29.11.2005   

ET

Euroopa Liidu Teataja

C 298/1

1.

Euroopa andmekaitseinspektor tervitab, et temaga peetakse nõu määruse (EÜ) nr 45/2001 artikli 28 lõike 2 alusel. Silmas pidades määruse (EÜ) nr 45/2001 artikli 28 lõike 2 kohustuslikkust, tuleks käesolevat arvamust mainida direktiivi preambulis.

2.

Euroopa andmekaitseinspektor tunnistab, et on tähtis, et liikmesriikide õiguskaitseorganite käsutuses oleks kõik vajalikud õigusaktid eelkõige terrorismi ja muu raske kuritegevuse tõkestamiseks. Üldkasutatavate elektrooniliste teenuste teatavate liiklus- ja asukohaandmete piisav kättesaadavus võib olla nendele õiguskaitseorganitele oluliseks vahendiks ning aidata kaasa isikute füüsilisele turvalisusele. Lisaks tuleb märkida, et see ei tähenda automaatselt vajadust uute vahendite järele, nagu nähakse ette käesolevas ettepanekus.

3.

Sama ilmne on ettepaneku oluline mõju isikuandmete kaitsele. Kui vaadelda ettepanekut ainult andmekaitse seisukohast, ei peaks liiklus- ja asukohaandmeid õiguskaitse eesmärgil üldse säilitama. Direktiivis 2002/58/EÜ kehtestatakse just andmekaitse kaalutlusel õiguspõhimõte, et liiklusandmed tuleb kustutada niipea, kui nende salvestisi enam side enda eesmärkide (sealhulgas arveldamisega seotud eesmärkide) täitmiseks ei vajata. Sellest õiguspõhimõttest erandite tegemisel tuleb kohaldada rangeid tingimusi.

4.

Käesolevas arvamuses rõhutab Euroopa andmekaitseinspektor ettepaneku mõju isikuandmete kaitsele. Samuti võtab Euroopa andmekaitseinspektor arvesse asjaolu, et olenemata ettepaneku tähtsusest õiguskaitsele, ei tohi sellest tulenevalt inimesi ilma jätta nende põhiõigusest eraelu puutumatusele.

5.

Käesoleva Euroopa andmekaitseinspektori arvamuse puhul tuleb arvestada nende kaalutlustega. Euroopa andmekaitseinspektor pooldab tasakaalustatud lähenemisviisi, milles andmekaitsesse sekkumise vajalikkus ja proportsionaalsus on kesksel kohal.

6.

Ettepanekut tuleb käsitleda reageeringuna Prantsuse Vabariigi, Iirimaa, Rootsi Kuningriigi ja Ühendkuningriigi algatusele seoses raamotsusega, mis käsitleb üldkasutatavate elektroonilise side teenuste osutamisega seoses töödeldud ja salvestatud või üldkasutatavates sidevõrkudes olevate andmete säilitamist kuritegevuse ja kuritegude, sealhulgas terrorismi uurimiseks, avastamiseks ja selle eest vastutusele võtmiseks (“raamotsuse eelnõu”), mille Euroopa Parlament (konsultatsioonimenetluse käigus) tagasi lükkas.

7.

Euroopa andmekaitseinspektoriga ei ole seoses raamotsuse eelnõuga nõu peetud ning ta ei ole ka omal algatusel arvamust esitanud. Euroopa andmekaitseinspektor ei kavatse raamotsuse eelnõu kohta veel oma arvamust esitada, kuid osutab vajaduse korral sellele eelnõule käesolevas arvamuses.

8.

Euroopa andmekaitseinspektorile on esmatähtis, et ettepanek austab põhiõigusi. Õigusakt, mis kahjustaks ühenduse õigusega ning eelkõige Euroopa Kohtu ja Euroopa Inimõiguste Kohtu kohtupraktikaga tagatud kaitset, ei ole mitte ainult vastuvõetamatu, vaid ka ebaseaduslik. Olukord ühiskonnas võib terrorirünnakute tõttu olla muutunud, kuid selle tulemuseks ei tohi olla õigusriigi kõrgete kaitsestandardite ohustamine. Kaitse on tagatud seadustega, olenemata õiguskaitse tegelikest vajadustest. Lisaks lubab kohtupraktika erandite tegemist, kui need on demokraatlikus ühiskonnas vajalikud.

9.

Ettepanek omab otsest mõju Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artikliga 8 antud kaitsele. Euroopa Inimõiguste Kohtu kohtupraktika kohaselt:

10.

Euroopa Liidu lepingu artikli 6 lõikes 2 sätestatakse, et liit austab Euroopa inimõiguste ja põhivabaduste kaitse konventsiooniga tagatud põhiõigusi. Eelmises lõigus on näidatud, et Euroopa Inimõiguste Kohtu kohtupraktika kohaselt kuulub andmete säilitamise kohustus Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artikli 8 reguleerimisalasse ning et on vaja tungivat põhjendust, mis järgiks Dudgeoni kohtuotsuse kriteeriumi. Andmete täies mahus säilitamise kohustuse vajalikkus ja proportsionaalsus peab olema tõendatud.

