EUROOPA KOMISJON

Brüssel,24.1.2018

COM(2018) 43 final

KOMISJONI TEATIS EUROOPA PARLAMENDILE JA NÕUKOGULE

FMT:BoldParem kaitse ja uued võimalused – komisjoni suunised isikuandmete kaitse üldmääruse vahetu kohaldamise kohta alates 25. maist 2018/FMT

Komisjoni teatis Euroopa Parlamendile ja nõukogule

Parem kaitse ja uued võimalused – komisjoni suunised isikuandmete kaitse üldmääruse vahetu kohaldamise kohta alates 25. maist 2018

Sissejuhatus

6. aprillil 2016 otsustas Euroopa Liit reformida oma andmekaitseraamistikku. Selleks võeti vastu isikuandmete kaitse reformi pakett, mis sisaldab isikuandmete kaitse üldmäärust 1 . Kõnealuse määrusega asendati kakskümmend aastat kehtinud direktiiv 95/46/EÜ 2 (andmekaitsedirektiiv) ja politseidirektiiv 3 . Isikuandmete kaitse üldmäärust (edaspidi „määrus“), mis on uus kogu ELi hõlmav andmekaitsevahend, hakatakse vahetult kohaldama 25. mail 2018, kaks aastat pärast selle vastuvõtmist ja jõustumist 4 .

Uue määrusega tugevdatakse füüsiliste isikute õigust oma isikuandmete kaitsele ja võetakse seega arvesse isikuandmete kaitse kui ühe Euroopa Liidus kehtiva põhiõiguse 5 olemust.

Määrus kujutab endast ühtset normistikku, mida kohaldatakse ELi liikmesriikides vahetult ja millega tagatakse isikuandmete vaba liikumine liikmesriikide vahel ning aidatakse seega tugevdada tarbijate usaldust ja turvalisust – kahte hädavajalikku eeldust ühtse turu toimimiseks. Seega avaneb ettevõtjate ja äriühingute, eelkõige väiksemate üksuste jaoks uusi võimalusi, sest määrusega muudetakse selgemaks andmete rahvusvahelise edastamise normid.

Ehkki uus andmekaitseraamistik põhineb kehtivatel õigusaktidel, on sellel kaugeleulatuv mõju ja mõningates aspektides toob see kaasa märkimisväärseid muudatusi. Sellepärast on määruses ette nähtud kaheaastane üleminekuperiood – kuni 25. maini 2018 –, et anda liikmesriikidele ja sidusrühmadele aega teha uue õigusraamistiku kohaldamiseks põhjalikke ettevalmistusi.

Möödunud kahel aastal on kõik sidusrühmad alates riikide haldus- ja andmekaitseasutustest ning lõpetades vastutavate töötlejate ja volitatud töötlejatega võtnud hulga meetmeid tagamaks, et uue andmekaitseraamistikuga kaasnevate muutuste tähtsus ja ulatus oleks kõigile selge ning et kõik osalised oleksid uue raamistiku kohaldamiseks valmis. Kuna 25. maiks kavandatud tähtaeg läheneb, peab komisjon vajalikuks võtta kokku seni tehtud töö ja teha kindlaks, mida tuleks veel teha, et uut raamistikku saaks edukalt kohaldama hakata 6 .

Käesolevas teatises:

·tuuakse esile peamised uuendused ja võimalused, mis avanevad uue ELi andmekaitseraamistiku kohaldudes;

·tehakse kokkuvõte ELi tasandil seni tehtud ettevalmistavast tööst;

·kavandatakse sammud, mida Euroopa Komisjon ning riikide andmekaitse- ja haldusasutused peaksid ettevalmistuste edukaks lõpuleviimiseks veel tegema;

·esitatakse meetmed, mida komisjon kavatseb eelolevatel kuudel võtta.

Lisaks sellele teeb komisjon paralleelselt käesoleva teatise vastuvõtmisega kättesaadavaks veebipõhise abivahendi, millega aidata sidusrühmadel valmistuda määruse kohaldamiseks, ning korraldab oma esinduste abiga kõigis liikmesriikides teavituskampaaniad.

1.UUS ELi ANDMEKAITSERAAMISTIK – PAREM KAITSE JA UUED VÕIMALUSED

Määruses järgitakse andmekaitsedirektiivis kasutatud lähenemisviisi, ent muudetakse andmekaitsenormid ELi kahekümneaastasele andmekaitseraamistikule ja asjaomasele kohtupraktikale tuginedes selgemaks ja ajakohastatakse neid. Lisaks sisaldab määrus mitmesuguseid uusi elemente, millega tugevdatakse füüsiliste isikute õigusi ning avatakse ettevõtjatele ja äriühingutele uusi võimalusi. Need elemendid on järgmised:

·ühtlustatud õigusraamistik, mis aitab õigusnorme ELi digitaalse ühtse turu huvides ühetaoliselt kohaldada. See tähendab, et ettevõtjad ja äriühingud lähtuvad oma tegevuses ühtsest normistikust ning lõpetatakse praegune olukord, kus eri liikmesriigid rakendavad andmekaitsedirektiivi eri viisil. Selleks et tagada määruse ühetaoline ja järjepidev kohaldamine kõigis liikmesriikides, võetakse kasutusele ühtse kontaktpunkti mehhanism;

·võrdsed võimalused kõigi ELi turul tegutsevate äriühingute jaoks. Määrusega on ette nähtud, et väljaspool ELi asuvate äriühingute suhtes tuleb kohaldada samasuguseid norme nagu ELis asuvate äriühingute suhtes, kui väljaspool ELi asuvad äriühingud pakuvad liidus isikuandmetega seotud kaupu või teenuseid või jälgivad füüsiliste isikute käitumist liidus. Väljaspool ELi asuvad äriühingud, kes tegutsevad ühtsel turul, peavad teatavatel tingimustel nimetama oma esindaja ELis, kelle poole saavad kodanikud ja ametiasutused pöörduda lisaks välismaal asuvale äriühingule või selle asemel;

·lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtted, millega soodustatakse kohe alguses uuenduslike lahenduste leidmist andmekaitseküsimustele;

·füüsiliste isikute tugevamad õigused: uued läbipaistvusnõuded; tugevam õigus saada teavet, õigus andmetega tutvuda ja õigus andmete kustutamisele (õigus olla unustatud); vaikimist või tegevusetust ei peeta enam nõusolekuks – nõusoleku väljendamiseks nõutakse selget kinnitust; laste kaitsmine internetis;

·üksikisikute parem kontroll oma andmete üle. Määrusega on kehtestatud uus andmete ülekandmise õigus, mis võimaldab kodanikel saada äriühingult või organisatsioonilt tagasi andmed, mille ta on sellele äriühingule või organisatsioonile nõusoleku või lepingu alusel andnud. Samuti võimaldab see kanda sellised isikuandmed otse üle teisele äriühingule või organisatsioonile, kui see on tehniliselt teostatav. Võimaldades isikuandmeid ühest äriühingust või organisatsioonist teise otse üle kanda, toetatakse selle õigusega ühtlasi isikuandmete vaba liikumist ELis, välditakse isikuandmete sidumist ühe konkreetse töötlejaga ja soodustatakse äriühingutevahelist konkurentsi. Teenuseosutaja vahetamise lihtsustamine kodanike jaoks stimuleerib uute teenuste väljatöötamist digitaalse ühtse turu strateegia tähenduses;

·parem kaitse andmetega seotud rikkumiste vastu. Määruses on igakülgselt reguleeritud reageerimist isikuandmetega seotud rikkumistele. „Isikuandmetega seotud rikkumine“ on selgelt määratletud ning kehtestatud on kohustus teatada järelevalveasutusele hiljemalt 72 tunni jooksul, juhul kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt ohtu isiku õigustele ja vabadustele. Teatavatel asjaoludel tuleb teavitada ka isikut, kelle andmete suhtes rikkumine toime pandi. Sellega parandatakse suuresti kaitse taset võrreldes ELis praegu kehtiva olukorraga, kus vastavalt eraelu puutumatust ja elektroonilist sidet käsitlevale direktiivile (e-privaatsuse direktiiv) 7 ning võrgu- ja infosüsteemide turvalisuse direktiivile 8 peavad andmetega seotud rikkumistest teatama ainult elektroonilise side teenuse osutajad, oluliste teenuste operaatorid ja digitaalse teenuse osutajad;

·määrusega antakse kõigile andmekaitseasutustele õigus määrata vastutavatele töötlejatele ja volitatud töötlejatele trahve. Praegu kõigil andmekaitseasutustel sellist õigust ei ole. Trahvi määramise õiguse andmine neile asutustele võimaldab õigusnorme paremini rakendada. Määrata võib trahve, mille suurus on kuni 20 miljonit eurot või äriühingu puhul kuni 4 % tema üleilmsest aastasest kogukäibest;

·suurem paindlikkus vastutavatele töötlejatele ja volitatud töötlejatele, kes töötlevad isikuandmeid ühemõtteliste vastutust käsitlevate sätete alusel (vastutuse põhimõte). Määrusega eemaldutakse teavitamise süsteemist ja liigutakse vastutuse põhimõtte kohaldamise suunas. Vastutuse põhimõtet kohaldatakse mõõdetavate kohustuste kaudu, sõltuvalt riskist (nt andmekaitseametniku olemasolu või kohustus teha andmekaitsealaseid mõjuhinnanguid). Kasutusele võetakse uus vahend, millega aidatakse hinnata riski enne andmete töötlemisega alustamist: andmekaitsealane mõjuhinnang. Mõjuhinnang tuleb alati teha siis, kui andmete töötlemise tulemusena tekib tõenäoliselt suur oht füüsiliste isikute õigustele ja vabadustele. Määruses on selleks välja toodud kolm eri olukorda: füüsiliste isikute isiklike aspektide süstemaatiline ja ulatuslik hindamine (sealhulgas profiilianalüüs), tundlike andmete ulatuslik töötlemine või avalike alade ulatuslik süstemaatiline jälgimine. Riikide andmekaitseasutused peavad avalikustama andmekaitsealast mõjuhinnangut eeldavate juhtumite loetelu 9 ;

·suurem selgus seoses volitatud töötlejate kohustustega ja vastutavate töötlejate vastutusega volitatud töötleja valimisel;

·ajakohane juhtimissüsteem, mille abil tagatakse õigusnormide ühtlasem ja parem täitmine. Selleks on ühtlustatud andmekaitseasutuste volitusi, sealhulgas trahvide määramisel, ning nende asutuste käsutusse on antud uued mehhanismid võrgustikupõhise koostöö tegemiseks;

·määrusega tagatakse ka väljapoole ELi liikuvate isikuandmete kaitse ja selle kaudu andmekaitse kõrge tase 10 . Ehkki andmete rahvusvahelise edastamise normid on määruses oma põhiolemuselt samasugused nagu 1995. aasta direktiivis, on määruses nende kasutamist paremini selgitatud ja kasutamise protsessi lihtsustatud ning andmete edastamiseks on kasutusele võetud uued vahendid. Seoses kaitse piisavuse otsustega on määruses täpselt ja üksikasjalikult ette nähtud hulk elemente, mida komisjon peab arvesse võtma, kui ta hindab isikuandmete kaitse piisavust mõnes ELi-välises õiguskorras. Määrusega võetakse ametlikult kasutusele ka hulk alternatiivseid andmete edastamise vahendeid, nagu lepingu tüüptingimused ja siduvad kontsernisisesed eeskirjad, ning neid vahendeid arendatakse edasi.

Läbivaadatud määrusega liidu institutsioonide, organite ja asutuste jaoks 11 ning privaatsust ja elektroonilist sidet käsitleva määrusega 12 (e-privaatsuse määrus), mille üle praegu läbirääkimisi peetakse, tagatakse pärast nende vastuvõtmist ELile kvaliteetne ja põhjalik andmekaitsenormide kogum 13 .

2.ELi tasandil seni tehtud ettevalmistav töö

Määruse tulemuslik kohaldamine eeldab koostööd kõigi andmekaitsega tegelevate osalejate vahel, kelleks on: liikmesriigid, sealhulgas nende haldusasutused ja andmekaitseasutused, ettevõtjad, isikuandmeid töötlevad organisatsioonid, füüsilised isikud ja komisjon.

2.1. Euroopa Komisjoni tegevus

Veidi pärast määruse jõustumist 2016. aasta keskpaigas alustas komisjon liikmesriikide haldus- ja andmekaitseasutuste ning sidusrühmadega koostööd, et aidata neil valmistuda määruse kohaldamiseks ning pakkuda neile toetust ja abi.

a) Toetus liikmesriikidele ja nende ametiasutustele

Komisjon on teinud liikmesriikidega väga tihedat koostööd ja toetanud nende tegevust üleminekuperioodil, et saavutada võimalikult suur järjepidevus. Selleks on komisjon on moodustanud eksperdirühma, mis toetab liikmesriike nende jõupingutustes valmistuda määruse kohaldama hakkamiseks. Rühm, mis on kokku tulnud juba 13 korda, tegutseb foorumina, kus liikmesriigid saavad oma kogemusi ja teadmisi jagada 14 . Komisjon on korraldanud ka kahepoolseid kohtumisi liikmesriikide ametiasutustega, et arutada riigi tasandil tekkivaid küsimusi.

b) Üksikute andmekaitseasutuste toetamine ja Euroopa Andmekaitsenõukogu loomine

Komisjon on aktiivselt toetanud artikli 29 töörühma tööd, muu hulgas selleks, et tagada sujuv üleminek Euroopa Andmekaitsenõukogu toimima hakkamisele 15 .

c) Rahvusvaheline haare

Määrusega tugevdatakse veelgi ELi suutlikkust edendada oma andmekaitsealaseid väärtusi, toetades õigussüsteemide üleilmset lähenemist 16 . ELi andmekaitsenorme peetakse rahvusvahelisel tasandil üha enam rangeimaid andmekaitsenõudeid sisaldavateks normideks kogu maailmas. Ajakohastatakse ka Euroopa Nõukogu konventsiooni nr 108, mis on andmekaitse valdkonna ainus siduv mitmepoolne õigusakt. Seda tehes on komisjoni eesmärk kajastada konventsioonis samu põhimõtteid, nagu on sätestatud ELi uutes andmekaitsenormides, ja aidata seega juurutada ühtseid rangeid andmekaitsenõudeid. Komisjon toetab aktiivselt konventsiooni ajakohastatud teksti kiiret vastuvõtmist, et EL saaks selles osaleda 17 . Komisjon julgustab kolmandaid riike Euroopa Nõukogu konventsiooni nr 108 ja selle lisaprotokolli ratifitseerima.

Lisaks sellele võtavad mitu riiki ja piirkondlikku organisatsiooni väljaspool ELi, meie lähimatest naabritest kuni Aasia, Ladina-Ameerika ja Aafrikani, vastu uusi isikuandmete kaitset käsitlevaid õigusakte või ajakohastavad kehtivaid õigusakte, et kasutada ära üleilmse digitaalmajanduse võimalusi ning tulla vastu kasvavale nõudlusele tugevama andmeturbe ja privaatsuse kaitse järele. Ehkki eri riikides rakendatakse erinevat lähenemisviisi ja nende seadusandliku arengu tase on erinev, leidub märke sellest, et määrus on neile üha enam eeskujuks ja inspiratsiooni allikaks 18 .

Sellele tuginedes arendab komisjon oma rahvusvahelist haaret kooskõlas 2017. aasta jaanuari teatisega, 19 tehes aktiivselt koostööd oma peamiste kaubanduspartneritega Ida- ja Kagu-Aasias ning Ladina-Ameerikas, et selgitada välja võimalus võtta vastu kaitse piisavuse otsused 20 .

Komisjoni jõupingutused koos Jaapaniga on eelkõige suunatud piisava andmekaitse taseme mõlemapoolsele kindlaksmääramisele 2018. aasta alguseks, nagu teatasid president Juncker ja peaminister Abe oma 6. juuli 2017. aasta ühisdeklaratsioonis 21 . Lõuna-Koreaga on alustatud kõnelusi kaitse piisavuse otsuse võimaliku vastuvõtmise lootuses. Kaitse piisavuse otsuse vastuvõtmine tagaks andmete vaba liikumise asjaomaste kolmandate riikidega ning tugeva andmekaitse juhul, kui EList edastatakse neisse riikidesse isikuandmeid.

Samal ajal teeb komisjon koostööd sidusrühmadega, et kasutada andmete rahvusvahelise edastamise hõlbustamiseks täielikult ära isikuandmete kaitse üldmääruse erinevate võimaluste potentsiaal ja arendada välja alternatiivsed isikuandmete edastamise mehhanismid, mis on kohandatud konkreetsete tööstusharude ja/või ettevõtjate vajadustele 22 .

d) Sidusrühmade kaasamine

Komisjon on korraldanud sidusrühmadeni jõudmiseks mitmesuguseid üritusi 23 . 2018. aasta esimesse kvartalisse on kavandatud uus, tarbijatele suunatud seminar. Toimunud on temaatilised arutelud teadusuuringute ja finantsteenuste valdkonnas.

Komisjon on määrust puudutavate küsimustega tegelemiseks samuti kokku kutsunud mitut sidusrühma hõlmava töörühma, millesse kuuluvad kodanikuühiskonna ja ettevõtjate esindajad, teadlased ja erialatöötajad. See rühm nõustab komisjoni eelkõige küsimuses, kuidas tagada, et sidusrühmad oleksid määrusest piisavalt teadlikud 24 .

Lõpetuseks märgime, et oma teadusuuringute ja innovatsiooni raamprogrammi „Horisont 2020“ 25 kaudu on Euroopa Komisjon rahastanud selliste vahendite väljatöötamist, millega toetatakse määruses sisalduvate normide tõhusat kohaldamist seoses andmesubjekti nõusoleku ja privaatsust säilitavate andmeanalüüsi meetoditega. Sellised meetodid on näiteks mitme osalejaga andmetöötlus ja homomorfne krüpteerimine.

2.2. Artikli 29 töörühma / Euroopa Andmekaitsenõukogu tegevus

Artikli 29 töörühm, millesse on koondunud kõik riiklikud andmekaitseasutused ja Euroopa Andmekaitseinspektor, mängib määruse kohaldamiseks valmistumisel olulist rolli, sest annab äriühingutele ja teistele sidusrühmadele suuniseid. Riikide andmekaitseasutused hakkavad tagama määruse täitmist ja on vahetud kontaktpunktid sidusrühmade jaoks ning seetõttu on neil parimad võimalused pakkuda määruse tõlgendamise küsimustes täiendavat õiguskindlust.

Artikli 29 töörühm tegeleb olemasolevate arvamuste, sealhulgas andmete kolmandatesse riikidesse edastamise vahendeid käsitleva arvamuse ajakohastamisega.

Kuna on tähtis, et ettevõtjad saaksid lähtuda sidusatest ja ühtsetest suunistest, tuleb liikmesriikides praegu kehtivad siseriiklikud suunised kas tühistada või viia kooskõlla artikli 29 töörühma / Euroopa Andmekaitsenõukogu poolt samas küsimuses vastu võetud suunistega.

Komisjon omistab suurt tähtsust sellele, et suuniste üle toimuks enne nende viimistlemist avalik konsultatsioon. Sidusrühmade panus sellesse protsessi peaks olema võimalikult täpne ja konkreetne, sest see aitaks kindlaks teha parimad tavad ning juhtida artikli 29 töörühma tähelepanu valdkonna ja sektorite eripärale. Lõplik vastutus nende suuniste eest on artikli 29 töörühmal ja tulevasel Euroopa Andmekaitsenõukogul ning andmekaitseasutused hakkavad määruse kohaldamisel neile tuginema.

Suuniseid peaks olema võimalik uute arengusuundumuste ja tavade tekkides muuta. Selleks peaksid andmekaitseasutused arendama dialoogi kõigi sidusrühmade, sealhulgas ettevõtjatega.

On oluline meelde tuletada, et määruse tõlgendamise ja kohaldamise küsimustes teevad lõpliku otsuse riikide ja ELi tasandi kohtud.

3.Eduka ettevalmistamise viimased vajalikud sammud

3.1. Liikmesriigid peavad õigusraamistiku ettevalmistamise riigi tasandil lõpule viima

Määrust kohaldatakse vahetult kõikides liikmesriikides 27 . See tähendab, et määrus jõustub ja seda kohaldatakse sõltumata siseriiklikest õigusaktidest: üldiselt saavad kodanikud, ettevõtjad, haldusasutused ja teised isikuandmeid töötlevad organisatsioonid määruse sätetele vahetult tugineda. Kooskõlas määrusega peavad liikmesriigid siiski astuma vajalikke samme oma õigusaktide kohandamiseks. Selleks peavad nad tunnistama kehtetuks olemasolevad õigusaktid või neid õigusakte muutma, asutama oma riigis andmekaitseasutuse, 28 valima akrediteerimisasutuse 29 ning sätestama sõnavabaduse ja isikuandmete kaitse ühitamise normid 30 .

Lisaks on määrusega antud liikmesriikidele võimalus oma andmekaitsenormide kohaldamist konkreetsetes valdkondades veelgi täpsustada. Sellised valdkonnad on näiteks avalik sektor, 31 tööhõive ja sotsiaalkindlustus, 32 ennetav meditsiin või töömeditsiin, rahvatervis, 33 avalikes huvides toimuv arhiveerimine, teadus- või ajaloouuringud või statistika, 34 riiklik identifitseerimisnumber, 35 üldsuse juurdepääs ametlikele dokumentidele 36 ning saladuse hoidmise kohustus 37 . Peale selle on liikmesriikidel õigus säilitada või kehtestada täiendavaid tingimusi, sealhulgas piiranguid, geneetiliste andmete, biomeetriliste andmete ja terviseandmete suhtes 38 .

Liikmesriikide meetmeid suunavad siin kaks elementi:

1.ELi põhiõiguste harta artikkel 8, mis tähendab, et iga siseriiklik täpsustav seadus peab vastama harta artikli 8 nõuetele (ja harta artiklile 8 tugineva määruse nõuetele), ning

2.ELi toimimise lepingu artikli 16 lõige 2, mille alusel ei tohi siseriiklikud õigusaktid mõjutada isikuandmete vaba liikumist ELis.

Määrus annab võimaluse lihtsustada õiguskeskkonda, võtta vastu vähem siseriiklikke õigusnorme ja muuta olukord ettevõtjate jaoks selgemaks.

Siseriiklikke õigusakte vastu võttes peavad liikmesriigid arvestama asjaolu, et mis tahes siseriiklikud meetmed, millega võidakse takistada määruse vahetut kohaldamist ning ohustada selle samaaegset ja ühetaolist kohaldamist kogu ELis, on aluslepingutega vastuolus 39 .

Määruse teksti (nt mõistete või üksikisikute õiguste) kordamine siseriiklikes õigusaktides on keelatud, välja arvatud juhul, kui kordamine on vajalik sidususe tagamiseks ja selleks, et muuta siseriiklikud aktid mõistetavaks nende jaoks, kelle suhtes neid kohaldatakse 40 . Määruse teksti sõnasõnaline taasesitus siseriiklikus täpsustavas seaduses peaks olema erandlik ja põhjendatud ning seda ei saa kasutada määruse tekstile täiendavate tingimuste või tõlgenduste lisamiseks.

Määruse tõlgendamine on jäetud Euroopa kohtute (liikmesriikide kohtute ja Euroopa Kohtu), mitte liikmesriikide seadusandjate hoolde. Seega ei saa riigi seadusandja määruse teksti kopeerida, kui see ei ole kohtupraktikas kindlaks määratud kriteeriumide alusel vajalik, samuti ei saa ta seda tõlgendada ega lisada määruse vahetult kohaldatavatesse normidesse lisatingimusi. Kui ta seda teeks, oleks õiguslik olukord kogu liidus taas killustatud ja ettevõtjad ei teaks, milliseid norme järgida.

Praegu on asjakohased siseriiklikud õigusaktid vastu võetud ainult kahes liikmesriigis 41 . Ülejäänud liikmesriikide seadusandlikud menetlused on eri etappides 42 ja need riigid on koostanud kavad vajalike õigusaktide vastuvõtmiseks 25. maiks 2018. Ettevõtjatele tuleb jätta piisavalt aega, et nad saaksid valmistuda kõiki uusi sätteid järgima.

Juhul kui liikmesriigid ei võta määruses nõutud vajalikke meetmeid, võtavad need liiga hilja või kasutavad määrusega ettenähtud täpsustamise võimalusi viisil, mis on määrusega vastuolus, rakendab komisjon kõiki tema käsutuses olevaid vahendeid, sealhulgas rikkumismenetluse algatamise õigust.

3.2. Andmekaitseasutused peavad tagama uue sõltumatu Euroopa Andmekaitsenõukogu täieliku toimimise

On väga oluline, et määrusega asutatud uus amet – Euroopa Andmekaitsenõukogu 43 – , mis on artikli 29 töörühma järglane, oleks võimeline 25. mail 2018 täielikult toimima.

Euroopa Andmekaitseinspektor, kes andmekaitseasutusena valvab ühtlasi ELi institutsioonide ja asutuste asjaomase tegevuse järele, tagab andmekaitsenõukogu sekretariaadi töö, eesmärgiga tugevdada sünergiat ja mõjusust. Selleks alustas Euroopa Andmekaitseinspektor möödunud kuudel vajalikke ettevalmistusi.

Euroopa Andmekaitsenõukogust saab Euroopa andmekaitse keskus. Andmekaitsenõukogu annab oma panuse andmekaitsealase õigustiku järjepidevasse kohaldamisse ja pakub tugevat alust andmekaitseasutuste, sealhulgas Euroopa Andmekaitseinspektori koostööle. Ta annab välja suuniseid selle kohta, kuidas määruse aluspõhimõtteid tõlgendada, ning teeb siduvaid otsuseid andmete piiriülest töötlemist käsitlevates vaidlustes. Sellega tagatakse liidu normide ühetaoline kohaldamine ja hoitakse ära olukord, kus sama juhtumit menetletakse eri liikmesriikides erinevalt.

Euroopa Andmekaitsenõukogu tõhus toimimine on seega kogu süsteemi tõhusa toimimise eeltingimus. Nüüd on eriti oluline, et andmekaitsenõukogu kujundaks kõigi riiklike andmekaitseasutuste jaoks välja ühise andmekaitsekultuuri, mis aitaks määrust ühetaoliselt tõlgendada. Määrusega soodustatakse andmekaitseasutuste tõhusat ja tulemuslikku koostööd, andes selleks nende käsutusse vajalikud vahendid: asutused saavad korraldada ühisoperatsioone, teha kokkuleppel ühiseid otsuseid ja lahendada määruse tõlgendamisel tekkivaid erimeelsusi andmekaitsenõukogu arvamuste ja siduvate otsuste abil. Komisjon julgustab andmekaitseasutusi neid võimalusi kasutama ning kohandama uute õiguste ja kohustuste täitmiseks oma toimimist, rahastamist ja töökultuuri.

3.3. Liikmesriigid peavad tagama oma andmekaitseasutusele vajalikud rahalised vahendid ja personali

Täielikult sõltumatu järelevalveasutuse loomine igas liikmesriigis on väga oluline füüsiliste isikute kaitseks nende isikuandmete töötlemisel ELis 44 . Järelevalveasutused ei suuda üksikisikute õigusi ja vabadusi tõhusalt kaitsta, välja arvatud juhul, kui nad tegutsevad täiesti sõltumatult. Kui ei õnnestu tagada nende sõltumatust ja nende suutlikkust oma volitusi tulemuslikult rakendada, on sellel kaugeleulatuvad negatiivsed tagajärjed andmekaitsealaste õigusaktide täitmisele 45 .

Määruses on sõnaselgelt sätestatud nõue, mille kohaselt peavad kõik andmekaitseasutused tegutsema täiesti sõltumatult 46 . Sellega tugevdatakse riikide andmekaitseasutuste autonoomiat ja antakse neile kogu ELis ühtsed volitused, et nad oleksid asjakohaselt varustatud kaebuste tõhusaks menetlemiseks, tulemuslike uurimiste korraldamiseks, siduvate otsuste tegemiseks ning tõhusate ja hoiatavate sanktsioonide kehtestamiseks. Samuti antakse neile õigus määrata vastutavatele töötlejatele või volitatud töötlejatele kuni 20 miljoni euro suurusi haldustrahve või ettevõtjatele trahvisumma, mille suurus vastab kuni 4 %-le ettevõtja eelneva eelarveaasta üleilmsest kogukäibest, olenevalt sellest, kumb summa on suurem.

Andmekaitseasutused on üldsuse, ettevõtjate ja haldusasutuste jaoks määrusega seotud küsimustes loomulikud partnerid ja esmased kontaktpunktid. Andmekaitseasutuste ülesandeks on muu hulgas teavitada vastutavaid töötlejaid ja volitatud töötlejaid nende kohustustest ning suurendada üldsuse teadlikkust ja arusaama andmetöötlusega seotud ohtudest, õigusnormidest, kaitsemeetmetest ja õigustest. See ei tähenda aga, et vastutavad töötlejad ja volitatud töötlejad võiksid oodata andmekaitseasutuselt nende vajadustele vastavat ja konkreetselt nende jaoks mõeldud õigusnõu. Sellist nõu saab pakkuda ainult jurist või andmekaitseametnik.

Riikide andmekaitseasutustel on seega keskne roll, ent eri liikmesriikides neile eraldatavate inimressursside ja rahaliste vahendite suhteline tasakaalustamatus võib nende tegevuse tulemuslikkust ja lõpuks ka määruses nõutavat täielikku sõltumatust ohustada. See võib negatiivselt mõjutada ka andmekaitseasutuste suutlikkust rakendada oma volitusi, näiteks uurimisvolitusi. Liikmesriike õhutatakse täitma oma juriidilist kohustust ja võimaldama oma andmekaitseasutusele tema ülesannete tõhusaks täitmiseks ja volituste rakendamiseks vajalikud inim-, tehnilised ja rahalised ressursid ning ruumid ja infrastruktuur 47 .

3.4. Ettevõtjad, haldusasutused ja teised isikuandmeid töötlevad organisatsioonid peavad end uute normide kohaldamiseks ette valmistama

Määrusega ei ole oluliselt muudetud 1995. aastal kehtestatud andmekaitsealaste õigusaktide põhimõisteid ja aluspõhimõtteid. See peaks tähendama, et enamik vastutavaid töötlejaid ja volitatud töötlejaid, kes juba järgivad ELi kehtivaid andmekaitsealaseid õigusakte, ei pea määrusega kooskõla saavutamiseks oma andmetöötlustoiminguid oluliselt muutma.

Määrus mõjutab kõige enam ettevõtjaid, kelle põhitegevus on andmete töötlemine ja/või tundlike andmete haldamine. Samuti mõjutab see neid, kes jälgivad süstemaatiliselt ja suures ulatuses füüsilisi isikuid. Need ettevõtjad peavad nüüd tõenäoliselt nimetama andmekaitseametniku, tegema andmekaitsealase mõjuhinnangu ja teatama andmetega seotud rikkumistest, kui need ohustavad füüsiliste isikute õigusi ja vabadusi. Nende ettevõtjate, eriti VKEde suhtes, kelle põhitegevuse hulka ei kuulu suure ohupotentsiaaliga andmetöötlustoiminguid, kõnealused määruses sätestatud erikohustused ei kehti.

Oluline on, et vastutavad töötlejad ja volitatud töötlejad vaataksid oma andmepoliitika tsükli põhjalikult läbi, et teha täpselt kindlaks, milliseid andmeid, millisel eesmärgil ja millisel õiguslikul alusel nad haldavad (nt pilvekeskkond, finantssektori ettevõtjad jne). Samuti peavad nad hindama kehtivaid lepinguid, iseäranis vastutavate töötlejate ja volitatud töötlejate vahelisi lepinguid, andmete rahvusvahelise edastamise kanaleid ja oma tegevuse üldist juhtimist (milliseid IT-vahendeid ja korralduslikke meetmeid kasutatakse ning kas on ametisse nimetatud andmekaitseametnik). Selles protsessis on tähtis tagada, et läbivaatamisse oleks kaasatud kõrgeim juhtimistasand, kes annaks sellesse oma panuse, kellele antaks korrapäraselt ajakohastatud teavet ja kellega peetaks nõu äriühingu andmepoliitika muutmise küsimustes.

Selleks kasutavad mõned ettevõtjad (ettevõttesiseseid või -väliseid) kontrollnimekirju, et teha kindlaks oma vastavus määruse nõuetele, küsivad nõu konsultatsioonifirmadelt ja advokaadibüroodelt ning püüavad leida tooteid, mis aitaksid täita lõimitud andmekaitse ja vaikimisi andmekaitse nõudeid. Iga sektor peab töötama välja korra, mis vastab tema eripärale ja on kohandatud tema ärimudelile.

Ettevõtjad ja teised andmeid töötlevad organisatsioonid võivad kasu saada ka määruses selle nõuete täitmise tõendamiseks ette nähtud uutest vahenditest, nagu toimimisjuhendid ja sertifitseerimismehhanismid. Nende puhul on kasutatud alt üles lähenemisviise, mis on pärit äriringkondadelt, ühendustelt või teistelt vastutavate töötlejate või volitatud töötlejate eri kategooriaid esindavatelt organisatsioonidelt, ning mis kajastavad asjaomase sektori parimat tava ja olulisi arengusuundumusi või annavad aimu teatavate toodete või teenuste puhul nõutavast andmekaitse tasemest. Määrusega on selliste mehhanismide jaoks ette nähtud ühtlustatud normid, võttes arvesse turu tegelikku olukorda (nt sertifitseerimine sertifitseerimisasutuses või andmekaitseasutuses).

Paljud suured äriühingud valmistuvad juba aktiivselt uute normide kohaldamiseks, aga paljud VKEd ei ole nende eelolevast kohaldumisest veel täielikult teadlikud.

Kokkuvõttes peaksid ettevõtjad end uute normide kohaldamiseks ette valmistama ja vastavaid kohandusi tegema ning käsitama määrust kui:

·võimalust luua kord küsimuses, milliseid isikuandmeid nad töötlevad ja kuidas see töötlemine toimub;

·kohustust arendada privaatsuse põhimõtet arvestavaid ja andmekaitsesõbralikke tooteid ning luua oma klientidega uued, läbipaistvusel ja usaldusel põhinevad suhted, ning

·võimalust korraldada vastutuse põhimõtte ja nõuete ennetava täitmise abil ümber oma suhted andmekaitseasutustega.

3.5. Sidusrühmi, eriti kodanikke ning väikeseid ja keskmise suurusega ettevõtjaid tuleb teavitada

Määruse edu sõltub sellest, kuivõrd teadlikud on selle sisust kõik need, kelle suhtes määrus kehtib (äriringkonnad ja teised andmeid töötlevad organisatsioonid, avalik sektor ja kodanikud). Riigi tasandil vastutavad teadlikkuse suurendamise eest eelkõige andmekaitseasutused, samuti on nad esmaseks kontaktpunktiks vastutavate töötlejate, volitatud töötlejate ja üksikisikute jaoks. Andmekaitseasutused, kes tagavad andmekaitsenormide täitmise oma riigi territooriumil, suudavad samuti kõige paremini selgitada äriühingutele ja avalikule sektorile määrusega tehtud muudatusi ning tutvustada kodanikele nende õigusi.

