EUROOPA KOMISJON

Brüssel,24.6.2020

COM(2020) 264 final

KOMISJONI TEATIS EUROOPA PARLAMENDILE JA NÕUKOGULE

Andmekaitse kodanike võimestajana ja ELi valmistumine digiüleminekuks – isikuandmete kaitse üldmääruse kohaldamise kaks esimest aastat

{SWD(2020) 115 final}

KOMISJONI TEATIS EUROOPA PARLAMENDILE JA NÕUKOGULE

Andmekaitse kodanike võimestajana ja ELi valmistumine digiüleminekuks – isikuandmete kaitse üldmääruse kohaldamise kaks esimest aastat

1Andmekaitsenormid kodanike võimestajana ja ELi valmistumine digiüleminekuks

Käesolev aruanne on esimene, milles käsitletakse isikuandmete kaitse üldmääruse 1 (edaspidi „üldmäärus“) hindamist ja läbivaatamist, eelkõige isikuandmete kolmandatele riikidele ja rahvusvahelistele organisatsioonidele edastamist ning koostööd ja järjepidevust käsitlevate eeskirjade kohaldamist ja toimimist kooskõlas üldmääruse artikliga 97.

Alates 25. maist 2018 kohaldatav üldmäärus on kesksel kohal ELi õigusraamistikus, 2 millega tagatakse Euroopa Liidu põhiõiguste hartas (artikkel 8) ja aluslepingutes (Euroopa Liidu toimimise lepingu artikkel 16) sätestatud põhiõigus isikuandmete kaitsele. Üldmäärusega tugevdati andmekaitset, anti üksikisikutele rohkem ja suuremad õigused, suurendati läbipaistvust ning tagati, et kõik, kes töötlevad isikuandmeid üldmääruse kohaldamisalas, teeksid seda vastutustundlikumalt ja usaldusväärsemalt. Üldmäärusega antakse sõltumatutele andmekaitseasutustele suuremad ja ühtlustatud täitevolitused ning luuakse uus haldussüsteem. Samuti luuakse sellega võrdsed võimalused kõigile ELi turul tegutsevatele ettevõtjatele, olenemata nende asukohast, ning tagatakse ELis andmete vaba liikumine, toetades sellega siseturgu.

Üldmäärus on oluline osa inimkesksest tehnoloogiakasutusest ning suunanäitaja tehnoloogia rakendamisel samaaegse rohe- ja digiülemineku teenistusse, mis iseloomustab ELi poliitika kujundamist. Seda on hiljuti rõhutatud tehisintellekti valges raamatus 3 ja 2020. aasta veebruari teatises Euroopa andmestrateegia kohta 4 (edaspidi „andmestrateegia“).

Olukorras, kus majandus põhineb üha enam andmete, sealhulgas isikuandmete töötlemisel, on üldmäärus oluline vahend tagamaks, et üksikisikutel oleks parem kontroll oma isikuandmete üle ning et neid andmeid töödeldaks õiguspärasel eesmärgil, seaduslikult, õiglaselt ja läbipaistvalt. Samal ajal aitab üldmäärus edendada usaldusväärset innovatsiooni, eelkõige riskipõhisuse ja selliste põhimõtete kaudu nagu lõimprivaatsus ja privaatsuse vaikesätted. Komisjon on teinud ettepaneku täiendada andmekaitse ja eraelu puutumatuse õigusraamistikku 5 e-privaatsuse määrusega 6 , mis peaks asendama praegust e-privaatsuse direktiivi 7 . Kaasseadusandjad analüüsivad praegu seda ettepanekut ja on väga oluline, et see kiiresti vastu võetaks.

Osana komisjoni peamistest prioriteetidest „Digiajastule vastav Euroopa“ 8 ja „Euroopa roheline kokkulepe“ 9 võidakse välja töötada uusi algatusi, et võimestada kodanikke digiüleminekule aktiivsemalt kaasa aitama ning kasutama digivahendeid kliimaneutraalse ühiskonna ja kestlikuma arengu saavutamiseks. Üldmäärusega luuakse nende algatuste jaoks õigusraamistik ja tagatakse nende kavandamine kodanike tõhusat võimestamist silmas pidades.

Andmestrateegias 10 kutsutakse üles looma „ühtset Euroopa andmeruumi“, tõelist ühtset andmeturgu ning kümmet rohe- ja digipöörde jaoks vajalikku valdkondlikku ühtset Euroopa andmeruumi 11 . Kõigi nende prioriteetide jaoks on selge ja toimiv raamistik andmete turvaliseks jagamiseks ja andmete kättesaadavuse parandamiseks äärmiselt oluline. Andmestrateegias teatati ka komisjoni kavatsusest uurida tulevaste õigusaktide ettevalmistamisel, kuidas võimaldada avalikes andmebaasides hoitavate andmete kasutamist teadusuuringute eesmärgil kooskõlas üldmäärusega. Andmeruume peaks toetama Euroopa pilvandmetöötlusliit, mis pakub andmetöötluse ja pilvetaristu teenuseid kooskõlas üldmäärusega. Üldmäärusega tagatakse isikuandmete kaitse kõrge tase ja üksikisikute keskne roll kõigis neis andmeruumides, luues samal ajal vajaliku paindlikkuse erinevate lahenduste võimaldamiseks.

Vajadus tagada usaldus ja nõudlus isikuandmete kaitse järele ei piirdu kindlasti üksnes ELiga. Inimesed üle kogu maailma väärtustavad üha enam oma andmete privaatsust ja turvalisust. Hiljutisest ülemaailmsest uuringust 12 nähtub, et see on inimeste jaoks oluline ning mõjutab nende tarbimisotsuseid ja veebikäitumist. Üha rohkem ettevõtteid on sellele privaatsusnõudele reageerinud, laiendades vabatahtlikult mõningaid üldmääruses sätestatud õigusi ja kaitsemeetmeid oma väljaspool ELi asuvatele klientidele. Paljud ettevõtjad kasutavad isikuandmete kaitset ka konkurentsieelise ja müügiartiklina ülemaailmsel turul ning pakuvad uuenduslikke tooteid ja teenuseid, millel on uudsed privaatsuse ja andmeturbe lahendused. Samal ajal tekitab era- ja avaliku sektori suurem suutlikkus andmeid ulatuslikult koguda ja töödelda olulisi ja keerukaid probleeme, mis asetavad privaatsusküsimused kõikjal maailmas üha enam avaliku arutelu keskmesse.

Üldmääruse vastuvõtmine on kannustanud teisi maailma eri piirkondade riike kaaluma selle eeskuju järgimist. Tegemist on tõeliselt ülemaailmse suundumusega, mis ulatub Tšiilist Lõuna-Koreani, Brasiiliast Jaapanini, Keeniast Indiani ja Californiast Indoneesiani. ELi juhtpositsioon andmekaitse valdkonnas näitab tema võimet toimida digimajanduse reguleerimise ülemaailmse suunanäitajana, ning seda on tervitanud rahvusvahelise üldsuse olulised eestkõnelejad, nagu ÜRO peasekretär António Guterres, kes on märkinud, et isikuandmete kaitse üldmäärus on „eeskuju, mis on [...] inspireerinud võtma sarnaseid meetmeid mujal“ ning „motiveerinud ELi ja selle liikmesriike hoidma oma juhtpositsiooni digiajastu kujundamisel ning jätkama tehnoloogilise innovatsiooni ja õigusloome esirinnas“ 13 .

Praegune COVID-19 pandeemia kriis illustreerib ilmekalt seda privaatsuse üle peetava arutelu üleilmastumist nii kriisi ajal kui ka sellest väljumise lahenduste otsimisel. ELis võtsid paljud liikmesriigid rahvatervise kaitseks kiireloomulisi meetmeid. Üldmääruses on selgesti sätestatud, et iga piirang peab austama põhiõiguste ja -vabaduste olemust ning olema demokraatlikus ühiskonnas vajalik ja proportsionaalne meede avaliku huvi (näiteks rahvatervise) kaitsmiseks. Liikumispiirangute järkjärgulise kaotamise etapis peavad otsustajad vastama kodanike ootusele, et neile pakutaks usaldusväärseid digilahendusi, mis austavad õigust privaatsusele ja isikuandmete kaitsele.

