16.12.2020

Kas pooldad täiendavate nõuete kehtestamist andmejagamisteenuste osutajatele?

Euroopa Komisjon on koostanud andmehalduse eelnõu, millega soovib kehtestada täiendavad nõuded andmejagamisteenuse osutajatele. Näiteks tekib ettepaneku kohaselt andmejagamisteenusega tegelevatele ettevõtetele teavitamiskohustus pädevale riigiasutusele teenuste pakkumise osas. Anna hiljemalt 22. detsembriks teada, mida arvad plaanitavatest muudatustest.

Keda mõjutab?
Peamiselt andmejagamisteenuse osutajaid:

  1. Ettevõtteid, kes pakuvad teenuseid, mille eesmärk on vahendada andmesubjektide andmeid (kes on avaldanud soovi oma andmeid kättesaadavaks teha) potentsiaalsetele andmekasutajatele (muu hulgas teha kättesaadavaks selliste teenuste võimaldamiseks ette nähtud tehnilised või muud vahendid).
  2. Ettevõtteid, kes pakuvad andmekooperatiivide teenuseid, mis toetavad ja nõustavad üksikisikuid või näiteks väike- ja keskmise suurusega ettevõtteid läbirääkimistel andmetingimuste üle enne nõusoleku andmist.
  3. Ettevõtteid, kes pakuvad teenuseid, mille eesmärk on vahendada juriidilistest isikutest andmevaldajaid ja potentsiaalseid andmekasutajaid. Teenused võivad hõlmata kahepoolset või mitmepoolset andmevahetust või selliste platvormide/andmebaaside loomist, mis võimaldavad andmeid vahetada või ühiselt kasutada, samuti eritaristu loomist andmevaldajate ja andmekasutajate kokkuviimiseks.
  4. Ettevõtteid, kes soovivad tegeleda andmealtruismiga (isikute nõusolekul nende isikuandmete töötlemine ilma selle eest tasu saamata üldhuvi eesmärgil, nt teadusuuringute eesmärgil).

Mis on olulisemad muudatused?

  • Eelnõu kohaselt tekib andmejagamisteenuste osutajal teavitamiskohustus liikmesriigi pädevale asutusele andmejagamisteenuse pakkumise soovi osas (eelnõu artikkel 10). Olulisemad nõuded, mida teenuseosutaja peab järgima (eelnõu artikkel 11):
  1. looma juurdepääsu korra, mis peab olema õiglane, läbipaistev ning mittediskrimineeriv (ka hindade osas);
  2. kehtestama korra pettuste või kuritarvituste vältimiseks (seoses andmetele juurdepääsuga);
  3. kehtestama korra, millega tagatakse vastavus liidu ja riiklikele konkurentsieeskirjadele;
  4. võtma kasutusele meetmed, et tagada isikustamata andmete edastamise turvalisus;
  5. teenuse osutamise käigus kogutud metaandmeid võib kasutada ainult teenuse arendamiseks;
  6. kui andmejagamisteenuse osutaja ei ole asutatud Euroopa Liidus, kuid osutab liidus teenuseid, peab ta nimetama esindaja ühes neist liikmesriikides, kus teenuseid osutatakse.
  • Pädev riiklik asutus peab hakkama kontrollima andmejagamisteenuste osutajate tegevust. Asutusel on õigus nõuda tasu ettevõtetelt seoses järelevalvekohustuse täitmisega. Komisjon hakkab pidama andmejagamisteenuse osutajate registrit.
  • Ettepanekus on esile toodud, et andmeid on andmejagamisteenuste osutajatel lubatud kasutada ainult teenuse osutamise eesmärgil, muudel eesmärkidel mitte. Kui ettevõte tegeleb ka teiste teenuste pakkumisega, siis on vajalik eraldi ettevõtte loomine andmeteenuste osas. Teenuste pakkujatel tekib kohustus järgida piisavaid tehnilisi nõudeid, mis kaitseksid isikuandmeid/isikustamata andmeid ning lähtuda andmetöötlusel andmesubjekti huvidest. Kui andmejagamisteenuse osutajad on vastutavad töötlejad või volitatud töötlejad määruse (EL) 2016/679 (isikuandmete kaitse üldmäärus) tähenduses, peavad nad järgima ka selle määruse sätteid.
  • Eelnõu järgi on soov asutada Euroopa Andmeinnovatsiooni Nõukogu, kes hakkab komisjoni  abistama järjepidevate tavade väljatöötamisel pädevate asutuste jaoks, mida nad saaksid kasutada andmejagamisteenuste osutajate suhtes kehtivate nõuete kohaldamisel.
  • Riigil tekib kohustus pidada andmealtruismi organisatsioonide registrit, kuhu kuuluksid kõik mittetulunduslikel eesmärkidel tegutsevad ettevõtted, kes töötlevad isikuandmeid tasu saamata üldhuvi eesmärgil. Nendele ettevõtetele kohalduvad täiendavad läbipaistvuse ning järelevalve nõuded. Euroopa Liidul on õigus luua andmealtruismi nõusoleku vorm.
  • Tekib õigus nii füüsilistel kui ka juriidilistel isikutel esitada riigi asjaomasele pädevale asutusele kaebus andmejagamisteenuste osutaja või tunnustatud andmealtruismi organisatsioonide registrisse kantud üksuse peale.
  • Eelnõu järgi tuleksid avaliku sektori andmete osas, mida nii füüsilised kui ka juriidilised isikud saavad taaskasutada,  uued nõuded -  näiteks on avaliku sektori asutusel õigus kehtestada nõue, et andmeid saab taaskasutada ainult nende poolt kontrollitud keskkonnas.
  • Täiendavad piirangud rahvusvahelise andmeedastuse osas andmejagamisteenuste osutajatele ja andmealtruismiga tegelejatele – isikustamata andmete edastamise puhul tuleb kasutusele võtta kõik mõistlikud õiguslikud ja korralduslikud meetmed, et ära hoida neile juurdepääs, kui see tingib vastuolu liidu või liikmesriigi õigusega.

Millal jõustub määrus?
Määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas. Seda kohaldatakse eeldatavasti alates aasta pärast jõustumist. Täpsem avaldamise kuupäev ei ole veel teada.

Anna teada, mida arvad andmehalduse määruse ettepanekust. Tagasisidet ootan hiljemalt 22. detsembriks e-posti aadressile mari-lii[at]koda.ee. Ettevõtete tagasiside põhjal koostan kaubanduskoja seisukoha, mille saadan majandus- ja kommunikatsiooniministeeriumile, kes omakorda kujundab Eesti seisukoha Euroopa Komisjonile.

Vaata lisaks:

Andmehalduse määruse ettepanek (.pdf)
0