11.

Lisaks on ettepanekul suur mõju ühenduse õiguses tunnustatud andmekaitsepõhimõtetele:

12.

Lisaks, nagu on seletuskirjas mainitud, tunnustab põhiõiguste harta nii eraelu kaitset kui ka isikuandmete kaitset.

13.

Ettepaneku mõju isikuandmete kaitsele tuleb põhjalikult analüüsida. Selles analüüsis võtab Euroopa andmekaitseinspektor arvesse eespool nimetatud asjaolusid ning järeldab, et vaja on täiendavaid kaitsemeetmeid. Ei piisa lihtsalt viitest olemasolevale andmekaitsealasele õiguslikule raamistikule (eelkõige direktiividele 95/46/EÜ ja 2002/58/EÜ).

14.

Euroopa andmekaitseinspektor tuletab meelde artikliga 29 loodud andmekaitse töörühma 9. novembri 2004. aasta järeldusi raamotsuse eelnõu kohta. Töörühm märkis, et liiklusandmete kohustuslik säilitamine vastavalt raamotsuse eelnõus sätestatud tingimustele ei ole vastuvõetav. See järeldus oli muu hulgas tingitud tõendite puudumisest andmete säilitamise vajalikkuse kohta korrakaitseks, sest analüüs näitas, et õiguskaitseorganite poolt nõutud liiklusandmetest kõige olulisema osa vanus ei ületa kuut kuud.

15.

Euroopa andmekaitseinspektor on seisukohal, et artikliga 29 loodud andmekaitse töörühma eespool toodud kaalutlused peaks olema käesolevale ettepanekule hinnangu andmise lähtekohaks. Siiski ei saa nende kaalutluste tulemust lihtsalt käesolevasse ettepanekusse üle kanda. Arvesse tuleb võtta asjaolude muutumise võimalust. Euroopa andmekaitseinspektor leiab, et järgmised arengud võivad hinnangu suhtes asjakohased olla.

16.

Esiteks on esitatud arvandmeid, mis näitavad, et õiguskaitseorganid taotlevad tegelikkuses kuni aasta vanuseid liiklusandmeid. Komisjon ja nõukogu eesistujariik peavad oluliseks Ühendkuningriigi politsei uurimust (8), mis näitab, et kuigi 85 % politsei taotletud liiklusandmetest olid vähem kui kuus kuud vanad, kasutati raskemate kuritegudega seotud keeruliste uurimiste puhul kuue kuu kuni aasta vanuseid andmeid. Toodi ka mõned näited konkreetsetest juhtumitest. Ettepanekus esitatud säilitusperiood – telefoniandmete korral üks aasta – kajastab niisuguseid õiguskaitsealaseid kogemusi.

17.

Euroopa andmekaitseinspektor ei ole veendunud, et need arvud tõendavad liiklusandmete kuni üheaastase säilitamise vajalikkust. Asjaolu, et mõnel juhul aitas liiklus- ja/või asukohaandmete olemasolu kaasa kuriteo lahendamisele, ei tähenda automaatselt, et need andmed on (üldiselt) õiguskaitsevahendina vajalikud. Siiski ei saa neid arve tähelepanuta jätta. Vähemasti on nende näol tegemist tõsise katsega tõendada andmete säilitamise vajalikkust. Lisaks näitavad need arvud selgelt, et rohkem kui üheaastane säilitamisperiood ei ole õiguskaitse praegustest kogemustest lähtudes vajalik.

18.

Teiseks, alati ei kasutata teenuseosutajatele direktiivi 2002/58/EÜ alusel antud võimalusi liiklusandmete säilitamiseks arveldamisega seotud eesmärkidel, sest aina suuremal hulgal juhtudest liiklusandmete säilitamist arveldamisega seotud eesmärkidel ei toimu (mobiilside ettemaksekaardid, kindlasummalised abonemendid jne). Niisugustel juhtudel – mille sagedus on tegelikkuses kasvanud – liiklus- ja asukohaandmeid ei salvestata, vaid need kustutatakse vahetult pärast sidet. Sama kehtib ka ebaõnnestunud kõnede puhul. See võib mõjutada õiguskaitse tõhusust.

19.

Lisaks võib see tendents telekommunikatsiooniteenuste juures viia häireteni siseturu toimimises, muu hulgas liikmesriikides (lähiajal aset leidva) õigusaktide vastuvõtmise tõttu vastavalt direktiivi 2002/58/EÜ artiklile 15. Näiteks avaldas Itaalia valitsus hiljuti dekreedi, mis kohustab teenusosutajaid telefoniandmeid säilitama nelja aasta jooksul. Niisugune kohustus toob teatud liikmesriikidele, nagu Itaalia, kaasa tähelepanuväärsed kulud.

20.

