatud vormis ja ajal:
a) kõnealuse asutuse poolse isikuandmete töötlemise eesmärgid;
b) muude asutustega isikuandmete jagamise eesmärgid;
c) isikuandmete töötlemist reguleerivad seadused või muud õigusnormid;
d) kolmandad isikud, kellele isikuandmeid avaldatakse, ning
e) isikuandmetele juurdepääsu, nende korrigeerimise või parandamise ja õiguskaitse võimalused.
2. Teatamise nõude suhtes võib riigisiseses õiguses kehtestada mõistlikke piiranguid artikli 16 lõike 2 punktides a–f sätestatud eesmärkidel.
Artikkel 21: Tõhus järelevalve
1. Pooled tagavad, et neil on üks või mitu avaliku järelevalve asutust:
a) kes teostavad sõltumatu järelevalve funktsioone ja volitusi, sealhulgas läbivaatamine, uurimine ja sekkumine, vajaduse korral asutuse enda algatusel;
b) kellel on õigus vastu võtta üksikisikute kaebusi seoses käesoleva kokkuleppe rakendamise meetmetega ja neid kaebusi menetleda; ning
c) kellel on õigus algatada vajaduse korral käesoleva kokkuleppega seotud õigusrikkumiste suhtes vastutusele võtmine või distsiplinaarmenetlus.
2. Euroopa Liit näeb käesoleva artikli kohase järelevalve ette ELi ja liikmesriikide andmekaitseasutuste kaudu.
3. Ameerika Ühendriigid näevad käesoleva artikli kohase järelevalve ette kumulatiivselt mitme asutuse kaudu, mille hulka võivad muuhulgas kuuluda peainspektorid, kõrgemad privaatsusametnikud, valitsuse aruandluse eest vastutavad ametid, privaatsuse ja põhivabaduste järelevalveametid ning muud asjakohased valitsus- või seadusandlikud asutused, mis tegelevad privaatsuse ja põhivabaduste tagamise järelevalvega.
Artikkel 22: Koostöö järelevalveasutuste vahel
1. Artikli 21 kohaselt järelevalvet teostavate asutuste vahel toimuvad vajaduse korral konsultatsioonid käesoleva kokkuleppega seotud ülesannete täitmise üle, selleks et tagada artiklite 16, 17 ja 18 tõhus rakendamine.
2. Pooled määravad riiklikud kontaktpunktid, kes abistavad konkreetse juhtumi puhul asjaomase järelevalveasutuse kindlakstegemisega.
Artikkel 23: Ühine läbivaatamine
1. Pooled vaatavad korrapäraselt ühiselt läbi käesoleva kokkuleppe rakendamise poliitikameetmed ja menetlused ning nende tõhususe. Ühise läbivaatamise käigus pööratakse erilist tähelepanu artiklis 14 (milles käsitletakse vastutust), artiklis 16 (milles käsitletakse juurdepääsu isikuandmetele), artiklis 17 (milles käsitletakse isikuandmete parandamist), artiklis 18 (milles käsitletakse õiguskaitset haldusmenetluse teel) ja artiklis 19 (milles käsitletakse õiguskaitset kohtumenetluse teel) sätestatud kaitsemeetmete tõhusale rakendamisele.
2. Esimene ühine läbivaatamine toimub hiljemalt kolme aasta jooksul käesoleva kokkuleppe jõustumise kuupäevast ja pärast seda korrapäraselt. Pooled lepivad eelnevalt kokku ühise läbivaatamise korra ja tingimused ning teavitavad teineteist oma delegatsioonide koosseisust, kuhu kuuluvad artiklis 21 (milles käsitletakse tõhusat järelevalvet) nimetatud avaliku järelevalve asutuste ning õiguskaitse- ja õigusasutuste esindajad. Ühise läbivaatamise tulemused avalikustatakse.
3. Kui pooled või Ameerika Ühendriigid ja liikmesriik on sõlminud teise kokkuleppe, mille reguleerimisese kuulub samuti käesoleva kokkuleppe kohaldamisalasse ja millega on ette nähtud ühine läbivaatamine, siis ei dubleerita ühiseid läbivaatamisi ja teise kokkuleppe kohaselt toimunud ühiste läbivaatamiste tulemused lisatakse asjakohases ulatuses käesoleva kokkuleppe ühise läbivaatamise tulemustele.
Artikkel 24: Teavitamine
1. Ameerika Ühendriigid teavitavad Euroopa Liitu USA ametiasutuste poolt artikliga 19 seoses kohaldatava õiguse kindlaksmääramisest selle muutmisest.