Paljudes riikides peetakse hädavajalikuks lõimitud privaatsuse kaitse meetmeid, nagu kasutajate vabatahtlik registreerimine, võimalikult väheste andmete kogumine, andmeturve ning asukohatuvastuse välistamine, et tagada ühiskonna usaldus ja heakskiit andmepõhistele lahendustele, mille abil jälgida ja tõkestada viiruse levikut, kavandada riiklikke vastumeetmeid, abistada patsiente või rakendada väljumisstrateegiaid. ELi andme- ja privaatsuse kaitse õigusraamistik 14 on osutunud piisavalt paindlikuks, et võimaldada välja töötada praktilisi lahendusi (nt kontaktijälgimisrakendused), tagades samal ajal isikuandmete kaitse kõrge taseme. Sellega seoses avaldas komisjon 16. aprillil 2020 andmekaitsega seotud suunised pandeemiavastast võitlust toetavate mobiilirakenduste kohta 15 .

Isikuandmete kaitse on oluline ka selleks, et vältida kodanike valikutega manipuleerimist ja eelkõige valijate individuaalset täppismõjutamist isikuandmete ebaseadusliku töötlemise kaudu, hoida ära sekkumist demokraatlikesse protsessidesse ning säilitada avatud arutelu, õiglus ja läbipaistvus, mis on demokraatia jaoks hädavajalikud. Sel põhjusel avaldas komisjon 2018. aasta septembris juhised liidu andmekaitseõiguse kohaldamise kohta valimiste kontekstis 16 .

Andmekaitseõiguse hindamisel ja läbivaatamisel võttis komisjon arvesse nõukogu 17 , Euroopa Parlamendi 18 , Euroopa Andmekaitsenõukogu (edaspidi „andmekaitsenõukogu“) 19 ja eraldiseisvate andmekaitseasutuste 20 , paljusid sidusrühmi hõlmava eksperdirühma 21 ja muude sidusrühmade arvamusi muu hulgas tegevuskava kohta esitatud tagasiside 22 vormis. 

Üldine seisukoht on, et kaks aastat pärast üldmääruse kohaldamise algust on see edukalt täitnud oma eesmärgi tugevdada üksikisiku õigust isikuandmete kaitsele ja tagada isikuandmete vaba liikumine ELis 23 . Siiski on ilmnenud ka mitu valdkonda, mis vajavad edaspidi parandamist. Nagu enamik sidusrühmi ja andmekaitseasutusi, on ka komisjon seisukohal, et praeguses etapis oleks ennatlik teha üldmääruse kohaldamise kohta lõplikke järeldusi. On tõenäoline, et enamik liikmesriikide ja sidusrühmade tuvastatud probleemidest laheneb lähiaastatel, kui üldmääruse kohaldamisel omandatakse rohkem kogemusi. Sellegipoolest tuuakse käesolevas aruandes välja üldmääruse kohaldamisel seni esinenud probleemid ja esitatakse võimalikud viisid nende lahendamiseks.

Hoolimata sellest, et käesolev hindamine ja läbivaatamine keskendub kahele isikuandmete kaitse üldmääruse artikli 97 lõikes 2 esile tõstetud küsimusele, nimelt andmete rahvusvahelisele edastamisele ning koostöö ja järjepidevuse mehhanismile, käsitletakse siin laiemalt ka muid probleeme, millele erinevad asjaosalised on viimase kahe aasta jooksul tähelepanu juhtinud.

2Peamised tähelepanekud

Isikuandmete kaitse üldmääruse täitmise tagamine ning koostöö- ja järjepidevuse mehhanismi toimimine

Üldmäärusega loodi uuenduslik haldussüsteem, mis põhineb liikmesriikide sõltumatute andmekaitseasutuste tegevusel ja nende koostööl piiriüleste juhtumite haldamisel ning Euroopa Andmekaitsenõukogus (edaspidi „andmekaitsenõukogu“). Üldine seisukoht on, et andmekaitseasutused on kasutanud oma laiendatud parandusvolitusi tasakaalukalt, seda ka hoiatuste, noomituste, trahvide ning ajutiste või alaliste töötlemispiirangute kehtestamisel 24 . Komisjon märgib, et sõltuvalt rikkumise raskusastmest on ametiasutused määranud trahve mõnest tuhandest eurost mitme miljoni euroni. Muudel karistustel, nagu näiteks töötlemiskeeld, võib olla sama või isegi suurem hoiatav mõju kui trahvidel. Üldmääruse peamine eesmärk on muuta kõigi asjaosaliste andmekaitsekultuuri ja käitumist üksikisikute hüvanguks. Üksikasjalikum teave andmekaitseasutuste parandusvolituste kasutamise kohta on leitav teatisele lisatud komisjoni talituste töödokumendist.

Kuigi uute koostöö- ja järjepidevuse mehhanismide toimimist on veel vara täielikult hinnata, saab öelda, et andmekaitseasutused tegid koostööd ühtse kontaktpunkti mehhanismi 25 ja vastastikuse abi ulatusliku kasutamise kaudu 26 . Ühtse kontaktpunkti mehhanismi, mis on siseturu oluline eelis, kasutatakse paljude piiriüleste juhtumite lahendamiseks 27 . Praegu on pooleli olulised piiriülese mõõtmega menetlused, mille puhul samuti kasutatakse ühtse kontaktpunkti mehhanismi. Otsused, mis tehakse nendes menetlustes, mille üheks osaliseks on sageli suured rahvusvahelised tehnoloogiaettevõtted, mõjutavad märkimisväärselt üksikisikute õigusi paljudes liikmesriikides.

Tõeliselt ühtse Euroopa andmekaitsekultuuri kujunemine andmekaitseasutuste vahel nõuab siiski veel palju tööd. Andmekaitseasutused ei ole veel täielikult ära kasutanud kõiki üldmääruses sätestatud vahendeid, nagu näiteks ühist uurimist võimaldavaid ühisoperatsioone. Mõnikord on ühine tegutsemine tähendanud liikumist väikseima ühisnimetaja juurde ja seetõttu on kasutamata jäänud võimalused edasiseks ühtlustamiseks 28 .

Rohkem on vaja teha selleks, et piiriüleseid juhtumeid saaks kogu ELis käsitleda tõhusamalt ja ühtlustatumalt, sealhulgas menetluslikust seisukohast, näiteks sellistes küsimustes nagu kaebuste käsitlemise menetlused, kaebuste menetlusse võtmise kriteeriumid, erinevused menetluste kestuses siseriiklike haldusmenetlusõiguse tähtaegade erinevuste või nende tähtaegade puudumise tõttu, ärakuulamisõiguse andmise aeg menetluse kestel või kaebuse esitajate teavitamine ja kaasamine menetluse ajal. Komisjonil on hea meel, et andmekaitsenõukogu on algatanud nendes küsimustes aruteluprotsessi, ning komisjon osaleb nendes aruteludes ka ise 29 .

Andmekaitsenõukogu tegevus ja suunised on keskse tähtsusega andmekaitsenõukogu ja sidusrühmade vahelise teabevahetuse järjepideva täiustamise jaoks 30 . 2019. aasta lõpu seisuga oli andmekaitsenõukogu vastu võtnud 67 dokumenti, millest 10 uut suunist 31 ja 43 arvamust 32 . Sidusrühmad on andmekaitsenõukogu suunistega üldiselt rahul ja küsivad täiendavaid suuniseid üldmääruse põhimõistete kohta, kuid osutavad ka vastuoludele riiklike ja andmekaitsenõukogu suuniste vahel. Nad rõhutavad vajadust praktilisemate nõuannete, eelkõige konkreetsemate näidete järele, ning juhivad tähelepanu sellele, et andmekaitseasutustel on oma ülesannete tõhusaks täitmiseks vaja piisavaid inim-, tehnilisi ja rahalisi ressursse.

Komisjon on järjekindlalt rõhutanud liikmesriikide kohustust eraldada riiklikele andmekaitseasutustele piisavalt inim-, rahalisi ja tehnilisi ressursse 33 . Enamikus neist suurendati aastatel 2016–2019 34 töötajate arvu ja eelarvet, kusjuures suhteliselt enim kasvas Iirimaa, Madalmaade, Islandi, Luksemburgi ja Soome andmekaitseasutuste töötajate arv. Arvestades et suurimad rahvusvahelised tehnoloogiaettevõtted on asutatud Iirimaal ja Luksemburgis, tegutsevad nende riikide andmekaitseasutused juhtivate asutustena paljude oluliste piiriüleste juhtumite juures ja seetõttu võivad nad vajada suuremaid ressursse, kui nende rahvaarv lubaks eeldada. Siiski on olukord liikmesriigiti endiselt ebaühtlane ega ole veel üldiselt rahuldav. Andmekaitseasutustel on oluline roll selles, et üldmäärust riiklikul tasandil täidetaks ning et koostöö- ja järjepidevuse mehhanism, sealhulgas eelkõige piiriüleste juhtumite ühtne kontaktpunkt, toimiks andmekaitsenõukogu raames tõhusalt. Seetõttu kutsutakse liikmesriike üles eraldama neile üldmääruse kohaselt piisavalt vahendeid 35 .

