17.11.2009   

ET

Euroopa Liidu Teataja

C 276/1


Euroopa Andmekaitseinspektori arvamus, mis käsitleb nõukogu määruse ettepanekut, millega muudetakse määrust (EÜ) nr 881/2002, millega kehtestatakse teatavate Osama bin Ladeni, Al-Qaida võrgu ja Talibaniga seotud isikute ja üksuste vastu suunatud eripiirangud

2009/C 276/01

EUROOPA ANDMEKAITSEINSPEKTOR,

võttes arvesse Euroopa Ühenduse asutamislepingut, eriti selle artiklit 286,

võttes arvesse Euroopa Liidu põhiõiguste hartat, eriti selle artiklit 8,

võttes arvesse Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta,

võttes arvesse Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta määrust (EÜ) nr 45/2001 üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta, eriti selle artiklit 41,

võttes arvesse Euroopa Andmekaitseinspektorile 22. aprillil 2009. aastal saadetud taotlust arvamuse esitamiseks kooskõlas määruse (EÜ) nr 45/2001 artikli 28 lõikega 2,

ON VASTU VÕTNUD JÄRGMISE ARVAMUSE:

I.   SISSEJUHATUS

1.

22. aprillil 2009 võttis komisjon vastu nõukogu määruse ettepaneku, millega muudetakse määrust (EÜ) nr 881/2002, millega kehtestatakse teatavate Osama bin Ladeni, Al-Qaida võrgu ja Talibaniga seotud isikute ja üksuste vastu suunatud eripiirangud (edaspidi „ettepanek”). Samal päeval saatis komisjon ettepaneku kooskõlas määruse (EÜ) nr 45/2001 artikli 28 lõikega 2 Euroopa Andmekaitseinspektorile konsulteerimiseks. Euroopa Andmekaitseinspektor tuletab meelde, et esitas 9. märtsil 2009 mitteametlikud märkused ettepaneku eelnõu kohta ja märgib, et ettepanekus on neid märkusi arvesse võetud.

2.

Euroopa Andmekaitseinspektor tervitab nimetatud konsulteerimist ja seda, et kõnealusele konsulteerimisele viidatakse vastavalt määrusele (EÜ) nr 45/2001 ka ettepaneku preambulis sarnaselt mitmete teiste õigusaktidega, mille puhul on Euroopa Andmekaitseinspektoriga konsulteeritud.

3.

Ettepanekuga muudetakse määrust (EÜ) nr 881/2002, ühte ühenduse õigusakti, mis võeti vastu eesmärgiga võidelda terrorismi vastu piiravate meetmete (eelkõige varade külmutamine) kehtestamise abil füüsiliste ja juriidiliste isikute suhtes, keda kahtlustatakse seotuses terroristlike organisatsioonidega. Eelkõige on ettepaneku eesmärk võtta arvesse Euroopa Kohtu praktika hiljutisi arenguid, eelkõige seoses Kadi kohtuasjaga, (1) kehtestades „uued menetlused, milles austatakse põhiõigusi, mida täidetakse ÜRO loetelusse lisatud isikute ja üksuste suhtes” (seletuskirja punkt 4).

II.   ÕIGUSLIK RAAMISTIK

4.

Kui oma otsustes kutsuti kohust üles keskenduma just kaitse kui põhiõiguse austamisele ja eelkõige õigusele olla ära kuulatud, on kohtupraktika antud valdkonnas laiema mõjuga ja selle võib kokku võtta järgmiselt: ELi põhiõiguste kaitse nõudeid tuleks järgida vaatamata sellele, kas piiravad meetmed on vastu võetud ELi tasandil või lähtuvad rahvusvahelistest organisatsioonidest, näiteks ÜRO (2).

5.

ELi põhiõigused hõlmavad ka õigust isikuandmete kaitsele, mida Euroopa Kohus on tunnustanud ühe Euroopa Liidu lepingu artikli 6 lõikest 2 tuleneva põhimõttena ja mida kinnitab ka Euroopa Liidu põhiõiguste harta artikkel 8.

6.

Seda silmas pidades tervitab Euroopa Andmekaitseinspektor mitte ainult Euroopa Kohtu hiljutisi otsuseid, vaid ka komisjoni kavatsust nendega arvestada, täiustades loetelu koostamise korda ja võttes selgesõnaliselt arvesse õigust isikuandmete kaitsele. Euroopa Andmekaitseinspektor, tunnustades täielikult isikuandmete töötlemise ja vahetamise abil terrorismi vastu võitlemise eesmärki, usub kindlalt, et isikuandmete kaitse on otsustava tähtsusega tegur komisjoni poolt kehtestatud piiravate meetmete õiguspärasuse ja tõhususe tagamisel. Need meetmed põhinevad isikuandmete töötlemisel, mille suhtes tuleb iseenesest – sõltumata varade külmutamisest – kohaldada andmekaitse-eeskirju ja -tagatisi. Seetõttu on äärmiselt oluline luua selgus ja õiguskindlus loetellu kantud isikute isikuandmete töötlemisel kohaldatavate eeskirjade suhtes, nagu on mainitud seletuskirja punktis 8.

7.

See on veelgi olulisem pidades silmas Lissaboni lepingu jõustumist, mis lisaks ELi põhiõiguste hartale siduva mõju omistamisele sätestab ELi toimimise lepingu artikliga 16 ja ELi lepingu artikliga 39 ka vajaduse andmekaitse-eeskirjade ja -tagatiste järele kõikides Euroopa Liidu tegevusvaldkondades. Lisaks saab Euroopa Kohus täieliku pädevuse isegi ühise välis- ja julgeolekupoliitika valdkonnas, et hinnata füüsiliste või juriidiliste isikute suhtes piiravaid meetmeid sätestavate otsuste seaduslikkust, eelkõige põhiõiguste austamise osas (ELi toimimise lepingu artikkel 275).

III.   ETTEPANEKU ANALÜÜS

III.1.   Kohaldatavad andmekaitsealased õigusnormid ja põhimõtted

8.

Euroopa Andmekaitseinspektor tervitab preambulis sisalduvaid viiteid vajadusele kohaldada määrust kooskõlas põhiõigusega isikuandmete kaitsele (põhjendus 10), samuti vajadusele asjakohaste eriliste kaitsemeetmete järele, kui komisjon töötleb andmeid, mis on seotud loetellu kantud füüsiliste isikute toimepandud kuritegude ja kohtulike karistuste või nimetatud isikutega seotud turvameetmetega.

9.

Euroopa Andmekaitseinspektor tervitab ka seda, et ettepaneku põhjenduses 12 tunnustatakse selgesõnaliselt andmekaitse-eeskirjade, eelkõige määruse (EÜ) nr 45/2001 kohaldamist isikuandmete töötlemisel selles valdkonnas. Määruse (EÜ) nr 45/2001 artiklis 3 sätestatakse, et määrust kohaldatakse „kõikides ühenduse institutsioonides ja asutustes toimuva isikuandmete töötlemise suhtes, kui töötlemise eesmärgiks on täielikult või osaliselt ühenduse õigusaktidega hõlmatud toimingute teostamine”. Seda silmas pidades põhineb määrus Euroopa Ühenduse asutamislepingul, isegi kui määrus (EÜ) nr 881/2002 on seotud ühise seisukohaga 2002/402/ÜVJP ja ÜRO tegevusega selles valdkonnas.

10.

Üldise märkuse korras tahaks Euroopa Andmekaitseinspektor rõhutada, et määrusega (EÜ) nr 45/2001 kehtestatakse vastutavatele töötlejatele mitmeid kohustusi (muu hulgas seoses andmete kvaliteediga, töötlemise seaduslikkusega, teatamisega, töötlemise turvalisusega) ja antakse andmesubjektidele õigusi (muu hulgas juurdepääs andmetele, nende parandamine, blokeerimine, kustutamine, kolmandatele isikutele teatavaks tegemine, õiguskaitsevahendid), mida ei kohaldata vaid artiklis 20 sätestatud erandite ja piirangute puhul. Igal juhul peaks andmekaitset käsitleva põhiõiguse sellise piiramise puhul kinni pidama rangest proportsionaalsuse nõudest, st sellised piirangud peaksid nii oma sisu kui ka kohaldamise aja poolest olema viidud vastavusse sellega, mis on vajalik kaalul oleva avaliku huvi järgimiseks, nagu kinnitab Euroopa Kohtu kohtupraktika ka piiravate meetmete valdkonnas. See on veelgi olulisem, kuna nimetatud õigused ja kohustused, koos vajadusega sõltumatu järelevalve järele isikuandmete töötlemisel, moodustavad andmekaitset käsitleva põhiõiguse põhiosa, nagu on selgesõnaliselt kinnitatud ELi põhiõiguste harta artiklis 8.

11.

Enamgi veel, tervitades asjaolu, et ettepanek käsitleb otseselt või kaudselt mõningaid neid kohustusi või õigusi, sooviks Euroopa Andmekaitseinspektor rõhutada, et ettepanekut ei saa tõlgendada nii, et see piirab ettepanekus mainimata kohustuste ja andmesubjektide õiguste kohaldatavust või välistab selle.

12.

Sellest tulenevalt analüüsib Euroopa Andmekaitseinspektor järgmistes punktides ettepaneku sätteid kõige asjakohasemate andmekaitse põhimõtete valguses, andes soovitusi parandusteks, samuti suuniseid selle kohta, kuidas käsitleda mõningaid muid küsimusi, mida praegu käsitletud ei ole, kuid mis tõenäoliselt kerkivad seoses andmekaitse põhimõtete kohaldamisega. Mõningatel juhtudel võib olla soovitav esitada täiendavaid üksikasju andmekaitsealaste kohustuste ja õiguste kohaldamise kohta piiravate meetmete valdkonnas.

