| Dokumendiregister | Siseministeerium |
| Viit | 5-1/59-1 |
| Registreeritud | 16.07.2026 |
| Sünkroonitud | 17.07.2026 |
| Liik | Sissetulev kiri |
| Funktsioon | 5 EL otsustusprotsess ja rahvusvaheline koostöö |
| Sari | 5-1 Euroopa Liidu otsustusprotsessi dokumendid (AV) |
| Toimik | 5-1/2026 |
| Juurdepääsupiirang | Avalik |
| Adressaat | Justiits- ja Digiministeerium |
| Saabumis/saatmisviis | Justiits- ja Digiministeerium |
| Vastutaja | Eva Puusepp (kantsleri juhtimisala, Euroopa Liidu ja välissuhete osakond) |
| Originaal | Ava uues aknas |
| Taotle dokumendi eemaldamist või parandamist |
ET ET
EUROOPA KOMISJON
Brüssel, 23.6.2026 COM(2026) 314 final
2026/0173 (COD)
Ettepanek:
EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS
millega muudetakse Euroopa Parlamendi ja nõukogu määrust (EL) 2018/1725, mis
käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides,
organites ja asutustes ning isikuandmete vaba liikumist
ET 1 ET
SELETUSKIRI
1. ETTEPANEKU TAUST
• Ettepaneku põhjused ja eesmärgid
Määrus (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel ELi
institutsioonides, organites ja asutustes (edaspidi „ELi isikuandmete kaitse määrus“), töötati
välja selleks, et kehtestada sidus ja ajakohastatud andmekaitsekord kõigi ELi institutsioonide,
organite ja asutuste jaoks. Määruse (EL) 2018/1725 IX peatükk oli mõeldud spetsiaalselt
reguleerima kasutatavate isikuandmete (need on isikuandmed, mida töödeldakse ELi
toimimise lepingu kolmanda osa V jaotise 4. või 5. peatüki kohaldamisalasse jäävate
tegevuste jaoks) töötlemist justiits- ja siseküsimustega tegelevates ELi asutustes ja organites,
sealhulgas Europolis, Eurojustis, Euroopa Prokuratuuris ja piiratud ulatuses Frontexis.
ELi isikuandmete kaitse määruse vastuvõtmisest hoolimata on justiits- ja siseküsimustega
tegelevate ELi asutuste ja organite suhtes kohaldatav andmekaitseraamistik endiselt
killustatud. Eelkõige ei kohaldata IX peatükki Euroopa Prokuratuuri suhtes, mille
asutamismäärus võeti vastu enne ELi isikuandmete kaitse määrust. Seetõttu lahknevad
Euroopa Prokuratuuri määruse mõned sätted sisult või sõnastuselt ELi isikuandmete kaitse
määruse IX peatüki vastavatest sätetest. Lisaks on ELi isikuandmete kaitse määruses
sätestatud, et kasutatavate isikuandmete töötlemise suhtes kohaldatakse üksnes artiklit 3
(mõisted) ja IX peatükki. See on ühelt poolt viinud selleni, et vastavate organite või asutuste
asutamisaktidesse on jäetud alles sätted, millega reguleeritakse kasutatavate isikuandmete
töötlemise teatavaid aspekte. Teiselt poolt on see tekitanud õiguskindlusetust küsimuses, kas
ja mil määral kohaldatakse II–VIII peatüki sätteid – näiteks töötlemistoimingute
registreerimist või andmekaitseametniku ülesandeid käsitlevaid sätteid – olukordades, kus
IX peatükis ega asjaomaste organite või asutuste asutamisaktides vastavaid sätteid ei ole.
Selline killustatus mitte ainult ei vähenda õiguskindlust, vaid tekitab ka praktilisi takistusi ELi
organite ja asutuste tulemuslikule koostööle andmete jagamisel. Komisjon tunnistas neid
puudusi ja kaalus nende kõrvaldamist seadusandlike vahenditega 2022. aastal oma esimeses
aruandes ELi isikuandmete kaitse määruse kohaldamise kohta.
Sellest tulenevalt on käesoleva ettepaneku eesmärk kohaldatavat andmekaitseraamistikku
lihtsustada ja tagada selle järjepidevus, eelkõige ühtlustades asjakohaseid norme ELi organite
ja asutuste lõikes. Selline ühtlustamine peaks leevendama halduskoormust ja hõlbustama
asutuste andmevahetust, suurendades samal ajal õiguskindlust. Järjepidevuse huvides ja
kooskõlas üldise eesmärgiga minimeerida andmekaitsenormide killustatust on käesoleval
ettepanekul neli peamist eesmärki.
Andmekaitsenormide järjepidev kohaldamine kõigi ELi institutsioonide, organite ja
asutuste suhtes
IX peatüki kohaldamisala tuleb laiendada, et tagada selle järjepidev kohaldamine kõigi
kriminaalõiguse ja õiguskaitse valdkonnas tegutsevate ELi asutuste ja organite suhtes. Sel teel
kaasatakse Euroopa Prokuratuur ELi isikuandmete kaitse määruse raamistikku. Seda tehes ei
piirata võimalust säilitada Euroopa Prokuratuuri määruses andmekaitse erinormid, mis on
vajalikud tulenevalt Euroopa Prokuratuuri kui liidu sõltumatu prokuratuuri eripärast.
IX peatüki normid on juba kooskõlas õiguskaitsedirektiivi (EL) 2016/680 vastavate
normidega ning tulemuseks on kõigi mõjutatud asutuste jaoks ühtne ja ühtlustatud normistik,
mis vähendab killustatust ja tagab kohaldatavate normide järjepidevuse.
Õiguskindluse suurendamine
ET 2 ET
IX peatükis puuduvad praegu sätted mitme olulise aspekti kohta, mille hulgas on
andmekaitseametnike ülesanded, töötlemistoimingute registreerimine, järelevalveasutuste
koostöö ja kasutatavate isikuandmete rahvusvaheline edastamine. Ettepaneku eesmärk on
koondada normid ühte kohta ja ühtlustada sellega nõuete täitmist, ilma et see avaldaks
märkimisväärset mõju tegevusele. Samuti tagatakse ettepanekuga suurem selgus vastutavatele
töötlejatele, volitatud töötlejatele ja andmesubjektidele.
Euroopa Andmekaitseinspektori volituste ühtlustamine
Euroopa Andmekaitseinspektori järelevalvevolitused on praegu reguleeritud Europoli,
Eurojusti ja Euroopa Prokuratuuri asutamisaktidega; need kõik sisaldavad lahknevaid sätteid,
mis põhjustab ebakindlust ja ebatõhusust. Frontexi asutamisaktiga ei ole reguleeritud Euroopa
Andmekaitseinspektori järelevalvet kasutatavate isikuandmete töötlemise üle, mis tingib
märkimisväärse ebaühtluse.
Ettepaneku eesmärk on täpsustada, et Euroopa Andmekaitseinspektoril on
järelevalvevolitused, mis on kooskõlas ELi isikuandmete kaitse määruse artiklis 58 sätestatud
volitustega, kuid mida on kohandatud kasutatavate isikuandmete töötlemise kontekstile,
eelkõige Euroopa Prokuratuuri puhul seoses uurimise ja süüdistuste esitamisega. Selles suhtes
järgitakse ettepanekus 2022. aasta Europoli reformiga Euroopa Andmekaitseinspektorile
antud volituste eeskuju, tagades samal ajal kooskõla ELi isikuandmete kaitse määruse
VI peatüki ja õiguskaitsedirektiiviga. Ettepanekuga kaotatakse asutamisaktidest
asutusepõhised sätted Euroopa Andmekaitseinspektori ülesannete ja volituste kohta.
Üldine ühtlustamine
Ettepaneku viimane eesmärk on sätete ühtlustamine, et kõrvaldada liiasused, dubleerimine ja
vastuolud andmekaitsenormides, mida kohaldatakse justiits- ja siseküsimustega tegelevate
liidu organite ja asutuste suhtes tegevuste puhul, mis kuuluvad ELi toimimise lepingu
kolmanda osa V jaotise 4. ja 5. peatüki kohaldamisalasse. Samuti viiakse kasutatavate
isikuandmete töötlemist käsitlevad sätted asjakohasel juhul kooskõlla digivaldkonna
koondettepanekuga1.
• Kooskõla poliitikavaldkonnas praegu kehtivate õigusnormidega
Ettepaneku eesmärk on viia ELi isikuandmete kaitse määruse sätted kooskõlla kehtiva
andmekaitsepoliitikaga, tugevdades isikuandmete kaitse üldmääruses ja õiguskaitsedirektiivis
sätestatud põhimõtteid. Asjakohasel juhul tagatakse ettepanekus kooskõla digivaldkonna
koondpaketis kavandatud andmekaitseraamistiku muudatustega.
• Kooskõla muude liidu tegevuspõhimõtetega
Ettepanek on osa kriminaalõiguse alaste algatuste paketist, millega taotletakse ühtset ja
terviklikku eesmärki: suurendada liidu suutlikkust üha keerukamas julgeolekukeskkonnas
raskeid piiriüleseid kuritegusid ära hoida, avastada ja uurida ning nende toimepanijaid
vastutusele võtta. Paketiga püütakse õiguskaitse-, kohtu- ja muude asjaomaste asutuste
koostööd reguleerivate õigusraamistike ajakohastamise teel suurendada liidu
sisejulgeolekustruktuuri tulemuslikkust, sidusust ja koostalitlusvõimet.
Selle püüdluse keskmes on Europoli ja Eurojusti määruste kavandatav läbivaatamine. Europol
ja Eurojust täidavad vabadusel, turvalisusel ja õigusel rajaneval alal eraldiseisvaid, kuid
1 Ettepanek: EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS, millega muudetakse määrusi
(EL) 2016/679, (EL) 2018/1724, (EL) 2018/1725 ja (EL) 2023/2854 ning direktiive 2002/58/EÜ,
(EL) 2022/2555 ja (EL) 2022/2557 seoses digivaldkonna õigusraamistiku lihtsustamisega ning
tunnistatakse kehtetuks määrused (EL) 2018/1807, (EL) 2019/1150, (EL) 2022/868 ja direktiiv
(EL) 2019/1024 (digivaldkonna koondpakett), 19.11.2025, COM(2025) 837 final.
ET 3 ET
üksteist täiendavaid ülesandeid: Europol toetab kuritegevuse ärahoidmist, avastamist ja
uurimist, Eurojust aga hõlbustab õigusalast koostööd ning tagab tulemuslikud järelmeetmed
süüdistuste esitamise ja kohtumenetluste näol. Paketi eesmärk on seetõttu tugevdada koostööd
ja vastastikust täiendavust nende kahe ameti vahel ning nende ja muude liidus justiits- ja
siseküsimustega ning pettuste tõkestamisega tegelevate asutuste vahel, et tagada
õiguskaitsemeetmete ja kohtulike järelmeetmete sujuv järjepidevus kriminaalasjades
õigusemõistmise protsessi kõigis etappides.
Euroopa uurimismääruse raamistiku muudatused ja käesolev ettepanek aitavad selle eesmärgi
saavutamisele veelgi kaasa sellega, et hõlbustavad tulemuslikku piiriülest koostööd,
parandavad teabevahetuse tingimusi ning tagavad sidusa õigusraamistiku, mis on kooskõlas
tegelike tegevuste ja tehnoloogia arenguga. Kokkuvõttes suurendavad paketis kavandatud
meetmed liidu suutlikkust reageerida muutuvatele julgeolekuohtudele ning on samal ajal
täielikult kooskõlas põhiõiguste, õigusriigi põhimõtte ja asjaomaste asutuste ülesannete
jaotusega.
Eelkõige määratakse käesolevas ettepanekus kindlaks kõik Europoli ja Eurojusti suhtes
kohaldatavate andmekaitsenormide ühised punktid ning koondatakse need ELi isikuandmete
kaitse määrusesse, kõrvaldades sellega killustatuse ja dubleerimise. See võimaldab jätta
õiguskaitse ja kriminaalõiguse valdkonnas tegutsevate liidu organite ja asutuste
asutamisaktidesse ainult neile kohandatud andmekaitsenormid, mis on välja töötatud vastavalt
igaühe tegevuse eripärast tulenevatele vajadustele.
Ettepanek võetakse vastu samal ajal Europoli ja Eurojusti määruste muudatustega, tagades
vastavate õigusraamistike järjepidevuse ja kooskõla. Samuti arvestatakse selles Euroopa
Prokuratuuri asutamisakti (määrus (EL) 2017/19392) eelseisva läbivaatamisega, võttes arvesse
selle tulevasi muudatusi ning piiramata võimalike poliitikavariantide hindamist Euroopa
Prokuratuuri määruse läbivaatamisel. Selline koordineeritud lähenemisviis aitab luua
tervikliku ja järjepideva raamistiku kasutatavate isikuandmete töötlemiseks liidu organites ja
asutustes.
2. ÕIGUSLIK ALUS, SUBSIDIAARSUS JA PROPORTSIONAALSUS
• Õiguslik alus
Füüsiliste isikute kaitse nende isikuandmete töötlemisel on Euroopa Liidu põhiõiguste harta
artikli 8 lõikes 1 sätestatud põhiõigus.
Käesolev ettepanek põhineb Euroopa Liidu toimimise lepingu artiklil 16, mis on
andmekaitsenormide vastuvõtmise õiguslik alus. Nimetatud artikkel võimaldab võtta vastu
õigusnorme füüsiliste isikute kaitse kohta seoses isikuandmete töötlemisega liidu
institutsioonides, organites ja asutustes liidu õiguse reguleerimisalasse kuuluva tegevuse
puhul. Samuti võimaldab see vastu võtta õigusnorme isikuandmete, sealhulgas kõnealustes
institutsioonides, organites ja asutustes töödeldavate isikuandmete vaba liikumise kohta.
• Subsidiaarsus (ainupädevusse mittekuuluva valdkonna puhul)
Ei kohaldata.
• Proportsionaalsus
Ei kohaldata.
2 Nõukogu 12. oktoobri 2017. aasta määrus (EL) 2017/1939, millega rakendatakse tõhustatud koostööd
Euroopa Prokuratuuri asutamisel (ELT L 283, 31.10.2017, lk 1– 71, ELI:
http://data.europa.eu/eli/reg/2017/1939/oj).
ET 4 ET
• Vahendi valik
Ei kohaldata.
3. JÄRELHINDAMISE, SIDUSRÜHMADEGA KONSULTEERIMISE JA MÕJU
HINDAMISE TULEMUSED
• Praegu kehtivate õigusaktide järelhindamine või toimivuse kontroll
Komisjoni esimeses, 2022. aasta aruandes ELi isikuandmete kaitse määruse kohaldamise
kohta jõuti järeldusele, et üldiselt toimib ELi isikuandmete kaitse määrus hästi ja täidab oma
otstarvet. Samal ajal tehti selles kindlaks vajadus seadusandliku sekkumise järele, et
minimeerida nende õigusnormide killustatust, mida kohaldatakse ELi institutsioonide ja
asutuste suhtes, kes töötlevad kasutatavaid isikuandmeid tegevuses, mis jääb politseikoostöö
ja kriminaalasjades tehtava õigusalase koostöö kohaldamisalasse (ELi isikuandmete kaitse
määruse IX peatükk ehk nn õiguskaitset käsitlev peatükk).
• Konsulteerimine sidusrühmadega
Sihtotstarbelistesse konsultatsioonidesse sidusrühmadega olid kaasatud kõik asutused, kelle
suhtes kohaldatakse praegu või tulevikus ELi isikuandmete kaitse määruse IX peatükki (st
Europol, Eurojust, Euroopa Prokuratuur, Frontex), ning Euroopa Andmekaitseinspektor, kes
teeb nõuete järgimise üle järelevalvet.
• Eksperdiarvamuste kogumine ja kasutamine
Ei kohaldata.
• Mõjuhinnang
Mõjuhinnangut ei peeta käesoleva algatuse puhul asjakohaseks, kuna selle kohaldamisala on
piiratud ja kavandatud muudatused on suures osas tehnilist laadi. Ettepanek puudutab ELi
isikuandmete kaitse määruse konkreetseid sätteid ning sellega ei muudeta üldist raamistikku,
vaid see mõjutab ainult väikest rühma ELi asutusi, kes tegutsevad kriminaalasjades tehtava
õigusalase koostöö ja politseikoostöö valdkonnas. Muudatuste eesmärk on tagada ühtlustatum
kord, need ei hõlma uusi poliitikavariante ning neil on eeldatavasti minimaalne ja
kvantitatiivselt ebaoluline mõju põhiõigustele ning puudub majanduslik, sotsiaalne ja
keskkonnamõju. Lisaks tehakse asjaomaste asutuste suhtes juba eraldi hindamisi ja
mõjuhinnanguid, sealhulgas seoses nende suhtes kohaldatavate andmekaitsenormidega. ELi
isikuandmete kaitse määruse kohane eraldi hindamine dubleeriks seda tegevust. Ettepanek on
kooskõlas kohustusega, mille komisjon võttis 2022. aastal oma esimeses aruandes ELi
isikuandmete kaitse määruse kohaldamise kohta, ning 2027. aastal on kavas ELi isikuandmete
kaitse määrust täiendavalt hinnata. Subsidiaarsusega seotud küsimusi ei teki, kuna ELi
isikuandmete kaitse määrust kohaldatakse üksnes ELi asutuste suhtes, mida liikmesriigid ei
saa reguleerida.
• Õigusnormide toimivus ja lihtsustamine
Ettepanekuga ühtlustatakse ja lihtsustatakse kriminaalõiguskaitse ja kriminaalõiguse
valdkonnas tegutsevate liidu asutuste ja organite suhtes kohaldatavaid andmekaitsenorme.
Kehtivate normide ühtlustamisega suurendatakse õigusselgust ja järjepidevust kogu
institutsioonilises raamistikus, hõlbustades seeläbi normide kohaldamist ja vähendades
halduskeerukust. Kuigi ettepaneku positiivne mõju ei ole hõlpsasti mõõdetav, peaks see
vähendama nõuete täitmisega seotud kulusid ja halduskoormust, mis tulenevad lahknevates
või kattuvates nõuetes orienteerumisest. Ettepanekuga toetatakse ka võimaliku
ET 5 ET
asutustevahelise teabevahetusmehhanismi väljatöötamist, mida on kaalutud pettustevastase
võitluse struktuuri läbivaatamise kontekstis.
• Põhiõigused
Kuna muudatused on sihipärased, tagab see andmekaitse praeguse taseme säilimise,
parandades samal ajal kohaldatavate normide järjepidevust ja ühtlustatust.
4. MÕJU EELARVELE
Ei kohaldata.
5. MUU TEAVE
• Rakenduskavad ning järelevalve, hindamise ja aruandluse kord
Ei kohaldata.
• Ettepaneku sätete üksikasjalik selgitus
Artiklis 1 esitatakse määruse (EL) 2018/1725 (mis käsitleb füüsiliste isikute kaitset
isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes) muudatused.
Lõikega 1 asendatakse artikli 2 lõige 2 ning laiendatakse määruse (EL) 2018/1725 artiklite 43,
44 ja 45 ning VII ja VIII peatüki kohaldamisala kasutatavate isikuandmete töötlemisele liidu
organites ja asutustes, ilma et see piiraks liidu organite ja asutuste suhtes andmekaitse
erieeskirjade kohaldamist. Samuti jäetakse sellega välja artikli 2 lõige 3, laiendades sellega
ELi isikuandmete kaitse määruse kohaldamisala Euroopa Prokuratuurile, piiramata sealjuures
võimalust säilitada Euroopa Prokuratuuri määruses andmekaitse erinormid, mis võtavad
arvesse Euroopa Prokuratuuri eripära liidu sõltumatu uurimisasutuse ja prokuratuurina.
Lõikega 2 nähakse ette tehnilised kohandused andmekaitseametniku ülesandeid käsitleva
artikli 45 sõnastuses ning tagatakse, et need ülesanded hõlmavad ka kasutatavate
isikuandmete töötlemist.
Lõikega 3 tagatakse, et määruse (EL) 2018/1725 artiklist 66 tulenev Euroopa
Andmekaitseinspektori õigus määrata haldustrahve laieneb kasutatavate isikuandmete
töötlemisele liidu organites ja asutustes.
Lõikega 4 jäetakse välja määruse (EL) 2018/1725 artikkel 70, mis ei ole enam vajalik, sest
kasutatavate isikuandmete töötlemise suhtes kohaldatavad sätted on määratletud artikli 2
lõikes 2.
Lõikega 5 muudetakse määruse (EL) 2018/1725 artiklit 77, et tagada kooskõla digivaldkonna
koondettepanekuga ja suurendada õiguskindlust, täpsustades, et otsused, mis põhinevad
üksnes kasutatavate isikuandmete automatiseeritud töötlusel, on lubatud, kui on täidetud
eritingimused.
Lõikega 6 muudetakse määruse (EL) 2018/1725 artiklit 78, et tagada kooskõla digivaldkonna
koondettepanekuga, täpsustades kuritarvituslike taotluste mõistet isikuandmetega tutvumise
õiguse kontekstis. Eelkõige täpsustatakse selles, et taotlust võib pidada selgelt
põhjendamatuks, kui andmesubjekt tugineb andmetega tutvumise õigusele muul eesmärgil kui
oma andmete kaitseks. Sellistel juhtudel võib vastutav töötleja keelduda taotluse
rahuldamisest, kuid on endiselt kohustatud tõendama, et taotlus on selgelt põhjendamatu või
ülemäärane.
Lõikega 7 lisatakse määrusesse (EL) 2018/1725 uus artikkel 87a kasutatavate isikuandmete
töötlemise dokumenteerimise kohta kooskõlas õiguskaitsedirektiivi normidega.
ET 6 ET
Lõigetega 8 ja 9 lisatakse täiendavad kaitsemeetmed määruse (EL) 2018/1725 artiklisse 88,
mis käsitleb logimist.
Lõikega 10 muudetakse määruse (EL) 2018/1725 artikli 92 lõiget 1, et tagada kooskõla
digivaldkonna koondettepanekuga, pikendades tähtaega, mille jooksul tuleb isikuandmetega
seotud rikkumisest teatada Euroopa Andmekaitseinspektorile, 72 tunnilt 96 tunnile. Samuti
tõstetakse sellega rikkumisest teatamise künnist, nähes ette, et teatamine on nõutav üksnes
juhul, kui isikuandmetega seotud rikkumine võib tõenäoliselt kaasa tuua suure ohu füüsiliste
isikute õigustele ja vabadustele.
Lõigetega 11 ja 12 ühtlustatakse õigusraamistikku, millega reguleeritakse kasutatavate
isikuandmete edastamist kolmandatele riikidele ja rahvusvahelistele organisatsioonidele, viies
selle kooskõlla direktiivis (EL) 2016/680 sätestatud raamistikuga. Muudatustega nähakse ette
ühtsed normid, mida kohaldatakse kriminaalõiguskaitse ja kriminaalõiguse valdkonnas
tegutsevate liidu organite ja asutuste suhtes, võttes samal ajal arvesse nende konkreetset
tegevust ja õiguslikku konteksti, sealhulgas koostöölepinguid. Muudatustega sätestatakse, et
andmete edastamine riikidele, kelle suhtes on tehtud kaitse piisavuse otsus, on lubatud ilma
täiendava loata; kaitse piisavuse otsuse puudumise korral on edastamine lubatud, kui
õiguslikult siduva aktiga või vastutava töötleja hinnangu kohaselt on kehtestatud asjakohased
kaitsemeetmed; kindlates olukordades, kus puuduvad nii kaitse piisavuse otsus kui ka
kaitsemeetmed, kohaldatakse teatavaid erandeid. Samuti võimaldatakse muudatustega
teatavatel juhtudel edastada kasutatavaid isikuandmeid kolmandas riigis asuvale vastuvõtjale,
kes ei ole pädev asutus, juhul kui muudetud sätetes loetletud tingimused on täidetud,
sealhulgas juhul kui kolmanda riigi pädeva asutuse poole pöördumine ei pruugi olla mõjus või
asjakohane ning tingimusel et edastamine on rangelt vajalik vastutava töötleja ülesannete
täitmiseks.
Lõikega 13 antakse Euroopa Andmekaitseinspektorile seoses kasutatavate isikuandmetega
ühetaolised volitused kõigi kriminaalõiguskaitse ja kriminaalõiguse valdkonnas tegutsevate
liidu organite ja asutuste suhtes, lähtudes Euroopa Andmekaitseinspektori volitustest Europoli
suhtes, mis kehtivad alates 2022. aastast.
Artiklis 2 selgitatakse uute sätete jõustumist.
ET 7 ET
2026/0173 (COD)
Ettepanek:
EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS
millega muudetakse Euroopa Parlamendi ja nõukogu määrust (EL) 2018/1725, mis
käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides,
organites ja asutustes ning isikuandmete vaba liikumist
EUROOPA PARLAMENT JA EUROOPA LIIDU NÕUKOGU,
võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artikli 16 lõiget 2,
võttes arvesse Euroopa Komisjoni ettepanekut,
olles edastanud seadusandliku akti eelnõu liikmesriikide parlamentidele,
toimides seadusandliku tavamenetluse kohaselt
ning arvestades järgmist:
(1) Füüsiliste isikute kaitse isikuandmete töötlemisel on põhiõigus. Euroopa Liidu
põhiõiguste harta artikli 8 lõikes 1 ja Euroopa Liidu toimimise lepingu artikli 16
lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele. See õigus on
tagatud ka Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artikliga 8.
(2) Euroopa Parlamendi ja nõukogu määrusega (EL) 2018/17251 on sätestatud
õigusraamistik, mida kohaldatakse liidu institutsioonides, organites ja asutustes
isikuandmete töötlemise suhtes. Andmekaitsenormid, mis reguleerivad kasutatavate
isikuandmete töötlemist liidu organite ja asutuste poolt tegevustes, mis jäävad ELi
toimimise lepingu kolmanda osa V jaotise 4. või 5. peatüki kohaldamisalasse, on aga
endiselt killustatud määruse (EL) 2018/1725 IX peatüki ja muude liidu õigusaktide
vahel. Kõnealuse määruse artikli 98 kohaselt peab komisjon kasutatavate isikuandmete
töötlemise suhtes kohaldatavad normid läbi vaatama, et teha kindlaks võimalikud
vastuolud, lüngad ja lahknevused. Samuti on selles sätestatud, et asjakohasel juhul
kõrvaldab komisjon kindlaks tehtud puudused seadusandliku ettepanekuga, eelkõige
IX peatüki kohaldamisala laiendamiseks nõukogu määrusega (EL) 2017/19392
asutatud Euroopa Prokuratuurile, kui see on asjakohane, ja IX peatükis vajalike
kohanduste tegemiseks. Oma esimeses aruandes määruse (EL) 2018/1725
kohaldamise kohta kinnitas komisjon määruse üldist tulemuslikkust isikuandmete
kaitse kõrge taseme tagamisel, kuid juhtis ühtlasi tähelepanu mitmele vastuolule ja
lahknevusele ning õiguslikule killustatusele, mis tulenevad määruse (EL) 2018/1725
IX peatüki ja määruse muude sätete koostoimest, ning sellele, et Euroopa Prokuratuuri
jaoks kehtib eraldi andmekaitsekord.
1 Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrus (EL) 2018/1725, mis käsitleb
füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning
isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus
nr 1247/2002/EÜ (ELT L 295, 21.11.2018, lk 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). 2 Nõukogu 12. oktoobri 2017. aasta määrus (EL) 2017/1939, millega rakendatakse tõhustatud koostööd
Euroopa Prokuratuuri asutamisel (ELT L 283, 31.10.2017, lk 1, ELI:
http://data.europa.eu/eli/reg/2017/1939/oj).
ET 8 ET
(3) Praegu kohaldatakse kasutatavate isikuandmete töötlemise suhtes ainult määruse
(EL) 2018/1725 artiklit 3 ja IX peatükki koos andmekaitse erinormidega, mis on
sätestatud Euroopa Liidu Õiguskaitsekoostöö Ameti (Europol) ja Euroopa Liidu
Kriminaalõigusalase Koostöö Ameti (Eurojust) asutamisaktides. Samal ajal on
Euroopa Prokuratuuril oma eraldiseisev andmekaitsekord, mis on sätestatud Euroopa
Prokuratuuri asutamisaktis. Seepärast tuleks määrust (EL) 2018/1725 muuta, et
laiendada selle IX peatüki kohaldamisala kõigile õiguskaitse ja kriminaalõiguse
valdkonnas tegutsevatele liidu organitele ja asutustele, kes töötlevad kasutatavaid
isikuandmeid, tagada õiguskindlus, kõrvaldades lüngad kehtivas andmekaitsekorras,
eelkõige Euroopa Piiri- ja Rannikuvalve Ameti puhul, ning ühtlustada isikuandmete
rahvusvahelise edastamise norme ja Euroopa Andmekaitseinspektori volitusi
käsitlevaid norme. See ei tohiks mõjutada võimalust säilitada määruses
(EL) 2017/1939 andmekaitse erieeskirjad, mis on vajalikud tulenevalt Euroopa
Prokuratuuri kui liidu sõltumatu prokuratuuri eripärast.
(4) Selleks et luua ühtlustatud, järjepidev, lihtsustatud ja täielik õigusraamistik
kasutatavate isikuandmete töötlemiseks liidu organites ja asutustes, tuleks ELi
toimimise lepingu kolmanda osa V jaotise 4. või 5. peatüki kohaldamisalasse
kuuluvaid tegevusi läbi viivate liidu organite ja asutuste suhtes kohaldada määruses
(EL) 2018/1725 sätestatud mõisteid (I peatükk), andmekaitseametnikke käsitlevaid
norme (IV peatüki 6. jagu), koostöö ja järjepidevuse alaseid norme (VII peatükk),
õiguskaitsevahendeid, vastutust ja karistusi käsitlevaid norme (VIII peatükk) ning
kasutatavate isikuandmete töötlemise norme (mis tuleks viia kooskõlla Euroopa
Parlamendi ja nõukogu direktiiviga (EL) 2016/6803 – IX peatükk). Neid norme tuleks
kohaldada juhul, kui liidu organid ja asutused viivad kõnealuseid tegevusi läbi
kuritegude tõkestamise, avastamise, uurimise või nende toimepanijate vastutusele
võtmise eesmärgil. Neid norme, ja mitte ainult määruse (EL) 2018/1725 IX peatükki,
tuleks kohaldada ka kasutatavate isikuandmete töötlemise suhtes Euroopa Piiri- ja
Rannikuvalve Ametis.Määruse (EL) 2018/1725 normide kohaldamine ei tohiks
mõjutada erinorme, mida kohaldatakse kasutatavate isikuandmete töötlemisele liidu
organite ja asutuste poolt tegevustes, mis jäävad ELi toimimise lepingu kolmanda osa
V jaotise 4. või 5. peatüki kohaldamisalasse, eelkõige Europoli, Eurojusti ja Euroopa
Prokuratuuri asutamisaktides sätestatud norme. Selliseid erinorme tuleks käsitada lex
specialis’ena määruse (EL) 2018/1725 sätete suhtes, mis käsitlevad kasutatavate
isikuandmete töötlemist.
(5) Kõigis liidu institutsioonides ja organites peaks andmekaitseametnik tagama, et
kohaldatakse kõiki andmekaitsenorme, sealhulgas määrust (EL) 2018/1725. Samuti
peaksid andmekaitseametnikud nõustama vastutavaid töötlejaid ja volitatud töötlejaid
seoses nende kohustustega. Järjepidevuse tagamiseks ja dubleerimise vältimiseks
peaks nii halduslikku laadi kui ka kasutatavate isikuandmete puhul kehtima
andmekaitseametnike jaoks ainult üks normistik.
(6) Euroopa Andmekaitseinspektoril peaks olema viimase abinõuna õigus määrata
haldustrahve, muu hulgas seoses kasutatavate isikuandmete töötlemisega õiguskaitse
ja kriminaalõiguse valdkonnas tegutsevates liidu organites ja asutustes.
3 Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiiv (EL) 2016/680, mis käsitleb füüsiliste
isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise,
avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil
ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus
2008/977/JSK (ELT L 119, 4.5.2016, lk 89, ELI: http://data.europa.eu/eli/dir/2016/680/oj).
ET 9 ET
(7) Määruses (EL) 2018/1725 dubleerimise vältimiseks tuleks selle artikkel 70 välja jätta,
kuna IX peatüki kohaldamisala on juba sätestatud määruse (EL) 2018/1725 artiklis 2.
(8) Selleks et tagada kooskõla määrusega (EL) .../... [digivaldkonna koondettepanek],
tuleks määruse (EL) 2018/1725 artiklis 77 täpsustada, et otsused, mis põhinevad
üksnes kasutatavate isikuandmete automatiseeritud töötlemisel, on lubatud, kui on
täidetud eritingimused.
(9) Selleks et tagada kooskõla määrusega (EL) .../... [digivaldkonna koondettepanek],
tuleks määruse (EL) 2018/1725 artiklis 78 täpsustada, et andmetega tutvumise õigust,
mis on algusest peale andmesubjektide jaoks soodne, ei tohiks kuritarvitada selles
mõttes, et andmesubjektid kasutavad seda muul eesmärgil kui oma andmete
kaitsmiseks.
(10) Selleks et tõendada vastavust määrusele (EL) 2018/1725, peaksid õiguskaitse ja
kriminaalõiguse valdkonnas tegutsevatele liidu organitele ja asutustele kehtima
ühetaolised normid kõigi nende vastutusel tehtavate töötlemistoimingute liikide
dokumenteerimise kohta. Iga vastutav ja volitatud töötleja peaks olema kohustatud
tegema Euroopa Andmekaitseinspektoriga koostööd ja tegema need dokumendid
taotluse korral Euroopa Andmekaitseinspektorile kättesaadavaks, et neid saaks
kasutada nimetatud töötlemistoimingute kontrollimiseks.
(11) Liidu organitel ja asutustel ei tohiks olla võimalik logisid muuta. Kui liidu organid ja
asutused saavad kasutatavaid isikuandmeid liikmesriikide pädevatelt asutustelt,
peaksid liidu organid ja asutused edastama logid kõnealustele pädevatele asutustele,
kui need on vajalikud andmekaitsenõuete täitmise asutusesiseseks uurimiseks.
(12) Selleks et tagada kooskõla määrusega (EL) .../... [digivaldkonna koondettepanek],
peaks isikuandmetega seotud rikkumisest Euroopa Andmekaitseinspektorile teatamise
künnis olema kõrgem ja teatamise tähtaega tuleks pikendada.
(13) Kõigile õiguskaitse ja kriminaalõiguse valdkonnas tegutsevatele liidu organitele ja
asutustele peaks kehtima ühetaoline kasutatavate isikuandmete rahvusvahelise
edastamise normistik, mis on kooskõlas direktiiviga (EL) 2016/680.
(14) Komisjon võib direktiivi (EL) 2016/680 artikli 36 alusel otsustada, et kolmandas
riigis, kolmanda riigi territooriumil või kindlaksmääratud sektoris või rahvusvahelises
organisatsioonis pakutakse piisaval tasemel andmekaitset. Sellisel juhul võib
kasutatavate isikuandmete edastamine liidu organi või asutuse poolt kõnealusesse riiki
või kõnealusele rahvusvahelisele organisatsioonile toimuda ilma, et oleks vaja saada
täiendav luba.
(15) Isikuandmete edastamine ilma sellise kaitse piisavuse otsuseta peaks olema lubatud
üksnes juhul, kui õiguslikult siduvas aktis on sätestatud isikuandmete kaitseks
asjakohased kaitsemeetmed või kui vastutav töötleja, olles hinnanud kõiki andmete
edastamisega seotud asjaolusid, on oma hinnangust lähtudes seisukohal, et
asjakohased kaitsemeetmed isikuandmete kaitseks on kehtestatud. Õiguslikult
siduvaks aktiks võib olla näiteks enne 12. detsembrit 2019 otsuse 2002/187/JSK
artikli 26a kohaselt Eurojusti ja kolmanda riigi vahel sõlmitud koostööleping, enne
1. maid 2017 otsuse 2009/371/JSK artikli 23 kohaselt Europoli ja kolmanda riigi vahel
sõlmitud koostööleping või ELi toimimise lepingu artikli 218 kohaselt liidu ja
kolmanda riigi vahel sõlmitud rahvusvaheline leping.
(16) Kaitse piisavuse otsuse ja asjakohaste kaitsemeetmete puudumise korral võib
edastamine või teatavat liiki edastamine toimuda erandina kindlates olukordades.
Erandeid tuleks tõlgendada kitsalt ning need ei tohiks võimaldada isikuandmete
ET 10 ET
sagedast, ulatuslikku ja struktuurset edastamist ega andmete suuremahulist edastamist,
piirduda tuleks vaid rangelt vajalike andmetega. Selline edastamine tuleks
dokumenteerida ning need dokumendid tuleks teha Euroopa Andmekaitseinspektorile
taotluse korral kättesaadavaks, et kontrollida edastamise seaduslikkust.
(17) Konkreetsetel üksikjuhtudel võib juhtuda, et tavapärased menetlused, mis nõuavad
ühenduse võtmist kolmanda riigi pädeva asutusega, ei ole mõjusad või asjakohased,
eelkõige seetõttu, et andmeid ei saaks edastada õigeaegselt, või seetõttu, et kõnealune
kolmanda riigi asutus ei austa õigusriigi põhimõtteid või rahvusvahelisi
inimõigustealaseid norme ja standardeid. Selline olukord võib tekkida siis, kui
isikuandmeid on vaja edastada kiiresti kolmandas riigis asuvale eraõiguslikule
äriühingule, et saada teavet internetikuriteo toime pannud tundmatu isiku kohta, päästa
süüteo ohvriks langemise ohus oleva isiku elu või hoida ära lähiajal toimepandav
kuritegu, sealhulgas terroriakt. Sellistel juhtudel võiksid liikmesriikide pädevad
asutused kindlatel tingimustel otsustada edastada kasutatavad isikuandmed otse
kolmandas riigis asuvale vastuvõtjale, kes ei ole pädev asutus.
(18) Euroopa Andmekaitseinspektoril peaksid olema ühetaolised volitused, mida
kohaldatakse kasutatavate isikuandmete töötlemise suhtes õiguskaitse ja
kriminaalõiguse valdkonnas tegutsevates liidu organites ja asutustes. Sellised volitused
on juba alates 2022. aastast kehtinud Europoli suhtes, näiteks õigus anda vastutavale
töötlejale korraldus tagada määruse (EL) 2018/1725 järgimine, õigus anda korraldus
peatada andmevood liikmesriigis, kolmandas riigis või rahvusvahelises
organisatsioonis asuvale vastuvõtjale või õigus määrata korralduse täitmata jätmise
korral haldustrahv.
(19) Euroopa Andmekaitseinspektoriga konsulteeriti kooskõlas määruse (EL) 2018/1725
artikli 42 lõikega 1 ning ta esitas arvamuse XX XX 2026,
ON VASTU VÕTNUD KÄESOLEVA MÄÄRUSE:
Artikkel 1
Määruse (EL) 2018/1725 muudatused
Määrust (EL) 2018/1725 muudetakse järgmiselt.
1. Artiklit 2 muudetakse järgmiselt:
(a) lõige 2 asendatakse järgmisega:
„2. Kasutatavate isikuandmete töötlemisel liidu organite ja asutuste poolt
tegevustes, mis jäävad ELi toimimise lepingu kolmanda osa V jaotise 4. või
5. peatüki kohaldamisalasse, kohaldatakse üksnes käesoleva määruse
artikleid 3, 43, 44 ja 45 ning VII, VIII ja IX peatükki, ilma et see mõjutaks
selliste liidu organite ja asutuste suhtes kohaldatavaid andmekaitse erinorme.“;
(b) lõige 3 jäetakse välja.
2. Artikli 45 lõike 1 punktid d, e ja f asendatakse järgmisega:
„d) anda taotluse korral nõu vajaduse kohta teavitada isikuandmetega seotud
rikkumisest vastavalt artiklitele 34 ja 35 või 92 ja 93;
e) anda taotluse korral nõu seoses andmekaitsealase mõjuhinnanguga ning jälgida
selle toimimist vastavalt artiklile 39 või 89 ning konsulteerida Euroopa
Andmekaitseinspektoriga, kui tekib kahtlusi seoses andmekaitsealase mõjuhinnangu
vajalikkusega;
ET 11 ET
f) anda taotluse korral nõu seoses vajadusega konsulteerida eelnevalt Euroopa
Andmekaitseinspektoriga vastavalt artiklile 40 või 90; konsulteerida Euroopa
Andmekaitseinspektoriga, kui tekib kahtlusi seoses eelneva konsulteerimise
vajalikkusega;“.
3. Artikli 66 lõike 1 esimene lause asendatakse järgmisega:
„1. Euroopa Andmekaitseinspektor võib määrata liidu institutsioonile või asutusele
trahvi sõltuvalt konkreetse juhtumi asjaoludest, kui liidu institutsioon või asutus ei
suuda täita artikli 58 lõike 2 punktides d–h ja punktis j või artikli 95a lõike 3
punktides c, e, f, j ja k osutatud Euroopa Andmekaitseinspektori korraldust.“
4. Artikkel 70 jäetakse välja.
5. Artikli 77 lõige 1 asendatakse järgmisega:
„1. Otsus, millel on andmesubjektile õiguslikud tagajärjed või mis avaldab talle
samamoodi märkimisväärset mõju, võib põhineda ainult automatiseeritud
töötlemisel, sealhulgas profiilianalüüsil, üksnes juhul, kui see otsus on lubatud
vastutava töötleja suhtes kohaldatava liidu õigusega, mis sisaldab piisavaid meetmeid
andmesubjekti õiguste ja vabaduste kaitseks, vähemalt õigust vastutava töötleja
isiklikule sekkumisele.“
6. Artikli 78 lõige 4 asendatakse järgmisega:
„4. Vastutav töötleja esitab artikli 79 kohast teavet ning teavitab artiklite 80–84 ning
92 alusel toimunud suhtlusest või võetud meetmetest tasuta. Kui andmesubjekti
taotlused on selgelt põhjendamatud või ülemäärased, eelkõige nende korduva
iseloomu tõttu, või artikli 80 kohaste taotluste puhul seetõttu, et andmesubjekt
kuritarvitab isikuandmetega tutvumise õigust, kasutades seda muul eesmärgil kui
oma andmete kaitseks, võib vastutav töötleja keelduda taotluse alusel toimingu
tegemisest. Vastutav töötleja peab tõendama, et taotlus on selgelt põhjendamatu või
et on mõistlik alus arvata, et see on ülemäärane.“
7. Lisatakse järgmine artikkel 87a:
„Artikkel 87a
Kasutatavate isikuandmete töötlemise toimingute kategooriate registreerimine
1. Vastutav töötleja peab kõigi tema vastutusel tehtavate kasutatavate isikuandmete
töötlemise toimingute kategooriate registrit. Registreerimiskanne sisaldab järgmist
teavet:
a) vastutava töötleja kontaktandmed ning andmekaitseametniku nimi ja
kontaktandmed ning asjakohasel juhul kaasvastutava töötleja kontaktandmed;
b) töötlemise eesmärgid;
c) vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või
avalikustatakse, sealhulgas eraõiguslikud isikud ning kolmandates riikides olevad
vastuvõtjad või rahvusvahelised organisatsioonid;
d) andmesubjektide kategooriate ja isikuandmete liikide kirjeldus;
e) asjakohasel juhul profiilianalüüsi kasutamine;
f) asjakohasel juhul isikuandmete eraõiguslikule isikule, kolmandale riigile või
rahvusvahelisele organisatsioonile edastamise liigid;
ET 12 ET
g) teave isikuandmete kavandatava töötlemise toimingu (sealhulgas edastamise)
õigusliku aluse kohta;
h) võimaluse korral eri andmeliikide kustutamiseks ette nähtud tähtajad;
i) võimaluse korral artikli 91 lõikes 1 osutatud tehniliste ja korralduslike
turvameetmete üldine kirjeldus.
2. Volitatud töötleja peab kõigi vastutava töötleja nimel tehtavate isikuandmete
töötlemise toimingute kategooriate registrit, mis sisaldab järgmist teavet:
a) volitatud töötleja või volitatud töötlejate kontaktandmed, iga vastutava töötleja
kontaktandmed, kelle nimel volitatud töötleja tegutseb, ning andmekaitseametniku
kontaktandmed;
b) vastutava töötleja nimel tehtava töötlemise liigid;
c) asjakohasel juhul isikuandmete edastamine eraõiguslikule isikule, kolmandale
riigile või rahvusvahelisele organisatsioonile, kui vastutav töötleja andis selleks
sõnaselge korralduse, sealhulgas andmed kõnealuse kolmanda riigi või
rahvusvahelise organisatsiooni tuvastamiseks;
d) võimaluse korral artikli 91 lõikes 1 osutatud tehniliste ja korralduslike
turvameetmete üldine kirjeldus.
3. Lõigetes 1 ja 2 osutatud registreerimine on kirjalik, sealhulgas elektrooniline.
Taotluse korral teevad vastutav töötleja ja volitatud töötleja registri kättesaadavaks
Euroopa Andmekaitseinspektorile.“
8. Artikli 88 lõikele 1 lisatakse järgmine lause:
„Logifailide muutmine ei ole võimalik.“
9. Artikli 88 lõikele 3 lisatakse järgmine lause:
„Lõikes 1 osutatud logifailid edastatakse riigi pädevale asutusele, kui see asutus
vajab neid andmekaitsenormide järgimisega seotud konkreetse uurimise jaoks.“
10. Artikli 92 lõige 1 asendatakse järgmisega:
„1. Kui on toimunud isikuandmetega seotud rikkumine, mis võib tõenäoliselt kaasa
tuua suure ohu füüsiliste isikute õigustele ja vabadustele, teatab vastutav töötleja
isikuandmetega seotud rikkumisest Euroopa Andmekaitseinspektorile põhjendamatu
viivituseta ja võimaluse korral 96 tunni jooksul pärast sellest teada saamist. Kui
Euroopa Andmekaitseinspektorit teavitatakse hiljem kui 96 tunni jooksul, esitatakse
teates viivituse kohta põhjendus.“
11. Artikkel 94 asendatakse järgmisega:
„Artikkel 94
Kasutatavate isikuandmete kolmandatele riikidele ja rahvusvahelistele
organisatsioonidele edastamise üldpõhimõtted
1. Vastutav töötleja võib edastada kasutatavaid isikuandmeid kolmandale riigile või
rahvusvahelisele organisatsioonile, tingimusel et järgitakse kohaldatavaid
andmekaitsenorme ja käesoleva määruse muid sätteid, ning üksnes juhul, kui on
täidetud järgmised tingimused:
(a) andmete edastamine on vajalik vastutava töötleja ülesannete täitmiseks;
ET 13 ET
(b) kolmanda riigi ametiasutus või rahvusvaheline organisatsioon, kellele
kasutatavaid isikuandmeid edastatakse, on pädev õiguskaitse või
kriminaalõiguse küsimustes;
(c) kui kasutatavad isikuandmed, mida edastatakse, on vastutavale töötlejale
edastanud või kättesaadavaks teinud liikmesriik või liidu organ või asutus,
peab vastutav töötleja saama andmete edastamiseks asjaomase liikmesriigi
pädevalt asutuselt või asjaomaselt liidu organilt või asutuselt eelneva loa
kooskõlas tema suhtes kohaldatava õigusega, välja arvatud juhul, kui
kõnealune liikmesriik või liidu organ või asutus on andnud selliseks
edastamiseks kas üldise või konkreetsetel tingimustel kohaldatava loa;
(d) kui kolmas riik või rahvusvaheline organisatsioon saadab andmed edasi muule
kolmandale riigile või rahvusvahelisele organisatsioonile, peab asjaomane
kolmas riik või rahvusvaheline organisatsioon saama vastutavalt töötlejalt
selliseks edasisaatmiseks eelneva loa;
(e) vastutav töötleja annab punkti d kohase loa üksnes andmed algselt edastanud
liikmesriigi või liidu organi või asutuse eelneval loal ja asjakohasel juhul pärast
seda, kui ta on võtnud nõuetekohaselt arvesse kõiki asjakohaseid tegureid,
sealhulgas kuriteo raskust, kasutatavate isikuandmete algse edastamise
eesmärki ja kasutatavate isikuandmete kaitse taset selles kolmandas riigis või
rahvusvahelises organisatsioonis, kellele kasutatavad isikuandmed edasi
saadetakse.
2. Vastutav töötleja võib käesoleva artikli lõikes 1 sätestatud tingimustel kolmandale
riigile või rahvusvahelisele organisatsioonile kasutatavaid isikuandmeid edastada
juhul, kui on täidetud artiklis 94a, artiklis 94b, artiklis 94c või artiklis 94d sätestatud
tingimused.
3. Ilma et see mõjutaks artikli 94c kohaldamist, võib vastutav töötleja edastada
kasutatavaid isikuandmeid sellise riigi pädevale asutusele, kes on ühinenud
Schengeni acquis’ rakendamise, kohaldamise ja edasiarendamisega ning kes on
rakendanud direktiivi (EL) 2016/680 sätted ja direktiivi (EL) 2023/977 teabevahetust
käsitlevad sätted ning neid tegelikult kohaldab.
4. Vastutav töötleja võib kiireloomulistel juhtudel edastada kasutatavaid
isikuandmeid ilma lõike 1 punkti c kohase liikmesriigilt või liidu organilt või
asutuselt saadud eelneva loata. Vastutav töötleja teeb seda üksnes juhul, kui
kasutatavate isikuandmete edastamine on vajalik liikmesriigi või kolmanda riigi
avalikku julgeolekut ähvardava või liikmesriigi olulisi huve kahjustava vahetu ja
tõsise ohu ennetamiseks ning kui eelnevat luba ei ole võimalik õigeaegselt saada.
Eelneva loa andmise eest vastutavat asutust teavitatakse viivitamata.
5. Kõiki käesoleva peatüki sätteid isikuandmete rahvusvahelise edastamise kohta
kohaldatakse selleks, et tagada, et käesoleva määrusega tagatud füüsiliste isikute
kaitse taset ei kahjustata.“
12. Lisatakse järgmised artiklid:
„Artikkel 94a
Edastamine kaitse piisavuse otsuse alusel
Vastutav töötleja võib edastada kasutatavaid isikuandmeid kolmandale riigile või
rahvusvahelisele organisatsioonile, kui komisjon on vastavalt direktiivi
(EL) 2016/680 artiklile 36 teinud otsuse, et asjaomane kolmas riik või asjaomase
ET 14 ET
kolmanda riigi territoorium või asjaomase kolmanda riigi üks või mitu
kindlaksmääratud sektorit või asjaomane rahvusvaheline organisatsioon tagab
isikuandmete kaitse piisava taseme.
Artikkel 94b
Edastamine asjakohaste kaitsemeetmete kohaldamisel
1. Kaitse piisavuse otsuse puudumise korral võib vastutav töötleja edastada
kasutatavaid isikuandmeid kolmandale riigile või rahvusvahelisele organisatsioonile
järgmistel juhtudel:
(a) kasutatavate isikuandmete kaitseks võetavad asjakohased kaitsemeetmed on
sätestatud õiguslikult siduvas aktis
(b) või vastutav töötleja on hinnanud kõiki kasutatavate isikuandmete
edastamisega seotud asjaolusid ning leidnud, et kehtestatud on kõik
kasutatavate isikuandmete kaitse seisukohast asjakohased kaitsemeetmed.
2. Lõike 1 punkti a kohane õiguslikult siduv akt on:
(a) ELi toimimise lepingu artikli 218 kohaselt liidu ja asjaomase kolmanda riigi
või rahvusvahelise organisatsiooni vahel sõlmitud rahvusvaheline leping,
millega on ette nähtud asjakohased kaitsemeetmed seoses eraelu puutumatuse
ja isikuandmete kaitse ning üksikisikute muude põhiõiguste ja -vabaduste
kaitsega;
(b) enne 12. detsembrit 2019 otsuse 2002/187/JSK artikli 26a kohaselt Eurojusti ja
asjaomase kolmanda riigi või rahvusvahelise organisatsiooni vahel sõlmitud
koostööleping, mis võimaldab kasutatavaid isikuandmeid vahetada, või
(c) enne 1. maid 2017 otsuse 2009/371/JSK artikli 23 kohaselt Europoli ja
asjaomase kolmanda riigi või rahvusvahelise organisatsiooni vahel sõlmitud
koostööleping, mis võimaldab kasutatavaid isikuandmeid vahetada.
3. Liidu organid ja asutused võivad sõlmida koostöökokkuleppeid, et määrata
kindlaks lõikes 2 osutatud lepingute rakendamise kord.
4. Vastutav töötleja teatab Euroopa Andmekaitseinspektorile lõike 1 punkti b kohaste
edastamiste liigid.
5. Kui edastamine põhineb lõike 1 punktil b, siis selline edastamine
dokumenteeritakse ning dokumendid tehakse taotluse korral kättesaadavaks Euroopa
Andmekaitseinspektorile. Dokumendid peavad sisaldama edastamise kuupäeva ja
kellaaega ning teavet vastuvõtva pädeva asutuse, edastamise põhjenduse ja edastatud
kasutatavate isikuandmete kohta.
Artikkel 94c
Erandid eriolukordade puhuks
1. Kaitse piisavuse otsuse või artikliga 94b ette nähtud asjakohaste kaitsemeetmete
puudumise korral võib vastutav töötleja edastada kasutatavaid isikuandmeid
kolmandale riigile või rahvusvahelisele organisatsioonile üksnes tingimusel, et
edastamine on vajalik:
(a) andmesubjekti või teise isiku eluliste huvide kaitsmiseks;
(b) andmesubjekti õigustatud huvide kaitsmiseks;
ET 15 ET
(c) liikmesriigi või kolmanda riigi avalikku julgeolekut ähvardava vahetu ja tõsise
ohu ennetamiseks
(d) või konkreetsetel juhtudel vastutava töötleja ülesannete täitmiseks, välja
arvatud juhul, kui vastutav töötleja teeb kindlaks, et asjaomase andmesubjekti
põhiõigused ja -vabadused kaaluvad üles edastamisega seotud avaliku huvi.
2. Kui edastamine põhineb lõikel 1, siis selline edastamine dokumenteeritakse ning
dokumendid tehakse taotluse korral kättesaadavaks Euroopa
Andmekaitseinspektorile. Dokumendid peavad sisaldama edastamise kuupäeva ja
kellaaega ning teavet vastuvõtva pädeva asutuse, edastamise põhjenduse ja edastatud
kasutatavate isikuandmete kohta.
Artikkel 94d
Kasutatavate isikuandmete edastamine kolmandas riigis asuvale vastuvõtjale
1. Erandina artikli 94 lõike 1 punktist b ja ilma et see mõjutaks käesoleva artikli
lõikes 2 osutatud rahvusvaheliste lepingute kohaldamist, võib vastutav töötleja
üksikutel erijuhtumitel edastada kasutatavaid isikuandmeid kolmandas riigis asuvale
vastuvõtjale otse üksnes juhul, kui on täidetud kõik järgmised tingimused:
(a) edastamine on rangelt vajalik vastutava töötleja ülesannete täitmiseks
eesmärkidel, milleks kasutatavaid isikuandmeid on lubatud töödelda;
(b) vastutav töötleja teeb kindlaks, et ükski asjaomase andmesubjekti põhiõigus
ega -vabadus ei kaalu konkreetse juhtumi puhul üles avalikku huvi, mis
edastamise vajalikuks teeb;
(c) vastutav töötleja leiab, et edastamine kolmanda riigi pädevale asutusele ei ole
mõjus või asjakohane, eelkõige sellepärast, et seda ei ole võimalik teha
õigeaegselt;
(d) kolmanda riigi pädevat asutust teavitatakse põhjendamatu viivituseta, välja
arvatud juhul, kui see ei ole mõjus või asjakohane;
(e) vastutav töötleja teavitab vastuvõtjat konkreetsest eesmärgist või
konkreetsetest eesmärkidest, milleks vastuvõtja kasutatavaid isikuandmeid
töödelda tohib, eeldusel et selline töötlemine on vajalik.
2. Lõikes 1 osutatud rahvusvaheline leping on Euroopa Liidu ja kolmandate riikide
vaheline jõusolev kahepoolne või mitmepoolne rahvusvaheline leping
kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas.
3. Kui edastamine põhineb lõikel 1, siis selline edastamine, sealhulgas edastamise
kuupäev ja kellaaeg ning teave vastuvõtva pädeva asutuse, edastamise põhjenduse ja
edastatud kasutatavate isikuandmete kohta, dokumenteeritakse ning dokumendid
tehakse taotluse korral kättesaadavaks Euroopa Andmekaitseinspektorile.“
13. Lisatakse järgmine artikkel 95a:
„Artikkel 95a
Euroopa Andmekaitseinspektori teostatav järelevalve
1. Euroopa Andmekaitseinspektori ülesanne on jälgida ja tagada, et kohaldataks
sätteid, mis käsitlevad füüsiliste isikute põhiõiguste ja -vabaduste kaitsmist
kasutatavate isikuandmete töötlemisel liidu organites ja asutustes, samuti nõustada
liidu organeid ja asutusi ning andmesubjekte kõikides kasutatavate isikuandmete
töötlemisega seotud küsimustes. Selleks täidab ta lõikes 2 sätestatud ülesandeid ja
ET 16 ET
kasutab lõikega 3 antud volitusi, tehes samal ajal tihedat koostööd riiklike
järelevalveasutustega.
2. Euroopa Andmekaitseinspektoril on järgmised ülesanded:
a) kuulata ära ja uurida kaebusi ning teavitada andmesubjekti mõistliku aja jooksul
tulemusest; teostada kas omal algatusel või kaebuse alusel uurimisi ning teavitada
andmesubjekti mõistliku aja jooksul tulemusest;
b) jälgida ja tagada, et kohaldataks käesolevat määrust ja kõiki muid liidu õigusakte,
mis käsitlevad füüsiliste isikute kaitsmist kasutatavate isikuandmete töötlemisel liidu
organites ja asutustes;
c) nõustada kas omal algatusel või konsultatsiooni korras liidu organeid ja asutusi
kõikides kasutatavate isikuandmete töötlemisega seotud küsimustes, eelkõige enne
seda, kui liidu organ või asutus koostab oma sise-eeskirja põhiõiguste ja -vabaduste
kaitse kohta kasutatavate isikuandmete töötlemisel;
d) pidada registrit talle teatatud uut liiki töötlemistoimingute kohta;
e) viia läbi eelnev konsulteerimine seoses töötlemisega, millest talle on teatatud.
3. Käesoleva määruse alusel võib Euroopa Andmekaitseinspektor:
a) nõustada andmesubjekte nende õiguste kasutamisel;
b) edastada kasutatavate isikuandmete töötlemist käsitlevate sätete väidetava
rikkumise korral asja arutamiseks asjaomasele liidu organile või asutusele ning teha
asjakohasel juhul ettepanekuid rikkumise kõrvaldamiseks ja andmesubjektide kaitse
parandamiseks;
c) anda korralduse rahuldada taotlus kasutatavate isikuandmete suhtes teatavaid
õigusi kasutada, kui sellise taotluse tagasilükkamisega on rikutud andmesubjekti
õiguste kohta kehtivaid norme;
d) hoiatada liidu organit või asutust või teha talle märkuse;
e) anda liidu organile või asutusele korralduse isikuandmeid parandada, nende
töötlemist piirata, need kustutada või need hävitada, kui nende töötlemisel on rikutud
kasutatavate isikuandmete töötlemist reguleerivaid sätteid, ning teavitada sellest
meetmest kolmandaid isikuid, kellele sellised andmed on avaldatud;
f) keelata liidu organil või asutusel ajutiselt või alaliselt teha töötlemistoiminguid,
millega rikutakse kasutatavate isikuandmete töötlemist reguleerivaid sätteid;
g) edastada asja arutamiseks asjaomasele liidu organile või asutusele ja vajaduse
korral Euroopa Parlamendile, nõukogule ja komisjonile;
h) edastada asja arutamiseks Euroopa Liidu Kohtule ELi toimimise lepingus
sätestatud tingimustel;
i) sekkuda Euroopa Liidu Kohtusse antud asjade arutamisse;
j) anda korralduse, et vastutav töötleja või volitatud töötleja viiks asjakohasel juhul
isikuandmete töötlemise toimingud teatud viisil ja teatud aja jooksul vastavusse
käesoleva määrusega ning kohaldatavuse korral liidu organi või asutuse
asutamisaktis sätestatud andmekaitse-eeskirjadega;
k) anda korralduse peatada liikmesriigis või kolmandas riigis asuvale vastuvõtjale
või rahvusvahelisele organisatsioonile suunatud andmevoog;
ET 17 ET
l) määrata artikli 66 kohaselt haldustrahvi, kui liidu organ või asutus ei täida mõnda
käesoleva lõike punktides c, e, f, j ja k osutatud meedet, sõltuvalt iga üksikjuhtumi
asjaoludest.
4. Euroopa andmekaitseinspektoril on õigus:
a) saada liidu organilt või asutuselt juurdepääs kõigile kasutatavatele isikuandmetele
ja kogu teabele, mida ta oma päringuteks vajab;
b) pääseda kõikidesse tööruumidesse, kus liidu organ või asutus tegutseb, kui on
alust arvata, et seal tehakse käesolevas peatükis käsitletud toiminguid.
5. Euroopa Andmekaitseinspektor koostab igal aastal aruande järelevalvetoimingute
kohta, mida ta on teinud käesoleva peatüki kohaldamisalasse kuuluvate vastutavate
töötlejate suhtes. See aruanne on osa artiklis 60 osutatud Euroopa
Andmekaitseinspektori iga-aastasest aruandest.
Euroopa Andmekaitseinspektor palub riiklikel järelevalveasutustel esitada enne iga-
aastase aruande vastuvõtmist oma tähelepanekud aruande kõnealuse osa kohta.
Euroopa Andmekaitseinspektor võtab neid tähelepanekuid hoolikalt arvesse ning
osutab neile oma iga-aastases aruandes.
Teises lõigus osutatud iga-aastase aruande osa sisaldab statistilisi andmeid, mis
käsitlevad kaebusi, uurimisi ja juurdlusi, isikuandmete edastamist kolmandatele
riikidele ja rahvusvahelistele organisatsioonidele, Euroopa Andmekaitseinspektoriga
eelneva konsulteerimise juhtumeid ning käesoleva artikli lõikes 3 sätestatud volituste
kasutamist.
6. Euroopa Andmekaitseinspektor ning Euroopa Andmekaitseinspektori sekretariaadi
ametnikud ja muud töötajad on artikli 95 kohaselt seotud
konfidentsiaalsuskohustusega.“
Artikkel 2
Jõustumine
1. Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa
Liidu Teatajas.
2. Kasutatavate isikuandmete töötlemise suhtes Euroopa Prokuratuuris kohaldatakse
käesolevat määrust alates [uue Euroopa Prokuratuuri käsitleva määruse kohaldamise
alguskuupäev].
Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.
Brüssel,
Euroopa Parlamendi nimel Nõukogu nimel
eesistuja eesistuja
[...] [...]
Resolutsiooni liik: Riigikantselei resolutsioon Viide: Justiits- ja Digiministeerium / / ; Riigikantselei / / 2-5/26-01451
Resolutsiooni teema: Füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist käsitleva määruse (EL) 2018/1725 muutmine
Adressaat: Justiits- ja Digiministeerium Ülesanne: Tulenevalt Riigikogu kodu- ja töökorra seaduse § 152` lg 1 p 2 ning Vabariigi Valitsuse reglemendi § 3 lg 4 palun valmistada ette Vabariigi Valitsuse seisukoha ja otsuse eelnõu järgneva algatuse kohta, kaasates seejuures olulisi huvigruppe ja osapooli:
- Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) 2018/1725 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, COM(2026)314
EISi toimiku nr: 26-0263 Tähtaeg: 28.08.2026
Adressaat: Siseministeerium Ülesanne: Palun esitada oma sisend Justiits - ja Digiministeeriumile seisukohtade kujundamiseks antud eelnõu kohta (eelnõude infosüsteemi (EIS) kaudu). Tähtaeg: 07.08.2026
Lisainfo: Eelnõu on kavas arutada valitsuse 10.09.2026 istungil ja Vabariigi Valitsuse reglemendi § 6 lg 6 kohaselt sellele eelneval nädalal (02.09.2026) EL koordinatsioonikogus. Esialgsed materjalid EL koordinatsioonikoguks palume esitada hiljemalt 28.08.2026.
Kinnitaja: Nele Grünberg, Euroopa Liidu asjade direktori asetäitja Kinnitamise kuupäev: 16.07.2026 Resolutsiooni koostaja: Sandra Metste [email protected],
.