| Dokumendiregister | Riigikantselei |
| Viit | 26-01451-1 |
| Registreeritud | 16.07.2026 |
| Sünkroonitud | 17.07.2026 |
| Liik | |
| Funktsioon | |
| Sari | 02 Vabariigi Valitsuse istungite ja nõupidamiste ettevalmistamine ja korraldamine/2-5 Vabariigi Valitsuse otsuste alusdokumendid |
| Toimik | |
| Juurdepääsupiirang | Avalik |
| Adressaat | Justiits- ja Digiministeerium, Siseministeerium |
| Saabumis/saatmisviis | Justiits- ja Digiministeerium, Siseministeerium |
| Vastutaja | |
| Originaal | Ava uues aknas |
| Taotle dokumendi eemaldamist või parandamist |
Resolutsiooni liik: Riigikantselei resolutsioon Viide: Justiits- ja Digiministeerium / / ; Riigikantselei / / 2-5/26-01451
Resolutsiooni teema: Füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist käsitleva määruse (EL) 2018/1725 muutmine
Adressaat: Justiits- ja Digiministeerium Ülesanne: Tulenevalt Riigikogu kodu- ja töökorra seaduse § 152` lg 1 p 2 ning Vabariigi Valitsuse reglemendi § 3 lg 4 palun valmistada ette Vabariigi Valitsuse seisukoha ja otsuse eelnõu järgneva algatuse kohta, kaasates seejuures olulisi huvigruppe ja osapooli:
- Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) 2018/1725 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, COM(2026)314
EISi toimiku nr: 26-0263 Tähtaeg: 28.08.2026
Adressaat: Siseministeerium Ülesanne: Palun esitada oma sisend Justiits - ja Digiministeeriumile seisukohtade kujundamiseks antud eelnõu kohta (eelnõude infosüsteemi (EIS) kaudu). Tähtaeg: 07.08.2026
Lisainfo: Eelnõu on kavas arutada valitsuse 10.09.2026 istungil ja Vabariigi Valitsuse reglemendi § 6 lg 6 kohaselt sellele eelneval nädalal (02.09.2026) EL koordinatsioonikogus. Esialgsed materjalid EL koordinatsioonikoguks palume esitada hiljemalt 28.08.2026.
Kinnitaja: Nele Grünberg, Euroopa Liidu asjade direktori asetäitja Kinnitamise kuupäev: 16.07.2026 Resolutsiooni koostaja: Sandra Metste [email protected],
.
EN EN
EUROPEAN COMMISSION
Brussels, 23.6.2026
COM(2026) 314 final
2026/0173 (COD)
Proposal for a
REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
amending Regulation (EU) 2018/1725 of the European Parliament and of the Council on
the protection of natural persons with regard to the processing of personal data by the
Union institutions, bodies, offices and agencies and on the free movement of such data
EN 1 EN
EXPLANATORY MEMORANDUM
1. CONTEXT OF THE PROPOSAL
• Reasons for and objectives of the proposal
Regulation (EU) 2018/1725 on the protection of natural persons with regard to the processing
of personal data by the EU institutions, bodies, offices and agencies (EUDPR) was designed
to establish a coherent and modernised data protection regime for all EU institutions, bodies,
offices, and agencies. Chapter IX of Regulation (EU) 2018/1725 was specifically intended to
govern the processing of ‘operational personal data’ (that is the personal data processed for
carrying out activities which fall within the scope of Chapter 4 or Chapter 5 of Title V of Part
Three TFEU) by EU Justice and Home Affairs (JHA) agencies and bodies, including Europol,
Eurojust, the European Public Prosecutor’s Office (EPPO), and, to a limited extent, Frontex.
Notwithstanding the adoption of the EUDPR, the data protection framework applicable to EU
JHA agencies and bodies remains fragmented. In particular, Chapter IX does not apply to the
EPPO, whose founding Regulation predates the EUDPR. As a result, certain provisions of the
EPPO Regulation diverge in substance from, or are formulated differently than the
corresponding provisions set out in Chapter IX of the EUDPR. Furthermore, the EUDPR
provides that, with respect to the processing of operational personal data, only Article 3
(definitions) and Chapter IX are applicable. On the one hand, this has resulted in retaining
provisions regulating certain aspects relating to processing of operational personal data in
founding acts of the respective bodies, offices or agencies. On the other hand, it has given rise
to legal uncertainty as to whether, and to what extent, provisions contained in Chapter II to
VIII such as those relating to records of processing activities or the data protection officer's
tasks apply in situations where analogous provisions do not exist either in Chapter IX or in the
founding acts of the relevant bodies, offices or agencies. This fragmentation not only
undermines legal certainty but also creates practical obstacles to effective cooperation
between EU bodies, offices and agencies when sharing data. In its first EUDPR application
report of 2022, the Commission acknowledged these shortcomings and considered legislative
intervention to address them.
In this context, the present proposal pursues the objectives of simplification and ensuring
consistency of the applicable data protection framework, notably by aligning the relevant
rules across EU bodies and agencies. This alignment is expected to alleviate administrative
burdens and facilitate data exchanges between them, while at the same time enhancing legal
certainty. In the interest of consistency and in line with the general objective of minimising
the fragmentation of data protection rules the proposal rests upon four primary objectives:
Ensuring consistent application of data protection to all EU institutions, bodies, offices
and agencies
Chapter IX needs to have an extended scope to ensure it applies consistently across all EU
agencies, bodies and offices in the criminal justice and law enforcement sector. It
will integrate the EPPO into the EUDPR framework. This will be done without prejudice to
the possibility to keep, in the EPPO Regulation, the specific data protection rules needed to
reflect the unique nature of the EPPO as the independent public prosecutor's office of the
Union. The rules in Chapter IX are already aligned with the corresponding rules of the Law
Enforcement Directive (EU) 2016/680 and will result in a single, harmonised set of rules for
all affected parties to reduce fragmentation and ensure consistency of rules applied.
Enhancing legal certainty
EN 2 EN
At present, Chapter IX lacks provisions on several important aspects, including the role of
Data Protection Officers (DPOs), the maintenance of records of processing activities,
collaboration between supervisory authorities, and the international transfer of operational
personal data. The proposal aims to consolidate the rules in one place, streamlining
compliance without imposing a significant operational impact. This will also provide greater
clarity for controllers, processors, and data subjects.
Streamlining the powers of the European Data Protection Supervisor
Currently, the EDPS's supervisory powers are regulated in founding acts of Europol, Eurojust
and the EPPO, each containing divergent provisions, leading to uncertainty and inefficiencies.
The founding act of Frontex does not regulate the EDPS supervision for processing
operational data, resulting in an important asymmetry.
The proposal seeks to clarify that the EDPS is granted supervisory powers which are in line
with those under Article 58 EUDPR, however adapted to the context of processing
operational data, notably for the EPPO in the context of investigation and prosecution
activities. In that respect, the proposal follows the model for EDPS powers from 2022
Europol reform, while ensuring consistency with Chapter VI of the EUDPR and the Law
Enforcement Directive (LED). The proposal removes agency-specific provisions on EDPS
tasks and powers from founding acts.
General streamlining
Finally, the proposal aims to streamline provisions to eliminate redundancies, duplications
and inconsistencies in the area of data protection for JHA Union bodies, offices and agencies
when carrying out the activities falling within the scope of Chapter 4 and 5 of Title V of Part
Three TFEU. It also aligns the provisions on processing of operational data with the Digital
Omnibus proposal(1), when relevant.
• Consistency with existing policy provisions in the policy area
The proposal aims to align the provisions of the EUDPR with existing data protection
policies, reinforcing the principles established in the General Data Protection Regulation
(GDPR) and the LED. It ensures alignment with amendments to data protection framework
proposed under Digital Omnibus, when relevant.
• Consistency with other Union policies
The proposal is part of a package of criminal justice initiatives pursuing a coherent and
complementary objective: strengthening the Union’s capacity to prevent, detect, investigate
and prosecute serious cross-border crime in an increasingly complex security environment.
By modernising the legal frameworks governing cooperation between law enforcement,
judicial and other relevant authorities, the package seeks to reinforce the effectiveness,
coherence and interoperability of the Union’s internal security architecture.
The proposed revisions of the Europol and Eurojust Regulations constitute the core of this
effort. Europol and Eurojust perform distinct yet complementary functions within the Area of
Freedom, Security and Justice: while Europol supports the prevention, detection and
investigation of criminal activities, Eurojust facilitates judicial cooperation and ensures
effective prosecutorial and judicial follow-up. The package therefore aims to strengthen
(1) Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 and
Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital
legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868,
and Directive (EU) 2019/1024 (Digital Omnibus), 19.11.2025, COM(2025)837 final.
EN 3 EN
cooperation and complementarity between the two agencies, as well as with other relevant
Union actors in the Justice and Home Affairs and Anti-Fraud Architecture (AFA) areas, with
a view to ensuring a seamless continuum between law enforcement action and judicial follow-
up across all stages of the criminal justice chain.
In this context, the amendments to the European Investigation Order framework and the
present proposal further contribute to this objective by facilitating effective cross-border
cooperation, improving the conditions for information exchange and ensuring a coherent legal
framework adapted to operational realities and technological developments. Taken together,
the measures proposed in this package will enhance the Union’s ability to respond to evolving
security threats while fully respecting fundamental rights, the rule of law and the division of
responsibilities between the different actors involved.
In particular, this proposal identifies all common denominators of data protection rules
applicable to Europol and Eurojust, and regroups them in the EUDPR, thereby removing
fragmentation and duplication. This allows the founding acts of Union bodies, offices and
agencies active in the area of law enforcement and criminal justice to maintain only those
tailored-made data protection rules, developed to reflect their respective specific operational
needs and nature.
The proposal is adopted in parallel with the revisions of the Europol and Eurojust
Regulations, ensuring coherence and alignment across the respective legal frameworks. It also
anticipates the forthcoming revision of the EPPO founding act Regulation (EU) 2017/1939(2),
taking into consideration its future developments and without prejudice to the assessment of
the possible policy options for the revision of the EPPO Regulation. This coordinated
approach contributes to a comprehensive and consistent framework for processing operational
data by Union bodies and agencies.
2. LEGAL BASIS, SUBSIDIARITY AND PROPORTIONALITY
• Legal basis
The protection of natural persons in relation to the processing of their personal data is a
fundamental right laid down in Article 8(1) of the Charter of Fundamental Rights of the
European Union.
This proposal is based on Article 16 TFEU, which is the legal basis for adopting data
protection rules. This Article allows for the adoption of rules relating to the protection of
individuals with regard to the processing of personal data by the Union institutions, bodies,
offices and agencies when carrying out activities which fall within the scope of Union law. It
also allows for the adoption of rules relating to the free movement of personal data, including
personal data processed by those institutions, bodies, offices and agencies.
• Subsidiarity (for non-exclusive competence)
Not Applicable
• Proportionality
Not Applicable
• Choice of the instrument
Not Applicable
(2) Council Regulation (EU) 2017/1939 of 12 October 2017 implementing enhanced cooperation on the
establishment of the European Public Prosecutor’s Office (‘the EPPO’) (OJ L 283, 31.10.2017, pp. 1–
71, ELI: http://data.europa.eu/eli/reg/2017/1939/oj)
EN 4 EN
3. RESULTS OF EX-POST EVALUATIONS, STAKEHOLDER
CONSULTATIONS AND IMPACT ASSESSMENTS
• Ex-post evaluations/fitness checks of existing legislation
The Commission's 2022 first EUDPR application report concluded that, overall, the EUDPR
is working well and is fit for purpose. At the same time, it identified the need for legislative
intervention to minimise the fragmentation of data protection rules for EU institutions and
bodies processing operational personal data when carrying out activities in the scope of police
cooperation and judicial cooperation in criminal matters (Chapter IX of the EUDPR, the ‘law
enforcement chapter’).
• Stakeholder consultations
Targeted stakeholder consultations were carried out with all the entities currently or subject in
the future to Chapter IX EUDPR (i.e. Europol, Eurojust, the EPPO, Frontex) as well as the
European Data Protection Supervisor, which is in charge of overseeing compliance.
• Collection and use of expertise
Not Applicable
• Impact assessment
An impact assessment is not considered appropriate for this initiative due to its limited scope
and largely technical nature of the proposed amendments. The proposal targets specific
provisions of the EUDPR, affecting only a small group of EU entities in the field of judicial
cooperation in criminal matters and police cooperation, without altering the overall
framework. The changes aim at ensuring a better harmonised regime and do not involve new
policy options, and are expected to have minimal, non-quantifiable impact on fundamental
rights, and no economic, social, or environmental, implications. Additionally, the relevant
agencies are already subject to separate evaluations and impact assessments including with
regard to the data protection rules applicable to them. A separate assessment under the
EUDPR would duplicate this exercise. The proposal aligns with the prior commitment of the
Commission in its first EUDPR application report of 2022 and a further evaluation of the
EUDPR is envisaged in 2027. Finally, subsidiarity concerns do not arise, as the EUDPR
applies exclusively to EU bodies, which cannot be regulated by Member States.
• Regulatory fitness and simplification
The proposal harmonises and simplifies the data protection rules applicable to Union
agencies, offices and bodies active in the area of criminal law enforcement and criminal
justice. By streamlining existing rules, it enhances legal clarity and consistency across the
institutional framework, thereby facilitating their application and reducing administrative
complexity. While the benefits are not readily quantifiable, the proposal is expected to lower
compliance costs and administrative burdens associated with navigating different or
overlapping requirements. The proposal also supports the development of any inter-actor
exchange mechanism considered in the context of the Anti-Fraud Architecture review.
• Fundamental rights
The targeted nature of the changes ensures that existing level of data protection is maintained,
while providing for improvements as regards consistency of applicable rules and further
harmonisation.
EN 5 EN
4. BUDGETARY IMPLICATIONS
Not Applicable
5. OTHER ELEMENTS
• Implementation plans and monitoring, evaluation and reporting arrangements
Not Applicable
• Detailed explanation of the specific provisions of the proposal
Article 1 covers amendments to Regulation (EU) 2018/1725 on the protection of natural
persons with regard to the processing of personal data by the EU institutions, bodies, offices
and agencies.
Paragraph (1) replaces paragraph 2 of Article 2 and broadens the scope of application of
Articles 43, 44, 45, and Chapters VII and VIII of Regulation (EU) 2018/1725 to the
processing of operational personal data by Union bodies, offices and agencies, without
prejudice to specific data protection rules applicable to Union bodies, offices or agencies. It
also deletes paragraph 3 of Article 2, thereby extending the application of the EUDPR to the
EPPO, without however undermining the need to retain, in the EPPO Regulation, specific
data protection rules that account for the EPPO's distinct nature as the independent
investigative and prosecutorial authority of the Union.
Paragraph (2) provides for technical adjustments to the wording of Article 45 on tasks of the
Data Protection Officer, and ensures that said tasks cover also processing of operational data.
Paragraph (3) ensures that the European Data Protection Supervisor’s power under Article 66
of Regulation (EU) 2018/1725 to impose administrative fines extends to the processing of
operational personal data by Union bodies, offices and agencies.
Paragraph (4) deletes Article 70 of Regulation (EU) 2018/1725, which is obsolete in light of
defining the provisions applicable to the processing of operational data in Article 2(2).
Paragraph (5) amends Article 77 of Regulation (EU) 2018/1725 to ensure alignment with the
Digital Omnibus proposal and to enhance legal certainty, by specifying that decisions based
solely on the automated processing of operational personal data are permissible where
specific conditions are satisfied.
Paragraph (6) amends Article 78 of Regulation (EU) 2018/1725 to ensure alignment with the
Digital Omnibus proposal by clarifying the notion of abusive requests in the context of the
right of access. In particular, it specifies that a request may be considered manifestly
unfounded where the data subject relies on the right of access for purposes other than the
protection of their data. In such cases, the controller may refuse to act on the request, while
remaining subject to the obligation to demonstrate that the request is manifestly unfounded or
excessive.
Paragraph (7) introduces a new Article 87a in Regulation (EU) 2018/1725 on record-keeping
for operational personal data, in alignment with the rules of the LED.
Paragraphs (8) and (9) add additional safeguards to Article 88 of Regulation (EU) 2018/1725
on logging.
Paragraph (10) amends Article 92(1) of Regulation (EU) 2018/1725 to ensure alignment
with the Digital Omnibus proposal by extending the deadline for notifying a personal data
breach to the European Data Protection Supervisor from 72 hours to 96 hours. It also raises
EN 6 EN
the notification threshold by providing that notification is required only where the personal
data breach is likely to result in a high risk to the rights and freedoms of natural persons.
Paragraphs (11) and (12) streamline the legal framework governing transfers of operational
personal data to third countries and international organisations, by aligning them with
framework set up in Directive (EU) 2016/680. The amendments provide a uniform set of rules
applicable to Union bodies, offices and agencies active in area of the criminal law
enforcement and criminal justice, while taking into account their specific operational and
legal context, including cooperation agreements. They provide that transfers to countries with
an adequacy decision are permitted without further authorisation; in the absence of an
adequacy decision, transfers are allowed if appropriate safeguards are in place through a
legally binding instrument, or a controller’s assessment; and in specific scenarios where
neither an adequacy decision nor appropriate safeguards exist, certain derogations apply.
Finally, they also provide for transfers of operational personal data to recipients who are not
competent authorities established in third countries in specific cases provided that the
conditions listed therein are met, including when contacting a competent authority in third
country may be ineffective or inappropriate and that the transfer is strictly necessary for the
performance of the controller’s tasks.
Paragraph (13) streamlines the powers of the European Data Protection Supervisor for
operational personal data for all Union bodies, offices and agencies active in the area of
criminal law enforcement and criminal justice, in line with the powers of the European Data
Protection Supervisor applicable to Europol as of 2022.
Article 2 clarifies when new provisions enter into force.
EN 7 EN
2026/0173 (COD)
Proposal for a
REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
amending Regulation (EU) 2018/1725 of the European Parliament and of the Council on
the protection of natural persons with regard to the processing of personal data by the
Union institutions, bodies, offices and agencies and on the free movement of such data
THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION,
Having regard to the Treaty on the Functioning of the European Union, and in particular
Article 16(2) thereof,
Having regard to the proposal from the European Commission,
After transmission of the draft legislative act to the national Parliaments,
Acting in accordance with the ordinary legislative procedure,
Whereas:
(1) The protection of natural persons in relation to the processing of personal data is a
fundamental right. Article 8(1) of the Charter of Fundamental Rights of the European
Union and Article 16(1) of the Treaty on the Functioning of the European Union
(TFEU) provide that everyone has the right to the protection of personal data
concerning him or her. This right is also guaranteed under Article 8 of the European
Convention for the Protection of Human Rights and Fundamental Freedoms.
(2) Regulation (EU) 2018/1725 of the European Parliament and of the Council (1)
establishes the legal framework for the processing of personal data by Union
institutions, bodies, offices and agencies. However, the data protection rules on the
processing of operational personal data of by Union bodies, offices and agencies when
carrying out activities which fall within the scope of Chapter 4 or Chapter 5 of Title V
of Part Three TFEU remain laid down in a fragmented manner between Chapter IX of
Regulation (EU) 2018/17/25 and other Union legal acts. Article 98 of that Regulation
requires the Commission to review the rules applicable to the processing of
operational personal data, with a view to identifying possible inconsistencies, gaps and
divergences. It also provides that the Commission, where appropriate, addresses
identified shortcomings by a legislative proposal, in particular to extend the
application of Chapter IX to the European Public Prosecutor’s Office (EPPO)
established by Council Regulation (EU) 2017/1939(2), as appropriate, and to introduce
the necessary adaptations to that Chapter. In its first application report on the
Regulation (EU) 2018/1725, the Commission confirmed the Regulation's overall
(1) Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the
protection of natural persons with regard to the processing of personal data by the Union institutions,
bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No
45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39, ELI:
http://data.europa.eu/eli/reg/2018/1725/oj). (2) Council Regulation (EU) 2017/1939 of 12 October 2017 implementing enhanced cooperation on the
establishment of the European Public Prosecutor’s Office (‘the EPPO’) (OJ L 283, 31.10.2017, p. 1,
ELI: http://data.europa.eu/eli/reg/2017/1939/oj).
EN 8 EN
effectiveness in ensuring a high level of protection of personal data, while highlighting
a number of inconsistencies, divergencies and legal fragmentation arising from the
interplay between Chapter IX and the other provisions of Regulation (EU) 2018/1725,
as well as the existence of a standalone data protection regime for the EPPO.
(3) Currently, only Article 3 and Chapter IX of Regulation (EU) 2018/1725 apply to the
processing of operational personal data, together with a number of specific data
protection rules laid down in the founding acts of the European Union Agency for Law
Enforcement Cooperation (Europol) and the European Union Agency for Criminal
Justice Cooperation (Eurojust). At the same time, the EPPO has its own, standalone
data protection regime in its founding act. Therefore, Regulation (EU) 2018/1725
should be amended in order to extend the application of its Chapter IX to all Union
bodies, offices and agencies processing operational personal data in the law
enforcement and criminal justice sector, to ensure legal certainty by addressing gaps in
the current data protection regime, in particular for the European Border and Coast
Guard Agency and to streamline the rules on international transfers of personal data,
as well as the rules on the powers of the European Data Protection Supervisor. That
should not affect the possibility to keep, in Regulation (EU) 2017/1939, the specific
data protection rules needed to reflect the unique nature of the EPPO as the
independent public prosecutor's office of the Union.
(4) In order to create a harmonised, consistent, simplified and complete legal framework
for processing of operational personal data by Union bodies, offices and agencies, the
definitions (Chapter I), the rules on data protection officers (Section 6 of Chapter IV),
the rules on cooperation and consistency (Chapter VII), the rules on remedies, liability
and penalties (Chapter VIII) and the rules on processing of operational personal data
(which should be aligned with Directive (EU) 2016/680 of the European Parliament
and of the Council(3) – Chapter IX) laid down in Regulation (EU) 2018/1725 should
apply to Union bodies, offices and agencies when carrying out activities which fall
within the scope of Chapter 4 or Chapter 5 of Title V of Part Three TFEU. Those rules
should apply where they exercise such activities for the purposes of the prevention,
detection, investigation or prosecution of criminal offences. Those rules, , should also
apply to the processing of operational personal data by the European Border and Coast
Guard Agency, rather than only Chapter IX of Regulation (EU) 2018/1725.The rules
of Regulation (EU) 2018/1725 should apply without affecting the specific rules
applicable to the processing of operational personal data by Union bodies, offices and
agencies when carrying out activities falling within the scope of Chapter 4 or Chapter
5 of Title V of Part Three TFEU, in particular the rules laid down in the founding acts
of Europol, Eurojust and EPPO. Such specific rules should be regarded as lex specialis
to the provisions of Regulation (EU) 2018/1725 on the processing of operational
personal data.
(5) A data protection officer within all Union institutions and bodies should ensure that all
data protection rules, including Regulation (EU) 2018/1725 are applied. Officers
should also advise controllers and processors as to their obligations. In order to ensure
(3) Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the
protection of natural persons with regard to the processing of personal data by competent authorities for
the purposes of the prevention, investigation, detection or prosecution of criminal offences or the
execution of criminal penalties, and on the free movement of such data, and repealing Council
Framework Decision 2008/977/JHA (OJ L 119, 4.5.2016, p. 89, ELI:
http://data.europa.eu/eli/dir/2016/680/oj).
EN 9 EN
consistency and prevent duplication, in matters of both administrative and operational
personal data, there should be only one set of rules for data protection officers.
(6) The European Data Protection Supervisor should, as a measure of last resort, have the
power to impose administrative fines, including for processing of operational personal
data by Union bodies, offices and agencies active in the area of law enforcement and
criminal justice.
(7) In order to avoid duplication within Regulation (EU) 2018/1725, Article 70 thereof
should be deleted, as the scope of Chapter IX is already regulated in Article 2 of
Regulation (EU) 2018/1725.
(8) In order to ensure the alignment with Regulation (EU) …/… [the Digital Omnibus
proposal], it should be clarified in Article 77 of Regulation (EU) 2018/1725 that
decisions based solely on automated processing of operational personal data are
allowed when specific conditions are met.
(9) In order to ensure the alignment with Regulation (EU) …/… [the Digital Omnnibus
proposal], it should be clarified in Article 78 of Regulation (EU) 2018/1725 that the
right of access, which is from the outset favourable to data subjects, should not be
abused in the sense that the data subjects abuse them for purposes other than the
protection of their data.
(10) In order to demonstrate compliance with Regulation (EU) 2018/1725, Union bodies,
offices and agencies active in the area of law enforcement and criminal justice should
have uniform rules on maintaining records regarding all categories of processing
activities under their responsibility. Each controller and processor should be obliged to
cooperate with the European Data Protection Supervisor and make those records
available to it on request, so that they might serve for monitoring those processing
operations.
(11) Union bodies, offices and agencies should not be able to modify logs. Where Union
bodies, offices and agencies receive operational personal data from national competent
authorities, the Union bodies, offices and agencies should communicate the logs to
those authorities, when they are necessary for internal data protection compliance
investigations.
(12) In order to ensure the alignment with Regulation (EU) …/… [the Digital Omnibus
proposal], the threshold should be higher and a deadline should be prolonged, for
notifying a personal data breach to the European Data Protection Supervisor.
(13) Union bodies, offices and agencies active in the area of law enforcement and criminal
justice should all benefit from a uniform set of rules on international transfers of
operational personal data, aligned with Directive (EU) 2016/680.
(14) The Commission may decide, under Article 36 of Directive (EU) 2016/680, that a
third country, a territory or specified sector within a third country or an international
organisation offers an adequate level of data protection. In such cases, transfers of
operational personal data to that third country or international organisation by Union
bodies, offices and agencies can take place without the need to obtain any further
authorisation.
(15) Transfers not based on such an adequacy decision should be allowed only where
appropriate safeguards have been provided in a legally binding instrument which
ensures the protection of personal data or where the controller has assessed all the
circumstances surrounding the data transfer and, on the basis of that assessment,
EN 10 EN
considers that appropriate safeguards with regard to the protection of personal data
exist. Such legally binding instruments could, for example, be cooperation agreements
between Eurojust and a third country concluded before 12 December 2019 in
accordance with Article 26a of Decision 2002/187/JHA, cooperation agreements
between Europol and a third country concluded before 1 May 2017 in accordance with
Article 23 of Decision 2009/371/JHA, or international agreements concluded between
the Union and a third country pursuant to Article 218 TFEU.
(16) Where no adequacy decision or appropriate safeguards exist, a transfer or a category
of transfers could take place by derogation in specific situations. Derogations should
be interpreted restrictively and should not allow frequent, massive and structural
transfers of personal data, or large-scale transfers of data, but should be limited to
strictly necessary data. Such transfers should be documented and should be made
available to the European Data Protection Supervisor on request in order to monitor
the lawfulness of the transfer.
(17) In specific individual cases, the regular procedures requiring contacting a competent
authority in a third country may be ineffective or inappropriate, in particular because
the transfer could not be carried out in a timely manner, or because that authority in
the third country does not respect the rule of law or international human rights norms
and standards. This may be the case where there is an urgent need to transfer personal
data to a private company in a third country in order to receive information about an
unknown perpetrator of an online crime, or to save the life of a person who is in
danger of becoming a victim of a criminal offence, or in the interest of preventing an
imminent perpetration of a crime, including terrorism. In such cases, under specific
conditions, Union bodies, offices and agencies could decide to transfer operational
personal data directly to recipients which are not competent authorities, established in
those third countries.
(18) The European Data Protection Supervisor should have a uniform set of powers
applicable to the processing of operational personal data by Union bodies, offices and
agencies active in the area of law enforcement and criminal justice. Such powers have
already been applicable to Europol since 2022, for example, ordering the data
controller to ensure compliance with Regulation (EU) 2018/1725, ordering the
suspension of data flows to a recipient in a Member State, a third country or an
international organisation, or imposing an administrative fine in the case of non-
compliance by its order.
(19) The European Data Protection Supervisor was consulted in accordance with Article
42(1) of Regulation (EU) 2018/1725 and delivered its opinion on XX XX 2026.
HAVE ADOPTED THIS REGULATION:
Article 1
Amendments to Regulation (EU) 2018/1725
Regulation (EU) 2018/1725 is amended as follows:
1. Article 2 is amended as follows:
(a) paragraph 2 is replaced by the following:
'2. Only Articles 3, 43, 44, 45 and Chapters VII, VIII and IX of this Regulation
shall apply to the processing of operational personal data by Union bodies,
offices and agencies when carrying out activities which fall within the scope of
EN 11 EN
Chapter 4 or Chapter 5 of Title V of Part Three TFEUs, without affecting
specific data protection rules applicable to such a Union body, office or
agency.'
(b) paragraph 3 is deleted;
2. in Article 45(1), points d), e) and (f) are replaced by the following:
‘ d) to provide advice where requested as regards the necessity for a notification or a
communication of a personal data breach pursuant to Articles 34 and 35, or Articles
92 and 93;
e) to provide advice where requested as regards the data protection impact
assessment and monitor its performance pursuant to Article 39 or Article 89 and to
consult the European Data Protection Supervisor in case of doubt as to the need for a
data protection impact assessment;
f) to provide advice where requested as regards the need for prior consultation of the
European Data Protection Supervisor pursuant to Article 40 or Article 90; to consult
the European Data Protection Supervisor in case of doubt as to the need for a prior
consultation;'
3. in Article 66(1), the first sentence is replaced by the following:
‘1. The European Data Protection Supervisor may impose administrative fines on
Union institutions and bodies, depending on the circumstances of each individual
case, where a Union institution or body fails to comply with an order by the
European Data Protection Supervisor pursuant to Article 58(2), points (d) to (h) and
(j), or pursuant to Article 95a(3), points (c), (e), (f), (j) and (k).’
4. Article 70 is deleted.
5. In Article 77, paragraph 1 is replaced by the following:
‘1. A decision which produces legal effects for a data subject or similarly
significantly affects him or her may be based solely on automated processing,
including profiling, only where that decision is authorised by Union law to which the
controller is subject and which also lays down suitable measures to safeguard the
data subject's rights and freedoms and legitimate interests, at least the right to obtain
human intervention on the part of the controller.’
6. Iin Article 78, paragraph 4 is replaced by the following:
‘4. The controller shall provide the information under Article 79 and any
communication made or action taken pursuant to Articles 80 to 84 and 92 free of
charge. Where requests from a data subject are manifestly unfounded or excessive, in
particular because of their repetitive character or, for requests under Article 80 where
the data subject abuses the right of access for purposes other than the protection of
their data, the controller may refuse to act on the request. The controller shall bear
the burden of demonstrating that the request is manifestly unfounded or that there are
reasonable grounds to believe that it is excessive.’
7. the following Article 87a is inserted:
‘Article 87a
Records of categories of processing activities of operational personal data
EN 12 EN
1. Each controller shall maintain a record of all categories of processing activities of
operational personal data under its responsibility. That record shall contain all of the
following information:
(a) the controller’s contact details and the name and the contact details of the Data
Protection Officer, and, where applicable, the contact details of the joint controller;
(b) the purposes of the processing;
(c) the categories of recipients to whom the personal data have been or will be
disclosed including private parties, and recipients in third countries or international
organisations;
(d) a description of the categories of data subjects and of the categories of personal
data;
(e) where applicable, the use of profiling;
(f) where applicable, the categories of transfers of personal data to a private party, a
third country or an international organisation;
(g) an indication of the legal basis for the processing operation, including transfers,
for which the personal data are intended;
(h) where possible, the envisaged time limits for erasure of the different categories of
data;
(i) where possible, a general description of the technical and organisational security
measures referred to in Article 91(1).
2. The processor shall maintain a record of all categories of processing activities
carried out on behalf of a controller, containing:
(a) the processor’s or processors’ contact details, of each controller on behalf of
which the processor is acting and the contact details of the Data Protection Officer;
(b) the categories of processing carried out on behalf of each controller;
(c) where applicable, transfers of personal data to a private party, a third country or
an international organisation where explicitly instructed to do so by the controller,
including the identification of that third country or international organisation;
(d) where possible, a general description of the technical and organisational security
measures referred to in Article 91(1).
3. The records referred to in paragraphs 1 and 2 shall be in writing, including in
electronic form. The controller and the processor shall make those records available
to the European Data Protection Supervisor on request.’
8. in Article 88(1), the following sentence is added:
‘It shall not be possible to modify logs.’
9. in Article 88(3), the following sentence is added:
‘If required by the national competent authority for a specific investigation related to
compliance with data protection rules, the logs referred to in paragraph 1 shall be
communicated to that authority.’
10. In Article 92, paragraph 1 is replaced by the following:
EN 13 EN
‘1. In the case of a personal data breach that is likely to result in a high risk to the
rights and freedoms of natural persons, the controller shall without undue delay and,
where feasible, not later than 96 hours after having become aware of it, notify the
personal data breach to the European Data Protection Supervisor. Where the
notification to the European Data Protection Supervisor is not made within 96 hours,
it shall be accompanied by reasons for the delay.’
11. Article 94 is replaced by the following:
'Article 94
General principles for transfers of operational personal data to third countries and
international organisations
1. The controller may transfer operational personal data to a third country or to an
international organisation, subject to compliance with the applicable data protection
rules and the other provisions of this Regulation, and only where the following
conditions are met:
(a) the transfer is necessary for the performance of the controller’s tasks;
(b) the authority of the third country or the international organisation to which the
operational personal data are transferred is competent in law enforcement or
criminal justice matters;
(c) where the operational personal data to be transferred have been transmitted or
made available to the controller by a Member State or Union body, office and
agency, the controller shall obtain prior authorisation for the transfer from the
relevant competent authority of that Member State or from the Union body,
office and agency in compliance with its applicable law, unless that Member
State or Union body, office and agency has authorised such transfers in general
terms or subject to specific conditions;
(d) in the case of an onward transfer to another third country or international
organisation by a third country or international organisation, the controller
shall require the transferring third country or international organisation to
obtain the prior authorisation of the controller for that onward transfer;
(e) the controller shall only provide authorisation under point (d) with the prior
authorisation of the Member State or the Union body, office and agency from
which the data originate, where applicable, after taking due account of all
relevant factors, including the seriousness of the criminal offence, the purpose
for which the operational personal data were originally transferred and the
level of personal data protection in the third country or international
organisation to which the operational personal data are to be transferred
onward.
2. Subject to the conditions set out in paragraph 1 of this Article, the controller may
transfer operational personal data to a third country or to an international
organisation where the conditions of Articles 94a, 94b, 94c or 94d are fulfilled.
3. Without affecting Article 94c, the controller may transfer operational personal data
to a competent authority of a country associated with the implementation, application
and development of the Schengen acquis that has implemented and effectively
applies the provisions of Directive (EU) 2016/680, and the provisions on the
exchange of information laid down in Directive (EU) 2023/977.
EN 14 EN
4. The controller may in urgent cases transfer operational personal data without prior
authorisation from a Member State or Union body, office and agency in accordance
with paragraph 1, point (c). The controller shall only do so if the transfer of the
operational personal data is necessary for the prevention of an immediate and serious
threat to the public security of a Member State or of a third country or to the essential
interests of a Member State, and where the prior authorisation cannot be obtained in
good time. The authority responsible for giving prior authorisation shall be informed
without delay.
5. All provisions on international transfers in this Chapter shall be applied in order to
ensure that the level of protection of natural persons ensured by this Regulation is not
undermined.’
12. the following articles are inserted:
'Article 94a
Transfers on the basis of an adequacy decision
The controller may transfer operational personal data to a third country or to an
international organisation where the Commission has decided in accordance with
Article 36 of Directive (EU) 2016/680 that the third country, a territory or one or
more specified sectors within that third country, or the international organisation in
question ensures an adequate level of protection.
Article 94b
Transfers subject to appropriate safeguards
1. In the absence of an adequacy decision, the controller may transfer operational
personal data to a third country or an international organisation where:
(a) appropriate safeguards with regard to the protection of operational personal
data are provided for in a legally binding instrument;
(b) or the controller has assessed all the circumstances surrounding the transfer of
operational personal data and has concluded that appropriate safeguards exist
with regard to the protection of operational personal data.
2. The legally binding instrument under paragraph 1, point (a) shall be:
(a) an international agreement between the Union and the third country or
international organisation pursuant to Article 218 TFEU that provides for
adequate safeguards with respect to the protection of privacy, data protection
and other fundamental rights and freedoms of individuals;
(b) a cooperation agreement allowing for the exchange of operational personal data
concluded before 12 December 2019 between Eurojust and that third country
or international organisation, in accordance with Article 26a of Decision
2002/187/JHA; or
(c) a cooperation agreement allowing for the exchange of operational personal data
concluded before 1 May 2017 between Europol and that third country or
international organisation in accordance with Article 23 of Decision
2009/371/JHA.
3. Union bodies, offices and agencies may enter into working arrangements to set out
modalities to implement the agreements referred to in paragraph 2.
EN 15 EN
4. The controller shall inform the European Data Protection Supervisor about
categories of transfers under paragraph 1, point (b).
5. When a transfer is based on paragraph 1, point (b), such a transfer shall be
documented and the documentation shall be made available to the European Data
Protection Supervisor on request. The documentation shall include a record of the
date and time of the transfer and information about the receiving competent
authority, about the justification for the transfer and about the operational personal
data transferred.
Article 94c
Derogations for specific situations
1. In the absence of an adequacy decision, or of appropriate safeguards pursuant to
Article 94b, the controller may transfer operational personal data to a third country or
an international organisation only on the condition that the transfer is necessary:
(a) in order to protect the vital interests of the data subject or another person;
(b) to safeguard legitimate interests of the data subject;
(c) for the prevention of an immediate and serious threat to public security of a
Member State or a third country;
(d) or in individual cases, for the performance of the tasks of the controller, unless
the controller determines that the fundamental rights and freedoms of the data
subject concerned override the public interest in the transfer.
2. Where a transfer is based on paragraph 1, such a transfer shall be documented and
the documentation shall be made available to the European Data Protection
Supervisor on request. The documentation shall include a record of the date and time
of the transfer, and information about the receiving competent authority, about the
justification for the transfer and about the operational personal data transferred.
Article 94d
Transfer of operational personal data to recipients established in third countries
1. By way of derogation from Article 94(1), point (b), and without affecting any
international agreement referred to in paragraph 2 of this Article, the controller, in
individual and specific cases, may transfer operational personal data directly to
recipients established in third countries only if all of the following conditions are
fulfilled:
(a) the transfer is strictly necessary for the performance of the controller’s tasks,
for the purposes for which is allowed to process operational personal data;
(b) the controller determines that no fundamental rights and freedoms of the data
subject concerned override the public interest necessitating the transfer in the
case at hand;
(c) the controller considers that the transfer to a competent authority in the third
country is ineffective or inappropriate, in particular because the transfer cannot
be achieved in good time;
(d) the competent authority in the third country is informed without undue delay,
unless this is ineffective or inappropriate;
EN 16 EN
(e) the controller informs the recipient of the specified purpose or purposes for
which the operational personal data are only to be processed by the latter
provided that such processing is necessary.
2. An international agreement referred to in paragraph 1 shall be any bilateral or
multilateral international agreement in force between the Union and third countries in
the field of judicial cooperation in criminal matters and police cooperation.
3. Where a transfer is based on paragraph 1, such a transfer shall be documented and
the documentation shall be made available to the European Data Protection
Supervisor on request, including the date and time of the transfer, and information
about the receiving competent authority, about the justification for the transfer and
about the operational personal data transferred.’
13. the following Article 95a is inserted:
'Article 95a
Supervision by the European Data Protection Supervisor
1. The European Data Protection Supervisor shall be responsible for monitoring and
ensuring the application of the provisions relating to the protection of fundamental
rights and freedoms of natural persons with regard to the processing of operational
personal data by Union bodies, offices and agencies, and for advising them and data
subjects on all matters concerning the processing of operational personal data. To
that end, he or she shall fulfil the duties set out in paragraph 2 and exercise the
powers laid down in paragraph 3, while closely cooperating with the national
supervisory authorities.
2. The European Data Protection Supervisor shall have the following duties:
(a) hearing and investigating complaints, and informing the data subject of the
outcome within a reasonable period; conducting inquiries either on his or her own
initiative or on the basis of a complaint, and informing the data subject of the
outcome within a reasonable period;
(b) monitoring and ensuring the application of this Regulation and any other Union
act relating to the protection of natural persons with regard to the processing of
operational personal data by Union bodies, offices and agencies;
(c) advising Union bodies, offices and agencies, either on his or her own initiative or
in response to a consultation, on all matters concerning the processing of operational
personal data, in particular before they draw up internal rules relating to the
protection of fundamental rights and freedoms with regard to the processing of
operational personal data;
(d) keeping a register of new types of processing operations notified to him or her;
(e) carrying out a prior consultation on processing notified to him or her.
3. The European Data Protection Supervisor may pursuant to this Regulation:
(a) give advice to data subjects on the exercise of their rights;
(b) refer a matter to the Union body, office and agency in the event of an alleged
breach of the provisions governing the processing of operational personal data, and,
where appropriate, make proposals for remedying that breach and for improving the
protection of the data subjects;
EN 17 EN
(c) order that requests to exercise certain rights in relation to operational personal
data be complied with where such requests have been refused in breach of the
applicable rules on data subject rights;
(d) warn or admonish the Union body, office or agency;
(e) order the Union body, office or agency to carry out the rectification, restriction,
erasure or destruction of personal data which have been processed in breach of the
provisions governing the processing of operational personal data and to notify such
actions to third parties to whom such data have been disclosed;
(f) impose a temporary or definitive ban on processing operations by the Union body,
office or agency which are in breach of the provisions governing the processing of
operational personal data;
(g) refer a matter to the Union body, office or agency and, if necessary, to the
European Parliament, the Council and the Commission;
(h) refer a matter to the Court of Justice of the European Union under the conditions
provided for in the TFEU;
(i) intervene in actions brought before the Court of Justice of the European Union;
(j) order the controller or processor to bring processing operations into compliance
with this Regulation and, where applicable, with data protection rules laid down in
the founding act of the Union body, office or agency, where appropriate, in a
specified manner and within a specified period;
(k) order the suspension of data flows to a recipient in a Member State, a third
country or to an international organisation;
(l) impose an administrative fine under Article 66 in the case of non-compliance by
the Union body, office and agency with one of the measures referred to in points (c),
(e), (f), (j) and (k) of this paragraph, depending on the circumstances of each
individual case.
4. The European Data Protection Supervisor shall have the power to:
(a) obtain from the Union body, office and agency access to all operational personal
data and to all information necessary for his or her enquiries;
(b) obtain access to any premises in which the Union body, office or agency carries
on its activities when there are reasonable grounds for presuming that an activity
covered by this Chapter is being carried out there.
5. The European Data Protection Supervisor shall prepare an annual report on his or
her supervisory activities in relation to the controllers under this Chapter. That report
shall be part of the annual report of the European Data Protection Supervisor referred
to in Article 60.
The EDPS shall invite the national supervisory authorities to submit observations on
that part of the annual report before the annual report is adopted. The EDPS shall
take utmost account of those observations and shall refer to them in the annual
report.
The part of the annual report referred to in the second subparagraph shall include
statistical information regarding complaints, inquiries, and investigations, as well as
regarding transfers of operational personal data to third countries and international
EN 18 EN
organisations, cases of prior consultation of the European Data Protection
Supervisor, and the use of the powers laid down in paragraph 3 of this Article.
6. The European Data Protection Supervisor, the officials and the other staff
members of the European Data Protection Supervisor's Secretariat shall be bound by
the obligation of confidentiality, in accordance with Article 95.'
Article 2
Entry into force
1. This Regulation shall enter into force on the twentieth day following that of its
publication in the Official Journal of the European Union.
2. However, this Regulation shall apply to processing of operational personal data by
the European Public Prosecutors' Office from [day of entry into application of the
new EPPO Regulation].
This Regulation shall be binding in its entirety and directly applicable in all Member States.
Done at Brussels,
For the European Parliament For the Council
The President The President
[...] [...]
ET ET
EUROOPA KOMISJON
Brüssel, 23.6.2026 COM(2026) 314 final
2026/0173 (COD)
Ettepanek:
EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS
millega muudetakse Euroopa Parlamendi ja nõukogu määrust (EL) 2018/1725, mis
käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides,
organites ja asutustes ning isikuandmete vaba liikumist
ET 1 ET
SELETUSKIRI
1. ETTEPANEKU TAUST
• Ettepaneku põhjused ja eesmärgid
Määrus (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel ELi
institutsioonides, organites ja asutustes (edaspidi „ELi isikuandmete kaitse määrus“), töötati
välja selleks, et kehtestada sidus ja ajakohastatud andmekaitsekord kõigi ELi institutsioonide,
organite ja asutuste jaoks. Määruse (EL) 2018/1725 IX peatükk oli mõeldud spetsiaalselt
reguleerima kasutatavate isikuandmete (need on isikuandmed, mida töödeldakse ELi
toimimise lepingu kolmanda osa V jaotise 4. või 5. peatüki kohaldamisalasse jäävate
tegevuste jaoks) töötlemist justiits- ja siseküsimustega tegelevates ELi asutustes ja organites,
sealhulgas Europolis, Eurojustis, Euroopa Prokuratuuris ja piiratud ulatuses Frontexis.
ELi isikuandmete kaitse määruse vastuvõtmisest hoolimata on justiits- ja siseküsimustega
tegelevate ELi asutuste ja organite suhtes kohaldatav andmekaitseraamistik endiselt
killustatud. Eelkõige ei kohaldata IX peatükki Euroopa Prokuratuuri suhtes, mille
asutamismäärus võeti vastu enne ELi isikuandmete kaitse määrust. Seetõttu lahknevad
Euroopa Prokuratuuri määruse mõned sätted sisult või sõnastuselt ELi isikuandmete kaitse
määruse IX peatüki vastavatest sätetest. Lisaks on ELi isikuandmete kaitse määruses
sätestatud, et kasutatavate isikuandmete töötlemise suhtes kohaldatakse üksnes artiklit 3
(mõisted) ja IX peatükki. See on ühelt poolt viinud selleni, et vastavate organite või asutuste
asutamisaktidesse on jäetud alles sätted, millega reguleeritakse kasutatavate isikuandmete
töötlemise teatavaid aspekte. Teiselt poolt on see tekitanud õiguskindlusetust küsimuses, kas
ja mil määral kohaldatakse II–VIII peatüki sätteid – näiteks töötlemistoimingute
registreerimist või andmekaitseametniku ülesandeid käsitlevaid sätteid – olukordades, kus
IX peatükis ega asjaomaste organite või asutuste asutamisaktides vastavaid sätteid ei ole.
Selline killustatus mitte ainult ei vähenda õiguskindlust, vaid tekitab ka praktilisi takistusi ELi
organite ja asutuste tulemuslikule koostööle andmete jagamisel. Komisjon tunnistas neid
puudusi ja kaalus nende kõrvaldamist seadusandlike vahenditega 2022. aastal oma esimeses
aruandes ELi isikuandmete kaitse määruse kohaldamise kohta.
Sellest tulenevalt on käesoleva ettepaneku eesmärk kohaldatavat andmekaitseraamistikku
lihtsustada ja tagada selle järjepidevus, eelkõige ühtlustades asjakohaseid norme ELi organite
ja asutuste lõikes. Selline ühtlustamine peaks leevendama halduskoormust ja hõlbustama
asutuste andmevahetust, suurendades samal ajal õiguskindlust. Järjepidevuse huvides ja
kooskõlas üldise eesmärgiga minimeerida andmekaitsenormide killustatust on käesoleval
ettepanekul neli peamist eesmärki.
Andmekaitsenormide järjepidev kohaldamine kõigi ELi institutsioonide, organite ja
asutuste suhtes
IX peatüki kohaldamisala tuleb laiendada, et tagada selle järjepidev kohaldamine kõigi
kriminaalõiguse ja õiguskaitse valdkonnas tegutsevate ELi asutuste ja organite suhtes. Sel teel
kaasatakse Euroopa Prokuratuur ELi isikuandmete kaitse määruse raamistikku. Seda tehes ei
piirata võimalust säilitada Euroopa Prokuratuuri määruses andmekaitse erinormid, mis on
vajalikud tulenevalt Euroopa Prokuratuuri kui liidu sõltumatu prokuratuuri eripärast.
IX peatüki normid on juba kooskõlas õiguskaitsedirektiivi (EL) 2016/680 vastavate
normidega ning tulemuseks on kõigi mõjutatud asutuste jaoks ühtne ja ühtlustatud normistik,
mis vähendab killustatust ja tagab kohaldatavate normide järjepidevuse.
Õiguskindluse suurendamine
ET 2 ET
IX peatükis puuduvad praegu sätted mitme olulise aspekti kohta, mille hulgas on
andmekaitseametnike ülesanded, töötlemistoimingute registreerimine, järelevalveasutuste
koostöö ja kasutatavate isikuandmete rahvusvaheline edastamine. Ettepaneku eesmärk on
koondada normid ühte kohta ja ühtlustada sellega nõuete täitmist, ilma et see avaldaks
märkimisväärset mõju tegevusele. Samuti tagatakse ettepanekuga suurem selgus vastutavatele
töötlejatele, volitatud töötlejatele ja andmesubjektidele.
Euroopa Andmekaitseinspektori volituste ühtlustamine
Euroopa Andmekaitseinspektori järelevalvevolitused on praegu reguleeritud Europoli,
Eurojusti ja Euroopa Prokuratuuri asutamisaktidega; need kõik sisaldavad lahknevaid sätteid,
mis põhjustab ebakindlust ja ebatõhusust. Frontexi asutamisaktiga ei ole reguleeritud Euroopa
Andmekaitseinspektori järelevalvet kasutatavate isikuandmete töötlemise üle, mis tingib
märkimisväärse ebaühtluse.
Ettepaneku eesmärk on täpsustada, et Euroopa Andmekaitseinspektoril on
järelevalvevolitused, mis on kooskõlas ELi isikuandmete kaitse määruse artiklis 58 sätestatud
volitustega, kuid mida on kohandatud kasutatavate isikuandmete töötlemise kontekstile,
eelkõige Euroopa Prokuratuuri puhul seoses uurimise ja süüdistuste esitamisega. Selles suhtes
järgitakse ettepanekus 2022. aasta Europoli reformiga Euroopa Andmekaitseinspektorile
antud volituste eeskuju, tagades samal ajal kooskõla ELi isikuandmete kaitse määruse
VI peatüki ja õiguskaitsedirektiiviga. Ettepanekuga kaotatakse asutamisaktidest
asutusepõhised sätted Euroopa Andmekaitseinspektori ülesannete ja volituste kohta.
Üldine ühtlustamine
Ettepaneku viimane eesmärk on sätete ühtlustamine, et kõrvaldada liiasused, dubleerimine ja
vastuolud andmekaitsenormides, mida kohaldatakse justiits- ja siseküsimustega tegelevate
liidu organite ja asutuste suhtes tegevuste puhul, mis kuuluvad ELi toimimise lepingu
kolmanda osa V jaotise 4. ja 5. peatüki kohaldamisalasse. Samuti viiakse kasutatavate
isikuandmete töötlemist käsitlevad sätted asjakohasel juhul kooskõlla digivaldkonna
koondettepanekuga1.
• Kooskõla poliitikavaldkonnas praegu kehtivate õigusnormidega
Ettepaneku eesmärk on viia ELi isikuandmete kaitse määruse sätted kooskõlla kehtiva
andmekaitsepoliitikaga, tugevdades isikuandmete kaitse üldmääruses ja õiguskaitsedirektiivis
sätestatud põhimõtteid. Asjakohasel juhul tagatakse ettepanekus kooskõla digivaldkonna
koondpaketis kavandatud andmekaitseraamistiku muudatustega.
• Kooskõla muude liidu tegevuspõhimõtetega
Ettepanek on osa kriminaalõiguse alaste algatuste paketist, millega taotletakse ühtset ja
terviklikku eesmärki: suurendada liidu suutlikkust üha keerukamas julgeolekukeskkonnas
raskeid piiriüleseid kuritegusid ära hoida, avastada ja uurida ning nende toimepanijaid
vastutusele võtta. Paketiga püütakse õiguskaitse-, kohtu- ja muude asjaomaste asutuste
koostööd reguleerivate õigusraamistike ajakohastamise teel suurendada liidu
sisejulgeolekustruktuuri tulemuslikkust, sidusust ja koostalitlusvõimet.
Selle püüdluse keskmes on Europoli ja Eurojusti määruste kavandatav läbivaatamine. Europol
ja Eurojust täidavad vabadusel, turvalisusel ja õigusel rajaneval alal eraldiseisvaid, kuid
1 Ettepanek: EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS, millega muudetakse määrusi
(EL) 2016/679, (EL) 2018/1724, (EL) 2018/1725 ja (EL) 2023/2854 ning direktiive 2002/58/EÜ,
(EL) 2022/2555 ja (EL) 2022/2557 seoses digivaldkonna õigusraamistiku lihtsustamisega ning
tunnistatakse kehtetuks määrused (EL) 2018/1807, (EL) 2019/1150, (EL) 2022/868 ja direktiiv
(EL) 2019/1024 (digivaldkonna koondpakett), 19.11.2025, COM(2025) 837 final.
ET 3 ET
üksteist täiendavaid ülesandeid: Europol toetab kuritegevuse ärahoidmist, avastamist ja
uurimist, Eurojust aga hõlbustab õigusalast koostööd ning tagab tulemuslikud järelmeetmed
süüdistuste esitamise ja kohtumenetluste näol. Paketi eesmärk on seetõttu tugevdada koostööd
ja vastastikust täiendavust nende kahe ameti vahel ning nende ja muude liidus justiits- ja
siseküsimustega ning pettuste tõkestamisega tegelevate asutuste vahel, et tagada
õiguskaitsemeetmete ja kohtulike järelmeetmete sujuv järjepidevus kriminaalasjades
õigusemõistmise protsessi kõigis etappides.
Euroopa uurimismääruse raamistiku muudatused ja käesolev ettepanek aitavad selle eesmärgi
saavutamisele veelgi kaasa sellega, et hõlbustavad tulemuslikku piiriülest koostööd,
parandavad teabevahetuse tingimusi ning tagavad sidusa õigusraamistiku, mis on kooskõlas
tegelike tegevuste ja tehnoloogia arenguga. Kokkuvõttes suurendavad paketis kavandatud
meetmed liidu suutlikkust reageerida muutuvatele julgeolekuohtudele ning on samal ajal
täielikult kooskõlas põhiõiguste, õigusriigi põhimõtte ja asjaomaste asutuste ülesannete
jaotusega.
Eelkõige määratakse käesolevas ettepanekus kindlaks kõik Europoli ja Eurojusti suhtes
kohaldatavate andmekaitsenormide ühised punktid ning koondatakse need ELi isikuandmete
kaitse määrusesse, kõrvaldades sellega killustatuse ja dubleerimise. See võimaldab jätta
õiguskaitse ja kriminaalõiguse valdkonnas tegutsevate liidu organite ja asutuste
asutamisaktidesse ainult neile kohandatud andmekaitsenormid, mis on välja töötatud vastavalt
igaühe tegevuse eripärast tulenevatele vajadustele.
Ettepanek võetakse vastu samal ajal Europoli ja Eurojusti määruste muudatustega, tagades
vastavate õigusraamistike järjepidevuse ja kooskõla. Samuti arvestatakse selles Euroopa
Prokuratuuri asutamisakti (määrus (EL) 2017/19392) eelseisva läbivaatamisega, võttes arvesse
selle tulevasi muudatusi ning piiramata võimalike poliitikavariantide hindamist Euroopa
Prokuratuuri määruse läbivaatamisel. Selline koordineeritud lähenemisviis aitab luua
tervikliku ja järjepideva raamistiku kasutatavate isikuandmete töötlemiseks liidu organites ja
asutustes.
2. ÕIGUSLIK ALUS, SUBSIDIAARSUS JA PROPORTSIONAALSUS
• Õiguslik alus
Füüsiliste isikute kaitse nende isikuandmete töötlemisel on Euroopa Liidu põhiõiguste harta
artikli 8 lõikes 1 sätestatud põhiõigus.
Käesolev ettepanek põhineb Euroopa Liidu toimimise lepingu artiklil 16, mis on
andmekaitsenormide vastuvõtmise õiguslik alus. Nimetatud artikkel võimaldab võtta vastu
õigusnorme füüsiliste isikute kaitse kohta seoses isikuandmete töötlemisega liidu
institutsioonides, organites ja asutustes liidu õiguse reguleerimisalasse kuuluva tegevuse
puhul. Samuti võimaldab see vastu võtta õigusnorme isikuandmete, sealhulgas kõnealustes
institutsioonides, organites ja asutustes töödeldavate isikuandmete vaba liikumise kohta.
• Subsidiaarsus (ainupädevusse mittekuuluva valdkonna puhul)
Ei kohaldata.
• Proportsionaalsus
Ei kohaldata.
2 Nõukogu 12. oktoobri 2017. aasta määrus (EL) 2017/1939, millega rakendatakse tõhustatud koostööd
Euroopa Prokuratuuri asutamisel (ELT L 283, 31.10.2017, lk 1– 71, ELI:
http://data.europa.eu/eli/reg/2017/1939/oj).
ET 4 ET
• Vahendi valik
Ei kohaldata.
3. JÄRELHINDAMISE, SIDUSRÜHMADEGA KONSULTEERIMISE JA MÕJU
HINDAMISE TULEMUSED
• Praegu kehtivate õigusaktide järelhindamine või toimivuse kontroll
Komisjoni esimeses, 2022. aasta aruandes ELi isikuandmete kaitse määruse kohaldamise
kohta jõuti järeldusele, et üldiselt toimib ELi isikuandmete kaitse määrus hästi ja täidab oma
otstarvet. Samal ajal tehti selles kindlaks vajadus seadusandliku sekkumise järele, et
minimeerida nende õigusnormide killustatust, mida kohaldatakse ELi institutsioonide ja
asutuste suhtes, kes töötlevad kasutatavaid isikuandmeid tegevuses, mis jääb politseikoostöö
ja kriminaalasjades tehtava õigusalase koostöö kohaldamisalasse (ELi isikuandmete kaitse
määruse IX peatükk ehk nn õiguskaitset käsitlev peatükk).
• Konsulteerimine sidusrühmadega
Sihtotstarbelistesse konsultatsioonidesse sidusrühmadega olid kaasatud kõik asutused, kelle
suhtes kohaldatakse praegu või tulevikus ELi isikuandmete kaitse määruse IX peatükki (st
Europol, Eurojust, Euroopa Prokuratuur, Frontex), ning Euroopa Andmekaitseinspektor, kes
teeb nõuete järgimise üle järelevalvet.
• Eksperdiarvamuste kogumine ja kasutamine
Ei kohaldata.
• Mõjuhinnang
Mõjuhinnangut ei peeta käesoleva algatuse puhul asjakohaseks, kuna selle kohaldamisala on
piiratud ja kavandatud muudatused on suures osas tehnilist laadi. Ettepanek puudutab ELi
isikuandmete kaitse määruse konkreetseid sätteid ning sellega ei muudeta üldist raamistikku,
vaid see mõjutab ainult väikest rühma ELi asutusi, kes tegutsevad kriminaalasjades tehtava
õigusalase koostöö ja politseikoostöö valdkonnas. Muudatuste eesmärk on tagada ühtlustatum
kord, need ei hõlma uusi poliitikavariante ning neil on eeldatavasti minimaalne ja
kvantitatiivselt ebaoluline mõju põhiõigustele ning puudub majanduslik, sotsiaalne ja
keskkonnamõju. Lisaks tehakse asjaomaste asutuste suhtes juba eraldi hindamisi ja
mõjuhinnanguid, sealhulgas seoses nende suhtes kohaldatavate andmekaitsenormidega. ELi
isikuandmete kaitse määruse kohane eraldi hindamine dubleeriks seda tegevust. Ettepanek on
kooskõlas kohustusega, mille komisjon võttis 2022. aastal oma esimeses aruandes ELi
isikuandmete kaitse määruse kohaldamise kohta, ning 2027. aastal on kavas ELi isikuandmete
kaitse määrust täiendavalt hinnata. Subsidiaarsusega seotud küsimusi ei teki, kuna ELi
isikuandmete kaitse määrust kohaldatakse üksnes ELi asutuste suhtes, mida liikmesriigid ei
saa reguleerida.
• Õigusnormide toimivus ja lihtsustamine
Ettepanekuga ühtlustatakse ja lihtsustatakse kriminaalõiguskaitse ja kriminaalõiguse
valdkonnas tegutsevate liidu asutuste ja organite suhtes kohaldatavaid andmekaitsenorme.
Kehtivate normide ühtlustamisega suurendatakse õigusselgust ja järjepidevust kogu
institutsioonilises raamistikus, hõlbustades seeläbi normide kohaldamist ja vähendades
halduskeerukust. Kuigi ettepaneku positiivne mõju ei ole hõlpsasti mõõdetav, peaks see
vähendama nõuete täitmisega seotud kulusid ja halduskoormust, mis tulenevad lahknevates
või kattuvates nõuetes orienteerumisest. Ettepanekuga toetatakse ka võimaliku
ET 5 ET
asutustevahelise teabevahetusmehhanismi väljatöötamist, mida on kaalutud pettustevastase
võitluse struktuuri läbivaatamise kontekstis.
• Põhiõigused
Kuna muudatused on sihipärased, tagab see andmekaitse praeguse taseme säilimise,
parandades samal ajal kohaldatavate normide järjepidevust ja ühtlustatust.
4. MÕJU EELARVELE
Ei kohaldata.
5. MUU TEAVE
• Rakenduskavad ning järelevalve, hindamise ja aruandluse kord
Ei kohaldata.
• Ettepaneku sätete üksikasjalik selgitus
Artiklis 1 esitatakse määruse (EL) 2018/1725 (mis käsitleb füüsiliste isikute kaitset
isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes) muudatused.
Lõikega 1 asendatakse artikli 2 lõige 2 ning laiendatakse määruse (EL) 2018/1725 artiklite 43,
44 ja 45 ning VII ja VIII peatüki kohaldamisala kasutatavate isikuandmete töötlemisele liidu
organites ja asutustes, ilma et see piiraks liidu organite ja asutuste suhtes andmekaitse
erieeskirjade kohaldamist. Samuti jäetakse sellega välja artikli 2 lõige 3, laiendades sellega
ELi isikuandmete kaitse määruse kohaldamisala Euroopa Prokuratuurile, piiramata sealjuures
võimalust säilitada Euroopa Prokuratuuri määruses andmekaitse erinormid, mis võtavad
arvesse Euroopa Prokuratuuri eripära liidu sõltumatu uurimisasutuse ja prokuratuurina.
Lõikega 2 nähakse ette tehnilised kohandused andmekaitseametniku ülesandeid käsitleva
artikli 45 sõnastuses ning tagatakse, et need ülesanded hõlmavad ka kasutatavate
isikuandmete töötlemist.
Lõikega 3 tagatakse, et määruse (EL) 2018/1725 artiklist 66 tulenev Euroopa
Andmekaitseinspektori õigus määrata haldustrahve laieneb kasutatavate isikuandmete
töötlemisele liidu organites ja asutustes.
Lõikega 4 jäetakse välja määruse (EL) 2018/1725 artikkel 70, mis ei ole enam vajalik, sest
kasutatavate isikuandmete töötlemise suhtes kohaldatavad sätted on määratletud artikli 2
lõikes 2.
Lõikega 5 muudetakse määruse (EL) 2018/1725 artiklit 77, et tagada kooskõla digivaldkonna
koondettepanekuga ja suurendada õiguskindlust, täpsustades, et otsused, mis põhinevad
üksnes kasutatavate isikuandmete automatiseeritud töötlusel, on lubatud, kui on täidetud
eritingimused.
Lõikega 6 muudetakse määruse (EL) 2018/1725 artiklit 78, et tagada kooskõla digivaldkonna
koondettepanekuga, täpsustades kuritarvituslike taotluste mõistet isikuandmetega tutvumise
õiguse kontekstis. Eelkõige täpsustatakse selles, et taotlust võib pidada selgelt
põhjendamatuks, kui andmesubjekt tugineb andmetega tutvumise õigusele muul eesmärgil kui
oma andmete kaitseks. Sellistel juhtudel võib vastutav töötleja keelduda taotluse
rahuldamisest, kuid on endiselt kohustatud tõendama, et taotlus on selgelt põhjendamatu või
ülemäärane.
Lõikega 7 lisatakse määrusesse (EL) 2018/1725 uus artikkel 87a kasutatavate isikuandmete
töötlemise dokumenteerimise kohta kooskõlas õiguskaitsedirektiivi normidega.
ET 6 ET
Lõigetega 8 ja 9 lisatakse täiendavad kaitsemeetmed määruse (EL) 2018/1725 artiklisse 88,
mis käsitleb logimist.
Lõikega 10 muudetakse määruse (EL) 2018/1725 artikli 92 lõiget 1, et tagada kooskõla
digivaldkonna koondettepanekuga, pikendades tähtaega, mille jooksul tuleb isikuandmetega
seotud rikkumisest teatada Euroopa Andmekaitseinspektorile, 72 tunnilt 96 tunnile. Samuti
tõstetakse sellega rikkumisest teatamise künnist, nähes ette, et teatamine on nõutav üksnes
juhul, kui isikuandmetega seotud rikkumine võib tõenäoliselt kaasa tuua suure ohu füüsiliste
isikute õigustele ja vabadustele.
Lõigetega 11 ja 12 ühtlustatakse õigusraamistikku, millega reguleeritakse kasutatavate
isikuandmete edastamist kolmandatele riikidele ja rahvusvahelistele organisatsioonidele, viies
selle kooskõlla direktiivis (EL) 2016/680 sätestatud raamistikuga. Muudatustega nähakse ette
ühtsed normid, mida kohaldatakse kriminaalõiguskaitse ja kriminaalõiguse valdkonnas
tegutsevate liidu organite ja asutuste suhtes, võttes samal ajal arvesse nende konkreetset
tegevust ja õiguslikku konteksti, sealhulgas koostöölepinguid. Muudatustega sätestatakse, et
andmete edastamine riikidele, kelle suhtes on tehtud kaitse piisavuse otsus, on lubatud ilma
täiendava loata; kaitse piisavuse otsuse puudumise korral on edastamine lubatud, kui
õiguslikult siduva aktiga või vastutava töötleja hinnangu kohaselt on kehtestatud asjakohased
kaitsemeetmed; kindlates olukordades, kus puuduvad nii kaitse piisavuse otsus kui ka
kaitsemeetmed, kohaldatakse teatavaid erandeid. Samuti võimaldatakse muudatustega
teatavatel juhtudel edastada kasutatavaid isikuandmeid kolmandas riigis asuvale vastuvõtjale,
kes ei ole pädev asutus, juhul kui muudetud sätetes loetletud tingimused on täidetud,
sealhulgas juhul kui kolmanda riigi pädeva asutuse poole pöördumine ei pruugi olla mõjus või
asjakohane ning tingimusel et edastamine on rangelt vajalik vastutava töötleja ülesannete
täitmiseks.
Lõikega 13 antakse Euroopa Andmekaitseinspektorile seoses kasutatavate isikuandmetega
ühetaolised volitused kõigi kriminaalõiguskaitse ja kriminaalõiguse valdkonnas tegutsevate
liidu organite ja asutuste suhtes, lähtudes Euroopa Andmekaitseinspektori volitustest Europoli
suhtes, mis kehtivad alates 2022. aastast.
Artiklis 2 selgitatakse uute sätete jõustumist.
ET 7 ET
2026/0173 (COD)
Ettepanek:
EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS
millega muudetakse Euroopa Parlamendi ja nõukogu määrust (EL) 2018/1725, mis
käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides,
organites ja asutustes ning isikuandmete vaba liikumist
EUROOPA PARLAMENT JA EUROOPA LIIDU NÕUKOGU,
võttes arvesse Euroopa Liidu toimimise lepingut, eriti selle artikli 16 lõiget 2,
võttes arvesse Euroopa Komisjoni ettepanekut,
olles edastanud seadusandliku akti eelnõu liikmesriikide parlamentidele,
toimides seadusandliku tavamenetluse kohaselt
ning arvestades järgmist:
(1) Füüsiliste isikute kaitse isikuandmete töötlemisel on põhiõigus. Euroopa Liidu
põhiõiguste harta artikli 8 lõikes 1 ja Euroopa Liidu toimimise lepingu artikli 16
lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele. See õigus on
tagatud ka Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artikliga 8.
(2) Euroopa Parlamendi ja nõukogu määrusega (EL) 2018/17251 on sätestatud
õigusraamistik, mida kohaldatakse liidu institutsioonides, organites ja asutustes
isikuandmete töötlemise suhtes. Andmekaitsenormid, mis reguleerivad kasutatavate
isikuandmete töötlemist liidu organite ja asutuste poolt tegevustes, mis jäävad ELi
toimimise lepingu kolmanda osa V jaotise 4. või 5. peatüki kohaldamisalasse, on aga
endiselt killustatud määruse (EL) 2018/1725 IX peatüki ja muude liidu õigusaktide
vahel. Kõnealuse määruse artikli 98 kohaselt peab komisjon kasutatavate isikuandmete
töötlemise suhtes kohaldatavad normid läbi vaatama, et teha kindlaks võimalikud
vastuolud, lüngad ja lahknevused. Samuti on selles sätestatud, et asjakohasel juhul
kõrvaldab komisjon kindlaks tehtud puudused seadusandliku ettepanekuga, eelkõige
IX peatüki kohaldamisala laiendamiseks nõukogu määrusega (EL) 2017/19392
asutatud Euroopa Prokuratuurile, kui see on asjakohane, ja IX peatükis vajalike
kohanduste tegemiseks. Oma esimeses aruandes määruse (EL) 2018/1725
kohaldamise kohta kinnitas komisjon määruse üldist tulemuslikkust isikuandmete
kaitse kõrge taseme tagamisel, kuid juhtis ühtlasi tähelepanu mitmele vastuolule ja
lahknevusele ning õiguslikule killustatusele, mis tulenevad määruse (EL) 2018/1725
IX peatüki ja määruse muude sätete koostoimest, ning sellele, et Euroopa Prokuratuuri
jaoks kehtib eraldi andmekaitsekord.
1 Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrus (EL) 2018/1725, mis käsitleb
füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning
isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus
nr 1247/2002/EÜ (ELT L 295, 21.11.2018, lk 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). 2 Nõukogu 12. oktoobri 2017. aasta määrus (EL) 2017/1939, millega rakendatakse tõhustatud koostööd
Euroopa Prokuratuuri asutamisel (ELT L 283, 31.10.2017, lk 1, ELI:
http://data.europa.eu/eli/reg/2017/1939/oj).
ET 8 ET
(3) Praegu kohaldatakse kasutatavate isikuandmete töötlemise suhtes ainult määruse
(EL) 2018/1725 artiklit 3 ja IX peatükki koos andmekaitse erinormidega, mis on
sätestatud Euroopa Liidu Õiguskaitsekoostöö Ameti (Europol) ja Euroopa Liidu
Kriminaalõigusalase Koostöö Ameti (Eurojust) asutamisaktides. Samal ajal on
Euroopa Prokuratuuril oma eraldiseisev andmekaitsekord, mis on sätestatud Euroopa
Prokuratuuri asutamisaktis. Seepärast tuleks määrust (EL) 2018/1725 muuta, et
laiendada selle IX peatüki kohaldamisala kõigile õiguskaitse ja kriminaalõiguse
valdkonnas tegutsevatele liidu organitele ja asutustele, kes töötlevad kasutatavaid
isikuandmeid, tagada õiguskindlus, kõrvaldades lüngad kehtivas andmekaitsekorras,
eelkõige Euroopa Piiri- ja Rannikuvalve Ameti puhul, ning ühtlustada isikuandmete
rahvusvahelise edastamise norme ja Euroopa Andmekaitseinspektori volitusi
käsitlevaid norme. See ei tohiks mõjutada võimalust säilitada määruses
(EL) 2017/1939 andmekaitse erieeskirjad, mis on vajalikud tulenevalt Euroopa
Prokuratuuri kui liidu sõltumatu prokuratuuri eripärast.
(4) Selleks et luua ühtlustatud, järjepidev, lihtsustatud ja täielik õigusraamistik
kasutatavate isikuandmete töötlemiseks liidu organites ja asutustes, tuleks ELi
toimimise lepingu kolmanda osa V jaotise 4. või 5. peatüki kohaldamisalasse
kuuluvaid tegevusi läbi viivate liidu organite ja asutuste suhtes kohaldada määruses
(EL) 2018/1725 sätestatud mõisteid (I peatükk), andmekaitseametnikke käsitlevaid
norme (IV peatüki 6. jagu), koostöö ja järjepidevuse alaseid norme (VII peatükk),
õiguskaitsevahendeid, vastutust ja karistusi käsitlevaid norme (VIII peatükk) ning
kasutatavate isikuandmete töötlemise norme (mis tuleks viia kooskõlla Euroopa
Parlamendi ja nõukogu direktiiviga (EL) 2016/6803 – IX peatükk). Neid norme tuleks
kohaldada juhul, kui liidu organid ja asutused viivad kõnealuseid tegevusi läbi
kuritegude tõkestamise, avastamise, uurimise või nende toimepanijate vastutusele
võtmise eesmärgil. Neid norme, ja mitte ainult määruse (EL) 2018/1725 IX peatükki,
tuleks kohaldada ka kasutatavate isikuandmete töötlemise suhtes Euroopa Piiri- ja
Rannikuvalve Ametis.Määruse (EL) 2018/1725 normide kohaldamine ei tohiks
mõjutada erinorme, mida kohaldatakse kasutatavate isikuandmete töötlemisele liidu
organite ja asutuste poolt tegevustes, mis jäävad ELi toimimise lepingu kolmanda osa
V jaotise 4. või 5. peatüki kohaldamisalasse, eelkõige Europoli, Eurojusti ja Euroopa
Prokuratuuri asutamisaktides sätestatud norme. Selliseid erinorme tuleks käsitada lex
specialis’ena määruse (EL) 2018/1725 sätete suhtes, mis käsitlevad kasutatavate
isikuandmete töötlemist.
(5) Kõigis liidu institutsioonides ja organites peaks andmekaitseametnik tagama, et
kohaldatakse kõiki andmekaitsenorme, sealhulgas määrust (EL) 2018/1725. Samuti
peaksid andmekaitseametnikud nõustama vastutavaid töötlejaid ja volitatud töötlejaid
seoses nende kohustustega. Järjepidevuse tagamiseks ja dubleerimise vältimiseks
peaks nii halduslikku laadi kui ka kasutatavate isikuandmete puhul kehtima
andmekaitseametnike jaoks ainult üks normistik.
(6) Euroopa Andmekaitseinspektoril peaks olema viimase abinõuna õigus määrata
haldustrahve, muu hulgas seoses kasutatavate isikuandmete töötlemisega õiguskaitse
ja kriminaalõiguse valdkonnas tegutsevates liidu organites ja asutustes.
3 Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiiv (EL) 2016/680, mis käsitleb füüsiliste
isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise,
avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil
ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus
2008/977/JSK (ELT L 119, 4.5.2016, lk 89, ELI: http://data.europa.eu/eli/dir/2016/680/oj).
ET 9 ET
(7) Määruses (EL) 2018/1725 dubleerimise vältimiseks tuleks selle artikkel 70 välja jätta,
kuna IX peatüki kohaldamisala on juba sätestatud määruse (EL) 2018/1725 artiklis 2.
(8) Selleks et tagada kooskõla määrusega (EL) .../... [digivaldkonna koondettepanek],
tuleks määruse (EL) 2018/1725 artiklis 77 täpsustada, et otsused, mis põhinevad
üksnes kasutatavate isikuandmete automatiseeritud töötlemisel, on lubatud, kui on
täidetud eritingimused.
(9) Selleks et tagada kooskõla määrusega (EL) .../... [digivaldkonna koondettepanek],
tuleks määruse (EL) 2018/1725 artiklis 78 täpsustada, et andmetega tutvumise õigust,
mis on algusest peale andmesubjektide jaoks soodne, ei tohiks kuritarvitada selles
mõttes, et andmesubjektid kasutavad seda muul eesmärgil kui oma andmete
kaitsmiseks.
(10) Selleks et tõendada vastavust määrusele (EL) 2018/1725, peaksid õiguskaitse ja
kriminaalõiguse valdkonnas tegutsevatele liidu organitele ja asutustele kehtima
ühetaolised normid kõigi nende vastutusel tehtavate töötlemistoimingute liikide
dokumenteerimise kohta. Iga vastutav ja volitatud töötleja peaks olema kohustatud
tegema Euroopa Andmekaitseinspektoriga koostööd ja tegema need dokumendid
taotluse korral Euroopa Andmekaitseinspektorile kättesaadavaks, et neid saaks
kasutada nimetatud töötlemistoimingute kontrollimiseks.
(11) Liidu organitel ja asutustel ei tohiks olla võimalik logisid muuta. Kui liidu organid ja
asutused saavad kasutatavaid isikuandmeid liikmesriikide pädevatelt asutustelt,
peaksid liidu organid ja asutused edastama logid kõnealustele pädevatele asutustele,
kui need on vajalikud andmekaitsenõuete täitmise asutusesiseseks uurimiseks.
(12) Selleks et tagada kooskõla määrusega (EL) .../... [digivaldkonna koondettepanek],
peaks isikuandmetega seotud rikkumisest Euroopa Andmekaitseinspektorile teatamise
künnis olema kõrgem ja teatamise tähtaega tuleks pikendada.
(13) Kõigile õiguskaitse ja kriminaalõiguse valdkonnas tegutsevatele liidu organitele ja
asutustele peaks kehtima ühetaoline kasutatavate isikuandmete rahvusvahelise
edastamise normistik, mis on kooskõlas direktiiviga (EL) 2016/680.
(14) Komisjon võib direktiivi (EL) 2016/680 artikli 36 alusel otsustada, et kolmandas
riigis, kolmanda riigi territooriumil või kindlaksmääratud sektoris või rahvusvahelises
organisatsioonis pakutakse piisaval tasemel andmekaitset. Sellisel juhul võib
kasutatavate isikuandmete edastamine liidu organi või asutuse poolt kõnealusesse riiki
või kõnealusele rahvusvahelisele organisatsioonile toimuda ilma, et oleks vaja saada
täiendav luba.
(15) Isikuandmete edastamine ilma sellise kaitse piisavuse otsuseta peaks olema lubatud
üksnes juhul, kui õiguslikult siduvas aktis on sätestatud isikuandmete kaitseks
asjakohased kaitsemeetmed või kui vastutav töötleja, olles hinnanud kõiki andmete
edastamisega seotud asjaolusid, on oma hinnangust lähtudes seisukohal, et
asjakohased kaitsemeetmed isikuandmete kaitseks on kehtestatud. Õiguslikult
siduvaks aktiks võib olla näiteks enne 12. detsembrit 2019 otsuse 2002/187/JSK
artikli 26a kohaselt Eurojusti ja kolmanda riigi vahel sõlmitud koostööleping, enne
1. maid 2017 otsuse 2009/371/JSK artikli 23 kohaselt Europoli ja kolmanda riigi vahel
sõlmitud koostööleping või ELi toimimise lepingu artikli 218 kohaselt liidu ja
kolmanda riigi vahel sõlmitud rahvusvaheline leping.
(16) Kaitse piisavuse otsuse ja asjakohaste kaitsemeetmete puudumise korral võib
edastamine või teatavat liiki edastamine toimuda erandina kindlates olukordades.
Erandeid tuleks tõlgendada kitsalt ning need ei tohiks võimaldada isikuandmete
ET 10 ET
sagedast, ulatuslikku ja struktuurset edastamist ega andmete suuremahulist edastamist,
piirduda tuleks vaid rangelt vajalike andmetega. Selline edastamine tuleks
dokumenteerida ning need dokumendid tuleks teha Euroopa Andmekaitseinspektorile
taotluse korral kättesaadavaks, et kontrollida edastamise seaduslikkust.
(17) Konkreetsetel üksikjuhtudel võib juhtuda, et tavapärased menetlused, mis nõuavad
ühenduse võtmist kolmanda riigi pädeva asutusega, ei ole mõjusad või asjakohased,
eelkõige seetõttu, et andmeid ei saaks edastada õigeaegselt, või seetõttu, et kõnealune
kolmanda riigi asutus ei austa õigusriigi põhimõtteid või rahvusvahelisi
inimõigustealaseid norme ja standardeid. Selline olukord võib tekkida siis, kui
isikuandmeid on vaja edastada kiiresti kolmandas riigis asuvale eraõiguslikule
äriühingule, et saada teavet internetikuriteo toime pannud tundmatu isiku kohta, päästa
süüteo ohvriks langemise ohus oleva isiku elu või hoida ära lähiajal toimepandav
kuritegu, sealhulgas terroriakt. Sellistel juhtudel võiksid liikmesriikide pädevad
asutused kindlatel tingimustel otsustada edastada kasutatavad isikuandmed otse
kolmandas riigis asuvale vastuvõtjale, kes ei ole pädev asutus.
(18) Euroopa Andmekaitseinspektoril peaksid olema ühetaolised volitused, mida
kohaldatakse kasutatavate isikuandmete töötlemise suhtes õiguskaitse ja
kriminaalõiguse valdkonnas tegutsevates liidu organites ja asutustes. Sellised volitused
on juba alates 2022. aastast kehtinud Europoli suhtes, näiteks õigus anda vastutavale
töötlejale korraldus tagada määruse (EL) 2018/1725 järgimine, õigus anda korraldus
peatada andmevood liikmesriigis, kolmandas riigis või rahvusvahelises
organisatsioonis asuvale vastuvõtjale või õigus määrata korralduse täitmata jätmise
korral haldustrahv.
(19) Euroopa Andmekaitseinspektoriga konsulteeriti kooskõlas määruse (EL) 2018/1725
artikli 42 lõikega 1 ning ta esitas arvamuse XX XX 2026,
ON VASTU VÕTNUD KÄESOLEVA MÄÄRUSE:
Artikkel 1
Määruse (EL) 2018/1725 muudatused
Määrust (EL) 2018/1725 muudetakse järgmiselt.
1. Artiklit 2 muudetakse järgmiselt:
(a) lõige 2 asendatakse järgmisega:
„2. Kasutatavate isikuandmete töötlemisel liidu organite ja asutuste poolt
tegevustes, mis jäävad ELi toimimise lepingu kolmanda osa V jaotise 4. või
5. peatüki kohaldamisalasse, kohaldatakse üksnes käesoleva määruse
artikleid 3, 43, 44 ja 45 ning VII, VIII ja IX peatükki, ilma et see mõjutaks
selliste liidu organite ja asutuste suhtes kohaldatavaid andmekaitse erinorme.“;
(b) lõige 3 jäetakse välja.
2. Artikli 45 lõike 1 punktid d, e ja f asendatakse järgmisega:
„d) anda taotluse korral nõu vajaduse kohta teavitada isikuandmetega seotud
rikkumisest vastavalt artiklitele 34 ja 35 või 92 ja 93;
e) anda taotluse korral nõu seoses andmekaitsealase mõjuhinnanguga ning jälgida
selle toimimist vastavalt artiklile 39 või 89 ning konsulteerida Euroopa
Andmekaitseinspektoriga, kui tekib kahtlusi seoses andmekaitsealase mõjuhinnangu
vajalikkusega;
ET 11 ET
f) anda taotluse korral nõu seoses vajadusega konsulteerida eelnevalt Euroopa
Andmekaitseinspektoriga vastavalt artiklile 40 või 90; konsulteerida Euroopa
Andmekaitseinspektoriga, kui tekib kahtlusi seoses eelneva konsulteerimise
vajalikkusega;“.
3. Artikli 66 lõike 1 esimene lause asendatakse järgmisega:
„1. Euroopa Andmekaitseinspektor võib määrata liidu institutsioonile või asutusele
trahvi sõltuvalt konkreetse juhtumi asjaoludest, kui liidu institutsioon või asutus ei
suuda täita artikli 58 lõike 2 punktides d–h ja punktis j või artikli 95a lõike 3
punktides c, e, f, j ja k osutatud Euroopa Andmekaitseinspektori korraldust.“
4. Artikkel 70 jäetakse välja.
5. Artikli 77 lõige 1 asendatakse järgmisega:
„1. Otsus, millel on andmesubjektile õiguslikud tagajärjed või mis avaldab talle
samamoodi märkimisväärset mõju, võib põhineda ainult automatiseeritud
töötlemisel, sealhulgas profiilianalüüsil, üksnes juhul, kui see otsus on lubatud
vastutava töötleja suhtes kohaldatava liidu õigusega, mis sisaldab piisavaid meetmeid
andmesubjekti õiguste ja vabaduste kaitseks, vähemalt õigust vastutava töötleja
isiklikule sekkumisele.“
6. Artikli 78 lõige 4 asendatakse järgmisega:
„4. Vastutav töötleja esitab artikli 79 kohast teavet ning teavitab artiklite 80–84 ning
92 alusel toimunud suhtlusest või võetud meetmetest tasuta. Kui andmesubjekti
taotlused on selgelt põhjendamatud või ülemäärased, eelkõige nende korduva
iseloomu tõttu, või artikli 80 kohaste taotluste puhul seetõttu, et andmesubjekt
kuritarvitab isikuandmetega tutvumise õigust, kasutades seda muul eesmärgil kui
oma andmete kaitseks, võib vastutav töötleja keelduda taotluse alusel toimingu
tegemisest. Vastutav töötleja peab tõendama, et taotlus on selgelt põhjendamatu või
et on mõistlik alus arvata, et see on ülemäärane.“
7. Lisatakse järgmine artikkel 87a:
„Artikkel 87a
Kasutatavate isikuandmete töötlemise toimingute kategooriate registreerimine
1. Vastutav töötleja peab kõigi tema vastutusel tehtavate kasutatavate isikuandmete
töötlemise toimingute kategooriate registrit. Registreerimiskanne sisaldab järgmist
teavet:
a) vastutava töötleja kontaktandmed ning andmekaitseametniku nimi ja
kontaktandmed ning asjakohasel juhul kaasvastutava töötleja kontaktandmed;
b) töötlemise eesmärgid;
c) vastuvõtjate kategooriad, kellele isikuandmeid on avalikustatud või
avalikustatakse, sealhulgas eraõiguslikud isikud ning kolmandates riikides olevad
vastuvõtjad või rahvusvahelised organisatsioonid;
d) andmesubjektide kategooriate ja isikuandmete liikide kirjeldus;
e) asjakohasel juhul profiilianalüüsi kasutamine;
f) asjakohasel juhul isikuandmete eraõiguslikule isikule, kolmandale riigile või
rahvusvahelisele organisatsioonile edastamise liigid;
ET 12 ET
g) teave isikuandmete kavandatava töötlemise toimingu (sealhulgas edastamise)
õigusliku aluse kohta;
h) võimaluse korral eri andmeliikide kustutamiseks ette nähtud tähtajad;
i) võimaluse korral artikli 91 lõikes 1 osutatud tehniliste ja korralduslike
turvameetmete üldine kirjeldus.
2. Volitatud töötleja peab kõigi vastutava töötleja nimel tehtavate isikuandmete
töötlemise toimingute kategooriate registrit, mis sisaldab järgmist teavet:
a) volitatud töötleja või volitatud töötlejate kontaktandmed, iga vastutava töötleja
kontaktandmed, kelle nimel volitatud töötleja tegutseb, ning andmekaitseametniku
kontaktandmed;
b) vastutava töötleja nimel tehtava töötlemise liigid;
c) asjakohasel juhul isikuandmete edastamine eraõiguslikule isikule, kolmandale
riigile või rahvusvahelisele organisatsioonile, kui vastutav töötleja andis selleks
sõnaselge korralduse, sealhulgas andmed kõnealuse kolmanda riigi või
rahvusvahelise organisatsiooni tuvastamiseks;
d) võimaluse korral artikli 91 lõikes 1 osutatud tehniliste ja korralduslike
turvameetmete üldine kirjeldus.
3. Lõigetes 1 ja 2 osutatud registreerimine on kirjalik, sealhulgas elektrooniline.
Taotluse korral teevad vastutav töötleja ja volitatud töötleja registri kättesaadavaks
Euroopa Andmekaitseinspektorile.“
8. Artikli 88 lõikele 1 lisatakse järgmine lause:
„Logifailide muutmine ei ole võimalik.“
9. Artikli 88 lõikele 3 lisatakse järgmine lause:
„Lõikes 1 osutatud logifailid edastatakse riigi pädevale asutusele, kui see asutus
vajab neid andmekaitsenormide järgimisega seotud konkreetse uurimise jaoks.“
10. Artikli 92 lõige 1 asendatakse järgmisega:
„1. Kui on toimunud isikuandmetega seotud rikkumine, mis võib tõenäoliselt kaasa
tuua suure ohu füüsiliste isikute õigustele ja vabadustele, teatab vastutav töötleja
isikuandmetega seotud rikkumisest Euroopa Andmekaitseinspektorile põhjendamatu
viivituseta ja võimaluse korral 96 tunni jooksul pärast sellest teada saamist. Kui
Euroopa Andmekaitseinspektorit teavitatakse hiljem kui 96 tunni jooksul, esitatakse
teates viivituse kohta põhjendus.“
11. Artikkel 94 asendatakse järgmisega:
„Artikkel 94
Kasutatavate isikuandmete kolmandatele riikidele ja rahvusvahelistele
organisatsioonidele edastamise üldpõhimõtted
1. Vastutav töötleja võib edastada kasutatavaid isikuandmeid kolmandale riigile või
rahvusvahelisele organisatsioonile, tingimusel et järgitakse kohaldatavaid
andmekaitsenorme ja käesoleva määruse muid sätteid, ning üksnes juhul, kui on
täidetud järgmised tingimused:
(a) andmete edastamine on vajalik vastutava töötleja ülesannete täitmiseks;
ET 13 ET
(b) kolmanda riigi ametiasutus või rahvusvaheline organisatsioon, kellele
kasutatavaid isikuandmeid edastatakse, on pädev õiguskaitse või
kriminaalõiguse küsimustes;
(c) kui kasutatavad isikuandmed, mida edastatakse, on vastutavale töötlejale
edastanud või kättesaadavaks teinud liikmesriik või liidu organ või asutus,
peab vastutav töötleja saama andmete edastamiseks asjaomase liikmesriigi
pädevalt asutuselt või asjaomaselt liidu organilt või asutuselt eelneva loa
kooskõlas tema suhtes kohaldatava õigusega, välja arvatud juhul, kui
kõnealune liikmesriik või liidu organ või asutus on andnud selliseks
edastamiseks kas üldise või konkreetsetel tingimustel kohaldatava loa;
(d) kui kolmas riik või rahvusvaheline organisatsioon saadab andmed edasi muule
kolmandale riigile või rahvusvahelisele organisatsioonile, peab asjaomane
kolmas riik või rahvusvaheline organisatsioon saama vastutavalt töötlejalt
selliseks edasisaatmiseks eelneva loa;
(e) vastutav töötleja annab punkti d kohase loa üksnes andmed algselt edastanud
liikmesriigi või liidu organi või asutuse eelneval loal ja asjakohasel juhul pärast
seda, kui ta on võtnud nõuetekohaselt arvesse kõiki asjakohaseid tegureid,
sealhulgas kuriteo raskust, kasutatavate isikuandmete algse edastamise
eesmärki ja kasutatavate isikuandmete kaitse taset selles kolmandas riigis või
rahvusvahelises organisatsioonis, kellele kasutatavad isikuandmed edasi
saadetakse.
2. Vastutav töötleja võib käesoleva artikli lõikes 1 sätestatud tingimustel kolmandale
riigile või rahvusvahelisele organisatsioonile kasutatavaid isikuandmeid edastada
juhul, kui on täidetud artiklis 94a, artiklis 94b, artiklis 94c või artiklis 94d sätestatud
tingimused.
3. Ilma et see mõjutaks artikli 94c kohaldamist, võib vastutav töötleja edastada
kasutatavaid isikuandmeid sellise riigi pädevale asutusele, kes on ühinenud
Schengeni acquis’ rakendamise, kohaldamise ja edasiarendamisega ning kes on
rakendanud direktiivi (EL) 2016/680 sätted ja direktiivi (EL) 2023/977 teabevahetust
käsitlevad sätted ning neid tegelikult kohaldab.
4. Vastutav töötleja võib kiireloomulistel juhtudel edastada kasutatavaid
isikuandmeid ilma lõike 1 punkti c kohase liikmesriigilt või liidu organilt või
asutuselt saadud eelneva loata. Vastutav töötleja teeb seda üksnes juhul, kui
kasutatavate isikuandmete edastamine on vajalik liikmesriigi või kolmanda riigi
avalikku julgeolekut ähvardava või liikmesriigi olulisi huve kahjustava vahetu ja
tõsise ohu ennetamiseks ning kui eelnevat luba ei ole võimalik õigeaegselt saada.
Eelneva loa andmise eest vastutavat asutust teavitatakse viivitamata.
5. Kõiki käesoleva peatüki sätteid isikuandmete rahvusvahelise edastamise kohta
kohaldatakse selleks, et tagada, et käesoleva määrusega tagatud füüsiliste isikute
kaitse taset ei kahjustata.“
12. Lisatakse järgmised artiklid:
„Artikkel 94a
Edastamine kaitse piisavuse otsuse alusel
Vastutav töötleja võib edastada kasutatavaid isikuandmeid kolmandale riigile või
rahvusvahelisele organisatsioonile, kui komisjon on vastavalt direktiivi
(EL) 2016/680 artiklile 36 teinud otsuse, et asjaomane kolmas riik või asjaomase
ET 14 ET
kolmanda riigi territoorium või asjaomase kolmanda riigi üks või mitu
kindlaksmääratud sektorit või asjaomane rahvusvaheline organisatsioon tagab
isikuandmete kaitse piisava taseme.
Artikkel 94b
Edastamine asjakohaste kaitsemeetmete kohaldamisel
1. Kaitse piisavuse otsuse puudumise korral võib vastutav töötleja edastada
kasutatavaid isikuandmeid kolmandale riigile või rahvusvahelisele organisatsioonile
järgmistel juhtudel:
(a) kasutatavate isikuandmete kaitseks võetavad asjakohased kaitsemeetmed on
sätestatud õiguslikult siduvas aktis
(b) või vastutav töötleja on hinnanud kõiki kasutatavate isikuandmete
edastamisega seotud asjaolusid ning leidnud, et kehtestatud on kõik
kasutatavate isikuandmete kaitse seisukohast asjakohased kaitsemeetmed.
2. Lõike 1 punkti a kohane õiguslikult siduv akt on:
(a) ELi toimimise lepingu artikli 218 kohaselt liidu ja asjaomase kolmanda riigi
või rahvusvahelise organisatsiooni vahel sõlmitud rahvusvaheline leping,
millega on ette nähtud asjakohased kaitsemeetmed seoses eraelu puutumatuse
ja isikuandmete kaitse ning üksikisikute muude põhiõiguste ja -vabaduste
kaitsega;
(b) enne 12. detsembrit 2019 otsuse 2002/187/JSK artikli 26a kohaselt Eurojusti ja
asjaomase kolmanda riigi või rahvusvahelise organisatsiooni vahel sõlmitud
koostööleping, mis võimaldab kasutatavaid isikuandmeid vahetada, või
(c) enne 1. maid 2017 otsuse 2009/371/JSK artikli 23 kohaselt Europoli ja
asjaomase kolmanda riigi või rahvusvahelise organisatsiooni vahel sõlmitud
koostööleping, mis võimaldab kasutatavaid isikuandmeid vahetada.
3. Liidu organid ja asutused võivad sõlmida koostöökokkuleppeid, et määrata
kindlaks lõikes 2 osutatud lepingute rakendamise kord.
4. Vastutav töötleja teatab Euroopa Andmekaitseinspektorile lõike 1 punkti b kohaste
edastamiste liigid.
5. Kui edastamine põhineb lõike 1 punktil b, siis selline edastamine
dokumenteeritakse ning dokumendid tehakse taotluse korral kättesaadavaks Euroopa
Andmekaitseinspektorile. Dokumendid peavad sisaldama edastamise kuupäeva ja
kellaaega ning teavet vastuvõtva pädeva asutuse, edastamise põhjenduse ja edastatud
kasutatavate isikuandmete kohta.
Artikkel 94c
Erandid eriolukordade puhuks
1. Kaitse piisavuse otsuse või artikliga 94b ette nähtud asjakohaste kaitsemeetmete
puudumise korral võib vastutav töötleja edastada kasutatavaid isikuandmeid
kolmandale riigile või rahvusvahelisele organisatsioonile üksnes tingimusel, et
edastamine on vajalik:
(a) andmesubjekti või teise isiku eluliste huvide kaitsmiseks;
(b) andmesubjekti õigustatud huvide kaitsmiseks;
ET 15 ET
(c) liikmesriigi või kolmanda riigi avalikku julgeolekut ähvardava vahetu ja tõsise
ohu ennetamiseks
(d) või konkreetsetel juhtudel vastutava töötleja ülesannete täitmiseks, välja
arvatud juhul, kui vastutav töötleja teeb kindlaks, et asjaomase andmesubjekti
põhiõigused ja -vabadused kaaluvad üles edastamisega seotud avaliku huvi.
2. Kui edastamine põhineb lõikel 1, siis selline edastamine dokumenteeritakse ning
dokumendid tehakse taotluse korral kättesaadavaks Euroopa
Andmekaitseinspektorile. Dokumendid peavad sisaldama edastamise kuupäeva ja
kellaaega ning teavet vastuvõtva pädeva asutuse, edastamise põhjenduse ja edastatud
kasutatavate isikuandmete kohta.
Artikkel 94d
Kasutatavate isikuandmete edastamine kolmandas riigis asuvale vastuvõtjale
1. Erandina artikli 94 lõike 1 punktist b ja ilma et see mõjutaks käesoleva artikli
lõikes 2 osutatud rahvusvaheliste lepingute kohaldamist, võib vastutav töötleja
üksikutel erijuhtumitel edastada kasutatavaid isikuandmeid kolmandas riigis asuvale
vastuvõtjale otse üksnes juhul, kui on täidetud kõik järgmised tingimused:
(a) edastamine on rangelt vajalik vastutava töötleja ülesannete täitmiseks
eesmärkidel, milleks kasutatavaid isikuandmeid on lubatud töödelda;
(b) vastutav töötleja teeb kindlaks, et ükski asjaomase andmesubjekti põhiõigus
ega -vabadus ei kaalu konkreetse juhtumi puhul üles avalikku huvi, mis
edastamise vajalikuks teeb;
(c) vastutav töötleja leiab, et edastamine kolmanda riigi pädevale asutusele ei ole
mõjus või asjakohane, eelkõige sellepärast, et seda ei ole võimalik teha
õigeaegselt;
(d) kolmanda riigi pädevat asutust teavitatakse põhjendamatu viivituseta, välja
arvatud juhul, kui see ei ole mõjus või asjakohane;
(e) vastutav töötleja teavitab vastuvõtjat konkreetsest eesmärgist või
konkreetsetest eesmärkidest, milleks vastuvõtja kasutatavaid isikuandmeid
töödelda tohib, eeldusel et selline töötlemine on vajalik.
2. Lõikes 1 osutatud rahvusvaheline leping on Euroopa Liidu ja kolmandate riikide
vaheline jõusolev kahepoolne või mitmepoolne rahvusvaheline leping
kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas.
3. Kui edastamine põhineb lõikel 1, siis selline edastamine, sealhulgas edastamise
kuupäev ja kellaaeg ning teave vastuvõtva pädeva asutuse, edastamise põhjenduse ja
edastatud kasutatavate isikuandmete kohta, dokumenteeritakse ning dokumendid
tehakse taotluse korral kättesaadavaks Euroopa Andmekaitseinspektorile.“
13. Lisatakse järgmine artikkel 95a:
„Artikkel 95a
Euroopa Andmekaitseinspektori teostatav järelevalve
1. Euroopa Andmekaitseinspektori ülesanne on jälgida ja tagada, et kohaldataks
sätteid, mis käsitlevad füüsiliste isikute põhiõiguste ja -vabaduste kaitsmist
kasutatavate isikuandmete töötlemisel liidu organites ja asutustes, samuti nõustada
liidu organeid ja asutusi ning andmesubjekte kõikides kasutatavate isikuandmete
töötlemisega seotud küsimustes. Selleks täidab ta lõikes 2 sätestatud ülesandeid ja
ET 16 ET
kasutab lõikega 3 antud volitusi, tehes samal ajal tihedat koostööd riiklike
järelevalveasutustega.
2. Euroopa Andmekaitseinspektoril on järgmised ülesanded:
a) kuulata ära ja uurida kaebusi ning teavitada andmesubjekti mõistliku aja jooksul
tulemusest; teostada kas omal algatusel või kaebuse alusel uurimisi ning teavitada
andmesubjekti mõistliku aja jooksul tulemusest;
b) jälgida ja tagada, et kohaldataks käesolevat määrust ja kõiki muid liidu õigusakte,
mis käsitlevad füüsiliste isikute kaitsmist kasutatavate isikuandmete töötlemisel liidu
organites ja asutustes;
c) nõustada kas omal algatusel või konsultatsiooni korras liidu organeid ja asutusi
kõikides kasutatavate isikuandmete töötlemisega seotud küsimustes, eelkõige enne
seda, kui liidu organ või asutus koostab oma sise-eeskirja põhiõiguste ja -vabaduste
kaitse kohta kasutatavate isikuandmete töötlemisel;
d) pidada registrit talle teatatud uut liiki töötlemistoimingute kohta;
e) viia läbi eelnev konsulteerimine seoses töötlemisega, millest talle on teatatud.
3. Käesoleva määruse alusel võib Euroopa Andmekaitseinspektor:
a) nõustada andmesubjekte nende õiguste kasutamisel;
b) edastada kasutatavate isikuandmete töötlemist käsitlevate sätete väidetava
rikkumise korral asja arutamiseks asjaomasele liidu organile või asutusele ning teha
asjakohasel juhul ettepanekuid rikkumise kõrvaldamiseks ja andmesubjektide kaitse
parandamiseks;
c) anda korralduse rahuldada taotlus kasutatavate isikuandmete suhtes teatavaid
õigusi kasutada, kui sellise taotluse tagasilükkamisega on rikutud andmesubjekti
õiguste kohta kehtivaid norme;
d) hoiatada liidu organit või asutust või teha talle märkuse;
e) anda liidu organile või asutusele korralduse isikuandmeid parandada, nende
töötlemist piirata, need kustutada või need hävitada, kui nende töötlemisel on rikutud
kasutatavate isikuandmete töötlemist reguleerivaid sätteid, ning teavitada sellest
meetmest kolmandaid isikuid, kellele sellised andmed on avaldatud;
f) keelata liidu organil või asutusel ajutiselt või alaliselt teha töötlemistoiminguid,
millega rikutakse kasutatavate isikuandmete töötlemist reguleerivaid sätteid;
g) edastada asja arutamiseks asjaomasele liidu organile või asutusele ja vajaduse
korral Euroopa Parlamendile, nõukogule ja komisjonile;
h) edastada asja arutamiseks Euroopa Liidu Kohtule ELi toimimise lepingus
sätestatud tingimustel;
i) sekkuda Euroopa Liidu Kohtusse antud asjade arutamisse;
j) anda korralduse, et vastutav töötleja või volitatud töötleja viiks asjakohasel juhul
isikuandmete töötlemise toimingud teatud viisil ja teatud aja jooksul vastavusse
käesoleva määrusega ning kohaldatavuse korral liidu organi või asutuse
asutamisaktis sätestatud andmekaitse-eeskirjadega;
k) anda korralduse peatada liikmesriigis või kolmandas riigis asuvale vastuvõtjale
või rahvusvahelisele organisatsioonile suunatud andmevoog;
ET 17 ET
l) määrata artikli 66 kohaselt haldustrahvi, kui liidu organ või asutus ei täida mõnda
käesoleva lõike punktides c, e, f, j ja k osutatud meedet, sõltuvalt iga üksikjuhtumi
asjaoludest.
4. Euroopa andmekaitseinspektoril on õigus:
a) saada liidu organilt või asutuselt juurdepääs kõigile kasutatavatele isikuandmetele
ja kogu teabele, mida ta oma päringuteks vajab;
b) pääseda kõikidesse tööruumidesse, kus liidu organ või asutus tegutseb, kui on
alust arvata, et seal tehakse käesolevas peatükis käsitletud toiminguid.
5. Euroopa Andmekaitseinspektor koostab igal aastal aruande järelevalvetoimingute
kohta, mida ta on teinud käesoleva peatüki kohaldamisalasse kuuluvate vastutavate
töötlejate suhtes. See aruanne on osa artiklis 60 osutatud Euroopa
Andmekaitseinspektori iga-aastasest aruandest.
Euroopa Andmekaitseinspektor palub riiklikel järelevalveasutustel esitada enne iga-
aastase aruande vastuvõtmist oma tähelepanekud aruande kõnealuse osa kohta.
Euroopa Andmekaitseinspektor võtab neid tähelepanekuid hoolikalt arvesse ning
osutab neile oma iga-aastases aruandes.
Teises lõigus osutatud iga-aastase aruande osa sisaldab statistilisi andmeid, mis
käsitlevad kaebusi, uurimisi ja juurdlusi, isikuandmete edastamist kolmandatele
riikidele ja rahvusvahelistele organisatsioonidele, Euroopa Andmekaitseinspektoriga
eelneva konsulteerimise juhtumeid ning käesoleva artikli lõikes 3 sätestatud volituste
kasutamist.
6. Euroopa Andmekaitseinspektor ning Euroopa Andmekaitseinspektori sekretariaadi
ametnikud ja muud töötajad on artikli 95 kohaselt seotud
konfidentsiaalsuskohustusega.“
Artikkel 2
Jõustumine
1. Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa
Liidu Teatajas.
2. Kasutatavate isikuandmete töötlemise suhtes Euroopa Prokuratuuris kohaldatakse
käesolevat määrust alates [uue Euroopa Prokuratuuri käsitleva määruse kohaldamise
alguskuupäev].
Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.
Brüssel,
Euroopa Parlamendi nimel Nõukogu nimel
eesistuja eesistuja
[...] [...]