EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52008XX1025(01)
Opinion of the European Data Protection Supervisor on the Commission Decision of 12 December 2007 concerning the implementation of the Internal Market Information System (IMI) as regards the protection of personal data (2008/49/EC)
Euroopa Andmekaitseinspektori arvamus järgmise õigusakti kohta — komisjoni 12. detsembri 2007 . aasta otsus siseturu infosüsteemi (IMI) rakendamise kohta seoses isikuandmete kaitsega (2008/49/EÜ)
Euroopa Andmekaitseinspektori arvamus järgmise õigusakti kohta — komisjoni 12. detsembri 2007 . aasta otsus siseturu infosüsteemi (IMI) rakendamise kohta seoses isikuandmete kaitsega (2008/49/EÜ)
ELT C 270, 25.10.2008, p. 1–7
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
25.10.2008 |
ET |
Euroopa Liidu Teataja |
C 270/1 |
Euroopa Andmekaitseinspektori arvamus järgmise õigusakti kohta — komisjoni 12. detsembri 2007. aasta otsus siseturu infosüsteemi (IMI) rakendamise kohta seoses isikuandmete kaitsega (2008/49/EÜ)
(2008/C 270/01)
EUROOPA ANDMEKAITSEINSPEKTOR,
võttes arvesse Euroopa Ühenduse asutamislepingut, eriti selle artiklit 286,
võttes arvesse Euroopa Liidu põhiõiguste hartat, eriti selle artiklit 8,
võttes arvesse Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta ning
võttes arvesse Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrust (EÜ) nr 45/2001 üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta, eriti selle artiklit 41,
ON VASTU VÕTNUD JÄRGMISE ARVAMUSE:
1. SISSEJUHATUS
Siseturu infosüsteem
1. |
Siseturu infosüsteem (edaspidi „IMI”) on infotehnoloogia vahend, mis võimaldab liikmesriikide pädevatel asutustel vahetada siseturualaste õigusaktide rakendamisel omavahel teavet. IMI rahastatakse programmist IDABC (üleeuroopaliste e-valitsuste teenuste koostalitlusvõimeline osutamine riiklikele haldusasutustele, ettevõtetele ja kodanikele) (1). |
2. |
IMI kavandatakse üldsüsteemina, et toetada mitmeid siseturgu käsitlevate õigusaktide valdkondi, ning nähakse ette selle kasutusala laiendamist, et see toetaks tulevikus mitmeid õigusloome valdkondi. Algselt hakatakse IMI kasutama selleks, et toetada direktiivi 2005/36/EÜ (edaspidi „kutsekvalifikatsioonide tunnustamise direktiiv”) vastastikuse abi sätteid (2). Alates 2009. aasta detsembrist hakatakse IMI kasutama ka selleks, et toetada direktiivi 2006/123/EÜ (edaspidi „teenuste direktiiv”) halduskoostöö sätteid (3). |
Artikli 29 alusel asutatud andmekaitse töörühma arvamus ja Euroopa Andmekaitseinspektori kaasamine
3. |
2007. aasta kevadel palus Euroopa Komisjon, et artikli 29 alusel asutatud andmekaitse töörühm (edaspidi „artikli 29 töörühm”) esitaks oma arvamuse, selleks et analüüsida IMI mõju andmekaitsele. Artikli 29 töörühm esitas oma arvamuse IMI andmekaitseaspektide kohta 20. septembril 2007 (4). Artikli 29 töörühma arvamuses toetati komisjoni kava võtta vastu otsus, millega reguleeritakse IMI andmekaitseaspekte, ning anda IMIs toimuvale andmevahetusele konkreetsem õiguslik alus. |
4. |
Euroopa Andmekaitseinspektor tervitab asjaolu, et komisjon palus enne siseturu infosüsteemi käsitleva otsuse koostamist artikli 29 töörühmal esitada oma arvamuse. Euroopa Andmekaitseinspektor osales aktiivselt IMIga tegeleva alltöörühma töös ning toetab artikli 29 töörühma arvamuse järeldusi. Ta tervitab ka asjaolu, et komisjon konsulteeris enne siseturu infosüsteemi käsitleva otsuse vastuvõtmist mitteametlikult Euroopa Andmekaitseinspektoriga. See võimaldas teha ettepanekuid juba enne otsuse vastuvõtmist, mida oli vaja eelkõige seetõttu, et asjaomane menetlus puudutas komisjoni enda otsust, mitte komisjoni ettepanekut, mis läbib nõukogu ja Euroopa Parlamenti kaasava seadusandliku menetluse. |
Komisjoni otsus 2008/49/EÜ
5. |
Komisjon võttis 12. detsembril 2007 vastu otsuse 2008/49/EÜ siseturu infosüsteemi (IMI) rakendamise kohta seoses isikuandmete kaitsega (edaspidi „IMI otsus”). Otsuses võeti arvesse mõned Euroopa Andmekaitseinspektori ja artikli 29 töörühma tehtud soovitused. Samuti määratleti selles õiguslik alus. |
Euroopa Andmekaitseinspektori üldine seisukoht IMI küsimuses
6. |
Euroopa Andmekaitseinspektor on IMI suhtes meelestatud üldiselt positiivselt. Euroopa Andmekaitseinspektor toetab komisjoni eesmärki luua teabe vahetamiseks elektrooniline süsteem ning reguleerida selle andmekaitse aspekte. Selline tõhustatud süsteem ei pruugi üksnes koostööd tõhusamaks muuta, vaid see võib aidata tagada ka kohaldatavate andmekaitsealaste õigusaktide täitmise. Seda saab teha, luues selge raamistiku, et määrata kindlaks, millist teavet võib vahetada ning kellega ja millistel tingimustel võib seda teha. |
7. |
Siiski peituvad tsentraliseeritud elektroonilise süsteemi loomises ka teatavad ohud. Selliseks ohuks võib olla eelkõige, et andmeid jagatakse rohkem ja suuremale andmesaajate ringile, kui tõhusa koostöö eesmärgil oleks rangelt vajalik, ning et kõnealused andmed, sealhulgas andmed, mis võivad olla vananenud ja ebatäpsed, võivad jääda elektroonilisse süsteemi kauemaks kui vaja. Samuti on tundlik teema 27-le liikmesriigile kättesaadava andmebaasi turvalisus, kuna süsteem on tervikuna nii tugev, kui võrgu kõige nõrgem lüli lubab sel olla. |
8. |
Seetõttu on väga oluline, et andmekaitseküsimusi käsitletaks õiguslikult siduvas ühenduse aktis võimalikult terviklikult ja ühemõtteliselt. |
IMI kasutusala selge piiritlemine
9. |
Euroopa Andmekaitseinspektor tervitab asjaolu, et komisjon määrab ja piiritleb selgelt IMI kasutusala, esitades lisas loetelu asjaomastest ühenduse õigusaktidest, mille alusel võib teavet vahetada. Praegu on selles loetelus üksnes kutsekvalifikatsioonide tunnustamise direktiiv ja teenuste direktiiv, kuid IMI kasutusala peaks tulevikus laienema. Kui võetakse vastu uus õigusakt, milles nähakse ette teabevahetus IMI kasutades, ajakohastatakse samaaegselt kõnealust lisa. Euroopa Andmekaitseinspektor tervitab nimetatud moodust, kuna sellega i) piiritletakse selgelt IMI kasutusala; ii) tagatakse läbipaistvus, võimaldades samaaegselt; iii) paindlikkust juhuks, kui IMI hakatakse tulevikus kasutama täiendavaks teabevahetuseks. Samuti tagatakse sellega, et IMI kaudu ei saa teavet vahetada i) ilma konkreetses siseturualases õigusaktis sätestatud asjakohase õigusliku aluseta, millega lubatakse või volitatakse teabe vahetamist ning ii) IMI otsuse lisas kõnealusele õiguslikule alusele viitamata. |
