EUROOPA KOMISJON
Brüssel,24.1.2018
COM(2018) 43 final
KOMISJONI TEATIS EUROOPA PARLAMENDILE JA NÕUKOGULE
FMT:BoldParem kaitse ja uued võimalused – komisjoni suunised isikuandmete kaitse üldmääruse vahetu kohaldamise kohta alates 25. maist 2018/FMT
EUROOPA KOMISJON
Brüssel,24.1.2018
COM(2018) 43 final
KOMISJONI TEATIS EUROOPA PARLAMENDILE JA NÕUKOGULE
FMT:BoldParem kaitse ja uued võimalused – komisjoni suunised isikuandmete kaitse üldmääruse vahetu kohaldamise kohta alates 25. maist 2018/FMT
Komisjoni teatis Euroopa Parlamendile ja nõukogule
Parem kaitse ja uued võimalused – komisjoni suunised isikuandmete kaitse üldmääruse vahetu kohaldamise kohta alates 25. maist 2018
Sissejuhatus
6. aprillil 2016 otsustas Euroopa Liit reformida oma andmekaitseraamistikku. Selleks võeti vastu isikuandmete kaitse reformi pakett, mis sisaldab isikuandmete kaitse üldmäärust 1 . Kõnealuse määrusega asendati kakskümmend aastat kehtinud direktiiv 95/46/EÜ 2 (andmekaitsedirektiiv) ja politseidirektiiv 3 . Isikuandmete kaitse üldmäärust (edaspidi „määrus“), mis on uus kogu ELi hõlmav andmekaitsevahend, hakatakse vahetult kohaldama 25. mail 2018, kaks aastat pärast selle vastuvõtmist ja jõustumist 4 .
Uue määrusega tugevdatakse füüsiliste isikute õigust oma isikuandmete kaitsele ja võetakse seega arvesse isikuandmete kaitse kui ühe Euroopa Liidus kehtiva põhiõiguse 5 olemust.
Määrus kujutab endast ühtset normistikku, mida kohaldatakse ELi liikmesriikides vahetult ja millega tagatakse isikuandmete vaba liikumine liikmesriikide vahel ning aidatakse seega tugevdada tarbijate usaldust ja turvalisust – kahte hädavajalikku eeldust ühtse turu toimimiseks. Seega avaneb ettevõtjate ja äriühingute, eelkõige väiksemate üksuste jaoks uusi võimalusi, sest määrusega muudetakse selgemaks andmete rahvusvahelise edastamise normid.
Ehkki uus andmekaitseraamistik põhineb kehtivatel õigusaktidel, on sellel kaugeleulatuv mõju ja mõningates aspektides toob see kaasa märkimisväärseid muudatusi. Sellepärast on määruses ette nähtud kaheaastane üleminekuperiood – kuni 25. maini 2018 –, et anda liikmesriikidele ja sidusrühmadele aega teha uue õigusraamistiku kohaldamiseks põhjalikke ettevalmistusi.
Möödunud kahel aastal on kõik sidusrühmad alates riikide haldus- ja andmekaitseasutustest ning lõpetades vastutavate töötlejate ja volitatud töötlejatega võtnud hulga meetmeid tagamaks, et uue andmekaitseraamistikuga kaasnevate muutuste tähtsus ja ulatus oleks kõigile selge ning et kõik osalised oleksid uue raamistiku kohaldamiseks valmis. Kuna 25. maiks kavandatud tähtaeg läheneb, peab komisjon vajalikuks võtta kokku seni tehtud töö ja teha kindlaks, mida tuleks veel teha, et uut raamistikku saaks edukalt kohaldama hakata 6 .
Käesolevas teatises:
·tuuakse esile peamised uuendused ja võimalused, mis avanevad uue ELi andmekaitseraamistiku kohaldudes;
·tehakse kokkuvõte ELi tasandil seni tehtud ettevalmistavast tööst;
·kavandatakse sammud, mida Euroopa Komisjon ning riikide andmekaitse- ja haldusasutused peaksid ettevalmistuste edukaks lõpuleviimiseks veel tegema;
·esitatakse meetmed, mida komisjon kavatseb eelolevatel kuudel võtta.
Lisaks sellele teeb komisjon paralleelselt käesoleva teatise vastuvõtmisega kättesaadavaks veebipõhise abivahendi, millega aidata sidusrühmadel valmistuda määruse kohaldamiseks, ning korraldab oma esinduste abiga kõigis liikmesriikides teavituskampaaniad.
1.UUS ELi ANDMEKAITSERAAMISTIK – PAREM KAITSE JA UUED VÕIMALUSED
Määruses järgitakse andmekaitsedirektiivis kasutatud lähenemisviisi, ent muudetakse andmekaitsenormid ELi kahekümneaastasele andmekaitseraamistikule ja asjaomasele kohtupraktikale tuginedes selgemaks ja ajakohastatakse neid. Lisaks sisaldab määrus mitmesuguseid uusi elemente, millega tugevdatakse füüsiliste isikute õigusi ning avatakse ettevõtjatele ja äriühingutele uusi võimalusi. Need elemendid on järgmised:
·ühtlustatud õigusraamistik, mis aitab õigusnorme ELi digitaalse ühtse turu huvides ühetaoliselt kohaldada. See tähendab, et ettevõtjad ja äriühingud lähtuvad oma tegevuses ühtsest normistikust ning lõpetatakse praegune olukord, kus eri liikmesriigid rakendavad andmekaitsedirektiivi eri viisil. Selleks et tagada määruse ühetaoline ja järjepidev kohaldamine kõigis liikmesriikides, võetakse kasutusele ühtse kontaktpunkti mehhanism;
·võrdsed võimalused kõigi ELi turul tegutsevate äriühingute jaoks. Määrusega on ette nähtud, et väljaspool ELi asuvate äriühingute suhtes tuleb kohaldada samasuguseid norme nagu ELis asuvate äriühingute suhtes, kui väljaspool ELi asuvad äriühingud pakuvad liidus isikuandmetega seotud kaupu või teenuseid või jälgivad füüsiliste isikute käitumist liidus. Väljaspool ELi asuvad äriühingud, kes tegutsevad ühtsel turul, peavad teatavatel tingimustel nimetama oma esindaja ELis, kelle poole saavad kodanikud ja ametiasutused pöörduda lisaks välismaal asuvale äriühingule või selle asemel;
·lõimitud andmekaitse ja vaikimisi andmekaitse põhimõtted, millega soodustatakse kohe alguses uuenduslike lahenduste leidmist andmekaitseküsimustele;
·füüsiliste isikute tugevamad õigused: uued läbipaistvusnõuded; tugevam õigus saada teavet, õigus andmetega tutvuda ja õigus andmete kustutamisele (õigus olla unustatud); vaikimist või tegevusetust ei peeta enam nõusolekuks – nõusoleku väljendamiseks nõutakse selget kinnitust; laste kaitsmine internetis;
·üksikisikute parem kontroll oma andmete üle. Määrusega on kehtestatud uus andmete ülekandmise õigus, mis võimaldab kodanikel saada äriühingult või organisatsioonilt tagasi andmed, mille ta on sellele äriühingule või organisatsioonile nõusoleku või lepingu alusel andnud. Samuti võimaldab see kanda sellised isikuandmed otse üle teisele äriühingule või organisatsioonile, kui see on tehniliselt teostatav. Võimaldades isikuandmeid ühest äriühingust või organisatsioonist teise otse üle kanda, toetatakse selle õigusega ühtlasi isikuandmete vaba liikumist ELis, välditakse isikuandmete sidumist ühe konkreetse töötlejaga ja soodustatakse äriühingutevahelist konkurentsi. Teenuseosutaja vahetamise lihtsustamine kodanike jaoks stimuleerib uute teenuste väljatöötamist digitaalse ühtse turu strateegia tähenduses;
·parem kaitse andmetega seotud rikkumiste vastu. Määruses on igakülgselt reguleeritud reageerimist isikuandmetega seotud rikkumistele. „Isikuandmetega seotud rikkumine“ on selgelt määratletud ning kehtestatud on kohustus teatada järelevalveasutusele hiljemalt 72 tunni jooksul, juhul kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt ohtu isiku õigustele ja vabadustele. Teatavatel asjaoludel tuleb teavitada ka isikut, kelle andmete suhtes rikkumine toime pandi. Sellega parandatakse suuresti kaitse taset võrreldes ELis praegu kehtiva olukorraga, kus vastavalt eraelu puutumatust ja elektroonilist sidet käsitlevale direktiivile (e-privaatsuse direktiiv) 7 ning võrgu- ja infosüsteemide turvalisuse direktiivile 8 peavad andmetega seotud rikkumistest teatama ainult elektroonilise side teenuse osutajad, oluliste teenuste operaatorid ja digitaalse teenuse osutajad;
·määrusega antakse kõigile andmekaitseasutustele õigus määrata vastutavatele töötlejatele ja volitatud töötlejatele trahve. Praegu kõigil andmekaitseasutustel sellist õigust ei ole. Trahvi määramise õiguse andmine neile asutustele võimaldab õigusnorme paremini rakendada. Määrata võib trahve, mille suurus on kuni 20 miljonit eurot või äriühingu puhul kuni 4 % tema üleilmsest aastasest kogukäibest;
·suurem paindlikkus vastutavatele töötlejatele ja volitatud töötlejatele, kes töötlevad isikuandmeid ühemõtteliste vastutust käsitlevate sätete alusel (vastutuse põhimõte). Määrusega eemaldutakse teavitamise süsteemist ja liigutakse vastutuse põhimõtte kohaldamise suunas. Vastutuse põhimõtet kohaldatakse mõõdetavate kohustuste kaudu, sõltuvalt riskist (nt andmekaitseametniku olemasolu või kohustus teha andmekaitsealaseid mõjuhinnanguid). Kasutusele võetakse uus vahend, millega aidatakse hinnata riski enne andmete töötlemisega alustamist: andmekaitsealane mõjuhinnang. Mõjuhinnang tuleb alati teha siis, kui andmete töötlemise tulemusena tekib tõenäoliselt suur oht füüsiliste isikute õigustele ja vabadustele. Määruses on selleks välja toodud kolm eri olukorda: füüsiliste isikute isiklike aspektide süstemaatiline ja ulatuslik hindamine (sealhulgas profiilianalüüs), tundlike andmete ulatuslik töötlemine või avalike alade ulatuslik süstemaatiline jälgimine. Riikide andmekaitseasutused peavad avalikustama andmekaitsealast mõjuhinnangut eeldavate juhtumite loetelu 9 ;
·suurem selgus seoses volitatud töötlejate kohustustega ja vastutavate töötlejate vastutusega volitatud töötleja valimisel;
·ajakohane juhtimissüsteem, mille abil tagatakse õigusnormide ühtlasem ja parem täitmine. Selleks on ühtlustatud andmekaitseasutuste volitusi, sealhulgas trahvide määramisel, ning nende asutuste käsutusse on antud uued mehhanismid võrgustikupõhise koostöö tegemiseks;
·määrusega tagatakse ka väljapoole ELi liikuvate isikuandmete kaitse ja selle kaudu andmekaitse kõrge tase 10 . Ehkki andmete rahvusvahelise edastamise normid on määruses oma põhiolemuselt samasugused nagu 1995. aasta direktiivis, on määruses nende kasutamist paremini selgitatud ja kasutamise protsessi lihtsustatud ning andmete edastamiseks on kasutusele võetud uued vahendid. Seoses kaitse piisavuse otsustega on määruses täpselt ja üksikasjalikult ette nähtud hulk elemente, mida komisjon peab arvesse võtma, kui ta hindab isikuandmete kaitse piisavust mõnes ELi-välises õiguskorras. Määrusega võetakse ametlikult kasutusele ka hulk alternatiivseid andmete edastamise vahendeid, nagu lepingu tüüptingimused ja siduvad kontsernisisesed eeskirjad, ning neid vahendeid arendatakse edasi.
Läbivaadatud määrusega liidu institutsioonide, organite ja asutuste jaoks 11 ning privaatsust ja elektroonilist sidet käsitleva määrusega 12 (e-privaatsuse määrus), mille üle praegu läbirääkimisi peetakse, tagatakse pärast nende vastuvõtmist ELile kvaliteetne ja põhjalik andmekaitsenormide kogum 13 .
2.ELi tasandil seni tehtud ettevalmistav töö
Määruse tulemuslik kohaldamine eeldab koostööd kõigi andmekaitsega tegelevate osalejate vahel, kelleks on: liikmesriigid, sealhulgas nende haldusasutused ja andmekaitseasutused, ettevõtjad, isikuandmeid töötlevad organisatsioonid, füüsilised isikud ja komisjon.
2.1. Euroopa Komisjoni tegevus
Veidi pärast määruse jõustumist 2016. aasta keskpaigas alustas komisjon liikmesriikide haldus- ja andmekaitseasutuste ning sidusrühmadega koostööd, et aidata neil valmistuda määruse kohaldamiseks ning pakkuda neile toetust ja abi.
a) Toetus liikmesriikidele ja nende ametiasutustele
Komisjon on teinud liikmesriikidega väga tihedat koostööd ja toetanud nende tegevust üleminekuperioodil, et saavutada võimalikult suur järjepidevus. Selleks on komisjon on moodustanud eksperdirühma, mis toetab liikmesriike nende jõupingutustes valmistuda määruse kohaldama hakkamiseks. Rühm, mis on kokku tulnud juba 13 korda, tegutseb foorumina, kus liikmesriigid saavad oma kogemusi ja teadmisi jagada 14 . Komisjon on korraldanud ka kahepoolseid kohtumisi liikmesriikide ametiasutustega, et arutada riigi tasandil tekkivaid küsimusi.
b) Üksikute andmekaitseasutuste toetamine ja Euroopa Andmekaitsenõukogu loomine
Komisjon on aktiivselt toetanud artikli 29 töörühma tööd, muu hulgas selleks, et tagada sujuv üleminek Euroopa Andmekaitsenõukogu toimima hakkamisele 15 .
c) Rahvusvaheline haare
Määrusega tugevdatakse veelgi ELi suutlikkust edendada oma andmekaitsealaseid väärtusi, toetades õigussüsteemide üleilmset lähenemist 16 . ELi andmekaitsenorme peetakse rahvusvahelisel tasandil üha enam rangeimaid andmekaitsenõudeid sisaldavateks normideks kogu maailmas. Ajakohastatakse ka Euroopa Nõukogu konventsiooni nr 108, mis on andmekaitse valdkonna ainus siduv mitmepoolne õigusakt. Seda tehes on komisjoni eesmärk kajastada konventsioonis samu põhimõtteid, nagu on sätestatud ELi uutes andmekaitsenormides, ja aidata seega juurutada ühtseid rangeid andmekaitsenõudeid. Komisjon toetab aktiivselt konventsiooni ajakohastatud teksti kiiret vastuvõtmist, et EL saaks selles osaleda 17 . Komisjon julgustab kolmandaid riike Euroopa Nõukogu konventsiooni nr 108 ja selle lisaprotokolli ratifitseerima.
Lisaks sellele võtavad mitu riiki ja piirkondlikku organisatsiooni väljaspool ELi, meie lähimatest naabritest kuni Aasia, Ladina-Ameerika ja Aafrikani, vastu uusi isikuandmete kaitset käsitlevaid õigusakte või ajakohastavad kehtivaid õigusakte, et kasutada ära üleilmse digitaalmajanduse võimalusi ning tulla vastu kasvavale nõudlusele tugevama andmeturbe ja privaatsuse kaitse järele. Ehkki eri riikides rakendatakse erinevat lähenemisviisi ja nende seadusandliku arengu tase on erinev, leidub märke sellest, et määrus on neile üha enam eeskujuks ja inspiratsiooni allikaks 18 .
Sellele tuginedes arendab komisjon oma rahvusvahelist haaret kooskõlas 2017. aasta jaanuari teatisega, 19 tehes aktiivselt koostööd oma peamiste kaubanduspartneritega Ida- ja Kagu-Aasias ning Ladina-Ameerikas, et selgitada välja võimalus võtta vastu kaitse piisavuse otsused 20 .
Komisjoni jõupingutused koos Jaapaniga on eelkõige suunatud piisava andmekaitse taseme mõlemapoolsele kindlaksmääramisele 2018. aasta alguseks, nagu teatasid president Juncker ja peaminister Abe oma 6. juuli 2017. aasta ühisdeklaratsioonis 21 . Lõuna-Koreaga on alustatud kõnelusi kaitse piisavuse otsuse võimaliku vastuvõtmise lootuses. Kaitse piisavuse otsuse vastuvõtmine tagaks andmete vaba liikumise asjaomaste kolmandate riikidega ning tugeva andmekaitse juhul, kui EList edastatakse neisse riikidesse isikuandmeid.
Samal ajal teeb komisjon koostööd sidusrühmadega, et kasutada andmete rahvusvahelise edastamise hõlbustamiseks täielikult ära isikuandmete kaitse üldmääruse erinevate võimaluste potentsiaal ja arendada välja alternatiivsed isikuandmete edastamise mehhanismid, mis on kohandatud konkreetsete tööstusharude ja/või ettevõtjate vajadustele 22 .
d) Sidusrühmade kaasamine
Komisjon on korraldanud sidusrühmadeni jõudmiseks mitmesuguseid üritusi 23 . 2018. aasta esimesse kvartalisse on kavandatud uus, tarbijatele suunatud seminar. Toimunud on temaatilised arutelud teadusuuringute ja finantsteenuste valdkonnas.
Komisjon on määrust puudutavate küsimustega tegelemiseks samuti kokku kutsunud mitut sidusrühma hõlmava töörühma, millesse kuuluvad kodanikuühiskonna ja ettevõtjate esindajad, teadlased ja erialatöötajad. See rühm nõustab komisjoni eelkõige küsimuses, kuidas tagada, et sidusrühmad oleksid määrusest piisavalt teadlikud 24 .
Lõpetuseks märgime, et oma teadusuuringute ja innovatsiooni raamprogrammi „Horisont 2020“ 25 kaudu on Euroopa Komisjon rahastanud selliste vahendite väljatöötamist, millega toetatakse määruses sisalduvate normide tõhusat kohaldamist seoses andmesubjekti nõusoleku ja privaatsust säilitavate andmeanalüüsi meetoditega. Sellised meetodid on näiteks mitme osalejaga andmetöötlus ja homomorfne krüpteerimine.
