2.3.2018   

ET

Euroopa Liidu Teataja

C 81/209

Raportöör:

Cristian PÎRVULESCU

1.1.

Põhiväärtustest ja alusdokumentidest lähtuvalt lasub ELil vastutus kujuneda ülemaailmseks osalejaks põhiõiguste austamise ning eraelu ja isikuandmete asjakohase kaitse edendamisel. Sellega seoses ärgitab komitee Euroopa Komisjoni tegutsema kahe- ja mitmepoolsel tasandil proaktiivselt isikuandmete kaitse rangeimate nõuete edendamiseks.

1.2.

Komitee leiab, et neli peamist kriteeriumi, mida komisjon võtab arvesse selle hindamisel, milliste riikidega tuleks arendada dialoogi kaitse piisavuse teemal, on tasakaalustatud ja mõistlikud. Siiski on oluline arvestada nende kriteeriumide tõlgendamisel asjaomaste valitsuste, parlamentide ja kohtute tõelist pühendumist samaväärse ja funktsionaalse taseme saavutamisele isikuandmete kaitses.

1.3.

Komitee nõuab kaitse piisavuse otsuste langetamise protsessis suuremat läbipaistvust ja osalemist. Kaasata tuleb ärisektori esindajad, iseäranis VKEd, samuti tarbijakaitserühmitused, kodanikurühmitused ja muud kodanikuühiskonna organisatsioonid ning nendega tuleb konsulteerida. Komitee on valmis konsulteerimisprotsessi hõlbustama.

1.4.

Komitee peab tervitatavaks dialoogi, mille komisjon on käivitanud peamiste kaubanduspartneritega Ida- ja Kagu-Aasias, sh Jaapani ja Koreaga ja võimalik, et ka Indiaga, samuti Ladina-Ameerika ja Euroopa naabruspoliitikaga hõlmatud riikidega, mis on väljendanud huvi kaitse piisavuse otsuse saamise vastu.

1.5.

Komitee loodab, et komisjon, nõukogu, liikmesriikide valitsused ja parlamendid ning USA valitsus ja Kongress tervitavad Euroopa Parlamendi 6. aprilli 2017. aasta resolutsiooni ELi-USA andmekaitseraamistikuga Privacy Shield ette nähtud kaitse piisavuse kohta. Euroopa Parlament väljendab oma resolutsioonis tõsiseid kartusi, millest paljud viitavad asjaolule, et leping ja USA praegune õigusraamistik ei kaitse tegelikkuses ELi kodanike õigusi.

1.6.

Tehnoloogia kiiret arengut ja ITK taristu pidevat laienemist arvestades on tarvis valitsusepoolset hoolikat järelevalvet ja jälgimist. Kuigi kaitse piisavuse otsuseid hinnatakse iga nelja aasta tagant (vt isikuandmete kaitse üldmääruse artikli 45 lõige 3), soovitab komitee, et komisjon, andmekaitseasutused ja kolmandate riikide valitsusasutused oleksid pidevas kontaktis, et selgitada välja uued väljakutsed selles väga dünaamilises tehnoloogilises ja majanduskeskkonnas.

1.7.

Komitee leiab, et Euroopa Komisjoni prioriteet peaks olema andmekaitsenormide kasutamise edendamine mitmepoolsete õigusaktide abil ja seda kohustust tuleks toetada ressurssidega, et a priori oleks võimalik jõuda inimõiguste tõelise kaitsmiseni ja a posteriori tõhusa õiguskaitsevahendini tekkinud kahju korral.

1.8.

Komitee toonitab, et komisjoni teatises ei tehta vahet eri liiki isikuandmete ja nende kasutusviiside vahel, v.a kriminaalasjade korral.

1.9.

Euroopa Nõukogu 1981. aasta konventsioon nr 108 koos selle 1999. aasta lisaprotokolliga on ainus siduv mitmepoolne õigusakt andmekaitse valdkonnas. Seda õigusakti tuleks edasi arendada ja rohkemaid kolmandaid riike tuleks julgustada sellega liituma.

1.10.

Mitmepoolseid jõupingutusi Majanduskoostöö ja Arengu Organisatsiooni (OECD), G20 ning Aasia ja Vaikse ookeani piirkonna riikide majanduskoostöö (APEC) raames tuleks edasi arendada, pidades silmas tõeliselt ülemaailmse mitmepoolse andmekaitsesüsteemi rajamist. Koostöö ÜRO eriraportööriga eraelu puutumatuse õiguse küsimustes peaks olema tõhus ja funktsionaalne.

1.11.

Pidades silmas isikuandmete vahetamist süütegude tõkestamise, uurimise ja isikute nende eest vastutusele võtmise osana, toetab komitee kindlalt rangeid andmekaitsemeetmeid, ent on samas avatud kaitse piisavuse otsuste kasutuselevõtule ka kriminaalõiguse valdkonnas. Isikuandmete kaitse peab käima käsikäes süütegude, sh küberkuritegevuse ja terrorismi tõkestamise ja uurimisega ning isikute nende eest vastutusele võtmisega.

1.12.

Komitee tuletab meelde, kui oluline on kaitsta puuetega inimeste isiklikke, tervise ja rehabilitatsiooniga seotud andmeid, nagu on sätestatud ÜRO puuetega inimeste õiguste konventsiooni artiklis 22.

2.1.

Isikuandmete kaitse kuulub Euroopa ühiste põhiseaduslike väärtuste hulka ja see on sätestatud ELi põhiõiguste harta artiklis 8. Isikuandmete kaitse on olnud ELi õiguses kesksel kohal üle 20 aasta, alates 1995. aasta andmekaitsedirektiivist (edaspidi „1995. aasta direktiiv“) kuni isikuandmete kaitse üldmääruse ja politseidirektiivi vastuvõtmiseni 2016. aastal.

2.2.

2016. aasta aprillis vastu võetud ELi andmekaitsealaste õigusaktide reformiga loodi süsteem, mis tagab andmetele tugeva kaitse nii ELi sees kui ka isikuandmete rahvusvaheliseks vahetamiseks ettevõtlusega seotud ja õiguskaitse eesmärkidel. Uued õigusnormid jõustuvad 2018. aasta mais.

2.3.

Pärast ELi andmekaitsenormide lõpuleviimist esitab komisjon nüüd strateegia rahvusvaheliste isikuandmete kaitse standardite edendamiseks. Teatises esitletakse erinevaid vahendeid isikuandmete rahvusvaheliseks vahetamiseks, tuginedes reformitud andmekaitsenormidele ning komisjoni strateegiale teha tulevikus koostööd valitud kolmandate riikidega, et jõuda kaitse piisavuse otsusteni, ja edendada andmekaitsenormide kasutamist mitmepoolsete õigusaktide abil.

2.4.

2016. aasta isikuandmete kaitse üldmäärus pakub töövahendeid – mehhanisme isikuandmete edastamiseks EList kolmandatesse riikidesse: piisavuse otsused, lepingu tüüptingimused, siduvad kontsernisisesed eeskirjad, sertifitseerimismehhanismid ja toimimisjuhendid. Nende mehhanismide põhieesmärk on tagada, et kui eurooplaste isikuandmeid edastatakse väljapoole Euroopa Liitu, läheb isikuandmete kaitse andmetega kaasa. Isikuandmete rahvusvahelise edastamise struktuur on küll põhimõtteliselt samasugune kui 1995. aasta andmekaitsedirektiivis, ent reformiga selgitatakse ja lihtsustatakse nende mehhanismide kasutamist ning võetakse kasutusele uusi vahendeid andmete rahvusvaheliseks edastamiseks (nt toimimisjuhendid ja sertifitseerimismehhanismid).

3.1.

Komitee tunnustab ELi jõupingutusi oma kodanike isikuandmete kaitsmisel, jäädes samal ajal avatuks ja ühtseks üha enam ühendatud maailmas.

3.2.

Põhiväärtustest ja alusdokumentidest lähtuvalt lasub ELil vastutus kujuneda ülemaailmseks osalejaks põhiõiguste austamise ning eraelu ja isikuandmete kõrgetasemelise kaitse edendamisel. Sellega seoses ärgitab komitee Euroopa Komisjoni tegutsema kahe- ja mitmepoolsel tasandil proaktiivselt oma kodanike ja kolmandate riikide kodanike isikuandmete kaitse rangeimate nõuete edendamiseks.

3.3.

EL peaks toetama ülemaailmset isikuandmete kaitse tegevuskava ja selle aluspõhimõtteid: andmekaitse on põhiõigus ja selle õiguse kaitsemiseks võetakse vastu asjaomase valdkonna üldine õigusakt, millega viiakse sisse üksikisikule selliste privaatsusõiguste tagamine, mida on võimalik teostada ja kohtus kaitsta, ning asutatakse sõltumatud järelevalveasutused.

3.4.

Isikuandmete võimalikult kõrgetasemeline kaitse ei ole mitte ainult õiguslik kohustus, vaid ka suur võimalus. Nii digitaalmajandus, rahvusvahelised kauba- ja teenuste vood kui ka e-valitsus võidavad kodanike usaldusest olemasolevate institutsiooniliste ja regulatiivsete kaitsemehhanismide vastu. Andmekaitse ja õiglane rahvusvaheline kaubandus mõlemad on kodanike jaoks äärmiselt olulised ja neid ei tohiks käsitada vastandlike väärtustena.

3.5.

Nagu ka oma varasemates arvamustes, toetab komitee jätkuvalt ELi andmekaitse üldist suunitlust, ent rõhutab samas vajadust kõrgema kaitsetaseme järele. Isikuandmete kaitse üldmäärust käsitlevas arvamuses SOC/455 esitas komitee mitme artikli puhul konkreetseid näiteid seoses õiguste parema määratlemise, üldiselt kodanike ja konkreetselt töötajate kaitse tugevdamise, nõusoleku laadi, töötlemise seaduslikkuse ja eriti andmekaitseametnike kohustuste ning tööalaste andmete töötlemisega (1).

3.6.

Lisaks on komitee toonitanud nii füüsiliste kui ka juriidiliste isikute õigust väljendada nõusolekut oma andmete osas. Arvamuses TEN/631„Isikuandmete kaitse“ leiab komitee järgmist: „kasutajaid [tuleb] teavitada ja koolitada ning nad peavad jääma ettevaatlikuks, kuna kui nõusolek on antud, siis võib teenuseosutaja töödelda rohkemal määral sisu ja metaandmeid, et toimuks rohkem toiminguid ja suureneks kasum. […] Kasutaja teavitamine oma õiguste kasutamiseks, nagu ka andmete anonüümimine või krüpteerimine peaksid olema selle määruse [määrus, milles käsitletakse eraelu austamist ja isikuandmete kaitset elektroonilise side puhul] prioriteedid“ (2).

3.7.

Komitee avaldab toetust alates 2018. aasta maist vaid ühe üleeuroopalise õigusnormide kogumi loomisele praeguste 28 eri riigi seaduste asemel. Uus ühtse kontaktpunkti mehhanism tagab, et kui ettevõte teeb ELis piiriüleseid andmetöötlustoiminguid, vastutab järelevalve eest üks andmekaitseasutus. Tagatud on uute õigusnormide järjepidev tõlgendamine. Eeskätt selliste piiriüleste juhtumite puhul, millega tegelevad mitme liikmesriigi andmekaitseasutused, tehakse üks otsus, tagamaks, et ühistele probleemidele leitakse ühised lahendused. Komitee loodab, et uute menetlustega ei tagata mitte ainult järjepidev tõlgendamine, vaid ka võimalikult kõrge andmekaitse tase.

3.8.

Komitee võtab teadmiseks, et teatist ja selle peamisi ettepanekuid peab tervitatavaks ühendus DIGITALEUROPE, mis esindab Euroopa digitehnoloogia sektorit (3).

Pilvandmetöötluse kasvav levik loob uusi ja keerulisi väljakutseid, mis tehnoloogilise muutuse kiire tempo tõttu hakkavad veel tekkima. Õigusaktid peavad olema kohandatavad, et neid oleks võimalik viia kooskõlla tehnoloogia ja turu arengutega.

4.1.

Komisjoni langetatud kaitse piisavuse otsused on praegu sobiv vahend, et tagada ELi kodanike andmete kaitsmine teiste riikide ja nii valitsus- kui ka erasektori asutuste puhul. Need otsused on kasulik vahend, et innustada ELi mittekuuluvaid riike püüdlema samal tasemel kaitse andmise poole nende endi kodanikele, ja peaksid olema eelistatud vahend kaitse tagamiseks isikuandmete edastamisel.

4.2.

Komitee leiab, et neli peamist kriteeriumi, (4) mida komisjon võtab arvesse selle hindamisel, milliste riikidega tuleks arendada dialoogi kaitse piisavuse teemal, on tasakaalustatud ja mõistlikud. Siiski on oluline arvestada nende kriteeriumide tõlgendamisel asjaomaste valitsuste, parlamentide ja kohtute tõelist pühendumist samaväärse ja funktsionaalse taseme saavutamisele isikuandmete kaitses.

4.3.

Komitee nõuab kaitse piisavuse otsuste langetamise protsessis suuremat läbipaistvust ja osalemist. Kaasata tuleb ärisektori esindajad, iseäranis VKEd, samuti tarbijakaitserühmitused ja kodanikuühiskonna organisatsioonid ning nendega tuleb konsulteerida. Komitee on valmis konsulteerimisprotsessi hõlbustama.

4.4.

Komitee peab tervitatavaks dialoogi, mille komisjon on käivitanud peamiste kaubanduspartneritega Ida- ja Kagu-Aasias, sh Jaapani ja Koreaga ja võimalik, et ka Indiaga, samuti Ladina-Ameerika ja Euroopa naabruspoliitikaga hõlmatud riikidega, mis on väljendanud huvi kaitse piisavuse otsuse saamise vastu.

4.5.

Komitee on seisukohal, et teatavate riikide osalise piisavuse staatus, mis hõlmaks mõnd sektorit või territooriumi, on problemaatiline, sest see ei kindlusta piisavaid ja sidusaid põhiseaduslikke, menetluslikke ja institutsioonilisi tagatisi isikuandmete kaitstuse kohta. Osaline piisavus võiks olla kasulik vaheetapp, mille vältel EL ja vastavad riigid saavutavad ühise arusaama ja koordineerivad jõupingutusi. Pikaajaline eesmärk on jõuda kõigi asjaomaste riikide kehtivate raamistike alusel kindlamale ja ulatuslikumale kokkuleppele (5).

4.6.

Komitee peab tervitatavaks jõupingutusi luua Ameerika Ühendriikidega usaldusväärne ja toimiv kahepoolne raamistik. Hiljuti vastu võetud otsus, mis käsitleb ELi-USA andmekaitseraamistikku Privacy Shield, mis asendab ELi-USA raamistikku Safe Harbor, on samm edasi. Selle ulatus on siiski piiratud, sest see põhineb vabatahtlikul allkirjastamisel, mistõttu jääb suur hulk USA organisatsioone kõrvale.

4.7.

Komitee loodab, et komisjon, nõukogu, liikmesriikide valitsused ja parlamendid ning USA valitsus ja Kongress tervitavad Euroopa Parlamendi 6. aprilli 2017. aasta resolutsiooni ELi-USA andmekaitseraamistikuga Privacy Shield ette nähtud kaitse piisavuse kohta. Euroopa Parlament väljendab oma resolutsioonis tõsiseid kartusi, millest paljud viitavad asjaolule, et leping ja USA praegune õigusraamistik ei kaitse tegelikkuses ELi kodanike õigusi (6).

4.8.

Sarnaseid mureküsimusi on tõstatanud mitmed Euroopa Liidu ja Ameerika Ühendriikide kodanikuühiskonna rühmad (7). Komitee kutsub kõiki ELi institutsioone üles need mured teadmiseks võtma.

4.9.

Komitee küll tunnustab komisjoni soovi luua uus dünaamika, ent märgib siiski, et komisjoni ettepanekus on säilinud õiguslik ebakindlus seoses isikutega, kelle õigusi on rikutud. Sellele aitavad kaasa mitmed aspektid:

4.10.

