Accept Refuse

EUR-Lex Access to European Union law

This document is an excerpt from the EUR-Lex website

Document 52018DC0638

JUHENDDOKUMENT Komisjoni juhised liidu andmekaitseõiguse kohaldamise kohta valimiste kontekstis Euroopa Komisjoni panus 19.–20. septembril 2018 Salzburgis toimuvasse riigijuhtide kohtumisse

COM/2018/638 final

Brüssel,12.9.2018

COM(2018) 638 final

Vabad ja õiglased valimised

JUHENDDOKUMENT

Komisjoni juhised liidu andmekaitseõiguse kohaldamise kohta valimiste kontekstis















FMT:ItalicEuroopa Komisjoni panus 19.–20. septembril 2018







FMT:ItalicSalzburgis toimuvasse riigijuhtide kohtumisse

































Komisjoni juhised liidu andmekaitseõiguse kohaldamise kohta valimiste kontekstis

Suhted valijatega on demokraatliku protsessi alus. Erakondadel on alati kombeks olnud kohandada valimiskommunikatsiooni oma sihtrühma erihuvidele. Seega on loomulik, et valimistes osalejad vaevad võimalusi kasutada andmeid häälte võitmise eesmärgil. Digitaalsete vahendite ja veebiplatvormide võidukäik on loonud palju uusi võimalusi pidada rahvaga poliitilist arutelu.

Ent Cambridge Analytica juhtumi raames avalikuks saanud valijate ülipersonaalne mõjutamine, mis põhineb isikuandmete ebaseaduslikul töötlemisel, on midagi muud. See näitlikustab nüüdisaegse tehnikaga seonduvaid probleeme, ent annab samuti tunnistust sellest, kui oluline on valimiste kontekstis isikuandmeid kaitsta. Sellest on saanud tõsine probleem mitte pelgalt üksikisikute jaoks, vaid ka meie demokraatia toimimise seisukohast, kuna see kujutab enesest suurt ohtu õiglasele ja demokraatlikule valimisprotsessile ning võib nõrgestada iga demokraatia aluseks olevat avalikku arutelu, õiglust ja läbipaistvust. Komisjoni arvates on äärmiselt oluline selle teemaga tegeleda, et anda inimestele tagasi usk valimisprotsessi usaldusväärsusesse.

Ühendkuningriigi andmekaitseasutuse (Information Commissioner’s Office – ICO) esimesed aruanded andmeanalüüsi kohta poliitilistes kampaaniates 1 ning Euroopa Andmekaitseinspektori arvamus, mis käsitleb veebi kaudu manipuleerimist ja isikuandmeid, 2 on kinnitanud, et algselt ärilistel eesmärkidel välja töötatud ülipersonaalset mõjutamist kasutatakse üha enam valimiste kontekstis.

Üldisemalt on mitu andmekaitseasutust käsitlenud andmekaitset valimiste kontekstis 3 .

Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679 (isikuandmete kaitse üldmäärus), 4 mis muutus kogu liidus vahetult kohaldatavaks 25. mail 2018, annab Euroopa Liidu käsutusse vahendid astuda vastu isikuandmete ebaseaduslikule kasutamisele valimiste kontekstis. Ent demokraatliku poliitika terviklust saab kaitsta üksnes eeskirju rangelt ja järjekindlalt rakendades. Kuna eelseisvate Euroopa Parlamendi valimiste puhul rakendatakse neid esmakordselt Euroopa valimiste kontekstis, on oluline anda selge teave sellistele valimisprotsessis osalejatele nagu riikide valimisasutused, erakonnad, andmemaaklerid, andmeanalüüsiga tegelejad, sotsiaalmeediaplatvormid ja reklaamivõrgud veebis. Seega on käesoleva juhendi eesmärk tuua välja valimiste seisukohast olulised andmekaitsekohustused. Liikmesriikide andmekaitseasutused, kes tagavad isikuandmete kaitse üldmääruse täitmise, peavad oma suurendatud volitusi täies ulatuses kasutama, et käsitleda võimalikke rikkumisi, eriti kui need puudutavad valijate ülipersonaalset mõjutamist.

1.Liidu andmekaitseraamistik

Isikuandmete kaitse on põhiõigus, mis on sätestatud Euroopa Liidu põhiõiguste hartas (artikkel 8) ja aluslepingutes (ELi toimimise lepingu artikkel 16). Isikuandmete kaitse üldmäärusega tugevdatakse andmekaitseraamistikku, nii et liit on tulevikus paremini valmis käsitlema isikuandmete kuritarvitamise juhtumeid ning kõik asjaosalised käituvad isikuandmetega vastutustundlikumalt.

Sellega antakse üksikisikutele täiendavad ja suuremad õigused, mis on eriti olulised valimiste kontekstis. Viimase 20 aasta jooksul liidus kehtinud andmekaitsekorra probleemid olid ennekõike eeskirjade killustatud rakendamine liikmesriikide lõikes, see, et puudusid mis tahes ametlikud mehhanismid riiklike andmekaitseasutuste koostööks, ning nimetatud asutuste piiratud täitevvolitused. Neid vajakajäämisi käsitletakse isikuandmete kaitse üldmääruses, millega ühtlustatakse ennast tõestanud andmekaitsepõhimõtetele tuginedes selliseid põhimõisteid nagu nõusolek, antakse üksikisikutele suuremad õigused saada teavet oma andmete töötlemise kohta, selgitatakse tingimusi, mille alusel isikuandmeid võib edasi jagada, kehtestatakse eeskirjad isikuandmetega seotud rikkumiste kohta, luuakse mehhanism andmekaitseasutuste koostööks piiriüleste juhtumite puhul ja suurendatakse nimetatud asutuste täitevvolitusi. ELi andmekaitsenormide rikkumise korral on andmekaitseasutustel volitused uurimiseks (näiteks andes korralduse esitada teavet ning tehes kontrollkäike vastutavate töötlejate ja volitatud töötlejate asukohas) ja parandusmeetmete võtmiseks (näiteks tehes hoiatusi ja noomitusi või kehtestades ajutise või alalise töötlemiskeelu). Samuti on neil õigus määrata trahve, mille summa võib olla kuni 20 miljonit eurot või, kui tegu on ettevõttega, ulatuda kuni 4 %-ni ettevõtte ülemaailmsest aastakäibest 5 . Trahvide määramisel ja nende summa üle otsustamisel võtavad andmekaitseasutused arvesse üksiku juhtumi asjaolusid ja selliseid tegureid nagu töötlemise laad, ulatus või eesmärk, mõjutatud isikute hulk ja neile tekitatud kahju suurus 6 . Valimiste kontekstis on tõenäoline, et rikkumiste raskus ja mõjutatud isikute arv on suur. Sellest tulenevalt võidakse määrata suuri trahve, eriti arvestades seda, kui oluline on kodanike usaldus demokraatliku protsessi vastu.

Isikuandmete kaitse üldmääruse kohaldamises on keskne roll hiljuti loodud Euroopa Andmekaitsenõukogul, mis koondab kõiki liikmeriikide andmekaitseasutusi, ja Euroopa Andmekaitseinspektoril, kes annavad sel eesmärgil välja suuniseid, soovitusi ja parimaid tavasid 7 . Riikide andmekaitseasutused hakkavad tagama isikuandmete kaitse üldmääruse täitmist ja on vahetud kontaktpunktid sidusrühmade jaoks ning seetõttu on neil head võimalused pakkuda määruse tõlgendamise küsimustes täiendavat õiguskindlust. Komisjon toetab seda tööd aktiivselt.

Liidu andmekaitseraamistikku täiendab eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv, teise nimega e-privaatsuse direktiiv (Euroopa Parlamendi ja nõukogu direktiiv 2002/58/EÜ 8 ), mis on valimiste kontekstis oluline, kuna selle kohaldamisalasse kuuluvad eeskirjad pealesunnitud teabe elektroonilise saatmise (muu hulgas otseturunduse eesmärgil) kohta. Samuti kehtestatakse e-privaatsuse direktiiviga eeskirjad teabe salvestamise ja lõppseadmesse, nagu nutitelefon või arvuti, juba salvestatud teabele juurepääsu saamise kohta, näiteks küpsiste puhul, mida võidakse kasutada kasutaja veebikäitumise jälgimiseks. Praegu on arutamisel komisjoni ettepanek privaatsust ja elektroonilist sidet käsitleva määruse kohta („e-privaatsuse määrus“), 9 mis tugineb samadele põhimõtetele nagu e-privaatsuse direktiiv. Uue määruse kohaldamisala on laiem, hõlmates lisaks traditsioonilistele ja telekommunikatsioonivõrgu operaatoritele ka internetipõhiseid elektroonilise side teenuseid.

2.Eri asjaosaliste peamised kohustused

Isikuandmete kaitse üldmäärust kohaldatakse kõigi valimistes aktiivselt osalejate suhtes, nagu Euroopa tasandi ja liikmesriikide erakonnad (edaspidi „erakonnad“), Euroopa tasandi ja liikmesriikide poliitilised sihtasutused (edaspidi „sihtasutused“), platvormid, andmeanalüüsifirmad ja valimisprotsessi eest vastutavad avaliku sektori asutused. Nad peavad töötlema isikuandmeid, nagu nimed ja aadressid, seadusega kooskõlas, õiglaselt ja läbipaistvalt ning ainult kindlaksmääratud eesmärkidel. Nad ei saa andmeid edasiselt kasutada viisil, mis ei vasta eesmärgile, mille jaoks neid algselt koguti. Põhimõtteliselt kuulub isikuandmete kaitse üldmääruse kohaldamisalasse ka töötlemine ajakirjanduslikel eesmärkidel, ent võttes arvesse, kui oluline on demokraatlikus ühiskonnas õigus sõna-ja teabevabaduse, võidakse selle suhtes kohaldada siseriiklike õigusaktidega ette nähtud vabastusi ja erandeid 10 .