Kolmandaks on arenenud ka õiguskaitseorganite töömeetodid: tähtsamaks on muutunud ennetavad uurimised ja tehnilise toe kasutamine. Need arengud eeldavad, et nende asutuste käsutuses on nõuetekohased ja täpselt määratletud vahendid oma töö tegemiseks, pidades kinni andmekaitsepõhimõtetest. Üks liikmesriikide asutuste käsutuses olevatest vahenditest on tavaliselt andmete alleshoidmine või sideandmete külmutamine konkreetse uurimise käigus tehtud taotluse alusel. On märgitud, et see vahend, millel on iseenesest nendele põhimõtetele väiksem mõju kui praegu kavandataval vahendil (andmete säilitamine), ei pruugi alati olla piisav ning seda eelkõige selliste terrorismi või muu raske kuritegevusega seotud isikute leidmiseks, keda ei ole varem kuritegudes kahtlustatud. Siiski on vaja täiendavaid tõendeid otsustamaks, kas see vastab tegelikkusele.

21.

Neljandaks on suurenenud terrorismiga seotud mured. Euroopa andmekaitseinspektor jagab seoses andmete säilitamist käsitlevate ettepanekutega väljendatud seisukohta, et füüsiline turvalisus on kõige olulisem. Ühiskonda on vaja kaitsta. Seetõttu on valitsused ühiskonnale suunatud rünnakute korral kohustatud näitama, et nad tõsiselt kaaluvad seda kaitsevajadust, ning analüüsima, kas nad peavad reageerima uute õigusaktide kehtestamisega. On ilmne, et Euroopa andmekaitseinspektor kiidab täielikult heaks nii riikide valitsuste kui Euroopa tasandi valitsusasutuste ülesande ühiskonda kaitsta ning näidata, et nad teevad kaitse pakkumiseks kõik vajaliku, sealhulgas võtavad analüüsi tulemusena vastu uusi seaduslikke ja tõhusaid meetmeid.

22.

Euroopa andmekaitseinspektor tunnistab asjaolude muutusi, kuid ei ole veel veendunud õiguskaitse eesmärgil liiklus- ja asukohaandmete säilitamise vajalikkuses, nagu on ettepanekus sätestatud. Ta rõhutab direktiiviga 2002/58/EÜ kehtestatud õiguspõhimõtte tähtsust, mille kohaselt tuleb liiklusandmed kustutada kohe, kui nende säilitamine ei ole enam side endaga mitteseotud eesmärkidel vajalik. Samuti ei tõenda esitatud arvud, et olemasolev õiguslik raamistik ei anna füüsilise turvalisuse kaitsmiseks vajalikke vahendeid ning et liikmesriigid kohaldavad täielikult oma Euroopa õiguse kohaseid koostööpädevusi, mis on neile antud olemasoleva õigusliku raamistikuga (kuid ilma vajalike tulemusteta).

23.

Kui Euroopa Parlament ja nõukogu jõuavad pärast kaalul olevate huvide hoolikat tasakaalustamist siiski järeldusele, et liiklus- ja asukohaandmete säilitamise vajalikkus on piisavalt tõendatud, võtab Euroopa andmekaitseinspektor seisukoha, et säilitamine on ühenduse õiguse alusel õigustatud ainult siis, kui peetakse kinni proportsionaalsuse põhimõttest ning tagatakse asjakohased kaitsemeetmed kooskõlas käesoleva arvamusega.

24.

Kavandatava uue õigusakti proportsionaalsus sõltub selle sätete sisust: kas see hõlmab asjakohast ja proportsionaalset reageeringut ühiskonna vajadustele?

25.

Esimene kaalutlus on seotud ettepaneku asjakohasusega: kas võib eeldada, et see ettepanek suurendab Euroopa Liidu elanike füüsilist turvalisust? Üks põhjus asjakohasuses kahtlemiseks, mida tihti avalikes aruteludes nimetatakse, on asjaolu, et liiklus- ja asukohaandmed ei ole alati seotud kindla isikuga, mistõttu teave telefoninumbri (või IP-numbri) kohta ei avalda tingimata kindlat isikut. Teine ja tõsisem põhjus kahtlemiseks on küsimus, kas ülisuurte andmebaaside olemasolu võimaldab õiguskaitseorganitel hõlpsalt leida neile kindla juhtumi puhul vajalikku teavet.

26.

Euroopa andmekaitseinspektor on seisukohal, et ainult liiklus- ja asukohaandmete säilitamine iseenesest ei ole asjakohane ega tõhus reageering. Vaja on täiendavaid meetmeid tagamaks asutustele suunatud ja kiire juurdepääsu kindla juhtumi puhul vajaminevatele andmetele. Andmete säilitamine on asjakohane ja tõhus ainult siis, kui on olemas tõhusad otsingumootorid.

27.

Teine kaalutlus on seotud reageeringu proportsionaalse iseloomuga. Et olla proportsionaalne, peaks ettepanek:

28.

Euroopa andmekaitseinspektor rõhutab nimetatud rangete piirangute ning – pidades silmas piiratud juurdepääsu – nendega koos rakendatavate asjakohaste kaitsemeetmete tähtsust. Ta on seisukohal, et pidades silmas eelmises punktis nimetatud kolme nõude tähtsust, ei tohi liikmesriigid nende nõuete osas võtta täiendavaid riiklikke meetmeid, mis ohustavad proportsionaalsust. Niisuguse ühtlustamise vajadust käsitletakse IV peatükis.

29.

Ettepaneku tulemusena hakkavad teenuseosutajad omama andmebaase, milles säilitatakse olulist hulka liiklus- ja asukohaandmeid.

30.

Esiteks peab ettepanekuga tagama, et nendele andmetele juurdepääs ja nende edasine kasutamine on piiratud teatud kindlate tingimustega ja piiratud hulga kindlate eesmärkidega.

31.

Teiseks peavad need andmebaasid olema nõuetekohaselt kaitstud (andmeturvalisus). Selleks peab olema tagatud andmete tõhus kustutamine pärast säilitamisperioodi lõppu. “Andmete äraviskamist” ega andmete kasutamist ei tohi esineda. Lühidalt öeldes vajab see kõrget andmeturbetaset ning nõuetekohaseid tehnilisi ja korralduslikke turvameetmeid.

32.

Andmeturvalisuse kõrge tase on veelgi tähtsam, sest kõigest andmete olemasolu võib kaasa tuua vähemalt kolme sidusrühma juurdepääsu- ja kasutamistaotlusi:

33.

Seoses luureteenistuste juurdepääsuga märgib Euroopa andmekaitseinspektor, et vastavalt ELi lepingu artiklile 33 ja EÜ asutamislepingu artiklile 64 ei mõjuta sekkumised kolmandas ja esimeses sambas seda, kuidas liikmesriigid teostavad oma vastutust korrakaitse ja sisejulgeoleku tagamisel. Euroopa andmekaitseinspektori hinnangul toovad need sätted kaasa selle, et Euroopa Liidul puudub pädevus kontrollida julgeoleku- või luureteenistuste juurdepääsu teenuseosutajate säilitatud andmetele. Teisisõnu ei mõjuta Euroopa Liidu õigus ei nende teenistuste juurdepääsu teenuseosutajate liiklus- ja asukohaandmetele ega saadud teabe edasist kasutamist nende teenistuste poolt. Seda asjaolu tuleb ettepanekule hinnangu andmisel arvesse võtta. Luureteenistuste juurdepääsu reguleerimiseks vajalike meetmete võtmine peaks olema liikmesriikide ülesanne.

34.

Kolmandaks on eelmistes lõikudes kirjeldatud mõjudel potentsiaalne tähendus ka andmesubjektile. Vajatakse täiendavaid kaitsemeetmeid, et tagada tema võimalus lihtsalt ja kiiresti teostada enda kui andmesubjekti õigusi. Euroopa andmekaitseinspektor juhib tähelepanu vajadusele juurdepääsu ja edasise kasutamise tõhusa kontrolli järele, mida peaks soovitavalt teostama liikmesriikide õigusasutused. Kaitsemeetmeid peaks samuti kohaldatama liiklusandmetele juurdepääsu ja nende edasise kasutamise korral muude liikmesriikide asutuste poolt.

35.

Seoses sellega osutab Euroopa andmekaitseinspektor algatustele uue õigusliku raamistiku loomiseks, mis käsitleks õiguskaitsele kohaldatavat andmekaitset (ELi lepingu kolmanda samba raames). Tema hinnangul nõuab niisugune õiguslik raamistik täiendavaid kaitsemeetmeid ning ei tohiks piirduda esimeses sambas hõlmatud üldiste andmekaitsepõhimõtete taaskinnitamisega (9).

36.

Neljandaks on turvameetmete nõuetekohasuse ja nende maksumuse vahel otsene seos. Andmete säilitamist käsitlev asjakohane seadus peab seetõttu hõlmama teenuseosutajate motiveerimist investeerima tehnilisse infrastruktuuri. Motiveerivaks teguriks võib olla teenuseosutajatele nõuetekohastest turvameetmetest tulenevate täiendavate kulude kompenseerimine.

37.

Kokkuvõttes peaksid nõuetekohased turvameetmed:

38.

Ettepanek põhineb EÜ asutamislepingul, eelkõige selle artiklil 95, ning on artikli 1 kohaselt suunatud teenuseosutajate liiklus- ja asukohaandmete töötlemise ja säilitamisega seotud kohustuste ühtlustamisele. Ettepaneku kohaselt antakse neid andmeid ainult pädevatele riigiasutustele kuritegudega seotud üksikjuhtumite puhul, kuid ettepanekus jäetakse eesmärgi ning andmetele juurdepääsu ja nende edasise kasutamise täpsem määratlemine liikmesriikide otsustada, võttes arvesse ühenduse olemasoleva andmekaitsealase raamistikuga hõlmatud kaitsemeetmeid.

