Arvamuse edastamine



Justiits- ja Digiministeerium 30.05.2025
Suur-Ameerika 1
10122 Tallinn


Arvamus isikuandmete kaitse üldmääruse muutmise ettepanekule


Austatud justiits- ja digiminister Liisa-Ly Pakosta,


Eesti Meediaettevõtete Liit (EML) tänab võimaluse eest kaasa rääkida isikuandmete kaitse
üldmääruse muutmise osas ja järgnevalt esitame oma murekohad meediaettevõtete vaatevinklist.

Kõige keerulisemalt hallatavad GDPR-i kohustused:
Meediaettevõtetel on keeruline hallata andmesubjektide kustutamistaotlusi, kui need puudutavad ajakirjanduslikku sisu (sh arhiivis olevaid artikleid). Selliste taotluste puhul tuleb iga kord eraldi hinnata, kas avalik huvi on endiselt põhjendatud. Siin oleks abi selgest formuleeringust, et ajakirjanduse arhiivides olev sisu (mh ajaloo ja väljendusvabaduse kaitset) silmas pidades ei kuulu reeglina kustutamisele.

Tehnoloogia poole pealt on keerukaim osa seotud kolmandate osapoolte lahendustega (nt reklaamitehnoloogia ja analüütika tööriistad), kus lahenduse pakkuja on ülemaailmselt monopoolses seisus (nt Google). Tihti ei ole võimalik kaasa rääkida andmekaitsenõuete osas ning lahendusi pakutakse ”võta või jäta” tingimustel. Samas ei ole nende kasutamisest ärilistel põhjustel ka võimalik loobuda.

Paljude meediaettevõtete jaoks hädavajalike tehnoloogiliste lahenduste pakkujad (nt reklaamimüügilahendused, küpsiste nõusolekute haldamise platvormid) asuvad (või nende emaettevõte) välisriigis, sh väljaspool Euroopa Majanduspiirkonda ja nende kasutamise korral näeb GDPR ette liialt koormavaid erinõudeid, mille täitmine võtab põhiteenuse osutamise kõrvalt liial ressursse.

Üks keerulisemaid valdkondi GDPR-i järgimisel on vaatajaskonna sihtimine, eriti kui uudistemeedia organisatsioonid konkureerivad tehnoloogiahiiglastega nagu Google, Facebook või Amazon. Nendel platvormidel on peaaegu monopoolne juurdepääs esimese osapoole andmetele ja integreeritud ökosüsteemidele, mis võimaldavad põhjalikku profiilianalüüsi koos suhteliselt sujuva nõusoleku kogumise ja jõustamisega.

Ajakirjandusliku erandi kohaldamine (artikkel 85):
Ajakirjandusliku erandi kohaldamisel näiteks andmesubjektide taotlustele või õiguslikele kaebustele vastamisel on peamine probleem see, et ajakirjanduslik erand ei ole praktikas ja andmeesubjektidele alati üheselt mõistetav ega rakendatav. Näiteks kui andmesubjekt soovib, et tema nimi eemaldatakse artiklist, tuleb teha keeruline kaalutlusotsus – kas avalik huvi kaalub üles isikuandmete kaitse. Jällegi nõuab see lisaressurssi tavapärase meediateenuse osutamise kõrvalt. Abi oleks selgest formuleeringust, et ajakirjanduse arhiivides olev sisu (mh ajaloo ja väljendusvabaduse kaitset) silmas pidades ei kuulu reeglina kustutamisele.

Usume, et artikkel 85 ei tohiks jätta erandeid liikmesriikide reguleerida, vaid peaks sätestama, et kui isikuandmeid töödeldakse ajakirjanduse eesmärgil, ei kohaldata vastutava töötleja kohustusi, mis tulenevad II kuni VII ja IX peatükist.

Toimetusarhiivid:
Arhiivid on GDPR-i taotluste kõige haavatavam ja mõjutatum sihtmärk. Arvukatest kohtuasjadest on ilmne, et peamine probleem on otsingumootorid, kuna meediaarhiivides avaldatud ja hoitavad isikuandmed on otsingumootoritele kättesaadavad. Kui artiklis olevad andmed on anonüümseks muudetud, lähevad need lõplikult kaduma ja artikleid ei saa siduda tulevaste artiklitega, mis võivad andmesubjektide andmeid uuesti avaldada. Usume, et artikkel 85 peaks andma meediaarhiividele tõhusa kaitsevahendi ka meediaarhiivide jaoks, et kaitsta ajakirjandusvabadust.

Andmesubjektidele on vajalik selgitada, et ka arhiividel on oluline ajalooline väärtus ja need täidavad ühiskondliku mälu funktsiooni. Keerukas on hinnata, kas ja kui palju peaks olema andmesubjektil õigus nõuda enda kohta käivate andmete eemaldamist arhiivis olevast ajakirjanduslikust sisust, mis on juba muutunud osaks ajaloost. Kindlasti tuleks kasuks, kui arhiivis olev sisu saaks jääda puutumatuks ning see tuleneks otseselt õigusaktist.

GDPR-i järgimise mõju vaatajaskonna analüüsi ja isikupärastamise (nt pealkirjad, tasulised osad või uudiskirjad) kasutamisel:
GDPR-i kohaselt nõuab kasutajaandmete töötlemine analüütika eesmärgil – eriti kui see hõlmab küpsiseid, seadme ID-sid või IP-jälgimist - kasutaja nõusolekut.

GDPR on muutnud vaatajaskonna analüüsi ja personaliseerimise tööriistade kasutamise oluliselt keerukamaks, eriti kuna paljusid neist lahendustest pakuvad kolmandad osapooled.

Andmesubjektilt nõusoleku küsimise reegel veebiküpsiste kasutamisel, nõusolekute kogumine ja haldamine mõjutab otseselt meediateenuse osutamiseks vajalike andmete kättesaadavust ja kvaliteeti.

Meie hinnangul tuleks GDPR-is või mõnes muus õigusaktis reguleerida selgesõnaliselt ajakirjanduslik erand veebiküpsiste kasutamiseks, milles nähakse ette vaatajaskonna analüüsi ja statistikat võimaldavate veebiküpsiste kasutamine meediateenuse osutamisel ilma andmesubjekti nõusolekuta.

Oleme seisukohal, et statistiliste ja analüütika veebiküpsiste kasutamine on meediateenuse osutamiseks hädavajalik avaliku huvi hindamiseks ja teenuse pakkumiseks ning see erand peaks olema õiguskindluse tagamiseks selgesõnaliselt meediateenuse osas ka GDPR-is vms õigusaktis välja toodud. Praegu sellist erandit õigusaktidest selgesõnaliselt ei tulene.

Soovime selgust ja ühtset seisukohta nn “Pay or OK” lahenduse kasutamise osas. Hetkel on seisukohad riigiti erinevad. Mõne riigi andmekaitseasutus on andnud juhendi ”Pay or OK” lahenduse õiguspäraseks kasutamiseks, samas on teise riigi andmekaitseasutus märkinud, et sellise lahenduse kasutamisel ei loetaks ilmselt andmesubjekti nõusolekut kehtivaks.

Meediateenuse osutaja jaoks on „Pay or OK“ lahenduse kasutamine ja õigusselgus väga vajalik.

Kogemused toimetuse e-kirjade (nt uudiskirjad, sisuhoiatused) nõusoleku haldamisel
E-kirjade segmenteerimine ja jälgimine (näiteks kes mida avab, klikkimiskäitumine) hõlmab sageli pikslite jälgimist, mis võib nõuda nõusolekut ja käivitada artikli 5 põhimõtted andmete minimeerimise ja salvestamise piiramise kohta. Probleem tuleneb sageli kattumisest e-privaatsuse direktiiviga, eriti seoses jälgimispikslite, kolmandate osapoolte pistikprogrammidega või integratsiooniga reklaamivahenditega (nt uudiskirjadega seotud Facebook Pixel või Google Adsi vaatajaskonnad).

Suurimad vastavusprobleemid reklaami müügil (nt reklaamitehnoloogia platvormid, nagu SSP-d ja CMP pakkujad)
Üks peamisi GDPR-i vastavuskohustusi seisneb selle tagamises, et iga reklaamiahela pakkuja austab kasutaja nõusolekut, eriti reaalajas pakkumise (RTB) ja programmilise reklaami tehnoloogiate kasutamisel.

RTB-s võidakse kasutajaandmeid (IP, asukoht, sirvimiskäitumine) edastada sadadele müüjatele millisekundite jooksul, mistõttu on andmete minimeerimist ja eesmärgi piiramist raske tagada.
Kirjastajad vastutavad vastutavate töötlejatena juriidiliselt isegi siis, kui nad ei sõlmi otsest lepingut kõigi tarneahelas osalejatega. Paljud müüjad väidavad, et nad on andmetöötlejad, kuid tegelikult tegutsevad nad kaasvastutavate töötlejatena, eriti kui nad taaskasutavad andmeid profiilide koostamiseks või koondamiseks kirjastajate vahel.

Paljud reklaamitehnoloogia müüjad pakuvad tüüptingimusi, mis nihutavad vastutuse väljaandjale, väldivad kaasvastutava töötleja kohustusi või jätavad andmete säilitamise perioodid määratlemata.

Väikestel või keskmise suurusega kirjastajatel puudub mõjuvõim, et pidada läbirääkimisi sisukate tingimuste üle suurte SSP-de, DMP-de või mõõtmiste müüjatega.

GDPR-i lihtsustamine kirjastaja vaatevinklist
Ajakirjanduse väljaandja kui vastutav töötleja ei peaks olema kohustatud järgima vastutava töötleja ametlikke kohustusi ning kaaluda tuleks õigust kaitsta ajakirjanduslikku allikat.
Meediaarhiive tuleks kaitsta ja õigust olla unustatud tuleks teostada mitte anonüümseks muutmise, vaid artiklite otsingumootorite jaoks deindekseerimise teel.

Veebiküpsiste ja -tehnoloogiate kasutamisel meediateenuse osutamisel tuleks lugeda analüütilised ja statistikat koguvad veebiküpsised hädavajalikes küpsisteks, mida on lubatud kasutada ilma andmesubjekti nõusolekuta ja see on selgesõnalise erandina õigusaktis toodud. Samuiti peaks olema õigusaktis toodud erandina lubatud turunduslikku profileerimist ja personaliseeritud reklaami kuvamist võimaldavate veebitehnoloogiate kasutamine õigustatud huvi alusel.

„Pay or OK“ lahendus võiks olla meediaettevõttele lubatud selge erandiga GDPR-is või mõnes muus õigusaktis.

Laialt levinud tehnoloogiliste lahenduste pakkujad (nt Google, Meta, Microsoft jne) peaksid vastutama ainuisikuliselt oma pakutava lahenduse GDPR-ile vastavuse eest (sh andmeedastuse korral madala andmekaitse tasemega riiki). Nende lahenduste kasutamise korral ei tohiks GDPR-iga või muude andmekaitsenõuetega vastavuse tagamine lasuda mitte ühelgi juhul nende lahenduste kasutajatel, nagu see hetkel regulatsiooni kohaselt on.

Reklaamitehnoloogia platvormide puhul pakutakse lahendusi kujul, milles ei ole võimalik meediaettevõttel piisaval tasemel seadistusi teha. Näiteks puudub võimalus eelnevalt seadistada või kategoriseerida, millist laadi reklaami väljaandja oma lehel kuvada tohib. Lähitulevikus poliitreklaamile kehtima hakkavate nõuete osas ei võimalda praegused lahendused luua erireegleid poliitreklaami kuvamise osas.

Rahvusvaheliste reklaamivõrgustike ja -platvormide kasutamise korral ei ole võimalik tegelikkuses tagada, et kõik partnerid käituvad vastavuses GDPR-iga ja seda isegi juhul kui meediaettevõtte nõusolekuhaldusplatvorm on korrektselt seadistatud.

Eesti Meediaettevõtete Liit on seisukohal, et avada võiks kõnelused määruse artikkel 85 täpsustamiseks, millele oleme ka juba varasemalt tähelepanu juhtunud.

Kuna Eesti ei ole artikkel 84 alusel vastu võtnud midagi peale IKS § 4, siis on siiani reguleerimata, kuidas meediaettevõtted näiteks ajakirjanduslikul eesmärgil töödeldavaid andmeid registris peaks kajastama.



Lugupidamisega

Väino Koorberg
Juhatuse liige



Justiits- ja Digiministeerium 30.05.2025
Suur-Ameerika 1
10122 Tallinn


Arvamus isikuandmete kaitse üldmääruse muutmise ettepanekule


Austatud justiits- ja digiminister Liisa-Ly Pakosta,


Eesti Meediaettevõtete Liit (EML) tänab võimaluse eest kaasa rääkida isikuandmete kaitse
üldmääruse muutmise osas ja järgnevalt esitame oma murekohad meediaettevõtete vaatevinklist.

Kõige keerulisemalt hallatavad GDPR-i kohustused:
Meediaettevõtetel on keeruline hallata andmesubjektide kustutamistaotlusi, kui need puudutavad ajakirjanduslikku sisu (sh arhiivis olevaid artikleid). Selliste taotluste puhul tuleb iga kord eraldi hinnata, kas avalik huvi on endiselt põhjendatud. Siin oleks abi selgest formuleeringust, et ajakirjanduse arhiivides olev sisu (mh ajaloo ja väljendusvabaduse kaitset) silmas pidades ei kuulu reeglina kustutamisele.

Tehnoloogia poole pealt on keerukaim osa seotud kolmandate osapoolte lahendustega (nt reklaamitehnoloogia ja analüütika tööriistad), kus lahenduse pakkuja on ülemaailmselt monopoolses seisus (nt Google). Tihti ei ole võimalik kaasa rääkida andmekaitsenõuete osas ning lahendusi pakutakse ”võta või jäta” tingimustel. Samas ei ole nende kasutamisest ärilistel põhjustel ka võimalik loobuda.

Paljude meediaettevõtete jaoks hädavajalike tehnoloogiliste lahenduste pakkujad (nt reklaamimüügilahendused, küpsiste nõusolekute haldamise platvormid) asuvad (või nende emaettevõte) välisriigis, sh väljaspool Euroopa Majanduspiirkonda ja nende kasutamise korral näeb GDPR ette liialt koormavaid erinõudeid, mille täitmine võtab põhiteenuse osutamise kõrvalt liial ressursse.

Üks keerulisemaid valdkondi GDPR-i järgimisel on vaatajaskonna sihtimine, eriti kui uudistemeedia organisatsioonid konkureerivad tehnoloogiahiiglastega nagu Google, Facebook või Amazon. Nendel platvormidel on peaaegu monopoolne juurdepääs esimese osapoole andmetele ja integreeritud ökosüsteemidele, mis võimaldavad põhjalikku profiilianalüüsi koos suhteliselt sujuva nõusoleku kogumise ja jõustamisega.

Ajakirjandusliku erandi kohaldamine (artikkel 85):
Ajakirjandusliku erandi kohaldamisel näiteks andmesubjektide taotlustele või õiguslikele kaebustele vastamisel on peamine probleem see, et ajakirjanduslik erand ei ole praktikas ja andmeesubjektidele alati üheselt mõistetav ega rakendatav. Näiteks kui andmesubjekt soovib, et tema nimi eemaldatakse artiklist, tuleb teha keeruline kaalutlusotsus – kas avalik huvi kaalub üles isikuandmete kaitse. Jällegi nõuab see lisaressurssi tavapärase meediateenuse osutamise kõrvalt. Abi oleks selgest formuleeringust, et ajakirjanduse arhiivides olev sisu (mh ajaloo ja väljendusvabaduse kaitset) silmas pidades ei kuulu reeglina kustutamisele.

Usume, et artikkel 85 ei tohiks jätta erandeid liikmesriikide reguleerida, vaid peaks sätestama, et kui isikuandmeid töödeldakse ajakirjanduse eesmärgil, ei kohaldata vastutava töötleja kohustusi, mis tulenevad II kuni VII ja IX peatükist.

Toimetusarhiivid:
Arhiivid on GDPR-i taotluste kõige haavatavam ja mõjutatum sihtmärk. Arvukatest kohtuasjadest on ilmne, et peamine probleem on otsingumootorid, kuna meediaarhiivides avaldatud ja hoitavad isikuandmed on otsingumootoritele kättesaadavad. Kui artiklis olevad andmed on anonüümseks muudetud, lähevad need lõplikult kaduma ja artikleid ei saa siduda tulevaste artiklitega, mis võivad andmesubjektide andmeid uuesti avaldada. Usume, et artikkel 85 peaks andma meediaarhiividele tõhusa kaitsevahendi ka meediaarhiivide jaoks, et kaitsta ajakirjandusvabadust.

Andmesubjektidele on vajalik selgitada, et ka arhiividel on oluline ajalooline väärtus ja need täidavad ühiskondliku mälu funktsiooni. Keerukas on hinnata, kas ja kui palju peaks olema andmesubjektil õigus nõuda enda kohta käivate andmete eemaldamist arhiivis olevast ajakirjanduslikust sisust, mis on juba muutunud osaks ajaloost. Kindlasti tuleks kasuks, kui arhiivis olev sisu saaks jääda puutumatuks ning see tuleneks otseselt õigusaktist.

GDPR-i järgimise mõju vaatajaskonna analüüsi ja isikupärastamise (nt pealkirjad, tasulised osad või uudiskirjad) kasutamisel:
GDPR-i kohaselt nõuab kasutajaandmete töötlemine analüütika eesmärgil – eriti kui see hõlmab küpsiseid, seadme ID-sid või IP-jälgimist - kasutaja nõusolekut.

GDPR on muutnud vaatajaskonna analüüsi ja personaliseerimise tööriistade kasutamise oluliselt keerukamaks, eriti kuna paljusid neist lahendustest pakuvad kolmandad osapooled.

Andmesubjektilt nõusoleku küsimise reegel veebiküpsiste kasutamisel, nõusolekute kogumine ja haldamine mõjutab otseselt meediateenuse osutamiseks vajalike andmete kättesaadavust ja kvaliteeti.

Meie hinnangul tuleks GDPR-is või mõnes muus õigusaktis reguleerida selgesõnaliselt ajakirjanduslik erand veebiküpsiste kasutamiseks, milles nähakse ette vaatajaskonna analüüsi ja statistikat võimaldavate veebiküpsiste kasutamine meediateenuse osutamisel ilma andmesubjekti nõusolekuta.

Oleme seisukohal, et statistiliste ja analüütika veebiküpsiste kasutamine on meediateenuse osutamiseks hädavajalik avaliku huvi hindamiseks ja teenuse pakkumiseks ning see erand peaks olema õiguskindluse tagamiseks selgesõnaliselt meediateenuse osas ka GDPR-is vms õigusaktis välja toodud. Praegu sellist erandit õigusaktidest selgesõnaliselt ei tulene.

Soovime selgust ja ühtset seisukohta nn “Pay or OK” lahenduse kasutamise osas. Hetkel on seisukohad riigiti erinevad. Mõne riigi andmekaitseasutus on andnud juhendi ”Pay or OK” lahenduse õiguspäraseks kasutamiseks, samas on teise riigi andmekaitseasutus märkinud, et sellise lahenduse kasutamisel ei loetaks ilmselt andmesubjekti nõusolekut kehtivaks.

Meediateenuse osutaja jaoks on „Pay or OK“ lahenduse kasutamine ja õigusselgus väga vajalik.

Kogemused toimetuse e-kirjade (nt uudiskirjad, sisuhoiatused) nõusoleku haldamisel
E-kirjade segmenteerimine ja jälgimine (näiteks kes mida avab, klikkimiskäitumine) hõlmab sageli pikslite jälgimist, mis võib nõuda nõusolekut ja käivitada artikli 5 põhimõtted andmete minimeerimise ja salvestamise piiramise kohta. Probleem tuleneb sageli kattumisest e-privaatsuse direktiiviga, eriti seoses jälgimispikslite, kolmandate osapoolte pistikprogrammidega või integratsiooniga reklaamivahenditega (nt uudiskirjadega seotud Facebook Pixel või Google Adsi vaatajaskonnad).

Suurimad vastavusprobleemid reklaami müügil (nt reklaamitehnoloogia platvormid, nagu SSP-d ja CMP pakkujad)
Üks peamisi GDPR-i vastavuskohustusi seisneb selle tagamises, et iga reklaamiahela pakkuja austab kasutaja nõusolekut, eriti reaalajas pakkumise (RTB) ja programmilise reklaami tehnoloogiate kasutamisel.

RTB-s võidakse kasutajaandmeid (IP, asukoht, sirvimiskäitumine) edastada sadadele müüjatele millisekundite jooksul, mistõttu on andmete minimeerimist ja eesmärgi piiramist raske tagada.
Kirjastajad vastutavad vastutavate töötlejatena juriidiliselt isegi siis, kui nad ei sõlmi otsest lepingut kõigi tarneahelas osalejatega. Paljud müüjad väidavad, et nad on andmetöötlejad, kuid tegelikult tegutsevad nad kaasvastutavate töötlejatena, eriti kui nad taaskasutavad andmeid profiilide koostamiseks või koondamiseks kirjastajate vahel.

Paljud reklaamitehnoloogia müüjad pakuvad tüüptingimusi, mis nihutavad vastutuse väljaandjale, väldivad kaasvastutava töötleja kohustusi või jätavad andmete säilitamise perioodid määratlemata.

Väikestel või keskmise suurusega kirjastajatel puudub mõjuvõim, et pidada läbirääkimisi sisukate tingimuste üle suurte SSP-de, DMP-de või mõõtmiste müüjatega.

GDPR-i lihtsustamine kirjastaja vaatevinklist
Ajakirjanduse väljaandja kui vastutav töötleja ei peaks olema kohustatud järgima vastutava töötleja ametlikke kohustusi ning kaaluda tuleks õigust kaitsta ajakirjanduslikku allikat.
Meediaarhiive tuleks kaitsta ja õigust olla unustatud tuleks teostada mitte anonüümseks muutmise, vaid artiklite otsingumootorite jaoks deindekseerimise teel.

Veebiküpsiste ja -tehnoloogiate kasutamisel meediateenuse osutamisel tuleks lugeda analüütilised ja statistikat koguvad veebiküpsised hädavajalikes küpsisteks, mida on lubatud kasutada ilma andmesubjekti nõusolekuta ja see on selgesõnalise erandina õigusaktis toodud. Samuiti peaks olema õigusaktis toodud erandina lubatud turunduslikku profileerimist ja personaliseeritud reklaami kuvamist võimaldavate veebitehnoloogiate kasutamine õigustatud huvi alusel.

„Pay or OK“ lahendus võiks olla meediaettevõttele lubatud selge erandiga GDPR-is või mõnes muus õigusaktis.

Laialt levinud tehnoloogiliste lahenduste pakkujad (nt Google, Meta, Microsoft jne) peaksid vastutama ainuisikuliselt oma pakutava lahenduse GDPR-ile vastavuse eest (sh andmeedastuse korral madala andmekaitse tasemega riiki). Nende lahenduste kasutamise korral ei tohiks GDPR-iga või muude andmekaitsenõuetega vastavuse tagamine lasuda mitte ühelgi juhul nende lahenduste kasutajatel, nagu see hetkel regulatsiooni kohaselt on.

Reklaamitehnoloogia platvormide puhul pakutakse lahendusi kujul, milles ei ole võimalik meediaettevõttel piisaval tasemel seadistusi teha. Näiteks puudub võimalus eelnevalt seadistada või kategoriseerida, millist laadi reklaami väljaandja oma lehel kuvada tohib. Lähitulevikus poliitreklaamile kehtima hakkavate nõuete osas ei võimalda praegused lahendused luua erireegleid poliitreklaami kuvamise osas.

Rahvusvaheliste reklaamivõrgustike ja -platvormide kasutamise korral ei ole võimalik tegelikkuses tagada, et kõik partnerid käituvad vastavuses GDPR-iga ja seda isegi juhul kui meediaettevõtte nõusolekuhaldusplatvorm on korrektselt seadistatud.

Eesti Meediaettevõtete Liit on seisukohal, et avada võiks kõnelused määruse artikkel 85 täpsustamiseks, millele oleme ka juba varasemalt tähelepanu juhtunud.

Kuna Eesti ei ole artikkel 84 alusel vastu võtnud midagi peale IKS § 4, siis on siiani reguleerimata, kuidas meediaettevõtted näiteks ajakirjanduslikul eesmärgil töödeldavaid andmeid registris peaks kajastama.



Lugupidamisega

Väino Koorberg
Juhatuse liige