22.6.2011   

ET

Euroopa Liidu Teataja

C 181/1

1.

4. novembril 2010. aastal võttis komisjon vastu teatise pealkirjaga „Terviklik lähenemisviis isikuandmete kaitsele Euroopa Liidus” (edaspidi „teatis”) (3). Teatis edastati Euroopa andmekaitseinspektorile konsulteerimiseks. Euroopa andmekaitseinspektor väljendab heameelt selle üle, et komisjon konsulteeris temaga vastavalt määruse (EÜ) nr 45/2001 artiklile 41. Juba enne teatise vastuvõtmist anti Euroopa andmekaitseinspektorile võimalus seda mitteametlikult kommenteerida. Mõnda neist kommentaaridest on võetud arvesse dokumendi lõppversioonis.

2.

Teatises kirjeldatakse, kuidas komisjon kavatseb läbi vaadata isikuandmete kaitset käsitleva ELi õigussüsteemi kõikides ELi tegevusvaldkondades, võttes seejuures eelkõige arvesse üleilmastumisest ja uutest tehnoloogiatest tulenevaid aspekte (4).

3.

Euroopa andmekaitseinspektor pooldab teatist üldiselt, sest ta on veendunud selles, et ELi kehtiva andmekaitset käsitleva õigusraamistiku läbivaatamine on arenevas infoühiskonnas tõhusa andmekaitse tagamiseks vajalik. Juba 25. juuli 2007. aasta arvamuses andmekaitsedirektiivi rakendamise kohta (5) jõudis Euroopa andmekaitseinspektor järeldusele, et pikemas perspektiivis tundub direktiivi 95/46/EÜ muutmine vältimatult vajalik.

4.

Teatis tähistab olulist sammu kõnealuse õigusloomealase muutuse suunas, mis omakorda oleks kõige tähtsam areng ELi andmekaitse valdkonnas alates direktiivi 95/46/EÜ vastuvõtmisest, mida peetakse üldiselt peamiseks andmekaitse nurgakiviks Euroopa Liidus (ja laiemalt võttes Euroopa Majanduspiirkonnas).

5.

Teatisega luuakse hästi eesmärgistatud läbivaatamise jaoks sobiv raamistik muuhulgas tänu sellele, et üldiselt määratakse teatisega kindlaks peamised probleemid ja väljakutsed. Euroopa andmekaitseinspektor ühineb komisjoni arvamusega, et tugevat andmekaitsesüsteemi on vaja ka tulevikus, kuna praegused andmekaitse üldpõhimõtted kehtivad endiselt ühiskonnas, kus toimuvad olulised muutused kiire tehnoloogia arengu ja üleilmastumise tõttu. Tugeva andmekaitsesüsteemi säilitamine nõuab kehtiva õiguskorra läbivaatamist.

6.

Teatises rõhutatakse õigesti seda, et väljakutsed on väga suured. Euroopa andmekaitseinspektor on väitega täielikult nõus ning rõhutab sellest tulenevat järeldust, et pakutud lahendused peavad olema vastavalt sihiteadlikud ning suurendama andmekaitse tõhusust.

7.

Kõnealuses arvamuses hinnatakse teatises pakutud lahendusi järgmise kahe kriteeriumi põhjal: sihiteadlikkus ja tõhusus. Arvamus on üldiselt soosiv. Euroopa andmekaitseinspektor toetab teatist, kuid suhtub samal ajal kriitiliselt nendesse aspektidesse, kus tema arvates võiks otsusekindlama lähenemise tulemusel tekkida tõhusam süsteem.

8.

Euroopa andmekaitseinspektor püüab käesoleva arvamusega kaasa aidata andmekaitse raamistiku edaspidisele arengule. Ta ootab komisjoni ettepanekut, mis peaks valmima 2011. aasta keskpaigaks, ning loodab, et ettepaneku tekstis kajastuvad tema soovitused. Ta märgib samuti, et teatises tunduvad olevat teatud valdkonnad, nagu andmete töötlemine Euroopa Liidu institutsioonides ja asutustes, üldõigusaktist välja jäetud. Kui komisjon otsustab tõepoolest jätta teatud valdkonnad praegu välja – millest Euroopa andmekaitseinspektoril oleks kahju – kutsub ta komisjoni üles võtma endale ülesandeks juurutada lühikese ja kindlaks määratud tähtaja jooksul terviklik struktuur.

9.

Käesolev arvamus ei eristu teistest sarnastest dokumentidest. Arvamus põhineb varasematel Euroopa andmekaitseinspektori ja Euroopa andmekaitseasutuste eri juhtudel võetud seisukohtadel. Eelkõige tuleb rõhutada, et eespool nimetatud Euroopa andmekaitseinspektori 25. juuli 2007. aasta arvamuses määrati kindlaks ja töötati välja mõned tulevase muutuse põhiosad (6). Lisaks põhineb see teiste sidusrühmadega eraelu puutumatuse ja isikuandmete kaitse teemal peetud aruteludel. Nende panusest kujunes välja väga kasulik taustteave nii teatise kui ka käesoleva arvamuse jaoks. Sellega seoses võib teha järelduse, et andmekaitse tõhususe suurendamise probleemi lahendamisel on olemas teatud sünergia.

10.

Käesoleva arvamuse veel üks oluline osa on dokument pealkirjaga „The Future of Privacy” (Eraelu puutumatuse tulevik), mis on artikli 29 alusel asutatud andmekaitse töörühma ning politsei- ja õiguskoostöö töörühma ühine panus komisjoni poolt 2009. aastal algatatud konsulteerimisele („WP document on the Future of Privacy” (Töörühma dokument eraelu puutumatuse tuleviku kohta)) (7).

11.

Hiljuti jagas Euroopa andmekaitseinspektor 15. novembri 2010. aasta pressikonverentsil oma esmaseid muljeid kõnealuse teatise kohta. Käesolevas arvamuses täpsustatakse pressikonverentsil väljendatud üldisi seisukohti (8).

12.

Lõpuks on käesolevas arvamuses kasutatud mitut Euroopa andmekaitseinspektori eelnevat arvamust ja artikli 29 alusel asutatud andmekaitse töörühma dokumenti. Viited kõnealustele arvamustele ja dokumentidele on esitatud käesoleva arvamuse vastavates kohtades.

13.

Andmekaitse-eeskirjade läbivaatamine leiab aset olulisel ajaloolisel hetkel. Teatises kirjeldatakse kõnealust tausta põhjalikult ja veenvalt. Tuginedes kõnealusele kirjeldusele, määrab Euroopa andmekaitseinspektor kindlaks neli põhimõjurit, mis määravad läbivaatamise keskkonna.

14.

Esimene mõjur on tehnoloogia areng. Kaasaja tehnoloogia on muutunud võrreldes ajaga, mil direktiiv 95/46/EÜ koostati ja vastu võeti. Tehnoloogilised nähtused, nagu pilvandmetöötlus, käitumispõhine reklaam, suhtlusvõrgud, maanteemaksu elektrooniline kogumine ja geograafilise asukoha määramise seadmed, on põhjalikult muutnud andmete töötlemise viisi ning tekitavad väga suuri andmekaitsega seotud probleeme. Euroopa andmekaitse-eeskirjade läbivaatamisel tuleb need probleemid tõhusalt lahendada.

15.

Teine mõjur on üleilmastumine. Tänu kaubanduspiirangute järkjärgulisele kaotamisele muutuvad ettevõtted üha enam piiriülesteks. Piiriülene andmetöötlus ja rahvusvaheline andmeedastus on viimastel aastatel väga oluliselt kasvanud. Lisaks sellele on andmetöötlus muutunud info- ja kommunikatsioonitehnoloogia tõttu laialt levinud tegevuseks: internet ja pilvandmetöötlus võimaldasid viia suurte andmekoguste töötlemise kohalikult tasemelt ülemaailmsele tasemele. Viimase kümne aasta jooksul on samuti toimunud rahvusvahelise politsei- ja õigusalase tegevuse sagenemine terrorismi ja muude rahvusvahelise organiseeritud kuritegevuse vormide vastase võitluse valdkonnas, mis tugines ülisuurel teabevahetusel õiguskaitse eesmärkidel. Kõik see nõuab tõsist järelemõtlemist selle üle, kuidas on võimalik globaliseerunud maailmas tõhusalt tagada isikuandmete kaitse viisil, mis ei takistaks märkimisväärselt rahvusvahelist andmetöötlust.

16.

Kolmas mõjur on Lissaboni leping. Lissaboni lepingu jõustumine tähistab andmekaitses uut ajajärku. Lisaks sellele, et ELi toimimise lepingu artikkel 16 sisaldab andmesubjektide individuaalseid õigusi, on selles sätestatud ka otsene õiguslik alus tugevale, kogu ELi hõlmavale andmekaitseseadusele. Pealegi kohustab sammaste struktuuri kaotamine Euroopa Parlamenti ja nõukogu tagama andmekaitse kõigis ELi õiguse valdkondades. Teiste sõnadega võimaldab see luua tervikliku andmekaitse õigusraamistiku, mida kohaldatakse liikmesriikide era- ja avalikus sektoris ning ELi institutsioonides ja asutustes. Stockholmi programmis (9) nenditakse selle kohta järjekindlalt, et Euroopa Liit peab looma kõikehõlmava strateegia andmete kaitsmiseks nii liidusiseselt kui selle suhetes kolmandate riikidega.

17.

Neljas mõjur on rahvusvahelistes organisatsioonidest paralleelselt toimuvad arengud. Mitmes käimasolevas arutelus osutatakse erilist tähelepanu kehtivate andmekaitset käsitlevate õigusaktide ajakohastamisele. Sellega seoses on oluline nimetada praegusi mõtteavaldusi seoses Euroopa Nõukogu konventsiooni nr 108 (10) ja eraelu puutumatust käsitlevate OECD suuniste (11) tulevase läbivaatamisega. Veel üks oluline areng on seotud isikuandmete ja eraelu puutumatuse kaitset käsitlevate rahvusvaheliste standardite vastuvõtmisega, tänu millele võidakse vastu võtta andmekaitset käsitlev õiguslikult siduv ülemaailmne õigusakt. Kõik need algatused pälvivad täielikku toetust. Algatustel peaks olema ühine eesmärk – tagada tõhus ja järjepidev andmekaitse tehnoloogilises ja üleilmastuvas keskkonnas.

18.

Tugev andmekaitse raamistik on vältimatult vajalik, pidades silmas Lissaboni lepingus, eelkõige Euroopa Liidu põhiõiguste harta artiklis 8 ja Euroopa Liidu toimimise lepingu artiklis 16 andmekaitsele omistatud tähtsust ning tugevat seost harta artikliga 7 (12).

19.

Tugev andmekaitse raamistik teenib infoühiskonnas, kus andmetöötlus on muutunud üldlevinuks, siiski ka laiemaid avalikke ja erahuve. Andmekaitse tugevdab usaldust ning usaldus on meie ühiskonna hea toimimise oluline osa. Oluline on luua selline andmekaitse kord, mis – niivõrd kuivõrd võimalik – pigem toetaks aktiivselt muid seaduspäraseid õigusi ja huve kui takistaks neid.

20.

Muud olulised õigustatud huvid on näiteks tugev Euroopa majandus, üksikisikute turvalisus ning valitsuste vastutus.

21.

ELi majandusarenguga kaasneb uute tehnoloogiate ja teenuste kasutuselevõtt ja turustamine. Infoühiskonnas sõltub info- ja kommunikatsioonitehnoloogia ja -teenuste arendamine ja edukas rakendamine usaldusest. Kui inimesed ei usalda IKTd, ei ole need tehnoloogiad tõenäoliselt edukad (13). Inimesed hakkavad usaldama IKTd ainult siis, kui nende isikuandmeid kaitstakse tõhusalt. Seetõttu peab andmekaitse olema kõnealuste tehnoloogiate ja teenuste lahutamatu osa. Tugev andmekaitse raamistik toetab Euroopa majandust kui lisaks raamistiku tugevusele seda ka kohandatakse õigesti. Sellega seoses on oluline õigusaktide edasine ühtlustamine Euroopa Liidus ja halduskoormuse vähendamine (vt käesoleva arvamuse peatükk 5).

22.

Viimastel aastatel on palju räägitud eraelu puutumatuse ja turvalisuse vahel tasakaalu leidmise vajadusest, eelkõige seoses andmetöötluse- ja -vahetusealaste õigusaktidega politsei- ja õiguskoostöö alal (14). Andmekaitset on üsna sageli ekslikult peetud takistuseks üksikisikute füüsilise turvalisuse (15) kaitsmisele täiel määral või vähemalt vältimatuks tingimuseks, mida õiguskaitseasutused peavad täitma. Kuid see ei ole siiski veel kogu tõde. Tugev andmekaitse raamistik võib turvalisust suurendada ja tugevdada. Lähtudes andmekaitse põhimõtetest – kui neid kohaldatakse korralikult –, on vastutavad töötlejad kohustatud tagama teabe täpsuse ja ajakohasuse ning õiguskaitseks mittevajalike liigsete isikuandmete kõrvaldamise süsteemist. Samal ajal võib osutada kohustustele rakendada tehnoloogilised ja korralduslikud meetmed, nagu need, mis on välja töötatud andmekaitse valdkonnas süsteemide turvalisuse tagamiseks, näiteks süsteemide kaitse andmete loata avalikustamise, neile loata juurdepääsu vastu.