39.

Selles osas on ettepaneku reguleerimisala piiratum kui raamotsuse eelnõul, mis põhineb Euroopa Liidu lepingu artikli 31 lõike 1 punktil c ning mis hõlmab täiendavaid sätteid säilitatud andmetele juurdepääsu kohta ja juurdepääsutaotluste kohta muudest liikmesriikidest. Seletuskirjas selgitatakse ettepaneku reguleerimisala piiratuse põhjuseid. Selles märgitakse, et teabele juurdepääs ja teabevahetus asjaomaste õiguskaitseorganite vahel on küsimus, mis ei kuulu EÜ asutamislepingu reguleerimisalasse.

40.

Euroopa andmekaitseinspektor ei ole veendunud seletuskirja selle väite paikapidavuses. EÜ asutamislepingu artiklil 95 (siseturg) põhineva sekkumise peamiseks eesmärgiks peab olema kaubandustõkete kõrvaldamine. Euroopa Kohtu kohtupraktika kohaselt peaks niisugune sekkumine olema tõeliselt asjakohane, et aidata kaasa selliste tõkete kõrvaldamisele. Siiski peab ühenduse seadusandja tagama sekkumisel põhiõiguste austamise (ELi lepingu artikli 6 lõige 2, vt käesoleva arvamuse II jagu). Eespool tooduga arvestamiseks võib ühisturu huvides andmete säilitamist käsitlevate eeskirjade kehtestamine ühenduse tasandil tähendada, et ka põhiõiguste austamisega tuleb tegeleda Euroopa Ühenduse tasandil. Kui ühenduse seadusandja ei saa kehtestada andmetele juurdepääsu ja nende kasutamist käsitlevaid eeskirju, ei saa ta täita oma ELi lepingu artiklist 6 tulenevat kohustust, sest nimetatud eeskirjad on hädavajalikud, et tagada andmete säilitamine põhiõiguseid austades. Teisisõnu, Euroopa andmekaitseinspektor on seisukohal, et andmetele juurdepääsu ning nende kasutamist ja vahetamist käsitlevaid eeskirju ei saa käsitleda eraldi andmete säilitamise kohustusest.

41.

Euroopa andmekaitseinspektor tunnistab, et pädevate asutuste loomine on liikmesriikide ülesanne. Samuti on liikmesriikide ülesanne õigus- ja kohtuliku kaitse korraldamine. Sellele vaatamata võidakse ühenduse õigusaktiga seada liikmesriikidele tingimusi seoses pädevate asutuste määramise, kohtuliku kontrolli või kodanike ligipääsuga õigusemõistmisele. Nende sätetega tagatakse, et riiklikul tasemel on olemas sobivad mehhanismid õigusakti täieliku tõhususe, sealhulgas andmekaitsealaste õigusaktidega täieliku vastavuse tagamiseks.

42.

Euroopa andmekaitseinspektor tõstatab veel ühe teema, mis on seotud õigusliku alusega. Ühenduse seadusandja ülesandeks on valida asjakohane õiguslik alus ja vastavalt ka asjakohane seadusandlik menetlus. Selle valiku tegemine on väljaspool Euroopa andmekaitseinspektori ülesandeid. Arvestades siiski kaalul olevate oluliste põhiküsimustega, väljendab Euroopa andmekaitseinspektor praeguses olukorras oma tugevat eelistust kaasotsustamismenetluse suhtes. Ainult see menetlus kujutab endast läbipaistvat otsustamisprotsessi, milles osalevad täiel määral kolm asjaomast institutsiooni ja milles austatakse nõuetekohaselt põhimõtteid, millele liit on rajatud.

43.

Direktiivi ettepanekus ühtlustatakse säilitavate andmete liigid, andmete säilitamise perioodid ning eesmärgid, milleks võib andmeid pädevatele asutustele anda. Ettepanekus nähakse ette nende elementide täielik ühtlustamine. Seetõttu erineb ettepanek põhjalikult raamotsuse eelnõust, milles sätestatakse miinimumeeskirjad.

44.

Euroopa andmekaitseinspektor rõhutab vajadust nende elementide täieliku ühtlustamise järele, võttes arvesse ühisturu toimimist, õiguskaitsealaseid vajadusi ning samuti Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni ja andmekaitsepõhimõtteid.

45.

Ühisturu toimimise osas õigustab andmete säilitamise kohustuse ühtlustamine ettepaneku õigusliku aluse (EÜ asutamislepingu artikkel 95) valikut. Liikmesriikide õigusaktide vaheliste põhimõtteliste erinevuste lubamine ei kõrvaldaks elektroonilise side siseturul praegu eksisteerivaid häireid, mis tulenevad muu hulgas liikmesriikides (lähiajal aset leidvast) õigusaktide vastuvõtmisest vastavalt direktiivi 2002/58/EÜ artiklile 15 (vaata käesoleva arvamuse punkti 19).

46.