Andmekaitseasutused on sidusrühmade teavitamist alustanud ja nad teevad seda oma siseriiklikku lähenemisviisi järgides. Mõned korraldavad riigi, piirkonna ja kohaliku tasandi haldusasutustele seminare ja erinevatele ärisektoritele õpikodasid, et suurendada nende teadlikkust määruse peamistest sätetest. Teised pakuvad andmekaitseametnikele konkreetseid koolitusprogramme. Enamik andmekaitseasutusi pakub oma veebisaidil eri vormis teabematerjali (kontrollnimekirjad, videod jne).

Kodanikud seevastu ei ole veel paraku uute andmekaitsenormidega kaasnevatest muutustest ja oma tugevamatest õigustest piisavalt teadlikud. Andmekaitseasutuste käimalükatud koolitus- ja teadlikkuse suurendamise algatusi tuleks jätkata ja süvendada ning seejuures tuleks eriti keskenduda VKEdele. Lisaks saavad andmekaitseasutuste tegevust toetada riikide eri sektorite haldusasutused, kes saavad sellele tuginedes teha teavitustööd eri sidusrühmade hulgas.

4.Järgmised sammud

Komisjonil on eelolevatel kuudel kavas jätkata aktiivselt kõikide osaliste toetamist määruse kohaldamiseks valmistumisel.

a) Töö liikmesriikide toetuseks

Komisjon jätkab 2018. aasta mai eelsel ajal oma tööd liikmesriikide toetamiseks. Alates 2018. aasta maist jälgib komisjon, kuidas liikmesriigid uusi norme kohaldavad, ja võtab vajaduse korral asjakohaseid meetmeid.

b) Uued veebipõhised suunised kõigis ELi keeltes ja teadlikkuse suurendamise meetmed

Komisjon teeb kättesaadavaks praktilise juhendmaterjali, 48 et aidata ettevõtjatel, eelkõige VKEdel, aga ka avaliku sektori asutustel ja üldsusel uusi andmekaitsenorme täita ja neist kasu saada.

Juhendmaterjali pakutakse praktilise veebipõhise abivahendi kaudu kõigis ELi keeltes. Seda abivahendit on kavas korrapäraselt ajakohastada ja see on mõeldud kolmele peamisele sihtrühmale: kodanikud, ettevõtjad (eeskätt VKEd) ja muud organisatsioonid ning haldusasutused. Materjal koosneb küsimustest ja vastustest, mis on välja valitud sidusrühmade tagasiside põhjal, praktilistest näidetest ja linkidest eri teabeallikatele (nt määruse artiklid, artikli 29 töörühma / Euroopa Andmekaitsenõukogu suunised ja riikide välja töötatud materjal).

Komisjon kavatseb seda vahendit korrapäraselt ajakohastada ning lisada küsimusi ja uuendada vastuseid, võttes aluseks saadud tagasiside ja määruse rakendamisel esile kerkivad probleemid.

Juhendmaterjali on kavas tutvustada teavituskampaania abil ja seda on kavas levitada kõigis liikmesriikides, keskendudes eelkõige ettevõtjatele ja üldsusele.

Kuna määrusega on üksikisikutele ette nähtud tugevamad õigused, kavatseb komisjon osaleda kõigis liikmesriikides toimuvatel teadlikkuse suurendamise üritustel, et tutvustada kodanikele määruse eeliseid ja mõju.

c) Rahaline toetus teavituskampaaniate ja -ürituste korraldamiseks liikmesriikides

Komisjon toetab liikmesriikides teadlikkuse suurendamiseks ja nõuete täitmise ettevalmistamiseks tehtavaid jõupingutusi. Selleks annab komisjon toetust, mida võib kasutada koolituste korraldamiseks 49 ja määruse tutvustamiseks andmekaitseasutustes ja haldusasutustes ning juristide ja andmekaitseametnike seas.

Kuuele toetusesaajale, kes tegutsevad kokku enam kui pooltes ELi liikmesriikides, eraldatakse ligikaudu 1,7 miljonit eurot. Rahastamine suunatakse kohalikele ametiasutustele, sealhulgas nende andmekaitseametnikele, samuti avaliku sektori asutuste ja erasektori andmekaitseametnikele ning kohtunikele ja juristidele. Toetusi kasutatakse andmekaitseasutustele, andmekaitseametnikele ja teistele spetsialistidele mõeldud koolitusmaterjali ning koolitajate koolitamise programmide koostamiseks.

Komisjon on välja kuulutanud ka projektikonkursi konkreetselt andmekaitseasutuste jaoks. Selle kogueelarve on kuni 2 miljonit eurot ja selle raames toetatakse andmekaitseasutusi sidusrühmadele suunatud meetmete rakendamisel 50 . Eesmärk on kaasrahastada 80 % meetmetest, mida andmekaitseasutused võtavad 2018.–2019. aastal ettevõtjate, eriti VKEde teadlikkuse suurendamiseks ja nende küsimustele vastamiseks. Toetust võib kasutada ka üldsuse teadlikkuse suurendamiseks.

d) Komisjoni volituste kasutamise vajaduse hindamine

Määrusega on komisjonil lubatud võtta vastu rakendusakte või delegeeritud õigusakte, 51 et uute normide rakendamist veelgi tõhusamalt toetada. Komisjon kasutab neid volitusi ainult juhul, kui neil on selgelt tõendatud lisaväärtus, ja teeb seda sidusrühmadega konsulteerides saadud tagasiside põhjal. Eelkõige uurib komisjon sertifitseerimise küsimust. Selle aluseks on välisekspertidelt tellitud uuring ning 2017. aasta lõpus määrust puudutavate küsimuste arutamiseks moodustatud mitut sidusrühma hõlmava töörühma nõu ja panus. Selles kontekstis on asjakohane ka Euroopa Liidu Võrgu- ja Infoturbeameti (ENISA) tehtud töö küberturvalisuse valdkonnas.

e) Määruse lõimimine EMP lepingusse

Komisjon jätkab tööd kolme Euroopa Majanduspiirkonda (EMP) kuuluva EFTA riigiga (Island, Liechtenstein ja Norra), eesmärgiga lõimida määrus EMP lepingusse 52 . Ainult siis, kui määrus on EMP lepingusse lõimitud ja selle raames jõustunud, saavad isikuandmed ELi ja EFTA riikide vahel sama vabalt liikuda, nagu see toimub ELi liikmesriikide vahel.

f) Ühendkuningriigi väljaastumine Euroopa Liidust

ELi ja Ühendkuningriigi vahel Euroopa Liidu lepingu artikli 50 alusel väljaastumislepingu üle peetavate läbirääkimiste kontekstis on komisjoni eesmärk tagada, et Ühendkuningriigis enne väljaastumise kuupäeva töödeldavate isikuandmete suhtes kohaldatakse endiselt liidus üks päev enne väljaastumise kuupäeva kehtivaid isikuandmete kaitse alaseid õigusnorme 53 . Näiteks peaksid asjaomased isikud saama liidus väljaastumise kuupäeval kohaldatavate asjaomaste õigusnormide alusel endiselt kasutada oma õigust saada teavet, õigust andmetega tutvuda, õigust andmete parandamisele ja kustutamisele, õigust isikuandmete töötlemise piiramisele, õigust andmete ülekandmisele ning õigust esitada andmete töötlemise suhtes vastuväiteid ja õigust sellele, et nende kohta ei tehtaks otsust, mis põhineb üksnes automatiseeritud töötlusel. Eespool osutatud isikuandmeid ei tohiks säilitada kauem, kui see on isikuandmete töötlemise eesmärgi jaoks vajalik.

Alates väljaastumise kuupäevast ja olenevalt väljaastumislepingus sisalduda võivast üleminekukorrast, kohaldatakse Ühendkuningriigi suhtes neid määruse sätteid, milles käsitletakse isikuandmete edastamist kolmandatesse riikidesse 54 .

g) Kokkuvõtte tegemine 2019. aasta mais

Pärast 25. maid 2018 jälgib komisjon tähelepanelikult uute normide kohaldamist ja on suuremate probleemide korral valmis võtma meetmeid. Aasta pärast määruse kohaldumist (2019) korraldab komisjon kohtumise, et teha kokkuvõte kogemustest, mille eri sidusrühmad on määruse rakendamisel saanud. See kokkuvõte on omakorda sisendiks aruandele, mille komisjon peab esitama 2020. aasta maiks määruse hindamise ja läbivaatamise kohta. Aruandes keskendutakse eelkõige andmete rahvusvahelisele edastamisele ning koostööd ja järjepidevust käsitlevatele sätetele, mis mängivad olulist rolli andmekaitseasutuste töös.

Kokkuvõte

25. mail hakatakse kogu ELis kohaldama uut ühtset andmekaitsenormistikku. Uuest õigusraamistikust saavad ühtviisi kasu nii füüsilised isikud, äriühingud, haldusasutused kui ka muud organisatsioonid. Andmekaitsereform annab ELile võimaluse võtta isikuandmete kaitse valdkonnas üleilmne juhtroll. Aga seda reformi saadab edu vaid juhul, kui kõik osalejad täidavad oma kohustusi ja kasutavad oma õigusi.

Alates määruse vastuvõtmisest 2016. aasta mais on komisjon teinud kõigi osapooltega – riikide valitsuste, nende haldusasutuste, ettevõtjate ja kodanikuühiskonnaga – aktiivset koostööd uute normide kohaldamiseks valmistumisel. Suur hulk tööd on olnud pühendatud laialdase teadlikkuse ja täieliku valmisoleku tagamisele ning seda tööd tuleb veel jätkata. Ettevalmistused kulgevad eri liikmesriikides ja eri osalejate hulgas erinevas tempos. Lisaks ei ole teadmised uute normide eelistest ja nendega kaasnevatest võimalustest igal pool ühtmoodi levinud. Teadlikkust on iseäranis tarvis suurendada VKEde hulgas, keda tuleb uute nõuete täitmiseks valmistumisel toetada.

Seetõttu kutsub komisjon kõiki asjaosalisi üles süvendama käimasolevat tööd, et tagada uute normide järjepidev kohaldamine ja tõlgendamine kõikjal ELis ning suurendada teadlikkust nii ettevõtjate kui ka kodanike seas. Komisjon toetab neid jõupingutusi rahaliste vahenditega ja pakub haldustoetust. Samuti püüab ta suurendada üldist teadlikkust, võttes kasutusele veebipõhise abivahendi.

Andmed muutuvad kaasaegse majanduse jaoks üha väärtuslikumaks ning kodanikud ei oska ilma nendeta oma igapäevast elu enam ettegi kujutada. Uued õigusnormid kujutavad endast nii ettevõtjate kui ka üldsuse jaoks ainulaadset võimalust. Äriühingud, eelkõige väiksemad ettevõtjad, saavad kasu uuendusi soosivast ühtsest normistikust, mis aitab neil tarbijate usalduse taastamiseks oma isikuandmete töötlemise toiminguid üheselt korraldada ning kasutada seda korrastatud struktuuri kogu ELis oma konkurentsieelisena. Kodanikud saavad kasu sellest, et ende isikuandmed on paremini kaitstud, ja neil on võimalik oma andmete käsitlemist äriühingutes paremini kontrollida.

Kaasaegses õitseva digitaalmajandusega maailmas peavad Euroopa Liit, selle kodanikud ja ettevõtjad olema igakülgselt varustatud, et lõigata andmepõhisest majandusest kasu ja mõista selle mõju. Uue määrusega antakse Euroopale vajalikud vahendid, et vastata 21. sajandi väljakutsetele.

(1) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus), ELT L 119, 4.5.2016.

(2) Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta, EÜT L 281, 23.11.1995.

(3) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiiv (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK, ELT L 119, 4.5.2016.

(4) Määrus on olnud jõus alates 24. maist 2016 ja seda hakatakse kohaldama alates 25. maist 2018.

(5) Euroopa Liidu põhiõiguste harta artikkel 8 ja Euroopa Liidu toimimise lepingu artikkel 16.

(6)   https://ec.europa.eu/commission/sites/beta-political/files/letter-of-intent-2017_et.pdf .

(7) Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiiv 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv), EÜT L 201, 31.7.2002, lk 37–47. Vastavalt isikuandmete kaitse üldmääruse artiklile 95 ei panda määrusega füüsilistele ega juriidilistele isikutele lisakohustusi seoses küsimustega, mille puhul kehtivad nende suhtes direktiivis 2002/58/EÜ sätestatud, sama eesmärgiga erikohustused. See tähendab näiteks, et e-privaatsuse direktiiviga hõlmatud üksustele kehtib kohustus teatada isikuandmetega seotud rikkumisest vaid juhul, kui see rikkumine on seotud teenusega, mis on olulises osas hõlmatud e-privaatsuse direktiiviga. Isikuandmete kaitse üldmäärusega ei ole neile selleks puhuks erikohustusi kehtestatud.

(8) Euroopa Parlamendi ja nõukogu 6. juuli 2016. aasta direktiiv (EL) 2016/1148 meetmete kohta, millega tagada võrgu- ja infosüsteemide turvalisuse ühtlaselt kõrge tase kogu liidus, ELT L 194, 19.7.2016, lk 1–30. Võrgu- ja infosüsteemide turvalisuse direktiivi kohaldamisalaga hõlmatud üksused peaksid teatama juhtumitest, mis mõjutavad märkimisväärselt või olulisel määral mõne nende teenuse pakkumist. Juhtumist võib teatada võrgu- ja infosüsteemide turvalisuse direktiivi alusel, ilma et see piiraks rikkumisest teatamist määruse alusel.

(9) Määruse artikkel 35.

(10) Komisjoni teatis „Isikuandmete vahetamine ja kaitsmine globaliseerunud maailmas“, COM (2017) 7 final.

(11) Ettepanek: Euroopa Parlamendi ja nõukogu määrus üksikisikute kaitse kohta isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning selliste andmete vaba liikumise kohta ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ, COM(2017) 8 final.

(12) Ettepanek: Euroopa Parlamendi ja nõukogu määrus, milles käsitletakse eraelu austamist ja isikuandmete kaitset elektroonilise side puhul ning millega tunnistatakse kehtetuks direktiiv 2002/58/EÜ (privaatsust ja elektroonilist sidet käsitlev määrus), COM(2017) 10 final.

(13) Kuni e-privaatsuse määruse vastuvõtmise ja jõustumiseni kohaldatakse direktiivi 2002/58/EÜ määruse erinormina (lex specialis).