IMI otsust puudutavad peamised probleemid
10. |
Siiski ei ole Euroopa Andmekaitseinspektor rahul i) IMI otsuse õigusliku aluse valikuga, mis tähendab, et IMI otsus põhineb praegu ebakindlatel õiguslikel alustel (vt käesoleva arvamuse osa 2) ning ii) asjaoluga, et kõnealusesse dokumenti ei ole lisatud mitmeid vajalikke sätted, millega reguleeritaks üksikasjalikult IMI andmekaitseaspekte (vt käesoleva arvamuse osa 3). |
11. |
Kahjuks tähendab komisjoni võetud lahendus praktikas seda, et vastupidiselt Euroopa Andmekaitseinspektori ja artikli 29 töörühma ootustele ei hakka IMI otsus nüüd kõikehõlmavalt reguleerima kõiki peamisi IMI andmekaitseaspekte, sealhulgas eelkõige seda, kuidas ühised vastutavad töötlejad jagavad teavitamisega seotud vastutust ning annavad andmesubjektidele juurdepääsuõigusi või lahendavad proportsionaalsusega seotud konkreetseid, praktilisi küsimusi. Euroopa Andmekaitseinspektoril on kahju ka sellest, et komisjonilt ei nõuta eelnevalt kindlaksmääratud küsimuste ja andmeväljade avaldamist oma veebisaidil, mis suurendaks läbipaistvust ja õiguskindlust. |
2. IMI OTSUSE ÕIGUSLIK ALUS
IDABC otsus
12. |
IMI otsuse õiguslik alus, nii nagu see on sätestatud kõnealuses otsuses, on Euroopa Parlamendi ja nõukogu 21. aprilli 2004. aasta otsus 2004/387/EÜ üleeuroopaliste e-valitsuse teenuste koostalitusvõimelise osutamise kohta riiklikele haldusasutustele, ettevõtetele ja kodanikele (edaspidi „IDABC otsus”) (5), eelkõige selle artikkel 4. |
13. |
IDABC otsus kujutab endast Euroopa Ühenduse asutamislepingu (edaspidi „EÜ asutamislepingu”) XV jaotise „Üleeuroopalised võrgud” kohast õigusakti. EÜ asutamislepingu artiklis 154 sätestatakse, et ühendus aitab kaasa üleeuroopaliste võrkude rajamisele ja arendamisele transpordi, telekommunikatsiooni ja energeetika infrastruktuuri valdkonnas. Sellised meetmed on suunatud kaasa aitama üksikriikide võrkude omavahelisele ühendamisele ja koostoimimisvõimele, samuti niisuguste võrkude kasutamise võimalusele. Artiklis 155 loetletakse meetmed, mida ühendus saab XV jaotise raames võtta. Nendeks on i) suunised; ii) meetmed, eriti tehnilise standardimise valdkonnas, mis võivad osutuda tarvilikuks võrkude koostoimimisvõime tagamiseks ning iii) projektide toetamine. IDABC otsus põhineb artikli 156 esimesel lõigul, milles käsitletakse vastuvõtmise menetlust. |
14. |
IDABC otsuse artiklis 4 sätestatakse muu hulgas, et ühendus viib ellu ühist huvi pakkuvaid projekte. Nimetatud projektid tuleb lisada jooksvasse tööprogrammi ning viia ellu vastavalt IDABC otsuse artiklis 6 ja 7 sätestatud põhimõtetele. Nimetatud põhimõtetega soodustatakse eelkõige laialdast osalust ning nähakse ette kindel ja erapooletu menetlus ning tehnilised standardid. Samuti on nende eesmärgiks tagada projektide majanduslik usaldusväärsus ja teostatavus. |
Teenuste direktiiv ja kutsekvalifikatsioonide tunnustamise direktiiv
15. |
Nii nagu eespool selgitatud, hakatakse siseturu infosüsteemi kasutama esialgu isikuandmete vahetamiseks seoses järgmise kahe direktiiviga:
|
16. |
Teenuste direktiivi artikli 34 lõikes 1 nähakse ette konkreetne õiguslik alus selleks, et võtta direktiiviga kaasneva meetmena kasutusele elektrooniline süsteem teabe vahetamiseks liikmesriikide vahel. Artikli 34 lõikes 1 on sätestatud: „Komisjon võtab koostöös liikmesriikidega kasutusele elektroonilise süsteemi teabe vahetamiseks liikmesriikide vahel, võttes arvesse olemasolevaid teabesüsteeme”. |
17. |
Kutsekvalifikatsioonide tunnustamise direktiivis ei nähta ette konkreetset elektroonilist süsteemi teabe vahetamiseks, kuid mitmetes selle sätetes nõutakse selgelt teabe vahetamist. Selliseks teabevahetust lubavaks sätteks on näiteks direktiivi artikkel 56, milles nõutakse, et liikmesriikide pädevad ametiasutused teeksid tihedat koostööd ja abistaksid teineteist vastastikku kõnealuse direktiivi kohaldamise lihtsustamiseks. Artikli 56 lõikes 2 sätestatakse, et teatavat tundlikku teavet töödeldakse vastavalt andmekaitse alastele õigusaktidele. Lisaks sätestatakse artiklis 8, et vastuvõtva liikmesriigi pädevad asutused võivad asutamise liikmesriigi pädevatelt asutustelt küsida teavet teenuse osutaja asutamise seaduslikkuse, tema hea käitumise, samuti kutsealaste distsiplinaar- ja kriminaalkaristuste puudumise kohta. Lisaks nähakse artikli 50 lõikes 2 ette, et põhjendatud kahtluse korral võib vastuvõttev liikmesriik nõuda liikmesriigi pädevatelt ametiasutustelt kinnitust kvalifikatsiooni tõendavate dokumentide autentsuse kohta ning kvalifikatsiooni ja koolitust tõendavaid dokumente. |
Vajadus nõuetekohase õigusliku aluse järele andmekaitse sätete jaoks
18. |
Isikuandmete kaitset tunnustatakse põhiõigusena Euroopa Liidu põhiõiguste harta artiklis 8 ning Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni (edaspidi „inimõiguste ja põhivabaduste konventsioon”) artiklil 8 põhinevas kohtupraktikas. |
19. |
IMI otsuse artiklis 1 sätestatakse IMI osaliste ja IMI kasutajate ülesanded, õigused ja kohustused seoses andmekaitsenõuetega. Euroopa Andmekaitseinspektor loeb põhjendusest 7 välja, et IMI otsust peetakse direktiivi 95/46/EÜ ja määruse (EÜ) nr 45/2001 kohase üldise ühenduse andmekaitse raamistiku täpsustuseks. IMI otsuses käsitletakse konkreetselt vastutavate töötlejate ja nende kohustuste määratlemist, andmete säilitustähtaegu ning andmesubjektide õigusi. Seega tegeleb IMI otsus põhiõiguste piiramise/täpsustamisega ning selle eesmärk on täpsustada kodanike subjektiivseid õigusi. |
20. |
Inimõiguste ja põhivabaduste konventsioonil põhineva kohtupraktika kohaselt ei tohiks olla kahtlusi seoses põhiõigusi piiravate sätete õigusliku staatusega. Kõnealused sätted tuleb sätestada EÜ asutamislepingul põhinevas õigusaktis, mida on võimalik kohtus vaidlustada. Vastasel juhul oleks tulemuseks see, et andmesubjektil puudub õiguskindlus, kuna ta ei saaks toetuda asjaolule, et tal on võimalik eeskirju kohtus vaidlustada. |
21. |
Õiguskindluse küsimus on seda silmatorkavam, kuna EÜ asutamislepingu kohaselt on eelkõige liikmesriikide kohtutel vabadus otsustada, kuidas nad väärtustavad IMI otsust. See võib tuua kaasa erinevaid tulemusi eri liikmesriikides või isegi ühes ja samas liikmesriigis. Nimetatud õiguskindluse puudumine ei ole vastuvõetav. |
22. |
Õiguskaitsevahendi (osas kindluse) puudumine on igal juhul vastuolus inimõiguste ja põhivabaduste konventsiooni artikliga 6, milles sätestatakse õigus asja õiglasele arutamisele, ning kõnealusel artiklil põhineva kohtupraktikaga. Sellises olukorras ei täida ühendus oma kohustusi, mis on võetud vastavalt Euroopa Liidu lepingu (edaspidi „ELi leping”) artiklile 6, milles nõutakse, et liit austaks põhiõigusi, nagu need on tagatud inimõiguste ja põhivabaduste konventsiooniga. |
Valitud õigusliku aluse puudused
23. |
Euroopa Andmekaitseinspektor on tõsiselt mures, et komisjoni otsuse koostajad valisid otsuse õiguslikuks aluseks IDABC otsuse artikli 4, mis ei pruugi tagada eespool kirjeldatud õiguskindluse nõuete täitmist. Euroopa Andmekaitseinspektor loetleb allpool järgmised elemendid, mis võivad tekitada kahtlusi seoses IMI otsuse õigusliku aluse valikuga:
|
Valitud õigusliku aluse puuduste kõrvaldamise võimalikud lahendused
24. |
IMI otsus vajab eespool toodud põhjustel tugevat õiguslikku alust. Selles osas, kas IMI otsuse õiguslik alus täidab õiguskindluse nõuet, esinevad tõsised kahtlused. Euroopa Andmekaitseinspektor soovitab komisjonil kaaluda uuesti kõnealuse õigusliku aluse kasutamist ning otsida lahendusi valitud õigusliku aluse puuduste kõrvaldamiseks, mille võimalikuks tagajärjeks võib olla IMI otsuse asendamine õigusaktiga, mis vastab õiguskindluse nõuetele. |
25. |
Sellega seoses võib kõige asjakohasemaks lahenduseks olla võimalus, et nõukogu ja Euroopa Parlament võtaksid IMI jaoks vastu eraldiseisva õigusakti, sarnaselt Schengeni infosüsteemile, viisainfosüsteemile või muudele mastaapsetele IT andmebaasidele. |
26. |
Euroopa Andmekaitseinspektor soovitab seda võimalust analüüsida. Kõnealuses eraldiseisvas õigusaktis võiks seega käsitleda IMI osaliste ja IMI kasutajate ülesandeid, õigusi ja kohustusi seoses andmekaitsenõuetega (IMI otsuse sisu) ning samuti muid siseturu infosüsteemi loomise ja toimimisega seotud nõudeid. |
27. |
Teine võimalus oleks õigusliku aluse leidmine muudest siseturu õigusaktidest. Niivõrd, kui IMI otsust kohaldatakse isikuandemete vahetamisele teenuste direktiivi kontekstis, tuleks täiendavalt uurida, kas kõnealust direktiivi ennast, eelkõige selle artiklit 34, saaks kasutada vajaliku õigusliku alusena. Niivõrd, kui IMI otsust kohaldatakse isikuandmete vahetamisele kutsekvalifikatsioonide tunnustamise direktiivi kontekstis, võiks toimida sarnane lähenemisviis: konkreetse ja selge õigusliku aluse võib luua ka direktiivi ennast muutes. |
28. |
Mis puudutab tulevasi siseturualaseid õigusakte, millega võidakse edaspidi nõuda teabevahetust liikmesriikide pädevate asutuste vahel, siis iga kord võib nimetatud konkreetsetes uutes õigusaktides võtta vastu konkreetse õigusliku aluse. |
3. TÄHELEPANEKUD IMI OTSUSE SISU KOHTA
29. |
Käesolevas osas analüüsib Euroopa Andmekaitseinspektor IMI andmekaitseaspekte reguleerivaid sätteid, nii nagu need esinevad IMI otsuses. Euroopa Andmekaitseinspektori ettepanekud võiks võtta arvesse uues õigusaktis, millega asendatakse IMI otsus, nii nagu eespool soovitatakse. Kuid kui sellist uut õigusakti ei koostata, võiks need ettepanekud võtta arvesse IMI otsuses kõnealuse otsuse muutmisega. |
30. |
Lisaks võivad IMI osalised juba praegu kohaldada praktikas mõningaid ettepanekuid ilma otsust muutmata. Euroopa Andmekaitseinspektor eeldab, et komisjon võtab käesolevas arvamuses esitatud soovitused arvesse vähemalt operatiivtasandil niivõrd, kuivõrd need puudutavad komisjoni tegevust IMI osalejana, kuuludes seega Euroopa Andmekaitseinspektori järelevalve alla. |
Artikkel 2 — Eelnevalt kindlaksmääratud andmeväljad: läbipaistvus ja proportsionaalsus
31. |
Euroopa Andmekaitseinspektor tervitab asjaolu, et komisjon avaldas IMI veebisaidil esimesed eelnevalt kindlaksmääratud küsimused ja muud andmeväljad. Need on seotud teabe vahetamisega kutsekvalifikatsioonide tunnustamise direktiivi kohaselt. |
32. |
Selleks et muuta see hea tava selgeks komisjoni kohustuseks ning seega tagada läbipaistvus ja muuta see veelgi paremaks, soovitab Euroopa Andmekaitseinspektor sätestada IMI õigusaktis komisjoni kohustuse avaldada eelnevalt kindlaksmääratud küsimused ja muud andmeväljad IMI veebisaidil. |
33. |
Proportsionaalsuse tagamiseks tuleks IMI õigusaktis täpsustada, et eelnevalt kindlaksmääratud küsimused ja muud andmeväljad peavad olema piisavad, asjakohased ega tohi ületada oma otstarbe piire. Lisaks on Euroopa Andmekaitseinspektoril kaks konkreetset soovitust seoses proportsionaalsusega:
|
Artikkel 3 — Ühine vastutus ja kohustuste jaotus
34. |
Kohustuste jaotus IMI otsuse artiklis 3 on ebaselge ja mitmeti mõistetav. Euroopa Andmekaitseinspektor tunnistab, et IMI otsuses ei pruugi olla võimalik määrata konkreetselt kindlaks iga töötlemistoimingut ning panna selle eest vastutama komisjoni või mõnes konkreetses liikmesriigis asuvat konkreetset pädevat asutust. Sellele vaatamata oleks IMI otsus pidanud andma mõningaid juhiseid vähemalt vastutavate töötlejate kõige olulisemate andmekaitsealaste kohustuste osas. |
35. |
Eelkõige soovitab Euroopa Andmekaitseinspektor IMI õigusaktis täpsustada, et:
|
Andmesubjektide teavitamine
36. |
Euroopa Andmekaitseinspektor soovitab IMI õigusakti lisada uue punkti, et jaotada teavitamise kohustus ühiste vastutavate töötlejate vahel, kasutades „mitmekihilist” lähenemisviisi. Eelkõige tuleks tekstis täpsustada järgnevat:
|
Juurdepääsuõigus ning vastuväidete esitamise ja paranduste tegemise õigus
37. |
Euroopa Andmekaitseinspektor soovitab samuti lisada uue lõigu, et:
|
38. |
Lisaks tuleks täpsustada, et komisjon võib anda juurdepääsu üksnes nendele andmetele, millele komisjonil endal on õiguspärane juurdepääs. Seetõttu ei hakka komisjonil olema kohustust anda juurdepääsu pädevate asutuste vahelisele teabevahetusele. Kui andmesubjekt peaks siiski sellise taotlusega komisjoni poole pöörduma, tuleb komisjonil suunata andmesubjekt liigse viivitamiseta nende asutuste juurde, kellel on juurdepääs nimetatud andmetele, ning anda andmesubjektile vastavat nõu. |
Artikkel 4 — Teabevahetuse andmesubjektide isikuandmete säilitamine
39. |
IMI otsuse artikli 4 lõikes 1 nähakse andmete säilitamiseks ette kuuekuuline ajavahemik alates teabevahetuse „ametlikust lõpust”. |
40. |
Euroopa Andmekaitseinspektor mõistab, et pädevad asutused võivad vajada mõningast paindlikkust andmete säilitamisel, kuna pärast esialgset küsimuse ja vastamise etappi võivad sama juhtumi kohta järgneda lisaküsimused pädevate asutuste vahel. Ning tõepoolest, artikli 29 töörühma arvamuse koostamisel selgitas komisjon, et need haldusmenetlused, mille raames võib teabevahetus vajalikuks osutuda, viiakse tavaliselt lõpule paari kuuga ning kuuekuulise andmete säilitamise ajavahemiku eesmärk oli võimaldada paindlikkust ootamatute viivituste puhuks. |
41. |
Arvestades eeltoodut ja tuginedes komisjoni selgitustele, kahtleb Euroopa Andmekaitseinspektor, kas andmete säilitamine IMIs veel kuus kuud pärast teabevahetuse ametlikku lõppu on õigustatud. Seetõttu soovitab Euroopa Andmekaitseinspektor, et kuuekuuline andmete automaatse kustutamise tähtaeg algaks kuupäevast, mil taotlev asutus võtab esimest korda ühendust oma teabevahetuspartneriga. Tõepoolest oleks parem lähenemisviis see, kui andmete automaatse kustutamise tähtaeg sõltuks teabevahetuse liigist (kusjuures tähtaega hakataks alati arvestama teabevahetuse algusest). Kui näiteks kuuekuuline andmete säilitamise tähtaeg on asjakohane kutsekvalifikatsioonide tunnustamise direktiivi kohase teabevahetuse puhul, ei pruugi see olla piisav tulevikus mõne muu siseturu alaste õigusaktide kohase teabevahetuse puhul. |
42. |
Euroopa Andmekaitseinspektor lisab samuti, et kui tema soovitusi ei võeta arvesse, siis tuleks vähemalt selgitada, mida mõeldakse teabevahetuse „ametliku lõpuga”. Eelkõige tuleb tagada, et andmebaasi ei jää andmed kauemaks kui vaja üksnes seetõttu, et pädev asutus ei ole suutnud „juhtumit lõpetada”. |
43. |
Lisaks soovitab Euroopa Andmekaitseinspektor muuta artikli 4 teises lõigus andmete kustutamise ja säilitamise loogikat. Komisjon peaks igal juhul kustutamistaotluse 10 tööpäeva jooksul rahuldama, vaatamata sellele, kas teine pädev teabevahetuses osalev asutus soovib teavet IMIs säilitada või mitte. Siiski peaks kõnealuse teise pädeva asutuse teavitamiseks olema automaatne mehhanism, et nimetatud asutus ei kaotaks andmeid ja võiks soovi korral teabe alla laadida või välja printida ning hoida seda enda tarbeks väljaspool IMI ja vastavalt oma andmekaitse-eeskirjadele. Kümnepäevane teavitamise tähtaeg tundub olevat mõistlik nii minimaalse kui ka maksimaalse ajavahemikuna. Komisjonil peaks olema võimalik teavet enne nimetatud kümnepäevast tähtaega kustutada üksnes siis, kui mõlemad asutused kustutamise soovi kinnitavad. |
Turvameetmed
44. |
Euroopa Andmekaitseinspektor soovitab ka täpsustada, et nii komisjoni kui ka pädevate asutuste võetavad turvameetmed tuleb võtta vastavalt liikmesriikide parimatele tavadele. |
Ühine järelevalve
45. |
Kuna IMIs toimuva teabevahetuse suhtes kohaldatakse mitmeid siseriiklikke andmekaitse õigusakte ning kõnealuse teabevahetuse üle teostavad järelevalvet mitmed riiklikud andmekaitseasutused (lisaks kohaldatakse määrust (EÜ) nr 45/2001 ja Euroopa Andmekaitseinspektoril on järelevalvevolitused töötlemistoimingute teatavate aspektide üle), soovitab Euroopa Andmekaitseinspektor näha IMI õigusaktiga ette ka selged sätted, et hõlbustada ühise järelevalve teostamist IMI üle erinevate osalevate andmekaitseasutuste poolt. Ühise järelevalve korraldamisel võiks eeskujuks võtta teise põlvkonna Schengeni infosüsteemi (SIS II) loomist, toimimist ja kasutamist reguleerivad õigusaktid (8). |
