EUROOPA KOMISJON

Brüssel,25.7.2024

COM(2024) 357 final

KOMISJONI TEATIS EUROOPA PARLAMENDILE JA NÕUKOGULE

Teine aruanne isikuandmete kaitse üldmääruse kohaldamise kohta

1Sissejuhatus

See on komisjoni teine isikuandmete kaitse üldmääruse (edaspidi „üldmäärus“) kohaldamist käsitlev aruanne, mis võeti vastu kooskõlas üldmääruse artikliga 97. Esimene aruanne võeti vastu 24. juunil 2020 (edaspidi „2020. aasta aruanne“) ( 1 )).

Üldmäärus on ELi digipöördele lähenemise üks alustala. Selle aluspõhimõtetele – õiglane, turvaline ja läbipaistev isikuandmete töötlemine, mis tagab, et üksikisikule jääb kontroll oma andmete üle – tuginetakse kõigis isikuandmete töötlemisega seotud ELi poliitikavaldkondades.

Pärast 2020. aasta aruande avaldamist on EL võtnud vastu mitmesuguseid algatusi, mille eesmärk on seada digiülemineku keskmesse üksikisikud. Igal algatusel on konkreetne eesmärk, näiteks luua turvalisem internetikeskkond, muuta digimajandus õiglasemaks ja konkurentsivõimelisemaks, hõlbustada murrangut toovaid teadusuuringuid, tagada ohutu ja usaldusväärse tehisintellekti arendamine ning luua tõeliselt ühtne andmeturg. Isikuandmetesse puutuvates küsimustes tuginevad need algatused üldmäärusele. Üldmäärusest lähtutakse ka isikuandmete töötlemist mõjutavate valdkondlike algatuste puhul, näiteks finantsteenuste, tervishoiu, tööhõive, liikuvuse ja õiguskaitse valdkonnas.

Sidusrühmade, andmekaitseasutuste ja liikmesriikide seas valitseb üldine üksmeel selles osas, et hoolimata mõningatest probleemidest on üldmäärus aidanud saavutada üksikisikute ja ettevõtjate jaoks olulisi tulemusi. Riskipõhine ja tehnoloogianeutraalne lähenemisviis tagab andmesubjektidele tugeva kaitse ning vastutavatele töötlejatele ja volitatud töötlejatele proportsionaalsed kohustused. Samal ajal tuleks teatud valdkondades teha täiendavaid edusamme. Eelkõige tuleks eelseisvatel aastatel keskenduda sidusrühmade, eriti väikeste ja keskmise suurusega ettevõtjate (VKEd), väikeettevõtjate, teadlaste ja teadusorganisatsioonide jõupingutuste toetamisele nõuete täitmise valdkonnas, tagades selgemad ja paremini rakendatavad andmekaitseasutuste suunised ning saavutades üldmääruse järjepidevama tõlgendamise ja jõustamise ELis.

Üldmääruse artikli 97 kohaselt peaks komisjon kontrollima eelkõige nende sätete kohaldamist ja toimimist, mis käsitlevad isikuandmete rahvusvahelist edastamist kolmandatele riikidele (st ELi-/EMP-välistele riikidele) (üldmääruse V peatükk) ning riiklike andmekaitseasutuste vahelise koostöö ja järjepidevuse tagamise mehhanisme (üldmääruse VII peatükk). Nii nagu 2020. aasta aruandes, hinnatakse käesolevas aruandes üldmääruse kohaldamist siiski üldisemalt, käsitledes peale kahe eespool nimetatud teguri ka muid aspekte: ühtlasi tehakse selles kindlaks rida meetmeid, mis on vajalikud, et toetada üldmääruse kohaldamist peamistes prioriteetsetes valdkondades.

Käesoleva aruande koostamisel on võetud arvesse järgmisi allikaid: i) nõukogu seisukoht ja tähelepanekud, mis võeti vastu 2023. aasta detsembris ( 2 ); ii) sidusrühmadelt eelkõige üldmääruse paljusid sidusrühmi hõlmava eksperdirühma ( 3 ) ja avaliku tagasisidekorje kaudu saadud andmed ( 4 ) ning iii) andmekaitseasutustelt saadud tagasiside (Euroopa Andmekaitsenõukogu (edaspidi „andmekaitsenõukogu“) esitatud teave) ( 5 ) ja Euroopa Liidu Põhiõiguste Ameti (edaspidi „FRA“) koostatud aruanne, mis põhineb üksikute andmekaitseasutustega tehtud intervjuudel (edaspidi „FRA aruanne“) ( 6 ). Aruanne tugineb ka komisjoni pidevale järelevalvele üldmääruse kohaldamise üle, mis hõlmab liikmesriikidega peetavaid kahepoolseid dialooge siseriiklike õigusaktide vastavuse üle, aktiivset osalemist andmekaitsenõukogu töös ning tihedat suhtlust paljude sidusrühmadega määruse praktilise kohaldamise teemal.

2Üldmääruse täitmise tagamine ning koostöö- ja järjepidevuse mehhanismi toimimine

Üldmääruse ühtse kontaktpunkti põhimõttel toimiva täitmise tagamise süsteemi eesmärk on tagada määruse ühetaoline tõlgendamine ja täitmise tagamine sõltumatute andmekaitseasutuste seas. Selleks on vajalik andmekaitseasutuste vaheline koostöö piiriüleste töötlemistoimingute korral, kui need mõjutavad oluliselt andmesubjekte mitmes liikmesriigis. Asutustevahelised vaidlused lahendab andmekaitsenõukogu üldmääruses sätestatud järjepidevuse mehhanismi alusel.

2.1Piiriüleste juhtumite käsitlemise tõhustamine: ettepanek menetlusnormide kohta

2020. aasta aruandes juhiti tähelepanu vajadusele tõhustada ja ühtlustada piiriüleste juhtumite käsitlemist ELis, pidades eelkõige silmas suuri erinevusi riiklikes haldusmenetlustes ja üldmääruse koostöömehhanismi mõistete tõlgendamises. Seepärast võttis komisjon 2023. aasta juulis vastu menetlusnorme käsitleva määruse ettepaneku, ( 7 ) lähtudes ka küsimuste loetelust, mille nõukogu 2022. aasta oktoobris komisjonile esitas, ( 8 ) ning sidusrühmade ( 9 ) ja liikmesriikide tagasisidest ( 10 ). Ettepanekuga täiendatakse üldmäärust, nähes ette üksikasjalikud normid piiriüleste kaebuste, kaebuse esitaja kaasamise, uurimisaluste isikute (vastutavad töötlejad ja volitatud töötlejad) nõuetekohase menetluse õiguse ning andmekaitseasutuste vahelise koostöö kohta. Nimetatud menetluslike aspektide ühtlustamine toetaks uurimiste õigeaegset lõpuleviimist ja kiiresti kohaldatava õiguskaitsevahendi pakkumist üksikisikutele. Ettepanek on praegu Euroopa Parlamendis ja nõukogus arutlusel.

2.2Tihedam koostöö andmekaitseasutuste vahel ja järjepidevuse mehhanismi kasutamine

Piiriüleste juhtumite arv on viimastel aastatel märkimisväärselt suurenenud. Andmekaitseasutused on näidanud üles suuremat valmisolekut kasutada üldmäärusega ette nähtud koostöövahendeid. Kõik andmekaitseasutused kasutasid vastastikuse abi vahendit ( 11 ) ja esitasid ka mitteametlikke taotlusi üksteise abistamiseks vabatahtlikkuse alusel. Andmekaitseasutused pooldavad mitteametlikke taotlusi, millega ei nähta ette tähtaega ega ranget vastamiskohustust. Kuigi andmekaitsenõukogu võttis 2021. aastal vastu ühisoperatsioone käsitlevad suunised, ( 12 ) ei ole ametiasutused seda vahendit ikka veel märkimisväärsel määral kasutanud ( 13 ) ning toovad selle vähese kasutamise peamiste põhjustena välja erinevused riiklikes menetlustes ja menetlustega seotud ebaselguse.

Üldmäärusega on asjaomastele andmekaitseasutustele ette nähtud võimalus esitada asjakohane ja põhjendatud vastuväide, kui nad piiriülese juhtumi puhul juhtiva andmekaitseasutuse otsuse eelnõuga ei nõustu. Kui andmekaitseasutused asjakohase ja põhjendatud vastuväite suhtes konsensusele ei jõua, lahendab vaidluse üldmääruse kohaselt andmekaitsenõukogu ( 14 ). Kõige sagedamini tõstatatud teemad asjakohastes ja põhjendatud vastuväidetes olid järgmised: i) töötlemise õiguslik alus; ii) teavitamis- ja läbipaistvuskohustus; iii) andmetega seotud rikkumistest teatamine; iv) andmesubjektide õigused; v) rahvusvahelise edastamisega seotud erandid; vi) parandusmeetmete kasutamine ja vii) haldustrahvi suurus.

Üldmääruse täitmise tagamise süsteem põhineb eeldusel, et andmekaitseasutused teevad lojaalset ja tõhusat koostööd. Kuigi vaidluste lahendamise menetlusel on täitmise tagamise struktuuris oluline roll, tuleks seda menetlust kasutada kavandatud viisil, nimelt võttes nõuetekohaselt arvesse pädevuse jaotust andmekaitseasutuste vahel, vajadust austada nõuetekohase menetluse õigust ja huvi lahendada juhtum andmesubjektide jaoks õigeaegselt. Iga vaidluste lahendamise menetlus nõuab märkimisväärsel hulgal juhtiva asutuse, asjaomaste asutuste ja andmekaitsenõukogu sekretariaadi vahendeid ning lükkab andmesubjektidele õiguskaitsevahendite pakkumise edasi.

Andmekaitseasutused kasutavad üha rohkem üldmääruse järjepidevuse mehhanismi. Sellel on kolm osa: i) andmekaitsenõukogu arvamused; ii) vaidluste lahendamine andmekaitsenõukogu poolt ja iii) kiirmenetlus ( 21 ).

Andmekaitsenõukogu käsitleb oma arvamustes ( 22 ) üha enam olulisi üldkohaldatavaid küsimusi. Andmekaitsenõukogu peaks tagama, et kõnealuste arvamuste vastuvõtmisele eelneb õigeaegne ja sisuline konsulteerimine. Vaidluse lahendamiseks esitatud juhtumite puhul on käsitletud selliseid küsimusi nagu sotsiaalmeedias käitumispõhise reklaami tarvis andmete töötlemise õiguslik alus ja laste andmete töötlemine internetis. Enamik hilisemaid siduvaid otsuseid on Üldkohtus vaidlustatud.

Andmekaitsenõukogu otsustusprotsessi läbipaistvus on määrava tähtsusega tagamaks, et austatakse ELi põhiõiguste hartaga kehtestatud õigust heale haldusele. Üldmääruse kiirmenetlus võimaldab andmekaitseasutustel teha koostöö- ja järjepidevuse mehhanismi kohaldamisel erandeid, et võtta vajaduse korral andmesubjektide õiguste ja vabaduste kaitsmiseks kiireloomulisi meetmeid. Erandina üldmääruse kohasest tavapärasest koostöömenetlusest saab kohaldada selliseid vahendeid nagu kiirmenetlus, mis on ette nähtud üksnes erandlikeks asjaoludeks ja juhuks, kui tavapärase koostöömenetlusega ei saa andmesubjektide õigusi ja vabadusi kaitsta.

2.3Jõulisem nõuete täitmise tagamine

Andmekaitseasutused on viimastel aastatel teinud täitmise tagamises märkimisväärseid edusamme, sealhulgas on määratud märkimisväärses summas trahve suurte rahvusvaheliste tehnoloogiaettevõtete suhtes algatatud märgilise tähtsusega kohtuasjades. Trahvid määrati näiteks järgmise eest: i) töötlemise õiguspärasuse ja turvalisusega seotud eeskirjade rikkumine; ii) eri liiki isikuandmete töötlemisega seotud rikkumine ning iii) üksikisikute õiguste austamisega seotud rikkumine ( 25 ). See on pannud eraettevõtted suhtuma andmekaitse küsimusse tõsiselt ( 26 ) ja aidanud organisatsioonides juurutada nõuete täitmise tava. Andmekaitseasutused võtavad vastu otsuseid üldmääruse rikkumise kohta kaebusel põhinevate ja omal algatusel avatud juhtumite puhul. Kuigi see vahend ei ole kõigis liikmesriikides saadaval, on paljud andmekaitseasutused tulemuslikult kasutanud vaidluse kompromissiga lahendamise menetlust, et kaebusel põhinevad juhtumid kaebuse esitajat rahuldaval viisil kiiresti lahendada. Menetlusnorme käsitlevas ettepanekus tunnustatakse võimalust lahendada kaebused kompromissiga ( 27 ).

Andmekaitseasutused on kasutanud oma parandusvolitusi laialdaselt, kuid kehtestatud parandusmeetmete arv on asutuste lõikes väga erinev. Peale trahvide kasutati kõige sagedamini selliseid parandusmeetmeid nagu hoiatused ja noomitused ning korraldused järgida üldmäärust. Vastutavad töötlejad ja volitatud töötlejad vaidlustavad sageli üldmääruse rikkumise kohta tehtud otsused liikmesriikide kohtutes, tehes seda enamasti menetluslikel alustel ( 28 ).

Kuigi enamik andmekaitseasutusi peab oma uurimisvahendeid piisavaks, vajavad mõned asutused riiklikul tasandil täiendavaid vahendeid, näiteks piisavaid karistusi selleks puhuks, kui vastutavad töötlejad ei tee koostööd või ei esita vajalikku teavet ( 32 ). Andmekaitseasutused leiavad, et peamiselt pärsivad nende täitmise tagamise suutlikkust ebapiisavad vahendid ning vajakajäämised tehnilises ja õigusalases oskusteabes ( 33 ).

2.4Andmekaitsenõukogu

Andmekaitsenõukogu koosseisu kuuluvad ühe andmekaitseasutuse juht igast liikmesriigist ja Euroopa Andmekaitseinspektor, kusjuures komisjon osaleb nõukogu tegevuses hääleõiguseta. Andmekaitsenõukogule, keda toetab tema sekretariaat, on pandud ülesanne tagada üldmääruse järjepidev kohaldamine ( 34 ). Enamik andmekaitseasutusi leiab, et andmekaitsenõukogu on aidanud kaasa nendevahelise koostöö tugevdamisele ( 35 ). Paljud andmekaitseasutused eraldavad andmekaitsenõukogu tegevuse jaoks märkimisväärsel hulgal vahendeid, kuid väiksemad andmekaitseasutused märgivad, et nad ei saa oma väiksuse tõttu nõukogu töös täielikult osaleda ( 36 ). Mõned andmekaitseasutused leiavad, et andmekaitsenõukogu protsesse tuleks muuta tõhusamaks, eelkõige vähendades koosolekute arvu ja pöörates vähem tähelepanu väiksema tähtsusega küsimustele ( 37 ). Sõltuvalt sellest, mis tulemuseni jõutakse läbirääkimistel, mida peetakse üldmääruse menetlusnorme käsitleva ettepaneku üle, mille eesmärk on vähendada andmekaitsenõukogule vaidluste lahendamiseks esitatavate juhtumite arvu, tuleb võib-olla kaaluda, kas andmekaitsenõukogu vajab täiendavaid vahendeid.

2023. aasta novembri seisuga oli andmekaitsenõukogu vastu võtnud 35 suunist. Kuigi sidusrühmad ja andmekaitseasutused on pidanud neid kasulikuks, leiavad mõlemad, et suuniseid tuleks esitada kiiremini ja et nende kvaliteeti tuleks parandada ( 38 ). Sidusrühmad märgivad, et need on sageli liiga teoreetilised ja liiga pikad ega kajasta üldmääruse riskipõhist lähenemisviisi ( 39 ). Andmekaitseasutused ja andmekaitsenõukogu peaksid esitama kokkuvõtlikud ja praktilised suunised, mis annavad vastused konkreetsetele küsimustele ning tagavad tasakaalu andmekaitseõiguse ja muude põhiõiguste vahel. Suunised peaksid olema kergesti mõistetavad ka õigusalase hariduseta isikutele, näiteks VKEdes ja vabatahtlikes organisatsioonides ( 40 ). Üks võimalus selle saavutamiseks on muuta suuniste koostamine läbipaistvamaks ja konsulteerida osalistega varases etapis, et paremini mõista turudünaamikat, äritavasid ja seda, kuidas suuniseid praktikas kohaldada ( 41 ). On tervitatav, et andmekaitsenõukogu rõhutab oma 2024.–2027. aasta strateegia osana eesmärki anda praktilisi suuniseid, mis on asjaomase sihtrühma jaoks arusaadavad ( 42 ).

Sidusrühmad rõhutavad, et vaja on täiendavaid suuniseid, eelkõige anonüümimise ja pseudonüümimise, ( 43 ) õigustatud huvi ja teadusuuringute kohta ( 44 ). 2020. aasta aruandes kutsus komisjon andmekaitsenõukogu üles võtma vastu teadusuuringuid käsitlevad suunised, kuid neid suuniseid ei ole veel vastu võetud. Teadvustades, kui tähtsad on teadusuuringud ühiskonna jaoks, eelkõige haiguste jälgimiseks ja ravi väljatöötamiseks ning innovatsiooni edendamiseks, on väga oluline, et andmekaitseasutused võtaksid viivitamata meetmeid nendega seotud küsimuste selgitamiseks ( 45 ). Avaliku sektori asutustele oleks samuti kasu suunistest, milles käsitletakse konkreetseid probleeme, millega nad kokku puutuvad ( 46 ).

2.5Andmekaitseasutused

2.5.1Sõltumatus ja vahendid

Andmekaitseasutuste sõltumatus on sätestatud ELi põhiõiguste hartas ja Euroopa Liidu toimimise lepingus. Üldmääruses on sätestatud nõuded, mille eesmärk on tagada andmekaitseasutuste täielik sõltumatus ( 47 ). FRA aruandes leiti, et enamik andmekaitseasutusi tegutseb valitsusest, parlamendist või muudest avalik-õiguslikest asutustest sõltumatult ( 48 ).

Andmekaitseasutustel on üldmäärusest tulenevate ülesannete tulemuslikuks ja sõltumatuks täitmiseks vaja piisavalt inimressurssi ning tehnilisi ja rahalisi vahendeid. Komisjon märkis 2020. aasta aruandes, et andmekaitseasutustele ei ole ikka veel eraldatud rahuldaval hulgal vahendeid, ning on selle küsimuse liikmesriikidega peetavates aruteludes järjepidevalt tõstatanud. Vahepeal on olukord paranenud.

Kuigi see statistika näitab andmekaitseasutuste vahendite üldist kasvusuundumust, leiavad ametiasutused ise, et neil ei ole endiselt piisavalt inimressurssi ( 50 ). Nad toonitavad, et vaja on väga spetsiifilist tehnilist oskusteavet, eelkõige uute ja kujunemisjärgus tehnoloogiate valdkonnas, ( 51 ) ning et selle puudumine mõjutab nende töö kvantiteeti ja kvaliteeti ning et neil on raske konkureerida töötajate leidmisel erasektoriga. Andmekaitseasutused nimetavad nende tulemuslikkust pärssivate teguritena ka ebapiisavaid õigusalaseid teadmisi ja vajakajäämisi keeleoskuses. Peamiste teguritena, mis mõjutavad andmekaitseasutuste suutlikkust töötajaid palgata ja hoida, tuuakse välja väike töötasu, võimetus töötajaid iseseisvalt valida ja suur töökoormus ( 52 ). Andmekaitseasutused rõhutavad ka, et nad vajavad rahalisi vahendeid oma protsesside ajakohastamiseks ja digitaliseerimiseks ning tehniliste seadmete hankimiseks ( 53 ). Kõik andmekaitseasutused täidavad ka muid ülesandeid peale neile üldmäärusega pandud ülesannete, ( 54 ) näiteks õiguskaitse valdkonnas isikuandmete kaitset käsitleva direktiivi ning eraelu puutumatust ja elektroonilist sidet käsitleva direktiivi kohaste järelevalveasutuste ülesandeid, ning paljud andmekaitseasutused väljendavad muret seoses uutest digivaldkonna õigusaktidest tulenevate lisakohustustega ( 55 ).

2.5.2Raskused suure hulga kaebuste käsitlemisel

Mitu andmekaitseasutust märgivad, et nende vahenditest kasutatakse liiga suurt osa suure hulga kaebuste käsitlemiseks, millest enamik on nende arvates väheolulised ja põhjendamatud, kuna iga kaebuse käsitlemine on üldmäärusest tulenev kohustus, mille suhtes kohaldatakse kohtulikku kontrolli ( 56 ). See tähendab, et andmekaitseasutused ei saa eraldada piisavalt vahendeid muude tegevuste jaoks, nagu omaalgatuslikud uurimised, üldsuse teadlikkuse suurendamise kampaaniad ja vastutavate töötlejate kaasamine ( 57 ). Avaliku sektori asutustena on andmekaitseasutustel õigus eraldada oma ressursse enda äranägemisel – nii, nagu nad peavad sobivaks, et täita oma ülesandeid (loetletud üldmääruse artikli 57 lõikes 1) avalikes huvides. Paljud andmekaitseasutused on võtnud vastu strateegiaid eesmärgiga muuta kaebuste käsitlemine tõhusamaks, näiteks automatiseerimise, ( 58 ) kaebuste kompromissiga lahendamise ( 59 ) ja sarnaste küsimustega seotud kaebuste rühmitamise abil ( 60 ).

2.5.3Üldmääruse tõlgendamine riiklike andmekaitseasutuste poolt

Üldmääruse keskne eesmärk oli kaotada varasema andmekaitsedirektiivi (direktiiv 95/46/EÜ) kohane killustatud andmekaitsekäsitlus ( 61 ). Andmekaitseasutused tõlgendavad aga andmekaitse põhimõisteid endiselt erinevalt ( 62 ). Sidusrühmad peavad seda peamiseks teguriks, mis takistab üldmääruse järjepidevat kohaldamist ELis. Lahknevate tõlgenduste jätkuv olemasolu tekitab õiguskindlusetust ja suurendab ettevõtjate kulusid (nt nõutakse mitme liikmesriigi puhul erinevaid dokumente), häirides isikuandmete vaba liikumist ELis, takistades piiriülest äritegevust ning pidurdades teadusuuringuid ja innovatsiooni, mida on vaja kiireloomuliste ühiskondlike probleemide lahendamiseks.

Sidusrühmad on välja toonud järgmised konkreetsed probleemid: i) asjaolu, et kolme liikmesriigi andmekaitseasutused on erineval seisukohal selle suhtes, milline on sobiv alus isikuandmete töötlemiseks kliinilise uuringu läbiviimisel; ii) sageli ollakse erineval seisukohal ka selle suhtes, kas üksus on vastutav töötleja või volitatud töötleja, ning iii) mõnel juhul ei järgi andmekaitseasutused andmekaitsenõukogu suuniseid või avaldavad riiklikul tasandil suuniseid, mis on andmekaitsenõukogu suunistega vastuolus ( 63 ). Need probleemid süvenevad, kui ühe liikmesriigi eri andmekaitseasutused tõlgendavad üldmäärust erinevalt.

Mõned sidusrühmad leiavad ka, et teatavad andmekaitseasutused ja andmekaitsenõukogu kiidavad heaks tõlgendusi, millega kaldutakse kõrvale üldmääruse riskipõhisest lähenemisviisist, ning et see tekitab probleeme digitaalmajanduse arengu ( 64 ) ning meedia vabaduse ja mitmekesisuse tagamisel. Nende hinnangul on muret tekitavad valdkonnad järgmised: i) anonüümimise tõlgendamine; ii) õigustatud huvi ja nõusoleku õiguslik alus ( 65 ) ning iii) erandid automatiseeritud töötlusel põhinevate üksikotsuste tegemise keelust ( 66 ). Tuleb meeles pidada, et andmekaitseasutuste ja andmekaitsenõukogu ülesanne on tagada nii füüsiliste isikute kaitse seoses nende isikuandmete töötlemisega kui ka isikuandmete vaba liikumine ELis. Nagu on tunnistatud üldmääruses, ( 67 ) tuleb õigust isikuandmete kaitsele kaaluda vastavalt selle ülesandele ühiskonnas ning tasakaalustada seda muude põhiõigustega vastavalt proportsionaalsuse põhimõttele.

2.5.4Suhtlemine vastutavate töötlejate ja volitatud töötlejatega

Sidusrühmad rõhutavad andmekaitseasutustega konstruktiivse dialoogi pidamise võimaluse kasulikkust, kuna see aitab tagada, et nad täidavad üldmääruse nõudeid kohe algusest peale, eelkõige seoses kujunemisjärgus tehnoloogiatega. Sidusrühmad märgivad, et mõned andmekaitseasutused suhtlevad vastutavate töötlejatega aktiivselt, teised aga reageerivad aeglaselt, annavad ebamääraseid vastuseid või jätavad üldse vastamata ( 68 ).

3Üldmääruse rakendamine liikmesriikides

3.1Siseriiklike rakendusviiside killustatus

Kuigi üldmäärus (kui määrus) on vahetult kohaldatav, kohustab see liikmesriike teatavates valdkondades õigusakte vastu võtma ja annab neile võimaluse täpsustada määruse kohaldamise korda vähestes valdkondades ( 69 ). Kui liikmesriigid võtavad õigusaktid vastu riigi tasandil, peavad nad seda tegema üldmääruses sätestatud tingimustel ja ulatuses. Nagu ka 2020. aastal, märkisid sidusrühmad, et neil on raskusi, mis tulenevad siseriiklike eeskirjade killustatusest, mille tingib liikmesriikide võimalus üldmääruse kohaldamist täpsustada, eelkõige seoses järgmisega:

·vanuse alampiir, mille puhul kehtib lapse nõusolek seoses infoühiskonna teenuste pakkumisega asjaomasele lapsele ( 70 );

·liikmesriigid kehtestavad täiendavad tingimused geneetiliste, biomeetriliste või terviseandmete töötlemiseks ( 71 );

·süüteoasjades süüdimõistvate kohtuotsuste ja kuritegudega seotud isikuandmete töötlemine, ( 72 ) mis tekitab raskusi teatavates reguleeritud sektorites.

Samas on oluline teada, et paljude sidusrühmade andmetel on killustatuse probleem tingitud peamiselt sellest, et andmekaitseasutused tõlgendavad üldmäärust erinevalt, mitte sellest, et liikmesriigid rakendavad vabatahtlikke täpsustavaid sätteid.

Liikmesriigid leiavad, et teatavates piirides võib killustatus olla vastuvõetav ja et üldmääruse täpsustavad sätted on endiselt kasulikud, eelkõige seoses andmete töötlemisega avaliku sektori asutuste poolt ( 73 ). Üldmääruse kohaselt peavad liikmesriigid isikuandmete töötlemisega seotud õigusaktide väljatöötamisel konsulteerima oma riikliku andmekaitseasutusega ( 74 ). FRA aruandes nenditi, et mõned valitsused kehtestavad andmekaitseasutustele väga lühikesed tähtajad ja mõnel juhul nende asutustega ei konsulteeritagi ( 75 ).

3.2Komisjoni tehtav järelevalve

Komisjon jälgib pidevalt üldmääruse rakendamist. Komisjon on algatanud rikkumismenetlusi liikmesriikide vastu seoses selliste küsimustega nagu andmekaitseasutuste sõltumatus (sealhulgas tegutsemine väliste mõjutusteta ja õiguskaitsevahendite kättesaadavus kaebuse läbivaatamata jätmise korral) ( 76 ) ning andmesubjektide õigus kasutada tõhusat õiguskaitsevahendit, kui andmekaitseasutus kaebust ei käsitle ( 77 ). Järelevalve raames palub komisjon ühtlasi esitada andmekaitseasutustel rangelt konfidentsiaalsena korrapäraselt teavet ( 78 ) pooleliolevate suuremahuliste piiriüleste juhtumite kohta, eelkõige selliste juhtumite kohta, mis puudutavad suuri rahvusvahelisi tehnoloogiaettevõtteid.

Komisjon suhtleb liikmesriikidega üldmääruse rakendamise teemal korrapäraselt. Nagu 2020. aasta aruandes kirjas, on komisjon jätkanud üldmäärust käsitleva liikmesriikide eksperdirühma abi kasutamist eesmärgiga ( 79 ) hõlbustada arutelusid ja kogemuste jagamist üldmääruse tõhusa rakendamise teemal. Eksperdirühm on pidanud eriarutelusid järgmistes küsimustes: i) järelevalve kohtute üle, kes täidavad oma õigust mõistvat funktsiooni (üldmääruse artikkel 55; harta artikkel 8); ii) isikuandmete kaitse õiguse ning sõna- ja teabevabaduse õiguse ühitamine (üldmääruse artikkel 85); iii) õigus tõhusale õiguskaitsevahendile järelevalveasutuse vastu (üldmääruse artikkel 78). Eriarutelude järel koostas komisjon ülevaated kõnealuste sätete rakendamise viiside kohta liikmesriikides ( 80 ). Komisjon kasutas eksperdirühma abi ka liikmesriikidega arvamuste vahetamiseks menetlusnorme käsitleva ettepaneku koostamisel.

Samuti hinnatakse liikmesriikide ja komisjoni ühiste Schengeni hindamiste raames, kas siseriiklikud õigusaktid ja tavad vastavad Schengeni ala käsitlevas ELi õiguses sätestatud andmekaitsenormidele. Igal aastal tehakse vähemalt viis kohapealset andmekaitse hindamist, milles keskendutakse suuremahulistele IT-süsteemidele, Schengeni infosüsteemile ja viisainfosüsteemile ning samuti riiklike andmekaitseasutuste kui nende süsteemide järelevalvaja rollile.

Komisjon aitab aktiivselt kaasa sellele, et suur arv juhtumeid jõuaks Euroopa Kohtusse (viimastel aastatel on tehtud ligikaudu 30 eelotsust aastas), kuna kohtulahenditel on määrav roll üldmääruse põhimõistete järjepideva tõlgendamise tagamisel. Euroopa Kohtu üha suurenev kohtulahendite arv on toonud selgust mitmes küsimuses, näiteks järgmise osas: isikuandmete mõiste, ( 81 ) isikuandmete eriliigid, ( 82 ) vastutav töötleja, ( 83 ) nõusolek, ( 84 ) õigustatud huvi, ( 85 ) õigus tutvuda andmetega, ( 86 ) õigus andmete kustutamisele, ( 87 ) õigus hüvitisele, ( 88 ) automatiseeritud töötlusel põhinevate üksikotsuste tegemine, ( 89 ) haldustrahvid, ( 90 ) andmekaitseametnikud, ( 91 ) registrites olevate isikuandmete avaldamine ( 92 ) ja üldmääruse kohaldamine parlamentide tegevuse suhtes ( 93 ).

4Andmesubjekti õigused

Üksikisikud on oma üldmäärusest tulenevatest õigustest üha enam teadlikud ja teostavad neid aktiivselt ( 94 ). Andmekaitseasutused eraldavad märkimisväärsel hulgal vahendeid selleks, et suurendada üldsuse teadlikkust andmekaitsealastest õigustest ja kohustustest, näiteks sotsiaalmeedia ja telekampaaniate, infoliinide, uudiskirjade ja haridusasutustes tehtavate esitluste kaudu ( 95 ). Paljusid neist algatustest on toetatud ELi vahenditest ( 96 ). Euroopa Liidu Põhiõiguste Amet märgib, et kuigi üldsuse teadlikkus andmekaitsest on suurenenud, on arusaam andmekaitsest endiselt puudulik, millest annab tunnistust väheoluliste või põhjendamatute kaebuste suur arv ( 97 ). Selleks et andmesubjektil oleks lihtsam oma õigusi kasutada, on välja töötatud mitu kasutajasõbralikku digivahendit ( 98 ). Seadusandlike aktide ja eelkõige andmehalduse määruse ( 99 ) tulemusena peaks loodama andmesubjektidele täiendavaid võimalusi oma õiguste kasutamiseks tulevikus. Ettevõtjad märgivad, et üha enam kasutatakse õigust andmete kustutamisele, kuid õigust andmete parandamisele ja õigust esitada vastuväiteid seevastu harva.

4.1Õigus tutvuda andmetega

Vastutavad töötlejad märgivad, et andmesubjektid kasutavad kõige sagedamini õigust tutvuda andmetega (üldmääruse artikkel 15). Kuigi andmekaitsenõukogu võttis 2022. aastal vastu kõnealust õigust käsitlevad suunised, teatavad vastutavad töötlejad jätkuvalt probleemidest, mis tekivad näiteks mõiste „põhjendamatud või ülemäärased taotlused“ tõlgendamisel, ( 100 ) kui vastatakse suurele arvule taotlustele ja käsitletakse taotlusi, mis on esitatud muudel kui andmekaitsega seotud eesmärkidel, näiteks kohtumenetluste tarvis tõendite kogumiseks ( 101 ). Kodanikuühiskonna organisatsioonid märgivad, et andmetega tutvumise taotlustele vastatakse sageli viivitusega või mittetäielikult ning seejuures ei ole saadud andmed alati loetavas vormingus ( 102 ). Avaliku sektori asutused viitavad raskustele seoses andmetega tutvumise õiguse ja nende eeskirjade ühitamisega, mis käsitlevad üldsuse juurdepääsu dokumentidele ( 103 ). Seepärast on tervitatav, et andmekaitsenõukogu algatas 2024. aasta veebruaris seoses andmetega tutvumise õigusega koordineeritud täitmise tagamise raamistiku ühismeetme ( 104 ).

