6.6.2009   

ET

Euroopa Liidu Teataja

C 128/1

1.

Euroopa Liidu Nõukogu eesistuja teatas 28. mail 2008. aastal COREPERile ELi 12. juuni 2008. aasta tippkohtumist silmas pidades, et ELi–USA kõrgetasemeline teabevahetuse, eraelu puutumatuse kaitse ja isikuandmete kaitse kontaktrühm (edaspidi „kontaktrühm”) on oma aruande valmis saanud. Aruanne avaldati 26. juunil 2008. (1)

2.

Aruandes määratakse kindlaks eraelu puutumatuse ja isikuandmete kaitse ühised põhimõtted, mis on esimene samm Ameerika Ühendriikidega teabe vahetamise suunas, eesmärgiga võidelda terrorismi ja raske rahvusvahelise kuritegevuse vastu.

3.

Nõukogu eesistuja ütleb oma teadaandes, et ta tervitaks kõiki ideid selle aruande järelmeetmete kohta ning eelkõige vastuseid aruandes esitatud soovitustele edasiseks tegevuseks. Euroopa andmekaitseinspektor vastab sellele üleskutsele järgmise arvamusega, mis rajaneb avalikustatud hetkeolukorral ning mis ei mõjuta mis tahes seisukohta, mis ta võib edaspidi võtta seoses olukorra arenguga.

4.

Euroopa andmekaitseinspektor märgib, et kontaktrühm on teinud tööd olukorras, kus eriti pärast 11. septembrit 2001 on toimunud USA ja ELi vahelise andmevahetuse arenemine rahvusvaheliste kokkulepete või muud liiki dokumentide abil. Sellisteks dokumentideks on muu hulgas Europoli ja Eurojusti lepingud Ameerika Ühendriikidega, broneeringuinfo lepingud ning nn Swift-juhtum, mis põhjustas ELi ja USA ametnike vahelise kirjavahetuse, et kehtestada minimaalsed andmekaitse tagatised. (2)

5.

Lisaks peab EL läbirääkimisi ja lepib kokku sarnaste dokumentide üle, millega nähakse ette isikuandmete vahetus teiste kolmandate riikidega. Hiljutiseks näiteks on Euroopa Liidu ja Austraalia vaheline leping, mis käsitleb lennuettevõtjate poolt Euroopa Liidust pärineva broneeringuinfo töötlemist ja edastamist Austraalia Tolliametile. (3)

6.

Sellest nähtub, et kolmandate riikide õiguskaitseasutuste isikuandmete taotluste ulatus pidevalt laieneb ning et taotlustes puudutatakse lisaks traditsioonilistele valitsuste andmebaasidele teist liiki andmekogusid, eelkõige erasektori kogutud andmekogusid.

7.

Olulise taustateabena tuletab Euroopa andmekaitseinspektor meelde, et kriminaalasjades tehtava politsei- ja õigusalase koostöö raames kolmandatele riikidele isikuandmete edastamist käsitletakse nõukogu raamotsuses kriminaalasjades tehtava politsei- ja õigusalase koostöö raames töödeldavate isikuandmete kaitse kohta, (4) mis võetakse tõenäoliselt vastu enne 2008. aasta lõppu.

8.

Võib arvata, et selline transatlantiline teabevahetus aina kasvab ning hõlmab täiendavaid sektoreid, kus töödeldakse isikuandmeid. Selle taustal on „transatlantilise õiguskaitse” alane dialoog üheaegselt tervitatud ja tundlik küsimus. Tervitatud seetõttu, et see annaks täpsema raamistiku praegu või tulevikus toimuvale teabevahetusele. Samuti on see tundlik teema, kuna selline raamistik võib legitimeerida suuremahulised andmeedastused õiguskaitse valdkonnas, kus mõju üksikisikutele on eriti tõsine ning kus on seda enam vaja rangeid ja usaldusväärseid kaitsemeetmeid ja tagatisi. (5)

9.

Järgmises peatükis käsitletakse hetkeolukorda ning võimalikku edasist tegevust. III peatükis keskendutakse teabe jagamist võimaldava dokumendi kohaldamisalale ja laadile. IV peatükis analüüsitakse üldisest vaatenurgast võimaliku lepingu sisuga seotud õiguslikke küsimusi. Selles käsitletakse selliseid küsimusi nagu Ameerika Ühendriikides tagatud kaitse taseme hindamise tingimused ning arutatakse ELi reguleeriva raamistiku kasutamist võrdlusnäitajana selle kaitsetaseme hindamisel. Selles peatükis loetletakse ka sellisesse lepingusse lisatavad põhinõuded. Lõpetuseks esitatakse V peatükis aruandele lisatud eraelu puutumatuse kaitse põhimõtete analüüs.

10.

Euroopa andmekaitseinspektor hindab hetkeolukorda järgmiselt. Mõningaid edusamme on tehtud teabevahetuse ning eraelu puutumatuse ja isikuandmete kaitse ühiste standardite määratlemisel.

11.

Siiski ei ole veel lõpetatud ettevalmistavat tööd ELi ja USA vahelise mis tahes liiki lepingu sõlmimiseks. Vaja on veel tööd teha. Töörühma aruandes nimetatakse mitut lahendamata küsimust, millest kõige olulisem on kaebuste esitamise õigus. Endiselt tekitab erimeelsusi kohtule kaebuse esitamise õiguse vajalik ulatus. (6) Ülejäänud viis lahendamata küsimust on esitatud aruande 3. peatükis. Käesolevast arvamusest selgub lisaks, et lahendamata on veel mitu küsimust, näiteks teabevahetust käsitleva dokumendi kohaldamisala ja laad.

12.

Kuna aruande eelistatud valik on siduv leping (Euroopa andmekaitseinspektor jagab seda arvamust), on ettevaatlikkus seda enam nõutav. Enne lepingu sõlmimist on täiendavalt vaja teha hoolikaid ja põhjalikke ettevalmistusi.

13.

Lõpetuseks oleks Euroopa andmekaitseinspektori arvates parim, kui lepingu saaks sõlmida Lissaboni lepingu alusel, mis muidugi sõltub selle jõustumisest. Lissaboni lepingu kohaselt ei tekiks õiguskindlusetust seoses ELi sammaste vahelise erinevusega. Lisaks oleks tagatud Euroopa Parlamendi täielik osalemine ning samuti Euroopa Kohtu poolne kohtulik kontroll.

14.

Neil asjaoludel oleks praegu parim töötada välja tegevuskava, mille alusel liigutakse võimaliku lepingu sõlmimise suunas hilisemas etapis. Selline tegevuskava võiks sisaldada järgmisi elemente:

15.

Andmekaitseinspektor peab väga oluliseks, et andmekaitse põhimõtteid sisaldava võimaliku dokumendi kohaldamisala ja laad oleks täpselt määratletud sellise dokumendi edasise arengu esimese sammuna.

16.

Kohaldamisala puhul tuleb vastata järgmistele olulistele küsimustele:

17.

Laadi määratlus peaks selgitama järgmisi küsimusi:

18.

Kuigi kontaktrühma aruandes ei ole selget viidet tulevase dokumendi täpsele kohaldamisalale, võib selles nimetatud põhimõtetest järeldada, et sellega nähakse ette nii era- ja avaliku sektori (7) vahelise kui ka ametiasutuste vahelise teabeedastuse hõlmamine.

19.

Andmekaitseinspektor näeb loogikat tulevase dokumendi kohaldamisel era- ja avaliku sektori vaheliste andmeedastuste suhtes. Sellise dokumendi väljatöötamise taustaks on viimastel aastatel USA poolt tehtud taotlused andmete saamiseks erasektorilt. Andmekaitseinspektor märgib, et erasektor on õiguskaitse seisukohalt saamas süstemaatiliseks teabeallikaks, seda nii ELi kui rahvusvahelisel tasandil. (8) SWIFTi juhtum oli oluline pretsedent, kui eraõiguslikult äriühingult nõuti süstemaatilist andmekogumite edastamist kolmanda riigi õiguskaitseasutustele. (9) Broneeringuinfo kogumine lennuettevõtjatelt järgib sama põhimõtet. Andmekaitseinspektor on juba väljendanud kahtlust selle suundumuse legitiimsuse suhtes oma arvamuses broneeringuinfo (PNR) Euroopa süsteemi raamotsuse eelnõu kohta. (10)

20.

On veel kaks põhjust olla vastu era- ja avaliku sektori vaheliste andmeedastuste lisamisele tulevase dokumendi kohaldamisalasse.

21.

Esiteks võib sellisel lisamisel olla soovimatu mõju ELi enda territooriumil. Andmekaitseinspektor on tõsiselt mures, et kui eraõiguslike äriühingute (nt finantsasutuste) andmeid võib põhimõtteliselt kolmandatele riikidele edastada, võib see tekitada tugeva surve teha sellist liiki andmed võrdselt kättesaadavaks õiguskaitseasutustele ELis. Broneeringuinfo süsteem on näide sellisest soovimatust arengust, mis algas reisijate andmete kogumisega USAs ning mis seejärel võetakse üle ka Euroopa siseselt (11) ilma, et süsteemi vajadust ja proportsionaalsust oleks selgelt tõendatud.

22.

Teisena tõstatas andmekaitseinspektor oma arvamuses, mis käsitleb komisjoni ettepanekut ELi broneeringuinfo kohta, küsimuse era- ja avaliku sektori koostöö tingimuste suhtes kohaldatava andmekaitse raamistiku (esimene või kolmas sammas) kohta. Kas eeskirjad peaksid põhinema andmetöötleja kvaliteedil (erasektor) või taotletaval eesmärgil (õiguskaitse)? Esimese ja kolmanda samba vaheline eraldus ei ole sugugi selge olukordades, kus erasektori ettevõtjatele pannakse kohustus töödelda isikuandmeid õiguskaitse eesmärgil. Sellega seoses on märkimisväärne, et kohtujurist Bot teeb oma hiljutises arvamuses andmete säilitamise kohtuasja (12) kohta ettepaneku eraldamiseks sellistes olukordades, kuid lisab sellele ettepanekule: „Selline eraldamine ei ole muidugi vaba kriitikast ning võib mõnes mõttes näida kunstlik.” Andmekaitseinspektor märgib samuti, et broneeringuinfot käsitlev kohtu otsus (13) ei vasta täielikult küsimusele kohaldatava õigusliku raamistiku kohta. Näiteks tõsiasi, et teatud tegevused ei ole direktiiviga 95/46/EÜ hõlmatud, ei tähenda automaatselt, et neid küsimusi võib reguleerida kolmanda samba kohaselt. Tulemuseks on tõenäoliselt lünk kohaldatava õiguse osas ning igal juhul õiguskindlusetus andmesubjektidele kättesaadavate õiguslike tagatiste osas.

23.

Selles kontekstis rõhutab andmekaitseinspektor, et tuleb tagada, et üldisi andmekaitse põhimõtteid sisaldava tulevase dokumendiga ei tohi legitimeerida isikuandmete transatlantilist edastamist era- ja avaliku sektori poolte vahel. Sellise andmeedastuse võib tulevasse dokumenti lisada ainult juhul, kui:

Lisaks juhib andmekaitseinspektor tähelepanu andmekaitse suhtes kohaldatava õigusraamistiku ebakindlusele ning seetõttu palub mitte mingil juhul lisada era- ja avaliku sektori vahelist isikuandmete edastust ELi õiguse praeguses seisus.

24.

Teabevahetuse täpne ulatus on ebaselge. Esimese sammuna ühise dokumendi vastuvõtmiseks tuleks täpsustada sellise dokumendi ettenähtud kohaldamisala. Eelkõige on vastuseta küsimused, kas:

25.

Võimaliku lepingu eesmärgi määratlus jätab samuti ruumi ebakindluseks. Õiguskaitse eesmärgid on selgelt esitatud sissejuhatuses ning aruandele lisatud esimeses põhimõttes ning neid analüüsitakse veelgi käesoleva arvamuse IV peatükis. Andmekaitseinspektor märgib juba, et nimetatud avaldustest ilmneb, et teabevahetus keskenduks kolmanda sambaga hõlmatud küsimustele, kuid võib tekkida küsimus, kas see on alles esimene samm laiema ulatusega teabevahetuse suunas. Näib olevat selge, et aruandes esitatud „avaliku julgeoleku” eesmärgid hõlmavad terrorismi, organiseeritud kuritegevuse ja muu kuritegevuse vastast võitlust. Kuid kas sellega võimaldatakse andmevahetust ka muid üldiseid huve, nagu võimalikku ohtu rahvatervisele, silmas pidades?

26.

Andmekaitseinspektor soovitab piirata eesmärki täpselt kindlaks määratud andmetöötlusega ning põhjendada poliitilisi valikuid, mille tulemuseks on eesmärgi selline määratlus.

27.

Aruande laia ulatust tuleks käsitleda nn tulevikuküsimusi käsitleva töörühma poolt arutatud üldise transatlantilise turvalisusel rajaneva ala perspektiivis. (14) Nimetatud rühma 2008. aasta juunis avaldatud aruandes pööratakse tähelepanu siseküsimuste poliitika välismõõtmele. Selles soovitatakse, et „aastaks 2014 peaks Euroopa Liit otsustama, milliseid poliitilisi eesmärke soovitakse saavutada Euro-Atlandi piirkonna koostöös Ameerika Ühendriikidega vabaduse, julgeoleku ja õiguse valdkonnas”. Selline koostöö ulatuks kaugemale julgeolekust selle kitsas tähenduses ning hõlmaks vähemalt selliseid EÜ asutamislepingu IV jaotises käsitletud küsimusi nagu sisseränne, viisa- ja varjupaigapoliitika ning tsiviilõigusalane koostöö. Tuleb uurida, millises ulatuses võiks ja peaks andmekaitse aluspõhimõtteid (nagu kõrgetasemelise kontaktrühma aruandes nimetatud põhimõtted) käsitlev leping olema aluseks sellise laia ulatusega teabevahetusele.

28.

Üldjuhul ei peaks sammaste struktuur 2014. aastal enam kehtima ning andmekaitsele ELis on üks õiguslik alus (Lissaboni lepingu kohaselt, Euroopa Liidu toimimise lepingu artikkel 16). Tõsiasi, et ELi tasandil on andmekaitse reguleerimine ühtlustatud, ei tähenda siiski, et kolmanda riigiga sõlmitud mis tahes lepinguga lubataks isikuandmete edastamist sõltumata eesmärgist. Sõltuvalt töötlemise kontekstist ja tingimustest võib nõuda kohandatud andmekaitse tagatisi sellises konkreetses valdkonnas nagu õiguskaitse. Andmekaitseinspektor soovitab võtta tulevase lepingu ettevalmistamisel arvesse selliste eri perspektiivide tagajärgi.

29.

Igal juhul on lühiperspektiivis oluline kindlaks määrata, millise samba alusel lepingu üle läbirääkimisi peetakse. See on eelkõige vajalik andmekaitse ELi sisese reguleeriva raamistiku tõttu, mida selline leping mõjutab. Kas selleks on esimese samba raamistik – põhiliselt direktiiv 95/46/EÜ, mis hõlmab kolmandatele riikidele andmete edastamise erikorda – või kolmanda samba raamistik, mille kolmandatele riikidele teabe edastamise kord on leebem? (15)

30.

Kuigi valitsevaks on õiguskaitse eesmärgid, nagu juba nimetatud, nimetatakse kontaktrühma aruandes siiski ka andmete kogumist eraettevõtjatelt ning eesmärke võib tõlgendada ka sellisel laiemal viisil, mis läheb kaugemale otsesest julgeolekust, hõlmates sealhulgas nt sisserände ja piirikontrolli küsimusi ning võimalikult ka rahvatervist. Sellist ebaselgust silmas pidades oleks ülimalt eelistatav oodata ELi õiguse kohast sammaste ühtlustamist, nagu ette nähtud Lissaboni lepinguga, et selgelt kehtestada õiguslik alus läbirääkimisteks ning Euroopa institutsioonide, eelkõige Euroopa Parlamendi ja komisjoni täpne roll.

31.

Tuleks täpsustada, kas arutelude tulemuseks on vastastikuse mõistmise memorandum või mingi muu mittesiduv dokument või siduv rahvusvaheline leping.

32.

Andmekaitseinspektor pooldab aruandes eelistatud siduvat lepingut. Ametlik siduv leping on andmekaitseinspektori arvates asendamatu eeltingimus mis tahes andmeedastuseks väljapoole ELi, sõltumata andmete edastamise eesmärgist. Kolmandale riigile ei tohi andmeid edastada ilma konkreetses (ja siduvas) õigusraamistikus kehtestatud piisavate tingimuste ja tagatisteta. Teiste sõnadega võib vastastikuse mõistmise memorandum või mõni muu mittesiduv dokument olla kasulik, et anda juhiseid edasiste siduvate lepingute alasteks läbirääkimisteks, kuid need ei saa asendada vajadust siduva lepingu järele.

33.

Kõnealuse dokumendi sätted peaksid olema võrdselt siduvad USA, ELi ja selle liikmesriikide jaoks.

34.

Lisaks tuleks tagada, et üksikisikutel on õigus kasutada oma õigusi ning eelkõige õigust esitada kaebusi kokkulepitud põhimõtete alusel. Andmekaitseinspektori kohaselt saab seda tulemust kõige paremini saavutada, kui dokumendi sisulised sätted on formuleeritud selliselt, et neil on otsene mõju Euroopa Liidu elanike suhtes ning neile võib kohtus tugineda. Seetõttu tuleb dokumendis selgelt sätestada rahvusvahelise lepingu sätete otsene mõju ning samuti lepingu Euroopa sisesesse ja riikliku õigusesse ülevõtmise tingimused, et tagada selliste meetmete tõhusus.

35.

Oluline küsimus on samuti, mis ulatuses kõnealune leping on eraldiseisev dokument või tuleb seda täiendada iga üksikjuhtumi puhul konkreetset teabevahetust käsitlevate täiendavate kokkulepetega. Küsitav on, kas ühe lepinguga, milles on sätestatud üks ühtsete standardite kogum, saab adekvaatselt hõlmata andmetöötluse arvukat eripära kolmandas sambas. On veelgi kahtlasem, kas ilma täiendavate arutelude ja tagatisteta saab sellega lubada isikuandmete edastamise üldist heakskiitmist, olenemata asjaomaste andmete eesmärgist ja iseloomust. Lisaks ei ole lepingud kolmandate riikidega tingimata alalised, kuna neid saab siduda konkreetsete ohtudega, nende suhtes võib kehtestada läbivaatamise ja aegumisklauslid. Teisest küljest võiks siduvas dokumendis tunnustatud ühiste miinimumstandarditega hõlbustada isikuandmete edastamist käsitlevaid edasisi arutelusid seoses konkreetse andmebaasi või töötlemisega.

36.

Andmekaitseinspektor pooldaks seetõttu eraldiseisva lepingu asemel pigem andmekaitse miinimumkriteeriumite väljatöötamist, mida iga üksikjuhtumi puhul täiendatakse konkreetsete lisasätetega, nagu esitatud kontaktrühma aruandes. Sellised konkreetsed lisasätted on andmete edastamise lubamise eeltingimuseks igal konkreetsel juhul. Sellega soodustataks ühtlustatud lähenemisviisi andmekaitse valdkonnas.

37.

Samuti tuleks läbi vaadata, kuidas võimalik üldine leping sobituks ELi ja USA vahel sõlmitud juba kehtivate lepingutega. Tuleks märkida, et sellised kehtivad lepingud ei ole samasuguse siduva iseloomuga: eelkõige tuleb nimetada broneeringuinfo lepingut (kõige enam õiguskindlust tagav dokument), Europoli ja Eurojusti lepinguid või SWIFTi alast kirjavahetust. (16) Kas uus üldraamistik peaks selliseid dokumente täiendama, või peaks need jääma puutumata ning uut raamistikku tuleks kohaldada üksnes muude tulevaste isikuandmete vahetuste suhtes? Andmekaitseinspektori arvates nõuaks õiguslik järjepidevus ühtlustatud eeskirju, mida kohaldatakse nii kehtivate kui ka tulevaste siduvate andmeedastust käsitlevate lepingute suhtes ning mis neid täiendaks.

38.

Kehtivate dokumentide suhtes üldlepingu kohaldamise eeliseks oleks nende siduva iseloomu tugevdamine. See oleks eriti tervitatud seoses dokumentidega, mis ei ole õiguslikult siduvad, nagu SWIFTi alane kirjavahetus, kuna sellega kehtestataks vähemalt eraelu puutumatuse üldpõhimõtete järgimine.

39.

Käesolevas peatükis kaalutakse, kuidas hinnata konkreetse raamistiku või dokumendiga pakutava kaitse taset, sealhulgas kasutatavate võrdlusnäitajate küsimust ja vajalikke põhinõudeid.

40.

Andmekaitseinspektori arvates peaks olema selge, et tulevase dokumendi üheks peamiseks tulemuseks on, et isikuandmeid saab Ameerika Ühendriikidesse edastada ainult siis, kui USA asutused tagavad piisaval tasemel kaitse (ja vastupidi).

41.

Andmekaitseinspektor arvab, et ainult tõeline piisava kaitse test tagab isikuandmete kaitse taseme piisavad tagatised. Ta arvab, et üldisel raamlepingul, mille kohaldamisala on sama lai kui kontaktrühma aruandes esitatul, oleks raske läbida tõelist piisava kaitse testi. Üldlepingu kaitse taseme piisavust saaks tunnustada üksnes siis, kui see on ühendatud iga üksikjuhtumi puhul eraldi sõlmitud konkreetsete lepingute sellealase adekvaatsusega.

42.

Kolmandate riikide poolt tagatud kaitse taseme hindamine ei ole ebatavaline tegevus, eelkõige Euroopa Komisjoni jaoks: piisav kaitse on esimese samba puhul edastamise tingimuseks. Seda on direktiivi 95/46/EÜ artikli 25 kohaselt mitmel korral hinnatud erikriteeriumide alusel ning kinnitatud Euroopa Komisjoni otsustega. (17) Kolmanda samba alusel ei ole sellist süsteemi selgesõnaliselt ette nähtud: piisava kaitse tagamise hindamine on ette nähtud üksnes veel vastu võtmata andmekaitse raamotsuse artiklites 11 ja 13 käsitletud erijuhtudel (18) ning selle läbiviimine on jäetud liikmesriikide ülesandeks.

43.

Praegusel juhul puudutab hindamistegevus õiguskaitse eesmärke ning komisjon viib arutelusid läbi nõukogu järelevalve all. See kontekst on erinev Safe Harbour põhimõtete hindamisest või Kanada õigusaktidega tagatud piisava kaitse hindamisest ning on tihedamalt seotud USA ja Austraaliaga toimunud hiljutiste broneeringuinfo alaste läbirääkimistega, mis toimusid kolmanda samba õigusraamistikus. Kontaktrühma põhimõtteid on siiski nimetatud ka viisavabadusprogrammi kontekstis, mis puudutab piiri ja sisserände küsimusi ja seega esimese samba küsimusi.

44.

Andmekaitseinspektor soovitab, et iga järeldus tulevase dokumendiga tagatud piisava kaitse kohta peaks rajanema kogemustele nimetatud eri valdkondades. Ta soovitab tulevase dokumendi kontekstis täiendavalt arendada mõistet „piisav kaitse” sarnaste kriteeriumite kohaselt, mida on piisava kaitse määratlemisel varem kasutatud.

45.

Kaitse taseme teine aspekt on seotud ELi ja USA süsteemide vastastikuse tunnustamisega. Kontaktrühma aruandes märgitakse sellega seoses, et eesmärk oleks „saavutada teineteise eraelu puutumatuse kaitse ja andmekaitse süsteemide tõhususe tunnustamine kõnealuste põhimõtetega hõlmatud valdkonnas” (19) ning saavutada „eraelu puutumatuse kaitse ja isikuandmete kaitse alaste õigusaktide võrdväärne ja vastastikune kohaldamine”.

46.

Andmekaitseinspektori meelest on ilmselge, et vastastikune tunnustamine (või vastastikkuse põhimõte) on võimalik üksnes siis, kui on tagatud piisaval tasemel kaitse. Teiste sõnadega tuleks tulevase dokumendiga ühtlustada kaitse miinimumtase (piisava kaitse hindamise teel, võttes iga üksikjuhtumi puhul eraldi arvesse vajadust erikokkulepete järele). Vastastikkuse põhimõtet saab tunnustada ainult selle eeltingimuse alusel.

47.

Esimese elemendina tuleb võtta arvesse andmekaitse sisuliste sätete vastastikkust. Andmekaitseinspektori arvates tuleks andmekaitse sisuliste sätete vastastikkuse põhimõtet lepingus käsitleda viisil, millega tagatakse ühest küljest, et andmete töötlemisel ELi (ja USA) territooriumil järgitakse täielikult andmekaitsealaseid riiklikke õigusakte, ning teisest küljest, et väljaspool andmete päritoluriiki andmete töötlemisel, mis kuuluvad lepingu kohaldamisalasse, järgitakse lepingus sätestatud andmekaitse põhimõtteid.

48.

Teiseks elemendiks on kaebuste esitamise mehhanismide vastastikkus. Tuleks tagada, et Euroopa kodanikel on piisavad kaebuste esitamise vahendid, kui nendega seotud andmeid USAs töödeldakse (sõltumata sellise töötlemise suhtes kohaldatavast õigusest), ning samuti et Euroopa Liit ja selle liikmesriigid annavad samaväärsed õigused USA kodanikele.

49.

Kolmas element on õiguskaitseasutuste vastastikune juurdepääs isikuandmetele. Kui mis tahes dokumendiga lubatakse USA ametiasutustele juurdepääs Euroopa Liidust pärit andmetele, tähendab vastastikkuse põhimõte, et samasugune juurdepääs tuleks anda ELi ametiasutustele seoses USAst pärit andmetega. Vastastikkuse põhimõte ei tohi kahjustada andmesubjekti kaitse tõhusust. See on õiguskaitseasutustele „transatlantilise” juurdepääsu võimaldamise eeltingimuseks. See tähendab konkreetselt järgmist:

50.

Väga oluline on hindamise tingimuste (piisavus, vastavus, vastastikune tunnustamine) määratlemine, sest sellega määratakse kindlaks kaitse olemus (asjakohasuse aspektist lähtudes), õiguskindlus ja tõhusus. Tulevane dokument peab olema asjakohane ja täpne.

51.

Peale selle peaks olema selge, et järgmises etapis sõlmitavas konkreetses lepingus tuleb käsitleda kavandatava andmevahetusega seotud üksikasjalikke ja täielikke andmekaitsemeetmeid. Üksnes sellised kahetasandilised konkreetsed andmekaitsepõhimõtted tagavad vajaliku kokkusobivuse üldise lepingu ja konkreetsete lepingute vahel, nagu märgiti juba käesoleva arvamuse punktides 35 ja 36.

52.

Erilist tähelepanu väärib küsimus, millises ulatuses võiks USAga sõlmitav leping olla näidiseks muudele kolmandatele riikidele. Euroopa andmekaitseinspektor märgib, et peale USA peetakse tulevikuküsimusi käsitleva töörühma aruandes ELi strateegiliseks partneriks Venemaad. Kuni põhimõtted on neutraalsed ja kooskõlas ELi peamiste kaitsemeetmetega, võiksid need olla kasulikuks pretsedendiks. Kuid näiteks võivad vastuvõtva riigi õigusraamistiku või edastamise eesmärgiga seotud üksikasjad takistada lepingu samal kujul ülevõtmist. Samavõrra oluline on demokraatia olukord kolmandates riikides: tuleb kindlaks teha, et kokkulepitud põhimõtteid vastuvõtvas riigis tõhusalt kaitstakse ning kohaldatakse.

53

Otsesed või kaudsed tingimused peaksid igal juhul vastama rahvusvahelisele ja Euroopa õigusraamistikule ning eelkõige ühiselt kokkulepitud andmekaitsemeetmetele. Need on sätestatud ÜRO suunistes, Euroopa Nõukogu konventsioonis 108 ja selle lisaprotokollis, OECD suunistes, andmekaitset käsitleva raamotsuse eelnõus ning seoses esimese samba valdkondadega samuti direktiivis 95/46/EÜ. (20) Kõik need dokumendid sisaldavad sarnaseid põhimõtteid, mida üldiselt käsitletakse isikuandmete kaitse tuumana.

54.

On väga oluline, et eespool nimetatud põhimõtteid võetakse nõuetekohaselt arvesse, arvestades kõrgetasemelise töörühma aruandes käsitletava võimaliku lepingu mõju. Dokument, milles käsitletakse kolmanda riigi kogu õiguskaitse sektorit, oleks pretsedenditu. Olemasolevad piisava kaitse tagamise tingimusi käsitlevad otsused esimese samba raames ning lepingud kolmandate riikidega ELi kolmanda samba raames (Europol, Eurojust) on alati olnud seotud konkreetsete andmete vahetamisega, samas kui käesoleval juhul võib osutuda võimalikuks vahetada palju ulatuslikumaid andmeid, võttes arvesse ulatuslikke eesmärke (kuritegevuse vastane võitlus, riiklik julgeolek ja avalik kord, piirikontroll) ja teadmata arvu asjaomaseid andmebaase.

55.

Kolmandatele riikidele isikuandmete edastamise suhtes kohaldatavad tingimused on välja töötatud artikli 29 töörühma töödokumendis. (21) Minimaalseid eraelu puutumatuse põhimõtteid käsitleva kokkuleppe puhul tuleb kontrollida, et see vastaks nõuetele, tagamaks andmekaitsemeetmete tõhusus.

56.

Peale nende kolme põhinõude tuleks erilist tähelepanu pöörata õiguskaitse raames isikuandmete töötlemisega seotud üksikasjadele. See on tõepoolest selline valdkond, kus võib esineda põhiõiguste mõningane piiramine. Seetõttu tuleks kehtestada kaitsemeetmed, et hüvitada üksikisikute õiguste piiramist, eelkõige seoses järgmiste aspektidega, võttes arvesse mõju üksikisikule:

57.

Käesolevas peatükis analüüsitakse kõrgetasemelise töörühma dokumendis esitatud 12 põhimõtet, lähtudes järgmisest vaatekohast:

58.

Esimene kõrgetasemelise töörühma aruande lisas loetletud põhimõte ütleb, et isikuandmeid töödeldakse õiguspärastel õiguskaitse eesmärkidel. Nagu eespool märgitud, tähendab see Euroopa Liidu jaoks kuritegude ennetamist, avastamist, uurimist või kuritegude eest vastutusele võtmist. USA puhul läheb õiguskaitse kaugemale kuritegudest ning hõlmab ka eesmärke, mis on seotud piirikontrolli, avaliku korra ja riikliku julgeolekuga. Selliste ELi ja USA määratletud eesmärkide vaheliste erinevuste tagajärjed ei ole selged. Kuigi aruandes mainitakse, et tegelikkuses võivad eesmärgid suures osas kokku langeda, on määrava tähtsusega teada täpselt, millises osas need kokku ei lange. Arvestades üksikisikute suhtes võetud meetmete mõju, peab õiguskaitse valdkonnas eesmärgi osas seatud piirangute põhimõtet rangelt järgima ning esitatavad eesmärgid tuleb selgelt väljendada ning piiritleda. Võttes arvesse aruandes ettenähtud vastastikkuse põhimõtet, tundub kõnealuste eesmärkide vastavusse viimine hädavajalik. Lühidalt öeldes, selle põhimõtte tõlgendust tuleb selgitada.

59.

Euroopa andmekaitseinspektor tervitab sätet, millega nõutakse täpsete, asjakohaste ja täielike isikuandmete õigeaegset esitamist, mis on vajalik andmete õiguspäraseks töötlemiseks. See põhimõte on mis tahes tõhusa andmetöötluse põhitingimus.

60.

See põhimõte selgitab, milline on seos kogutud teabe ja seadusega kehtestatud õiguskaitse eesmärgi saavutamiseks selle teabe järele esineva vajaduse vahel. See õigusliku aluse nõue on positiivne element töötlemise õiguspärasuse tagamiseks. Euroopa andmekaitseinspektor märgib sellest hoolimata, et kuigi see tugevdab töötlemise õiguskindlust, kuulub sellise töötlemise õiguslik alus kolmanda riigi õigusesse. Kolmanda riigi õigus ei saa iseenesest olla õiguslikuks aluseks isikuandmete edastamiseks. (22) Kõrgetasemelise rühma aruandes tundub olevat eeldatud, et põhimõtteliselt tunnustatakse kolmanda riigi, st USA õiguse legitiimsust. Tuleb meeles pidada, et kui selline arutluskäik võib olla siinkohal õigustatud, võttes arvesse, et USA on demokraatlik riik, ei saa sama skeem toimida ning ei ole ülevõetav mis tahes kolmanda riigi puhul.

61.

Iga isikuandmete edastamine peab kõrgetasemelise töörühma aruande lisa kohaselt olema asjakohane, vajalik ning sobiv toimimisviis. Euroopa andmekaitseinspektor rõhutab, et proportsionaalsuse nõude järgimiseks ei tohi töötlemine olla põhjendamatult sekkuv ning töötlemise kord peab olema tasakaalustatud, võttes arvesse andmesubjektide õiguseid ja huve.

62.

Sel põhjusel peaks juurdepääs andmetele antama igal üksikjuhul eraldi, sõltuvalt konkreetse uurimisega seotud praktilistest vajadustest. Kolmandate riikide õiguskaitseasutuste alaline juurdepääs ELis paiknevatele andmebaasidele oleks ebaproportsionaalne ja ebapiisavalt põhjendatud. Euroopa andmekaitseinspektor tuletab meelde, et olemasolevate andmekaitset käsitlevate lepingute kontekstis (nt broneeringuinfot käsitleva lepingu puhul) põhineb andmevahetus konkreetsetel asjaoludel ja see toimub piiratud aja jooksul. (23)

63.

Sama loogikat järgides tuleks reguleerida andmete säilitamise perioodi: andmeid tuleks säilitada üksnes seni kuni need on vajalikud, võttes arvesse konkreetset taotletavat eesmärki. Kui need ei ole seoses määratletud eesmärgiga enam vajalikud, tuleks need kustutada. Euroopa andmekaitseinspektor on tugevalt vastu selliste andmebaaside loomisele, kus hoitakse andmeid mitte kahtlusaluste isikute kohta, et kasutada neid võimaliku tulevikus tekkiva vajaduse korral.

64.

Meetmed ja menetlused andmete kaitsmiseks nende väärkasutuse, muutmise ja muude ohtude eest on põhimõtetes välja töötatud ning samuti on loodud säte, millega on juurdepääs andmetele piiratud üksnes volitatud isikutele. Euroopa andmekaitseinspektor leiab, et see on rahuldav.

65.

Lisaks sellele võiks põhimõtet täiendada sättega, milles öeldakse, et andmetele juurdepääsenud isikute kohta tuleb teha kanne logisse. See suurendaks juurdepääsu piiramise ja andmete väärkasutuse vältimise kaitsemeetmete tõhusust.

66.

Lisaks sellele tuleks ette näha vastastikune teavitamine turvameetmete rikkumise korral: vastuvõtjad USAs ja samuti ELis oleksid vastutavad oma kolleegide teavitamise eest, kui nende poolt saadud andmed on ebaseaduslikul viisil saanud avalikuks. Sellega suurendatakse andmete turvalise töötlemise suhtes esinevat vastutustunnet.

67.

Põhimõtet, mille kohaselt keelatakse tundlike andmete töötlemine, on Euroopa andmekaitseinspektori arvates oluliselt nõrgendatud erandiga, millega lubatakse selliste tundlike andmete mis tahes töötlemist, mille kohta siseriiklikus õiguses on sätestatud „sobivad kaitsemeetmed”. Just andmete tundliku iseloomu tõttu peab asjakohaselt ja täpselt õigustama mis tahes erandi tegemist keelupõhimõttest, esitades eesmärkide ja asjaolude loetelu, mille korral teatavat liiki tundlikke andmeid võib töödelda, ning samuti märkides, millised nõuded esitatakse andmetöötlejale, kellel on lubatud töödelda sellist liiki andmeid. Seoses vastuvõetavate kaitsemeetmetega leiab Euroopa andmekaitseinspektor, et tundlikud andmed ei peaks olema elemendiks, mille põhjal algatatakse uurimine. Need võiksid olla kättesaadavad konkreetsete asjaolude korral, kuid üksnes täiendava teabena andmesubjekti kohta, kelle suhtes viiakse juba läbi uurimist. Need kaitsemeetmed ja tingimused tuleb põhimõtet kirjeldavas tekstis esitada piiranguid kehtestaval viisil.

68.

Nagu käesoleva arvamuse punktides 55 ja 56 kirjeldatud, tuleb tõhusal viisil tagada isikuandmeid töötlevate avalike asutuste vastutavus ning lepingus tuleb kinnitada, millisel viisil selline vastutavus tagatakse. See on väga tähtis, võttes arvesse vähest läbipaistvust, mida harilikult omistatakse isikuandmete töötlemisele õiguskaitse raames. Sellega seoses ei ole piisavaks tagatiseks ainult kinnitamine (nagu on praegu lisas ette nähtud), et avalikud asutused on vastutavad, andmata täiendavaid selgitusi sellise vastutuse üksikasjade ja tagajärgede kohta. Euroopa andmekaitseinspektor soovitab sellise selgituse esitada dokumendi tekstis.

69.

Euroopa andmekaitseinspektor pooldab täielikult sätte lisamist, milles nähakse ette sõltumatu ja tõhus järelevalve, mida teostab üks või mitu avalikku järelevalveasutust. Ta leiab, et tuleb selgeks teha, kuidas tõlgendatakse sõltumatust, eelkõige kellest need asutused on sõltumatud ja kellele nad aru annavad. Sellega seoses on vaja kriteeriumeid, mis peavad arvestama institutsioonilist ja funktsionaalset sõltumatust seoses täidesaatvate ja õigusandlike organitega. Euroopa andmekaitseinspektor tuletab meelde, et see on oluline element tagamaks kokkulepitud põhimõtete tõhus järgimine. Isikuandmeid töötlevate avalike asutuste vastutavuse seisukohast on olulised ka nende asutuste sekkumis- ja täitevvolitused, nagu on märgitud eespool. Andmesubjektidel peaks olema selge ülevaade nende olemasolust ja pädevusest, et võimaldada neil oma õiguseid kasutada, eelkõige kui esineb mitu pädevat asutust, kelle pädevus sõltub töötlemise kontekstist.

70.

Lisaks sellele soovitab Euroopa andmekaitseinspektor näha edaspidi sõlmitavas lepingus ette järelevalveasutuste vahelised koostöömehhanismid.

71.

Seoses andmetele juurdepääsu ja andmete parandamisega õiguskaitse kontekstis on vaja konkreetseid kaitsemeetmeid. Sellega seoses tervitab Euroopa andmekaitseinspektor põhimõtet, et üksikisikutele peaks võimaldama juurdepääsu andmetele ja andma võimaluse taotleda „oma isikuandmete parandamist ja/või kustutamist”. Siiski on endiselt ebaselge mõiste „üksikisikud” määratlus (tuleks kaitsta kõiki andmesubjekte, mitte üksnes asjaomase riigi kodanikke) ning tingimused, mille kohaselt võiks üksikisikutel olla võimalus vaielda vastu nende isikuandmete töötlemisele. Täpsustada on vaja mõistet „sobivad juhud”, mille korral on või ei ole vastuvaidlemine võimalik. Andmesubjektide jaoks peab olema selge, millistel asjaoludel (sõltuvalt nt asutuse liigist, uurimise liigist või muudest kriteeriumitest) on neil võimalik oma õiguseid kasutada.

72.

Peale selle, kui puudub otsene võimalus vaielda vastu põhjendatud töötlemisele, peaks olema võimalik teostada kaudset kontrolli töötlemise järelevalve eest vastutava sõltumatu asutuse kaudu.

73.

Euroopa andmekaitseinspektor rõhutab veel kord, et tõhus läbipaistvus on oluline, et võimaldada üksikisikutel oma õigusi kasutada ning parandada isikuandmeid töötlevate riigiasutuste üldist vastutavust. Ta toetab praegusel kujul sõnastatud põhimõtteid ja rõhutab eelkõige vajadust teavitada üksikisikut üldiselt ja individuaalselt. Seda kajastab lisa punktis 9 määratletud põhimõte.

74.

Siiski märgitakse aruande 2. peatüki punktis B (kokkulepitud põhimõtted), et USA poolne läbipaistvus võib hõlmata „individuaalsete teatiste avaldamist föderaalregistris ühekaupa või kombineeritult ning andmete avaldamist kohtumenetluse käigus”. Tuleb aru saada, et teatise avaldamisest Euroopa Liidu Teatajas iseenesest ei piisa andmesubjekti nõuetekohase teavitamise tagamiseks. Lisaks sellele, et on vaja esitada individuaalsed teatised, tuletab Euroopa andmekaitseinspektor meelde, et teavet tuleb esitada andmesubjektile hõlpsasti arusaadavas vormis ja keeles.

75.

Selleks, et üksikisikute õiguste tõhus kasutamine oleks garanteeritud, peavad nad saama esitada kaebuse sõltumatule andmekaitseasutusele ning sõltumatule ja erapooletule kohtule. Mõlemad kaebuste esitamise võimalused peaksid olema võrdselt kasutatavad.

76.

Kontakti võtmise võimalus sõltumatu andmekaitseasutusega on vajalik, sest see võimaldab üksikisikutele potentsiaalselt üsna ähmases valdkonnas (õiguskaitse) saada abi paindlikul viisil ja vähemate kulutustega. Andmekaitseasutused saavad samuti anda abi, kasutades juurdepääsu õigust andmesubjektide nimel, kui erandid takistavad nende otsest juurdepääsu oma isikuandmetele.

77.

Juurdepääs kohtusüsteemile on täiendav ja hädavajalik tagatis selleks, et andmesubjektid saavad taotleda kaebuse käsitlemist organi poolt, mis kuulub muusse demokraatliku süsteemi harusse kui isiku andmeid tegelikult töötlevad riigiasutused. Sellist tõhusat õiguskaitset kohtus peab Euroopa Kohus (24)„oluliseks, et tagada üksikisiku jaoks tema huvide tõhus kaitse. (…) [See] kajastab ühenduse õiguse üldpõhimõtet, mis rõhutab liikmesriikide ühesuguseid riigiõiguslikke tavasid ning on sätestatud Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artiklites 6 ja 13.” Õiguskaitsevahendi kasutamise õigus on samuti selgelt ette nähtud Euroopa Liidu põhiõiguste harta artiklis 47 ning EÜ direktiivi 95/46/EÜ artiklis 22, ilma et see piiraks ühegi võimaliku haldusliku kaitsevahendi kohaldamist.

78.

Euroopa andmekaitseinspektor tervitab sätet, milles nähakse ette sobivad kaitsemeetmed seoses automaatse isikuandmete töötlemisega. Ta märgib, et ühine arusaam sellest, mis on „märkimisväärne kahjulik tegevus, arvestades üksikisiku asjaomaseid huvisid”, muudaks selgemaks selle põhimõtte rakendamise tingimused.

79.

Mõned andmete edasisaatmist puudutavad tingimused on ebaselged. Eelkõige, kui andmete edasisaatmine peab olema kooskõlas rahvusvaheliselt kokkulepitud korraga ja andmeid saatvate ja vastuvõtvate riikide vaheliste lepingutega, tuleb täpsustada, kas see seondub esmase andmeedastuse algatanud kahe riigi või andmete edasisaatmises osaleva kahe riigi vaheliste lepingutega. Euroopa andmekaitseinspektori arvates on igal juhul olulised esmase andmeedastuse algatanud kahe riigi vahelised lepingud.

80.

Euroopa andmekaitseinspektor märgib samuti ära mõiste „õiguspärased avalikud huvid”, mille puhul on andmete edasisaatmine lubatud, väga laia määratluse. Avaliku julgeoleku mõiste ulatus on ebaselge ja andmeedastuse laiendamine reguleeritud kutsealade ametieetika rikkumise korral tundub õiguskaitse kontekstis põhjendamatu ning ülemäärane.

81.

Euroopa andmekaitseinspektor tervitab ELi ja USA ametiasutuste poolt ühiselt tehtud tööd õiguskaitse valdkonnas, kus andmekaitse on olulise tähtsusega. Ta soovib siiski rõhutada asjaolu, et teema on keerukas, eelkõige ulatuse ja olemuse poolest, ning väärib seetõttu hoolika ja põhjaliku analüüsi teostamist. Transatlantilise dokumendi mõju andmekaitsele tuleks hoolikalt uurida seoses olemasoleva õigusraamistikuga ning tagajärgedega kodanikele.

82.

Euroopa andmekaitseinspektor kutsub üles tagama suurema selguse ning looma konkreetsed sätted, eelkõige seoses järgmiste aspektidega:

83.

Euroopa andmekaitseinspektor rõhutab asjaolu, et põhimõtete väljatöötamisel tuleb vältida mis tahes kiirustamist, sest see tooks kaasa üksnes mitterahuldavad tulemused ja kavandatule vastupidised tagajärjed andmekaitse valdkonnas. Seetõttu oleks käesoleval hetkel kõige parem jätkata tegevuskava väljatöötamisega, et hilisemas etapis saavutada võimalik kokkulepe.

84.

Euroopa andmekaitseinspektor kutsub üles tagama suurem läbipaistvus andmekaitset puudutavate põhimõtete väljatöötamise protsessi osas. Üksnes kõigi sidusrühmade, sealhulgas Euroopa Parlamendi kaasamine võimaldaks dokumendil saada kasu demokraatlikust arutelust ning saavutada vajalik toetus ja tunnustus.

—

Ameerika Ühendriikide ja Euroopa Politseiameti vaheline 6. detsembri 2001. aasta leping ning Europoli ja USA lisaleping isikuandmete ja seotud teabe vahetamise kohta, avaldatud Europoli veebisaidil;

—

Ameerika Ühendriikide ja Eurojusti 6. novembri 2006. aasta õigusalase koostöö leping, avaldatud Eurojusti veebisaidil;

—

Euroopa Liidu ja Ameerika Ühendriikide vaheline leping, mis käsitleb lennuettevõtjate poolt broneeringuinfo (PNR) töötlemist ja edastamist Ameerika Ühendriikide Sisejulgeolekuministeeriumile (2007. aasta broneeringuinfo leping), allkirjastatud Brüsselis 23. juulil 2007 ja Washingtonis 26. juulil 2007, ELT L 204, 4.8.2007, lk 18;

—

USA ja ELi ametivõimude vaheline kirjavahetus terroristide rahastamise jälgimisprogrammi kohta, 28. juuni 2007.

—

ÜRO suunised isikuandmete elektrooniliste failide kohta, mille peaassamblee võttis vastu 14. detsembril 1990. Kättesaadav aadressil www.unhchr.ch/html/menu3/b/71.htm

—

Euroopa Nõukogu 28. jaanuari 1981. aasta konventsioon isikuandmete automatiseeritud töötlemisel isiku kaitse kohta. Kättesaadav aadressil www.conventions.coe.int/treaty/en/Treaties/html/108.htm

—

OECD suunised isikuandmete kaitse ja piiriülese edastamise suuniste kohta, mis on vastu võetud 23. septembril 1980. aastal. Kättesaadavad aadressil www.oecd.org/document/20/0,3343,en_2649_34255_15589524_1_1_1_1,00.html

—

Eelnõu: nõukogu raamotsus kriminaalasjades tehtava politsei- ja õigusalase koostöö raames töödeldavate isikuandmete kaitse kohta. Kättesaadav aadressil: http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=en&DosId=193371

—

Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta, EÜT L 281, 23.11.1995, lk 31.

6.6.2009   

ET

Euroopa Liidu Teataja

C 128/13

1.

Komisjon võttis 30. mail 2008 vastu teatise Euroopa Parlamendile, nõukogule ning Euroopa Majandus- ja Sotsiaalkomiteele „E-õiguskeskkonna Euroopa strateegia väljatöötamine” (edaspidi „teatis”). Euroopa andmekaitseinspektor esitab käesoleva arvamuse, tuginedes määruse (EÜ) nr 45/2001 artiklile 41.

2.

Teatise eesmärk on esitada e-õiguskeskkonna strateegia, mille abil soovitakse suurendada kodanike usaldust Euroopa õigusel rajaneva ala vastu. E-õiguskeskkonna peamine eesmärk peaks olema toetada kodanike huvides tõhusamat õigusemõistmist kogu Euroopas. Euroopa Liidu meetmed peaksid võimaldama kodanikele juurdepääsu teabele ilma keeleliste, kultuuriliste ja õiguslike takistusteta, mis tulenevad mitme eri süsteemi olemasolust. Teatisele on lisatud ettepanek tegevuskava ja erinevate projektide ajakava kohta.

3.

Käesolevas Euroopa andmekaitseinspektori arvamuses käsitletakse kõnealust teatist seoses isikuandmete töötlemisega, eraelu puutumatuse kaitsega elektroonilise side sektoris ning andmete vaba liikumisega.

4.

Justiits- ja siseküsimuste nõukogu (3) määras 2007. aasta juunis kindlaks mitu e-õiguskeskkonna arenguprioriteeti:

5.

Sellest ajast saati on e-õiguskeskkonnaga seotud töös tehtud pidevaid edusamme. Komisjoni arvates tuleb selle töö puhul tagada, et eelistatakse praktilisi projekte ja detsentraliseeritud struktuure ning et samal ajal toimub koordineerimine Euroopa tasandil, tuginetakse olemasolevatele õigusaktidele ning kasutatakse IT-vahendeid nende tõhustamiseks. Euroopa Parlament on samuti e-õiguskeskkonna projektile toetust väljendanud. (4)

6.

Komisjon on pidevalt ergutanud kaasaegse infotehnoloogia kasutamist nii tsiviil- kui ka kriminaalasjade puhul. Selle tulemusena loodi selline vahend nagu Euroopa maksekäsumenetlus. Komisjon on alates 2003. aastast hallanud tsiviil- ja kaubandusasju käsitleva Euroopa õigusalase koostöö võrgustiku portaali, mis on kodanikele kättesaadav 22 keeles. Komisjon on samuti kavandanud ja loonud Euroopa õigusatlase. Need vahendid on Euroopa e-õiguskeskkonna tulevase raamistiku esimesed koostisosad. Kriminaalvaldkonnas on komisjon teinud tööd eesmärgiga luua vahend, mille eesmärk on võimaldada liikmesriikide karistusregistrite andmete vahetamist. (5) Nii komisjon kui ka Eurojust on välja töötanud turvalised sidesüsteemid ühenduse pidamiseks liikmesriikide ametiasutustega.

7.

E-õiguskeskkonna eesmärk on pakkuda mitmeid võimalusi, et muuta Euroopa õigusruum kodanike jaoks järgnevatel aastatel konkreetsemaks. Komisjon võttis käesoleva e-õiguskeskkonda käsitleva teatise vastu selle olulise küsimuse jaoks üldise strateegia loomise eesmärgil. Teatises on esitatud objektiivsed kriteeriumid prioriteetide kindlaksmääramiseks, eelkõige tulevaste Euroopa tasandi projektide jaoks, et saavutada mõistliku aja jooksul konkreetseid tulemusi.

8.

Samuti on esitatud mõningast taustteavet teatisele lisatud komisjoni talituste töödokumendis, mis sisaldab mõju hindamise kommenteeritud kokkuvõtet. (6) Mõju hindamise aruande koostamisel on võetud arvesse liikmesriikide, õigusasutuste, juristide, kodanike ja ettevõtjate arvamusi. Euroopa andmekaitseinspektoriga ei ole konsulteeritud. Mõju hindamise aruandes eelistati probleemide lahendamiseks poliitikavalikut, mis hõlmab nii Euroopa mõõdet kui ka riikide pädevust. Teatises on lähtutud sellest poliitikavalikust. Strateegias seatakse kesksele kohale videokonverentside kasutamine, e-õiguskeskkonna portaali loomine, tõlkevõimaluste parandamine automaatsete internetipõhiste tõlkevahendite väljatöötamise kaudu, õigusasutuste vahelise suhtlemise parandamine, siseriiklike registrite laiaulatuslikum võrguks sidumine ja online-vahendite kasutamine Euroopa menetlustes (nt Euroopa maksekäsumenetlus).

9.

Euroopa andmekaitseinspektor toetab rõhu asetamist eespool nimetatud meetmetele. Üldiselt toetab andmekaitseinspektor laiaulatuslikku lähenemisviisi e-õiguskeskkonnale. Andmekaitseinspektor nõustub, et on vaja parandada nii õiguskaitse kättesaadavust, koostööd Euroopa õigusasutuste vahel kui ka õigusemõistmise enda tõhusust. Selline lähenemisviis mõjutab mitmeid institutsioone ja isikuid:

10.

Komisjoni teatis on tihedalt seotud ettepanekuga, mis käsitleb nõukogu otsust Euroopa karistusregistrite infosüsteemi (ECRIS) loomise kohta. Euroopa andmekaitseinspektor võttis 16. septembril 2008 vastu kõnealust ettepanekut käsitleva arvamuse. (7) Andmekaitseinspektor toetas seda ettepanekut, tingimusel et võetakse arvesse teatavaid kaalutlusi. Eelkõige märkis andmekaitseinspektor, et asjaolu, et üldine andmekaitse õigusraamistik politsei- ja õigusasutuste vahelise koostöö valdkonnas praegu puudub, peaksid kompenseerima täiendavad andmekaitse alased tagatised. Seetõttu rõhutas andmekaitseinspektor vajadust koordineerida tõhusalt kõnealuse süsteemi andmekaitse alast järelevalvet, mis hõlmab liikmesriikide ametiasutusi ja komisjoni kui ühise sideinfrastruktuuri pakkujat.

11.

Mõned kõnealuses arvamuses esitatud soovitused, mis väärivad kordamist, on järgmised:

12.

Nimetatud soovitused on asjakohased ka käesoleva teatise analüüsimise kontekstis.

13.

E-õiguskeskkond on väga laia ulatusega, hõlmates info- ja sidetehnoloogia üldist kasutamist õigusemõistmisel Euroopa Liidus. See katab mitmeid küsimusi, nagu näiteks projekte, mis võimaldavad vaidluspooltel saada tõhusamalt teavet. See hõlmab õigussüsteeme, õigusakte ja kohtupraktikat käsitlevat online-teavet, vaidluspooli ja kohtuid ühendavaid elektroonilisi sidesüsteeme ning täielikult elektrooniliste menetluste sisseseadmist. Selle alla kuuluvad samuti sellised Euroopa projektid nagu elektrooniliste vahendite kasutamine kohtuistungite salvestamiseks ja projektid, mis käsitlevad teabevahetust või andmete ühendamist võrguks.

14.

Euroopa andmekaitseinspektor on tähele pannud, et vaatamata selle väga laiale ulatusele, sisaldab e-õiguskeskkond tulevikus teavet vaid kriminaalmenetluste ning tsiviil- ja äriõiguse süsteemide kohta, kuid mitte haldusõiguse süsteemide kohta. Samuti on seal link kriminaal- ja tsiviilasjade atlasele, kuid mitte haldusasjade atlasele, ehkki oleks tõenäoliselt parem, kui kodanikel ja ettevõtjatel oleks juurdepääs haldusõiguse süsteemidele, st haldusõigusele ja kaebustega seotud menetlustele. Samuti tuleks lisada link juurdepääsuks Riiginõukogude ja Kõrgemate Halduskohtute Assotsiatsioonile. Need lingid aitaksid kodanikel, kes püüavad leida selgust haldusõiguse ja kõigi selle kohtute keerukas süsteemis, saada rohkem teavet haldusõiguse süsteemide kohta.

15.

Euroopa andmekaitseinspektor soovitab seetõttu lisada e-õiguskeskkonda ka haldusmenetlused. Selle uue valdkonna osana tuleks algatada e-õiguskeskkonda käsitlevaid projekte, mille eesmärk on suurendada andmekaitse eeskirjade ning siseriiklike andmekaitseasutuste nähtavust, eelkõige seoses e-õiguskeskkonna raames töödeldavate andmetega. See oleks kooskõlas andmekaitseasutuste poolt 2006. aasta novembris käivitatud nn Londoni algatusega, mille eesmärk on andmekaitsest teavitamine ja selle tõhustamine.

16.

Tulenevalt õigusasutuste vahelise isikuandmete vahetuse mahu suurenemisest muutub kohaldatav andmekaitse valdkonna õigusraamistik veelgi olulisemaks. Seoses sellega märgib Euroopa andmekaitseinspektor, et kolm aastat pärast komisjoni algset ettepanekut võttis Euroopa Liidu Nõukogu 27. novembril vastu raamotsuse kriminaalasjades tehtava politsei- ja õigusalase koostöö raames töödeldavate isikuandmete kaitse kohta. (8) Kõnealuses uues õigusaktis sätestatakse nn kolmanda samba küsimustega seotud üldine andmekaitse õigusraamistik lisaks direktiivis 95/46/EÜ sätestatud nn esimese samba andmekaitset reguleerivatele sätetele.

17.

Euroopa andmekaitseinspektor tervitab seda õigusakti kui esimest märkimisväärset sammu politsei- ja õigusalase koostööga seotud andmekaitse valdkonnas. Siiski ei saa lõplikus tekstis saavutatud andmekaitse taset täielikult rahuldavaks pidada. Raamotsus hõlmab üksnes liikmesriikide, ELi ametiasutuste ja süsteemide vahel vahetatavaid politsei- ja õigusalaseid andmeid ning ei hõlma siseriiklikke andmeid. Lisaks sellele ei ole vastuvõetud raamotsuses sätestatud kohustust eristada erinevaid andmesubjektide kategooriaid (nt kahtlusalused, kurjategijad, tunnistajad ja ohvrid), et tagada neid käsitlevate andmete töötlemine asjakohasemaid kaitsemeetmeid kasutades. Kõnealune raamotsus ei ole täielikus kooskõlas direktiiviga 95/46/EÜ, eelkõige nende eesmärkide piiramise osas, mille jaoks isikuandmeid võidakse täiendavalt töödelda. Samuti ei ole selles ette nähtud võimalust luua asjaomaseid siseriiklikke ja ELi andmekaitseasutuseid koondav sõltumatu töörühm, mis võiks tagada nii parema koostöö andmekaitseasutuste vahel kui ka sisulise panuse raamotsuse ühtsesse kohaldamisse.

18.

See tähendab, et olukorras, kus tehakse tõsiseid jõupingutusi isikuandmete piiriülese vahetuse süsteemide väljaarendamiseks, esinevad jätkuvalt erinevused nende eeskirjade osas, mille kohaselt neid andmeid töödeldakse ning kodanikel on võimalik oma õigusi erinevates ELi riikides kasutada.

19.

Euroopa andmekaitseinspektor tuletab veel kord meelde, et meetmeid, mis on kehtestatud või kavandatud selleks, et hõlbustada isikuandmete piiriülest vahetust õiguskaitse valdkonnas, on vaja täiendada sellega, et tagatakse andmekaitse kõrge tase politsei- ja õigusalase koostöö valdkonnas ning kooskõla direktiiviga 95/46/EÜ. See vajadus ei tulene mitte üksnes kodanike õigusest isikuandmete kaitse kui põhiõiguse austamisele, vaid ka vajadusest tagada õiguskaitseasutuste vahetatavate andmete kvaliteet (nagu on kinnitatud teatise lisas seoses karistusregistrite omavahel ühendamisega), usaldus eri riikide ametiasutuste vahel ning lõpuks piiriülese tegevuse raames kogutud tõendite õiguslik kehtivus.

20.

Seetõttu julgustab Euroopa andmekaitseinspektor ELi institutsioone võtma neid aspekte arvesse mitte ainult teatises kavandatud meetmete rakendamisel, vaid ka eesmärgiga alustada võimalikult kiiresti arutelusid andmekaitse alase õigusraamistiku edasiseks parandamiseks õiguskaitse valdkonnas.

21.

Euroopa andmekaitseinspektor tunnistab, et isikuandmete vahetamine on vabadusel, turvalisusel ja õigusel rajaneva ala loomise oluline osa. Seetõttu toetab Euroopa andmekaitseinspektor e-õiguskeskkonna strateegiat käsitlevat ettepanekut, tõstes samal ajal esile andmekaitse tähtsuse selles kontekstis. Andmekaitse tagamine ei ole tegelikult üksnes juriidiline kohustus, vaid ka kavandatud süsteemide eduks (nt andmevahetuse kvaliteedi tagamiseks) vajalik võtmeelement. See kehtib ka isikuandmeid töötlevate institutsioonide ja asutuste ning uute poliitikate väljatöötamise kohta. Eeskirju ja põhimõtteid tuleks praktikas kohaldada ja järgida ning neid tuleks eelkõige arvesse võtta infosüsteemide väljatöötamise ja ülesehitamise etappides. Eraelu puutumatus ja andmekaitse on sisuliselt jõuka ja tasakaalustatud infoühiskonna loomisel edu saavutamise põhitegurid. Seetõttu on mõtet nendesse investeerida ja teha seda võimalikult kiiresti.

22.

Seoses sellega rõhutab Euroopa andmekaitseinspektor, et komisjoni teatises ei ole ette nähtud üleeuroopalise keskse andmebaasi loomist. Andmekaitseinspektor tervitab detsentraliseeritud struktuuride eelistamist. Euroopa andmekaitseinspektor tuletab meelde, et ta esitas oma arvamused Euroopa karistusregistrite infosüsteemi (ECRIS) (9) ja Prümi algatuse (10) kohta. Oma arvamuses ECRISi kohta rõhutas Euroopa andmekaitseinspektor, et detsentraliseeritud struktuuri kasutamisega välditakse isikuandmete täiendavat dubleerimist keskses andmebaasis. Oma arvamuses Prümi algatuse kohta soovitas andmekaitseinspektor võtta andmebaaside omavahel ühendamise küsimuse arutamisel nõuetekohaselt arvesse süsteemi ulatust. Eelkõige tuleks kindlaks määrata andmeedastuse erivormid (nt online-taotlused karistusregistritest andmete saamiseks), võttes samuti arvesse keelte erinevusi, ning pidevalt tuleks jälgida andmevahetuse täpsust. Nimetatud aspekte tuleks arvesse võtta ka e-õiguskeskkonna strateegiast tulenevate algatuste puhul.

23.

Euroopa Komisjonil on kavas anda oma panus e-õiguskeskkonnaga seotud Euroopa tasandi vahendite tugevdamisse ja arendamisse, tehes tihedat koostööd liikmesriikide ja muude partneritega. Samal ajal liikmesriikide jõupingutuste toetamisega on komisjonil endal kavas välja töötada mitmeid IT-vahendeid, et suurendada süsteemide koostalitlusvõimet, hõlbustada avalikkuse juurdepääsu õiguskaitsele ja õigusasutuste vahelist suhtlemist ning saavutada Euroopa tasandil oluline mastaabisääst. Mis puutub liikmesriikide poolt kasutatava tarkvara koostalitlusvõimesse, siis ei pea kõik liikmesriigid tingimata kasutama sama tarkvara (ehkki see oleks kõige praktilisem lahendus), vaid tarkvara peab olema täielikult koostalitlusvõimeline.

24.

Euroopa andmekaitseinspektori soovitus on, et seoses süsteemide omavahelise ühendamise ja koostalitlusvõimega võetaks nõuetekohaselt arvesse piiratud eesmärkidel kasutamise põhimõtet ning et need süsteemid töötataks välja andmekaitsestandarditest lähtuvalt (nn kavandatud eraelu puutumatuse põhimõte). Igasugune erinevate süsteemide vaheline seos tuleks põhjalikult dokumenteerida. Koostalitlusvõime ei tohiks kunagi viia olukorrani, kus asutus, millel pole õigust pääseda juurde teatud andmetele või neid kasutada, võib saada sellise juurdepääsu mõne teise infosüsteemi kaudu. Euroopa andmekaitseinspektor soovib uuesti rõhutada, et koostalitlusvõime ei tohiks õigustada piiratud eesmärkidel kasutamise põhimõttest (11) kõrvalehoidumist.

25.

Lisaks sellele on oluline tagada, et isikuandmete suurema piiriülese vahetamisega kaasneks andmekaitseasutuste poolne tõhusam järelevalve ja koostöö. Euroopa andmekaitseinspektor on juba oma 29. mai 2006. aasta arvamuses, mis käsitleb raamotsust karistusregistrite andmete vahetamise kohta, (12) rõhutanud, et kavandatud raamotsus ei peaks käsitlema mitte üksnes koostööd keskasutuste vahel, vaid ka erinevate pädevate andmekaitseasutuste koostööd. See vajadus on muutunud veelgi aktuaalsemaks pärast seda, kui läbirääkimised, mis käsitlesid hiljuti vastu võetud nõukogu raamotsust kriminaalasjades tehtava politsei- ja õigusalase (13) koostöö raames töödeldavate isikuandmete kaitse kohta, tõid kaasa selle, et välja jäeti säte, millega loodi ELi andmekaitseasutusi ühendav töörühm, et kooskõlastada nende tegevust seoses andmete töötlemisega kriminaalasjadega seotud politsei- ja õigusalase koostöö raames. Seetõttu tuleks tulemusliku järelevalve ja karistusregistrite andmete piiriülese ringluse kõrge kvaliteedi tagamise vajadust silmas pidades näha ette andmekaitseasutuste vahelise tõhusa koordineerimise mehhanismid. (14) Kõnealused mehhanismid peaksid samuti võtma arvesse Euroopa andmekaitseinspektori järelevalvealast pädevust seoses s-TESTA infrastruktuuriga. (15) E-õiguskeskkonna vahendid võiksid neid mehhanisme toetada ning need mehhanismid võiks välja töötada tihedas koostöös andmekaitseasutustega.

26.

Teatise punktis 4.2.1 on rõhutatud, et on tähtis, et karistusregistrite andmete vahetust kasutataks laiemalt kui vaid õigusalase koostöö raames ja et see hõlmaks ka muid eesmärke, nagu juurdepääs teatavatele ametikohtadele. Euroopa andmekaitseinspektor rõhutab, et igasuguse isikuandmete töötlemise puhul muudel eesmärkidel kui need, milleks neid koguti, tuleks järgida eritingimusi, mis on sätestatud kohaldatavate andmekaitse valdkonna õigusaktidega. Eelkõige tuleks isikuandmete töötlemist muudel eesmärkidel lubada üksnes siis, kui see on vajalik ühenduse andmekaitse valdkonna õigusaktides loetletud eesmärkide saavutamiseks (16) ning tingimusel, et need on kehtestatud õiguslike meetmetega.

27.

Seoses karistusregistrite omavahelise ühendamisega on teatises märgitud, et ühe osana ettevalmistustest karistusregistrite andmete vahetamist käsitleva raamotsuse jõustumiseks käivitab komisjon kaks teostatavusuuringut, pidades silmas projekti edasist arendamist ning andmevahetuse laiendamist nii, et see hõlmaks kuritegudes süüdi mõistetud kolmandate riikide kodanikke. 2009. aastal teeb komisjon liikmesriikidele kättesaadavaks tarkvara, mis peaks võimaldama vahetada kõiki karistusregistrite andmeid lühikese aja jooksul. See viitesüsteem kombineerituna s-TESTA kasutamisega andmevahetuse eesmärgil toob kaasa mastaabisäästu, kuna liikmesriigid ei pea ise arendustööd tegema. See muudab lihtsamaks ka projekti elluviimise.

28.

Seoses sellega tervitab Euroopa andmekaitseinspektor asjaolu, et kasutatakse s-TESTA infrastruktuuri, mis on osutunud usaldusväärseks andmevahetussüsteemiks, ning soovitab kavandatud andmevahetussüsteemidega seotud statistilised aspektid üksikasjalikult kindlaks määrata ning võtta nõuetekohaselt arvesse vajadust tagada järelevalve andmekaitse üle. Näiteks võiksid statistilised andmed sisaldada selgelt selliseid elemente nagu juurdepääsu- või isikuandmete parandamise taotluste arv, ajakohastamisprotsessi kestus ja täielikkus, andmetele juurdepääsu omavate isikute staatus ning turvanõuete rikkumise juhtumid. Lisaks tuleks statistilised andmed ja neil põhinevad aruanded teha täielikult kättesaadavaks pädevatele andmekaitseasutustele.

29.

Masintõlke kasutamine on kasulik vahend ning soodustab tõenäoliselt vastastikust mõistmist liikmesriikide asjaomaste osalejate vahel. Masintõlke kasutamise tulemusena ei tohiks vahetatavate andmete kvaliteet siiski langeda, eelkõige kui neid andmeid kasutatakse selliste otsuste tegemisel, millel on asjaomaste isikute jaoks õiguslikud tagajärjed. Euroopa andmekaitseinspektor juhib tähelepanu sellele, kui oluline on masintõlke kasutamine täpselt kindlaks määrata ja piiritleda. Masintõlke kasutamine mõjutab selliste andmete edastamisel, millele ei ole tehtud täpset eeltõlget (näiteks üksikjuhtumit käsitlevad lisamärkused või kirjeldused), tõenäoliselt edastatavate andmete kvaliteeti ja seega ka nende põhjal tehtud otsuseid ning tuleks seetõttu sel juhul põhimõtteliselt välistada. (17) Euroopa andmekaitseinspektor leiab, et seda soovitust tuleks arvesse võtta teatise alusel võetavate meetmete puhul.

30.

Teatise eesmärk on õigustõlke valdkonna tõlkide ja tõlkijate andmebaasi loomine, et paraneks kirjaliku ja suulise õigustõlke kvaliteet. Euroopa andmekaitseinspektor toetab nimetatud eesmärki, kuid tuletab meelde, et kõnealuse andmebaasi suhtes kohaldatakse asjakohaseid andmekaitse valdkonna õigusakte. Eelkõige, kui kõnealune andmebaas sisaldab andmeid tõlkijate töö hindamise kohta, võib selle suhtes kohaldada pädevate andmekaitseasutuste eelkontrolli.

31.

Teatise punktis 5 juhitakse tähelepanu sellele, et ülesanded tuleb komisjoni, liikmesriikide ja muude õigusalases koostöös osalejate vahel selgelt ära jaotada. Komisjonil omab üldist koordineerivat rolli, julgustades tavade vahetamist ning kavandades, seades üles ja koordineerides e-õiguskeskkonna portaalis sisalduvat teavet. Lisaks jätkab komisjon tööd karistusregistrite omavaheliseks ühendamiseks ning vastutab ka edaspidi otseselt tsiviilasjade juriidilise võrgustiku eest ning toetab kriminaalasjade juriidilist võrgustikku. Liikmesriikidel tuleb ajakohastada e-õiguskeskkonna veebisaidil esitatud andmeid oma õigussüsteemide kohta. Teisteks osalejateks on tsiviil- ja kriminaalasjade juriidilised võrgustikud ning Eurojust. Tihedas koostöös komisjoniga töötavad nad välja tõhusamaks õigusalaseks koostööks vajalikud vahendid, eelkõige masintõlke vahendid ja turvalise andmevahetussüsteemi. Teatisele on lisatud ettepanek tegevuskava ja erinevate projektide ajakava kohta.

32.

Seoses sellega rõhutab Euroopa andmekaitseinspektor, et ühelt poolt ei ole ECRISi süsteemis loodud üleeuroopalist keskset andmebaasi ning ette ei ole nähtud vahetut juurdepääsu teiste liikmesriikide karistusregistritele, samas kui teiselt poolt on liikmesriikide tasandil vastutus korrektse teabe eest koondatud liikmesriikide keskasutustesse. Selle mehhanismi raames vastutavad liikmesriigid siseriiklike andmebaaside ning andmevahetuse tõhusa toimimise eest. Ei ole selge, kas nad vastutavad ka võrguks sidumist võimaldava tarkvara eest. Komisjon teeb liikmesriikidele kättesaadavaks tarkvara, mis peaks võimaldama vahetada kõiki karistusregistrite andmeid lühikese aja jooksul. See viitesüsteem kombineeritakse andmevahetuse eesmärgil s-TESTA kasutamisega.

33.

Euroopa andmekaitseinspektor eeldab, et analoogsete e-õiguskeskkonna algatuste raames võidakse samuti rakendada sarnaseid süsteeme ning et komisjon vastutab ühise infrastruktuuri eest, kuigi teatises seda ei täpsustata. Euroopa andmekaitseinspektor teeb ettepaneku täpsustada õiguskindluse huvides teatise alusel võetavate meetmete puhul seda vastutust.

34.

Lisas on esitatud rida projekte, mida tuleks arendada järgmise viie aasta jooksul. Esimene projekt, s.o e-õiguskeskkonna lehekülgede väljatöötamine, käsitleb e-õiguskeskkonna portaali. Selle teostamiseks on tarvis läbi viia teostatavusuuring ning arendada välja portaal. Lisaks sellele on selleks tarvis rakendada juhtimismeetodeid ja teha online-teave kättesaadavaks kõigis ELi ametlikes keeltes. Teine ja kolmas projekt käsitlevad karistusregistrite ühendamist. Teine projekt käsitleb liikmesriikide karistusregistrite sidumist võrguks. Kolmanda projektiga nähakse ette pärast teostatavusuuringut ja õigusakti ettepaneku esitamist süüdi mõistetud kolmandate riikide kodanike Euroopa registri loomine. Euroopa andmekaitseinspektor märgib, et kõnealust projekti ei ole komisjoni tööprogrammis enam mainitud, ning soovib teada, kas see tähendab muudatust komisjoni kavandatud projektides või üksnes selle konkreetse projekti edasilükkamist.

35.

Teatises on samuti toodud kolm elektroonilise andmevahetuse valdkonna projekti ja kolm tõlkeabi valdkonna projekti. Katseprojekti raames hakatakse järk-järgult koguma võrdlevat mitmekeelset õigussõnavara. Teised asjakohased projektid on seotud Euroopa õigusaktidele lisatavate dünaamiliste vormide koostamisega ning õigusasutuste poolse videokonverentside kasutamise soodustamisega. Lõpuks peetakse e-õiguskeskkonna foorumite raames iga-aastasi koosolekuid e-õiguskeskkonna teemadel ning arendatakse õigusala töötajate õiguskoostöö alast koolitust. Euroopa andmekaitseinspektor soovitab, et sellistel kohtumistel ja koolitustel pöörataks piisavat tähelepanu andmekaitse valdkonna õigusaktidele ja tavadele.

36.

Seega on lisas kavandatud suur hulk Euroopa vahendeid, mille eesmärk on hõlbustada andmevahetust eri liikmesriikide osalejate vahel. Nende vahendite hulgas hakkab suurt rolli täitma e-õiguskeskkonna portaal, mille eest vastutab peamiselt komisjon.

37.

Paljude selliste vahendite ühise omadusena vahetavad ja haldavad nende puhul teavet ja isikuandmeid erinevad liikmesriikide ja ELi tasandi osalejad, kelle suhtes kohaldatakse direktiivi 95/46/EÜ või määruse (EÜ) nr 45/2001 kohaseid andmekaitse alaseid kohustusi ja järelevalveasutuste kontrolli. Seoses sellega ning lähtudes Euroopa andmekaitseinspektori poolt siseturu infosüsteemi käsitlevas arvamuses (18) juba esitatud selgitustest, on oluline tagada andmekaitse eeskirjade tõhus ja tõrgeteta täitmine.

38.

Selleks on ühelt poolt tarvis sisuliselt seda, et nendes süsteemides oleks isikuandmete töötlemisega seotud vastutus selgelt määratletud ja jaotatud. Teiselt poolt on vajaduse korral tarvis kehtestada asjakohased koordineerimismehhanismid, eelkõige seoses järelevalvega.

39.

Uute tehnoloogiate kasutamine on üheks e-õiguskeskkonna algatuste nurgakiviks: siseriiklike registrite ühendamine, elektroonilise allkirja väljaarendamine, turvalised võrgustikud, virtuaalsed andmevahetusplatvormid ja videokonverentside sagedasem kasutamine on järgnevatel aastatel e-õiguskeskkonna algatuste kesksed elemendid.

40.

Seoses sellega on oluline võtta andmekaitseküsimusi arvesse võimalikult varajases etapis ning lähtuda neist kavandatavate vahendite loomisel. Eelkõige on äärmiselt olulised nii süsteemi ülesehitus kui ka piisavate turvameetmete rakendamine. Selline nn kavandatud eraelu puutumatusel põhinev lähenemisviis võimaldaks e-õiguskeskkonna algatuste puhul isikuandmete tõhusat haldamist, tagades samal ajal andmekaitse põhimõtete järgimise ning turvalise andmevahetuse erinevate ametiasutuste vahel.

41.

Lisaks sellele rõhutab Euroopa andmekaitseinspektor, et tehnoloogilisi vahendeid tuleks kasutada mitte üksnes andmevahetuse tagamiseks, vaid ka asjaomaste isikute õiguste tugevdamiseks. Sellel taustal tervitab Euroopa andmekaitseinspektor asjaolu, et teatises osutatakse kodanike võimalusele taotleda väljavõtet oma karistusregistri andmetest interneti kaudu ning nende poolt valitud keeles. (19) Seoses sellega tuletab Euroopa andmekaitseinspektor meelde, et ta tervitas oma arvamuses, mis käsitles komisjoni ettepanekut karistusregistrite andmete vahetamise kohta, asjaomaste isikute võimalust taotleda asjaomase liikmesriigi keskasutuselt enda kohta käivaid karistusregistri andmeid, eeldusel et asjaomane isik on või oli pikaajaline elanik või kodanik andmeid taotlevas liikmesriigis või liikmesriigis, kellelt andmeid taotletakse. Seoses sotsiaalkindlustussüsteemide kooskõlastamise valdkonnaga pakkus Euroopa andmekaitseinspektor samuti välja idee kasutada ühtse kontaktpunktina seda asutust, mis asub asjaomasele isikule lähemal. Seetõttu julgustab Euroopa andmekaitseinspektor komisjoni samas suunas edasi liikuma, tõhustades tehnoloogilisi vahendeid ning eelkõige online-juurdepääsu, mis võimaldavad kodanikel oma andmeid paremini hallata ka siis, kui nad liiguvad ühest liikmesriigist teise.

42.

Euroopa andmekaitseinspektor toetab ettepanekut luua e-õiguskeskkond ning soovitab võtta arvesse käesolevas arvamuses esitatud tähelepanekuid, mis hõlmavad järgmist:

6.6.2009   

ET

Euroopa Liidu Teataja

C 128/20

1.

Komisjon võttis 2. juulil 2008. vastu Euroopa Parlamendi ja nõukogu direktiivi ettepaneku patsientide õiguste rakendamise kohta piiriüleses tervishoius (edaspidi „ettepanek”). (1) Kooskõlas määruse (EÜ) nr 45/2001 artikli 28 lõikega 2 saatis komisjon ettepaneku Euroopa andmekaitseinspektorile konsulteerimiseks.

2.

Ettepaneku eesmärk on luua ühenduse raamistik piiriüleste tervishoiuteenuste osutamiseks ELis nendel juhtudel, kui ravi, mida patsient soovib, osutatakse mõnes teises liikmesriigis, mitte tema koduriigis. See on üles ehitatud kolmele peamisele valdkonnale:

3.

Kõnealuse raamistiku eesmärgid on järgmised: täpsustada piisavalt õigusi saada hüvitisi teises liikmesriigis saadud tervishoiuteenuste eest ning tagada kõrge kvaliteediga, ohutu ja tõhus piiriülene tervishoid.

4.

Piiriülese tervishoiu kava rakendamiseks peavad eri liikmesriikide volitatud organisatsioonid ja tervishoiutöötajad vahetama asjakohaseid patsientide tervislikku seisundit käsitlevaid andmeid (edaspidi „tervishoiuandmed”). Neid andmeid käsitatakse tundlike andmetena ning nende suhtes kohaldatakse rangemaid andmekaitse eeskirju, nagu on sätestatud andmete eriliike käsitlevas direktiivi 95/46/EÜ artiklis 8.

5.

Euroopa andmekaitseinspektoril on hea meel, et temaga kõnealuses küsimuses nõu peetakse ning et sellisele konsulteerimisele ettepaneku preambulis ka määruse (EÜ) nr 45/2001 artikli 28 kohaselt viidatakse.

6.

Tegemist on esmakordse juhtumiga, kus Euroopa andmekaitseinspektoriga tervishoiuvaldkonda käsitleva direktiivi ettepaneku suhtes ametlikult konsulteeritakse. Seetõttu on mõned märkused üldisemat laadi ja käsitlevad isikuandmete kaitse üldküsimusi tervishoiusektoris ning neid võib kohaldada ka muude asjakohaste õigusaktide (nii siduvate kui mitte) suhtes.

7.

Andmekaitseinspektor soovib juba alguses avaldada toetust algatustele, millega parandatakse piiriülese tervishoiu tingimusi. Seda ettepanekut peaks tegelikult vaatlema EÜ üldprogrammi raames, mille eesmärk on parandada kodanike tervist infoühiskonnas. Teised teemakohased algatused on komisjoni kavandatud direktiiv ja teatis elundidoonorluse ja elundite siirdamise kohta, (2) soovitus elektrooniliste tervisekaartide piiriülese koostalitlusvõime kohta. (3) ning kavandatud teatis telemeditsiini kohta. (4) Euroopa andmekaitseinspektorile valmistab aga muret asjaolu, et kõik need algatused ei ole tihedalt seotud eraelu puutumatuse ja andmete turvalisuse valdkonnaga ja valdkonnas ning takistavad seega andmekaitset käsitleva ühtse lähenemisviisi kasutuselevõttu tervishoiu vallas, eelkõige seoses uute info- ja sidetehnoloogiate kasutamisega. Näiteks on küll kõnealuses ettepanekus telemeditsiin selgesõnaliselt mainitud kavandatud direktiivi põhjenduses 10, ent ei ole viidatud asjakohasele Euroopa Komisjoni teatise andmekaitsemõõtmele. Lisaks sellele – kuigi elektroonilised tervisekaardid on üheks võimalikuks vahendiks terviseandmete piiriülesel edastamisel, ei ole osutatud asjakohases komisjoni soovituses käsitletud eraelu puutumatuse küsimustele. (5) See jätab mulje, et tervishoiualane eraelu puutumatuse aspekt ei ole ikka veel selgelt määratletud ning mõnel juhul puudub see täielikult.

8.

See on ilmne ka kõnealuses ettepanekus, kus ei ole andmekaitseinspektori meelehärmiks andmekaitsega seotud mõju täpsemalt käsitletud. Viiteid andmekaitsele muidugi leidub, kuid need on enamast üldist laadi ega kajasta piisavalt eraelu puutumatusega seotud spetsiifilisi vajadusi ja nõudeid piiriüleses tervishoius.

9.

Euroopa andmekaitseinspektor soovib rõhutada, et ühtne ja usaldusväärne andmekaitset käsitlev lähenemisviis kavandatavates tervishoiuaktides tagab kodanike põhiõiguse oma andmeid kaitsta ning annab lisaks sellele ka täiendava panuse piiriülese tervishoiu edasisele arengule ELis.

10.

Euroopa Ühenduse tähelepanuväärseim eesmärk on olnud luua siseturg – sisepiirideta ala, kus on tagatud kaupade, isikute, teenuste ja kapitali vaba liikumine. Asjaolu, et kodanikud saavad hõlpsamalt liikuda oma päritoluriigist teistesse liikmesriikidesse ning sinna elama asuda, tekitas loomulikult tervishoiuga seotud probleeme. Sel põhjusel seisis Euroopa Kohus üheksakümnendatel aastatel siseturu kontekstis silmitsi küsimustega teises liikmesriigis tekkinud meditsiinikulude võimaliku hüvitamise kohta. Euroopa Kohus leidis, et EÜ asutamislepingu artiklis 49 sätestatud teenuste osutamise vabadus hõlmab isikute vabadust minna ravi saamiseks ühest liikmesriigist teise. (6) Sellest tulenevalt ei tohtinud piiriülest tervishoiuteenust saada soovivaid patsiente kohelda erinevalt oma riigi kodanikest, kes saavad sama ravi piiri ületamata.

11.

Need Euroopa Kohtu otsused on kõnealuse ettepaneku keskmes. Kuna Euroopa Kohtu kohtupraktika tugineb individuaalsetele juhtumitele, on ettepaneku eesmärk asi selgemaks muuta, et tagada tervishoiuteenuste saamise ja osutamise vabaduse üldisem ja tõhusam kohaldamine. Kuid nagu juba mainitud, on ettepanek ka osaks ambitsioonikamast programmist, mille eesmärgiks on parandada kodanike tervist infoühiskonnas, kus ELi arvates leidub häid võimalusi tõhustada piiriülest tervishoidu infotehnoloogia kasutamise abil.

12.

Ilmsetel põhjustel on eeskirjade kehtestamine piiriülese tervishoiu vallas delikaatne teema. See puudutab tundlikku valdkonda, mille osas on liikmesriigid loonud erinevad riiklikud süsteemid, näiteks seoses kindlustuse ja kulude hüvitamisega või tervishoiu infrastruktuuri korraldusega, sealhulgas tervishoiu teabevõrgustike ja rakendustega. Kuigi ühenduse seadusandja keskendub kõnealuses ettepanekus piiriülesele tervishoiule, mõjutavad eeskirjad ka riiklike tervishoiusüsteemide korraldust.

13.

Piiriülese tervishoiu tingimuste parandamine on kodanike huvides. Samas aga seonduvad sellega kodanike jaoks ka teatud riskid. Lahendada tuleb mitmed praktilised probleemid, mis on omased piiriülesele koostööle inimeste vahel, kes on päris eri maadest ja räägivad erinevaid keeli. Kuna hea tervis on iga kodaniku jaoks äärmiselt oluline, tuleb välistada kõik vääritimõistmise ja sellest tuleneva ebatäpsuse ohud. On ütlematagi selge, et piiriülese tervishoiu parandamine koos infotehnoloogia arengu ärakasutamisega mõjutab suuresti isikuandmete kaitset. Tõhusam ja seega ulatuslikum tervishoiuandmete vahetamine, suurem vahemaa asjaomaste inimeste ja asutuste vahel ning andmekaitse-eeskirju rakendavate seaduste erinevus eri riikides tekitavad küsimusi seoses andmeturbe ja õiguskindlusega.

14.

Tuleb rõhutada, et tervishoiuandmeid peetakse erikategooria andmeteks, mis vajavad tugevamat kaitset. Euroopa Inimõiguste Kohus teatas hiljuti inimõiguste Euroopa konventsiooni artikli 8 kontekstis, et isikuandmete kaitse ning eelkõige meditsiiniliste andmete kaitse on äärmiselt oluline selleks, et inimene saaks segamatult kasutada oma õigust era- ja pereelu puutumatusele, nagu on tagatud konventsiooni artiklis 8. (7) Enne kui selgitatakse direktiivis 95/46/EÜ sätestatud tervishoiuandmete töötlemise rangemaid eeskirju, käsitletakse mõistet „tervishoiuandmed”.

15.

Direktiivis 95/46/EÜ ei ole tervishoiuandmeid selgesõnaliselt määratletud. Tavaliselt kasutatakse laiatähenduslikumat tõlgendust, määratledes tervishoiuandmed sageli kui isikuandmeid, millel on selge ja tihe seos inimese tervisliku seisundi kirjeldusega. (8) Seoses sellega hõlmavad tervishoiuandmed tavapäraselt meditsiinilisi andmeid (nt arsti saatekirju ja retsepte, arstliku läbivaatuse aruandeid, laboratoorseid uuringuid, röntgenipilte jms) ning tervisega seotud haldus- ja finantsvaldkonna andmeid (nt dokumendid, mis käsitlevad haiglaravi, sotsiaalkindlustusnumbrit, arsti vastuvõtul käimisi, arveid tervishoiuteenuste osutamise eest jms.) Mõistet „meditsiinilised andmed” (9) kasutatakse ka vahel tervisega seotud andmete kohta, sama kehtib ka mõiste „tervishoiuandmed” (10) puhul. Käesolevas arvamuse kasutatakse mõistet „tervishoiuandmed”.

16.

Üks „tervishoiuandmete” kasulik määratlus on toodud standardis ISO 27799: mis tahes teave, mis on seotud isiku füüsilise või vaimse tervisega või isikule osutatavate tervishoiuteenustega ning mis võib hõlmata järgmist: a) teave isiku registreerimise kohta tervishoiuteenuste osutamiseks; b) teave maksete kohta või isiku õiguse kohta tervishoiuteenuseid saada; c) number, sümbol või detail, mis on isikule määratud selleks, et teda tervishoiukontekstis identifitseerida; d) isikut käsitlev mis tahes teave, mis on kogutud isikule osutatud tervishoiuteenuste raames; e) kehaosa või eritise testimisel või uurimisel saadud teave; ja f) isiku (tervishoiutöötaja) identifitseerimine isikule osutatud tervishoiuteenuste osutajana.

17.

Euroopa andmekaitseinspektor pooldab täiel määral mõiste „tervishoiuandmed” konkreetse määratluse vastuvõtmist kõnealuse ettepaneku raames; seda määratlust võiks kasutada ka tulevikus asjakohastes ELi õigustekstides (vt käesoleva dokumendi III osa).

18.

Direktiivi 95/46/EÜ artiklis 8 sätestatakse eeskirjad andmete eriliikide töötlemiseks. Need eeskirjad on rangemad kui teist laadi andmete töötlemiseks direktiivi 95/46/EÜ artiklis 7 sätestatud eeskirjad. See ilmneb juba artikli 8 lõikes 1, kus on selgesõnaliselt sätestatud, et liikmesriigid keelavad muu hulgas tervisega seotud andmete töötlemise. Artikli järgmistes lõigetes on sõnastatud mitmed erandid nimetatud keelust, kuid need on piiratumad kui artiklis 7 sätestatud tavaliste andmete töötlemise alused. Näiteks ei kehti keeld siis, kui andmesubjekt on andnud oma selgesõnalise nõusoleku (artikli 8 lõike 2 punkt a), vastandatuna direktiivi 95/46/EÜ artikli 7 punktis a nõutud ühemõttelise nõusolekuga. Lisaks sellele võib liikmesriigi õiguses määrata kindlaks, et teatud juhtudel ei saa isegi andmesubjekti nõusolekul keeldu tühistada. Artikli 8 kolmas lõige on terves ulatuses pühendatud tervist käsitlevate andmete töötlemisele. Selle lõike kohaselt ei kohaldata keeldu siis, kui töötlemine on vajalik ennetava meditsiini, meditsiinilise diagnoosi, meditsiinilise abi või ravi võimaldamise või tervishoiuteenuste juhtimise jaoks ja kui kõnealuseid andmeid töötleb tervishoiutöötaja, kelle puhul kehtib siseriiklikus õiguses või pädevate siseriiklike ametiasutuste kehtestatud eeskirjades sätestatud ametisaladuse hoidmise kohustus, või mõni teine isik, kelle suhtes kehtib samaväärne saladuse hoidmise kohustus.

19.

Direktiivi 95/46/EÜ artiklis 8 rõhutatakse tugevalt asjaolu, et liikmesriigid peaksid tagama sobivad või piisavad tagatised. Näiteks lubatakse artikli 8 lõikes 4 liikmesriikidel kehtestada märkimisväärse avaliku huviga seotud põhjustel täiendavaid erandeid seoses keeluga töödelda tundlikke andmeid, kuid seejuures tuleb võtta arvesse sobivad tagatised. See toonitab üldisemal tasandil liikmesriikide kohustust rakendada tundlike andmete, näiteks tervislikku seisundit käsitlevate andmete töötlemisel erilisi ettevaatusabinõusid.

20.

Liikmesriigid peaksid olema eriti teadlikud äsjamainitud vastutusest, kui tegemist on tervishoiuandmete piiriülese vahetamisega. Eespooltoodu kohaselt suurendab tervishoiuandmete piiriülene vahetamine ebatäpse või seadusvastase andmetöötluse ohtu. Loomulikult võib see põhjustada andmesubjektile ulatuslikke negatiivseid tagajärgi. Protsessi on kaasatud nii kindlustajariik (liikmesriik, kus patsient on kindlustatud) ja raviteenust osutav liikmesriik (kus piiriülest tervishoiuteenust tegelikult osutatakse) ning seega jagavad nad kõnealust vastutust.

21.

Tervishoiuandmete turve on selles kontekstis oluline küsimus. Eespool nimetatud hiljutise juhtumi puhul pidas Euroopa Inimõiguste Kohus eriti tähtsaks tervishoiuandmete konfidentsiaalsust, märkides, et tervishoiuandmete konfidentsiaalsuse austamine on konventsiooni kõikide osaliste õigussüsteemide ülitähtis põhimõte. See on väga tähtis nii patsiendi privaatsuse austamiseks kui ka selleks, et hoida alal patsiendi usaldust meditsiinitöötajate ja üldisemalt tervishoiuteenuste vastu. (11)

22.

Direktiivis 95/46/EÜ sätestatud andmekaitse eeskirjades nõutakse lisaks ka seda, et kindlustajariik esitaks patsiendile asjakohast, õiget ja ajakohast teavet patsiendi isikuandmete teise liikmesriiki saatmise kohta, tagades samas andmete edastamise turvalisuse. Raviteenust osutav liikmesriik peaks tagama ka nimetatud andmete turvalise vastuvõtmise ja tagama nõuetekohase andmekaitse taseme andmete töötlemisel, järgides liikmesriigi andmekaitseseadust.

23.

Euroopa andmekaitseinspektor soovib liikmesriikide jagatud vastutust ettepanekus selgelt väljendada, võttes arvesse ka elektroonilist andmesidet, eelkõige uute info- ja sidetehnoloogia rakenduste kontekstis, mida on allpool ka käsitletud.

24.

Tervishoiuandmete piiriülest vahetamist parandatakse peamiselt infotehnoloogia kasutamise kaudu. Kuigi teavet piiriülese tervishoiukava raames võidakse vahetada ka paberkandjal (näiteks läheb patsient teise liikmesriiki elama ja võtab kaasa kõik oma olulised tervishoiuandmed, nt laboriuuringud, saatekirjad jms), on peamiseks ettenähtud viisiks siiski elektrooniline teabevahetus. Tervishoiuandmete elektroonilist edastamist toetatakse liikmesriikides (haiglates, kliinikutes jm) loodud (või loodavate) tervishoiuteabesüsteemidega ning kasutades uusi tehnoloogiaid, näiteks tervishoiuandmete rakendusi (võimalusel interneti teel) ning teisi vahendeid, näiteks patsientide ja arstide tervisekaarte. Muidugi on ka võimalik, et kasutatakse kombineeritult nii paberkandjal kui elektroonilisi andmevahetusviise, olenevalt liikmesriigi tervishoiusüsteemist.

25.

Kavandatava direktiivi kohaldamisalasse kuuluvad e-tervise ja telemeditsiini rakendused sõltuvad täielikult elektrooniliste tervishoiuandmete vahetamisest (vitaalfunktsioonid, pildid jne), enamasti koostoimes teiste elektrooniliste tervishoiuteabe süsteemidega, mis asuvad raviteenust osutavas liikmesriigis ja kindlustajariigis. See hõlmab süsteeme, mis toimivad nii patsiendi ja arsti vahel (nt kaugseire ja diagnoosimine) kui ka arsti ja arsti vahel (telekonsulteerimine tervishoiutöötajate vahel ekspertnõuannete saamiseks konkreetsete haigusjuhtumite puhul). Üldtasandil piiriülest tervishoiuteenuste osutamist toetavad teised spetsiifilisemad tervishoiurakendused võivad sõltuda täiel määral elektroonilisest andmevahetusest, nt elektroonilistest retseptidest (e-retseptid) või elektroonilistest saatekirjadest (e-saatekiri), mida juba mõnes liikmesriigis riiklikul tasandil ka rakendatakse. (12)

26.

Võttes arvesse eespool esitatud kaalutlusi ja liikmesriikide olemasolevate tervishoiusüsteemide erinevusi ning e-tervise rakenduste kiiremat arengut, kerkivad esile kaks peamist murettekitavat valdkonda seoses isikuandmete kaitsega piiriüleses tervishoius: a) turvalisuse erinevad tasandid, mida võidakse liikmesriikides isikuandmete kaitseks kohaldada (tehniliste ja organisatsiooniliste meetmete osas), ning b) privaatsuse integreerimine e-tervise rakendustesse, eelkõige uute rakenduste puhul. Lisaks sellele tuleb ehk eritähelepanu pöörata ka sellistele aspektidele nagu terviseandmete teisene kasutus, eelkõige statistika tootmise vallas. Neid küsimusi analüüsitakse täiendavalt allpool käesolevas osas.

27.

Hoolimata asjaolust, et direktiive 95/46/EÜ ja 2002/58/EÜ kohaldatakse ühtselt kogu Euroopas, võib teatud elementide tõlgendamine ja rakendamine riigiti erineda, eelkõige valdkondades, kus õigussätted on üldist laadi ning liikmesriikide otsustada. Selles osas on peamiseks arutlust vajavaks teemaks töötlemise turvalisus ehk meetmed (tehnilised ja organisatsioonilised), mida liikmesriigid võtavad tervishoiuandmete turbe kaitseks.

28.

Kuigi kõik liikmesriigid vastutavad tervishoiuandmete range kaitse tagamise eest, ei ole praegu ühiselt kindlaks määratud, milline on tervishoiu „asjakohane” turvalisuse tasand ELis, mida võiks kohaldada piiriülese tervishoiu puhul. Näiteks võib ühes liikmesriigis asuv haigla olla kohustatud riiklikult kehtestatud andmekaitse eeskirjade kohaselt võtma vastu turvameetmeid (nt julgeolekupoliitika ja toimimisjuhendid, allhangete ning välistöövõtjate kasutamise erieeskirjad, auditeerimisnõuded jms), kuid teises liikmesriigis selline kohustus puudub. Selline järjekindlusetus võib mõjutada piiriülest andmevahetust, eriti elektroonilist andmevahetust, kuna ei ole võimalik tagada, et andmed on (tehnilisest ja organisatsioonilisest aspektist) samal tasemel turvatud eri liikmesriikides.

29.

Seega eksisteerib vajadus täiendava ühtlustamise järele kõnealuses valdkonnas – tuleb kindlaks määrata ühised tervishoiu alased turvanõuded, mille peaksid ühiselt kõik liikmesriikide tervishoiuteenuste osutajad vastu võtma. See vajadus on kahtlemata kooskõlas üldise vajadusega määratleda ühised põhimõtted ELi tervishoiusüsteemides, nagu on sätestatud kõnealuses ettepanekus.

30.

Seda tuleks üldistavalt teha, liikmesriikidele konkreetseid tehnilisi lahendusi ette kirjutamata, kuid siiski tuleks luua alus vastastikuseks tunnustamiseks ja heakskiitmiseks, näiteks julgeolekupoliitika valdkondades, patsientide ja tervishoiutöötajate identifitseerimiseks ja autentimiseks jne. Siinkohal võiks teekaardina kasutada kehtivaid Euroopa ja rahvusvahelisi standardeid (nt ISO ja CEN) tervishoiu ja turbe vallas ning heakskiidetud ja õiguslikel alustel põhinevaid tehnilisi mõisteid (nt elektroonilised allkirjad. (13)

31.

Euroopa andmekaitseinspektor toetab tervishoiu turvalisuse Euroopa tasandil ühtlustamise ideed ning leiab, et komisjon peaks käivitama asjakohased algatused juba kõnealuse ettepaneku raames (vt III osa).

32.

Eraelu puutumatus ja turvalisus peaksid olema osaks iga tervishoiusüsteemis kujundamisest ja rakendamisest, eelkõige kõnealuses ettepanekus nimetatud e-tervise rakenduste puhul („eraelu kavandatud puutumatus”) Seda vaidlusele mittekuuluvat nõuet juba toetatakse teistes asjakohastes poliitikadokumentides, olgu need siis üldist laadi (14) või konkreetselt tervishoiuga seotud. (15)

33.

Ettepanekus käsitletud e-tervise koostalitlusvõime raames tuleks taas rõhutada „eraelu kavandatud puutumatust” kui kõikide kavandatud arengute alust. Seda mõistet kohaldatakse mitmel erineval tasandil: organisatsioonilisel, semantilisel ja tehnilisel.

34.

Euroopa andmekaitseinspektor leiab, et elektrooniliste retseptide valdkond võiks olla aluseks eraelu puutumatuse ja turvalisuse nõuete integreerimisele arengu väga varases etapis (vt III osa).

35.

Tervishoiuandmete vahetamise raames võiks arvesse võtta veel üht aspekti, milleks on tervishoiuandmete teisene kasutamine ja eelkõige andmete kasutamine statistika otstarbel, nagu on juba sätestatud kõnealuses ettepanekus.

36.

Nagu juba mainitud punktis 18, nähakse direktiivi 95/46/EU artikli 8 lõikes 4 ette tervishoiuandmete teisese kasutamise võimalus. Siiski võiks sellist täiendavat töötlemist teostada üksnes „märkimisväärset avalikku huvi” pakkuvatel põhjustel ning nende puhul tuleb arvesse võtta siseriiklikus õiguses sätestatud või järelevalveasutuse otsusega nõutud „sobivaid tagatisi”. (16) Nagu juba mainitud Euroopa andmekaitseinspektori arvamuses, mis käsitleb kavandatavat määrust rahvatervist ning töötervishoidu ja tööohutust käsitleva ühenduse statistika kohta, (17) tekib lisaks sellele statistilise andmetöötluse puhul lisaoht seetõttu, et mõisteid „konfidentsiaalsus” ja „andmekaitse” võidakse erinevalt tõlgendada ühelt poolt andmekaitsealastes õigusaktides ning teiselt poolt statistikat käsitlevates õigusaktides.

37.

Euroopa andmekaitseinspektor soovib eespool kirjeldatud elemente kõnealuse ettepaneku kontekstis esile tuua. Lisada tuleks selgemad viited tervishoiuandmete teisest kasutust käsitlevatele andmekaitsenõuetele (vt III osa).

38.

Ettepanek sisaldab dokumendi erinevates osades mitmeid viiteid andmekaitsele ja eraelu puutumatusele järgmiselt:

39.

Euroopa andmeinspektor tervitab asjaolu, et andmekaitset on ettepaneku koostamisel arvesse võetud ning et on üritatud esile tõsta vajadust eraelu puutumatuse tagamise järele piiriülese tervishoiu kontekstis. Siiski on ettepaneku andmekaitset käsitlevad sätted liiga üldist laadi või viitavad liikmesriigi kohustustele liiga valival moel ja asuvad hajutatult ettepaneku eri osades:

Lisaks sellele ja nagu juba mainitud, ei ole toodud seost teistes EÜ tervishoiualastes õigusaktides (nii siduvates kui mitte) käsitletud eraelu puutumatuse aspektidega ega ole neile viidatud, eelkõige seoses uute info- ja sidetehnoloogiate rakenduste kasutamisega (näiteks telemeditsiini või elektrooniliste tervisekaartide puhul).

40.

Kuigi üldiselt on eraelu puutumatus piiriülese tervishoiu ühe nõudena sätestatud, puudub üldülevaade nii liikmesriikide kohustuste küsimuses kui ka tervishoiuteenuste osutamise piiriülese laadi tõttu tekkinud üksikasjade osas (võrreldes tervishoiuteenuste siseriikliku osutamisega). Täpsemalt:

41.

Lisaks sellele teevad muret konkreetsed aspektid artiklis 18, mis käsitleb andmete kogumist statistilistel ja järelevalve eesmärkidel. Esimese lõikes osutatakse „statistilistele ja täiendavatele andmetele”; veel viidatakse „järelevalve eesmärgile” ning seejärel loetletakse valdkonnad, mille puhul nimetatud järelevalve eesmärke kohaldatakse, nimelt tervishoiuteenuste osutamine, osutatud teenused, osutajad ja patsiendid, kulud ja tulemused. Selles ebaselges kontekstis esitatakse üldine viide andmekaitseseadusele, kuid ei sätestata konkreetseid nõudeid tervist käsitlevate andmete järgneva kasutamise suhtes direktiivi 95/46/EÜ artikli 8 lõike 4 kohaselt. Lisaks sellele sisaldab teine lõige tingimusteta kohustust esitada komisjonile vähemalt kord aastas suurel hulgal andmeid. Kuna selgesõnaliselt ei viidata sellise andmete esitamise vajaduse hindamisele, tundub, et ühenduse seadusandja ise on komisjonile andmete edastamise vajalikkuse juba kindlaks teinud.

42.

Eespool kirjeldatud elementide nõuetekohaseks käsitlemiseks esitab Euroopa andmekaitseinspektor mitu soovitust, tuues allpool ära viis põhisammu muudatuste sisseviimiseks.

43.

Artiklis 4 määratletakse ettepanekus kasutatud peamised terminid. Euroopa andmekaitseinspektor soovitab tungivalt määratleda selles artiklis ka tervishoiuandmete mõiste. Kohaldada tuleks tervishoiuandmete laiaulatuslikku tõlgendamist, nagu näiteks on kirjeldatud käesoleva arvamuse II osas (punktid 14 ja 15).

44.

Samuti soovitab andmekaitseinspektor tungivalt lisada ettepanekusse konkreetselt andmekaitset käsitlev artikkel, kus võiks sätestada eraelu puutumatuse üldise mõõtme selgel ja arusaadaval moel. Artiklis tuleks a) kirjeldada kindlustajariigi ja raviteenust osutava liikmesriigi kohustusi, käsitledes muu hulgas vajadust töötlemise turvalisuse järele, ning b) määrata kindlaks edasise arendustöö peamised valdkonnad, milleks on turvalisuse ühtlustamine ja eraelu puutumatuse integreerimine e-tervise valdkonda. Nende küsimuste puhul võib lisada konkreetsed sätted (kavandatava artikli raames) alltoodud 3. ja 4. sammu järgides.

45.

Pärast 2. sammu kohast muudatust soovitab Euroopa andmekaitseinspektor komisjonil võtta vastu mehhanism määratlemaks tervishoiu riikliku tasandi turvatasand, mis on kõigile vastuvõetav ning põhineb kõnealuses valdkonnas juba kehtivatele tehnilistele standarditele. Seda küsimust tuleks ettepanekus käsitleda. Rakendamine võiks toimuda komiteemenetluse korras, kuna seda juba kirjeldatakse artiklis 19 ja kohaldatakse ettepaneku muude osade suhtes. Lisaks sellele võiks asjakohaste suuniste koostamiseks kasutada täiendavaid vahendeid, kaasates kõiki asjaomaseid sidusrühmi nagu näiteks artikli 29 töörühma ja Euroopa andmekaitseinspektorit.

46.

Teises liikmesriigis väljastatud retseptide tunnustamist käsitlevas artikli 14 sätestatakse ühenduse retsepti vormi väljatöötamine, toetades e-retseptide koostalitlusvõimet. See meede võetakse vastu komiteemenetluse korras kooskõlas ettepaneku artikli 19 lõikes 2 määratletuga.

47.

Euroopa andmekaitseinspektor soovitab kavandatava e-retsepti vormi puhul võtta arvesse eraelu puutumatuse ja turvalisuse küsimused ning seda isegi vormi väga üldises semantilises määratluses. Seda tuleks selgesõnaliselt mainida artikli 14 lõike 2 punktis a. Ka siin on äärmiselt oluline kaasata kõik asjaomased sidusrühmad. Sellega seoses soovib Euroopa andmekaitseinspektor, et teda teavitataks kõikidest edasistest meetmetest kõnealuses küsimuses kavandatava komiteemenetluse korras ning kaasatakse nimetatud meetmetesse.

48.

Vääritimõistmiste ennetamiseks soovitab Euroopa andmekaitseinspektor selgitada artikli 18 lõikes 1 mainitud mõistet „täiendavad andmed”. Seetõttu tuleks artiklit muuta, et see osutaks selgemalt tervishoiuandmete teisesele kasutusele vastavalt direktiivi 95/46/EÜ artikli 8 lõikes 4 sätestatule. Lisaks sellele tuleks teises lõikes sätestatud kohustuse puhul edastada kõik andmed komisjonile hinnata selliste edastamiste vajadust õiguspärastel eesmärkidel, mis tuleb enne nõuetekohaselt täpsustada.

49.

Andmekaitseinspektor soovib avaldada toetust algatustele, millega parandatakse piiriülese tervishoiu tingimusi. Siiski valmistab talle muret asjaolu, et EÜ tervishoiualased algatused ei ole alati info- ja sidetehnoloogia kasutamise, eraelu puutumatuse ja turvalisuse küsimuses korralikult kooskõlastatud ning takistavad seega tervishoiu suhtes andmekaitset käsitleva üldise lähenemisviisi vastuvõtmist.

50.

Euroopa andmekaitseinspektor tervitab asjaolu, et kõnealuses ettepanekus on osutatud eraelu puutumatusele. Siiski tuleb käesoleva arvamuse III osas selgitatu kohaselt sisse viia mitmeid muudatusi, et sätestada raviteenust osutavatele riikidele ja kindlustajariikidele selged nõuded ning käsitleda nõuetekohaselt andmekaitsemõõdet piiriüleses tervishoius:

6.6.2009   

ET

Euroopa Liidu Teataja

C 128/28

1.

Euroopa Komisjon võttis 13. novembril 2007 vastu ettepaneku, millega muu hulgas muudetakse eraelu puutumatust ja elektroonilist sidet käsitlevat direktiivi, mida tavaliselt nimetatakse e-eraelu direktiiviks (1) (edaspidi „ettepanek” või „komisjoni ettepanek”). Euroopa andmekaitseinspektor võttis 10. aprillil 2008 vastu arvamuse komisjoni ettepaneku kohta, milles ta esitas soovitused ettepaneku täiustamiseks, püüdes aidata tagada, et kavandatavad muudatused annaksid tulemuseks eraelu puutumatuse ja isikuandmete parima võimaliku kaitse („Euroopa andmekaitseinspektori esimene arvamus”) (2).

2.

Euroopa andmekaitseinspektor tervitas komisjoni kavatsust luua kohustuslik turvarikkumistest teatamise süsteem, mis kohustab ettevõtteid teavitama eraisikuid nende isikuandmete kaitse turvanõuete rikkumisest. Samuti avaldas ta tunnustust uuele sättele, mis võimaldab juriidilistel isikutel (nt tarbijaühendustel ja internetiteenuste pakkujatel) võtta meetmeid rämpsposti levitajate vastu, et veelgi täiendada olemasolevaid rämpsposti vastu võitlemise vahendeid.

3.

Parlamendi esimesele lugemisele eelnenud arutelude ajal andis Euroopa andmekaitseinspektor täiendavaid soovitusi, esitades märkusi mõningate küsimuste kohta, mis kerkisid esile raportites, mis koostati universaalteenuse (3) ja e-eraelu direktiivide läbivaatamisel pädevates Euroopa Parlamendi komisjonides (edaspidi „märkused”). (4) Märkustes käsitleti eelkõige küsimusi, mis on seotud liiklusandmete töötlemise ja intellektuaalomandi õiguste kaitsega.

4.

Euroopa Parlament (edaspidi „EP”) võttis 24. septembril 2008 vastu õigusloomega seotud resolutsiooni e-eraelu direktiivi kohta („esimene lugemine”). (5) Euroopa andmekaitseinspektor suhtus positiivselt mitmesse EP muudatusettepanekusse, mis võeti vastu pärast andmekaitseinspektori arvamuse ja märkuste esitamist. Oluliste muudatuste hulka kuulus turvarikkumistest teatamise kohustuse laiendamine infoühiskonna teenuste osutajatele (st internetis tegutsevatele ettevõtetele). Euroopa andmekaitseinspektor tervitas ka muudatusettepanekut, mis võimaldab juriidilistel ja füüsilistel isikutel pöörduda kohtusse mis tahes e-eraelu direktiivi sätte rikkumise puhul (mitte üksnes rämpsposti käsitlevate sätete rikkumise puhul, nagu oli komisjoni ettepanekus esialgu ette nähtud). Parlamendi esimese lugemise järel võttis komisjon vastu e-eraelu direktiivi muudetud ettepaneku (edaspidi „muudetud ettepanek”). (6)

5.

Nõukogu saavutas telekommunikatsiooni paketi eeskirjade, sealhulgas e-eraelu direktiivi läbivaatamise suhtes 27. novembril 2008 poliitilise kokkuleppe, millest saab nõukogu ühine seisukoht („ühine seisukoht”). (7) Euroopa Ühenduse asutamislepingu artikli 251 lõike 2 kohaselt edastatakse ühine seisukoht Euroopa Parlamendile, mis võib kaasa tuua parlamendipoolsed muudatusettepanekud.

6.

Nõukogu muutis ettepaneku teksti olulisi elemente ning lükkas tagasi mitu EP poolt vastu võetud muudatusettepanekut. Kuigi ühine seisukoht sisaldab kahtlemata positiivseid elemente, teeb selle sisu tervikuna Euroopa andmekaitseinspektori murelikuks, eelkõige seetõttu, et ühises seisukohas ei ole arvesse võetud mõningaid EP positiivseid muudatusettepanekuid või muudatusi, mis tehti muudetud ettepaneku või Euroopa andmekaitseinspektori ja artikli 29 töörühma kaudu esitatud Euroopa andmekaitseasutuste arvamustega. (8)

7.

Otse vastupidi, nii mõnelgi juhul on kodanikele kaitset pakkuvad komisjoni muudetud ettepaneku sätted ja EP muudatusettepanekud välja jäetud või neid on oluliselt nõrgendatud. Selle tulemusena on ühises seisukohas oluliselt nõrgendatud üksikisikutele võimaldatavat kaitset. Seetõttu esitab Euroopa andmekaitseinspektor nüüd teise arvamuse, jäädes lootma, et e-eraelu direktiivi menetlemise käigus võetakse vastu uued muudatusettepanekud, millega taastatakse andmekaitsemeetmed.

8.

Teises arvamuses keskendutakse mõningatele põhilistele mureküsimustele ega korrata kõiki Euroopa andmekaitseinspektori esimeses arvamuses või märkustes väljendatud seisukohti, mis jäävad kõik kehtima. Eelkõige käsitletakse käesolevas arvamuses järgmisi küsimusi:

9.

Eespool nimetatud küsimuste käsitlemisel analüüsitakse käesolevas arvamuses nõukogu ühist seisukohta ja võrreldakse seda EP esimese lugemise tulemuse ja komisjoni muudetud ettepanekuga. Arvamus sisaldab soovitusi e-eraelu direktiivi sätete lihtsustamiseks ja selle tagamiseks, et eraelu puutumatus ja isikuandmed oleksid direktiiviga endiselt piisavalt kaitstud.

10.

Euroopa andmekaitseinspektor toetab turvarikkumistest teatamise süsteemi loomist, mille kohaselt hakatakse asutusi ja üksikisikuid teavitama nende isikuandmete kaitse turvanõuete rikkumisest. (9) Turvarikkumisest teavitamine võib aidata isikutel võtta vajalikke meetmeid rikkumisest tuleneva võimaliku kahju vähendamiseks. Lisaks innustab turvarikkumistest teavitamise kohustus ettevõtteid andmeturvet tõhustama ja suurendab nende vastutust neile usaldatud isikuandmete eest.

11.

Komisjoni muudetud ettepanek, Euroopa Parlamendi esimese lugemise tulemus ja nõukogu ühine seisukoht esindavad kolme erinevat lähenemisviisi praegu arutlusel oleva turvarikkumistest teatamise süsteemi kohta. Igal neist kolmest lähenemisviisist on omad positiivsed küljed. Kuid Euroopa andmekaitseinspektori arvates on iga lähenemisviisi puhul arenguruumi ning ta soovitab turvarikkumistest teatamise süsteemi lõpliku valiku tegemisel võtta arvesse allpool kirjeldatud soovitusi.

12.

Kolme turvarikkumistest teatamise süsteemi analüüsimisel tuleb kaaluda viit olulist küsimust: i) turvarikkumise määratlus; ii) üksused, keda teatamise kohustus hõlmab („hõlmatud üksused”); iii) tingimus, millest teatamise kohustus tuleneb; iv) asutus või üksus, kelle ülesanne on otsustada, kas turvarikkumine vastab teatamise tingimustele või ei; ning v) teate vastuvõtjad.

13.

Euroopa Parlament, komisjon ja nõukogu kasutavad turvarikkumistest teatamise suhtes igaüks erinevat lähenemisviisi. EP esimesel lugemisel muudeti komisjoni ettepanekus sisalduvat algset turvarikkumistest teatamise korda. (10) EP lähenemisviisi kohaselt kehtib turvarikkumistest teatamise kohustus mitte üksnes üldkasutatavate elektroonilise side teenuste osutajatele vaid ka infoühiskonna teenuste osutajatele. Lisaks tuleks selle lähenemisviisi kohaselt kõigist isikuandmete turvarikkumistest teatada siseriiklikule reguleerivale asutusele või pädevatele asutustele (üldmõistena „ametiasutused”). Kui ametiasutused teevad kindlaks, et rikkumine oli tõsine, nõuavad nad üldkasutatavate elektroonilise side teenuste osutajalt ja infoühiskonna teenuste osutajalt asjaomase isiku viivitamatut teavitamist. Kohest ja otsest ohtu kujutavate turvarikkumiste puhul teavitaksid üldkasutatavate elektroonilise side teenuste osutajad ja infoühiskonna teenuste osutajad asjaomast isikut enne ametiasutuste teavitamist, jäämata ootama reguleerivat otsust. Tarbijatele teatamise kohustusest on vabastatud üksused, kes suudavad ametiasutustele tõendada, et „rakendatud on asjakohaseid tehnilisi kaitsemeetmeid”, mille abil andmed on muudetud loetamatuks kõigile isikutele, kellel puudub luba andmetele juurdepääsuks.

14.

Nõukogu lähenemisviisi kohaselt tuleks teade samuti edastada nii abonentidele kui ka ametiasutustele, kuid ainult juhul, kui hõlmatud üksus peab turvarikkumist tõsiseks ohuks abonendi eraelu puutumatusele (st identiteedivargus või pettus, füüsiline kahju, märkimisväärne alandamine või maine kahjustamine).

15.

Komisjoni muudetud ettepanekus on säilitatud EP soovitatud kohustus teavitada ametiasutusi kõigist rikkumistest. Kuid erinevalt EP lähenemisviisist sisaldab muudetud ettepanek asjaomaste isikute teavitamise nõudest tehtavat erandit, kui üldkasutatavate elektroonilise side teenuste osutaja tõendab pädevale asutusele, et i) turvarikkumine ei põhjusta „suhteliselt tõenäoliselt” mingit kahju (nt majanduslik kahju, sotsiaalne kahju või identiteedivargus); või andmete suhtes, mida turvarikkumine hõlmas, on rakendatud „kohaseid tehnoloogilisi kaitsemeetmeid”. Seega sisaldab komisjoni lähenemisviis iga üksiku teatamise puhul kahjupõhist analüüsi.

16.

Oluline on märkida, et EP (11) ja komisjoni lähenemisviiside kohaselt on ametiasutuste ülesandeks otsustada, kas turvarikkumine on tõsine või põhjustab suhteliselt tõenäoliselt kahju. Seevastu nõukogu lähenemisviisi kohaselt on otsuse tegemine jäetud asjaomastele üksustele.

17.

Nii nõukogu kui ka komisjoni lähenemisviis hõlmab vaid üldkasutatavate elektroonilise side teenuste osutajaid ja mitte infoühiskonna teenuste osutajaid, nagu EP lähenemisviisi puhul.

18.

Euroopa andmekaitseinspektoril on rõõm näha, et kõik kolm õigusakti ettepanekut sisaldavad turvarikkumisest teatamise ühesugust määratlust, mida kirjeldatakse kui „turvarikkumist, millega kaasneb (…) edastatud, salvestatud või muul moel töödeldud isikuandmete juhuslik või ebaseaduslik hävitamine, kaotsiminek, muutmine, loata avalikustamine või neile juurdepääs”. (12)

19.

Nagu allpool täiendavalt kirjeldatakse, on selline määratlus tervitatav, kuna see on piisavalt lai hõlmamaks enamikku olukordadest, mille puhul võiks eeldada turvarikkumisest teatamist.

20.

Esiteks, määratlus sisaldab juhtumeid, mille puhul on toimunud loata juurdepääs isikuandmetele kolmanda isiku poolt, näiteks isikuandmeid sisaldavasse serverisse tungimine ja selliste andmete omandamine.

21.

Teiseks, kõnealune määratlus sisaldaks ka olukordi, mille puhul isikuandmed on kas kaotsi läinud või avalikustatud, kuid loata juurdepääs vajab alles tõendamist. See hõlmaks olukordi, kus isikuandmed võivad olla kaotsi läinud (nt CD-ROMid, USB-ajamid või muud kaasaskantavad andmekandjad) või tavakasutajate poolt üldkasutatavaks tehtud (töötaja andmed tehakse kogemata ajutiselt kättesaadavaks üldkasutatavas internetipiirkonnas). Kuna sageli puuduvad tõendid selle kohta, kas selleks volitamata kolmandad isikud võisid selliseid andmeid mingil ajal kasutada või neile juurde pääseda, siis tundub asjakohane lisada määratlusse ka sellised juhtumid. Seetõttu soovitab Euroopa andmekaitseinspektor jääda nimetatud määratluse juurde. Samuti soovitab Euroopa andmekaitseinspektor lisada e-eraelu direktiivi artiklis 2 esitatud turvarikkumise mõiste, sest see oleks paremini kooskõlas direktiivi üldise ülesehitusega ja tagaks suurema selguse.

22.

EP lähenemisviisi kohaselt kohaldatakse teatamise kohustust nii üldkasutatavate elektroonilise side teenuste osutajate kui ka infoühiskonna teenuste osutajate suhtes. Kuid nõukogu ja komisjoni lähenemisviisi puhul oleks vaid sellistel üldkasutatavate elektroonilise side teenuste osutajatel nagu telekommunikatsiooniettevõtted ja internetiühenduse pakkujad kohustus teatada üksikisikutele isikuandmeid ohustavatest turvarikkumistest. Muude tegevusvaldkondade, näiteks internetipangad, internetikauplused, internetipõhiste terviseteenuste osutajad jne, kohta see kohustus ei kehti. Alljärgnevalt kirjeldatud põhjustel leiab Euroopa andmekaitseinspektor, et avaliku korra huvides on oluline tagada, et teatamise kohustus hõlmaks ka infoühiskonna teenuseid, sealhulgas internetipõhist äritegevust, internetipanku, internetipõhiste terviseteenuste osutajaid jne.

23.

Esiteks märgib Euroopa andmekaitseinspektor, et kuigi telekommunikatsiooniettevõtted on kahtlemata selliste turvarikkumiste sihtmärgiks, mis eeldavad neist teatamise kohustust, kehtib sama ka muud liiki ettevõtete ja teenuseosutajate suhtes. Turvarikkumisi võib internetikaupluste, internetipankade ja internetiapteekide puhul esineda sama tõenäoliselt kui telekommunikatsiooniettevõtete puhul, võib-olla isegi tõenäolisemalt. Seetõttu ei toeta riskikaalutlused turvarikkumistest teatamise nõuete piiramist üldkasutatavate elektroonilise side teenuste osutajatega. Vajadust laiema lähenemisviisi järele näitlikustavad teiste riikide kogemused. Ameerika Ühendriikides on näiteks peaaegu kõigis osariikides (nüüdseks rohkem kui 40) kehtestatud turvarikkumistest teatamist käsitlevad seadused, mille kohaldamisala on laiem ja hõlmab lisaks üldkasutatavate elektroonilise side teenuste osutajatele ka mis tahes muid üksusi, kelle valduses on nõutavad isikuandmed.

24.

Teiseks, kuigi üldkasutatavate elektroonilise side teenuste osutajate poolt tavaliselt töödeldavate isikuandmete rikkumine võib kahtlemata kahjustada üksikisikute eraelu puutumatust, kehtib sama, ning võib-olla isegi suuremal määral, ka infoühiskonna teenuste osutajate poolt töödeldavate isikuandmete puhul. Kahtlemata võib pankade ja teiste rahandusasutuste valduses olla äärmiselt konfidentsiaalset teavet (nt pangakonto andmed), mille avalikustamine võib võimaldada nende kasutamist identiteedivarguse eesmärgil. Samuti võib üksikisikut eriti kahjustada väga tundlike terviseandmete avalikustamine internetipõhiste terviseteenuste osutajate poolt. Seega on turvarikkumisest teatamise laiem kohaldamine, mis hõlmaks vähemalt infoühiskonna teenuste osutajaid, tingitud ka isikuandmete liigist, mida turvarikkumised võivad ohustada.

25.

Kõnealuse artikli kohaldamisala laiendamise kohta on tõstatatud mõningaid õiguslikke küsimusi, nt nimetatud nõudega hõlmatud üksused. Takistusena teatamiskohustuse kohaldamisel infoühiskonna teenuste osutajatele on eelkõige nimetatud asjaolu, et e-eraelu direktiivi üldine kohaldamisala hõlmab ainult üldkasutatavate elektroonilise side teenuste osutajaid.

26.

Sellega seoses sooviks Euroopa andmekaitseinspektor meelde tuletada järgmist: i) pole mingeid õiguslikke takistusi lisamaks direktiivi teatavate sätete kohaldamisalasse muid turuosalisi peale üldkasutatavate elektroonilise side teenuste osutajate. Ühenduse õigusloojal on selles osas täielik otsustusvabadus; ii) kehtivas e-eraelu direktiivis esineb muid pretsedente selle kohaldamise kohta muudele üksustele kui üldkasutatavate elektroonilise side teenuste osutajatele.

27.

Näiteks artiklit 13 kohaldatakse mitte üksnes üldkasutatavate elektroonilise side teenuste osutajatele, vaid mis tahes ettevõtete suhtes, kes edastavad pealesunnitud teavet, mille saatmiseks on nõutav eelnev nõusolek. Samuti on artikli 5 lõige 3, millega muu hulgas keelatakse teatava teabe (nt küpsised) salvestamine kasutaja lõppseadmes, siduv mitte üksnes üldkasutatavate elektroonilise side teenuste osutajatele, vaid kõigile, kes püüavad salvestada teavet üksikisiku lõppseadmes või saada juurdepääsu üksikisiku lõppseadmes salvestatud teabele. Lisaks on komisjon praeguse menetlemise käigus teinud isegi ettepaneku laiendada artikli 5 lõike 3 kohaldamist juhtudele, mille puhul samalaadset tehnoloogiat (nn küpsised, nuhkvara) kasutatakse mitte üksnes elektroonilise side süsteemide abil, vaid ka mis tahes muude meetoditega (levitamine internetist allalaadimise teel või selliste väliste andmekandjate abil nagu CD-ROMid, USB-mälupulgad, välkmäluseadmed jne). Kõik need elemendid on teretulnud ja tuleks säilitada, kuid need on ka asjakohasteks pretsedentideks kohaldamisala üle praegu toimuvas arutelus.

28.

Lisaks on komisjon ja EP ning väidetavalt ka nõukogu teinud käimasoleva menetluse käigus ettepaneku lisada allpool käsitletav artikli 6 uus lõige 6a, mida kohaldatakse muude üksuste kui üldkasutatavate elektroonilise side teenuste osutajate suhtes.

29.

Võttes arvesse turvarikkumistest teatamise kohustusest tulenevaid ulatuslikke positiivseid aspekte, eeldavad kodanikud suure tõenäosusega samu hüvesid ka juhul, kui nende isikuandmed on ohtu seadnud infoühiskonna teenuste osutajad, mitte üksnes üldkasutatavate elektroonilise side teenuste osutajad. Kodanike ootused jäävad täitmata, kui näiteks internetipank ei teata neile nende pangakonto andmete kaotsiminekust.

30.

Kokkuvõttes – Euroopa andmekaitseinspektor on veendunud, et kogu turvarikkumisest teatamisest saadav kasu on paremini saavutatav vaid juhul, kui kohaldamisalaga hõlmatud üksuste hulka kuuluvad nii üldkasutatavate elektroonilise side teenuste osutajad kui ka infoühiskonna teenuste osutajad.

31.

Nagu allpool täpsemalt selgitatud, on Euroopa andmekaitseinspektor teatamise aluseks oleva standardi osas seisukohal, et kolmest väljapakutust on kõige asjakohasem muudetud ettepanekus sisalduv standard „suhteliselt tõenäoliselt ohustamise” kohta. Siiski on oluline tagada, et mõiste „ohustamine” oleks piisavalt lai hõlmamaks kõiki asjakohaseid juhtumeid negatiivse mõju kohta üksikisikute eraelu puutumatusele või muudele seaduslikele huvidele. Vastasel juhul tuleks eelistada uue standardi loomist, mille kohaselt teatamine oleks kohustuslik, „kui turvarikkumine avaldab suhteliselt tõenäoliselt üksikisikutele kahjulikku mõju”.

32.

Nagu eelmises punktis nimetatud, on tingimused, mille korral turvarikkumisest tuleb üksikisikutele teatada („alus” või „standard”), EP, komisjoni ja nõukogu lähenemisviisi puhul erinevad. Arusaadavalt sõltub üksikisikutele saadetavate teadete hulk suures osas teatamise tingimuseks seatud alusest või standardist.

33.

Nõukogu ja komisjoni kavade kohaselt tuleb teade edastada juhul, kui tegemist on „abonendi eraelu puutumatust tõsiselt ohustava turvarikkumisega” (nõukogu) või kui „rikkumine suhteliselt tõenäoliselt ohustab tarbija huve” (komisjon). EP kava kohaselt on üksikisikule teatamise aluseks „rikkumise tõsidus” (st üksikisikule teatamist nõutakse juhul, kui turvarikkumist peetakse „tõsiseks”). Sellest lävendist allapoole jäävate rikkumiste korral ei ole teatamine vajalik. (13)

34.

Euroopa andmekaitseinspektor mõistab, et seoses isikuandmete ohtusattumisega võib väita, et isikutel, kelle andmetega on tegemist, on igal juhul õigus sellest teada saada. Õiglane oleks siiski kaaluda, kas see on asjakohane lahendus muid huve ja kaalutlusi arvesse võttes.

35.

On oletatud, et kohustus teatada igast isikuandmete ohtusattumisest ehk teiste sõnadega piiramatu teatamine võib kaasa tuua teadete ülekülluse ja teadetest „väsimise”, mille tulemusel võib kaduda tundlikkus. Nagu allpool kirjeldatud, ei jää Euroopa andmekaitseinspektor sellise väite suhtes ükskõikseks; siiski soovib ta samal ajal rõhutada oma muret selle üle, et teadete üleküllus võib viidata ulatuslikele puudustele teabeturbetavades.

36.

Nagu eespool nimetatud, mõistab Euroopa andmekaitseinspektor teadete üleküllusest tulenevaid võimalikke negatiivseid tagajärgi ning sooviks aidata tagada, et turvarikkumistest teatamiseks vastu võetud õigusraamistik ei viiks sellise tulemuseni. Kui üksikisikud saaksid turvarikkumise teateid sageli ja isegi kahjulike mõjude, kahju või kannatuste puudumise korral, võiks see kahjustada teadete edastamise üht peamist eesmärki, sest iroonilisel kombel võiksid üksikisikud teateid ignoreerida ka sellistel juhtudel, kui neil oleks tegelikult vaja võtta meetmeid enda kaitsmiseks. Õige tasakaalu leidmine tähendust omavate teadete edastamisel on seega oluline, sest kui üksikisikud saadud teadetele ei reageeri, vähendab see oluliselt teadete edastamise süsteemide tõhusust.

37.

Teadete üleküllust välistava asjakohase tingimuse sätestamiseks tuleb lisaks teatamise aluse valikule kaaluda ka muid tegureid, eelkõige turvarikkumise määratlust ja teatamise kohustusega hõlmatud andmeid. Sellega seoses märgib Euroopa andmekaitseinspektor, et eespool analüüsitud turvarikkumise laia määratlust arvestades võib kõnealuse kolme pakutud lähenemisviisi korral teadete hulk suureks osutuda. Muret teadete ülekülluse pärast süvendab veelgi asjaolu, et turvarikkumise määratlus hõlmab igat liiki isikuandmeid. Seda aspekti tuleks siiski arvesse võtta, kuigi Euroopa andmekaitseinspektor peab kõnealust lähenemisviisi (mitte piirata isikuandmete liiki, mille suhtes teatamist kohaldatakse) õigeks, vastandina teist laadi lähenemisviisidele, nagu USA seadustes kasutatud nõuded, mis keskenduvad andmete tundlikkusele.

38.

Eespool nimetatut silmas pidades ning kõiki vaadeldud erinevaid muutujaid arvesse võttes leiab Euroopa andmekaitseinspektor, et asjakohane oleks lisada lävend või standard, millest allapoole jäävate rikkumiste korral ei oleks teatamine kohustuslik.

39.

Mõlemad pakutud standardid, st rikkumine on „tõsiseks ohuks eraelu puutumatusele” või „suhteliselt tõenäoliselt ohustab”, tunduvad sisaldavat näiteks sotsiaalset või mainega seotud ning majanduslikku kahju. Kõnealused standardid käsitleksid näiteks juhtumeid, mille korral tekiks mitteavalike identifikaatorite, näiteks passi numbri, avalikustamise tõttu identiteedivarguse oht, samuti isiku eraelu puudutava teabe avalikustamist. Euroopa andmekaitseinspektor tervitab sellist lähenemisviisi. Ta on veendunud, et turvarikkumistest teatamisest tulenev kasu ei ole täielik, kui teatamissüsteem hõlmaks vaid majanduslikku kahju põhjustavaid rikkumisi.

40.

Kahest pakutud standardist eelistab Euroopa andmekaitseinspektor komisjoni oma („suhteliselt tõenäoline ohustamine”), sest see tagaks üksikisikutele sobivama kaitsetaseme. Turvarikkumine kuulub teatamise kohustuse alla palju suurema tõenäosusega, kui see „suhteliselt tõenäoliselt ohustab” üksikisikute eraelu puutumatust, mitte kui see kujutab endast sellise kahju tekitamise „tõsist ohtu”. Seega, vaid üksikisikute eraelu puutumatust tõsiselt kahjustavate turvarikkumistega piirdumine vähendaks oluliselt rikkumiste arvu, millest tuleb teatada. Vaid selliste turvarikkumiste hõlmamine annaks üldkasutatavate elektroonilise side teenuste osutajatele ja infoühiskonna teenuste osutajatele ülemäärase otsustusõiguse selle üle, kas teatamine on nõutav, sest neil oleks palju lihtsam põhjendada otsust „tõsise ohu” puudumise kohta kui otsust „suhteliselt tõenäoliselt ohustamise” puudumise kohta. Liigsagedast teatamist on vaja kindlasti vältida, kuid samas tuleb kahtluse korral arvestada üksikisikute eraelu puutumatuse kaitsega, ning üksikisikuid tuleks kaitsta vähemalt juhul, kui turvarikkumine neid suhteliselt tõenäoliselt kahjustab. Lisaks on nii hõlmatud üksustel kui ka pädevatel asutustel mõistet „suhteliselt tõenäoliselt” tegelikkuses tõhusam kasutada, sest see nõuab juhtumi ja selle oluliste asjaolude objektiivset hindamist.

41.

Pealegi võivad isikuandmete kaitse turvarikkumised põhjustada kahju, mida on raske mõõta ja mis võib olla erinev. Sama liiki andmete avalikustamine võib sõltuvalt konkreetsetest asjaoludest põhjustada ühele isikule märkimisväärset kahju, teist aga kahjustada vähemal määral. Asjakohane ei oleks kasutada standardit, mille kohaselt peaks kahju olema oluline, märkimisväärne või tõsine. Näiteks nõukogu lähenemisviis, mille kohaselt peaks turvarikkumine kellegi eraelu puutumatust tõsiselt kahjustama, pakuks üksikisikutele puudulikku kaitset, sest sellise standardi alusel peaks eraelu puutumatusele tehtud kahju olema „tõsine”. Samuti võimaldaks see subjektiivset hindamist.

42.

Kuigi eespool kirjeldatud „suhteliselt tõenäoliselt ohustamine” näib olevat turvarikkumisest teatamise sobiv standard, tunneb Euroopa andmekaitseinspektor siiski endiselt muret selle üle, et see ei pruugi hõlmata kõiki olukordi, kus üksikisikutele teatamine on põhjendatud, st kõik olukorrad, kus negatiivne mõju üksikisikute eraelu puutumatusele või muudele seaduslikele õigustele on suhteliselt tõenäoline. Seetõttu võiks kaaluda standardit, mis nõuaks teatamist juhul, „kui turvarikkumine suhteliselt tõenäoliselt kahjustab üksikisikuid”.

43.

Nimetatud alternatiivse standardi lisaväärtuseks on kooskõla ELi andmekaitsealaste õigusaktidega. Nii viidatakse andmekaitsedirektiivis korduvalt andmesubjektide õiguste ja vabaduste kahjustamisele. Näiteks artikkel 18 ja põhjendus 49, milles käsitletakse kohustust teavitada andmekaitse järelevalveasutust andmete töötlemisest, annavad liikmesriikidele õiguse teha sellisest kohustusest erandeid, kui töötlemine „tõenäoliselt ei kahjusta andmesubjektide õigusi ega vabadusi”. Samasugust sõnastust on kasutatud ühise seisukoha artikli 16 lõikes 6, et võimaldada juriidilistel isikutel rämpsposti saatjaid kohtusse kaevata.

44.

Eespool toodut arvesse võttes võiks samuti eeldada, et hõlmatud üksused ning eelkõige andmekaitsealaste õigusaktide täitmise jälgimiseks pädevad asutused on eespool nimetatud standardiga rohkem tuttavad ning see aitaks neil paremini hinnata, kas asjaomane rikkumine vastab nõutavale standardile.

45.

EP lähenemisviisi (välja arvatud vahetu ohu puhul) ja komisjoni muudetud ettepaneku kohaselt jääb liikmesriikide ametiasutuste otsustada, kas turvarikkumine vastab või ei vasta standardile, millest lähtuvalt on üksikisikule teatamine kohustuslik.

46.

Euroopa andmekaitseinspektor leiab, et ametiasutuse kaasamisel standardile vastavuse kindlakstegemisse on oluline roll, kuna see on teataval määral õigusakti nõuetekohase kohaldamise tagatiseks. Selline süsteem võib ennetada olukorda, kus ettevõtted hindavad turvarikkumise ekslikult kahjutuks või ebaoluliseks ja väldivad seega teatamist, kuigi tegelikult oleks rikkumisest teatamine vajalik.

47.

Teisest küljest teeb Euroopa andmekaitseinspektorile muret asjaolu, et kord, mille kohaselt ametiasutus peab turvarikkumist hindama, võib olla ebapraktiline ja raskesti kohaldatav või et see annab tegelikkuses vajalikule vastupidise tulemuse. Seega võib see isegi vähendada üksikisiku andmete kaitsemeetmeid.

48.

Tõepoolest, sellise lähenemisviisi korral ujutatakse andmekaitseasutused tõenäoliselt turvarikkumisteadetega üle ja vajalike hinnangute andmine võib neile suuri raskusi tekitada. Oluline on meeles pidada, et hindamaks turvarikkumise vastavust standardile tuleb ametiasutustele anda piisavalt siseinfot, mis sageli on keerukas ja tehnilist laadi ja mida ametiasutustel tuleb väga kiiresti töödelda. Võttes arvesse hindamise raskust ja asjaolu, et mõne ametiasutuse ressursid on piiratud, kardab Euroopa andmekaitseinspektor, et ametiasutustel oleks seda kohustust väga raske täita ning et see võib vähendada muude oluliste ülesannete täitmiseks kasutatavaid ressursse. Lisaks võib selline süsteem asetada ametiasutused tarbetu surve alla; kui ametiasutus otsustab, et turvarikkumine ei ole tõsine, kuid üksikisikute kahjustamine siiski toimub, siis võidakse ametiasutust selle eest vastutavaks pidada.

49.

Eespool nimetatud probleem muutub veelgi tõsisemaks, kui võtta arvesse, et turvarikkumistest tulenevate ohtude minimeerimisel on otsustava tähtsusega teguriks aeg. Kui ametiasutus ei suuda turvarikkumist väga lühikese tähtaja jooksul hinnata, siis võib täiendav aeg, mida ametiasutused sellise hinnangu andmiseks vajavad, suurendada asjaomastele üksikisikutele tekitatud kahju. Seetõttu võib selline üksikisikutele suurema kaitse pakkumiseks mõeldud täiendav samm iroonilisel kombel anda tulemuseks otseteatamisel põhinevate süsteemide pakutavast väiksema kaitse.

50.

Eespool nimetatud põhjustel leiab Euroopa andmekaitseinspektor, et eelistatav oleks luua süsteem, mille kohaselt turvarikkumise standardile vastamise hindamine jääks asjaomaste üksuste ülesandeks, nagu on ette nähtud nõukogu lähenemisviisi kohaselt.

51.

Kuid võimaliku väärkasutuse vältimiseks, näiteks kui üksused keelduvad teatamisest olukorras, kus teatamine on selgelt vajalik, on äärmiselt oluline lisada teatavad andmekaistemeetmed, mida kirjeldatakse allpool.

52.

Esiteks, hõlmatud üksuste kohustusega teha kindlaks teatamise vajadus peab kindlasti kaasnema kohustus teatada ametiasutustele kõigist kehtestatud standardile vastavatest turvarikkumistest. Selliste juhtude puhul tuleks asjaomastelt üksustelt nõuda, et nad teavitaksid ametiasutusi turvarikkumisest ja oma teatamist puudutava otsuse põhjustest ning iga edastatud teate sisust.

53.

Teiseks, ametiasutustele tuleb anda reaalne järelevalvealane roll. Selle rolli täitmiseks tuleb ametiasutustel lubada turvarikkumise asjaolude uurimist ja mis tahes asjakohaste parandusmeetmete rakendamise nõudmist, kuid seda ei tohi kohustuslikuks teha. (14) See peaks hõlmama mitte üksnes üksikisikute teavitamist (kui see ei ole veel toimunud), vaid ka võimalust kehtestada kohustus rakendada meetmeid edasiste rikkumiste ennetamiseks. Ametiasutustele tuleks anda selleks tegelikud volitused ja vahendid ning ametiasutustel peab olema vajalik vabadus otsustada, millal turvarikkumisest teatamisele reageerida. Teiste sõnadega, see võimaldaks ametiasutustel tegutseda valikuliselt ning algatada uurimine näiteks suurte, tõeliselt kahjutoovate turvarikkumiste puhul, kontrollides õigusnormide järgimist ja nõudes nende täitmist.

54.

Eespool nimetatu saavutamiseks soovitab Euroopa andmekaitseinspektor e-eraelu direktiivi artikli 15a lõikega 3 ja andmekaitsedirektiiviga tunnustatud volitusi täiendada, lisades järgmise sõnastuse: „Kui abonenti või asjaomast isikut ei ole veel teavitatud, võib riigi pädev asutus pärast turvarikkumise laadi analüüsimist nõuda, et üldkasutatavate elektroonilise side teenuste osutaja või infoühiskonna teenuste osutaja teavitaks abonenti või asjaomast isikut rikkumisest.”

55.

Lisaks soovitab Euroopa andmekaitseinspektor EP-l ja nõukogul kinnitada EP muudatusettepanekus (muudatusettepanek 122, artikli 4 lõige 1a) sisalduv üksuste kohustus viia läbi oma süsteemide ning töötlemiseks mõeldud isikuandmete riskihindamine ja puuduste tuvastamine. Nimetatud kohustusest tulenevalt koostavad üksused nende poolt rakendatavate turvameetmete kohandatud ja täpse määratluse, mis tuleks teha ametiasutustele kättesaadavaks. Turvarikkumise korral aitab see kohustus hõlmatud üksustel (ning samuti järelevalvet teostavatel ametiasutustel) kindlaks teha, kas selliste andmete avalikuks saamine võib avaldada üksikisikutele kahjulikku mõju või neid kahjustada.

56.

Kolmandaks, hõlmatud üksuste kohustusega langetada otsuseid selle kohta, kas neil on vaja turvarikkumistest üksikisikutele teatada, peab kaasnema kohustus säilitada andmeid üksikasjalike ja põhjalike siseauditite kohta, milles kirjeldatakse asetleidnud turvarikkumisi ja nende kohta saadetud teateid ning samuti edasiste rikkumiste vältimiseks võetud meetmeid. Analüüsimise ja võimaliku uurimise läbiviimiseks peavad kõnealused siseauditite andmed olema järelevalveasutustele kättesaadavad. See võimaldab ametiasutustel täita oma järelevalvealast rolli. See oleks võimalik saavutada umbes järgmiselt sõnastatud teksti lisamisega: „Üldkasutatavate elektroonilise side teenuste osutajad ja infoühiskonna teenuste osutajad registreerivad ja säilitavad põhjalikud andmed kõigi esinenud turvarikkumiste üksikasjade, rikkumistega seotud asjakohase tehniliste andmete ja võetud parandusmeetmete kohta. Andmed peavad sisaldama ka viidet kõigi abonentidele või asjaomastele üksikisikutele ning riigi pädevatele asutustele saadetut teadete kohta, sealhulgas teadete saatmise kuupäeva ja sisu. Andmed edastatakse nõudmisel riigi pädevale asutusele.”

57.

Kõnealuse standardi ning turvarikkumisi käsitleva raamistiku muude asjakohaste aspektide, nagu teatamise vorm ja kord, rakendamise järjepidevuse tagamiseks oleks asjakohane, et komisjon võtaks vastu tehnilised rakendusmeetmed pärast konsulteerimist Euroopa andmekaitseinspektori, artikli 29 töörühma ja asjaomaste sidusrühmadega.

58.

Teate saajate puhul eelistab Euroopa andmekaitseinspektor nõukogu terminoloogiale EP ja komisjoni oma. EP on asendanud sõna „abonendid” sõnaga „kasutajad”. Komisjon kasutab sõnu „abonendid” ja „asjaomased isikud”. Nii EP kui ka komisjoni sõnakasutus hõlmaks teate saajatena lisaks praegustele abonentidele ka endisi abonente ja kolmandaid isikuid, nagu kasutajaid, kes suhtlevad mõne hõlmatud üksusega ilma selle abonendiks olemata. Euroopa andmekaitseinspektor tervitab sellist lähenemisviisi ning kutsub EPd ja nõukogu seda säilitama.

59.

Euroopa andmekaitseinspektor märgib siiski EP esimese lugemise tulemuses sisalduvaid mitmeid vastuolusid seoses kasutatud mõistetega, mis tuleks kõrvaldada. Näiteks sõna „abonendid” on enamikel juhtudel, kuid mitte alati, asendatud sõnaga „kasutajad”, mõnel juhul on aga kasutatud sõna „tarbijad”. Seda tuleks ühtlustada.

60.

Kehtiva e-eraelu direktiivi artikli 3 lõikes 1 on sätestatud üksused, kelle suhtes direktiivi peamiselt kohaldatakse, st üksused, kes töötlevad andmeid „seoses” üldkasutatavate elektroonilise side teenuste osutamisega üldkasutatavates võrkudes. (15) Üldkasutatavate elektroonilise side teenuste osutajate tegevus hõlmab näiteks juurdepääsu andmist internetile, teabe edastamist elektrooniliste võrkude ning mobiili- ja telefoniühenduste kaudu jne.

61.

EP võttis vastu muudatusettepaneku 121, millega muudetakse komisjoni algse ettepaneku artiklit 3 ja mille kohaselt e-eraelu direktiivi kohaldamisala laiendatakse „isikuandmete töötlemise suhtes, mis toimub seoses üldkasutatavate elektrooniliste sideteenuste osutamisega ühenduse üldkasutatavates ja eraõiguslikes sidevõrkudes ning avaliku juurdepääsuga eravõrkudes (…)” (e-eraelu direktiivi artikli 3 lõige 1). Kahjuks oli nõukogul ja komisjonil raske selle muudatusettepanekuga nõustuda ja seetõttu ei ole seda lähenemisviisi ühises seisukohas ja muudetud ettepanekus kajastatud.

62.

Alljärgnevalt selgitatud põhjustel ning konsensuse edendamiseks julgustab Euroopa andmekaitseinspektor säilitama muudatusettepaneku 121 sisu. Samuti soovitab Euroopa andmekaitseinspektor lisada muudatusettepanek, mis aitaks veelgi täpsustada direktiivi laiendatud kohaldamisalaga hõlmatud teenuste liike.

63.

Eravõrke kasutatakse sageli selliste elektroonilise side teenuste osutamiseks nagu internetiühendus määratlemata arvule inimestele, mis võib potentsiaalselt olla suur. See kehtib näiteks internetiühenduse puhul internetikohvikutes ning traadita ühenduse levialades hotellides, restoranides, lennujaamades, rongides ja muudes avalikes asutustes, kus sedalaadi teenuseid pakutakse sageli lisaks muudele teenustele (joogid, majutus jne).

64.

Kõigis eespool toodud näidetes tehakse sideteenus (nt internetiühendus) üldsusele kättesaadavaks mitte avaliku võrgu, vaid pigem sellise võrgu abil, mida võib pidada eravõrguks, st eraomandis oleva võrgu abil. Kuigi eespool esitatud näidetes osutatakse sideteenust üldsusele, ei hõlma e-eraelu direktiiv või vähemalt mõned selle artiklid väidetavalt nimetatud teenuste osutamist, sest selleks kasutatakse eravõrku, mitte aga üldkasutatavat võrku. (16) Selle tulemusena ei ole e-eraelu direktiiviga tagatud üksikisikute põhiõigused nimetatud juhtudel kaitstud ja tekib õiguslik ebavõrdsus kasutajate vahel, kes kasutavad samu internetiühendusteenuseid üldkasutatavate telekommunikatsioonivahendite ja eraomanduses olevate vahendite abil. Seda vaatamata asjaolule, et kõigil juhtudel on oht üksikisikute eraelu ja isikuandmete puutumatusele sama suur kui üldkasutatavate võrkude abil pakutavate teenuste puhul. Kokkuvõttes võib öelda, et näib puuduvat mõistlik põhjendus, mis õigustaks eravõrkudes osutatavate sideteenuste erinevat käsitlemist direktiivis võrreldes üldkasutatavas võrgus osutatavate teenustega.

65.

Seetõttu toetaks Euroopa andmekaitseinspektor muudatusettepanekut (näiteks EP muudatusettepanek 121), mille kohaselt e-eraelu direktiivi kohaldatakse ka isikuandmete töötlemisele seoses üldkasutatavate elektroonilise side teenuste osutamisega erasidevõrkudes.

66.

Euroopa andmekaitseinspektor möönab siiski, et selline sõnastus võib kaasa tuua ettenägematuid ja võib-olla soovimatuid tagajärgi. Tõepoolest, juba viidet eravõrkudele võidakse tõlgendada selliselt, et see hõlmaks olukordi, mida kõnealuse direktiiviga kindlasti ei kavatseta hõlmata. Näiteks võib väita, et nimetatud klausli sõnasõnaline või jäik tõlgendus võiks muuta direktiivi kohaldatavaks traadita internetiühendusega majaomanike suhtes, (17) kes oma leviala ulatuses (tavaliselt kõnealuses hoones) võimaldavad ühendust kõigile, kuigi see ei ole muudatusettepaneku 121 eesmärk. Sellise tulemuse vältimiseks soovitab Euroopa andmekaitseinspektor muudatusettepaneku 121 sõnastust muuta, lisades e-eraelu direktiivi kohaldamisalasse „isikuandmete töötlemise, mis toimub seoses üldkasutatavate elektroonilise side teenuste osutamisega ühenduse üldkasutatavates sidevõrkudes või avaliku juurdepääsuga erasidevõrkudes…”.

67.

See aitaks täpsustada, et e-eraelu direktiiv hõlmaks vaid avaliku juurdepääsuga eravõrke. Kohaldades e-eraelu direktiivi sätteid vaid avaliku juurdepääsuga eravõrkudele (mitte aga kõikidele eravõrkudele) seatakse piirang, mille kohaselt direktiiv hõlmab vaid eravõrkudes osutatavaid sideteenuseid, millele on tahtlikult antud avalik juurdepääs. Selline sõnastus aitab veelgi rõhutada, et direktiivi kohaldatavuse kindlaks tegemiseks on peamine tegur eravõrgu kättesaadavus üldsuse liikmetele (lisaks üldkasutatava elektroonilise side teenuse osutamisele). Teiste sõnadega, sõltumata sellest, kas tegemist on üldkasutatava või eravõrguga, kuuluks selline teenus või võrk e-eraelu direktiivi kohaldamisalasse, kui võrk on tahtlikult tehtud üldkasutatava sideteenuse (nt internet) osutamiseks üldsusele kättesaadavaks, isegi kui selline teenus täiendab muid teenuseid (nt hotellimajutus).

68.

Euroopa andmekaitseinspektor märgib, et eespool toetatud lähenemisviis, mille kohaselt e-eraelu direktiivi sätteid kohaldatakse avaliku juurdepääsuga eravõrkude suhtes, on kooskõlas mitmes liikmesriigis kohaldatava lähenemisviisiga, mille puhul ametivõimud on juba ette näinud e-eraelu direktiivi rakendavate siseriiklike normide kohaldamise sedalaadi teenuste suhtes ning teenuste suhtes, mida osutatakse täielikult eraomandis olevates võrkudes. (18)

69.

Uue kohaldamisalaga hõlmatud üksuste õiguskindluse edendamiseks võib kasu olla „avaliku juurdepääsuga eravõrkude” mõistet käsitleva muudatusettepaneku lisamisest e-eraelu direktiivi, mille sõnastus võiks olla järgmine: „avaliku juurdepääsuga eravõrk” – „eraomanduses olev võrk, millele üldsuse liikmetel on kohaldatavate üldtingimustega nõustumise korral tavaliselt piiramatu juurdepääs kas tasuta või tasu eest või koos muude teenuste või pakkumistega”.

70.

Praktikas tähendaks eespool kirjeldatud lähenemisviis, et direktiiv hõlmaks eravõrke hotellides ja muudes asutustes, mis pakuvad üldkasutatavat internetiühendust eravõrgus. Seevastu sideteenuste osutamine puht eravõrkudes, kus teenus on kättesaadav väikesearvulisele tuvastatavate isikute rühmale, jääks direktiivi kohaldamisalast välja. Seetõttu ei hõlmaks direktiiv näiteks virtuaalseid privaatvõrke ega tarbija kodus levivat traadita võrku. Samuti jääksid kohaldamisalast välja puht ettevõttesisestes võrkudes osutatavad teenused.

71.

Eravõrkude väljajätmist direktiivi kohaldamisalast, nagu eespool soovitatud, tuleks pidada ajutiseks meetmeks, mida tuleks täiendavalt arutada. Võttes ühelt poolt arvesse puht eravõrkude väljajätmisest tulenevaid eraelu puutumatusega seotud tagajärgi ja teiselt poolt seda, et väljajätmine mõjutab suurt hulka inimesi, kes tavaliselt kasutavad internetiühendust ettevõtja võrgus, siis võib edaspidi tõepoolest tekkida vajadus küsimus uuesti läbi vaadata. Seetõttu ning arutelu edendamiseks antud küsimuses soovitab Euroopa andmekaitseinspektor lisada e-eraelu direktiivi põhjenduse, mille kohaselt komisjon korraldaks Euroopa andmekaitseinspektori, andmekaitseasutuste ja muude asjaomaste sidusrühmade osavõtul avaliku arutelu e-eraelu direktiivi kohaldamise üle kõigi eravõrkude suhtes. Lisaks võiks kõnealuses põhjenduses täpsustada, et avaliku arutelu tulemusena peaks komisjon esitama asjakohase ettepaneku, et laiendada või piirata nende üksuste ringi, keda e-eraelu direktiiv peaks hõlmama.

72.

Lisaks eespool nimetatule tuleks vastavalt muuta e-eraelu direktiivi erinevaid artikleid, et kõigis tegevust käsitlevates sätetes viidataks lisaks üldkasutatavatele võrkudele ka selgesõnaliselt avaliku juurdepääsuga eravõrkudele.

73.

E-eraelu direktiivi läbivaatamisega seotud menetluse käigus väitsid turvateenuseid osutavad ettevõtted, et direktiivi on vaja lisada säte, mis seadustaks liiklusandmete kogumise võrguühenduse turvalisuse tõhusaks tagamiseks.

74.

Selle tulemusel esitas EP muudatusettepaneku 181, millega lisatakse artiklisse 6 uus lõige 6a, millega lubatakse selgesõnaliselt töödelda liiklusandmeid turvaeesmärkidel: „Ilma et see piiraks muude õigusnormide kohaldamist peale direktiivi 95/46/EÜ artikli 7 ja käesoleva direktiivi artikli 5, võib liiklusandmeid töödelda andmetöötleja õigustatud huvides, et rakendada tehnilisi meetmeid Euroopa Parlamendi ja nõukogu 10. märtsi 2004. aasta määruse (EÜ) nr 460/2004 (millega luuakse Euroopa Võrgu- ja Infoturbeamet) artikli 4 punktis c määratletud võrgu- ja infoturbe tagamiseks üldkasutatavate elektrooniliste sideteenuste, üldkasutatavate või eraõiguslike elektrooniliste sidevõrkude, infoühiskonna teenuste või nendega seotud lõppseadmete ja elektrooniliste sideseadmete osas, välja arvatud juhul, kui andmesubjekti põhiõiguste ja -vabadustega seotud huvid nimetatud huvid üles kaaluvad. Töötlemine peab piirduma turvalisusmeetmete rakendamiseks rangelt vajalikuga.”

75.

Komisjoni muudetud ettepanekus on seda muudatusettepanekut põhimõtteliselt arvesse võetud, kuid välja on jäetud oluline osa, mille eesmärk on tagada direktiivi muude sätete järgimine („Ilma et see piiraks (…)…käesoleva direktiivi artikli 5”). Nõukogu võttis vastu muudetud versiooni, milles on muudatusettepanekus 181 sisalduvaid olulisi kaitsemeetmeid ja huvide tasakaalustamist veelgi leebemaks muudetud järgmise sõnastuse abil: „Liiklusandmeid võib töödelda sellisel määral, mis on tingimata vajalik, et tagada Euroopa Parlamendi ja nõukogu 10. märtsi 2004. aasta määruse (EÜ) nr 460/2004, millega luuakse Euroopa Võrgu- ja Infoturbeamet, (…) artikli 4 punktis c määratletud võrgu- ja infoturve.”

76.

Nagu alljärgnevalt selgitatud, on artikli 6 lõige 6a tarbetu ja sisaldab kuritarvitamise ohtu, eelkõige kui see võetakse vastu kujul, mis ei sisalda olulisi kaitsemeetmeid, direktiivi muude sätete järgimisele viitavaid klausleid ega huvide tasakaalustamist. Seetõttu soovitab Euroopa andmekaitseinspektor sellest artiklist loobuda või vähemalt tagada, et kõnealust küsimust käsitlev artikkel sisaldaks sedalaadi kaitsemeetmeid, mis sisaldusid EP poolt vastu võetud muudatusettepanekus 181.

77.

Liiklusandmete seadusliku töötlemise ulatus üldkasutatavate elektroonilise side teenuste osutajatele poolt on reguleeritud e-eraelu direktiivi artikliga 6, mis piirab liiklusandmete töötlemise piiratud arvu eesmärkidega, nagu arvete esitamine, vastastikune sidumine ja turundus. Selline töötlemine võib toimuda vaid konkreetsetel tingimustel, näiteks turunduse puhul üksikisiku nõusoleku korral. Lisaks võivad muud vastutavad andmetöötlejad töödelda liiklusandmeid vastavalt andmekaitsedirektiivi artiklile 7, milles sätestatakse, et vastutavad andmetöötlejad võivad töödelda isikuandmeid, kui nad järgivad loetletud õiguslikest alustest vähemalt üht.

78.

Sellise õigusliku aluse näiteks on andmekaitsedirektiivi artikli 7 punkt a, mille kohaselt on nõutav andmesubjekti nõusolek. Näiteks kui internetikauplus soovib töödelda liiklusandmeid reklaami või turundusmaterjalide saatmise eesmärgil, peab ta saama selleks isikult nõusoleku. Artiklis 7 sätestatud teine õiguslik alus lubab teatavatel juhtudel näiteks turvateenuseid pakkuvatel turvafirmadel töödelda liiklusandmeid turvaeesmärkidel. See tugineb artikli 7 punktile f, milles sätestatakse, et vastutavad andmetöötlejad võivad töödelda isikuandmeid, kui see „on vajalik vastutava töötleja või andmeid saava kolmanda isiku või kolmandate isikute õigustatud huvide elluviimiseks, kui selliseid huve ei kaalu üles … andmesubjekti põhiõiguste ja -vabadustega seotud huvid.” Andmekaitsedirektiiv ei täpsusta juhtumeid, mille korral isikuandmete töötlemine neile nõuetele vastab. Selle asemel teevad igal üksikul juhul otsuse vastutavad andmetöötlejad ning sageli riiklike andmekaitseasutuste ja muude asutuste nõusolekul.

79.

Kaaluda tuleks andmekaitsedirektiivi artikli 7 ja e-eraelu direktiivi kavandatava artikli 6 lõike 6a koostoimet. Kavandatavas artikli 6 lõikes 6a täpsustatakse asjaolusid, mille korral oleksid täidetud eespool kirjeldatud artikli 7 punkti f nõuded. Tõepoolest, lubades liiklusandmete töötlemist võrgu- ja infoturbe tagamiseks, võimaldab artikli 6 lõige 6a andmete töötlemist andmetöötleja õigustatud huvides.

80.

Nagu allpool selgitatud, peab Euroopa andmekaitseinspektor kavandatavat artikli 6 lõiget 6a tarbetuks ja kasutuks. Õiguslikust vaatenurgast ei ole põhimõtteliselt vaja sätestada, kas konkreetset liiki andmetöötlus, antud juhul liiklusandmete töötlemine turveesmärkidel, vastab või ei vasta andmekaitsedirektiivi artikli 7 punkti f nõuetele, mille korral võib artikli 7 punkti a kohaselt olla vajalik isiku nõusolek. Nagu eespool märgitud, hindavad andmetöötlejad (st ettevõtted) seda tavaliselt rakendustasandil, konsulteerides andmekaitseasutustega ja vajaduse korral kohtutega. Üldiselt leiab Euroopa andmekaitseinspektor, et erijuhtudel vastab liiklusandmete õigustatud töötlemine turvaeesmärkidel, kui see toimub üksikisikute põhiõigusi ja -vabadusi kahjustamata, tõenäoliselt andmekaitsedirektiivi artikli 7 punkti f nõuetele ja seetõttu võib seda teha. Pealegi puuduvad andmekaitsedirektiivis ja e-eraelu direktiivis muud pretsedendid artikli 7 punkti f nõuetele vastava teatavat liiki andmetöötluse esiletõstmiseks või selle erikohtlemiseks ning puudub ka tõendatud vajadus sellise erandi järele. Vastupidi, nagu eespool märgitud, näib seda liiki töötlemine paljudel juhtudel mahtuvat kehtiva teksti raamidesse. Seetõttu on sellist hinnangut kinnitav õigussäte põhimõtteliselt tarbetu.

81.

Nagu eespool selgitatud, on oluline – kuigi tarbetu – rõhutada, et EP poolt vastu võetud muudatusettepanek 181 koostati teataval määral siiski andmekaitsealastes õigusaktides sisalduvaid eraelu puutumatuse ja andmekaitse põhimõtteid arvestades. EP muudatusettepanekus 181 võiks täiendavalt käsitleda andmekaitse ja eraelu puutumatusega seotud huvisid, lisades näiteks sõna „erijuhtudel”, et tagada kõnealuse artikli valikuline kohaldamine, või lisades konkreetse säilitamisaja.

82.

Muudatusettepanek 181 sisaldab mõningaid positiivseid elemente. Selles kinnitatakse, et töötlemisel tuleks järgida mis tahes muid isikuandmete töötlemise suhtes kohaldatavaid andmekaitsepõhimõtteid („Ilma et see piiraks … direktiivi 95/46/EÜ (…) ja käesoleva direktiivi (…) kohaldamist”). Ning kuigi muudatusettepanekuga 181 lubatakse liiklusandmete töötlemist turvaeesmärkidel, tasakaalustatakse selles liiklusandmeid töötleva üksuse ja üksikisikute, kelle andmeid töödeldakse, huvid, nii et selline andmetöötlus võib toimuda vaid juhul, kui üksikisikute põhiõiguste ja -vabadustega seotud huvid ei kaalu üles andmeid töötleva üksuse huve („välja arvatud juhul, kui andmesubjekti põhiõiguste ja -vabadustega seotud huvid nimetatud huvid üles kaaluvad”). See nõue on oluline, sest sellega võidakse lubada liiklusandmete töötlemist erijuhtudel; siiski ei võimaldaks see üksusel liiklusandmeid massiliselt töödelda.

83.

Nõukogu muudetud versioon kõnealusest muudatusettepanekust sisaldab kiiduväärseid elemente, näiteks on säilitatud väljend „tingimata vajalik”, mis rõhutab selle artikli piiratud kohaldamisala. Kuid nõukogu versioonist on välja jäetud eespool viidatud andmekaitse ja eraelu puutumatusega seotud meetmed. Kuigi põhimõtteliselt kohaldatakse üldisi andmekaitsesätteid, vaatamata sellele, kas iga juhtumi puhul on neile konkreetselt viidatud, võib artikli 6 lõike 6a nõukogu versiooni tõlgendada täieliku otsustusõiguse andmisena liiklusandmete töötlemiseks ilma mingeid liiklusandmete töötlemise suhtes kehtivaid andmekaitse ja eraelu puutumatuse kaitse meetmeid kohaldamata. Seetõttu võiks väita, et liiklusandmeid võib koguda, säilitada ja edaspidi kasutada ilma, et oleks vaja järgida vastutavate osapoolte suhtes muul juhul kehtivaid andmekaitse põhimõtteid ja konkreetseid kohustusi, nagu kvaliteedipõhimõte või õiglase ja seadusliku töötlemise kohustus ning andmete salastatuse ja turvalise hoidmise kohustus. Kuna artiklis ei ole viidatud kohaldatavatele andmekaitsepõhimõtetele, millega kehtestatakse andmete säilitamise ajalised piirid, siis võib nõukogu versiooni tõlgendada selliselt, et see võimaldab koguda ja töödelda liiklusandmeid turvaeesmärkidel ajaliste piiranguteta.

84.

Lisaks on nõukogu teatavates teksti osades leevendanud eraelu puutumatuse kaitsemeetmeid, muutes sõnastuse potentsiaalselt ebamäärasemaks. Nii näiteks on välja jäetud viide „andmetöötleja õigustatud huvidele”, mis tekitab kahtlusi selle suhtes, mis liiki üksustel oleks võimalik sellist erandit kasutada. Ülimalt oluline on vältida võimalust, et mis tahes kasutaja või juriidiline isik saaks sellest muudatusest kasu lõigata.

85.

EP ja nõukogu hiljutised kogemused näitavad, et seadusega on raske määratleda andmete turvaeesmärkidel töötlemise ulatust ja tingimusi, mille kohaselt seda saab seaduslikult teha. Ühegi kehtiva ega kavandatava artikli abil ei ole tõenäoliselt võimalik kõrvaldada ilmseid ohte, mis tulenevad erandi liigulatuslikust kohaldamisest muudel kui puht turvalisusega seotud eesmärkidel või üksuste poolt, kellel ei peaks olema võimalik erandit kasutada. See ei tähenda, et selline andmetöötlus ei võiks sellegipoolest toimuda. Kuid seda, kas töötlemine peaks toimuma ja millises ulatuses, võib olla parem hinnata rakendamise tasandil. Sellise töötlemisega tegeleda soovivad üksused peaksid arutama töötlemise ulatust ja tingimusi andmekaitseasutustega ja võimaluse korral artikli 29 töörühmaga. Teise võimalusena võiks e-eraelu direktiiv sisaldada artiklit, mille kohaselt liiklusandmete turveesmärkidel töötlemine oleks lubatud andmekaitseaustuste selgesõnalise loa alusel.

86.

Võttes ühelt poolt arvesse artikli 6 lõikest 6a andmekaitset ja eraelu puutumatuse kaitset käsitlevale põhiõigusele tulenevat ohtu ning teiselt poolt asjaolu, et vastavalt käesolevas arvamuses esitatud selgitusele on kõnealune artikkel õiguslikust seisukohast tarbetu, on Euroopa andmekaitseinspektor jõudnud järeldusele, et parim lahendus oleks kavandatud artikli 6 lõige 6a üldse välja jätta.

87.

Kui mingi praeguse artikli 6 lõike 6a versioonile sarnanev tekst Euroopa andmekaitseinspektori soovituse vastaselt siiski vastu võetakse, peaks see igal juhul sisaldama eespool käsitletud andmekaitsemeetmeid. Samuti tuleks see paigutada nõuetekohaselt artikli 6 olemasolevasse struktuuri, eelistatavalt uue lõikena 2a.

88.

EP võttis vastu muudatusettepaneku 133, millega antakse internetiühenduse pakkujatele ja teistele juriidilistele isikutele, nagu tarbijaühendused, võimalus pöörduda e-eraelu direktiivi mis tahes sätete rikkumise korral kohtusse. (19) Kahjuks ei ole ei komisjon ega nõukogu nimetatud muudatusettepanekut arvestanud. Euroopa andmekaitseinspektor peab kõnealust muudatusettepanekut väga positiivseks ja soovitab see säilitada.

89.

Kõnealuse muudatusettepaneku olulisuse mõistmiseks tuleb aru saada, et eraelu puutumatuse ja andmekaitse valdkonnas ei ole ühele eraldi võetud isikule tekitatud kahju iseenesest piisav kohtuasja algatamiseks. Üksikisik ei pöördu tavaliselt kohtu poole, kuna talle on saadetud rämpsposti või kuna tema nimi on ekslikult lisatud mõnda kataloogi. Kõnealune muudatusettepanek võimaldaks tarbijaühendustel ja tarbijate huve esindavatel kutseühingutel üksikisikute nimel kollektiivselt kohtu poole pöörduda. Mitmekesisemad jõustamismehhanismid soodustavad tõenäoliselt ka direktiivi paremat täitmist ning on seetõttu vastavuses e-eraelu direktiivi sätete tõhusama kohaldamise huvidega.

90.

Mõnede liikmesriikide õigusraamistikus leidub kohtulahendeid, milles kollektiivne kaebuste esitamine on juba ette nähtud, et võimaldada tarbijatel või huvirühmadel taotleda kahju põhjustanud poolelt hüvitist.

91.

Samuti on mõne liikmesriigi konkurentsiseadusega (20) antud tarbijatele ja huvirühmadele (lisaks mõjutatud konkurendile) õigus kaevata seadust rikkunud üksus kohtusse. Sellise lähenemisviisi mõte peitub selles, et konkurentsiseadust rikkuvad ettevõtted saavad rikkumisest tõenäoliselt kasu, sest vaid vähest kahju kandvad tarbijad ei soovi üldjuhul kohtusse pöörduda. Seda mõttekäiku saab mutantis mutandis kohaldada andmekaitse ja eraelu puutumatuse valdkonnale.

92.

Nagu eespool nimetatud, on veelgi olulisem see, et kohtusse pöördumise võimaldamine juriidilistele isikutele, nagu tarbijaühendused ja üldkasutatavate elektroonilise side teenuste osutajad, tugevdab tarbijate positsiooni ja soodustab andmekaitsealaste õigusaktide üldist järgimist. Kui seadust rikkuvaid ettevõtteid ähvardab suurem oht kohtu alla sattuda, teevad nad andmekaitsealaste õigusaktide täitmiseks tõenäoliselt suuremaid jõupingutusi, mis pikaajalises perspektiivis suurendab eraelu puutumatuse ja tarbijate kaitse taset. Seetõttu kutsub Euroopa andmekaitseinspektor Euroopa Parlamenti ja nõukogu üles võtma vastu sätet, mis võimaldaks juriidilistel isikutel e-eraelu direktiivi mis tahes sätte rikkumise korral kohtusse pöörduda.

93.

Nõukogu ühine seisukoht, EP esimese lugemise tulemus ja komisjoni muudetud ettepanek sisaldavad erineval määral positiivseid elemente, mis aitaksid parandada eraelu puutumatuse ja isikuandmete kaitset.

94.

Euroopa andmekaitseinspektor leiab siiski, et kõiki neid saaks paremaks muuta, eelkõige nõukogu ühist seisukohta, milles kahjuks ei ole säilitatud EP mõningaid muudatusettepanekuid, mille eesmärk on aidata tagada eraelu puutumatuse ja isikuandmete piisav kaitse. Euroopa andmekaitseinspektor kutsub EP ja nõukogu tungivalt üles taastama EP esimesel lugemisel vastu võetud dokumendis sisalduvaid eraelu puutumatuse kaitsemeetmeid.

95.

Samuti peab Euroopa andmekaitseinspektor asjakohaseks direktiivi mõne sätte täiustamist. Seda eelkõige turvarikkumisi käsitlevate sätete puhul, sest Euroopa andmekaitseinspektori arvates on kogu turvarikkumistest teatamisest tulenev kasu kõige paremini saavutatav juhul, kui õigusraamistik juba algusest peale õigesti paika panna. Lõpetuseks leiab Euroopa andmekaitseinspektor, et asjakohane oleks parandada ja selgemaks muuta direktiivi mõningaid sätteid.

96.

Eespool nimetatut silmas pidades kutsub Euroopa andmekaitseinspektor Euroopa Parlamenti ja nõukogu tungivalt üles suurendama jõupingutusi e-eraelu direktiivi mõningate sätete paremaks ja selgemaks muutmiseks, taastades samas EP esimesel lugemisel vastu võetud muudatusettepanekud, mille eesmärk on tagada eraelu puutumatuse ja andmekaitse nõuetekohane tase. Sel eesmärgil on järgnevalt punktides 97, 98, 99 ja 100 esitatud kokkuvõte vaatlusalustest küsimustest ning mõned soovitused ja sõnastusettepanekud. Euroopa andmekaitseinspektor kutsub pooli üles neid arvesse võtma e-eraelu direktiivi menetlemisel enne selle lõplikku vastuvõtmist.

97.

Euroopa Parlament, komisjon ja nõukogu kasutavad turvarikkumistest teatamise suhtes igaüks erinevat lähenemisviisi. Kolme mudeli erinevused seisnevad muu hulgas selles, milliseid üksusi turvarikkumisest teatamise kohustus hõlmab, millise standardi alusel teatamine toimub, millistele andmesubjektidele tuleb rikkumisest teatada jne. EP ja nõukogu peavad tegema kõik neist oleneva turvarikkumiste käsitlemise kindla õigusliku raamistiku koostamiseks. Selleks peaksid EP ja nõukogu:

98.

Sideteenused tehakse sageli üldsusele kättesaadavaks mitte üldkasutatavate võrkude, vaid eravõrkude (nt traadita ühenduse levialad hotellides, lennujaamades) abil, mida kõnealune direktiiv väidetavalt ei hõlma. EP võttis vastu muudatusettepaneku 121 (artikkel 3), millega laiendatakse direktiivi kohaldamisala üldkasutatavatele ja eraõiguslikele sidevõrkudele ning avaliku juurdepääsuga eravõrkudele. Seoses sellega peaksid EP ja nõukogu:

99.

EP võttis esimesel lugemisel vastu muudatusettepaneku 181 (artikli 6 lõige 6a), millega lubatakse liiklusandmete töötlemist turvaeesmärkidel. Nõukogu ühises seisukohas võeti vastu selle uus versioon, mis nõrgendab mõningaid eraelu puutumatuse kaitsemeetmeid. Sellega seoses soovitab Euroopa andmekaitseinspektor Euroopa Parlamendil ja nõukogul:

100.

Parlament võttis vastu muudatusettepaneku 133 (artikli 13 lõige 6), millega antakse juriidilistele isikutele õigus direktiivi mis tahes sätte rikkumise korral kohtusse pöörduda. Kahjuks nõukogu seda muudatusettepanekut ei arvestanud. Nõukogu ja EP peaksid:

101.

Kõigi eespool nimetatud küsimuste puhul peavad EP ja nõukogu töötama raskuste kiuste välja asjakohased eeskirjad ja sätted, mis on toimivad, funktsionaalsed ning milles austatakse üksikisikute õigust eraelu puutumatusele ja andmekaitsele. Euroopa andmekaitseinspektor loodab, et asjaosalised teevad kõik neist oleneva nimetatud väljakutsele vastamiseks ning et käesolev arvamus aitab sellele kaasa.

6.6.2009   

ET

Euroopa Liidu Teataja

C 128/42

1.

Komisjon võttis 13. novembril 2008 vastu ettepaneku nõukogu direktiivi kohta, millega kohustatakse liikmesriike säilitama toornafta ja/või naftatoodete miinimumvarusid (edaspidi „ettepanek”). (3)

2.

Ettepaneku eesmärk on tagada ühenduse naftatarnekindluse kõrge tase liikmesriikide solidaarsusel põhinevate usaldusväärsete ja läbipaistvate mehhanismidele kaudu, säilitades nafta või naftatoodete miinimumvarud ning kehtestades võimaliku tõsise puudujäägi korvamiseks vajalikud menetlused.

3.

Komisjon saatis 14. novembril 2008 kooskõlas määruse (EÜ) nr 45/2001 artikli 28 lõikega 2 ettepaneku Euroopa andmekaitseinspektorile konsulteerimiseks. Andmekaitseinspektor tervitab antud küsimuse üle konsulteerimist ning märgib, et määruse (EÜ) nr 45/2001 artikli 28 kohaselt on sellele konsulteerimisele viidatud ettepaneku preambulis.

4.

Enne ettepaneku vastuvõtmist konsulteeris komisjon mitteametlikult Euroopa andmekaitseinspektoriga ettepaneku eelnõu ühe artikli osas (praegune artikkel 19). Andmekaitseinspektor tervitas mitteametlikku konsulteerimist, kuna see andis talle võimaluse teha soovitusi enne ettepaneku vastuvõtmist komisjonis.

5.

Kõnealune küsimus on heaks näiteks selle kohta, et andmekaitse eeskirjadest tuleks olla pidevalt teadlik. Olukorras, mis puudutab liikmesriike ning nende kohustust säilitada nafta julgeolekuvarusid, mis on peamiselt juriidiliste isikute omanduses, ei ole isikuandmete töötlemine väga ilmne, kuid isegi kui seda ei ole ette nähtud, võib see siiski aset leida. Igal juhul tuleks siiski kaaluda tõenäosust, et isikuandmeid töödeldakse ning sellele vastavalt tegutseda.

6.

Praeguses olukorras on direktiivis sätestatud peamiselt kaks tegevust, mis võivad hõlmata isikuandmete töötlemist. Esimene on liikmesriikide poolt naftavarude kohta andmete kogumine ning nende komisjonile saatmine. Teine tegevus on seotud komisjoni volitusega teostada liikmesriikides kontrolli. Naftavarude omanike kohta teabe kogumine võib hõlmata isikuandmeid, nagu ettevõtete direktorite nimed ja kontaktandmed. Andmete kogumine ja nende edastamine komisjonile kujutab endast sellisel juhul isikuandmete töötlemist ning sõltuvalt sellest, kes tegelikult andmeid töötleb, kohaldatakse kas riiklikke õigusakte, millega rakendatakse direktiivi 95/46/EÜ sätteid, või määruse (EÜ) nr 45/2001 sätteid. Samuti võib komisjonile antud volitus liikmesriikide julgeolekuvarude kontrollimiseks, mille raames on tal õigus üldiselt teavet koguda, sisaldada isikuandmete kogumist ja seetõttu ka töötlemist.

7.

Mitteametlikel konsultatsioonidel, kus käsitleti ainult komisjonile uurimisvolituse andmist, soovitas andmekaitseinspektor komisjonil kindlaks määrata, kas komisjonipoolse uurimise käigus oleks isikuandmete töötlemine vaid juhuslik või toimuks see korrapäraselt ja uurimise otstarbel. Sellise hindamise tulemusena soovitati kahte lähenemisviisi.

8.

Juhul kui isikuandmete töötlemist ei ole ette nähtud ning see oleks seetõttu üksnes juhuslik, soovitas andmekaitseinspektor esiteks jätta selgesõnaliselt välja komisjoni poolt uurimise otstarbel isikuandmete töötlemise ning teiseks teatada, et mis tahes isikuandmeid, millega komisjon uurimise käigus kokku puutub, ei koguta ega võeta arvesse ning tahtmatu kogumise korral need hävitatakse viivitamata. Üldise toetava sättena soovitas andmekaitseinspektor lisada sätte selle kohta, et direktiiviga ei piirata direktiivis 95/46/EÜ ja määruses (EÜ) nr 45/2001 sätestatud andmekaitse eeskirjade kohaldamist.

9.

Kui aga nähakse ette, et andmeid töödeldakse komisjoni uurimise käigus korrapäraselt, soovitas andmekaitseinspektor komisjonil lisada teksti, milles kajastatakse nõuetekohase andmekaitse hindamise tulemusi. See peaks hõlmama järgmist: I andmetöötluse tegelik eesmärk, II vajadus andmete töötlemiseks, et seda eesmärki saavutada, III andmetöötluse proportsionaalsus.

10.

Kuigi andmekaitseinspektori mitteametlik nõuanne puudutas üksnes komisjoni uurimisvolitusi, käivad tema kommentaarid samuti ettepandud direktiivis selgitatud muu peamise tegevuse kohta, nimelt liikmesriikides teabe kogumine ja selle edastamine komisjonile.

11.

Direktiivi lõplikust ettepanekust ilmneb selgelt, et komisjon otsustas direktiiviga isikuandmete töötlemist mitte ette näha. Andmekaitseinspektoril on hea meel, et tema esimesena pakutud lähenemisviis leidis ettepanekus täielikku kajastamist.

12.

Andmekaitseinspektor väljendab seetõttu oma toetust sellele, kuidas komisjon tagas kavandatud direktiivis andmekaitse eeskirjade järgimise. Ülejäänud nõuandes esitatakse vaid mõned üksikasjalikud soovitused.

13.

Kavandatud direktiivi artiklis 15 käsitletakse liikmesriikide kohustust saata komisjonile igal nädalal statistiline kokkuvõte liikmesriigi territooriumil hoitavate kaubanduslike varude taseme kohta. Selline teave sisaldab tavaliselt vähe isikuandmeid. See võib siiski sisaldada teavet füüsiliste isikute kohta, kes omavad neid naftavarusid või kes töötavad varusid omavate juriidiliste isikute juures. Et vältida liikmesriikide poolt komisjonile sellise teabe esitamist, sätestatakse artikli 15 lõikes 1, et teabe esitamisel liikmesriigid „ei nimeta asjaomaste varude omanike nimesid”. Kuigi tuleks olla teadlik tõsiasjast, et nime eemaldamise tulemuseks ei ole alati andmed, mille põhjal ei saa füüsilist isikut tuvastada, näib siiski, et praeguses olukorras (naftavarude taseme statistilised kokkuvõtted) on nimetatud täiendav fraas piisav tagamaks, et komisjonile isikuandmeid ei edastata.

14.

Komisjoni uurimisvolitused on sätestatud direktiivi ettepaneku artiklis 19. Artiklis näidatakse selgelt, et komisjon on järginud eespool punktis 8 kirjeldatud esimest lähenemisviisi. Selles sedastatakse, et isikuandmete kogumine ei tohi olla komisjoni sooritatava kontrolli osaks. Isegi kui komisjon puutub kokku selliste andmetega, ei tohi neid arvesse võtta ning tahtmatu kogumise korral tuleb need hävitada. Andmekaitseinspektor soovitab asendada lõike 2 esimeses lauses sõna „kogumist” sõnaga „töötlemist”, et viia sõnastus vastavusse andmekaitse alaste õigusaktide sõnastusega ning vältida vääritimõistmist.

15.

Andmekaitseinspektor on rahul, et ettepanekusse on lisatud ka üldine toetav säte asjakohaste andmekaitsealaste õigusaktide kohta. Artiklis 20 tuletatakse liikmesriikidele ning samuti komisjonile ja teistele ühenduse organitele selgelt meelde nende kohustusi kooskõlas vastavalt direktiivi 95/46/EÜ ja määrusega (EÜ) 45/2001. Selles sättes rõhutatakse lisaks õigusi, mis andmesubjektidel nende eeskirjade kohaselt on, nagu õigus olla vastu nende andmete töötlemisele, õigus oma andmetele juurdepääsuks ja õigus nõuda andemete parandamist ebatäpsuste korral. Ühe märkuse võiks teha selle sätte asukoha kohta ettepanekus. Oma üldise loomu tõttu ei ole see säte piiratud üksnes komisjoni uurimisvolitustega. Seetõttu soovitab andmekaitseinspektor viia see artikkel üle direktiivi esimesse ossa, näiteks artikli 2 järele.

16.

Põhjenduses 25 osutatakse samuti direktiivile 95/46/EÜ ja määrusele (EÜ) nr 45/2001. Põhjenduse eesmärk on siiski üsna ebaselge, kuna selles ainult nimetatakse andmekaitset käsitlevaid õigusakte, ilma täiendavate selgitusteta. Põhjenduses tuleks selgelt väljendada, et direktiivi sätetega ei piirata nimetatud õigusaktide kohaldamist. Lisaks antakse põhjenduse viimases lauses mõista, et andmekaitsealastes õigusaktides nõutakse kontrollijatelt selgesõnaliselt juhuslikult kogutud andmete viivitamatut hävitamist. Kuigi see võib olla sätestatud eeskirjade tagajärg, sellist kohustust nimetatud õigusaktidest ei leidu. Andmekaitse üldpõhimõte on, et isikuandmeid ei säilitata kauem, kui see on vajalik seoses andmete kogumise või hilisema töötlemise eesmärkidega. Kui põhjenduse esimest osa on kohandatud eelnevalt soovitatud viisil, siis viimane osa on muutunud ülearuseks. Andmekaitseinspektor soovitab seetõttu põhjenduse 25 viimase lause välja jätta.

17.

Andmekaitseinspektor soovib väljendada oma toetust sellele, kuidas komisjon tagas kavandatud direktiivis andmekaitse eeskirjade järgimise.

18.

Andmekaitseinspektor soovitab üksikasjalikumalt järgmist:

6.6.2009   

ET

Euroopa Liidu Teataja

C 128/45

6.6.2009   

ET

Euroopa Liidu Teataja

C 128/46