28.4.2007   

ET

Euroopa Liidu Teataja

C 94/3

1.

Euroopa Parlamendi ja nõukogu määruse ettepanekul, millega muudetakse nõukogu määrust (EÜ) nr 515/97 liikmesriikide haldusasutuste vastastikusest abist ning haldusasutuste ja komisjoni vahelisest koostööst tolli- ja põllumajandusküsimusi käsitlevate õigusaktide nõutava kohaldamise tagamiseks (3), on kaks eesmärki. Ühest küljest taotleb ettepanek olemasoleva nõukogu 13. märts 1997 aasta määruse (EÜ) nr 515/97 kooskõlla viimist ühenduse uute volitustega ühenduse tollikoostöö valdkonnas. Teisest küljest taotleb ettepanek liikmesriikide vahelise ning liikmesriikide ja komisjoni vahelise koostöö ja teabevahetuse tugevdamist.

2.

Nende kahe eesmärgi saavutamiseks suurendab ettepanek muuhulgas olemasoleva tolliinfosüsteemi (TIS) kasutusvõimalusi ja loob täiendava Euroopa andmehoidla, miskajastab konteinerite ja/või transpordivahendite nagu ka asjassepuutuvate kaupade ja isikute liikumist (Euroopa andmehoidla).

3.

Lisaks toob ettepanek ühenduse õigusesse tolli uurimisjuhtumite andmebaasi (FIDE), mis loodi algselt liikmesriikide poolt vastavalt Euroopa Liidu lepingu VI jaotisele. (4) Nüüdsest kuulub FIDE nii Euroopa Ühenduse tegevuste raamistikku kui ka kolmanda samba alla ning igas olukorras reguleerib FIDE toimimist vastav õigusakt. Sama kehtib TISi kohta (5). Praktikas saavutatakse see kahe andmebaasi loomisega, mis tehakse kättesaadavaks erinevatele isikutele, et tagada nende kasutamine erinevatel eesmärkidel (esimene ja kolmas sammas).

4.

Komisjon saatis ettepaneku Euroopa andmekaitseinspektorile Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määruse 45/2001 (üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta (edaspidi määrus (EÜ) nr 45/2001)) artikli 28 lõike 2 kohase arvamuse saamiseks. Euroopa andmekaitseinspektor sai nimetatud taotluse kätte 4. jaanuaril 2007.

5.

Silmas pidades määruse (EÜ) nr 45/2001 artikli 28 lõike 2 kohustuslikkust, tuleks viide käesolevale konsulteerimisele esitada ettepaneku preambulis põhjenduste ees. Selleks soovitab Euroopa andmekaitseinspektor tema arvamustele (6) viitamisel korrata teistes õigusloomealastes ettepanekutes kasutatud sõnastust järgneval kujul: “Pärast konsulteerimist Euroopa andmekaitseinspektoriga”.

6.

Ühenduse koostöö tugevdamiseks mõeldud erinevate vahendite, st TISi, FIDESi ja Euroopa andmehoidla loomine ja täiendamine toob endaga kaasa liikmesriikide haldusasutuste ning mõningatel juhtudel ka kolmandate riikide poolt algselt kogutud ja nendega vahetatud isikuandmete osakaalu tõusu. Töödeldud ja jagatud isikuandmed võivad sisaldada teavet üksikisikute väidetava või tõestatud osaluse kohta tolli- või põllumajandusvaldkonna väärtegudes. Mis puutub isikuandmete kaitsesse, siis sellest seisukohast on ettepanekul oluline mõju. Selle tähtsus suureneb veelgi, kui arvestada kogutud ja jagatud andmete laadi, iseäranis üksikisikute kahtlustamist seotuses väärtegudega ning töötlemise üldist lõplikkust ja tulemust.

7.

Arvestades ettepaneku mõju isikuandmete kaitsele, peab Euroopa andmekaitseinspektor vajalikuks esitada käesolev arvamus, mis analüüsib ettepaneku mõju üksikisikute õiguste ja vabaduste kaitsele seoses isikuandmete töötlemisega.

8.

Andmekaitse seisukohast tähtsust omavad ettepaneku peamised elemendid on järgmised: i) Euroopa andmehoidla loomine (artiklid 18a ja 18b); ii) sätted, mis täiendavad TISi puudutavaid reegleid (artiklid 23 kuni 37), ja (iii) reeglid, mis kehtestavad FIDE ühenduse andmebaasina (artiklid 41a kuni 41d). Samuti on tähtsad mitmed teised, sealhulgas andmekaitse järelevalvet puudutavad sätted, mida on muudetud määruse (EÜ) nr 45/2001 vastuvõtmisega arvestamiseks (artiklid 37, 42 ja 43).

9.

Euroopa andmekaitseinspektor tuletab meelde, et tema eelmine arvamus, mis puudutas määruse ettepanekut vastastikuse haldusabi kohta ühenduse halduse kaitseks kelmuste ja muu ebaseadusliku tegevuse vastu (7), pööras tähelepanu vajadusele kohandada mõnesid nõukogu määruse (EÜ) nr 515/97 sätteid, et viia see kooskõlla ELi institutsioonidele kehtiva uue andmekaitset puudutava seadusandlusega, nimelt määrusega (EÜ) nr 45/2001. Euroopa andmekaitseinspektor on seega rahul ettepaneku muudatustega selles suunas.

10.

Lisaks on Euroopa andmekaitseinspektoril rõõm näha, et sätted, millega luuakse Euroopa andmehoidla, ning sätted, millega täiendatakse TISi reegleid, sisaldavad üksikisikute isikuandmete ja privaatsuse kaitse tagamiseks mõeldud kaitsemeetmeid. Euroopa andmekaitseinspektor tervitab ka otsust tuua FIDES ühenduse õiguse, st määruse (EÜ) nr 45/2001 reguleerimisalase.

11.

Euroopa andmekaitseinspektor mõistab ettepanekuga taotletavate eesmärkide tähtsust, eriti eesmärki tugevdada koostööd nii liikmesriikide kui ka liikmesriikide ja komisjoni vahel. Ta tunnistab ka vajadust kehtestada uusi ja täiendada olemasolevaid vahendeid, nagu TIS ja FIDE, et neid eesmärke saavutada. Lisaks on Euroopa andmekaitseinspektoril rõõm näha, et selle püüdluse elluviimisel on lisatud ettepanekusse andmekaitsealased kaitsemeetmed, mis arvestavad ELi institutsioonidele praegu kehtivat andmekaitsealast seadusandlust. Euroopa andmekaitseinspektor märgib aga, et on ruumi parandusteks, et kindlustada ettepaneku üldine ühildumine olemasoleva andmekaitset ja üksikisikute isikuandmete tõhusat kaitset puudutava seadusandliku raamistikuga. Sel eesmärgil esitab Euroopa andmekaitseinspektor järgnevalt toodud kommentaarid ja soovitused.

12.

Vastavalt ettepaneku artikli 18a lõikele 1 loob komisjon Euroopa andmehoidla ja haldab seda eesmärgiga “tuvastada kaubasaadetisi, mis võivad olla seotud tolli- või põllumajandusalaste õigusaktidega vastuolus oleva tegevusega, ja/või selliseks tegevuseks kasutatavaid transpordivahendeid”. Komisjon saab enamiku teabest avalik- või eraõiguslikelt teenusepakkujatelt, kes on aktiivsed rahvusvahelises logistikas või kaubavedudes. Hoidlat võib täiendada “teiste andmeallikate abil” vastavalt endisele artikli 18a lõike 2 punktile b. Artikli 18a lõikes 3 on toodud andmed, mida võib hoidlasse lisada, sealhulgas vastavate isikuandmete nimekiri. (8) Komisjon teeb hoidlas sisalduvad andmed kättesaadavaks liikmesriikide pädevatele asutustele.

13.

Ettepanek kinnitab, et hoidla loomine on vajalik tuvastamaks niisuguseid tegevusi, mille puhul võib kahtlustada tolli- ja põllumajandusalaste õigusaktide rikkumisi. Euroopa andmekaitseinspektor on aga seisukohal, et iga kord, kui luuakse isikuandmeid sisaldav keskandmebaas, peab vajadust sellise andmebaasi järele õigesti ja hoolikalt hindama ning kui andmebaas on valmis, peab andmekaitsepõhimõtteid arvestades rakendama spetsiifilisi kaitsemeetmeid. Eesmärk on seejuures vältida mistahes tulemusi, mis võiksid lubamatult mõjutada isikuandmete kaitset.

14.

Euroopa andmekaitseinspektor on seisukohal, et ettepanek ei esita piisavaid argumente, mis toetaks vajadust hoidla loomise järele. Et tagada vaid tõeliselt vajalike andmebaaside loomine, kutsub Euroopa andmekaitseinspektor komisjoni üles läbi viima hoidla loomise vajalikkuse nõuetekohast hindamist ning oma järeldustest teada andma.

15.

Mis puudutab andmekaitsealaseid kaitsemeetmeid, siis märgib andmekaitseinspektor, et ettepanek pakub teatud kaitsemeetmeid, kuid samas peab ta vajalikuks lisameetmeid.

16.

Euroopa andmekaitseinspektor märgib, et arvestades asjaolu, et komisjon loob Euroopa andmehoidla ja haldab seda ning et hoidla sisaldab isikuandmeid, kehtib hoidla suhtes kindlasti määrus (EÜ) nr 45/2001 üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta. Seega peab komisjon hoidla vastutava andmetöötlejana (9) tagama käesoleva määruse kõigi sätete järgimise.

17.

Kuna eeltoodut silmas pidades kehtib määrus (EÜ) nr 45/2001 iseenesest hoidla loomise ja haldamise suhtes, peab Euroopa andmekaitseinspektor järjepidevuse seisukohalt asjakohaseks uue lõigu lisamist, mis pööraks tähelepanu määruse kohaldamisele. Euroopa andmekaitseinspektor märgib tõesti, et ettepaneku artiklis 34, mis käsitleb tolliinfosüsteemi (TIS) ja tolli uurimisjuhtumite andmebaasi (FIDE), sisaldub säte, mis pöörab tähelepanu määruse (EÜ) nr 45/2001 kohaldamisele. Lisada tuleks sarnane hoidlat käsitlev säte, et olla selle lähenemisega kooskõlas. Sellega seoses soovitab Euroopa andmekaitseinspektor lisada artikli 18 lõikele 1 uus lõik, mis kasutaks artiklile 34 sarnanevat sõnastust järgneval kujul: “Komisjon käsitab Euroopa andmehoidlat isikuandmete töötlemise süsteemina, mille suhtes kohaldatakse määrust (EÜ) nr 45/2001”.

18.

Euroopa andmekaitseinspektor märgib, et ettepaneku artikli 18a lõike 2 punkt b kinnitab määruse (EÜ) nr 45/2001 kohaldamist hoidla “ teatud kasutusalade suhtes, täpsemalt juhul, kui komisjon kasutab hoidlat andmete võrdlemiseks ning vastandamiseks … indekseerimiseks, täiendamiseks …”. Kui puudub üldine säte, mis kinnitaks määruse (EÜ) nr 45/2001 kohaldamist hoidla suhtes tervikuna, kaasa arvatud töötlemistoimingute suhtes hoidla loomisest selle haldamiseni, võib pidada iga teist tegevust/etappi, mida ei ole artikli 18a lõike 2 punktis b konkreetselt nimetatud, määruse (EÜ) nr 45/2001 kohaldamisalasse mittekuuluvaks. See on järjekordne põhjus, mis toetab eespool toodud sõnastuse sisseviimist.

19.

Euroopa andmekaitseinspektor tuletab meelde, et komisjon on määruse (EÜ) nr 45/2001 alusel muuhulgas kohustatud teavitama üksikisikuid, kelle nimi on hoidlasse lisatud, nime hoidlasse lisamise faktist. (10) Eriti tuleb meeles pidada seda, et selline õigus kehtib isegi siis, kui hoidlasse sisestatud isikuandmed koguti avalikest allikatest. Võttes arvesse hoidla eesmärki, on komisjon seotud veel ka määruse 45/2001 artikliga 27, mille kohaselt peab Euroopa andmekaitseinspektor teostama enne süsteemi rakendamist selle eelkontrolli. (11)

20.

Ettepaneku artikli 18a lõike 2 punkti c kohaselt on komisjonil õigus edastada andmeid liikmesriikide pädevatele asutustele. Euroopa andmekaitseinspektor märgib, et kuna sellist edastamist reguleerib määrus (EÜ) nr 45/2001, kehtib liikmesriikide asutuste poolse andmete edasise kasutamise suhtes 24. oktoobri 1995. aasta direktiiv 95/46/EÜ. Kuna artikli 18a lõike 2 punkt c näib soovivat seda mõtet edasi anda, nagu on kirjeldatud allpool, võiks selle sätte sõnastust mõtteselguse huvides parandada.

21.

Artikli 18a lõike 2 punkt c ütleb: “Andmehoidla haldamise raames on komisjonil õigus: […] c) edastada nimetatud hoidla andmeid artikli 1 lõikes 1 osutatud pädevatele asutustele üksnes käesoleva määruse eesmärkide saavutamiseks ning tingimusel, et seejuures ei rikuta direktiivi 95/46/EÜ riiklikke rakendussätteid.” Euroopa andmekaitseinspektori hinnangul ei kajasta artikli 18a lõike 2 punkt c korrektselt mõtet, et isikuandmete edasist kasutamist liikmesriikide asutuste poolt reguleerivad direktiivi 95/46/EÜ riiklikud rakendussätted. Et seda mõtet selgemalt väljendada, tuleks Euroopa andmekaitseinspektori hinnangul muuta artikli 18a lõike 2 punkti c lõpposa järgnevalt: “… üksnes käesoleva määruse eesmärkide saavutamiseks. Isikuandmete edasist kasutamist nende asutuste poolt reguleerivad direktiivi 95/46/EÜ riiklikud rakendussätted”. Igal juhul peab selline edasine kasutamine riiklikul tasandil olemakooskõlas eesmärgiga, milleks komisjon on andmed kättesaadavaks teinud, välja arvatud juhul, kui on täidetud eritingimused (vaata direktiivi 95/46/EÜ artikli 6 lõike 1 punkti b ja artikli 13 lõiget 1).

22.

Euroopa andmekaitseinspektor toetab ettepaneku artikli 18 lõikes 4 esitatud lähenemist piiritleda komisjonis ametkonnad, kellel on volitus Euroopa andmehoidlas sisalduvate isikuandmete töötlemiseks. See on kooskõlas määruse (EÜ) nr 45/2001 artikliga 22, mille kohaselt peavad vastutavad andmetöötlejad muuhulgas rakendama tehnilisi ja organisatsioonilisi meetmeid, näiteks kindlustama teabe kättesaadavuse teadmisvajaduse põhimõttel, et tagada piisav turvalisuse tase.

23.

Artikli 18 lõike 4 viimane lõik sätestab, et isikuandmed, mis ei ole vajalikud eesmärgil, milleks need koguti, muudetakse anonüümseks. Lõik jätkub nõudega, mille kohaselt ei või andmeid säilitada kauem kui üks aasta. Euroopa andmekaitseinspektor tervitab kohustust, mis on kooskõlas määruse artikli 4 lõike 1 punktiga e, mis täpsustab, et isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte identifitseerida ainult seni, kuni see on vajalik seoses andmete kogumise või hilisema töötlemise eesmärkidega.

24.

Vastavalt määruse (EÜ) nr 45/2001 artiklile 22 peab hoidla olema piisavalt kaitstud. Hoidla optimaalse kaitsetaseme tagamine kujutab endast andmebaasis hoitavate isikuandmete kaitse põhinõuet. Kui tolliinfosüsteemi reguleerivad sätted näevad ette spetsiifiliste kaitsemeetmete rakendamist, siis Euroopa andmehoidla osas ettepanek vaikib. Euroopa andmekaitseinspektor on arvamusel, et hoidlat puudutavad turvaküsimused peaksid olema reguleeritud täiendavate haldusreeglitega, mis sätestaksid teabe salastatuse tagavad erimeetmed. Nende reeglite kehtestamisel tuleks Euroopa andmekaitseinspektoriga konsulteerida.

25.

Nõukogu määruse (EÜ) nr 515/97 artiklid 23–41 esitavad sätted, millega luuakse tolliinfosüsteem: komisjoni hallatav andmebaas, mis on kättesaadav liikmesriikidele ja komisjonile ning mille eesmärk on abistada neid tolli- ja põllumajandusalaseid õigusakte rikkuva tegevuse ennetamisel, uurimisel ja sellega seotud süüdistuste esitamisel.

26.

Ettepanekus on muudetud mõnesid TISi toimimist ja kasutamist reguleerivaid esialgseid sätteid. Eriti artikkel 25 on laiendanud TISis hoitavate isikuandmete kategooriaid ning artikkel 27 on laiendanud TISis hoitavate isikuandmete võimalike kasutusalade nimekirja, lisades tegevusanalüüsi, mis võimaldab muuhulgas “hinnata andmeallika ja andmete usaldatavust”, “esitada leide, soovitusi (...) tuvastada tegevusi ja/või füüsilisi või juriidilisi isikuid”. Lisaks loob artikli 35 lõige 3 võimaluse kopeerida TISi sisu teistesse andmetöötlussüsteemidesse, et osaleda “riskiohjamissüsteemides, mida kasutataksetollikontrolli suunamiseks riigi tasandil, või tegevusanalüüsisüsteemides, mida kasutatakse koordinatsioonitegevuse suunamiseks ühenduse tasandil”.

27.

Ettepaneku kohaselt on eespool nimetatud lisakasutusalad vajalikud tolli- või põllumajandusalaste õigusaktidega vastuolus oleva tegevuse tuvastamiseks ja sellega seotud süüdistuste esitamiseks. Ehkki Euroopa andmekaitseinspektor ei vaidlusta sellise vajaduse olemasolu, on ta seisukohal, et komisjoni ettepanek oleks pidanud andma sellise vajaduse toetamiseks üksikasjalikumat teavet ning mõjuvamaid põhjusi.

28.

Euroopa andmekaitseinspektoril on heameel näha, et eespool nimetatud muudatustele on lisandunud andmekaitsealased kaitsemeetmed. Ettepanek on tõepoolest säilitanud suletud nimekirja isikuandmetest, mida võib TISi lisada (vastavalt endisele artikli 25 lõikele 1), ning ainult juhtudel, kui on “kaalukaid tõendeid”, et asjaomane isik on sooritanud või kavatseb sooritada õigusakte rikkuvaid tegusid (vastavalt endisele artikli 27 lõikele 2). Lisaks ei või vastavalt endisele artikli 25 lõikele 3 sisestada TISi tundlikke andmeid (12). Lisaks on artikli 35 lõige 3 piiranud isikute ringi, kellel on volitus TISi sisu samas artiklis toodud eesmärkidel kopeerida, ning aega, mille jooksul võib TISist kopeeritud andmeid säilitada. Need meetmed on kooskõlas määruse (EÜ) nr 45/2001 artiklis 4 sätestatud andmete kvaliteedi põhimõttega.

29.

Ettepaneku artiklis 34 on arvestatud ühenduse institutsioonides ja asutustes isikuandmete töötlemist reguleeriva määruse (EÜ) nr 45/2001 vastuvõtmisega. Seega peab komisjon arvestama, et määrus (EÜ) nr 45/2001 kehtib TISi kohta. Euroopa andmekaitseinspektor kinnitab, et võttes arvesse asjaolu, et TISis sisalduvad isikuandmed ning et komisjonil on juurdepääs andmebaasile, mille osas ta täidab vastutava andmetöötleja rolli, kehtib määrus (EÜ) nr 45/2001 TISi suhtes igal juhul.. Euroopa andmekaitseinspektor tervitab seega muudatust, mis peegeldab andmekaitse kehtivat õigusraamistikku.

30.

Euroopa andmekaitseinspektor tuletab meelde, et määruse (EÜ) nr 45/2001 artikli 27 kohaldamise tulemusena ning arvestades, et TISi eesmärke võidakse pidada andmesubjekti õigustele ja vabadustele erilist ohtu kujutavateks, peab Euroopa andmekaitseinspektor süsteemi eelnevalt kontrollima.

31.

Lisaks määruse (EÜ) nr 45/2001 kohaldamisele säilitab ettepaneku artikkel 34 direktiivi 95/46/EÜ riiklike rakendussätete samaaegse kohaldamise. Euroopa andmekaitseinspektor peab seda õigeks lähenemiseks seni, kuni liikmesriikide asutustel on juurdepääs TISile ning pädevus TISi andmeid lisada ning selles sisalduvaid andmeid töödelda. Kokkuvõttes on Euroopa andmekaitseinspektor arvamusel, et järelevalve TISi üle on jagatud komisjoni ja liikmesriikide vahel ning need mõlemad täidavad TISi puhul vastutava andmetöötleja rolli.

32.

Määruse (EÜ) nr 45/2001 kohaldamise tulemusel vastutab Euroopa andmekaitseinspektor TISi osas määruse kohaldamise tagamise eest. Kui ettepaneku mõned artiklid käsitlevad Euroopa andmekaitseinspektori pädevusi, siis teistes neid pädevusi ei käsitleta. Eriti avaldab Euroopa andmekaitseinspektor kahetsust, et mõnesid artiklis 37 esitatud järelevalvet käsitlevaid osasid ei ole vastavalt muudetud ning kutsub seadusandjaid üles sisse viima järgnevalt kirjeldatud muudatusi.

33.

Euroopa andmekaitseinspektor märgib, et artikli 37 lõige 1 konkreetselt tunnustab liikmesriikide asutuste pädevust järelevalvel TISi üle. Artikli 37 lõige 1 ei maini aga Euroopa andmekaitseinspektori samasugust pädevust vastavalt määrusele (EÜ) nr 45/2001. See probleem ilmneb ka artikli 37 lõikes 3, mida pole ettepanekuga muudetud. Artikli 37 lõige 3 ütleb: “Komisjon võtab oma talitustes kõik meetmed tagamaks isikuandmete kaitse järelevalve , mis võimaldab lõikest 1 tuleneva kaitsega võrdväärse turvalisuse taseme…”. Teisisõnu jätab artikli 37 lõige 1 järelevalve andmekaitse üle “komisjonile”. Ilmselgelt oleks pidanud seda artiklit muutma, et see väljendaks Euroopa andmekaitseinspektori uut järelevalverolli. Praegusel kujul ei ole artikli 37 lõikel 3 mingit mõtet. Selle probleemi lahendamiseks peaks artiklit 37 lõiget 3 muutma järgmiselt: “Euroopa andmekaitseinspektor teostab järelevalvet TISi vastavuse üle määrusele (EÜ) nr 45/2001”.

34.

Enamgi veel, kuna TISi ei reguleeri vaid määrus (EÜ) nr 45/2001, aga ka direktiivi 95/46/EÜ riiklikud rakendussätted, langeb järelevalve TISi üle nii Euroopa andmekaitseinspektorile kui ka riiklikele andmekaitseasutustele. Lõpuks peaks riiklike järelevalveasutuste ja Euroopaandmekaitseinspektori järelevalvealane tegevus olema teatud ulatuses kooskõlastatud, et tagada piisav järjepidevus ja üldine tõhusus. Nagu on öeldud Euroopa andmekaitseinspektori eelmistes arvamustes seoses ELi liikmesriikide ja Euroopa andmekaitseinspektori järelevalve all olevate andmebaasidega, on määruse rakendamist vaja ühtlustada ning töötada välja ühine lähenemisviis ühistele probleemidele (13).

35.

Kahjuks ei paku ettepanek välja kooskõlastamisprotseduuri Euroopa andmekaitseinspektori ja riiklike andmekaitseasutuste vahelise koostöö struktureerimiseks ja parandamiseks. Selle probleemi lahendamiseks soovitab Euroopa andmekaitseinspektor esimese võimalusena täiendada artiklit 37 uue lõiguga, mis käsitleb järelevalvet andmekaitse üle: “Euroopa andmekaitseinspektor korraldab vähemalt kord aastas kõigi riiklike järelevalveasutuste nõupidamise, et arutleda TISi järelevalvega seotud teemade üle. Riiklike andmekaitseasutuste liikmetele ja Euroopa andmekaitseinspektorile viidatakse kui järelevalveasutustele”.

36.

Parem lahendus peegeldamaks mitmetasandilist lähenemist järelevalvele, mida mainiti eespool, oleks jagada järelevalvet käsitlevad sätted (artikkel 37) mitmeteks säteteks, millest igaüks oleks pühendatud järelevalve vastavale tasemele, nagu on korrektselt tehtud hiljuti vastuvõetud õigusaktides, millega kehtestatakse Schengeni infosüsteem (SIS II). Täpsemalt, Euroopa Parlamendi ja nõukogu 20. detsembri 2006. aasta määruse (EÜ) nr 1987/2006, mis käsitleb teise põlvkonna Schengeni infosüsteemi (SIS II) loomist, toimimist ja kasutamist, (14) artiklid 44–46 näevad ette riikliku ja Euroopa taseme vahel jagatud hästitasakaalustatud järelevalvesüsteemi ning mõlema kooskõlastamise. Euroopa andmekaitseinspektor soovitab tungivalt TISi jaoks sama järelevalvesüsteemi kehtestamist (mõnede väikeste muudatustega). Mis puudutab järelevalve struktuuri, siis on TIS ja SIS II tõepoolest suurel määral võrreldavad.

37.

Artikli 43 lõige 5 näeb ette, et artikli 43 lõikes 1 viidatud komitee ad hoc koosseis (edaspidi “ad hoc komitee”) kohtub regulaarselt, et uurida TISiga seotud andmekaitseprobleeme. Euroopa andmekaitseinspektori hinnangul ei tuleks pidada seda ad hoc komiteed kohaseks organiks järelevalve teostamisel TISi üle, kuna see pädevus kuulub täielikult liikmesriikide asutustele ning Euroopa andmekaitseinspektorile. Artikli 43 lõikes 5 sätestatud ad hoc koosseis on tegelikult “komitoloogiakomitee”.

38.

Euroopa andmekaitseinspektori hinnangul on ad hoc komitee aga sobiv foorum TISi toimimisega seotud andmekaitseprobleemide arutamiseks. Sel eesmärgil soovitab Euroopa andmekaitseinspektor artikli 43 lõike 5 järgmiselt ümber sõnastada, et väljendada ad hoc komitee ülesandeid ja rolli nimetatud artiklis: “Komitee koos artiklis … viidatud järelevalvegrupiga uurib kõiki TISi toimimisega seotud probleeme, millega järelevalveasutused kokku puutuvad. Komitee tuleb ad hoc koosseisus kokku vähemalt kord aastas.”

39.

Euroopa andmekaitseinspektor soovib ühtlasi juhtida seadusandja tähelepanu veel ühele TISi ja SIS II süsteemide ühisele tunnusjoonele: need mõlemad toimivad nii esimese kui kolmanda samba all, mis tähendab kummagi süsteemi puhul kahte erinevat õiguslikku alust. Kolmanda samba TISi reguleerib käesoleva arvamuse punktis 3 nimetatud konventsioon. Sellel on mitu tagajärge, sealhulgas seoses järelevalve struktuuriga: esimese samba TISi üle teostavad järelevalvet Euroopa andmekaitseinspektor ning riiklikud andmekaitseasutused, kolmanda samba osa üle teostab järelevalvet aga ühine järelevalveasutus (millesse kuuluvad samade riiklike asutuste esindajad). Tulemuseks on üsna kohmakas järelevalvesüsteem, mis võib viia vastuoludeni ja olla üsna ebatõhus. Siin ilmnevad sellise keerulise õiguskeskkonnaga seotud raskused.

40.

Tasub märkida, et SIS II kontekstis on Euroopa seadusandja valinud järelevalvemudeli ratsionaliseerimise, kasutades eespool kirjeldatud sama mitmetasandilist mudelit nii süsteemi esimese kui ka kolmanda samba keskkondades. See on kindlasti kaalumist vääriv lähenemine ning Euroopa andmekaitseinspektor soovitab edasi uurida võimalusi, mida see pakuks paremaks ning sisukamaks järelevalveks.

41.

Ettepaneku kohased üksikisikute andmekaitsega seotud õigused, eriti andmetele juurdepääsu õigus, on sätestatud artiklites 36 ja 37, mida on ettepanekuga osaliselt muudetud. Euroopa andmekaitseinspektor sooviks käsitleda järgmist kolme teemat, mis on seotud andmetele juurdepääsu õigusega: i) ettepaneku endise artikli 36 lõike 1 kohaselt kohaldatav seadus; ii) ettepaneku endise artikli 36 lõike 2 kohaselt kehtivad piirangud andmetele juurdepääsu õigusele ning iii) ettepaneku endise artikli 37 lõike 2 kohane protseduur üksikisikutele taotluste esitamiseks juurdepääsuks andmetele.

42.

Kohaldatav seadus : Artikli 36 lõige 1, mida ettepanek ei puuduta, tunnustab möödaminnes üksikisikute andmekaitsega seotud õiguste rakendamist ning sätestab, et andmetele juurdepääsu õigust reguleerivad liikmesriikide õigusnormid või komisjoni suhtes kohaldatavad andmekaitseeeskirjad vastavalt sellele, kas selliseid õigusi kasutatakse liikmesriikides või ELi institutsioonides. See kriteerium kordab seda, mida öeldi eespool ettepaneku artikli 34 kohta, nimelt, et komisjon ja liikmesriigid jagavad TISi vastutava andmetöötleja rolli. Euroopa andmekaitseinspektor nõustub selle lähenemisega ning on rõõmus, et ettepanekus on säilitatud artikli 36 lõike 1 sõnastus. Igal juhul on selge, et nimetatud säte viitab otseselt direktiivi 95/46/EÜ ja määruse (EÜ) nr 45/2001 vastavatele riiklikele rakendussätetele. Igal konkreetsel juhul kohaldatav seadus sõltub õiguste kasutamise kohast.

43.

Andmetele juurdepääsu õiguse piirangud : Artikli 36 lõike 2 teine lõik sätestab, et “juurdepääsu ei lubata ajal, mil toimub vaatlus, aruanne, tegevusanalüüs või uurimine”. Järgnevalt esitatud põhjustel pooldaks Euroopa andmekaitseinspektor muudatust sõnastuses: “juurdepääsu võidakse mitte lubada ”(võrdle: “juurdepääsu ei lubata”).

44.

Määruse (EÜ) nr 45/2001 alusel on üksikisikutel üldpõhimõttena juurdepääsu õigus oma isikuandmetele. Määruse (EÜ) nr 45/2001 artikkel 20 aga tunnistab, et sellist õigust võib piirata, kui esineb üks piirangut õigustavatest eritingimustest. Teisisõnu on üksikisikutel põhimõtteliselt andmetele juurdepääsu õigus, kuid juurdepääsu võib piirata. Seevastu artikli 36 lõike 2 sõnastus “juurdepääsu ei lubata” ei jäta hindamisruumi, kas juurdepääsu võib lubada või mitte. Sisuliselt tähendab see, et üksikisikutel ei ole teatud ajavahemikul sellist õigust. Puudub põhjus, miks määruse (EÜ) nr 45/2001 üldine lähenemisviis ei peaks sellises olukorras sobima, eriti kui artikkel 20 võimaldab juurdepääsuõiguse piiramist artikli 36 lõikes 2 ettenähtud ajavahemikul. Kui komisjon tõesti soovib juurdepääsu keelata, võib ta kasutada artiklit 20, mille põhjal saab juurdepääsu keelata uurimise huvides.

45.

Euroopa andmekaitseinspektor on seisukohal, et ettepanek tuleks formuleerida samas võtmes kui määrus (EÜ) nr 45/2001. Vastupidine oleks vastuolus üldise raamistikuga, mis näeb ette juurdepääsuõiguse määruse (EÜ) nr 45/2001 alusel. Probleemi saaks lahendada lihtsalt asendades fraasi “juurdepääsu ei lubata ”fraasiga “juurdepääsu võidakse mitte lubada”.

46.

Protseduur üksikisikutele taotluste esitamiseks juurdepääsuks andmetele : Ettepanekuga on muudetud määruse (EÜ) nr 515/97 vana artikli 37 lõiget 2, mis käsitles protseduuri taotluste esitamiseks, et saada teavet, kas TIS sisaldab üksikisikuga seotud isikuandmeid. Uus artikli 37 lõige 2 tunnistab üksikisikute võimalust esitada juurdepääsutaotlusi nii Euroopa andmekaitseinspektorile kui ka riiklikele järelevalveasutustele sõltuvalt sellest, kas andmed lisati TISi komisjoni või liikmesriigi poolt.

47.

Euroopa andmekaitseinspektor tervitab asjaolu, et muudatus viib protseduuri enam kooskõlla andmekaitse praeguse õigusliku raamistikuga. Järgmistel põhjustel on Euroopa andmekaitseinspektor aga siiski seisukohal, et liikmesriikide ja komisjoni pädevus ei peaks sõltuma asutusest, kes on andmed TISi sisestanud. Euroopa andmekaitseinspektor märgib, et esiteks üksikisikud tõenäoliselt ei tea, kas andmed on andmed TISi sisestanud komisjon või liikmesriik. Seetõttu ei tea nad ka seda, milline asutus on pädev menetlema nende taotlust juurdepääsuks andmetele. Andmetele juurdepääsu taotlemise protsess muutubkohmakaks, kui üksikisikud on kohustatud esmalt välja selgitama, kes andmed sisestas. Euroopa andmekaitseinspektor on seisukohal, et teiseks on see säte vastuolus artikli 36 lõikes 1 valitud kriteeriumiga, mille kohaselt reguleerivad juurdepääsuõigust liikmesriikide õigusnormid või komisjoni suhtes kohaldatavad andmekaitseeeskirjad vastavalt sellele, kas selliseid õigusi kasutatakse liikmesriikides või ELi institutsioonides. Seega peaks juurdepääsutaotlusega seotud pädevus sõltuma sellest, kas nimetatud juurdepääsuõigus kehtib seoses riiklike andmekaitseasutustega või Euroopa andmekaitseinspektoriga, kasvõi kooskõla huvides artikliga 36.

48.

Et seda probleemi lahendada, tuleks lause “vastavalt sellele, kas andmed on TISi sisestanud liikmesriik või komisjon” asendada lausega “vastavalt sellele, kas õigusi kasutatakse seoses riiklike järelevalveasutustega või Euroopa andmekaitseinspektoriga”. Sellise lähenemise valimisel saab täieliku mõtte ka artikli 37 lõigu 2 järgnev lause: “Kui andmed on sisestanud teine liikmesriik või komisjon, korraldatakse kontroll tihedas koostöös kõnealuse liikmesriigi järelevalveasutusega või Euroopa andmekaitseinspektoriga.”

49.

Mis puudutab isikuandmete vahetust kolmandate riikide asutustega, siis selles osas ei lisa ettepanek uusi elemente. Selle teemaga tegeleb määruse artikli 30 lõige 4. Euroopa andmekaitseinspektor on seisukohal, et seda artiklit oleks pidanud muutma, et viidata vajadusele komisjoni (mitte ainult liikmesriikide) poolt võtta erimeetmeid, et tagada andmete kaitse nende edastamisel või andmisel kolmandas riikides asuvatele asutustele. Lisaks peaks artikli 30 lõiget 4 muutma selleks, et tagada ühilduvus seadusandlusega, mis reguleerib isikuandmete edastamist kolmandatesse riikidesse.

50.

Ettepaneku artiklid 41a, 41b, 41c ja 41d sätestavad tolli uurimisjuhtumite andmebaasi toimimiseeskirjad. FIDE võimaldab pädevatel asutustel kontrollida, kas isik või ettevõte on ükskõik millises liikmesriigis olnud kriminaaluurimise all.

51.

FIDE on liikmesriikide poolt kasutatava tööriistana kolmanda samba all juba olemas (15). Artikli 41 eesmärk on seega luua õiguslik alus ühenduse FIDEle ning Euroopa andmekaitseinspektor tervitab seda.

52.

Kuna ettepaneku kõik TISi suhtes kehtivad sätted kehtivad endise artikli 41a põhjal ka FIDE suhtes, kehtivad eespool II osas toodud kommentaarid mutatis mutandis ka FIDE kohta.

53.

Euroopa andmekaitseinspektor märgib, et arvestades asjaolu, et komisjon on pädev töötlema FIDEs sisalduvaid andmeid, peaks olema selge, et FIDESi suhtes kehtib määrus (EÜ) nr 45/2001 üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta. Euroopa andmekaitseinspektor on seisukohal, et oleks kohane, et artikkel 41 kordaks määruse (EÜ) nr 45/2001 kohaldamist FIDE suhtes ning Euroopa andmekaitseinspektori järelevalvealast pädevust määruse sätetele vastavuse jälgimisel ning tagamisel.

54.

Euroopa andmekaitseinspektor tuletab meelde, et määruse (EÜ) nr 45/2001 artikli 27 kohaldamise tulemusena ning arvestades FIDESi eesmärke ja selles sisalduvate andmete iseloomu, võidakse seda pidada andmesubjekti õigustele ja vabadustele erilist ohtu kujutavaks ning seega peab Euroopa andmekaitseinspektor süsteemi eelnevalt kontrollima.

55.

Artikkel 41d sätestab kindlad andmete säilitamise ajavahemikud. Euroopa andmekaitseinspektori hinnangul on artiklis 41d sätestatud ajapiirangud mõistlikud.

56.

On ebaselge, kuidas see säte seostub TISi osas artikliga 33. Arvatavasti on 41d tähtsam kui TISi reguleeriv samateemaline säte, kuid ettepanekus pole seda otsesõnu öeldud. Seda mõtet täpsustav säte oleks otstarbekohane.

57.

Andmete kvaliteedi põhimõtte kohaselt (määruse (EÜ) nr 45/2001 endine artikkel 4) peavad isikuandmed olema piisavad, asjakohased ega tohi ületada selle otstarbe piire, mille tarvis neid kogutakse. On selge, et isikuandmete kvaliteedi saab tagada üksnes siis, kui nende täpsust kontrollitakse regulaarselt ja nõuetekohaselt. Euroopa andmekaitseinspektor tervitab ka artikli 41d sätet, mis nõuab andmete viivitamata kustutamist niipea, kui isik on andmed edastanud liikmesriigi seaduste, haldus- ja õigusnormide alusel süüdistusest vabastatud.

58.

Teisest küljest, et tagada ebavajalike andmete FIDEst kustutamine, soovitab Euroopa andmekaitseinspektor FIDE suhtes kohaldada mõnesid artiklis 33 TISi jaoks sätestatud andmete säilitamise reegleid. Täpsemalt soovitab Euroopa andmekaitseinspektor FIDE suhtes kohaldada artikli 33 lõike 1 sätteid, mille kohaselt peaks andmed hankinud osapool kontrollima andmete säilitamise vajalikkust kord aastas. Sel põhjusel soovitab Euroopa andmekaitseinspektor lisada artikli 41d lõike 2 järele järgmise lause: “Andmed edastanud liikmesriik kontrollib andmete säilitamise vajalikkust vähemalt kord aastas”.

59.

Euroopa andmekaitseinspektor tervitab fakti, et temaga konsulteeriti ettepaneku asjus, mis näeb ette mitmete isikuandmeid sisaldavate süsteemide loomist või täiendamist: Euroopa andmehoidla, tolliinfosüsteem (TIS) ning tolli uurimisjuhtumite andmebaas (FIDE), millede eesmärk on parandada koostööd ja teabevahetust nii liikmesriikide kui ka nende ja komisjoni vahel.

60.

Sisuliselt on Euroopa andmekaitseinspektor järgmisel arvamusel:

61.

Et tagada ebavajalike isikuandmete FIDEst kustutamine, soovitab Euroopa andmekaitseinspektor lisada artikli 41d lõike 2 järele järgmise lause: “Andmed edastanud liikmesriik kontrollib andmete säilitamise vajalikkust vähemalt üks kord aastas.”

62.

Mis puudutab menetlust , siis Euroopa andmekaitseinspektor: