Sissejuhatus ja õiguslik alus

9. detsembril 2025 sai Euroopa Keskpank (EKP) Euroopa Parlamendilt taotluse avaldada arvamust seoses ettepanekuga võtta vastu Euroopa Parlamendi ja nõukogu määrus, millega muudetakse määrusi (EL) 2016/679, (EL) 2018/1724, (EL) 2018/1725, (EL) 2023/2854 ning direktiive 2002/58/EÜ, (EL) 2022/2555 ja (EL) 2022/2557 seoses digivaldkonna õigusraamistiku lihtsustamisega ning tunnistatakse kehtetuks määrused (EL) 2018/1807, (EL) 2019/1150, (EL) 2022/868 ja direktiiv (EL) 2019/1024 (digivaldkonna koondpakett) (1) (edaspidi „kavandatav määrus“).

EKP arvamuse andmise pädevus põhineb Euroopa Liidu toimimise lepingu artikli 127 lõikel 4 ja artikli 282 lõikel 5, kuna kavandatav määrus sisaldab EKP pädevusse kuuluvaid sätteid, mis puudutavad eelkõige rahapoliitika rakendamist kooskõlas aluslepingu artikli 127 lõike 2 esimese taandega ja artikli 282 lõikega 1, maksesüsteemide tõrgeteta toimimist kooskõlas aluslepingu artikli 127 lõike 2 neljanda taandega ja artikli 282 lõikega 1, krediidiasutuste usaldatavusnõuete täitmise järelevalvet kooskõlas aluslepingu artikli 127 lõikega 6 ning EKP ülesandeid seoses statistilise teabe kogumisega kooskõlas Euroopa Keskpankade Süsteemi ja Euroopa Keskpanga põhikirja (edaspidi „EKPSi põhikiri“) artikliga 5. EKP nõukogu on käesoleva arvamuse vastu võtnud kooskõlas Euroopa Keskpanga kodukorra artikli 17.5 esimese lausega.

1.   Üldised märkused

1.1.

EKP avaldab kavandatavale määrusele toetust kui olulisele reformile, mille eesmärk on lihtsustada ja optimeerida digivaldkonna eeskirjade kohaldamist liidus. Niivõrd kui kavandatav määrus on tõhus oma eesmärkide saavutamisel – liidu konkurentsivõimet tugevdava poliitika edendamisel ning füüsiliste isikute, ettevõtjate ja riigiasutuste regulatiivse koormuse vähendamisel – aitab see kõrvaldada takistusi teenuste osutamisel ning toetada digimajanduse arengut liidus, võttes samal ajal arvesse vajadust säilitada kõrgeimad standardid liidu väärtuste edendamisel, sealhulgas põhiõiguste kaitsmisel. Digimajandus muutub üha olulisemaks ja võib avaldada mõju rahapoliitika elluviimisele, kuna see mõjutab rahapoliitika toimimise keskkonda, muutes euroalal ja liikmesriikides ebaühtlaselt tarbimis- ja tootmisharjumusi, ärimudeleid ja suhtelisi hindu. Sellistel arengutel on oluline mõju rahapoliitika näitajatele ja nende mõõtmisele, sealhulgas tööhõivele, tootlikkusele, potentsiaalsele kogutoodangule ja inflatsioonile. Samuti mõjutavad need arengud rahapoliitiliste otsuste ülekandumist kodumajapidamistele ja ettevõtjatele, muutes olukorra poliitikakujundajate jaoks veelgi ebakindlamaks ja keerulisemaks.

1.2.

Eelkõige toetab EKP ettepanekut lihtsustada Euroopa Parlamendi ja nõukogu määruses (EL) 2023/2854 (2) (edaspidi „andmemäärus“) riigilt ettevõtjatele ja ettevõtjatelt riigile andmete jagamise regulatsiooni ning isikuandmete töötlemist reguleerivaid sätteid. EKP on ulatuslikult seotud selliste andmete kogumise, arendamise, koostamise ja levitamisega, mida ta kasutab oma pädevusvaldkonda kuuluvate ülesannete täitmiseks ja tegevuseks. See pädevus hõlmab vajaduse korral statistilise teabe kogumist, et täita Euroopa Keskpankade Süsteemi (EKPS) põhikirja artikli 5 kohaseid EKPSi ülesandeid. Samuti osaleb EKP erinevates koostööalgatustes, mis toetavad andmete jagamist ja koostööd teiste liidu institutsioonide, organite ja asutustega ning liikmesriikide pädevate asutuste, kolmandate riikide ja rahvusvaheliste organisatsioonidega. Oma ülesannete täitmisel võib EKP teatavatel asjaoludel töödelda ka isikuandmeid kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) 2018/1725 (3) (edaspidi „ELi andmekaitsemäärus“). Eelnimetatud põhjustel toetab EKP meetmeid, millega luuakse ühtne ja sidus õigusraamistik, et toetada andmete kättesaadavust ja kasutamist.

1.3.