4.2Andmete ülekandmise õigus

Komisjon võttis 2020. aasta aruandes kohustuse uurida kooskõlas andmestrateegiaga praktilisi vahendeid, millega hõlbustada andmete ülekandmise õiguse (üldmääruse artikkel 20) ulatuslikumat kasutamist üksikisikute poolt. Pärast seda on komisjon vastu võtnud mitmeid algatusi, mis seda õigust tugevdavad. Nende algatustega lihtsustatakse teenuste vahetamist ja luuakse seeläbi üksikisikutele rohkem valikuvõimalusi, toetades konkurentsi ja innovatsiooni ning võimaldades üksikisikutel saada oma andmete kasutamisest võimalikult suurt kasu. Andmemäärusega antakse nutiseadmete kasutajatele suurem õigus nende seadmete abil loodud andmeid üle kanda ja nähakse ette, et toote konstruktsioon või tootja või andmevaldaja põhiserver peab andmete ülekandmist tehniliselt võimaldama. Digiturgude määruse kohaselt peavad pääsuvalitsejateks nimetatud põhiplatvormiteenuste osutajad tagama kasutajate andmete tõhusa ülekantavuse, sealhulgas pideva ja reaalajas juurdepääsu sellistele andmetele. Mitme muu komisjoni algatusega, mille üle peetakse praegu läbirääkimisi või mille suhtes on jõutud poliitilise kokkuleppeni, näiteks platvormitöö direktiiv, ( 105 ) Euroopa terviseandmeruum ( 106 ) ja finantsandmetele juurdepääsu raamistik, ( 107 ) nähakse ette suuremad andmete ülekandmise õigused konkreetsetes valdkondades.

4.3Õigus esitada kaebus

Kaebuste suur arv annab tunnistust sellest, et õigusest esitada andmekaitseasutusele kaebus ollakse suuresti teadlikud. Kodanikuühiskonna organisatsioonid juhivad tähelepanu põhjendamatutele erinevustele liikmesriikide kaebuste käsitlemise tavades; selle probleemiga tegeletakse menetlusnorme käsitlevas komisjoni ettepanekus. Vaid mõned liikmesriigid on kasutanud üldmääruse kohast võimalust anda mittetulundusühingule õigus võtta meetmeid andmesubjekti volitustest sõltumatult (artikli 80 lõige 2). 2020. aastal vastu võetud esindushagide direktiiv ( 108 ) tagab selle koha pealt suurema ühtluse, hõlbustades üksikisikute kollektiivhagide esitamist üldmääruse rikkumise korral. Direktiivi rakendamiseks kehtestatud siseriiklikke meetmeid hakati kohaldama 2023. aasta juunis.

4.4Laste isikuandmete kaitse

Lapsed vajavad isikuandmete töötlemisega seoses erikaitset ( 109 ). Üldmäärus on osa terviklikust õigusraamistikust, millega tagatakse laste kaitse nii internetis kui ka päriselus ( 110 ). Võttes arvesse laste internetikasutuse suurenemist, on ELi ja liikmesriikide tasandil võetud viimastel aastatel mitmeid meetmeid eesmärgiga toetada laste kaitset internetis. Andmekaitseasutused on määranud sotsiaalmeediaettevõtjatele märkimisväärses suuruses trahve üldmääruse rikkumise eest laste andmete töötlemisel. Andmekaitseasutused teevad ka koostööd teiste ametiasutustega, et kutsuda üles paremini kaitsma lapsi reklaamivaldkonnas. 2020. aasta aruandes kutsus komisjon andmekaitsenõukogu üles võtma vastu laste andmete töötlemist käsitlevad suunised ja nende väljatöötamist on alustatud ( 111 ). Digiteenuste määrus sisaldab erisätteid, mille eesmärk on tagada digiplatvorme kasutavate laste eraelu puutumatuse, ohutuse ja turvalisuse kõrge tase.

Mõned sidusrühmad on andnud teada, et andmesubjektide õiguste kasutamisel esineb probleeme, kui andmesubjektid on lapsed. Eelkõige märgivad nad, et lapsed ei mõista oma õigusi täielikult, neil jääb vajaka digikirjaoskusest ja neid võidakse lubamatult mõjutada ( 112 ). Komisjon on rahastanud mitut riikliku tasandi algatust, millega käsitletakse laste andmete kaitset ja laste andmekaitsealase teadlikkuse suurendamist ( 113 ). Lastele parema interneti loomise strateegia (BIK+) raames näeb komisjon ette vahendid ja koolitused, mille abil suurendada laste teadlikkust nende digitaalõigustest, sealhulgas andmekaitsest (nt digitaalne nõusolek) ( 114 ). Üha enam pööratakse tähelepanu vajadusele tagada tulemuslikud ja eraelu puutumatuse põhimõtet austavad vanusekontrolli vahendid. Komisjon moodustas 2024. aasta alguses digiteenuste määruse alusel vanusekontrolli rakkerühma koos liikmesriikide, andmekaitsenõukogu ja audiovisuaalmeedia teenuste Euroopa regulaatorasutuste rühmaga, et arutada ja toetada kogu ELi hõlmava lähenemisviisi väljatöötamist vanusekontrollile. See töö jätkub nüüd Euroopa digiteenuste nõukoja egiidi all alaealiste kaitse töörühmas. Mais 2024 jõustunud ELi digiidentiteedi määruse ( 115 ) kontekstis teeb komisjon tööd tagamaks, et aastal 2026 pakutakse kõigile ELi kodanikele ja residentidele Euroopa digiidentiteedikukrut muu hulgas vanuse kontrollimiseks. Seniks, kui kukru ökosüsteem saab täielikult töövalmis, töötatakse välja vanuse kontrollimise lühiajaline lahendus, mis tehakse kättesaadavaks kogu ELis.

5Organisatsioonide, eelkõige VKEde võimalused ja probleemid

Üldmäärusega on loodud siseturul tegutsevatele ettevõtjatele võrdsed tingimused ning selle tehnoloogianeutraalne ja innovatsiooni soosiv lähenemisviis võimaldab ettevõtjatel vähendada bürokraatiat ja saada kasu tarbijate suuremast usaldusest ( 116 ). Paljud ettevõtjad on kujundanud oma ettevõttes välja andmekaitsekultuuri ning peavad eraelu puutumatuse ja andmekaitse tagamist olulisteks konkurentsiteguriteks. Ettevõtjad hindavad üldmääruse riskipõhist lähenemisviisi kui juhtpõhimõtet, mis võimaldab paindlikkust ja skaleeritavust nende kohustuste täitmisel ( 117 ).

5.1Abivahendid ettevõtjatele

Üldmääruses on ette nähtud hulk vahendeid, mis võimaldavad organisatsioonidel paindlikult hallata ja tõendada nõuete täitmist, sealhulgas toimimisjuhendid, sertifitseerimissüsteemid ja lepingu tüüptingimused. Nagu 2020. aasta aruandes teatati, võttis komisjon 2021. aastal vastu vastutava töötleja ja volitatud töötleja vahelisi suhteid käsitlevad lepingute tüüptingimused ( 118 ). Nende lepingu tüüptingimuste näol on tegu kasutusvalmis ja kergesti rakendatava vabatahtliku nõuete täitmise vahendiga, mis on eriti kasulik VKEdele või organisatsioonidele, kellel ei pruugi olla vahendeid äripartneritega üksiklepingute üle läbirääkimiste pidamiseks. Ettevõtjate tagasiside lepingu tüüptingimuste kasutamise kohta on erinev: kui mõned ettevõtjad (peamiselt VKEd) kasutavad neid täielikult või osaliselt, siis teised (peamiselt suuremad ettevõtjad) pigem üldse mitte, sest nad eelistavad kasutada oma tingimusi.

Ettevõtjad rõhutavad, et toimimisjuhenditel on suur potentsiaal sektoripõhise ja kulutõhusa nõuete täitmise vahendina ( 119 ). Sellele vaatamata on toimimisjuhendeid välja töötatud vähe ( 120 ). Praeguseks kättesaadava teabe kohaselt on heaks kiidetud ainult kaks kogu ELi hõlmavat toimimisjuhendit (mõlemad pilvandmetöötluse valdkonnas), riiklikul tasandil on heaks kiidetud aga kuus toimimisjuhendit ( 121 ). Sidusrühmade andmetel on peamised toimimisjuhendite kasutuselevõttu takistavad tegurid koormavad nõuded (sh vajadus luua akrediteeritud järelevalveasutus), andmekaitseasutuste vähene osalemine ja pikk heakskiitmisprotsess ( 122 ).

Vaja on tagada protsessi suurem läbipaistvus ja selged heakskiitmise tähtajad. Andmekaitseasutused ja kogu ELi hõlmavate toimimisjuhendite puhul andmekaitsenõukogu peaksid aktiivsemalt julgustama asjaosalisi toimimisjuhendeid koostama, tehes koostööd toimimisjuhendeid välja töötatavate ühendustega. See aitab lahendada erineva tõlgendamise probleemi ja kiirendada heakskiitmisprotsessi. Sidusrühmad peavad kahetsusväärseks toimimisjuhendite vastuvõtmisel esinevaid pikki viivitusi, mis on tingitud suuniste väljatöötamise ajal paralleelselt arutatavatest probleemidest. Ka ettevõtjate andmetel et kasutata sertifitseerimist laialdaselt, sest väljatöötamisprotsess on aeglane ja keeruline. Andmekaitseasutused peaksid nii nagu toimimisjuhendite puhulgi kehtestama sertifikaatide läbivaatamiseks ja heakskiitmiseks selgemad tähtajad.

Andmekaitsenõukogu võttis oma 2024.–2027. aasta strateegias kohustuse jätkata selliste vastavusmeetmete toetamist nagu sertifitseerimine ja toimimisjuhendid, sealhulgas tehes koostööd peamiste sidusrühmadega, et selgitada, kuidas neid vahendeid saab kasutada ( 123 ).

5.2VKEde ja väikeettevõtjate iseloomulikud probleemid

2020. aasta aruandes kutsus komisjon üles tegema suuremaid jõupingutusi selle nimel, et toetada VKEsid üldmääruse nõuete täitmisel. Viimastel aastatel on andmekaitseasutused ja andmekaitsenõukogu jätkanud VKEde jaoks nõuete täitmise vahendite väljatöötamist, mida osaliselt toetatakse komisjoni rahastusega ( 124 ). 2023. aasta aprillis avaldas andmekaitsenõukogu väikeettevõtjatele ette nähtud andmekaitsejuhendi, ( 125 ) milles antakse VKEdele ligipääsetavas ja kergesti arusaadavas vormis praktilist teavet.

Paljude liikmesriikide VKEd rõhutavad kohalikelt andmekaitseasutustelt saadava sihipärase toetuse eeliseid. Andmekaitseasutuste erinevad lähenemisviisid teadlikkuse suurendamisel ja suuniste andmisel tähendavad aga seda, et teatavate liikmesriikide VKEd tajuvad nõuete täitmist keeruka ülesandena ja kardavad täitemeetmeid ( 126 ). Andmekaitseasutused peaksid oluliselt suurendama nende probleemide lahendamiseks tehtavaid jõupingutusi, sealhulgas VKEsid ennetavalt kaasates, et hajutada nõuete täitmisega seotud põhjendamatuid kõhklusi. Andmekaitseasutused peaksid keskenduma sihipärase toetuse ja selliste praktiliste vahendite pakkumisele nagu dokumendivormid (nt andmekaitsealaste mõjuhinnangute tegemiseks), infoliinid, illustreerivad näited, kontrollnimekirjad, samuti suunised konkreetsete töötlemistoimingute (nt arvete esitamine või uudiskirjade saatmine) ning tehniliste ja korralduslike meetmete kohta. Kuna enamikul VKEdest puudub ettevõttesisene andmekaitsealane oskusteave, peaksid kõik VKEdele ette nähtud suunised olema kergesti mõistetavad ka õigusalase hariduseta inimestele ( 127 ).

Kooskõlas üldmääruse riskipõhise lähenemisviisiga ei ole väikese riskiga töötlemistoiminguid tegevatel VKEdel märkimisväärset nõuete täitmisega seotud koormust. Töötlemistoimingute kohta andmete säilitamise nõude suhtes kohaldatakse ( 128 ) erandit vähestel juhtudel ( 129 ) ning samas saavad väikese riskiga töötlemistoiminguid tegevad VKEd täita nõudeid, kasutades lihtsustatud dokumenteerimisviisi, mis põhineb andmekaitseasutuste antud vormidel. Pealegi tuleks kõnealustesse andmetesse suhtuda kui VKEdele kasulikku vahendisse, mis võimaldab saada töötlustoimingutest ülevaate.

5.3Andmekaitseametnikud

Andmekaitseametnikel on oluline roll üldmääruse nõuete täitmise tagamisel organisatsioonides, kus nad töötavad. Üldiselt on ELis tegutsevatel andmekaitseametnikel üldmäärusest tulenevate ülesannete täitmiseks vajalikud teadmised ja oskused ning nende sõltumatuse põhimõtet asutatakse ( 130 ). Mõned probleemid on siiski veel lahendamata, sealhulgas järgmised: i) raskused nõutavate eriteadmistega andmekaitseametnike ametisse nimetamisel; ii) kogu ELis kehtivate haridus- ja koolitusstandardite puudumine; ii) suutmatus andmekaitseametnikke piisaval moel organisatsiooni protsessidesse lõimida; iv) vahendite puudus; v) andmekaitsega mitteseotud lisaülesanded ning vi) ebapiisav ametis oldud aeg ( 131 ). Andmekaitsenõukogu märkis, et andmekaitseasutused peavad tõhustama oma teadlikkuse suurendamise tegevust ning teavitus- ja täitmise tagamise meetmeid, tagamaks, et andmekaitseametnikud saavad täita neile üldmäärusega pandud ülesannet ( 132 ).

6Üldmäärus kui ELi digivaldkonna poliitika nurgakivi

6.1Üldmäärusele tuginev digivaldkonna poliitika

Komisjon võttis 2020. aasta aruandes kohustuse toetada andmekaitseraamistiku järjepidevat kohaldamist uute tehnoloogiate suhtes eesmärgiga edendada innovatsiooni ja tehnoloogia arengut. Pärast seda on EL võtnud vastu mitmeid algatusi, millest mõned täiendavad üldmäärust või täpsustavad, kuidas seda tuleks konkreetsetes valdkondades konkreetsete eesmärkide saavutamiseks kohaldada; neid algatusi on kirjeldatud allpool.

·Digiteenuste määrusega, ( 133 ) mille eesmärk on tagada üksikisikutele ja ettevõtjatele turvaline internetikeskkond, keelatakse digiplatvormidel esitada reklaame, mis põhinevad profiilianalüüsil, mille puhul kasutatakse „isikuandmete eriliike“ üldmääruse mõistes.

·Selleks et muuta digiturud õiglasemaks ja konkurentsile avatumaks, on digiturgude õigusaktiga ( 134 ) keelatud pääsuvalitsejateks määratud ettevõtjatel nende põhiplatvormiteenuste ja muude teenuste vaheline isikuandmete kombineerimine ja ristkasutamine, välja arvatud juhul, kui kasutaja on selleks andnud oma nõusoleku üldmääruse tähenduses.

·Tehisintellektimääruses ( 135 ) sätestatakse sellistes valdkondades kehtivad ELi andmekaitse-eeskirjad, mille puhul kasutatakse tehisintellekti, näiteks biomeetrilise kaugtuvastamise süsteemid, eri liiki andmete töötlemine kallutatuse tuvastamiseks ja isikuandmete edasine töötlemine regulatiivliivakastis.

·Platvormitööd käsitlev direktiiv ( 136 ) täiendab üldmäärust tööhõive valdkonnas, kehtestades normid digitaalsete tööplatvormide kasutatavate automaatsete seire- ja otsustussüsteemide kohta, eelkõige seoses isikuandmete töötlemise piirangute, läbipaistvuse, inimjärelevalve ja -kontrolli ning ülekantavusega.

·Poliitreklaami käsitleva määrusega ( 137 ) keelatakse poliitreklaami tegemisel isikuandmete eriliikide kasutamine ning nõutakse kasutatavate suunamis- ja võimendamismeetodite suurema läbipaistvuse tagamist.

·Euroopa digiidentiteedi määrus võimaldab luua universaalse, usaldusväärse ja turvalise Euroopa digiidentiteedikukru. See võimaldab üksikisikutel tõendada selliseid isiklikke atribuute, nagu vanus, juhiload, diplomid ja pangakontod, nii et neil säilib täielik kontroll oma isikuandmete üle ja ilma et nad peaksid andmeid tarbetult jagama.

Mitu aastat on peetud läbirääkimisi e-privaatsuse määruse ettepaneku ( 138 ) üle, millega asendatakse kehtiv e-privaatsuse direktiiv ( 139 ) ning täiendatakse eraelu puutumatust ja andmekaitset käsitlevat õigusraamistikku. Vaja on arutada selle algatuse järgmisi etappe, sealhulgas selle seost üldmäärusega.

Koostalitleva Euroopa määruse ( 140 ) eesmärk on muuta avalikud digiteenused ELis koostalitlusvõimeliseks. See toetab andmekaitseasutuste koostööd, eelkõige koostalitlusvõime regulatiivliivakastide kaudu.

Mitu ELi algatust pakuvad õiguslikku alust isikuandmete töötlemiseks eraõiguslike üksuste poolt kuritegude tõkestamiseks, uurimiseks, avastamiseks ja nende eest vastutusele võtmiseks. Kõik sellised õigusaktid peavad olema sihipäraselt koostatud, et minimeerida isikuandmete kaitse õiguse riivet, ja proportsionaalsed taotletava eesmärgiga ( 141 ). Harta, üldmäärus ja Euroopa Kohtu praktika on õigusraamistik, mille alusel tuleks neid algatusi hinnata. Kavandatav rahapesuvastane pakett ( 142 ) näeb ette olulised isikuandmete kaitse meetmed, ilma et see kahjustaks võimalust saavutada eesmärk vähendada rahapesu ja terrorismi rahastamise riski ning avastada tõhusalt püüded väärkasutada liidu finantssüsteemi kuritegelikel eesmärkidel.

Sellega seoses on nõukogu rõhutanud, et kõik uued ELi õigusaktid, mis sisaldavad sätteid isikuandmete töötlemise kohta, peaksid olema kooskõlas üldmääruse ja Euroopa Kohtu praktikaga.

6.2Õigusraamistik andmete jagamise tõhustamiseks

Andmestrateegia eesmärk on luua ühtne andmeturg, kus andmed liiguvad ELis ja sektorite vahel vabalt, et sellest saaksid kasu nii ettevõtjad, teadlased kui ka haldusasutused. Andmestrateegia peamine eesmärk on luua ühtsed Euroopa andmeruumid, mis hõlbustavad andmete koondamist, neile juurdepääsu ja nende jagamist. Isikuandmete puhul näeb üldmäärus ette raamistiku kõigile algatustele, mille abil püütakse edendada andmete vaba liikumist ELis, mis on iseenesest ka üks üldmääruse eesmärke. Mis puutub isikuandmetesse, siis üldmääruses sätestatud kaitset ei käsitleta.

Andmestrateegia tugisambad on andmehalduse määrus ( 143 ) ja andmemäärus ( 144 ). Andmehalduse määruses on ette nähtud konkreetsed eeskirjad isikuandmeid sisaldavate avaliku sektori andmete taaskasutamise kohta ja on sätestatud õigusraamistik, mis käsitleb andmevahendusteenuseid, sealhulgas isikuandmete haldamise teenuseid või isikuandmete pilvandmetöötlusteenuseid, mille eesmärk on anda andmesubjektidele võimalus kasutada oma üldmäärusest tulenevaid õigusi. Samuti on selles sätestatud tingimused andmete kasutamiseks altruistlikel eesmärkidel. Andmemäärusega tugevdatakse andmesubjektide kontrolli nende andmete üle, mille nad loovad nende omanduses olevaid, renditud või liisitud arukaid seadmeid kasutades, kehtestades tehnilised nõuded andmetele juurdepääsu ja nende ülekantavuse kohta.

Euroopa ühtne terviseandmeruum ( 145 ) arvestab terviseandmete sektoris kindlaks tehtud erivajadusi, tuginedes samas ka üldmäärusele. See võimaldab üksikisikutel pääseda kergesti ligi oma terviseandmetele elektroonilisel kujul ja jagada neid tervishoiutöötajatega, sealhulgas teistes liikmesriikides, misläbi paraneb tervishoiuteenuste osutamine ja suureneb patsientide kontroll oma andmete üle. Samuti kehtestatakse sellega ühine õigusraamistik terviseandmete taaskasutamiseks teadusuuringute, innovatsiooni ja rahvatervise eesmärkidel terviseandmetele juurdepääsu asutuse väljastatud loa alusel. Isikuandmete kaitse tagamiseks pakub Euroopa ühtne terviseandmeruum usaldusväärset keskkonda, mille kaudu terviseandmetele turvaliselt juurde pääseda ja neid töödelda. Komisjon jätkab Euroopa ühtse andmeruumi arendamise toetamist 14 sektoris, rakendades uut õigusraamistikku ja rahastades sektoripõhiseid algatusi.

6.3Uute digieeskirjade haldamine

Digivaldkonna õigusaktide väljatöötamine tingib vajaduse tiheda reguleerimisalase koostöö järele ( 146 ). Niisugune koostöö on seda vajalikum, et andmekaitseküsimused on üha enam põimunud näiteks konkurentsiõiguse, tarbijaõiguse, digiturgude õigusnormide, elektroonilise side reguleerimise ja küberturvalisuse küsimustega. Nii on see näiteks siis, kui hinnatakse mudelite „maksa või nõustu“ vastavust ELi õigusele.

Mõnel juhul on andmekaitseasutustele pandud ülesanne jõustada uute ELi digivaldkonna õigusaktide konkreetsed sätted ( 147 ). Digivaldkonna uute õigusnormidega luuakse ka kohandatud struktuurid, mis koondavad sidusa jõustamise tagamiseks pädevad reguleerivad asutused, nagu digiturgude määruse kõrgetasemeline töörühm, Euroopa Andmeinnovatsiooninõukogu (loodud andmehaldusmääruse alusel) ja Euroopa digiteenuste nõukoda (loodud digiteenuste määruse alusel). Küberturvalisuse 2. direktiivis ( 148 ) on sätestatud üksikasjalikumad õigusnormid reguleerivate asutuste ja andmekaitseasutuste vahelise koostöö kohta isikuandmetega seotud rikkumistena käsitatavate turvaintsidentide käsitlemisel.

Väljaspool neid ametlikke struktuure võtavad andmekaitseasutused meetmeid tagamaks, et nende tegevus on teiste reguleerimisvaldkondade suhtes täiendav ja sidus. 2020. aasta juulis moodustasid tarbijakaitse- ja andmekaitseasutused vabatahtlike rühma eesmärgiga teha kindlaks parimad tavad ja jagada jõustamisalaseid kogemusi. Andmekaitseasutused jätkavad osalemist ühisseminaridel tarbijakaitsealase koostöö võrgustikuga. 2023. aastal moodustas andmekaitsenõukogu andmekaitse-, konkurentsiõiguse ja tarbijakaitse koosmõju rakkerühma.

Selline areng on küll positiivne, kuid vaja on struktureeritumaid ja tõhusamaid koostöövahendeid, eelkõige selleks, et tegeleda olukordadega, mis mõjutavad paljusid üksikisikuid ELis ja millega on seotud mitu reguleerivat asutust ( 149 ). Kõik sellised struktuurid peaksid tagama, et ametiasutused vastutavad alati kõigi oma pädevusvaldkonda kuuluvate õigusnormide järgimisega seotud küsimuste eest. Samuti peaksid liikmesriigid tegema tööd selle nimel, et tagada asjakohane koostöö riiklikul tasandil ( 150 ).

7Rahvusvaheline andmeedastus ja üleilmne koostöö

7.1Üldmääruse kohased andmete edastamise vahendid

Andmevoogudest on saanud ühiskonna digipöörde ja majanduse globaliseerumise lahutamatu osa. Eraelu puutumatuse põhimõtte austamine on praegu enam kui eales varem stabiilsete, turvaliste ja konkurentsivõimeliste kaubavoogude ning paljude rahvusvahelise koostöö vormide võimaldamise eeltingimus. Üldmääruse V peatükis esitatud andmeedastusvahendid hõlmavad mitmesuguseid vahendeid, mille abil käsitleda eri andmeedastusstsenaariume, tagades samal ajal EList välja liikuvate andmete kõrgetasemelise kaitse säilimise.

Pärast 2020. aasta aruande avaldamist on ELi andmekaitsealastes õigusaktides sätestatud andmeedastusnõudeid veelgi selgitatud ning andmeedastusvahendeid edasi arendatud. Üks oluline selgitus puudutab mõistet „rahvusvaheline edastamine“, mis on andmekaitsenõukogu määratluse ( 151 ) kohaselt isikuandmete mis tahes avalikustamine sellise vastutava töötleja või volitatud töötleja poolt, kelle töötlemise suhtes kohaldatakse üldmäärust, teisele vastutavale töötlejale või volitatud töötlejale kolmandas riigis, olenemata sellest, kas viimase poolt isikuandmete töötlemise suhtes kohaldatakse üldmäärust või mitte ( 152 ). See andmekaitsenõukogu suunis oli iseäranis oluline, et tagada Euroopa vastutavatele töötlejatele ja volitatud töötlejatele õiguskindlus stsenaariumide osas, mille puhul on vaja üldmääruse V peatüki kohast andmeedastusvahendit.

Ka Euroopa Kohus on andnud kohtuasjas Schrems II ( 153 ) tehtud otsuses täiendavaid selgitusi kaitse kohta, mis tuleb tagada erinevate edastamisvahenditega, et kindlustada üldmäärusega ette nähtud kaitse taseme säilimine ( 154 ). Eelkõige peavad need vahendid tagama, et isikutele, kelle andmeid edastatakse väljapoole ELi, tagatakse sellisel tasemel kaitse, mis on sisuliselt samaväärne ELis tagatava kaitsega ( 155 ). ELi andmeeksportijal lasub kohustus hinnata, kas see on nii, võttes arvesse tema andmeedastustega seotud konkreetseid asjaolusid ( 156 ).

Kaitsetaseme hindamisel peavad andmeeksportijad võtma arvesse nii ELi-välise andmeimportijaga kokku lepitud andmeedastusvahendit käsitlevas dokumendis (nt leping) sätestatud andmekaitsemeetmeid kui ka andmeimportija asukohariigi õigussüsteemi asjakohaseid aspekte, eelkõige seoses selle riigi ametiasutuste võimaliku juurdepääsuga andmetele ( 157 ). Viimast tuleb hinnata üldmääruse artiklis 45 sätestatud kaitse piisavuse hindamise kriteeriumide alusel. Neid kriteeriume käsitles täpsemalt ka Euroopa Kohus, eelkõige seoses õigusnormidega, mis käsitlevad avaliku sektori asutuste juurdepääsu isikuandmetele õiguskaitse ja riikliku julgeoleku eesmärkidel.

Seda tõlgendust on kajastatud ka andmekaitsenõukogu suunistes, millega ajakohastati andmekaitsenõukogu piisavuse viitedokumenti ( 158 ) (selles anti suuniseid elementide kohta, mida komisjon peab kaitse piisavuse hindamisel arvesse võtma). Andmekaitsenõukogu võttis samuti vastu uued suunised, milles selgitatakse täiendavalt järgmist: i) elemendid, mida üksikud andmeeksportijad peavad kaitsetaseme hindamisel arvesse võtma; ii) ülevaade võimalikest kasutatavatest allikatest ning iii) võimalike täiendavate meetmete näited (nt lepingulised ja tehnilised kaitsemeetmed) ( 159 ). Suunistes rõhutatakse konkreetselt, et andmeeksportijate iga hindamine on isemoodi ning et seega tuleb arvesse võtta iga edastamise eripära, kuna edastus võib erineda sõltuvalt andmete edastamise eesmärgist, asjaomaste üksuste liigist, sektorist, kus edastamine toimub, edastatavate isikuandmete liigist jne. ( 160 ).

Võttes arvesse neid erinevaid selgitusi andmete rahvusvahelise edastamise nõuete kohta, on viimastel aastatel astutud märkimisväärseid samme üldmääruse andmeedastusvahendite edasiarendamiseks ja kasutuselevõtu edendamiseks.

7.1.1Kaitse piisavuse otsused

Nagu nähtub ka sidusrühmadelt saadud tagasisidest, on kaitse piisavuse otsused üldmääruse andmeedastusvahendite puhul endiselt keskse tähtsusega, ( 161 ) sest need pakuvad andmeedastuseks lihtsat ja terviklikku lahendust, ilma et andmeeksportijal oleks vaja tagada täiendavaid kaitsemeetmeid või hankida luba. Võimaldades isikuandmete vaba liikumist, on need otsused avanud ELi ettevõtjatele kaubanduskanaleid, sealhulgas täiendanud ja suurendanud kaubanduslepingutest tulenevaid eeliseid ning lihtsustanud koostööd välispartneritega mitmesugustes valdkondades, alates õigusküsimustest kuni teadusuuringuteni.

Pärast 2020. aasta aruande avaldamist on kasvanud veelgi nende riikide arv, kes on kehtestanud ajakohased andmekaitseseadused, milles on muu hulgas esitatud peamised andmekaitsepõhimõtted, üksikisiku õigused ja sõltumatute reguleerivate asutuste suhtes kehtiv tulemusliku täitmise tagamise kord. See suundumus ( 162 ) on võimaldanud ka komisjonil hoogustada tööd kaitse piisavuse valdkonnas. See hõlmab Ühendkuningriigi kohta kaitse piisavuse otsuse vastuvõtmist, ( 163 ) mis on keskse tähtsusega Brexiti järel Ühendkuningriigiga sõlmitud eri lepingute nõuetekohase täitmise tagamisel. Kaitse piisavuse otsuse tulevikukindluse tagamiseks on otsusele lisatud aegumisklausel, mille kohaselt kaotab otsus kehtivuse 2025. aastal, pärast mida võib seda pikendada, kui kaitsetase on endiselt piisav. Komisjon võttis vastu ka Korea Vabariigi kaitse piisavuse otsuse, ( 164 ) mis täiendab ELi ja Korea vahelist vabakaubanduslepingut isikuandmete liikumise osas ja hõlbustab regulatiivset koostööd. Kaitse piisavuse otsuse esimene läbivaatamine on kavandatud 2024. aasta lõppu.

Lisaks alustas komisjon pärast ELi-USA andmekaitseraamistiku Privacy Shield kaitse piisavuse otsuse kehtetuks tunnistamist läbirääkimisi Ameerika Ühendriikide valitsusega, et töötada välja järgmine kokkulepe kooskõlas Euroopa Kohtu selgitatud nõuetega ( 165 ). USA president võttis vastu uue korralduse Ameerika Ühendriikide signaaliluuretegevuse kaitsemeetmete tõhustamise kohta, millega kehtestati uued siduvad ja täitmisele kuuluvad kaitsemeetmed, et tagada riikliku julgeoleku eesmärkidel andmetele juurdepääs üksnes vajalikus ja proportsionaalses ulatuses ning tõhusate õiguskaitsevahendite kättesaadavus eurooplastele. Selle alusel võttis komisjon vastu ELi-USA andmekaitseraamistiku kaitse piisavuse otsuse, ( 166 ) mis võimaldab isikuandmete vaba liikumist EList nendele USA äriühingutele, kes ühinevad andmekaitseraamistikuga. Kuna USA valitsuse kehtestatud kaitsemeetmeid riikliku julgeoleku valdkonnas kohaldatakse alati, kui andmeid edastatakse USAs asuvatele äriühingutele, olenemata kasutatavast üldmääruse andmeedastusmehhanismist, on muude vahendite, näiteks lepingu tüüptingimuste ja siduvate ettevõtluseeskirjade kasutamist märkimisväärselt hõlbustatud. 2024. aasta suvel vaadatakse andmekaitseraamistiku toimimine esimest korda läbi, et kontrollida, kas kõik asjakohased elemendid on USA õigusraamistikus täielikult rakendatud ja kas need toimivad tõhusalt.

Praegu on pooleli kaitse piisavuse alased läbirääkimised Brasiilia ja Keeniaga ning esimest korda mitme rahvusvahelise organisatsiooniga (näiteks on kaitse piisavuse arutelu lõppjärgus Euroopa Patendiorganisatsiooniga) ( 167 ). Pidades silmas ka eri sidusrühmade üleskutseid, ( 168 ) on komisjon aktiivselt osalenud maailma eri piirkondade riikidega peetud ettevalmistavates kõnelustes.

Komisjon jälgib pidevalt olukorra arengut ka riikides, mille puhul on järeldus kaitse piisavuse kohta juba tehtud, ning vaatab kehtivad otsused korrapäraselt läbi kooskõlas oma vastavate üldmäärusest tulenevate kohustustega ( 169 ). 2023. aasta aprillis võttis komisjon vastu Jaapani kaitse piisavuse otsuse esimest korrapärast läbivaatamist käsitleva aruande, ( 170 ) milles jõuti järeldusele, et Jaapanis on piisav kaitsetase endiselt tagatud ( 171 ). Läbivaatamine näitas, et ELi ja Jaapani andmekaitseraamistikke on pärast vastastikuste kaitse piisavuse otsuste vastuvõtmist veelgi ühtlustatud.

