27.10.2007   

ET

Euroopa Liidu Teataja

C 255/1

1.

Komisjon saatis 7. märtsil 2007. aastal Euroopa andmekaitseinspektorile enda poolt Euroopa Parlamendile ja nõukogule esitatud teatise andmekaitsedirektiivi parema rakendamise tööprogrammi järelmeetmete kohta. (3) Euroopa andmekaitseinspektor esitab käesoleva arvamuse vastavalt määruse (EÜ) nr 45/2001 artiklile 41.

2.

Teatises rõhutatakse direktiivi 95/46/EÜ (4) tähtsust olulise tähisena isikuandmete kaitse valdkonnas ning käsitletakse direktiivi ja selle rakendamist kolmes peatükis: minevik, olevik ja tulevik. Teatise keskseks järelduseks on see, et direktiivi ei tuleks muuta. Direktiivi rakendamist tuleks täiendavalt parandada teiste poliitikavahenditega, millest enamus ei ole siduvad.

3.

Euroopa andmekaitseinspektori käesolev arvamus järgib teatise struktuuri. Veelgi tähtsam on see, et Euroopa andmekaitseinspektor jagab komisjoni keskset järeldust, et direktiivi ei tuleks muuta.

4.

Sellise seisukoha võtmise põhjusteks on Euroopa andmekaitseinspektoril siiski ka pragmaatilised kaalutlused. Euroopa andmekaitseinspektori lähtepunktid on järgmised:

5.

Nimetatud lähtepunktid on olulised, kuna meeles tuleb pidada, et direktiiv toimib muutuvates oludes. Esiteks on muutumas Euroopa Liit: teabe vaba liikumine liikmesriikide vahel — ning liikmesriikide ja kolmandate riikide vahel — on muutunud olulisemaks ning muutub tulevikus veelgi olulisemaks reaalsuseks. Teiseks on muutumas ühiskond. Infoühiskond areneb ja omandab üha enam järelevalveühiskonda iseloomustavaid jooni. (5) See toob endaga kaasa suureneva vajaduse tõhusalt kaitsta isikuandmeid, et käsitleda nimetatud uut reaalsust täielikult rahuldaval viisil.

6.

Teatise hindamisel käsitleb Euroopa andmekaitseinspektor eelkõige järgmisi aspekte, mis on nimetatud muutuste seisukohast olulised:

7.

Andmekaitsedirektiivi rakendamise esimene aruanne, mis esitati 15. mail 2003. aastal, sisaldas andmekaitsedirektiivi parema rakendamise tööprogrammi koos loendiga 10 algatusest, mis tuli läbi viia 2003. ja 2004. aastal. Teatises kirjeldatakse, kuidas kõiki neid algatusi on ellu viidud.

8.

Tööprogrammi raames tehtud töö analüüsi tulemusel antakse teatises positiivne hinnang direktiivi rakendamise osas saavutatud edusammudele. 2. peatüki („olevik”) rubriikides kokku võetud komisjoni hinnangus märgitakse põhimõtteliselt, et: rakendamine on paranenud, kuigi mõned liikmesriigid ei ole veel rakendamist nõuetekohaselt teostanud; jätkuvalt esinevad mõningad erinevused, kuid need jäävad valdavalt direktiiviga ettenähtud tegutsemisruumi piiresse ning igal juhul ei kujuta nad reaalset probleemi siseturule. Direktiivis sätestatud õiguslikud lahendused on osutunud andmekaitse kui põhiõiguse tagamisel üldiselt asjakohasteks, tulles samas toime tehnoloogia arengu ja avalike huvide seatud nõuetega.

9.

Euroopa andmekaitseinspektor jagab nimetatud positiivse hinnangu põhijäreldusi. Eelkõige tunnustab Euroopa andmekaitseinspektor märkimisväärset tööd, mis on tehtud andmete piiriülese liikumise valdkonnas: kolmandate riikide suhtes tagatava piisava kaitse tuvastamine, uued lepingu tüüptingimused, siduvate ettevõtluseeskirjade vastuvõtmine, direktiivi artikli 26 lõike 1 ühtsema tõlgendamise alane mõttevahetus ja artikli 26 lõike 2 alusel teatamise parandamine aitavad kõik lihtsustada isikuandmete rahvusvahelist edastamist. Euroopa Kohtu kohtupraktika (6) on siiski näidanud, et antud olulises valdkonnas tuleb veel teha tööd, tulemaks toime arengutega nii tehnoloogia kui õiguskaitse valdkonnas.

10.

Teatises näidatakse samuti, et parema rakendamise edendamisel on võtmetähtsusega küsimusteks jõustamine ja teadlikkuse tõstmine ning et neid võiks täiendavalt ära kasutada. Lisaks on parimate tavade vahetamine ning teatiste ja teabe andmise valdkondade ühtlustamine osutunud bürokraatia vähendamisel ja ettevõtjate kulude vähendamisel edukateks pretsedentideks.

11.

Lisaks kinnitab mineviku analüüs, et paranemist ei ole võimalik saavutada erinevaid sidusrühmi kaasamata. Enamuse teostatud tegevuste puhul on keskseteks osalejateks komisjon, andmekaitseasutused ja liikmesriigid. Eraõiguslike isikute rolli tähtsus suureneb siiski, eelkõige seoses iseregulatsiooni ja Euroopa tegevusjuhendite edendamise või eraelu puutumatust soodustavate tehnoloogiate arendamisega.

12.

On mitmeid põhjuseid, mis toetavad komisjoni järeldust, et praeguses olukorras ja lühiajaliselt ei tuleks ette näha ühtegi ettepanekut direktiivi muutmiseks.

13.