EKP vastutab Euroopa Parlamendi ja nõukogu määruse (EL) 2022/2554 (4) (edaspidi „DORA“) järgimise tagamise eest nõukogu määruse (EL) nr 1024/2013 (5) artikli 6 lõike 4 kohaselt oluliseks liigitatud krediidiasutuste puhul, kooskõlas kõnealuse määrusega (6) antud usaldatavusjärelevalve volituste ja ülesannetega. Selles rollis saab EKP aruandeid, mida olulised krediidiasutused esitavad oma riiklikele pädevatele asutustele info- ja kommunikatsioonitehnoloogiaga seotud tõsiste intsidentide (edaspidi „IKTga seotud intsidendid“) ja oluliste küberohtude kohta. Lisaks on EKPSi üks põhiülesandeid edendada maksesüsteemide tõrgeteta toimimist vastavalt aluslepingu artikli 127 lõike 2 neljandale taandele, nagu on sätestatud EKPSi põhikirja artiklis 3.1. Sellega seoses saab EKP DORA kohaselt intsidendiaruandeid makseasutustelt ja e-raha asutustelt ning krediidiasutustelt. Neid kohustusi ja ülesandeid silmas pidades väljendab EKP üldist toetust jõupingutustele veelgi lihtsustada ja ühtlustada IKTga seotud intsidentidest teatamise raamistikku liidus ning rakendada tõsiste IKTga seotud intsidentide tsentraliseeritud aruandlust. Kuna finantssektor on olnud intsidentidest teatamise ühtlustatud, tervikliku ja tulemusliku raamistiku rakendamisel esirinnas, toetab EKP meetmeid, mis lihtsustavad intsidentidest teatamise nõuete täitmist, tuginedes finantssektoris saadud kogemustele.

1.4.

EKP on siiski mures selle pärast, millisel määral aitaks kavandatav määrus saavutada lihtsustamise eesmärki konkreetsetel juhtudel, kui lihtsustamine ei leevenda ettevõtjate ja avaliku sektori asutuste regulatiivset koormust. Seetõttu esitab EKP käesolevas arvamuses mõned konkreetsed tehnilised märkused ja ettepanekud kavandatava määruse kohta.

1.5.

Eelnimetatud murede tõttu avaldab EKP ka heameelt asjaolu üle, et komisjon hindab andmemääruse peamisi peatükke 12. septembriks 2028 ning uusi peatükke viie aasta jooksul alates kavandatava määruse jõustumisest (7). Samuti on oluline, et DORA läbivaatamisklauslit (8) ei muudetaks ning komisjonilt nõutaks, et ta vaataks läbi ja esitaks aruande DORA erinevate aspektide toimimise kohta. Läbivaatamine peaks tagama, et asjaomased määrused toimivad jätkuvalt tulemuslikult ning täidavad oma eesmärke, toetades digimajanduse arengut liidus.

2.   Digivaldkonna õigusnormid

2.1.

EKP toetab täielikult kavandatavat määrust kui esimest sammu digivaldkonda käsitlevate õigusnormide lihtsustamiseks ja nende kohaldamise optimeerimiseks. Digivaldkonna õigusnormide kogum, mis on aja jooksul välja töötatud andmete, tehisintellekti, veebiplatvormide, andmekaitse ja küberturvalisuse valdkonnas, on muutunud keerukaks ning sisaldab nüüd killustatud ja kattuvaid sätteid, mis tekitavad ebakindlust nii avaliku sektori asutustele kui ka ettevõtjatele.

2.2.

Euroopa Parlamendi ja nõukogu määruses (EL) 2022/868 (9) sätestatud liikmesriikide avaliku sektori asutuste valduses olevate kaitstud andmete taaskasutamise normide ja Euroopa Parlamendi ja nõukogu direktiivis (EL) 2019/1024 (10) sätestatud liikmesriikide avaliku sektori asutuste või riigi osalusega äriühingute valduses olevate dokumentide taaskasutamise normide konsolideerimine andmemäärusesse loob sidusama struktuuri ja põhimõistete ühtsemad määratlused, mis lihtsustab andmete jagamise normide kohaldamist. Seda toetab aegunud normide - eelkõige Euroopa Parlamendi ja nõukogu määruses (EL) 2018/1807 (11) sätestatud normide - kehtetuks tunnistamine.

2.3.

Riikide keskpankadele (RKPd), mis on tavaliselt liikmesriikide avaliku sektori asutused ja mille suhtes kohaldatakse seetõttu eeskirju, mille eesmärk on hõlbustada andmete taaskasutamist, annab see oodatud selguse. EKP ja RKPd saavad kasu ka selgemast korrast seoses andmete kättesaadavusega, eelkõige väärtuslikeks andmestikeks liigitatud avaandmete allikate puhul (12). EKP kasutab neid andmekogumeid ulatuslikult EKPSi põhikirja artikli 5 lõike 1 kohase ülesande täitmisel, et koguda EKPSi ülesannete täitmiseks vajalikku statistilist teavet.

2.4.

Näiteks kasutatakse teavet äriühingute ja nende omandisuhete kohta asutuste ja filiaalide registri (RIAD) pidamiseks, mille näol on tegemist õigus- ja muude statistikaasutuste võrdlusandmete ühise andmekogumiga, mis toetab ettevõtlusprotsesse kogu eurosüsteemis ning EKPSi ja ühtse järelevalvemehhanismi ülesannete täitmist (13). Kui EKP saab tugineda avaandmetele, st avatud vormingus andmetele, mida igaüks saab mis tahes eesmärgil vabalt kasutada, taaskasutada ja jagada (14), saab ta vähendada andmeesitajate koormust selliste andmete esitamisel ning jagada seda teavet piiranguteta EKPSi ja teiste avaliku sektori asutustega, kellega ta koostööd teeb. EKP väljendab toetust asjaolule, et kord, mis käsitleb avalikult sektorilt andmete ja dokumentide kättesaadavust ettevõtjatele (15), ei piira liidu eeskirju, millega välistatakse juurdepääs tundlikele andmetele ja dokumentidele statistika konfidentsiaalsuse ja ametisaladuse tõttu.

2.5.

Kavandatava määrusega muudetakse oluliselt (16) andmevaldajate kohustust teha andmed kättesaadavaks EKP-le, samuti teistele avaliku sektori asutustele, komisjonile ja liidu asutustele, kui nende andmete kasutamiseks on erakorraline vajadus (17). See säte võimaldab EKP-l nõuda andmevaldajatelt andmete kättesaadavaks tegemist, kui see on vajalik üldisele hädaolukorrale reageerimiseks või erakorralise vajaduse korral. Kuna andmevaldajad on määratletud laialt (18), võimaldab asjaomane säte EKP-l koguda erandjuhtudel andmeid suuremalt hulgalt isikutelt, kui on lubatud olukorras, kus EKP kogub statistilist teavet oma olemasolevate volituste alusel. EKP võib koguda statistilist teavet ainult nõukogu määruses (EÜ) nr 2533/98 (19) määratletud andmeid esitava üldkogumi liikmetelt, kes kuuluvad peamiselt Euroopa arvepidamise süsteemis (20) määratletud sektorisse „finantsinstitutsioonid“ või on juriidilised ja füüsilised isikud, kellel on teatavad finantspositsioonid või kes teevad finantstehinguid.

2.6.

Nagu EKP on ka varasemates arvamustes sedastanud, on avalikule sektorile juurdepääsu võimaldamine erasektori valduses olevatele andmetele ja nende andmete kasutamine erinevatel avalike huvi eesmärkidel väga kasulik (21). Oma rahapoliitiliste ülesannete täitmisel kasutab EKP ulatuslikult mitte ainult RKPde ja Euroopa statistikasüsteemi abiga EKP poolt koostatud ametlikku statistikat, vaid ka mitteametlikke ja ebatraditsioonilisi andmeallikaid. Ebatraditsioonilised andmed võivad pärineda näiteks kõrge sagedusega hinnateabest, rahvastiku liikuvuse näitajatest või muudest andmeallikatest, mis ei pruugi olla finantsinstitutsioonide valduses. EKP-l on õigus nõuda neid andmeid erasektori andmevaldajatelt üksnes erakorralise vajaduse korral.

2.7.

Peamine muudatus, mis kavandatava määrusega sisse viidaks, on piirata juhtumeid, mil seda õigust saab kasutada üldistes hädaolukordades, jättes välja muud juhud, mil võib esineda erakorraline vajadus andmeid kasutada. EKP peaks tõendama erakorralist vajadust kasutada teatavaid andmeid oma seadusjärgsete ülesannete täitmiseks avalikes huvides, kui ta reageerib üldisele hädaolukorrale, leevendab seda või toetab sellest taastumist.

2.8.

EKP toetab nende muudatuste eesmärke ning peab asjakohaseks lihtsustada andmemääruses sätestatud ettevõtjalt riigile andmete jagamise raamistikku ja täpsustada ebaselgusi, mis võisid tekkida ettevõtjatele kohustuste kehtestamisel. Samuti toetab EKP seisukohta, et oluline on säilitada andmemääruse kohase ametliku statistika roll, kuna Euroopa Parlamendi ja nõukogu määruses (EÜ) nr 223/2009 (22) sätestatud ajakohastatud liidu Euroopa statistika raamistik ei käsitle üldisi hädaolukordi (23).

2.9.

Erinevalt Euroopa statistikasüsteemi liikmetest, kes võivad oma statistiliste ülesannete täitmiseks teatavatel tingimustel koguda andmeid erasektori andmevaldajatelt (24), ei ole EKP-l siiski volitust koguda statistilist teavet erasektori andmevaldajatelt, kes ei ole andmeesitajad, välja arvatud erakorralise vajaduse korral. EKP võib selliste andmete hankimisel tugineda üksnes mehhanismidele, mis võimaldavad Euroopa statistikasüsteemi andmete jagamist EKPSiga. Kui asjaomase sätte kohaldamisala kitsendatakse nii, et see hõlmab üksnes üldist hädaolukorda, on äärmiselt oluline tagada, et seda saaks kohaldada sujuvalt ja ühemõtteliselt kiireloomulistes olukordades, kus EKP vajab täiendavaid andmeallikaid kas oma statistika kogumise ülesande või muude keskpanga ülesannete või usaldatavusjärelevalve ülesannete täitmiseks. Seepärast soovitab EKP veelgi lihtsustada tingimusi, mida avaliku sektori asutused peavad andmete taotlemiseks täitma, kuna see aitab vähendada ka keerukust, millega andmevaldajad nende tingimuste täitmise kontrollimisel kokku puutuvad.

2.10.

Lisaks leiab EKP, et tuleks astuda täiendavaid samme, selgitamaks mõiste „üldine hädaolukord“ määratlust. Määratluse üks aspekt on asjaolu, et üldine hädaolukord „tehakse kindlaks või kuulutatakse ametlikult välja vastavalt liidu või riigisisese õiguse kohastele asjakohastele menetlustele“ (25). Kuna esmases ja teiseses õiguses sätestatud õiguslike aluste kogum, mille kohaselt võib üldise hädaolukorra kindlaks määrata või välja kuulutada, on killustunud, peaks täpsustama, et kui selline kindlaksmääramine või väljakuulutamine toimub, ei nõua üldise hädaolukorra määratlus lisakriteeriumide täitmist, sest üldise hädaolukorraga tuleb tegeleda kiiresti. Näiteks võimaldab Euroopa Parlamendi ja nõukogu määrus (EL) 2024/2747 (26) nõukogul kehtestada siseturu valvsusrežiimi, kui on oht, et järgmise kuue kuu jooksul tekib kriis, mis võib laieneda siseturu hädaolukorraks. Peaks olema selgem, et kui avaliku sektori asutuse ülesannete hulka kuulub üldise hädaolukorra leevendamine, siis üldise hädaolukorra oht õigustab erakorralist vajadust andmeid taotleda. Lisaks ei piira nõukogu otsus 2014/415/EL (27), millega kehtestatakse integreeritud poliitilistele kriisidele reageerimise kord solidaarsusklausli (aluslepingu artikkel 222) rakendamiseks, nende asjaolude ulatust, mille korral otsust kohaldatakse „ajaliselt piiratud“ erandlike olukordade suhtes (28). Seetõttu peaks olema selgem, et üldise hädaolukorra määratlus on täielikult kooskõlas ega ole piiravam kui olukorrad, kus liidu ja liikmesriigi õiguse alusel kasutatakse hädaolukorra lahendamise korda.

2.11.

Hüvitamise korra osas (29) toetab EKP nõuet teha tasuta kättesaadavaks andmed, mis on vajalikud üldisele hädaolukorrale reageerimiseks, välja arvatud juhul, kui andmevaldaja on mikro- või väikeettevõtja. EKP peab siiski oluliseks tagada, et kui avaliku sektori asutustele antakse juurdepääs erasektori valduses olevatele andmetele, ei tohiks nendega kaasneda põhjendamatuid kulusid. Kuna iga andmetaotlus teenib avalikku huvi, tuleks andmed teha kättesaadavaks tasu eest ja ilma „mõistlikus suuruses marginaali“ (30) kehtestamata.

3.   Andmekaitse

3.1.

EKP toetab kavandatava määruse muudatusi, mille eesmärk on lihtsustada andmekaitsealaseid õigusakte. EKP pädevusvaldkondades on mitu punkti, mis väärivad täiendavat kaalumist, et saavutada lihtsustamise eesmärk nii halduskoormuse vähendamise kui ka intsidentidest tulemusliku, õigeaegse ja turvalise teatamise tagamise osas.

3.2.

EKP viib koostöös RKPdega läbi erinevaid isikuandmete töötlemise toiminguid. Lisaks teeb EKP koostööd riiklike pädevate asutustega, et töödelda isikuandmeid pangandusjärelevalve valdkonnas. Liidu institutsioonina töötleb EKP isikuandmeid kooskõlas ELi isikuandmete kaitse määrusega, samas kui RKPd ja riiklikud pädevad asutused töötlevad isikuandmeid kooskõlas Euroopa Parlamendi ja nõukogu määrusega (EL) 2016/679 (31) (edaspidi „isikuandmete kaitse üldmäärus“).

3.3.

Kui EKP ja RKPd ja/või riiklikud pädevad asutused määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid, töötlevad nad isikuandmeid kaasvastutavate töötlejatena (32). Kui aga üks üksus määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid ning teine töötleb isikuandmeid tema nimel, on nende suhe vastutava töötleja ja volitatud töötleja suhe (33). Mõlemal juhul töötleb EKP isikuandmeid ELi isikuandmete kaitse määruse alusel, samas kui RKPd ja riiklikud pädevad asutused töötlevad isikuandmeid isikuandmete kaitse üldmääruse alusel. Sellest tulenevalt kohaldatakse ühe ja sama isikuandmete töötlemise toimingu suhtes kahte eraldiseisvat, kuid üksteist täiendavat liidu õigusakti.

3.4.

Näiteks võib tuua olukorra, kus nii EKP kui ka RKPd, kes osalevad TARGETi välkmaksete arvelduses (TIPS), töötlevad isikuandmeid TIPS süsteemis. Sellisel puhul on sõlmitud kaasvastutuse kokkulepe. Samamoodi võib isikuandmete töötlemiseks tulevase digieuro kontekstis olla vaja sõlmida andmekaitseleping või -kokkulepe EKP ja euroala RKPde vahel.

3.5.

EKPSi ja ühtse järelevalvemehhanismi ülesannete täitmisel koostöös RKPde ja riiklike pädevate asutustega on EKP jaoks äärmiselt oluline, et isikuandmete töötlemist reguleerivad õigusaktid oleksid võimalikult suures ulatuses ühtlustatud ja omavahel kooskõlas. Seetõttu väljendab EKP heameelt asjaolu üle, et isikuandmete kaitse üldmääruse ja ELi isikuandmete kaitse määruse kavandatavaid muudatusi menetletakse paralleelselt, aidates seeläbi kaasa sidusa ja järjepideva õigusraamistiku loomisele. See aitab tagada, et õigusaktide jõustumise ja kohaldamise erinevad tähtajad ei tekita õiguslikku määramatust.

3.6.

Seetõttu, võttes arvesse EKP koostööd RKPde ja riiklike pädevate asutustega isikuandmete töötlemisel, kui see on vajalik EKPSi ja ühtse järelevalvemehhanismi ülesannete täitmiseks, soovib EKP juhtida tähelepanu alljärgnevale.

3.7.

Ühtse kontaktpunkti mehhanismi osas soovitab EKP anda kaasvastutavatele töötlejatele volituse teavitada isikuandmetega seotud rikkumistest kõikide kaasvastutavate töötlejate nimel (34). See on võimalik, sest kavandatava määrusega kehtestatakse ühtne kontaktpunkt, mille kaudu üksused saavad ühe teatega täita korraga mitmest liidu õigusaktist tulenevaid intsidentidest teatamise kohustusi. Rakendades põhimõtet „teata üks kord, jaga paljudele“, on ühtse kontaktpunkti eesmärk vähendada üksuste halduskoormust, tagades samal ajal tulemusliku, õigeaegse ja turvalise intsidentidest teatamise. Sel eesmärgil on ühtne kontaktpunkt mõeldud toimima ühise kanalina teadete edastamiseks mitme õigusakti alusel (35). Nagu EKP on ka varem oma arvamuses sedastanud, toetab EKP kindlalt ametiasutuste vahelist teabevahetust, et võimaldada valdkondade vahelist õpet, aidata kaasa küberrünnakute ennetamisele ja tõhusale ohjamisele ning edendada IKTga seotud riskide järjepidevat hindamist kogu liidus (36). Sellest tulenevalt toetab EKP ühtse kontaktpunkti loomist isikuandmetega seotud rikkumistest teatamise kontekstis.

3.8.

Ühtse kontaktpunkti mehhanismi kohaldamisel EKP poolt koostöös RKPdega (ja riiklike pädevate asutustega) läbi viidavate ühiste töötlemistoimingute suhtes saaksid RKPd kavandatava määruse alusel kasu ühtse kontaktpunkti kasutamisest intsidenditeadete vastuvõtmiseks. Seevastu EKP kui liidu institutsioon tugineks kavandatava määruse alusel jätkuvalt ELi isikuandmete kaitse määrusega loodud teatamiskanalile, mille kaudu ta teavitab intsidentidest Euroopa Andmekaitseinspektorit (37).

3.9.

EKP kordab vajadust ühtlustada, kiirendada ja maksimeerida teabevahetust intsidentide kohta ning tagada sidusus isikuandmete kaitse üldmääruse ja ELi isikuandmete kaitse määruse vahel. Seetõttu oleks asjakohane lisada ELi andmekaitse määrus liidu õigusaktidesse, mille puhul tuleb isikuandmetega seotud rikkumistest teatamiseks kasutada ühtset kontaktpunkti.

3.10.

Üheainsa andmetega seotud rikkumisest teatamise osas kaasvastutuse puhul jääb EKP seisukohale, et kaasvastutavatel töötlejatel peaks olema vabadus otsustada, kas ja millistel tingimustel nad seda võimalust kasutavad. Euroopa Andmekaitseinspektor kinnitas hiljuti, et tegemaks kindlaks, kas EKP on kohustatud teavitama Euroopa Andmekaitseinspektorit isikuandmetega seotud rikkumisest, ei ole oluline, kas EKP kui kaasvastutav töötleja vastutab selle rikkumise toimepanemise eest. Piisab asjaolust, et EKP on kaasvastutav töötleja töötlemistoimingu puhul, millega seoses isikuandmetega seotud rikkumine toimus, et tekiks kohustus teavitada Euroopa Andmekaitseinspektorit, kui ELi isikuandmete kaitse määruse asjakohased tingimused on täidetud (38).

3.11.

Oluline on märkida, et paljudel juhtudel, mil EKP ja eurosüsteemi RKPde vahel on sõlmitud kaasvastutuse kokkulepe, võib ühe isikuandmetega seotud rikkumise kohta esitada kuni 22 teadet, mis on tõenäoliselt sisult sarnased või identsed. Selline süsteem oleks vastuolus eesmärgiga lihtsustada avaliku sektori asutuste halduskoormust. Seetõttu oleks asjakohane sätestada, et kaasvastutavad töötlejad võivad teavitada pädevaid järelevalveasutusi isikuandmetega seotud rikkumistest ühtse kontaktpunkti kaudu ainult üks kord. Kooskõlas lihtsustamiseesmärkidega ei kohaldataks sellist teatamissüsteemi, kui isikuandmetega seotud rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele (39).

3.12.

Eelnimetatud põhjustel soovitab EKP jätta kaasvastutavate töötlejate otsustada, kas ja millistel tingimustel nad soovivad kasutada võimalust esitada üks teade kõikide kaasvastutavate töötlejate nimel konkreetses kaasvastutavate töötlejate kokkuleppes. Asjaomane teade esitataks üks kord ühtse kontaktpunkti kaudu ning adresseeritaks seega kõikidele asjaomastele järelevalveasutustele, kahjustamata teatamiskohustuste rolli täieliku läbipaistvuse ja põhjaliku teabevahetuse tagamisel.

4.   Intsidentidest teatamine

4.1.

Nagu on märgitud punktis 1.3, toetab EKP algatust lihtsustada ja ühtlustada IKTga seotud intsidentidest teatamise raamistikku ning rakendada tõsiste IKTga seotud intsidentide tsentraliseeritud aruandlust. Samas peaks see kõikidel juhtudel vähendama järelevalve alla kuuluvate krediidiasutuste, makseasutuste, e-raha asutuste ja avaliku sektori asutuste halduskoormust. Sellega seoses on oluline tunnistada, et DORA rakendamisega finantssektoris on aruandlusmenetlusi juba teataval määral lihtsustatud. DORA asendas tulemuslikult finantssektori ettevõtjate erinevad IKTga seotud intsidentidest teatamise nõuded (40), vähendades märkimisväärselt nende suhtes kohaldatavat aruandluskoormust ning rakendades tulemuslikke ja tõhusaid koordineerimismehhanisme erinevate pädevate asutuste vahel (41). DORA saavutas selle eesmärgi, määratledes ühised taksonoomiad, vormid ja aruandluskorra ning määrates nende aruannete ühtse kontaktpunkti.

4.2.

Kuigi EKP toetab neid lihtsustamispüüdlusi, on tal kahtlusi ka kavandatavas määruses sisalduvate IKTga seotud intsidentidest teatamise meetmete aspektide suhtes, kolmel peamisel põhjusel.

4.3.

Esiteks ei vähenda ühtse kontaktpunkti loomise ettepanek tulemuslikult nende finantssektori ettevõtjate ja muude ettevõtjate aruandluskoormust, kelle suhtes kohaldatakse intsidentidest teatamise nõudeid. Kuigi ühtne kontaktpunkt tagab, et intsidentidest teatamiseks on olemas ühtne portaal, ei muuda see asjaolu, et iga intsidenditeate jaoks on eri raamistikes (v.a DORA) endiselt erinevad taksonoomiad, vormid ja teatamismenetlused. Intsidendist teatamiseks peab finantssektori ettevõtja koostama erinevaid aruandeid vastavalt erinevatele õigusaktidele (nt isikuandmete kaitse üldmääruse ja DORA alusel). Üksnes nende aruannete ühele adressaadile edastamise lubamine ei vähenda halduskoormust märkimisväärselt. Seetõttu oleks asjakohane võtta nõuetekohaselt arvesse DORA alusel vastu võetud regulatiivseid tehnilisi standardeid, et aruandlusmenetlus oleks tulemuslikum ja sujuvam (42). EKP toetaks ka edasist ühtlustamist ja vajaduse korral taksonoomiate, vormide ja intsidentidest teatamise menetluste ühendamist eri raamistike raames, et saavutada tõeline lihtsustamine.

4.4.

Teiseks käivitab DORA intsidenditeade ajakriitilised protsessid, mis võivad hõlmata kriisimenetluste käivitamist. Uue osaleja ja süsteemi kaasamine selliste intsidenditeadete vastuvõtmisse toob kaasa lisariske seoses nõutava teabe kättesaadavuse ja õigeaegse esitamisega. Seetõttu on kõige tulemuslikum ja kindlam saata need aruanded otse pädevale asutusele, nagu on ette nähtud DORAs (43), et vältida põhjendamatuid viivitusi järelevalvetegevuses võimaliku kriitilise olukorra korral.

4.5.

Kolmandaks tuleks arvesse võtta jõupingutusi ja kulusid, mida finantssektor on alles alates 17. jaanuarist 2025 kohaldatud DORA rakendamiseks seni teinud. Järelevalve alla kuuluvad krediidiasutused ja pädevad asutused on uue raamistiku rakendamisse investeerinud märkimisväärseid ressursse. Seetõttu oleks otstarbekas IKTga seotud intsidentidest teatamise integreerimine ühtse kontaktpunkti kaudu edasi lükata. See annaks rohkem aega, et tuvastada võimalikud parendused ja viisid, kuidas veelgi lihtsustada ühtse järelevalvemehhanismi ja järelevalve alla kuuluvate krediidiasutuste halduskoormust.

4.6.

Eelnimetatud põhjustel teeb EKP ettepaneku jätta DORA kavandatavast määrusest välja. Asjakohane oleks koguda eraldi tähelepanekuid uue ühtse kontaktpunkti (mis hõlmab muid määrusi, sealhulgas ELi isikuandmete kaitse määrust) ja hiljuti rakendatud digitaalse tegevuskerksuse määruse aruandluskorra kohta, ning seejärel vaadata läbi, kuidas neid hilisemas etapis kõige paremini integreerida. Teksti redaktsiooni ettepanekud, mille puhul EKP on soovitanud kavandatavat määrust muuta, on esitatud eraldi tehnilises töödokumendis koos selgitustega. Tehniline töödokument on avaldatud inglise keeles EUR-Lexis.

---

(1)  COM (2025) 837 final.

(2)  Euroopa Parlamendi ja nõukogu määrus (EL) 2023/2854, 13. detsember 2023, ühtlustatud õigusnormide kohta, millega reguleeritakse õiglast juurdepääsu andmetele ja andmete kasutamist, millega muudetakse määrust (EL) 2017/2394 ja direktiivi (EL) 2020/1828 (andmemäärus) (ELT L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).

(3)  Euroopa Parlamendi ja nõukogu määrus (EL) 2018/1725, 23. oktoober 2018, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ (ELT L 295, 21.11.2018, lk 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(4)  Euroopa Parlamendi ja nõukogu määrus (EL) 2022/2554, 14. detsember 2022, mis käsitleb finantssektori digitaalset tegevuskerksust ning millega muudetakse määrusi (EÜ) nr 1060/2009, (EL) nr 648/2012, (EL) nr 600/2014, (EL) nr 909/2014 ja (EL) 2016/1011 (ELT L 333, 27.12.2022, lk 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).

(5)  Nõukogu määrus (EL) nr 1024/2013, 15. oktoober 2013, millega antakse Euroopa Keskpangale eriülesanded seoses krediidiasutuste usaldatavusnõuete täitmise järelevalve poliitikaga (ELT L 287, 29.10.2013, lk 63, ELI: http://data.europa.eu/eli/reg/2013/1024/oj).

(6)  DORA artikli 46 punkt a.

(7)  Kavandatava määruse artikli 1 lõige 26, millega muudetakse andmemääruse artiklit 49. Vt ka Euroopa Keskpanga arvamus, 5. september 2022, seoses ettepanekuga võtta vastu määrus ühtlustatud õigusnormide kohta, millega reguleeritakse õiglast juurdepääsu andmetele ja andmete kasutamist (andmemäärus) (CON/2022/30) (ELT C 402, 19.10.2022, lk 5), punkt 1.2.

(8)  DORA määruse artikkel 58.

(9)  Euroopa Parlamendi ja nõukogu määrus (EL) 2022/868, 30. mai 2022, Euroopa andmehalduse kohta ning millega muudetakse määrust (EL) 2018/1724 (andmehalduse määrus) (ELT L 152, 3.6.2022, lk 1, ELI: http://data.europa.eu/eli/reg/2022/868/oj).

(10)  Euroopa Parlamendi ja nõukogu direktiiv (EL) 2019/1024, 20. juuni 2019, avaandmete ja avaliku sektori valduses oleva teabe taaskasutamise kohta (ELT L 172, 26.6.2019, lk 56, ELI: http://data.europa.eu/eli/dir/2019/1024/oj).

(11)  Euroopa Parlamendi ja nõukogu määrus (EL) 2018/1807, 14. november 2018, mis käsitleb isikustamata andmete Euroopa Liidus vaba liikumise raamistikku (ELT L 303, 28.11.2018, lk 59, ELI: http://data.europa.eu/eli/reg/2018/1807/oj).

(12)  Avaandmete direktiivi artikli 13 lõike 1 kohaselt on väärtuslike andmestike temaatilised kategooriad georuumilised andmed, Maa seire ja keskkond, meteoroloogiateave, statistika, äriühingud ja äriühingu omandisuhted ning liikuvus. Artikli 13 lõike 2 kohaselt on komisjonil õigus võtta vastu delegeeritud õigusakte I lisa muutmiseks, et lisada sinna uusi väärtuslike andmestike temaatilisi kategooriaid, kajastamaks arenguid tehnoloogias ja turgudel.

(13)  Euroopa Keskpanga suunis (EL) 2018/876, 1. juuni 2018, asutuste ja filiaalide andmete registri kohta (EKP/2018/16) (ELT L 154, 18.6.2018, lk 3, ELI: http://data.europa.eu/eli/guideline/2018/876/oj).

(14)  Vt Euroopa Parlamendi ja nõukogu direktiiv (EL) 2019/1024, 20. juuni 2019, avaandmete ja avaliku sektori valduses oleva teabe taaskasutamise kohta (ELT L 172, 26.6.2019, lk 56, ELI: http://data.europa.eu/eli/dir/2019/1024/oj), põhjendus 16.

(15)  Kavandatava määruse artikli 1 lõige 18, millega lisatakse andmemäärusesse uus, VIIc peatükk.

(16)  Kavandatava määruse artikli 1 lõige 7, millega lisatakse andmemäärusesse uus artikkel 15a.

(17)  Andmemääruse artiklid 14 ja 15.

(18)  „Andmevaldaja“ on andmemääruse artikli 2 punktis 13 määratletud kui „füüsiline või juriidiline isik, kellel on käesoleva määruse, kohaldatava liidu õiguse või liidu õiguse alusel vastu võetud riigisiseste õigusaktide kohaselt õigus või kohustus kasutada ja teha kättesaadavaks andmeid, sealhulgas lepingu korral toote kasutamisel loodud andmeid või seotud teenuse kasutamisel loodud andmeid, mis ta on välja võtnud või loonud seotud teenuse osutamise käigus“.

(19)  Nõukogu määrus (EÜ) nr 2533/98, 23. november 1998, statistilise teabe kogumise kohta Euroopa Keskpanga poolt (EÜT L 318, 27.11.1998, lk 8, ELI: http://data.europa.eu/eli/reg/1998/2533/oj), artikkel 2.

(20)  Vt Euroopa rahvamajanduse ja regionaalse arvepidamise süsteem (ESA 2010), kättesaadav Eurostati veebilehel https://ec.europa.eu/eurostat.

(21)  Arvamuse CON/2022/30 punkt 2.3.1.

(22)  Euroopa Parlamendi ja nõukogu määrus (EÜ) nr 223/2009, 11. märts 2009, Euroopa statistika kohta ning Euroopa Parlamendi ja nõukogu määruse (EÜ, Euratom) nr 1101/2008 (konfidentsiaalsete statistiliste andmete Euroopa Ühenduste Statistikaametile edastamise kohta), nõukogu määruse (EÜ) nr 322/97 (ühenduse statistika kohta) ja nõukogu otsuse 89/382/EMÜ, Euratom (millega luuakse Euroopa ühenduste statistikaprogrammi komitee) kehtetuks tunnistamise kohta (ELT L 87, 31.3.2009, lk 164, ELI: http://data.europa.eu/eli/reg/2009/223/oj).

(23)  Vt kavandatava määruse põhjendus 15.

(24)  Määruse (EÜ) 223/2009 artikkel 17b.

(25)  Määruse (EL) 2023/2854 artikli 2 punkt 29.

(26)  Euroopa Parlamendi ja nõukogu määrus (EL) 2024/2747, 9. oktoober 2024, millega luuakse siseturu hädaolukorra ja vastupanuvõimega seotud meetmete raamistik ning muudetakse nõukogu määrust (EÜ) nr 2679/98 (siseturu hädaolukorra ja vastupanuvõime määrus) (ELT L, 2024/2747, 8.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2747/oj).

(27)  Nõukogu otsus 2014/415/EL, 24. juuni 2014, solidaarsusklausli liidupoolse rakendamise korra kohta (ELT L 192, 1.7.2014, lk 53, ELI: http://data.europa.eu/eli/dec/2014/415/oj).

(28)  Määruse (EL) 2023/2854 artikli 2 punkt 29.

(29)  Kavandatava määruse artikli 1 lõige 12, millega asendatakse andmemääruse artikkel 20.

(30)  Vt arvamuse CON/2022/30 punkt 2.3.3.

(31)  Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(32)  Isikuandmete kaitse üldmääruse artikli 26 ja ELi isikuandmete kaitse määruse artikli 28 tähenduses.

(33)  Isikuandmete kaitse üldmääruse artikli 28 ja ELi isikuandmete kaitse määruse artikli 29 tähenduses.

(34)  Nagu on nõutud ELi andmekaitse määruse artiklis 34.

(35)  Siia kuuluvad isikuandmete kaitse üldmäärus ning Euroopa Parlamendi ja nõukogu direktiiv (EL) 2022/2555, 14. detsember 2022, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega muudetakse määrust (EL) nr 910/2014 ja direktiivi (EL) 2018/1972 ning tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (küberturvalisuse 2. direktiiv) (ELT L 333, 27.12.2022, lk 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj), Euroopa Parlamendi ja nõukogu määrus (EL) nr 910/2014, 23. juuli 2014, e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93/EÜ (ELT L 257, 28.8.2014, lk 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj) (eIDAS määrus) ja Euroopa Parlamendi ja nõukogu direktiiv (EL) 2022/2557, 14. detsember 2022, mis käsitleb elutähtsa teenuse osutajate toimepidevust ja millega tunnistatakse kehtetuks nõukogu direktiiv 2008/114/EÜ (ELT L 333, 27.12.2022, lk 164, ELI: http://data.europa.eu/eli/dir/2022/2557/oj) (elutähtsa teenuse osutajate toimepidevuse direktiiv).

(36)  Vt Euroopa Keskpanga arvamus CON/2022/14, 11. aprill 2022, seoses ettepanekuga võtta vastu Euroopa Parlamendi ja nõukogu direktiiv, mis käsitleb meetmeid, millega tagada küberturvalisuse ühtlaselt kõrge tase kogu liidus, ja millega tunnistatakse kehtetuks direktiiv (EL) 2016/1148 (ELT C 233, 16.6.2022, lk 22), punkt 3.3.1.

(37)  Nagu on nõutud ELi andmekaitse määruse artiklis 34.

(38)   Supervisory Opinion 18/2025 on a draft joint controllership arrangement between the European Central Bank and National Competent Authorities in the context of the Single Supervisory Mechanism (Case 2024-1002), avaldatud Euroopa Andmekaitseinspektori veebilehel www.edps.europa.eu.

(39)  ELi andmekaitse määruse artikkel 34.

(40)  Vt selle kohta DORA põhjendused 16, 18, 19 ja 23.

(41)  See on võimaldanud käsitleda DORA, Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/2366. 25. november 2015, makseteenuste kohta siseturul, direktiivide 2002/65/EÜ, 2009/110/EÜ ning 2013/36/EL ja määruse (EL) nr 1093/2010 muutmise ning direktiivi 2007/64/EÜ kehtetuks tunnistamise kohta (ELT L 337, 23.12.2015, lk 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj), ning EBA vastavate suuniste alusel paralleelselt esitatavate teadete küsimust, nagu on märgitud Euroopa Keskpanga arvamuse CON/2021/20, 4. juuni 2021, seoses ettepanekuga Euroopa Parlamendi ja nõukogu määruse kohta, mis käsitleb finantssektori digitaalset tegevuskerksust (ELT C 343, 26.8.2021, lk 1), punktis 4.2.2.

(42)  Nagu on määratletud kavandatava määruse põhjenduses 54.

(43)  DORA artikkel 19.