Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 52013XX0903(01)

Euroopa andmekaitseinspektori arvamuse kokkuvõte, mis käsitleb komisjoni teatist „Pilvandmetöötluse võimaluste kasutamine Euroopas”

ELT C 253, 3.9.2013, p. 3–7 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
ELT C 253, 3.9.2013, p. 3–3 (HR)

3.9.2013   

ET

Euroopa Liidu Teataja

C 253/3

Euroopa andmekaitseinspektori arvamuse kokkuvõte, mis käsitleb komisjoni teatist „Pilvandmetöötluse võimaluste kasutamine Euroopas”

(Arvamuse täistekst (inglise, prantsuse ja saksa keeles) on Euroopa andmekaitseinspektori veebilehel http://www.edps.europa.eu)

2013/C 253/03

I.   Sissejuhatus

I.1.   Arvamuse eesmärk

1.

Võttes arvesse pilvandmetöötluse tähtsust kiiresti arenevas infoühiskonnas ning ELis käimasolevat poliitilist mõttevahetust pilvandmetöötluse üle, otsustas Euroopa andmekaitseinspektor avaldada käesoleva omaalgatusliku arvamuse.

2.

Käesolev arvamus on vastus komisjoni 27. septembri 2012. aasta teatisele „Pilvandmetöötluse võimaluste kasutamine Euroopas” (edaspidi „teatis”), (1) milles on kehtestatud põhimeetmed ja poliitikameetmed pilveteenuste kasutuselevõtu kiirendamiseks Euroopas. Enne teatise vastuvõtmist konsulteeriti Euroopa andmekaitseinspektoriga mitteametlikult ja ta esitas mitteametlikke märkusi. Euroopa andmekaitseinspektoril on hea meel selle üle, et mõnda tema märkust on teatises arvesse võetud.

3.

Arvestades aga pilvandmetöötluse ja andmekaitse õigusraamistiku seoseid käsitlevate arutelude ulatuslikkust ja tähtsust, ei piirdu käesolev arvamus teatises tõstatatud teemadega.

4.

Arvamuses pööratakse tähelepanu eelkõige probleemidele, mida pilvandmetöötlus andmekaitsega seoses põhjustab, ja kuidas neid saaks kavandatud andmekaitsemäärusega (edaspidi „kavandatud määrus”) (2) lahendada. Samuti on selles esitatud märkusi teatises piiritletud valdkondade kohta, mis vajavad lisameetmeid.

I.2.   Taust

5.

ELis käimasolevas üldises poliitilises mõttevahetuses pilvandmetöötluse üle on eriti tähtsad järgmised meetmed ja dokumendid:

pärast oma 2010. aasta teatist „Euroopa digitaalne tegevuskava” (3) algatas komisjon avaliku konsulteerimise pilvandmetöötluse üle Euroopas, mis kestis 16. maist kuni 31. augustini 2011, ning avaldas selle tulemused 5. detsembril 2011 (4);

1. juulil 2012 võttis artikli 29 töörühm (5) vastu arvamuse pilvandmetöötluse kohta (edaspidi „artikli 29 töörühma arvamus”), (6) milles analüüsitakse direktiivis 95/46/EÜ sätestatud kehtivate andmekaitse-eeskirjade kohaldamist Euroopa Majanduspiirkonnas (EMP) tegutsevate pilveteenuse pakkujate ja nende klientide suhtes (7);

26. oktoobril 2012 võtsid isikuandmete kaitse ja eraelu puutumatuse eest vastutavad volinikud oma 34. rahvusvahelisel konverentsil vastu pilvandmetöötlust käsitleva resolutsiooni (8).

I.3.   Pilvandmetöötlust käsitlev teatis

6.

Euroopa andmekaitseinspektor avaldab teatise üle heameelt. Selles on kindlaks määratud järgmised kolm ELi tasandil vajalikku põhimeedet, mis peaksid soodustama pilvandmetöötluse kasutamist Euroopas:

1. põhimeede: standardirägastiku korrastamine;

2. põhimeede: kindlad ja õiglased lepingutingimused;

3. põhimeede: Euroopa pilvandmetöötluspartnerluse loomine, et hoogustada innovatsiooni ja majanduskasvu avaliku sektori eestvedamisel.

