27.10.2007   

ET

Euroopa Liidu Teataja

C 255/13

1.

Komisjon saatis Euroopa andmekaitseinspektorile ettepaneku nõukogu otsuse kohta, millega asutatakse Euroopa Politseiamet (EUROPOL), Euroopa andmekaitseinspektorilt arvamuse saamiseks vastavalt määruse (EÜ) nr 45/2001 artikli 28 lõikele 2. Euroopa andmekaitseinspektor leiab, et raamotsuse preambulis tuleks osutada käesolevale arvamusele. (3)

2.

Ettepaneku eesmärk ei ole Europoli volitusi või tegevusi olulisel määral muuta, vaid peamiselt anda Europolile uus ja paindlikum õiguslik alus. Europol loodi 1995. aastal ELi lepingu artikli K.6 (praegune artikkel 34) kohase liikmesriikidevahelise konventsiooni alusel (4). Sellise konventsiooni paindlikkust ja tõhusust pärsib asjaolu, et kõik liikmesriigid peavad konventsiooni ratifitseerima, milleks hiljutisi kogemusi arvestades võib kuluda aastaid. Kõnealuse ettepaneku seletuskirjast nähtub, et Europoli konventsiooni muutmiseks 2000., 2002. ja 2003. aastal vastu võetud kolm protokolli ei olnud 2006. aasta lõpuks veel jõustunud. (5)

3.

Ettepanek sisaldab siiski ka sisulisi muudatusi, et Europoli toimimist veelgi parandada. Sellega laiendatakse Europoli volitusi ning see sisaldab mitmeid uusi sätteid, mille eesmärk on Europoli tööd täiendavalt hõlbustada. Seda arvesse võttes muutub andmevahetus Europoli ja teiste (nt Euroopa Ühenduse/Euroopa Liidu organite, liikmesriikide ametiasutuste ja kolmandate riikide) vahel tähtsamaks küsimuseks. Ettepanekus sätestatakse, et Europol teeb kõik selleks, et tagada Europoli andmetöötlussüsteemide ning liikmesriikide ja Euroopa Ühenduse/Euroopa Liidu organite süsteemide koostalitlusvõime (ettepaneku artikli 10 lõige ). Lisaks nähakse ettepanekuga riiklikele üksustele ette otsene juurdepääs Europoli süsteemile.

4.

Peale selle mõjutab Europoli kui Euroopa Liidu lepingu VI jaotise (kolmas sammas) kohase organi positsioon andmekaitsealaste õigusnormide kohaldamist, sest määrust (EÜ) nr 45/2001 kohaldatakse üksnes ühenduse õiguse reguleerimisalasse kuuluvate tegevuste raames teostatava töötlemise suhtes ning seetõttu ei kohaldata seda põhimõtteliselt Europoli töötlemistoimingute suhtes. Ettepaneku V peatükk sisaldab andmekaitse ja andmeturbe erieeskirju, mida võib pidada eriseaduseks (lex specialis), millega kehtestatakse täiendavad eeskirjad lisaks üldseadusele (lex generalis), mis moodustab andmekaitse üldise õigusliku raamistiku. Nimetatud üldist õiguslikku raamistikku kolmanda samba jaoks ei ole siiski veel vastu võetud (vt punkte 37–40).

5.

Viimase punktina tuleb märkida, et mõned teised muudatused tagavad Europoli positsiooni suurema kooskõla Euroopa Liidu muude organitega, mis on asutatud Euroopa Ühenduse asutamislepingu alusel. Kuigi see ei muuda põhjapanevalt Europoli positsiooni, võib seda pidada esimeseks julgustandvaks arenguks. Europoli rahastatakse ühenduse eelarvest ning Europoli töötajad kuuluvad ühenduse personalieeskirjade reguleerimisalasse. See tugevdab Euroopa Parlamendi (parlamendi rolli tõttu eelarvemenetluses) ja Euroopa Kontrollikoja (eelarve- ja personaliküsimustega seonduvates vaidlustes) teostatavat kontrolli. Euroopa andmekaitseinspektor on pädev ühenduse töötajate isikuandmete töötlemisega seonduvates küsimustes (vt punkti 47).

6.

Käesolevas arvamuses käsitletakse järgemööda sisulisi muudatusi (vt punkti 3), kohaldatavaid andmekaitsealaseid õigusnorme (punkt 4) ning Europoli ja ühenduse organite suurenevat sarnasust (punkt 5).

7.

Arvamuses pööratakse erilist tähelepanu andmevahetuse kasvavale tähtsusele Europoli ja muude Euroopa Liidu organite vahel, mis enamikul juhtudest kuuluvad Euroopa andmekaitseinspektori järelevalve alla. Sellega seoses võib eraldi ära märkida ettepaneku artikleid 22, 25 ja 48. Nimetatud küsimuse keerukus tekitab küsimusi seoses nii eesmärgi piiramise põhimõtte kui andmekaitse alaste õigusnormide kohaldatavuse ja järelevalvega juhtudel, mil erinevate Euroopa organite üle on pädevad järelevalvet teostama erinevad järelevalveasutused sõltuvalt sellest, millise samba raamesse nad kuuluvad. Teine mureküsimus on seotud Europoli infosüsteemi ja teiste infosüsteemide koostalitlusvõimega.

8.

Kõnealuse ettepaneku õiguskeskkond muutub kiiresti.

9.

Esmajärjekorras on kõnealune ettepanek üks mitmest seadusandlikust meetmest politsei- ja õigusalase koostöö vallas, millega püütakse lihtsustada võimalusi isikuandmete säilitamiseks ja vahetamiseks õiguskaitse eesmärkidel. Mõned sellised ettepanekud, näiteks nõukogu 18. detsembri 2006. aasta raamotsus teabe ja jälitusteabe vahetamise kohta, (6) on nõukogu vastu võtnud, samas kui teisi ettepanekuid alles menetletakse.

10.

Nende seadusandlike meetmete juhtpõhimõtteks on kättesaadavuse põhimõte, mis lisati uue olulise põhimõttena Haagi programmi 2004. aasta novembris. Selle põhimõtte kohaselt peaks kuritegevusega võitlemiseks vajalik teave liikuma takistusteta üle ELi sisepiiride.

11.

Kättesaadavuse põhimõttest üksi ei piisa. Vaja on täiendavaid seadusandlikke meetmeid, et politsei- ja õigusasutustel oleks võimalik teavet tõhusalt vahetada. Mõnel juhul hõlmab sellise teabevahetuse hõlbustamiseks valitud vahend Euroopa tasandil infosüsteemi loomist või paremaks muutmist. Europoli infosüsteem ongi selline süsteem. Euroopa andmekaitseinspektor on käsitlenud selliste süsteemidega seonduvaid põhiküsimusi seoses Schengeni infosüsteemiga ja käsitleb mõningaid nendest küsimustest samuti seoses kõnealuse ettepanekuga. Need küsimused hõlmavad süsteemile juurdepääsu andmise tingimusi, omavahelist sidumist ja koostalitlusvõimet ning andmekaitse ja järelevalve alaseid kohaldatavaid eeskirju. (7)

12.

Lisaks tuleks ettepanekut vaadelda selliste hiljutiste sündmuste valguses nagu Euroopa Liidu eesistujariigi Saksamaa algatus Prümi lepingu ELi õiguslikku raamistikku integreerimise kohta.

13.

Teiseks, andmekaitset kolmanda samba raames reguleerivat raamistikku, mis on isikuandmete vahetamiseks vajalik tingimus, ei ole veel vastu võetud (nagu eespool mainitud). Vastupidi, kriminaalasjadega seotud politsei- ja õigusalase koostöö raames töödeldavate isikuandmete kaitset käsitleva nõukogu raamotsuse ettepaneku üle nõukogus peetavad läbirääkimised on osutunud üsna rasketeks. Nõukogu eesistujariik Saksamaa on teatanud, et esitatakse uus tekst, (8) mis sisaldab mõningaid olulisi erinevusi komisjoni ettepanekus võetud lähenemisviisiga võrreldes.

14.

Kolmandaks on ettepanek otseselt seotud Euroopa põhiseaduse lepingu osas toimuvate arengutega. Põhiseaduse lepingu artikkel III-276 on tõenäoliselt oluline osa protsessist, mille käigus ühelt poolt laiendatakse järk-järgult Europoli rolli ja ülesandeid ning teiselt poolt kaasatakse Europol sammhaaval Euroopa institutsioonilisse võrgustikku. Kõnealuse ettepaneku seletuskirja kohaselt kajastab nimetatud artikkel nägemust Europoli tulevikust. Kõnealuses ettepanekus võetakse see nägemus osaliselt üle, võttes arvesse ebakindlust, mis valitseb seoses sellega, kas põhiseaduse lepingu sätted jõustuvad ja millal.

15.

Ettepaneku artiklites 4 ja 5 ning I lisas määratakse kindlaks Europoli volitused. Nimetatud volitusi laiendatakse nüüd kuritegudele, mis ei ole otseselt seotud organiseeritud kuritegevusega ning mis hõlmavad samasid raskete kuritegude liike, mis on toodud nõukogu raamotsuses Euroopa vahistamismääruse kohta. (9) Europoli rolli laiendamine hõlmab lisaks ka seda, et Europoli andmebaasid sisaldavad edaspidi ka erasektori edastatud teavet ja jälitusteavet.

16.

Esimesena mainitud laiendamine on loogiline samm kriminaalasjades tehtava politseikoostöö arendamiseks. Euroopa andmekaitseinspektor tunnistab, et see aitab paremini ühtlustada politseikoostöö hõlbustamist taotlevaid õigusakte. Ühtlustamine on kasulik mitte üksnes seetõttu, et see parandab koostöötingimusi, vaid samuti seetõttu, et see suurendab kodanike õiguskindlust ning võimaldab politseikoostööd tõhusamalt kontrollida, kuna kõigi erinevate õigusaktide kohaldamisala hõlmab samasid kuriteokategooriaid. Euroopa andmekaitseinspektor eeldab, et selline volituste laiendamine kavandatakse proportsionaalsuse põhimõtet arvesse võttes.

17.

Teisena nimetatud laiendamine on kooskõlas politseikoostöös viimasel ajal valitseva suundumusega, mille kohaselt muutub üha tähtsamaks erasektori kogutud andmete kasutamine õiguskaitse eesmärkidel. Euroopa andmekaitseinspektor möönab, et sellise andmekasutuse järele võib olla vajadus. Eelkõige terrorismi ja muude raskete kuritegude vastu võitlemisel võib õiguskaitseasutustele osutuda vajalikuks juurdepääs kogu asjakohasele teabele, sealhulgas erasektori valduses olevale teabele. (10) Siiski nõuab erasektorist saadava teabe ja jälitusteabe laad täiendavaid kaitsemeetmeid muu hulgas selleks, et tagada nimetatud teabe õigsus, sest kõnealused isikuandmed on kogutud ärikeskkonnas ärilistel eesmärkidel. Samuti tuleks enne nimetatud teabe Europolile edastamist tagada, et nimetatud teabe kogumine ja töötlemine oli seaduslik direktiivi 95/46/EÜ rakendavate siseriiklike õigusnormide kohaselt ning et Europolile võimaldatakse juurdepääs üksnes täpselt määratletud tingimustel ja piirangutega: juurdepääs tuleks anda üksnes üksikjuhtumipõhiselt, kindlaksmääratud eesmärkidel ja selle üle tuleks liikmesriikides teostada kohtulikku kontrolli. (11) Euroopa andmekaitseinspektor soovitab lisada sellised tingimused ja piirangud otsuse teksti.

18.

Europoli konventsiooni artiklis 6 võetakse kogutud andmete Europoli poolt töötlemise suhtes piirav lähenemisviis. Nimetatud töötlemine piirdub kolme komponendiga: Europoli infosüsteem, analüüsimiseks koostatud tööfailid ja indeksisüsteem. Ettepaneku artikli 10 lõikega 1 asendatakse see lähenemisviis üldsättega, mis võimaldab Europolil teavet ja jälitusteavet töödelda sellises ulatuses, kui see on vajalik tema eesmärkide saavutamiseks. Ettepaneku artikli 10 lõikes 3 sätestatakse siiski, et isikuandmete töötlemisele väljaspool Europoli infosüsteemi ja analüüsimiseks koostatud tööfaile kehtivad tingimused nähakse ette nõukogu otsusega pärast Euroopa Parlamendiga konsulteerimist. Euroopa andmekaitseinspektori arvates on nimetatud säte koostatud piisavalt täpselt, et kaitsta andmesubjektide õigustatud huve. Artikli 10 lõikesse 3 tuleks lisada kohustus konsulteerida andmekaitseasutustega enne punktis 55 kavandatud otsuse vastuvõtmist nõukogus.