13.

Need märkused saavad üksnes kajastada isikuandmete kaitset otsustava tähtsusega tegurina komisjoni poolt kehtestatud piiravate meetmete õiguspärasuse ja tõhususe tagamisel, ning need ei käsitle ega mõjuta muid sisulisi küsimusi, mis võivad olla seotud muude eeskirjade kohaldamisest tuleneva loetellu kandmisega.

III.2.   Artiklid 7a ja 7c: teave asjaomastele isikutele ja loetelust kustutamine

14.

Artiklis 7a käsitletakse füüsiliste või juriidiliste isikute loetellu kandmise ja sealt kustutamise menetlusi ning artiklis 7c sätestatakse eraldi kord, mida kohaldatakse nende isikute puhul, kes on kantud loetellu enne 3. septembrit 2008.

15.

Euroopa Andmekaitseinspektor tervitab neid sätteid niivõrd kui need parandavad põhiõiguste austamist, andes asjaomastele isikutele vahendid, mille abil saada teavet nimekirjadesse kandmise põhjuste kohta, samuti võimaluse avaldada oma arvamust antud küsimuses. Lisaks sätestatakse lõikes 4, et loetelust kustutamine ÜRO tasandil toob automaatselt kaasa loetelust kustutamise ELi tasandil, mis on kooskõlas andmekaitse põhimõttega, et isikuandmeid tuleks ajakohastada, nagu on sätestatud määruse (EÜ) nr 45/2001 artikli 4 lõike 1 punktis d.

16.

Siiski märgib Euroopa Andmekaitseinspektor, et need sätted ei välista määrusest (EÜ) nr 45/2001 tulenevaid sarnaseid kohustusi, näiteks kohustus anda andmesubjektile teavet vastavalt artiklile 11 ja eelkõige artiklile 12 (mis käsitlevad teavet, mida edastatakse, kui andmed ei ole saadud andmesubjektilt), artikli 14 kohane kohustus parandada viivitamatult ebatäpsed või mittetäielikud isikuandmed ja artiklist 17 tulenev kohustus teatada andmete parandamisest või kustutamisest (nagu näiteks loetelust kustutamise puhul) kolmandatele isikutele, kellele andmed on avalikustatud, kui see on võimalik ega nõua ülemääraseid jõupingutusi.

17.

Nagu punktis 10 juba mainitud, võib määruse (EÜ) nr 45/2001 artikli 20 alusel kehtestada nende sätete suhtes vajalikke erandeid ja piiranguid. Näiteks tuleb asjaomastele isikutele teabe edastamisega viivitada, kui on vaja säilitada selle isiku loetellu kandmise ja tema varade külmutamise otsuse „üllatuslikkust”. Selles kontekstis soovitab Euroopa Andmekaitseinspektor seadusandjal kaaluda, kas ettepanekus tuleks selgesõnaliselt kirjeldada andmekaitse põhimõtetest tehtavaid erandeid, mis võivad olla vajalikud, näiteks vajadus artikli 12 kohane teabe esitamine edasi lükata seniks, kuni esialgne otsus on tehtud.

III.3.   Artikkel 7d: andmesubjektide õigus tutvuda andmetega, järelevalveülesanded ja õiguskaitsevahendid

18.

Kavandatud artikli 7d esimeses lõikes on sätestatud, et kui ÜRO või mõni kolmas riik esitab salastatud teavet, käsitleb komisjon sellist teavet vastavalt komisjonisisestele turvasätetele (otsus 2001/844/EÜ, ESTÜ, Euratom (3) ning vajaduse korral ELi ja teavet esitava riigi vahelisele salastatud teabe turvalisust käsitlevale lepingule. Teises lõikes on täpsustatud, et dokumente, mille salastatuse aste vastab tasemele „EU Top Secret”, „EU Secret” või „EU Confidential” võib avalikustada ainult andmete esitaja nõusolekul.

19.

Nimetatud artikli puhul tõstatub kaks küsimust, millest esimene on seotud mõjuga, mida avaldab määruse (EÜ) nr 45/2001 artiklis 13 sätestatud andmesubjekti õigus tutvuda oma isikuandmetega, ja teine on seotud Euroopa Andmekaitseinspektori ning Euroopa Kohtu võimalusega tutvuda salastatud teabes sisalduvate isikuandmetega, et nad saaksid oma ülesandeid tulemuslikult täita.

Andmesubjekti õigus tutvuda salastatud dokumentides sisalduvate isikuandmetega

20.

Viidatud julgeolekueeskirjadega, samuti ELi ja teavet esitava riigi vaheliste lepingutega reguleeritakse salastatud teabele juurdepääsu korda. Juurdepääsu sellisele teabele võivad saada üksnes teadmisvajadusega isikud, mis tähendab, et juurepääs on neile vajalik mingi funktsiooni või ülesande täitmiseks (4). Kavandatud artikli 7d lõikes 2 nimetatud salastatuse tasemetega teabe puhul peavad need isikud olema läbinud ka julgeolekukontrolli.

21.

Komisjonisiseseid julgeolekueeskirju tuleb tõlgendada koostoimes määrusega (EÜ) nr 1049/2001 üldsuse juurdepääsu kohta Euroopa Parlamendi, nõukogu ja komisjoni dokumentidele, milles täpsustatakse igaühe õigust omada juurdepääsu kolme suurima ELi institutsiooni teabele. Nimetatud määruse artiklis 9 käsitletakse tundliku sisuga dokumentide käitlemist ja viidatakse kolmele eespool nimetatud salastatuse kategooriale. Lõikes 3 märgitakse, et tundliku sisuga dokumendid avalikustatakse ainult nende nõusolekul, kellelt dokument pärineb; sama põhimõte sisaldub ka kavandatud määruse artikli 7d lõikes 2.

22.

Komisjonisisestes julgeolekueeskirjades arvestatakse üldsuse õigusega pääseda juurde dokumentidele. Siiski ei kehti see konkreetsete juurdepääsuõiguste puhul, näiteks andmesubjektide õigus pääseda juurde oma isikuandmetele määruse (EÜ) nr 45/2001 artikli 13 alusel. Sisejulgeolekueeskirjades ei ole andmekaitse-eeskirjadele või andmesubjektide õigustele otseselt viidatud. Olukorda, kus andmesubjekt taotleb juurdepääsu salastatud dokumendis sisalduvatele isikuandmetele, komisjonisisestes julgeolekueeskirjades ei käsitleta. Sama kehtib üksikriikidega sõlmitud salastatud teabe turvalisust käsitlevate lepingute kohta.

23.

Määruse (EÜ) nr 45/2001 artikkel 13 annab andmesubjektile õiguse piiranguteta ning igal ajal kolme kuu jooksul alates taotluse esitamisest saada vastutavalt töötlejalt tasuta teavet, muu hulgas arusaadaval kujul teavet töödeldavate andmete kohta (vt punkt c).

24.

Euroopa Andmekaitseinspektor mõistab täielikult, et seoses teatavate isikute ja üksuste vastu suunatud piiravate meetmetega, mis teenivad terrorismikuritegude ennetamise eesmärki, on olemas põhjendatud põhjused andmesubjektile salastatud (isikliku) teabe avalikustamisest keeldumiseks. Selle piirangu põhjendus leidub määruse (EÜ) nr 45/2001 artiklis 20, nagu juba mainitud punktis 10. Siiski soovib Euroopa Andmekaitseinspektor osutada selles artiklis sisaldunud vajalikkuse nõudele ja määruse (EÜ) nr 45/2001 artikli 20 lõigetega 3 ja 4 ette nähtud menetlusele.

25.

Artiklis 20 nõutakse, et mainitud sätete piiramine kujutaks endast vajalikku meedet ühe nimetatud eesmärgi kindlustamiseks. Kuna komisjonisisestes julgeolekueeskirjades, samuti üksikriikidega sõlmitud lepingutes ei käsitleta andmesubjekti juurdepääsu küsimust ja kavandatud artikli 7d lõikes 2 sisaldub tingimusteta kohustus saada enne salastatud dokumendi avalikustamist andmete esitaja nõusolek, ei ole tagatud, et juurdepääsuõiguse piiramine leiab aset ainult siis, kui see on vajalik. Sättes ei nähta ette ühtegi sisulist kriteeriumi ja see jätab andmete esitajale ainupädevuse teabe suhtes, mis hõlmab osapooli, kelle suhtes ei kohaldata ELi õigust ja ELi põhiõiguste kaitse nõudeid.

26.

Artikli 20 lõiked 3 ja 4 sisaldavad piirangu kohaldamisega seotud eeskirju. Vastavalt lõikele 3 peaks asjaomane institutsioon teavitama andmesubjekti piirangu kehtestamise peamistest põhjustest ning tema õigusest pöörduda Euroopa Andmekaitseinspektori poole. Lõige 4 sisaldab täiendavat nõuet, mis on seotud konkreetselt juurdepääsuõiguse piiramisega. Selles märgitakse, et kaebuse uurimisel eelneva lõike alusel teeb Euroopa Andmekaitseinspektor andmesubjektile teatavaks üksnes asjaolu, kas andmeid on töödeldud nõuetekohaselt, ning kui mitte, siis kas vajalikud parandused on tehtud (5). Kõnealune määruse (EÜ) nr 881/2002 muutmise ettepanek peaks tagama, et neid eeskirju saaks järgida. See lõige on tihedalt seotud teise kavandatud artiklis 7d tõstatatud küsimusega.

Euroopa Andmekaitseinspektori juurdepääs salastatud teabele

27.

Artikli 7d lõikes 2 sisalduv tingimus, et salastatud teavet võib avalikustada ainult andmete esitaja nõusolekul, võib Euroopa Andmekaitseinspektori poolt teostatavale sõltumatule järelevalvele samuti mõju avaldada. Määruse (EÜ) nr 45/2001 kohaldamine toob kaasa selle, et isikuandmete töötlemise suhtes võib kohaldada määruse artiklis 32 sätestatud õiguskaitsevahendeid, samuti määruse artiklis 47 sätestatud Euroopa Andmekaitseinspektori täidesaatvat pädevust. Eelkõige annab viimati nimetatud artikkel Euroopa Andmekaitseinspektorile õiguse saada vastutavalt töötlejalt või ühenduse institutsioonilt või asutuselt juurdepääs kõikidele tema uurimisteks vajalikele isikuandmetele ja kogu teabele (vt määruse (EÜ) nr 45/2001 artikli 47 lõike 2 punkt b). On võimalik, et kõnealuse ettepaneku kontekstis võib Euroopa Andmekaitseinspektor seda õigust kasutada, et täita oma ülesannet vastavalt määruse (EÜ) nr 45/2001 artikli 20 lõikele 4. Siiski muudaks artikli 7d praegune sõnastus selle õiguse tulemusliku kasutamise sõltuvaks andmete esitaja ainupädevusest.

28.

Artikli 7d tekst selle praegusel kujul oleks seega vastuolus määruses (EÜ) nr 45/2001 sisalduvate eeskirjadega. Sellega seoses soovib Euroopa Andmekaitseinspektor rõhutada, et määruse (EÜ) nr 45/2001 artikliga 20 ei nähta ette artiklis 46 ja 47 sisalduvate Euroopa Andmekaitseinspektori kohustuste ja pädevuse piiramist.

29.

Lisaks sõltumatute andmekaitseasutuste poolt pakutavatele õiguskaitsevahenditele sätestatakse andmekaitsealastes õigusaktides õigus õiguskaitsele Euroopa Kohtus (vt direktiivi 95/46/EÜ artikkel 22 ja määruse (EÜ) nr 45/2001 artikkel 32). Seetõttu soovib Euroopa Andmekaitseinspektor osutada asjaolule, et artikli 7d lõike 2 praegune tekst võib samuti mõjutada selle kohtuliku läbivaatuse tulemuslikkust, avaldades mõju Euroopa Kohtu võimele kaaluda, kas on loodud õiglane tasakaal rahvusvahelise terrorismi vastu võitlemise vajaduse ja põhiõiguste kaitse vahel. Nagu kinnitas Esimese Astme Kohus oma 4. detsembri 2008. aasta otsuses, võib juurdepääs salastatud teabele olla vajalik, et võimaldada kohtul seda teha (6).

Soovitatud muudatused

30.

Eespool öeldut silmas pidades kutsub Euroopa Andmekaitseinspektor seadusandjat üles muutma artiklit 7d sel viisil, et tagatud oleks 1) määruse (EÜ) nr 45/2001 artikli 20 vajalikkuse nõudest kinni pidamine juhul, kui komisjon keelab andmesubjektile juurdepääsu tema isikuandmetele, mis sisalduvad salastatud dokumentides, 2) artikli 20 lõigetes 3 ja 4 sätestatud eeskirjade järgimise kindlustamine ja 3) artiklis 47 sisalduva Euroopa Andmekaitseinspektori pädevuse täielik austamine.

31.

Selle saavutamiseks tuleks kõigepealt piirata artikli 7d lõike 2 kohaldamisala, asendades sõna „avalikustada” sõnadega „avalikult avaldada”. Selline muudatus oleks ka õiguslikult järjepidev, sest nagu eespool selgitatud, on säte võetud määruse (EÜ) nr 1049/2001 artikli 9 lõikest 3, mis käsitleb ainult üldsuse juurdepääsu dokumentidele. Soovitatud muudatusega lahendataks suures osas eespool käsitletud probleemid: andmesubjektide juurdepääsuõiguse piiramine ei ole enam andmeid esitava osapoole ainupädevuses, samuti ei oleks piiratud Euroopa Andmekaitseinspektori ja Euroopa Kohtu võimalus sellise teabega oma ülesannete täitmiseks tutvuda.

32.

Kuid seni kuni komisjoni sise-eeskirjades ja lepingutes teabeturbe kohta andmesubjekti juurdepääsu küsimust selgesõnaliselt ei käsitleta ega tagata, et määruse (EÜ) nr 45/2001 artiklis 20 sätestatud vajalikkuse nõue on täidetud, jääb probleem lahendamata. Kui Euroopa Andmekaitseinspektor (ja Euroopa Kohus) võivad omada juurdepääsu teadmisvajaduse põhimõtte alusel ja pärast seda, kui reaalselt teabega tegelevad isikud on läbinud julgeolekukontrolli, on kaheldav, kas see on võimalik ka andmesubjekti puhul. Euroopa Andmekaitseinspektor kutsub seetõttu üles tagama, et õigust tutvuda salastatud dokumentides sisalduva isikliku teabega piiratakse ainult vajaduse korral.

III.4.   Artikkel 7e: töötlemise õiguslik alus, töödeldud andmete kategooriad, vastutava töötleja nimetamine

33.

Artiklis 7e määratletakse küllaltki üksikasjalikult nii komisjoni ülesanded isikuandmete töötlemisel (lõige 1) kui ka töödeldavad isikuandmed (lõiked 2–4). Artikli lõikega 5 nimetatakse komisjoni üksus määruse (EÜ) nr 45/2001 artikli 2d tähenduses „vastutavaks töötlejaks”.

34.

Euroopa Andmekaitseinspektor tervitab artikli 7e esimest lõiget sel määral, mil selle eesmärgiks on luua õiguslik alus isikuandmete töötlemiseks vastavalt määruse (EÜ) nr 45/2001 artiklile 5. Loomulikult peaksid kõik isikuandmetega seotud töötlemistoimingud põhinema mõnel selles artiklis loetletud õiguslikul alusel. Seda silmas pidades nendib Euroopa Andmekaitseinspektor, et punktid a) „vajalik üldistes huvides oleva ülesande täitmiseks (…)” ja b) „vajalik sellise lepingu täitmiseks, mille osapool on andmesubjekt” võivad piiravate meetmete kontekstis olla eriti asjakohased.

35.

Siiski tuletab Euroopa Andmekaitseinspektor meelde, et vastavalt määruse (EÜ) nr 45/2001 artiklile 4 peaks isikuandmed olema „piisavad, asjakohased ega ületa selle otstarbe piire, mille tarvis neid kogutakse” ja et seetõttu peaks komisjon tagama, et kogutud isikuandmed on vajalikud määruse eelnõuga kavandatud piiravate meetmete kehtestamiseks.

36.

Seda silmas pidades soovitab Euroopa Andmekaitseinspektor muuta artikli 7e lõiget 1 järgmiselt: „Käesoleva määruse kohaste ülesannete täitmiseks töötleb komisjon vajalikke isikuandmeid”.

37.

Lisaks tuleks hoolikalt kontrollida seoses piiravate meetmetega kasutatud andmete – sealhulgas sellised elemendid nagu üldised identifikaatorid (nt maksukohustuslase ja sotsiaalkindlustusnumber) – kategooriate asjakohasust, nii üldiselt kui juhtumipõhiselt, eriti siis, kui see teave võib sisaldada andmete erikategooriaid ja vajada erilisi kaitsemeetmeid.

38.

Sellest tulenevalt tervitab Euroopa Andmekaitseinspektor lõikes 3 sätestatud põhimõtet, mille kohaselt I lisa võib hõlmata füüsilise isiku vanemate ees- ja perekonnanimesid, kui need on teatavatel juhtudel vajalikud ainult kõnealuse loetellu kantud füüsilise isiku tuvastamiseks. See säte kajastab hästi andmekaitse eesmärkide suhtes kohaldatavate piirangute põhimõtet, mida tuleks asjakohaselt täpsustada ja kohaldada kogu artikli suhtes. Seetõttu soovitab Euroopa Andmekaitseinspektor seda põhimõtet selgesõnaliselt kohaldada kõikide andmete kategooriate puhul, muutes artikli 7e lõiget 2 järgmiselt: „I lisa peaks hõlmama ainult teavet, mis on vajalik loetellu kantud füüsilise isiku tuvastamiseks ja igal juhul mitte rohkem kui järgmist teavet”.

39.

Euroopa Andmekaitseinspektor tervitab samuti lõiget 4, millega sätestatakse, et isikuandmete erikategooriaid, näiteks kuritegusid, kohtulikke karistusi või turvameetmeid võib töödelda ainult erijuhtudel, tingimusel, et järgitakse asjakohaseid erilisi kaitsemeetmeid ja sellist teavet ei avalikustata ega vahetata.

40.

Lõike 5 puhul nendib Euroopa Andmekaitseinspektor, et määruse (EÜ) nr 881/2002 II lisas sätestatud vastutava töötleja nimetamine suurendab vastutava töötleja nähtavust ja tema rolli „kontaktisikuna”, lihtsustades seega määrusest (EÜ) nr 45/2001 tulenevate andmesubjektide õiguste kasutamist. Siiski tuletab Euroopa Andmekaitseinspektor meelde, et vaja on ka kindlustada, et vastutaval töötlejal oleks võimalik tulemuslikult tagada mitte ainult andmesubjektide õiguste kasutamine, vaid ka kõikide muude määrusest (EÜ) nr 45/2001 tulenevate kohustuste täitmine. Seda silmas pidades võib komisjon kaaluda ettepaneku selle punkti täpsustamist, näiteks lisades lõikele 5 selgesõnalise viite vastutava töötleja vajadusele tagada määrusest (EÜ) nr 45/2001 tulenevate kohustuste täitmine.

III.5.   Isikuandmete edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele

41.

Oluline küsimus, mida ettepanekus selgesõnaliselt käsitletud ei ole, kuid mis on kaudselt seotud loetelu koostamise korraga, puudutab seda, millises ulatuses võiks ühenduse institutsioonide poolt töödeldud isikuandmeid jagada ÜRO ja/või kolmandate riikidega, ja kui seda tehakse, siis mis tingimustel.

42.

Seoses sellega soovib Euroopa Andmekaitseinspektor juhtida tähelepanu määruse (EÜ) nr 45/2001 artiklile 9, milles sätestatakse tingimused isikuandmete edastamiseks vastuvõtjatele, kes ei ole ühenduse asutused ja kelle suhtes ei kohaldata direktiivi 95/46/EÜ. Lai spekter lahendusi on kättesaadav, alates andmesubjekti nõusolekust (lõike 6 punkt a) ja õigusliku nõude esitamisest (lõike 6 punkt d) – millest võiks olla kasu juhul, kui teave on esitatud loetellu kantud isiku poolt eesmärgiga käivitada loetellu kandmise läbivaatamine – kuni ÜRO mehhanismideni, mille abil tagada EList edastatud isikuandmete piisav kaitse.

43.

Euroopa Andmekaitseinspektor tuletab meelde, et mitmesugused kavandatud töötlemistoimingud peavad olema selle süsteemiga kooskõlas, et tagada kolmandate riikide ja rahvusvaheliste organisatsioonidega vahetatavate isikuandmete piisav kaitse, ning et vajalikuks võib osutuda vastavate täpsustuste tegemine ettepanekus ning vastavad kokkulepped ÜROga.

III.6.   Muud küsimused: vastutus, eelkontroll, Euroopa Andmekaitseinspektoriga konsulteerimine

44.

Ettepaneku artikliga 6 välistatakse piiravaid meetmeid rakendavate füüsiliste ja juriidiliste isikute vastutus, välja arvatud hooletuse puhul. Seoses sellega soovib Euroopa Andmekaitseinspektor täpsustada, et seda artiklit ei käsitleta isikuandmete töötlemise suhtes kehtivate andmekaitsealaste õigusaktide rikkumise eest kohaldatava lepinguvälise vastutuse välistamisena, vastavalt määruse (EÜ) nr 45/2001 artikli 32 lõikele 4, samuti direktiivi 95/46/EÜ artiklile 23. Seda silmas pidades põhinevad piirangud isikuandmete töötlemisel ja avaldamisel, mis ebaseaduslikkuse korral võib iseenesest, kehtestatud piiravatest meetmetest olenemata, tekitada moraalset kahju, nagu Euroopa Kohus on juba tunnustatud (7).

45.

Tuleks märkida, et Euroopa Andmekaitseinspektori poolne eelkontroll määruse (EÜ) nr 45/2001 artikli 27 alusel võib olla vajalik selles osas, kus ettepanek sätestab andmete erikategooriatega (oletatavad õiguserikkumised, kriminaalkaristused või julgeolekumeetmed) seotud töötlemistoimingud, ja mille eesmärk on jätta üksikisikud ilma omandiõiguse täielikust kasutamisest.

46.

Euroopa Andmekaitseinspektor eeldab määruse (EÜ) nr 45/2001 artikli 28 alusel, et temaga konsulteeritakse õigusaktide ettepanekute ja haldusmeetmete osas, mis on seotud selliste isikuandmete töötlemisega, mida võidakse esitada terrorismis kahtlustatavate suhtes rakendatavate piiravate meetmete valdkonnas.

IV.   KOKKUVÕTE

47.

Euroopa Andmekaitseinspektor tervitab komisjoni kavatsust käsitleda ettepanekus hiljutist Euroopa Kohtu kohtupraktikat, täiustades loetelu koostamise korda ja võttes selgesõnaliselt arvesse õigust isikuandmete kaitsele, mis on otsustava tähtsusega tegur komisjoni poolt kehtestatud piiravate meetmete õiguspärasuse ja tõhususe tagamisel.

48.

Euroopa Andmekaitseinspektor tervitab preambulis sisalduvaid viiteid vajadusele kohaldada määrust kooskõlas põhiõigusega isikuandmete kaitsele ja seda, et ettepaneku põhjenduses 12 tunnustatakse selgesõnaliselt andmekaitse-eeskirjade, eelkõige määruse (EÜ) nr 45/2001 kohaldamist isikuandmete töötlemisel selles valdkonnas.

49.

Üldise märkuse korras tahaks Euroopa Andmekaitseinspektor rõhutada, et määrusega (EÜ) nr 45/2001 sätestatakse terve rida vastutavate töötlejate kohustusi ja andmesubjektide õigusi, mida kohaldatakse isegi siis, kui neid ei ole ettepanekus selgesõnaliselt nimetatud. Siiski võib mõningatel juhtudel olla soovitav esitada täiendavaid üksikasju – ja võimalikke erandeid ning piiranguid – andmekaitse kohustuste ja õiguste kohaldamise kohta piiravate meetmete valdkonnas.

50.

Euroopa Andmekaitseinspektor tervitab artikleid 7a ja 7c niivõrd, kuivõrd need parandavad põhiõiguste austamist, andes asjaomastele isikutele vahendid, mille abil saada teavet loetellu kandmise põhjuste kohta. Siiski märgib Euroopa Andmekaitseinspektor, et need sätted ei välista määrusest (EÜ) nr 45/2001 tulenevaid samalaadseid kohustusi. Selles kontekstis soovitab Euroopa Andmekaitseinspektor seadusandjal kaaluda, kas ettepanekus tuleks selgesõnaliselt täpsustada andmekaitse põhimõtete erandeid, mis võivad olla vajalikud, näiteks nagu vajadus edasi lükata teabe avaldamist artikli 12 alusel seniks, kuni esialgne otsus on tehtud.

51.

Euroopa Andmekaitseinspektor leiab, et muutes konfidentsiaalsete dokumentide avalikustamise sõltuvaks andmete esitaja nõusolekust, võib artikkel 7d piirata andmesubjekti õigust tutvuda oma isikuandmetega vastavalt määruse (EÜ) nr 45/2001 artiklis 13 sätestatule ning Euroopa Andmekaitseinspektori ja ka Euroopa Kohtu võimalust tutvuda salastatud teabes sisalduvate isikuandmetega, et nad saaksid oma ülesandeid tulemuslikult täita. Seda silmas pidades kutsub Euroopa Andmekaitseinspektor üles muutma kõnealust sätet, eelkõige asendades sõna „avalikustada” sõnadega „avalikult avaldada”.

52.

Euroopa Andmekaitseinspektor tervitab artiklit 7e sel määral, mil selle eesmärgiks on luua õiguslik alus isikuandmete töötlemiseks vastavalt määruse (EÜ) nr 45/2001 artiklile 5. Siiski soovitab ta mõningaid muudatusi tagamaks, et töödeldud andmeid kasutatakse konkreetsetel eesmärkidel ja need on asjakohased, ning et vastutava töötleja roll on kooskõlas määrusega (EÜ) nr 45/2001.

53.

Euroopa Andmekaitseinspektor tuletab meelde, et andmete võimalik edastamine kolmandatele riikidele ja rahvusvahelistele organisatsioonidele peaks olema kooskõlas määruse (EÜ) nr 45/2001 artikliga 9, eesmärgiga tagada nende andmete piisav kaitse. Seetõttu võib osutuda vajalikuks ettepaneku täpsustamine ning kokkulepete sõlmimine ÜROga.

54.

Lisaks märgib Euroopa Andmekaitseinspektor, et ettepanekuga ei piirata võimalikku vastutust isikuandmete ebaseadusliku töötlemise ja avaldamise puhul, et vajalikuks võib osutuda määruse (EÜ) nr 45/2001 artikli 27 kohane eelkontroll, ning et ta eeldab temaga konsulteerimist seoses edasiste õigusaktide ettepanekute ja haldusmeetmetega selles valdkonnas.

Brüssel, 28. juuli 2009

Euroopa Andmekaitseinspektor

Peter HUSTINX


(1)  Euroopa Kohtu 3. septembri 2008. aasta otsus kohtuasjades C-402/05 P ja C-415/05 P: Kadi ja Al Barakaat International Foundation vs. nõukogu, veel avaldamata.

(2)  Eespool 1. joonealuses märkuses viidatud Kadi kohtuasi, vt eelkõige punkti 285.

(3)  Komisjoni 29. novembri 2001. aasta otsus 2001/844/EÜ, ESTÜ, Euratom, millega muudetakse komisjoni kodukorda (EÜT L 317, 3.12.2001, lk 1).

(4)  Vt otsuse 2001/844/EÜ, ESTÜ, Euratom osa 19 ja nt Euroopa Liidu ja Ameerika Ühendriikide valitsuse vahelise salastatud teavet käsitleva julgeolekulepingu artikli 4 lõige 7 (ELT L 115, 3.5.2007, lk 30).

(5)  Artikli 20 lõigetes 3 ja 4 mainitud teabe andmist võib edasi lükata niikauaks, et piirang nimetatud teabe suhtes enam ei kehti (vt artikli 20 lõige 5).

(6)  Esimese Astme Kohtu 4. detsembri 2008. aasta otsus kohtuasjas T-284/08: PMOI vs. nõukogu, veel avaldamata, vt eelkõige punkte 74–76.

(7)  Esimese Astme Kohtu 12. septembri 2007 aasta otsus kohtuasjas T-259/03: Kalliopi Nikolau vs. komisjon, EKL 2007, lk II-99; Esimese Astme Kohtu 8. juuli 2008. aasta otsus kohtuasjas T-48/05: Franchet ja Byk vs. komisjon, veel avaldamata.