Ühtlustatud eeskirjad, kuid siiski teatav killustatus ja erinevad lähenemisviisid

Komisjon jälgib üldmääruse rakendamist riiklikes õigusaktides. Käesoleva aruande koostamisaja seisuga võtsid kõik liikmesriigid peale Sloveenia vastu uusi õigusakte või kohandasid oma siseriiklikku andmekaitseõigust. Sloveenial 36 on palutud esitada komisjonile selgitusi selle protsessi lõpuleviimise kohta 37 .

Üldmääruses on sätestatud kogu ELi jaoks ühtsed andmekaitsenormide kohaldamise põhimõtted. Siiski nõutakse selles liikmesriikidelt mõnes valdkonnas 38 eraldi õigusaktide vastuvõtmist, mõnes 39 aga antakse võimalus üldmääruse sätteid täpsustada. Selle tulemusena valitseb endiselt teatav killustatus, mis tuleneb eelkõige valikuliste täpsustamisvõimaluste laialdasest kasutamisest. Näiteks erineb liikmesriigiti nõusolekuvanus, mida nõutakse lastele pakutavate infoühiskonna teenuste puhul, ning see tekitab laste ja nende vanemate jaoks ebakindlust seoses nende andmekaitseõiguste kohaldamisega ühtsel turul. Selline killustatus võib pärssida ka piiriülest äritegevust ja innovatsiooni, eelkõige uute tehnoloogiliste ja küberturvalisuse lahenduste väljatöötamist. Siseturu tõhusaks toimimiseks ja äriühingute tarbetu koormamise vältimiseks on oluline ka see, et riiklikud õigusaktid ei läheks kaugemale üldmääruses sätestatud täpsustamisvõimalustest ega kehtestaks lisanõudeid, kui selline võimalus puudub.

Siseriiklikele õigusaktidele iseloomulik probleem on raskused isikuandmete kaitse õiguse ühitamisel sõna- ja teabevabadusega ning nende õiguste nõuetekohane tasakaalustamine. Mõnes siseriiklikus õigusaktis on sätestatud sõnavabaduse ülimuslikkuse põhimõte, samas kui teistes nähakse ette isikuandmete kaitse ülimuslikkus ning erandid andmekaitsenormide kohaldamisest on võimalikud ainult mõnes konkreetses olukorras, näiteks kui tegemist on avaliku elu tegelasega. Mõned liikmesriigid jätavad jällegi seadusandjale mõningase kaalutlus- ja/või juhtumipõhise hindamise õiguse erandite tegemisel üldmääruse teatavatest sätetest.

Komisjon jätkab siseriiklike õigusaktide hindamist. Isikuandmete kaitse õiguse ühitamine sõna- ja teabevabadusega peab olema seadusega ette nähtud, austama nende põhiõiguste olemust ning olema proportsionaalne ja vajalik 40 . Andmekaitsenormid (ning nende tõlgendamine ja kohaldamine) ei tohiks mõjutada sõna- ja teabevabaduse kasutamist, näiteks mõjudes heidutavalt või avaldades ajakirjanikele survet allikate avalikustamiseks. Nende kahe õiguse tasakaalustamine siseriiklikus õiguses peaks juhinduma Euroopa Kohtu ja Euroopa Inimõiguste Kohtu kohtupraktikast 41 .

Liikmesriikide õigusaktides on erandite tegemine isikuandmete eriliikide töötlemise üldisest keelust lahendatud eri viisidel, mistõttu nende andmete töötlemist (muu hulgas tervise ja teadusuuringutega seotud eesmärkidel) reguleerivate sätete täpsusaste ja kaitsetase on erinevad. Selle probleemi lahendamiseks kaardistab komisjon esimese sammuna liikmesriikide õigusaktide vahelised erinevused 42 ning toetab järgmise sammuna tegevusjuhendi(te) koostamist, et aidata kaasa ühtsemale tegutsemisele selles valdkonnas ja lihtsustada isikuandmete piiriülest töötlemist 43 . Peale selle aitavad tegevuspõhimõtete ühtlustamisele kaasa andmekaitsenõukogu tulevased suunised isikuandmete kasutamise kohta teadusuuringute valdkonnas. Komisjon annab andmekaitsenõukogu töösse oma panuse eelkõige seoses terviseuuringutega, sealhulgas teadusringkondadelt saadud konkreetsete küsimuste ja stsenaariumide analüüsi vormis.

Üksikisikute võimestamine oma andmete kontrollimiseks

Põhiõiguste uuringu 44 kohaselt on 69 % üle 16-aastastest ELi elanikest kuulnud isikuandmete kaitse üldmäärusest ja 71 % ELi elanikest on teadlik oma riikliku andmekaitseasutuse olemasolust.

Inimesed on üha teadlikumad sellest, et neil on õigus oma isikuandmetega tutvuda, neid parandada, kustutada ja üle kanda, esitada nende töötlemise suhtes vastuväiteid ning nõuda suuremat läbipaistvust. Üldmäärusega tugevdati üksikisikute menetlusõigusi, sealhulgas õigust esitada kaebus andmekaitseasutusele, muu hulgas esindushagide kaudu, ning õigust õiguskaitsele. Üksikisikud kasutavad neid õigusi üha enam, kuid nende kasutamist ja täielikku tagamist tuleks veel hõlbustada. Andmekaitsenõukogu juhtimisel toimuvad arutelud selgitavad ja lihtsustavad veelgi üksikisikute õiguste kasutamist ning kavandatav esindushagisid käsitlev direktiiv 45 peaks pärast vastuvõtmist võimaldama üksikisikutel esitada kollektiivseid hagisid kõigis liikmesriikides ja vähendama piiriüleste hagide kulusid.

Andmete ülekandmise õigusel on selge seni täielikult kasutamata potentsiaal seada üksikisikud andmemajanduse keskmesse, võimaldades neil valida eri teenuseosutajate vahel, kombineerida erinevaid teenuseid, kasutada muid uuenduslikke teenuseid ja otsustada kõige andmekaitsesõbralikumate teenuste kasuks. See edendab kaudselt ka konkurentsi ja toetab innovatsiooni. Selle potentsiaali ärakasutamine on üks komisjoni prioriteete, eelkõige seepärast, et nn asjade interneti seadmete järjest sagedasema kasutamise tõttu pärineb üha rohkem andmeid tarbijatelt, kellel on oht puutuda kokku ebaausate tavadega või jääda sõltuvaks ühest teenusepakkujast. Andmete ülekantavus võimaldab märkimisväärset kasu tervise ja heaolu valdkonnas, väiksemat ökoloogilist jalajälge, paremat juurdepääsu avalikele ja erateenustele, suuremat tootlikkust ning paremat tootekvaliteeti ja -ohutust.

Andmestrateegias rõhutatakse vajadust tegeleda selliste probleemidega nagu masinloetavas vormingus andmete esitamist võimaldavate standardite puudumine, mis takistab andmete ülekandmise õiguse tõhusat kasutamist ja mille tõttu piirdub see praegu mõne sektoriga (nt pangandus ja telekommunikatsioon). Probleemi lahendamiseks tuleks eelkõige luua sobivad töövahendid, standardvormid ja liidesed 46 . Laiemat kasutamist on võimalik saavutada ka selliste tehniliste liideste ja masinloetavate vormingute lubamisega, mis võimaldavad andmete ülekandmist reaalajas. Andmete ülekandmise õiguse ulatuslikum kasutamine võib muu hulgas aidata üksikisikutel kasutada oma andmeid avalikes huvides (näiteks selleks, et edendada tervishoiusektori teadusuuringuid), kui nad seda soovivad (nn andmealtruism). Digiteenuste õigusakti paketi 47 ettevalmistamisel uurib komisjon laiemalt andmete ja andmetega seotud tavade rolli digiplatvormide ökosüsteemis.

Organisatsioonide, eelkõige väikeste ja keskmise suurusega ettevõtjate võimalused ja probleemid

Üldmäärus koos isikustamata andmete vaba liikumist käsitleva määrusega 48 pakuvad ettevõtjatele uusi võimalusi, kuna nad toetavad konkurentsivõimet ja innovatsiooni, tagavad andmete vaba liikumise ELis ja loovad võrdsed tingimused väljaspool ELi asutatud ettevõtetega 49 . Andmete ülekandmise õigus ja asjaolu, et üha rohkem inimesi soovib kasutada privaatsust tagavaid lahendusi, võib leevendada ettevõtete jaoks turule sisenemise tõkkeid ning avada usaldusel ja innovatsioonil põhinevaid kasvuvõimalusi. Mõned sidusrühmad leiavad, et üldmääruse kohaldamine on keeruline eelkõige väikeste ja keskmise suurusega ettevõtjate (VKEde) jaoks. Riskipõhise lähenemisviisi kohaselt ei oleks asjakohane teha erandeid ettevõtte suuruse alusel, kuna suurus iseenesest ei osuta riskidele, mida ettevõte võib isikuandmete töötlemisel üksikisikutele tekitada. Paljud andmekaitseasutused on välja töötanud praktilised vahendid, et hõlbustada üldmääruse rakendamist VKEdes, mis tegelevad väikese riskiga töötlemistoimingutega. Neid jõupingutusi tuleks tõhustada ja laiendada, toetudes eelistatavalt Euroopa ühisele lähenemisviisile, et mitte luua tõkkeid ühtsele turule.

Andmekaitseasutused on välja töötanud mitu meedet, et aidata VKEdel üldmääruse nõudeid täita. Näiteks on koostatud näidisvormid isikuandmete töötlemist käsitlevate lepingute ja töötlemistoimingute registreerimise jaoks, samuti peetakse seminare ja töötavad nõustamisliinid. Paljud sellised algatused on saanud toetatust ELi vahendtest. 50 Tuleks kaaluda täiendavaid meetmeid, et üldmääruse kohaldamist VKEde jaoks hõlbustada.

Üldmäärusega tehakse igat liiki ettevõtjatele ja organisatsioonidele kättesaadavaks vahendid, mille abil tõendada vastavust määruse nõuetele: nt tegevusjuhendid, sertifitseerimismehhanismid ja lepingu tüüptingimused. Neid vahendeid tuleks täiel määral kasutada. VKEd peavad eelkõige oluliseks ja kasulikuks oma vajadustele vastavaid tegevusjuhendeid, millega ei kaasne ebaproportsionaalseid kulusid. Üldmääruse kohaselt on sertifitseerimiskavade keskseteks elementideks turvalisus (sealhulgas küberturvalisus) ja lõimitud andmekaitse ning seega oleks siin vaja kogu ELi hõlmavat ühist ja ambitsioonikat lähenemisviisi. Komisjon töötab praegu välja vastutavate ja volitatud töötlejate 51 vaheliste lepingute tüüptingimusi, tuginedes käimasolevale tööle rahvusvahelise edastamise lepingute tüüptingimuste 52 ajakohastamiseks.

Üldmääruse kohaldamine uute tehnoloogiate suhtes

Üldmäärus on koostatud tehnoloogianeutraalselt teatavate põhimõtete alusel, mis võimaldavad selle kohaldamist uute arenevate tehnoloogiate suhtes.

Määrust peetakse oluliseks ja paindlikuks vahendiks, millega tagada uute tehnoloogiate arendamine kooskõlas põhiõigustega. Andmekaitset ja eraelu puutumatust käsitlev õigusraamistik tõestas oma olulisust ja paindlikkust COVID-19 kriisi ajal, eelkõige seoses jälgimisrakenduste ja muude pandeemia tõkestamiseks kasutatavate tehnoloogiliste lahenduste kavandamisega. Tulevaseks ülesandeks on selgitada, kuidas kohaldada ennast tõestanud põhimõtteid konkreetsete tehnoloogiate suhtes, nagu tehisintellekt, plokiahel, asjade internet või näotuvastus, mis eeldavad pidevat jälgimist. Näiteks avas komisjoni valge raamat tehisintellekti kohta 53 avaliku arutelu võimalike konkreetsete asjaolude üle, mille puhul võib olla õigustatud tehisintellekti kasutamine biomeetrilise kaugtuvastuse eesmärgil (näiteks näotuvastuseks) avalikus ruumis, samuti ühiste kaitsemeetmete üle. Andmekaitseasutused peaksid seega olema tehniliste protsessidega varakult kursis.

Üksikisikute kaitsmiseks on äärmiselt oluline kindlalt ja tõhusalt tagada, et suured digiplatvormid ja integreeritud ettevõtted täidavad üldmääruse nõudeid, sealhulgas ka sellistes valdkondades nagu internetireklaam ja täppismõjutamine.

Kaasaegsete rahvusvaheliste andmeedastusvahendite väljatöötamine

Üldmäärus pakub kaasaegseid vahendeid, millega lihtsustada isikuandmete edastamist EList kolmandasse riiki või rahvusvahelisele organisatsioonile, tagades samal ajal andmekaitse kõrge taseme. Komisjon on viimase kahe aasta jooksul tõhustanud oma tööd eesmärgiga kasutada ära üldmääruse alusel kättesaadavate vahendite kogu potentsiaali.

See on hõlmanud aktiivset koostööd peamiste partneritega, et jõuda otsusteni kaitse piisavuse kohta. Kui selline otsus on tehtud, tähendab see, et isikuandmeid võib turvaliselt ja vabalt asjaomasesse kolmandasse riiki edastada, ilma et andmeeksportija peaks pakkuma täiendavaid tagatisi või taotlema eraldi luba. Näiteks loodi 2019. aasta veebruaris jõustunud ELi ja Jaapani vastastikuste kaitse piisavuse otsustega maailma suurim andmete vaba ja turvalise liikumise piirkond. Lisaks on lõppjärgus kaitse piisavuse hindamine Korea Vabariigiga ning käimas on ettevalmistavad kõnelused teiste oluliste partneritega Aasias ja Ladina-Ameerikas.

Kaitse piisavuse otsustel on oluline roll ka tulevastes suhetes Ühendkuningriigiga, eeldusel et vajalikud tingimused on täidetud. See soodustab kaubandust, sealhulgas digitaalkaubandust ning oluline eeltingimus tihedaks ja ambitsioonikaks koostööks õiguskaitse ja julgeoleku valdkonnas. Andmekaitse suurem ühtsus on oluline võrdsete tingimuste tagamiseks kahe nii tihedalt seotud majanduse vahel. Kooskõlas poliitilise deklaratsiooniga ELi ja Ühendkuningriigi tulevaste suhete kohta hindab komisjon praegu kaitse piisavust nii üldmääruse kui ka isikuandmete kaitset õiguskaitse valdkonnas käsitleva direktiivi 54 alusel.

Osana üldmääruse esimesest hindamisest peab komisjon läbi vaatama ka varasemate eeskirjade 55 alusel vastu võetud kaitse piisavuse otsused. Komisjoni talitused on pidanud tihedat dialoogi kõigi 11 asjassepuutuva kolmanda riigi ja territooriumiga, 56 et hinnata, kuidas nende andmekaitsesüsteemid on pärast kaitse piisavuse otsuse vastuvõtmist arenenud ning kas nad vastavad üldmääruses sätestatud standardile. Kuna need otsused on oluline vahend kaubanduse ja rahvusvahelise koostöö jaoks, on nende järjepidevuse tagamise vajadus üks tegur, mis on sundinud neid riike ja territooriume oma privaatsuse tagamise norme ajakohastama ja tugevdama. Mõne riigi ja territooriumiga arutatakse täiendavaid kaitsemeetmeid, et kõrvaldada kaitse tasemes tekkinud erinevused. Kuna Euroopa Kohus võib 16. juulil tehtavas kohtuotsuses anda selgitusi, mis võivad olla kaitse piisavuse standardi teatavate elementide puhul asjakohased, esitab komisjon eraldi aruande olemasolevate kaitse piisavuse otsuste hindamise kohta pärast seda, kui Euroopa Kohus on oma otsuse selles kohtuasjas 57 langetanud.

Lisaks tööle andmekaitse piisavuse valdkonnas tegeleb komisjon ka lepingu tüüptingimuste põhjaliku ajakohastamisega, et uuendada neid vastavalt üldmäärusega kehtestatud uutele nõuetele. Eesmärk on paremini kajastada töötlemistoimingute tegelikku olukorda kaasaegses digimajanduses ja kaaluda võimalikku vajadust täiendavalt selgitada teatavaid kaitsemeetmeid, võttes muu hulgas arvesse Euroopa Kohtu tulevast kohtulahendit 58 . Need tüüptingimused on ülekaalukalt kõige laialdasemalt kasutatav andmeedastusmehhanism, mida tuhanded ELi ettevõtjad kasutavad mitmesuguste teenuste osutamiseks oma klientidele, tarnijatele, partneritele ja töötajatele.

Andmekaitsenõukogu on samuti aktiivselt osalenud üldmääruse rahvusvaheliste aspektide arendamisel. Muu hulgas on ajakohastatud olemasolevate andmeedastusmehhanismide suuniseid, mis käsitlevad näiteks siduvat kontsernisisest eeskirja ja nn erandeid, ning tegeletud on ka õigustaristu väljatöötamisega üldmäärusega kehtestatud uute vahendite (nt tegevusjuhendite ja sertifitseerimise) kasutamiseks.

Selleks et sidusrühmad saaksid täielikult ära kasutada üldmääruses sisalduvaid andmeedastuse vahendeid, on oluline, et andmekaitsenõukogu tõhustaks käimasolevat tööd erinevate edastamismehhanismide kallal ning ühtlustaks seejuures siduvate kontsernisiseste eeskirjade heakskiitmise protsessi, viimistleks suuniseid tegevusjuhendite ja sertifitseerimise kui andmeedastusvahendite kasutamise kohta ning selgitaks rahvusvahelise andmeedastuse eeskirjade (V peatükk) ja üldmääruse territoriaalse kohaldamisala (artikkel 3) koostoimet.

Veel üks ELi andmekaitsenormide rahvusvahelise mõõtme oluline aspekt on üldmääruse laiendatud territoriaalne kohaldamisala, mis hõlmab ka ELi turul tegutsevate välismaiste ettevõtjate andmetöötlust. Selleks et tagada vastavus üldmääruse nõuetele ja tõeliselt võrdsed tingimused, on oluline, et see laiendamine kajastuks asjakohaselt andmekaitseasutuste täitemeetmetes. Eelkõige peaksid need vajaduse korral hõlmama koostööd vastutava või volitatud töötleja esindajaga ELis, kelle poole võib pöörduda lisaks väljaspool ELi asuvale ettevõttele või selle asemel. Seda põhimõtet tuleks rangemalt järgida, et saata selge sõnum selle kohta, et ELis asuva tegevuskoha puudumine ei vabasta välismaist ettevõtjat üldmäärusest tulenevatest kohustustest.

Õigusnormide lähendamise ja rahvusvahelise koostöö edendamine andmekaitse valdkonnas

Üldmäärus on juba kujunenud peamiseks võrdlusaluseks rahvusvahelisel tasandil ning see on andnud paljudele maailma riikidele tõuke kaaluda kaasaegsete privaatsusnormide kehtestamist. See üleilmne õigusnormide lähendamise suundumus on väga positiivne ning loob uusi võimalusi kaitsta üksikisikuid paremini ka ELis, kui nende andmeid edastatakse välismaale, ja lihtsustab samal ajal andmevooge.

Sellele suundumusele tuginedes on komisjon tõhustanud dialoogi paljudel kahepoolsetel, piirkondlikel ja mitmepoolsetel foorumitel, et edendada ülemaailmset privaatsuse austamise kultuuri ja erinevate privaatsuse tagamise süsteemide lähendamist. Komisjon on selles tegevuses tuginenud ja tugineb ka edaspidi Euroopa välisteenistuse ja kolmandates riikides asuvate ELi delegatsioonide võrgustiku ning rahvusvaheliste organisatsioonide juures tegutsevate missioonide aktiivsele toetusele. Muu hulgas on see võimaldanud suuremat ühtsust ja täiendavust ELi poliitika välismõõtme eri aspektide vahel alates kaubandusest kuni ELi ja Aafrika uue partnerluseni. Ka G20 ja G7 tunnustasid hiljuti andmekaitse olulisust usalduse loomisel digimajanduse ja andmevoogude vastu, eelkõige „usalduspõhise vaba andmevoo“ põhimõtte alusel, mille algselt pakkus G20 eesistujariigina välja Jaapan 59 . Andmestrateegias rõhutatakse komisjoni kavatsust jätkuvalt edendada andmete jagamist usaldusväärsete partneritega ning võidelda samal ajal kuritarvituste vastu, nagu (välismaiste) avaliku sektori asutuste ebaproportsionaalne juurdepääs isikuandmetele. 

Komisjon edendab andmekaitsestandardite ühtlustamist rahvusvahelisel tasandil, et hõlbustada andmevooge ja seega kaubandust, kuid võitleb ühtlasi otsustavalt digitaalse protektsionismi vastu, nagu hiljuti andmestrateegias rõhutati 60 . Seepärast on komisjon koostanud kaubanduslepingute jaoks andmevoogude ja andmekaitse erisätted, 61 mida arutatakse korrapäraselt nii kahepoolsetel (viimati Austraalia, Uus-Meremaa ja Ühendkuningriigiga) kui ka mitmepoolsetel läbirääkimistel (nt praegustel WTO e-kaubanduse läbirääkimistel) 62 . Need n-ö horisontaalsed sätted välistavad põhjendamatud piirangud (nt andmete sundlokaliseerimise nõuded), takistamata siiski osaliste õigusloomelist autonoomiat andmekaitse põhiõiguse tagamisel.

Kaubanduse ja andmekaitsenormide vahelist sünergiat tuleks täiendavalt uurida, et tagada rahvusvaheliste andmevoogude vaba ja turvaline liikumine, mis on äärmiselt oluline Euroopa ettevõtete, sealhulgas VKEde äritegevuse, konkurentsivõime ja kasvu jaoks üha enam digiteeritud majanduses.

Samuti on oluline tagada, et kui Euroopa turul tegutsevatele ettevõtetele esitatakse põhjendatud taotlus jagada andmeid õiguskaitse eesmärkidel, saavad nad seda teha õiguslikku konflikti sattumata ja austades täielikult ELi põhiõigusi. Selliste andmeedastuste täiustamiseks töötab komisjon koos oma rahvusvaheliste partneritega välja asjakohased õigusraamistikud, mis aitavad vältida õiguslikku konflikti ja toetavad tõhusaid koostöövorme, sätestades eelkõige vajalikud andmekaitsemeetmed ja toetades seega võitlust kuritegevuse vastu.

Ajal, mil privaatsusnõuete täitmise probleemid või turvaintsidendid võivad mõjutada üheaegselt paljusid inimesi eri riikides, tuleb veelgi tugevdada kohapealset koostööd Euroopa ja rahvusvaheliste reguleerivate asutuste vahel Eelkõige on selleks vaja välja töötada asjakohased õigusaktid tihedama koostöö ja vastastikuse abi vormide jaoks, mis võimaldavad ka vajalikku teabevahetust uurimiste eesmärgil. Seda silmas pidades loob komisjon nn andmekaitseakadeemia ehk platvormi, kus ELi ja välisriikide andmekaitseasutused jagavad teadmisi, kogemusi ja parimaid tavasid, et hõlbustada ja toetada koostööd andmekaitsenormide täitmist tagavate asutuste vahel.

3Edasine tegevus

Selleks et üldmääruse kogu potentsiaali ära kasutada, on vaja luua ühtlustatud lähenemisviis ja Euroopa ühine andmekaitsekultuur ning tõhustada ja ühtlustada piiriüleste juhtumite käsitlemist. Seda ootavad nii inimesed kui ka ettevõtjad ning see on ELi andmekaitsenormide reformi põhieesmärk. Sama oluline on kõigi üldmääruses sisalduvate vahendite täielik kasutamine, et tagada määruse tõhus kohaldamine nii üksikisikute kui ka ettevõtjate jaoks.

Komisjon jätkab kahepoolset teabevahetust liikmesriikidega üldmääruse rakendamise teemal ja kasutab vajaduse korral jätkuvalt kõiki enda käsutuses olevaid vahendeid, et toetada liikmesriike üldmäärusest tulenevate kohustuste täitmisel.

Kuna riiklike õigusaktide hindamine alles käib, üldmääruse kohaldamisest saadud praktiline kogemus on lühiajaline ja sektoripõhiste õigusaktide läbivaatamine on mitmes liikmesriigis pooleli, on liiga vara teha lõplikke järeldusi praeguse killustatuse taseme kohta. Võimalike õigusliku konflikti puhul, mis tuleneb sellest, et liikmesriigid rakendavad täpsustavaid sätteid, on kõigepealt vaja paremini mõista nende tagajärgi vastutavate ja volitatud töötlejate jaoks 63 .

Nende küsimustega tegelemisel aitab liikmesriikide kohtute ja Euroopa Kohtu asjakohane kohtupraktika kaasa andmekaitsenormide ühtsele tõlgendamisele. Riikide kohtud on hiljuti teinud otsuseid, millega tunnistatakse üldmääruses sätestatust lahknevad riikliku õiguse sätted õigustühiseks 64 .

