10.4.2008   

ET

Euroopa Liidu Teataja

C 89/1


Euroopa andmekaitseinspektori arvamus järgmise algatuse kohta: Saksamaa Liitvabariigi algatus eesmärgiga võtta vastu nõukogu otsus otsuse 2007/…/JSK (piiriülese koostöö tõhustamise kohta, eelkõige seoses terrorismi ja piiriülese kuritegevuse vastase võitlusega) rakendamise kohta

(2008/C 89/01)

EUROOPA ANDMEKAITSEINSPEKTOR,

võttes arvesse Euroopa Ühenduse asutamislepingut, eriti selle artiklit 286,

võttes arvesse Euroopa Liidu põhiõiguste hartat, eriti selle artiklit 8,

võttes arvesse Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta,

võttes arvesse Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrust (EÜ) nr 45/2001 üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta, eriti selle artiklit 41,

ON VASTU VÕTNUD JÄRGMISE ARVAMUSE:

I.   SISSEJUHATUS

1.

Euroopa Liidu Teataja avaldas 9. novembril 2007 Saksamaa Liitvabariigi algatuse eesmärgiga võtta vastu nõukogu otsus otsuse 2007/…/JSK (piiriülese koostöö tõhustamise kohta, eelkõige seoses terrorismi ja piiriülese kuritegevuse vastase võitlusega) rakendamise kohta (1) (edaspidi „algatus”). Algatusele lisati 18. oktoobril 2007 lisa, mis sisaldab täiendavaid üksikasju otsuse 2007/…/JSK rakendamise kohta (edaspidi „lisa”) (2).

2.

Euroopa andmekaitseinspektoriga ei konsulteeritud kõnealuse rakendusotsust puudutava algatuse osas. Seetõttu esitab andmekaitseinspektor käesoleva arvamuse omal algatusel, samamoodi nagu ta esitas oma arvamuse nõukogu otsuse algatuse kohta 4. aprillil 2007 (3).

3.

Kuigi liikmesriik, kes esitab Euroopa Liidu lepingu VI jaotise kohase õigusakti algatuse, ei ole juriidiliselt kohustatud küsima Euroopa andmekaitseinspektorilt nõu, ei välista menetlus ka sellise nõuküsimuse taotlemist. Pealegi soovitas Euroopa andmekaitseinspektor oma 4. aprilli 2007. aasta arvamuses lisada nõukogu otsuse artiklisse 34 järgmine lause: „Nõukogu konsulteerib enne sellise rakendusmeetme vastuvõtmist Euroopa andmekaitseinspektoriga”. Kahjuks ei ole seda soovitust järgitud, vaatamata selle loogikale: rakendusmeetmed puudutavad sellel juhul väga tihti just isikuandmete töötlemist. Praegune Saksamaa Liitvabariigi algatus näitab selgelt seda loogikat.

4.

Euroopa andmekaitseinspektor ei tee selle tulemuse põhjal sisulisi järeldusi. Tulemus sobib kokku nõukogu poolt valitud lähenemisviisiga muuta algatust võimalikult vähe, et see vastaks täielikult mitmete liikmesriikide poolt eelnevalt allakirjutatud Prümi lepingu tekstile. Euroopa andmekaitseinspektor käsitleb käesolevas arvamuses täpsemalt selle lähenemisviisi mõju demokraatiale.

II.   TAUST JA ÕIGUSLIK RAAMISTIK

5.

Prümi lepingu allkirjastasid 2005. aasta mais seitse liikmesriiki väljaspool Euroopa Liidu lepingu õiguslikku raamistikku. Pärast seda on lepinguga ühinenud veel liikmesriike.

6.

Prümi lepingu täiendamiseks sõlmiti 5. detsembril 2006 rakenduskokkulepe, mis põhineb nimetatud lepingu artiklil 44. See rakenduskokkulepe on Prümi lepingu toimimiseks vajalik.

7.

Prümi lepingu peamised elemendid lisatakse Euroopa Liidu õiguslikku raamistikku pärast 15 liikmesriigi algatust (edaspidi „Prümi algatus”) käsitleva nõukogu otsuse 2007/… vastuvõtmist, mille suhtes on nõukogus saavutatud juba poliitiline kokkulepe. Lepinguosalised kavatsesid kohe algusest lisada kõnealused elemendid Euroopa Liidu lepingule, mida kinnitab ka Prümi lepingu preambul.

8.

Nõukogu otsuse vastuvõtmisele eelneva seadusandliku menetluse käigus ei kavatsetud enam arutada peamisi küsimusi, vaid jõuda Prümi lepingu acquis' suhtes kokkuleppele. See kavatsus oli oluline veel seetõttugi, et seadusandliku menetluse ajal jätkus lepingu ratifitseerimine paljudes liikmesriikides ning leping jõustus.

III.   KÄESOLEVA ARVAMUSE EESMÄRK JA SISU

9.