23.

Andmekaitse põhimõtete järgimine võib tagada, et õiguskaitseasutused tegutsevad õigusriigi põhimõtete kohaselt, mis tekitab usaldust nende tegevuse vastu ja seega laiemas mõistes suurendab usaldust meie ühiskondades. Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artiklist 8 lähtuva kohtupraktikaga on tagatud politsei- ja kohtuasutuste õigus töödelda kõiki nende tööks vajalikke andmeid, kuid mitte piiramatult. Andmekaitse valdkond nõuab kontrollimist ja tasakaalustamist (politsei- ja kohtuasutuste kohta vt käesoleva arvamuse peatükk 9).

24.

Demokraatlikus ühiskonnas vastutab valitsus kogu oma tegevuse eest, sealhulgas isikuandmete kasutamise eest erinevates avalikes huvides. Kõnealuste kasutamisviiside hulka kuuluvad tegevused alates isikuandmete avalikustamisest internetis läbipaistvuse huvides kuni andmete kasutamiseni poliitikate toetamiseks näiteks rahvatervise, transpordi või maksustamise valdkonnas või üksikisikute jälgimiseni õiguskaitse eesmärkidel. Tugev andmekaitse raamistik võimaldab valitsustel täita oma kohustusi ja hea valitsemistava kohaselt vastutada oma tegevuse eest.

25.

Teatises on õigesti märgitud, et kehtiva raamistiku üks oluline puudujääk on see, et raamistikuga on liikmesriikidele jäetud liiga suur valikuvabadus Euroopa õigusnormide riiklikusse õigusesse rakendamisel. Infoühiskonnas, kus liikmesriikidevaheliste füüsiliste piiride tähtsus aina väheneb, on ühtlustamise puudumisel mitu ebasoovitavat tagajärge (vt käesoleva arvamuse peatükk 5).

26.

Esimene ja formaalsem põhjus, miks andmekaitse üldpõhimõtteid ei tohi ja ei saagi muuta, on õigusliku iseloomuga. Kõnealused põhimõtted on sätestatud Euroopa Nõukogu konventsioonis nr 108, mis on siduv kõigile liikmesriikidele. Sellel konventsioonil põhineb andmekaitse Euroopa Liidus. Pealegi on mõned peamised põhimõtted sõnaselgelt nimetatud Euroopa Liidu põhiõiguste harta artiklis 8. Seega nõuaks kõnealuste põhimõtete muutmine aluslepingute muutmist.

27.

See ei ole siiski veel kõik. Üldpõhimõtete mittemuutmiseks on ka kaalukad põhjused. Euroopa andmekaitseinspektor on täiesti veendunud selles, et infoühiskond ei saa ega tohi toimida üksikisikute isikuandmete ja eraelu puutumatuse piisava kaitseta. Kui töödeldakse rohkem andmeid, tuleb neid ka paremini kaitsta. Infoühiskond, kus töödeldakse väga suurt hulka igaüht käsitlevaid andmeid, tuleb rajada üksikisikupoolse kontrolli põhimõttele, et võimaldada tal toimida iseseisva isikuna ja kasutada demokraatlikus ühiskonnas oma vabadusi, nagu sõnavabadus.

28.

Lisaks sellele on raske ette kujutada üksikisikupoolset kontrolli ilma vastutavate töötlejate kohustuseta piirata töötlemist vastavalt vajalikkuse, proportsionaalsuse ja eesmärgi piiramise põhimõtetele. Samamoodi on raske ette kujutada üksikisikupoolset kontrolli andmesubjektide tunnustatud õiguste, nagu andmetega tutvumise ning nende muutmise, kustutamise ja sulgemise õiguste puudumisel.

29.

Euroopa andmekaitseinspektor rõhutab, et andmekaitset tunnustatakse kui põhiõigust. See ei tähenda, et andmekaitse peaks alati olema ülimuslik muude demokraatlikus ühiskonnas oluliste õiguste ja huvide suhtes, kuid see mõjutab ELi õigusraamistikus kehtestatava kaitse iseloomu ja ulatust selliselt, et tagab alati andmekaitsenõuete piisava arvessevõtmise.

30.

Kõnealuseid põhimõjureid võib määratleda järgmiselt.

Euroopa andmekaitseinspektor soovitab komisjonil võtta kõnealuseid mõjureid õiguslike lahenduste kavandamisel arvesse.

31.

Teatises keskendutakse õigesti andmekaitsealase õiguskorra tugevdamise vajadusele. Sellega seoses on asjakohane meelde tuletada, et töörühma dokumendis eraelu puutumatuse tuleviku kohta (17) rõhutasid andmekaitseasutused vajadust tugevdada andmekaitse valdkonna eri osaliste, nimelt andmesubjektide, andmete vastutavate töötlejate ja andmekaitseasutuste endi rolli.

32.

Tundub, et sidusrühmad on suures osas üksmeelel, et tugevam õiguskord, milles on võetud arvesse tehnoloogia arengut ja üleilmastumist, on ka tulevikus võti sihiteadlikule ja tõhusale andmekaitsele. Nagu juba punktis 7 osutatud, hindab Euroopa andmekaitseinspektor just nende kriteeriumide põhjal kõiki pakutud lahendusi.

33.

Nagu on meelde tuletatud teatises, kohaldatakse direktiivi 95/46/EÜ isikuandmete kõikide töötlemistoimingute suhtes, mida tehakse nii liikmesriikide avalikus kui ka erasektoris, erandiks on töötlemistoimingud sellise tegevuse käigus, mis jääb väljapoole endist ühenduse õigust (18). Kui kõnealune erand oli vajalik endises Euroopa Liidu lepingus, siis pärast Lissaboni lepingu jõustumist ei ole seda enam vaja. Pealegi on erand vastuolus Euroopa Liidu toimimise lepingu artikli 16 sõnastusega või vähemalt selle mõttega.

34.

Euroopa andmekaitseinspektor on seisukohal, et andmekaitsealast terviklikku õigusakti, mis hõlmab politseikoostööd ja kriminaalasjades tehtavat õigusalast koostööd, tuleb vaadelda kui ühte peamistest edusammudest, mida uus õigusraamistik võib tuua. See on tõhusa andmekaitse vältimatu tingimus tulevikus.

35.

Kõnealuse väite toetuseks toob Euroopa andmekaitseinspektor esile järgmised argumendid.

36.

Politsei- ja õiguskoostöö hõlmamine üldõigusaktiga tooks kaasa täiendavaid tagatisi kodanikele ja lisaks sellele lihtsustaks politseiasutuste tööd. Mitmete eeskirjade kohaldamine on koormav, põhjendamatult aeganõudev ning takistab rahvusvahelist koostööd (vt lisaks käesoleva arvamuse peatükk 9). Sellega on põhjendatud ka riiklike julgeolekuteenistuste töötlemistoimingute kaasamine üldõigusakti, niivõrd kuivõrd seda võimaldab kehtiv ELi õigus.

37.

Direktiivi 95/46/EÜ vastuvõtmisele 1995. aastal järgnenud perioodi võib iseloomustada kui tehnoloogiliselt tormilist aega. Uut tehnoloogiat ja rakendusi tutvustatakse sageli. Paljudel juhtudel põhjustas see olulisi muutusi üksikisikute isikuandmete töötlemise viisides. Infoühiskonda ei saa enam käsitleda tavakeskkonnaga kõrvuti eksisteeriva keskkonnana, milles üksikisikud võivad osaleda vabatahtlikult, vaid sellest on saanud meie igapäevaelu lahutamatu osa. Näiteks on asjade interneti mõiste (22) kaudu loodud seos füüsiliste objektide ja nendega seotud elektroonilise teabe vahel.

38.

Tehnoloogia areneb veelgi. See areng mõjutab uut õigusraamistikku. Kõnealune raamistik peab jääma tõhusaks rohkemateks aastateks ja samal ajal mitte takistama edasist tehnoloogia arengut. Selleks peab õiguskord olema tehnoloogiliselt neutraalne. Õigusraamistik peab siiski kaasa tooma ka suurema õiguskindluse ettevõtjatele ja üksikisikutele. Nad peavad aru saama, mida neilt oodatakse, ning saama oma õigusi teostada. Selleks peab õiguskord olema täpne.

39.

Euroopa andmekaitseinspektor on seisukohal, et andmekaitsealane üldõigusakt tuleb sõnastada võimalikult tehnoloogiliselt neutraalsel viisil. See tähendab, et eri osaliste õigused ja kohustused tuleb sõnastada üldiselt ja neutraalselt, et need jääksid põhimõtteliselt kehtivaks ja täitmisele kuuluvaks, sõltumata isikuandmete töötlemiseks valitud tehnoloogiast. Nüüdisaja kiire tehnoloogiaarengu olukorras muud valikut ei ole. Euroopa andmekaitseinspektor soovitab kehtestada praegu kehtivate andmekaitsealaste põhimõtete kõrval uued, „tehnoloogiliselt neutraalsed” õigused, mis võivad osutuda iseäranis tähtsaks kiiresti muutuvas elektroonilises keskkonnas (vt peamiselt peatükid 6 ja 7).

40.

Direktiiv 95/46/EÜ on viimased 15 aastat olnud ELi peamine andmekaitsealane õigusakt. Õigusakti rakendati liikmesriikide õigusaktides ja seda on kohaldanud eri andmekaitse valdkonna osalised. Aastate jooksul on kohaldamisel hakatud lähtuma praktilistest kogemustest ning komisjoni, andmekaitseasutuste (nii riiklikul tasandil kui ka artikli 29 alusel asutatud töörühma raames loodud asutuste) ning riiklike ja Euroopa kohtute täiendavatest suunistest.

41.

On kasulik rõhutada, et kõnealused arengud vajavad aega ning et see aeg on vajalik – eelkõige seetõttu, et tegemist on põhiõigust jõustava üldraamistikuga – õiguskindluse ja stabiilsuse loomiseks. Uus üldõigusakt tuleb koostada selliselt, et sellega saaks luua õiguskindluse ja stabiilsuse pikemaks ajaks, pidades silmas, et tehnoloogia ja üleilmastumise edasist arengut on väga keeruline ennustada. Igal juhul toetab Euroopa andmekaitseinspektor täielikult pikemaajalise õiguskindluse loomise eesmärki, mis on võrreldav direktiivi 95/46/EÜ seisukohtadega. Lühidalt öeldes: olukorras, kus tehnoloogia areneb kiiresti, peab õigus olema stabiilne.

42.

Lühiajalises perspektiivis on oluline tagada kehtiva õiguskorra tõhusus eelkõige selle täitmisele keskendumise kaudu riiklikul ja Euroopa Liidu tasandil (vt käesoleva arvamuse peatükk 11).

43.

Euroopa andmekaitseinspektor toetab täielikult terviklikku lähenemisviisi andmekaitsele, mis ei ole üksnes teatise pealkiri, vaid ka selle lähtepunkt, ning millesse kuulub tingimata üldiste andmekaitse-eeskirjade kohaldamisala laiendamine ka politseikoostööle ja kriminaalasjades tehtavale õigusalasele koostööle (23).

44.

Ta märgib siiski samuti, et komisjonil ei ole kavas hõlmata kõnealuse üldõigusaktiga kõiki andmetöötlustoiminguid. Konkreetsemalt öeldes jäetakse välja ELi institutsioonide, organite ja asutuste andmetöötlustoimingud. Komisjon märgib üksnes, et ta „hindab ka vajadust kohandada muid õigusakte uue üldise andmekaitsealase raamistikuga”.

45.

Euroopa andmekaitseinspektor eelistab selgelt ELi tasandi andmetöötluse kaasamist üldisesse õigusraamistikku. Ta tuletab meelde, et see oli esialgselt kavandatud EÜ asutamislepingu endise artikliga 286, milles nimetati esmakordselt andmekaitset aluslepingu tasandil. EÜ asutamislepingu artiklis 286 piirduti märkusega, et isikuandmete töötlemist käsitlevaid õigusakte kohaldatakse ka institutsioonide suhtes. Mis veelgi olulisem: ühe õigusakti puhul oleks välditud sätetevahelise vastuolu oht ning see sobiks kõige paremini ELi tasandi ning liikmesriikide avalik-õiguslike ja eraõiguslike üksuste vahelise andmevahetuse reguleerimiseks. Lisaks oleks sellega välditud oht, et pärast direktiivi 95/46/EÜ muutmist kaob poliitiline huvi määruse (EÜ) nr 45/2001 muutmise vastu või selle vastu, et seada kõnealune muudatus piisavalt prioriteetseks jõustumiskuupäevade vaheliste vastuolude vältimiseks.

46.

Euroopa andmekaitseinspektor kutsub komisjoni üles – juhul kui komisjon otsustab, et andmetöötluse kaasamine üldõigusakti ELi tasandil ei ole võimalik – võtma endale kohustus teha võimalikult kiiresti, soovitatavalt hiljemalt 2011. aasta lõpuks, ettepanek määruse (EÜ) nr 45/2001 kohandamiseks (mitte „hinnata kohandamise vajadust”).

47.

Samavõrd tähtis on see, et komisjon tagaks, et muud andmekaitse valdkonnad ei jääks tagaplaanile, eelkõige:

48.

Lõpetuseks võib andmekaitsealast üldõigusakti täiendada ja tõenäoliselt peabki täiendama uute valdkondlike ja erieeskirjadega, näiteks politsei- ja õigusalast koostööd ja ka muid valdkondi käsitlevate eeskirjadega (25). Vajadusel ja kooskõlas subsidiaarsuse põhimõttega tuleb kõnealused täiendavad eeskirjad vastu võtta ELi tasandil. Liikmesriigid võivad põhjendatud vajaduse korral koostada teatavates valdkondades lisaeeskirju (vt punkt 5.2).

49.

Ühtlustamine on ELi andmekaitsealase õiguse jaoks ülioluline. Teatises rõhutati õigesti, et andmekaitsel on tugev siseturumõõde, sest andmekaitse peab siseturul tagama isikuandmete vaba liikumise liikmesriikide vahel. Kehtiva direktiivi kohast ühtlustamise taset on siiski hinnatud ebarahuldavaks. Teatises tunnistatakse, et see on üheks peamiseks sidusrühmade korduvaks mureks. Konkreetsemalt öeldes rõhutasid sidusrühmad vajadust suurendada õiguskindlust, vähendada halduskoormust ja tagada majandustegevuses osalejatele võrdsed võimalused. Nagu komisjon õigesti märgib, on see probleem eelkõige andmete vastutavate töötlejate jaoks, kes on registreeritud mitmes liikmesriigis ja peavad täitma eri riikide andmekaitsealaste õigusaktide (tõenäoliselt vastuolulisi) nõudeid (26).

50.

Ühtlustamine on oluline mitte ainult siseturu puhul, vaid ka piisava andmekaitse tagamiseks. Euroopa Liidu toimimise lepingu artiklis 16 sätestatakse, et igaühel on õigus oma isikuandmete kaitsele. Selleks et seda õigust ka tegelikult järgitaks, tuleb kogu ELis tagada samaväärne kaitsetase. Töörühma dokumendis eraelu puutumatuse tuleviku kohta rõhutati, et mitmeid andmesubjektide staatusega seonduvaid sätteid ei ole kõikides liikmesriikides rakendatud ega ühtmoodi tõlgendatud (27). Globaalses ja vastastikku seotud maailmas võivad kõnealused lahknevused kahjustada või piirata üksikisikute kaitset.

51.

Euroopa andmekaitseinspektor on seisukohal, et läbivaatamise üks peamine eesmärk on täiendav ja parem ühtlustamine. Euroopa andmekaitseinspektor väljendab heameelt selle üle, et komisjon võttis endale kohustuse analüüsida võimalusi ühtlustada andmekaitse-eeskirjad ELi tasandil senisest ulatuslikumalt. Ta märgib siiski pisut üllatunult, et teatises ei ole praegusel etapil esitatud ühtegi konkreetset võimalust. Seetõttu osutab ta mõnele valdkonnale, kus vajadus ulatuslikuma ühtlustamise järele on kõige suurem (vt punkt 5.3). Täiendav ühtlustamine kõnealustes valdkondades tuleb saavutada mitte ainult siseriiklus õiguses tegutsemisruumi vähendamise kaudu, vaid ka liikmesriikides ebaõige rakendamise vältimise (vt lisaks peatükk 11) ning järjekindlama ja paremini kooskõlastatud täitmise tagamise kaudu (vt lisaks peatükk 10).

52.

Direktiivis on mitmed üldised sätted, mis jätavad seetõttu palju ruumi erinevaks rakendamiseks. Direktiivi põhjenduses 9 kinnitatakse sõnaselgelt, et liikmesriikidele on antud teatud tegutsemisruum ning et nimetatud tegutsemisruumi piires võivad direktiivi rakendamisel tekkida lahknevused. Mitmed sätted on liikmesriikides erinevalt rakendatud, nende hulgas on ka mõned üliolulised sätted (28). See olukord ei ole rahuldav ning tuleb püüelda suurema ühtluse poole.

53.

See ei tähenda, et õigusaktide erinevus tuleb täiesti välistada. Teatud valdkondades võib olla vaja paindlikkust liikmesriikide põhjendatud eripära, tähtsate avalike huvide või institutsioonilise autonoomia säilitamiseks. Euroopa andmekaitseinspektori seisukoha põhjal tuleb võimalusi liikmesriikidevahelisteks erinevusteks piirata eelkõige järgmiste konkreetsete eriolukordadega.

54.

Mõisted (direktiivi 95/46/EÜ artikkel 2). Mõisted moodustavad õigussüsteemi nurgakivi ning neid tuleb tõlgendada kõigis liikmesriikides ühtselt, ilma erisusteta rakendamise määras. Kehtiva raamistikuga seoses on kerkinud esile lahknevused, näiteks vastutava töötleja mõiste puhul (29). Euroopa andmekaitseinspektor soovitab lisada õiguskindluse suurendamiseks artikli 2 praegusele loetelule täiendavad punktid, näiteks anonüümsed andmed, varjunimega tähistatud andmed, kohtumenetlusega seotud andmed, andmeedastus ja andmekaitseametnik.

55.

Andmete töötlemise seaduslikkus (artikkel 5). Uue õigusakti põhipunktid, milles määratletakse andmetöötluse seaduslikkus, peavad olema võimalikult täpsed. Seetõttu puudub tulevases raamistikus vajadus direktiivi artikli 5 (ja 9. põhjenduse) järele, millega volitatakse liikmesriike määratlema täpsemalt andmete seadusliku töötlemise tingimused.

56.

Andmete töötlemise alused (artiklid 7 ja 8). Andmetöötluse tingimuste määratlus on kõigi andmekaitsealaste õigusaktide oluline osa. Liikmesriikidel ei peaks olema õigust kehtestada täiendavaid või muudetud andmetöötluse aluseid või jätta mõni alus kohaldamisalast välja. Erandite kehtestamise võimalus tuleb välistada või seda piirata (eelkõige tundlike andmete osas (30)). Uues õigusraamistikus tuleb selgelt sõnastada andmete töötlemise alused, piirates seeläbi kaalutlusõigust rakendamisel või täitmisel. Konkreetsemalt öeldes võib olla tarvis määratleda täpsemalt nõusoleku mõistet (vt punkt 6.5). Lisaks sellele võimaldab andmete vastutava töötleja õigustatud huvile tuginev töötlemise alus (artikli 7 punkt f) paindlikkuse tõttu väga erinevaid tõlgendusi. Seda sätet on vaja täpsustada. Veel üks säte, mida tuleb võib-olla täpsemalt määratleda, on artikli 8 lõike 2 punkt b; see võimaldab tundlike andmete töötlemist, kui see on vajalik seoses vastutava töötleja kohustuste ja eriõigustega tööõiguse valdkonnas (31).

57.

Andmesubjektide õigused (artiklid 10–15). See on üks valdkondadest, kus liikmesriigid ei ole rakendanud ega tõlgendanud järjekindlalt kõiki direktiivi osi. Andmesubjektide õigused on tõhusa andmekaitse keskne osa. Seetõttu tuleb tegutsemisruumi märkimisväärselt vähendada. Euroopa andmekaitseinspektor soovitab ühtlustada kogu ELis vastutava töötleja poolt andmesubjektidele esitatav teave.

58.

Andmete rahvusvaheline edastamine (artiklid 25–26). See valdkond tõi kaasa ulatusliku kriitika ühetaolise rakendamise puudumise tõttu Euroopa Liidus. Sidusrühmad kritiseerisid liikmesriike, kes tõlgendasid ja rakendasid piisava kaitse alaseid komisjoni otsuseid väga erinevalt. Veel üks valdkond, mida Euroopa andmekaitseinspektor soovitab täiendavalt ühtlustada, on äriühingu siduvad eeskirjad (vt peatükk 9).

59.

Riiklikud andmekaitseaustused (artikkel 28). Riiklike andmekaitseasutuste, eelkõige nende seisundi, vahendite ja volituste suhtes kohaldatakse 27 liikmesriigis väga lahknevaid eeskirju. Artikkel 28 on ebatäpsuse tõttu osaliselt soodustanud kõnealust lahknevust (32) ning seda tuleb määratleda täpsemalt kooskõlas Euroopa Kohtu otsusega kohtuasjas C-518/07 (33) (vt lisaks peatükk 10).

60.

Teatamisnõuded (direktiivi 95/46/EÜ artiklid 18–21) on veel üks valdkond, kus liikmesriikidele on seni antud märkimisväärne valikuvabadus. Teatises tunnistatakse õigustatult, et ühtlustatud süsteem tooks kaasa andmete vastutavate töötlejate kulude ja halduskoormuse vähenemise (34).

61.

Selles valdkonnas peaks lihtsustamine olema peamine eesmärk. Andmekaitseraamistiku läbivaatamine on ainulaadne võimalus kehtivate teatamisnõuete täiendavaks lihtsustamiseks ja/või nende kohaldamisala vähendamiseks. Teatises tunnistatakse, et sidusrühmad on üksmeelel, et kehtiv teatamissüsteem on koormav ja see ei anna iseenesest üksikisikute isikuandmete kaitsele lisandväärtust (35). Euroopa andmekaitseinspektor väljendab heameelt selle üle, et komisjon võttis endale kohustuse analüüsida kehtiva teatamissüsteemi lihtsustamise võimalusi.

62.

Euroopa andmekaitseinspektori arvates on kõnealuse lihtsustamise lähtepunktiks üleminek süsteemilt, kus teatamine on kohustuslik, kui ei ole sätestatud teisiti (st „erandite süsteem”), sihtotstarbelisemale süsteemile. Erandite süsteem osutus ebatõhusaks, kuna liikmesriigid rakendasid seda ebajärjekindlalt (36). Euroopa andmekaitseinspektor soovitab kaaluda järgmisi võimalusi:

Peale selle võiks kehtestada standardse üleeuroopalise teatamise vormi, et tagada ühtlane lähenemisviis nõutavale teabele.

63.

Kehtiva teatamissüsteemi läbivaatamine ei tohiks piirata eelkontrolli nõuete täiustamist, milles käsitletakse teatud töötlemiskohustusi, mis tõenäoliselt kujutavad konkreetset ohtu (nagu töötlemiskohustused suurtes infosüsteemides). Euroopa andmekaitseinspektor pooldab kõnealust eelkontrolli vajavate juhtumite mittetäieliku loetelu lisamist uude õigusakti. Selle kohta on määruses (EÜ) nr 45/2001 (üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta) (37) esitatud kasulik näide.

64.

Lõpetuseks on Euroopa andmekaitseinspektor seisukohal, et läbivaatamine on ka võimalus uuesti mõelda andmekaitse reguleerimiseks vajaliku õigusakti liigi üle. Määrus, mis on liikmesriikides vahetult kohaldatav üksik õigusakt, on kõige tõhusam vahend andmekaitse põhiõiguse kaitsmiseks ja tegeliku siseturu loomiseks, kus isikuandmed võivad liikuda vabalt ning kus andmekaitse tase on võrdne, sõltumata andmete töötlemise riigist või sektorist.

65.

Määruse puhul väheneks võimalus vastandlikeks tõlgendusteks ning põhjendamata erisusteks õiguse rakendamisel ja kohaldamisel. Lisaks sellele väheneks ELis teostatavaid töötlemistoiminguid käsitleva õiguse kindlaksmääramise tähtsus, mis on kehtiva süsteemi üks vastuolulisemaid aspekte (vt peatükk 9).

66.

Andmekaitse valdkonnas on määrus kõige põhjendatum, sest:

67.

Otsus määruse kui üldõigusakti kasuks võimaldab vajadusel, kui on nõutav paindlikkus, vastu võtta otseselt liikmesriikidele suunatud sätteid. Lisaks ei mõjuta määrus liikmesriikide pädevust võtta vajadusel vastu täiendavad ELi õigusaktidele vastavad andmekaitse-eeskirjad.

68.

Euroopa andmekaitseinspektor toetab täielikult teatises esitatud ettepanekut suurendada üksikisikute õigusi, kuna kehtivad õigusaktid ei taga täiel määral tõhusat kaitset, mis on vajalik üha keerulisemaks muutuvas digitaalses maailmas.

69.

Ühest küljest toob digitaalse maailma areng kaasa isikuandmete väga keerukal ja läbipaistmatul viisil kogumise, kasutamise ja järgneva edastamise järsu kasvu. Sageli inimesed ei tea või ei mõista, kuidas see toimub, kes kogub nende andmeid või kuidas seda kontrollida. Selle nähtuse näide on see, kui reklaamipakkujad jälgivad suunatud reklaami eesmärgil kasutajate veebilehitsemist küpsiste või sarnaste seadete abil. Kui kasutajad külastavad nende veebisaite, ei oota nad, et varjatud kolmas osapool registreerib nende külastused ja loob kasutajate elustiili või eelistuste põhjal andmestiku.

70.

Teisest küljest ergutab digitaalse maailma areng inimesi aktiivselt jagama oma isikuandmeid, näiteks suhtlusvõrkudes. Üha nooremad inimesed kasutavad suhtlusvõrke ja suhtlevad oma eakaaslastega. On küsitav, kas (noored) inimesed teadvustavad endale oma isikuandmete avalikustamise ulatust ja sellise tegevuse pikaajalist mõju.

71.

Läbipaistvus on ülioluline igas andmekaitsekorras, mitte ainult sellepärast, et see on omaette väärtus, vaid ka selle tõttu, et see võimaldab rakendada muid andmekaitsealaseid põhimõtteid. Ainult siis, kui kasutajad teavad oma andmete töötlemise kohta, saavad nad oma õigusi kasutada.

72.

Mitmes direktiivi 95/46/EÜ sättes käsitletakse läbipaistvust. Artiklid 10 ja 11 sisaldavad kohustust teavitada üksikisikuid nende isikuandmete töötlemisest. Peale selle tunnustatakse artiklis 12 üksiksiku õigust saada arusaadaval kujul koopia oma isikuandmetest (õigus tutvuda andmetega). Artiklis 15 tunnustatakse õigust tutvuda õiguslikke tagajärgi kaasa toovate automatiseeritud otsuste alustega. Sama oluline on see, et artikli 6 lõike 1 punktis a sätestatud õiglase andmetöötluse nõue sisaldab ka läbipaistvuse nõuet. Isikuandmeid ei tohi töödelda mis tahes varjatud või salajasel põhjusel.

73.

Teatises soovitatakse õigusraamistikku lisada läbipaistvuse üldpõhimõte. Selle ettepanekuga seoses rõhutab Euroopa andmekaitseinspektor, et läbipaistvuse põhimõte on juba praegu kehtiva andmekaitsealase õigusraamistiku lahutamatu osa, kuigi kaudselt. Selle põhimõtte saab tuletada läbipaistvust käsitlevatest eri sätetest, nagu on nimetatud eelmises punktis. Euroopa andmekaitseinspektori arvates võib sõnaselge läbipaistvuse põhimõtte lisamine olla kasulik nii andmete õiglase kohtlemise kehtiva sättega seotult kui ka sellega sidumata. See suurendaks õiguskindlust ja sellega kinnitataks, et vastutav töötleja peab töötlema isikuandmeid igal juhul läbipaistvalt, mitte aga ainult siis, kui seda nõutakse või kui konkreetse õigussättega teda selleks kohustatakse.

74.

Vahel on siiski olulisem täiendada kehtivaid läbipaistvust käsitlevaid sätteid, näiteks direktiivi 95/46/EÜ kehtivaid artikleid 10 ja 11. Kõnealustes sätetes on määratletud edastatav teave, kuid nad on ebatäpsed selle edastamise meetodite osas. Konkreetsemalt öeldes: Euroopa andmekaitseinspektor soovitab täiendada kehtivaid sätteid:

75.

Euroopa andmekaitseinspektor toetab isikuandmetega seotud rikkumisest teatamist käsitleva sätte lisamist üldõigusakti, mille alusel hakatakse kohaldama kohustust, mis oli hõlmatud eraelu puutumatust ja elektroonilist sidet käsitleva läbivaadatud direktiiviga, mitte ainult teatud teenusepakkujate, vaid kõigi andmete vastutavate töötlejate suhtes, nagu on teatises kavandatud. Eraelu puutumatust ja elektroonilist sidet käsitleva läbivaadatud direktiivi kohaselt kohaldatakse kohustust üksnes elektrooniliste sideteenuste pakkujate (telefoniside (sh IP-kõne) teenuse ja internetiühenduse teenuse pakkujate) suhtes. Muud andmete vastutavad töötlejad ei ole kohustusega hõlmatud. Kohustust toetavad põhjendused kehtivad täies ulatuses ka muude andmete vastutavate töötlejate suhtes peale elektrooniliste sideteenuste pakkujate.

76.

Andmeturbealasest rikkumisest teatamisel on erinevad eesmärgid. Kõige ilmsem eesmärk on toodud esile teatises – täita teabevahendi rolli inimeste teavitamisel ohtudest, millega nad isikuandmete ohustamise puhul silmitsi seisavad. Teavitamine võib aidata neil võtta vajalikud meetmed selliste ohtude maandamiseks. Näiteks, kui inimesi hoiatatakse finantsteavet mõjutavate turberikkumiste eest, saavad inimesed muuhulgas muuta parooli või blokeerida konto. Peale selle aitab teatamine turbealastest rikkumistest kaasa muude direktiivis sisalduvate põhimõtete ja kohustuste tõhusale kohaldamisele. Näiteks ergutavad turbealastest rikkumistest teatamise nõuded andmete vastutavaid töötlejaid rakendama rikkumiste vältimiseks rangemaid turvameetmeid. Lisaks on turberikkumistest teatamine vahend andmete vastutavate töötlejate vastutuskohustuse tugevdamiseks ning konkreetsemalt vastutuse suurendamiseks (vt peatükk 7). Viimaks on see vahend, et tagada õigusaktide täitmine riiklike andmekaitseasutuste poolt. Riiklike andmekaitseasutuste turberikkumisest teatamise tagajärjel võidakse alustada andmete vastutava töötleja kogu tegevuse uurimist.

77.

Eraelu puutumatust ja elektroonilist sidet käsitlevas muudetud direktiivis sisalduvaid turberikkumiste erieeskirju arutati põhjalikult kõnealuse direktiivi vastuvõtmisele eelnenud õigusraamistikku käsitleva parlamendiarutelu käigus. Kõnealuse arutelu käigus võeti arvesse artikli 29 alusel asutatud töörühma, Euroopa andmekaitseinspektori ja teiste sidusrühmade seisukohad. Eeskirjades kajastuvad eri sidusrühmade seisukohad. Eeskirjad väljendavad huvide tasakaalu: kuigi kriteeriumid, mille korral tekib kohustus rikkumisest teatada, on üksikisikute kaitsmiseks üldiselt piisavad, ei too nad kaasa liiga koormavaid kasutuid nõudeid.

78.

Andmekaitsedirektiivi artiklis 7 on loetletud kuus õiguslikku alust isikuandmete töötlemiseks. Üksikisiku nõusolek on üks nendest. Andmete vastutaval töötlejal on õigus töödelda isikuandmeid ulatuses, mille kohta on üksikisikud andnud teadliku nõusoleku oma andmete kogumiseks ja edasiseks töötlemiseks.

79.

Tegelikult on kasutajatel sageli piiratud kontroll oma andmete üle, eelkõige tehnoloogilistes keskkondades. Üks meetod, mida vahel kasutatakse, on kaudne nõusolek, ehk nõusolek, mille olemasolu on eeldatud. Nõusolekut saab eeldada inimese toimingust lähtuvalt (nt toimingut, mis seisneb veebisaidi kasutamises, käsitatakse nõusolekuna kasutaja andmete registreerimiseks reklaami eesmärgil). Nõusolekut saab eeldada ka vaikimisest või tegevusetusest (märgitud kastikesest märgi eemaldamata jätmist loetakse nõusolekuks).

80.

Direktiivi kohaselt peab kehtiv nõusolek olema teadlik, vabatahtlik ja konkreetne. See peab olema teadlik tahteavaldus, millega üksikisik annab nõusoleku töödelda oma isikuandmeid. Nõusolek peab olema antud ühemõtteliselt.

81.

Nõusolek, mis on eeldatud toimingust ning eelkõige vaikimisest või tegevusetusest, ei ole tihtipeale ühemõtteline. Alati ei ole siiski selge, milles seisneb tõeline ühemõtteline nõusolek. Mõned andmete vastutavad töötlejad kasutavad kõnealust ebamäärasust ära oma huvides, tuginedes meetoditele, mis ei sobi tõelise ühemõttelise nõusoleku andmiseks.

82.

Seetõttu toetab Euroopa andmekaitseinspektor komisjoni seisukohta, et tuleb täpsustada nõusoleku piire ja tagada, et nõusolekuks peetakse ainult kindlalt väljendatud nõusolekut. Sellega seoses soovitab Euroopa andmekaitseinspektor järgmist (39):

83.

Omavahel seotud põhimõtted „andmete liikuvus” ja „õigus olla unustatud” on esitatud teatises andmesubjektide õiguste suurendamiseks. Nad täiendavad direktiivis juba nimetatud põhimõtteid ning nendega nähakse ette andmesubjekti õigus olla vastu oma isikuandmete edasisele töötlemisele ning andmete vastutava töötleja kohustus kustutada andmed kohe, kui neid ei ole enam töötlemiseks vaja.

84.

Need kaks uut mõistet annavad infoühiskonnale, kus üha suuremal hulgal andmeid säilitatakse automaatselt ja hoitakse määramata aja jooksul, kõige suurema lisandväärtuse. Praktika näitab, et isegi kui andmesubjekt laeb ise andmed üles, on tema tegeliku kontrolli määr oma isikuandmete üle päriselt väga piiratud. Eelkõige peab see paika seoses hiiglasliku mälumahuga, mida kujutab endast tänapäeval internet. Pealegi on andmete kustutamine andmete vastutava töötleja jaoks majanduslikust aspektist lähtuvalt kulukam kui nende säilitamine. Seetõttu satub üksikisiku õiguste teostamine vastuollu loomuliku majandussuundumusega.

85.

Nii mõiste „andmete liikuvus” kui ka „õigus olla unustatud” võivad aidata kaasa tasakaalu nihutamisele andmesubjekti kasuks. Andmete liikuvuse põhimõtte eesmärk on anda üksikisikule suurem kontroll oma andmete üle, samas kui põhimõte „õigus olla unustatud” tagaks selle, et andmed kaoksid automaatselt mõne aja jooksul, isegi kui andmesubjekt ei võta selleks meetmeid või kui ta isegi ei tea, et need andmed säilitati.

86.

Konkreetsemalt öeldes mõistetakse andmete liikuvuse all kasutajatele antud võimalust muuta eelistusi oma andmete töötlemise osas, eelkõige seoses uute tehnoloogiateenustega. See kehtib üha enam teabe, sealhulgas selliste isikuandmete nagu mobiilsideandmed, säilitamise teenuste ning nende teenuste kohta, mis salvestavad pilte, e-kirju ja muud teavet, mõnikord pilvandmetöötluse teenuste abil.

87.

Üksikisikutel peab olema võimalik hõlpsalt ja vabalt teenusepakkujat vahetada ja kanda oma isikuandmed üle teise teenusepakkuja andmebaasi. Euroopa andmekitseinspektor leiab, et praegusi, direktiivis 95/46/EÜ sätestatud õigusi võiks suurendada andmete liikuvuse õiguse lisamisega eelkõige seoses infoühiskonna teenustega, et aidata üksikisikutel tagada, et teenusepakkujad ja muud asjaomased vastutavad töötlejad võimaldavad neil tutvuda nende isikuandmetega, ning samas tagades, et endised teenusepakkujad või muud vastutavad töötlejad kustutavad kõnealused andmed, isegi kui nad soovivad säilitada andmeid õiguspärastel eesmärkidel.

88.

Uuesti sätestatud „õigus olla unustatud” tagaks isikuandmete kustutamise või nende edasise kasutamise keelu, ilma et andmesubjekt peaks selleks midagi tegema, kuid tingimusel, et kõnealuseid andmeid on teatud aja jooksul säilitatud. Teiste sõnadega kehtestataks andmetele teatud säilitustähtaeg. Kõnealune põhimõte on juba leidnud kinnitust riiklike kohtute kohtuasjades või seda on rakendatud konkreetsetes sektorites, näiteks politseitoimikute, karistusregistrite või distsiplinaartoimikute puhul: mõne riigi õigusaktide kohaselt kustutakse üksikisikuid käsitlev teave automaatselt või seda ei kasutata edaspidi ega levitata, eriti kindlaks määratud ajavahemiku möödumisel ning vajaduseta kõnealust teavet eelnevalt analüüsida iga üksikjuhtumi puhul.

89.

Selles suhtes peaks uus põhimõte „õigus olla unustatud” olema seotud andmete liikuvuse põhimõttega. Sellega kaasnev lisandväärtus väljenduks selles, et andmesubjekt ei peaks tegema oma andmete kustutamiseks jõupingutusi ega näitama üles järjekindlust, kuna see peab toimuma erapooletult ja automaatselt. Üksnes väga erandlikel juhtudel, kui on võimalik tõestada vajadust andmete säilitamiseks pikema aja jooksul, võib andmete vastutaval töötlejal olla õigus andmeid säilitada. Seega kantaks tõendamiskohustus kõnealuse „õigus olla unustatud” põhimõttega üksikisikult andmete vastutavale töötlejale ning see moodustaks eraelu puutumatust tagava vaikeseade isikuandmete töötlemisel.

90.

Euroopa andmekaitseinspektor on seisukohal, et õigus olla unustatud võib osutuda eriti kasulikuks seoses infoühiskonna teenustega. Kohustus kustutada teave või hoiduda selle edasisest levitamisest kindlaks määratud ajavahemiku möödumisel on asjakohane peamiselt meedias või internetis, eriti aga suhtlusvõrkudes. Samuti oleks sellest kasu terminaliseadmete puhul: mobiilsidevahendites või arvutites talletatud andmed kustutataks automaatselt või blokeeritaks kindlaks määratud ajavahemiku möödumisel, kui seadmed ei ole enam üksikisiku valduses. Selles mõttes võib õigust olla unustatud tõlgendada eraelu kavandatud puutumatuse tagamise kohustusena.

91.

Kokkuvõtteks on Euroopa andmekaitseinspektor seisukohal, et „andmete liikuvus” ja „õigus olla unustatud” on kasulikud põhimõtted. Kõnealuste põhimõtete lisamine õigusakti võib olla mõttekas, kuid tõenäoliselt ainult elektroonilise keskkonna kohta.

92.

Direktiivis 95/46/EÜ puuduvad erieeskirjad laste isikuandmete töötlemise kohta. Direktiivis ei tunnistata vajadust laste erikaitse järele konkreetsetel asjaoludel laste haavatavuse ning selle tõttu, et laste erikaitse puudumine tekitab õiguslikku ebakindlust, eelkõige järgmistes valdkondades:

93.

Euroopa andmekaitseinspektor on seisukohal, et laste erihuvid oleksid paremini kaitstud, kui uus õigusakt sisaldaks täiendavaid sätteid, milles käsitletakse konkreetselt laste andmete kogumist ja edasist töötlemist. Lisaks tagaksid kõnealused erisätted õiguskindluse kõnealuses valdkonnas ning nendest oleks kasu andmete vastutavatele töötlejatele, kes praegu peavad täitma erinevaid õiguslikke nõudeid.

94.

Euroopa andmekaitseinspektor soovitab lisada õigusakti järgmised sätted:

95.

Üksikisikute õiguste sisuline suurendamine oleks kõnealuste õiguste täitmist tagava tõhusa menetluskorrata mõttetu. Sellega seoses soovitab Euroopa andmekaitseinspektor kollektiivse hüvitamise mehhanisme käsitlevates ELi õigusaktides ette näha sätted andmekaitse-eeskirjade rikkumiste kohta. Konkreetsemalt öeldes võivad kollektiivse hüvitamise mehhanismid, millega antakse kodanike rühmadele õigus ühendada oma kahjunõuded üheks hagiks, osutuda väga jõuliseks vahendiks andmekaitse-eeskirjade täitmise hõlbustamisel (42). Ka andmekaitseasutused on väljendanud oma toetust kõnealusele uuendusele eraelu puutumatuse tulevikku käsitlevas töörühma dokumendis.

96.

Väiksema mõjuga juhtumite puhul on ebatõenäoline, et andmekaitse-eeskirjade rikkumise tõttu kannatanud esitavad vastutavate töötlejate vastu individuaalhagisid, võttes arvesse kulusid, viivitusi, ebamäärasust, ohtusid ja kohustusi, millega nad kokku puutuvad. Kõnealuseid raskusi saab ületada või märkimisväärselt leevendada kollektiivse hüvitamise süsteemi kehtestamisega, mis annaks rikkumiste tõttu kannatanutele õiguse ühendada oma eraldiseisvad kahjunõuded üheks hagiks. Euroopa andmekaitseinspektor pooldaks ka kvalifitseeritud üksustele, nagu tarbijakaitseühendustele või avalikele asutustele, õiguse andmist esitada kahju hüvitamise hagisid andmekaitsealaste rikkumiste tõttu kannatanute nimel. Kõnealused meetmed ei tohi piirata andmesubjekti õigust esitada individuaalhagisid.

97.

Lisaks sellele, et ühishagid on olulised kahju täieliku hüvitamise või muu parandusmeetme tagamiseks, täidavad nad kaudselt hoiatava mõju suurendamise ülesannet. Kõnealuste hagidega kaasnev suurte kollektiivkahjude hüvitamise oht suurendaks oluliselt vastutavate töötlejate huvi õigusaktidele vastavuse tegeliku tagamise vastu. Sellega seoses täiendaks eeskirjade täitmise eraõigusliku tagamise laiendamine riiklikku tagamist kollektiivse hüvitamise mehhanismide kaudu.

98.

Teatises ei ole võetud seisukohta sellel teemal. Euroopa andmekaitseinspektor on teadlik Euroopa tasandil käimasolevast arutelust tarbijate kollektiivse hüvitamise mehhanismide kehtestamise teemal. Ta on samuti teadlik, tuginedes teiste õigussüsteemide kogemustele, mehhanismidega kaasnevast liigse kasutamise võimalikust ohust. Kõnealused tegurid siiski ei ole andmekaitseinspektori arvates piisavad põhjendused kõnealuste mehhanismide andmekaitsealastes õigusaktides kasutuselevõtu tagasi- või edasilükkamiseks, võttes arvesse nendega kaasnevaid hüvesid (43).

99.

Euroopa andmekaitseinspektor on seisukohal, et lisaks üksikisikute õiguste suurendamisele peab nüüdisaegne andmekaitsealane õigusakt sisaldama vajalikke vahendeid andmete vastutavate töötlejate vastutuse suurendamiseks. Konkreetsemalt peab õigusraamistik sisaldama stiimuleid andmete vastutavatele era- või avaliku sektori töötlejatele andmekaitsemeetmete ennetavaks kaasamiseks oma tegevusprotsessidesse. Esiteks oleksid kõnealused vahendid kasulikud, sest – nagu eespool öeldud – tehnoloogia areng tõi kaasa isikuandmete kogumise, kasutamise ja järgneva edastamise järsu kasvu, mis suurendab üksikisikute eraelu puutumatuse ja isikuandmete kaitsega seotud riske, mida tuleb tõhusalt tasakaalustada. Teiseks puuduvad kehtivas raamistikus – välja arvatud mõnes hästi määratletud sättes (vt allpool) – sellised vahendid ning andmete vastutavad töötlejad võivad võtta kasutusele reageeriva lähenemisviisi andmekaitse ja eraelu puutumatuse suhtes, tegutsedes ainult probleemi korral. Kõnealune lähenemisviis kajastub statistikas, mis näitab, et mittevastavus õigusaktidele ja andmete kaotsiminek on korduvad probleemid.

100.

Euroopa andmekaitseinspektori arvates ei ole kehtiv raamistik piisavalt tõhus isikuandmete kaitseks praegustes ja tulevastes tingimustes. Mida suuremad on ohud, seda suurem on vajadus rakendada konkreetseid meetmeid teabe kaitsmiseks praktilisel tasandil ja tõhusa kaitse tagamiseks. Kui kõnealuseid ennetavaid meetmeid ei rakendata tegelikkuses, jätkuvad tõenäoliselt eksimused, äpardused ja hooletu suhtumine, ohustades üksikisikute eraelu puutumatust meie üha digitaalsemaks muutuvas ühiskonnas. Tegeliku rakendamise saavutamiseks soovitab Euroopa andmekaitseinspektor võtta järgmised meetmed.

101.

Euroopa andmekaitseinspektor soovitab täiendada õigusakti uue sättega, millega kohustatakse andmete vastutavaid töötlejaid rakendama asjakohased ja tõhusad meetmed õigusaktiga ette nähtud põhimõtete ja kohustuste täitmiseks ning nõudmisel selle tõendamiseks.

102.

Sellist tüüpi säte ei ole täiesti uus. Direktiivi 95/46/EÜ artikli 6 lõikes 2 osutatakse andmete kvaliteediga seotud põhimõtetele ja nimetatakse, et „lõike 1 järgimise tagab vastutav töötleja”. Ka artikli 17 lõikes 1 kohustatakse andmete vastutavaid töötlejaid rakendama nii tehnilisi kui ka organisatsioonilisi meetmeid. Kõnealustel sätetel on siiski piiratud reguleerimisala. Vastutuse üldsätte lisamine ergutaks vastutavaid töötlejaid võtma ennetavaid meetmeid kõigi andmekaitsealaste õigusaktide sätete järgimiseks.

103.

Tulenevalt vastutust käsitlevast sättest oleksid andmete vastutavad töötlejad kohustatud kehtestama sisemised mehhanismid ja kontrollisüsteemid, mis aitavad tagada õigusraamistiku põhimõtetest ja kohustustest kinnipidamise. See nõuaks nendelt näiteks tippjuhtkonna kaasamist andmekaitsepoliitikasse; andmeteisenduskorra väljatöötamist, et tagada kõigi andmetöötlustoimingute täpne kindlakstegemine; siduva andmekaitsepoliitika kasutusele võtmist, mida tuleb lisaks sellele pidevalt läbi vaadata ja ajakohastada uute andmetöötlustoimingute hõlmamiseks; andmete kvaliteedi, teadaannete, turbe, juurdepääsu jms põhimõtete järgimist. Lisaks nõuaks see vastutavatelt töötlejatelt tõendite säilitamist nõuetele vastavuse tõestamiseks ametiasutuste nõudel. Teatud juhtudel peab olema kohustuslik ka nõuetele vastavuse tõendite esitamine üldsusele. Seda on võimalik saavutada näiteks, kehtestades vastutavatele töötlejatele kohustuse kaasata andmekaitse valdkond avalikesse (aasta) aruannetesse, kui kõnealuste aruannete koostamine on muudel põhjustel kohustuslik.

104.

On endastmõistetav, et rakendatavate sise- ja välismeetmete liigid peavad olema asjakohased ja olenema iga konkreetse juhtumi faktidest ja asjaoludest. On oluline eristada, kas vastutav töötleja töötleb paarsada kliendikirjet, mis sisaldavad üksnes nimesid ja aadresse, või ta töötleb miljonite patsientide kirjeid, mis sisaldavad nende haiguslugusid. Sama kehtib meetmete tõhususe hindamise eri viiside kohta. On olemas vajadus lähenemiste laiendamise järele.

105.

Terviklikus andmekaitsealases üldõigusaktis tuleks vastutuse puhul sätestada erinõuete asemel ainult selle olulised elemendid. Teatisega nähakse ette teatud elemendid andmete vastutavate töötlejate vastutuse suurendamiseks, mis on igati tervitatav. Konkreetsemalt öeldes toetab Euroopa andmekaitseinspektor täielikult andmekaitseametnike ametisse määramise ning eraelu puutumatusele avalduva mõju hindamise kohustuslikuks muutmist teatud künnise ületamisel.

106.

Lisaks soovitab Euroopa andmekaitseinspektor volitada Euroopa Liidu toimimise lepingu artikli 290 kohaselt komisjoni täiendama põhinõudeid, mille täitmine on vajalik vastutuse normile vastamiseks. Kõnealuste volituste abil saaks komisjon suurendada andmete vastutavate töötlejate õiguskindlust ning aidata kaasa nõuetele vastavuse ühtlustamisele kogu ELis. Niisuguste spetsiifiliste õigusaktide väljatöötamisel tuleks konsulteerida artikli 29 alusel asutatud töörühmaga ja Euroopa andmekaitseinspektoriga.

107.

Lõpuks võiksid andmekaitseasutused oma sunnivahendite rakendamise abil samuti kehtestada andmete vastutavatele töötlejatele kohustuse võtta konkreetsed vastutuse kohaldamise meetmed. Selleks tuleks andmekaitseasutustele anda uued volitused, mis võimaldaksid neil kehtestada parandusmeetmeid või sanktsioone. Näiteks tuleks luua ettevõtjasisese nõuetele vastavuse programmid eraelu kavandatud puutumatuse rakendamiseks konkreetsetes toodetes ja teenustes jne. Parandusmeetmed tuleb kehtestada sel määral, kui nad on asjakohased, proportsionaalsed ja tõhusad kohaldatavatele ja jõustatavatele õigusaktidele vastavuse tagamiseks.

108.

Eraelu kavandatud puutumatuse põhimõte viitab andmekaitse ja eraelu puutumatuse integreerimisele uutesse toodetesse, teenustesse ja protsessidesse, millega kaasneb isikuandmete töötlemine, kohe nende väljatöötamise alguses. Euroopa andmekaitseinspektori arvates on eraelu kavandatud puutumatus vastutuse põhimõtte osa. Seega peaksid andmete vastutavad töötlejad tõendama vajadusel ka seda, et nad on rakendanud eraelu kavandatud puutumatust. Hiljuti anti andmekaitse ja eraelu puutumatuse eest vastutavate volinike 32. rahvusvahelisel konverentsil välja resolutsioon, millega eraelu kavandatud puutumatus tunnistatakse eraelu puutumatuse kaitse põhiõiguse oluliseks osaks (44).

109.

Direktiiv 95/46/EÜ sisaldab mõnd eraelu kavandatud puutumatust edendavat sätet, (45) kuid selles ei tunnustata asjaomast kohustust sõnaselgelt. Euroopa andmekaitseinspektoril on heameel selle üle, et teatises toetatakse eraelu kavandatud puutumatuse põhimõtte kasutamist andmekaitse-eeskirjade järgimist tagava vahendina. Ta soovitab lisada siduv säte, millega nähakse ette kohustus tagada eraelu kavandatud puutumatus, mille aluseks võiks võtta direktiivi 95/46/EÜ põhjenduse 46 sõnastuse. Täpsemalt öeldes kohustaks kõnealune säte andmete vastutavaid töötlejaid sõnaselgelt rakendama tehnilisi ja korralduslikke meetmeid nii töötlemissüsteemi kavandamise kui ka töötlemise ajal, eelkõige selleks, et tagada isikuandmete kaitse ja välistada mis tahes omavoliline töötlemine (46).

110.

Kõnealuse sätte alusel oleksid andmete vastutavad töötlejad kohustatud muuhulgas: tagama, et andmetöötlussüsteemid on kavandatud võimalikult väikse hulga isikuandmete töötlemiseks; rakendama näiteks suhtlusvõrkudes eraelu puutumatust tagavad vaikeseaded; tagama vaikimisi üksikisiku profiili nähtamatuse teistele ning rakendama vahendeid, mis võimaldavad kasutajatel oma isikuandmeid paremini kaitsta (nt juurdepääsu kontroll, krüpteerimine).

111.

Eraelu kavandatud puutumatusele sõnaselgema osutamise eelised võib kokku võtta järgmiselt:

112.

Kõnealuse kohustuse eri mõjude tulemusel suureneks nõudlus eraelu kavandatud puutumatust austavate toodete ja teenuste järele, mis suurendaks ettevõtjate motivatsiooni kõnealuse nõudluse rahuldamiseks. Peale selle tuleks kaaluda eraldi kohustuse sätestamist, mis on suunatud nendele projekteerijatele ja tootjatele, kelle uued tooted hakkavad tõenäoliselt mõjutama andmekaitset ja eraelu puutumatust. Euroopa andmekaitseinspektor soovitab kaasata õigusakti kõnealune eraldi kohustus, mis võiks võimaldada andmete vastutavatel töötlejatel nende endi kohustusi paremini täita.

113.

Eraelu kavandatud puutumatuse põhimõtte hõlmamist õigusaktiga võib täiendada sättega, millega nähakse ette eraelu kavandatud puutumatuse üldnõuded, mida kohaldatakse kõikides sektorites ning kõigi toodete ja teenuste suhtes, näiteks kõnealuse põhimõtte kohaselt vastu võetavad nõuded kasutajate õiguste suurendamise meetmete tagamiseks.

114.

Lisaks soovitab Euroopa andmekaitseinspektor volitada Euroopa Liidu toimimise lepingu artikli 290 kohaselt komisjoni täiendama vajadusel eraelu kavandatud puutumatuse põhinõudeid valitud toodete ja teenuste osas. Kõnealuste volituste abil saaks komisjon suurendada andmete vastutavate töötlejate õiguskindlust ning aidata kaasa nõuetelevastavuse ühtlustamisele kogu ELis. Niisuguste spetsiifiliste õigusaktide väljatöötamisel tuleks konsulteerida artikli 29 alusel asutatud töörühmaga ja Euroopa andmekaitseinspektoriga (vt vastutust käsitlevat punkti 106, kus on kirjeldatud samasugust väljatöötamise viisi).

115.

Lõpuks tuleks andmekaitseasutustele anda volitused kehtestada punktis 107 juba nimetatud piiratud tingimustega sarnastel tingimustel parandusmeetmed või sanktsioonid, kui vastutavad töötlejad on ilmselgelt jätnud võtmata konkreetsed meetmed, kui see oli vajalik.

116.

Teatises tunnistatakse vajadust analüüsida ELi sertifitseerimiskavade loomist eraelu puutumatust arvestavate toodete ja teenuste jaoks. Euroopa andmekaitseinspektor toetab seda eesmärki täielikult ja soovitab lisada sätte, millega nähakse ette kõnealuste kavade loomine ja nende võimalik mõju kogu ELis, sätet saab hiljem täiendada uutes õigusaktides. Kõnealune säte peaks täiendama vastutust ja eraelu kavandatud puutumatust käsitlevaid sätteid.

117.

Vabatahtlikud sertifitseerimiskavad võimaldaksid kontrollida, et andmete vastutav töötleja on võtnud meetmeid õigusakti täitmiseks. Pealegi on tõenäoline, et sertifitseerimismärgist omavad andmete vastutavad töötlejad või isegi tooted või teenused saavad konkurentsieelise. Lisaks aitaksid sellised kavad andmekaitseasutusi järelevalve ja täitmise tagamise ülesannete teostamisel.

118.

Nagu nimetatud peatükis 2, on isikuandmete edastamine väljapoole ELi hüppeliselt kasvanud uue tehnoloogia arengu, rahvusvaheliste ettevõtete rolli ning valitsuste mõju suurenemise tõttu isikuandmete töötlemisele ja jagamisele rahvusvahelisel tasandil. See on üks peamisi kehtiva õigusraamistiku läbivaatamise vajaduse põhjusi. Seetõttu on see üks valdkondadest, millele Euroopa andmekaitseinspektor palub läheneda sihiteadlikult ja tõhusalt, sest on olemas selge vajadus terviklikuma kaitse järele andmete töötlemisel väljaspool ELi.

119.

Euroopa andmekaitseinspektori arvates tuleb pühenduda rohkem rahvusvaheliste eeskirjade väljatöötamisele. Isikuandmete kaitse taset käsitlevate eeskirjade ühtlasemaks muutmisega kogu maailmas selgineks märkimisväärselt järgimiseks kohustuslike põhimõtete sisu ning andmete edastamise tingimused. Kõnealustes ülemaailmsetes eeskirjades tuleks sobitada kõrgtasemelise andmekaitse nõuet, mis hõlmab ELi andmekaitse põhielemente, piirkondliku eripäraga.

120.

Euroopa andmekaitseinspektor väljendab oma toetust andmekaitse ja eraelu puutumatuse eest vastutavate volinike rahvusvahelise konverentsi raames seni tehtud kaugele ulatuvate eesmärkidega tööle niinimetatud Madridi standardite väljatöötamisel ja levitamisel eesmärgiga ühendada neid siduvasse õigusakti ja võimalusel algatada valitsustevaheline konverents (47). Ta kutsub komisjoni üles käivitama vajalikud algatused selle eesmärgi elluviimise hõlbustamiseks.

121.

Euroopa andmekaitseinspektori arvates on samuti oluline tagada kooskõla kõnealuse rahvusvahelisi standardeid käsitleva algatuse, ELi andmekaitseraamistiku käimasoleva läbivaatamise ja muude arengute, näiteks eraelu puutumatust käsitlevate OECD suuniste ja kolmandatele riikidele allakirjutamiseks avatud Euroopa Nõukogu konventsiooni nr 108 (vt lisaks punkt 17) käimasoleva läbivaatamise vahel. Euroopa andmekaitseinspektor leiab, et komisjonil on selles kontekstis eriline roll, määratledes seda, kuidas ta aitab kaasa kõnealuse kooskõla saavutamisele läbirääkimistel OECD ja Euroopa Nõukoguga.

122.

Kuna täielikku kooskõla saavutada on raske, jäävad mõned erisused ELi-siseste ja veelgi enam kolmandate riikide õigusaktide vahel vähemalt lähimas tulevikus püsima. Euroopa andmekaitseinspektor leiab, et uues õigusaktis tuleb selgitada kohaldatava õiguse kindlaksmääramise kriteeriumid ning tagada andmevahetusele ühtlased mehhanismid ja andmevahetuse osaliste vastutus.

123.

Esmajärjekorras tuleb õigusaktiga tagada ELi õiguse kohaldatavus isikuandmete töötlemisel väljaspool ELi, kui ELi õiguse kohaldamiseks on olemas põhjendatud nõue. Selle vajadust tõestab ELi kodanikele suunatud Euroopa-väliste pilvandmetöötluse teenuste näide. Keskkonnas, kus andmete talletamine ja töötlemine ei toimu füüsiliselt kindlas kohas, kus eri riikides asuvatel teenusepakkujatel ja -kasutajatel on vastuoluline mõju andmetele, on väga keeruline kindlaks määrata, kes vastutab konkreetse andmekaitse põhimõtte täitmise eest. Eelkõige andmekaitseasutused on andnud juhiseid direktiivi 95/46/EÜ tõlgendamise ja kohaldamise kohta sellistel juhtudel, kuid üksnes juhistest ei piisa õiguskindluste tagamiseks kõnealuses uues keskkonnas.

124.

Artikli 29 alusel asutatud töörühm rõhutas hiljutises arvamuses vajadust täpsema õigusraamistiku ja kohaldatava õiguse kindlaksmääramise lihtsama kriteeriumi järele ELi territooriumil (48).

125.

Euroopa andmekaitseinspektori arvates oleks eelistatud võimalus kehtestada õigusakt määruse kujul, mille tulemusena tekiksid ühesugused eeskirjad, mis on kohaldatavad kõigis liikmesriikides. Tänu määrusele muutuks kohaldatava õiguse kindlaksmääramise vajadus vähemoluliseks. See on üks põhjusi, miks Euroopa andmekaitseinspektor eelistab kindlalt määruse vastuvõtmist. Ka määrus võiks siiski võimaldada liikmesriikidele teatud otsustamisruumi. Teatud märkimisväärse otsustamisruumi säilitamisel uues õigusaktis toetaks Euroopa andmekaitseinspektor töörühma ettepanekut minna eri siseriiklike õigusaktide distributiivsest kohaldamisest üle ühtsete õigusaktide tsentraliseeritud kohaldamisele kõigis liikmesriikides, kus tegutseb vastutav töötleja. Samuti ootab ta liikmesriikidevaheliste juhtumite ja kaebustega seoses andmekaitseasutuste vahelist tihedamat koostööd ja kooskõlastustegevust (vt peatükk 10).

126.

Sidususe ja kõrgetasemeliste kriteeriumide vajadust tuleb arvesse võtta mitte ainult seoses ülemaailmsete andmekaitse põhimõtetega, vaid ka andmete rahvusvahelise edastamisega. Euroopa andmekaitseinspektor toetab täielikult komisjoni eesmärki ühtlustada kehtivad rahvusvahelise andmeedastuse menetlused ning tagada senisest ühtsem ja rohkem sidus lähenemisviis kolmandate riikide ja rahvusvaheliste organisatsioonide suhtes.

127.

Andmevahetuse mehhanism hõlmab nii erasektoris toimuvat andmeedastust, eelkõige lepingutingimuste või äriühingu siduvate eeskirjade alusel, kui ka ametiasutustevahelist andmeedastust. Äriühingu siduvad eeskirjad on üks valdkondadest, kus oleks soovitatav kasutusele võtta rohkem sidus ja ühtlasem lähenemisviis. Euroopa andmekaitseinspektor soovitab sätestada uues õigusaktis äriühingu siduvatele eeskirjadele esitatavad tingimused (49) sõnaselgelt järgmiselt:

128.

Komisjon on korduvalt rõhutanud andmekaitse tugevdamise tähtsust õigusaktide täitmise tagamise ja kuritegude vältimise valdkonnas, kus isikuandmete vahetamine ja kasutamine on märkimisväärselt kasvanud. Ka Euroopa Ülemkogu heaks kiidetud Stockholmi programmis osutatakse tugevale andmekaitsekorrale kui ELi selle valdkonna infohaldusstrateegia peamisele eeltingimusele (50).

129.

Üldise andmekaitseraamistiku läbivaatamine on ideaalne võimalus teha selles vallas edusamme, eriti kuna teatises märgitakse õigesti, et raamotsus 2008/977 on puudulik (51).

130.

Euroopa andmekaitseinspektor arutles käesoleva arvamuse punktis 3.2.5 politseikoostöö ja õigusalase koostöö valdkonna üldõigusakti kaasamise vajaduse üle. Politseikoostöö ja õigusalase koostöö valdkonna hõlmamisel on mitu täiendavat eelist. See tähendab, et eeskirju hakatakse kohaldama lisaks piiriülesele andmevahetusele (52) ka riikliku töötlemise suhtes. Sellega tagatakse paremini piisav kaitse isikuandmete vahetamisel kolmandate riikidega, sealhulgas rahvusvahelise lepingute alusel. Lisaks sellele saavad andmekaitseasutused politsei ja kohtuasutuste suhtes samasuguseid laialdasi ja ühtseid volitusi, nagu neil on muude andmete vastutavate töötlejate suhtes. Lõpetuseks tuleb kohaldada praegust artiklit 13, millega nähakse ette liikmesriikide õigus võtta vastu eriõigusaktid üldõigusaktikohaste kohustuste ja õiguste piiramiseks konkreetsetes avalikes huvides, sama piiratult, nagu ka muudes valdkondades. Konkreetsemalt öeldes peavad ka politsei- ja õiguskoostööd käsitlevad siseriiklikud õigusaktid olema kooskõlas üldõigusaktiga selles valdkonnas ette nähtud kaitse erisätetega.

131.

Kõnealuse valdkonna hõlmamine õigusaktiga siiski ei välista vajadust kehtestada erieeskirjad ja erandid, milles kooskõlas Lissaboni lepingule lisatud 21. deklaratsiooniga võetakse piisavalt arvesse kõnealuse valdkonna eripära. Andmesubjektide õigusi võib piirata, kuid sellised piirangud peavad olema vajalikud, proportsionaalsed ega tohi muuta põhiõiguse peamisi elemente kui selliseid. Sellega seoses tuleb rõhutada, et direktiivi 95/46/EÜ ja selle artiklit 13 kohaldatakse praegu mitmes õiguskaitse valdkonnas (nt maksustamine, toll, pettusevastane võitlus), mis ei erine põhiolemuselt paljudest politsei- ja õiguskoostöö valdkonna tegevustest.

132.

Peale selle tuleb kehtestada kaitse erimeetmed, et korvata andmesubjektide õiguste piiramist täiendava kaitse tagamisega valdkonnas, kus isikuandmete töötlemine võib olla rohkem sekkuv.

133.

Sellest tulenevalt leiab Euroopa andmekaitseinspektor, et uues õigusraamistikus tuleb kooskõlas konventsiooniga nr 108 ja ministrite komitee soovitusega nr R (87) 15 hõlmata vähemalt järgmisi sätteid:

134.

Teatises märgitakse, et „raamotsus ei asenda ELi tasandil politseikoostöö ja kriminaalasjades tehtava õigusalase koostöö kohta vastuvõetud valdkonnapõhiseid õigusakte, eelkõige neid, mis hõlmavad Europoli, Eurojusti, Schengeni infosüsteemi (SIS) ja tolliinfosüsteemi toimimist ning millega on kehtestatud konkreetne andmekaitsekord ja/või milles on tavaliselt viidatud Euroopa Nõukogu andmekaitsealastele dokumentidele.”

135.

Euroopa andmekaitseinspektori arvates peab uus õigusraamistik olema võimalikult selge, lihtne ja terviklik. Kui on olemas mitu erinevat kaitsekorda, näiteks eraldi Europoli, Eurojusti, Schengeni infosüsteemi ja Prümi otsuse kohase koostöö suhtes, siis andmekaitse-eeskirjade järgimine jääb keeruliseks või muutub isegi veel keerulisemaks. See on üks põhjusi, miks Euroopa andmekaitseinspektor pooldab kõiki valdkondi hõlmavat õigusakti.

136.

Euroopa andmekaitseinspektor mõistab siiski, et eri süsteemide eeskirjade ühtlustamine nõuab märkimisväärset tööd, mida tuleb teha hoolikalt. Euroopa andmekaitseinspektor leiab, et teatises nimetatud etapiviisiline lähenemine on mõttekas niivõrd, kuivõrd kõrgetasemelise andmekaitse tervikliku ja tõhusa tagamise kohustus on selge ja ilmne. Täpsemalt öeldes:

137.

Euroopa andmekaitseinspektor toetab täielikult komisjoni eesmärki lahendada andmekaitseasutuste staatuse küsimus, täpsemalt suurendada nende sõltumatust, vahendeid ja sunnivahendite rakendamise volitust.

138.

Lisaks sellele toonitab Euroopa andmekaitseinspektor vajadust selgitada uues õigusaktis olulist andmekaitseasutuste sõltumatuse mõistet. Euroopa Kohus on hiljuti teinud sel teemal otsuse kohtuasjas C-518/07, (54) kus ta rõhutas, et sõltumatus tähendab igasuguse välise mõju puudumist. Andmekaitseasutus ei tohi küsida ega vastu võtta juhiseid mitte kelleltki. Euroopa andmekaitseinspektor soovitab sätestada õigusaktis sõnaselgelt kõnealused sõltumatuse elemendid.

139.

Andmekaitseasutustele tuleb ülesannete täitmiseks anda piisavad inim- ja finantsressursid. Euroopa andmekaitseinspektor soovitab lisada kõnealune nõue õigusakti (55). Lõpetuseks rõhutab ta vajadust tagada, et ametiasutuste volitused on uurimistegevuseks ning märkimisväärse hoiatava mõjuga meetmete ja parandusmeetmete ning sanktsioonide kehtestamiseks täiesti ühtsed. See suurendaks andmesubjektide ja andmete vastutavate töötlejate õiguskindlust.

140.

Andmekaitseasutuste sõltumatuse, vahendite ja volituste suurendamisega peaks kaasnema mitmepoolse koostöö tugevdamine, eriti seoses andmekaitseprobleemide kasvuga Euroopa tasandil. Selle koostöö põhiinfrastruktuurina tuleb kasutada ilmselgelt artikli 29 alusel asutatud töörühma.

141.

Ajalugu näitab, et töörühma moodustamisest 1997. aastal kuni praeguse ajani on rühma toimimine järjest arenenud. Rühm muutus sõltumatumaks ja ei pruugi tegelikkuses enam olla komisjoni tavaline nõuandev töörühm. Euroopa andmekaitseinspektor soovitab veelgi parandada töörühma toimimist, sealhulgas täiustada selle infrastruktuuri ja suurendada sõltumatust.

142.

Euroopa andmekaitseinspektor on seiskohal, et töörühma tugevus on tihedalt seotud selle liikmete sõltumatusega ja volitustega. Uue õigusraamistikuga tuleb tagada töörühma sõltumatus vastavalt Euroopa Kohtu poolt kohtuasjas C-518/07 andmekaitseasutuste täieliku sõltumatuse osas välja töötatud kriteeriumidele. Euroopa andmekaitseinspektor leiab, et lisaks sellele tuleb töörühma tegevuse toetamiseks anda talle piisavad vahendid ja eelarve ning tugevdada selle sekretariaati.

143.

Andmekaitseinspektor väärtustab seda, et töörühma sekretariaat kuulub õigusküsimuste peadirektoraadi andmekaitse üksusse, selle eelis on, et ka töörühm ise saab kasutada tõhusaid ja koostööalteid kontakte ning ajakohastatud teavet andmekaitse valdkonna arengute kohta. Teisest küljest peab ta küsitavaks asjaolu, et komisjon (täpsemini kõnealune üksus) on samaaegselt töörühma liige, sekretariaat ja töörühma arvamuste adressaat. Selline olukord kinnitab vajadust sekretariaadi suurema iseseisvuse järele. Euroopa andmekaitseinspektor soovitab komisjonil hinnata tihedas koostöös sidusrühmadega, kuidas kõnealust iseseisvust paremini tagada.

144.

Lõpetuseks, andmekaitseasutuste volituste suurendamine nõuab ka suuremaid töörühma volitusi ja sellist töörühma struktuuri, mis hõlmab paremaid eeskirju ja kaitsemeetmeid ning on läbipaistvam. Töörühma volitusi suurendatakse ja struktuuri täiustatakse nii töörühma nõuandva kui ka täitmise tagamise rolliga seoses.

145.

Komisjoni nõustamise raames väljendatud töörühma seisukohti, eriti direktiivi ja muude andmekaitsealaste õigusaktide põhimõtete tõlgendamise ja kohaldamise kohta, tuleb tõhusalt rakendada, ehk teiste sõnadega tuleb tagada töörühma seisukohtade autoriteetsus. Andmekaitseasutused peavad veel arutama selle üle, kuidas lisada kõnealune põhimõte õigusakti.

146.

Euroopa andmekaitseinspektor soovitab pakkuda selliseid lahendusi, mis suurendaksid töörühma arvamuste autoriteetsust, muutmata märkimisväärselt selle toimimisviisi. Euroopa andmekaitseinspektor soovitab lisada õigusakti andmekaitseasutuste ja komisjoni kohustuse järgida täiel määral arvamusi ja ühiseid seisukohti, mille on vastu võtnud töörühm, tuginedes elektroonilise side Euroopa reguleerivate asutuste ühendatud ameti (BEREC) (56) seisukohtade jaoks vastu võetud mudelile. Pealegi võidakse uue õigusaktiga anda töörühmale sõnaselge ülesanne „tõlgendusi sisaldavate soovituste” vastuvõtmiseks. Kõnealused alternatiivlahendused tugevdaksid töörühma seisukohtade rolli, ka kohtutes.

147.

Kehtiva raamistiku kohaselt on andmekaitsealaste õigusaktide täitmise tagamine liikmesriikides jäetud 27 andmekaitseasutuse ülesandeks, seoses millega on neile antud väga väike kooskõlastamisvõimalus erijuhtumite käsitlemiseks. Juhtumite puhul, mis käsitlevad mitut liikmesriiki või millel on selgelt rahvusvaheline mõõde, mitmekordistuvad ettevõtjate kulud, kes peavad tegema samu tegevusi erinevates avalikes asutustes, mis aga suurendab ebaühtlase kohaldamise ohtu: erandjuhtudel võib üks andmekaitseasutus pidada töötlemistoiminguid seaduslikeks, teine aga need keelata.

148.

Mõned juhtumid on strateegilise mõõtmega ning tuleb lahendada tsentraliseeritult. Artikli 29 alusel asutatud töörühm hõlbustab andmekaitseasutuste vahelist kooskõlastamist ja täitmise tagamist (57) sellise rahvusvahelise mõjuga suurtes andmekaitsealastes küsimustes. Nii oli see suhtlusvõrkude ja otsingumootorite puhul (58) ning eri liikmesriikides telekommunikatsiooni ja ravikindlustuse valdkondades läbi viidud kooskõlastatud kontrollide puhul.

149.

Töörühma täidesaatmisealased meetmed on kehtivas raamistikus siiski piiratud. Töörühm saab võtta ühiseid seisukohti, kuid puudub vahend nende tõhusa rakendamise tagamiseks praktikas.

150.

Euroopa andmekaitseinspektor soovitab lisada õigusakti täiendavad sätted, mis võivad toetada täitmise kooskõlastatud tagamist, eelkõige:

151.

Euroopa andmekaitseinspektor hoiatab rangemate meetmete, nagu artikli 29 alusel asutatud töörühma seisukohtade siduvaks muutmine, kehtestamise eest. See kahjustaks üksikute andmekaitseasutuste sõltumatust, mille peavad tagama liikmesriigid siseriikliku õiguse kohaselt. Kui töörühma otsused muutuvad otseselt kohaldatavateks kolmandate isikute, näiteks andmete vastutavate töötlejate suhtes, tuleb näha ette uus kord, mis hõlmaks selliseid kaitsemeetmeid, nagu läbipaistvus ja hüvitamise mehhanismid, sealhulgas Euroopa Kohtule apellatsiooni esitamise võimalus.

152.

Euroopa andmekaitseinspektori ja töörühma vahelise koostöö teostamise viisi võiks ka parandada. Euroopa andmekaitseinspektor on töörühma liige ja ta osaleb töörühma seisukohtade väljakujundamisel ELi strateegiliste põhiarengute suhtes, tagades samal ajal kõnealuste seisukohtade kooskõla enda seisukohtadega. Euroopa andmekaitseinspektor märgib, et eraelu puutumatusega seotud probleemide arv kasvab nii era- kui ka avalikus sektoris, see kasv avaldab mõju riiklikul tasandil paljudes liikmesriikides ning valdkondades, kus töörühmal on täita eriline roll.

153.

Euroopa andmekaitseinspektoril on täiendav ülesanne – nõustada ELis toimuvate arengusuundade teemal, mis tuleb säilitada. Euroopa Liidu organina teostab ta ELi institutsioonide nõustamise pädevust samamoodi, nagu riiklikud andmekaitseasutused nõustavad oma valitsusi.

154.

Euroopa andmekaitseinspektor ja töörühm tegutsevad lähtuvalt erinevatest, kuid üksteist täiendavatest vaatenurkadest. Seetõttu tuleb säilitada ja võib-olla parandada töörühma ja Euroopa andmekaitseinspektori vahelist kooskõlastamist, et tagada nende koostöö peamiste andmekaitseprobleemide lahendamisel, näiteks päevakorra korrapärase kooskõlastamise (61) ning läbipaistvuse tagamise kaudu riikliku või spetsiifilise ELi tasandi mõõtmega teemade korral.

155.

Kehtivas direktiivis ei ole käsitletud kooskõlastamist sel lihtsal põhjusel, et Euroopa andmekaitseinspektori ametit ei olnud direktiivi vastuvõtmise ajal olemas, kuid kuue aasta möödudes vastastikuse täiendamise algusest on Euroopa andmekaitseinspektori ja töörühma vastastikune täiendamine ilmne ja seda võiks ametlikult tunnustada. Euroopa andmekaitseinspektor tuletab meelde, et määruse (EÜ) nr 45/2001 kohaselt lasub tal kohustus teha koostööd riiklike andmekaitseasutustega ja osaleda töörühma töös. Euroopa andmekaitseinspektor soovitab uues õigusaktis sõnaselgelt koostööd nimetada ja vajadusel reguleerida seda, näiteks koostöömenetluse sätestamise kaudu.

156.

Eespool nimetatud kaalutlused kehtivad ka valdkondade kohta, kus järelevalve tuleb kooskõlastada Euroopa Liidu ja riikliku tasandi vahel. Nii on see näiteks ELi asutuste puhul, kes töötlevad märkimisväärses koguses riiklike ametiasutuste edastatud andmeid, või Euroopa Liidu ja riikliku tasandi koostisosi sisaldavate suurte infosüsteemide puhul.

157.

Mõne ELi asutuse praegune süsteem ja suured infosüsteemid – näiteks Europoli, Eurojusti ja esimese põlvkonna Schengeni infosüsteemi (SIS) kontrollivad ühised järelevalveasutused, kuhu kuuluvad riiklike andmekaitseasutuste esindajad – on Lissaboni lepingu eelse aja valitsustevahelise koostöö pärand ning neis ei ole arvestatud Euroopa Liidu institutsioonilist struktuuri, millesse Europol ja Eurojust nüüd lahutamatult kuuluvad ning millesse on nüüd lisatud ka Schengeni acquis’ sätted (62).

158.

Teatises teatatakse, et komisjon algatab 2011. aastal konsultatsiooni sidusrühmadega kõnealuste järelevalvesüsteemide läbivaatamise üle. Euroopa andmekaitseinspektor kutsub komisjoni üles võtma võimalikult kiiresti (lühikese ja kindlaks määratud tähtaja jooksul, vt eespool) seisukoha käimasolevas järelevalvet käsitlevas arutelus. Ta võtab kõnealuses arutelus järgmise seisukoha.

159.

Alustuseks tuleb tagada, et kõik järelevalveasutused vastavad sõltumatuse, vahendite ja sunnivahendite rakendamise volituste vältimatutele kriteeriumidele. Pealegi tuleb tagada ELi tasandil väljendatud seisukohtade ja eksperdiarvamuste arvessevõtmine. See tähendab, et koostöö peab toimuma mitte ainult riiklike ametiasutuste vahel, vaid ka Euroopa andmekaitseasutusega (hetkel Euroopa andmekaitseinspektoriga). Euroopa andmekaitseinspektor peab vajalikuks järgida mudelit, mis vastab kõnealustele nõuetele (63).

160.

Viimaste aastate jooksul töötati välja kooskõlastatud järelevalve mudel. Kõnealune järelevalve mudel, mida praegu kasutatakse Eurodacis ja osaliselt tolliinfosüsteemis, võetakse varsti kasutusele viisainfosüsteemis (VIS) ja teise põlvkonna Schengeni infosüsteemis (SIS II). Kõnealune mudel koosneb kolmest tasemest: 1) riikliku tasandi järelevalve tagavad andmekaitseasutused; 2) ELi tasandi järelevalve tagab Euroopa andmekaitseinspektor; 3) kooskõlastamine tagatakse korrapäraste koosolekute kaudu, mille kutsub kokku Euroopa andmekaitseinspektor, kes täidab kõnealuse kooskõlastusmehhanismi sekretariaadi rolli. See mudel on osutunud edukaks ja tõhusaks ning tuleb kaaluda selle kasutuselevõttu muude infosüsteemide osas.

161.

Läbivaatamise käigus tuleb teha jõupingutusi kehtivate eeskirjade täieliku ja tõhusa rakendamise tagamiseks. Kõnealuseid eeskirju kohaldatakse ikkagi kuni tulevase raamistiku vastuvõtmiseni ja rakendamiseni liikmesriikide siseriiklikus õiguses. Selles osas võib nimetada mitut tegevusliini.

162.

Esiteks peaks komisjon jätkama selle kontrollimist, kuidas liikmesriigid täidavad direktiivi 95/46/EÜ, ja vajadusel kasutama ELi toimimise lepingu artiklist 258 tulenevaid volitusi. Hiljuti algatati rikkumismenetlus direktiivi artikli 28 nõuetekohase rakendamata jätmise kohta seoses andmekaitseasutuste sõltumatuse tingimusega (64). Ka muudes valdkondades tuleb kontrollida, kas eeskirju järgitakse täies ulatuses, ja tagada, et seda tehakse (65). Seetõttu väljendab Euroopa andmekaitseinspektor heameelt selle üle, et komisjon võttis teatises endale kohustuse olla karm rikkumiste suhtes ning toetab seda täielikult. Komisjon peaks samuti jätkama struktureeritud dialoogi liikmesriikidega rakendamise üle (66).

163.

Teiseks tuleb soodustada täitmist riiklikul tasandil, et tagada andmekaitse-eeskirjade tegelik kohaldamine, sealhulgas uute tehnoloogiliste nähtuste ja rahvusvaheliste osaliste suhtes. Andmekaitseasutused peavad kasutama täiel määral oma uurimis- ja sanktsioonide kehtestamise volitusi. Samuti on oluline ka tegelikult kohaldada täiel määral andmesubjektide olemasolevaid õigusi, eelkõige andmetega tutvumise õigusi.

164.

Kolmandaks tundub, et lühiajalises perspektiivis on vaja paremini kooskõlastada täidesaatmistegevus. Sellega seoses on väga oluline artikli 29 alusel asutatud töörühma ja tema tõlgendusdokumentide roll, kuid ka andmekaitseasutused peavad nende elluviimisel andma endast parima. Tuleb vältida vastuolulisi lahendeid ELi või rahvusvahelise tasandi juhtumites ning töörühma sees saab ja tuleb saavutada ühine lähenemine. Töörühma egiidi all läbiviidavad ELi tasandi kooskõlastatud uurimised võivad samuti anda märkimisväärse lisandväärtuse.

165.

Neljandaks tuleb lisada uutesse eeskirjadesse, mis võivad andmekaitse valdkonda kas otseselt või kaudselt mõjutada, andmekaitsepõhimõtted kohe algusest peale. Euroopa andmekaitseinspektor teeb ELi tasandil märkimisväärseid jõupingutusi ELi õigusaktide paremaks muutmisele kaasaaitamiseks ning sarnaseid jõupingutusi tuleb teha ka liikmesriikide tasandil. Seetõttu peaksid andmekaitseasutused kasutama täiel määral oma nõustamisvolitusi sellise ennetava lähenemisviisi tagamiseks. Andmekaitseasutused, sealhulgas Euroopa andmekaitseinspektor, võivad samuti etendada ennetavat rolli tehnoloogia arengu jälgimisel. Jälgimine on väga oluline uute suundumuste varajaseks kindlakstegemiseks, andmekaitsele avaldatava võimaliku mõju esiletõstmiseks, andmekaitset soodustavate lahenduste toetamiseks ja sidusrühmade teadlikkuse tõstmiseks.

166.

Lõpuks tuleb aktiivselt püüelda andmekaitse valdkonna eri osaliste vahelise koostöö suurendamise poole rahvusvahelisel tasandil. Seetõttu on oluline täiendada rahvusvahelisi koostöövahendeid. Sellised algatused nagu Madridi standardid ning Euroopa Nõukogus ja OECDs käimasolev töö pälvivad täielikku toetust. Sellega seoses on väga positiivne, et ka USA föderaalne kaubanduskomisjon on andmekaitse ja eraelu puutumatuse eest vastutavate volinike rahvusvahelise konverentsi raames nüüd ühinenud nende meeskonnaga.

167.

Euroopa andmekaitseinspektor üldiselt tervitab komisjoni teatist, sest ta on veendunud selles, et kehtiva andmekaitse õigusraamistiku läbivaatamine on vajalik tõhusa andmekaitse tagamiseks üha kiiremini arenevas globaalses infoühiskonnas.

168.

Teatises tuuakse välja peamised probleemid ja väljakutsed. Euroopa andmekaitseinspektor ühineb komisjoni arvamusega, et tugevat andmekaitsesüsteemi on vaja ka tulevikus, kuna praegused andmekaitse üldpõhimõtted kehtivad endiselt sellises ühiskonnas, kus toimuvad olulised muutused. Euroopa andmekaitseinspektor ühineb teatises esitatud seisukohaga, et väljakutsed on väga suured, ja rõhutab sellest tulenevat järeldust, et pakutavad lahendused peavad olema sihiteadlikud ning suurendama andmekaitse tõhusust. Seetõttu palub ta mitmes küsimuses kasutusele võtta sihiteadlikum lähenemisviis.

169.

Euroopa andmekaitseinspektor toetab täielikult terviklikku lähenemisviisi andmekaitsele. Ta väljendab siiski kahetsust, et teatises on jäetud üldõigusaktist välja teatud valdkonnad, nagu andmete töötlemine Euroopa Liidu institutsioonides ja asutustes. Kui komisjon otsustab jätta kõnealused valdkonnad välja, kutsub Euroopa andmekaitseinspektor komisjoni üles võtma võimalikult kiiresti, kuid soovitatavalt hiljemalt 2011. aasta lõpuks, vastu ettepanek ELi tasandi andmekaitse kohta.

170.

Kõnealuse läbivaatamise lähtepunktid on Euroopa andmekaitseinspektori arvates järgmised:

171.

Euroopa andmekaitseinspektor väljendab heameelt selle üle, et komisjon võttis endale kohustuse analüüsida võimalusi ühtlustada andmekaitse-eeskirju ELi tasandil senisest enam. Euroopa andmekaitseinspektor määrab kindlaks valdkonnad, kus vajadus täiendava ja parema ühtlustamise järele on kõige suurem: mõisted, andmete töötlemise alused, andmesubjektide õigused, rahvusvaheline andmeedastus ja andmekaitseasutused.

172.

Euroopa andmekaitseinspektor soovitab kaaluda järgmisi võimalusi teatamisnõuete lihtsustamiseks ja/või nende kohaldamisala vähendamiseks:

173.

Määrus, mis on kõikides liikmesriikides vahetult kohaldatav üksik õigusakt, on Euroopa andmekaitseinspektori arvates kõige tõhusam vahend andmekaitse põhiõiguse kaitsmiseks ja edasise ühtlustamise saavutamiseks siseturul.

174.

Euroopa andmekaitseinspektor toetab teatises esitatud ettepanekut suurendada üksikisikute õigusi. Ta teeb järgmised soovitused.

175.

Uus raamistik peab sisaldama stiimuleid andmete vastutavatele töötlejatele andmekaitsemeetmete ennetavaks kaasamiseks oma tegevusprotsessidesse. Euroopa andmekaitseinspektor teeb ettepaneku kehtestada vastutuse ja eraelu kavandatud puutumatuse üldsätted. Lisaks tuleb kehtestada säte eraelu puutumatuse kaitse sertifitseerimiskavade kohta.

176.

Euroopa andmekaitseinspektor väljendab oma toetust andmekaitse ja eraelu puutumatuse eest vastutavate volinike rahvusvahelise konverentsi raames tehtud kaugeleulatuvate eesmärkidega tööle niinimetatud Madridi standardite väljatöötamisel eesmärgiga ühendada need siduvasse õigusakti ja võimalusel algatada valitsustevaheline konverents. Euroopa andmekaitseinspektor kutsub komisjoni üles tegema selles vallas tihedat koostööd OECD ja Euroopa Nõukoguga.

177.

Uues õigusaktis tuleb selgitada kohaldatava õiguse kindlaksmääramise kriteeriumid. Tuleb tagada, et väljaspool ELi töödeldavad andmed ei välju ELi jurisdiktsiooni alt, kui on olemas põhjendatud nõue ELi õiguse kohaldamiseks. Kui õigusraamistik oleks määruse vormis, kehtiksid kõigis liikmesriikides ühesugused eeskirjad ning kohaldatava õiguse kindlaksmääramine muutuks (Euroopa Liidus) vähemtähtsaks.

178.

Euroopa andmekaitseinspektor toetab täielikult eesmärki tagada senisest ühtsem ja rohkem sidus lähenemisviis kolmandate riikide ja rahvusvaheliste organisatsioonide suhtes. Õigusakti tuleb kaasata äriühingu siduvad eeskirjad.

179.

Terviklik õigusakt, mis hõlmab politseikoostöö ja õigusalase koostöö valdkonda, võimaldab vastu võtta erieeskirju, milles võetakse kooskõlas Lissaboni lepingule lisatud 21. deklaratsiooniga piisavalt arvesse kõnealuse valdkonna eripära. Tuleb kehtestada kaitse erimeetmed, et korvata andmesubjektide õiguste piiramist, pakkudes neile täiendavat kaitset valdkonnas, kus isikuandmete töötlemine on oma olemuselt rohkem sekkuv.

180.

Uus õigusraamistik peab olema võimalikult selge, lihtne ja terviklik. Tuleb vältida mitme erineva kaitsekorra tekkimist, näiteks eraldi kaitsekord Europoli, Eurojusti, Schengeni infosüsteemi ja Prümi otsuse jaoks. Euroopa andmekaitseinspektor mõistab, et eri süsteemide eeskirju tuleb ühtlustada hoolikalt ja järk-järgult.

181.

Euroopa andmekaitseinspektor toetab täielikult komisjoni eesmärki lahendada andmekaitseasutuste staatuse küsimus ja suurendada nende sõltumatust, vahendeid ja täidesaatvaid volitusi. Ta soovitab:

182.

Euroopa andmekaitseinspektor soovitab veelgi parandada artikli 29 alusel asutatud töörühma toimimist, sealhulgas suurendada selle sõltumatust ja täiustada infrastruktuuri. Lisaks tuleb töörühmale anda piisavad vahendid ja tugevdada selle sekretariaati.

183.

Euroopa andmekaitseinspektor soovitab suurendada töörühma nõuandvat rolli, lisades õigusakti andmekaitseasutuste ja komisjoni kohustuse järgida täiel määral arvamusi ja ühiseid seisukohti, mis on vastu võtnud töörühm. Euroopa andmekaitseinspektor ei poolda töörühma seisukohtade muutmist siduvaks, eelkõige üksikute andmekaitseasutuste sõltumatuse tõttu. Euroopa andmekaitseinspektor soovitab komisjonil kehtestada uues õigusaktis erisätted koostöö tihendamiseks Euroopa andmekaitseinspektoriga.

184.

Euroopa andmekaitseinspektor kutsub komisjoni üles võtma võimalikult kiiresti seisukoha ELi asutuste ja suurte infosüsteemide üle järelevalve teostamise küsimuses, võttes arvesse, et kõik järelevalveasutused peavad vastama sõltumatuse, piisavate vahendite ja sunnivahendite rakendamise volituste vältimatutele kriteeriumidele ning et tuleb tagada ELi seisukohtade hea esindatus. Euroopa andmekaitseinspektor toetab kooskõlastatud järelevalve mudelit.

185.

Euroopa andmekaitseinspektor soovitab komisjonil: