Ettepanek: EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV üksikisikute kaitse kohta seoses pädevates asutustes isikuandmete töötlemisega kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumise kohta /* COM/2012/010 final - 2012/0010 (COD) */
SELETUSKIRI
1.
ETTEPANEKU TAUST
Käesolevas seletuskirjas on kirjeldatud
üksikasjalikumalt uut ELi õigusraamistikku isikuandmete kaitse valdkonnas, nagu
see on esitatud teatises KOM(2012) 9 (final). Õigusraamistik koosneb kahest
seadusandlikust ettepanekust: –
ettepanek võtta vastu Euroopa Parlamendi ja nõukogu
määrus üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete
vaba liikumise kohta (isikuandmete kaitse üldmäärus) ning –
ettepanek võtta vastu Euroopa Parlamendi ja nõukogu
direktiiv üksikisikute kaitse kohta seoses pädevates asutustes isikuandmete
töötlemisega kuritegude tõkestamise, uurimise, avastamise ja nende eest
vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning
selliste andmete vaba liikumise kohta. Käesolevas seletuskirjas on käsitletud neist
viimast. Isikuandmete kaitset käsitlev ELi n-ö
tuumikõigusakt, direktiiv 95/46/EÜ,[1]
võeti 1995. aastal vastu kahel eesmärgil: et kaitsta põhiõigust
isikuandmete kaitsele ja tagada isikuandmete vaba liikumine liikmesriikide
vahel. Seda täiendati mitme õigusaktiga, milles sätestati kindlad isikuandmete
kaitse eeskirjad kriminaalasjades tehtava politsei- ja õigusalase koostöö
valdkonnas[2]
(endine kolmas sammas), sealhulgas raamotsus 2008/977/JHA[3]. Euroopa Ülemkogu palus
komisjonil hinnata isikuandmete kaitset käsitlevate ELi õigusaktide toimimist
ning esitada vajaduse korral täiendavaid seadusandlikke ja muid algatusi[4]. Euroopa Parlament[5] avaldas oma resolutsioonis
Stockholmi programmi kohta heameelt ELi tervikliku isikuandmete kaitse süsteemi
üle ning kutsus muu hulgas vaatama läbi raamotsust. Komisjon rõhutas oma
Stockholmi programmi rakendamise tegevuskavas[6]
vajadust tagada, et ELi kõigis poliitikavaldkondades kaitstakse alati
põhiõigust isikuandmete kaitsele. Tegevuskavas märgiti, et „globaalses
ühiskonnas, kus toimuvad kiired tehnoloogilised muutused ja teabevahetus ei
tunne piire, on eraelu puutumatuse kaitse eriti oluline. Liit peab
tagama, et alati kaitstakse põhiõigust isikuandmete kaitsele. Peame
kindlustama, et ELis võetakse jäigem seisukoht üksikisiku isikuandmete kaitse
suhtes kõikides poliitikavaldkondades, sealhulgas õigusaktide täitmise tagamise
ja kuritegude vältimise ning välissuhete valdkonnas.” Teatises „Terviklik lähenemisviis isikuandmete
kaitsele Euroopa Liidus”[7]
märkis komisjon kokkuvõtvalt, et EL vajab ulatuslikku ja terviklikku
lähenemisviisi, millega oleks tagatud isikuandmete kaitset käsitleva põhiõiguse
austamine. Raamotsuse 2008/977/JSK reguleerimisala on
piiratud, sest seda kohaldatakse üksnes piiriülese andmetöötluse suhtes ja see
ei hõlma andmete töötlemist riigi tasandi politsei- ega õigusasutustes. See
võib tekitada politsei- ja muudele pädevatele asutustele kriminaalasjades
tehtava õigusalase koostöö ja politseikoostöö valdkonnas probleeme. Nimetatud
asutustel on keeruline teha vahet riigi tasandi ja piiriülese andmete
töötlemise vahel ning aimata, kas teatavaid isikuandmeid võidakse mõnes
hilisemas etapis piiriüleselt vahetada (vt jaotis 2). Lisaks jätab raamotsus
oma laadi ja sisu tõttu liikmesriikidele siseriiklikes rakendusaktides väga
palju vabadust. Otsuses ei ole ka sätestatud artikli 29 töörühmaga sarnast
mehhanismi ega nõuanderühma, mis toetaks otsuse ühtset tõlgendamist, samuti ei
ole selles antud komisjonile rakendusvolitusi ühise tõlgendamise tagamiseks
otsuse elluviimisel. Euroopa Liidu toimimise lepingu
artikli 16 lõikes 1 sätestatud põhimõtte kohaselt on igaühel õigus
oma isikuandmete kaitsele. Euroopa Liidu toimimise lepingu artikli 16
lõike 2 näol luuakse Lissaboni lepinguga spetsiaalne õiguslik alus
isikuandmete kaitse eeskirjade vastuvõtmisele, mis kehtib ka kriminaalasjades
tehtava õigusalase koostöö ja politseikoostöö valdkonnas. Euroopa Liidu
põhiõiguste harta artiklis 8 on isikuandmete kaitse sätestatud ühe põhiõigusena.
Euroopa Liidu toimimise lepingu artikli 16 kohaselt peab seadusandja
kehtestama eeskirjad üksikisiku kaitse kohta seoses isikuandmete töötlemisega
ka kriminaalasjades tehtava politsei- ja õigusalase koostöö puhul, kusjuures
hõlmatud on nii piiriülene kui ka riigisisene isikuandmete töötlemine. See loob
aluse füüsiliste isikute põhiõiguste ja -vabaduste kaitsele, eriti isikuandmete
kaitsega seotud õigusele, tagades ühtlasi isikuandmete vahetamise kuritegude
tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise ning
kriminaalkaristuste täitmisele pööramise eesmärgil. See aitab hõlbustada
kuritegevuse vastast võitlust Euroopas. Deklaratsioonis nr 21[8] tunnistati, et kriminaalasjades
tehtava õigusalase koostöö ja politseikoostöö valdkonnas võivad nende
valdkondade erilise laadi tõttu osutuda vajalikuks Euroopa Liidu toimimise
lepingu artikli 16 kohased erieeskirjad, mis käsitlevad isikuandmete
kaitset ja selliste andmete vaba liikumist.
2.
HUVITATUD ISIKUTEGA KONSULTEERIMISE JA MÕJU HINDAMISTE TULEMUSED
Algatus tuleneb laiaulatuslikust arutelust
kõigi olulisemate sidusrühmadega, mis käsitles isikuandmete kaitse alase
olemasoleva õigusraamistiku läbivaatamist. Avalik arutelu sisaldas kahte
etappi: –
9. juuli – 31. detsember 2009: arutelu isikuandmete
kaitset kui põhiõigust käsitleva ELi õigusraamistiku teemal. Komisjonile laekus
168 vastust: 127 üksikisikutelt, äriorganisatsioonidelt ja -ühingutelt ning 12
riigiasutustelt. Mittekonfidentsiaalseid arvamusi saab vaadata komisjoni
veebisaidilt[9].
–
4. november 2010 – 15. jaanuar 2011: arutelu
komisjoni tervikliku lähenemisviisi kohta isikuandmete kaitsele Euroopa Liidus.
Komisjonile laekus 305 vastust: 54 kodanikelt, 31 riigiasutustelt,
220 eraõiguslikelt organisatsioonidelt, eelkõige äriühingutelt ja valitsusvälistelt
organisatsioonidelt. Mittekonfidentsiaalseid arvamusi saab vaadata komisjoni
veebisaidilt[10].
Kui konsultatsioonidel keskenduti peamiselt
direktiivi 95/46/EÜ läbivaatamisele, siis õiguskaitse sidusrühmadega toimusid
ka sihipärased konsultatsioonid. Eelkõige toimus 29. juunil 2010
liikmesriikide pädevate asutuste osavõtul seminar, millel käsitleti
isikuandmete kaitse eeskirjade kohaldamist riigiasutuste suhtes, sealhulgas
kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas. Lisaks
korraldas komisjon 2. veebruaril 2011 liikmesriikide pädevate asutuste
osavõtul õpikoja, et arutada raamotsuse 2008/977/JSK rakendamist ning
üldisemalt isikuandmete kaitse küsimusi kriminaalasjades tehtava õigusalase
koostöö ja politseikoostöö valdkonnas. ELi kodanikega konsulteeriti 2010. aasta
novembrist detsembrini toimunud Eurobaromeetri uuringu raames[11]. Korraldati ka mitu uuringut[12]. Artikli 29 töörühm[13] esitas komisjonile mitmeid
seisukohti ja kasulikku teavet[14].
Euroopa andmekaitseinspektor esitas samuti põhjaliku arvamuse komisjoni
2010. aasta novembri teatises[15]
tõstatatud küsimuste kohta. Euroopa Parlament kiitis oma 6. juuli
2011. aasta resolutsiooniga heaks raporti, mis toetas komisjoni
lähenemisviisi isikuandmete kaitse raamistiku reformile[16]. Euroopa Liidu Nõukogu võttis
24. veebruaril 2011 vastu järeldused, millega ta üldjoontes toetab
komisjoni kavatsust reformida isikuandmete kaitse raamistik ning nõustub
komisjoni lähenemisviisi mitme aspektiga. Euroopa Majandus- ja Sotsiaalkomitee
toetas samuti komisjoni eesmärki tagada ELi isikuandmete kaitse eeskirjade
järjepidevam kohaldamine kõigis liikmesriikides ning direktiivi 95/46/EÜ
asjakohane läbivaatamine[17].
Komisjon viis kooskõlas parema õigusliku
reguleerimise poliitikaga ellu poliitikavalikute mõju hindamise[18]. Mõjuhinnang põhines kolmel
poliitikaeesmärgil: isikuandmete kaitse siseturumõõtme laiendamine,
isikuandmete kaitsega seotud õiguse tõhusam kasutamine kodanike poolt ning
kõikehõlmava ja ühtse raamistiku kujundamine liidu kõigis pädevusvaldkondades,
sealhulgas kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö
valdkonnas. Seoses viimase eesmärgiga hinnati kahte poliitilist
valikuvõimalust: esimene valikuvõimalus nägi ette isikuandmete kaitse
eeskirjade reguleerimisala laiendamist asjaomases valdkonnas ning raamotsuse
puudujääkide ja muude probleemide parandamist, teine valikuvõimalus oli julgem
ning nägi ette väga normatiivseid ja rangeid eeskirju, mis tooks kaasa ka kõigi
endise kolmanda samba vahendite viivitamatu muutmise. Kolmandat,
„minimalistlikku” valikuvõimalust, mis seisnes peamiselt tõlgendavate teatiste
ja poliitikat toetavate meetmete, nagu rahastamisprogrammide ja tehniliste
vahendite vastuvõtmises ning mille puhul oleks seadusandlik sekkumine olnud
minimaalne, ei peetud asjaomases valdkonnas tuvastatud isikuandmete kaitse
alaste probleemidega tegelemiseks asjakohaseks. Talitustevahelise juhtrühma kaasabil hinnati
iga poliitikavalikut komisjoni kehtestatud meetodi kohaselt, vaadeldes valiku
tõhusust poliitikaeesmärkide täitmisel, majanduslikku mõju sidusrühmadele
(sealhulgas ELi institutsioonide eelarvele), sotsiaalset mõju ja mõju
põhiõigustele. Keskkonnamõju ei hinnatud. Kogumõju analüüsi tulemusel kujundati välja
eelistatud poliitiline valikuvõimalus ja kaasati see käesolevasse
ettepanekusse. Hinnangu kohaselt toob selle valikuvõimaluse elluviimine
asjaomases poliitikavaldkonnas kaasa isikuandmete kaitse edasise tugevdamise,
eelkõige riigisisese andmetöötluse kaasamisega, mis omakorda suurendab pädevate
asutuste õiguskindlust kriminaalasjades tehtava õigusalase koostöö ja
politseikoostöö valdkonnas. 9. septembril 2011 esitas mõju hindamise
komitee mõjuhinnangu kavandi kohta arvamuse. Pärast seda tehti mõjuhinnangusse
eelkõige järgmised muudatused: –
selgitati praeguse õigusraamistiku (millises
ulatuses eesmärgid täideti ja millises mitte) ning kavandatud reformi eesmärke; –
probleemikäsitluse jaotisesse lisati
tõendusmaterjali ja täiendavaid selgitusi/täpsustusi. Ühtlasi koostas komisjon raamotsuse
2008/977/JSK artikli 29 lõike 2 kohase rakendusaruande, mis võetakse
vastu käesoleva isikuandmete kaitse paketi osana[19]. Liikmesriikide kaasabil
koostatud aruande tulemusi kasutati ka mõjuhinnangu koostamisel.
3.
ETTEPANEKU ÕIGUSLIK KÜLG
3.1.
Õiguslik alus
Ettepanek põhineb Euroopa Liidu toimimise
lepingu artikli 16 lõikel 2, mis on Lissaboni lepinguga loodud uus
õiguslik alus eeskirjade vastuvõtmiseks seoses üksikisikute kaitse tagamisega
isikuandmete töötlemisel ELi institutsioonides, asutustes ja ametites ning
liikmesriikide tegevuse puhul, mis kuulub liidu õiguse reguleerimisalasse, ning
selliste andmete vaba liikumist käsitlevatel eeskirjadel. Ettepaneku eesmärk on tagada asjaomases
valdkonnas ühtlane ja kõrge isikuandmete kaitse tase, suurendades seeläbi eri
liikmesriikide politsei- ja õigusasutuste vastastikust usaldust ning
hõlbustades nende koostööd ja andmete vaba liikumist.
3.2.
Subsidiaarsus ja proportsionaalsus
Subsidiaarsuse põhimõtte (Euroopa Liidu
lepingu artikli 5 lõige 3) kohaselt võetakse Euroopa Liidu tasandil
meetmeid ainult juhul, kui liikmesriigid ei saa piisavalt kavandatud eesmärke
saavutada ning neid on ulatuse või kavandatud meetme mõju tõttu võimalik liidu
tasandil paremini saavutada. Eespool kirjeldatud probleeme arvesse võttes
märgitakse subsidiaarsuse analüüsis politsei- ja kriminaalõiguse valdkonnas
vajadust ELi tasandi meetmete järele järgmistel põhjustel. –
Põhiõiguste harta artiklis 8 ning Euroopa
Liidu toimimise lepingu artikli 16 lõikes 1 sätestatud õigus
isikuandmete kaitsele nõuab kogu liidus sama tasandi isikuandmete kaitse
tagamist. Vahetatavate ja riigisiseselt töödeldavate isikuandmete kaitse tase
peab olema sama. –
Liikmesriikide õiguskaitseasutused peavad vahetama
ja töötlema teavet järjest enam ja kiiremini, et tõkestada selle abil
terrorismi ja rahvusvahelist kuritegevust ning nende vastu võidelda. Seepärast
aitavad selged ja ühtlased ELi tasandi isikuandmete kaitse eeskirjad arendada
nimetatud asutuste vahelist koostööd. –
Isikuandmete kaitset käsitlevate õigusaktide
jõustamise valdkonnas esineb lisaks praktilisi probleeme ning liikmesriigid ja
nende pädevad asutused peavad tegema koostööd – seda saab liidu õiguse ühtlase
kohaldamise tagamiseks korraldada vaid ELi tasandil. Teatavates olukordades on
ELil parimad võimalused tagada üksikisikutele nende isikuandmete edastamisel
kolmandatele riikidele tõhus, ühtlane ja sama tasandi kaitse. –
Liikmesriigid üksi ei suuda praeguseid probleeme
vähendada, eriti neid, mis tulenevad siseriiklike õigusaktide killustatusest.
Seepärast on vaja kehtestada ühtlustatud ja sidus raamistik, mis võimaldab
isikuandmete sujuvamat edastamist ELi riikide vahel ning tagada samas ELi kõigi
elanike tõhus kaitse. –
Probleemide olemus ja ulatus muudab kavandatud ELi
õigusmeetmed tõenäoliselt tõhusamaks kui samad meetmed liikmesriikides eraldi
ja nimetatud probleemide lahendamisel ei saa piirduda ühe või mitme
liikmesriigi tasandi tegevusega. Proportsionaalsuse põhimõtte kohaselt peavad
kõik meetmed olema sihipärased ega tohi minna kaugemale, kui on vaja püstitatud
eesmärkide täitmiseks. Käesoleva ettepaneku ettevalmistamisel on nimetatud
põhimõtet alates eri poliitiliste valikuvõimaluste kindlaksmääramise ja
hindamise etapist kuni seadusandliku ettepaneku koostamiseni arvesse võetud. Seepärast leitakse, et direktiiv on parim
vahend ELi tasandil ühtluse saavutamiseks nimetatud valdkonnas. Samas jätab see
liikmesriikidele selle põhimõtete ja eeskirjade ning siseriiklike erandite
kohaldamisel piisavalt vabadust. Kuna praegused siseriiklikud eeskirjad, mis
käsitlevad isikuandmete kaitset kriminaalasjades tehtava õigusalase koostöö ja
politseikoostöö valdkonnas, on keerukad ja eesmärk on viimaseid käesoleva
direktiivi näol igakülgselt ühtlustada, peab komisjon paluma liikmesriikidel
esitada selgitavaid dokumente direktiivi osade kokkulangevuse kohta
siseriiklike ülevõtvate õigusaktide vastavate osadega, et oleks võimalik
kontrollida direktiivi ülevõtmist.
3.3.
Põhiõigustega seotud küsimuste kokkuvõte
Õigus isikuandmete kaitsele on sätestatud
Euroopa Liidu põhiõiguste harta artiklis 8, Euroopa Liidu toimimise
lepingu artiklis 16 ning ka Euroopa inimõiguste ja põhivabaduste kaitse
konventsiooni artiklis 8. Nagu on rõhutanud Euroopa Liidu Kohus,[20] ei ole õigus isikuandmete
kaitsele siiski absoluutne õigus, vaid seda tuleb kaaluda vastavalt selle
ülesandele ühiskonnas[21].
Isikuandmete kaitse on tihedalt seotud õigusega era- ja perekonnaelu
austamisele, mis on sätestatud harta artiklis 7. See kajastub direktiivi
95/46/EÜ artikli 1 lõikes 1, milles on ette nähtud, et liikmesriigid
kaitsevad isikuandmete töötlemisel füüsiliste isikute põhiõigusi ja -vabadusi
ning eelkõige nende õigust eraelu puutumatusele. Potentsiaalselt on mõjutatud veel hartas
sätestatud muud põhiõigused, nagu igasuguse diskrimineerimise keeld, sealhulgas
diskrimineerimine rassi, etnilise päritolu, geneetiliste omaduste,
usutunnistuse või veendumuste, poliitiliste või muude arvamuste, puuete või
seksuaalse sättumuse tõttu (artikkel 21), lapse õigused (artikkel 24)
ja õigus tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele (artikkel 47).
3.4.
Ettepaneku üksikasjalik selgitus
3.4.1.
I PEATÜKK – ÜLDSÄTTED
Artiklis 1 määratakse kindlaks direktiivi
reguleerimisese, s.t eeskirjad, mis käsitlevad isikuandmete töötlemist
kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise
ning kriminaalkaristuste täitmisele pööramise eesmärgil, samuti kehtestatakse
direktiivi kahetine eesmärk, s.t kaitsta füüsiliste isikute põhiõigusi ja
-vabadusi, eriti nende õigust isikuandmete kaitsele, kindlustades ühtlasi
avaliku turvalisuse kõrge taseme, ning tagada isikuandmete vahetamine liidu
pädevate asutuste vahel. Artiklis 2 määratakse kindlaks direktiivi
reguleerimisala. Reguleerimisala ei piirdu vaid piiriülese andmetöötlusega,
vaid hõlmab direktiivi eesmärkide kohaselt igasugust andmete töötlemist
„pädevate asutuste” poolt (nagu on sätestatud artikli 3 lõikes 14).
Direktiivi ei kohaldata andmete töötlemise suhtes, mis toimub liidu õiguse
reguleerimisalast välja jääva tegevuse raames, ega isikuandmete töötlemise
suhtes ELi institutsioonides, asutustes ja ametites, mida reguleeritakse
määrusega (EÜ) nr 45/2001 ja muude eriõigusaktidega. Artikkel 3 sisaldab direktiivis kasutatud
mõistete seletusi. Osa mõisteid on võetud üle direktiivist 95/46/EÜ ja
raamotsusest 2008/977/JSK, osa muudetud või täiendatud lisaelementidega, osa
täiesti uued. Uute mõistete seas võib välja tuua mõisted „isikuandmetega seotud
rikkumine”, „geneetilised andmed”, „biomeetrilised andmed” ja „pädevad
asutused” (põhinevad Euroopa Liidu toimimise lepingu artiklil 87 ja raamotsuse
2008/977/JSK artikli 2 punktil h) ning „laps” (põhineb ÜRO lapse
õiguste konventsioonil)[22].
3.4.2.
II PEATÜKK – PÕHIMÕTTED
Artiklis 4 on kehtestatud isikuandmete
töötlemise põhimõtted, mis kajastavad direktiivi 95/46/EÜ artiklit 6 ning
raamotsuse 2008/977/JSK artiklit 3, kuid mida on kohandatud vastavalt
käesoleva direktiivi eripärale. Artiklis 5 nõutakse võimaluste piires eri
kategooriate isikuandmete eristamist andmesubjektidest. Tegemist on uue
sättega, mida ei sisalda ei direktiiv 95/46/EÜ ega raamotsus 2008/977/JSK, kuid
mille oli komisjon pakkunud välja oma algses ettepanekus raamotsuse
vastuvõtmise kohta[23].
See on tiivustatud Euroopa Nõukogu soovitusest nr R (87) 15. Sarnased eeskirjad
kehtivad juba Europoli[24]
ja Eurojusti[25]
puhul. Artikkel 6, milles käsitletakse eri täpsuse ja
usaldusväärsuse astmeid, kajastab Euroopa Nõukogu soovituse nr R (87)15
põhimõtet 3.2. Sarnased eeskirjad, mida komisjoni ettepanek raamotsuse
vastuvõtmise kohta samuti sisaldab, kehtivad Europoli puhul[26]. Artiklis 7 on kehtestatud seadusliku
isikuandmete töötlemise alused juhuks, kui see on tulenevalt siseriiklikust
õigusest vajalik pädeva asutuse ülesannete täitmiseks, kui on vaja tagada
kooskõla vastutava töötleja õigusaktidest tuleneva kohustusega või kui see on
vajalik andmesubjekti või mõne muu isiku elutähtsate huvide kaitseks või
liikmesriigi avalikku korda ähvardava tõsise ja vahetu ohu ärahoidmiseks. Muud
direktiivi 95/46/EÜ artiklis 7 osutatud seadusliku isikuandmete töötlemise
alused ei ole sobivad andmete töötlemise reguleerimiseks politsei- ja
kohtuvaldkonnas. Artiklis 8 kehtestatakse direktiivi 95/46/EÜ
artikli 8 alusel üldine keeld töödelda teatavate kategooriate
isikuandmeid, samuti erandid osutatud üldeeskirjast. Euroopa Inimõiguste Kohtu
praktikat[27]
arvesse võttes on lisatud geneetilised andmed. Artiklis 9 on kooskõlas raamotsuse
2008/977/JSK artikliga 7 kehtestatud üksnes isikuandmete automaatsel
töötlemisel põhinevate meetmete keeld, välja arvatud juhul, kui seda võimaldab
õigusakt, millega ühtlasi kehtestatakse piisavad kaitsemeetmed.
3.4.3.
III PEATÜKK – ANDMESUBJEKTI ÕIGUSED
Artiklis 10 kehtestatakse liikmesriikidele
kohustus tagada hõlpsasti juurdepääsetav ja mõistetav teave, mis on eelkõige
innustatud ülemaailmse isikuandmete kaitse ja eraelu puutumatuse standardit käsitleva
Madridi resolutsiooni 10. põhimõttest,[28]
ning kohustatakse vastutavaid töötlejaid nägema ette menetlused ja mehhanismid,
millega muudetakse andmesubjektidele nende õiguste kasutamine lihtsamaks. See
hõlmab nõuet, et nimetatud õigusi peab põhimõtteliselt saama kasutada tasuta. Artiklis 11 on täpsustatud liikmesriikide
kohustus tagada andmesubjekti teavitamine. Kohustus tuleneb direktiivi 95/46/EÜ
artiklitest 10 ja 11, kuid käesolevas direktiivis ei käsitleta eraldi
artiklites asjaolu, kas andmeid kogutakse andmesubjektilt või mitte, samuti on
suurendatud esitatava teabe hulka. Ka on selles sätestatud erandid
teavitamiskohustusest, kui need on proportsionaalsed ja pädevatele asutustele
vajalikud oma ülesannete täitmiseks demokraatlikus ühiskonnas (direktiivi
95/46/EÜ artikli 13 ja raamotsuse 2008/977/JSK artikli 17 alusel). Artikliga 12 kehtestatakse liikmesriikidele
kohustus tagada andmesubjektile õigus oma isikuandmetega tutvuda. See tuleneb
direktiivi 95/46/EÜ artikli 12 punktist a, kuid sisaldab täiendavaid
kohustusi seoses andmesubjektide teavitamisega (andmete säilitamise aeg,
andmesubjekti õigus andmeid parandada, kustutada või nende töötlemist piirata
ning esitada kaebus). Artiklis 13 on sätestatud, et liikmesriigid
võivad võtta andmetega tutvumise õigust piiravaid seadusandlikke meetmeid, kui
selline piirang on õigustatud andmete töötlemise spetsiifikaga politsei- ja
kriminaalõiguse valdkonnas ning andmesubjekti on juurdepääsu piiramisest
teavitatud. Artikkel tuleneb raamotsuse 2008/977/JSK artikli 17
lõigetest 2 ja 3. Artikliga 14 kehtestatakse eeskiri, mille
kohaselt tuleb andmetele vahetu juurdepääsu takistamise korral teavitada
andmesubjekti võimalusest tutvuda oma isikuandmetega kaudselt
järelevalveasutuse kaudu, kes teostab asjaomast õigust tema nimel ja on
kohustatud teatama andmesubjektile kontrollimise tulemused. Artikkel 15, milles käsitletakse andmete
parandamise õigust, põhineb direktiivi 95/46/EÜ artikli 12 punktil b;
keeldumise korral täidetavad kohustused aga raamotsuse 2008/977/JSK
artikli 18 lõikel 1. Artikkel 16, milles käsitletakse andmete
kustutamise õigust, põhineb direktiivi 95/46/EÜ artikli 12 punktil b;
keeldumise korral täidetavad kohustused aga raamotsuse 2008/977/JSK
artikli 18 lõikel 1. Lisatud on ka õigus teatavatel juhtudel andmeid
markeerida, millega asendatakse ebaselge termini „sulgemine”, mida kasutati
direktiivi 95/46/EÜ artikli 12 punktis b ja raamotsuse 2008/977/JSK
artikli 18 lõikes 1. Artikkel 17, milles käsitletakse andmete
parandamist, kustutamist või nende töötlemise piiramist kohtumenetlustes, on
raamotsuse 2008/977/JSK artikli 4 lõike 4 alusel muudetud selgemaks.
3.4.4.
IV PEATÜKK – VASTUTAV JA VOLITATUD TÖÖTLEJA
3.4.4.1.
1. JAOTIS. ÜLDISED KOHUSTUSED
Artiklis 18 kirjeldatakse vastutava töötleja
vastutust käesoleva direktiivi nõuete täitmisel ning selle tagamisel, võttes
sealhulgas nõuete täitmise tagamiseks vastu vastava poliitika ja mehhanismid. Artikliga 19 kohustatakse liikmesriike tagama,
et vastutav töötleja täidab kohustused, mis tulenevad kavandatud ja ette nähtud
isikuandmete kaitse põhimõtetest. Artiklis 20, milles käsitletakse
kaasvastutavaid töötlejaid, on selgitatud nende staatust ja omavahelisi
suhteid. Artiklis 21 selgitatakse volitatud töötlejate
ametikohta ja kohustusi, tuginedes osaliselt direktiivi 95/46/EÜ
artikli 17 lõikele 2 ning lisades uusi elemente, sealhulgas selle
kohta, et volitatud töötlejat, kes töötleb andmeid vastutava töötleja juhistest
suuremal määral, tuleb pidada kaasvastutavaks töötlejaks. Artikkel 22, milles käsitletakse töötlemist
vastutava ja volitatud töötleja juhtimisel, põhineb direktiivi 95/46/EÜ
artiklil 16. Artiklis 23 kehtestatakse vastutavate
töötlejate ja volitatud töötlejate kohustus säilitada dokumendid nende
vastutusalasse jäävate töötlemissüsteemide ja töötlemise korra kohta. Artiklis 24 käsitletakse dokumentide
säilitamist kooskõlas raamotsuse 2008/977/JSK artikli 10 lõikega 1, kuid
lisatud on täiendavaid selgitusi. Artiklis 25 selgitatakse vastutava ja
volitatud töötleja kohustusi seoses järelevalveasutusega koostöö tegemisega. Artiklis 26 käsitletakse juhtumeid, kus
järelevalveasutustega on vaja enne isikuandmete töötlemist konsulteerida
(raamotsuse 2008/977/JSK artikli 23 alusel).
3.4.4.2.
2. JAOTIS. ANDMETURVE
Artikkel 27, milles käsitletakse andmete
töötlemise turvalisust, põhineb direktiivi 95/46/EÜ artikli 17
lõikel 1 töötlemise turvalisuse kohta ning raamotsuse 2008/977/JSK
artiklil 22, kuid selles sätestatud kohustused on laiendatud ka volitatud
töötlejatele vastutava töötlejaga sõlmitud lepingust olenemata. Artiklites 28 ja 29 on kehtestatud
isikuandmete kaitsega seotud rikkumistest teavitamise kohustus, tuginedes
eraelu puutumatust ja elektroonilist sidet käsitleva direktiivi 2002/58/EÜ
artikli 4 lõikele 3. Artiklis on täpsustatud ja eraldi kirjeldatud
järelevalveasutuse teavitamise kohustusi (artikkel 28) ja kohustust
teavitada nõuetekohastel juhtudel andmesubjekti (artikkel 29). Artikliga
29 nähakse ette ka erandid, viidates artikli 11 lõikele 4.
3.4.4.3.
3. JAOTIS. ANDMEKAITSEAMETNIK
Artiklis 30 kehtestatakse vastutava töötleja
kohustus määrata ametisse andmekaitseametnik, kes täidab artiklis 32
loetletud ülesandeid. Kui mitu pädevat asutust allub keskasutuse järelevalvele
ja viimane täidab vastutava töötleja funktsiooni, siis peab andmekaitseametniku
nimetama vähemalt asjaomane keskasutus. Direktiivi 95/46/EÜ artikli 18
lõikes 2 nähakse liikmesriikidele ette võimalus kehtestada selline nõue
asjaomase direktiivi üldise teavitamise nõude asendusmeetmena. Artiklis 31 sätestatakse andmekaitseametniku
ametiseisund. Artiklis 32 sätestatakse andmekaitseametniku
ülesanded.
3.4.5.
V PEATÜKK – ISIKUANDMETE EDASTAMINE KOLMANDATELE
RIIKIDELE VÕI RAHVUSVAHELISTELE ORGANISATSIOONIDELE
Artiklis 33 kehtestatakse üldpõhimõtted, mida
tuleb täita andmete edastamisel kolmandatele riikidele või rahvusvahelistele
organisatsioonidele kriminaalasjades tehtava õigusalase koostöö ja
politseikoostöö valdkonnas, sealhulgas andmete edasisaatmise puhul. Selles on
selgitatud, et edastamine kolmandatele riikidele saab toimuda üksnes juhul, kui
see on vajalik kuritegude tõkestamise, uurimise, avastamise ja kuritegude eest
vastutusele võtmise või kriminaalkaristuse täitmisele pööramise eesmärgil. Artiklis 34 on sätestatud, et edastamine
kolmandatele riikidele on võimalik vaid juhul, kui komisjon on selle kohta
teinud määruse .../.../201X kohase piisava kaitse otsuse, või konkreetselt
kriminaalasjades tehtava politseikoostöö või õigusalase koostöö valdkonnas või
sellise otsuse puudumise korral juhul, kui rakendatakse asjakohaseid
kaitsemeetmeid. Kui piisava kaitse otsust ei ole tehtud, tagatakse
direktiiviga, et edastamine võib toimuda asjakohaste kaitsemeetmete ja erandite
alusel. Lisaks kehtestatakse selles kriteeriumid komisjonipoolseks piisava
kaitsetaseme hindamiseks ning nimetatakse sõnaselgelt õigusriigi, õiguskaitse
ja sõltumatu järelevalvega seotud kohustused. Artiklis nähakse ette ka
võimalus, et komisjon võib hinnata kaitset, mille on taganud kolmanda riigi
piirkond või andmetöötlussektor. Samuti sätestatakse selles, et kooskõlas
isikuandmete kaitse üldmääruse artikliga 38 vastu võetud piisava kaitse
alane üldotsus on käesoleva direktiivi raames kohaldatav. Kõrvalvõimalusena
võib komisjon võtta vastu uue piisava kaitse otsuse, mida kohaldatakse üksnes
käesoleva direktiivi eesmärkide saavutamiseks. Artiklis 35 on kindlaks määratud andmete
rahvusvaheliseks edastamiseks vajalikud kaitsemeetmed, juhul kui komisjon ei
võta vastu eraldi piisava kaitse otsust. Kaitsemeetmeid võib kontrollida
õiguslikult siduva vahendi, näiteks rahvusvahelise lepingu alusel. Teise võimalusena
võib nende olemasolu kohta teha otsuse vastutav töötleja, võttes aluseks
edastamise täpsed asjaolud. Artiklis 36 nimetatakse andmeedastuse suhtes
tehtavad erandid (direktiivi 95/46/EÜ artikkel 26 ja raamotsuse
2008/977/JSK artikkel 13). Artikliga 37 kohustatakse liikmesriike tagama,
et vastutav töötleja teatab isikuandmete vastuvõtjatele mis tahes isikuandmete
töötlemise suhtes kehtestatud piirangutest ja võtab mõistlikke meetmeid
kindlustamaks, et isikuandmete vastuvõtjad kolmandates riikides või rahvusvahelistes
organisatsioonides järgivad neid piiranguid. Artiklis 38 nähakse sõnaselgelt ette
rahvusvahelised koostöömehhanismid, millega komisjon ja kolmandate riikide
järelevalveasutused (eeskätt need, kelle kaitsetaset peetakse piisavaks)
tagavad omavahelise koostöö tulemusel isikuandmete kaitse, võttes arvesse OECD
12. juuni 2007. aasta soovitust piiriülese koostöö kohta eraelu
puutumatust käsitlevate õigusaktide täitmisel. VI PEATÜKK – RIIKLIKUD JÄRELEVALVEASUTUSED
3.4.5.1.
1. JAOTIS. SÕLTUMATUS
Artikliga 39 kohustatakse liikmesriike asutama
järelevalveasutusi (direktiivi 95/46/EÜ artikli 28 lõige 1 ja
raamotsuse 2008/977/JSK artikkel 25) ning täiendatakse nimetatud asutuste
ülesandeid eesmärgiga aidata tagada direktiivi ühtlane kohaldamine kogu liidus.
Asutus võib olla isikuandmete kaitse üldmääruse alusel asutatud
järelevalveasutus. Artiklis 40 selgitatakse järelevalveasutuste
sõltumatuse tingimusi, toetudes Euroopa Liidu Kohtu praktikale,[29] artikli alus on ka määruse
(EÜ) nr 45/2001[30]
artikkel 44. Artiklis 41 on esitatud järelevalveasutuste
liikmete määramise üldtingimused, toetudes vastavale kohtupraktikale,[31] artikli alus on ka määruse
(EÜ) nr 45/2001 artikli 42 lõiked 2–6. Artiklis 42 on esitatud järelevalveasutuse
loomise eeskirjad, sealhulgas liikmete määramise tingimused, mille
liikmesriigid peavad seadusega sätestama. Artikkel 43, milles käsitletakse
järelevalveasutuse liikmete ja töötajate ametisaladuse hoidmise kohustust,
tugineb direktiivi 95/46/EÜ artikli 28 lõikele 7 ja raamotsuse
2008/977/JSK artikli 25 lõikele 4.
3.4.5.2.
2. JAOTIS. KOHUSTUSED JA VOLITUSED
Artiklis 44 on kehtestatud järelevalveasutuse
pädevus (direktiivi 95/46/EÜ artikli 28 lõige 6 ja raamotsuse
2008/977/JSK artikli 25 lõige 1). Kohtud on oma õiguspädevuse raames tegutsedes
järelevalveasutuse tehtavast järelevalvest välja arvatud, kuid nende suhtes
kohaldatakse siiski isikuandmete kaitse sisulisi eeskirju. Artikliga 45 kohustatakse liikmesriike tagama,
et järelevalveasutus täidab talle pandud ülesandeid, sealhulgas kaebuste
kuulamine ja uurimine ning üldsuse teadlikkuse suurendamine seoses ohtude,
eeskirjade, kaitsemeetmete ja õigustega. Käesoleva direktiiviga on antud
järelevalveasutustele veel ülesanne kasutada oma andmetega tutvumise õigust
andmesubjektide nimel juhul, kui viimastele on juurdepääs keelatud või seda on
piiratud, samuti kontrollida andmete töötlemise seaduslikkust. Artiklis 46 sätestatakse järelevalveasutuse
volitused (direktiivi 95/46/EÜ artikli 28 lõige 3 ja raamotsuse
2008/977/JSK artikli 25 lõiked 2 ja 3). Artikliga 47 kohustatakse
järelevalveasutusi koostama iga-aastaseid tegevusaruandeid (direktiivi 95/46/EÜ
artikli 28 lõige 5).
3.4.6.
VII PEATÜKK – KOOSTÖÖ
Artiklis 48 sätestatakse vastastikuse
kohustusliku abistamise eeskirjad, samas kui direktiivi 95/46/EÜ
artikli 28 lõike 6 punktis 2 oli ette nähtud üksnes üldine
koostöökohustus, üksikasjadesse laskumata. Artiklis 49 sätestatakse, et isikuandmete
kaitse üldmäärusega loodud Euroopa Andmekaitsenõukogu juhindub käesolevast
direktiivist ka oma andmete töötlemisega seotud ülesannete täitmisel. Selleks
et osutada täiendavat toetust, püüab komisjon küsida nõu nende liikmesriikide
asutuste esindajatelt, kes on pädevad kuritegude tõkestamise, uurimise,
avastamise või nende eest vastutusele võtmise valdkonnas, samuti Europoli ja
Eurojusti esindajatelt. Selleks loob ta eksperdirühma, kes käsitleb
isikuandmete kaitse õiguskaitsega seotud aspekte.
3.4.7.
VIII PEATÜKK – ÕIGUSKAITSEVAHENDID, VASTUTUS JA
SANKTSIOONID
Artiklis 50 sätestatakse iga andmesubjekti
õigus esitada järelevalveasutusele kaebus (direktiivi 95/46/EÜ artikli 28
lõige 4), samuti käsitletakse selles direktiivi mis tahes rikkumist
kaebuse esitaja seisukohast. Seal määratakse samuti kindlaks asutused,
organisatsioonid või ühendused, kes võivad andmesubjekti nimel ja isikuandmetega
seotud rikkumise korral andmesubjekti kaebusest olenemata kaebuse esitada. Artiklis 51 käsitletakse õigust võtta
järelevalveasutuse suhtes õiguskaitsemeetmeid. See põhineb direktiivi 95/46/EÜ
artikli 28 lõike 3 üldsättel ning täpsemalt sätestatakse andmesubjekti
õigus pöörduda kohtusse, et sundida järelevalveasutust tema kaebust menetlema. Artiklis 52 käsitletakse õigust võtta
õiguskaitsemeetmeid vastutava või volitatud töötleja suhtes (direktiivi
95/46/EÜ artikkel 22 ning raamotsuse 2008/977/JSK artikkel 20). Artiklis 53 kehtestatakse kohtumenetluste
ühised eeskirjad, sealhulgas asutuste, organisatsioonide ja ühenduste õigus
esindada andmesubjekte kohtus ja järelevalveasutuste õigus osaleda
kohtumenetlustes. Liikmesriikide kohustus tagada kohtu kiire tegutsemine
tuleneb elektroonilise kaubanduse direktiivi 2000/31/EÜ[32] artikli 18
lõikest 1. Artikliga 54 kohustatakse liikmesriike tagama
kompensatsiooni saamise õigus. Lähtutakse direktiivi 95/46/EÜ artiklist 23
ja raamotsuse 2008/977/JSK artikli 19 lõikest 1, laiendatakse
nimetatud õigust volitatud töötlejate põhjustatud kahjudele ning täpsustatakse
kaasvastutavate ja kaasvolitatud töötlejate vastutust. Artikliga 55 kohustatakse liikmesriike
kehtestama eeskirjad karistuste kohta, mida rakendatakse käesoleva direktiivi
sätete rikkumise korral, ning tagama nende kohaldamine.