2.2. Artikli 29 töörühma / Euroopa Andmekaitsenõukogu tegevus
Artikli 29 töörühm, millesse on koondunud kõik riiklikud andmekaitseasutused ja Euroopa Andmekaitseinspektor, mängib määruse kohaldamiseks valmistumisel olulist rolli, sest annab äriühingutele ja teistele sidusrühmadele suuniseid. Riikide andmekaitseasutused hakkavad tagama määruse täitmist ja on vahetud kontaktpunktid sidusrühmade jaoks ning seetõttu on neil parimad võimalused pakkuda määruse tõlgendamise küsimustes täiendavat õiguskindlust.
|
Artikli 29 töörühma suunised/töödokumendid määruse kohaldamise kohta 26 |
|
|
Andmete ülekandmise õigus |
Vastu võetud 4.–5. aprillil 2017 |
|
Andmekaitseametnikud |
|
|
Juhtiva järelevalveasutuse määramine |
|
|
Andmekaitsealane mõjuhinnang |
Vastu võetud 3.–4. oktoobril 2017 |
|
Haldustrahvid |
Vastu võetud 3.–4. oktoobril 2017 |
|
Profiilianalüüs |
Töös |
|
Andmetega seotud rikkumised |
Töös |
|
Andmesubjekti nõusolek |
Töös |
|
Läbipaistvus |
Töös |
|
Sertifitseerimine ja akrediteerimine |
Töös |
|
Piisavuse võrdlusalus |
Töös |
|
Siduvad kontsernisisesed eeskirjad vastutavate töötlejate jaoks |
Töös |
|
Siduvad kontsernisisesed eeskirjad volitatud töötlejate jaoks |
Töös |
Artikli 29 töörühm tegeleb olemasolevate arvamuste, sealhulgas andmete kolmandatesse riikidesse edastamise vahendeid käsitleva arvamuse ajakohastamisega.
Kuna on tähtis, et ettevõtjad saaksid lähtuda sidusatest ja ühtsetest suunistest, tuleb liikmesriikides praegu kehtivad siseriiklikud suunised kas tühistada või viia kooskõlla artikli 29 töörühma / Euroopa Andmekaitsenõukogu poolt samas küsimuses vastu võetud suunistega.
Komisjon omistab suurt tähtsust sellele, et suuniste üle toimuks enne nende viimistlemist avalik konsultatsioon. Sidusrühmade panus sellesse protsessi peaks olema võimalikult täpne ja konkreetne, sest see aitaks kindlaks teha parimad tavad ning juhtida artikli 29 töörühma tähelepanu valdkonna ja sektorite eripärale. Lõplik vastutus nende suuniste eest on artikli 29 töörühmal ja tulevasel Euroopa Andmekaitsenõukogul ning andmekaitseasutused hakkavad määruse kohaldamisel neile tuginema.
Suuniseid peaks olema võimalik uute arengusuundumuste ja tavade tekkides muuta. Selleks peaksid andmekaitseasutused arendama dialoogi kõigi sidusrühmade, sealhulgas ettevõtjatega.
On oluline meelde tuletada, et määruse tõlgendamise ja kohaldamise küsimustes teevad lõpliku otsuse riikide ja ELi tasandi kohtud.
3.Eduka ettevalmistamise viimased vajalikud sammud
3.1. Liikmesriigid peavad õigusraamistiku ettevalmistamise riigi tasandil lõpule viima
Määrust kohaldatakse vahetult kõikides liikmesriikides 27 . See tähendab, et määrus jõustub ja seda kohaldatakse sõltumata siseriiklikest õigusaktidest: üldiselt saavad kodanikud, ettevõtjad, haldusasutused ja teised isikuandmeid töötlevad organisatsioonid määruse sätetele vahetult tugineda. Kooskõlas määrusega peavad liikmesriigid siiski astuma vajalikke samme oma õigusaktide kohandamiseks. Selleks peavad nad tunnistama kehtetuks olemasolevad õigusaktid või neid õigusakte muutma, asutama oma riigis andmekaitseasutuse, 28 valima akrediteerimisasutuse 29 ning sätestama sõnavabaduse ja isikuandmete kaitse ühitamise normid 30 .
Lisaks on määrusega antud liikmesriikidele võimalus oma andmekaitsenormide kohaldamist konkreetsetes valdkondades veelgi täpsustada. Sellised valdkonnad on näiteks avalik sektor, 31 tööhõive ja sotsiaalkindlustus, 32 ennetav meditsiin või töömeditsiin, rahvatervis, 33 avalikes huvides toimuv arhiveerimine, teadus- või ajaloouuringud või statistika, 34 riiklik identifitseerimisnumber, 35 üldsuse juurdepääs ametlikele dokumentidele 36 ning saladuse hoidmise kohustus 37 . Peale selle on liikmesriikidel õigus säilitada või kehtestada täiendavaid tingimusi, sealhulgas piiranguid, geneetiliste andmete, biomeetriliste andmete ja terviseandmete suhtes 38 .
Liikmesriikide meetmeid suunavad siin kaks elementi:
1.ELi põhiõiguste harta artikkel 8, mis tähendab, et iga siseriiklik täpsustav seadus peab vastama harta artikli 8 nõuetele (ja harta artiklile 8 tugineva määruse nõuetele), ning
2.ELi toimimise lepingu artikli 16 lõige 2, mille alusel ei tohi siseriiklikud õigusaktid mõjutada isikuandmete vaba liikumist ELis.
Määrus annab võimaluse lihtsustada õiguskeskkonda, võtta vastu vähem siseriiklikke õigusnorme ja muuta olukord ettevõtjate jaoks selgemaks.
Siseriiklikke õigusakte vastu võttes peavad liikmesriigid arvestama asjaolu, et mis tahes siseriiklikud meetmed, millega võidakse takistada määruse vahetut kohaldamist ning ohustada selle samaaegset ja ühetaolist kohaldamist kogu ELis, on aluslepingutega vastuolus 39 .
Määruse teksti (nt mõistete või üksikisikute õiguste) kordamine siseriiklikes õigusaktides on keelatud, välja arvatud juhul, kui kordamine on vajalik sidususe tagamiseks ja selleks, et muuta siseriiklikud aktid mõistetavaks nende jaoks, kelle suhtes neid kohaldatakse 40 . Määruse teksti sõnasõnaline taasesitus siseriiklikus täpsustavas seaduses peaks olema erandlik ja põhjendatud ning seda ei saa kasutada määruse tekstile täiendavate tingimuste või tõlgenduste lisamiseks.
Määruse tõlgendamine on jäetud Euroopa kohtute (liikmesriikide kohtute ja Euroopa Kohtu), mitte liikmesriikide seadusandjate hoolde. Seega ei saa riigi seadusandja määruse teksti kopeerida, kui see ei ole kohtupraktikas kindlaks määratud kriteeriumide alusel vajalik, samuti ei saa ta seda tõlgendada ega lisada määruse vahetult kohaldatavatesse normidesse lisatingimusi. Kui ta seda teeks, oleks õiguslik olukord kogu liidus taas killustatud ja ettevõtjad ei teaks, milliseid norme järgida.
Praegu on asjakohased siseriiklikud õigusaktid vastu võetud ainult kahes liikmesriigis 41 . Ülejäänud liikmesriikide seadusandlikud menetlused on eri etappides 42 ja need riigid on koostanud kavad vajalike õigusaktide vastuvõtmiseks 25. maiks 2018. Ettevõtjatele tuleb jätta piisavalt aega, et nad saaksid valmistuda kõiki uusi sätteid järgima.
Juhul kui liikmesriigid ei võta määruses nõutud vajalikke meetmeid, võtavad need liiga hilja või kasutavad määrusega ettenähtud täpsustamise võimalusi viisil, mis on määrusega vastuolus, rakendab komisjon kõiki tema käsutuses olevaid vahendeid, sealhulgas rikkumismenetluse algatamise õigust.
3.2. Andmekaitseasutused peavad tagama uue sõltumatu Euroopa Andmekaitsenõukogu täieliku toimimise
On väga oluline, et määrusega asutatud uus amet – Euroopa Andmekaitsenõukogu 43 – , mis on artikli 29 töörühma järglane, oleks võimeline 25. mail 2018 täielikult toimima.
Euroopa Andmekaitseinspektor, kes andmekaitseasutusena valvab ühtlasi ELi institutsioonide ja asutuste asjaomase tegevuse järele, tagab andmekaitsenõukogu sekretariaadi töö, eesmärgiga tugevdada sünergiat ja mõjusust. Selleks alustas Euroopa Andmekaitseinspektor möödunud kuudel vajalikke ettevalmistusi.
Euroopa Andmekaitsenõukogust saab Euroopa andmekaitse keskus. Andmekaitsenõukogu annab oma panuse andmekaitsealase õigustiku järjepidevasse kohaldamisse ja pakub tugevat alust andmekaitseasutuste, sealhulgas Euroopa Andmekaitseinspektori koostööle. Ta annab välja suuniseid selle kohta, kuidas määruse aluspõhimõtteid tõlgendada, ning teeb siduvaid otsuseid andmete piiriülest töötlemist käsitlevates vaidlustes. Sellega tagatakse liidu normide ühetaoline kohaldamine ja hoitakse ära olukord, kus sama juhtumit menetletakse eri liikmesriikides erinevalt.
Euroopa Andmekaitsenõukogu tõhus toimimine on seega kogu süsteemi tõhusa toimimise eeltingimus. Nüüd on eriti oluline, et andmekaitsenõukogu kujundaks kõigi riiklike andmekaitseasutuste jaoks välja ühise andmekaitsekultuuri, mis aitaks määrust ühetaoliselt tõlgendada. Määrusega soodustatakse andmekaitseasutuste tõhusat ja tulemuslikku koostööd, andes selleks nende käsutusse vajalikud vahendid: asutused saavad korraldada ühisoperatsioone, teha kokkuleppel ühiseid otsuseid ja lahendada määruse tõlgendamisel tekkivaid erimeelsusi andmekaitsenõukogu arvamuste ja siduvate otsuste abil. Komisjon julgustab andmekaitseasutusi neid võimalusi kasutama ning kohandama uute õiguste ja kohustuste täitmiseks oma toimimist, rahastamist ja töökultuuri.
3.3. Liikmesriigid peavad tagama oma andmekaitseasutusele vajalikud rahalised vahendid ja personali
Täielikult sõltumatu järelevalveasutuse loomine igas liikmesriigis on väga oluline füüsiliste isikute kaitseks nende isikuandmete töötlemisel ELis 44 . Järelevalveasutused ei suuda üksikisikute õigusi ja vabadusi tõhusalt kaitsta, välja arvatud juhul, kui nad tegutsevad täiesti sõltumatult. Kui ei õnnestu tagada nende sõltumatust ja nende suutlikkust oma volitusi tulemuslikult rakendada, on sellel kaugeleulatuvad negatiivsed tagajärjed andmekaitsealaste õigusaktide täitmisele 45 .
Määruses on sõnaselgelt sätestatud nõue, mille kohaselt peavad kõik andmekaitseasutused tegutsema täiesti sõltumatult 46 . Sellega tugevdatakse riikide andmekaitseasutuste autonoomiat ja antakse neile kogu ELis ühtsed volitused, et nad oleksid asjakohaselt varustatud kaebuste tõhusaks menetlemiseks, tulemuslike uurimiste korraldamiseks, siduvate otsuste tegemiseks ning tõhusate ja hoiatavate sanktsioonide kehtestamiseks. Samuti antakse neile õigus määrata vastutavatele töötlejatele või volitatud töötlejatele kuni 20 miljoni euro suurusi haldustrahve või ettevõtjatele trahvisumma, mille suurus vastab kuni 4 %-le ettevõtja eelneva eelarveaasta üleilmsest kogukäibest, olenevalt sellest, kumb summa on suurem.
Andmekaitseasutused on üldsuse, ettevõtjate ja haldusasutuste jaoks määrusega seotud küsimustes loomulikud partnerid ja esmased kontaktpunktid. Andmekaitseasutuste ülesandeks on muu hulgas teavitada vastutavaid töötlejaid ja volitatud töötlejaid nende kohustustest ning suurendada üldsuse teadlikkust ja arusaama andmetöötlusega seotud ohtudest, õigusnormidest, kaitsemeetmetest ja õigustest. See ei tähenda aga, et vastutavad töötlejad ja volitatud töötlejad võiksid oodata andmekaitseasutuselt nende vajadustele vastavat ja konkreetselt nende jaoks mõeldud õigusnõu. Sellist nõu saab pakkuda ainult jurist või andmekaitseametnik.
Riikide andmekaitseasutustel on seega keskne roll, ent eri liikmesriikides neile eraldatavate inimressursside ja rahaliste vahendite suhteline tasakaalustamatus võib nende tegevuse tulemuslikkust ja lõpuks ka määruses nõutavat täielikku sõltumatust ohustada. See võib negatiivselt mõjutada ka andmekaitseasutuste suutlikkust rakendada oma volitusi, näiteks uurimisvolitusi. Liikmesriike õhutatakse täitma oma juriidilist kohustust ja võimaldama oma andmekaitseasutusele tema ülesannete tõhusaks täitmiseks ja volituste rakendamiseks vajalikud inim-, tehnilised ja rahalised ressursid ning ruumid ja infrastruktuur 47 .
3.4. Ettevõtjad, haldusasutused ja teised isikuandmeid töötlevad organisatsioonid peavad end uute normide kohaldamiseks ette valmistama
Määrusega ei ole oluliselt muudetud 1995. aastal kehtestatud andmekaitsealaste õigusaktide põhimõisteid ja aluspõhimõtteid. See peaks tähendama, et enamik vastutavaid töötlejaid ja volitatud töötlejaid, kes juba järgivad ELi kehtivaid andmekaitsealaseid õigusakte, ei pea määrusega kooskõla saavutamiseks oma andmetöötlustoiminguid oluliselt muutma.
Määrus mõjutab kõige enam ettevõtjaid, kelle põhitegevus on andmete töötlemine ja/või tundlike andmete haldamine. Samuti mõjutab see neid, kes jälgivad süstemaatiliselt ja suures ulatuses füüsilisi isikuid. Need ettevõtjad peavad nüüd tõenäoliselt nimetama andmekaitseametniku, tegema andmekaitsealase mõjuhinnangu ja teatama andmetega seotud rikkumistest, kui need ohustavad füüsiliste isikute õigusi ja vabadusi. Nende ettevõtjate, eriti VKEde suhtes, kelle põhitegevuse hulka ei kuulu suure ohupotentsiaaliga andmetöötlustoiminguid, kõnealused määruses sätestatud erikohustused ei kehti.
Oluline on, et vastutavad töötlejad ja volitatud töötlejad vaataksid oma andmepoliitika tsükli põhjalikult läbi, et teha täpselt kindlaks, milliseid andmeid, millisel eesmärgil ja millisel õiguslikul alusel nad haldavad (nt pilvekeskkond, finantssektori ettevõtjad jne). Samuti peavad nad hindama kehtivaid lepinguid, iseäranis vastutavate töötlejate ja volitatud töötlejate vahelisi lepinguid, andmete rahvusvahelise edastamise kanaleid ja oma tegevuse üldist juhtimist (milliseid IT-vahendeid ja korralduslikke meetmeid kasutatakse ning kas on ametisse nimetatud andmekaitseametnik). Selles protsessis on tähtis tagada, et läbivaatamisse oleks kaasatud kõrgeim juhtimistasand, kes annaks sellesse oma panuse, kellele antaks korrapäraselt ajakohastatud teavet ja kellega peetaks nõu äriühingu andmepoliitika muutmise küsimustes.
Selleks kasutavad mõned ettevõtjad (ettevõttesiseseid või -väliseid) kontrollnimekirju, et teha kindlaks oma vastavus määruse nõuetele, küsivad nõu konsultatsioonifirmadelt ja advokaadibüroodelt ning püüavad leida tooteid, mis aitaksid täita lõimitud andmekaitse ja vaikimisi andmekaitse nõudeid. Iga sektor peab töötama välja korra, mis vastab tema eripärale ja on kohandatud tema ärimudelile.
Ettevõtjad ja teised andmeid töötlevad organisatsioonid võivad kasu saada ka määruses selle nõuete täitmise tõendamiseks ette nähtud uutest vahenditest, nagu toimimisjuhendid ja sertifitseerimismehhanismid. Nende puhul on kasutatud alt üles lähenemisviise, mis on pärit äriringkondadelt, ühendustelt või teistelt vastutavate töötlejate või volitatud töötlejate eri kategooriaid esindavatelt organisatsioonidelt, ning mis kajastavad asjaomase sektori parimat tava ja olulisi arengusuundumusi või annavad aimu teatavate toodete või teenuste puhul nõutavast andmekaitse tasemest. Määrusega on selliste mehhanismide jaoks ette nähtud ühtlustatud normid, võttes arvesse turu tegelikku olukorda (nt sertifitseerimine sertifitseerimisasutuses või andmekaitseasutuses).
Paljud suured äriühingud valmistuvad juba aktiivselt uute normide kohaldamiseks, aga paljud VKEd ei ole nende eelolevast kohaldumisest veel täielikult teadlikud.
Kokkuvõttes peaksid ettevõtjad end uute normide kohaldamiseks ette valmistama ja vastavaid kohandusi tegema ning käsitama määrust kui:
·võimalust luua kord küsimuses, milliseid isikuandmeid nad töötlevad ja kuidas see töötlemine toimub;
·kohustust arendada privaatsuse põhimõtet arvestavaid ja andmekaitsesõbralikke tooteid ning luua oma klientidega uued, läbipaistvusel ja usaldusel põhinevad suhted, ning
·võimalust korraldada vastutuse põhimõtte ja nõuete ennetava täitmise abil ümber oma suhted andmekaitseasutustega.
3.5. Sidusrühmi, eriti kodanikke ning väikeseid ja keskmise suurusega ettevõtjaid tuleb teavitada
Määruse edu sõltub sellest, kuivõrd teadlikud on selle sisust kõik need, kelle suhtes määrus kehtib (äriringkonnad ja teised andmeid töötlevad organisatsioonid, avalik sektor ja kodanikud). Riigi tasandil vastutavad teadlikkuse suurendamise eest eelkõige andmekaitseasutused, samuti on nad esmaseks kontaktpunktiks vastutavate töötlejate, volitatud töötlejate ja üksikisikute jaoks. Andmekaitseasutused, kes tagavad andmekaitsenormide täitmise oma riigi territooriumil, suudavad samuti kõige paremini selgitada äriühingutele ja avalikule sektorile määrusega tehtud muudatusi ning tutvustada kodanikele nende õigusi.
Andmekaitseasutused on sidusrühmade teavitamist alustanud ja nad teevad seda oma siseriiklikku lähenemisviisi järgides. Mõned korraldavad riigi, piirkonna ja kohaliku tasandi haldusasutustele seminare ja erinevatele ärisektoritele õpikodasid, et suurendada nende teadlikkust määruse peamistest sätetest. Teised pakuvad andmekaitseametnikele konkreetseid koolitusprogramme. Enamik andmekaitseasutusi pakub oma veebisaidil eri vormis teabematerjali (kontrollnimekirjad, videod jne).
Kodanikud seevastu ei ole veel paraku uute andmekaitsenormidega kaasnevatest muutustest ja oma tugevamatest õigustest piisavalt teadlikud. Andmekaitseasutuste käimalükatud koolitus- ja teadlikkuse suurendamise algatusi tuleks jätkata ja süvendada ning seejuures tuleks eriti keskenduda VKEdele. Lisaks saavad andmekaitseasutuste tegevust toetada riikide eri sektorite haldusasutused, kes saavad sellele tuginedes teha teavitustööd eri sidusrühmade hulgas.
4.Järgmised sammud
Komisjonil on eelolevatel kuudel kavas jätkata aktiivselt kõikide osaliste toetamist määruse kohaldamiseks valmistumisel.
a) Töö liikmesriikide toetuseks
Komisjon jätkab 2018. aasta mai eelsel ajal oma tööd liikmesriikide toetamiseks. Alates 2018. aasta maist jälgib komisjon, kuidas liikmesriigid uusi norme kohaldavad, ja võtab vajaduse korral asjakohaseid meetmeid.
b) Uued veebipõhised suunised kõigis ELi keeltes ja teadlikkuse suurendamise meetmed
Komisjon teeb kättesaadavaks praktilise juhendmaterjali, 48 et aidata ettevõtjatel, eelkõige VKEdel, aga ka avaliku sektori asutustel ja üldsusel uusi andmekaitsenorme täita ja neist kasu saada.
Juhendmaterjali pakutakse praktilise veebipõhise abivahendi kaudu kõigis ELi keeltes. Seda abivahendit on kavas korrapäraselt ajakohastada ja see on mõeldud kolmele peamisele sihtrühmale: kodanikud, ettevõtjad (eeskätt VKEd) ja muud organisatsioonid ning haldusasutused. Materjal koosneb küsimustest ja vastustest, mis on välja valitud sidusrühmade tagasiside põhjal, praktilistest näidetest ja linkidest eri teabeallikatele (nt määruse artiklid, artikli 29 töörühma / Euroopa Andmekaitsenõukogu suunised ja riikide välja töötatud materjal).
Komisjon kavatseb seda vahendit korrapäraselt ajakohastada ning lisada küsimusi ja uuendada vastuseid, võttes aluseks saadud tagasiside ja määruse rakendamisel esile kerkivad probleemid.
Juhendmaterjali on kavas tutvustada teavituskampaania abil ja seda on kavas levitada kõigis liikmesriikides, keskendudes eelkõige ettevõtjatele ja üldsusele.
Kuna määrusega on üksikisikutele ette nähtud tugevamad õigused, kavatseb komisjon osaleda kõigis liikmesriikides toimuvatel teadlikkuse suurendamise üritustel, et tutvustada kodanikele määruse eeliseid ja mõju.
c) Rahaline toetus teavituskampaaniate ja -ürituste korraldamiseks liikmesriikides
Komisjon toetab liikmesriikides teadlikkuse suurendamiseks ja nõuete täitmise ettevalmistamiseks tehtavaid jõupingutusi. Selleks annab komisjon toetust, mida võib kasutada koolituste korraldamiseks 49 ja määruse tutvustamiseks andmekaitseasutustes ja haldusasutustes ning juristide ja andmekaitseametnike seas.
Kuuele toetusesaajale, kes tegutsevad kokku enam kui pooltes ELi liikmesriikides, eraldatakse ligikaudu 1,7 miljonit eurot. Rahastamine suunatakse kohalikele ametiasutustele, sealhulgas nende andmekaitseametnikele, samuti avaliku sektori asutuste ja erasektori andmekaitseametnikele ning kohtunikele ja juristidele. Toetusi kasutatakse andmekaitseasutustele, andmekaitseametnikele ja teistele spetsialistidele mõeldud koolitusmaterjali ning koolitajate koolitamise programmide koostamiseks.
Komisjon on välja kuulutanud ka projektikonkursi konkreetselt andmekaitseasutuste jaoks. Selle kogueelarve on kuni 2 miljonit eurot ja selle raames toetatakse andmekaitseasutusi sidusrühmadele suunatud meetmete rakendamisel 50 . Eesmärk on kaasrahastada 80 % meetmetest, mida andmekaitseasutused võtavad 2018.–2019. aastal ettevõtjate, eriti VKEde teadlikkuse suurendamiseks ja nende küsimustele vastamiseks. Toetust võib kasutada ka üldsuse teadlikkuse suurendamiseks.
d) Komisjoni volituste kasutamise vajaduse hindamine
Määrusega on komisjonil lubatud võtta vastu rakendusakte või delegeeritud õigusakte, 51 et uute normide rakendamist veelgi tõhusamalt toetada. Komisjon kasutab neid volitusi ainult juhul, kui neil on selgelt tõendatud lisaväärtus, ja teeb seda sidusrühmadega konsulteerides saadud tagasiside põhjal. Eelkõige uurib komisjon sertifitseerimise küsimust. Selle aluseks on välisekspertidelt tellitud uuring ning 2017. aasta lõpus määrust puudutavate küsimuste arutamiseks moodustatud mitut sidusrühma hõlmava töörühma nõu ja panus. Selles kontekstis on asjakohane ka Euroopa Liidu Võrgu- ja Infoturbeameti (ENISA) tehtud töö küberturvalisuse valdkonnas.
e) Määruse lõimimine EMP lepingusse
Komisjon jätkab tööd kolme Euroopa Majanduspiirkonda (EMP) kuuluva EFTA riigiga (Island, Liechtenstein ja Norra), eesmärgiga lõimida määrus EMP lepingusse 52 . Ainult siis, kui määrus on EMP lepingusse lõimitud ja selle raames jõustunud, saavad isikuandmed ELi ja EFTA riikide vahel sama vabalt liikuda, nagu see toimub ELi liikmesriikide vahel.
f) Ühendkuningriigi väljaastumine Euroopa Liidust
ELi ja Ühendkuningriigi vahel Euroopa Liidu lepingu artikli 50 alusel väljaastumislepingu üle peetavate läbirääkimiste kontekstis on komisjoni eesmärk tagada, et Ühendkuningriigis enne väljaastumise kuupäeva töödeldavate isikuandmete suhtes kohaldatakse endiselt liidus üks päev enne väljaastumise kuupäeva kehtivaid isikuandmete kaitse alaseid õigusnorme 53 . Näiteks peaksid asjaomased isikud saama liidus väljaastumise kuupäeval kohaldatavate asjaomaste õigusnormide alusel endiselt kasutada oma õigust saada teavet, õigust andmetega tutvuda, õigust andmete parandamisele ja kustutamisele, õigust isikuandmete töötlemise piiramisele, õigust andmete ülekandmisele ning õigust esitada andmete töötlemise suhtes vastuväiteid ja õigust sellele, et nende kohta ei tehtaks otsust, mis põhineb üksnes automatiseeritud töötlusel. Eespool osutatud isikuandmeid ei tohiks säilitada kauem, kui see on isikuandmete töötlemise eesmärgi jaoks vajalik.
Alates väljaastumise kuupäevast ja olenevalt väljaastumislepingus sisalduda võivast üleminekukorrast, kohaldatakse Ühendkuningriigi suhtes neid määruse sätteid, milles käsitletakse isikuandmete edastamist kolmandatesse riikidesse 54 .
g) Kokkuvõtte tegemine 2019. aasta mais
Pärast 25. maid 2018 jälgib komisjon tähelepanelikult uute normide kohaldamist ja on suuremate probleemide korral valmis võtma meetmeid. Aasta pärast määruse kohaldumist (2019) korraldab komisjon kohtumise, et teha kokkuvõte kogemustest, mille eri sidusrühmad on määruse rakendamisel saanud. See kokkuvõte on omakorda sisendiks aruandele, mille komisjon peab esitama 2020. aasta maiks määruse hindamise ja läbivaatamise kohta. Aruandes keskendutakse eelkõige andmete rahvusvahelisele edastamisele ning koostööd ja järjepidevust käsitlevatele sätetele, mis mängivad olulist rolli andmekaitseasutuste töös.
Kokkuvõte
25. mail hakatakse kogu ELis kohaldama uut ühtset andmekaitsenormistikku. Uuest õigusraamistikust saavad ühtviisi kasu nii füüsilised isikud, äriühingud, haldusasutused kui ka muud organisatsioonid. Andmekaitsereform annab ELile võimaluse võtta isikuandmete kaitse valdkonnas üleilmne juhtroll. Aga seda reformi saadab edu vaid juhul, kui kõik osalejad täidavad oma kohustusi ja kasutavad oma õigusi.
Alates määruse vastuvõtmisest 2016. aasta mais on komisjon teinud kõigi osapooltega – riikide valitsuste, nende haldusasutuste, ettevõtjate ja kodanikuühiskonnaga – aktiivset koostööd uute normide kohaldamiseks valmistumisel. Suur hulk tööd on olnud pühendatud laialdase teadlikkuse ja täieliku valmisoleku tagamisele ning seda tööd tuleb veel jätkata. Ettevalmistused kulgevad eri liikmesriikides ja eri osalejate hulgas erinevas tempos. Lisaks ei ole teadmised uute normide eelistest ja nendega kaasnevatest võimalustest igal pool ühtmoodi levinud. Teadlikkust on iseäranis tarvis suurendada VKEde hulgas, keda tuleb uute nõuete täitmiseks valmistumisel toetada.
Seetõttu kutsub komisjon kõiki asjaosalisi üles süvendama käimasolevat tööd, et tagada uute normide järjepidev kohaldamine ja tõlgendamine kõikjal ELis ning suurendada teadlikkust nii ettevõtjate kui ka kodanike seas. Komisjon toetab neid jõupingutusi rahaliste vahenditega ja pakub haldustoetust. Samuti püüab ta suurendada üldist teadlikkust, võttes kasutusele veebipõhise abivahendi.
Andmed muutuvad kaasaegse majanduse jaoks üha väärtuslikumaks ning kodanikud ei oska ilma nendeta oma igapäevast elu enam ettegi kujutada. Uued õigusnormid kujutavad endast nii ettevõtjate kui ka üldsuse jaoks ainulaadset võimalust. Äriühingud, eelkõige väiksemad ettevõtjad, saavad kasu uuendusi soosivast ühtsest normistikust, mis aitab neil tarbijate usalduse taastamiseks oma isikuandmete töötlemise toiminguid üheselt korraldada ning kasutada seda korrastatud struktuuri kogu ELis oma konkurentsieelisena. Kodanikud saavad kasu sellest, et ende isikuandmed on paremini kaitstud, ja neil on võimalik oma andmete käsitlemist äriühingutes paremini kontrollida.
Kaasaegses õitseva digitaalmajandusega maailmas peavad Euroopa Liit, selle kodanikud ja ettevõtjad olema igakülgselt varustatud, et lõigata andmepõhisest majandusest kasu ja mõista selle mõju. Uue määrusega antakse Euroopale vajalikud vahendid, et vastata 21. sajandi väljakutsetele.
|
Komisjon võtab järgmised meetmed. Liikmesriikide suhtes ·Komisjon jätkab liikmesriikidega tehtavat koostööd järjepidevuse edendamiseks ja killustatuse vähendamiseks määruse kohaldamisel. Selle koostöö raames võtab ta arvesse liikmesriikide võimalust uusi õigusnorme täpsustada. ·Pärast 2018. aasta maid jälgib komisjon tähelepanelikult määruse kohaldamist liikmesriikides ja võtab vajaduse korral asjakohaseid meetmeid, algatades muu hulgas rikkumismenetlusi. Andmekaitseasutuste suhtes ·Kuni 2018. aasta maini toetab komisjon andmekaitseasutuste tööd artikli 29 töörühma raames ja tulevase Euroopa Andmekaitsenõukogu toimima hakkamise kontekstis. Pärast 2018. aasta maid panustab ta Euroopa Andmekaitsenõukogu töösse. ·2018.–2019. aastal kaasrahastab komisjon (kuni 2 miljoni suurusest kogueelarvest) teadlikkuse suurendamise meetmeid, mida võtavad riigi tasandil andmekaitseasutused (s.o projekte, mida rakendatakse alates 2018. aasta keskpaigast). Sidusrühmade suhtes ·Komisjon teeb kättesaadavaks praktilise veebipõhise abivahendi, mis sisaldab küsimusi ja vastuseid kodanike, ettevõtjate ja haldusasutuste jaoks. Seda vahendit on kuni 2018. maini ja ka edaspidi kavas sihtrühmadele tutvustada teavituskampaania abil. Kampaania on suunatud ettevõtjatele ja üldsusele. ·2018. aastal ja pärast seda jätkab komisjon aktiivselt koostööd sidusrühmadega, nimelt määrust puudutavate küsimuste arutamiseks moodustatud mitut sidusrühma hõlmava töörühma kaudu. Selle koostöö raames suurendatakse sidusrühmade teadlikkust uutest normidest. Kõigi osalejate suhtes ·2018.–2019. aastal hindab komisjon vajadust kasutada oma volitusi delegeeritud õigusaktide või rakendusaktide vastuvõtmiseks. ·2019. aasta mais teeb komisjon kokkuvõtte määruse rakendamisest ja 2020. aastal esitab aruande uute normide kohaldamise kohta. |
Kaks seminari, mis korraldati valdkonna esindajatele 2016. aasta juulis ja 2017. aasta aprillis, kaks ümarlauakohtumist ettevõtjatega 2016. aasta detsembris ja 2017. aasta mais, terviseandmeid käsitlev seminar 2017. aasta oktoobris ja VKEde esindajatele mõeldud seminar 2017. aasta novembris.