7.

Ette on nähtud ka täiendavad poliitilised meetmed, näiteks meetmed pilvandmetöötluse soodustamiseks teadus- ja arendustegevuse edendamise või teadlikkuse suurendamise kaudu, ning rõhutatud vajadust pöörata tugevdatud rahvusvahelise dialoogi kaudu tähelepanu olulistele pilveteenustega seotud küsimustele, nagu andmekaitse, õiguskaitseasutuste juurdepääs, andmeturve ja vahendusteenuste osutajate vastutus.

8.

Teatises on nimetatud andmekaitset kui olulist elementi Euroopas pilvandmetöötluse kasutuselevõtu edukuse tagamisel. Teatises on märgitud, (9) et kavandatud määruses käsitletakse mitut pilveteenuste osutajate ja klientide (10) tõstatatud probleemi.

I.4.   Arvamuses käsitletud küsimused ja selle ülesehitus

9.

Käesoleval arvamusel on kolm eesmärki.

10.

Esimene eesmärk on juhtida tähelepanu eraelu puutumatuse ja andmekaitse tähtsusele käimasolevates pilvandmetöötlust käsitlevates aruteludes. Täpsemalt rõhutatakse siin asjaolu, et pilvandmetöötluses ei tohiks andmekaitse olla vähem tähtis, kui on nõutav mis tahes muu andmetöötluse puhul. Pilvandmetöötlust saab arendada ja õiguspäraselt kasutada ainult siis, kui on tagatud andmekaitse järgimine kõnealusel tasemel (vt peatükk III.3). Arvamuses on võetud arvesse artikli 29 töörühma arvamuses esitatud suuniseid.

11.

Teine eesmärk on analüüsida kavandatud andmekaitsemääruse kontekstis põhjalikumalt peamisi pilvandmetöötlusega kaasnevaid andmekaitseprobleeme, eelkõige raskusi seoses mitmesuguste osalejate vastutusalade ning vastutava töötleja ja volitatud töötleja mõistete ühese tõlgendamisega. Arvamuses (põhiliselt IV peatükis) on analüüsitud, kuidas kavandatud määrus oma praegusel kujul (11) aitab tagada kõrgetasemelist andmekaitset pilveteenustes. Seepärast tuginetakse siin seisukohtadele, mida Euroopa andmekaitseinspektor väljendas oma arvamuses isikuandmete kaitse reformi paketi kohta (edaspidi „Euroopa andmekaitseinspektori arvamus isikuandmete kaitse reformi paketi kohta”), (12) ning täiendatakse neid, võttes arvesse konkreetselt pilvandmetöötluse keskkonda. Euroopa andmekaitseinspektor rõhutab, et tema arvamus isikuandmete kaitse reformi paketi kohta kehtib täielikult ka pilveteenuste suhtes ning seda tuleb käsitada käesoleva arvamuse alusena. Pealegi on mõni kõnealuses arvamuses nimetatud küsimus – näiteks andmesubjektide õigusi käsitlevate uute sätete analüüs (13) – piisavalt selge ja seepärast neid käesolevas arvamuses täiendavalt ei arutata.

12.

Kolmas eesmärk on teha kindlaks valdkonnad, mis vajavad ELi tasandil täiendavaid andmekaitse ja eraelu puutumatusega seotud meetmeid, võttes arvesse pilvandmetöötlusstrateegiat, mille komisjon teatises välja pakkus. Need hõlmavad muu hulgas lisasuuniste koostamist, standardimistegevust, täiendavate riskihindamiste korraldamist konkreetsetes sektorites (nt avalikus sektoris), standardsete lepingutingimuste väljatöötamist, pilvandmetöötluse küsimustes rahvusvahelise dialoogi algatamist ning tõhusate rahvusvahelise koostöö vahendite tagamist (neid küsimusi on arutatud V peatükis).