3.4.8.
IX PEATÜKK – DELEGEERITUD ÕIGUSAKTID JA
RAKENDUSAKTID
Artikkel 56 sisaldab standardsätteid
delegeerimiseks kooskõlas Euroopa Liidu toimimise lepingu artikliga 290. See
võimaldab seadusandjal delegeerida komisjonile õiguse võtta vastu muid kui
seadusandlikke akte, mis on üldkohaldatavad ja täiendavad või muudavad
seadusandliku akti (poolseadusandlike aktide) teatavaid mitteolemuslikke osi. Artikkel 57 sisaldab sätet komiteemenetluse
kasutamise kohta rakendusvolituste delegeerimisel komisjonile juhtudel, kui
kooskõlas Euroopa Liidu toimimise lepingu artikliga 291 on liidu
õiguslikult siduvate aktide rakendamiseks vaja ühetaolisi tingimusi.
Kohaldatakse kontrollimenetlust.
3.4.9.
X PEATÜKK – LÕPPSÄTTED
Artikliga 58 tunnistatakse kehtetuks raamotsus
2008/977/JSK. Artiklis 59 sätestatakse, et liidu
õigusaktides jäävad jõusse erisätted seoses isikuandmete töötlemisega pädevates
asutustes kuritegude tõkestamise, uurimise, avastamise ja nende eest
vastutusele võtmise ning kriminaalkaristuste täitmisele pööramisega, millega
reguleeritakse isikuandmete töötlemist või juurdepääsu infosüsteemidele
direktiivi reguleerimisalasse jäävas valdkonnas, ning mis on võetud vastu enne
käesoleva direktiivi vastuvõtmist. Artiklis 60 selgitatakse direktiivi seost
liikmesriikide varasemalt sõlmitud rahvusvaheliste lepingutega kriminaalasjades
tehtava õigusalase koostöö ja politseikoostöö valdkonnas. Artikliga 61 kohustatakse komisjoni hindama
direktiivi rakendamist ja selle kohta aru andma, et saaks hinnata vajadust
kooskõlastada artiklis 59 nimetatud varasemad erisätted käesoleva
direktiiviga. Artikliga 62 sätestatakse liikmesriikide
kohustus võtta direktiiv üle oma siseriiklikusse õigusesse ning teavitada
komisjoni käesoleva direktiivi alusel vastu võetud õigusaktidest. Artiklis 63 on kehtestatud direktiivi
jõustumise kuupäev. Artiklis 64 on esitatud direktiivi
adressaadid. 4. MÕJU EELARVELE Isikuandmete kaitse üldmääruse ettepanekuga
kaasnevas finantsselgituses antakse ülevaade määruse ja käesoleva direktiivi
mõjust eelarvele. 2012/0010 (COD) Ettepanek: EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV üksikisikute kaitse kohta seoses pädevates
asutustes isikuandmete töötlemisega kuritegude tõkestamise, uurimise,
avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele
pööramise eesmärgil ning selliste andmete vaba liikumise kohta EUROOPA PARLAMENT JA EUROOPA LIIDU
NÕUKOGU, võttes arvesse Euroopa Liidu toimimise
lepingut, eriti selle artikli 16 lõiget 2, võttes arvesse Euroopa Komisjoni ettepanekut, olles edastanud seadusandliku akti eelnõu
liikmesriikide parlamentidele, olles konsulteerinud Euroopa
Andmekaitseinspektoriga[33], toimides seadusandliku tavamenetluse kohaselt ning arvestades järgmist: (1)
Füüsiliste isikute kaitse isikuandmete töötlemisel
on põhiõigus. Euroopa Liidu põhiõiguste harta artikli 8 lõikes 1 ja Euroopa
Liidu toimimise lepingu artikli 16 lõikes 1 on sätestatud, et igaühel on õigus
oma isikuandmete kaitsele. (2)
Isikuandmete töötlemine on mõeldud teenima
inimkonda ning üksikisikute kaitse põhimõtete ja eeskirjadega nende
isikuandmete töötlemisel tuleks füüsiliste isikute rahvusest ja elukohast
sõltumata austada nende põhiõigusi ja -vabadusi, eelkõige õigust isikuandmete
kaitsele. Isikuandmete töötlemine peaks kaasa aitama vabadusel, turvalisusel ja
õigusel rajaneva ala arendamisele. (3)
Kiire tehnoloogiline areng ja üleilmastumine
tekitavad isikuandmete kaitsel uusi probleeme. Andmete kogumise ja jagamise
ulatus on märkimisväärselt suurenenud. Tehnoloogia võimaldab pädevatel
asutustel kasutada isikuandmeid oma eesmärkide saavutamiseks enneolematus
ulatuses. (4)
See nõuab ELi pädevate asutuste vahelise andmete
liikumise ning nende kolmandatele riikidele ja rahvusvahelisele
organisatsioonile edastamise hõlbustamist, tagades isikuandmete kõrgetasemelise
kaitse. Need muudatused nõuavad ELi isikuandmete kaitse raamistiku tugevdamist
ja ühtlustamist ning selle täitmise parandamist. (5)
Isikuandmete töötlemise toimingute suhtes
liikmesriikide avalikus ja erasektoris kohaldatakse Euroopa Parlamendi ja
nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse
kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta[34]. Seda ei kohaldata
isikuandmete töötlemise suhtes, kui see toimub sellise tegevuse käigus, mis
jääb väljapoole ühenduse õigust, nagu näiteks tegevused kriminaalasjades
tehtava õigusalase koostöö ja politseikoostöö valdkonnas. (6)
Kriminaalasjades tehtava õigusalase koostöö ja
politseikoostöö valdkonnas töödeldavate isikuandmete suhtes kohaldatakse
nõukogu 27. novembri 2008. aasta raamotsust 2008/977/JSK
kriminaalasjades tehtava politsei- ja õigusalase koostöö raames töödeldavate
isikuandmete kaitse kohta[35].
Käesoleva raamotsuse reguleerimisala on piiratud liikmesriikide vahel edastatud
ja kättesaadavaks tehtud isikuandmete töötlemisega. (7)
Kriminaalasjades tehtava õigusalase koostöö ja
politseikoostöö tulemuslikkuse huvides on eriti oluline tagada üksikisikute
isikuandmete kõrgetasemelise kaitse ja lihtsustada isikuandmete vahetamist
liikmesriikide pädevate asutuste vahel. Selleks tuleb liikmesriikides
ühtlustada üksikisikute õiguste ja vabaduste kaitse taset isikuandmete
töötlemisel kuritegude tõkestamise, uurimise, avastamise ja nende eest
vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil.
Tõhusaks isikuandmete kaitseks terves ELis tuleks tugevdada ja täpsustada
andmesubjektide õigusi ning isikuandmete töötlejate kohustusi, aga ka nendele
vastavaid volitusi isikuandmete kaitse eeskirjade järgimise kontrollimisel ja
tagamisel. (8)
Euroopa Liidu toimimise lepingu artikli 16 lõikega
2 volitatakse Euroopa Parlamenti ja nõukogu kehtestama eeskirju üksikisikute
kaitse kohta seoses isikuandmete töötlemisega, samuti selliste andmete vaba
liikumise eeskirju. (9)
Sellest lähtudes on Euroopa Parlamendi ja nõukogu
määruses EL nr …/2012 üksikisikute kaitse kohta isikuandmete töötlemisel ja
selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus)
sätestatud üldeeskirjad füüsiliste isikute kaitseks isikuandmete töötlemisel
ning isikuandmete vaba liikumise soodustamiseks liidus. (10)
Lissaboni lepingu vastuvõtnud valitsustevahelise
konverentsi lõppaktile lisatud deklaratsioonis nr 21 (isikuandmete kaitse kohta
kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas)
tunnistas konverents, et kriminaalasjades tehtava politsei- ja õigusalase
koostöö laadi tõttu on arvatavasti vaja vastu võtta Euroopa Liidu toimimise
lepingu artiklil 16 põhinevad erieeskirjad neis valdkondades töödeldavate
isikuandmete kaitse ja selliste andmete vaba liikumise kohta. (11)
Seetõttu tuleks vastu võtta nende valdkondade
eripära arvestav direktiiv ning sätestada eeskirjad, mis käsitlevad
üksikisikute kaitset seoses pädevates asutustes isikuandmete töötlemisega
kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise
või kriminaalkaristuste täitmisele pööramise eesmärgil. (12)
Selleks et tagada terves liidus ühesugune
üksikisikute kohtulikult kaitstavate õiguste kaitse tase ning saavutada, et
erinevused ei takistaks isikuandmete vahetamist pädevate asutuste vahel, tuleks
direktiivis sätestada ühtsed eeskirjad kriminaalasjades tehtava
õigusalase koostöö ja politseikoostöö raames töödeldavate isikuandmete kaitse
ja selliste andmete vaba liikumise kohta. (13)
Käesoleva direktiivi põhimõtete kohaldamisel on
võimalik arvesse võtta ametlike dokumentide üldise kättesaadavuse põhimõtet. (14)
Käesoleva direktiiviga pakutav kaitse peaks
laienema füüsiliste isikute isikuandmete töötlemisele, olenemata asjaomase
isiku kodakondsusest või elukohast. (15)
Üksikisikute kaitse peaks olema tehnoloogiliselt
neutraalne ega tohiks sõltuda kasutatud vahenditest, vastasel juhul tekib
märkimisväärne oht, et eeskirjade täitmisest hoitakse kõrvale. Üksikisikuid
tuleks kaitsta isikuandmete automatiseeritud töötlemisel ning isikuandmete
automatiseerimata töötlemisel, kui andmed sisalduvad toimikusüsteemis või kui
nad hiljem kantakse toimikusüsteemi. Käesoleva direktiivi reguleerimisalasse ei
peaks kuuluma toimikud, toimikute kogumid ega nende esilehed, mis ei ole
teatavate kriteeriumide kohaselt korrastatud. Käesolevat direktiivi ei tuleks
kohaldada, isikuandmete töötlemise suhtes muu kui liidu õiguse
reguleerimisalasse kuuluva tegevuse käigus, eriti seoses riigi julgeoleku
tagamisega, ega nende töötlemise suhtes liidu institutsioonides, organites ja
asutustes nagu Europol ja Eurojust. (16)
Kaitsepõhimõtteid tuleks kohaldada igasuguse teabe
suhtes, mis käsitleb tuvastatud või tuvastatavat füüsilist isikut. Füüsilise
isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida
vastutav töötleja või keegi muu võib üksikisiku tuvastamiseks tõenäoliselt
kasutada. Isikuandmete kaitse põhimõtteid ei tuleks kohaldada teabe suhtes, mis
on muudetud anonüümseks selliselt, et andmesubjekti ei ole enam võimalik
tuvastada. (17)
Terviseandmete hulka kuuluvad eelkõige kõik
andmesubjekti tervislikku seisundit käsitlevad andmed; teave üksikisiku
registreerimise kohta temale tervishoiuteenuste osutamise eesmärgil;
üksikisikuga seonduv teave tervishoiuteenuse eest tasumise või tema õiguse
kohta saada tervishoiuteenuseid; number, tähis või eritunnus, mis on
üksikisikule määratud tema tuvastamiseks tervishoiuga seotud eesmärkidel; mis
tahes teave üksikisiku kohta, mida on kogutud temale tervishoiuteenuste
osutamise käigus; teave, mida on saadud mingi kehaosa või kehast pärineva aine,
sealhulgas bioloogiliste proovide kontrollimise või uurimise tulemusena; teave
isikule tervishoiuteenuse osutaja kohta; ning igasugune teave näiteks haiguse,
puude, haigestumisohu, haigusloo, kliinilise ravi ja andmesubjekti tegeliku
füsioloogilise ja biomeditsiinilise olukorra kohta sõltumata selle allikast
(näiteks arst või muu tervishoiutöötaja, haigla, meditsiiniseade või in
vitro diagnostika). (18)
Isikuandmete töötlemine peab olema andmesubjektide
suhtes õiglane ja seaduslik. Eelkõige peaks andmete töötlemisel olema selgelt
sõnastatud konkreetsed eesmärgid. (19)
Kuritegude tõkestamiseks, uurimiseks ja nende eest
vastutusele võtmiseks peavad pädevad asutused konkreetsete kuritegude
tõkestamise, uurimise, avastamise või kuritegude eest vastutusele võtmise
käigus kogutud isikuandmeid säilitama ja töötlema muuks otstarbeks, et oleks
võimalik mõista kuritegevuse ilminguid ja suundumusi, koguda teavet
organiseeritud kuritegelike võrgustike kohta ning erinevaid kuritegusid
omavahel seostada. (20)
Isikuandmeid ei tohiks töödelda eesmärkidel, mis on
vastuolus andmete kogumise eesmärkidega. Isikuandmed peaksid olema piisavad ja
asjakohased ning mitte ületama selle otstarbe piire, mille tarvis neid
töödeldakse. Selleks et tagada, et ebatäpsed andmed kustutatakse või
parandatakse, tuleks võtta kõik mõistlikud meetmed. (21)
Võttes arvesse asjaomase töötlemise laadi ja
eesmärki, tuleks kohaldada andmete täpsuse põhimõtet. Eelkõige kohtumenetluses
antakse isikuandmeid sisaldavaid ütlusi, mis põhinevad isikute subjektiivsel
ettekujutusel toimunust ning mida alati ei saa kontrollida. Seetõttu ei tohiks
täpsuse nõue puudutada tunnistuse täpsust, vaid üksnes tõsiasja, et konkreetne
tunnistus on antud. (22)
Tõlgendades ja kohaldades üldpõhimõtteid, millel
põhineb üksikisikute kaitse isikuandmete töötlemisel pädevate asutuste poolt
kuritegude tõkestamiseks, uurimiseks, avastamiseks, kuritegude eest vastutusele
võtmiseks ja kriminaalkaristuste täitmisele pööramiseks, tuleks arvesse võtta
valdkonna eripära, sealhulgas taotletavaid eesmärke. (23)
Kriminaalasjades tehtava õigusalase koostöö ja
politseikoostöö käigus töödeldakse väga erinevatesse kategooriatesse kuuluvate
andmesubjektide isikuandmeid. Seetõttu tuleks võimalust mööda selgelt eristada
selliste andesubjektikategooriate isikuandmeid nagu kahtlusalused, kuriteos
süüdi mõistetud isikud ja kuriteo ohvrid ning kolmandad isikud, nagu
tunnistajad ja asjakohast teavet omavad isikud ning kahtlusaluste ja süüdi
mõistetud kurjategijate kontaktisikud ja kaasosalised. (24)
Võimaluse korral tuleks eristada isikuandmeid nende
täpsuse ja usaldusväärsuse alusel. Et tagada üksikisikute kaitse ning pädevate
asutuste töödeldava teabe kvaliteet ja usaldatavus, tuleks fakte eristada
hinnangutest. (25)
Selleks et isikuandmete töötlemine oleks seaduslik,
peab see olema vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks või
toimuma pädeva asutuse seadusliku ja avalikes huvides oleva ülesande
täitmiseks, andmesubjekti või teise isiku eluliste huvide kaitsmiseks või
avalikku korda ähvardava tõsise ja vahetu ohu ennetamiseks. (26)
Erilist kaitset vajavad sellist laadi isikuandmed,
mis on põhiõiguste ja eraelu puutumatuse seisukohast eriti tundlikud, nagu
geneetilised andmed. Selliseid andmeid ei tohiks töödelda muidu, kui ainult
juhul, kui töötlemine on sõnaselgelt lubatud seadusega, milles nähakse ette
meetmed andmesubjekti õiguspäraste huvide kaitsmiseks, või kui töötlemine on
vajalik andmesubjekti või teise isiku eluliste huvide kaitsmiseks või kui
töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud. (27)
Füüsilisel isikul peaks olema õigus, et
tema suhtes ei võeta üksnes automaattöötlusel põhinevat ja talle kahjulike
õiguslike tagajärgedega meedet, välja arvatud juhul, kui seda võimaldab õigus
ning ühtlasi on kehtestatud piisavad meetmed andmesubjekti õigustatud huvide
kaitsmiseks. (28)
Selleks et andmesubjekt saaks oma õigusi kasutada,
peaks temale esitatav teave olema lihtsalt kättesaadav, arusaadav ning selgelt
ja arusaadavalt sõnastatud. (29)
Tuleks ette näha kord, millega lihtsustatakse
käesoleva direktiivi alusel andmesubjektile antud õiguste kasutamist,
sealhulgas mehhanismid, mille abil saab tasuta taotleda eelkõige juurdepääsu
andmetele ning õigust andmeid parandada ja kustutada. Vastutav töötleja peaks
olema kohustatud andmesubjekti taotlustele vastama põhjendamatu viivituseta. (30)
Õiglase töötlemise põhimõtte kohaselt tuleks
andmesubjekti teavitada eelkõige töötlemistoimingu tegemisest ja selle
eesmärkidest, andmete säilitamise tähtajast, õigusest andmetega tutvuda ja neid
muuta või kustutada ning õigusest esitada kaebus. Kui andmeid kogutakse
andmesubjektilt, tuleks teda teavitada ka sellest, kas ta on kohustatud andmeid
esitama, ja andmete esitamata jätmise tagajärgedest. (31)
Andmesubjekti isikuandmete töötlemist käsitlev
teave tuleks anda talle asjaoludest olenevalt kas kogumise ajal või kui andmeid
ei saada andmesubjektilt, siis töötlemise konkreetseid asjaolusid arvestades
andmete salvestamise ajal või mõistliku ajavahemiku jooksul pärast nende
kogumist. (32)
Selleks et töötlemisest teada ja kontrollida selle
seaduslikkust, peaks igaühel olema õigus tutvuda tema kohta kogutud andmetega
ja õigus selle õiguse lihtsale kasutamisele. Seetõttu peaks igal andmesubjektil
olema õigus teada eelkõige andmete töötlemise eesmärke, ajavahemikku ja andmete
vastuvõtjaid, sealhulgas kolmandates riikides, ning saada eelneva kohta teavet.
Andmesubjektil peaks olema võimalik saada koopia teda käsitlevatest
töödeldavatest isikuandmetest. (33)
Liikmesriigil tuleks asjaomase isiku
õigustatud huvisid nõuetekohaselt arvestades lubada võtta seadusandlikke
meetmeid, millega nähakse ette andmesubjektile teabe hilisem või piiratud
esitamine või esitamata jätmine sellises ulatuses ja seni, kuni selline piirang
on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede
teenistuslike või õiguslike uurimiste, juurdluste või menetluste
takistamise vältimiseks, kuritegude ennetamise, uurimise, avastamise või
kuritegude eest vastutusele võtmise või kriminaalkaristuste täitmisele
pööramisele kahjustamise vältimiseks ning riigi julgeoleku või andmesubjekti
kaitseks või teiste isikute õiguste ja vabaduste kaitseks. (34)
Andmesubjekti teavitatakse kirjalikult juurdepääsu
keelamisest või piiramisest ning sellise otsuse faktilistest ja õiguslikest
põhjustest. (35)
Juhul kui liikmesriik on võtnud seadusandlikke
meetmeid andmesubjekti juurdepääsuõiguse täielikuks või osaliseks piiramiseks,
peaks andmesubjektil olema õigus taotleda riigi pädevalt järelevalveasutuselt
töötlemise seaduslikkuse kontrollimist. Andmesubjekti tuleks sellest õigusest
teavitada. Kui järelevalveasutus kasutab juurdepääsuõigust andmesubjekti nimel,
peaks järelevalveasutus teatama andmesubjektile vähemalt seda, et ta on
teostanud kogu vajaliku kontrolli, ning seda, millisele järeldusele ta jõudis
kõnealuse töötlemise seaduslikkuse küsimuses. (36)
Igal isikul peaks olema õigus teda käsitlevate
isikuandmete parandamisele ja kustutamisele, kui andmete töötlemine ei ole
kooskõlas käesolevas direktiivis sätestatud peamiste põhimõtetega. Isikuandmete
töötlemise suhtes kriminaalasja kohtueelses ja kohtulikus menetluses võib teabe
ja juurdepääsu ning isikuandmete kustutamise ja nende töötlemise piiramise
õigust teostada vastavalt kohtumenetlust käsitlevatele siseriiklikele
õigusnormidele. (37)
Tuleks kehtestada vastutava töötleja laialdane vastutus
temapoolse ja tema nimel toimuva isikuandmete mis tahes töötlemise eest.
Vastutav töötleja peaks eelkõige tagama, et ta töötleb isikuandmeid vastavalt
käesoleva direktiivi alusel vastuvõetud õigusnormidele. (38)
Andmesubjektide õiguste ja vabaduste kaitsmine
isikuandmete töötlemisel eeldab vajalike tehniliste ja korralduslike meetmete
võtmist, et tagada käesoleva direktiivi nõuete täitmine. Käesoleva direktiivi
alusel kehtestatud õigusnormide täitmise tagamiseks peaks vastutav töötleja
võtma vastu eeskirjad ja rakendama asjakohaseid meetmeid vastavalt eelkõige
isikuandmete lõimitud ja vaikimisi kaitse põhimõtetele. (39)
Andmesubjektide õiguste ja vabaduste kaitse ning
vastutavate töötlejate ja volitatud töötlejate vastutuse tagamiseks tuleb
käesoleva direktiiviga selgelt kindlaks määrata vastutuse jaotus, sealhulgas
juhtudel, kui isikuandmete töötlemise eesmärgid, tingimused ja vahendid määrab
kindlaks vastutav töötleja koos teiste vastutavate töötlejatega ning kui
töötlemistoimingut teostatakse vastutava töötleja nimel. (40)
Vastutav töötleja ja volitatud töötleja peaksid
töötlemistoimingud dokumenteerima, et võimaldada jälgida käesoleva direktiivi
täitmist. Vastutavad töötlejad ja volitatud töötlejad peaksid olema kohustatud
tegema järelevalveasutusega koostööd ja tegema nimetatud dokumendid taotluse
korral kättesaadavaks, et neid saaks kasutada nimetatud töötlemistoimingute
kontrollimiseks. (41)
Selleks et ennetavate meetmetega tagada
andmesubjekti õiguste kaitse, peaks vastutav töötleja või volitatud töötleja
teatavatel juhtudel enne isikuandmete töötlemise algust konsulteerima
järelevalveasutusega. (42)
Isikuandmetega seotud rikkumine, kui sellega
piisavalt ja õigeaegselt ei tegeleta, võib asjaomasele üksikisikule põhjustada
olulist majanduslikku ja sotsiaalset kahju ning rikkuda tema mainet. Seetõttu
peaks vastutav töötleja teatama sellisest rikkumisest riigi pädevale asutusele
niipea, kui ta sellest teada saab. Üksikisikut, kelle isikuandmeid või eraelu
võib rikkumine kahjustada, tuleks põhjendamatu viivituseta teavitada, et ta
saaks võtta tarvitusele vajalikke ettevaatusabinõusid. Andmesubjekti
isikuandmeid ja eraelu puutumatust kahjustavaks rikkumiseks tuleks pidada
sellist rikkumist, mille tulemuseks võib olla identiteedivargus või pettus,
füüsiline kahju, märkimisväärne alandamine või maine kahjustamine seoses
isikuandmete töötlemisega. (43)
Isikuandmetega seotud rikkumisest teatamise vormide
ja korra kohta üksikasjalike eeskirjade koostamisel tuleks arvesse võtta
rikkumise asjaolusid, sealhulgas seda, kas isikuandmed olid kaitstud
asjakohaste tehniliste kaitsemeetmetega, et tõhusalt vähendada väärkasutuse
tõenäosust. Lisaks tuleks sellistes eeskirjades ja sellises korras võtta
arvesse pädevate asutuste õigustatud huvi juhtudel, kui varajane avalikustamine
võib tarbetult takistada rikkumise asjaolude uurimist. (44)
Vastutav töötleja või volitatud töötleja peaks
määrama isiku, kes abistab teda käesoleva direktiivi alusel kehtestatud
õigusnormide täitmise kontrollimisel. Pädeva asutuse mitme üksuse jaoks võib
määrata ühe andmekaitseametniku. Andmekaitseametnikel peab olema võimalik täita
oma ülesandeid sõltumatult ja tulemuslikult. (45)
Liikmesriigid peaksid tagama, et isikuandmeid
edastatakse kolmandale riigile ainult juhul, kui see on vajalik kuritegude
tõkestamiseks, uurimiseks, avastamiseks või kuritegude eest vastutusele
võtmiseks või kriminaalkaristuste täitmisele pööramiseks ning kui kolmanda
riigi vastutav töötleja või rahvusvaheline organisatsioon on käesoleva
direktiivi tähenduses pädev asutus. Isikuandmeid võib edastada, kui komisjon on
teinud otsuse, et kolmas riik või rahvusvaheline organisatsioon tagab
isikuandmete kaitse piisava taseme, või kui on kehtestatud piisavad
kaitsemeetmed. (46)
Komisjon võib teha terves ELis kohaldatava otsuse,
et teatavad kolmandad riigid, kolmanda riigi territoorium või töötlemissektor
või rahvusvaheline organisatsioon pakub isikuandmete kaitset piisaval tasemel,
tagades seega terves ELis õiguskindluse ja ühtsuse seoses kolmandate riikide ja
rahvusvaheliste organisatsioonidega, mis tagavad isikuandmete kaitse piisava
taseme. Sellisel juhul võib isikuandmeid kõnealustesse riikidesse edastada ilma
täiendava loata. (47)
Kooskõlas põhiväärtustega, millele EL on rajatud,
eelkõige inimõiguste kaitsmisega, peaks komisjon arvesse võtma seda, kuidas
asjaomane kolmas riik peab kinni õigusriigi ja õiguskaitse kättesaadavuse
põhimõtetest ning rahvusvahelistest inimõiguste normidest ja standarditest. (48)
Komisjonil peaks olema võimalus tunnistada, et
kolmanda riigi, kolmanda riigi territooriumi või töötlemissektori või rahvusvahelise
organisatsiooni isikuandmete kaitse tase ei ole piisav. Sellest tulenevalt
tuleks isikuandmete edastamine kõnealusele kolmandale riigile keelata, välja
arvatud juhul, kui isikuandmeid edastatakse vastavalt rahvusvahelisele
lepingule või piisavate kaitsemeetmete kehtestamisel või erandina. Sellisel
juhul tuleks ette näha komisjoni ja sellise kolmanda riigi või rahvusvahelise
organisatsiooni vahelise konsulteerimise kord. Komisjoni sellist otsust
kohaldatakse, ilma et see piiraks võimalust isikuandmeid edastada pärast
asjakohaseid kaitsemeetmete võtmist või käesolevas direktiivis sätestatud
erandina. (49)
Isikuandmete edastamine ilma piisava kaitse
otsuseta peaks olema lubatud ainult juhul, kui õiguslikult siduvas dokumendis
on sätestatud isikuandmete kaitseks asjakohased kaitsemeetmed või kui vastutav
töötleja või volitatud töötleja, olles hinnanud kõiki andmete edastamisega
seotud asjaolusid, leiab, et isikuandmete kaitseks vajalikud kaitsemeetmed on
võetud. Juhtumite puhul, mil isikuandmete edastamiseks puudub alus, tuleks
lubada teha erandeid, kui edastamine on vajalik andmesubjekti või teise isiku
eluliste huvide kaitsmiseks ja andmesubjekti õigustatud huvi kaitsmiseks
vastavalt andmeid edastava liikmesriigi õigusele, kui andmete edastamine on vajalik
liikmesriigi või kolmanda riigi avalikku korda ähvardava vahetu ja tõsise ohu
vältimiseks või kui edastamine on vajalik konkreetsete kuritegude
tõkestamiseks, uurimiseks, avastamiseks, kuritegude eest vastutusele võtmiseks
ja kriminaalkaristuste täitmisele pööramiseks ning konkreetsete õigusnõuete
koostamiseks, esitamiseks või kaitsmiseks. (50)
Isikuandmete liikumine üle piiride võib raskendada
üksikisikute võimalusi kasutada oma isikuandmete kaitse õigust, et kaitsta end
andmete ebaseadusliku kasutamise ja avalikustamise eest. Järelevalveasutusel
aga võib osutuda võimatuks käsitleda kaebusi ja teostada uurimist muus riigis
tehtud tegude suhtes. Nende piiriülese koostöö püüdlusi võivad takistada ka
tõkestamiseks ja kaitsemeetmete võtmiseks ebapiisavad volitused ning ebaühtlane
õiguskord. Seepärast on vaja tihendada isikuandmete kaitse järelevalve asutuste
koostööd, et nad saaksid vahetada teavet teiste riikide järelevalveasutustega. (51)
Liikmesriikides täiesti sõltumatult oma
tööülesandeid täitvate järelevalveasutuste loomine on oluline, et kaitsta
üksikisikuid seoses isikuandmete töötlemisega. Järelevalveasutused peaksid
jälgima käesoleva direktiivi kohaldamist ja aitama kaasa selle ühtsele
kohaldamisele terves ELis, et kaitsta füüsilisi isikuid nende isikuandmete
töötlemisel. Selleks peaksid järelevalveasutused tegema koostööd üksteise ja
komisjoniga. (52)
Liikmesriigid võiksid lubada määruse (EL) nr …/2012
kohaselt liikmesriikides juba loodud järelevalveasutustel täita käesoleva
direktiivi kohaselt loodavate riiklike järelevalveasutuste ülesandeid. (53)
Liikmesriikidel peaks olema õigus luua mitu
järelevalveasutust vastavalt nende põhiseaduslikule, organisatsioonilisele ja
haldusstruktuurile. Igale järelevalveasutusele tuleks anda piisavad rahalised
ja inimressursid, hooned ja infrastruktuur, mis on vajalikud nende ülesannete,
sealhulgas terve ELi järelevalveasutustega tehtava koostöö ja vastastikuse
abiga seotud ülesannete täitmiseks. (54)
Järelevalveasutuse liikmetele esitatavad
üldtingimused tuleks kehtestada igas liikmesriigis seadusega, milles on
eelkõige ette nähtud, et liikmed nimetab ametisse kas liikmesriigi parlament
või valitsus, ning sätestatud liikmete isikliku kvalifikatsiooni ja
ametiseisundi nõuded. (55)
Kuigi käesolevat määrust kohaldatakse ka
liikmesriikide kohtute tegevuse suhtes, ei tohiks järelevalveasutuste pädevus
hõlmata isikuandmete töötlemist kohtutes, kes tegutsevad oma õigusliku pädevuse
piires, et kaitsta kohtunike sõltumatust nende ülesannete täitmisel. Kõnealune
erand peaks siiski piirduma õiguskaitseasutuste tegevusega kohtuasjades ega
tohiks laieneda muule tegevusele, millega kohtunikud on seotud vastavalt
siseriiklikele õigusaktidele. (56)
Selleks et tagada kogu liidus ühtlane järelevalve
käesoleva direktiivi üle ja selle ühtlane täitmine, peaksid järelevalveasutustel
olema kõikides liikmesriikides samad ülesanded ja volitused, sealhulgas
uurimis-, õiguslikult siduva sekkumise, otsuste tegemise ja sanktsioonide
kehtestamise volitused, eelkõige üksikisikute esitatud kaebuste puhul, ning
volitused osaleda kohtumenetlustes. (57)
Järelevalveasutus peaks andmesubjekti esitatud
kaebuse vastu võtma ja küsimust uurima. Kaebuse esitamisele järgnev uurimine
peaks toimuma ulatuses, mis on konkreetse juhtumi puhul vajalik, ning selle
tulemus peaks olema võimalik kohtulikult läbi vaadata. Järelevalveasutus peaks
teavitama andmesubjekti kaebuse menetlemise käigust ja tulemusest mõistliku aja
jooksul. Kui juhtum vajab täiendavat uurimist või kooskõlastamist mõne teise
järelevalveasutusega, tuleks sellest teatada andmesubjektile. (58)
Järelevalveasutused peaksid abistama üksteist
ülesannete täitmisel ja andma vastastikust abi, et tagada käesoleva direktiivi
alusel vastuvõetud õigusnormide järjekindel kohaldamine ja täitmine. (59)
Määrusega (EL) nr …/2012 asutatud Euroopa
Andmekaitsenõukogu peaks aitama kaasa käesoleva direktiivi ühtsele kohaldamine
terves ELis, sealhulgas nõustades komisjoni ja edendades järelevalveasutuste
koostööd terves ELis. (60)
Igal andmesubjektil peaks olema õigus esitada
kaebus ükskõik millise liikmesriigi järelevalveasutusele ja õigus
õiguskaitsevahendile, kui ta on seisukohal, et tema käesolevast direktiivist
tulenevaid õigusi on rikutud või kui järelevalveasutus ei reageeri kaebusele
ega võta meetmeid juhul, kui need on vajalikud andmesubjekti õiguste
kaitsmiseks. (61)
Mis tahes asutusel, organisatsioonil ja ühingul,
mille eesmärk on kaitsta andmesubjekti andmete kaitsega seonduvaid õigusi ja
huve ja mis on loodud liikmesriigi õiguse kohaselt, peaks olema õigus esitada
järelevalveasutusele kaebus või kasutada andmesubjekti nõuetekohase volituse
alusel andmesubjekti nimel õigust õiguskaitsevahendile või esitada
andmesubjekti kaebusest sõltumatult oma kaebus, kui ta leiab, et on toimunud
isikuandmetega seotud rikkumine. (62)
Kui järelevalveasutus teeb otsuse füüsilise või
juriidilisel isiku kohta, peaks isikul olema õigus õiguskaitsevahendile sellise
otsuse suhtes. Hagi järelevalveasutuse vastu tuleks esitada selle liikmesriigi
kohtutele, kus järelevalveasutus asub. (63)
Kohtumenetluste tulemuslikkuse tagamiseks peaksid
liikmesriigid tagama, et käesoleva direktiivi rikkumise heastamise või
ärahoidmise meetmeid saaks võtta kiiresti. (64)
Kahju, mida üksikisikule võib põhjustada
ebaseaduslik töötlemine, peaks kompenseerima vastutav töötleja või volitatud
töötleja, kes siiski võidakse sellest kohustusest vabastada, eelkõige kui ta
tõestab, et kahju ei ole põhjustanud tema, vaid andmesubjekt ise või vääramatu
jõud. (65)
Igale füüsilisele isikule ja eraõiguslikule või
avalik-õiguslikule juriidilisele isikule, kes ei järgi käesolevat direktiivi,
tuleks määrata karistus. Liikmesriigid peaksid tagama, et karistused on
tõhusad, proportsionaalsed ja hoiatavad ning võtma kõik meetmed karistuste
täitmisele pööramiseks. (66)
Selleks et täita käesoleva direktiivi eesmärke,
täpsemalt kaitsta füüsiliste isikute põhiõigusi ja -vabadusi, eelkõige nende
õigust isikuandmete kaitsele, ning tagada ELis isikuandmete vaba vahetamine
pädevate asutuste vahel, tuleks komisjonile anda Euroopa Liidu toimimise
lepingu artikli 290 kohane õigus võtta vastu delegeeritud õigusakte. Delegeeritud
õigusaktidega tuleks eelkõige reguleerida järelevalveasutuse teavitamist
isikuandmetega seotud rikkumistest. On eriti oluline, et komisjon viiks oma
ettevalmistava töö käigus läbi asjakohaseid konsultatsioone, sealhulgas
ekspertide tasandil. Komisjon peaks delegeeritud õigusaktide ettevalmistamise
ja koostamise ajal tagama asjakohaste dokumentide sama- ja õigeaegse ning
asjakohase edastamise Euroopa Parlamendile ja nõukogule. (67)
Et tagada ühetaolised tingimused käesoleva määruse
rakendamiseks, tuleks komisjonile anda rakendusvolitused järgnevates
valdkondades: vastutava töötleja ja volitatud töötleja poolne dokumenteerimine,
töötlemise turvalisus ja eelkõige krüpteerimisstandardid, järelevalveasutuse
teavitamine isikuandmetega seotud rikkumisest ning kolmanda riigi, kolmanda
riigi territooriumi või töötlemissektori või rahvusvahelise organisatsiooni
isikuandmete kaitse piisava taseme kindlakstegemine. Kõnealuseid volitusi
tuleks kasutada vastavalt Euroopa Parlamendi ja nõukogu 16. veebruari
2011. aasta määrusele (EL) nr 182/2011, millega kehtestatakse
eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli
mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes[36]. (68)
Vastutava töötleja ja volitatud töötleja poolse dokumenteerimise,
töötlemise turvalisuse, isikuandmetega seotud rikkumisest järelevalveasutusele
teatamise, kolmanda riigi, kolmanda riigi territooriumi või töötlemissektori
või rahvusvahelise organisatsiooni isikuandmete kaitse piisava taseme alaste
üldist laadi meetmete vastuvõtmiseks tuleks kasutada kontrollimenetlust. (69)
Nõuetekohaselt põhjendatud juhtudel, mis on seotud
kolmanda riigi, kolmanda riigi territooriumi või töötlemissektori või
rahvusvahelise organisatsiooni ebapiisava isikuandmete kaitse tasemega, peaks
komisjon olukorra tungiva kiireloomulisuse korral vastu võtma viivitamata
kohaldatavad rakendusaktid. (70)
Kuna käesoleva direktiivi eesmärki, nimelt kaitsta
füüsiliste isikute põhiõigusi ja -vabadusi, eelkõige nende õigust isikuandmete
kaitsele, ning tagada liidus isikuandmete vaba vahetamine pädevate asutuste
vahel, ei suuda liikmesriigid üksi piisavalt saavutada ning selle ulatuse ja
toime tõttu on eesmärki parem saavutada ELi tasandil, võib EL võtta meetmeid
kooskõlas Euroopa Liidu lepingu artiklis 5 sätestatud subsidiaarsuse
põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte
kohaselt ei lähe käesolev direktiiv kaugemale, kui on vajalik kõnesoleva
eesmärgi saavutamiseks. (71)
Raamotsus 2008/977/JSK tuleks käesoleva
direktiiviga tunnistada kehtetuks. (72)
Käesolev direktiiv ei tohiks mõjutada pädevate
asutuste poolset isikuandmete töötlemist kuritegude tõkestamiseks, uurimiseks
ja avastamiseks ning kuritegude eest vastutusele võtmiseks ja
kriminaalkaristuste täitmisele pööramiseks käsitlevaid erisätteid, mis on ette
nähtud enne käesoleva direktiivi jõustumise kuupäeva vastu võetud liidu
õigusaktides, millega reguleeritakse liikmesriikide vahelist isikuandmete
töötlemist ja liikmesriigi määratud asutuste juurdepääsu aluselepingute
kohaselt loodud infosüsteemidele. Komisjon peaks hindama olukorda, mis tuleneb
seosest käesoleva direktiivi ja enne käesoleva direktiivi jõustumise kuupäeva
vastuvõetud liidu õigusaktide vahel, millega reguleeritakse liikmesriikide
vahelist isikuandmete töötlemist ja liikmesriigi määratud asutuste juurdepääsu
aluselepingute kohaselt loodud infosüsteemidele. (73)
Selleks et tagada isikuandmete igakülgne ja
järjekindel kaitsmine terves liidus, tuleks kooskõlas käesoleva direktiiviga
muuta rahvusvahelisi lepinguid, mille liikmesriigid on sõlminud enne käesoleva
direktiivi jõustumist. (74)
Käesolev direktiiv ei piira laste seksuaalse
kuritarvitamise ja ärakasutamise ning lasteporno vastase võitluse eeskirju, mis
on kehtestatud Euroopa Parlamendi ja nõukogu 13. detsembri 2011. aasta direktiiviga
2011/92/EL[37]. (75)
Euroopa Liidu lepingule ja Euroopa Liidu toimimise
lepingule lisatud protokolli (Ühendkuningriigi ja Iirimaa seisukoha kohta
vabadusel, turvalisusel ja õigusel rajaneva ala suhtes) artikli 6a kohaselt ei
kohaldata Ühendkuningriigi ega Iirimaa suhtes käesoleva direktiiviga
kehtestatud eeskirju, kui Ühendkuningriigi ja Iirimaa suhtes ei kohaldata
eeskirju, mis käsitlevad õigusalast koostööd kriminaalasjades või
politseikoostööd, mille raames tuleb järgida Euroopa Liidu toimimise lepingu
artikli 16 alusel kehtestatud sätteid. (76)
Euroopa Liidu lepingule ja Euroopa Liidu toimimise
lepingule lisatud Taani seisukohta käsitleva protokolli artiklite 2 ja 2a
kohaselt ei ole käesolev direktiiv Taani suhtes siduv ega kohaldatav.
Arvestades, et käesolev direktiiv põhineb Euroopa Liidu toimimise lepingu
kolmanda osa V jaotise alusel Schengeni acquis’l, otsustab Taani
kõnealuse protokolli artikli 4 kohaselt kuue kuu jooksul pärast käesoleva
direktiivi vastuvõtmist, kas ta rakendab seda oma siseriiklikus õiguses. (77)
Islandi ja Norra puhul kujutab käesolev direktiiv
endast Schengeni acquis’ sätete edasiarendamist Euroopa Liidu Nõukogu
ning Islandi Vabariigi ja Norra Kuningriigi vahel sõlmitud lepingu (viimase
kahe riigi osalemiseks Schengeni acquis’ sätete rakendamises,
kohaldamises ja edasiarendamises)[38]
tähenduses. (78)
Šveitsi puhul kujutab käesolev direktiiv endast
Schengeni acquis’ sätete edasiarendamist Euroopa Liidu, Euroopa Ühenduse
ja Šveitsi Konföderatsiooni vahelise lepingu (Šveitsi Konföderatsiooni ühinemise
kohta Schengeni acquis’ rakendamise, kohaldamise ja edasiarendamisega)[39] tähenduses. (79)
Liechtensteini puhul kujutab käesolev direktiiv
endast Schengeni acquis’ sätete edasiarendamist Euroopa Liidu, Euroopa
Ühenduse, Šveitsi Konföderatsiooni ja Liechtensteini Vürstiriigi vahel
allakirjutatud protokolli (mis käsitleb Liechtensteini Vürstiriigi ühinemist
Euroopa Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepinguga
Šveitsi Konföderatsiooni ühinemise kohta Schengeni acquis’ rakendamise,
kohaldamise ja edasiarendamisega)[40]
tähenduses. (80)
Käesolevas direktiivis peetakse kinni aluslepingus
sätestatud ja Euroopa Liidu põhiõiguste hartaga tunnustatud põhiõigustest ja
põhimõtetest, eelkõige õigusest era- ja perekonnaelu ja isikuandmete kaitsele,
tõhusale õiguskaitsevahendile ning õiglasele kohtulikule arutamisele. Nende
õiguste suhtes kehtestatud piirangud on kooskõlas harta artikli 52 lõikega 1,
olles vajalikud liidu poolt tunnustatud üldist huvi pakkuvatele eesmärkide
saavutamiseks ning teiste isikute õiguste ja vabaduste kaitsmiseks. (81)
Kooskõlas liikmesriikide ja komisjoni 28. septembri
2011. aasta ühise poliitilise avaldusega selgitavate dokumentide kohta
kohustuvad liikmesriigid lisama põhjendatud juhtudel ülevõtmismeetmeid
käsitlevale teatele ühe või mitu dokumenti, milles selgitatakse seost
direktiivi komponentide ja ülevõtvate siseriiklike õigusaktide vastavate osade
vahel. Käesoleva direktiivi puhul leiab seadusandja, et selliste dokumentide
edastamine on põhjendatud. (82)
Käesolev direktiiv ei tohiks takistada
liikmesriikidel rakendada kriminaalmenetlust käsitlevates siseriiklikes
õigusnormides andmesubjektide õigust saada teavet, õigust andmetega tutvuda,
kriminaalmenetluse käigus töödeldavaid isikuandmeid parandada ja kustutada ning
nende töötlemist piirata ega kehtestada nende õiguste piiranguid, ON VASTU VÕTNUD KÄESOLEVA DIREKTIIVI: I PEATÜKK ÜLDSÄTTED Artikkel 1
Reguleerimisese ja eesmärgid 1. Käesolevas direktiivis
sätestatakse eeskirjad, mis käsitlevad üksikisikute kaitset isikuandmete töötlemisel
pädevate asutuste poolt kuritegude tõkestamiseks, uurimiseks, avastamiseks,
kuritegude eest vastutusele võtmiseks ja kriminaalkaristuste täitmisele
pööramiseks. 2. Käesoleva direktiivi alusel
liikmesriigid: a) kaitsevad füüsiliste isikute põhiõigusi
ja -vabadusi, eriti nende õigust isikuandmete kaitsele, ning b) tagavad, et pädevate ametiasutuste
vahelist isikuandmete vahetamist liidus ei piirata ega keelata põhjustel, mis
on seotud üksikisikute kaitsega isikuandmete töötlemisel. Artikkel 2
Reguleerimisala 1. Käesolevat direktiivi
kohaldatakse pädevate ametiasutuste poolt isikuandmete töötlemisel artikli 1 lõikes
1 osutatud eesmärkidel. 2. Direktiivi kohaldatakse
isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja
isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed
kuuluvad toimikusüsteemi või kui need kavatsetakse toimikusüsteemi kanda. 3. Käesolevat direktiivi ei
kohaldata, kui: a) isikuandmeid töödeldakse muu kui liidu
õiguse reguleerimisalasse kuuluva tegevuse käigus, eriti seoses riigi
julgeoleku tagamisega; b) isikuandmeid töötlevad liidu
institutsioonid, organid ja asutused. Artikkel 3
Mõisted Käesolevas direktiivis kasutatakse järgmisi
mõisteid: (1)
„andmesubjekt” – füüsiline isik, kelle isikusamasus
on tuvastatud või otseselt või kaudselt tuvastatav vahenditega, mida vastutav
töötleja või mis tahes muu füüsiline või juriidiline isik tavaliselt kasutavad,
nagu isikukood, asukohaandmed ja veebiidentifikaator, samuti üks või mitu isiku
füüsilist, füsioloogilist, geneetilist, vaimset, majanduslikku, kultuurilist ja
sotsiaalset tunnust; (2)
„isikuandmed” – igasugune teave andmesubjekti
kohta; (3)
„töötlemine” – isikuandmete või nende kogumitega
tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum,
nagu kogumine, salvestamine, korrastamine, struktureerimine, säilitamine,
kohandamine ja muutmine, päringute teostamine, lugemine, kasutamine,
üleandmine, levitamine ja muul moel kättesaadavaks tegemine, ühitamine või
ühendamine, piiramine, kustutamine ja hävitamine; (4)
„töötlemise piiramine” – salvestatud isikuandmete
markeerimine eesmärgiga piirata nende edaspidist töötlemist; (5)
„toimikusüsteem” – isikuandmete korrastatud kogum,
millest võib andmeid leida teatavate kriteeriumide põhjal, olenemata sellest,
kas kõnealune andmete kogum on tsentraliseeritud, detsentraliseeritud või
funktsionaalsel või geograafilisel põhimõttel hajutatud; (6)
„vastutav töötleja” – pädev avaliku sektori asutus,
kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid,
tingimused ja vahendid; kui töötlemise eesmärgid, tingimused ja vahendid on
kindlaks määratud liidu või liikmesriikide õigusega, võib vastutava töötleja
või tema määramise konkreetsed kriteeriumid sätestada liidu või liikmesriigi
õiguses; (7)
„volitatud töötleja” – füüsiline või juriidiline
isik, avaliku sektori asutus või muu asutus või organ, kes töötleb isikuandmeid
vastutava töötleja nimel; (8)
„vastuvõtja” – füüsiline või juriidiline isik,
avaliku sektori asutus või muu asutus või organ, kellele andmed avaldatakse; (9)
„isikuandmetega seotud rikkumine” – turvanõuete
rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate
isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise ja
loata avalikustamise või neile juurdepääsu; (10)
„geneetilised andmed” – mis tahes liiki andmed
isiku pärilike ja varajasel sünnieelsel arenguetapil kujunenud omaduste kohta; (11)
„biomeetrilised andmed” – andmed isiku tuvastamist
võimaldavate füüsiliste, füsioloogiliste ja käitumuslike omaduste kohta,
näiteks näokujutis ja sõrmejäljeandmed; (12)
„terviseandmed” – teave, mis käsitleb isiku
füüsilist ja vaimset tervist ning isikule tervishoiuteenuse osutamist; (13)
„laps” – alla 18aastane isik; (14)
„pädev ametiasutus” – avaliku sektori asutus, kelle
ülesanne on kuritegude tõkestamine, uurimine, avastamine, kuritegude eest
vastutusele võtmine ja kriminaalkaristuste täitmisele pööramine. (15)
„järelevalveasutus” – liikmesriigis vastavalt
artiklile 39 asutatud avaliku sektori asutus. II PEATÜKK PÕHIMÕTTED Artikkel 4
Isikuandmete töötlemise põhimõtted Liikmesriigid sätestavad, et: a) isikuandmeid töödeldakse õiglaselt ja
seaduslikult; b) isikuandmeid kogutakse täpselt ja selgelt
kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem
viisil, mis on nende eesmärkidega vastuolus; c) isikuandmed on piisavad ja asjakohased
ega ületa selle otstarbe piire, mille tarvis neid töödeldakse; d) isikuandmed on täpsed ja vajaduse korral
ajakohastatud ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi
seisukohalt ebatäpsed isikuandmed kustutakse või parandatakse viivitamata; e) isikuandmeid säilitatakse kujul, mis
võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle
eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; f) isikuandmeid töödeldakse vastutava
töötleja kohustuste raames ja vastutusel ning vastutav töötleja tagab, et
töötlemine vastab käesolevale direktiivile. Artikkel 5
Andmesubjektide kategooriad 1. Liikmesriigid sätestavad, et
vastutav töötleja eristab isikuandmeid selgelt andmesubjektide kategooriate
kaupa, nimelt: a) isikud, kelle puhul on piisavalt alust
arvata, et nad on toime pannud või võivad toime panna kurteo; b) isikud, kes on kuriteos süüdi mõistetud; c) kuriteoohvrid ja isikud, kelle puhul
annavad asjaolud alust arvata, et nad langenud kuriteo ohvriks; d) kuriteoga seotud kolmandad isikud,
näiteks isikud, keda kuriteo uurimise või sellele järgneva kriminaalmenetluse
käigus võidakse kutsuda tunnistusi andma, isikud, kellelt võib saada teavet
kuriteo kohta, ning punktides a ja b osutatud isikute kontaktisikud ja nendega
seotud isikud ning e) isikud, kes ei kuulu ühtegi eespool
nimetatud kategooriasse. Artikkel 6
Erineva täpsuse ja usaldusväärsusega isikuandmed 1. Liikmesriigid tagavad, et võimalust
mööda eristatakse töötlemisel eri liiki isikuandmeid nende täpsuse ja
usaldusväärsuse alusel. 2. Liikmesriigid tagavad, et võimalust
mööda eristatakse faktidel põhinevaid isikuandmeid hinnangutel põhinevatest
isikuandmetest. Artikkel 7
Töötlemise seaduslikkus Liikmesriigid sätestavad, et isikuandmete
töötlemine on seaduslik ainult juhul ja niivõrd, kuivõrd see on vajalik: (a)
pädeva astutuse seadusjärgse, artikli 1 lõike 1
kohase ülesande täitmiseks või (b)
vastutava töötleja seadusjärgse kohustuse
täitmiseks või (c)
andmesubjekti või teise isiku eluliste huvide
kaitsmiseks või (d)
avalikku korda ähvardava tõsise ja vahetu ohu
tõkestamiseks. Artikkel 8
Isikuandmete eriliikide töötlemine 1. Liikmesriigid keelavad
töödelda selliseid isikuandmeid, mis paljastavad rassi või etnilise päritolu,
poliitilised vaated, usu või uskumused, ametiühingusse kuulumise, samuti
geneetiliste andmete ning tervislikku seisundit ja seksuaalelu käsitlevate
andmete töötlemise. 2. Lõiget 1 ei kohaldata, kui: a) töötlemine on lubatud õigusaktiga, milles
on sätestatud piisavad kaitsemeetmed, või b) töötlemine on vajalik andmesubjekti või
teise isiku eluliste huvide kaitsmiseks või c) töödeldakse isikuandmeid, mille
andmesubjekt on ilmselgelt avalikustanud. Artikkel 9
Profiilianalüüsil ja automaattöötlusel põhinevad meetmed 1. Liikmesriigid sätestavad, et
keelatud on võtta meetmeid, millel on andmesubjektile kahjulikud õiguslikud
tagajärjed või märkimisväärne mõju ning mille aluseks on ainult isikuandmete
automaattöötlus, mille eesmärk on anda hinnang andmesubjekti teatavatele
isikuomadustele, välja arvatud juhul, kui seda võimaldatakse õigusaktiga,
millega ühtlasi kehtestatakse piisavad meetmed andmesubjekti õigustatud huvide
kaitsmiseks. 2. Isikuandmete automaattöötlus
andmesubjekti isikuomaduste hindamiseks ei või põhineda ainult artiklis 8
osutatud isikuandmete eriliikidel. III PEATÜKK ANDMESUBJEKTI ÕIGUSED Artikkel 10
Andmesubjekti õiguste kasutamise kord 1. Liikmesriigid sätestavad, et
vastutav töötleja teeb mõistlikke jõupingutusi isikuandmete töötlemise ja
andmesubjektide õiguste kaitsmise läbipaistvate põhimõtete kehtestamiseks ja
nende lihtsalt kättesaadavaks tegemiseks. 2. Liikmesriigid sätestavad, et
vastutav töötleja esitab andmesubjektile kogu teabe isikuandmete töötlemise ja
sellega seotud teabevahetuse kohta, tehes seda arusaadavas vormis ning selges
ja lihtsas keeles. 3. Liikmesriigid sätestavad, et
vastutav töötleja teeb mõistlikke jõupingutusi artiklis 11 osutatud teabe
esitamise ning artiklites 12–17 nimetatud andmesubjekti õiguste kasutamise
korra kehtestamiseks. 4. Liikmesriigid sätestavad, et
vastutav töötleja teavitab andmesubjekti viivitamata tema taotluse alusel
tehtud toimingutest. 5. Liikmesriigid sätestavad, et
lõigetes 3 ja 4 osutatud taotluse alusel vastutava töötleja antud teabe ja
tehtud toimingute eest tasu ei võeta. Kui taotlused on selgelt pahatahtlikud
nende korduva esitamise või mahu tõttu, võib vastutav töötleja võtta taotletud
teabe andmise ja toimingute tegemise eest tasu või jätta toimingud tegemata.
Sel juhul lasub vastutaval töötlejal kohustus tõendada, et taotlus on
pahatahtlik. Artikkel 11
Andmesubjekti teavitamine 1. Liikmesriigid tagavad, et
vastutav töötleja võtab kõik kohased meetmed, et teha andmesubjektile seoses
andmete kogumisega teatavaks vähemalt järgmine: a) vastutava töötleja ja andmekaitseametniku
nimi ja kontaktandmed; b) isikuandmete töötlemise eesmärk, c) isikuandmete säilitamise tähtaeg; d) andmesubjekti õigus taotleda vastutavalt
töötlejalt juurdepääsu oma isikuandmetele ning oma isikuandmete parandamist,
kustutamist ja nende töötlemise piiramist; e) andmesubjekti õigus esitada kaebus
artiklis 39 osutatud järelevalveasutusele ning järelevalveasutuse
kontaktandmed; f) isikuandmete vastuvõtjad või
vastuvõtjate kategooriad, sealhulgas kolmandad riigid ja rahvusvahelised
organisatsioonid; g) muu teave määral, mis on vajalik
andmesubjekti õigusi arvestava andmetöötluse tagamiseks, võttes arvesse
isikuandmete töötlemise konkreetset olukorda. 2. Juhul kui isikuandmed
kogutakse andmesubjektilt, teatab vastutav töötleja talle lisaks lõikes 1
osutatud teabele, kas isikuandmete esitamine on kohustuslik või vabatahtlik,
ning andmete esitamata jätmise võimalikud tagajärjed. 3. Vastutav töötleja esitab
lõikes 1 osutatud teabe: a) andmesubjektilt andmete saamise ajal või b) juhul kui isikuandmed ei ole kogutud
andmesubjektilt, siis andmete salvestamise ajal või mõistliku aja jooksul
pärast nende kogumist, võttes arvesse andmete töötlemise konkreetset olukorda. 4. Liikmesriigid võivad
asjaomase isiku õigustatud huvisid nõuetekohaselt arvestades võtta
seadusandlikke meetmeid, millega nähakse ette andmesubjektile teabe hilisem või
piiratud esitamine või esitamata jätmine sellises ulatuses ja seni, kuni
selline piirang on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede: (a)
teenistuslike või õiguslike uurimiste,
juurdluste või menetluste takistamise vältimiseks; (b)
kuritegude tõkestamise, uurimise, avastamise või
kuritegude eest vastutusele võtmise või kriminaalkaristuste täitmisele
pööramise kahjustamise vältimiseks; (c)
avaliku julgeoleku kaitseks; (d)
riigi julgeoleku kaitseks; (e)
teiste isikute õiguste ja vabaduste kaitseks. 5. Liikmesriigid võivad kindlaks
määrata isikuandmete töötlemise liigid, mille suhtes täielikult või osaliselt
kehtivad lõikes 4 sätestatud erandid. Artikkel 12
Andmesubjekti õigus tutvuda andmetega 1. Liikmesriigid sätestavad, et
andmesubjektil on õigus saada vastutavalt töötlejalt kinnitus selle kohta, kas
tema isikuandmeid töödeldakse või mitte. Juhul kui andmesubjekti isikuandmeid
töödeldakse, esitab vastutav töötleja talle järgmise teabe: a) töötlemise eesmärk, b) töödeldavate isikuandmete liigid; c) millistele või mis liiki vastuvõtjatele
isikuandmeid on avalikustatud, eelkõige teave kolmandates riikides olevate
vastuvõtjate kohta; d) isikuandmete säilitamise tähtaeg; e) andmesubjekti õigus taotleda vastutavalt
töötlejalt oma isikuandmete parandamist, kustutamist ja nende töötlemise
piiramist; f) andmesubjekti õigus esitada kaebus
järelevalveasutusele ning järelevalveasutuse kontaktandmed; g) teave töödeldavate isikuandmete kohta ja
olemasoleva teave andmete allika kohta. 2. Liikmesriigid sätestavad, et
andmesubjektil on õigus saada vastutavalt töötlejalt töödeldavate isikuandmete
koopia. Artikkel 13
Andmetega tutvumise õiguse piirangud 1.
Liikmesriigid võivad asjaomase isiku õigustatud
huvisid nõuetekohaselt arvestades võtta seadusandlikke meetmeid, millega
nähakse ette andmesubjekti andmetega tutvumise õiguse täielik või osaline
piiramine sellises ulatuses ja seni, kuni selline piirang on demokraatlikus
ühiskonnas vajalik ja proportsionaalne meede: (a)
teenistuslike või õiguslike uurimiste, juurdluste
või menetluste takistamise vältimiseks; (b)
kuritegude tõkestamise, uurimise, avastamise või
kuritegude eest vastutusele võtmise või kriminaalkaristuste täitmisele
pööramise kahjustamise vältimiseks; (c)
avaliku julgeoleku kaitseks; (d)
riigi julgeoleku kaitseks; (e)
teiste isikute õiguste ja vabaduste kaitseks. 2.
Liikmesriigid võivad seadusega kindlaks määrata
isikuandmete töötlemise liigid, mille suhtes täielikult või osaliselt kehtivad
lõikes 1 sätestatud erandid. 3.
Liikmesriigid sätestavad, et lõigetes 1 ja 2
osutatud juhtudel teavitab vastutav töötleja andmesubjekti kirjalikult
juurdepääsu keelamisest või piiramisest ja keeldumise põhjustest ning selgitab
talle võimalusi esitada järelevalveasutusele kaebus ja kasutada
õiguskaitsevahendeid. Otsuse faktilised ja õiguslikud alused võidakse jätta
teatamata, kui sellise teabe esitamine takistab artiklis 1 osutatud eesmärgi
saavutamist. 4.
Liikmesriigid tagavad, et vastutav töötleja
dokumenteerib otsuse faktiliste ja õiguslike aluste teatamata jätmise põhjused. Artikkel 14
Andmetega tutvumise õiguse kasutamise viis 1. Liikmesriigid sätestavad, et
andmesubjektil on õigus eelõige artiklis 13 osutatud juhtudel taotleda, et
järelevalveasutus kontrolliks töötlemise seaduslikkust. 2. Liikmesriigid sätestavad, et
vastutav töötleja teavitab andmesubjekti tema õigusest taotleda
järelevalveasutuse sekkumist vastavalt lõikele 1. 3. Lõikes 1 osutatud õiguse
kasutamisel teatab järelevalveasutus andmesubjektile vähemalt seda, et ta on
teostanud kogu vajaliku kontrolli, ning millisele järeldusele ta jõudis
kõnealuse töötlemise seaduslikkuse küsimuses. Artikkel 15
Õigus andmeid parandada 1. Liikmesriigid sätestavad, et
andmesubjektil on õigus vastutavalt töötlejalt taotleda ebatäpsete isikuandmete
parandamist. Andmesubjektil on õigus taotleda mittetäielike isikuandmete
täiendamist, eelkõige parandusõiendi esitamise teel. 2. Liikmesriigid sätestavad, et
vastutav töötleja teavitab andmesubjekti kirjalikult juurdepääsu keelamisest
või piiramisest ja keeldumise põhjustest ning selgitab talle võimalusi esitada
järelevalveasutusele kaebus ja kasutada õiguskaitsevahendeid. Artikkel 16
Õigus andmete kustutamisele 1.
Liikmesriigid sätestavad, et andmesubjektil on
õigus nõuda vastutavalt töötlejalt enda isikuandmete kustutamist, kui
töötlemine ei vasta käesoleva direktiivi artikli 4 punktide a–e ning artiklite
7 ja 8 alusel vastuvõetud õigusnormidele. 2.
Vastutav töötleja kustutab andmed viivitamata. 3.
Vastutav töötleja markeerib isikuandmed nende
kustutamise asemel, kui: (a)
andmesubjekt seab kahtluse alla nende täpsuse;
täpsemalt piiratakse siis andmete töötlemine nii kauaks, kuni vastutav töötleja
on kontrollinud nende täpsust; (b)
isikuandmeid tuleb säilitada tõendamiseks; (c)
andmesubjekt ei taotle nende kustutamist, vaid
nende kasutamise piiramist. 4.
Liikmesriigid sätestavad, et vastutav töötleja
teavitab andmesubjekti kirjalikult andmete kustutamata jätmisest või nende
markeerimisest töötlemise piiramiseks ja sellise keeldumise põhjustest ning
selgitab talle võimalusi esitada järelevalveasutusele kaebus ja kasutada
õiguskaitsevahendeid. Artikkel 17
Andmesubjekti õigused kriminaalasja kohtueelses ja kohtulikus menetluses Liikmesriigid võivad sätestada, et
kohtuotsuses või kohtuotsuse tegemisega seotud dokumendis olevate isikuandmete
puhul piiratakse artiklites 11–16 sätestatud õigust taotleda teavet ja
juurdepääsu ning isikuandmete parandamist, kustutamist ja nende töötlemise
piiramist vastavalt kriminaalasja kohtueelset ja kohtulikku menetlust
käsitlevatele siseriiklikele õigusnormidele. IV PEATÜKK
VASTUTAV TÖÖTLEJA JA VOLITATUD TÖÖTLEJA 1. JAGU
ÜLDKOHUSTUSED Artikkel 18
Vastutava töötleja ülesanded 1. Liikmesriigid sätestavad, et
vastutav töötleja võtab vastu põhimõtted ja rakendab meetmeid, et tagada
isikuandmete töötlemine kooskõlas käesoleva direktiivi alusel vastuvõetud
õigusnormidega. 2. Lõikes 1 sätestatud meetmete
hulka kuuluvad eelkõige: a) dokumenteerimine vastavalt artiklile 23; b) artikli 26 kohase eelneva konsulteerimise
nõude täitmine; c) artiklis 27 sätestatud andmeturbenõuete
rakendamine; d) andmekaitseametniku määramine vastavalt
artiklile 30. 3. Vastutav töötleja rakendab
mehhanismid käesoleva artikli lõikes 1 osutatud meetmete tulemuslikkuse
kontrollimiseks. Kontrolli teostavad
sõltumatud sise- või välisaudiitorid, kui see on proportsionaalne. Artikkel 19
Isikuandmete lõimitud kaitse ja vaikimisi kaitse 1. Liikmesriigid sätestavad, et
vastutav töötleja, võttes arvesse tehnika arengut ja juurutamise kulusid, võtab
töötlemisvahendite valikul ja töötlemise käigus selliseid tehnilisi ja
organisatsioonilisi meetmeid ja kehtestab korra, millega tagatakse töötlemise
vastavus käesoleva direktiivi nõuetele ja andmesubjekti õiguste kaitsmine. 2. Vastutav töötleja rakendab
mehhanismid, millega tagatakse, et vaikimisi töödeldakse ainult selliseid
isikuandmeid, mille töötlemine on vajalik töötlemise eesmärgi saavutamiseks. Artikkel 20
Kaasvastutavad töötlejad Liikmesriigid sätestavad, et kui mitu
vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise
tingimused ja vahendid, on nad kaasvastutavad töötlejad, kes peavad
omavaheliste kokkulepetega kehtestama igaühe vastutuse käesoleva direktiivi
alusel kehtestatud kohustuste täitmisel, eelkõige andmesubjekti õiguste
kasutamise korra ja mehhanismid. Artikkel 21
Volitatud töötleja 1.
Liikmesriigid sätestavad, et vastutav töötleja
valib enda nimel andmete töötlemiseks sellise volitatud töötleja, kes võtab
käesoleva direktiivi nõuete täitmiseks ja andmesubjekti õiguste kaitsmiseks
vajalikke tehnilisi ja organisatsioonilisi meetmeid ning kehtestab korra,
millega tagatakse töötlemise vastavus käesoleva direktiivi alusel kehtestatud
sätetele ja andmesubjekti õiguste kaitsmine. 2.
Liikmesriigid sätestavad, et vastutav töötleja
töötleb isikuandmeid sellise volitatud töötlejat ja vastutavat töötlejat
omavahel siduva õigusakti alusel, milles on eelkõige sätestatud, et volitatud
töötleja tegutseb ainult vastavalt vastutava töötleja juhtnööridele, eelkõige
juhul, kui isikuandmete edastamine on keelatud. 3.
Kui volitatud töötleja töötleb isikuandmeid
eesmärgil, mis ei vasta vastutava töötleja antud ülesandele, käsitatakse
volitatud töötlejat sellise töötlemise suhtes vastutava töötlejana ja tema
suhtes kohaldatakse artiklis 20 sätestatud kaasvastutuse eeskirju. Artikkel 22
Töötlemine vastutava töötleja ja volitatud töötleja volituse alusel Liikmesriigid sätestavad, et volitatud
töötleja ja vastutava töötleja või volitatud töötleja volituse alusel
tegutsevad isikud, kellel on juurdepääs isikuandmetele, tohivad isikuandmeid
töödelda ainult vastutava töötleja juhistele alusel või liidu või liikmesriigi
õigusaktidega ettenähtud juhtudel. Artikkel 23
Dokumenteerimine 1. Liikmesriigid sätestavad, et
vastutava töötleja ja volitatud töötleja dokumenteerivad nende vastutusel
olevad töötlemissüsteemid ja töötlemise korra. 2. Dokumendid peavad sisaldama
vähemalt järgmisi andmeid: a) vastutava töötleja ning vajaduse korral
kaasvastutava töötleja või volitatud töötleja nimi ja kontaktandmed; b) töötlemise eesmärk, c) isikuandmete vastuvõtjad või vastuvõtjate
liigid; d) teave andmete edastamise kohta
kolmandatele riikidele ja rahvusvahelistele organisatsioonidele koos asjaomase
riigi või rahvusvahelise organisatsiooni nimega. 3. Vastutav töötleja ja
volitatud töötleja esitavad dokumendid taotluse alusel järelevalveasutusele. Artikkel 24
Dokumentide säilitamine 1. Liikmesriigid tagavad, et
säilitatakse vähemalt järgmisi töötlemistoiminguid käsitlevad dokumendid:
kogumine, muutmine, lugemine, avalikustamine, ühendamine ja kustutamine.
Lugemist ja avalikustamist kajastavad dokumendid peavad sisaldama andmeid
nimetatud toimingute tegemise eesmärgi, kuupäeva ja aja ning võimaluse korral
ka isikuandmeid lugenud ja avalikustanud isiku kohta. 2. Dokumente kasutatakse ainult
töötlemistoimingute õiguspärasuse kontrollimiseks, siseseireks ning andmete
tervikluse ja turvalisuse tagamiseks. Artikkel 25
Koostöö järelevalveasutustega 1. Liikmesriigid
sätestavad, et vastutav töötleja ja volitatud töötleja teevad asjakohase
taotluse alusel järelevalveasutusega tema ülesannete täitmiseks koostööd,
eelkõige esitades talle tema ülesannete täitmiseks vajalikku teavet. 2. Kui
järelevalveasutus täidab oma ülesandeid vastavalt artikli 46 punktidele a ja b,
vastavad vastutav töötleja ja volitatud töötleja tema märkustele mõistliku
tähtaja jooksul. Järelevalveasutuse märkustele esitatud vastuses kirjeldatakse
võetud meetmeid ja saavutatud tulemusi. Artikkel 26
Eelnev konsulteerimine järelevalveasutusega 1.
Liikmesriigid tagavad, et vastutav töötleja ja
volitatud töötleja konsulteerivad järelevalveasutusega enne, kui nad hakkavad
töötlema isikuandmeid, mis kantakse uude loodavasse toimikusüsteemi, kui: a) töödeldakse artiklis 8 osutatud andmete
eriliike; b) vastasel juhul toob töötlemise laad,
eelkõige uute tehnoloogiate, mehhanismide või menetluste kasutamine endaga
kaasa konkreetse ohu andmesubjekti põhiõigustele ja -vabadustele, eelkõige tema
isikuandmete kaitsele. 2.
Liikmesriigid võivad sätestada, et
järelevalveasutus koostab ja avalikustab loetelu töötlemistoimingutest, mille
suhtes kohaldatakse lõikes 1 sätestatud eelnevat konsulteerimist. 2. JAGU
ANDMETURVE Artikkel 27
Töötlemise turvalisus 1. Liikmesriigid
sätestavad, et vastutav töötleja ja volitatud töötleja võtavad vajalikke
tehnilisi ja organisatsioonilisi meetmeid, et tagada töötlemisest ja
kaitstavate andmete laadist tulenevatele ohtudele vastav turvalisus, võttes
arvesse tehnika taset ja selliste meetmete rakendamise kulusid. 2. Liikmesriigid
sätestavad, et vastutav töötleja ja volitatud töötleja rakendavad riskianalüüsi
alusel automatiseeritud andmetöötluse suhtes meetmeid, et (a)
keelata kõrvaliste isikute juurdepääs isikuandmete
töötlemiseks kasutatavatele andmetöötlusseadmetele (töövahenditele juurdepääsu
kontroll); (b)
hoida ära andmekandjate lugemine, kopeerimine,
muutmine või kõrvaldamine vastava loata isikute poolt (andmekandjate kontroll); (c)
hoida ära andmete sisestamine ja säilitatavate
isikuandmetega tutvumine, nende muutmine või kustutamine ilma vastava loata
(säilitamise kontroll); (d)
hoida ära automatiseeritud andmetöötlussüsteemi
kasutamine andmesidevahendite abil isikute poolt, kellel puudub selleks luba
(kasutajate kontroll); (e)
tagada, et automatiseeritud andmetöötlussüsteemi
kasutamise loaga isikutel oleks juurdepääs ainult nendele andmetele, mida
hõlmab nende juurdepääsuluba (juurdepääsukontroll); (f)
tagada võimalus tõendada ja kindlaks määrata,
millistele asutustele on isikuandmeid andmesidevahendite kaudu edastatud,
millistele võib neid edastada või kättesaadavaks teha (andmeedastuse kontroll); (g)
tagada võimalus hiljem tõendada ja kindlaks teha,
milliseid isikuandmeid on automatiseeritud andmetöötlussüsteemi sisestatud ning
millal ja kelle poolt need sisestati (sisestamise kontroll); (h)
hoida ära isikuandmete loata lugemine, kopeerimine,
muutmine või kustutamine isikuandmete edastamise või andmekandjate vedamise
ajal (transpordi kontroll); (i)
tagada, et paigaldatud süsteeme on võimalik
katkestuse korral taastada (taastamine); (j)
tagada, et süsteem toimib, et selles ilmnevatest toimimisvigadest
teatatakse (töökindlus) ja et süsteemirikked ei põhjustaks andmete moonutamist
(terviklus). 3. Komisjon
võib vajaduse korral vastu võtta rakendusakte, millega täpsustatakse lõigetes 1
ja 2 sätestatud nõuete täitmist eri olukordades, eelkõige
krüpteerimisstandardeid. Kõnealused rakendusaktid võetakse vastu vastavalt
artikli 57 lõikes 2 osutatud kontrollimenetlusele. Artikkel 28
Järelevalveasutuse teavitamine isikuandmetega
seotud rikkumisest 1. Liikmesriigid sätestavad, et
vastutav töötleja teavitab järelevalveasutust isikuandmetega seotud rikkumisest
põhjendamatu viivitusteta ja võimaluse korral 24 tunni jooksul pärast rikkumise
avastamist. Juhul kui teade esitatakse hiljem kui 24 tunni jooksul, esitab
vastutav töötleja järelevalveasutusele taotluse korral selle kohta põhjenduse. 2. Volitatud töötleja teavitab
vastutavat töötlejat isikuandmetega seotud rikkumisest kohe pärast selle
avastamist. 3. Lõikes 1 osutatud teates
tuleb vähemalt: a) kirjeldada isikuandmetega seotud
rikkumise laadi ning nimetada asjaomaste andmesubjektide kategooriad ja arv
ning isikuandmete liigid ja arv; b) teatada artiklis 30 osutatud
andmekaitseametniku või mõne teise täiendavat teavet andva kontaktisiku nimi ja
kontaktandmed; c) kirjeldada soovitatavaid meetmeid, mis
võimaldavad leevendada isikuandmetega seotud rikkumise võimalikku negatiivset
mõju; d) kirjeldada isikuandmetega seotud
rikkumise võimalikke tagajärgi; e) kirjeldada vastutava töötleja kavandatud
või võetud meetmeid isikuandmetega seotud rikkumise lahendamiseks. 4. Liikmesriigid sätestavad, et
vastutav töötleja dokumenteerib kõik isikuandmetega seotud rikkumised,
sealhulgas rikkumise asjaolud, nende mõju ja võetud parandusmeetmed. Dokumendid
peavad võimaldama järelevalveasutusel kontrollida käesolevas artiklis
sätestatud nõuete täitmist. Dokumentides esitatakse ainult nimetatud eesmärgi
kohane teave. 5. Komisjoni volitatakse
vastavalt artiklile 56 võtma vastu delegeeritud õigusakte, et täpsustada
lõigetes 1 ja 2 osutatud rikkumise tuvastamise kriteeriume ning olukordi, mille
puhul vastutav töötleja ja volitatud töötleja on kohustatud isikuandmetega
seotud rikkumisest teatama. 6. Komisjon võib kehtestada
järelevalveasutusele esitatava teate tüüpvormi ja esitamise korra ning lõikes 4
osutatud dokumentide vormi ja esitamise korra, sealhulgas tähtaja, mille
möödumisel on lubatud neis esitatud teave kustutada. Kõnealused rakendusaktid
võetakse vastu vastavalt artikli 57 lõikes 2 osutatud kontrollimenetlusele. Artikkel 29
Andmesubjekti teavitamine isikuandmetega
seotud rikkumisest 1. Liikmesriigid sätestavad, et
kui isikuandmetega seotud rikkumine võib kahjustada andmesubjekti isikuandmete
ja tema eraelu kaitset, teavitab vastutav töötleja pärast artiklis 28 osutatud
teavitamist sellest põhjendamatu viivituseta ka andmesubjekti. 2. Andmesubjektile lõike 1
kohaselt esitatud teates kirjeldatakse isikuandmetega seotud rikkumise laadi
ning esitatakse vähemalt artikli 28 lõike 3 punktides b ja c nimetatud teave ja
soovitused. 3. Andmesubjekti ei pea
teavitama isikuandmetega seotud rikkumisest, kui vastutav töötleja suudab
järelevalveasutusele tõendada, et ta on rakendanud vajalikud tehnilised abinõud
nende isikuandmete kaitsmiseks, mille suhtes rikkumine toime pandi. Sellised
tehnoloogilised kaitsemeetmed muudavad andmed loetamatuks neile, kellel
puuduvad andmetele juurdepääsu volitused. 4. Artikli 11 lõikes 4 osutatud
alustel võib andmesubjektile teabe esitada hiljem või piiratud ulatuses või
jätta selle esitamata. 3. JAGU
ANDMEKAITSEAMETNIK Artikkel 30
Andmekaitseametniku määramine 1.
Liikmesriigid sätestavad, et vastutav töötleja ja
volitatud töötleja määravad ametisse andmekaitseametniku. 2.
Andmekaitseametniku määramisel lähtutakse tema
kutseoskustest, eelkõige isikuandmete kaitse alaste õigusaktide ja tava
tundmisest ning suutlikkusest täita artiklis 32 osutatud ülesandeid. 3.
Mitme üksuse jaoks võib määrata ühe
andmekaitseametniku olenevalt pädeva asutuse või organi organisatsioonilisest
struktuurist. Artikkel 31
Andmekaitseametniku ametiseisund 1.
Liikmesriigid sätestavad, et vastutav töötleja või
volitatud töötleja tagab andmekaitseametniku nõuetekohase ja õigeaegse
kaasamise kõikidesse isikuandmete kaitse küsimustesse. 2.
Vastutav töötleja või volitatud töötleja tagab, et
andmekaitseametnikul on vahendid, mis võimaldavad tal täita artiklis 32
loetletud ülesandeid ja kohustusi sõltumatult ning et ta ei saa oma
tööülesannete täitmisel juhtnööre. Artikkel 32
Andmekaitseametniku ülesanded Liikmesriigid sätestavad, et vastutav töötleja
või volitatud töötleja annab andmekaitseametnikule vähemalt järgmised
ülesanded: (a)
teavitada ja nõustada vastutavat töötlejat või
volitatud töötlejat seoses nende kohustustega, mis tulenevad käesoleva
direktiivi alusel vastuvõetud õigusaktidest, ning oma tegevus ja saadud
vastused dokumenteerida; (b)
jälgida isikuandmete kaitse põhimõtete rakendamist
ja kohaldamist, sealhulgas ülesannete jaotamist, isikuandmete töötlemises
osaleva personali koolitamist ja nendega seotud auditeerimist; (c)
jälgida käesoleva direktiivi alusel vastuvõetud
õigusnormide rakendamist ja kohaldamist, eelkõige isikuandmete lõimitud ja
vaikimisi kaitset, andmeturvet, andmesubjektide teavitamist ning käesoleva
direktiivi alusel vastuvõetud normidest tulenevate õiguste kasutamiseks
andmesubjektide poolt esitatavaid taotlusi käsitlevate normide rakendamist ja
kohaldamist; (d)
tagada artiklis 23 osutatud dokumenteerimine; (e)
jälgida isikuandmetega seotud rikkumiste
dokumenteerimist ning neist teavitamist vastavalt artiklitele 28 ja 29; (f)
jälgida vajaduse korral vastavalt artiklile 26
järelevalveasutusega toimuva eelneva konsulteerimise kohaldamist; (g)
jälgida järelevalveasutuse taotlustele vastamist ja
oma pädevuse piires ka temaga koostöö tegemist vastavalt järelevalveasutuse
taotlusele või omal algatusel; h) tegutseda isikuandmete töötlemise küsimustes
järelevalveasutuse kontaktisikuna ja vajaduse korral konsulteerida
järelevalveasutusega andmekaitseametniku omal algatusel. V PEATÜKK
ISIKUANDMETE EDASTAMINE KOLMANDATELE RIIKIDELE JA RAHVUSVAHELISTELE
ORGANISATSIOONIDELE Artikkel 33
Isikuandmete edastamise üldpõhimõtted Liikmesriigid sätestavad, et töödeldavate või
pärast kolmandatele riikidele või rahvusvahelistele organisatsioonidele
edastamist töötlemiseks mõeldud isikuandmete edastamine, sealhulgas andmete
vahendatud edastamine kolmandatele riikidele ja rahvusvahelistele
organisatsioonidele, võib toimuda ainult juhul, a) kui see on vajalik kuritegude
tõkestamiseks, uurimiseks, avastamiseks või kuritegude eest vastutusele
võtmiseks või kriminaalkaristuste täitmisele pööramiseks ning b) vastutav töötleja ja volitatud töötleja
täidavad käesolevas peatükis sätestatud tingimused. Artikkel 34
Edastamine piisava kaitse otsuse alusel 1. Liikmesriigid sätestavad, et
isikuandmeid võib edastada kolmandale riigile ja rahvusvahelisele
organisatsioonile juhul, kui komisjon on kooskõlas määruse
(EL) nr …/2012 artikliga 41 või käesoleva artikli lõikega 3 teinud
otsuse, et kolmas riik või territoorium või kolmanda riigi töötlemissektor või
rahvusvaheline organisatsioon tagab isikuandmete kaitse piisava taseme.
Selliseks edastamiseks ei ole vaja täiendavat luba. 2. Määruse (EL) nr …/2012
artikli 41 kohase otsuse puudumise korral hindab komisjon isikuandmete kaitse
piisavust, kaaludes järgmisi asjaolusid: a) õigusriigi põhimõte, nii üldised kui ka
konkreetse sektori kehtivad asjaomased õigusaktid, sealhulgas avaliku
julgeoleku, riigikaitse, riigi julgeoleku ja kriminaalõigusega seotud
õigusaktid, kõnealuses riigis või rahvusvahelises organisatsioonis järgitavad
turvameetmed ning samuti kehtivad ja kohtulikult kaitstavad õigused, sealhulgas
andmesubjektide halduslikud ja õiguskaitsevahendid, eelkõige nende liidus
elavate andmesubjektide puhul, kelle isikuandmeid edastatakse; b) kõnealuses kolmandas riigis või
rahvusvahelises organisatsioonis ühe või mitme sellise sõltumatu
järelevalveasutuse olemasolu ja tõhus toimimine, kes vastutab isikuandmete
kaitse eeskirjade järgimise ning andmesubjekti abistamise ja nõustamise eest
tema õiguste teostamisel ning liidu ja liikmesriikide järelevalveasutustega
tehtava koostöö eest, ning c) kolmanda riigi või rahvusvahelise
organisatsiooni rahvusvahelised kohustused. 3. Komisjon võib käesoleva
direktiivi reguleerimisala piires otsustada, et kolmas riik või territoorium
või kolmanda riigi töötlemissektor või rahvusvaheline organisatsioon tagab
isikuandmete kaitse piisava taseme lõike 2 tähenduses. Kõnealused rakendusaktid
võetakse vastu kooskõlas artikli 57 lõikes 2 osutatud
kontrollimenetlusega. 4. Rakendusaktis määratakse
kindlaks selle geograafiline ja valdkondlik kohaldatavus ning vajaduse korral
nimetatakse lõike 2 punktis b nimetatud järelevalveasutus. 5. Komisjon võib käesoleva
direktiivi reguleerimisala piires otsustada, et kolmas riik või territoorium
või kolmanda riigi töötlemissektor või rahvusvaheline organisatsioon ei taga
piisavat isikuandmete kaitset lõike 2 tähenduses, eelkõige juhul, kui kolmandas
riigis või rahvusvahelises organisatsioonis kehtivate üldiste ja konkreetse
sektori asjaomaste õigusaktidega ei tagata kehtivaid ja kohtulikult kaitstavaid
õigusi, sealhulgas andmesubjektide halduslikke ja õiguskaitsevahendeid,
eelkõige nende andmesubjektide puhul, kelle isikuandmeid edastatakse. Nimetatud
rakendusaktid võetakse vastu kooskõlas artikli 57 lõikes 2 osutatud
kontrollimenetlusega või äärmiselt kiireloomulistel juhtudel seoses üksikisiku
õigusega isikuandmete kaitsele kooskõlas artikli 57 lõikes 3 osutatud
menetlusega. 6. Liikmesriigid tagavad, et kui
komisjon teeb lõike 5 kohase otsuse, siis keelatakse isikuandmete
edastamine kolmandale riigile või territooriumile või kõnealuse kolmanda riigi
töötlemissektorile või rahvusvahelisele organisatsioonile, ilma et see otsus
piiraks artikli 35 lõike 1 kohast ja artiklile 36 vastavat edastamist. Komisjon
alustab sobival ajal konsultatsioone kolmanda riigi või rahvusvahelise
organisatsiooniga, et parandada käesoleva artikli lõike 5 kohasest
otsusest tulenevat olukorda. 7. Komisjon avaldab Euroopa
Liidu Teatajas loetelu nendest kolmandatest riikidest, territooriumidest ja
kolmandate riikide töötlemissektoritest ja rahvusvahelistest
organisatsioonidest, mille kohta on tehtud otsus, et isikuandmete kaitse piisav
tase ei ole tagatud. 8. Komisjon jälgib lõigetes 3 ja
5 osutatud rakendusaktide kohaldamist. Artikkel 35
Edastamine asjakohaste kaitsemeetmete abil 1. Kui komisjon ei ole artikli
34 kohast otsust teinud, näevad liikmesriigid ette, et isikuandmeid võib
edastada kolmandale riigile või rahvusvahelisele organisatsioonile, kui: a) isikuandmete kaitseks võetavad
kaitsemeetmed on sätestatud õiguslikult siduvas dokumendis või b) vastutav töötleja või volitatud töötleja
on hinnanud kõiki isikuandmete edastamisega seotud asjaolusid ning leidnud, et
kehtestatud on kõik isikuandmete kaitse seisukohalt asjakohased kaitsemeetmed. 1. Lõike 1 punkti b kohase
otsuse peavad tegema nõuetekohaselt volitatud töötajad. Kogu üleandmine tuleb
dokumenteerida ja dokumendid tuleb esitada taotluse alusel
järelevalveasutusele. Artikkel 36
Erandid Erandina
artiklitest 34 ja 35 sätestavad liikmesriigid, et kolmandale riigile või
rahvusvahelisele organisatsioonile võib isikuandmeid edastada ainult
tingimusel, et a) edastamine on vajalik andmesubjekti või
teise isiku eluliste huvide kaitsmiseks või b) edastamine on vajalik andmesubjekti
õigustatud huvi kaitsmiseks vastavalt andmeid edastava liikmesriigi õigusele
või c) edastamine on äärmiselt vajalik
liikmesriigi või kolmanda riigi avalikku julgeolekut ähvardava vahetu ja tõsise
ohu vältimiseks või d) edastamine on vajalik konkreetsete
kuritegude tõkestamiseks, uurimiseks, avastamiseks või kuritegude eest
vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks või e) edastamine on vajalik konkreetsete
kuritegude tõkestamise, uurimise, avastamise või kuritegude eest vastutusele
võtmise või kriminaalkaristuste täitmisele pööramisega seotud konkreetsete
õigusnõuete koostamiseks, esitamiseks või kaitsmiseks. Artikkel 37
Isikuandmete edastamise eritingimused Liikmesriigid sätestavad, et vastutav töötleja
teavitab isikuandmete vastuvõtjat töötlemise piirangutest ja teeb mõistlikke
jõupingutusi nendest kinnipidamiseks. Artikkel 38
Rahvusvaheline koostöö isikuandmete kaitseks 1. Kolmandate riikide ja
rahvusvaheliste organisatsioonidega tehtava koostöö valdkonnas võtavad komisjon
ja liikmesriigid asjakohaseid meetmeid, et: (a)
töötada välja tõhusad rahvusvahelised
koostöömehhanismid, et hõlbustada isikuandmete kaitset käsitlevate õigusaktide
täitmise tagamist; (b)
osutada rahvusvahelist vastastikust abi
isikuandmete kaitset käsitlevate õigusaktide täitmise tagamisel, sealhulgas
teavitamise, kaebuste suunamise, uurimistegevuse ja teabevahetuse abil, mille
suhtes kohaldatakse asjaomaseid isikuandmete kaitsemeetmeid ja teisi põhiõigusi
ning vabadusi; (c)
kaasata asjaomaseid sidusrühmi arutellu ja
tegevusse, mis on suunatud rahvusvahelise koostöö edendamisele isikuandmete
kaitset käsitlevate õigusaktide täitmise tagamisel; (d)
edendada isikuandmete kaitset käsitlevate
õigusaktide ja tava vahetamist ja dokumenteerimist. 2. Lõike 1 kohaldamisel
võtab komisjon asjakohaseid meetmeid, et arendada suhteid kolmandate riikide
või rahvusvaheliste organisatsioonidega, eelkõige nende järelevalveasutustega,
kui komisjon on teinud otsuse, et nad tagavad kaitse piisava taseme
artikli 34 lõike 3 tähenduses. VI PEATÜKK
SÕLTUMATUD JÄRELEVALVEASUTUSED 1. JAGU
SÕLTUMATUS Artikkel 39
Järelevalveasutus 1.
Iga liikmesriik näeb ette ühe või mitu avaliku
sektori asutust, kes vastutavad käesoleva direktiivi alusel kehtestatud
õigusaktide kohaldamise järelevalve eest ja osalevad selle järjepideval
kohaldamisel kogu liidus, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi
seoses nende isikuandmete töötlemisega ja hõlbustada isikuandmete vaba
liikumist kogu liidus. Selleks teevad järelevalveasutused omavahel ja
komisjoniga koostööd. 2.
Liikmesriigid võivad sätestada, et määruse (EL) nr
…/2012 kohaselt liikmesriikides loodud järelevalveasutus vastutab käesoleva
artikli lõike 1 kohaselt loodava järelevalveasutuse ülesannete täitmise eest. 3.
Kui liikmesriigis on rohkem kui üks
järelevalveasutus, määrab liikmesriik ühe järelevalveasutuse kontaktasutuseks,
et kõik asutused saaksid tulemuslikult osaleda Euroopa Andmekaitsenõukogus. Artikkel 40
Sõltumatus 1. Liikmesriigid tagavad, et
järelevalveasutus tegutseb oma ülesannete täitmisel ja talle usaldatud
volituste kasutamisel täiesti sõltumatult. 2. Liikmesriigid sätestavad, et
järelevalveasutuse liikmed ei küsi ega võta oma ülesannete täitmisel juhiseid
mitte kelleltki. 3. Järelevalveasutuse liikmed
hoiduvad oma ülesannetega sobimatust tegevusest ega tööta oma ametiaja jooksul
ühelgi muul tasustataval või mittetasustataval ametikohal. 4. Järelevalveasutuse liikmed
käituvad pärast oma ametiaja lõppu ametikohti ja soodustusi vastu võttes
väärikalt ning diskreetselt. 5. Liikmesriigid tagavad, et
järelevalveasutusel oleks piisavalt personali, tehnilisi ja rahalisi vahendeid
ning ruumid ja taristu ülesannete, sealhulgas nende ülesannete, mis tuleb täita
vastastikuse abi ja koostöö kontekstis ning Euroopa Andmekaitsenõukogu töös
osalemisel, ja volituste tõhusaks täitmiseks. 6 Liikmesriigid tagavad, et
järelevalveasutusel peab olema oma personal, kelle nimetab ametisse
järelevalveasutuse juht, kellele personal allub. 7. Liikmesriigid tagavad, et
järelevalveasutuse üle teostatakse sellist finantskontrolli, mis ei mõjuta
asutuse sõltumatust. Liikmesriigid tagavad, et järelevalveasutustel on eraldi
aastaeelarve. Eelarved avalikustatakse. Artikkel 41
Järelevalveasutuse liikmetele esitatavad üldtingimused 1. Liikmesriigid näevad ette, et
järelevalveasutuse liikmed nimetab ametisse kas asjaomase liikmesriigi
parlament või valitsus. 2. Liikmed valitakse isikute
hulgast, kelle sõltumatus on väljaspool kahtlust ning kellel on ülesannete
täitmiseks vajalik tõendatud kogemus ja oskused. 3. Liige lõpetab oma ülesannete
täitmise ametiaja lõppedes või ametist lahkumise või tagandamise korral
kooskõlas artikliga 5. 4. Liikmesriigi pädev kohus võib
liikme ametist vabastada või jätta ilma õigusest saada pensioni või muid seda
asendavaid soodustusi, kui liige ei vasta enam oma ülesannete täitmiseks
nõutavatele tingimustele või kui ta on süüdi raskes üleastumises. 5. Kui ametiaeg lõpeb või liige
lahkub ametist, täidab ta ülesandeid edasi kuni uue liikme ametisse
nimetamiseni. Artikkel 42
Järelevalveasutuse loomise eeskirjad Liikmesriigid näevad seadusega ette: a) järelevalveasutuse loomise ja
staatuse artiklite 39 ja 40 kohaselt; b) järelevalveasutuse liikmete
ülesannete täitmiseks vajaliku kvalifikatsiooni, kogemuse ja oskused; c) järelevalveasutuse liikme ametisse
nimetamise eeskirjad ja korra ning ametiülesannetega sobimatuid tegusid ja
ametikohti käsitlevad eeskirjad; d) järelevalveasutuse liikmete vähemalt
nelja aasta pikkuse ametiaja, välja arvatud esimest korda ametisse nimetamisel
pärast käesoleva direktiivi jõustumist, kui osa liikmete ametiaeg võib kesta
lühemat aega; e) selle, kas järelevalveasutuse
liikmeid saab ametisse uuesti tagasi nimetada; f) järelevalveasutuse liikmete ja
personali ülesandeid reguleerivad eeskirjad ja üldtingimused; g) järelevalveasutuse liikmete
ülesannete täitmise lõpetamise eeskirjad ja korra, sealhulgas juhul, kui
liikmed ei vasta enam oma ülesannete täitmiseks nõutavatele tingimustele või
kui nad on süüdi raskes üleastumises. Artikkel 43
Ametisaladus Liikmesriigid sätestavad, et
järelevalveasutuse liikmed on kohustatud nii ametiajal kui ka pärast ametist
lahkumist hoidma ametisaladust neile ametiülesannete täitmisel teatavaks saanud
konfidentsiaalse teabe suhtes. 2. JAGU
ÜLESANDED JA VOLITUSED Artikkel 44
Pädevus 1. Liikmesriigid sätestavad, et
järelevalveasutus kasutab oma liikmesriigi territooriumil talle käesoleva
direktiiviga antud volitusi. 2. Liikmesriigid sätestavad, et
järelevalveasutus ei ole pädev korraldama järelevalvet õigusliku pädevuse
piires tegutsevate kohtute töötlemistegevuse üle. Artikkel 45
Ülesanded 1. Liikmesriigid sätestavad, et
järelevalveasutus: (a)
jälgib ja tagab käesoleva direktiivi alusel
vastuvõetud õigusnormide ja direktiivi rakendusmeetmete kohaldamist; (b)
vaatab läbi andmesubjekti või teda nõuetekohase
volituse alusel esindava ühenduse artikli 50 kohaselt esitatud kaebuse,
uurib juhtumit vajalikul määral ning teavitab mõistliku aja jooksul
andmesubjekti või ühendust kaebuse arutamise arengust ja tulemusest, eelkõige
juhul, kui osutub vajalikuks täiendav uurimine või koordineerimine teise
järelevalveasutusega; (c)
kontrollib töötlemise seaduslikkust vastavalt
artiklile 14 ning teavitab andmesubjekti mõistliku aja jooksul kontrollimise
tulemusest või kontrolli teostamata jätmise põhjustest; (d)
osutab teistele järelevalveasutustele abi ning
tagab käesoleva direktiivi alusel vastuvõetud normide ühetaolise kohaldamise ja
täitmise; (e)
korraldab omal algatusel või kaebuse või teise
järelevalveasutuse taotluse alusel uurimisi ning kui andmesubjekt on esitanud
kaebuse, teavitab teda uurimise tulemusest mõistliku aja jooksul; (f)
jälgib isikuandmete kaitsmist mõjutavaid
asjaomaseid arengusuundi, eelkõige info- ja kommunikatsioonitehnoloogia
arengut; (g)
osaleb aruteludes liikmesriikide asutuste ja
organitega õiguslike ja haldusmeetmete üle, mis käsitlevad üksikisikute õiguste
ja vabaduste kaitset seoses isikuandmete töötlemisega; (h)
avaldab oma arvamuse töötlemistoimingute kohta
artiklis 26 sätestatud konsulteerimise käigus; (i)
osaleb Euroopa Andmekaitsenõukogu tegevuses. 2. Järelevalveasutus suurendab
üldsuse teadlikkust isikuandmete töötlemisel esinevatest ohtudest, töötlemise
eeskirjadest ja kaitsemeetmetest ning isikuandmete töötlemisega seotud
õigustest. Lastele suunatud tegevusele pööratakse eraldi tähelepanu. 3. Järelevalveasutus annab
andmesubjektile tema taotluse korral nõu käesolevast direktiivi alusel
kehtestatud normidest tulenevate õiguste kasutamisel ja teeb vajaduse korral
sel eesmärgil koostööd teiste liikmesriikide järelevalveasutustega. 4. Lõike 1 punktis b
osutatud kaebuste jaoks koostab järelevalveasutus elektrooniliselt täidetava
kaebuste esitamise vormi, ilma et see välistaks muude sidevahendite kasutamise
võimalust. 5. Liikmesriigid sätestavad, et
järelevalveasutus ei võta oma ülesannete täitmise eest andmesubjektilt tasu. 6. Kui taotlused on selgelt
pahatahtlikud, eelkõige kuna neid esitatakse korduvalt, võib vastutav töötleja
võtta andmesubjekti taotletud teabe andmise ja toimingute tegemise eest tasu
või jätta toimingud tegemata. Järelevalveasutusel lasub kohustus tõendada, et
taotlus on pahatahtlik. Artikkel 46
Volitused Liikmesriigid sätestavad, et
järelevalveasutusel on eelkõige a) uurimisvolitused, näiteks tutvuda
töödeldavate andmetega ja koguda oma järelevalvekohustuse täitmiseks vajalikku
teavet; b) sekkumisvolitused, näiteks avaldada
arvamust enne töötlemise alustamist ja tagada selliste arvamuste asjakohane
avalikustamine, anda korraldus piirangu kehtestamiseks ja andmete kustutamiseks
või hävitamiseks, keelata töötlemine ajutiselt või alaliselt, hoiatada
vastutavat töötlejat või teha talle märkus või suunata küsimus riigi parlamenti
või teistesse poliitilistesse institutsioonidesse; c) volitus olla kohtus menetlusosaline, kui
käesoleva direktiivi kohaselt vastu võetud õigusnorme on rikutud, või juhtida
kõnealusele rikkumisele õigusasutuste tähelepanu. Artikkel 47
Tegevusaruanne Liikmesriigid sätestavad, et järelevalveasutus
koostab oma tegevuse kohta aastaaruande. Aruanne tehakse kättesaadavaks
komisjonile ja Euroopa Andmekaitsenõukogule. VII PEATÜKK
KOOSTÖÖ Artikkel 48
Vastastikune abi 1. Liikmesriigid sätestavad, et
järelevalveasutused osutavad üksteisele vastastikust abi käesoleva direktiivi
alusel kehtestatud õigusnormide järjepidevaks rakendamiseks ja kohaldamiseks
ning kehtestavad meetmed omavaheliseks tõhusaks koostööks. Vastastikune abi
hõlmab eelkõige teabenõudeid ja järelevalvemeetmeid, näiteks eelneva
konsulteerimise taotlusi, kontrolle ja uurimist. 2. Liikmesriigid sätestavad, et
järelevalveasutus võtab kõik nõuetekohased meetmed, et viivitamata vastata
teise järelevalveasutuse taotlusele. 3. Taotluse saanud järelevalveasutus
teavitab taotluse esitanud järelevalveasutust tulemustest või vajaduse korral
asjade käigust või meetmetest, mis võetakse taotluse esitanud
järelevalveasutuse taotluse rahuldamiseks. Artikkel 49
Euroopa Andmekaitsenõukogu ülesanded 1. Määrusega (EL) nr …/2012
asutatud Euroopa Andmekaitsenõukogu täidab käesoleva direktiivi
reguleerimisalasse kuuluva töötlemise valdkonnas järgmisi ülesandeid: (a)
annab komisjonile nõu liidus isikuandmete kaitse
küsimustes, sealhulgas käesoleva direktiivi muutmise ettepanekute kohta; (b)
vaatab komisjoni taotlusel või omal või oma liikme
algatusel läbi käesoleva direktiivi alusel vastu võetud õigusnormide
kohaldamise küsimused ning esitab järelevalveasutustele suuniseid, soovitusi ja
hea tava eeskirju nende normide ühetaoliseks kohaldamiseks; (c)
jälgib punktis b nimetatud suuniste, soovitusi ja
hea tava juhiste rakendamist ning annab sellest komisjonile korrapäraselt aru; (d)
esitab komisjonile arvamuse kolmandate riikide ja
rahvusvaheliste organisatsioonide isikuandmete kaitse taseme kohta; (e)
edendab järelevalveasutuste vahelist koostööd ning
kahe- ja mitmepoolset teabe ja tavade vahetust; (f)
edendab ühtsete koolitusprogrammide kasutamist ja
soodustab töötajate vahetust järelevalveasutuste vahel ning vajaduse korral ka
kolmandate riikide ja rahvusvaheliste organisatsioonide järelevalveasutustega; (g)
edendab isikuandmete kaitse järelevalveasutustega
kogu maailmas teadmiste ja dokumentide, sealhulgas isikuandmete kaitse alaste
õigusaktide ja tavade vahetamist. 2. Euroopa Andmekaitsenõukogu nõuande
taotlemisel võib komisjon kiireloomulistel juhtudel määrata nõuande esitamise
tähtaja. 3. Euroopa Andmekaitsenõukogu
esitab oma arvamused, suunised, soovitused ja hea tava komisjonile ja artikli
57 lõikes 1 osutatud komiteele ning avalikustab need. 4. Komisjon teavitab Euroopa
Andmekaitsenõukogu meetmetest, mida ta võtnud tema arvamuste, suuniste,
soovituste ja hea tava alusel. VIII PEATÜKK
ÕIGUSKAITSEVAHENDID, VASTUTUS JA SANKTSIOONID Artikkel 50
Õigus esitada järelevalveasutusele kaebus 1. Ilma et see piiraks muude
õiguskaitsevahendite kasutamist, näevad liikmesriigid ette, et andmesubjektil,
kelle arvates tema isikuandmete töötlemine ei ole kooskõlas käesoleva
direktiivi alusel kehtestatud õigusnormidega, on õigus esitada kaebus mis tahes
liikmesriigi järelevalveasutusele. 2. Liikmesriigid näevad ette, et
liikmesriigi õiguses sätestatud nõuete kohaselt registreeritud asutus,
organisatsioon ja ühing, mille eesmärk on kaitsta andmesubjektide õigusi ja
huve nende isikuandmete kaitse valdkonnas, võib ühe või mitme andmesubjekti
nimel esitada kaebuse mis tahes liikmesriigi järelevalveasutusele, kui ta
leiab, et isikuandmete töötlemisel on rikutud andmesubjekti käesoleva
direktiivi kohaseid õigusi. Organisatsioonil või ühingul peab olema andmesubjekti(de)
nõuetekohane volitus. 3. Liikmesriigid sätestavad, et
juhul, kui lõikes 2 osutatud asutus, organisatsioon või ühing leiab, et
toimunud on isikuandmetega seotud rikkumine, on tal õigus esitada kaebus mis
tahes liikmesriigi järelevalveasutusele olenemata sellest, kas andmesubjekt
esitab kaebuse või mitte. Artikkel 51
Õigus õiguskaitsevahendi kasutamisele järelevalveasutuse suhtes 1.
Liikmesriigid sätestavad, et andmesubjektil on
õigus õiguskaitsevahendi kasutamisele järelevalveasutuse otsuste suhtes. 2.
Igal andmesubjektil on õigus kasutada
õiguskaitsevahendit, millega kohustatakse järelevalveasutust kaebuse alusel
tegutsema andmesubjektide õiguste kaitsmiseks vajaliku otsuse puudumise korral
või kui järelevalveasutus ei teavita andmesubjekti kolme kuu jooksul vastavalt
artikli 45 lõike 1 punktile b esitatud kaebuse menetlemise käigust või
tulemusest. 3.
Liikmesriigid näevad ette, et menetlus
järelevalveasutuse vastu algatatakse selle liikmesriigi kohtus, kus
järelevalveasutus on asutatud. Artikkel 52
Õigus õiguskaitsevahendile vastutava töötleja ja volitatud töötleja suhtes Ilma et see piiraks ühegi halduskaitsevahendi
kasutamist, sealhulgas õigust esitada kaebus järelevalveasutusele, näevad
liikmesriigid ette, et füüsilisel isikul, kelle arvates tema isikuandmete
töötlemine ei vasta käesoleva direktiivi alusel kehtestatud õigusnormidele ja
seega on rikutud tema õigusi, mis tulenevad neist normidest, on õigus kasutada
õiguskaitsevahendit. Artikkel 53
Ühtsed kohtumenetluse eeskirjad 1. Liikmesriigid näevad ette, et
artikli 50 lõikes 2 osutatud asutustel, organisatsioonidel ja ühingutel on
õigus kasutada artiklites 51 ja 52 osutatud õigusi ühe või mitme andmesubjekti
nimel. 2. Igal järelevalveasutusel on
õigus algatada kohtumenetlus ja esitada kohtule hagi, et tagada käesoleva
direktiivi alusel vastu võetud õigusnormide täitmine ja isikuandmete ühetaoline
kaitse kogu liidus. 3. Liikmesriigid tagavad, et
nende siseriiklike õigusaktide kohaselt kasutada olevad õiguskaitsevahendid
võimaldavad kiiresti võtta meetmeid, kaasa arvatud ajutisi meetmeid, et
lõpetada iga väidetav rikkumine ja vältida asjaomaste huvide edasist
kahjustamist. Artikkel 54
Vastutus ja õigus hüvitisele 1. Liikmesriigid sätestavad, et
isikul, kellele on tekitatud kahju ebaseadusliku töötlemise või käesoleva
direktiivi rakendamiseks võetud siseriiklike sätetega vastuolus oleva toimingu
tagajärjel, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt
hüvitist tekitatud kahju eest. 2. Juhul kui töötlemises osaleb
rohkem kui üks vastutav töötleja või volitatud töötleja, vastutavad kogukahju
eest vastutavad töötlejad ja volitatud töötlejad solidaarselt. 3. Vastutava töötleja või
volitatud töötleja võib kõnealusest vastutusest tervikuna või osaliselt
vabastada, kui ta tõestab, et tema ei ole vastutav kahju põhjustanud sündmuse
eest. Artikkel 55
Karistused Liikmesriigid kehtestavad käesoleva direktiivi
alusel vastuvõetud õigusnormide rikkumise eest karistuste kohaldamise korra ja
võtavad kõik vajalikud meetmed selle täitmise tagamiseks. Kõnealused karistused
peavad olema tõhusad, proportsionaalsed ja hoiatavad. IX PEATÜKK
DELEGEERITUD ÕIGUSAKTID JA RAKENDUSAKTID Artikkel 56
Delegeeritud volituste rakendamine 1. Komisjonile antud õiguse
suhtes võtta vastu delegeeritud õigusakte kohaldatakse käesolevas artiklis
sätestatud tingimusi. 2. Artikli 28 lõikes 5 osutatud
volitused antakse komisjonile määramata ajaks alates käesoleva direktiivi
jõustumise kuupäevast. 3. Euroopa Parlament ja nõukogu
võivad artikli 28 lõikes 5 osutatud volituste delegeerimise igal ajal tagasi
võtta. Tagasivõtmise otsusega lõpetatakse otsuses nimetatud volituste
delegeerimine. Otsus jõustub järgmisel päeval pärast selle avaldamist Euroopa
Liidu Teatajas või otsuses nimetatud hilisemal kuupäeval. See ei mõjuta
juba jõustunud delegeeritud õigusaktide kehtivust. 4. Niipea kui komisjon on
delegeeritud õigusakti vastu võtnud, teeb ta selle samal ajal teatavaks Euroopa
Parlamendile ja nõukogule. 5. Artikli 28 lõike 5 alusel
vastu võetud delegeeritud õigusakt jõustub üksnes juhul, kui Euroopa Parlament
ega nõukogu ei ole kahe kuu jooksul pärast õigusakti teatavakstegemist Euroopa
Parlamendile ja nõukogule esitanud selle suhtes vastuväiteid või kui Euroopa
Parlament ja nõukogu on enne selle tähtaja möödumist komisjonile teatanud, et
nad ei esita vastuväiteid. Euroopa Parlamendi või nõukogu algatusel
pikendatakse seda tähtaega kahe kuu võrra. Artikkel 57
Komiteemenetlus 1.
Komisjoni abistab komitee. Kõnealune komitee on
komitee määruse (EL) nr 182/2011 tähenduses. 2.
Käesolevale lõikele viitamisel kohaldatakse määruse
(EL) nr 182/2011 artiklit 5. 3.
Käesolevale lõikele viitamisel kohaldatakse määruse
(EL) nr 182/2011 artiklit 8 koostoimes selle artikliga 5. X PEATÜKK
LÕPPSÄTTED Artikkel 58
Kehtetuks tunnistamine 1. Nõukogu raamotsus 2008/977/JSK
tunnistatakse kehtetuks. 2. Viiteid lõikes 1 osutatud
kehtetuks tunnistatud raamotsusele käsitatakse viidetena käesolevale
direktiivile. Artikkel 59
Seos liidu varem vastu võetud kriminaalasjades tehtava politsei- ja
õigusalase koostöö valdkonna õigusaktidega Käesolev direktiiv ei mõjuta erisätteid
isikuandmete kaitse kohta isikuandmete sellisel töötlemisel, mida teostavad
pädevad asutused kuritegude tõkestamiseks, uurimiseks ja avastamiseks, samuti
kuritegude eest vastutusele võtmiseks ja kriminaalkaristuste täitmisele
pööramiseks ning mis on ette nähtud enne käesoleva direktiivi jõustumise
kuupäeva vastu võetud liidu õigusaktides, millega reguleeritakse liikmesriikide
vahelist isikuandmete töötlemist ja liikmesriigi määratud asutuste juurdepääsu
aluselepingute kohaselt käesoleva direktiivi reguleerimisalas loodud
infosüsteemidele. Artikkel 60
Seos varem sõlmitud rahvusvaheliste lepingutega kriminaalasjades tehtava
politsei- ja õigusalase koostöö alal Enne käesoleva direktiivi jõustumist
liikmesriikide sõlmitud rahvusvahelisi lepinguid muudetakse vajaduse korral
viie aasta jooksul pärast käesoleva direktiivi jõustumist. Artikkel 61
Hindamine 1. Komisjon hindab käesoleva
direktiivi kohaldamist. 2. Komisjon
vaatab kolme aasta jooksul pärast käesoleva direktiivi jõustumist läbi muud
Euroopa Liidu vastu võetud õigusaktid, millega reguleeritakse pädevate asutuste
poolset isikuandmete töötlemist kuritegude tõkestamiseks, uurimiseks,
avastamiseks ning kuritegude eest vastutusele võtmiseks ja kriminaalkaristuste
täitmisele pööramiseks, eelkõige aga artiklis 59 osutatud liidu õigusaktid, et
hinnata vajadust kohandada neid käesoleva direktiiviga ning vajaduse korral
teha ettepanekud nende muutmiseks, et tagada järjepidev lähenemine isikuandmete
kaitsele käesoleva direktiivi reguleerimisalas. 3. Komisjon esitab lõikes 1
sätestatud hindamise ja läbivaatamise aruanded korrapäraselt Euroopa
Parlamendile ja nõukogule. Esimesed aruanded esitatakse hiljemalt neli aastat
pärast käesoleva direktiivi jõustumist. Järgmised aruanded esitatakse iga nelja
aasta järel. Komisjon esitab vajaduse korral ettepanekud käesoleva direktiivi
muutmiseks ja nende vastavusse viimiseks muude õigusaktidega. Kõnealune aruanne
avalikustatakse. Artikkel 62
Rakendamine 1. Liikmesriigid võtavad vastu
ja avaldavad käesoleva direktiivi järgimiseks vajalikud õigus- ja haldusnormid
hiljemalt [kuupäev / kaks aastat pärast jõustumist]. Nad edastavad
kõnealuste normide teksti viivitamata komisjonile. Liikmesriigid kohaldavad neid sätteid alates
xx.xx.201x [kuupäev / kaks aastat pärast käesoleva direktiivi jõustumist]. Kui liikmesriigid need normid vastu võtavad,
lisavad nad nendesse normidesse või nende normide ametliku avaldamise korral
nende juurde viite käesolevale direktiivile. Sellise viitamise viisi näevad
ette liikmesriigid. 2. Liikmesriigid edastavad
komisjonile käesoleva direktiiviga reguleeritavas valdkonnas nende poolt
vastuvõetud põhiliste siseriiklike õigusnormide teksti. Artikkel 63
Jõustumine ja kohaldamine Käesolev
direktiiv jõustub esimesel päeval pärast selle avaldamist Euroopa Liidu
Teatajas. Artikkel 64
Adressaadid Käesolev
direktiiv on adresseeritud liikmesriikidele. Brüssel, 25.1.2012 Euroopa Parlamendi nimel Nõukogu
nimel president eesistuja [1] Euroopa Parlamendi ja nõukogu direktiiv 95/46/EÜ, 24.
oktoober 1995, üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste
andmete vaba liikumise kohta (EÜT L 281, 23.11.95, lk 31). [2] Vt mõjuhinnangu 3. lisas esitatud täielik loetelu
(SEC(2012)72). [3] Nõukogu raamotsus 2008/977/JSK, 27. november 2008,
kriminaalasjades tehtava politsei- ja õigusalase koostöö raames töödeldavate
isikuandmete kaitse kohta, ELT L 350, 30.12.2008, lk 60. [4] Stockholmi programm (ELT C 115, 4.5.2010, lk 1). [5] Vt Euroopa Parlamendi 25. novembri 2009. aasta
resolutsioon Stockholmi programmi kohta. [6] KOM(2010)171 (lõplik). [7] Euroopa Komisjoni teatis „Terviklik lähenemisviis
isikuandmete kaitsele Euroopa Liidus”, KOM(2010) 609 (lõplik), 4.11.2010. [8] Deklaratsioon nr 21 isikuandmete kaitse kohta
kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas
(lisatud Lissaboni lepingu vastu võtnud valitsustevahelise konverentsi
13. detsembri 2007. aasta lõppaktile). [9] http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm. [10] http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm. [11] Vt Eurobaromeetri eriuuring 359, Data Protection and
Electronic Identity in the EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf. [12] Vt uuring eraelu puutumatust soodustavate tehnoloogiate
majandusliku kasu kohta või 2010. aasta jaanuari võrdlusuuring eraelu
puutumatuse uute probleemidega seotud erinevate lähenemisviiside kohta eelkõige
tehnoloogia arengu seisukohast.
(http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf). [13] Töörühm asutati 1996. aastal (direktiivi artikli 29
alusel) ning see on nõuandev organ, kuhu kuuluvad liikmesriikide
andmekaitseasutuste esindajad, Euroopa andmekaitseinspektor ja komisjoni
esindajad. Rohkem teavet töörühma tegevuse kohta asub aadressil http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm. [14] Eriti vt järgmised arvamused: arvamus eraelu puutumatuse
tuleviku kohta (2009, WP 168), arvamus 1/2010 mõistete „vastutav töötleja” ja
„volitatud töötleja” kohta (1/2010, WP 169), arvamus 2/2010 käitumispõhise internetireklaami kohta (2/2010, WP 171), arvamus
3/2010 vastutuse põhimõtte kohta (3/2010, WP 173), arvamus nr 8/2010
kohaldatava õiguse kohta (8/2010, WP 179) ja arvamus 15/2011 nõusoleku kohta
(15/2011, WP 187). Komisjoni palvel võttis töörühm vastu ka kolm järgmist
nõuandedokumenti: teatiste, tundliku teabe ja direktiivi 95/46/EÜ artikli 28
lõike 6 kohaldamise kohta. Need on kättesaadavad aadressil: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm. [15] Kättesaadav Euroopa andmekaitseinspektori veebisaidil: http://www.edps.europa.eu/EDPSWEB/. [16] Euroopa Parlamendi 6. juuli 2011. aasta resolutsioon
tervikliku lähenemisviisi kohta isikuandmete kaitsele Euroopa Liidus (2011/2025(INI)),
http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EN&ring=A7-2011-0244, raportöör: Euroopa Parlamendi liige Axel Voss (Euroopa Rahvapartei
(kristlike demokraatide) fraktsioon, Saksamaa). [17] CESE 999/2011. [18] SEC(2012)72. [19] COM(2012)12. [20] Euroopa Liidu Kohtu 9. novembri 2010. aasta otsus liidetud
kohtuasjades C-92/09 ja 93/09: Volker und Markus Schecke ja Eifert, EKL 2010,
lk I-0000. [21] Kooskõlas harta artikli 52 lõikega 1 võib isikuandmete
kaitsega seotud õiguse rakendamist piirata ainult õigusaktidega ning arvestades
nimetatud õiguste ja vabaduste olemust ning kui see on proportsionaalsuse
põhimõtte kohaselt vajalik ning vastab tegelikult Euroopa Liidu poolt
tunnustatud üldist huvi pakkuvatele eesmärkidele või vajadusele kaitsta teiste
isikute õigusi ja vabadusi. [22] Vt ka Euroopa Parlamendi ja nõukogu 13. detsembri
2011. aasta direktiiv 2011/92/EL (mis käsitleb laste seksuaalse
kuritarvitamise ja ärakasutamise ning lasteporno vastast võitlust ja mis
asendab nõukogu raamotsuse 2004/68/JSK, ELT L 335, 17.12.2011, lk 1)
artikli 2 punkt a. [23] KOM(2005) 475 (lõplik) [24] Euroopa Politseiameti (Europoli) asutamist käsitleva
otsuse 2009/371/JSK artikkel 14. [25] Eurojusti moodustamist käsitleva otsuse 2009/426/JSK
artikkel 15. [26] Euroopa Politseiameti (Europoli) asutamist käsitleva
otsuse 2009/371/JSK artikkel 14. [27] Euroopa Inimõiguste Kohtu 4. detsembri
2008. aasta otsus kohtuasjas S. and Marper vs. Ühendkuningriik
(30562/04 ja 30566/04). [28] Vastu võetud isikuandmete kaitse ja eraelu puutumatuse
valdkonna volinike rahvusvahelisel konverentsil 5. novembril 2009. [29] Euroopa Liidu Kohtu 9. märtsi 2010. aasta otsus
kohtuasjas C-518/07: komisjon vs. Saksamaa, EKL 2010, lk I-1885). [30] Euroopa Parlamendi ja nõukogu määrus (EÜ) nr 45/2001, 18.
detsember 2000, üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse
institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta, EÜT
L 008, 12.1.2001, lk 1). [31] Op. cit. joonealune märkus 27. [32] Euroopa Parlamendi ja nõukogu direktiiv 2000/31/EÜ, 8.
juuni 2000, infoühiskonna teenuste teatavate õiguslike aspektide, eriti
elektroonilise kaubanduse kohta siseturul (direktiiv elektroonilise kaubanduse
kohta), EÜT L 178, 17.7.2000, lk 1. 1. [33] ELT C […], […], lk […]. [34] EÜT L 281, 23.11.1995, lk 31. [35] ELT L 350, 30.12.2008, lk 60. [36] ELT L 55, 28.2.2011, lk 13. [37] ELT L 335, 17.12.2011, lk 1. [38] EÜT L 176, 10.7.1999, lk 36. [39] ELT L 53, 27.2.2008, lk 52. [40] ELT L 160, 18.6.2011, lk 19.