Mis puutub rahvusvahelisse mõõtmesse, siis keskendub komisjon jätkuvalt andmekaitsenormide ühtlustamisele, et tagada andmevoogude turvalisus. See tähendab ka mitmesugust ettevalmistavat tööd, näiteks käimasolevaid reforme uute või ajakohastatud andmekaitseseaduste koostamiseks või „usalduspõhise vaba andmevoo“ põhimõtte edendamist mitmepoolsetel foorumitel. Lisaks hõlmab see erinevaid kaitse piisavuse alaseid dialooge ning andmeedastusvahendite uuendamist ja laiendamist lepingu tüüptingimuste ajakohastamise ja sertifitseerimismehhanismidele aluse panemise kaudu. Osa sellest tööst on ka rahvusvahelised läbirääkimised, näiteks piiriülese juurdepääsu üle elektroonilistele tõenditele, et tagada asjakohaste andmekaitsemeetmete kohaldamine andmete edastamisel. Osaledes andmekaitseasutuste vahelistes läbirääkimistes rahvusvahelise koostöö ja vastastikuse abi üle, püüab komisjon tagada, et õigusnormide ühtlustamine kajastuks ka praktilistes lahendustes.

Arvestades käesolevas teatises esitatud hinnangut üldmääruse kohaldamisele alates 2018. aasta maist, on allpool loetletud määruse kohaldamise toetamiseks vajalikud meetmed. Komisjon kontrollib nende rakendamist ja käsitleb neid ka oma 2024. aasta hindamisaruandes.

Õigusraamistiku rakendamine ja täiendamine

Liikmesriigid peaksid

-viima lõpule oma valdkondlike õigusaktide üldmäärusega vastavusse viimise ;

-kaaluma selliste täpsustavate sätete kasutamise piiramist, mis võivad põhjustada killustatust ja ohustada andmete vaba liikumist ELis;

-hindama, kas üldmäärust rakendavad siseriiklikud õigusaktid jäävad igas olukorras liikmesriigi õigusaktide jaoks sätestatud piiridesse.

Komisjon

-jätkab kahepoolset teabevahetust liikmesriikidega siseriiklike õigusaktide vastavuse kohta üldmäärusele, sealhulgas riiklike andmekaitseasutuste sõltumatuse ja ressursside kohta; kasutab kõiki enda käsutuses olevaid vahendeid, sealhulgas rikkumismenetlusi, et tagada liikmesriikide õigusaktide vastavus üldmäärusele;

-toetab jätkuvalt arvamuste ja riiklike tavade vahetamist liikmesriikide vahel küsimustes, mis vajavad täiendavat täpsustamist riiklikul tasandil, et vähendada ühtse turu killustatust (näiteks tervise ja teadusuuringutega seotud isikuandmete töötlemine), või küsimustes, mille puhul on vaja leida tasakaal muude õigustega, nagu sõnavabadus;

-toetab andmekaitseraamistiku järjepidevat kohaldamist uute tehnoloogiate suhtes, et edendada innovatsiooni ja tehnoloogia arengut;

-hõlbustab liikmesriikide ja komisjoni vahelist arutelu ja kogemuste vahetamist, kasutades selleks üldmäärust käsitlevat liikmesriikide eksperdirühma (mis loodi üleminekuetapil enne üldmääruse kohaldamise algust);

-uurib, kas täiendavaid kogemusi ja kohtupraktikat arvesse võttes oleks asjakohane teha ettepanekuid üldmääruse teatavate sätete võimalike sihipäraste muudatuste kohta – see puudutab eelkõige andmetöötluse dokumenteerimist VKEdes, kelle põhitegevus ei ole isikuandmete töötlemine (madal risk) 65 , ning nõusoleku andmise vanusepiiri võimalikku ühtlustamist infoühiskonna teenuste pakkumisel lastele.

Uue haldussüsteemi kogu potentsiaali täielikum kasutamine

Andmekaitsenõukogu ja andmekaitseasutused saaksid

-töötada välja andmekaitseasutusi ühendava tõhusa korra koostöö- ja järjepidevusmehhanismi toimimiseks, mis hõlmaks ka menetlusaspekte, toetudes selleks oma liikmete eksperditeadmistele ja kasutades rohkem oma sekretariaati;

-toetada üldmääruse kohaldamise ja täitmise tagamise ühtlustamist, kasutades selleks kõiki enda käsutuses olevaid vahendeid, sealhulgas selgitades täiendavalt üldmääruse põhimõisteid ning tagades, et riiklikud suunised oleksid täielikult kooskõlas andmekaitsenõukogu esitatud suunistega;

-julgustada kõigi üldmääruses sätestatud vahendite kasutamist, et tagada selle järjepidev kohaldamine;

-tihendada andmekaitseasutuste vahelist koostööd, näiteks viies läbi ühiseid uurimisi.

Komisjon

-kontrollib jätkuvalt riiklike andmekaitseasutuste tegelikku ja täielikku sõltumatust;

-toetab reguleerivate asutuste koostööd (eelkõige sellistes valdkondades nagu konkurents, elektrooniline side, võrgu- ja infosüsteemide turvalisus ning tarbijapoliitika);

-toetab andmekaitsenõukogus toimuvat arutelu riiklike andmekaitseasutuste kohaldatavate menetluste üle, et parandada koostööd piiriüleste juhtumite korral.

Liikmesriigid peavad

-eraldama andmekaitseasutustele oma ülesannete täitmiseks piisavad vahendid.

Sidusrühmade toetamine

Andmekaitsenõukogu ja andmekaitseasutused peaksid

-vastu võtta täiendavad praktilised ja kergesti mõistetavad suunised, mis annavad selgeid vastuseid ja väldivad mitmetimõistetavust üldmääruse kohaldamisega seotud küsimustes, nagu laste andmete töötlemine ja andmesubjektide õigused, sealhulgas õigus andmetega tutvuda ja neid kustutada, konsulteerides selle protsessi käigus sidusrühmadega;

-suunised läbi vaadata, kui uute kogemuste ja arengute, sealhulgas Euroopa Kohtu kohtupraktika valguses on vaja täiendavaid selgitusi;

-välja töötada praktilised vahendid, nagu ühtlustatud vormid andmetega seotud rikkumiste kohta ja töötlemistoimingute lihtsustatud dokumenteerimine, et aidata madala riskiga VKEdel oma kohustusi täita.

Komisjon

-koostab lepingu tüüptingimused nii rahvusvahelise andmeedastuse kui ka vastutava töötleja ja volitatud töötleja vaheliste suhete jaoks;

-pakub vahendeid, mis selgitavad/toetavad andmekaitsenormide kohaldamist laste suhtes; 66

-uurib kooskõlas andmestrateegiaga praktilisi vahendeid, millega hõlbustada andmete ülekandmise õiguse ulatuslikumat kasutamist üksikisikute poolt, näiteks andes neile suurema kontrolli selle üle, kes saab juurdepääsu masinloodud andmetele ja võib neid kasutada;

-toetab standardimist/sertifitseerimist eelkõige küberturvalisuse valdkonnas, tehes koostööd Euroopa Liidu Küberturvalisuse Ameti (ENISA), andmekaitseasutuste ja andmekaitsenõukoguga;

-kasutab vajaduse korral oma õigust paluda andmekaitsenõukogul esitada suuniseid ja arvamusi sidusrühmade jaoks olulistes küsimustes;

-koostab vajaduse korral suuniseid, võttes seejuures täielikult arvesse andmekaitsenõukogu rolli;

-toetab andmekaitseasutuste tegevust, mis lihtsustab VKEde üldmäärusest tulenevate kohustuste täitmist, pakkudes rahalist toetust eelkõige selliste praktiliste suuniste ja digivahendite koostamiseks, mida saab kasutada ka teistes liikmesriikides.

Innovatsiooni soodustamine

Komisjon

-jälgib üldmääruse kohaldamist uute tehnoloogiate suhtes, võttes arvesse ka võimalikke tehisintellekti ja andmestrateegiaga seotud tulevasi algatusi;

-julgustab (k.a rahalise toetuse abil) ELi tegevusjuhendite koostamist tervishoiu ja teadusuuringute valdkonnas;

-jälgib tähelepanelikult mobiilirakenduste arendamist ja kasutamist COVID-19 pandeemia kontekstis.

Andmekaitsenõukogu saaks

-välja anda suuniseid üldmääruse kohaldamise kohta teadusuuringute, tehisintellekti, plokiahela ja muude võimalike tehnoloogiliste arengute valdkonnas;

-suunised läbi vaadata, kui seoses tehnoloogia arenguga on vaja täiendavaid selgitusi.

Andmeedastusvahendite edasiarendamine

Komisjon

-jätkab kaitse piisavuse alast dialoogi huvitatud kolmandate riikidega kooskõlas oma 2017. aasta teatises „Isikuandmete vahetamine ja kaitsmine globaliseerunud maailmas“ esitatud strateegiaga, käsitledes võimaluse korral andmete edastamist õiguskaitseasutustele (isikuandmete kaitset õiguskaitse valdkonnas käsitleva direktiivi alusel) ja muudele ametiasutustele; see hõlmab kaitse piisavuse hindamise võimalikult kiiret lõpuleviimist Korea Vabariigiga;

-viib lõpule olemasolevate kaitse piisavuse otsuste hindamise ja esitab sellekohase aruande Euroopa Parlamendile ja nõukogule;

-viib lõpule töö lepingu tüüptingimuste uuendamiseks, mille eesmärk on tingimuste ajakohastamine vastavalt üldmäärusele, võttes arvesse kõiki asjakohaseid edastusviise ja eelkõige uudseid ettevõtlustavasid.

Andmekaitsenõukogu saaks

-täiendavalt selgitada rahvusvahelise andmeedastuse eeskirjade (V peatükk) ja üldmääruse territoriaalse kohaldamisala (artikkel 3) koostoimet;

-tagada nõuete täitmise tõhusa järelevalve selliste ettevõtjate suhtes, kes tegutsevad üldmääruse territoriaalsesse kohaldamisalasse kuuluvas kolmandas riigis, määrates vajaduse korral ametisse esindaja (artikkel 27);

-ühtlustada ja kiirendada siduvate kontsernisiseste eeskirjade hindamist ja heakskiitmist;

-viia lõpule töö andmeedastusvahenditena toimivate tegevusjuhendite ja sertifitseerimismehhanismide kavandamise, menetluste ja hindamiskriteeriumide alal.

Õigusnormide lähendamise ja rahvusvahelise koostöö edendamine

Komisjon

-toetab kolmandates riikides toimuvaid uusi või ajakohastatud andmekaitsenorme käsitlevaid reformiprotsesse, jagades kogemusi ja parimaid tavasid;

-teeb Aafrika partneritega koostööd õigusnormide lähendamiseks ja toetab järelevalveasutuste suutlikkuse suurendamist ELi ja Aafrika uue partnerluse digitaalse peatüki kohaselt;

-hindab võimalusi eraettevõtjate ja õiguskaitseasutuste vahelise koostöö lihtsustamiseks, pidades muu hulgas läbirääkimisi kahe- ja mitmepoolsete andmeedastusraamistike üle, milles sätestatakse välisriikide õiguskaitseasutuste juurdepääs elektroonilistele tõenditele viisil, mis hoiab ära õigusliku konflikti ja tagab samal ajal asjakohased andmekaitsemeetmed;

-teeb koostööd rahvusvaheliste ja piirkondlike organisatsioonidega, nagu OECD, ASEAN ja G20, et edendada rangetel andmekaitsenormidel põhinevaid usaldusväärseid andmevooge, muu hulgas usalduspõhise vaba andmevoo algatuse raames;

-loob nn andmekaitseakadeemia, et hõlbustada ja toetada teabevahetust Euroopa ja rahvusvaheliste reguleerivate asutuste vahel;

-edendab rahvusvahelist õiguskaitsekoostööd järelevalveasutuste vahel, pidades muu hulgas läbirääkimisi koostöö- ja vastastikuse abistamise lepingute sõlmimiseks.

(1)

 Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta, ELT L 119, 4.5.2016, lk 1–88. 

(2)

Pärast määruse inkorporeerimist Euroopa Majanduspiirkonna (EMP) lepingusse kohaldatakse seda ka Norra, Islandi ja Liechtensteini suhtes.

(3)

  https://ec.europa.eu/info/publications/white-paper-artificial-intelligence-european-approach-excellence-and-trust_et

(4)

  https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy

(5)

Kõnealune õigusraamistik hõlmab ka õiguskaitse valdkonna andmekaitse direktiivi (direktiiv 2016/680) ning ELi institutsioonide ja asutuste andmekaitsemäärust (määrus 2018/1725).

(6)

 Ettepanek: Euroopa Parlamendi ja nõukogu määrus, milles käsitletakse eraelu austamist ja isikuandmete kaitset elektroonilise side puhul ning millega tunnistatakse kehtetuks direktiiv 2002/58/EÜ (privaatsust ja elektroonilist sidet käsitlev määrus), COM(2017) 010 final – 2017/03 (COD).

(7)

Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiiv 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv), EÜT L 201, 31.7.2002, lk 0037–0047.

(8)

https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age_et

(9)

Komisjoni teatis Euroopa Parlamendile, Euroopa Ülemkogule, nõukogule, Euroopa Majandus- ja Sotsiaalkomiteele ning Regioonide Komiteele „Euroopa roheline kokkulepe“, COM(2019) 640 final.

(10)

 Komisjoni teatis Euroopa Parlamendile, nõukogule, Euroopa Majandus- ja Sotsiaalkomiteele ning Regioonide Komiteele „Euroopa andmestrateegia“, COM(2020) 66 final.

(11)

Need kümme valdkondlikku ühtset Euroopa andmeruumi on järgmised: tervishoid, töötlev tööstus, energeetika, liikuvus, põllumajandus, finantsandmed, avalik haldus, ühtne Euroopa andmeoskuste andmeruum, Euroopa rohelise kokkuleppe andmeruum ja Euroopa avatud teaduse pilv.

(12)

 Vt nt Cisco 2019. aasta tarbijaprivaatsuse uuring ( https://www.cisco.com/c/dam/en/us/products/collateral/security/cybersecurity-series-2019-cps.pdf ). Uuringu käigus küsitleti 2 600 tarbijat kogu maailmas ning see näitas, et märkimisväärne arv tarbijaid on juba võtnud meetmeid oma privaatsuse kaitsmiseks, näiteks vahetanud pakkujat või teenuseosutajat tema andmepoliitika või andmete jagamise tavade tõttu.

(13)

 ÜRO peasekretäri kõne Itaalia Senatis 18. detsembril 2019 (kättesaadav aadressil: https://www.un.org/press/en/2019/sgsm19916.doc.htm ).

(14)

Raamistik hõlmab lisaks isikuandmete kaitse üldmäärusele ka e-privaatsuse direktiivi (direktiiv 2002/58/EÜ), milles sätestatakse muu hulgas eeskirjad kasutaja lõppseadmes sisalduvale teabele juurdepääsu ja selle salvestamise kohta.

(15)

 Komisjoni teatis „Andmekaitsega seotud suunised COVID-19 pandeemia vastast võitlust toetavate mobiilirakenduste kohta“ 2020/C 124 I/01 – C/2020/2523 – OJ C 124I , 17.4.2020, lk 1–9. 16. aprillil 2020. aastal võtsid ELi liikmesriigid komisjoni toetusel vastu ELi meetmekogumi selle kohta, kuidas kasutada koroonaviiruse pandeemia olukorras mobiilirakendusi kontaktide jälgimiseks ja hoiatamiseks . See on osa ühisest kooskõlastatud lähenemisviisist, millega toetatakse liikumispiirangute järkjärgulist kaotamist. https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf .

(16)

 Komisjoni juhised liidu andmekaitseõiguse kohaldamise kohta valimiste kontekstis. Euroopa Komisjoni panus 19.–20. septembril 2018 Salzburgis toimuvasse riigijuhtide kohtumisse – COM/2018/638 final.

(17)

Nõukogu seisukoht ja tähelepanekud isikuandmete kaitse üldmääruse kohaldamise kohta:

https://data.consilium.europa.eu/doc/document/ST-14994-2019-REV-2/et/pdf

(18)

Euroopa Parlamendi kodanikuvabaduste, justiits- ja siseasjade komisjoni 21. veebruari 2020. aasta kiri volinik Reyndersile, viide: IPOL-COM-LIBE D (2020)6525.

