Brüssel, 20. oktoober – Euroopa Andmekaitsenõukogu võttis oma viimasel täiskogu istungil vastu kaks arvamust Euroopa Komisjoni otsuste eelnõude kohta, mis käsitlevad Ühendkuningriigi kaitse piisavuse otsuste kehtivuse pikendamist isikuandmete kaitse üldmääruse ja õiguskaitsedirektiivi alusel kuni 2031. aasta detsembrini.*
Euroopa Andmekaitsenõukogu arvamustes, mida komisjon taotles vastavalt isikuandmete kaitse üldmääruse artikli 70 lõike 1 punktile s ja õiguskaitsedirektiivi artikli 51 lõike 1 punktile g, käsitletakse kahe Ühendkuningriigi kaitse piisavuse otsuse kavandatud kuueaastast pikendamist, mis peaks aeguma 2025. aasta detsembris.
Ühendkuningriigi kaitse piisavuse otsuste kehtivuse pikendamine võimaldab Euroopas asuvatel organisatsioonidel ja pädevatel asutustel jätkata andmete edastamist Ühendkuningriigis asuvatele organisatsioonidele ja asutustele ilma lisatagatisi rakendamata**.
„EuroopaAndmekaitsenõukogu väljendab heameelt Ühendkuningriigi ja Euroopa andmekaitseraamistiku jätkuva ühtlustamise üle, hoolimata hiljutistest muudatustest Ühendkuningriigi õigusraamistikus.
Kutsun Euroopa Komisjoni üles tegelema Euroopa kriitiliste toorainete nõukogu esiletõstetud küsimustega ja tagama pärast otsuste vastuvõtmist tõhusa järelevalve. See suurendab Ühendkuningriigi piisavuse kindlust ning tagab suurema õiguskindluse organisatsioonidele ja pädevatele asutustele, kes edastavad isikuandmeid Euroopast Ühendkuningriiki.“
Euroopa Andmekaitsenõukogu eesistuja Anu Talus
Isikuandmete kaitse üldmääruse kohta esitatud arvamus
Andmekaitsenõukogu sõnul on enamiku Ühendkuningriigi andmekaitseraamistikku tehtud muudatuste eesmärk selgitada ja hõlbustada seaduse järgimist.
Otsuse eelnõu mõningaid aspekte võiks täiendavalt selgitada.
Euroopa Andmekaitsenõukogu kutsub Euroopa Komisjoni üles täiendavalt analüüsima ja jälgima 2023. aasta säilitatud ELi õiguse (tühistamine ja reform) seaduse (tuntud ka kui REULi seadus) muudatusi, eelkõige ELi õiguse ülimuslikkuse põhimõtte kaotamist ja ELi õiguse põhimõtete otsese kohaldamise kaotamist.
Euroopa Andmekaitsenõukogu märgib, et riigisekretärile on antud uued volitused teha muudatusi uues andmekaitseraamistikus teiseste määruste kaudu, mis nõuavad vähem parlamentaarset kontrolli. See kehtib andmete rahvusvahelise edastamise, automatiseeritud otsuste tegemise ja teabevoliniku büroo juhtimise kohta. Euroopa Andmekaitsenõukogu kutsub komisjoni üles käsitlema võimalikke lahknevuste riske, rõhutades lõplikus kaitse piisavuse otsuses valdkondi, mida nad kavatsevad hoolikalt jälgida.
Samuti julgustab Euroopa Andmekaitsenõukogu komisjoni oma hinnangut edasi arendama ja jälgima Ühendkuningriigist kolmandatesse riikidesse andmete edastamise eeskirju. 2025. aasta andmete (kasutamise ja juurdepääsu) seadusega kehtestatud uue piisavuse testi kohaselt ei tohi kolmanda riigi kaitse tase olla oluliselt madalam kui Ühendkuningriigi raamistikus andmesubjektidele ette nähtud tase, kuid selles testis ei viidata valitsuse juurdepääsu ohule, üksikisikute õiguskaitse olemasolule ega vajadusele sõltumatu järelevalveasutuse järele.
Samuti peaks komisjon täiendavalt hindama ja jälgima, kuidas Ühendkuningriigi valitsus väidetavalt kasutab tehnilise suutlikkuse teateid, millega nõutakse ettevõtjatelt krüpteerimisest kõrvalehoidmist, kuna see tekitaks süsteemseid nõrkusi ning ohustaks elektroonilise side terviklust ja konfidentsiaalsust.
Lõpuks kutsub Euroopa Andmekaitsenõukogu komisjoni üles täiendavalt hindama ja jälgima teabevoliniku büroo struktuuris tehtud muudatusi ja selle parandusvolituste kasutamist. Sellega seoses märgib Euroopa Andmekaitsenõukogu positiivselt teabevoliniku büroo läbipaistvuspoliitikat ning tema jõustamistegevuse statistiliste ja analüütiliste andmete kättesaadavust.
Uued kaitse piisavuse otsused täiendavad 2021. aasta otsuseid, mida kohaldatakse jätkuvalt valdkondades, mida 2025. aasta otsuste eelnõud ei hõlma. Euroopa Andmekaitsenõukogu tugineb oma 2021. aasta arvamustele (14/2021 ja 15/2021). Eelkõige kehtib endiselt 2021. aastal esile tõstetud isikuandmete kaitse üldmääruse raamistiku ja Ühendkuningriigi õigusraamistiku vaheline tihe kooskõla põhisätete osas (sealhulgas näiteks läbipaistvus, andmesubjektide õigused ja andmete eriliigid).
Teave LED-i arvamuse kohta
Euroopa Andmekaitsenõukogu väljendab heameelt Euroopa ja Ühendkuningriigi andmekaitseraamistiku jätkuva ühtlustamise üle ning julgustab komisjoni täiendama oma hinnangut riikliku julgeoleku eranditega seotud aspektide kohta. Sellised erandid võivad vabastada õiguskaitseasutused enamikust andmekaitsepõhimõtetest ja mõnedest rahvusvahelistest andmeedastuseeskirjadest ningpiirata ka teabevoliniku jõustamis- ja kontrollivolitusi.
Euroopa Andmekaitsenõukogu kutsub komisjoni üles analüüsima Ühendkuningriigi eeskirju isikuandmete edastamise kohta kolmandatesse riikidesse, eelkõige uut kaitse piisavuse testi, samamoodi nagu isikuandmete kaitse üldmääruse arvamuses.
Andmekaitsenõukogu juhib tähelepanu ka automatiseeritud otsuste tegemisel lubavamale lähenemisviisile ja riigisekretärile selles küsimuses antud uutele volitustele. Nõukogu tuletab meelde sisulise inimkontrolli tähtsust ning nõuab tungivalt, et komisjon selgitaks ja jälgiks võimalikke erandeid üksikisikute õigusest inimsekkumisele.
Lõpuks tunnistab Euroopa Andmekaitsenõukogu, et kriminaalõiguskaitseasutuste järelevalvesüsteem ja õiguskaitsemehhanismid jäävad suures osas samaks, ning kordab, et komisjon peab tähelepanelikult jälgima üksikisikute parandusvolituste ja õiguskaitsevahendite kohaldamist Ühendkuningriigi andmekaitseraamistikus.
Märkus toimetajatele:
* 22. juulil 2025 esitas Euroopa Komisjon kaks rakendusotsuse eelnõu, millega muudetakse rakendusotsust isikuandmete piisava kaitse kohta Ühendkuningriigis vastavalt isikuandmete kaitse üldmääruse artikli 45 lõikele 3 ja õiguskaitsedirektiivi artikli 36 lõikele 3. Nende otsuste eelnõude eesmärk on pikendada 28. juunil 2021 vastu võetud varasemate kaitse piisavuse otsuste kehtivust.
2025. aasta mais võttis komisjon vastu otsuse pikendada Ühendkuningriigi kaitse piisavuse otsuse kehtivust veel kuue kuu võrra, 2025. aasta juunist detsembrini. Euroopa Andmekaitsenõukogu võttis selle pikendamise kohta vastu arvamuse 2025. aasta mais.
** Piisavusotsus on ELi andmekaitsealaste õigusaktide põhimehhanism, mis võimaldab Euroopa Komisjonil kindlaks teha, kas kolmas riik või rahvusvaheline organisatsioon pakub piisaval tasemel andmekaitset. Euroopa Komisjonil on õigus määruse (EL) 2016/679 artikli 45 alusel kindlaks teha, kas väljaspool ELi asuv riik pakub piisaval tasemel andmekaitset.
Kaitse piisavuse otsuse vastuvõtmine hõlmab järgmist: 1) Euroopa Komisjoni ettepanek; 2) Euroopa Andmekaitsenõukogu arvamus; 3) Euroopa Liidu liikmesriikide esindajate nõusolek; 4) otsuse vastuvõtmine Euroopa Komisjoni poolt.
Siin avaldatud pressiteade on automaatselt tõlgitud inglise keelest. Euroopa Andmekaitsenõukogu ei taga tõlke õigsust. Kahtluse korral vaadake ingliskeelset ametlikku teksti.