|
30.6.2012 |
ET |
Euroopa Liidu Teataja |
C 192/7 |
Kokkuvõte Euroopa Andmekaitseinspektori 7. märtsi 2012. aasta arvamusest isikuandmete kaitse reformi paketi kohta
(Arvamuse täistekst (inglise, prantsuse ja saksa keeles) on Euroopa Andmekaitseinspektori veebilehel http://www.edps.europa.eu)
2012/C 192/05
25. jaanuaril 2012 võttis komisjon vastu paketi ELi isikuandmete kaitse eeskirjade reformimiseks, sealhulgas määruse ettepaneku, mis sisaldab andmekaitse üldeeskirju, ning direktiivi ettepaneku, mis käsitleb andmekaitset õiguskaitse valdkonnas.
7. märtsil 2012 võttis Euroopa Andmekaitseinspektor vastu arvamuse, milles esitatakse mõlema seadusandliku ettepaneku kohta üksikasjalikud märkused. Arvamuse terviktekst on kättesaadav Euroopa andmekaitseinspektori veebisaidil http://www.edps.europa.eu
Arvamuses annab Euroopa Andmekaitseinspektor lühikese ülevaate ettepanekute taustast ning esitab oma üldise hinnangu.
Euroopa Andmekaitseinspektoril on hea meel määruse ettepaneku üle, kuna see on Euroopa andmekaitses suur samm edasi. Kavandatud eeskirjadega tugevdatakse üksikisikute õigusi ja suurendatakse vastutavate töötlejate vastutust selle eest, kuidas nad isikuandmeid käsitlevad. Peale selle on tõhusalt suurendatud riiklike järelevalveasutuste rolli ja volitusi (koos ja eraldi).
Euroopa Andmekaitseinspektoril on eriti hea meel selle üle, et andmekaitse üldeeskirjade jaoks kasutatakse vahenditest just määrust. Kavandatud määrust kohaldataks liikmesriikides otse ning sellega kaotataks paljud probleemid ja ebajärjepidevused, mis tulenevad praegu liikmesriikides kehtivatest eri rakendusseadustest.
Euroopa Andmekaitseinspektor on aga sügavalt pettunud direktiivi ettepanekus, mis käsitleb isikuandmete kaitset õiguskaitse valdkonnas. Euroopa andmekaitseinspektoril on kahju, et komisjon on valinud selle küsimuse reguleerimiseks eraldiseisva õigusliku vahendi, mis ei näe ette piisavat kaitsetaset ning mis jääb kavandatud määrusele tublisti alla.
Kavandatud direktiivi juures on positiivne asjaolu, et see hõlmab riigisisest töötlemist, ning seega on sel laiem reguleerimisala kui praegusel raamdirektiivil. Sel täiendusel on aga lisaväärtus üksnes siis, kui direktiiv suurendab olulisel määral andmekaitse taset selles valdkonnas, mida see aga praegu ei tee.
Paketi kui terviku peamine nõrkus seisneb asjaolus, et see ei paranda ELi andmekaitse-eeskirjade ebaterviklikkust. Sellega jäetakse paljud ELi andmekaitsevahendid puutumata, näiteks andmekaitse-eeskirjad ELi institutsioonidele ja organitele, kuid ka kriminaalasjades tehtavat politsei- ja õigusalast koostööd käsitlevad konkreetsed vahendid, nagu Prümi otsus ning Europoli ja Eurojusti eeskirjad. Peale selle ei käsitleta kõikide kavandatud vahenditega täielikult tegelikke olukordi, mida hõlmavad mõlemad poliitikavaldkonnad, nagu broneeringuinfo või telekommunikatsiooniandmete kasutamine õiguskaitse eesmärgil.
Määruse ettepaneku puhul on horisontaalne küsimus suhe ELi ja riiklike õigusaktide vahel. Määruse ettepanek võimaldab luua ELis andmekaitse vallas ühe kindla kohaldatava õiguse, kuid tegelikult on ELi ja riiklike õigusaktide kooseksisteerimiseks ja seosteks endiselt rohkem ruumi, kui esmapilgul paistab. Euroopa Andmekaitseinspektor leiab, et seadusandja peaks seda tunnistama.
Teine üldise tähtsusega küsimus on seotud paljude sätetega, milles komisjoni volitatakse vastu võtma delegeeritud või rakendusakte. Euroopa Andmekaitseinspektor on sellise lähenemisega rahul niivõrd, kuivõrd see aitab kaasa määruse järjepidevale kohaldamisele, kuid ta ei ole rahul sellega, mil määral on olulised õiguslikud sätted jäetud delegeeritud volituste ülesandeks. Paljusid selliseid volitusi tuleks uuesti kaaluda.
Üksikasjalikul tasandil toob Euroopa Andmekaitseinspektor välja kavandatud määruse peamised positiivsed elemendid, mis on järgmised:
|
— |
kavandatud määruse kohaldamisala selgitamine; |
|
— |
täiustatud läbipaistvusnõuded seoses andmesubjektiga ning vastuväidete esitamise õiguse tugevdamine; |
|
— |
vastutavate töötlejate üldine kohustus tagada määruse sätete järgimine ja olla võimeline seda tõestama; |
|
— |
riiklike järelevalveasutuste positsiooni ja rolli tugevdamine; |
|
— |
järjepidevusmehhanismi põhijooned. |
Kavandatud määruse peamised negatiivsed elemendid on:
|
— |
eesmärgi piiramise põhimõttega seotud uute erandite võimaldamine; |
|
— |
peamiste põhimõtete ja õiguste piiramise võimalused; |
|
— |
vastutavate töötlejate kohustus säilitada dokumentatsioon kõikide töötlemistoimingute kohta; |
|
— |
andmete edastamine kolmandatele riikidele erandi alusel; |
|
— |
komisjoni roll järjepidevuse mehhanismis; |
|
— |
haldussanktsioonide kehtestamise kohustuslikkus. |
Seoses direktiiviga on Euroopa Andmekaitseinspektor arvamusel, et ettepanek ei vasta paljudes aspektides järjepideva ja kõrgetasemelise andmekaitse nõuetele. Sellega jäetakse kõik valdkonnas kehtivad õigusaktid puutumata ning paljudel juhtudel ei ole määruse ettepanekus sätestatud eeskirjadest kõrvale kaldumine mingil viisil põhjendatud.
Euroopa Andmekaitseinspektor rõhutab, et kuigi õiguskaitse valdkonnas on vaja teatud erieeskirju, peaks iga erand üldistest andmekaitse-eeskirjadest olema nõuetekohaselt põhjendatud, tuginedes asjakohasele tasakaalule õiguskaitse esindatava üldise huvi ja kodanike põhiõiguste vahel.
Eriti teeb Euroopa Andmekaitseinspektorile muret järgmine:
|
— |
eesmärgi piiramise põhimõtte ebaselgus; |
|
— |
asjaolu, et pädevad asutused ei pea mingil viisil suutma tõestada vastavust direktiivile; |
|
— |
kolmandatele riikidele andmete edastamise puudulikud tingimused; |
|
— |
järelevalveasutuste põhjendamatult piiratud volitused. |
Andmekaitseinspektor soovitab järgmist.
Kogu reformiprotsessi käsitlevad soovitused
|
— |
Teatada avalikult reformiprotsessi teise etapi ajakava nii kiiresti kui võimalik. |
|
— |
Liita ELi institutsioonide ja organite eeskirjad määruse ettepanekusse või vähemalt tagada määruse ettepaneku kohaldamisel kooskõlastatud eeskirjade kehtimine. |
|
— |
Esitada võimalikult kiiresti ettepanek ühiste eeskirjade kohta ühise välis- ja julgeolekupoliitika valdkonnas, tuginedes Euroopa Liidu lepingu artiklile 39. |
Soovitused määruse ettepaneku kohta
Horisontaalsed küsimused
|
— |
Lisada säte, milles selgitatakse määruse alusel riiklike õigusaktide kohaldamise territoriaalset ulatust. |
|
— |
Vaadata üle volituste delegeerimine artikli 31 lõigete 5 ja 6, artikli 32 lõigete 5 ja 6, artikli 33 lõigete 6 ja 7, artikli 34 lõike 2 punkti a ning artikli 44 lõike 1 punkti d ja lõike 7 puhul. |
|
— |
Näha mikro- ning väikeste ja keskmise suurusega ettevõtjate jaoks asjakohased ja konkreetsed meetmed ette üksnes valitud rakendusaktides ning mitte artikli 8 lõikes 3, artikli 14 lõikes 7, artikli 22 lõikes 4 ja artikli 33 lõikes 6 märgitud delegeeritud aktides. |
|
— |
Täpsustada avaliku huvi mõistet kõikides sätetes, kus seda kasutatakse. Avalikud erihuvid tuleks sõnaselgelt seoses kavatsetud töötlemise kontekstiga kindlaks määrata ettepaneku igas asjakohases sättes (vt eelkõige põhjendus 87, artikli 17 lõige 5, artikli 44 lõike 1 punkt d ning artikli 81 lõike 1 punktid b ja c). Lisanõuded võiksid sisaldada seda, et alusele võib tugineda üksnes eriti kiireloomulistes olukordades või kui see on vastavalt õigusaktidele hädavajalik. |
I peatükk. Üldsätted
|
— |
Artikli 2 lõike 2 punkt d: sisestada avaliku ja koduse tegevuse eristamise kriteerium, tuginedes määramatule hulgale üksikisikutele, kellel on teabele juurdepääs. |
|
— |
Artikli 2 lõike 2 punkt e: sätestada, et erand kehtib pädevatele avalikele asutustele. Põhjendus 16 tuleks artikli 2 lõike 2 punktiga e kooskõlla viia. |
|
— |
Artikli 4 lõike 1 punkt 2: lisada põhjendusse täpsem selgitus, tuues esile asjaolu, et niipea, kui tekib tihe seos identifikaatori ja isiku vahel, tuleb kohaldada andmekaitsepõhimõtteid. |
|
— |
Artikli 4 lõige 13: täpsustada kriteeriumi, mille alusel tehakse kindlaks asjakohase vastutava töötleja peamine tegevuskoht, võttes arvesse ühe tegevuskoha valitsevat mõju teiste üle tihedas seoses volitusega rakendada isikuandmete kaitse eeskirju või andmekaitse seisukohast asjakohaseid eeskirju. Teise võimalusena võib määratluses keskenduda rühma kui terviku peamisele tegevuskohale. |
|
— |
Lisada uued määratlused mõistetele „edastamine” ja „töötlemise piiramine”. |
II peatükk. Põhimõtted
|
— |
Artikkel 6: lisada põhjendus, millega selgitatakse täpsemalt, mis kuulub artikli 6 lõike 1 punktis e sätestatud sõnastuse „avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks” alla. |
|
— |
Artikli 6 lõige 4: jätta see säte välja või vähemalt piirata seda seoses andmete edasise töötlemisega vastuolulistel eesmärkidel artikli 6 lõike 1 punktides a ja d sisalduvatel alustel. Selleks oleks vaja muuta ka põhjendust 40. |
|
— |
Lisada uus säte selliste üksikisikute esindamise kohta, kellel ei ole piisavat (õiguslikku) suutlikkust või kes on muul moel teovõimetud. |
|
— |
Artikkel 9: lisada rikkumised ja küsimused, mis ei ole viinud süüdimõistmisteni, andmete erikategooriatesse. Laiendada ametiasutuse järelevalve nõuet kõikidele artikli 9 lõike 2 punktis j märgitud alustele. |
|
— |
Artikkel 10: selgitada põhjenduses 45 täpsemalt, et andmete vastutav töötleja ei tohiks saada kasutada juurdepääsu taotluse tagasilükkamise põhjusena teabe võimalikku puudumist, kui andmesubjekt saab juurdepääsu võimaldamiseks vajalikud andmed esitada. |
III peatükk. Andmesubjekti õigused
|
— |
Artikkel 14: lisada teave teatud töötlemistoimingute olemasolu koha, millel on eriline mõju üksikisikutele, samuti sellise töötlemise tagajärjed üksikisikutele. |
|
— |
Artikkel 17: arendada sätet edasi, et tagada selle toimivus tegelikkuses. Jätta välja artikli 17 lõike 3 punkt d. |
|
— |
Artikkel 18: selgitada, et õiguse kasutamine ei piira artikli 5 punktis e sätestatud kohustust kustutada andmed, kui neid enam vaja ei ole. Tagada, et artikli 18 lõige 2 ei piirduks üksnes andmetega, mille andmesubjekt on esitanud nõusoleku või lepingu alusel. |
|
— |
Artikkel 19: selgitada, mida andmete vastutav töötleja peaks tegema juhul, kui esineb ebakõla andmesubjektiga, ning viia see kooskõlla artikli 17 lõike 1 punktiga c. Selgitada põhjenduses, mille saab liigitada „täiesti õiguspäraseks aluseks”. |
|
— |
Artikkel 20: lisada artikli 20 lõike 2 punkti a üksikisikute õigus esitada oma arvamus, nagu on kehtiva direktiivi 95/46/EÜ artiklis 15. |
|
— |
Artikkel 21: kehtestada üksikasjalikud kaitsemeetmed, mille kohaselt tuleb riiklikes õigusaktides määrata kindlaks töötlemisega taotletavad eesmärgid, töödeldavate isikuandmete kategooriad, töötlemise erieesmärgid ja vahendid, vastutav töötleja, andmeid töödelda võivate isikute kategooriad, töötlemisel järgitav menetlus ning kaitsemeetmed ametiasutuste omavolilise sekkumise vastu. Lisada täiendava kaitsemeetmena andmesubjektide teavitamine piirangutest ning nende õigusest pöörduda küsimuses järelevalveasutuse poole, et saada kaudne juurdepääs. Lisada artiklisse 21, et piirangute kohaldamise võimalus eraõiguslike vastutavate töötlejate teostatud töötlemisele õiguskaitse eesmärgil ei tohiks kohustada neid hoidma andmeid lisaks nendele, mis on algse eesmärgi jaoks rangelt vajalikud, ega muutma oma IT-arhitektuuri. Jätta välja artikli 21 lõike 1 punktis e sisalduv alus. |
IV peatükk. Vastutav töötleja ja volitatud töötleja
|
— |
Artikkel 22: osutada sõnaselgelt vastutuse põhimõttele, kindlasti põhjenduses 60. Ühendada artikli 22 lõiked 1 ja 3 ning märkida sõnaselgelt, et meetmed peavad olema asjakohased ja tõhusad. Lisada üldsäte, mis eelneb artikli 22 lõikes 2 esitatud erikohustustele, töötades välja mõiste „juhatuse vastutus”, mis hõlmab vastutuse määramist, töötajate koolitamist, asjakohaseid juhtnööre ning nõuet, et vastutaval töötlejal on olemas vähemalt ülevaade ja üldloetelu toimingutest, mis tema vastutusalasse kuuluvad. Lisada uus lõige, millega sätestatakse, et juhul kui vastutav töötleja otsustab avaldada või on kohustatud avaldama korrapärase aruande oma tegevuse kohta, peaks see aruanne sisaldama ka artikli 22 lõikes 1 osutatud poliitika ja meetmete kirjeldust. |
|
— |
Artikkel 23: osutada artikli 23 lõikes 2 ja põhjenduses 61 asjaolule, et andmesubjektidele tuleks põhimõtteliselt jätta võimalus lubada kasutada oma isikuandmeid laiemal viisil. |
|
— |
Artikli 25 lõike 2 punkt a: jätta välja erand seoses piisava kaitse tagavate kolmandate riikidega. |
|
— |
Artikkel 26: lisada volitatud töötaja kohustus võtta arvesse andmekaitse põhimõtet artikli 26 lõikes 2 sisalduvate ülesannete loetelu kavandamisel. |
|
— |
Artikkel 28: vaadata üle või jätta välja artikli 28 lõikes 4 esitatud erandid. |
|
— |
Artikkel 30: täpsustada artiklit 30, et tagada vastutava töötleja üldine vastutus, ning lisada vastutava töötleja kohustus võtta vastu organisatsioonis infoturbe juhtimise lähenemisviis, sealhulgas rakendada konkreetselt töödeldavate andmete jaoks sobivat infoturbepoliitikat, kui see on asjakohane. Lisada artiklisse 30 otsene viide isikuandmete kaitset käsitlevale mõjuhinnangule. |
|
— |
Artiklid 31 ja 32: täpsustada andmetega seotud rikkumise kindlakstegemise kriteeriume ja nõudeid ning olukordi, millest tuleks teatada. Pikendada 24tunnist tähtaega artiklis 31 mitte lühemaks kui 72 tundi. |
|
— |
Artikkel 33: artikli 33 lõike 2 punktides b, c ja d esitatud töötlemistoimingute loetelu ei tohiks piirduda suuremahulise töötlemisega. Viia artikli 33 lõige 5 kooskõlla põhjendusega 73. Piirata artikli 33 lõiget 6 mitteolulistele elementidele. Selgitada, et ettevõtte suurus ei vabasta kunagi kohustusest teha isikuandmete kaitse mõjuhinnang seoses töötlemistoimingutega, mis kujutavad endast konkreetseid riske. |
|
— |
Artikkel 34: viia artikli 34 lõige 1 üle kavandatud määruse V peatükki. |
|
— |
Artiklid 35–37: alandada artikli 35 lõikes 1 esitatud 250 töötaja piiri ja selgitada artikli 35 lõike 1 punkti c reguleerimisala. Lisada kaitsemeetmeid, eelkõige kehtestada rangemad tingimused andmekaitseametniku vallandamise kohta ning tagada artikli 36 lõikes 1, et andmekaitseametnikule lubatakse juurdepääs kogu asjakohasele teabele ning tema ülesannete täitmiseks vajalikesse ruumidesse. Lisada artikli 37 lõike 1 punkti a andmekaitseametniku roll teadlikkuse tõstmises. |
V peatükk. Edastamine kolmandatele riikidele
|
— |
Märkida põhjenduses 79, et määruse mittekohaldamine rahvusvahelistele kokkulepetele on ajaliselt piiratud ja see on seotud üksnes kehtivate rahvusvahelise kokkulepetega. |
|
— |
Lisada üleminekuklausel, millega nähakse ette rahvusvaheliste kokkulepete ülevaatamine kindla aja jooksul, et viia need kooskõlla määrusega. |
|
— |
Artikkel 41 (ja põhjendus 82): selgitada, et piisavat kaitsetaset mittekinnitava otsuse korral tuleks edastamist lubada üksnes asjakohaste kaitsemeetmete korral või kui selline edastamine kuulub artiklis 44 sätestatud erandite hulka. |
|
— |
Artikkel 42: tagada, et seaduslikult mittesiduvate vahendite kasutamise võimalus asjakohaste kaitsemeetmete tagamiseks oleks selgelt põhjendatud ja piiratud üksnes juhtumitega, kus vajadus toetuda sellistele vahenditele on tõestatud. |
|
— |
Artikkel 44 (ja põhjendus 87): lisada, et võimalus andmeid edastada peaks käsitlema üksnes juhuslikke edastamisi ning tuginema edastamisega seotud kõikide tingimuste hoolikale kaalumisele ja seda tuleks teha iga juhtumi puhul eraldi. Asendada viide „asjakohastele kaitsemeetmetele” artikli 44 lõike 1 punktis h ja artikli 44 lõikes 3 või täpsustada seda. |
|
— |
Põhjendus 90: muuta põhjendus sisuliseks sätteks. Kehtestada sellisteks juhtudeks asjakohased kaitsemeetmed, sealhulgas õiguslikud tagatised ja andmekaitsega seotud tagatised. |
VI ja VII peatükk. Sõltumatud järelevalveasutused, koostöö ja järjepidevus
|
— |
Artikkel 48: anda riikide parlamentidele roll järelevalveasutuste liikmete määramise menetluses. |
|
— |
Artikli 52 lõige 1: lisada kohustus töötada välja suunised õiguskaitsega seotud eri volituste kasutamise koha, mida vajaduse korral ELi tasandil kooskõlastatakse andmekaitsenõukogus. Selle võib lisada ka artiklisse 66. |
|
— |
Artikkel 58: asendada sõna „viivitamata” artikli 58 lõikes 6 sõnaga „viivitusteta” ning pikendada artikli 58 lõikes 7 ühekuulist tähtaega kahe kuuni/kaheksa nädalani. |
|
— |
Artikkel 58: suurendada häälteenamuse tähtsust, tagades, et ühe asutuse taotlus pannakse hääletusele, juhul kui käsitletav küsimus ei ole seotud mõne artikli 58 lõikes 2 kirjeldatud põhimeetmega. |
|
— |
Artiklid 59 ja 60: piirata komisjoni volitusi, jättes välja võimaluse tühistada rakendusakti kaudu riikliku järelevalveasutuse otsus teatud küsimuses. Tagada, et komisjoni roll koosneb esialgses etapis võimalusest algatada käsitlus andmekaitsenõukogus, nagu on ette nähtud artikli 58 lõikega 4, ning edaspidi pädevusest võtta vastu arvamusi. Lisada seoses rikkumismenetlusega või ajutiste meetmete taotlemisega, nagu peatamismäärus, viide edasisele menetlusele Euroopa Kohtus. |
|
— |
Artikkel 66: lisada, et andmekaitsenõukoguga konsulteeritakse piisavuse hindamiste raames. |
|
— |
Vaadata üle praegune hinnang Euroopa Andmekaitsenõukogu sekretariaadi mõjule seoses finants- ja inimressurssidega (vt käesoleva arvamuse lisa, mis on kättesaadav Euroopa Andmekaitseinspektori veebisaidil). |
VIII peatükk. Õiguskaitsevahendid, vastutus ja sanktsioonid
|
— |
Artiklid 73 ja 76: tagada selgus seoses volitustega, mille organisatsioon peab andmesubjektilt saama, ning nõutud ametlikkuse ulatus. Lisada laiem säte kollektiivsete meetmete kohta. |
|
— |
Artikli 74 lõige 4: piirata alust, mis annaks andmesubjektile õiguse käivitada menetlused, ning piirata seda konkreetsema ohuga andmesubjekti õigustele. |
|
— |
Artikli 75 lõige 2: täpsustada, et erand ei kehti kolmanda riigi avaliku asutuse suhtes. |
|
— |
Artikli 76 lõiked 3 ja 4: lisada kohtute tasandil süsteemsem teavitamismenetlus. |
|
— |
Selgitada seost Brüsseli I määrusega. |
|
— |
Selgitada vastutavalt töötlejalt saadud teabe (artikli 53 alusel) kasutamise kokkusobivust enda vastu ütluste andmisest keeldumise üldise õigusega. |
|
— |
Artikkel 77: lisada, et andmesubjektil peab alati olema võimalik pöörduda kahju hüvitamise teemal vastutava töötleja poole, hoolimata sellest, kus ja kuidas kahju tekkis. Kehtestada kahju hüvitamise kord vastutava töötleja ja volitatud töötleja vahel, kui vastutuse jagunemine nende vahel on kindlaks tehtud. Lisada, et see peaks kehtima ka mittemateriaalse kahju ja kannatuste tekitamise kompenseerimise korral. |
|
— |
Lisada säte, kasutades ühtse majandusüksuse või ühtse ettevõtja mõistet, et võimaldada võtta rühm vastutusele tütarettevõtja tehtud rikkumise korral. |
|
— |
Artikkel 79: võimaldada järelevalveasutustele haldussanktsioonidega seoses kaalutlusruumi. Lisada tingimused, milles tuuakse esile olukorrad, kus haldussanktsioone tuleb kehtestada. Tagada, et järelevalveasutuse konkreetse korralduse täitmata jätmist karistatakse tavaliselt karmima haldussanktsiooniga kui sama üldsätte lihtsat rikkumist. |
IX peatükk. Andmetöötluse eriolukorrad
|
— |
Artikkel 80: sõnastada ümber artikkel 80 ning sätestada, et liikmesriigid näevad määratud korra järgi ette erandid määruse sätetest, kui see on vajalik andmekaitseõiguse kooskõlastamiseks sõnavabadusega. Lisada sättesse või põhjendusse, et kahe põhiõiguse kooskõlastamisel ei tohiks kahjustada kummagi õiguse põhiolemust. |
|
— |
Lisada sisuline säte dokumentide avaliku kättesaadavuse kohta, sätestades, et avalikes asutustes ja organites hoitavates dokumentides sisalduvaid isikuandmeid võib avalikustada, kui see on 1) ette nähtud ELi või riikliku õigusega, 2) vajalik andmekaitseõiguse ja dokumentide avaliku kättesaadavuse õiguse kooskõlastamiseks ning 3) kui see tagab õiglase tasakaalu seotud eri huvide vahel. |
|
— |
Asendada artiklites 81, 82, 83 ja 84 fraas „käesoleva määruse piires” fraasiga „piiramata käesolevat määrust”. |
|
— |
Artikkel 81: viia artikli 81 lõike 1 punkt 3 kooskõlla artikli 9 lõikega 3 ning selgitada artikli 81 reguleerimisala ja olemust. Selgitada tuleks täpsemalt nõusoleku nõuet, vastutuste kindlaksmääramist ning turvanõudeid. |
|
— |
Artikkel 83: lisada täiendavad kaitsemeetmed seoses andmete erikategooriate töötlemisega. Selgitada artikli 83 lõikes 1, et teadusliku eesmärgi korral peaks lähtekoht olema see, et töötlemisel kasutatakse anonüümseks muudetud andmeid. Selgitada, mida mõeldakse sõnaga „eraldi”, ning tagada, et eraldi hoidmine kaitseb tõepoolest andmesubjekte. Kasutada artikli 83 lõike 1 punktis b fraasi „andmeid, mis võimaldavad seostada teatava teabe andmesubjektiga” fraasi „andmeid, mis võimaldavad seostada teavet tuvastatud või tuvastatava andmesubjektiga” asemel. Jätta välja üksikisikute õiguste piiramine delegeeritud aktide kaudu. |
Soovitused direktiivi ettepaneku kohta
Horisontaalsed küsimused
|
— |
Artikkel 59: eriõigusakte kriminaalasjades tehtava politsei- ja õigusalase koostöö valdkonnas tuleks muuta hiljemalt direktiivi jõustamise hetkel. |
|
— |
Lisada uus säte, millega kehtestatakse hindamismehhanism, et hinnata korrapäraste tõendipõhiste hindamiste kaudu, kas teatava ulatusega andmetöötlustegevus tõepoolest kujutab endast vajalikku ja proportsionaalset meedet kuritegude ennetamiseks, avastamiseks, uurimiseks ja kohtu ette viimiseks. |
|
— |
Lisada uus säte, millega tagatakse, et isikuandmete edastamine õiguskaitseasutustelt teistele avalikele asutustele või eraõiguslikele isikutele on lubatud üksnes rangetel eritingimustel. |
|
— |
Lisada uus säte erikaitsemeetmete kohta seoses laste andmete töötlemisega. |
I ja II peatükk. Üldsätted ja põhimõtted
|
— |
Artikli 3 lõige 4: põhjendada täpsemalt kooskõlas määruse ettepaneku artikli 17 lõikega 5. |
|
— |
Artikli 4 punkt b: lisada põhjendusse selgitus, millega sätestatakse, et „kooskõlas kasutamist” tuleb tõlgendada piiratult. |
|
— |
Artikli 4 punkt f: viia kooskõlla määruse ettepaneku artikli 5 punktiga f ning muuta artikleid 18 ja 23 vastavalt. |
|
— |
Artikkel 5: viia kahtlusest vabad isikud eraldi kategooriasse. Jätta välja fraas „võimalust mööda” ning täpsustada kategoriseerimise tagajärgi. |
|
— |
Artikkel 6: jätta lõigetes 1 ja 2 välja fraas „võimalust mööda”. |
|
— |
Artikli 7 punkt a: muuta see eraldiseisvaks sätteks, millega tagatakse üldisel viisil, et kõik andmetöötlemistoimingud on seadusega ette nähtud ning seega vastavad ELi põhiõiguste harta ja Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni nõuetele. |
|
— |
Artikli 7 punktid b ja d: asendada täiendava eraldiseisva sättega, milles loetletakse ammendavalt avaliku huvi alused, mille puhul võib lubada erandit eesmärgi piiramise põhimõttest. |
|
— |
Lisada uus säte isikuandmete töötlemise kohta ajaloolistel, statistilistel ja teaduslikel eesmärkidel. |
|
— |
Lisada pädevale asutusele kohustus kehtestada mehhanismid, millega tagatakse, et kehtestatakse tähtajad isikuandmete kustutamiseks ning andmete säilitamise vajaduse korrapäraseks ülevaatamiseks, sealhulgas eri kategooriate isikuandmete säilitamisperioodide määramiseks ning nende kvaliteedi korrapäraseks kontrollimiseks. |
|
— |
Artikkel 8: lisada artiklisse 8 põhjenduse 26 range sõnastus. Märkida, mida mõeldakse sobivate meetmete all, mis lähevad kaugemale tavalistest kaitsemeetmetest. |
III peatükk. Andmesubjekti õigused
|
— |
Artikkel 10: jätta välja viide „mõistlikele jõupingutustele” artikli 10 lõigetes 1 ja 2. Lisada artikli 10 lõikesse 4 selge tähtaeg ning sätestada, et teave tuleb esitada andmesubjektile hiljemalt ühe kuu jooksul alates taotluse saamisest. Asendada artikli 10 lõikes 5 sõna „pahatahtlikud” fraasiga „selgelt liialdavad” ning esitada põhjenduses selle märkuse kohta täpsemad juhtnöörid. |
|
— |
Lisada uus säte, millega nõutakse, et vastutav töötleja teataks igale andmete saajale, kellele andmed on avalikustatud, mis tahes parandustest, kustutamistest või muutustest, mis on andmetes tehtud kas kooskõlas artikliga 15 või 16 või mitte, välja arvatud juhul kui see on võimatu või nõuab ebaproportsionaalset pingutust. |
|
— |
Artiklid 11 ja 13: lisada artikli 11 lõikesse 4 ja artikli 13 lõikesse 1 lause, milles sätestatakse, et vastutav töötleja peaks hindama, kas mõnest alusest lähtuvalt kehtivad kas osalised või kõik piirangud, iga erijuhtumi konkreetse ja individuaalse uurimise kaudu. Tagada artikli 11 lõike 5 ja artikli 13 lõike 2 reguleerimisala piiratud tõlgendamine. Jätta välja sõnad „esitamata jätmine” artikli 11 lõikes 4 ja põhjenduses 33. |
|
— |
Artiklid 15 ja 16: lisada aluseid ja tingimusi parandamise ja kustutamise õiguse piiramiseks. |
|
— |
Artikkel 16: kasutada artikli 16 lõikes 3 sõna „markeerib” asemel fraasi „piirab töötlemist”. Lisada artiklisse 16 vastutavale töötlejale kohustus teavitada andmesubjekti enne töötlemisega seotud piirangu kaotamist. |
IV peatükk. Vastutav töötleja ja volitatud töötleja
|
— |
Artikkel 18: märkida (ka artikli 4 punktis f), et dokumentatsiooni nõue tuleneb üldkohustusest olla suuteline tõestama vastavust direktiivile. Lisada nõue hoida teavet selle õigusliku aluse kohta, mille alusel andmeid edastatakse, esitades sisulise selgituse, eelkõige juhul, kui edastamine põhineb artiklil 35 või 36. |
|
— |
Artikkel 19: täpsustada märkust andmete „vaikimisi” töötlemise kohta. |
|
— |
Artikli 23 lõige 2: viia kooskõlla kavandatud määruse artikli 28 lõikega 2. |
|
— |
Artikkel 24: lisada andmete saajate identiteet. |
|
— |
Lisada uus säte, millega nõutakse pädevatelt asutustelt isikuandmete kaitse mõjuhindamise tegemist, välja arvatud juhul, kui isikuandmete kaitse mõjuhindamisega võrdne erihindamine on seadusandliku protsessi käigus juba tehtud. |
|
— |
Artikkel 26: viia paremini kooskõlla kavandatud määruse artikli 34 lõikes 2 sätestatud menetlustega. |
|
— |
Artikkel 30: käsitleda huvide konflikti küsimust ning sätestada minimaalne kaheaastane ametiaeg. |
|
— |
Artikkel 31: näha ette asjakohane halduskuuluvus, võttes nõuetekohaselt arvesse andmekaitseametniku sõltumatut rolli ning eesmärki vältida eelkõige kõrgetasemeliste vastutavate töötlejate ebavõrdseid suhteid või mõju. |
V peatükk. Edastamine kolmandatele riikidele
|
— |
Artikkel 33: lisada nõue, et edastamine võib toimuda üksnes juhul, kui kolmanda riigi vastutav töötleja või rahvusvaheline organisatsioon on pädev asutus direktiivi ettepaneku tähenduses. |
|
— |
Artikkel 35: jätta välja artikli 35 lõike 1 punkt b või vähemalt lisada järelevalveasutuse eelneva loa nõue. |
|
— |
Artikkel 36: selgitada põhjenduses, et mis tahes erandit, mida kasutatakse edastamise põhjendamiseks, tuleb tõlgendada piiratult ning see ei tohiks võimaldada sagedat, massilist ja struktuurset isikuandmete edastamist; isegi üksikjuhtumi raames ei tohiks lubada andmete hulgiedastamist ning seda tuleks piirata rangelt vajalike andmetega. Lisada täiendavaid kaitsemeetmeid, nagu kohustus edastamised konkreetselt dokumenteerida. |
|
— |
Artiklid 35 ja 36: lisada, et kui otsus ei kinnita piisava kaitsetaseme olemasolu, peaks edastamine põhinema i) artikli 35 lõike 1 punktil a, kui on olemas õiguslikult siduv rahvusvaheline kokkulepe, mis lubab andmeid edastada teatud tingimustel, tagades piisava kaitse, või ii) artikli 36 punktis a või c sätestatud eranditel. |
VI ja VII peatükk. Järelevalvemehhanismid
|
— |
Artikkel 44: esitada põhjenduses täpsemad juhtnöörid selle kohta, mida mõeldakse fraasiga „õigusliku pädevuse piires”. |
|
— |
Artikkel 46: viia järelevalveasutuste volitused seoses riiklike politseiasutustega kooskõlla määruse ettepanekus sätestatud volitustega. Viia artikli 46 punkt a kooskõlla määruse ettepaneku artikliga 53 ning asendada artikli 46 punktides a ja b sõna „näiteks” sõnaga „sealhulgas”. |
|
— |
Artikkel 47: lisada, et järelevalveasutuste iga-aastane tegevusaruanne tuleb esitada riigi parlamendile ja avalikustada. |
|
— |
Artikkel 48: lisada artiklisse 48 määruse ettepaneku artikli 55 lõiked 2–7. |
|
— |
Kaaluda vajadust tõhusama koostöömehhanismi järele ka direktiivi ettepaneku kohaldamisalas. |
(Lühiversioon. Arvamuse täistekst (inglise, prantsuse ja saksa keeles) on Euroopa Andmekaitseinspektori veebilehel http://www.edps.europa.eu)
Brüssel, 7. märts 2012
Euroopa Andmekaitseinspektor
Peter HUSTINX