19.

Artikli 10 lõikes 2 sisalduv Europoli võimalus „töödelda andmeid määramaks, kas sellised andmed on tema ülesannete suhtes asjakoahsed” näib olevat vastuolus proportsionaalsuse põhimõttega. Nimetatud sõnastus ei ole väga täpne ning sellega kaasneb praktikas oht, et andmeid töödeldakse kõikvõimalikel kindlaksmääramata eesmärkidel.

20.

Euroopa andmekaitseinspektor mõistab vajadust töödelda isikuandmeid etapis, kus nende asjakohasus Europoli ülesannete täitmise seisukohalt ei ole veel tuvastatud. Tuleks siiski tagada, et selliste isikuandmete töötlemine, mille asjakohasust ei ole veel hinnatud, piirduks rangelt nende asjakohasuse hindamise eesmärgiga, et nimetatud hindamine toimuks mõistliku aja jooksul ning et andmeid ei töödeldaks õiguskaitse eesmärkidel, kuni nende asjakohasust ei ole kontrollitud. Teistsugune lahendus mitte üksnes ei piiraks andmesubjektide õiguseid, vaid kahjustaks ka õiguskaitse tõhusust.

Proportsionaalsuse põhimõtte järgimiseks teeb Euroopa andmekaitseinspektor seetõttu ettepaneku lisada artikli 10 lõikesse 2 säte, millega kehtestatakse kohustus säilitada andmeid eraldi andmebaasis seni, kuni on tuvastatud nende asjakohasus Europoli konkreetse ülesande täitmiseks. Lisaks tuleb rangelt piirata nimetatud andmete töötlemiseks võimaldatavat aega ning see ei tohi ühelgi juhul olla pikem kui kuus kuud. (12)

21.

Ettepaneku artikli 10 lõike 5 kohaselt teeb Europol kõik tagamaks, et tema andmetöötlussüsteemid on koostalitlusvõimelised liikmesriikide andmetöötlussüsteemidega ning ühenduse ja liiduga seotud asutustes kasutatavate süsteemidega. Nimetatud lähenemisviis on vastuolus Europoli konventsioonis (artikli 6 lõige 2) võetud lähenemisviisiga, mis keelab muude automaattöötlussüsteemidega sidumise.

22.

Euroopa andmebaaside koostalitlusvõimelisust käsitleva komisjoni teatise kohta tehtud märkustes (13) on Euroopa andmekaitseinspektor vastu seisukohale, et koostalitlusvõime on eelkõige tehniline kontseptsioon. Kui andmebaasid muutuvad tehniliselt koostalitlusvõimelisteks — mis tähendab, et on võimalik andmetele juurde pääseda ja neid vahetada —, siis tekib surve seda võimalust ka tegelikkuses kasutada. Sellega kaasnevad konkreetsed ohud seoses eesmärgi piiramise põhimõttega, sest andmeid on võimalik kergesti kasutada andmete kogumise eesmärgist erineval eesmärgil. Praktikas andmebaaside omavahelise sidumise korral nõuab Euroopa andmekaitseinspektor rangete tingimuste ja tagatiste kohaldamist.

23.

Seetõttu soovitab Euroopa andmekaitseinspektor lisada ettepanekusse sätte, mille kohaselt oleks omavaheline sidumine lubatud üksnes pärast seda, kui on vastu võetud otsus, milles sätestatakse nimetatud omavahelise sidumise tingimused ja tagatised, eelkõige seoses andmebaaside omavahelise sidumise vajadusega ja eesmärgiga, milleks isikuandmeid kasutatakse. Nimetatud otsus tuleks vastu võtta pärast Euroopa andmekaitseinspektori ja ühise järelevalveasutusega konsulteerimist. Nimetatud säte võiks olla seotud ettepaneku artikliga 22, mis käsitleb suhteid teiste ametite ja asutustega.

24.

Euroopa andmekaitseinspektor märgib seoses artikli 11 lõikega 1, et välja on jäetud riiklikele üksustele kehtiv piirang juurdepääsuks isikuandmetele, mis on seotud võimalike kurjategijatega, kes ei ole (veel) kuritegu toime pannud. Nimetatud piirang on praegu sätestatud konventsiooni artikli 7 lõikes 1 ning see piirab otsest juurdepääsu asjaomaste isikute üksikasjalikele isikuandmetele.

25.

Euroopa andmekaitseinspektor leiab, et kõnealune sisuline muudatus ei ole põhjendatud. Vastupidi, kõnealusesse kategooriasse kuuluvate isikutega seotud nimetatud erilised kaitsemeetmed on täielikult kooskõlas komisjoni ettepanekus (mis käsitleb nõukogu raamotsust isikuandmete kaitse kohta, mida töödeldakse vastavalt kriminaalasjadega seotud politsei- ja õigusalase koostöö raames) võetud lähenemisviisiga. Euroopa andmekaitseinspektor soovitab ette näha täiendavad kaitsemeetmed seoses juurdepääsuga selliseid isikuid käsitlevatele andmetele, kes ei ole (veel) kuritegu toime pannud, ning mitte mingil juhul nõrgendada Europoli konventsiooniga pakutavat kaitset.

26.

Europoli konventsiooni artikli 21 lõike 3 muudetud teksti (14) kohaselt vaadatakse artikli 10 lõikes 1 osutatud isikutega seonduvate isikuandmete jätkuva säilitamise vajadus läbi kord aastas ning selline läbivaatamine dokumenteeritakse. Ettepaneku artikli 20 lõikes 1 seevastu sätestatakse läbivaatamine kolme aasta jooksul pärast andmete sisestamist. Euroopa andmekaitseinspektor ei ole kindel, et selline täiendav paindlikkus on vajalik, ning soovitab seetõttu lisada ettepanekusse kohustus teostada läbivaatamist igal aastal. Ettepaneku muutmine on veelgi tähtsam seetõttu, et ettepanek peaks sisaldama kohustust vaadata säilitamise vajadus läbi regulaarselt, mitte ainult kord kolme aasta jooksul.