Käesolevas arvamuses keskendutakse rakenduseeskirju käsitleva nõukogu otsuse eelnõule. Euroopa andmekaitseinspektori eelmises arvamuses tehtud märkused Prümi algatust käsitleva nõukogu otsuse kohta on endiselt jõus ning neid ei korrata, kui see ei ole vajalik nende küsimuste rõhutamiseks, mida seadusandja võib veel rakenduseeskirjades käsitleda.

10.

Sellega seoses on oluline rõhutada, et rakenduseeskirjad on eriliselt tähtsad seetõttu, et lisaks mõningatele haldus- ja tehnilistele sätetele määratletakse neis ka süsteemi ja selle toimimise olulised aspektid ja vahendid. Näiteks sätestatakse rakenduseeskirjade esimeses peatükis mõisted, mida kasutatakse Prümi lepingut käsitlevas nõukogu otsuses. Lisaks kehtestatakse rakenduseeskirjades ühtsed andmevahetuse sätted (2. peatükk) ja määratletakse DNA andmete (3. peatükk), sõrmejälgede andmete (4. peatükk) ja sõidukite registreerimisandmete (5. peatükk) vahetamise iseärasused. 6. peatüki lõppsätted sisaldavad olulisi sätteid, mis puudutavad täiendavate rakenduseeskirjade vastuvõtmist juhendites ja otsuse kohaldamise hindamist.

11.

Peale selle käsitletakse lisa niivõrd, kuivõrd see aitab või peaks aitama määratleda kavandatava süsteemi omadusi ja andmesubjektide tagatisi.

IV.   ÜLDOSA

Piiratud tegutsemisruum

12.

Euroopa andmekaitseinspektor märgib, et ka praegusel juhul tundub, et Prümi konventsiooni suhtes juba kehtivad rakenduseeskirjad vähendavad märkimisväärselt nõukogule jäetud tegelikku tegutsemisruumi. Algatuse põhjenduses 3 ja artiklis 18 märgitakse, et nii rakendusotsus kui ka juhendid põhinevad 5. detsembril 2006 kokkulepitud rakendussätetel, mis käsitlevad Prümi lepingu halduslikku ja tehnilist rakendamist ja kohaldamist. Seetõttu peavad 27 liikmesriiki kõnealuse algatuse kohaselt tegutsema vastavalt Prümi lepingule allakirjutanud seitsme liikmesriigi poolt juba kindlaksmääratud viisil.

13.

Kõnealune lähenemisviis tõkestab tõeliselt läbipaistva ja demokraatliku seadusandliku menetluse arengut, kuna see vähendab märkimisväärselt võimalust viia läbi laiaulatuslik arutelu ning võtta tegelikult arvesse Euroopa Parlamendi seadusandlikku rolli ja teiste institutsioonide, näiteks Euroopa andmekaitseinspektori nõuandvat rolli. Euroopa andmekaitseinspektor soovitab algatust ja selle lisa avalikult arutada, võttes tegelikkuses arvesse kõikide institutsioonide panused, samuti arvestades Euroopa Parlamendi rolli kaas-seadusandjana selles valdkonnas, kui Lissabonis 13. detsembril alla kirjutatud reformileping jõustub.

Andmekaitse õigusraamistik ja seosed kolmanda samba andmekaitset käsitleva raamotsuse eelnõuga

14.

Andmekaitsele kohaldatav õigusraamistik on keeruline ja muutlik. Prümi lepingut puudutava nõukogu algatuse 6. peatükis sätestatakse mõned tagatised ja erieeskirjad andmekaitse suhtes. Siiski ei ole need erieeskirjad autonoomsed, vaid nende nõuetekohane toimimine eeldab tuginemist igakülgsele ja üldisele raamistikule, milles kaitstakse politsei ja õigusasutuste poolt töödeldud isikuandmeid. Prümi lepingut puudutava nõukogu algatuse artiklis 25 viidatakse praegu Euroopa Nõukogu konventsioonile 108. Euroopa andmekaitseinspektor on rõhutanud korduvalt, et konventsioonis 108 sisalduvaid põhimõtteid on vaja veelgi täpsustada, tagades sellega kõrge ja ühtlustatud andmekaitse taseme, millega oleks võimalik tagada nii kodanike õigused kui tõhus õiguskaitse vabadusel, turvalisusel ja õigusel rajaneval alal (4).

15.

Sellega seoses tegi komisjon juba 2005. aasta oktoobris ettepaneku võtta vastu üldine õigusakt, ehk nõukogu raamotsuse (kriminaalasjades tehtava politsei- ja õigusalase koostöö raames töödeldavate isikuandmete kaitse kohta) eelnõu (edaspidi „kolmanda samba andmekaitset käsitleva raamotsuse eelnõu”). Nõukogu ei ole veel nimetatud ettepanekut vastu võtnud, seda veel arutatakse ja võib-olla muudetakse, mis lükkab veelgi edasi selle vastuvõtmist ja rakendamist. Siiski on praeguseks selge, et kõnealust raamotsust selle praegusel kujul hakataks kohaldama üksnes teiste liikmesriikidega vahetatavate isikuandmete suhtes, mitte siseriikliku andmetöötluse suhtes (5).