(14) Täieliku loetelu kõigist kohtumistest, nende kohtumiste päevakorrad, toimunud arutelude kokkuvõtted ja ülevaate õigusaktide vastuvõtmise seisust eri liikmesriikides leiab veebisaidilt http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461 .

(15) Näiteks on komisjonil kavas anda Euroopa Andmekaitsenõukogule võimalus kasutada oma liikmete vaheliseks teabevahetuseks siseturu infosüsteemi (IMI).

(16) Aruteludokument üleilmastumise ohjamise kohta, COM(2017) 240.

(17) Euroopa Nõukogu 28. jaanuari 1981. aasta isikuandmete automatiseeritud töötlemisel isiku kaitse konventsioon (ETS nr 108) ning isikuandmete automatiseeritud töötlemisel isiku kaitse konventsiooni järelevalveasutusi ja andmete liikumist üle piiri käsitlev 2001. aasta lisaprotokoll (ETS nr 181). Konventsioon on ühinemiseks avatud riikidele, kes ei ole Euroopa Nõukogu liikmed, ning selle on juba ratifitseerinud 51 riiki (sealhulgas Uruguay, Mauritius, Senegal ja Tuneesia).

(18) Vt nt Ibero-Ameerika riikide andmekaitsenõuded aadressil http://www.redipd.es/documentacion/common/Estandares_eng_Con_logo_RIPD.pdf .

(19) COM(2017) 7.

(20) COM(2017) 7, ibid, lk 10–11.

(21)   http://europa.eu/rapid/press-release_STATEMENT-17-1917_en.htm .

(22) COM(2017) 7, ibid, lk 10–11.

(23)

Kaks seminari, mis korraldati valdkonna esindajatele 2016. aasta juulis ja 2017. aasta aprillis, kaks ümarlauakohtumist ettevõtjatega 2016. aasta detsembris ja 2017. aasta mais, terviseandmeid käsitlev seminar 2017. aasta oktoobris ja VKEde esindajatele mõeldud seminar 2017. aasta novembris.

(24)   http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537 .

(25) https://ec.europa.eu/programmes/horizon2020/h2020-sections.

(26) Kõik vastuvõetud suunised on kättesaadavad aadressil http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.

(27) Euroopa Liidu toimimise lepingu artikkel 288.

(28) Määruse artikli 54 lõige 1.

(29) Määruse artikli 43 lõikega 1 on ette nähtud, et liikmesriigid pakuvad kaht sertifitseerimisasutuste akrediteerimise võimalust: need asutused akrediteerib riiklik andmekaitse järelevalveasutus, mis on asutatud kooskõlas andmekaitsealaste õigusaktidega, ja/või riiklik akrediteerimisasutus, mis on asutatud määruse (EÜ) nr 765/2008 (millega sätestatakse akrediteerimise ja turujärelevalve nõuded) alusel. Määruses (EÜ) nr 765/2008 tunnustatud Euroopa akrediteerimiskoostöö organisatsioon, millesse on koondunud riiklikud akrediteerimisasutused, ning isikuandmete kaitse üldmääruses sätestatud järelevalveasutused peaksid tegema sel eesmärgil tihedat koostööd.

(30) Määruse artikli 85 lõige 1.

(31) Määruse artikli 6 lõige 2.

(32) Määruse artikkel 88 ja artikli 9 lõike 2 punkt b. Euroopa sotsiaalõiguste samba tekstis on muu hulgas sätestatud: „Töötajatel on õigus isikuandmete kaitsele töösuhte kontekstis“ (2017/C 428/09, ELT C 428, 13.12.2017, lk 10–15).

(33) Määruse artikli 9 lõike 2 punktid h ja i.

(34) Määruse artikli 9 lõike 2 punkt j.

(35) Määruse artikkel 87.

(36) Määruse artikkel 86.

(37) Määruse artikkel 90.

(38) Määruse artikli 9 lõige 4.

(39) Kohtuotsus 94/77: Fratelli Zerbone Snc vs. Amministrazione delle finanze dello Stato, ECLI:EU:C:1978:17 ja 101.

(40) Määruse põhjendus 8.

(41) Austria ( http://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2017_I_120/BGBLA_2017_I_120.pdf ),
Saksamaa ( https://www.bgbl.de/xaver/bgbl/start.xav?start=%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D__1513091793362 ).

(42) Ülevaate õigusloome protsessi seisust eri liikmesriikides leiab veebisaidilt http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461 .

(43) Euroopa Andmekaitsenõukogu on ELi amet. Tal on juriidilise isiku staatus ja tema ülesanne on tagada määruse järjepidev kohaldamine. Andmekaitsenõukogu koosseisu kuuluvad kõigi andmekaitseasutuste juhid ja Euroopa Andmekaitseinspektor või siis nende esindajad.

(44) Direktiivi 95/46/EÜ põhjendus 117 ja eespool juba osutatud põhjendus 62.

(45) Komisjoni teatis Euroopa Parlamendile ja nõukogule – Andmekaitsedirektiivi parema rakendamise tööprogrammi järelmeetmete kohta, COM(2007) 87 final, 7. märts 2007.

(46) Määruse artikkel 52.

(47) Määruse artikli 52 lõige 4.

(48) Juhendmaterjal aitab ELi andmekaitsenorme paremini mõista, aga õigusjõud on ainult määruse tekstil. Seega saab üksnes määrusega kehtestada üksikisikutele õigusi ja kohustusi.

(49)  Toetused, mida rahastatakse programmist „Põhiõigused ja kodakondsus“: https://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/calls/rec-data-2016.html#c,topics=callIdentifier/t/REC-DATA-2016/1/1/1/default-group&callStatus/t/Forthcoming/1/1/0/default-group&callStatus/t/Open/1/1/0/default-group&callStatus/t/Closed/1/1/0/default-group&+identifier/desc .

(50)   http://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/topics/rec-rdat-trai-ag-2017.html

(51) Delegeeritud õigusakt, et määrata kindlaks ikoonidega esitatav teave ja standardsete ikoonide esitamise kord (määruse artikli 12 lõige 8); delegeeritud õigusakt, et määrata kindlaks nõuded, mida tuleb arvesse võtta sertifitseerimise mehhanismide puhul (määruse artikli 43 lõige 8); rakendusakt sertifitseerimismehhanismide ning pitserite ja -märgiste tehniliste standardite ning kasutuselevõtu edendamise ja tunnustamise mehhanismide kohta (määruse artikli 43 lõige 9); rakendusakt vastutavate töötlejate, volitatud töötlejate ja järelevalveasutuste vahelise siduvaid kontsernisiseseid eeskirju käsitleva teabevahetuse vormi ja korra kohta (määruse artikli 47 lõige 3); rakendusaktid vastastikuse abistamise vormi ja korra kohta ning järelevalveasutuste vahelise elektroonilise teabevahetuse korralduse kohta (määruse artikli 61 lõige 9 ja artikkel 67).

(52) Töö praeguse seisu kohta leiab teavet veebisaidilt http://www.efta.int/eea-lex/32016R0679.

(53) https://ec.europa.eu/commission/publications/position-paper-use-data-and-protection-information-obtained-or-processed-withdrawal-date_en.

(54) Vt komisjoni teatis sidusrühmadele: Ühendkuningriigi väljaastumine ja ELi andmekaitsenormid (http://ec.europa.eu/newsroom/just/document.cfm?action=display&doc_id=49245).