Komisjon märgib kaks põhjust, mis toetavad järeldust. Esiteks ei ole direktiivi potentsiaali täiel määral kasutatud. Liikmesriikide õigusruumides on direktiivi rakendamist võimalik märkimisväärselt parandada. Teiseks märgib komisjon, et kuigi direktiiv jätab liikmesriikidele tegutsemisruumi, ei ole tõendeid selle kohta, et nimetatud tegutsemisruumi raames esinevad erinevused kujutavad endast reaalset probleemi siseturule.

14.

Nimetatud kahe põhjuse alusel sõnastab komisjon oma järelduse järgmiselt. Komisjon selgitab, mida direktiiv peaks tegema, kusjuures rõhuasetus on usalduse tagamisel, ning märgib seejärel, et direktiiviga kehtestatakse võrdlusnäitajad, see on tehnoloogiliselt neutraalne ning sellega pakutakse jätkuvalt ühtseid ja asjakohaseid lahendusi. (7)

15.

Euroopa andmekaitseinspektor tervitab järelduse sõnastamise viisi, kuid on arvamusel, et nimetatud järeldust oleks võimalik täiendavalt tugevdada, kui see põhineks kahel täiendaval põhjusel:

16.

Füüsiliste isikute põhiõigust isikuandmete kaitsele tunnistatakse Euroopa Liidu põhiõiguste harta artiklis 8 ja see on muu hulgas sätestatud ka Euroopa Nõukogu 28. jaanuari 1981. aasta 108. konventsioonis üksikisiku kaitse kohta isikuandmete automatiseeritud töötlemisel. Põhiosas on direktiivi näol tegemist raamistikuga, mis sisaldab nimetatud põhiõiguse kaitse peamisi elemente ning konkretiseerib ja laiendab konventsioonis sisalduvaid õigusi ja vabadusi. (8)

17.

Põhiõiguse eesmärk on kaitsta kodanikku demokraatlikus ühiskonnas kõikidel juhtudel. Ühiskonnas asetleidvad arengud või võimulolevate valitsuste poliitilised eelistused ei tohiks kergesti muuta nimetatud põhiõiguse põhielemente. Näiteks võivad terroristlike organisatsioonide poolt ühiskonnale põhjustatavad ohud erijuhtudel kaasa tuua erinevaid tulemusi, kuna võivad põhjustada vajaduse märkimisväärsemaks sekkumiseks isiku põhiõigustesse, kuid ei tohi kunagi mõjutada põhiõiguse põhielemente kui selliseid ega jätta üksikisikut nimetatud õigusest ilma või põhjendamatult piirata tal õiguse kasutamist.

18.

Direktiivi teiseks iseloomulikuks jooneks on see, et selles nähakse ette teabe vaba liikumise edendamine siseturul. Ka seda eesmärki võib üha enam areneva sisepiirideta siseturu tingimustes pidada põhjapanevaks. Sellise siseturu rajamise ja toimimise tagamise üheks peamiseks vahendiks on siseriikliku õiguse põhisätete ühtlustamine. See loob aluse liikmesriikidevahelisele vastastikusele usaldusele üksteise siseriiklike õigussüsteemide suhtes. Muudatuste tegemist tuleks nõuetekohaselt kaaluda ka nende põhjuste tõttu. Muudatused võivad mõjutada vastastikust usaldust.

19.

Direktiivi kolmandaks iseloomulikuks jooneks on see, et seda tuleb vaadelda kui üldraamistikku, millele tuginevad konkreetsed õigusaktid. Nimetatud konkreetsed õigusaktid hõlmavad üldraamistiku rakendusmeetmeid ning konkreetsete valdkondade eriraamistikke. Selliseks eriraamistikuks on eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv 2002/58/EÜ (9). Ühiskonna muutuvad arengud peaksid võimaluse korral endaga kaasa tooma rakendusmeetmete või konkreetsete õigusraamistike muutmise, mitte aga nende aluseks oleva üldraamistiku muutmise.

20.

Euroopa andmekaitseinspektori arvamuse kohaselt on järeldus direktiivi praegu mitte muuta tõhusa haldamise ja õigusloomepoliitika üldpõhimõtete loogiliseks tagajärjeks. Õigusaktiettepanekuid — hoolimata sellest, kas nendega nähakse ette ühenduse uued tegevusvaldkonnad või muudetakse kehtivat õiguskorda — tuleks esitada üksnes juhul, kui nende vajadus ja proportsionaalsus on piisavalt tõendatud. Õigusaktiettepanekuid ei tuleks esitada, kui sama tulemust on võimalik saavutada teisi, vähemulatuslikke vahendeid kasutades.

21.

Praeguses olukorras ei ole tõendatud direktiivi muutmise vajadust ja proportsionaalsust. Euroopa andmekaitseinspektor tuletab meelde, et direktiiviga kehtestatakse ühenduse õiguses andmekaitse üldraamistik. Direktiiviga tuleb ühelt poolt tagada isikuandmete töötlemisel üksikisikute õiguste ja vabaduste kaitse, eelkõige õigus eraelu puutumatusele, ning teiselt poolt isikuandmete vaba liikumine siseturul.

22.

Sellist üldraamistikku ei tohiks muuta enne, kui see on liikmesriikides täielikult rakendatud, välja arvatud kui esinevad selged märgid sellest, et direktiivi eesmärke ei ole praeguse raamistiku abil võimalik täita. Euroopa andmekaitseinspektori arvates on komisjon praeguses olukorras piisavalt põhjendanud, et direktiivi potentsiaali ei ole täiel määral ära kasutatud (vt käesoleva arvamuse III peatükk). Sarnaselt ei ole tõendeid selle kohta, et eesmärke ei ole võimalik täita praeguse raamistiku abil.

23.

