31.8.2017   

ET

Euroopa Liidu Teataja

C 288/107

Raportöör:

Jorge PEGADO LIZ

1.1

Käsitletava ettepanekuga vastab komisjon nõuetekohaselt – üldiselt korrektsel ja asjakohasel viisil ning rangelt tehnilisest ja õiguslikust vaatepunktist – vajadusele kohandada praegust korda, mis on kehtestatud Euroopa Parlamendi ja nõukogu määrusega (EÜ) nr 45/2001  (1) ja Euroopa Parlamendi, nõukogu ja komisjoni otsusega nr 1247/2002/EÜ  (2) isikuandmete kaitse kohta liidu institutsioonides, organites ja asutustes, ja viia see vastavusse uue isikuandmete kaitse üldmäärusega (3), mida hakatakse ELis kohaldama alates 25. maist 2018.

1.2

See ei takista komiteel meelde tuletamast oma märkusi ja soovitusi seoses isikuandmete kaitse üldmääruse ettepanekuga, millest kujunes praegu kehtiv isikuandmete kaitse üldmäärus, ega avaldamast kahetsust, et selle lõplikus versioonis ei ole neid täielikult arvesse võetud. Peale selle väljendab komitee kartust, et võttes arvesse tehnoloogia kiiret arengut selles valdkonnas, suurendab määruse hiline vastuvõtmine ja jõustumine nii andmete ebaseadusliku omastamisega seotud riske kui ka kuritarvitusi nende töötlemisel ja turustamisel, kuna on oht, et määrus aegub veel enne jõustumist. Kuivõrd käsitletav ettepanek seisneb isikuandmete kaitse üldmääruse kohandamises Euroopa Liidu institutsioonide toimimisega, kehtivad need kartused endiselt mutatis mutandis kõnealuse teksti kohta, eelkõige seoses selle ebaselge keelekasutusega, millest tavakodanikul on raske aru saada.

1.3

Lisaks leiab komitee, et ELi institutsioonides omaks võetud lähenemisviisi tuleb käsitada riigi tasandi menetluste eeskujuna, mistõttu on komitee arvamusel, et käsitletav ettepanek tuleb koostada erilise hoolega.

1.4

Sellega seoses kaldub komitee arvama, et teatud aspekte, nagu kõnealuse ettepaneku sõnastuse kooskõlastamine Euroopa Liidu ametnike personalieeskirjadega, ahistamisjuhtumite, küberkiusamise ja rikkumistest teatamise (whistleblowing) käsitlemine ELi institutsioonides, ettepaneku kohaldamine seoses asjade interneti, suurandmete ja otsingumootorite kasutamisega isikuandmetele juurdepääsu, nende loomise või kasutamise eesmärgil ning institutsioonide veebilehtedel avaldatud isikliku teabe kasutamine sotsiaalvõrgustikes (Facebook, Twitter, Instagram, LinkedIn jne), oleks tulnud sõnaselgelt käsitleda.

1.5

Samuti oleks komitee soovinud, et ettepanekus sätestatakse andmete töötlemist toetavate IT-süsteemide turvanõuded ning kaitsemeetmed küberrünnakute ja selliste andmete võltsimise või lekkimise vastu. Selliseid tingimusi seades tuleks tagada nende tehnoloogiline neutraalsus ja mitte tugineda iga talituse konkreetsetele sise-eeskirjadele, et tuua selgelt esile seos andmete kaitse ning kuritegevuse- ja terrorismivastase võitluse vahel, ilma et oleks vaja võtta ebaproportsionaalseid või ülemääraseid järelevalvemeetmeid, mida peaks igal juhul alati kontrollima Euroopa Andmekaitseinspektor.

1.6

Samuti oleks komitee eelistanud, et ettepanekus määratletakse ELi institutsioonides andmekaitseametnikuks, andmete vastutavaks töötlejaks ja volitatud töötlejaks määramisel nõutavad oskused ning koolitus- ja sobivustingimused, mis peaks samuti aset leidma Euroopa Andmekaitseinspektori kontrolli ja järelevalve all.

1.7

Komitee on samuti seisukohal, et arvestades kogutud andmete eripära ja asjaolu, et neil on otsene mõju andmesubjektide eraelu puutumatusele eelkõige terviseküsimustes ning maksu- ja sotsiaalandmete puhul, tuleb nende andmete ulatust piirata ettenähtud eesmärgil rangelt vajalikuga, ning eriti tundlike isikuandmete töötlemisel tuleb tagada kaitse ja maksimaalsed tagatised, tuginedes rahvusvahelistele normidele ning kõige novaatorlikematele riiklikele õigusaktidele ja teatud liikmesriikide parimatele tavadele.

1.8

Komitee rõhutab vajadust, et ettepanekus sätestataks sõnaselgelt Euroopa Andmekaitseinspektori vahendite suurendamine ning piisava arvu andmekaitse valdkonnas kõrgetasemelisi teadmisi ja tehnilisi oskusi omavate töötajate olemasolu.

1.9

Komitee kinnitab taas kord vajadust kohaldada kaitset ka seaduslikult asutatud juriidilisi isikuid (ettevõtjad, valitsusvälised organisatsioonid, äriühingud jne) puudutavate andmete suhtes nende kogumisel ja töötlemisel.

1.10

Lõpuks esitab komitee konkreetsete märkuste alapeatükis rea eri sätteid puudutavaid muudatusettepanekuid, mis – vastuvõtmise korral – aitaksid kaasa isikuandmete tõhusamale kaitsele ELi institutsioonides mitte ainult ELi ametnike jaoks, vaid ka tuhandete Euroopa kodanike jaoks, kellega nad kokku puutuvad. Seetõttu palub komitee tungivalt, et komisjon, aga ka Euroopa Parlament ja nõukogu võtaksid tema märkusi arvesse ettepaneku lõplikus versioonis.

2.1

Nagu komisjon oma ettepaneku seletuskirjas märgib, on selle eesmärk tunnistada kehtetuks isikuandmete kaitset liidu institutsioonides, organites ja asutustes käsitlev määrus (EÜ) nr 45/2001  (4) ja otsus nr 1247/2002/EÜ , pidades silmas kaht eesmärki:

2.2

Pärast pikka ja keerulist aruteluprotsessi võtsid nõukogu ja Euroopa Parlament lõpuks vastu isikuandmete kaitse üldmääruse (5), mis hakkab kogu ELis kehtima 25. mail 2018. Kõnealune määrus eeldab mitmete õigusaktide (6), sealhulgas juba nimetatud määruse (EÜ) nr 45/2001 ja otsuse nr 1247/2002/EÜ kohandamist.

2.3

Komisjon võtab samuti suuresti arvesse uuringute ja sidusrühmadega konsulteerimise tulemusi ning määruse kohaldamist viimase viieteistkümne aasta jooksul käsitlenud hindamisuuringut ning jõuab järgmistele järeldustele:

2.4

Arvestades varasemates õigusaktides vajalike muudatuste laadi ja ulatust, otsustas komisjon need täies ulatuses kehtetuks tunnistada ja asendada nüüd käsitletava määruse ettepanekuga, mis on kooskõlas teiste nimetatud õigusaktidega, võttes arvesse nende jõustumist samal ajal määrusega (EL) 2016/679 ja nagu on ette nähtud selle artiklis 98.

3.1

Rangelt tehnilisest ja õiguslikust vaatepunktist nõustub Euroopa Majandus- ja Sotsiaalkomitee põhimõtteliselt alljärgnevaga:

3.2

See põhimõtteline nõustumine ei mõjuta komitee märkusi ja soovitusi seoses isikuandmete kaitse üldmääruse ettepanekuga (8), millest kujunes praegu kehtiv isikuandmete kaitse üldmäärus (9), mille lõplikus versioonis ei ole neid soovitusi täielikult arvesse võetud. Komitee väljendab kartust, et võttes arvesse tehnoloogia kiiret arengut selles valdkonnas, suurendab selle hiline vastuvõtmine ja jõustumine nii andmete ebaseadusliku omastamisega seotud riske kui ka kuritarvitusi nende töötlemisel ja turustamisel, kuna on oht, et määrus aegub veel enne jõustumist. Kuivõrd käsitletav ettepanek seisneb isikuandmete kaitse üldmääruse kohandamises Euroopa Liidu institutsioonide toimimisega, kehtivad need kartused endiselt mutatis mutandis kõnealuse teksti kohta, eelkõige seoses selle ebaselge keelekasutusega, millest tavakodanikul on raske aru saada, mistõttu olnuks parem esitada kõnealune tekst ja arutada seda samaaegselt isikuandmete kaitse üldmääruse ettepanekuga.

3.3

Lisaks sellele leiab komitee, et kuivõrd ELi institutsioonides omaks võetud lähenemisviisi tuleks käsitada riigi tasandi menetluste eeskujuna, oleks teatud küsimusi tulnud käsitleda kõnealuses ettepanekus.