See on veelgi tähtsam, sest suure osa elektroonilise side puhul on asjakohased rohkem kui ühe liikmesriigi seadused. Näiteks võib tuua piiriülesed telefonikõned, rändluse (roaming), piiri ületamise mobiilside ajal ning teenuseosutaja kasutamise muus liikmesriigis kui isiku asukohamaal.

47.

Lisaks sellele kahjustaks ühtlustamise puudumine õiguskaitsealaseid vajadusi, kuna pädevad asutused peavad vastama erinevatele juriidilistele nõuetele. See võib takistada liikmesriikide asutuste vahelist teabevahetust.

48.

Viidates oma määruse (EÜ) nr 45/2001 artiklist 41 tulenevale ülesandele rõhutab Euroopa andmekaitseinspektor, et ettepanekus esitatud peamiste elementide täielik ühtlustamine on Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni ja andmekaitsepõhimõtete järgimise seisukohast vältimatu. Mis tahes õigusakt, mis kohustab säilitama liiklus- ja asukohaandmeid, peab selleks, et see oleks andmekaitse seisukohast vastuvõetav ja vastaks vajalikkuse ja proportsionaalsuse nõuetele, selgelt piirama säilitatavate andmete hulka, säilitamisperioodi ning andmetele juurdepääsu ja nende edasist kasutamist (sh juurdepääsu ja kasutamise eesmärke).

49.

Artikkel 3 on ettepaneku tähtsaim säte. Artikli 3 lõikes 1 sätestatakse liiklus- ja asukohaandmete säilitamise kohustus ning artikli 3 lõikes 2 määratletakse eesmärgi piiramise põhimõte. Artikli 3 lõikes 2 sätestatakse kolm olulist piirangut. Säilitatud andmeid antakse ainult:

Edasiste piirangute täpsustamiseks osutatakse artikli 3 lõikes 2 liikmesriikide siseriiklikele õigusaktidele.

50.

Euroopa andmekaitseinspektor tervitab artikli 3 lõiget 2 kui olulist sätet, kuid leiab, et piirangud ei ole piisavalt täpsed, et juurdepääsu ja edasist kasutamist peaks direktiiviga sõnaselgelt reguleerima ning et vaja on täiendavaid kaitsemeetmeid. Nagu mainitud käesoleva arvamuse III jaos, ei ole Euroopa andmekaitseinspektor veendunud, et liiklus- ja asukohaandmetele juurdepääsu ja nende edasist kasutamist käsitlevate (täpsete) sätete väljajätmine on ettepaneku õigusliku aluse (EÜ asutamislepingu artikkel 95) vältimatu tagajärg. Sellest tulenevad järgmised kommentaarid.

51.

Esiteks: ei ole täpsustatud, et teistel sidusrühmadel, nagu teenuseosutaja ise, ei ole juurdepääsu andmetele. Direktiivi 2002/58/EÜ artikli 6 kohaselt võivad teenuseosutajad töödelda liiklusandmeid ainult arveldamisega seotud eesmärkidel andmete säilitamise perioodi lõpuni. Euroopa andmekaitseinspektor on seisukohal, et teenuseosutajate või muude huvitatud osapoolte juurdepääs ei ole õigustatud, välja arvatud direktiivis 2002/58/EÜ sätestatud viisil ja tingimustel.

52.

Euroopa andmekaitseinspektor soovitab lisada tekstile sätte, millega tagatakse, et muudel isikutel peale pädevate asutuste ei ole andmetele juurdepääsu. Selle sätte võib sõnastada järgmiselt: “juurdepääs andmetele või nende töötlemine võib toimuda ainult artikli 3 lõikes 2 nimetatud eesmärgil” või “teenuseosutajad tagavad, et juurdepääs antakse ainult pädevatele asutustele”.

53.

Teiseks: kindlate juhtumite piirang näib takistavat rutiinset juurdepääsu “phishing-rünneteks” ja andmete hankimiseks. Siiski peaks ettepaneku tekst täpsustama, et andmeid saab anda ainult juhul, kui see on vajalik seoses konkreetse kuriteoga.

54.

Kolmandaks: Euroopa andmekaitseinspektor tervitab asjaolu, et juurdepääsu eesmärk on piiratud raskete kuritegudega nagu terrorism ja organiseeritud kuritegevus. Muude kergemate juhtumite korral ei pruugi juurdepääs liiklus- ja asukohaandmetele olla proportsionaalne. Euroopa andmekaitseinspektor kahtleb siiski, kas see piirang on piisavalt täpne, eelkõige kui juurdepääsu taotletakse seoses muu raske kuriteoga kui terrorism või organiseeritud kuritegevus. Liikmesriikide praktika hakkab olema erinev. Euroopa andmekaitseinspektor rõhutas käesoleva arvamuse IV jaos vajadust ettepaneku peamiste elementide täieliku ühtlustamise järele. Seetõttu soovitab Euroopa andmekaitseinspektor, et see säte peaks piirduma teatavate raskete kuritegudega.

55.

Neljandaks: vastupidiselt raamotsuse eelnõule ei sisalda ettepanek juurdepääsu käsitlevat sätet. Euroopa andmekaitseinspektori hinnangul ei tohiks andmetele juurdepääsu ja nende edasist kasutamist direktiivis eirata. Need on kõnealuse teema lahutamatud osad (vt käesoleva arvamuse III jagu).

56.

Euroopa andmekaitseinspektor soovitab lisada ettepanekule ühe artikli või mitu artiklit pädevate asutuste juurdepääsu kohta liiklus- ja asukohaandmetele ja nende andmete edasise kasutamise kohta. Nende artiklite eesmärgiks peaks olema tagada, et andmeid kasutatakse ainult artikli 3 lõikes 2 nimetatud eesmärkidel, et asutused tagavad saadud andmete kvaliteedi, konfidentsiaalsuse ja turvalisuse ning et andmed kustutatakse, kui neid kindla kuriteo ennetamiseks, uurimiseks, avastamiseks või selle eest vastutusele võtmiseks enam ei vajata. Lisaks peaks olema sätestatud, et kindlate juhtumite korral peaks juurdepääs alluma liikmesriikide kohtulikule kontrollile.

57.

Viiendaks: ettepanek ei hõlma täiendavaid andmekaitsealaseid kaitsemeetmeid. Põhjendused viitavad lihtsalt olemasolevates õigusaktides, eelkõige direktiivides 95/46/EÜ ja 2002/58/EÜ sisalduvatele kaitsemeetmetele. Euroopa andmekaitseinspektor ei nõustu vaatamata (täiendavate) kaitsemeetmete erilisele tähtsusele (vt käesoleva arvamuse II jagu) selle piiratud lähenemisviisiga andmekaitsele.

58.

Seetõttu soovitab Euroopa andmekaitseinspektor lisada andmekaitset käsitlev lõige. Sellesse lõikesse võib lisada eelnevad artikli 3 lõiget 2 käsitlevad soovitused ning muud andmekaitset käsitlevad sätted, nagu sätted, mis on seotud andmesubjekti õiguste teostamisega (vt käesoleva arvamuse II jagu), andmekvaliteediga ja andmeturbega ning kuritegudes mittekahtlustatavate isikute liiklus- ja asukohaandmetega.

59.

Üldiselt tervitab Euroopa andmekaitseinspektor seda artiklit ja lisa tänu järgmistele aspektidele:

60.

Euroopa andmekaitseinspektor soovitab sisse viia järgmised muudatused:

61.

Euroopa andmekaitseinspektor tervitab asjaolu, et ettepanekus esitatud säilitamisperioodid on märgatavalt lühemad kui raamotsuse eelnõus ettenähtud perioodid:

62.

Tekstis tuleks selgitada, et:

63.

See artikkel on tihedalt seotud artikli 3 lõikega 2 ning sisaldab olulist sätet, millega saab erijuhtude korral tagada, et juurdepääs on piiratud konkreetsete vajalike andmetega. Artiklis 8 ja artikli 3 lõikes 2 eeldatakse, et teenuseosutajad edastavad taotletavad andmed asutustele ning viimastel ei ole andmebaasidele otsest juurdepääsu. Euroopa andmekaitseinspektor soovitab selle eelduse tekstis sõnaselgelt sõnastada.

64.

Seda sätet tuleks täpsustada, nähes ette, et:

65.

Teenuseosutajate iga-aastane statistika edastamise kohustus aitab ühenduse institutsioonidel teostada järelevalvet käesoleva ettepaneku rakendamise ja kohaldamise tõhususe üle. Vaja on nõuetekohast teavet.

66.

Euroopa andmekaitseinspektori hinnangul järgib see kohustus läbipaistvuse põhimõtet. Euroopa kodanikul on õigus teada, kui tõhusalt andmeid säilitatakse. Seetõttu peaks teenuseosutajal olema täiendav kohustus pidada logide nimekirju ja viia läbi süstemaatilisi (teenuseosutaja enda) auditeid, et võimaldada riiklikel andmekaitseasutustel kontrollida andmekaitsealaste eeskirjade praktilist kohaldamist (11). Ettepanekut peaks selles osas parandama.

67.

Nagu II jaos öeldud, on turvameetmete nõuetekohasuse ja nende maksumuse – teisisõnu turvalisuse ja kulude – vahel otsene seos. Euroopa andmekaitseinspektor peab seetõttu artiklit 10 – mis sätestab tõendatud lisakulude hüvitamise – oluliseks sätteks, mis võiks motiveerida teenuseosutajaid investeerima tehnilisse infrastruktuuri.

68.

Komisjoni poolt Euroopa andmekaitseinspektorile üle antud mõjuhindamises esitatud kalkulatsioonide kohaselt on andmete säilitamise kulud märkimisväärsed. Suure võrgustiku ja teenuseosutaja jaoks oleksid kulud üle 150 miljoni euro 12-kuulise säilitamisperioodi kohta ning iga-aastased tegevuskulud oleksid ligikaudu 50 miljonit eurot (12). Siiski ei ole teavet täiendavate turvameetmete, nagu kallite otsingumootorite (vt artiklit 6 käsitlevat kommentaari) kulude kohta ega teenuseosutajatele täiendavate kulude täieliku hüvitamise (hinnanguliste) finantstagajärgede kohta.