Lisaks algatati kooskõlas üldmääruse artikliga 97 üldmääruse kohaldamise ja toimimise 2020. aasta hindamise raames eelmise ELi andmekaitseraamistiku (andmekaitsedirektiiv) alusel vastu võetud 11 kaitse piisavuse otsuse esimene läbivaatamine ( 172 ). Läbivaatamise selle aspekti osas lükati lõpuleviimine edasi – eelkõige selleks, et võtta arvesse Euroopa Kohtu otsust kohtuasjas Schrems II ja sellele järgnenud andmekaitsenõukogu tõlgendust. Eespool nimetatud Euroopa Kohtu selgitused kaitse piisavuse nõude põhielementide kohta tõid kaasa üksikasjaliku teabevahetuse asjaomaste riikide ja territooriumidega nende õigusraamistiku asjakohaste aspektide ning järelevalve- ja täitmise tagamise mehhanismide teemal.

15. jaanuaril 2024 avaldas komisjon oma aruande nende 11 otsuse kohta koos üksikasjalike riigiaruannetega, milles kirjeldatakse iga riigi ja territooriumi olukorra arengut alates kaitse piisavuse otsuste vastuvõtmisest, ning õigusnorme, mida kohaldatakse avaliku sektori asutustele isikuandmetele juurdepääsu andmise suhtes, eelkõige kui seda tehakse õiguskaitse ja riikliku julgeoleku eesmärkidel ( 173 ). Aruandes jõutakse järeldusele, et kõik 11 riiki ja territooriumi tagavad endiselt EList edastatud isikuandmete piisaval tasemel kaitse. See näitab, et kõik asjaomased riigid ja territooriumid on oma eraelu puutumatust käsitlevat õigusraamistikku mitmel viisil ajakohastanud ja tugevdanud. Lisaks on kaitse taseme erinevuste kaotamiseks peetud mõnega neist läbirääkimisi ja lepitud kokku täiendavates kaitsemeetmetes Euroopast edastatavate isikuandmete jaoks, kui see on olnud vajalik selle tagamiseks, et kaitse piisavuse otsus jääks kehtima.

Kõnealused läbivaatamised näitavad ka seda, et kaitse piisavuse otsused ei ole nn lõpp-punkt, vaid loovad pigem aluse ELi ja nende sarnaselt meelestatud partnerite koostöö tihendamisele ja õigusnormide täiendavale ühtlustamisele. Näiteks tunnistatakse Jaapani kaitse piisavuse otsuse esimest läbivaatamist käsitlevas aruandes, et Jaapani andmekaitseraamistiku edasine tugevdamine võib luua aluse laiendada kaitse piisavuse otsuse haaret väljapoole kaubavahetusvaldkonda, nii et see hõlmaks ka praegu selle kohaldamisalast välja jäetud edastamisi, näiteks regulatiivse koostöö ja teadusuuringute valdkonnas. Kõnelused kohaldamisala sellise võimaliku laiendamise üle on pooleli. Üldiselt on kaitse piisavuse otsustest saanud ELi ja tema välispartnerite vaheliste üldiste suhete strateegiline osa ning neid peetakse oluliseks teguriks, mis võimaldab koostöö laiendamist paljudes valdkondades.

Selliste riikide ja territooriumide võrgustiku kasv, mille kohta EL on vastu võtnud kaitse piisavuse otsuse, ei loo mitte ainult tugevat alust tihedamale kahepoolsele koostööle, vaid tähendab ka uusi võimalusi suurendada turvalistest ja vabadest andmevoogudest saadavat kasu ning teha sarnaselt meelestatud partneritega andmekaitse-eeskirjade täitmise tagamisel tihedamat koostööd. Seepärast korraldas komisjon 2024. aasta märtsis esimese turvalisi andmevooge käsitleva kõrgetasemelise kohtumise, millest võtsid osa vastutavad ministrid ja andmekaitseasutuste juhid 15 riigist ja territooriumilt, mille kohta EL on vastu võtnud kaitse piisavuse otsuse, ning Euroopa Andmekaitsenõukogu eesistuja ( 174 ). Kohtumisel nimetati mitu konkreetset meedet, millega seotud järeltöö kõnealuses rühmas praegu veel käib.

Üldisemalt on Euroopa Komisjoni vastu võetud kaitse piisavuse otsused tänu võrguefektile aina olulisemad ka väljaspool ELi, kuna need ei võimalda andmete vaba liikumist mitte üksnes 30 EMP riigi majanduse puhul, vaid ka paljude teiste jurisdiktsioonide puhul, kes peavad riike, mille kohta EL on teinud kaitse piisavuse otsuse, oma andmekaitse-eeskirjade alusel turvaliseks sihtkohaks ( 175 ).

7.1.2Vahendid asjakohaste kaitsemeetmete tagamiseks

Pärast 2020. aasta aruande avaldamist on välja töötatud täiendavad vahendid asjakohaste kaitsemeetmete tagamiseks ning välja antud praktilised suunised nende kasutamise hõlbustamiseks.

Nagu 2020. aasta aruandes teatavaks tehti, on komisjon vastu võtnud ajakohastatud lepingu tüüptingimused, ( 176 ) mis põhinevad suurel määral erinevatelt sidusrühmadelt saadud tagasisidel ( 177 ). Uute lepingu tüüptingimustega asendati andmekaitsedirektiivi alusel vastu võetud kolm lepingu tüüptingimuste kogumit. Peamised uuendused on järgmised: i) üldmäärusega kooskõlas ajakohastatud kaitsemeetmed; ii) moodulipõhine lähenemisviis, mis tagab paljusid andmeedastusstsenaariume hõlmava ühtse kontaktpunkti; iii) osaliste jaoks suurem paindlikkus lepingu tüüptingimuste kasutamisel ning iv) praktilised vahendid kohtuasjas Schrems II tehtud otsusest tulenevate nõuete täitmiseks.

Sidusrühmad on ajakohastatud lepingu tüüptingimused heaks kiitnud ja saadud tagasiside kinnitab, et lepingu tüüptingimused on endiselt ELi andmeeksportijate andmeedastuste puhul kõige enam kasutatav vahend ( 178 ). Selleks et andmeeksportijaid nõuete täitmisel abistada, on komisjon välja töötanud küsimused ja vastused, millega antakse lepingu tüüptingimuste kasutamise kohta täiendavaid suuniseid ( 179 ) ja mida uute küsimuste tekkimise korral ajakohastatakse, võttes muu hulgas arvesse hindamise käigus saadud täiendavat tagasisidet.

Paljud andmeeksportijad märgivad, et neile valmistab raskusi kohtuasjas Schrems II tehtud otsuses nõutav edastamise mõju hindamine ning nad viitavad eelkõige selle keerukusele ning kulutustele ja ajakulule, mida see nõuab ( 180 ). Nad väljendavad heameelt andmekaitsenõukogu suuniste ja lepingu tüüptingimuste üle, kuid kutsuvad üles andma täiendavaid suuniseid (nt asjaomaste osaliste kohustuste ja edastamise mõju hindamiste puhul nõutava üksikasjalikkuse taseme kohta) ja täiendavaid vahendeid, mis aitaksid niisuguseid hindamisi teha (nt vormid, üldised riigipõhised hindamised, riskikataloogid). Kuigi sidusrühmad andsid sellist tagasisidet peamiselt lepingu tüüptingimuste kohta, nõutakse samasugust hindamist ka muude edastamisvahendite puhul (nt siduvad ettevõtluseeskirjad). Seega on oluline, et andmekaitsenõukogu kaaluks kohtuasjas Schrems II tehtud otsuse nõuete kohaldamisel, sealhulgas riiklike andmekaitseasutuste õigusnormide täitmise tagamise tegevuse raames, viimastel aastatel saadud kogemustele tuginedes niisuguste võimaluste/vahendite uurimist, mis andmeeksportijaid kõnealuses kontekstis nõuete täitmise tagamisel veelgi rohkem aitaksid.

Komisjon töötab kehtivate lepingu tüüptingimuste täiendamiseks välja uusi tüüptingimuste klausleid, et tagada ELi andmeeksportijatele terviklik ja sidus vahendipakett. Need hõlmavad määruse (EL) 2018/1725 kohaseid lepingu tüüptingimusi, mida kohaldatakse, kui ELi institutsioonid ja asutused edastavad andmeid kolmandate riikide ettevõtjatele, ( 181 ) ning lepingu tüüptingimusi, mida kohaldatakse, kui andmeid edastatakse kolmandate riikide andmeimportijatele, kelle töötlemistoimingute suhtes kohaldatakse otseselt üldmäärust. Viimati nimetatud tüüptingimustega vastatakse sidusrühmade üleskutsele käsitleda konkreetselt stsenaariume, mille puhul andmeimportija kuulub üldmääruse territoriaalsesse kohaldamisalasse (näiteks kuna asjaomane töötlemine on suunatud ELi turule vastavalt isikuandmete kaitse üldmääruse artikli 3 lõikele 2( 182 ). Nagu andmekaitsenõukogu on selgitanud, tuleb ka sellisel juhul kasutada üldmääruse V peatüki kohast andmeedastusvahendit, kuna väljaspool ELi töödeldavate isikuandmetega seotud riskid on suuremad, näiteks tulenevalt võimalikest vastuoludest siseriiklike õigusaktide vahel või ebaproportsionaalsest valitsuse juurdepääsust asjaomases kolmandas riigis ( 183 ). Komisjoni väljatöötatavate uute lepingu tüüptingimuste puhul käsitletakse konkreetselt seda stsenaariumi ja võetakse täielikult arvesse nõudeid, mida üldmääruse alusel kõnealuste vastutavate töötlejate ja volitatud töötlejate suhtes juba otseselt kohaldatakse ( 184 ).

Nagu on tunnistanud ka eri liiki sidusrühmad, ( 185 ) on näidistingimustel üha olulisem roll andmevoogude hõlbustamisel kogu maailmas. Mitu jurisdiktsiooni on ELi lepingu tüüptingimused heaks kiitnud oma andmekaitsealaste õigusaktide kohase andmeedastusmehhanismina, tehes nendes oma riigisisesest õiguskorrast lähtuvalt väheseid vormilisi kohandusi ( 186 ). Hulk muid riike on vastu võtnud oma näidistingimused, millel on ELi lepingu tüüptingimustega olulised ühised tunnusjooned ( 187 ). Eriti asjakohane näide on näidistingimused, mida koostavad teised rahvusvahelised/piirkondlikud organisatsioonid või võrgustikud, nagu Euroopa Nõukogu konventsiooni nr 108 (isikuandmete automatiseeritud töötlemisel isiku kaitse konventsioon) nõuandekomitee, Ibero-Ameerika andmekaitsevõrgustik ja Kagu-Aasia Maade Assotsiatsioon (ASEAN) ( 188 ). See loob uusi võimalusi hõlbustada andmete liikumist maailma eri piirkondade vahel näidistingimuste alusel. Konkreetne näide on ELi lepingu tüüptingimusi ja ASEANi näidistingimusi käsitlev ELi ja ASEANi juhend, mis tugineb ettevõtjatelt saadud teabele ja aitab neid mõlema tingimuste kogumi nõuete täitmiseks tehtavates jõupingutustes ( 189 ).

Peale lepingu tüüptingimuste kasutatakse ettevõtjate kontserni kuuluvate või ühise majandustegevusega tegelevate ettevõtjate vaheliste andmevoogude puhul endiselt laialdaselt siduvaid kontsernisiseseid eeskirju. Alates üldmääruse kohaldamisest on andmekaitsenõukogu võtnud vastu 80 positiivset arvamust siduvate kontsernisiseste eeskirjade heakskiitmist käsitlevate riiklike otsuste kohta ( 190 ). Andmekaitsenõukogu andis välja ka suunised elementide kohta, mis tuleb lisada siduvatesse kontsernisisestesse eeskirjadesse vastutavate töötlejate puhul (ja teabe kohta, mis tuleb esitada siduvate kontsernisiseste eeskirjade kohaldamise osana) ning mida on ajakohastatud, et võtta arvesse üldmääruse nõudeid ja kohtuasjas Schrems II tehtud otsust ( 191 ). Samuti töötatakse välja volitatud töötlejatele ette nähtud ajakohastatud suuniseid siduvate kontsernisiseste eeskirjade kohta ( 192 ). Kuna siduvate kontsernisiseste eeskirjade eesmärk on kehtestada ettevõtetes siduv andmekaitsepoliitika või siduvad andmekaitseprogrammid, peavad paljud sidusrühmad neid väga kasulikuks nõuete täitmise vahendiks ja usaldusväärseks andmeedastusvahendiks ( 193 ). Samal ajal märgivad sidusrühmad endiselt, et riiklike andmekaitseasutuste heakskiitmisprotsessi pikkus ja keerukus takistavad siduvate kontsernisiseste eeskirjade ulatuslikumat kasutuselevõttu. Seetõttu on oluline, et ametiasutused jätkaksid tööd heakskiitmisprotsessi lihtsustamise ja lühendamise nimel.

Pärast 2020. aasta aruande avaldamist on astutud samme ka selleks, et hõlbustada sertifitseerimismehhanismide ja toimimisjuhendite kasutamist andmeedastusvahendina, näiteks on andmekaitsenõukogu võtnud mõlema nimetatud vahendi kohta vastu erisuunised ( 194 ). Sidusrühmad aga märgivad sertifitseerimismehhanismide ja toimimisjuhendite kui aruandlusvahendite kasutamise puhul samu heakskiitmisprotsessi ajakava ja keerukusega seotud probleeme, mida mainiti eespool.

Üldmääruses on ette nähtud ka konkreetsed vahendid – rahvusvahelised lepingud ja halduskokkulepped, mille on heaks kiitnud andmekaitseasutused –, mida avaliku sektori asutused peavad kasutama, kui nad edastavad isikuandmeid oma partneritele kolmandates riikides või rahvusvahelistele organisatsioonidele. Andmekaitsenõukogu võttis vastu suunised, mis käsitlevad kaitsemeetmeid, mida sellised vahendid peaksid hõlmama ( 195 ); need võivad toetada selliste lepingute ja kokkulepete üle peetavaid läbirääkimisi.

7.1.3Vastastikuse täiendavuse tagamine muude poliitikavaldkondadega

Kuna andmevood on muutunud hädavajalikuks väga paljude tegevuste puhul, on väga oluline tagada, et andmekaitsepoliitika ja muud poliitikameetmed täiendavad üksteist. Lisaks sellele, et andmekaitsemeetmete lisamine rahvusvahelistesse dokumentidesse on sageli andmete liikumise eeltingimus, on see ka oluline stabiilset ja usaldusväärset koostööd võimaldav tegur.

Näiteks rahvusvahelised lepingud, millega nähakse ette vajalikud andmekaitsemeetmed, sealhulgas taotleva asutuse poolse kaitse järjepidevuse tagamise kaudu, on väga olulised viisakuse põhimõtte austamiseks ja selleks, et hõlbustada õiguskaitseasutuste piiriülest juurdepääsu äriühingute valduses olevatele elektroonilistele tõenditele ning sel viisil aidata tõhustada kuritegevuse vastast võitlust. Seda lähenemisviisi kajastab küberkuritegevuse konventsiooni teine lisaprotokoll, ( 196 ) millega tõhustatakse kehtivaid õigusnorme, et saada kriminaaluurimise raames piiriülene juurdepääs elektroonilistele tõenditele, tagades samal ajal asjakohased andmekaitsemeetmed. Protokolli on vahepeal allkirjastanud mitu ELi liikmesriiki. Samuti on käimas ELi ja USA vahelised kahepoolsed läbirääkimised lepingu üle, mis käsitleb piiriülest juurdepääsu elektroonilistele tõenditele kriminaalasjades tehtava koostöö eesmärgil ( 197 ).

Veel üks ELi julgeolekupoliitika valdkond, mis on saanud tugevate andmekaitsemeetmete väljatöötamisest kasu, on broneeringuinfo vahetamine. 2023. aastal viisid EL ja Kanada lõpule läbirääkimised uue broneeringuinfo lepingu üle kooskõlas Euroopa Kohtu arvamuses 1/15 ( 198 ) sätestatud nõuetega. Sarnased kaitsemeetmed on kehtestatud ELi ja Ühendkuningriigi kaubandus- ja koostöölepingu broneeringuinfot käsitlevas peatükis. Tõhusamate eraelu puutumatuse kaitse meetmete lisamine kõnealustesse lepingutesse, mida saab tulevikus teiste partneritega lepinguid sõlmides kasutada näidisena, annab lennuettevõtjatele õiguskindluse, tagades samas terrorismi ja muude raskete rahvusvaheliste kuritegude vastu võitlemiseks vajaliku olulise teabevahetuse regulaarsuse.

Komisjon toetab tugevaid eraelu puutumatuse kaitse ja digikaubanduse edendamise sätteid ka Maailma Kaubandusorganisatsioonis e-kaubandust käsitleva ühisavalduse algatuse üle peetavatel läbirääkimistel. Sarnaseid sätteid, millega võideldakse digikaubandust pärssivate põhjendamatute takistuste vastu, kaitstes samal ajal lepinguosaliste vajalikku tegevusruumi andmekaitse valdkonnas, on järjepidevalt lisatud vabakaubanduslepingutesse, mille EL on sõlminud pärast üldmääruse jõustumist, eelkõige ELi ja Ühendkuningriigi kaubandus- ja koostöölepingusse ning Tšiili, Jaapani ja Uus-Meremaaga sõlmitud lepingutesse. Eraelu puutumatust ja andmevooge käsitlevaid sätteid arutatakse ka Singapuri ja Lõuna-Koreaga peetavatel digikaubanduse alastel läbirääkimistel.

7.2Rahvusvaheline andmekaitsealane koostöö

7.2.1Kahepoolsed suhted

Komisjon on jätkanud riikide ja rahvusvaheliste organisatsioonidega dialoogi eraelu puutumatust käsitlevate eeskirjade väljatöötamise, reformimise ja rakendamise üle, sealhulgas esitades avalike konsultatsioonide raames seisukohti eraelu puutumatust käsitlevate õigusaktide eelnõude või reguleerivate meetmete eelnõude kohta, ( 199 ) andes ütlusi pädevates parlamentaarsetes organites ( 200 ) ning osaledes valitsuste esindajate, parlamentide delegatsioonide ja reguleerivate asutustega peetavatel sihipärastel kohtumistel paljudes maailma piirkondades ( 201 ). Mõned neist tegevustest on läbi viidud ELi rahastatava projekti „Tõhustatud andmekaitse ja andmevood“ raames, millega toetatakse riike, kes kavatsevad välja töötada ajakohased andmekaitseraamistikud või suurendada oma reguleerivate asutuste suutlikkust koolituste, teadmiste jagamise, võimete arendamise ja parimate tavade vahetamise kaudu. Komisjon andis oma panuse ka muudesse algatustesse, nagu ELi ning Ladina-Ameerika ja Kariibi Riikide Ühenduse digiliit.

Andmekaitse on ka edaspidi keskne teema komisjoni tehtavas laienemisega seotud töös. ELi andmekaitsealastel õigusaktidel on oluline osa laienemisprotsessis osalevate riikide üldistes jõupingutustes, mille eesmärk on viia nende õigusraamistikud kooskõlla ELi õigusega (eriti kuna isikuandmete töötlemine ja vahetamine on paljude poliitikavaldkondade keskne osa). Lisaks on andmekaitseasutuse sõltumatus ja nõuetekohane toimimine üldise kontrolli- ja tasakaalustussüsteemi ning õigusriigi põhimõtte üks põhielemente ning see muutub üha olulisemaks, kuna EL integreerib laienemisprotsessis osalevad riigid järk-järgult ühtsele turule (nagu on ette nähtud selliste algatustega nagu Lääne-Balkani majanduskasvu kava).

ELi ja kolmandate riikide vahelise dialoogi üha olulisem aspekt on reguleerivate asutuste vaheline teabevahetus. Nagu 2020. aasta aruandes märgiti, asutas komisjon andmekaitseakadeemia, et edendada teabevahetust ELi ja kolmandate riikide andmekaitseasutuste vahel ning aidata seeläbi suurendada suutlikkust ja parandada koostööd n-ö rohujuuretasandil. Akadeemias tehakse kolmandate riikide ametiasutuste taotlusel kohandatud koolitusi ning see koondab õiguskaitsekogukonna, akadeemiliste ringkondade, erasektori ja Euroopa institutsioonide esindajate oskusteavet. Koolituste lisaväärtus seisneb selles, et eri komponendid kohandatakse taotleva asutuse huvidele ja vajadustele vastavaks. Lisaks võimaldavad need koolitused ELi ja kolmandate riikide andmekaitseasutustel luua kontakte, jagada teadmisi, vahetada kogemusi ja parimaid tavasid ning teha kindlaks võimalikud koostöövaldkonnad. Akadeemia on seni korraldanud koolitusi Indoneesia, Brasiilia, Keenia, Nigeeria ja Rwanda andmekaitseasutustele ning valmistab praegu ette koolitusi mitmele muule riigile.

Oluline pole mitte ainult reguleerivate asutuste vahelise dialoogi säilitamine, vaid üha suurem on vajadus – nagu kinnitati ka nõukogult ja andmekaitsenõukogult saadud tagasisides ( 202 ) – töötada välja asjakohased õigusaktid tihedama koostöö ja vastastikuse abi vormide jaoks, sealhulgas võimaldades vajalikku teabevahetust uurimiste raames. Kuna eraelu puutumatusega seotud rikkumised avaldavad üha enam piiriülest mõju, saab neid tulemuslikult uurida ja käsitleda sageli üksnes ELi ja kolmandate riikide reguleerivate asutuste koostöö kaudu. Seepärast taotleb komisjon luba alustada asjaomaste kolmandate riikidega läbirääkimisi õigusnormide täitmise tagamise alaste koostöölepingute sõlmimiseks (nagu on ette nähtud ka üldmääruse artiklis 50). Sellega seoses võtab komisjon arvesse andmekaitsenõukogu taotlust kaaluda võimalike partneritena just selliseid riike, kus on kõige rohkem ettevõtjaid, kelle suhtes kohaldatakse otseselt üldmäärust, eelkõige G7 riike ja/või riike, kelle suhtes on tehtud kaitse piisavuse otsus ( 203 ).

Selliste õigusnormide täitmise tagamise alase koostöö ja vastastikuse abi lepingute sõlmimine aitaks ka tagada nõuete järgimist ja tulemusliku täitmise tagamist selliste välismaiste ettevõtjate puhul, kelle suhtes kohaldatakse üldmäärust; näiteks seetõttu, et ELi turg on nende pakutavate kaupade või teenuste sihturg. Nõukogu märgib, kui oluline on sellistel juhtudel tagada üldmääruse täitmine, ning väljendab muret vajaduse pärast tagada ELi üksustega võrdsed tegutsemistingimused ning üksikisikute õiguste tulemuslik kaitse ( 204 ). Komisjon kiidab heaks nõukogu üleskutse uurida erinevaid võimalusi täitmise tagamise hõlbustamiseks kõnealuse stsenaariumi puhul. Kolmandate riikide reguleerivate asutustega tehtaval ametlikumas vormis koostööl võiks kindlasti olla oluline roll, kuid siiski tuleks aktiivsemalt kasutada ka muid, juba olemasolevaid võimalusi. Selleks tuleks muu hulgas kasutada täiel määral üldmääruse artiklis 58 sätestatud õigusnormide täitmise tagamise vahendeid ja kaasata ELis tegutsevate välismaiste ettevõtjate esindajad (kes nimetatakse vastavalt üldmääruse artiklile 27).

7.2.2Mitmepoolsed suhted

Komisjon jätkab ka aktiivset osalemist mitmel rahvusvahelisel foorumil, et edendada ühiseid väärtusi ning soodustada lähenemist piirkondlikul ja ülemaailmsel tasandil.

See hõlmab näiteks aktiivset osalemist isikuandmete automatiseeritud töötlemisel isiku kaitse konventsiooni (konventsioon nr 108) nõuandekomitee töös; nimetatud konventsioon on ainus õiguslikult siduv mitmepoolne õigusakt isikuandmete kaitse valdkonnas. Praeguseks on konventsiooni nr 108 ajakohastamist käsitleva muutmise protokolli ratifitseerinud 31 riiki, ( 205 ) sealhulgas paljud ELi liikmesriigid ja mõned sellised riigid, kes ei ole Euroopa Nõukogu liikmed (Argentina, Mauritius ja Uruguay). ELi liikmesriikidest on konventsioon veel allkirjastamata ainult ühel liikmesriigil ( 206 ) ja kaheksa liikmesriigi ( 207 ) puhul on ajakohastatud konventsioon küll allkirjastatud, kuid veel ratifitseerimata. Komisjon kannustab ainsat liikmesriiki, kes seda veel teinud ei ole, ajakohastatud konventsioonile alla kirjutama ja teisi seda kiiresti ratifitseerima, et konventsioon saaks lähiajal jõustuda. Samuti teeb komisjon edasi aktiivselt tööd selle nimel, et innustada kolmandaid riike konventsiooniga ühinema.

G20 ja G7 tasandil on eraelu puutumatust ja andmevooge käsitlevates aruteludes keskendutud algselt Jaapani välja pakutud usaldusväärse andmete vaba liikumise algatuse „Data Free Flow with Trust“ (edaspidi „DFFT algatus“) kontseptsiooni rakendamisele; selle kontseptsiooni puhul tunnistatakse, et andmete kaitse ja turvalisus võivad aidata suurendada usaldust digitaalmajanduse vastu ja hõlbustada andmevooge ( 208 ). Sellega seoses on eriti oluline roll OECD-l, kes tagab paljusid sidusrühmi (valitsused, reguleerivad asutused, tööstus, kodanikuühiskond, akadeemilised ringkonnad) hõlmavale DFFT algatuse ekspertide kogukonnale foorumi, et jagada teavet DFFT algatusega seotud konkreetsete projektide ja küsimuste kohta. Lisaks võttis OECD DFFT algatuse olulise tulemusena, millele komisjon märkimisväärselt kaasa aitas, vastu deklaratsiooni, mis käsitleb valitsuse juurdepääsu erasektori üksuste valduses olevatele isikuandmetele ja mis on kõnealuse valdkonna esimene rahvusvaheline juriidiline dokument. See sisaldab hulka ühiseid nõudeid, mille eesmärk on kaitsta eraelu puutumatust, kui isikuandmetele võimaldatakse juurdepääs riikliku julgeoleku ja õiguskaitse eesmärkidel. Võttes arvesse üleilmselt süvenevat tõdemust, et usaldust andmete edastamise suhtes pärsib valitsuse ebaproportsionaalne juurdepääs andmetele, aitab kõnealune deklaratsioon oluliselt kaasa usaldusväärsete andmevoogude hõlbustamisele. Komisjon julgustab ka edaspidi riike selle deklaratsiooniga ühinema, kusjuures ühinema on oodatud ka OECDsse mittekuuluvad riigid.

Komisjon teeb koostööd ka erinevate piirkondlike organisatsioonide ja võrgustikega, kes kujundavad ühiseid andmekaitsemeetmeid. Need on näiteks ASEAN, Aafrika Liit, Aasia Vaikse ookeani piirkonna privaatsusametite foorum, Ibero-Ameerika andmekaitsevõrgustik ja Aafrika andmekaitseasutuste võrgustik (NADPA – RADPD). Konkreetne näide tulemuslikust koostööst on eespool nimetatud näidistingimusi käsitleva ELi ja ASEANi juhendi väljatöötamine.

Samuti peab komisjon dialoogi erinevate rahvusvaheliste organisatsioonidega, sealhulgas selleks, et uurida võimalusi, kuidas andmevooge ELi ja selliste organisatsioonide vahel veelgi hõlbustada. Kuna paljud organisatsioonid on viimastel aastatel oma andmekaitseraamistikke ajakohastanud või teevad seda praegu, tekivad ka uued võimalused kogemuste ja parimate tavade vahetamiseks. Sellega seoses on Euroopa Andmekaitseinspektori korraldatavad iga-aastased seminarid rahvusvaheliste organisatsioonide ja rahvusvahelise andmeedastuse rakkerühmaga osutunud eriti kasulikuks foorumiks, mis võimaldab vahetada teavet ja uurida konkreetseid koostöövahendeid, sealhulgas isikuandmete vahetamise vahendeid ( 209 ).

8Järeldus

Kuue aasta jooksul alates üldmääruse kohaldamise algusest on määrus võimestanud inimesi, andes neile võimaluse omada kontrolli oma andmete üle. Ka on see aidanud luua ettevõtjate jaoks võrdsed tegutsemistingimused ja loonud aluse paljudele algatustele, mis viivad ELis digipööret edasi.

Selleks et saavutada täielikult üldmääruse kaks eesmärki, st tagada üksikisikute tugev kaitse, võimaldades samal ajal isikuandmete vaba liikumist ELis ja turvalisi andmevooge väljaspool ELi, on vaja keskenduda järgmisele:

·üldmääruse täitmise jõuline tagamine, alustades menetlusnorme käsitleva komisjoni ettepaneku kiirest vastuvõtmisest, et anda inimestele kiired õiguskaitsevahendid ja õiguskindluse juhtumites, mis mõjutavad üksikisikuid kogu ELis;

·andmekaitseasutuste ennetav toetus sidusrühmadele, eelkõige VKEdele ja väikeettevõtjatele, et aidata neid nõuete täitmiseks tehtavates jõupingutustes;

·üldmääruse järjepidev tõlgendamine ja kohaldamine kogu ELis;

·tulemuslik koostöö reguleerivate asutuste vahel nii riiklikul kui ka ELi tasandil, et tagada üha kasvava ELi digieeskirjade kogumi järjepidev ja sidus kohaldamine;

·komisjoni rahvusvahelise andmekaitsestrateegia edasine edendamine.

Üldmääruse tulemusliku kohaldamise toetamiseks ning andmekaitsealaste edasiste arutelude jaoks sisendi saamiseks on vaja mitut siin nimetatud meedet. Komisjon toetab ja jälgib nende rakendamist, pidades silmas ka järgmist, 2028. aastal avaldatavat aruannet.

Toimivate koostööstruktuuride arendamine

Euroopa Parlamendil ja nõukogul palutakse kiiresti vastu võtta ettepanek üldmääruse menetlusnormide kohta.

Andmekaitsenõukogu ja andmekaitseasutused peaksid

-seadma andmekaitset mõjutavates küsimustes sisse korrapärase koostöö teiste valdkondlike reguleerivate asutustega, eelkõige nendega, mis on loodud uute ELi digivaldkonna õigusaktide alusel, ning osalema aktiivselt ELi tasandi struktuurides, mille eesmärk on hõlbustada valdkondadevahelist reguleerimisalast koostööd;

-kasutama ulatuslikumalt üldmäärusega ettenähtud koostöövahendeid, et vaidluste lahendamist kasutataks üksnes viimase abinõuna;

-rakendama suuniste, arvamuste ja otsuste väljatöötamisel tõhusamat ja sihipärasemat töökorraldust ning seadma esikohale põhiküsimused, et vähendada andmekaitseasutuste koormust ja reageerida kiiremini turusuundumustele.

Liikmesriigid peavad:

-tagama riiklike andmekaitseasutuste tegeliku ja täieliku sõltumatuse;

-eraldama andmekaitseasutustele piisavalt vahendeid, et võimaldada neil oma ülesandeid täita, eelkõige peaksid nad tagama andmekaitseasutustele tehnilised vahendid ja oskusteabe, mis on vajalikud kujunemisjärgus tehnoloogiaga seotud küsimuste käsitlemiseks ja digivaldkonna õigusaktidest tulenevate uute kohustuste täitmiseks;

-varustama andmekaitseasutused uurimisvahenditega, mis on vajalikud selleks, et nad saaksid tulemuslikult kasutada üldmääruses sätestatud täitmise tagamise volitusi;

-toetama dialoogi andmekaitseasutuste ja muude riiklike reguleerivate asutuste, eelkõige uute digivaldkonna õigusaktide alusel loodud asutuste vahel.

Komisjon

-aitab aktiivselt kaasa sellele, et kaasseadusandjad võtaksid kiiresti vastu ettepaneku üldmääruse menetlusnormide kohta;

-jälgib ka edaspidi hoolikalt riiklike andmekaitseasutuste tegelikku ja täielikku sõltumatust;

-loob kogemustele tuginedes võimalusi tagada koostoime ja järjepidevus üldmääruse ja kõigi muude isikuandmete töötlemist käsitlevate õigusaktide vahel ning võtab vajaduse korral asjakohaseid meetmeid õiguskindluse tagamiseks;

-analüüsib, kuidas leida parem lahendus struktureeritud ja tõhusa sektoriülese reguleerimisalase koostöö vajadusele, et tagada ELi digieeskirjade tulemuslik, järjepidev ja sidus kohaldamine, austades samal ajal andmekaitseasutuste pädevust kõigis isikuandmete töötlemisega seotud küsimustes.

Õigusraamistiku rakendamine ja täiendamine

Liikmesriigid peavad:

-tagama, et andmekaitseasutustega konsulteeritakse aegsasti enne isikuandmete töötlemist käsitlevate õigusaktide vastuvõtmist.

Komisjon

-kasutab jätkuvalt kõiki enda käsutuses olevaid vahendeid, sealhulgas rikkumismenetlusi tagamaks. et liikmesriigid järgivad üldmäärust;

-toetab jätkuvalt arvamuste ja riiklike tavade vahetamist liikmesriikide vahel, sealhulgas üldmäärust käsitleva liikmesriikide eksperdirühma tegevuse kaudu;

-võtab meetmeid, et tagada laste kaitse, võimestamine ja austamine internetis;

-arutab võimalikku edasist tegevust seoses e-privaatsuse määruse ettepanekuga, analüüsides sealhulgas selle seost üldmäärusega.

Sidusrühmade toetamine

Andmekaitsenõukogu ja andmekaitseasutused peaksid

-pidama vastutavate töötlejate ja volitatud töötlejatega konstruktiivset dialoogi üldmääruse täitmise üle;

-suurendama jõupingutusi, et toetada VKEsid nõuete täitmisel, pakkudes kohandatud suuniseid ja vahendeid, hajutades nõuete täitmisega seotud põhjendamatuid kõhklusi VKEde seas, kelle põhitegevus ei ole isikuandmete töötlemine, ning toetades neid nõuete täitmiseks tehtavates jõupingutustes;

-toetama tulemuslike nõuete täitmise meetmete rakendamist, näiteks sertifitseerimismehhanismide ja toimimisjuhendite (sealhulgas andmeedastuse vahenditena) kasutamist ettevõtetes, suheldes heakskiitmisprotsessi käigus sidusrühmadega, kehtestades heakskiitmise selged ajakavad ning selgitades peamistele sidusrühmade, kuidas kõnealuseid vahendeid kasutada, nagu on lubatud andmekaitsenõukogu 2024.–2027. aasta strateegias;

-tagama, et riiklikud suunised ja üldmääruse kohaldamine riiklikul tasandil on kooskõlas andmekaitsenõukogu suuniste ja Euroopa Kohtu praktikaga;

-lahendama andmekaitseasutuste, sealhulgas sama liikmesriigi asutuste lahknevad tõlgendused üldmääruse küsimustes;

-andma lakoonilisi, praktilisi ja asjaomasele sihtrühmale ligipääsetavaid suuniseid, nagu on lubatud andmekaitsenõukogu 2024.–2027. aasta strateegias;

-tagama varasemad ja sisukamad konsultatsioonid suuniste ja arvamuste üle, et paremini mõista turudünaamikat ja äritavasid, võtta piisavalt arvesse saadud tagasisidet ja arvestada vastuvõetud tõlgenduste konkreetset kohaldamist;

-viima esmajärjekorras lõpule laste andmeid, teadusuuringuid, anonüümimist, pseudonüümimist ja õigustatud huvi käsitlevate suuniste koostamise;

-tõhustama teadlikkuse suurendamise tegevust ning teavitus- ja täitmise tagamise meetmeid, tagamaks, et andmekaitseametnikud saavad täita neile üldmäärusega pandud ülesandeid.

Komisjon

-tagab ka edaspidi rahalise toetuse andmekaitseasutuste tegevusele, millega hõlbustatakse üldmäärusest tulenevate kohustuste täitmist VKEde seas;

-kasutab kõiki olemasolevaid vahendeid, et anda sidusrühmadele, sealhulgas VKEdele, olulistes küsimustes kiiresti selgitusi, eelkõige taotledes andmekaitsenõukogult arvamuste esitamist.

Andmeedastuse ja rahvusvahelise koostöö vahendite edasiarendamine

Andmekaitsenõukogu ja andmekaitseasutused peaksid

-viima lõpule töö, mida nad teevad siduvate kontsernisiseste eeskirjade heakskiitmise protsessi ühtlustamiseks ja lühendamiseks ning nende suuniste ajakohastamiseks, mis käsitlevad seda, milliseid elemente peavad volitatud töötlejate siduvad kontsernisisesed eeskirjad sisaldama;

-uurima võimalusi/vahendeid, mille abil veelgi aidata andmeeksportijatel täita kohtuasjas Schrems II tehtud otsusest tulenevaid nõudeid;

-uurima täiendavaid võimalusi tagada tulemuslik õigusnormide täitmise tagamine selliste kolmandates riikides asutatud ettevõtjate puhul, kes kuuluvad üldmääruse territoriaalsesse kohaldamisalasse.

Liikmesriigid peavad:

-tagama, et Euroopa Nõukogu ajakohastatud konventsiooni nr 108+ allkirjastaksid ja ratifitseeriksid võimalikult kiiresti ka need riigid, kes seda veel teinud pole, et võimaldada selle konventsiooni jõustumist.

Komisjon

-teeb täiendavaid edusamme käimasolevatel kaitse piisavuse üle peetavatel kõnelustel, analüüsib tehtud kaitse piisavuse järelduste muutmise vajadust ja alustab huvitatud partneritega uusi kaitse piisavuse alaseid dialooge;

-toetab nende riikide võrgustiku koostöö tihendamist, kelle suhtes on tehtud kaitse piisavuse otsused;

-viib lõpule töö, mis puudutab täiendavaid lepingu tüüptingimusi, eelkõige seoses andmete edastamisega andmeimportijatele, kelle töötlemise suhtes kohaldatakse otseselt üldmäärust, ning seoses määruse (EL) 2018/1725 kohase andmeedastusega, mille puhul edastavad andmeid ELi institutsioonid ja asutused;

-teeb koostööd rahvusvaheliste partneritega, et hõlbustada andmevooge lepingu standardklauslite alusel;

-toetab uusi või ajakohastatud andmekaitsenorme käsitlevaid reformiprotsesse kolmandates riikides, jagades kogemusi ja parimaid tavasid;

-teeb koostööd rahvusvaheliste ja piirkondlike organisatsioonidega, nagu OECD ja G7, et edendada rangetel andmekaitsenormidel põhinevaid usaldusväärseid andmevooge, muu hulgas usalduspõhise vaba andmevoo algatuse raames;

-hõlbustab ja toetab teabevahetust Euroopa ja rahvusvaheliste reguleerivate asutuste vahel, sealhulgas andmekaitseakadeemia tegevuse kaudu;

-aitab edendada rahvusvahelist õiguskaitsekoostööd järelevalveasutuste vahel, pidades muu hulgas läbirääkimisi koostöö- ja vastastikuse abistamise lepingute sõlmimiseks.

(1) ()    Komisjoni teatis „Andmekaitse kodanike võimestajana ja ELi valmistumine digiüleminekuks – isikuandmete kaitse üldmääruse kohaldamise kaks esimest aastat“, 24.6.2020, COM(2020) 264 final).

(2) ()     https://data.consilium.europa.eu/doc/document/ST-15507-2023-INIT/et/pdf .

(3) ()    Üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside kokkuvõte on kättesaadav siin: Paljusid sidusrühmi hõlmava eksperdirühma aruanne üldmääruse kohaldamise kohta (juuni 2024) . Avaliku tagasisidekorje ja sidusrühmadega peetud kahepoolsete kohtumiste kaudu saadud tagasiside kajastab suures osas üldmääruse paljusid sidusrühmi hõlmava eksperdirühma liikmete väljendatud seisukohti.

(4) ()     https://ec.europa.eu/info/law/better-regulation/have-your-say_et .

(5) ()     Contribution of the EDPB to the evaluation of the GDPR under Article 97 (Euroopa Andmekaitsenõukogu panus isikuandmete kaitse üldmääruse artiklis 97 sätestatud hindamisse) | Euroopa Andmekaitsenõukogu (europa.eu) .

(6) ()     GDPR in practice – Experiences of data protection authorities (Üldmääruse kohaldamine praktikas – andmekaitseasutuste kogemused) | Euroopa Liidu Põhiõiguste Amet (europa.eu) .

(7) ()    Ettepanek: Euroopa Parlamendi ja nõukogu määrus, millega kehtestatakse määruse (EL) 2016/679 täitmise tagamisega seotud täiendavad menetlusnormid (COM/2023/348 final).

(8) ()     https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letter-eu-commission-procedural-aspects-could-be_en .

(9) ()    Tagasiside saadi üldmääruse paljusid sidusrühmi hõlmava eksperdirühma ja 2023. aastal algatatud avaliku tagasisidekorje kaudu.

(10) ()    Eelkõige üldmäärust käsitleva liikmesriikide eksperdirühma kaudu: https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=et&do=groupDetail.groupDetail&groupID=3461 .

(11) ()    Üldmääruse artikkel 61.

(12) ()     internal_edpb_document_1_2021_on_art_62_joint_operations_en.pdf (europa.eu)  

(13) ()    Üldmääruse artikkel 62.

(14) ()    Üldmääruse artikkel 65.

(15) ()    3. novembri 2023. aasta seisuga (andmekaitsenõukogu tagasiside).

(16) ()    Üldmääruse artikli 60 lõige 3.

(17) ()    2023. aasta 3. novembri seisuga.

(18) ()    Kõige rohkem ametlikke taotlusi (246) esitas Iirimaa andmekaitseasutus, kõige enam laekus taotlusi aga Saksamaa andmekaitseasutustele (516).

(19) ()    Kõige rohkem mitteametlikke taotlusi (4 245) esitas Iirimaa andmekaitseasutus, talle järgnesid Saksamaa ametiasutused (2 036).

(20) ()    Andmekaitseasutuste esitatud 289 asjakohasest ja põhjendatud vastuväitest 101 (35 %) esitasid Saksamaa ametiasutused. Asjakohaste ja põhjendatud vastuväidete suhtes konsensuseni jõudmise määr ulatub 15 %st (Saksamaa andmekaitseasutuste esitatud vastuväidete puhul) 100 %ni (Poola andmekaitseasutuste esitatud vastuväidete puhul).

(21)

()    Vastavalt üldmääruse artiklid 64, 65 ja 66.

(22) ()    Üldmääruse artikli 64 lõike 2 kohased arvamused.

(23)

()    Vastavalt üldmääruse artikli 65 lõike 1 punktile a.

(24) ()    Vastavalt üldmääruse artikli 66 lõikele 2.

(25) ()    Vt andmekaitsenõukogu tagasiside, punkt 5.3.4.

(26) ()    FRA aruanne, lk 36.

(27) ()    Menetlusnorme käsitlev ettepanek, artikkel 5.

(28) ()    Rumeenias vaidlustati kohtus kõik 26 rikkumise kohta tehtud otsust, Madalmaades aga oli vaidlustatud otsuste määr 23 %. Tulemuslike vaidlustamiste määr oli kõige kõrgem Belgias (39 %).

(29) ()    Kõige rohkem algatasid omaalgatuslikke uurimisi Saksamaa andmekaitseasutused (7 647), järgnesid Ungari (3 332), Austria (1 681) ja Prantsusmaa (1 571).

(30) ()    2022. aastal said üheksa andmekaitseasutust üle 2 000 kaebuse. Kõige rohkem registreeriti kaebusi Saksamaal (32 300), Itaalias (30 880), Hispaanias (15 128), Madalmaades (13 133) ja Prantsusmaal (12 193), kõige vähem aga registreeriti neid Liechtensteinis (40), Islandil (140) ja Horvaatias (271).

(31) ()    Kõik andmekaitseasutused määrasid haldustrahve, välja arvatud Taanis, kus haldustrahve ei ole ette nähtud. Kõige rohkem trahve määrati Saksamaal (2 106) ja Hispaanias (1 596). Kõige vähem määrati trahve Liechtensteinis (3), Islandil (15) ja Soomes (20).

(32) ()    FRA aruanne, lk 38.

(33) ()    FRA aruanne, lk 20 ja 23. Vt ka nõukogu seisukoht ja tähelepanekud, punkt 17.

(34) ()    Üldmääruse artikli 70 lõige 1.

(35) ()    FRA aruanne, lk 64.

(36) ()    FRA aruanne, lk 67. 2023. aastal eraldasid andmekaitsenõukogu tegevuse jaoks kõige rohkem ressursse Saksamaa andmekaitseasutused (26 täistööaja ekvivalenti), järgnesid Iirimaa (16) ja Prantsusmaa (12) andmekaitseasutused (andmekaitsenõukogu tagasiside).

(37) ()    FRA aruanne, lk 67.

(38) ()    FRA aruanne, lk 67. Üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside kokkuvõte.

(39) ()    Üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside kokkuvõte.

(40) ()    Vt ka nõukogu seisukoht ja tähelepanekud, punkt 45.

(41) ()    Vt ka nõukogu seisukoht ja tähelepanekud, punkt 34.

(42) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf .

(43) ()    Vt ka nõukogu seisukoht ja tähelepanekud, punkti 31 alapunkt d.

(44) ()    Eelkõige on vaja selgitada mõiste „teadusuuringud“ tähendust, nõusoleku tähtsust isikuandmete teadusuuringute eesmärgil töötlemise puhul, asjakohast õiguslikku alust ning asjaosaliste rolli ja vastutust.

(45) ()    Vt ka nõukogu seisukoht ja tähelepanekud, punkti 31 alapunkt b.

(46) ()    Nõukogu seisukoht ja tähelepanekud, punktid 27–28.

(47) ()    Üldmääruse artikkel 52.

(48) ()    FRA aruanne, lk 31.

(49) ()    Vt andmekaitsenõukogu tagasiside, punkt 4.4.1, kus on esitatud ka absoluutarvud.

(50) ()    Vaid viis andmekaitseasutust leiavad, et neil on piisavalt inimressurssi (andmekaitsenõukogu tagasiside, lk 33).

(51) ()    FRA aruanne, lk 20. Mõned andmekaitseasutused delegeerivad teatavad ülesanded välistele töövõtjatele, näiteks kaebuste käsitlemise, õigusliku analüüsi ja kohtuekspertiisi.

(52) ()    FRA aruanne, lk 24.

(53) ()    FRA aruanne, lk 22.

(54) ()    Vt andmekaitsenõukogu tagasiside, punkt 4.4.5.

(55) ()    Andmekaitsenõukogu tagasiside, lk 32.

(56) ()    FRA aruanne, lk 48.

(57) ()    FRA aruanne, lk 45. Andmekaitseasutused peavad ex officio uurimisi eriti oluliseks, kuna kaebuse esitajad ei pruugi olla paljudest üldmääruse rikkumistest teadlikud.

(58) ()    FRA aruanne, lk 8.

(59) ()    FRA aruanne, lk 39.

(60) ()    FRA aruanne, lk 41.

(61) ()    Üldmääruse põhjendus 9.

(62) ()    Üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside kokkuvõte.

(63) ()    Üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside kokkuvõte.

(64) ()    Üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside kokkuvõte.

(65) ()    Vastavalt üldmääruse artikli 6 lõike 1 punkt f ja artikli 6 lõike 1 punkt a.

(66) ()    Üldmääruse artikli 22 lõige 2.

(67) ()    Põhjendus 4.

(68) ()    Üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside kokkuvõte.

(69) ()    nt vanuse alampiir, mille puhul kehtib lapse nõusolek seoses infoühiskonna teenustega (üldmääruse artikli 8 lõige 1);

(70) ()    Üldmääruse artikli 8 lõige 1.

(71) ()    See võimalus on ette nähtud üldmääruse artikli 9 lõikega 4.

(72) ()    Üldmääruse artikkel 10.

(73) ()    Nõukogu seisukoht ja tähelepanekud, punkt 30.

(74) ()    Üldmääruse artikkel 36.

(75) ()    FRA aruanne, lk 11.

(76) ()    Belgia (2021/4045 ja 2022/2160).

(77) ()    Soome (2022/4010) ja Rootsi (2022/2022).

(78) ()    Teave hõlmab järgmist: juhtumi viitenumber, uurimise liik (omaalgatuslik või kaebusel põhinev), kokkuvõte uurimise sisulise ulatuse kohta, asjaomased andmekaitseasutused, peamised menetlustoimingud ja nende kuupäevad, võetud uurimis- või muud meetmed ja nende kuupäevad.

(79) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=et&do=groupDetail.groupDetail&groupID=3461 .

(80) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=et&do=groupDetail.groupDetail&groupID=3461 .

(81) ()    Kohtuasi C‑319/22, ECLI:EU:C:2023:837.

(82) ()    Kohtuasjad C-184/20, ECLI:EU:C:2022:601; C-252/21, ECLI:EU:C:2023:537.

(83) ()    Kohtuasjad C-683/21, ECLI:EU:C:2023:949; C-604/22, ECLI:EU:C:2024:214; C-231/22, ECLI:EU:C:2024:7.

(84) ()    Kohtuasi C-61/19, ECLI:EU:C:2020:901.

(85) ()    Kohtuasjad C-597/19, ECLI:EU:C:2021:492; C-252/21, ECLI:EU:C:2023:537.

(86) ()    Kohtuasjad C-307/22, ECLI:EU:C:2023:811;; C-154/21, ECLI:EU:C:2023:3.

(87) ()    Kohtuasi C-460/20, ECLI:EU:C:2022:962.

(88) ()    Kohtuasi C-300/21, ECLI:EU:C:2023:370; Kohtuasi C-687/21, ECLI:EU:C:2024:72; Kohtuasi C-667/21, ECLI:EU:C:2023:1022.

(89) ()    Liidetud kohtuasjad C-26/22 ja C-64/22, ECLI:EU:C:2023:958.

(90) ()    Kohtuasjad C-807/21, ECLI:EU:C:2023:950; Kohtuasi C-683/21, ECLI:EU:C:2023:949.

(91) ()    Kohtuasi C‑453/21, ECLI:EU:C:2023:79.

(92) ()    Kohtuasjad C-439/19, ECLI:EU:C:2021:504; C-184/20, ECLI:EU:C:2022:601.

(93) ()    Kohtuasjad C-33/22, ECLI:EU:C:2024:46; C‑272/19, ECLI:EU:C:2020:535.

(94) ()    Nõukogu seisukoht ja tähelepanekud, punkt 13.

(95) ()    Andmekaitsenõukogu tagasiside, punkt 6.

(96) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en .

(97) ()    FRA aruanne, lk 9 ja 48.

(98) ()    Üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside kokkuvõte.

(99) ()    Määruse (EL) 2022/868 (andmehalduse määrus) artikkel 10 (ELT L 152, 3.6.2022, lk 1–44).

(100) ()    Üldmääruse artikli 12 lõige 5.

(101) ()    Euroopa Kohus on aga selgitanud, et andmesubjekt ei pea isikuandmetega tutvumise taotlemist põhjendama: kohtuasi C-307/22, ECLI:EU:C:2023:811, punkt 38.

(102) ()    Üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside kokkuvõte.

(103) ()    Nõukogu seisukoht ja tähelepanekud, punktid 27–28.

(104) ()     https://www.edpb.europa.eu/news/news/2024/cef-2024-launch-coordinated-enforcement-right-access_en .

(105) ()     Platvormitöötajad: nõukogu kinnitas kokkuleppe, millega kehtestatakse uued õigusnormid platvormitöötajate töötingimuste parandamiseks – Euroopa Liidu Nõukogu (europa.eu) .

(106) ()    Ettepanek: määrus ühtse Euroopa terviseandmeruumi kohta (COM/2022/197 final).

(107) ()    Ettepanek: Euroopa Parlamendi ja nõukogu määrus finantsandmetele juurdepääsu raamistiku kohta ning millega muudetakse määrusi (EL) nr 1093/2010, (EL) nr 1094/2010, (EL) nr 1095/2010 ja (EL) 2022/2554 (COM/2023/360 final).

(108) ()    25. novembri 2020. aasta direktiiv (EL) 2020/1828, mis käsitleb tarbijate kollektiivsete huvide kaitsmise esindushagisid ja millega tunnistatakse kehtetuks direktiiv 2009/22/EÜ (ELT L 409, 4.12.2020, lk 1–27).

(109) ()    Üldmääruse põhjendus 38.

(110) ()    Soovitus integreeritud lastekaitsesüsteemide arendamise ja tugevdamise kohta lapse parimates huvides: https://commission.europa.eu/strategy-and-policy/policies/justice-and-fundamental-rights/rights-child/combating-violence-against-children-and-ensuring-child-protection_et .

(111) ()    Vt ka nõukogu seisukoht ja tähelepanekud, punkti 31 alapunkt a.

(112) ()    Üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside kokkuvõte.

(113) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en .

(114) ()     https://digital-strategy.ec.europa.eu/en/policies/strategy-better-internet-kids .

(115) ()    Määrus (EL) 2024/1183, millega muudetakse määrust (EL) nr 910/2014 seoses Euroopa digiidentiteedi raamistiku kehtestamisega (ELT L 2024/1183, 30.4.2024).

(116) ()    Seda on kinnitatud tulevikukindluse platvormi aruandes; selle platvormi moodustab kõrgetasemeline eksperdirühm, kes abistab komisjoni tema jõupingutustes lihtsustada ELi õigusakte ja vähendada nendega seotud tarbetuid kulusid. https://commission.europa.eu/law/law-making-process/evaluating-and-improving-existing-laws/refit-making-eu-law-simpler-less-costly-and-future-proof/fit-future-platform-f4f_et . Vt ka üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside kokkuvõte; nõukogu seisukoht ja tähelepanekud, punkt 12.

(117) ()    Üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside kokkuvõte.

(118) ()    Komisjoni 4. juuni 2021. aasta rakendusotsus (EL) 2021/915 Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artikli 28 lõike 7 ning Euroopa Parlamendi ja nõukogu määruse (EL) 2018/1725 artikli 29 lõike 7 kohaste vastutavate töötlejate ja volitatud töötlejate vaheliste lepingute tüüptingimuste kohta (C/2021/3701) (ELT L 199, 7.6.2021, lk 18–30).

(119) ()    Üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside kokkuvõte.

(120) ()    Nõukogu seisukoht ja tähelepanekud, punkt 25.

(121) ()     https://www.edpb.europa.eu/our-work-tools/accountability-tools/register-codes-conduct-amendments-and-extensions-art-4011_en?f%5B0%5D=coc_scope%3Anational .

(122) ()    Üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside kokkuvõte.

(123) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf .

(124) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en .

(125) ()     https://edpb.europa.eu/sme-data-protection-guide/home_en .

(126) ()    Üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside kokkuvõte.

(127) ()    Vt nõukogu seisukoht ja tähelepanekud, punkt 24; üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside kokkuvõte.

(128) ()    Üldmääruse artikli 30 lõige 5.

(129) ()    Erandit kohaldatakse, kui organisatsioonil on vähem kui 250 töötajat, välja arvatud juhul, kui tema teostatav töötlemine kujutab endast tõenäoliselt ohtu andmesubjekti õigustele ja vabadustele, töötlemine ei ole juhuslik või töödeldakse üldmääruse artikli 9 lõikes 1 osutatud isikuandmete eriliike või üldmääruse artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmeid.

(130) ()    Nõukogu seisukoht ja tähelepanekud, punkt 26. Euroopa Andmekaitsenõukogu koordineeritud täitmise tagamise meede (2023), „Designation and Position of Data Protection Officers“ (Andmekaitseametniku määramine ja ametikoht), vt https://www.edpb.europa.eu/system/files/2024-01/edpb_report_20240116_cef_dpo_en.pdf .

(131) ()    Üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside.

(132) ()    Vt Euroopa Andmekaitsenõukogu koordineeritud täitmise tagamise meetme raames antud soovitused.

(133) ()    Euroopa Parlamendi ja nõukogu 19. oktoobri 2022. aasta määrus 2022/2065/EL, mis käsitleb digiteenuste ühtset turgu ja millega muudetakse direktiivi 2000/31/EÜ (digiteenuste määrus) (ELT L 277, 27.10.2022, lk 1–102).

(134) ()    Määrus (EL) 2022/1925 (digiturgude määrus) (ELT L 265, 12.10.2022, lk 1–66).

(135) ()    Määrus (EL) 2024/1689 (tehisintellektimäärus) (ELT L 2024/1689, 12.7.2024).

(136) ()     Platvormitöötajad: nõukogu kinnitas kokkuleppe, millega kehtestatakse uued õigusnormid platvormitöötajate töötingimuste parandamiseks – Euroopa Liidu Nõukogu (europa.eu) .

(137) ()    Määrus (EL) 2024/900 poliitreklaami läbipaistvuse ja suunamise kohta (ELT L 2024/900, 20.3.2024).

(138) ()    Ettepanek võtta vastu privaatsust ja elektroonilist sidet käsitlev määrus (COM/2017/010 final).

(139) ()    Direktiiv 2002/58/EÜ (e-privaatsuse direktiiv) – EÜT L 201, 31.7.2002, lk 37–47.

(140)

()    Määrus (EL) 2024/903 (koostalitleva Euroopa määrus) (ELT L 2024/903, 22.3.2024).

(141) ()    Vt nõukogu seisukoht ja tähelepanekud, punkti 31 alapunkt f.

(142) ()     https://finance.ec.europa.eu/publications/anti-money-laundering-and-countering-financing-terrorism-legislative-package_en .

(143) ()    Määrus (EL) 2022/868 (andmehalduse määrus) (ELT L 152, 3.6.2022, lk 1–44).

(144) ()    Määrus (EL) 2023/2854 (andmemäärus) ELT L, 2023/2854, 22.12.2023.

(145) ()     https://www.europarl.europa.eu/doceo/document/TA-9-2024-0331_EN.html .

(146) ()    Vt nõukogu seisukoht ja tähelepanekud, punkt 40–41; Üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside kokkuvõte.

(147) ()    Vt näiteks andmemääruse artikli 37 lõige 3.

(148) ()    Direktiiv (EL) 2022/2555 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80–152).

(149) ()    Vt nõukogu seisukoht ja tähelepanekud, punktid 18 ja 40–41; üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside kokkuvõte.

(150) ()     Saksamaa on loonud eri valdkondade reguleerivaid asutusi hõlmava nn digiklastri, et laiendada nende koostööd digitaliseerimise kõigis aspektides ning jagada teadmisi ja parimaid tavasid; vt https://www.dataguidance.com/news/germany-bsi-announces-formation-digital-cluster-bonn .

(151) ()     Euroopa Andmekaitsenõukogu suunised 05/2021.

(152) ()     Euroopa Andmekaitsenõukogu suuniste 05/2021 punkt 2.

(153) ()     Kohtuasi C-311/18, ECLI:EU:C:2020:559 (Schrems II).

(154) ()     Schrems II, punkt 93.

(155) ()     Schrems II, punktid 96 ja 105.

(156) ()     Schrems II, punkt 131.

(157) ()     Schrems II, punkt 105.

(158) ()     Euroopa Andmekaitsenõukogu soovitused 02/2020 ja piisavuse viitedokument, WP 254 rev. 01.

(159) ()     Euroopa Andmekaitsenõukogu soovitused 01/2020, mida täiendavad soovitused 02/2020.

(160) ()     Vt nt Euroopa Andmekaitsenõukogu soovituste 01/2020 punktid 8–13 ja 32–33.

(161) ()     Vt nt andmekaitsenõukogu tagasiside, lk 7–8; nõukogu seisukoht ja tähelepanekud, punkt 36; üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside kokkuvõte.

(162) ()    Komisjoni teatise „Isikuandmete vahetamine ja kaitsmine globaliseerunud maailmas“ (10.1.2017, (COM (2017) 7 final) rakendamine.

(163) ()     Komisjoni rakendusotsus (EL) 2021/1772 (ELT L 360, 11.10.2021, lk 1–68).

(164) ()    Komisjoni rakendusotsus (EL) 2022/254 (ELT L 44, 24.2.2022, lk 1–90).

(165) ()     https://commission.europa.eu/news/joint-press-statement-european-commissioner-justice-didier-reynders-and-us-secretary-commerce-wilbur-2020-08-10_en .

(166) ()    Komisjoni rakendusotsus (EL) 2023/1795 (ELT L 231, 20.9.2023, lk 118–229).

(167) ()     Euroopa Patendiorganisatsioon on Euroopa patendikonventsiooni alusel loodud valitsustevaheline organisatsioon. Selle peamine ülesanne on anda välja Euroopa patente. Sellega seoses teeb ta tihedat koostööd ELi liikmesriikide ettevõtjate ja avaliku sektori asutustega ning ELi eri institutsioonide ja asutustega.

(168) ()     Andmekaitsenõukogu tagasiside, lk 7–8.

(169) ()    Üldmääruse artikli 45 lõiked 4 ja 5. Vt ka Schrems I, punkt 76.

(170) ()     Komisjoni rakendusotsus (EL) 2019/419 (ELT L 76, 19.3.2019, lk 1–58). Vt ka https://ec.europa.eu/commission/presscorner/detail/et/IP_19_421 . See otsus oli esimene üldmääruse alusel vastu võetud kaitse piisavuse otsus ja esimene vastastikune kaitse piisavuse kokkulepe.

(171) ()     Komisjoni aruanne Jaapani pakutava kaitse piisavuse otsuse toimimise esimese läbivaatamise kohta, 3.4.2023, COM(2023) 275 final (ja SWD(2023) 75 final).

(172) ()     Andorra, Argentina, Kanada (kaubandusettevõtjate puhul), Fääri saared, Guernsey, Mani saar, Iisrael, Jersey, Uus-Meremaa, Šveits ja Uruguay.

(173) ()     Komisjoni aruanne direktiivi 95/46/EÜ artikli 25 lõike 6 kohaselt vastu võetud kaitse piisavuse otsuste toimimise esimese läbivaatamise kohta, 15.1.2024, COM(2024) 7 final (ja SWD(2024) 3 final).

(174) ()     https://ec.europa.eu/commission/presscorner/detail/en/mex_24_1307#11 .

(175) ()     Nagu Argentina, Colombia, Iisrael, Maroko, Šveits ja Uruguay.

(176) ()     Komisjoni rakendusotsus (EL) 2021/914 (ELT L 199, 7.6.2021, lk 31–61).

(177) ()     See hõlmas näiteks Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektori ühisarvamust 2/2021 lepingu tüüptingimuste vastuvõtmise menetluse osana.

(178) ()     Nõukogu seisukoht ja tähelepanekud, punkt 37; andmekaitsenõukogu tagasiside, lk 9; üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside kokkuvõte.

(179) ()     https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/new-standard-contractual-clauses-questions-and-answers-overview_en .

(180) ()     Vt nt üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside kokkuvõte.

(181) ()     Kooskõlas määruse (EL) 2018/1725 artikli 48 lõike 2 punktiga b.

(182) ()     Nõukogu seisukoht ja tähelepanekud, punkt 37; andmekaitsenõukogu tagasiside, lk 9; üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside kokkuvõte.

(183) () Euroopa Andmekaitsenõukogu suunised 05/2021, lk 3.

(184) ()     Nagu on sätestatud ka Euroopa Andmekaitsenõukogu suuniste 05/2021 punktis 4.

(185) ()     Andmekaitsenõukogu tagasiside, lk 9; üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside kokkuvõte.

(186) ()     Nt Ühendkuningriik ( https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf ) ja Šveits ( https://www.edoeb.admin.ch/edoeb/en/home/datenschutz/arbeit_wirtschaft/datenuebermittlung_ausland.html ).

(187) ()     Nt Uus-Meremaa ( https://privacy.org.nz/responsibilities/your-obligations/disclosing-personal-information-outside-new-zealand/ ) ja Argentina ( https://servicios.infoleg.gob.ar/infolegInternet/anexos/265000-269999/267922/norma.htm ).

(188) ()     Vt https://rm.coe.int/t-pd-2022-1rev10-en-final/1680abc6b4 ; https://www.redipd.org/sites/default/files/2023-02/anexo-modelos-clausulas-contractuales-en.pdf and https://asean.org/wp-content/uploads/3-ASEAN-Model-Contractual-Clauses-for-Cross-Border-Data-Flows_Final.pdf .

(189) ()     https://commission.europa.eu/document/download/df5cd5a0-7387-4a2a-8058-8d2ccfec3062_en?filename=%28Final%29%20Joint_Guide_to_ASEAN_MCC_and_EU_SCC.pdf .

(190) ()     Andmekaitsenõukogu tagasiside, lk 9.

(191) ()     Euroopa Andmekaitsenõukogu soovitused 1/2022.

(192) ()     Andmekaitsenõukogu tagasiside, lk 9.

(193) ()     Üldmääruse paljusid sidusrühmi hõlmava eksperdirühma tagasiside kokkuvõte.

(194) ()    Euroopa Andmekaitsenõukogu suunised 07/2022 ja suunised 04/2021.

(195) ()     Euroopa Andmekaitsenõukogu suunised 2/2020.

(196) ()     Küberkuritegevuse konventsiooni teine lisaprotokoll, mis käsitleb tõhustatud koostööd ja elektrooniliste tõendite avaldamist (CETS nr 224).

(197) ()     https://commission.europa.eu/news/eu-us-announcement-resumption-negotiations-eu-us-agreement-facilitate-access-electronic-evidence-2023-03-02_en .

(198) ()     Komisjoni ettepanek: nõukogu otsus Kanada ja Euroopa Liidu vahelise broneeringuinfo edastamise ja töötlemise lepingu Euroopa Liidu nimel allkirjastamise kohta (COM/2024/94 final).

(199) ()     See puudutas konsultatsioone, mille korraldasid näiteks Austraalia, Hiina, Rwanda, Argentina, Brasiilia, Etioopia, Indoneesia, Peruu, Malaisia ja Tai.

(200) ()     Näiteks Tšiili, Ecuadori ja Paraguay parlamentaarsetes organites.

(201) () See hõlmas ka seminaride ja õppekülastuste korraldamist, näiteks Keenia, Indoneesia ja Singapuri osalusel.

(202) ()     Andmekaitsenõukogu tagasiside, lk 8. Nõukogu seisukoht ja tähelepanekud, punkt 38.

(203) ()     Andmekaitsenõukogu tagasiside, lk 8.

(204) ()     Nõukogu seisukoht ja tähelepanekud, punkt 39.

(205) ()     Protokoll, millega muudetakse konventsiooni isikute kaitse kohta isikuandmete automatiseeritud töötlemisel (CETS nr 223).

(206) ()    Taani.

(207) ()    Belgia, Iirimaa, Kreeka, Luksemburg, Läti, Madalmaad, Rootsi ja Tšehhi.

(208) ()     Vt nt https://www.g7germany.de/resource/blob/974430/2062292/fbdb2c7e996205aee402386aae057c5e/2022-07-14-leaders-communique-data.pdf?download=1 .

(209) ()     https://www.edps.europa.eu/data-protection/our-work/edps-worldwide/data-protection-and-international-organisations_en .