27.

Artikli 21 näol on tegemist üldsättega, mis võimaldab Europolile elektroonset juurdepääsu teistele riiklikele ja rahvusvahelistele infosüsteemidele ning annab võimaluse nendest väljavõtteid teha. Nimetatud juurdepääs peaks olema lubatud üksnes üksikjuhtumipõhiselt ja rangeid tingimusi järgides. Artikliga 21 võimaldatakse siiski juurdepääsu, mis on liiga vaba ega ole Europoli ülesannete täitmiseks vajalik. Sellega seoses osutab Euroopa andmekaitseinspektor oma 20. jaanuari 2006. aasta arvamusele, mis käsitleb sisejulgeoleku eest vastutavate ametiasutuste juurdepääsu VISile. (15) Euroopa andmekaitseinspektor soovitab ettepaneku teksti vastavalt muuta.

28.

On tähtis silmas pidada, et säte hõlmab riiklikele andmebaasidele juurdepääsu osas laiemat valdkonda kui teabe vahetamine Europoli ja riiklike üksuste vahel, mida käsitletakse muu hulgas ettepaneku artikli 12 lõikes 4. Nimetatud juurdepääsu suhtes ei kohaldata mitte ainult kõnealuse nõukogu otsuse sätteid, vaid see on reguleeritud ka andmete kasutamist ja nendele juurdepääsu käsitlevate siseriiklike õigusnormidega. Euroopa andmekaitseinspektor tervitab artiklis 21 sisalduvat ideed kohaldada rangemaid eeskirju. Peale selle, Europoli ja riiklike andmebaaside vahel isikuandmete edastamise tähtsus, sealhulgas Europoli õigus nimetatud riiklikele andmebaasidele juurde pääseda, on täiendav põhjus nõuetekohase tasemega kaitset pakkuva nõukogu raamotsuse (kriminaalasjadega seotud politsei- ja õigusalase koostöö raames töödeldavate isikuandmete kaitse kohta) vastuvõtmiseks.

29.

Artikli 24 lõikes 1 sätestatakse kaks tingimust andmete edastamiseks kolmandate riikide ametiasutustele ja rahvusvahelistele organisatsioonidele: a) edastamine võib toimuda üksnes siis, kui see on üksikjuhtudel vajalik kuritegude vastu võitlemiseks, ning b) rahvusvahelise lepingu alusel, mis tagab, et kolmas isik kindlustab andmekaitse piisava taseme. Artikli 24 lõikes 2 nähakse ette erandjuhtudel kohaldatavad erandid, võttes arvesse andmeid saava organi andmekaitse taset. Euroopa andmekaitseinspektor mõistab vajadust nende erandite järele ning rõhutab, kui oluline on erandeid kohaldada rangelt üksikjuhtumipõhiselt väga erandlikes olukordades. Artikli 24 lõike 2 tekst kajastab neid tingimusi rahuldavalt.

30.

Artikkel 29 käsitleb õigust pääseda juurde enda kohta käivatele isikuandmetele. See on andmesubjekti üks põhiõiguseid, mis on sätestatud Euroopa Liidu põhiõiguste harta artikli 8 lõikes 2 ning on samuti tagatud Euroopa Nõukogu 28. jaanuari 1981. aasta konventsiooniga 108 ja Euroopa Nõukogu ministrite komitee 17. septembri 1987. aasta soovitusega nr R (87) 15. See õigus on osa isikuandmete õiglase ja seadusliku töötlemise põhimõttest ning on kavandatud andmesubjekti oluliste huvide kaitseks. Artiklis 29 sätestatud tingimused siiski piiravad seda õigust moel, mis ei ole eespool toodut silmas pidades vastuvõetav.

31.

Esiteks sätestatakse artikli 29 lõikes 3, et juurdepääsutaotluseid, mis on liikmesriigis esitatud vastavalt artikli 29 lõikele 2, menetletakse kooskõlas artikliga 29 ja taotluse esitamise liikmesriigi õigusaktide ja menetlustega. Selle tulemusena võib siseriiklik õigus piirata juurdepääsuõiguse kohaldamisala ja sisu ning kehtestada menetluspiiranguid. Selline tulemus võib olla mitterahuldav. Isikuandmetele juurdepääsu taotlusi võivad näiteks esitada ka isikud, kelle andmeid Europol ei töötle. On oluline, et juurdepääsuõigus laieneks ka nendele taotlustele. Seetõttu tuleb tagada, et ei kohaldataks siseriiklikku õigust, mis toob kaasa juurdepääsuõiguse piiramise.

32.

Euroopa andmekaitseinspektor on seisukohal, et artikli 29 lõikest 3 tuleks välja jätte viide siseriiklikule õigusele ning see tuleks asendada kohaldamisala, sisu ja menetlust käsitlevate ühtlustatud eeskirjadega, eelistatavalt isikuandmete kaitset käsitleva nõukogu raamotsuse või vajadusel nõukogu otsuse vormis.

33.

Lisaks loetletakse artikli 29 lõikes 4 isikuandmetele juurdepääsu andmisest keeldumise alused juhuks, kui andmesubjekt soovib kasutada oma õigust pääseda juurde teda puudutavatele isikuandmetele, mida töötleb Europol. Artikli 29 lõike 4 kohaselt keeldutakse juurdepääsust, kui selline juurdepääs „võiks kahjustada” teatavaid erihuve. See sõnastus on palju laiem Europoli konventsiooni artikli 19 lõike 3 sõnastusest, mille kohaselt võib juurdepääsust keelduda üksnes juhul, „kui selline keeldumine on vajalik […]”.

34.

Euroopa andmekaitseinspektor soovitab säilitada Europoli konventsiooni kohase rangema sõnastuse. Samuti tuleb tagada, et andmete vastutav töötleja on kohustatud esitama keeldumise põhjused selliselt, et kõnealuse erandi kasutamist saaks tegelikult kontrollida. See põhimõte on selgelt sätestatud Euroopa Nõukogu ministrite komitee soovituses nr R (87) 15. Komisjoni ettepaneku sõnastus ei ole vastuvõetav, sest selles ei austata juurdepääsuõiguse põhiolemust. Juurdepääsuõigusest erandite tegemine on lubatud üksnes siis, kui see on vajalik muu põhilise huvi kaitsmiseks — teisisõnu, kui juurdepääs kahjustaks nimetatud muud huvi.

35.

Viimane, kuid mitte vähemoluline aspekt on, et juurdepääsuõigust piirab märkimisväärselt artikli 29 lõikes 5 sätestatud konsultatsioonimehhanism. Nimetatud mehhanism seab juurdepääsuõiguse andmise tingimuseks konsulteerimise kõigi asjaomaste pädevate ametiasutustega ning analüüsifailidega seoses samuti konsensuse saavutamise Europoli ja kõigi analüüsis osalevate või otseselt asjassepuutuvate liikmesriikide vahel. Nimetatud mehhanism tühistab de facto juurdepääsuõiguse põhiõigusliku olemuse. Juurdepääsu andmine peaks olema üldpõhimõte ning seda võib piirata üksnes eriolukorras. Ettepaneku teksti kohaselt seevastu antaks juurdepääs üksnes pärast konsulteerimist ja konsensuse saavutamist.

36.

Europol on Euroopa Liidu organ, kuid mitte ühenduse institutsioon ega organ määruse (EÜ) nr 45/2001 artikli 3 tähenduses. Seetõttu ei kohaldata määrust tavaliselt isikuandmete Europoli poolt töötlemise suhtes, välja arvatud erijuhtudel. Ettepaneku V peatükk toob seega sisse sui generis andmekaitsekorra, mis sõltub samuti kohaldatavast andmekaitset käsitlevast üldisest õiguslikust raamistikust.

37.

Ettepanekus tunnistatakse vajadust üldise andmekaitseraamistiku järele. Ettepaneku artikli 26 kohaselt kohaldab Europol üldseadusena (lex generalis) nõukogu raamotsust kriminaalasjadega seotud politsei- ja õigusalase koostöö raames töödeldavate isikuandmete kaitse kohta. See viide (kavandatavale) nõukogu raamotsusele asendab Europoli konventsiooni artikli 14 lõikes 3 sisalduva viite Euroopa Nõukogu 28. jaanuari 1981. aasta konventsioonile 108 ja Euroopa Nõukogu ministrite komitee 17. septembri 1987. aasta soovitusele nr R (87) 15.

38.

Euroopa andmekaitseinspektor tervitab ettepaneku artiklit 26. Kõnealune säte on äärmiselt oluline andmekaitse tõhususe, samuti kooskõla tagamiseks, sest see hõlbustab isikuandmete vahetamist, mis toob kasu ka õiguskaitsele. Siiski tuleks tagada kahe õigusakti kokkusobivus, mis ei ole iseenesestmõistetav, arvestades järgmist:

Nõukogus raamotsuse üle toimuvate läbirääkimiste (mis põhinevad tõenäoliselt Saksamaa ettepanekul) tulemusena võib osutuda vajalikuks lisada käesolevasse ettepanekusse täiendavad kaitsemeetmed. Seda küsimust tuleb hinnata hilisemas etapis, kui nõukogu raamotsuse üle peetavate läbirääkimiste tulemused on selgemad.

39.

Euroopa andmekaitseinspektor rõhutab, et kõnealust nõukogu otsust ei tohiks vastu võtta enne nõukogus andmekaitseraamistiku vastuvõtmist, mis tagab andmekaitse nõuetekohase taseme kooskõlas Euroopa andmekaitseinspektori järeldustega, mis on esitatud tema kahes arvamuses nõukogu raamotsust käsitleva komisjoni ettepaneku kohta. (16)

40.

Sellega seoses rõhutab Euroopa andmekaitseinspektor nõukogu raamotsust käsitleva komisjoni ettepaneku kahte erilist elementi, mis on eriti asjakohased andmesubjektidele pakutava kaitse tõhustamisel seoses neid käsitlevate andmete töötlemisega Europoli poolt. Esiteks loob ettepanek uued võimalused andmetöötluse eristamiseks kooskõlas andmete õigsuse ja usaldusväärsuse tasemega. Arvamustel põhinevaid andmeid eristatakse faktidel põhinevatest andmetest. Selline kindel vahetegemine „pehme teabe” ja „kindla teabe” vahel on oluline meetod andmete kvaliteedi põhimõtte järgimiseks. Teiseks tehakse ettepanekus vahet isikute kategooriate vahel, sõltuvalt nende võimalikust osalemisest kuritegevuses.

41.

See viib meid määruse (EÜ) nr 45/2001 Europoli tegevuse suhtes kohaldatavuse küsimuse juurde. Määrust (EÜ) nr 45/2001 kohaldatakse esmalt Europoli personali suhtes, keda käsitletakse punktis 47. Teiseks — ja see on käesoleva arvamuse IV osa teema — määrust kohaldatakse ühenduse organitega toimuva andmevahetuse suhtes vähemalt sellises ulatuses, kui need asutused andmeid Europolile saadavad. Ühenduse organite olulisteks näideteks on ettepaneku artikli 22 lõikes 1 nimetatud organid.

42.

Võib arvata, et nendelt organitelt nõutakse isikuandmete regulaarselt Europolile saatmist. Seda tehes kehtivad ühenduse institutsioonidele ja organitele kõik määruses (EÜ) nr 45/2001 sätestatud kohustused, eelkõige seoses töötlemise seaduslikkusega (määruse artikkel 5), eelkontrolliga (artikkel 27) ja Euroopa andmekaitseinspektoriga konsulteerimisega (artikkel 28). See tõstatab küsimuse määruse (EÜ) nr 45/2001 artiklite 7, 8 ja 9 kohaldatavusega seoses. Europoli suhtes, mis ei ole ühenduse institutsioon ega organ ning mis ei kuulu direktiivi 95/46/EÜ kohaldamisalasse, võib kohaldada artiklit 9. Sellisel juhul tuleks Europoli pakutava kaitse asjakohasust hinnata määruse (EÜ) nr 45/2001 artikli 9 lõike 2 kohaselt sarnaselt muude rahvusvaheliste organisatsioonide ja kolmandate riikidega. Selline lahendus tekitaks ebakindlust ja oleks lisaks vastuolus ettepaneku peamise ideega viia Europoli roll suuremasse kooskõlla EÜ asutamislepingu alusel loodud institutsioonide ja organitega. Parem lahendus oleks käsitleda Europoli ühenduse organina niivõrd, kui see töötleb ühenduse organitest pärit andmeid. Euroopa andmekaitseinspektor soovitab lisada artiklile 22 uue lõike järgmises sõnastuses: „Kui ühenduse institutsioonid või organid edastavad isikuandmeid, käsitatakse Europoli ühenduse organina määruse (EÜ) nr 45/2001 artikli 7 mõistes.”

43.

Erilist tähelepanu tuleb pöörata isikuandmete vahetamisele Euroopa Pettustevastase Ametiga (OLAF). Praegu toimub andmevahetus Europoli ja OLAFi vahel nimetatud kahe organi vahelise halduskokkuleppe kohaselt. Nimetatud kokkulepe näeb ette strateegilise ja tehnilise teabe vahetamise, kuid välistab isikuandmete vahetamise.

44.

Nõukogu otsuse ettepanek on teistsugune. Artikli 22 lõikes 3 sätestatakse teabe, sealhulgas isikuandmete vahetamine sarnaselt OLAFi ja liikmesriikide ametiasutuste vahelise teabevahetusega. (17) Nimetatud andmevahetus piirdub pettuste, aktiivse ja passiivse korruptsiooni ja rahapesuga. Nii OLAF kui Europol võtavad igal üksikjuhul arvesse uurimise salajasuse ja andmekaitse nõudeid. OLAFi jaoks tähendab see igal juhul määruses (EÜ) nr 45/2001 sätestatud kaitsetaseme tagamist.

45.

Lisaks sätestatakse ettepaneku artiklis 48, et Europoli suhtes kohaldatakse määrust (EÜ) nr 1073/1999 (18). OLAF on pädev viima läbi haldusjuurdlusi Europolis ning sel eesmärgil on OLAFil õigus viivitamatult ja ette teatamata pääseda juurde mis tahes Europolis hoitavale teabele. (19) Euroopa andmekaitseinspektor leiab, et kõnealuse sätte ulatus ei ole selge:

46.

See säte ei hõlma ega peaks hõlmama siiski Europoliga mitteseotud eeskirjade eiramisi käsitlevaid juurdluseid, millele võiks täiendavat valgust heita Europolis töödeldavad andmed. Nimetatud juhtudega seoses võib lugeda piisavaks andmete, sealhulgas isikuandmete artikli 22 lõike 3 kohast vahetamist käsitlevad sätted. Euroopa andmekaitseinspektor soovitab selles osas selgitada ettepaneku artikli 48 kohaldamisala.

47.

Europoli töötajad kuuluvad personalieeskirjade kohaldamisalasse. Europoli töötajaid puudutavate andmete töötlemise korral tuleks kooskõla ja mittediskrimineerimise tagamiseks kohaldada määruse (EÜ) nr 45/2001 nii sisulisi kui järelevalve-eeskirju. Ettepaneku põhjenduses 12 mainitakse määruse kohaldatavust isikuandmete, eelkõige Europoli töötajatega seonduvate isikuandmete töötlemise suhtes. Euroopa andmekaitseinspektor leiab, et nimetatud põhimõtte põhjenduses selgitamisest ei piisa. Ühenduse õigusakti põhjendused ei ole siduvad ega sisalda normatiivseid sätteid. (20) Määruse (EÜ) nr 45/2001 kohaldamise täielikuks tagamiseks tuleks otsuse enda teksti (näiteks artiklisse 38) lisada lõige, milles sätestatakse, et määrust (EÜ) nr 45/2001 kohaldatakse Europoli töötajatega seonduvate isikuandmete töötlemise suhtes.

48.

Ettepaneku eesmärk ei ole põhjalikult muuta Europoli üle teostatava järelevalve süsteemi, milles täidab keskset rolli ühine järelevalveasutus. Kavandatava õigusliku raamistiku kohaselt luuakse järelevalveorgan kooskõlas ettepaneku artikliga 33. Kuid mõningad Europoli staatuses ja tegevuses tehtavad muudatused toovad kaasa Euroopa andmekaitseinspektori piiratud sekkumise lisaks tema tegevusele, mis on seotud Europoli töötajatega. Sel põhjusel sätestatakse ettepaneku artikli 33 lõikes 6, et ühine järelevalveasutus peab tegema koostööd Euroopa andmekaitseinspektoriga ja samuti teiste järelevalveasutustega. Nimetatud säte peegeldab Euroopa andmekaitseinspektori kohustust teha koostööd ühise järelevalveasutusega määruse (EÜ) nr 45/2001 artikli 46 punkti f alapunkti ii kohaselt. Euroopa andmekaitseinspektor tervitab nimetatud sätet kui kasulikku vahendit andmevahetuse alast järelevalvet käsitleva sidusa lähenemisviisi edendamiseks kogu ELis sambast olenemata.

49.

Nagu juba eespool mainitud, ei nähta kõnealuse ettepanekuga ette mingeid põhjapanevaid muudatusi järelevalvesüsteemis. Ettepaneku laiemas kontekstis aga võib olla vaja põhjalikumalt lahti mõtestada Europoli üle teostatava järelevalve süsteemi tulevik. Võiks nimetada kahte konkreetset arengusuunda. Esiteks, määruse (EÜ) nr 1987/2006 artiklites 44–47 (21) sätestatakse SIS II käsitlev uus järelevalvestruktuur. Teiseks, nõukogu raamotsuse (kriminaalasjadega seotud politsei- ja õigusalase koostöö raames töödeldavate isikuandmete kaitse kohta) kontekstis teatas eesistujariik Saksamaa, et kaalub uue järelevalvestruktuuri väljatöötamist Euroopa infosüsteemidele kolmanda samba raames, sealhulgas Europoli jaoks.

50.

Euroopa andmekaitseinspektori arvates ei ole käesolev arvamus koht, kus arutleda järelevalvesüsteemi kardinaalsete muudatuste üle. SIS II järelevalvesüsteem, mis on võrksüsteem, rajaneb esimesel sambal ning ei oleks sobiv Europoli kui kolmanda samba raames asuva organi jaoks, sest kolmas sammas sisaldab ühenduse institutsioonide, eelkõige komisjoni ja Euroopa Kohtu piiratud pädevusi. Kui kolmanda samba raames puuduvad kaitsemeetmed, on ikkagi vaja spetsiaalset järelevalvesüsteemi. Artikkel 31 käsitleb näiteks üksikisikute kaebusi. Lisaks on Euroopa infosüsteemide järelevalve uut struktuuri käsitlevad ideed, mille pakkus välja eesistujariik Saksamaa, alles väga varajases staadiumis. Ning peale selle toimib hästi ka praegune süsteem.

51.

Euroopa andmekaitseinspektori märkused keskenduvad seetõttu tema rollile seoses isikuandmete vahetamisega Europoli ja muude Euroopa Liidu tasandi organite vahel. Nimetatud andmevahetust käsitlevad sätted on ettepaneku uus oluline element. Artikli 22 lõikes 1 mainitakse Frontexit (Euroopa Liidu liikmesriikide välispiiril tehtava operatiivkoostöö juhtimise Euroopa agentuur), Euroopa Keskpanka, EMCDDAd (22) ning samuti OLAFit. Kõigi nimetatud organite üle järelevalve teostamine kuulub Euroopa andmekaitseinspektori pädevusse. Artikli 22 lõikes 2 sätestatakse, et Europol võib nende organitega sõlmida töökorda käsitlevaid kokkuleppeid, mis võivad sisaldada isikuandmete vahetamist. OLAFiga võib nimetatud andmevahetus toimuda ka ilma töökorda kokku leppimata (artikli 22 lõige 3). Selle küsimusega seoses on samuti asjakohane ettepaneku artikkel 48, mida käsitletakse käesoleva arvamuse punktides 45 ja 46.

52.

Tuleks tagada, et Euroopa andmekaitseinspektor saaks kasutada talle määrusega (EÜ) nr 45/2001 antud volitusi seoses ühenduse organite edastavate andmetega. See on veelgi olulisem seoses sellise isikuandmete edastamisega, mille puhul Europoli käsitatakse ühenduse organina määruse (EÜ) nr 45/2001 artikli 7 mõistes, nagu varem kavandatud. See muudab artikli 33 kohase ühise järelevalveasutusega tiheda koostöö tegemise veelgi olulisemaks.

53.

Euroopa andmekaitseinspektor soovib nimetatud andmetega seonduvate andmesubjekti õiguste kohta teha kaks lisasoovitust:

54.

Eespool nimetatud kaalutlustest tulenevalt peaks Euroopa andmekaitseinspektor tegema tihedat koostööd ühise järelevalveasutusega vähemalt pärast seda, kui on sisse seatud kord andmete vahetamiseks ühenduse organitega. See on üks peamine valdkond, kus jõustuvad vastastikused koostöökohustused.

55.

Artikli 10 lõikes 3 sätestatakse, et nõukogu võtab vastu otsuse, millega määratakse kindlaks isikuandmete Europolis töötlemise teatavate süsteemide loomise tingimused. Euroopa andmekaitseinspektor soovitab lisada kohustuse konsulteerida enne sellise otsuse vastuvõtmist Euroopa andmekaitseinspektoriga ja ühise järelevalveasutusega.

56.

Artikkel 22 käsitleb Europoli suhteid teiste ühenduse või liiduga seotud organite ja asutustega. Kõnealuses artiklis mainitud koostöösuhteid võib rakendada töökorraga ning need võivad olla seotud isikuandmete vahetamisega. Sel põhjusel tuleks artikli 22 kohase korra vastuvõtmisel konsulteerida Euroopa andmekaitseinspektori ja ühise järelevalveasutusega sellises ulatuses, kui nimetatud kord on asjakohane ühenduse institutsioonide ja organite poolt töödeldavate isikuandmete kaitse aspektist. Euroopa andmekaitseinspektor soovitab ettepaneku teksti vastavalt muuta.

57.

Artikli 25 lõikes 2 sätestatakse, et tuleb ette näha rakenduseeskirjad teiste ühenduse või liiduga seotud organite ja asutustega andmete vahetamiseks. Euroopa andmekaitseinspektor soovitab, et enne selliste eeskirjade vastuvõtmist tuleks kooskõlas ühenduse õigusega, mille kohaselt ühenduse organid konsulteerivad Euroopa andmekaitseinspektoriga määruse (EÜ) nr 45/2001 artikli 28 lõike kohaselt, konsulteerida mitte üksnes ühise järelevalveasutuse, vaid ka Euroopa andmekaitseinspektoriga.

58.

Euroopa andmekaitseinspektor tervitab artiklit 27, mis sisaldab sätet andmekaitseametniku kohta, kelle ülesanne on muu hulgas sõltumatult tagada isikuandmete töötlemise õiguspärasus ning selle vastavus asjakohastele sätetele. Nimetatud funktsioon on ühenduse institutsioonides ja organites ühenduse tasandil edukalt sisse viidud määrusega (EÜ) nr 45/2001. Europolis kasutatakse samuti andmekaitseametniku funktsiooni, kuid hetkel puudub selleks nõuetekohane õiguslik alus.

59.

Andmekaitseametniku tegevuse edukuse tagamiseks on vaja seadusega tagada tema tegelik sõltumatus. Selleks sisaldab määruse (EÜ) nr 45/2001 artikkel 24 mitmeid sätteid, mis aitavad seda eesmärki tagada. Andmekaitseametnik nimetatakse ametisse kindlaks ajavahemikuks ning teda võib ametist vabastada üksnes äärmiselt erandlikel asjaoludel. Talle võimaldatakse vajalik personal ja eelarve. Ta ei võta oma ametiülesannete täitmisel vastu mingeid juhiseid.

60.