Äärmiselt oluline on teostada kaitse piisavuse otsuse vastuvõtmise järel järelevalvet, et tagada kokkulepete toimimine praktikas. Tehnoloogia kiiret arengut ja ITK taristu pidevat laienemist arvestades on tarvis valitsusepoolset hoolikat järelevalvet ja jälgimist. Kuigi kaitse piisavuse otsust hinnatakse iga nelja aasta tagant (vt isikuandmete kaitse üldmääruse artikli 45 lõige 3), soovitab komitee, et komisjon, andmekaitseasutused ja kolmandate riikide valitsusasutused oleksid pidevas kontaktis, et selgitada välja uued väljakutsed selles väga dünaamilises tehnoloogilises ja majanduskeskkonnas.

4.11.

Komitee innustab komisjoni töötama koos sidusrühmadega, et arendada alternatiivseid isikuandmete edastamise mehhanisme, mis on kohandatud vastavalt konkreetse tööstusharu, ärimudeli ja/või ettevõtja erivajadustele või -tingimustele.

4.12.

Komitee leiab, et komisjoni prioriteet peaks olema andmekaitsenormide kasutamise edendamine mitmepoolsete õigusaktide abil ja seda kohustust tuleks toetada ressurssidega.

4.13.

Euroopa Nõukogu konventsioon nr 108 koos selle lisaprotokolliga on ainus siduv mitmepoolne õigusakt andmekaitse valdkonnas. Seda õigusakti tuleks edasi arendada ja rohkemaid kolmandaid riike tuleks julgustada sellega liituma.

4.14.

Mitmepoolseid jõupingutusi OECD, G20 ning APECi raames tuleks edasi arendada, pidades silmas tõeliselt ülemaailmse mitmepoolse andmekaitsesüsteemi rajamist. Koostöö ÜRO eriraportööriga eraelu puutumatuse õiguse küsimustes peaks olema tõhus ja funktsionaalne.

4.15.

Kolmandate riikide asjaomaste privaatsusnormide täitmise tagamise ja järelevalveasutustega tehtava koostöö tõhustamine peaks olema prioriteet. Kuigi see ei loo õiguslikult siduvaid kohustusi, võib OECD ülemaailmne privaatsuse kaitse tagamise võrgustik (Global Privacy Enforcement Network – GPEN) edendada õiguskaitsealast koostööd, jagades parimaid tavasid piiriüleste probleemide lahendamiseks ning toetades ühiseid õigusnormide täitmise tagamise algatusi ja teadlikkuse tõstmise kampaaniaid (8).

4.16.

Pidades silmas isikuandmete vahetamist süütegude tõkestamise, uurimise ja isikute nende eest vastutusele võtmise osana, toetab komitee kindlalt rangeid andmekaitsemeetmeid, ent on samas avatud kaitse piisavuse otsuste kasutuselevõtule ka kriminaalõiguse valdkonnas. Isikuandmete kaitse peab käima käsikäes süütegude, sh küberkuritegevuse ja terrorismi tõkestamise ja uurimisega ning isikute nende eest vastutusele võtmisega.

4.17.

2016. aasta detsembris sõlmitud ELi-USA andmekaitsealane raamleping on suurepärane näide sellest, kuidas on võimalik ELi õigusega kooskõlalised andmekaitsealased õigused ja kohustused hõlmata kahepoolsetesse lepingutesse. Samad menetlused võivad toimida ka muudes poliitikavaldkondades, nt konkurentsipoliitikas või tarbijakaitses. Komitee ergutab komisjoni uurima võimalusi sarnaste raamlepingute sõlmimiseks oluliste partneritega õiguskaitse valdkonnas.

4.18.

Komitee ootab huviga ELi-USA andmekaitseraamistiku Privacy Shield esimese iga-aastase läbivaatamise tulemusi käesoleval aastal, ja loodab, et sellest kujuneb põhjalik ja kaasav menetlus. Komitee loodab, et nii EL kui ka USA pühenduvad ka edaspidi omavahelisele koostööle kõrgema isikuandmete kaitse taseme poole pürgimisel.