69.

Euroopa andmekaitseinspektor on seisukohal, et on vaja täpsemaid kalkulatsioone, et ettepanekule saaks täies ulatuses hinnangu anda. Ta soovitab selgitada ettepaneku finantstagajärgi seletuskirjas.

70.

Artikli 10 sätetes tuleks selgelt määratleda turvameetmete nõuetekohasuse ja nende maksumuse vaheline seos. Lisaks peaks ettepanek andma teenuseosutajate võetavate turvameetmete miinimumstandardid, et neil oleks õigus liikmesriigi hüvitusele. Euroopa andmekaitseinspektori hinnangul ei tohiks neid standardeid jätta täielikult liikmesriikide otsustada. See võib kahjustada direktiivis kavandatud ühtlustamise taset. Lisaks peaks arvesse võtma seda, et hüvitiste finantstagajärjed on liikmesriikide kanda.

71.

Seost direktiivi 2002/58/EÜ artikli 15 lõikega 1 peaks täpsustama, sest käesolev ettepanek kaotab suure osa selle sätte sisust. Direktiivi 2002/58/EÜ artikli 15 lõikes 1 olevad viited (sama direktiivi) artiklitele 6 ja 9 peaks välja jätma või neid vähemalt muutma selgitamaks, et liikmesriikidel ei ole enam pädevust võtta vastu käesolevat ettepanekut täiendavaid kuritegudega seotud õigusakte. Kõrvaldada tuleb mis tahes ebaselgus neile jäävate pädevuste osas – näiteks seoses andmete säilitamisega “kergete” kuritegude uurimiseks.

72.

Euroopa andmekaitseinspektor tervitab asjaolu, et ettepanek hõlmab artiklit direktiivi hindamise kohta kolme aasta jooksul alates selle jõustumisest. Hindamine on veelgi olulisem, arvestades kahtlustega ettepaneku vajalikkuse kohta ning ettepaneku proportsionaalsusega.

73.

Seoses sellega soovitab Euroopa andmekaitseinspektor sätestada veelgi rangema kohustuse, mis hõlmab järgmisi elemente:

74.

Euroopa andmekaitseinspektorile on esmatähtis, et ettepanek austab põhiõigusi. Õigusakt, mis kahjustaks ühenduse õigusega ning eelkõige Euroopa Kohtu ja Euroopa Inimõiguste Kohtu kohtupraktikaga tagatud kaitset, ei ole mitte ainult vastuvõetamatu, vaid ka ebaseaduslik.

75.

Andmete täies mahus säilitamise vajalikkus ja proportsionaalsus peab olema tõendatud.

76.

Seoses vajalikkusega: Euroopa andmekaitseinspektor tunnistab asjaolude muutumist, kuid ei ole veel veendunud õiguskaitse eesmärgil liiklus- ja asukohaandmete säilitamise, nagu see on esitatud ettepanekus, vajalikkuses.

77.

Sellest hoolimata esitab Euroopa andmekaitseinspektor käesolevas arvamuses oma seisukoha ettepaneku proportsionaalsuse kohta. Esiteks tähendab see seda, et ainult liiklus- ja asukohaandmete säilitamine ei ole asjakohane ega tõhus reageering. Vaja on täiendavaid meetmeid tagamaks asutustele suunatud ja kiire juurdepääs kindla juhtumi puhul vajaminevatele andmetele. Teiseks peaks see ettepanek:

78.

Euroopa andmekaitseinspektor rõhutab selle asjaolu tähtsust, et ettepaneku praegune tekst näeb ette ettepaneku peamiste elementide täieliku ühtlustamise, eelkõige säilitatavate andmete liigi, andmete säilitamise perioodide ning andmetele juurdepääsu ja nende edasise kasutamise (sh juurdepääsu ja kasutamise eesmärkide) osas.

79.

Mõne punkti osas on vaja edasisi täpsustus, et tagada näiteks andmete nõuetekohane kustutamine säilitamisperioodi lõpus ning hoida ära juurdepääs ja kasutamine erinevate sidusrühmade poolt.

80.

Selleks et ettepanek oleks andmekaitse seisukohast vastuvõetav, peab Euroopa andmekaitseinspektor esmatähtsaks järgmisi punkte:

81.

Artikli 3 lõige 2:

82.

Artiklid 4 ja 5:

83.

Artiklis 7 tuleks tekstis esitada täpsustus, et:

84.

Artiklis 8 tuleks tekstis esitada täpsustus, et:

85.

Artikkel 9:

86.

Artikkel 10:

87.

Artikkel 11:

88.

Artiklis 12 muuta hindamist käsitlevat sätet: