13.10.2017   

ET

Euroopa Liidu Teataja

C 345/138

Raportöör:

Laure BATUT

1.1.

Euroopa Majandus- ja Sotsiaalkomitee väljendab sügavat kahetsust selle pärast, et isikuandmete kaitset käsitlevate õigusaktide sisu kattumise, mahu ja omavahelise seotuse tõttu ning vajaduse tõttu arusaamiseks pidevalt ühe juurest teise juurde pöörduda on ebatõenäoline, et neid loetakse ja kohaldatakse väljaspool nn siseringi. Lisaks ei ole nende lisaväärtus kodanikele selge – see põhimõte on puudu kogu määruse ettepanekus. Komitee soovitab avaldada veebis kokkuvõtliku brošüüri, milles õigusakte avalikkusele kirjeldataks ja mis muudaks need kõigile juurdepääsetavaks.

1.2.

Komitee märgib, et mõjuhinnangus väljapakutud variantidest valis komisjon privaatsuse mõõduka tugevdamise variandi. Kas seda tehti tööstusharu huvidega tasakaalu saavutamiseks? Komisjon ei täpsusta, millised privaatsuse ulatusliku tugevdamise elemendid oleksid kahjustanud tööstusharu huve. See seisukoht lahjendab teksti kohe algusest peale.

1.3.

Komitee soovitab komisjonile järgmist:

2.1.

Elektroonilise side võrgud on pärast direktiivide 95/46/EÜ ja 2002/58/EÜ (2) (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) jõustumist oluliselt edasi arenenud.

2.2.

2016. aastal vastu võetud isikuandmete kaitse üldmäärus (määrus (EL) 2016/679) on saanud meetmete aluseks ja sellega on kehtestatud peamised põhimõtted, sealhulgas kohtu- ja kriminaalmenetlustega seotud andmete jaoks. Kõnealuse määruse kohaselt võib isikuandmeid koguda ainult täpselt kindlaksmääratud tingimustel ning õiguspärastel eesmärkidel ning järgides konfidentsiaalsusnõuet (üldmääruse artikkel 5).

2.2.1.

2016. aasta oktoobris esitas komisjon ettepaneku võtta vastu direktiiv, millega kehtestatakse Euroopa elektroonilise side seadustik (3) (300 lehekülge), mida ei ole veel vastu võetud, kuid millele viidatakse teatavate määratluste puhul, mida ei esine üldmääruses ega käesolevas arvamuses käsitletavas dokumendis.

2.2.2.

Komisjoni kahes 2017. aasta jaanuaris esitatud ettepanekus täpsustatakse üldmäärusele tuginedes teatavaid aspekte. Tegu on ettepanekuga võtta vastu määrus üksikisikute kaitse kohta isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes (COM(2017) 8 final, komitee raportöör: Jorge Pegado Liz) ning käesolevas arvamuses käsitletava ettepanekuga võtta vastu määrus eraelu austamise ja isikuandmete kaitse kohta (COM(2017) 10 final).

2.3.

Nimetatud kolme õigusakti hakatakse kohaldama samast kuupäevast ehk 25. maist 2018 ning nende eesmärk on ühtlustada õigusi ja kontrollimenetlusi.

2.4.

Tuleb märkida, et sellise käsitluse hõlbustamiseks otsustati eraelu puutumatuse kaitseks kasutada Euroopa määrust ja mitte direktiivi.

3.1.

Kodanikuühiskonna esindajad soovivad mõista, kas digitaaltehnoloogial põhinevas maailmas loob liit lisaväärtust, millega tagatakse ruum, kus ei pea eraelu pärast hirmu tundma.

3.2.

Andmete pideva loomise tõttu on kõik kasutajad kõikjal jälgitavad ja tuvastatavad. Muret tekitab andmetöötlus, mis toimub enamasti füüsiliselt väljaspool Euroopat asuvates keskustes.

3.3.

Suurandmetest on saanud valuuta. Need võimaldavad aruka töötlemise teel teha füüsiliste ja juriidiliste isikute profiilianalüüse ja nad n-ö kaubaks muuta ning sageli kasutajate teadmata raha teenida.

3.4.

Kuid eeskätt tuleb õigusaktid läbi vaadata, kuna andmete töötlemise sektorisse on tekkimas uusi osalejaid lisaks internetiteenuse osutajatele.

4.1.

Selle ettepanekuga soovib komisjon saavutada tasakaalu tarbijate ja tööstusharu vahel. Komisjon

4.2.

Ettepaneku eesmärk on rakendada üldmäärust, mis – nagu ka isikuandmete konfidentsiaalsus ja andmete kustutamise õigus – on üldkohaldatav ja puudutab sidevaldkonnas eraelu austamise ja isikuandmete kaitse konkreetset aspekti. Selles tehakse ettepanek kehtestada nii karmimad eraelu puutumatuse kaitse eeskirjad kui ka kooskõlastatud kontrollid ja karistused.

4.3.

Selles ei kehtestata erimeetmeid seoses nn lünkadega kasutajatelt pärinevates isikuandmetes, kuid kinnitatakse alates esimestest artiklitest (artikkel 5) elektroonilise side konfidentsiaalsuse põhimõtet.

4.4.

Teenuseosutajad võivad elektroonilise side sisu töödelda

4.5.

Nad on kohustatud sisu pärast vastuvõtjani jõudmist kustutama või anonüümima.

4.6.

Üldmääruse artikli 4 punkti 11 kohaselt on andmesubjekti nõusolek vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega andmesubjekt kas avalduse vormis või selget nõusolekut väljendava tegevusega nõustub tema kohta käivate isikuandmete töötlemisega.

4.7.

Eelnõus säilitatakse üldmääruses määratletud selgelt väljendatud nõusoleku nõue, seejuures on tõendamiskohustus operaatoritel.

4.8.

Töötlemine põhineb asjaomasel nõusolekul. Vastutav töötleja peab suutma „tõendada, et andmesubjekt on nõustunud oma isikuandmete töötlemisega“ (üldmääruse artikli 7 lõige 1).

4.9.

ELi või riikliku õigusega võidakse kehtestada teatavad piirangud konfidentsiaalsusele (õigused ja kohustused), et tagada üldiste huvide täitmine või kontrollide elluviimine.

4.10.

Füüsilised isikud peavad andma nõusoleku enda isikuandmete kandmiseks avalikkusele kättesaadavasse elektroonilisse kataloogi ning neil peab olema võimalus neid puudutavaid andmeid kontrollida ja parandada (artikkel 15).

4.11.

Vastuväidete esitamise õigus võimaldab kasutajatel blokeerida kolmandale isikule (nt ettevõtjale) usaldatud andmete kasutamise, seejuures iga kord, kui saadetakse sõnum (artikkel 16). Uute eeskirjadega antakse kasutajatele suurem kontroll oma näitajate (küpsised, identifikaatorid) üle ning soovimatud sideteenused (rämpspost, sõnumid, tekstisõnumid, kõned) on võimalik blokeerida, kui puudub kasutaja nõusolek.

4.12.

Kõnede tuvastamise ja soovimatute kõnede blokeerimise (artiklid 12 ja 14) osas rõhutatakse määruses, et need õigused on ka juriidilistel isikutel.

4.13.

Kontrollisüsteemi struktuur on kooskõlas üldmäärusega (vt VI peatükk järelevalveasutuste kohta ja VII peatükk järelevalveasutuste koostöö kohta).

4.13.1.

Konfidentsiaalsusnõuete järgimise peavad tagama liikmesriigid ja nende riiklikud andmekaitse eest vastutavad ametiasutused. Muud järelevalveasutused võivad vastastikuse abi raames koostada vastuväiteid, mis esitatakse riiklikele järelevalveasutustele. Nad teevad viimati nimetatud asutuste ja Euroopa Komisjoniga koostööd järjepidevuse mehhanismi raames (üldmääruse artikkel 63).