3.4

Esiteks ei ole selge ettepaneku kooskõla Euroopa Liidu ametnike personalieeskirjadega [määrus nr 31 (EMÜ) (10)], kuna selles ei nähta ette konkreetseid regulatiivseid sätteid, millega tagatakse institutsioonide ametnike ja muude teenistujate isikuandmete tõhusam kaitse, mis puudutab nende värbamist, karjääri, lepingu kestust ja võimalikku pikendamist, ning nende hindamist.

3.4.1

Kas kõnealuses tekstis või mujal tuleks sõnastada mitmed üldist laadi sätted, mis sisaldaksid eeskirju ametnike ja nende pereliikmete terviseandmete registri, ametnike loodud või kasutatud andmete kaitse, nende geneetiliste andmete, samuti ametnike e-kirjade töötlemise ja kaitse kohta. See puudutab nii kodanike poolt liidu asutustele saadetud e-kirju kui ka nende asutuste ametnike saadetud või vahetatud e-kirju, olgu omavahel või väliste osalejatega, samuti nende e-kirjade sisu ja külastatud veebilehti (11).

3.4.2

Samuti väärivad eraldi käsitlemist ahistamise ja küberkiusamise ning rikkumisest teatamise (whistleblowing) juhtumid ELi institutsioonides, ilma seejuures artikli 68 sätteid piiramata.

3.4.3

Samuti seab komitee kahtluse alla kõnealuse ettepaneku ja määruse (EL) 2016/679 kohaldamise tingimused seoses asjade interneti, suurandmete ja otsingumootorite kasutamisega isikuandmetele juurdepääsu, nende loomise või kasutamise eesmärgil ning institutsioonide veebilehtedel avaldatud isikliku teabe kasutamisel sotsiaalvõrgustikes (Facebook, Twitter, Instagram, LinkedIn jne) ilma andmesubjekti sõnaselge nõusolekuta.

3.5

Komitee oleks soovinud, et lisaks viitele elektroonilise side konfidentsiaalsusele artiklis 34 oleks komisjoni ettepanekus sätestatud andmete töötlemist toetavate IT-süsteemide turvanõuded ning kaitsemeetmed küberrünnakute ja selliste andmete võltsimise või lekkimise vastu (12). Neid tingimusi seades tuleks tagada nende tehnoloogiline neutraalsus ja mitte tugineda iga talituse konkreetsetele sise-eeskirjadele, et tuua selgelt esile seos andmete kaitsmise ning kuritegevuse- ja terrorismivastase võitluse vahel, ilma et oleks vaja võtta ebaproportsionaalseid või ülemääraseid järelevalvemeetmeid, mida peaks igal juhul alati kontrollima Euroopa Andmekaitseinspektor.

3.6

Komitee rõhutab, et isikuandmete omavahelist sidumist ELi asutustes ei saa reguleerida ainuüksi põhjenduses 16 nimetatud vastutuse põhimõttega, ja kutsub seetõttu komisjoni üles kehtestama konkreetse eeskirja, milles sätestatakse, et andmeid võib omavahel siduda alles pärast seda, kui Euroopa Andmekaitseinspektor on andnud loa, mida taotleb kas vastutav töötleja üksi või vastutav töötleja koos volitatud töötlejaga.

3.7

Samuti soovinuks komitee, ilma et see piiraks ettepaneku põhjenduse 51 ja artikli 44 lõike 3 kohaldamist, et komisjon täpsustaks ELi institutsioonides andmekaitseametnikuks, andmete vastutavaks töötlejaks ja volitatud töötlejaks määramisel nõutavaid oskusi ning koolitus- ja sobivustingimusi (13). Kui need vastutavad osapooled oma töökohutusi rikuvad, tuleks nende suhtes kohaldada ettepanekus sätestatud tõeliselt hoiatavaid sanktsioone nii distsiplinaar-, tsiviil- kui ka kriminaalmenetluse vormis ja see peaks samuti aset leidma Euroopa Andmekaitseinspektori kontrolli ja järelevalve all.

3.8

Tunnistades, et käsitletav ettepanek suurendab kaitse taset võrreldes kehtiva määrusega (EÜ) nr 45/2001, on komitee siiski arvamusel, et arvestades kogutud andmete eripära ja asjaolu, et need puudutavad otseselt andmesubjektide eraelu, eelkõige terviseküsimustes ning maksu- ja sotsiaalandmete valdkonnas, tuleks ettepanekus piirata nende andmete ulatust ettenähtud eesmärgil rangelt vajalikuga ning pakkuda isikuandmete töötlemisel kaitset ja maksimaalseid tagatisi. Need tagatised peaksid põhinema rahvusvahelistel normidel ning kõige novaatorlikematel riiklikel õigusaktidel ja teatavate liikmesriikide parimatel tavadel (14).