16.

Lisaks nähakse kolmanda samba andmekaitset käsitleva raamotsuse eelnõu praeguses tekstis ette üksnes minimaalne ühtlustamine ja minimaalsed tagatised, kuigi raamotsuse eemärk on tagada kõrge andmekaitse tase. See tähendab, et mõnedes õigusaktides, nagu näiteks praeguses algatuses, millele oleks laiaulatuslikust üldisest andmekaitse raamistikust olnud kasu, tuleb nüüd võtta arvesse kolmanda samba andmekaitset käsitleva raamotsuse eelnõu poolt jäetud lüngad.

17.

Seetõttu kordab Euroopa andmekaitseinspektor ühelt poolt taas, et Prümi lepingut puudutavad nõukogu otsused ei peaks jõustuma enne, kui liikmesriigid on rakendanud kolmanda samba andmekaitset käsitleva üldise raamotsuse. See tingimus tuleks algatuses eraldi sätestada ning peaks hõlmama nõuet, et andmevahetussüsteemi andmekaitse tagatiste nõuetekohast toimimist tuleks eelnevalt asjakohaselt kontrollida. Sellega seoses on samuti oluline tagada eri õigusaktide vaheliste suhete selgitamine, eesmärgiga tagada, et kolmanda samba andmekaitset käsitlev raamotsus toimiks üldseadusena (lex generalis), võimaldades samal ajal kohaldada Prümi lepingut puudutavas nõukogu algatuses sätestatud täiendavaid eritagatisi ja kohandatud rangemaid standardeid (6).

18.

Teiselt poolt peaks seadusandja selgitama, et Prümi lepingut puudutava nõukogu algatuse 6. peatükis esitatud DNA ja sõrmejälgede andmeid ning sõidukiregistriandmeid puudutavaid andmekaitse erieeskirju kohaldatakse mitte üksnes nende andemete vahetamise, vaid ka nende kogumise, säilitamise ja siseriikliku töötlemise suhtes ning muude isikuandmete edastamise suhtes nõukogu otsuse kohaldamisala piires. See selgitus oleks kooskõlas Prümi lepingut puudutava nõukogu algatuse artikli 24 lõikega 2 ning tuleneks loogiliselt liikmesriikide kohustusest koguda, säilitada ja jagada eespool nimetatud liiki andmeid.

19.

See muutub veelgi olulisemaks, kui võetakse arvesse, et kolmanda samba andmekaitset käsitleva raamotsuse kohaldamisala ei hõlma tõenäoliselt isikuandmete siseriiklikku töötlemist. Nõukogu tegi selle otsuse, kuid täpsustas samas, et valik ei piira õigusliku aluse võimalikku kasutamist selliste töötlemistoimingute jaoks. Eespool esitatut arvesse võttes ja kuna praeguses Prümi lepingut puudutavat nõukogu algatust ja rakenduseeskirju sisaldavas algatuste paketis sätestatakse kohustus luua ja hallata teatavaid andmebaase, nagu näiteks DNA andmebaas, peaks see pakett sisaldama ka tagatisi seoses andmete, eelkõige DNA profiilide kogumisest ja säilitamisest tulenevate töötlemistoimingutega. Vastasel juhul, kui nende kohaldamine piirduks üksnes andmete vahetamisega, ei sisaldaks kõnealused õigusaktid asjakohaseid isikuandmete kaitse sätteid, mida tuleb kohaldada kõikide meetmete suhtes, mis põhinevad Euroopa Liidu lepingu artikli 30 lõike 1 punktil b.

20.

Euroopa andmekaitseinspektor kutsub seadusandjat üles tagama vastavalt Euroopa Liidu lepingu artikli 30 lõike 1 punktile b andmekaitse osas selge, tõhusa ja kõikehõlmava õigusliku raamistiku (mis koosneb üldisi sätteid ja eritagatisi sisaldavatest erinevatest õigusaktidest) kehtestamise enne käesoleva algatuse jõustumist.

21.

Seetõttu osutabki Euroopa andmekaitseinspektor käesolevas arvamuses vajaduse korral nendele küsimustele, mida ei ole veel (täielikult) käsitletud kolmanda samba andmekaitset käsitlevas raamotsuse eelnõus ja mida tuleks seetõttu käsitleda praeguse algatusega sätestatud süsteemi rakendamisel.

Otsustamisprotsessi ja rakenduseeskirjade läbipaistvus

22.

Euroopa andmekaitseinspektor rõhutab, et läbipaistvusel on oluline osa nii otsustamisprotsessis kui ka rakenduseeskirjades. Seetõttu peaks läbipaistvus ühest küljest võimaldama kõikidel asjaomastel institutsioonidel täiel määral ja tõhusat osalemist ning teisest küljest soodustama avalikku arutelu ja kodanike piisavat teavitamist.

23.

Kahjuks mõjutavad läbipaistvust käesoleval juhul mitmed asjaolud: puudub seletuskiri, milles oleks esitatud kavandatavate meetmete põhjendused, nende tõhusus ja võimalikud alternatiivsed poliitikad; lisa tekst on endiselt puudulik — näiteks ei ole seda veel avaldatud Euroopa Liidu Teatajas ega tõlgitud kõikidesse ametlikesse keeltesse, viited artiklitele ja terminid on sageli ebatäpsed ning liikmesriikide avaldused DNA andmebaaside sisu kohta ei ole kättesaadavad; algatuses eneses ei ole sätestatud kohustusi ega mehhanisme, et nõuetekohaselt teavitada kodanikke võetud meetmetest ja nimetatud meetmete muutmisest.

24.

Seetõttu soovitab Euroopa andmekaitseinspektor suurendada meetmete läbipaistvust, edastades lisa lõpliku versiooni nii kiiresti kui võimalik ja luues mehhanismid, millega teavitada kodanikke süsteemide omadustest, kodanike õigustest ja nende õiguste kasutamisest. Viimatimainitud teavitamiskampaaniad peaksid olema algatuses või selle lisas selgesõnaliselt sätestatud.

Süsteemi ulatus

25.

Praegune algatus peegeldab paljus Prümi lepingu kohaselt kehtestatud rakenduseeskirju. Samas, nagu märgiti juba Prümi lepingut puudutavas nõukogu arvamuses (punktid 33–35), ei ole mõne liikmesriigi vahelise teabevahetuse jaoks kavandatud mehhanismid tingimata asjakohased, et neid kohaldada märksa suuremas taustsüsteemis, näiteks 27 liikmesriigi vahelise teabevahetuse korral, ning seetõttu võib olla vaja neid muuta.

26.

Väike mastaap soodustab tõesti tihedaid kontakte osalevate liikmesriikide vahel nii õiguskaitse osas kui ka asjaomaste isikute isikuandemete kaitsega seotud riskide jälgimisega seoses. See ei toimi aga suurema süsteemi korral, kus andmete kogumise, säilitamise ja töötlemise siseriiklikud tavad ja õiguslik kord on eri riikides märkimisväärselt erinevad, eelkõige DNA profiilide ja sõrmejälgede osas. Lisaks võib eri keelte ja õiguslike määratluste kasutamine mõjutada erinevate õigustraditsioonidega riikide vahel toimuva andmevahetuse täpsust. Seetõttu kutsub Euroopa andmekaitseinspektor seadusandjat üles käesoleva algatuse edasisel arutamisel võtma arvesse süsteemi ulatust, tagades selle, et osalevate liikmesriikide arvu suurenemine ei vähenda selle tõhusust. Rakenduseeskirjades tuleks sätestada eelkõige andmeedastuse erivormid, võttes samuti arvesse keelte erinevused, ning pidevalt tuleks jälgida andmevahetuse täpsust.

Andmekaitseasutuste kaasamine

27.

Algatuses tuleks tunnustada sõltumatute järelevalveasutuste tähtsat rolli seoses ulatusliku piiriülese andmevahetusega, ning neile tuleks anda selline positsioon, et nad saaksid oma ülesandeid tegelikult täita.

28.

Esiteks ei nähta praeguses õiguslikus raamistikus ette pädevate järelevalveasutustega konsulteerimist või nende kaasamist rakenduseeskirjade ja nende lisade muutmisel (algatuse artikkel 18), liikmesriikide poolt andmekaitse eeskirjade rakendamisel (artikkel 20) ega andmevahetuse hindamisel (artikkel 21). Näiteks on eriti kahetsusväärne, et lisa IV peatükis, milles sätestatakse rakendamise hindamise üksikasjalikud eeskirjad, ei mainita üldse pädevaid andmekaitseasutusi. Euroopa andmekaitseinspektor soovitab sõnaselgelt mainida kõnealuste asutuste olulist nõustavat rolli eespool nimetatud artiklites.

29.

Teiseks peaks algatusega tagama, et liikmesriigid annaksid andmekaitseasutustele kavandatud süsteemi rakendamisest tulenevate järelevalveülesannete teostamiseks vajalikud (lisa)vahendid.

30.

Kolmandaks peaks algatuses olema sätestatud, et pädevad andmekaitseasutused kohtuvad korrapäraselt ELi tasandil oma tegevuse koordineerimiseks ja kõnealuste vahendite kohaldamise ühtlustamiseks. See võimalus tuleks algatuses selgesõnaliselt sätestada, kui kolmanda samba andmekaitset käsitlevas raamotsuses ei kehtestata üldisemat andmekaitseasutuste foorumit ELi tasandil.

V.   KONKREETSED KÜSIMUSED

Mõisted

31.

Algatuse artiklis 2 on sätestatud mitmed mõisted, mis on osaliselt samad nagu nõukogu otsuses sisalduvad mõisted. Kõigepealt tuleks rõhutada, et algatuse artiklis 2 sisalduvad mõisted ei kattu täielikult nõukogu otsuses ja eelkõige selle artiklis 24 sätestatud mõistetega. Rakendamisprobleemide ärahoidmiseks peaks seadusandja kahe kõnealuse teksti sõnastused ühtlustama.

32.

Teiseks tundis Euroopa andmekaitseinspektor juba Prümi lepingut puudutava nõukogu algatuse kohta esitatud arvamuses kahetsust isikuandmete selge määratluse puudumise üle (punktid 41-43). Selle puudumine on veelgi kahetsusväärsem rakenduseeskirjades, mida soovitatakse olukorras, kui on juba selge, et kolmanda samba andmekaitset käsitlevat raamotsust ei kohaldata isikuandmete ja eelkõige DNA profiilide siseriikliku kogumise ja töötlemise suhtes. Seetõttu kutsub Euroopa andmekaitseinspektor veel kord üles võtma kasutusele selge ja kõikehõlmava isikuandmete mõiste.

33.

Selles osas peaksid rakendussätted samuti selgitama andmekaitse-eeskirjade kohaldatavust sellise identifitseerimatu DNA profiili suhtes, mis kuulub seni identifitseerimata isikule. Tegelikult kogutakse, vahetatakse ja võrreldakse neid andmeid eesmärgiga need kokku viia isikutega, kellele need kuuluvad. Kuna süsteemi eesmärk on need isikud identifitseerida ja põhimõtteliselt on need andmed üksnes ajutiselt identifitseerimata, peaks nende suhtes kohaldama enamikku kui mitte kõiki isikuandmete suhtes kohaldatavaid sätteid ja tagatisi (7).

34.

Euroopa andmekaitseinspektor tuletab DNA mittekodeeritavat osa puudutava mõistega (artikli 2 punkt e) seoses taas meelde, (8) et teaduse arenedes võib paraneda võimalus saada teatud kromosoomi piirkondadest teavet organismi pärilike omaduste kohta. Seetõttu peaks mittekodeeritava osa mõiste olema dünaamiline, et see sisaldaks kohustust mitte kasutada neid DNA markereid, mis teaduse arenedes võivad anda teavet konkreetsete pärilike omaduste kohta (9).

Automatiseeritud otsingute ja võrdluste täpsus

35.

Algatuse artiklis 8 sätestatakse DNA profiilide automatiseeritud otsing ja võrdlemine ning tõdetakse, et automaatne teatis kokkulangevuse kohta esitatakse, „kui automatiseeritud otsingu või võrdluse tulemus on saadud miinimumarvu lookuste kokkulangevusel”. See miinimumarv esitatakse lisa I peatükis: iga liikmesriik tagab, et kättesaadavaks tehtud DNA profiilid sisaldavad ELi seitsmest standardlookusest vähemalt kuut (lisa I peatüki punkt 1.1); võrreldakse taotletud ja saadud DNA profiilides tavaliselt sisalduvate võrreldavate lookuste väärtusi (punkt 1.2); kokkulangevus on olemas, kui võrreldavate lookuste kõik väärtused on samad (täielik kokkulangevus) või kui ainult üks väärtus on erinev (lähedane kokkulangevus) (punkt 1.2); teatatakse nii täielikest kui ka lähedastest kokkulangevustest (punkt 1.3).

36.

Kõnealuse mehhanismi kohta märgib Euroopa andmekaitseinspektor, et kokkulangevus peab olema tingimata täpne. Mida suurem on lookuste arv selles kokkulangevuses, seda ebatõenäolisem on, et võrreldavate DNA profiilide vaheline kokkulangevus on ekslik. DNA andmebaaside olemasolu ja struktuur on käesoleval ajal Euroopa Liidu erinevates riikides erinev. Eri riikides kasutatakse erinevat arvu lookusi ja erinevaid lookuste kogumeid. Lisas sätestatakse, et kokkulangevaid lookusi peab olema vähemalt kuus, ent ei anta teavet sellele süsteemile kavandatava veamäära kohta. Euroopa andmekaitseinspektor märgib sellega seoses, et mitmes riigis kasutatakse suurt arvu lookusi eesmärgiga suurendada kokkulangevuste täpsust ja vähendada ekslikke kokkulangevusi (10). Kavandatava süsteemi täpsuse taseme paremaks hindamiseks on oluline anda teavet iga võrreldava lookuse puhul ette nähtud veamäära kohta.

37.

See tähendab ka seda, et lookuste miinimumarv on oluline element ja seetõttu tuleks see sätestada käesoleva algatuse tekstis ja mitte lisas (mida nõukogu võib vastavalt algatuse artiklile 18 muuta kvalifitseeritud häälteenamusega ja parlamendiga konsulteerimata), eesmärgiga vältida seda, et lookuste arvu vähendamine võib mõjutada täpsust. Nõuetekohaselt tuleks võtta arvesse vigade ja ekslike kokkulangevuste võimalus, sätestades lähedastest kokkulangevustest sõnaselge teatamise (sellisel juhul on vastuvõtvad ametiasutused teadlikud, et see kokkulangevus ei ole sama usaldusväärne nagu täielik kokkulangevus).

38.

Lisaks tunnistab algatus ise sellist võimalust, et otsingud ja võrdlused loovad mitmeid kokkulangevusi, nagu on sõnaselgelt sätestatud algatuse DNA profiile puudutavas artiklis 8 ja sõidukeid puudutavas lisa 3. peatükis (punkt 1.2). Kõikidel nendel juhtudel tuleks läbi viia täiendavaid kontrolle, et teha kindlaks, millest tuleneb mitme kokkulangevuse esinemine ja millised nendest kokkulangevustest on täpsed, enne isikuandmete edasist vahetamist selle kokkulangevuse alusel.

39.

Euroopa andmekaitseinspektor soovitab samuti teavitada eelkõige DNA võrdluste ja otsingutega tegelevaid õiguskaitseasutusi tõhusamalt sellest, et DNA profiilid ei ole kordumatud identifitseerimistunnused: isegi teatud arvu lookuste täielik kokkulangevus ei välista eksliku kokkulangevuse võimalust, st võimalust, et isik seostatakse ekslikult DNA profiiliga. DNA profiilide võrdlemisel ja otsingute tegemisel võib tekkida vigu erinevatel etappidel: DNA proovide halb kvaliteet nende kogumise hetkel, DNA analüüsi võimalikud tehnilised vead, salvestamisvead või lihtsalt juhuslik kokkulangevus teatud võrdluseks võetud lookustes. Viimasena nimetatud punkti osas on veamäär tõenäoliselt suurem, kui lookuste arv väheneb ja andmebaas laieneb.

40.

Sõrmejälgede kokkulangevuse täpsust võib uurida samal viisil. Algatuse artiklis 12 on kehtestatud, et daktüloskoopiliste andmete digitaliseerimisel ja edastamisel kasutatakse lisa II peatükis määratletud ühtset andmevormingut. Lisaks tagab iga liikmesriik, et sõrmejälgede andmed on piisava kvaliteediga sõrmejälgede automatiseeritud tuvastamise süsteemiga (AFIS) võrdlemiseks. Lisa 2. peatükis on sätestatud kasutatava vormingu mõned üksikasjad. Eespool öeldut silmas pidades märgib Euroopa andmekaitseinspektor, et kokkulangevuse protsessi täpsuse tagamiseks tuleks algatuses ja selle lisas ühtlustada erinevaid liikmesriikides kasutatavaid AFIS-süsteeme ja nende kasutusviisi, eelkõige valedel alustel tagasilükkamiste määra osas. Euroopa andmekaitseinspektori arvates tuleks see teave lisada algatuse artikli 18 lõike 2 kohaselt koostatavasse juhendisse.

41.

Teine oluline küsimus on see, et DNA (ja sõrmejälgede) andmebaasid tuleks täpselt määratleda, kuna need võivad eri liikmesriikides sisaldada erinevate andmesubjektide (kurjategijate, muude kuriteopaigas viibinud isikute jne) DNA profiile või sõrmejälgi. Vaatamata neile erinevustele ei määratleta käesolevas algatuses, milliseid andmebaase igas liikmesriigis kasutatakse, samuti puuduvad lisas veel seda puudutavad avaldused. Seetõttu võib ette tulla mitteühtsete ja sageli mitte asjakohastesse kategooriatesse kuuluvate andmesubjektide DNA ja sõrmejälgede kokkulangevusi.

42.

Euroopa andmekaitseinspektori arvates tuleks algatuses täpsustada, milliseid andmesubjekte andmevahetus puudutab ja kuidas seoses võrdlemise või otsinguga teisi liikmesriike nende erinevast staatusest teavitatakse. Näiteks võiks algatuses kehtestada kohustuse esitada kokkulangevuse aruandes teavet, millisesse kategooriasse kuuluvaid andmesubjekte DNA andmete või sõrmejälgede kokkulangevus puudutab, juhul kui see teave on taotluse saanud asutustele kättesaadav.

Andmevahetuse hindamine

43.

Andmevahetuse hindamine algatuse artikli 21 ja lisa 4. peatüki kohaselt on teretulnud. Nendes sätetes keskendutakse aga üksnes automatiseeritud andmevahetuse halduslikule, tehnilisele ja rahalisele rakendamisele, jättes isegi mainimata andmekaitse-eeskirjade rakendamise hindamise.

44.

Seetõttu teeb Euroopa andmekaitseinspektor ettepaneku panna erilist rõhku andmevahetuse andmekaitse aspektide hindamisele, pöörates erilist tähelepanu sellele, millisel eesmärgil andmeid on vahetatud, andmesubjektide teavitamisviisidele, vahetatud andmete täpsusele ja ekslikele kokkulangevustele, isikuandmete saamise taotlustele, andmete säilitusaja pikkusele ja turvameetmete tõhususele. Sellega seoses tuleks nõuetekohaselt kaasata asjakohased andmekaitseasutused ja -eksperdid, sätestades näiteks, et andmekaitseeksperdid osalevad lisa 4. peatükis kehtestatud hindamisvisiidil ning et asjakohased andmekaitseasutused saavad algatuse artiklis 20 ja lisa 4. peatükis osutatud hindamisaruande.

Sidevõrk ja süsteemi tehnilised aspektid

45.

Algatuse artiklis 4 on sätestatud, et andmete elektrooniline vahetamine toimub TESTA II sidevõrgu kaudu. Sellega seoses on lisa leheküljel 76 olevas punktis 54 märgitud, et süsteem on vastavuses määruses EÜ 45/2001 (artiklid 21, 22 ja 23) ja direktiivis 95/46/EÜ esitatud andmekaitseküsimustega. Euroopa andmekaitseinspektor soovitab seda teavet selgitada, ka selles osas, milline on ühenduse institutsioonide roll kõnealuses süsteemis. Sellega seoses tuleks täielikult võtta arvesse Euroopa andmekaitseinspektori järelevalve ja nõustamise alane roll, mis tuleneb määrusest 45/2001.

46.

Lisaks kaalub Euroopa andmekaitseinspektor pärast seda, kui lisa on viimistletud ja sisaldab kõiki süsteemide omadusi selgitavaid üksikasju ja avaldusi, kas süsteemi tehnilisemate aspektide kohta on vaja esitada täiendavaid nõuandeid.

VI.   JÄRELDUSED

Euroopa andmekaitseinspektor soovitab algatust ja selle lisa avalikult arutada, võttes tegelikkuses arvesse kõikide institutsioonide panused, samuti arvestades Euroopa Parlamendi rolli kaas-seadusandjana selles valdkonnas, kui Lissabonis 13. detsembril alla kirjutatud reformileping jõustub.

Euroopa andmekaitseinspektor kutsub seadusandjat üles tagama vastavalt Euroopa Liidu lepingu artikli 30 lõike 1 punktile b andmekaitse osas selge, tõhusa ja kõikehõlmava õigusliku raamistiku (mis koosneb üldisi sätteid ja eritagatisi sisaldavatest erinevatest õigusaktidest) kehtestamise enne käesoleva algatuse jõustumist.

Sellega seoses kordab Euroopa andmekaitseinspektor ühelt poolt taas, et Prümi lepingut puudutavad nõukogu otsused ei peaks jõustuma enne, kui liikmesriigid on rakendanud kolmanda samba andmekaitset käsitleva üldise raamotsuse, mis oleks üldseadus (lex generalis), millele lisaks tuleks kohaldada Prümi lepingut puudutava nõukogu algatuse neid sätteid, millega tagatakse eritagatised ja asjakohaselt kohandatud rangemad standardid.

Teiselt poolt peaks seadusandja selgitama, et Prümi lepingut puudutava nõukogu algatuse 6. peatükis esitatud DNA ja sõrmejälgede andmeid ning sõidukiregistriandmeid puudutavaid andmekaitse erieeskirju kohaldatakse mitte üksnes nende andmete vahetamise, vaid ka nende kogumise, säilitamise ja siseriikliku töötlemise suhtes ning muude isikuandmete edastamise suhtes nõukogu otsuse kohaldamisala piires.

Euroopa andmekaitseinspektor soovitab suurendada meetmete läbipaistvust, edastades lisa lõpliku versiooni nii kiiresti kui võimalik ja luues mehhanismid, millega teavitada kodanikke süsteemide omadustest, kodanike õigustest ja nende õiguste kasutamisest.

Euroopa andmekaitseinspektor kutsub seadusandjat üles käesoleva algatuse edasisel arutamisel võtma arvesse süsteemi ulatust, tagades selle, et osalevate liikmesriikide arvu suurenemine ei vähenda selle tõhusust. Rakenduseeskirjades tuleks sätestada eelkõige andmeedastuse erivormid, võttes samuti arvesse keelte erinevused, ning pidevalt tuleks jälgida andmevahetuse täpsust.

Euroopa andmekaitseinspektor soovitab sõnaselgelt mainida asjakohaste andmekaitseasutuste keskset nõustavat rolli artiklites, mis käsitlevad rakenduseeskirjade ja nende lisade muudatusi (artikkel 18), andmekaitse-eeskirjade rakendamist liikmesriikides (artikkel 20) ja andmevahetuse hindamist (artikkel 21). Lisaks peaks algatusega tagama, et liikmesriigid annavad andmekaitseasutustele kavandatud süsteemi rakendamisest tulenevate järelevalveülesannete teostamiseks vajalikud (lisa)vahendid ja et pädevad andmekaitseasutused kohtuvad regulaarselt ELi tasandil oma tegevuse koordineerimiseks ja nende vahendite kohaldamise ühtlustamiseks.

Seetõttu kutsub Euroopa andmekaitseinspektor veel kord üles võtma kasutusele selge ja kõikehõlmava isikuandmete mõiste. Selles osas peaksid rakendussätted samuti selgitama andmekaitse-eeskirjade kohaldatavust identifitseerimatu DNA profiili (mis kuulub seni identifitseerimata isikule) suhtes. Euroopa andmekaitseinspektor tuletab taas meelde, et mittekodeeritava osa mõiste peaks olema dünaamiline, et see sisaldaks kohustust mitte kasutada neid DNA markereid, mis teaduse arenedes võivad anda teavet konkreetsete pärilike omaduste kohta.

Euroopa andmekaitseinspektor soovitab võrdlusprotsessi täpsuse nõuetekohast arvessevõtmist automatiseeritud otsingute ja võrdluste osas.

See tähendab DNA võrdlemise ja otsingute osas seda, et teavet tuleks anda iga võrreldava lookuse puhul ette nähtud veamäära kohta, lähedastest kokkulangevustest tuleks asjakohaselt teatada, mitme kokkulangevuse korral tuleks teostada täiendavaid kontrolle ning tõhusamalt teavitada sellest, et DNA profiilid ei ole kordumatud identifitseerimistunnused. Sõrmejälgede osas peaks algatuses ühtlustama nii palju kui võimalik liikmesriikides kasutatavaid erinevaid AFIS-süsteeme ja nende kasutusviisi, eelkõige valedel alustel tagasilükkamiste määrade osas.

Lisaks tuleks DNA ja sõrmejälgede andmebaasid täpselt määratleda, kuna need võivad eri liikmesriikides sisaldada erinevate andmesubjektide DNA profiile või sõrmejälgi. Algatuses tuleks täpsustada, milliseid andmesubjekte andmevahetus puudutab ja kuidas seoses võrdlemise või otsinguga teisi liikmesriike nende erinevast staatusest teavitatakse.

Euroopa andmekaitseinspektor teeb ettepaneku panna erilist rõhku andmevahetuse andmekaitse aspektide hindamisele, pöörates erilist tähelepanu sellele, millisel eesmärgil andmeid on vahetatud, andmesubjektide teavitamisviisidele, vahetatud andmete täpsusele ja ekslikele kokkulangevustele, isikuandmete saamise taotlustele, säilitusaja pikkusele ja turvameetmete tõhususele. Sellega seoses tuleks nõuetekohaselt kaasata asjakohased andmekaitseasutused ja -eksperdid.

Euroopa andmekaitseinspektor soovitab selgitada TESTA II sidevõrgu kasutamist ja selle vastavust määrusele 45/2001, samuti selles osas, milline on ühenduse institutsioonide roll kõnealuses süsteemis.

Brüssel, 19. detsember 2007.

Euroopa andmekaitseinspektor

Peter HUSTINX


(1)  ELT C 267, 9.11.2007, lk 4.

(2)  Lisa ei ole veel Euroopa Liidu Teatajas avaldatud, kuid see on esitatud dokumendis 11045/1/07 REV 1 ADD 1 ning on üldsusele kättesaadav nõukogu dokumentide registris.

(3)  ELT C 169, 21.7.2007, lk 2.

(4)  Vt hiljutist Euroopa andmekaitseinspektori arvamust Prümi lepingu kohta, punktid 57–76, ning Euroopa andmekaitseinspektori 27. aprilli 2007. aasta kolmandat arvamust nõukogu raamotsuse (kriminaalasjadega seotud politsei- ja õigusalase koostöö raames töödeldavate isikuandmete kaitse kohta) ettepaneku kohta, punkt 14 (ELT C 139, 23.6.2007, lk 1).

(5)  Kõnealuse ettepaneku viimane versioon on kättesaadav nõukogu dokumentide registris dokumendina 16397/07.

(6)  Selle punktiga seoses tuleks hoolikalt kaaluda ja arutada kolmanda samba andmekaitset käsitleva raamotsuse eelnõu viimase versiooni artikli 27b teksti.

(7)  Andmekaitse-eeskirjade kohaldatavuse kohta DNA profiilide suhtes, vaata artikli 29 kohase töörühma 20. juuni 2007. aasta arvamust 4/2007 isikuandmete mõiste kohta (WP 136, lk 8-9); samas arvamuses täpsustatakse ka sarnast juhtumit ehk andmekaitse-eeskirjade kohaldamist dünaamiliste IP-aadresside suhtes (lk 16-17).

(8)  Vt ka Euroopa andmekaitseinspektori 28. veebruari 2006. aasta arvamust nõukogu raamotsuse ettepaneku kohta, mis käsitleb teabevahetust vastavalt kättesaadavuse põhimõttele (KOM (2005)490 lõplik), punktid 58-60 (ELT C 116, 17.5.2006).

(9)  Vt vastavalt nõukogu 25. juuni 2001. aasta resolutsiooni (DNA analüüsiandmete vahetamise kohta) I lisa (ELT C 187, 3.7.2001, lk 1).

(10)  Näiteks Ühendkuningriigis suurendas riiklik DNA andmebaas DNA profiili puhul kasutatavate lookuste arvu kuuelt kümnele, eesmärgiga suurendada süsteemi usaldusväärsust.