Isikuandmete mõiste on laiahaardeline. Isikuandmed on igasugused andmed tuvastatud või tuvastatava füüsilise isiku kohta. Valimiste kontekstis töödeldavad andmed hõlmavad sageli isikuandmete spetsiifilisi kategooriaid (edaspidi „tundlikud isikuandmed“), nagu poliitilised seisukohad, etniline päritolu, seksuaalelu jne, mille suhtes kehtib rangem kaitsekord 11 . Lisaks sellele võib andmeanalüüs tuletada mittetundlike isikuandmete kogumitest tundlikke isikuandmeid, nagu poliitilised seisukohad, aga ka usulised veendumused ja seksuaalne sättumus. Isikuandmete kaitse üldmääruse kohaldamisalasse kuulub ka selliste tuletatud andmete töötlemine, mis peaks seega vastama kõigile andmekaitsenormidele.

Sellest järeldub, et pea kõik andmete töötlemistoimingud valimiste kontekstis kuuluvad isikuandmete kaitse üldmääruse kohaldamisalasse.

Võttes arvesse vajadust anda selge teave valimisprotsessis osalejatele ja arvestades Cambridge Analytica juhtumi esimesi järeldusi, on järgnevates punktides välja toodud need andmekaitsekohustused, mis on valimiste kontekstis eriti olulised. Kokkuvõte neist on esitatud lisas.

2.1Vastutavad töötlejad ja volitatud töötlejad

Vastutavate töötlejate ja volitatud töötlejate vastutavus on üks isikuandmete kaitse üldmääruse keskseid mõisteid. Vastutav töötleja on organisatsioon, kes otsustab kas ainuisikuliselt või koos teistega selle üle, miks ja mil viisil isikuandmeid töödeldakse. Volitatud töötleja töötleb isikuandmeid ainult vastutava töötleja nimel ja tema juhiste kohaselt, kusjuures nendevaheline suhe määratakse kindlaks lepingu või mõne muu õiguslikult siduva aktiga. Vastutavad töötlejad peavad kehtestama riskidele vastavad meetmed, rakendama algusest peale lõimitud andmekaitset ning suutma tõendada vastavust isikuandmete kaitse üldmääruse nõuetele (vastutuse põhimõte).

Vastutava töötleja või volitatud töötleja rolli tuleb iga üksiku juhtumi puhul eraldi hinnata. Valimiste kontekstis saavad vastutavad töötlejad olla paljud valimistes osalejad. Erakonnad, üksikkandidaadid ja sihtasutused on enamikel juhtudest vastutavad töötlejad; platvormid ja andmeanalüüsifirmad võivad olla (ühiselt) vastutavad töötlejad või volitatud töötlejad ühe teatava töötlemise puhul sõltuvalt sellest, millises ulatuses nad asjaomast töötlemist kontrollivad; 12 riikide valimisasutused on vastutavad töötlejad valimisregistrite puhul.

Isikuandmete kaitse üldmääruse nõudeid peavad täitma ka väljaspool Euroopa Liitu baseeruvad ettevõtted, kui nende sooritatavad isikuandmete töötlemise toimingud on seotud kaupade või teenuste pakkumisega liidus asuvatele üksikisikutele või nende isikute käitumise jälgimisega liidus. See puudutab paljusid platvorme ja andmeanalüüsifirmasid.

2.2Tundlike isikuandmete põhimõtted, nende töötlemise seaduslikkus ja eritingimused

Valimistes osalejad võivad isikuandmeid, sealhulgas avalikest allikatest saadud isikuandmeid töödelda ainult kooskõlas isikuandmete töötlemise põhimõtetega ja lähtudes piiratud arvust põhjustest, mis on isikuandmete kaitse üldmääruses selgelt määratletud 13 . Andmete seadusliku töötlemise aluseks valimiste kontekstis on ennekõike üksikisiku nõusolek, liidu või liikmesriigi õigusest tuleneva juriidilise kohustuse täitmine, avalikes huvides oleva ülesande täitmine ja ühe asjaosalise õigustatud huvi. Ent valimiste kontekstis võivad selles osalejad tugineda õigustatud huvile ainult juhul, kui nende huvisid ei kaalu üles asjaomaste üksikisikute huvid või põhiõigused ja -vabadused.

Lisaks sellele peab teabe salvestamine või lõppseadmesse, nagu arvuti, nutitelefon vms, juba salvestatud teabele juurdepääsu saamine olema kooskõlas e-privaatsuse direktiivi nõuetega lõppkasutaja seadme kaitse kohta, mis tähendab, et asjaomane üksikisik peab andma selleks oma nõusoleku.

Kui õiguslikuks aluseks võetakse nõusolek, on isikuandmete kaitse üldmäärusega nõutud, et nõusolek peab olema antud selge kinnitusena ning on vabatahtlik ja teadlik 14 .

Valimistega seotud avaliku sektori asutused töötlevad isikuandmeid juriidilise kohustuse või avalik-õigusliku ülesande täitmise eesmärgil. Muud valimistes osalejad võivad andmeid töödelda nõusoleku või õigustatud huvi alusel 15 . Erakonnad ja sihtasutused võivad andmed töödelda ka avaliku huvi alusel, kui siseriiklik õigus selle ette näeb 16 .

Avaliku sektori asutused võivad avaldada erakondadele teatavaid andmeid valimisnimekirjades või elanikeregistris olevate isikute kohta (näiteks nimesid ja aadresse) ainult juhul, kui see on liikmesriigi õigusega konkreetselt lubatud, ainult valimisreklaami tegemise eesmärgil ning ulatuses, mis on nimetatud eesmärgil vajalik.

Valimiste kontekstis töödeldakse sageli tundlikke isikuandmeid. Üldiselt on tundlike isikuandmete, sealhulgas tuletatud andmete töötlemine keelatud, välja arvatud juhul, kui kehtib üks isikuandmete kaitse üldmäärusega 17 ette nähtud asjaoludest. Tundlike isikuandmete töötlemisel peavad olema täidetud tavalisest rangemad eritingimused – isik peab olema andnud selgesõnalise nõusoleku 18 või asjaomased andmed avalikustanud 19 . Erakonnad ja sihtasutused võivad tundlikke isikuandmeid töödelda ka siis, kui selleks on oluline avalik huvi liidu või liikmesriigi õiguse alusel ning võetud on sobivad kaitsemeetmed 20 . Isikuandmete kaitse üldmäärusega on ette nähtud, et nad võivad tundlikke isikuandmeid töödelda tingimusel, et see käsitleb ainult nende liikmeid või endisi liikmeid või isikuid, kes on nendega püsivalt seotud, kuid andmed tohib avalikustada ainult erakonna või sihtasutuse ringis 21 . Ent erakond ei tohi seda konkreetset sätet kasutada potentsiaalsete liikmete või valijate andmete töötlemiseks.

Andmete töötlemise eesmärk tuleks kindlaks määrata nende kogumise ajal (eesmärgi piirangu põhimõte) 22 . Teataval eesmärgil kogutud andmeid tohib edasiselt töödelda ainult sellega kooskõlas oleval muul eesmärgil. Vastasel juhul tuleb uuel eesmärgil töötlemiseks leida uus isikuandmete kaitse üldmäärusega ette nähtud õiguslik alus, näiteks nõusolek. Ennekõike ei tohi valimiste kontekstis edasiselt töödelda andmeid, mille elustiiliandmete maaklerid või platvormid on kogunud ärilistel eesmärkidel.

Kui erakonnad ja sihtasutused on sellised andmed kolmandalt isikult saanud, tohivad nad neid kasutada ainult tingimusel, et nad rakendavad nõuetekohast hoolsust ja kontrollivad, kas andmed on saadud seaduslikult.

2.3Läbipaistvusnõuded

Cambridge Analytica juhtum on näidanud, kui oluline on võidelda läbipaistmatuse vastu ja anda puudutatud isikutele ammendavat teavet. Sageli ei tea inimesed seda, kes nende isikuandmeid töötleb ja millistel eesmärkidel seda tehakse. Õiglase ja läbipaistva töötlemise põhimõte eeldab, et üksikisikut teavitatakse isikuandmete töötlemise toimingu tegemisest ja selle eesmärkidest 23 . Isikuandmete kaitse üldmääruses selgitatakse vastutavate töötlejate sellealaseid kohustusi. Nad peavad teavitama üksikisikuid järgmistest nende andmete töötlemise põhiaspektidest:

·vastutava töötleja identifitseerimisandmed;

·töötlemise eesmärk;

·isikuandmete saajad;

·andmete allikas, kui neid ei ole kogutud otse isikult endalt;

·kas rakendatud on automatiseeritud otsusetegemist;

·igasugune täiendav teave, mis on vajalik õiglase ja läbipaistva töötlemise tagamiseks 24 .

Lisaks on isikuandmete kaitse üldmäärusega nõutud, et teavitamine toimub kokkuvõtlikus, selges, arusaadavas ning lihtsasti kättesaadavas vormis, kasutades selget ja lihtsat keelt 25 . Näiteks ei vasta läbipaistvusnõuetele valimismaterjalidele väikeses kirjas trükitud lühike ja segane märkus andmekaitse kohta.

Esialgsete järelduste kohaselt oli puudulik teave andmete kogumise eesmärkide kohta üks olulisemaid Cambridge Analytica juhtumiga seotud vajakajäämisi, mis seadis lisaks kahtluse alla asjaomaste isikute nõusoleku kehtivuse. Kõik valimiste kontekstis isikuandmeid töötlevad organisatsioonid peavad veenduma, et enne kui üksikisik annab oma nõusoleku või enne kui vastutav töötleja alustab andmete töötlemist mis tahes muule alusele tuginedes, mõistab ta täielikult, mil viisil ja millisel eesmärgil tema isikuandmeid kasutatakse.

Isikuid tuleb teavitada igas töötlemise etapis, mitte ainult andmete kogumise ajal.

Kui erakonnad töötlevad teavet, mille nad on saanud kolmandatelt isikutelt, nagu valimisregistrid, andmemaaklerid, andmete analüüsijad ja muud allikad, peavad nad üldjuhul asjaomaseid üksikisikuid teavitama ja selgitama neile, kuidas nad neid andmeid kombineerivad ja kasutavad, et tagada andmete õiglane töötlemine 26 .

2.4Profiilianalüüs, automatiseeritud otsusetegemine ja ülipersonaalne mõjutamine

Profiilianalüüs on andmete automatiseeritud töötlemine, mida kasutatakse selliste aspektide analüüsimiseks või prognoosimiseks nagu isiklikud eelistused, huvid, majanduslik olukord jne 27 . Profiilianalüüsi saab kasutada inimeste ülipersonaalseks mõjutamiseks, analüüsides näiteks selliseid isikuandmeid nagu internetiotsingute ajalugu, et teha kindlaks teatava sihtrühma või üksikisiku huvid eesmärgiga tema tegutsemist mõjutada. Ülipersonaalset mõjutamist võidakse kasutada selleks, et edastada internetipõhist teenust, näiteks sotsiaalmeediat kasutavale isikule või sihtrühmale konkreetselt talle suunatud sõnum.

Cambridge Analytica juhtum tõi päevavalgele sotsiaalmeedias kasutatavatest ülipersonaalse mõjutamise viisidest tingitud probleemid. Korraldajad võivad kasutada sotsiaalmeedia kasutajate kaudu kogutud andmeid valijate profiilide koostamiseks. See võib anda sellistele organisatsioonidele võimaluse teha kindlaks hõlpsamini mõjutatavad valijad ja sellest tulenevalt võimaluse mõjutada valimiste tulemusi.

Andmete sellise töötlemise puhul kehtivad kõik isikuandmete kaitse üldmääruse üldised põhimõtted ja eeskirjad, nagu seaduslikkuse, õigluse, läbipaistvuse ja eesmärgi piirangu põhimõte. Sageli ei ole inimesed teadlikud sellest, et nende profiili analüüsitakse. Nad ei mõista, miks nad saavad reklaame, mis on ilmselgelt seotud nende viimaste otsingutega või miks nad saavad erinevatelt organisatsioonidelt konkreetselt neile suunatud teateid. Isikuandmete kaitse üldmäärusega kohustatakse kõiki vastutavaid töötlejaid, nagu erakonnad ja andmete analüüsijad, teavitama üksikisikuid selliste meetodite kasutamisest ja nende tagajärgedest 28 .

Isikuandmete kaitse üldmääruses nenditakse, et automatiseeritud otsusetegemisel, sealhulgas profiilianalüüsil, võivad olla tõsised tagajärjed. Isikuandmete kaitse üldmäärusega on ette nähtud, et üksikisikul on õigus, et tema kohta ei tehta otsust, mis põhineb üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil, ja mis toob kaasa teda puudutavaid õiguslikke tagajärgi või avaldab talle märkimisväärset mõju, välja arvatud juhul, kui töötlemine toimub rangete tingimuste kohaselt, nimelt kui isik on andnud oma selgesõnalise nõusoleku või kui otsus on lubatud liidu või liikmesriigi õigusega, milles on sätestatud ka asjakohased kaitsemeetmed 29 .

Ülipersonaalne mõjutamine valimiste kontekstis kuulub sellesse kategooriasse juhul, kui selle mõju üksikisikule on piisavalt suur. Euroopa Andmekaitsenõukogu sedastas, et mõju on piisavalt suur juhul, kui otsus võib märkimisväärselt mõjutada üksikisiku olukorda, käitumist või valikuid või kui see avaldab isikule pikaajalist või püsivat mõju 30 . Andmekaitsenõukogu leidis, et teatavatel juhtudel võib suunatud veebireklaamil olla üksikisikule piisavalt suur mõju, näiteks juhul, kui see on pealetükkiv või kasutab ära teadmisi isiku nõrkuste kohta. Arvestades seda, kui oluline on kasutada demokraatliku õigust hääletada, on võimalik, et suunatud sõnumid, mille tulemusena inimesed võivad näiteks jätta hääletamata või hääletada teataval viisil, vastavad märkimisväärse mõju kriteeriumidele.

Seega peavad vastutavad töötlejad valimiste kontekstis tagama, et selliseid meetodeid kasutav töötlemine toimub seaduslikul viisil kooskõlas isikuandmete kaitse üldmääruse eespool nimetatud põhimõtete ja rangete tingimustega.

2.5Isikuandmete turvalisus ja täpsus

Arvestades valimiste kontekstis kasutatavate andmestike suurust ja seda, et sageli sisaldavad need tundlikke isikuandmeid, on turvalisus sel juhul eriti oluline. Isikuandmete kaitse üldmääruse kohaselt peavad isikuandmete nii vastutavad kui ka volitatud töötlejad rakendama asjakohaseid tehnilisi ja korralduslikke meetmeid selleks, et tagada töötlemisest üksikisikute õigustele ja vabadustele tulenevatele ohtudele vastav turvalisuse tase 31 .

Isikuandmete kaitse üldmääruse kohaselt peavad vastutavad töötlejad teatama isikuandmetega seotud rikkumistest pädevale järelevalveasutusele asjatu viivituseta ja hiljemalt 72 tunni jooksul. Kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt suurt ohtu üksikisikute õigustele ja vabadustele, peab vastutav töötleja põhjendamatu viivituseta teavitama ka üksikisikuid, keda see rikkumine puudutab 32 .

Juhul kui tegu on suurte andmestikega ning kui andmed on kogutud mitmest erinevast allikast, peavad erakonnad ja muud valimisprotsessis osalejad eriti tähelepanelikult jälgima, et isikuandmed oleksid täpsed. Ebaõiged andmed tuleb viivitamata kustutada või parandada ning vajaduse korral ajakohastada.

2.6Andmekaitsealane mõjuhinnang

Isikuandmete kaitse üldmäärusega luuakse uus vahend töötlemisele eelnevaks riskihindamiseks: andmekaitsealane mõjuhinnang. See tuleb alati teha siis, kui andmete töötlemise tulemusena tekib tõenäoliselt suur oht üksikisikute õigustele ja vabadustele 33 . Nii on see valimiste kontekstis, kui vastutav töötleja hindab süstemaatiliselt ja ulatuslikult, sealhulgas profiilianalüüsi tehes, üksikisikute isiklikke aspekte, mis isikut märkimisväärselt mõjutavad, ja kui vastutav töötleja töötleb tundlikke isikuandmeid suures ulatuses. Kui riikide valimisasutused tegutsevad oma avalik-õiguslikke ülesandeid täites, on võimalik, et nad ei pea andmekaitsealast mõjuhinnangut tegema, kui andmekaitsealane mõjuhinnang on õigusaktide vastuvõtmise kontekstis juba tehtud.

Mõjuhinnang, mille erinevad valimistes osalejad peavad nende kontekstis tegema, peaks hõlmama elemente, mis on vajalikud sellise töötlemisega seotud riskide käsitlemiseks, ennekõike mis puudutab kolmandatelt isikutelt saadud andmestike töötlemise seaduslikkust ja läbipaistvusnõudeid.

3.Üksikisikute õigused

Isikuandmete kaitse üldmäärusega antakse üksikisikutele järgmised täiendavad ja kindlamad õigused, mis on eriti olulised valimiste kontekstis:

·õigus oma isikuandmetega tutvuda;

·õigus taotleda oma isikuandmete kustutamist, kui töötlemine toimus nõusoleku alusel ja kui see nõusolek tagasi võetaks, kui andmed ei ole enam vajalikud või kui töötlemine on ebaseaduslik;

·õigus väärate, ebatäpsete või mittetäielike isikuandmete parandamisele.

Samuti on üksikisikutel õigus esitada töötlemisele vastuväide, näiteks valimisnimekirjades olevate andmete puhul, mis on edastatud erakondadele, kui nende andmete töötlemise aluseks on õigustatud huvi või avalik huvi.

Üksikisikul on õigus sellele, et tema suhtes ei tehta üksnes isikuandmete automatiseeritud töötlemisel põhinevat otsust. Sellisel juhul võib ta taotleda füüsilise isiku sekkumist, tal on õigus esitada oma seisukoht ja otsus vaidlustada.

Selleks et üksikisik saaks neid õigusi kasutada, peavad kõik protsessis osalejad ette nägema vajalikud vahendid ja keskkonna. Isikuandmete kaitse üldmäärusega nähakse ette võimalus töötada välja andmekaitseasutuse heakskiidetud käitumisjuhend, kus on täpsustatud määruse kohaldamist konkreetsetes valdkondades, sealhulgas valimiste kontekstis.

Isikuandmete kaitse üldmäärusega antakse üksikisikutele õigus esitada kaebus järelevalveasutusele ja õigus õiguskaitsevahendile. Samuti annab see üksikisikule õiguse volitada vabaühendust tema nimel kaebust esitama 34 . Teatavates liikmesriikides võimaldavad siseriiklikud õigusaktid vabaühendustel kaebuse esitamist ilma, et nad tegutseksid üksikisiku volituse alusel. Eriti oluline on see valimiste kontekstis, kuna potentsiaalselt mõjutab see suurt hulka isikuid.

Peamised valimisprotsessi kontekstis olulised isikuandmete kaitsega seotud probleemid 35  

Erakonnad ja sihtasutused

Erakonnad ja sihtasutused on vastutavad töötlejad

·täidavad eesmärgi piirangut; edasine töötlemine toimub ainult kooskõlas oleval eesmärgil (näiteks jagades andmeid platvormidega);

·valivad andmete töötlemiseks (sealhulgas tuletatud andmete puhul) asjakohase õigusliku aluse, nagu nõusolek, õigustatud huvi, avalikes huvides olev ülesanne (kui see on õigusaktiga ette nähtud), eritingimused tundlike isikuandmete puhul (näiteks poliitiline seisukoht);

·korraldavad andmekaitsealase mõjuhinnangu;

·teavitavad üksikisikuid kõigist töötlemise eesmärkidest (läbipaistvusnõuded) kas kohe andmeid kogudes või kui nad neid kolmandatelt isikutelt saavad;

·tagavad andmete täpsuse, eriti kui andmed pärinevad eri allikatest ja kui tegu on tuletatud andmetega;

·kontrollivad, kas kolmandatelt isikutelt saadud andmed on omandatud seaduslikult ja millisel eesmärgil (näiteks kas asjaomaste üksikisikute teadev nõusolek on antud teataval eesmärgil);

·võtavad arvesse profiilianalüüsiga seotud eririske ja võtavad asjakohaseid kaitsemeetmeid;

·täidavad automatiseeritud otsusetegemist rakendades erinõudeid (näiteks peavad nad saama sõnaselge nõusoleku ja rakendama kohaseid kaitsemeetmeid);

·määratlevad selgelt, kellel on juurdepääs andmetele;

·tagavad tehniliste ja korralduslike meetmete varal töötlemise turvalisuse; teatavad isikuandmetega seotud rikkumistest;

·selgitavad kohustusi volitatud töötlejatega, nagu andmeanalüüsifirmad, sõlmitavates lepingutes või muudes õiguslikult siduvates aktides;

·kustutavad andmed, kui need ei ole enam vajalikud nende kogumise algsel eesmärgil

Andmemaaklerid ja andmeanalüüsifirmad

Andmemaaklerite ja andmeanalüüsifirmade puhul on tegemist kas (kaas)vastutavate töötlejate või volitatud töötlejatega olenevalt sellest, kuivõrd nad andmetöötlust ise kontrollivad

Vastutava töötlejana

Volitatud töötlejana

·täidavad eesmärgi piirangut; edasine töötlemine toimub ainult kooskõlas oleval eesmärgil (eriti juhul, kui andmeid jagatakse kolmandate isikutega);

·valivad andmete töötlemiseks asjakohase õigusliku aluse, nagu nõusolek, õigustatud huvi. Tundlike isikuandmete puhul on töötlemine võimalik ainult selgesõnalise nõusoleku või ilmselgelt avalikustatud andmete puhul;

·teevad andmekaitsealase mõjuhinnangu;

·teavitavad üksikisikuid igast töötlemise eesmärgist (läbipaistvusnõuded), eriti juhul, kui soovitakse nõusolekut, kuna tavaliselt müüakse andmed edasi kolmandale isikule;

·täidavad automatiseeritud otsusetegemist rakendades erinõudeid (näiteks saavad sõnaselge nõusoleku ja rakendavad kohaseid kaitsemeetmeid);

·pööravad eri andmestike kombineerimisel erilist tähelepanu sellele, et töötlemine oleks seaduslik ja andmed täpsed;

·tagavad tehniliste ja korralduslike meetmete varal töötlemise turvalisuse; teatavad isikuandmetega seotud rikkumistest

·täidavad vastutava töötlejaga sõlmitud lepingust või muust õiguslikult siduvast aktist tulenevaid kohustusi;

·tagavad tehniliste ja korralduslike meetmete varal töötlemise turvalisuse;

·abistavad vastutavat töötlejat seoses andmekaitsealase mõjuhinnangu koostamise või andmesubjektide õiguste kasutamisega või teavitavad vastutavat töötlejat viivitamata andmetega seotud rikkumisest, kui nad sellest teadlikuks saavad

Platvormid on tavaliselt andmete vastutavad töötlejad nende platvormil toimuva töötlemise puhul ja võivad olla muude organisatsioonidega kaasvastutavad

Sotsiaalmeediaplatvormid / reklaamivõrgud veebis

·valivad andmete töötlemiseks asjakohase õigusliku aluse, nagu lepingud üksikisikutega, nõusolek või õigustatud huvi. Tundlike isikuandmete puhul on töötlemine võimalik ainult selgesõnalise nõusoleku või ilmselgelt avalikustatud andmete puhul;

·kasutavad ainult neid andmeid, mis on vajalikud määratletud eesmärgil;

·teevad andmekaitsealase mõjuhinnangu;

·tagavad seaduslikkuse, kui andmeid jagatakse kolmandate isikutega;

·täidavad läbipaistvusnõudeid, ennekõike seoses tegevustingimustega, kui andmeid jagatakse hiljem kolmandate isikutega;

·täidavad automatiseeritud otsusetegemist rakendades erinõudeid (näiteks saavad sõnaselge nõusoleku ja rakendavad kohaseid kaitsemeetmeid);

·tagavad tehniliste ja korralduslike meetmete varal töötlemise turvalisuse; teatavad isikuandmetega seotud rikkumistest;

·annavad üksikisikute käsutusse vahendid ja keskkonna, et nad saaksid tõhusalt kasutada oma õigusi, sealhulgas õigust sellele, et nende suhtes ei tehta otsust üksnes andmete automatiseeritud töötlemise, sealhulgas profiilianalüüsi alusel

Riikide valimisasutused on vastutavad töötlejad

Riikide valimisasutused

·isikuandmete töötlemise õiguslik alus on juriidiline kohustus või seadusel põhinev ja avalikust huvist tulenev ülesanne;

·koostavad andmekaitsealase mõjuhinnangu, kui mõju ei ole õigusaktidega juba hinnatud 

(1)

Ühendkuningriigi andmekaitseasutuse (Information Commissioner’s Office – ICO) 10. juuli 2018. aasta aruanded „Investigation into the use of data analytics in political campaigns – Investigation update“ ja „Democracy Disrupted? Personal information and political influence“.

(2)

https://edps.europa.eu/sites/edp/files/publication/18-03-19_online_manipulation_en.pdf.

(3)

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3013267 „Provvedimento in materia di trattamento di dati presso i partiti politici e di esonero dall’informativa per fini di propaganda elettorale“, mis avaldati 26. märtsil 2014 Itaalia andmekaitseasutuse teatajas nr 71 [doc. web n. 3013267]; https://www.cnil.fr/fr/communication-politique-quelles-sont-les-regles-pour-lutilisation-des-donnees-issues-des-reseaux „Communication politique: quelles sont les règles pour l’utilisation des données issues des réseaux sociaux?“, mille Prantsusmaa sõltumatu isikuandmete ja -vabaduste kaitse komisjon (Commission Nationale de l’informatique et des libertés) avaldas 8. novembril 2016; https://ico.org.uk/media/for-organisations/documents/1589/promotion_of_a_political_party.pdf Information Commissioner’s Office „Guidance on political campaigning“ [20170426].

(4)

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1).

(5)

Komisjoni juhised isikuandmete kaitse üldmääruse kohta aadressil https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_et.

(6)

Isikuandmete kaitse üldmääruse artikkel 83.

(7)

Euroopa Andmekaitseinspektor annab välja ka arvamusi.

(8)

Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiiv 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT L 201, 31.7.2002, lk 37).

(9)

Ettepanek: Euroopa Parlamendi ja nõukogu määrus, milles käsitletakse eraelu austamist ja isikuandmete kaitset elektroonilise side puhul ning millega tunnistatakse kehtetuks direktiiv 2002/58/EÜ (privaatsust ja elektroonilist sidet käsitlev määrus), COM(2017) 10 final.

(10)

Isikuandmete kaitse üldmääruse artikli 85 lõige 2.

(11)

Isikuandmete kaitse üldmääruse artikli 9 lõige 1.

(12)

Hiljutise Euroopa Liidu Kohtu praktika kohaselt (10. juuli 2018. aasta otsus kohtuasjas C–25/17: Jehovan todistajat) võib isikuandmete kogumist ja töötlemist mõjutavat organisatsiooni teatavatel juhtudel pidada vastutavaks töötlejaks.

(13)

Isikuandmete kaitse üldmääruse artiklid 5 ja 6.

(14)

Isikuandmete kaitse üldmääruse artikkel 7 ja artikli 4 lõige 11.

(15)

Tingimusel et see ei mõjuta oluliselt asjaomaste üksikisikute õigusi ja vabadusi.

(16)

Vt isikuandmete kaitse üldmääruse põhjendus 56: „Kui valimisprotsessi käigus näeb demokraatlik süsteem liikmesriigis ette, et poliitilised parteid koguvad isikuandmeid inimeste poliitiliste vaadete kohta, võib selliste andmete töötlemine olla lubatud avalike huvidega seotud põhjustel ja tingimusel, et kehtestatakse vajalikud kaitsemeetmed“.

(17)

Isikuandmete kaitse üldmääruse artikkel 9.

(18)

Isikuandmete kaitse üldmääruse artikli 9 lõike 2 punkt a.

(19)

Isikuandmete kaitse üldmääruse artikli 9 lõike 2 punkt e.

(20)

Isikuandmete kaitse üldmääruse artikli 9 lõike 2 punkt g.

(21)

Isikuandmete kaitse üldmääruse artikli 9 lõike 2 punkt d. Erakond või sihtasutus ei tohi jagada oma liikmete või endiste liikmete või püsivalt seotud isikute kohta käivaid andmeid kolmanda isikuga, kui asjaomased isikud ei ole selleks nõusolekut andnud.

(22)

Isikuandmete kaitse üldmääruse artikli 5 lõike 1 punkt b.

(23)

Isikuandmete kaitse üldmääruse artikli 5 lõike 1 punkt a.

(24)

Isikuandmete kaitse üldmääruse artiklid 13 ja 14.

(25)

Euroopa Andmekaitsenõukogu läbipaistvussuunised.

(26)

Isikuandmete kaitse üldmääruse artikkel 14.

(27)

Nagu on määratletud isikuandmete kaitse üldmääruse artikli 4 lõikes 4.

(28)

Isikuandmete kaitse üldmääruse artikli 13 lõige 2.

(29)

Isikuandmete kaitse üldmääruse artikkel 22.

(30)

Euroopa Andmekaitsenõukogu suunised automatiseeritud otsusetegemise kohta (WP251rev.01, viimati muudetud ja muudatused vastu võetud 6. veebruaril 2018).

(31)

Isikuandmete kaitse üldmääruse artikkel 32.

(32)

Isikuandmete kaitse üldmääruse artiklid 33 ja 34 ja Euroopa Andmekaitsenõukogu suunised isikuandmetega seotud rikkumisest teatamise kohta.

(33)

Isikuandmete kaitse üldmääruse artiklid 35 ja 36 ja Euroopa Andmekaitsenõukogu suunised andmekaitsealase mõjuhinnangu kohta.

(34)

Isikuandmete kaitse üldmääruse artikli 80 lõige 1.

(35)

Käesolev teave ei ole mingil juhul ammendav. Selle eesmärk on juhtida tähelepanu mitmele isikuandmete kaitse üldmääruse kohaselt andmetega seotud kohustusele, mis on olulised valimisprotsessi seisukohast. Need vastavad olukorrale, mille puhul erakonnad koguvaid andmeid ise avalikest allikatest, oma sotsiaalmeediakontodelt, otse valijatelt jne, ja kasutavad andmemaaklerite või andmeanalüüsifirmade teenuseid, et mõjutada sotsiaalmeediaplatvormide kaudu valijaid. Samuti võivad nimetatud osalised saada andmeid platvormidelt. Asjakohased võivad olla ka muud õigusaktid, nagu e-privaatsuse direktiivi eeskirjad pealesunnitud teabe saatmise ja lõppseadmete kaitse kohta.

Top