4. KOKKUVÕTE
46. |
Euroopa Andmekaitseinspektor toetab komisjoni eesmärki luua teabe vahetamiseks elektrooniline süsteem ning reguleerida oma andmekaitse aspekte. |
47. |
IMI otsus vajab eespool toodud põhjustel tugevat õiguslikku alust. Euroopa Andmekaitseinspektor soovitab komisjonil kaaluda uuesti oma õigusliku aluse valikut ning otsida lahendusi valitud õigusliku aluse puuduste kõrvaldamiseks, mille võimalikuks tagajärjeks võib olla IMI otsuse asendamine õigusaktiga, mis vastab õiguskindluse nõuetele. |
48. |
Kõige kindlama lahendusena teeb Euroopa Andmekaitseinspektor ettepaneku analüüsida võimalust võtta nõukogu ja Euroopa Parlamendi tasandil IMI kohta vastu eraldiseisev õigusakt, sarnaselt Schengeni infosüsteemile, viisainfosüsteemile või muudele mastaapsetele IT andmebaasidele. |
49. |
Teise võimalusena võiks analüüsida, kas teenuste direktiivi artiklit 34 ja sarnaseid praeguseks veel vastu võtmata muude siseturu alaste õigusaktide sätteid saaks kasutada vajaliku õigusliku alusena. |
50. |
Lisaks esitatakse arvamuses mitmeid soovitusi IMI andmekaitseaspekte reguleerivate sätete lisamiseks uude õigusakti, mis hakkaks vastavalt eespool esitatule asendama IMI otsust, või kui sellist uut õigusakti ei koostata, siis IMI otsuse muutmisega otse IMI otsusesse. |
51. |
IMI osalised võivad juba praegu rakendada praktikas paljusid ettepanekuid ilma otsust muutmata. Euroopa Andmekaitseinspektor eeldab, et komisjon võtab käesolevas arvamuses esitatud soovitused võimalikult suurel määral arvesse vähemalt operatiivtasandil niivõrd, kuivõrd need puudutavad komisjoni tegevust IMI osalejana. |
52. |
Kõnealused soovitused puudutavad läbipaistvust ja proportsionaalsust, ühist vastutust ja kohustuste jaotust, andmesubjektide teavitamist, juurdepääsuõigust ning vastuväidete esitamise ja paranduste tegemise õigust, andmete säilitamist, turvameetmeid ja ühist järelevalvet. |
Brüssel, 22. veebruar 2008
Peter HUSTINX
Euroopa Andmekaitseinspektor
(1) Vt käesoleva arvamuse punkti 12.
(2) Euroopa Parlamendi ja nõukogu 7. septembri 2005. aasta direktiiv 2005/36/EÜ kutsekvalifikatsioonide tunnustamise kohta (ELT L 255, 30.9.2005, lk 22).
(3) Euroopa Parlamendi ja nõukogu 12. detsembri 2006. aasta direktiiv 2006/123/EÜ teenuste kohta siseturul (ELT L 376, 27.12.2006, lk 36).
(4) Artikli 29 töörühma arvamus 7/2007 siseturu infosüsteemi (IMI) andmekaitseküsimuste kohta, WP 140.
(5) ELT L 144, 30.4.2004, parandatud versioon ELT L 181, 18.5.2004, lk 25.
(6) Vaata komisjoni valget raamatut majanduskasvu, konkurentsivõime ja tööhõive kohta (KOM(93) 700 (lõplik)).
(7) EÜT L 184, 29.12.2006, lk 23.
(8) Vaata Euroopa Parlamendi ja nõukogu 20. detsembri 2006. aasta määruse (EÜ) nr 1987/2006 (mis käsitleb teise põlvkonna Schengeni infosüsteemi (SIS II) loomist, toimimist ja kasutamist) artikleid 44–46 (ELT L 381, 28.12.2006, lk 4) ning nõukogu 12. juuni 2007. aasta otsuse 2007/533/JSK (mis käsitleb teise põlvkonna Schengeni infosüsteemi (SIS II) loomist, toimimist ja kasutamist) artikleid 60–62 (ELT L 205, 7.8.2007, lk 63).