4.2.2014   

ET

Euroopa Liidu Teataja

C 32/19

Euroopa andmekaitseinspektori arvamuse kokkuvõte, milles käsitletakse Euroopa Komisjoni ja liidu välisasjade ja julgeolekupoliitika kõrge esindaja ühisteatist „Euroopa Liidu küberjulgeoleku strateegia: avatud, ohutu ja turvaline küberruum” ning komisjoni direktiivi ettepanekut meetmete kohta, millega tagada võrgu- ja infoturbe ühtlaselt kõrge tase kogu Euroopa Liidus

(Arvamuse täistekst (inglise, prantsuse ja saksa keeles) on Euroopa andmekaitseinspektori veebilehel http://www.edps.europa.eu)

2014/C 32/10

1.   Sissejuhatus

1.1.   Konsulteerimine Euroopa andmekaitseinspektoriga

1.

7. veebruaril 2013 võtsid komisjon ja liidu välisasjade ja julgeolekupoliitika kõrge esindaja vastu Euroopa Parlamendile, nõukogule, Euroopa Majandus- ja Sotsiaalkomiteele ning Regioonide Komiteele suunatud ühisteatise „Euroopa Liidu küberjulgeoleku strateegia: avatud, ohutu ja turvaline küberruum” (1) (edaspidi „ühisteatis”, „küberjulgeoleku strateegia” või „strateegia”).

2.

Samal kuupäeval võttis komisjon vastu Euroopa Parlamendi ja nõukogu direktiivi ettepaneku meetmete kohta, millega tagada võrgu- ja infoturbe ühtlaselt kõrge tase kogu Euroopa Liidus (2) (edaspidi „kavandatud direktiiv” või „ettepanek”). Ettepanek saadeti Euroopa andmekaitseinspektorile konsulteerimiseks 7. veebruaril 2013.

3.

Euroopa andmekaitseinspektoril oli enne ühisteatise ja ettepaneku vastuvõtmist võimalus esitada komisjonile mitteametlikke märkusi. Tal on hea meel, et mõningaid tema märkusi on ühisteatises ja ettepanekus arvesse võetud.

4.   Järeldused

74.

Euroopa andmekaitseinspektoril on hea meel, et komisjon ja liidu välisasjade ja julgeolekupoliitika kõrge esindaja on esitanud põhjaliku küberjulgeoleku strateegia, mida täiendab direktiivi ettepanek meetmete kohta, millega tagatakse võrgu- ja infoturbe ühtlaselt kõrge tase kogu Euroopa Liidus. Strateegia täiendab ELis võrgu- ja infoturbe valdkonnas juba välja töötatud poliitikameetmeid.

75.

Euroopa andmekaitseinspektor on rahul sellega, et strateegia läheb kaugemale traditsioonilisest lähenemisest, milles turvalisus vastandatakse eraelu puutumatusele, ning et selles tunnistatakse sõnaselgelt eraelu puutumatust ja andmekaitset kui põhiväärtusi, millest tuleks ELi ja rahvusvahelises küberjulgeolekupoliitikas juhinduda. Euroopa andmekaitseinspektor märgib, et Euroopa küberjulgeoleku strateegia ja kavandatud võrgu- ja infoturbe direktiiv võivad mängida olulist rolli üksikisikute eraelu puutumatust ja isikuandmeid käsitlevate õiguste kaitse tagamisel veebikeskkonnas. Samal ajal tuleb hoolitseda selle eest, et need ei tekitaks meetmeid, mis esindaksid ebaseaduslikku sekkumist üksikisikute õigustesse seoses eraelu puutumatuse ja andmekaitsega.

76.

Euroopa andmekaitseinspektoril on hea meel ka selle üle, et andmekaitset nimetatakse strateegia mitmes osas ning et seda on arvesse võetud kavandatud võrgu- ja infoturbe direktiivis. Siiski ta kahetseb, et strateegias ja kavandatud direktiivis ei rõhutata rohkem kehtivate ja tulevaste andmekaitsealaste õigusaktide osakaalu julgeolekus ja et nendes ei suudeta täielikult tagada seda, et kõik kavandatud direktiivist või strateegia muudest elementidest tulenevad kohustused täiendaksid andmekaitsega seotud kohustusi ja et need ei kattuks ega oleks omavahel vastuolus.

77.

Lisaks märgib Euroopa andmekaitseinspektor, et kuna ei ole kaalutud komisjoni muid samaaegseid algatusi ega käimasolevaid õiguslikke menetlusi, nagu andmekaitsereformi ja e-identimise jaoks vajalike usaldusteenuste kavandatud määrust, ja neid ei ole täielikult arvesse võetud, ei suuda küberjulgeoleku strateegia esitada täielikult kõikehõlmavat ja terviklikku ülevaadet küberjulgeolekust ELis ning võib hoopis kinnistada killustatud ja valdkondlikku lähenemisviisi. Euroopa andmekaitseinspektor märgib lisaks, et kavandatud võrgu- ja infoturbe direktiiv ei võimalda veel samuti kõikehõlmavat lähenemist julgeolekule ELis ning et andmekaitse õigusaktides sätestatud kohustus on tõenäoliselt kõige ulatuslikum võrgu- ja infoturbealane kohustus ELi õiguses.

78.

Samuti kahetseb Euroopa andmekaitseinspektor, et andmekaitseasutuste olulist rolli julgeolekualaste kohustuste rakendamises ja jõustamises ning küberjulgeoleku tõhustamises ei ole nõuetekohaselt arvesse võetud.

79.

Küberjulgeoleku strateegiaga seoses rõhutab Euroopa andmekaitseinspektor järgmist:

eriti oluline on mõistete „küberturve”, „küberkuritegevus” ja „küberkaitse” selge määratlemine, sest neid termineid kasutatakse põhjendusena teatavate erimeetmete võtmiseks, millega võidakse sekkuda põhiõigustesse, sealhulgas eraelu puutumatusse ja andmekaitsesse. Ometi on „küberkuritegevus” nii strateegias kui ka küberkuritegevuse konventsioonis määratletud väga laialt. Soovitatav oleks esitada küberkuritegevuse selge ja pigem piiritlev kui üldistav määratlus;

andmekaitsealaseid õigusakte tuleks kohaldada strateegia kõikidele sellistele elementidele, mis on seotud isikuandmete töötlemist sisaldavate meetmetega. Kuigi andmekaitsealaseid õigusakte ei ole küberkuritegevust ja küberkaitset käsitlevates osades konkreetselt nimetatud, rõhutab Euroopa andmekaitseinspektor, et paljud neis valdkondades kavandatud meetmed hõlmavad isikuandmete töötlemist ning kuuluvad seetõttu kohaldatavate andmekaitsealaste õigusaktide reguleerimisalasse. Lisaks märgib ta, et paljud meetmed koosnevad koordineerimismehhanismide loomisest, milleks on vaja rakendada isikuandmete vahetamise viisidega seotud asjakohaseid andmekaitsemeetmeid;

andmekaitseasutustel on küberjulgeolekus oluline roll. Eraelu puutumatuse ja üksikisikute andmekaitseõiguste kaitsjatena osalevad andmekaitseasutused aktiivselt isikuandmete kaitses nii veebis kui ka veebiväliselt. Seepärast tuleks neid nende järelevalveasutuste pädevuse piires asjakohaselt kaasata selliste meetmete rakendamisel, mis hõlmavad isikuandmete töötlemist (nt ELi katseprojekti algatamine seoses robotivõrkude ja kurivara vastu võitlemisega). Muud küberjulgeoleku valdkonnas osalejad peaksid samuti tegema oma ülesannete täitmisel nendega koostööd, näiteks parimate tavade ja teadlikkuse suurendamise meetmete vahetamisel. Strateegia rakendamise edendamise hindamiseks tuleks Euroopa andmekaitseinspektor ja riiklikud andmekaitseasutused asjakohaselt kaasata 2014. aastal toimuvasse kõrgetasemelisse konverentsi.

80.

Kavandatud võrgu- ja infoturvet käsitleva direktiiviga seoses soovitab Euroopa andmekaitseinspektor seadusandjatele järgmist:

muuta artikli 3 lõikes 8 selgemaks ja kindlamaks ettepaneku reguleerimisalasse kuuluvate operaatorite määratlus ning luua ammendav loetelu, mis hõlmab kõiki asjakohaseid sidusrühmi, et tagada julgeolekule kogu ELis täielikult ühtlustatud ja integreeritud lähenemine;

selgitada artikli 1 lõike 2 punktis c, et kavandatud direktiivi kohaldatakse ELi institutsioonide ja asutuste suhtes, ning lisada ettepaneku artikli 1 lõikesse 5 viide määrusele (EÜ) nr 45/2001;

tunnistada ettepaneku horisontaalsemat rolli seoses julgeolekuga, sätestades sõnaselgelt artiklis 1, et seda tuleks kohaldada, piiramata seejuures kehtivaid või tulevasi üksikasjalikumaid eeskirju konkreetsetes valdkondades (näiteks need, mis sätestatakse kavandatavas e-identimist käsitlevas määruses usaldusteenuste pakkujate kohta);

lisada põhjendus, milles selgitatakse vajadust lõimida kavandatud ja ette nähtud isikuandmete kaitse põhimõtted ettepanekus sätestatud mehhanismide kavandamise varajasse etappi ning kaasatud protsesside, menetluste, korralduste, tehnikate ja taristute kogu elutsüklisse, võttes arvesse kavandatud andmekaitsemäärust;

selgitada artikli 3 lõikes 1 mõistet „võrk ja infosüsteem” ja artikli 3 lõikes 4 mõistet „intsident” ning asendada artikli 5 lõikes 2 kohustus kehtestada riski hindamise kava kohustusega luua ja hallata riskijuhtimisraamistikku;

täpsustada artikli 1 lõikes 6, et isikuandmete töötlemine oleks direktiivi 95/46/EÜ artikli 7 punkti e alusel õigustatud niivõrd, kuivõrd see on vajalik kavandatud direktiivi avalikke huve teenivate eesmärkide saavutamiseks. Siiski tuleb tagada vajalikkuse ja proportsionaalsuse põhimõtete nõuetekohane austamine, nii et hankida ja töödelda võib üksnes andmeid, mida on eesmärgi saavutamiseks väga vaja;

sätestada artiklis 14 tingimused, mille korral nõutakse teatamist, samuti teatise sisu ja vorm, sealhulgas isikuandmete liigid, mis tuleks teatada ja mis mitte, ning millises ulatuses sisaldavad teatis ja selle abidokumendid isikuandmete üksikasju, mida konkreetne julgeolekualane intsident mõjutab (nt IP-aadressid). Arvesse tuleb võtta asjaolu, et võrgu- ja infoturbe valdkonna pädevatel asutustel peaks olema lubatud koguda ja töödelda isikuandmeid julgeolekuga seotud intsidendi raames üksnes juhul, kui see on vältimatult vajalik. Ettepanekus tuleks sätestada ka asjakohased kaitsemeetmed, millega tagataks võrgu- ja infoturbe valdkonna pädevate asutuste töödeldavate andmete piisav kaitse;

selgitada artiklis 14, et intsidentidest teatamist vastavalt artikli 14 lõikele 2 tuleks kohaldada, piiramata rakendatavate andmekaitsealaste õigusaktidega kooskõlas olevaid isikuandmete rikkumisest teatamise kohustusi. Ettepanekus tuleks sätestada võrgu- ja infoturbe valdkonna pädevate asutuste ning andmekaitseasutuste koostöökorra põhiaspektid juhul, kui julgeolekuga seotud intsident hõlmab isikuandmete rikkumist;

muuta artikli 14 lõiget 8 nii, et mikroettevõtjate väljajätmine teatamiskohustuse kohaldamisalast ei kehti nendele ettevõtjatele, kellel on määrav roll infoühiskonna teenuste osutamises, näiteks töödeldava infoliigi (nt biomeerilised andmed või tundlikud andmed) tõttu;

lisada ettepanekusse sätted, millega reguleeritakse isikuandmete edasist edastamist võrgu- ja infoturbe valdkonna pädevatelt asutustelt teistele vastuvõtjatele tagamaks, et i) isikuandmeid avaldatakse üksnes neile vastuvõtjatele, kellepoolne töötlemine on vajalik nende ülesannete täitmiseks kooskõlas asjakohase õigusliku alusega; ii) selline teave piirdub sellega, mis on vajalik nende ülesannete täitmiseks. Arvesse tuleks võtta ka seda, kuidas tagavad eesmärgi piiritlemise põhimõtte järgimise teabevahetusvõrku andmeid esitavad üksused;

täpsustada kavandatud direktiivis sätestatud eesmärkide kohta isikuandmete säilitamise aeg, eelkõige seoses säilitamisega võrgu- ja infoturbe valdkonna pädevates asutustes ja koostöövõrgustiku turvalises taristus;

tuletada võrgu- ja infoturbe valdkonna pädevatele asutustele meelde nende kohustust esitada andmesubjektidele asjakohane teave isikuandmete töötlemise kohta, avaldades näiteks oma veebilehel privaatsuspoliitika;

lisada säte seoses turbetasemega, mida võrgu- ja infoturbe valdkonna pädevad asutused peavad kogutud, töödeldud ja vahetatud teabe suhtes järgima. Kindlasti tuleks seoses isikuandmete kaitsega võrgu- ja infoturbe valdkonna pädevates asutustes lisada viide direktiivi 95/46/EÜ artikli 17 turvanõuetele;

selgitada artikli 9 lõikes 2, et kriteeriumid liikmesriikide osalemiseks turvalises teabevahetussüsteemis peaksid tagama selle, et kõik teabevahetussüsteemides osalejad tagavad kõikides töötlemisetappides julgeoleku ja küberturbe kõrge taseme. Sellised kriteeriumid peaksid hõlmama asjakohaseid konfidentsiaalsus- ja turvameetmeid kooskõlas direktiivi 95/46/EÜ artiklitega 16 ja 17 ning määruse (EÜ) nr 45/2001 artiklitega 21 ja 22. Selliste kriteeriumide siduvus komisjonile tuleks selgelt sõnastada seoses komisjoni osalemisega vastutava töötlejana turvalises teabevahetussüsteemis;

kirjeldada artiklis 9, millised on komisjoni ja liikmesriikide ülesanded ja kohustused turvalise teabevahetussüsteemi loomisel, toimimisel ja haldamisel, ning sätestada, et süsteem tuleks kavandada kooskõlas lõimitud isikuandmete kaitse ja turvalisuse ning ette nähtud isikuandmete kaitse põhimõtetega;

lisada artiklisse 13, et isikuandmete mis tahes edastamine vastuvõtjatele, kes asuvad ELi-välistes riikides, peaks toimuma kooskõlas direktiivi 95/46/EÜ artiklitega 25 ja 26 ning määruse (EÜ) nr 45/2001 artikliga 9.

Brüssel, 14. juuni 2013

Euroopa Andmekaitseinspektor

Peter HUSTINX

(1)  JOIN(2013) 1 (final).

(2)  COM(2013) 48 (final).