3.9

Kuigi on teada, et nii määrust (EL) 2016/679 kui ka kõnealust ettepanekut kohaldatakse üksnes andmete suhtes, mille omanikud on füüsilised isikud, kordab komitee veel kord vajadust, et seaduslikult asutatud juriidilisi isikuid (ettevõtjad, valitsusvälised organisatsioonid, äriühingud jne) puudutavate andmete suhtes kohaldataks samuti kaitset nende kogumisel ja töötlemisel.

4.1

Ettepaneku teksti üksikasjalikumal analüüsimisel tekib mõningaid kahtlusi ja küsimusi seoses Euroopa Liidu põhiõiguste hartas sätestatud eraelu kaitse aluspõhimõtetega ning proportsionaalsuse ja ettevaatuspõhimõttega.

4.3.1

Arvestades asjaolu, et kõnealust määrust kohaldatakse ELi institutsioonides töödeldavate andmete suhtes, sooviks komitee, et töödeldud andmete laadi arvestades nimetataks sõnaselgelt mittediskrimineerimise põhimõtet.

4.3.2

Mis puudutab artikli 4 lõike 1 punkti b, tuleks avalikes huvides toimuva arhiveerimise, teadus- ja ajaloouuringute või statistilisel eesmärgil töötlemise eel saada Euroopa Andmekaitseinspektori luba, mida ei ole artiklis 58 ette nähtud.

4.3.3

Lõpuks peaks olema selgelt sõnastatud säte, mis on samaväärne kehtiva määruse nr 45/2001 artikliga 7 andmete edastamise kohta ELi institutsioonide vahel.

4.4.1

On arusaamatu, miks kavandatava määruse artikli 5 lõike 1 punkti b suhtes ei kohaldata sama artikli lõike 2 sätteid, erinevalt artikli 6 punktidest c ja e, mille mõlema suhtes kohaldatakse isikuandmete kaitse üldmääruse artiklis 3 sätestatud tingimusi.

4.4.2

Komitee leiab, et punktis d tuleks lisada, et nõusoleku suhtes tuleb kohaldada hea usu põhimõtet.

4.5.1

Artikli kohaldamiseks tuleks alati nõuda Euroopa Andmekaitseinspektori luba.

4.5.2

Sellistel juhtudel tuleks andmesubjekti andmete kogumisel või uue otsuse tegemisel sellisest võimalusest alati eelnevalt teavitada ning tal peaks vajaduse korral olema võimalik taotleda andmete parandamist või kustutamist, esitada vastuväiteid andmete töötlemise suhtes või paluda töötlemise piiramist.

4.6.1

Komitee on seisukohal, et erand kehtiva nõusoleku reeglist alla 16aastaste laste puhul (13–16aastased), mis on juba iseenesest absurdne, on liikmesriikidele lubatud üksnes kultuurilistel põhjustel siseriikliku õiguse alusel (üldmääruse artikkel 8). Seevastu ei tohiks seda lubada kui reeglit ELi institutsioonide jaoks (artikli 8 lõige 1), milles seatakse nõusoleku vanusepiiriks 13 eluaastat.

4.6.2

Teiselt poolt ei ole täpsustatud, kuidas peaks Euroopa Andmekaitseinspektor osutama lastele artikli 58 lõike 1 punktis b nimetatud „erilist tähelepanu“, eriti seoses artiklis 36 sätestatud kasutajakataloogidega, kui nende andmed on avalikult kättesaadavad.

4.7.1

Lõikesse 1 tuleks lisada ka poliitiline kuuluvus (mis ei ole poliitiliste vaadete sünonüüm) ja eraelu.

4.7.2

Lõike 2 punkt b: andmesubjekti tuleks andmete töötlemisest alati eelnevalt teavitada, isegi juhul, kui töötlemine on vajalik seoses kõnealuse isiku kohustuste täitmise ja eriõiguste teostamisega.

4.7.3

Lõike 2 punkt d: töötlemine peaks olema lubatud üksnes andmesubjekti nõusolekul.

4.7.4

Punkt e peaks moodustama erandi vaid juhul, kui andmesubjekti avaldusest saab õiguspäraselt järeldada tema nõusolekut andmete töötlemiseks.