Kahjuks ei sisaldu nimetatud sätted kõnealuses ettepanekus, välja arvatud juhiste kasutamist käsitlevad sätted. Euroopa andmekaitseinspektor soovitab seega tungivalt lisada ettepanekusse tagatised andmekaitseametniku sõltumatuse tagamiseks, näiteks erilised kaitsemeetmed seoses andmekaitseametniku ametisse nimetamise ja ametist vabastamisega, ning tema sõltumatuse tagamiseks haldusnõukogust. Need sätted on vajalikud andmekaitseametniku sõltumatuse tagamiseks. Peale selle tagaks nimetatud sätted Europoli andmekaitseametniku positsiooni suurema vastavuse ühenduse institutsioonide andmekaitseametnike positsiooniga. Euroopa andmekaitseinspektor rõhutab lisaks, et ettepaneku artikli 27 lõige 5, milles kutsutakse Europoli haldusnõukogu üles võtma vastu andmekaitseametniku tegevuse teatavaid aspekte käsitlevad rakenduseeskirjad, ei ole oma olemuselt sobiv andmekaitseametniku sõltumatuse tagamiseks. Tuleb meeles pidada, et eelkõige tuleb tagada tema sõltumatus Europoli juhtkonnast.

61.

Nõukogu otsuses sisalduva andmekaitseametnikku käsitleva sätte ühtlustamiseks määruse (EÜ) nr 45/2001 artikliga 24 on veel üks põhjus. Europoli töötajatega seonduvate isikuandmete suhtes (vt punkti 47) kohaldatakse nimetatud määrust, mis tähendab, et nendes küsimustes kuulub Europoli andmekaitseametnik kõnealuse määruse kohaldamisalasse. Igal juhul tuleks andmekaitseametnik nimetada ametisse määruses sätestatud nõuete kohaselt.

62.

Peale selle soovitab Euroopa andmekaitseinspektor kohaldada Europoli suhtes eelkontrolli süsteemi, mis on ühenduse organitele ette nähtud määruse (EÜ) nr 45/2001 artiklis 27. Eelkontrolli süsteem on osutunud tõhusaks instrumendiks ning mängib olulist rolli seoses andmekaitsega ühenduse institutsioonides ja organites.

63.

Lisaks oleks Europoli andmekaitseametnikul kasulik osaleda esimese samba raames eksisteerivas andmekaitseametnike võrgustikus isegi väljaspool Europoli töötajatega seonduvat tegevust. See tagaks veelgi suuremas ulatuses, et andmekaitseküsimustes võetav lähenemisviis on ühine ühenduse organite võetud lähenemisviisiga, ning oleks täielikult kooskõlas ettepaneku põhjenduses 16 sõnastatud eesmärgiga, mille kohaselt peaks Euroopa organite ja asutustega tehtav koostöö tagama andmekaitse nõuetekohase taseme kooskõlas määrusega (EÜ) nr 45/2001. Euroopa andmekaitseinspektor soovitab lisada ettepaneku põhjendustesse lause, milles sätestatakse nimetatud ühise lähenemisviisi eesmärk. See lause võiks olla sõnastatud järgmiselt: „Oma ülesannete täitmisel teeb andmekaitseametnik koostööd ühenduse õiguse alusel ametisse nimetatud andmekaitseametnikega.”

64.

Euroopa andmekaitseinspektor mõistab, et Europolile on vaja uut ja paindlikumat õiguslikku alust, kuid pöörab erilist tähelepanu sisulistele muudatustele, kohaldatavatele andmekaitsealastele õigusaktidele ning Europoli ja ühenduse organite üha suuremale sarnasusele.

65.

Sisuliste muudatuste osas soovitab Euroopa andmekaitseinspektor järgmist:

66.

Kõnealust nõukogu otsust ei tohiks vastu võtta enne andmekaitseraamistiku vastuvõtmist nõukogus, mis tagab andmekaitse nõuetekohase taseme kooskõlas Euroopa andmekaitseinspektori järeldustega, mis on esitatud tema kahes arvamuses nõukogu raamotsust käsitleva komisjoni ettepaneku kohta. Arvamustel põhinevaid andmeid tuleks eristada faktidel põhinevatest andmetest. Tuleks teha vahet erinevaid isikute kategooriaid käsitlevate andmete vahel, sõltuvalt nende võimalikust osalemisest kuritegevuses.

67.

Euroopa andmekaitseinspektor soovitab lisada artiklisse 22 uue lõike järgmises sõnastuses: „Kui ühenduse institutsioonid või organid edastavad isikuandmeid, käsitatakse Europoli ühenduse organina määruse (EÜ) nr 45/2001 artikli 7 mõistes.”

68.

OLAFi juurdluseid käsitleva ettepaneku artikkel 48 ei peaks hõlmama Europoliga mitteseotud eeskirjade eiramisi käsitlevaid juurdluseid, millele võiks täiendavat valgust heita Europolis töödeldavad andmed. Euroopa andmekaitseinspektor soovitab selgitada ettepaneku artikli 48 kohaldamisala.

69.

Määruse (EÜ) nr 45/2001 kohaldamise täielikuks tagamiseks tuleks otsuse teksti lisada lõik, milles sätestatakse, et määrust (EÜ) nr 45/2001 kohaldatakse Europoli töötajatega seonduvate isikuandmete töötlemise suhtes.

70.

Andmesubjekti õiguseid käsitlevat kahte sätet (artikli 30 lõige 2 ja artikli 32 lõige 2) tuleks laiendada ka Euroopa andmekaitseinspektori järelevalve alla kuuluvate ühenduse organite edastatud andmetele tagamaks, et Europol ja nimetatud ühenduse organid reageeriks sarnaselt.

71.

Artikli 10 lõige 3, artikkel 22 ning artikli 25 lõige 2 peaks sisaldama (täpsemaid) sätteid andmekaitseasutustega konsulteerimise kohta.

72.

Euroopa andmekaitseinspektor soovitab tungivalt lisada tagatised andmekaitseametniku sõltumatuse tagamiseks, näiteks erilised kaitsemeetmed seoses andmekaitseametniku ametisse nimetamise ja ametist vabastamisega, ning tema sõltumatuse tagamiseks haldusnõukogust kooskõlas määrusega (EÜ) nr 45/2001.