2. Pooled astuvad mõistlikke samme, selleks et teatada teineteisele selliste seaduste kehtestamisest või muude õigusnormide vastuvõtmisest, mis mõjutavad oluliselt käesoleva kokkuleppe rakendamist, tehes seda võimaluse korral enne nende jõustumist.
Artikkel 25: Konsulteerimine
Kui käesoleva kokkuleppe tõlgendamise või kohaldamise üle tekib vaidlus, toimuvad poolte vahel konsultatsioonid, milles eesmärk on leida mõlemale poolele sobiv lahendus.
Artikkel 26: Kokkuleppe kohaldamise peatamine
1. Käesoleva kokkuleppe olulise rikkumise korral võib pool kokkuleppe kohaldamise täielikult või osaliselt peatada, teatades sellest teisele poolele kirjalikult diplomaatiliste kanalite kaudu. Kokkuleppe kohaldamise peatamisest ei teatata kirjalikult enne seda, kui pooled on mõistliku aja jooksul osalenud konsultatsioonidel ilma lahendust leidmata, ja kokkuleppe kohaldamise peatamine jõustub kahekümnendal päeval pärast kirjaliku teate kättesaamist. Pool, kes peatas kokkuleppe kohaldamise, võib hakata kokkulepet uuesti kohaldama, teatades sellest kirjalikult teisele poolele. Kokkulepe hakatakse uuesti kohaldama kohe pärast kirjaliku teate kättesaamist.
2. Olenemata käesoleva kokkuleppe kohaldamise peatamisest jätkatakse käesoleva kokkuleppe kohaldamisalasse kuuluvate ja enne kokkuleppe kohaldamise peatamist edastatud isikuandmete töötlemist käesoleva kokkuleppe kohaselt.
Artikkel 27: Territoriaalne kohaldamisala
|
1. Käesolevat kokkulepet kohaldatakse Taani, Ühendkuningriigi või Iirimaa suhtes üksnes juhul, kui Euroopa Komisjon annab Ameerika Ühendriikidele kirjalikult teada, et Taani, Ühendkuningriik või Iirimaa on otsustanud, et käesolevat kokkulepet kohaldatakse nende riigi suhtes. 2. Kui Euroopa Komisjon annab enne käesoleva kokkuleppe jõustumist Ameerika Ühendriikidele teada, et kokkulepet kohaldatakse Taani, Ühendkuningriigi või Iirimaa suhtes, hakatakse kokkulepet selle riigi suhtes kohaldama alates kokkuleppe jõustumise kuupäevast. 3. Kui Euroopa Komisjon annab pärast käesoleva kokkuleppe jõustumist Ameerika Ühendriikidele teada, et kokkulepet kohaldatakse Taani, Ühendkuningriigi või Iirimaa suhtes, hakatakse kokkulepet selle riigi suhtes kohaldama Ameerika Ühendriikide poolt teate saamisele järgneva kuu esimesel päeval. |
Artikkel 28: Kokkuleppe kehtivus
Käesolev kokkulepe sõlmitakse määramata ajaks.
Artikkel 29: Kokkuleppe jõustumine ja lõpetamine
1. Käesolev kokkulepe jõustub järgmise kuu esimesel päeval pärast kuupäeva, mil lepingupooled on vahetanud teated kokkuleppe jõustumiseks vajalike sisemenetluste lõpuleviimisest.
2. Mõlemad pooled võivad käesoleva kokkuleppe lõpetada, teatades sellest teisele poolele kirjalikult diplomaatiliste kanalite kaudu. Kokkuleppe lõpetamine jõustub kolmekümnendal päeval pärast teate kättesaamist.
3. Olenemata käesoleva kokkuleppe lõpetamisest jätkatakse käesoleva kokkuleppe kohaldamisalasse kuuluvate ja enne kokkuleppe lõpetamist edastatud isikuandmete töötlemist käesoleva kokkuleppe kohaselt.
SELLE KINNITUSEKS on nimetatud täievolilised esindajad käesolevale kokkuleppele alla kirjutanud.
Koostatud …. (kuupäev) 201 … (koht) kahes originaaleksemplaris inglise keeles. Vastavalt ELi õigusele koostab EL käesoleva lepingu ka bulgaaria, eesti, hispaania, hollandi, horvaatia, iiri, itaalia, kreeka, leedu, läti, malta, poola, portugali, prantsuse, rootsi, rumeenia, saksa, slovaki, sloveeni, soome, taani, tšehhi ja ungari keeles. Uued keeleversioonid saab autentida diplomaatiliste nootide vahetamise teel Ameerika Ühendriikide ja Euroopa Liidu vahel. Autentsetes keeleversioonides esinevate lahknevuste korral on ingliskeelne versioon ülimuslik.