4.13.2.

Euroopa Andmekaitsenõukogu vastutab omalt poolt käesolevas arvamuses käsitletava määruse järjepideva rakendamise eest (üldmääruse artiklid 68 ja 70).

4.14.

Õiguskaitsevahendid on kättesaadavad füüsilistest ja juriidilistest isikutest lõpptarbijatele, et rakendada oma huve, mida rikkumised on kahjustanud. Neil on võimalik tekkinud kahju eest hüvitist saada.

4.15.

Ette nähtud haldustrahvide summad on hoiatavad, sest need võivad kõigi õigusrikkujate puhul ulatuda kuni kümne miljoni euroni ning ettevõtjate puhul kuni 2 %-ni eelmise majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, milline summa on suurem (artikkel 23); liikmesriigid kehtestavad karistused juhtudeks, kui haldustrahvi ei määrata, ja teavitavad sellest komisjoni.

4.16.

Eraelu austamist ja isikuandmete kasutamist käsitlevat uut õigusakti hakatakse kohaldama alates 25. maist 2018 ehk samal kuupäeval kui 2016. aasta üldmäärust, määrust üksikisikute kaitse kohta isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning elektroonilise side seadustiku eelnõu (COM(2016) 590 final), kui need vastu võetakse.

4.17.

Üldmääruse rakendamiseks mõeldud eriõigusakti kohaldamisala:

—

ratione personae: osalised

—

ratione materiae: andmed

—

ratione loci: kus?

4.18.

ELi eesmärgid: digitaalne ühtne turg

5.1.

Komitee tunneb heameelt, et kogu liidus hakatakse ühel ajal rakendama ühtset eeskirjade kogumit, mille eesmärk on kaitsta füüsiliste ja juriidiliste isikute õigusi, mis on seotud digitaalandmete kasutamisega elektroonilise side kaudu.

5.1.1.

Ta väljendab heameelt selle üle, et liit täidab oma rolli kodanike ja tarbijate õiguste kaitsmisel.

5.1.2.

Komitee toonitab, et kuigi eesmärk on ühtlustamine, jääb paljude mõistete tõlgendamine liikmesriikide pädevusse, mis muudab selle määruse sarnaseks direktiiviga, mistõttu jääb palju ruumi isikuandmete kaubastamise jaoks. Eelkõige tervishoiusektoris on võimalik koguda suurel hulgal isikuandmeid.

5.1.3.

Artikli 11 lõike 1, artikli 13 lõike 2, artikli 16 lõiked 4 ja 5 ning artikli 24 võiks liigitada pigem nn ülevõtmissäteteks, mis sobiksid direktiivi, ent mitte määrusesse. Operaatoritele jäetakse liiga palju tegevusruumi teenuste kvaliteedi parandamise eesmärgil (artiklid 5 ja 6). Kõnealune ettepanek peaks olema Euroopa elektroonilise side seadustikku käsitleva direktiivi ettepaneku (COM(2016) 590 final) lahutamatu osa.

5.1.4.

Komitee väljendab sügavat kahetsust selle pärast, et isikuandmete kaitset käsitlevate õigusaktide sisu kattumise, mahu ja omavahelise seotuse tõttu on ebatõenäoline, et neid loetakse väljaspool nn siseringi. Pidevalt tuleb ühe teksti juurest teise juurde minna. Lisaks ei ole nende lisaväärtus kodanike jaoks nähtav. Raskused ettepaneku lugemisel ja selle sisu keerukus on vastuolus õigusloome kvaliteedi ja tulemuslikkuse programmi (REFIT) põhimõtte ja parema õigusloome eesmärgiga, muutes selle tõlgendamise raskeks ja tekitades lünki andmekaitsesse.

5.1.5.

Näiteks ei sisalda määruse ettepanek mõiste „operaator“ määratlust. Selleks tuleb tutvuda seni veel jõustumata Euroopa elektroonilise side seadustiku eelnõuga, (4) millega muudetakse sektori digitaalse ühtse turu eeskirju, nimelt raamdirektiivi 2002/21/EÜ, loadirektiivi 2002/20/EÜ, universaalteenuse direktiivi 2002/22/EÜ, juurdepääsudirektiivi 2002/19/EÜ, määrust (EÜ) nr 1211/2009 (millega luuakse elektroonilise side Euroopa reguleerivate asutuste ühendatud amet (BEREC)), otsust nr 676/2002/EÜ (raadiospektrit käsitlev otsus), otsust nr 2002/622/EÜ (millega luuakse raadiospektripoliitika töörühm) ja otsust nr 243/2012/EL (millega luuakse mitmeaastane raadiospektripoliitika programm). Põhiline viitedokument on üldmäärus (vt punkt 2.2), mida käesolevas arvamuses käsitletava ettepanekuga soovitakse täiendada ja mis on seetõttu selle lisaks.

5.2.

Komitee toob iseäranis välja artikli 8, milles käsitletakse lõppseadmesse salvestatud teabe kaitset ja võimalikke erandeid ning mis on keskse tähtsusega, sest selles jäetakse infoühiskonnale võimalus isikuandmetele juurde pääseda. Samuti tõstab komitee esile artikli 12, milles käsitletakse helistaja ja vastuvõtja liini numbrinäidu edastamise piiramist. Need artiklid on asjasse pühendamata lugejale raskesti mõistetavad.

5.2.1.

1995. aasta direktiivis (artikkel 2) on isikuandmed määratletud kui „igasugune teave tuvastatud või tuvastatava füüsilise isiku (edaspidi „andmesubjekt“) kohta“. Käesolevas arvamuses käsitletava määrusega laiendatakse andmekaitset ka metaandmetele ja seda kohaldatakse nüüdsest nii füüsilistele kui ka juriidilistele isikutele. Tuleb taas rõhutada, et sellel eelnõul on kaks eesmärki: ühelt poolt kaitsta isikuandmeid ja teiselt poolt tagada elektroonilise side andmete ja elektroonilise side teenuste vaba liikumine Euroopa Liidus (artikkel 1).

5.2.2.

Komitee rõhutab, et soovile kaitsta juriidiliste isikute andmeid (artikli 1 lõige 2) saavad takistuseks teised õigusaktid, kus seda ei käsitleta. Neis õigusaktides ei ole selgelt sätestatud, et neid tuleks juriidiliste isikute puhul kohaldada (vt üldmäärus, andmed Euroopa institutsioonides jne).

5.3.

Ettepaneku eesmärk peaks olema tagada tegelikkuses artikli 1 lõikes 1 sätestatu, nimelt eraelu ja side puutumatuse õigus ning füüsiliste ja juriidiliste isikute kaitse isikuandmete töötlemisel. Ent komitee küsib, kas selle ettepaneku tõeline eesmärk ei ole pigem rohkem rõhutada artikli 1 lõiget 2, nimelt eesmärki tagada „elektroonilise side andmete ja elektroonilise side teenuste vaba liikumine Euroopa Liidus“, mida ettepanekuga ei piirata ega keelata füüsiliste isikute eraelu ja side puutumatusega seotud eesmärkidel.

5.4.

Kõik sõltub sellest, kas füüsiline või juriidiline isik annab nõusoleku. Seetõttu tuleb komitee arvates kasutajaid teavitada ja koolitada ning nad peavad jääma ettevaatlikuks, kuna kui nõusolek on antud, siis võib teenuseosutaja töödelda rohkemal määral sisu ja metaandmeid, et toimuks rohkem toiminguid ja suureneks kasum. Kui paljud teavad enne nõusoleku andmist, et nn küpsis on jälitusvahend? Kasutaja teavitamine oma õiguste kasutamiseks, nagu ka andmete anonüümimine või krüpteerimine peaksid olema selle määruse prioriteedid.

6.1.

Isikuandmeid tohivad koguda üksnes need asutused, kes täidavad äärmiselt rangeid tingimusi ning kellel on tunnustatud ja õiguspärased eesmärgid (üldmäärus).

6.2.

Komitee väljendab taas kahetsust asjaolu pärast, et liiga palju on erandeid ja piiranguid, mis mõjutavad isikuandmete kaitse seadusega kinnitatud põhimõtteid (5). Euroopa Liidu tunnuseks peab jääma pigem tasakaal vabaduse ja turvalisuse vahel kui tasakaal inimese põhiõiguste ja tööstusharu vahel. Artikli 29 töörühm kritiseeris oma arvamuses määruse eelnõu kohta (WP 247, 4.4.2017, arvamus 1/2017, punkt 17), et see vähendab üldmääruses määratletud kaitsetaset iseäranis seoses lõppseadme asukoha jälitamise ja piirangute puudumisega andmete kogumise ulatusele ega kehtesta vaikimisi eraelu kaitset (punkt 19).

6.3.

Andmed on kui isiku täiendus ja nn variidentiteet. Andmed kuuluvad isikule, kes need lõi, ent pärast töötlemist väljuvad nad tema kontrolli alt. Mis puudutab andmete säilitamist ja edastamist, siis on iga riik vastutav ning asjaomase ettepanekuga ette nähtud võimaliku õiguste piiramise tõttu puudub ühtlustamine. Komitee rõhutab erisuste ohtu seos asjaoluga, et õiguste piiramine jäetakse liikmesriikide otsustada.

6.4.

Eelkõige ettevõtetes töötavate isikute puhul tekib küsimus, kellele kuuluvad andmed, mida nad tööd tehes loovad? Kuidas neid kaitstakse?

6.5.

Kontrollimeetmete struktuur ei ole eriti selge (6). Hoolimata sellest, et Euroopa Andmekaitseinspektor teostab järelevalvet, ei näi omavolivastased tagatised olevat piisavad ega ole hinnatud aega, mis läheb menetluse tulemusel karistuse määramisele.

6.6.

Komitee soovib, et loodaks Euroopa portaal, mis hõlmaks ajakohastatud kujul kõiki Euroopa ja riiklikke õigusakte, kõiki õigusi, õiguskaitsevahendeid, kohtupraktika juhtumeid ja praktilisi elemente, et aidata kodanikel ja tarbijatel õigusaktide ja rakenduste hulgas orienteeruda ning et neil oleks võimalik oma õigusi rakendada. Selle portaali puhul tuleks juhinduda vähemalt 26. oktoobri 2016. aasta direktiivi (EL) 2016/2102 (mis käsitleb avaliku sektori asutuste veebisaitide ja mobiilirakenduste juurdepääsetavust) nõuetest ning direktiivi 2015/0278(COD) ettepaneku (nn Euroopa juurdepääsetavuse akt) põhjendustes 12, 15 ja 21 esitatud põhimõtetest ning pakkuda kõigile lõpptarbijatele juurdepääsetavat ja arusaadavat sisu. Komitee on valmis osalema selle portaali kujundamise etapis.

6.7.

Artiklis 22 puudub viide ühishagidele, nagu komitee on juba rõhutanud oma arvamuses Euroopa elektroonilise side seadustiku kohta.

6.8.

Sisulise kohaldamisala piiramine (artikli 2 lõige 2), omaniku nõusolekuta andmete töötlemise õiguse laiendamine (artikli 6 lõiked 1 ja 2) ning kõikide kasutajate nõusoleku saamise ebatõenäoline põhimõte (artikli 6 lõike 3 punkt b ja artikli 8 lõiked 1, 2 ja 3) ning õiguste piiramine, mida võivad rakendada liikmesriigid, kui nad leiavad, et see on vajalik, otstarbekas ja proportsionaalne meede, on kõik eeskirjad, mille sisu võidakse tõlgendada niivõrd mitmeti, et see on eraelu puutumatuse tõelise kaitse jaoks vastupidise mõjuga. Lisaks tuleks eritähelepanu pöörata alaealistega seotud andmete kaitsmisele.

6.9.

Komitee tunneb heameelt artiklis 12 kehtestatud kontrollimisõiguse üle, ent toob välja, et selle sõnastus on eriti raskestimõistetav ning selle kohaselt näib, et soodustatakse numbrinäiduta („tundmatu“ või „varjatud“ numbriga) telefonikõnesid, nagu anonüümsus oleks soovitatav, samas kui põhimõtteks peaks olema kõnede tuvastamine.

6.10.

Mittetellitud teadaandeid (artikkel 16) ning otseturundust käsitletakse juba ebaausate kaubandustavade direktiivis (7). Süsteem peaks vaikimisi põhinema nõusolekul ja mitte loobumisel.

6.11.

Komisjoni hindamine on ette nähtud iga kolme aasta tagant, ent digitaalvaldkonna puhul on see ajavahemik liiga pikk. Pärast kaht hindamist on digitaalmaailm täielikult muutunud. Siiski peaks delegeeritud volitustel (artikkel 25), mida võib laiendada, olema kindlaks määratud kestus, mis võib olla pikendatav.

6.12.

Õigusaktis tuleb säilitada kasutajate õigused (ELi lepingu artikkel 3), tagades seejuures kaubanduslikuks tegevuseks vajaliku õiguskindluse. Komitee avaldab kahetsust, et ettepanekus ei puudutata masinatevahelist (M2M) andmete edastamist: vt Euroopa elektroonilise side seadustik (direktiivi ettepaneku artiklid 2 ja 4).

6.12.1.

Asjade internet (8) muudab suurandmed tohututeks andmeteks ja seejärel kõikehõlmavateks andmeteks. See on tulevaste, lainetena esinevate uuenduste võti. Nii suured kui ka väikesed masinad on omavahel ühenduses ja edastavad üksteisele isikuandmeid (nt registreerib teie kell teie südamelöögid ja edastab need asjaomase arsti arvutisse jne). Paljud digitaalvaldkonna osalejad on loonud oma ühendatud objektide platvormi: Amazon, Microsoft, Intel ning Prantsusmaal Orange ja La Poste.

6.12.2.

Igapäevane asjade internet võib hõlpsasti pahatahtlike rünnakute ohvriks sattuda, kuna eemalt kogutavate isikuandmete hulk suureneb (geolokaliseerimine, terviseandmed, video- ja audiovood). Andmekaitse lüngad pakuvad huvi muu hulgas kindlustusettevõtjatele, kes hakkavad oma kliente ergutama omandama võrguühendusega objekte ja muutma käitumist vastutustundlikumaks.

6.13.

Mitmed suured internetipõhised osalejad üritavad oma esialgset rakendust platvormiks arendada. Nii peaksime eristama rakendust Facebook platvormist Facebook, mis võimaldab arendajatel luua kasutajate profiilide kaudu juurdepääsetavaid rakendusi. Amazon oli internetimüügile keskendunud veebirakendus. Praeguseks on sellest saanud platvorm, mis võimaldab kolmandatel isikutel, see tähendab nii eraisikutel kui ka suurtel kontsernidel, kaubelda oma toodetega, kasutades ära Amazoni vahendeid: mainet, logistikat jne. Kõik see toimub isikuandmete edastamise teel.

6.14.

Jagamismajanduses on platvormi kasutamine üha levinum ning seda kirjeldatakse kui eelkõige elektroonilist platvormi „mis viib omavahel kokku ühelt poolt kaupu või teenuseid omavad osalejad ning teiselt poolt hulga erinevaid kasutajaid“ (9). Kuigi platvormid on hinnatud nende pakutavate tegevuste ja töökohtade pärast, küsib komitee, kuidas oleks võimalik nende loodavate andmete edastamist kontrollida nii üldmääruse kui ka kõnealuse määruse kohaldamise raames.