13.

Arvamus on üles ehitatud järgmiselt: II jaos antakse ülevaade pilvandmetöötluse põhijoontest ja seotud andmekaitseprobleemidest. III jaos vaadatakse läbi ELi kehtiva õigusraamistiku ja kavandatud määruse kõige olulisemad elemendid. IV jaos analüüsitakse, kuidas kavandatud määrus aitab lahendada pilveteenuste kasutamisega kaasnevaid andmekaitseprobleeme. V jaos analüüsitakse komisjoni soovitusi poliitika edasise arengu kohta ning tehakse kindlaks valdkonnad, mis võivad vajada lisatööd. VI jaos on esitatud järeldused.

14.

Kuigi paljud käesolevas arvamuses esitatud kaalutlused kehtivad igasugustes keskkondades, kus pilvandmetöötlust kasutatakse, ei ole arvamuses käsitletud pilveteenuste kasutamist neis ELi institutsioonides ja asutustes, mille suhtes Euroopa andmekaitseinspektor teostab määruse (EÜ) nr 45/2001 alusel järelevalvet. Euroopa andmekaitseinspektor esitab kõnealust valdkonda käsitlevad suunised sellistele institutsioonidele ja asutustele eraldi.

VI.   Järeldused

121.

Nagu teatises on kirjeldatud, pakub pilvandmetöötlus äriühingutele, tarbijatele ja avalikule sektorile palju uusi võimalusi andmete haldamiseks kaugemalasuvate väliste IT-vahendite kaudu. Samas toob see kaasa mitu probleemi, eelkõige seoses töödeldavatele andmetele pakutava kaitse vajaliku tasemega.

122.

Kui ELi andmekaitsealaste õigusaktide kohaldatavuse kriteeriumid ei ole piisavalt selged ning pilveteenuse osutajate rolli ja vastutust määratletakse liiga kitsalt või kui neid ei rakendata tõhusalt, kaasneb pilveteenuste kasutamisega suur risk, et kaob vastutus pilveteenuste osutajate teostatavate töötlemistoimingute eest. Euroopa andmekaitseinspektor rõhutab, et pilveteenused ei õigusta madalamate andmekaitsestandardite kasutamist võrreldes tavapäraste andmetöötlustoimingute suhtes kehtivate standarditega.

123.

Sellega seoses pakuks kavandatud andmekaitsemäärus selle praegusel kujul rea selgitusi ja vahendeid, mis aitaksid tagada, et Euroopas asuvatele klientidele teenuseid pakkuvad pilveteenuse osutajad järgivad rahuldavat andmekaitse taset. Eelkõige pakub määrus järgmist:

artiklis 3 selgitatakse ELi andmekaitse-eeskirjade territoriaalset kohaldamisala ning laiendatakse selle ulatust, hõlmates pilveteenused;

artikli 4 lõikega 5 kehtestatakse uus element seoses vastutava töötlemisega, nimelt „tingimused”. See on kooskõlas areneva suundumusega, mille kohaselt on pilveteenuste aluseks oleva infotehnoloogia tehnilist keerukust arvesse võttes vaja laiendada asjaolusid, mille puhul pilveteenuse osutaja võib liigitada vastutavaks töötlejaks. See kajastab paremini töötlemistoimingutele avalduva mõju tegelikku taset;

kavandatud määrusega suurendatakse vastutavate töötlejate ja volitatud töötlejate vastutust, kehtestades sellised konkreetsed kohustused nagu isikuandmete kavandatud kaitse ja vaikimisi kaitse (artikkel 23), andmetega seotud rikkumistest teavitamine (artiklid 31 ja 32) ning isikuandmete kaitsele avalduva mõju hindamine (artikkel 33). Lisaks nõutakse määrusega vastutavatelt töötlejatelt ja volitatud töötlejatelt mehhanismide rakendamist, mis aitaksid tõendada võetud andmekaitsemeetmete tõhusust (artikkel 22);