(19)

 Andmekaitsenõukogu panus isikuandmete kaitse üldmääruse artiklis 97 sätestatud hindamisse, vastu võetud 18. veebruaril 2020: https://edpb.europa.eu/our-work-tools/our-documents/other/contribution-edpb-evaluation-gdpr-under-article-97_en

(20)

  https://edpb.europa.eu/individual-replies-data-protection-supervisory-authorities_et

(21)

Paljusid sidusrühmi hõlmavas eksperdirühmas, mille komisjon on loonud määruse hindamiseks, osalevad kodanikuühiskonna ja ettevõtjate esindajad, teadlased ning praktikud:

https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537

(22)

  https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12322-Report-on-the-application-of-the-General-Data-Protection-Regulation/feedback?p_id=7669437

(23)

Vt näiteks nõukogu seisukoht ja tähelepanekud ning andmekaitsenõukogu panus.

(24)

Vt komisjoni talituste töödokumendi punkt 2.1.

(25)

Kui ettevõtja töötleb andmeid piiriüleselt, on pädevaks andmekaitseasutuseks selle liikmesriigi andmekaitseasutus, kus asub ettevõtja peamine tegevuskoht.

(26)

Vt komisjoni talituste töödokumendi punkt 2.2.

(27)

Ajavahemikus 25. maist 2018 kuni 31. detsembrini 2019 esitati ühtse kontaktpunkti menetluse kaudu 141 otsuse eelnõud, millest 79 puhul langetati lõplik otsus.

(28)

Näiteks oleks saanud paremini ühtlustada üldmääruse artiklis 35 sätestatud andmekaitsealast mõjuhinnangut nõudvate töötlemistoimingute riiklikke loetelusid.

(29)

Vt komisjoni talituste töödokumendi punkt 2.2.

(30)

Eelkõige ettevõtjate ja kodanikuühiskonna esindajad. Vt komisjoni talituste töödokumendi punkt 2.3.

(31)

Need on lisaks 10 suunisele, mille artikli 29 töörühm võttis vastu enne, kui määrust kohaldama hakati, ja mille kiitis heaks andmekaitsenõukogu. Ajavahemikus 2020. aasta jaanuarist kuni mai lõpuni võttis andmekaitsenõukogu vastu neli täiendavat suunist ja ajakohastas ühte varasemat.

(32)

Neist arvamustest 42 võeti vastu üldmääruse artikli 64 alusel ja üks üldmääruse artikli 70 lõike 1 punkti s alusel ning selles käsitleti Jaapaniga seotud kaitse piisavuse otsust.

(33)

Komisjoni teatis Euroopa Parlamendile ja nõukogule „Andmekaitse-eeskirjad kui usalduse tagajad ELis ja väljaspool – ülevaade“ – COM(2019) 374 final, 24.7.2019.

(34)

Aastatel 2016–2019 suurenes EMP riikide andmekaitseasutuste töötajate arv kokku 42 % ja eelarve 49 %.

(35)

Vt komisjoni talituste töödokumendi punkt 2.4.

(36)

Viimati volinik Reyndersi 2020. aasta märtsi kirjaga.

(37)

Tuleb märkida, et Sloveenia riiklik andmekaitseasutus on loodud kehtiva riikliku andmekaitseseaduse alusel ja teostab järelevalvet üldmääruse kohaldamise üle selles liikmesriigis.

(38)

Vt komisjoni talituste töödokumendi punkt 3.1.

(39)

Vt komisjoni talituste töödokumendi punkt 3.2.

(40)

Põhiõiguste harta artikli 52 lõige 1.

(41)

Vt komisjoni talituste töödokumendi „Isikuandmete kaitse õiguse ühitamine sõna- ja teabevabadusega“ punkt 3.1.

(42)

Komisjon on algatanud uuringu „Liikmesriikide tervisealaste andmekaitsenormide hindamine seoses isikuandmete kaitse üldmääruse kohaldamisega“, Chafea/2018/Health/03, erileping nr 2019 70 01.

(43)

Vt Euroopa andmestrateegia lk 30 kirjeldatud meetmed.

(44)

Euroopa Liidu Põhiõiguste Amet (2020): põhiõiguste uuring 2019. Andmekaitse ja tehnoloogia: https://fra.europa.eu/en/publication/2020/fundamental-rights-survey-data-protection

(45)

Kavandatav direktiiv tarbijate kollektiivsete huvide kaitsmise esindushagide kohta (COM/2018/0184 final – 2018/089 (COD)) peaks pärast vastuvõtmist tugevdama esindushagide õigusraamistikku ka andmekaitse valdkonnas.

(46)

Sellisteks töövahenditeks võivad olla nt nõusoleku haldamise vahendid ja isikuandmete haldamise rakendused.

(47)

  https://ec.europa.eu/commission/presscorner/detail/et/ip_20_962  

(48)

Euroopa Parlamendi ja nõukogu 14. novembri 2018. aasta määrus (EL) 2018/1807, mis käsitleb isikustamata andmete Euroopa Liidus vaba liikumise raamistikku (ELT L 303, 28.11.2018, lk 59–68).

(49)

Vt komisjoni talituste töödokumendi punkt 5. Vt ka dokumenti „Suunised määruse kohta, mis käsitleb isikustamata andmete Euroopa Liidus vaba liikumise raamistikku“ (COM/2019/250 final), milles selgitatakse praktilisel viisil segaandmekogude, st nii isiku- kui ka isikustamata andmeid sisaldavate kogude töötlemisel järgitavaid õigusnorme ettevõtete, sealhulgas VKEde jaoks.

(50)

 Komisjon andis rahalist toetust kolmes voorus kokku 5 miljoni euro ulatuses. Kahe viimase toetusvooru eesmärk oli konkreetselt toetada riiklike andmekaitseasutuste tegevust üksikisikute ning VKEde teavitamisel: https://ec.europa.eu/info/law/law-topic/data-protection/eu-data-protection-rules/eu-funding-supporting-implementation-gdpr_en . 2020. aastal on kavas eraldada veel 1 miljon eurot.

(51)

Üldmääruse artikkel 28.

(52)

Üldmääruse artikkel 46.

(53)

Valge raamat tehisintellekti kohta: Euroopa käsitus tipptasemel ja usaldusväärsest tehnoloogiast (COM/2020/65 final).

(54)

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiiv (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT L 119, 4.5.2016, lk 89–131).

(55)

Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT L 281, 23.11.1995, lk 31−50).

(56)

Need riigid ja territooriumid on: Andorra, Argentina, Kanada, Fääri saared, Guernsey, Jersey, Mani saar, Iisrael, Uus-Meremaa, Šveits ja Uruguay.

(57)

Vt kohtuasi C-311/18 Data Protection Commissioner vs. Facebook Ireland Limited, Maximillian Schrems („Schrems II“), mis käsitleb eelotsusetaotlust nn lepingu tüüptingimuste kohta. Kohus võib siiski täiendavalt selgitada ka teatavaid kaitse piisavuse nõuete elemente.

(58)

Vt kohtuasi Schrems II.

(59)

 Vt näiteks G20 juhtide Osaka deklaratsioon: https://www.consilium.europa.eu/media/40124/final_g20_osaka_leaders_declaration.pdf

(60)

Andmestrateegia lk 23.

(61)

     Vt piiriülese andmeedastuse ja isikuandmete kaitse horisontaalsätted (ELi kaubandus- ja investeerimislepingutes): https://trade.ec.europa.eu/doclib/docs/2018/may/tradoc_156884.pdf  

(62)

 25. jaanuaril 2019 Davosis vastu võetud ministrite ühisavalduse järel osaleb mõnepoolsetel läbirääkimistel e-kaubanduse üle 84 WTO liiget. Osana sellest protsessist esitas EL 3. mail 2019 oma ettepaneku e-kaubanduse tulevasi eeskirju ja kohustusi käsitleva teksti kohta. Ettepanek sisaldab horisontaalseid sätteid andmevoogude ja isikuandmete kaitse kohta: https://trade.ec.europa.eu/doclib/docs/2019/may/tradoc_157880.pdf .

(63)

Vt nõukogu seisukoht ja tähelepanekud isikuandmete kaitse üldmääruse kohaldamise kohta.

(64)

Selliseid otsuseid on tehtud Saksamaal, Hispaanias ja Austrias, et kaotada riiklikes õigusaktides tekkinud erinevused.

(65)

Isikuandmete kaitse üldmääruse artikli 30 lõige 5.

(66)

Vanuse kindlaksmääramise vahendeid käsitlev komisjoni projekt – katseprojekti eesmärk on luua laste kaitsmiseks koostalitlusvõimeline tehniline taristu, mis hõlmab vanusekontrolli ja vanema nõusolekut. See peaks toetama selliste lastekaitsemehhanismide rakendamist, mis tuginevad kehtivates ELi õigusaktides sisalduvatele sätetele laste kaitsmise kohta internetis.