Ka tulevikus tuleb tagada, et andmekaitse põhimõtted pakuvad füüsilistele isikutele tõhusat kaitset, pidades silmas, et direktiiv toimib muutuvates oludes, (vt käesoleva arvamuse punkt 5) ja võttes arvesse käesoleva arvamuse punktis 6 esitatud aspekte: rakendamise parandamine, koostoime tehnoloogiaga, ülemaailmsed eraelu puutumatuse ja jurisdiktsiooni küsimused, andmekaitse ja õiguskaitse ning reformileping. Andmekaitsepõhimõtete täieliku kohaldamise vajadus kehtestab standardid direktiivi muutmiseks tulevikus. Euroopa andmekaitseinspektor tuletab veel kord meelde, et pikemas perspektiivis tundub direktiivi muutmine vältimatult vajalik.

24.

Tulevikus võetavate mis tahes meetmete sisu osas näeb Euroopa andmekaitseinspektor juba käesolevas etapis ette mõned elemendid, mida ta peab esmatähtsateks tulevikus Euroopa Liidus kasutatavate andmekaitsesüsteemide puhul. Need hõlmavad järgmist:

25.

Teatises märgitakse — seoses uute tehnoloogiate poolt põhjustatud väljakutsetega — direktiivi 2002/58/EÜ käimasolevat läbivaatamist ja võimalikku vajadust spetsiifilisemate eeskirjade järele, mille abil käsitleda andmekaitsealaseid küsimusi, mida tekitavad uued tehnoloogiad, näiteks Internet ja RFID (10). Euroopa andmekaitseinspektor tervitab nimetatud läbivaatamist ja täiendavaid meetmeid, kuigi Euroopa andmekaitseinspektori seisukoht on, et need ei peaks olema seotud üksnes tehnoloogilise arenguga, vaid võtma arvesse ka muutuvaid olusid tervikuna ja hõlmama pikaajalises perspektiivis ka direktiivi 95/46/EÜ. Lisaks tuleb antud kontekstis rohkem keskenduda. Kahjuks jäetakse teatises mitmed küsimused lahtiseks:

Euroopa andmekaitseinspektor teeb komisjonile ettepaneku täpsustada nimetatud aspekte.

26.

Enne tulevikus tehtavaid mis tahes muudatusi tuleb täielikult rakendada direktiivi praegused sätted. Täielik rakendamine algab direktiivis sätestatud nõuete täitmisest. Teatises märgitakse, (11) et mõned liikmesriigid ei ole suutnud direktiivi mitmeid olulisi sätteid üle võtta, ning viidatakse sellega seoses eelkõige järelevalveasutuste sõltumatust käsitlevatele sätetele. Komisjoni ülesandeks on jälgida täitmist ning kasutada oma äranägemisel volitusi, mis on ette nähtud EÜ asutamislepingu artikliga 226.

27.

Teatisega nähakse ette tõlgendava teatise esitamine mõnede sätete osas, eelkõige selliste sätete osas, mis võivad EÜ asutamislepingu artikli 226 kohaselt kaasa tuua ametliku rikkumismenetluse algatamise.

28.

Lisaks kehtestatakse direktiiviga teised mehhanismid rakendamise parandamiseks. Eelkõige on selle eesmärgi nimel välja töötatud artikli 29 töörühma ülesanded, mis on loetletud direktiivi artiklis 30. Nende eesmärgiks on stimuleerida liikmesriikides direktiivi rakendamist kõrgel ja ühtlustatud andmekaitse tasemel, mis ületab üksnes direktiivi nõuete täitmiseks hädavajalikku taset. Nimetatud ülesannet täites on töörühm aastate jooksul välja andnud hulgaliselt arvamusi ja muid dokumente.

29.

Euroopa andmekaitseinspektori seisukohaks on, et direktiivi täielik rakendamine hõlmab järgmist kahte elementi:

Euroopa andmekaitseinspektor rõhutab, et mõlemat elementi tuleks selgelt eristada, kuna nad omavad erinevaid õiguslikke tagajärgi; eristada tuleks ka seonduvaid vastutusi. Üldjuhul peaks komisjon võtma täieliku vastutuse esimese elemendi eest ning teise elemendi osas peaks peamiseks vastutajaks olema töörühm.

30.

Teine täpsem eristus on seotud direktiivi parema rakendamise saavutamiseks kättesaadavate vahenditega. Need hõlmavad järgmisi vahendeid:

31.

Euroopa andmekaitseinspektor teeb komisjonile ettepaneku, et viimane märgiks selgesõnaliselt, kuidas ta neid erinevaid vahendeid kasutama hakkab, kui ta käesoleva teatise alusel töötab välja oma poliitikat. Sellega seoses peaks komisjon samuti selgesõnaliselt eristama enda ja töörühma kohustusi. Lisaks sellele on ütlematagi selge, et komisjoni ja töörühma vaheline hea koostöö on kõikidel juhtudel edu saavutamise tingimuseks.

32.

Lähtepunktiks on see, et direktiivi sätted sõnastatakse tehnoloogiliselt neutraalselt. Teatises seotakse rõhuasetust tehnoloogilisele neutraalsusele mitmete tehnoloogiliste arengutega, nagu näiteks Internet, kolmandates riikides osutatavate teenuste kättesaadavus, RFID ning audio-visuaalandmete kombineerimine automaattuvastusega. Teatises eristatakse kaht liiki tegevusi. Esiteks konkreetsed suunised andmekaitsepõhimõtete kohaldamiseks muutuvas tehnoloogilises keskkonnas, milles etendab olulist rolli töörühm ja selle Interneti töökond. (13) Teiseks võib komisjon ise teha ettepanekuid valdkondlike õigusaktide kohta.

33.

Euroopa andmekaitseinspektor tervitab sellist lähenemisviisi kui olulist esimest sammu. Pikemas perspektiivis võib siiski olla vaja võtta teisi ja põhjalikumaid meetmeid. Käesoleva teatise esitamist võiks kasutada sellise pikaajalise lähenemisviisi väljatöötamise alustamiseks. Euroopa andmekaitseinspektor teeb ettepaneku alustada käesoleva teatise järelmeetmena arutelu, mis käsitleb nimetatud lähenemisviisi. Sellise lähenemisviisi võimalike elementidena võib märkida järgmisi punkte.

34.

Esiteks leiab koostoime tehnoloogiaga aset kahel viisil. Ühelt poolt võivad uued arenevad tehnoloogiad tuua esile vajaduse teha muudatusi andmekaitsealases õigusraamistikus. Teiselt poolt võib üksikisikute isikuandmete tõhusa kaitse vajadus veelgi kaugemaleulatuva tagajärjena kaasa tuua uued piirangud või asjakohased kaitsemeetmed teatud tehnoloogiate kasutamise suhtes. Uusi tehnoloogiaid võib siiski kasutada ka tõhusalt ning eraelu puutumatust soodustava tegurina.

35.

Teiseks võivad osutuda vajalikuks eripiirangud, kui valitsusasutused kasutavad uusi tehnoloogiaid oma avalik-õiguslike ülesannete täitmisel. Heaks näiteks on koostalitlusvõimet ja juurdepääsu käsitlevad arutelud, mis leiavad aset vabadusel, turvalisusel ja õigusel rajaneval alal seoses Haagi programmi rakendamisega. (14)

36.

Kolmandaks on olemas suundumus biomeetriliste andmete, nagu näiteks (kuid mitte ainult) DNA-materjali laiemaks kasutamiseks. Nimetatud materjalist saadud isikuandmete kasutamise spetsiifilised probleemid võivad mõjutada andmekaitsealaseid õigusakte.

37.

Neljandaks tuleb tunnistada, et ühiskond on muutumas ning omandab üha enam järelevalveühiskonda iseloomustavaid jooni (15). Nimetatud arengu osas peab toimuma põhimõtteline arutelu. Nimetatud arutelu keskseteks küsimusteks oleks see, kas kõnealune areng on vältimatu, kas Euroopa seadusandja ülesandeks on sekkuda kõnealusesse arengusse ja kehtestada sellele piirangud, kas ja kuidas saaks Euroopa seadusandja võtta tõhusaid meetmeid jne.

38.

Ülemaailmseid eraelu puutumatuse ja jurisdiktsiooni küsimusi käsitletakse teatises piiratud määral. Selles osas on ainsa kavatsusena esile toodud seda, et komisjon jätkab rahvusvaheliste foorumite jälgimist ja neile kaasa aitamist, et tagada liikmesriikide kohustuste vastavust direktiivis sätestatud kohustustele. Lisaks sellele loetletakse teatises mitmeid tegevusi, mida teostatakse andmete rahvusvahelisele edastamisele esitatavate nõuete lihtsustamiseks (vt käesoleva arvamuse III peatükk).

39.

Euroopa andmekaitseinspektor kahetseb, et kõnealuseid küsimusi ei ole teatises põhjalikumalt käsitletud.

40.

Praegu on direktiivi IV peatükis (artiklid 25 ja 26) lisaks andmekaitse üldeeskirjadele kehtestatud kolmandatele riikidele andmete edastamise erikord. Kõnealune erikord on välja töötatud aastate jooksul, eesmärgiga saavutada õiglane tasakaal üksikisikute, kelle andmeid edastatakse kolmandatesse riikidesse muu hulgas rahvusvahelise kaubanduse nõuete tõttu, kaitse ning ülemaailmsete telekommunikatsioonivõrgustike reaalsuse vahel. Komisjon ja töörühm (16), kuid lisaks ka näiteks Rahvusvaheline Kaubanduskoda, on teinud palju jõupingutusi süsteemi töökorda seadmise nimel, hinnates andmekaitse taseme piisavust, kehtestades lepingu tüüptingimused ja siduvad ettevõtluseeskirjad jne.

41.

Süsteemi Internetile kohaldamise suhtes on eriti oluline olnud Euroopa Kohtu otsus Lindqvisti kohtuasjas (17). Euroopa Kohus juhib tähelepanu sellele, et Internetis olev teave on asukohast sõltumatu ning otsustab, et andmete lisamist veebilehele ei saa iseenesest käsitada andmete edastamisena kolmandasse riiki, isegi kui kõnealused andmed muudetakse seeläbi juurdepääsetavateks kolmandates riikides asuvatele ja juurdepääsuks vajalikke tehnilisi vahendeid omavatele isikutele.

42.

Kõnealune süsteem, mis on Euroopa Liidu territoriaalsete piirangute loogiline ja vajalik tagajärg, ei taga Euroopa andmesubjektile täielikku kaitset võrgustikuna toimivas ühiskonnas, kus füüsiliste piiride tähtsus väheneb (vt käesoleva arvamuse punktis 6 märgitud näiteid): Internetis asuv teave on asukohast sõltumatu, kuid Euroopa seadusandja jurisdiktsioon ei ole seda.

43.

Väljakutseks on leida praktilised lahendused, mis ühitavad Euroopa andmesubjektide kaitsmise vajaduse Euroopa Liidu ja selle liikmesriikide territoriaalsete piirangutega. Euroopa andmekaitseinspektor on — märkustes, mis käsitlesid vabadusel, turvalisusel ja õigusel rajaneva ala välismõõtme strateegiat käsitlevat komisjoni teatist — juba innustanud komisjoni võtma aktiivsemat rolli isikuandmete rahvusvahelisel tasandil kaitsmise edendamisel, toetades kahe- ja mitmepoolseid lähenemisviise kolmandate riikidega ning koostööd teiste rahvusvaheliste organisatsioonidega. (18)

44.

Kõnealused praktilised lahendused hõlmavad:

45.

Ükski kõnealustest lahendustest ei ole uus. Siiski on vaja visiooni, kuidas kõnealuseid meetodeid kõige tõhusamalt kasutada ning kuidas tagada, et andmekaitsestandardid — mida Euroopa Liidus käsitatakse põhiõigustena — kehtivad ka ülemaailmses võrgustikuna toimivas ühiskonnas. Euroopa andmekaitseinspektor kutsub komisjoni üles alustama koos kõige olulisemate sidusrühmadega sellise visiooni väljatöötamist.

46.

Teatises pööratakse erilist tähelepanu avalike huvide seatud nõuetele, eelkõige julgeoleku osas. Teatises selgitatakse direktiivi artikli 3 lõiget 2 ja selle sätte tõlgendust Euroopa Kohtu poolt reisijaregistrite andmeid käsitleva kohtuasja raames (19) ning direktiivi artiklit 13, mis on muu hulgas seotud Euroopa Inimõiguste Kohtu lahenditega. Lisaks rõhutatakse teatises, et kui komisjon püüab leida tasakaalu julgeoleku tagamise meetmete ja vääramatute põhiõiguste vahel, tagab ta isikuandmete kaitsmise, nagu see on garanteeritud Euroopa inimõiguste konventsiooni artikliga 8. Kõnealune põhimõte kehtib ka Ameerika Ühendriikidega peetava transatlantilise dialoogi suhtes.

47.

Euroopa andmekaitseinspektori arvates on tähtis, et komisjon rõhutaks selgesõnaliselt Euroopa Liidu lepingu artiklist 6 tulenevat Euroopa Liidu kohustust austada põhiõigusi nagu see on tagatud Euroopa inimõiguste konventsiooniga. See avaldus on veelgi olulisem praegu, mil Euroopa Ülemkogu on otsustanud, et reformilepinguga peaks Euroopa Liidu põhiõiguste harta muutuma õiguslikult siduvaks. Harta artiklis 8 sätestatakse, et igaühel on õigus tema isikuandmete kaitsele.

48.

Üldteada on, et õiguskaitseasutuste nõuded/vajadus kasutada kuritegevuse — rääkimata terrorismist — vastu võitlemisel üha enam isikuandmeid toob kaasa kodaniku kaitse taseme alanemise ohu isegi allapoole taset, mis on tagatud Euroopa inimõiguste konventsiooni artikliga 8 ja/või Euroopa Nõukogu konventsiooniga nr 108 (20). Kõnealused mured moodustasid peamise osa Euroopa andmekaitseinspektori poolt 27. aprillil 2007. aastal esitatud kolmandas arvamuses nõukogu raamotsuse ettepaneku kohta, mis käsitleb kriminaalasjadega seotud politsei- ja õigusalase koostöö raames töödeldavate isikuandmete kaitset.

49.

Sellega seoses on oluline, et direktiiviga kehtestatud kaitsetase võetakse kodaniku kaitsmise aluseks ka seoses õiguskaitseasutuste vajadustega. Euroopa inimõiguste konventsiooni ja Euroopa Nõukogu konventsiooniga nr 108 nähakse ette kaitse miinimumtase, kuid ei täpsustata kaitse taset detailselt. Lisaks sellele oli vaja võtta lisameetmeid, et tagada kodanike asjakohane kaitse tase. Kõnealune vajadus oli üheks peamiseks põhjuseks, miks direktiiv 1995. aastal vastu võeti. (21)

50.

Samuti on oluline, et kõnealune kaitsetase on tõhusalt tagatud kõigis olukordades, kui isikuandmeid töödeldakse õiguskaitse eesmärkidel. Kuigi käesolevas teatises ei käsitleta kolmanda samba raames toimuvat andmetöötlust, käsitletakse selles õigustatult olukorda, kui ärilistel eesmärkidel kogutud (ja töödeldud) andmeid kasutatakse õiguskaitse eesmärkidel. See olukord muutub üha tavalisemaks, kuna politseitöö sõltub üha enam kolmandate isikute valduses oleva teabe kättesaadavusest. Direktiivi 2006/24/EÜ (22) võib käsitada kui kõnealuse trendi parimat näidet: kõnealuse direktiiviga kohustatakse elektroonilise side teenuste pakkujaid õiguskaitsealastel eesmärkidel (kauem) säilitama andmeid, mida nad on ärilistel eesmärkidel kogunud (ja säilitanud). Euroopa andmekaitseinspektori arvates tuleks täielikult tagada, et direktiivi kohaldamise käigus kogutud ja töödeldud isikuandmed on nõuetekohaselt kaitstud, kui neid kasutatakse avalike huvide kaitse eesmärgil ning eelkõige julgeolekualastel või terrorismivastase võitluse eesmärkidel. Viimati nimetatud eesmärgid võivad mõnel juhul siiski mitte kuuluda direktiivi kohaldamisalasse.

51.

Need tähelepanekud tingivad järgmiste ettepanekute tegemise komisjonile:

52.

Komisjon käsitleb teatises põhiseaduse lepingu (hiiglaslikku) mõju andmekaitse valdkonnale. Tõepoolest, kõnealune leping — mida nüüd nimetatakse reformilepinguks — on antud valdkonnas määrava tähtsusega. Lepinguga likvideeritakse sammastel põhinev struktuur, täpsustatakse andmekaitsealast sätet (praegu EÜ asutamislepingu artikkel 286) ning muudetakse Euroopa Liidu põhiõiguste harta, mis oma artiklis 8 sisaldab andmekaitsealast sätet, siduvaks õigusaktiks.

53.

Valitsustevahelise konverentsi (VVK) volitustes pööratakse andmekaitsele erilist tähelepanu. Punktis 19f tuuakse põhimõtteliselt esile kolm aspekti. Esiteks, andmekaitse üldeeskirjad ei piira ÜVJP jaotise (praegune teine sammas) raames vastuvõetud erieeskirjade kohaldamist; teiseks võetakse vastu avaldus, mis käsitleb andmekaitset kriminaalasjades tehtavas politsei- ja õiguskoostöö valdkonnas (praegune kolmas sammas), ning kolmandaks võetakse vastu üksikute liikmesriikide seisukohti käsitlevad erikanded asjaomastesse protokollidesse (see aspekt on peamiselt seotud Ühendkuningriigi eriseisundiga seoses kriminaalasjades tehtava politsei- ja õiguskoostööga).

54.

VVK raames vajab täpsustamist just teine aspekt (avaldus). Nõuetekohaselt tuleb arvesse võtta sammastel põhineva struktuuri likvideerimise tagajärgi ning direktiivi võimalikku kohaldamist kriminaalasjades tehtava politsei- ja õiguskoostöö suhtes, et tagada direktiivis sisalduvate andmekaitsealaste põhimõtete võimalikult laialdane kohaldamine. Käesolev arvamus ei ole õige koht täiendavate üksikasjade esitamiseks antud valdkonnas. Euroopa andmekaitseinspektor on avaldust käsitlevad ettepanekud esitanud kirjas, mis saadeti VVK eesistujale. (25)

55.

Teatises viidatakse mitmetele vahenditele ja meetmetele, mida saab tulevikus kasutada direktiivi paremaks rakendamiseks. Euroopa andmekaitseinspektor soovib nende osas märkusi esitada, käsitledes samuti teisi täiendavaid vahendeid, mida teatises ei ole esile toodud.

56.

Teatavatel juhtudel võib olla vaja võtta ELi tasandil õigusloomealaseid erimeetmeid. Eelkõige võib osutuda vajalikuks valdkondlike õigusaktide vastuvõtmine, et kohandada direktiivi põhimõtteid teatud tehnoloogiate poolt tõstatatud küsimustega, nagu see oli eraelu puutumatuse kaitset telekommunikatsioonisektoris käsitlevate direktiivide puhul. Sellistes küsimustes nagu näiteks RFID-tehnoloogiate kasutamine tuleks valdkondlike õigusaktide kasutamist hoolikalt kaaluda.

57.

Teatises mainitutest on kõige jõulisemaks vahendiks rikkumismenetlus. Teatises tuuakse esile üks konkreetne murettekitav valdkond, nimelt andmekaitseasutuste sõltumatus ja nende volitused, ning teisi valdkondi märgitakse üksnes üldsõnaliselt. Euroopa andmekaitseinspektor jagab arvamust, et juhul kui liikmesriigid ei rakenda direktiivi täielikult, on rikkumismenetlused tähtsad ja vältimatud vahendid, võttes eelkõige arvesse seda, et direktiivi rakendamise tähtajast on möödunud peaaegu üheksa aastat ning et tööprogrammis sätestatud struktureeritud dialoog on juba aset leidnud. Tänaseks ei ole Euroopa Kohtule siiski esitatud ühtegi direktiivi 95/46 rikkumisega seotud vaidlusküsimust.

58.

Komisjoni institutsioonilist rolli asutamislepingute täitmise järelevalveasutusena on kindlasti võimalik parandada, kui koostada võrdlev analüüs kõikide juhtumite kohta, mille puhul kahtlustatakse direktiivi ebaõiget või mittetäielikku ülevõtmist, (26) ning esitada tõlgendav teatis. Kõnealuse vahendite ettevalmistamine, mis võib nõuda teatud aega ja jõupingutust, ei tohiks pidurdada rikkumismenetlusi nendes valdkondades, kus komisjon on selgelt kindlaks teinud ebaõige ülevõtmise või tava.

59.

Seetõttu innustab Euroopa andmekaitseinspektor komisjoni vajaduse korral soodustama direktiivi paremat rakendamist rikkumismenetluste abil. Sellega seoses kasutab Euroopa andmekaitseinspektor oma sekkumisvolitusi, et vajaduse korral sekkuda Euroopa Kohtus asetleidvatesse rikkumismenetlustesse, milles käsitletakse direktiivi 95/46 või isikuandmete kaitse valdkonna teiste õigusaktide rakendamist.

60.

Teatises viidatakse samuti tõlgendavale teatisele, milles käsitletakse mõningaid sätteid ning milles komisjon täpsustab seda, kuidas ta tõlgendab neid direktiivi sätteid, mille rakendamine on osutunud probleemseks ning mis võivad seetõttu kaasa tuua rikkumismenetluse algatamise. Euroopa andmekaitseinspektor tervitab sellega seoses asjaolu, et komisjon võtab arvesse tõlgendamise küsimuses töörühma poolt tehtud tööd. Tulevikus esitatava tõlgendava teatise koostamisel on töörühma seisukoha nõuetekohane arvessevõtmine tõepoolest väga oluline, samuti on väga oluline töörühmaga põhjalikult konsulteerida, et kaasata protsessi töörühma kogemused seoses direktiivi kohaldamisega riikide tasandil.

61.

Lisaks kinnitab Euroopa andmekaitseinspektor, et on valmis nõustama komisjoni kõigis küsimustes, mis seonduvad isikuandmete kaitsega. See kehtib ka selliste vahendite (nagu näiteks komisjoni teatised) puhul, mis ei ole siduvad, kuid mille eesmärk on siiski määratleda komisjoni poliitikat isikuandmete kaitse valdkonnas. Et see nõuandev roll oleks tõhus, peaks teatiste puhul Euroopa andmekaitseinspektoriga konsulteerimine toimuma enne tõlgendava teatise vastuvõtmist (27). Artikli 29 töörühma ja Euroopa andmekaitseinspektori nõuandev roll annab kõnealusele teatisele lisandväärtust, säilitades samas komisjoni sõltumatuse võtta direktiivi rakendamise osas iseseisvalt vastu otsuseid rikkumismenetluste ametliku algatamise kohta.

62.

Euroopa andmekaitseinspektor tervitab seda, et teatises käsitletakse üksnes piiratud arvu artikleid, mis võimaldab keskenduda tundlikumatele küsimustele. Sellega seoses juhib Euroopa andmekaitseinspektor komisjoni tähelepanu järgmistele küsimustele, mis väärivad tõlgendavas teatises erilist tähelepanu:

63.

Teised mittesiduvad vahendid peaksid ennetavalt arendama andmekaitsealaste põhimõtete järgimist, eelkõige uutes tehnoloogilistes keskkondades. Kõnealused vahendid peaksid tuginema „eraelu kavandatud puutumatuse” kontseptsioonile, millega tagatakse, et uute tehnoloogiate väljatöötamise ja loomise käigus võetakse nõuetekohaselt arvesse andmekaitsealaseid põhimõtteid. Eraelu puutumatust järgivate tehnoloogiliste toodete edendamine peaks olema määrava tähtsusega aspektiks olukorras, kus asukohast sõltumatu andmetöötlus areneb kiiresti.

64.

Sellega on tihedalt seotud vajadus laiendada sidusrühmade ringi, kes osalevad andmekaitsealaste õigusaktide jõustamises. Ühelt poolt avaldab Euroopa andmekaitseinspektor tugevat toetust andmekaitseasutuste kesksele rollile direktiivi põhimõtete jõustamisel, nende volituste täielikule kasutamisele ning tegevuse kooskõlastamisele artikli 29 töörühmas. Direktiivi tõhusam jõustamine on samuti üheks „Londoni algatuse” eesmärgiks.

65.

Teiselt poolt rõhutab Euroopa andmekaitseinspektor seda, et andmekaitsealaste põhimõtete jõustamisel on soovitav edendada jõustamist eraõiguslike äriühingute poolt iseregulatsiooni ja konkurentsi kaudu. Tööstust tuleks innustada rakendama andmekaitsealaseid põhimõtteid ning konkureerima eraelu puutumatust järgivate toodete ja teenuste väljatöötamisel, mis aitab parandada turupositsiooni, täites paremini eraelu puutumatust kõrgelt hindavate tarbijate ootusi. Sellega seoses on heaks näiteks eraelu puutumatuse märgised, mida võib lisada toodetele ja teenustele, mis on läbinud sertifitseerimismenetluse. (29)

66.

Samuti sooviks Euroopa andmekaitseinspektor pöörata komisjoni tähelepanu teistele vahenditele, mida ei ole teatises küll märgitud, kuid mis võivad direktiivi parema rakendamise nimel osutuda kasulikuks. Selliste vahendite, mis võivad aidata andmekaitseasutustel andmekaitsealaseid õigusakte paremini jõustada, näideteks on:

67.

Viimasena viitab Euroopa andmekaitseinspektor muudele vahenditele, mida ei ole teatises märgitud, kuid mida võiks kaaluda kas direktiivi tulevase muutmise seisukohast või mida võiks lisada teistesse horisontaalsetesse õigusaktidesse, eelkõige on sellisteks vahenditeks:

68.

Erinevad institutsioonid omavad ülesandeid, mis seonduvad direktiivi rakendamisega. Direktiivi artikli 28 kohaselt vastutavad liikmesriikide järelevalveasutused selliste siseriiklike sätete, millega liikmesriikides võetakse üle direktiivi sätteid, kohaldamise järelevalve eest. Artikliga 29 luuakse järelevalveasutuste töörühm ning artiklis 30 loetletakse selle ülesanded. Artikli 31 kohaselt aitab liikmesriikide valitsuste esindajatest koosnev komitee komisjoni seoses ühenduse tasandil võetavate rakendusmeetmetega (komiteemenetluse komitee).

69.

Erinevate osapoolte ülesannete parema määratlemise vajadus esineb eelkõige seoses töörühmaga (selle tegevusega). Artikli 30 lõikes 1 loetletakse töörühma neli ülesannet, milleks on sisuliselt rakendamise ühtsuse eesmärgil järelevalve teostamine direktiivi kohaldamise üle riiklikul tasandil ning arvamuste esitamine ühenduse tasandil asetleidvate arengute kohta järgmistes valdkondades: kaitse tase, õigusaktiettepanekud ja tegevusjuhendid. Kõnealune loend näitab ulatuslikku vastutust, mida töörühm andmekaitse valdkonnas omab, lisaks kinnitavad seda töörühma poolt aastate jooksul väljatöötatud dokumendid.

70.

Teatises kinnitatakse, et töörühm „etendab olulist rolli parema ja ühtsema rakendamise tagamisel”. Euroopa andmekaitseinspektor on öelduga täielikult nõus, kuid peab samas vajalikuks täpsustada mõningaid spetsiifilisi aspekte, mis on seotud töörühma ülesannetega.

71.

Esiteks soovitatakse teatises tungivalt parandada töörühma antavat panust, kuna riikide ametiasutused peaksid püüdma kohandada oma riiklikku praktikat vastavalt ühisseisukohtadele (30) Euroopa andmekaitseinspektor tervitab kõnealuse avalduse aluseks olnud kavatsust, kuid hoiatab ülesannete osas tekkida võiva segaduse eest. Järelevalve liikmesriikides direktiivi täitmise üle (sealhulgas täitmise üle järelevalveasutuste poolt) on vastavalt EÜ asutamislepingu artiklile 211 komisjoni ülesandeks. Töörühma kui sõltumatut nõustajat ei saa pidada vastutavaks tema arvamuste kohaldamise eest riikide ametiasutuste poolt.

72.

Teiseks peab komisjon olema teadlik enda poolt töörühmas täidetavate rollide mitmekesisusest, sest ta ei ole üksnes töörühma liige, vaid täidab ka selle sekretariaadi ülesandeid. Sekretariaadi ülesannete täitmisel peab komisjon töörühma toetama nii, et see saab sõltumatult oma tööd teha. See tähendab põhimõtteliselt kahte asja: komisjon peab eraldama vajalikud ressursid ja sekretariaat peab töörühma tegevuste sisu ja ulatuse ning töötulemuste laadi osas tegema oma tööd töörühma ja selle eesistuja suuniste kohaselt. Üldisemalt võib tõdeda, et komisjoni tegevused oma teiste ülesannete täitmisel (mis tulenevad EÜ õigusest) ei tohiks halvendada tema kättesaadavust sekretariaadina.

73.

Kolmandaks võib tõdeda, et kuigi töörühm otsustab oma prioriteedid ise, võib komisjon märkida, mida ta töörühmalt ootab ja kuidas tema meelest saab olemasolevaid ressursse kõige paremini kasutada.

74.

Neljandaks kahetseb Euroopa andmekaitseinspektor, et teatises ei esitata selget arusaama komisjoni ja töörühma vahelise rollijaotuse kohta. Euroopa andmekaitseinspektor kutsub komisjoni üles esitama töörühmale dokumendi, milles selline arusaam esitatakse. Euroopa andmekaitseinspektor teeb kõnealuses dokumendis käsitletavate küsimuste osas järgmised ettepanekud:

75.

Euroopa andmekaitseinspektor jagab komisjoni keskset järeldust, et direktiivi ei tohiks lähitulevikus muuta. Kõnealust järeldust võib tugevdada, kui võtta selle aluseks samuti direktiivi laadi ja Euroopa Liidu õigusloomepoliitikat.

76.

Euroopa andmekaitseinspektori argumendid on järgmised:

77.

Tulevaste muudatuste peamisteks elementideks on:

78.

Euroopa andmekaitseinspektor teeb komisjonile ettepaneku täpsustada: teatise 3. peatükis märgitud erinevate tegevuste läbiviimise ajakava; direktiivi kohaldamist käsitleva aruande esitamise tähtaega; ettenähtud tegevuste teostamise mõõtmisel kasutatavaid volitusi; viiteid sellele, kuidas toimida pikemas perspektiivis.

79.

Euroopa andmekaitseinspektor tervitab tehnoloogia osas võetud lähenemisviisi kui esimest olulist sammu ning teeb ettepaneku alustada pikaajalist lähenemisviisi käsitlevat arutelu, mis sisaldab muu hulgas põhimõttelist arutelu järelevalveühiskonna arengu küsimuses. Samuti tervitab Euroopa andmekaitseinspektor direktiivi 2002/58/EÜ käimasolevat läbivaatamist ja võimalikku vajadust spetsiifilisemate eeskirjade järele, mille abil käsitleda andmekaitsealaseid küsimusi, mida tekitavad uued tehnoloogiad, näiteks Internet ja RFID. Kõnealuste meetmete võtmisel tuleks arvesse võtta muutuvaid olusid tervikuna ja need peaks hõlmama pikemas perspektiivis ka direktiivi 95/46/EÜ.

80.

Euroopa andmekaitseinspektor avaldab kahetsust selle üle, et teatises on vähe tähelepanu pööratud ülemaailmsetele eraelu puutumatuse ja jurisdiktsiooni küsimustele ning palub leida praktilisi lahendusi, mis ühitavad Euroopa andmesubjektide kaitsmise vajaduse Euroopa Liidu ja selle liikmesriikide territoriaalsete piirangutega, sellisteks lahendusteks on: ülemaailmse andmekaitseraamistiku edasine arendamine; kolmandatele riikidele andmete edastamise erikorra edasine arendamine; jurisdiktsiooni käsitlevad rahvusvahelised lepingud või sarnased lepingud kolmandate riikidega; investeerimine ülemaailmse täitmise mehhanismidesse, nagu näiteks siduvate ettevõtluseeskirjade kasutamine rahvusvaheliste äriühingute poolt.

Euroopa andmekaitseinspektor kutsub komisjoni üles alustama koos kõige olulisemate sidusrühmadega sellise visiooni väljatöötamist.

81.

Õiguskaitse osas on Euroopa andmekaitseinspektoril komisjonile järgmised ettepanekud:

82.

Direktiivi täielik rakendamine tähendab esiteks, et tuleb tagada, et liikmesriigid täidavad täielikult enda kohustusi, mis tulenevad Euroopa õigusest, ning teiseks, et täiel määral tuleb kasutada teisi mittesiduvaid vahendeid, mis võivad osutuda kasulikeks, et saavutada kõrge ja ühtlustatud andmekaitse tase. Euroopa andmekaitseinspektor palub komisjonil selgesõnaliselt märkida, kuidas ta erinevaid vahendeid kasutama hakkab ning kuidas ta eristab enda ja töörühma kohustusi.

83.

Kõnealuste vahendite osas tuleb märkida järgmist:

84.

Euroopa andmekaitseinspektor kutsub komisjoni üles esitama töörühmale dokumendi, milles esitatakse selge arusaam komisjoni ja töörühma vahelise rollijaotuse kohta ning käsitletakse järgmisi küsimusi:

85.

Nõuetekohaselt tuleb arvesse võtta reformilepingu jõustumise tagajärgi, et tagada direktiivis sisalduvate andmekaitsealaste põhimõtete võimalikult laialdane kohaldamine. Euroopa andmekaitseinspektor on ettepanekud esitanud kirjas, mis saadeti VVK eesistujale.