kavandatud määruse artiklitega 42 ja 43 võimaldatakse rahvusvahelise andmeedastuse mehhanismide paindlikumat kasutamist, et aidata pilveteenuste klientidel ja osutajatel kasutada asjakohaseid kaitsemeetmeid isikuandmete edastamisel kolmandates riikides asuvatesse andmekeskustesse või serveritesse;

kavandatud määruse artiklites 30, 31 ja 32 selgitatakse vastutavate töötlejate ja volitatud töötlejate kohustusi seoses töötlemise turvalisuse ja andmetega seotud rikkumisest teavitamise nõuetega, pannes aluse terviklikule ja pilvekeskkonnas osalejate koostööd hõlmavale lähenemisviisile turvalisuse haldamiseks;

kavandatud määruse artiklitega 55–63 tugevdatakse järelevalveasutuste koostööd ja nende kooskõlastatud järelevalvet piiriüleste töötlemistoimingute üle, mis on eriti oluline just pilvandmetöötluse puhul.

124.

Sellest hoolimata soovitab Euroopa andmekaitseinspektor pilveteenuste eripära arvesse võttes selgitada kavandatud määruses lähemalt järgmisi küsimusi:

seoses kavandatud määruse territoriaalse kohaldamisalaga muuta artikli 3 lõike 2 punkti a ja sõnastada see järgmiselt: „liidu andmesubjektide isikuandmete töötlemist hõlmavate kaupade ja teenuste pakkumisega” või teise võimalusena lisada uus põhjendus ning täpsustada, et kavandatud määruse territoriaalsesse kohaldamisalasse kuulub ka liidu andmesubjektide isikuandmete töötlemine, mida teevad väljaspool ELi asuvad vastutavad töötlejad, kes osutavad teenuseid ELis asuvatele juriidilistele isikutele;

selgelt määratleda edastamise mõiste, nagu on märgitud Euroopa andmekaitseinspektori arvamuses isikuandmete kaitse reformi paketi kohta;

lisada erisäte, et selgitada, millistel tingimustel võib lubada EMP-väliste riikide õiguskaitseasutuste juurdepääsu pilveteenustes säilitavatele andmetele. Kõnealune säte võib sisaldada ka taotluse saaja kohustust teavitada konkreetsel juhul ELi pädevat järelevalveasutust ja temaga nõu pidada.

125.

Ühtlasi rõhutab Euroopa andmekaitseinspektor, et vajalikud on komisjoni ja/või järelevalveasutuste lisasuunised (eelkõige tulevase Euroopa Andmekaitsenõukogu kaudu) järgmistes küsimustes:

selgitada, millised mehhanismid tuleb kehtestada võetud andmekaitsemeetmete tegeliku tõhususe kontrollimise tagamiseks;

aidata volitatud töötlejatel kasutada siduvaid ettevõtluseeskirju ja järgida kohaldatavaid nõudeid;

näha ette parim tava sellistes valdkondades nagu vastutava töötleja / volitatud töötleja vastutus, andmete nõuetekohane säilitamine pilvandmetöötluses, andmete ülekantavus ja andmesubjekti õiguste teostamine.

126.

Peale selle tunnistab Euroopa andmekaitseinspektor, et sektori koostatud ja asjaomaste järelevalveasutuste heakskiidetud tegevusjuhendid võivad olla kasulik vahend nii nõuete täitmise kui ka mitmesuguste osalejate vahelise usalduse parandamiseks.

127.

Euroopa andmekaitseinspektor toetab ettepanekut, et komisjon töötaks järelevalveasutustega konsulteerides välja andmekaitsenõuetele vastavad pilveteenuste osutamise lepingute tüüptingimused; eelkõige tuleks teha järgmist:

koostada näidislepingutingimused, mis lisatakse pilveteenuse pakkujate kommertstingimustele;

koostada avalikule sektorile ühised hanketingimused ja -nõuded, võttes arvesse töödeldavate andmete tundlikkust;

kohandada rahvusvahelise andmeedastuse mehhanisme veelgi enam pilvandmetöötluse keskkonnale, eeskätt ajakohastades kehtivaid lepingute tüüptingimusi ning kehtestades lepingute tüüptingimused andmete edastamiseks ELis asuvatelt töötlejatelt väljaspool ELi asuvatele töötlejatele.