4.9.1

Artikli 15 lõikes 2 nimetatud täiendava teabe osas tuleks lisada ka nõue, et andmesubjekti tuleb teavitada vastutava andmetöötleja vastuse kohustuslikust või vabatahtlikust iseloomust, samuti vastamata jätmise võimalikest tagajärgedest.

4.9.2

Kui andmeid kogutakse avatud võrkudes, tuleb andmesubjekti alati teavitada, et tema isikuandmed võivad ringelda võrkudes ilma turvameetmeteta ja seega on oht, et neid näevad ja kasutavad volitamata kolmandad isikud.

4.9.3

Artikli 17 lõikes 1 nimetatud õigust peab olema võimalik teostada vabalt, ilma piiranguteta ja tasuta, mõistlike ajavahemike järel ning kiiresti või vahetult.

4.9.4

Komitee teeb ettepaneku, et andmesubjekt peaks kohustuslikult saama kinnituse selle kohta, kas teda puudutavaid andmeid töödeldakse või ei töödelda.

4.9.5

Artikli 17 lõikes 1ette nähtud teave tuleks edastada arusaadaval ja selgel viisil, eelkõige mis puudutab töödeldavaid andmeid ning kogu teavet andmete päritolu kohta.

4.11.1

Komitee leiab, et lõike 2 punkti c tuleks lisada, et nõusolek antakse alles siis, kui andmesubjekti on sõnaselgelt teavitatud tema otsuste tagajärgedest enda õiguslikule olukorrale, sest see on ainus viis, kuidas ta saab anda nõuetekohase nõusoleku.

4.11.2

Lõike 3 osas leiab komitee, et asjakohased meetmed peaks määratlema pigem Euroopa Andmekaitseinspektor kui vastutav andmetöötleja.

4.12.1

Komitee väljendab kartust, et määruse ettepaneku artikli 25 sõnastus kujutab endast isikuandmete kaitse üldmääruse artikli 23 liiga laia tõlgendust seoses nende sätete kohaldamise piiramisega, mis moodustavad andmesubjektide põhiõigused. Komitee soovitab põhjalikul analüüsil põhinevat kriitilist läbivaatamist ja vajaduse korral eri punktide täpsustamist, eelkõige mis puudutab piirangut, millega kitsendatakse õigust konfidentsiaalsusele elektroonilise side võrkudes, mis on sätestatud ELi põhiõiguste harta artiklis 7 ja millele viidatakse eraelu puutumatust ja elektroonilist sidet käsitlevas kehtivas direktiivis ning mis säilib määruse eelnõus, mis on praegu arutlusel komitee ühe teise arvamuse kontekstis.

4.12.2

Komitee on täiesti vastu artikli 25 lõikes 2 ette nähtud võimalusele, mis lubab liidu institutsioonidel ja asutustel kitsendada piirangute kohaldamist andmesubjektide õiguste suhtes, mis ei tulene neile volitusi andvatest vastuvõetud õigusaktidest. Sama kehtib artikli 34 kohta.

—

tõkestama volitamata isikute juurdepääsu andmetöötluses kasutatavatele seadmetele;

—

takistama andmekandjate loata lugemist, kopeerimist, muutmist või kõrvaldamist;

—

hoidma ära isikuandmete ilma loata sisestamise ja säilitatavate isikuandmetega ilma loata tutvumise, nende mis tahes muutmise või kustutamise;

—

hoidma ära, et isikud, kellel puudub selleks luba, kasutaksid automatiseeritud andmetöötlussüsteemi andmesidevahendite abil;

—

tagama võimaluse kontrollida, millistele asutustele võib isikuandmeid edastada;

—

tagama, et eelneva loa nõudega hõlmatud andmetele pääsevad juurde vaid volitatud isikud.

4.20.1

Ilma eelpool sätestatut piiramata ja võttes arvesse andmekaitseametniku tööülesannete laadi, kui andmekaitseametnik ei ole institutsiooni ametnik, peab olema võimalik teda igal ajal ametist vabastada ja selleks peaks piisama Euroopa Andmekaitseinspektori pooldavast arvamusest (määruse artikli 45 lõige 8).

4.20.2

Komitee leiab, et tema ametiaeg peaks olema viis aastat, mida võib ühe korra pikendada.

4.25

Määruse ettepanek sisaldab mitmeid mitmetähenduslikke ja subjektiivseid väljendeid ja mõisteid, mis on soovitav läbi vaadata ja asendada. See kehtib näiteks väljendite „võimaluse korral“, „asjakohasel juhul“, „põhjendamatu viivituseta“, „suur oht“, „asjakohaselt arvesse võtma“, „mõistlik tähtaeg“ ja „eriti oluline“ kohta.