8
1 Vastu võetud Arvamus nr 26/2018, milles käsitletakse Luksemburgi pädeva järelevalveasutuse esialgset loetelu isikuandmete töötlemise toimingutest, mille suhtes kohaldatakse andmekaitsealase mõjuhinnangu nõuet (isikuandmete kaitse üldmääruse artikli 35 lõige 4) Vastu võetud 4. detsembril 2018

Vastu võetud 4. detsembril 2018 - edpb.europa.eu · 3 Vastu võetud Euroopa Andmekaitsenõukogu, võttes arvesse Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse

Embed Size (px)

Citation preview

1

Vastuvõetud

Arvamus nr26/2018, milles käsitletakse Luksemburgipädeva järelevalveasutuse esialgset loetelu isikuandmetetöötlemise toimingutest, mille suhtes kohaldatakseandmekaitsealase mõjuhinnangu nõuet (isikuandmetekaitseüldmääruseartikli35lõige4)

Vastuvõetud4.detsembril2018

2

Vastuvõetud

SISUKORD

1 Asjaoludekokkuvõte.....................................................................................................................4

2 Hinnang.........................................................................................................................................5

2.1 Andmekaitsenõukoguüldisedtähelepanekudseosesesitatudloeteluga.............................5

2.2 Järjepidevusemehhanismikohaldamineesialgseloetelusuhtes..........................................6

2.3 Esialgseloeteluanalüüs..........................................................................................................6

2.3.1 Biomeetrilisedandmed..................................................................................................6

2.3.2 Geneetilisedandmed.....................................................................................................6

2.3.3 Avalikealadesüstemaatilinejälgimine...........................................................................6

2.3.4 Isikuandmete kaudne kogumine, kus teabe saamise õigust ei ole võimalik tagada(määruseartikli14lõige5)............................................................................................................7

3 Järeldused/soovitused...................................................................................................................7

4 Lõppmärkused...............................................................................................................................8

3

Vastuvõetud

EuroopaAndmekaitsenõukogu,

võttes arvesse Euroopa Parlamendi ja nõukogu 27.aprilli 2016.aasta määruse (EL)2016/679(füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ningdirektiivi 95/46/EÜ kehtetuks tunnistamise kohta) (edaspidi „määrus“) artiklit63, artikli64 lõike1punktiajalõikeid3–8ningartikli35lõikeid1,3,4ja6,

võttes arvesse EMP lepingut, mida on muudetud EMP ühiskomitee 6.juuli 2018.aasta otsuseganr154/2018,eritiselleXIlisajaprotokollinr37,

võttesarvesseoma25.mail2018vastuvõetudkodukorraartikleid10ja22

ningarvestadesjärgmist:

(1) Euroopa Andmekaitsenõukogu (edaspidi „andmekaitsenõukogu“) põhiülesanne on tagadamääruse (EL) 2016/679 (edaspidi „määrus“) järjepidev kohaldamine kogu EuroopaMajanduspiirkonnas. Kooskõlas määruse artikli64 lõikega1 peab andmekaitsenõukogu esitamaarvamuse,kuijärelevalveasutuskavatsebvastuvõttaloeteluisikuandmetetöötlemisetoimingutest,millesuhteskohaldataksemääruseartikli35lõike4kohastandmekaitsealasemõjuhinnangunõuet.Käesoleva arvamuse eesmärk on saavutada ühtlustatud lähenemisviis sellisele isikuandmetetöötlemisele, mis on piiriülene või mis võib mõjutada isikuandmete või füüsiliste isikute vabaliikumist Euroopa Liidus. Ehkkimäärusegaei kehtestataühtset loetelu, edendab see järjepidevust.Andmekaitsenõukogu püüab saavutada seda eesmärki oma arvamuste kaudu sellega, et ta palubjärelevalveasutustel esiteks hõlmata oma loeteluga teatavat tüüpi töötlemistoimingud, teisekskõrvaldada mõned kriteeriumid, mis andmekaitsenõukogu meelest ei kujuta endast ilmtingimatasuurtohtuandmesubjektidele,ninglõpetusekskasutadamõndakriteeriumitühtlustatudviisil.

(2)Määruseartikli35lõigete4ja6kohaseltpeavadpädevadjärelevalveasutusedkoostamaloeteluisikuandmete töötlemise toimingute tüüpidest, mille suhtes kohaldatakse nõuet tehaandmekaitsealane mõjuhinnang. Nad kohaldavad järjepidevuse mehhanismi, kui sellised loeteludhõlmavad isikuandmete töötlemise toiminguid,mis on seotud kaupade või teenuste pakkumisegaandmesubjektidelevõiandmesubjektidekäitumise jälgimisegamitmes liikmesriigis, või toiminguid,misvõivadoluliseltmõjutadaisikuandmetevabaliikumistliidus.

(3) Ehkki pädevate järelevalveasutuste koostatavate esialgsete loetelude suhtes kohaldataksejärjepidevuse mehhanismi, ei tähenda see, et need loetelud peavad olema identsed. Pädevatelejärelevalveasutustele on jäetud riikliku või piirkondliku konteksti arvesse võtmiseks kaalutlusruumningnadpeaksidarvestamaomakohalikeõigusaktidega.Andmekaitsenõukoguhinnangu/arvamuseeesmärk ei ole saavutada ühtne ELi loetelu, vaid pigem vältidamärkimisväärset ebajärjepidevust,misvõibmõjutadaandmesubjektidevõrdsetkaitset.

(4) Vastutav töötleja on määruse artikli35 lõike1 alusel kohustatud tegema andmekaitsealasemõjuhinnanguvaidsiis,kui töötlemise tulemusena„tekib tõenäoliselt füüsiliste isikuteõigustele javabadustelesuuroht“.Määruseartikli35 lõikes3onkirjeldatud,mille tulemusel tekibtõenäoliselt

4

Vastuvõetud

suur oht. Esitatud loetelu ei ole täielik. Artikli29 töörühm on selgitanud oma andmekaitsealastmõjuhinnangut käsitlevates suunistes,1milleandmekaitsenõukoguonkinnitanud,2kriteeriume,misaitavad kindlaks teha, millal kohaldatakse isikuandmete töötlemise toimingu suhtesandmekaitsealase mõjuhinnangu nõuet. Artikli 29 töörühma suunistes WP 248 on öeldud, etenamikul juhtudel võib vastutav töötleja leida, et andmekaitsealanemõjuhinnang oleks vaja tehaselliseks isikuandmetetöötlemiseks,millepuhulontäidetudkakskriteeriumi,entvastutavtöötlejavõibmõneljuhulleida,etandmekaitsealastmõjuhinnangutonvajaisikuandmetetöötlemiseks,millepuhulontäidetudvaidüksnendestkriteeriumidest.

(5) Pädevate järelevalveasutuste esitatavad loetelud toetavad sama eesmärki teha kindlaksisikuandmetetöötlemisetoimingud,milletulemusenatekibtõenäoliseltsuurohtjamillepuhultulebseega teha andmekaitsealane mõjuhinnang. Hinnates seda, kas pädevate järelevalveasutustekoostatud esialgsed loetelud mõjutavad määruse järjepidevat kohaldamist, tuleks kohaldadaartikli29töörühmasuunistesväljatöötatudkriteeriume.

(6) 5.septembril 2018 said 22pädevat järelevalveasutust andmekaitsenõukogult arvamuse omaesialgse loetelu kohta. Oktoobri alguseks esitas oma esialgse loetelu veel neli järelevalveasutust.Nende loeteludeüldinehindaminetoetabeesmärki tagadamääruse järjepidevkohaldamine,ehkkiküsimusmuutubühakeerulisemaks.

(7)Andmekaitsenõukoguarvamusvõetaksevastukooskõlasmääruseartikli64lõikega3koostoimesandmekaitsenõukogu kodukorra artikli10 lõikega2 kaheksa nädala jooksul alates esimesesttööpäevast,mis järgneb päevale,mil eesistuja ja pädev järelevalveasutus otsustasid, et toimik ontäielik. Eesistuja otsusel võib pikendada seda ajavahemikku kuue nädala võrra, võttes arvesseküsimusekeerukust,

ONVASTUVÕTNUDJÄRGMISEARVAMUSE:

1 ASJAOLUDEKOKKUVÕTE

1. Luksemburgi pädev järelevalveasutus on esitanud andmekaitsenõukogule oma esialgse loetelu.Otsus toimiku täielikkuse kohta tehti 28.juulil 2018.Ajavahemikku, mille jooksul arvamus tuleb vastu võtta, on pikendatud 5.detsembrini 2018,arvestadesküsimusekeerukustningvajadustvõttaarvessepädevate järelevalveasutuste22varemesitatudesialgseloeteluläbivaatamisetulemusijavajadustkõikineidloetelusidüldiselthinnata.

1Artikli29töörühmasuunised,miskäsitlevadandmekaitsealastmõjuhinnangutjasellekindlaksmääramist,kasisikuandmetetöötlemisetulemusena„tekibtõenäoliseltsuuroht“vastavaltmäärusele(EL)2016/679(WP248rev.1).2EuroopaAndmekaitsenõukogukinnitusnr1/2018.

5

Vastuvõetud

2 HINNANG

2.1 Andmekaitsenõukoguüldisedtähelepanekudseosesesitatudloeteluga

2. Iga andmekaitsenõukogule esitatud loetelu on tõlgendatud kõikidel juhtudel ülimuslikuks peetavaartikli35lõike1täpsustusena.Seegaeisaaükskiloeteluollatäielik.

3. Andmekaitsenõukoguonkooskõlasmääruseartikli35lõikega10arvamusel,etkuiandmekaitsealastmõju on õigusliku aluse vastuvõtmisel tehtud üldise mõjuhinnangu raames juba hinnatud, siiskohustust tehamääruse artikli35 lõigete1–7 alusel andmekaitsealanemõjuhinnang ei kohaldata,väljaarvatudjuhul,kuiliikmesriikpeabsedavajalikuks.

4. Peale selle, kui andmekaitsenõukogu nõuab teatud tüüpi töötlemistoimingute puhulandmekaitsealast mõjuhinnangut ja riigi õiguses juba nõutakse samaväärset meedet, peabCommission nationale pour la protection des données (edaspidi „Luksemburgi järelevalveasutus“)lisamaviitesellelemeetmele.

5. Käesolev arvamus ei hõlma Luksemburgi järelevalveasutuse esitatud loetelukandeid, mille puhulleiti,etneedjäävadväljapoolemääruseartikli35lõike6kohaldamisala.Tegemistonkannetega,misei ole seotud „kaupade või teenuste pakkumisega andmesubjektidele“ ega „andmesubjektidekäitumise jälgimisega“ mitmes liikmesriigis. Lisaks ei ole nende puhul tõenäoline, et nad „võivadoluliseltmõjutada isikuandmete vaba liikumist liidus“. See kehtib eelkõige kannete puhul,mis onseotudsiseriiklikeõigusaktidega, ja iseäranissiis,kuineisõigusaktidesonsätestatudkohustustehaandmekaitsealane mõjuhinnang. Lisaks leiti, et kõik isikuandmete töötlemise toimingud, mis onseotudõiguskaitsega,jäävadväljapoolekohaldamisala,sestmäärusneideihõlma.

6. Andmekaitsenõukogu on tähele pannud, etmitu järelevalveasutust on lisanud oma loetellumõneisikuandmetetöötlemisetoimingutüübi,misontingimatakohaliktöötlemistoiming.Kunamääruseartikli35 lõige6hõlmabvaidpiiriülest töötlemist ja töötlemist,misvõibmõjutada isikuandmete jaandmesubjektide vaba liikumist, andmekaitsenõukogu neid kohalikke töötlemistoiminguid eikommenteeri.

7. Arvamuse eesmärk on määratleda isikuandmete töötlemise toimingud, mida on nimetatudjärelevalveasutusteloeteludeskorduvalt.

8. See tähendab, et piiratud arvu töötlemistoimingute tüüpide puhul,mismääratletakse ühtlustatudviisil, hakkavad kõik järelevalveasutused nõudma andmekaitsealase mõjuhinnangu tegemist jaandmekaitsenõukogu soovitab järelevalveasutustel oma loetelusid vastavalt muuta, et tagadajärjepidevus.

9. Kuiandmekaitsealasemõjuhinnangunõudegahõlmatudtoimingutekohtatehtudloetelukandeideiole käesolevas arvamuses käsitletud, tähendab see seda, et andmekaitsenõukogu ei paluLuksemburgijärelevalveasutuselvõttalisameetmeid.

10. Lõpetusekstuletabandmekaitsenõukogumeelde,etvastutavatele javolitatudtöötlejateleonvägaolulineläbipaistvus.Loetelukanneteselgemaksmuutmistsilmaspidadesleiabandmekaitsenõukogu,et seda läbipaistvust võib suurendada see, kui loetelus osutatakse iga isikuandmete töötlemisetoimingu tüübi puhul selgelt suunistes sätestatud kriteeriumidele. Seepärast tuleksandmekaitsenõukogu meelest lisada selgitus selle kohta, milliseid kriteeriume on Luksemburgijärelevalveasutusomaloetelukoostamiselarvessevõtnud.

6

Vastuvõetud

2.2 Järjepidevusemehhanismikohaldamineesialgseloetelusuhtes

11. Luksemburgi järelevalveasutuse esitatud esialgne loetelu hõlmab isikuandmete töötlemisetoiminguid, mis on seotud kaupade või teenuste pakkumisega andmesubjektidele võiandmesubjektide käitumise jälgimisega mitmes liikmesriigis ja/või mis võivad oluliselt mõjutadaisikuandmete vaba liikumist liidus peamiselt seetõttu, et toimingud ei piirdu asjaomase riigiandmesubjektidega.

2.3 Esialgseloeteluanalüüs

12. Võttesarvesseseda,et

a. määruse artikli35 lõike1 alusel nõutakse andmekaitsealastmõjuhinnangut vaid juhul, kuiisikuandmetetöötlemise toimingutulemusenatekib tõenäoliselt füüsiliste isikuteõigustelejavabadustelesuuroht,ning

b. määruse artikli35 lõikega3 on ette nähtudmittetäieliku loetelu koostamine isikuandmetetöötlemise toimingutest, mille puhul on vajalik andmekaitsealane mõjuhinnang,

leiabandmekaitsenõukogujärgmist.

2.3.1 Biomeetrilisedandmed

13. Loetelus,mille Luksemburgi järelevalveasutusesitasandmekaitsenõukoguarvamuse saamiseks,onöeldud, et määruse artikli4 punktis14 määratletud biomeetriliste andmete töötlemine, milleeesmärk on andmesubjektide tuvastamine, on iseenesest hõlmatud kohustusega tehaandmekaitsealane mõjuhinnang. Andmekaitsenõukogu on arvamusel, et biomeetriliste andmetetöötlemisegaiseenesesteikaasnetingimatasuureohutõenäosus.Entkuitäidetudonkavähemaltüks muu kriteerium, tuleb biomeetriliste andmete töötlemiseks füüsilise isiku kordumatutuvastamise eesmärgil teha andmekaitsealane mõjuhinnang. Sellega seoses soovibandmekaitsenõukogu, et Luksemburgi järelevalveasutus oma loetelu vastavalt muudaks, lisadeskandesse, milles osutatakse biomeetriliste andmete töötlemisele füüsilise isiku kordumatutuvastamise eesmärgil, et andmekaitsealanemõjuhinnang tuleb teha vaid siis, kui täidetud on kavähemaltüksmuukriteerium,ilmaetseepiiraksmääruseartikli35lõike3kohaldamist.

2.3.2 Geneetilisedandmed

14. Loetelus,mille Luksemburgi järelevalveasutusesitasandmekaitsenõukoguarvamuse saamiseks,onöeldud, et geneetiliste andmete töötlemine on iseenesest hõlmatud kohustusega tehaandmekaitsealane mõjuhinnang. Andmekaitsenõukogu on arvamusel, et geneetiliste andmetetöötlemisegaiseenesesteikaasnetingimatasuureohutõenäosus.Entkuitäidetudonkavähemaltüksmuukriteerium,tulebgeneetilisteandmetetöötlemisekstehaandmekaitsealanemõjuhinnang.Sellegaseosessoovibandmekaitsenõukogu,etLuksemburgijärelevalveasutusomaloeteluvastavaltmuudaks, lisades kandesse, milles osutatakse geneetiliste andmete töötlemisele, etandmekaitsealane mõjuhinnang tuleb teha vaid siis, kui täidetud on ka vähemalt üks muukriteerium,ilmaetseepiiraksmääruseartikli35lõike3kohaldamist.

2.3.3 Avalikealadesüstemaatilinejälgimine

15. Loetelus,mille Luksemburgi järelevalveasutusesitasandmekaitsenõukoguarvamusesaamiseks,onöeldud, et töötlemistoimingud, mis seisnevad avalike alade korrapärases ja süstemaatilises

7

Vastuvõetud

jälgimises või hõlmavad seda, on hõlmatud kohustusega teha andmekaitsealane mõjuhinnang,tingimusel et andmed säilitatakse. Andmekaitsenõukogu on arvamusel, et töötlemistoimingutega,misseisnevadavalikealadekorrapärasesjasüstemaatilisesjälgimisesvõihõlmavadseda,eikaasnetingimatasuureohutõenäosus.Entkuitäidetudonkavähemaltüksmuukriteerium,kaasnebsellisetöötlemisega tõenäoliselt suur oht ja tuleb teha andmekaitsealane mõjuhinnang. Sellega seosessoovib andmekaitsenõukogu, et Luksemburgi järelevalveasutus oma loetelu vastavalt muudaks,lisadeskandesse,millesosutataksetöötlemistoimingutele,misseisnevadavalikealadekorrapärasesjasüstemaatilises jälgimisesvõihõlmavadseda,etandmekaitsealanemõjuhinnangtulebtehavaidsiis, kui täidetudonkavähemaltüksmuukriteerium, ilmaet seepiiraksmääruseartikli35 lõike3kohaldamist.

2.3.4 Isikuandmete kaudne kogumine, kus teabe saamise õigust ei ole võimalik tagada(määruseartikli14lõige5)

16. Loetelus,mille Luksemburgi järelevalveasutusesitasandmekaitsenõukoguarvamusesaamiseks,onöeldud,et töötlemistoimingud,mispõhinevad isikuandmetekaudselkogumisel,kusteabesaamiseõigust ei ole võimalik tagada, on hõlmatud kohustusega teha andmekaitsealane mõjuhinnang.Andmekaitsenõukogu on arvamusel, et seda tüüpi töötlemistoimingud, mille tulemuselandmesubjektid võivad ilma jääda oma õigustest, ei pruugi iseenesest kujutada suurt ohtu.Seepärast võiks juhul, kui andmesubjektideleesitatava teabe suhtes kohaldatakseartikli14 lõike5kohast erandit, nõuda isikuandmete töötlemise toimingu puhul, mida vastutav töötleja sooritabmääruse artikli14 alusel, andmekaitsealase mõjuhinnangu tegemist vaid siis, kui täidetud on kavähemaltüksmuukriteerium.Andmekaitsenõukogumärgib,etandmesubjektideleteabeesitamisekohustusestvõibtehaerandivaidjuhul,kuiandmedonkogunudkolmasisik.Seepärasteiläheviidekaudselekogumiseleantudjuhularvesseteisekriteeriumina.

17. Andmekaitsenõukogu soovib, et Luksemburgi järelevalveasutus oma loetelu vastavalt muudaks,lisades kandesse, milles osutatakse töötlemistoimingutele, mis põhinevad isikuandmete kaudsekogumisel,kusteabesaamiseõigusteiolevõimaliktagada,etandmekaitsealanemõjuhinnangtulebtehavaidsiis,kuitäidetudonkavähemaltüksmuukriteerium.

3 JÄRELDUSED/SOOVITUSED

18. Luksemburgi järelevalveasutuse esialgne loetelu võib kaasa tuua andmekaitsealasemõjuhinnangunõudeebajärjepidevakohaldamise.Tehatulebjärgmisedmuudatused.

• Seoses biomeetriliste andmetega soovib andmekaitsenõukogu, et Luksemburgijärelevalveasutus oma loetelumuudaks, lisades kandesse,milles osutatakse biomeetrilisteandmetetöötlemiselefüüsiliseisikukordumatutuvastamiseeesmärgil,etandmekaitsealanemõjuhinnangtulebtehavaidsiis,kuitäidetudonkavähemaltüksmuukriteerium.

• Seoses geneetiliste andmetega soovib andmekaitsenõukogu, et Luksemburgijärelevalveasutus oma loetelu muudaks, lisades kandesse, milles osutatakse geneetilisteandmete töötlemisele,etandmekaitsealanemõjuhinnang tuleb tehavaid siis, kui täidetudonkavähemaltüksmuukriteerium.

• Seosesavalikealadesüstemaatilisejälgimisegasoovibandmekaitsenõukogu,etLuksemburgijärelevalveasutus oma loetelu muudaks, lisades kandesse, milles osutataksetöötlemistoimingutele,misseisnevadavalikealadekorrapärasesjasüstemaatilisesjälgimises

8

Vastuvõetud

võihõlmavadseda,etandmekaitsealanemõjuhinnangtulebtehavaidsiis,kuitäidetudonkavähemaltüksmuukriteerium.

• Seoses isikuandmetekaudsekogumisega, kus teabe saamiseõigusteiolevõimalik tagada,soovib andmekaitsenõukogu, et Luksemburgi järelevalveasutus oma loetelu muudaks,lisades kandesse, milles osutatakse töötlemistoimingutele, mis põhinevad isikuandmetekaudse kogumisel, kus teabe saamise õigust ei ole võimalik tagada, et andmekaitsealanemõjuhinnangtulebtehavaidsiis,kuitäidetudonkavähemaltüksmuukriteerium.

4 LÕPPMÄRKUSED

19. Käesolev arvamus on suunatud Luksemburgi järelevalveasutusele Commission nationale pour laprotectiondesdonnéesjaseeavalikustataksekooskõlasmääruseartikli64lõike5punktigab.

20. Vastavalt määruse artikli64 lõigetele7 ja 8 annab järelevalveasutus kahe nädala jooksul pärastarvamuse saamist eesistujale elektroonilisel teel teada, kas ta jääb esialgse loetelu juurde võimuudabseda.Samaajavahemikujooksulesitabjärelevalveasutusmuudetudesialgseloeteluvõikuitaeikavatseandmekaitsenõukoguarvamustarvessevõtta,põhjused,mikstaleiolekavasarvamusttervikunavõiosaliseltjärgida.

EuroopaAndmekaitsenõukogunimel

eesistuja

(AndreaJelinek)