128.

Euroopa andmekaitseinspektor juhib tähelepanu asjaolule, et standardite ja sertifitseerimiskavade väljatöötamisel tuleb nõuetekohaselt arvesse võtta andmekaitsenõudeid; eelkõige tuleks teha järgmist:

kohaldada standardite väljatöötamisel eraelu kavandatud kaitse ja vaikimisi kaitse põhimõtteid;

arvestada standardite kavandamisel selliseid andmekaitsenõudeid nagu otstarbe piiramine ja andmete säilitamise piiramine;

arvestada teenuseosutajate kohustust anda oma klientidele riskihindamiseks vajalikku teavet ning teavitada neid rakendatud turvameetmetest ja turvalisusega seotud vahejuhtumitest.

129.

Lõpuks rõhutab Euroopa andmekaitseinspektor vajadust pöörata pilvandmetöötluse probleemidele tähelepanu rahvusvahelisel tasandil. Ta kutsub komisjoni üles osalema pilvandmetöötlust käsitlevas rahvusvahelises dialoogis, sealhulgas kohtualluvuse ja õiguskaitseasutuste juurdepääsu teemadel, ning leiab, et paljusid selliseid küsimusi saaks käsitleda mitmesugustes rahvusvahelistes ja kahepoolsetes kokkulepetes, nagu vastastikuse abistamise lepingud ja ka kaubanduslepingud. Rahvusvahelisel tasandil tuleks töötada välja üleilmsed standardid, et kehtestada õiguskaitseasutuste juurdepääsu miinimumtingimused ja põhimõtted. Ühtlasi toetab ta tõhusate rahvusvahelise koostöö mehhanismide väljatöötamist järelevalveasutustes, eelkõige seoses pilvandmetöötluse küsimustega.

Brüssel, 16. november 2012

Euroopa Andmekaitseinspektor

Peter HUSTINX

(1)  COM(2012) 529 (final) all.

(2)  COM(2012) 11 (final) all.

(3)  KOM(2010) 245 (lõplik) all.

(4)  http://ec.europa.eu/information_society/activities/cloudcomputing/docs/ccconsultationfinalreport.pdf

(5)  Artikli 29 töörühm on direktiivi 95/46/EÜ artikli 29 alusel moodustatud nõuandev organ. See koosneb riiklike järelevalveasutuste, Euroopa andmekaitseinspektori ja komisjoni esindajatest.

(6)  Artikli 29 töörühma arvamus 05/2012 pilvandmetöötluse kohta on aadressil http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_et.pdf

(7)  Peale selle on mitme liikmesriigi, nt Itaalia, Prantsusmaa, Rootsi, Saksamaa, Taani ja Ühendkuningriigi andmekaitseasutused andnud välja oma riikliku tasandi suunised pilvandmetöötluse kohta.

(8)  Pilvandmetöötlust käsitlev resolutsioon võeti vastu isikuandmete kaitse ja eraelu puutumatuse eest vastutavate volinike 34. rahvusvahelisel konverentsil Uruguays 26. oktoobril 2012.

(9)  Vt komisjoni teatis lk 8, punkt „Digitaalarengu tegevuskava meetmed usalduse suurendamiseks digitaalse keskkonna vastu”.

(10)  Käesolevas arvamuses kasutatud termin „pilveteenuste kliendid” viitab äriühingutest klientidele ning individuaalsetest lõppkasutajatest tarbijatele.

(11)  Arvesse tuleb võtta asjaolu, et seadusandliku tavamenetluse kohaselt on määruse ettepanek praegu arutamisel nõukogus ja Euroopa Parlamendis.

(12)  Arvamus on aadressil http://www.edps.europa.eu

(13)  Vt Euroopa andmekaitseinspektori arvamus, eriti punktid 140–158.

Top