| Dokumendiregister | Justiitsministeerium |
| Viit | 7-1/10233 |
| Registreeritud | 19.12.2025 |
| Sünkroonitud | 22.12.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 7 EL otsustusprotsessis osalemine ja rahvusvaheline koostöö |
| Sari | 7-1 EL institutsioonide otsustusprotsessidega seotud dokumendid (eelnõud, töögruppide materjalid, õigustiku ülevõtmise tähtajad) (Arhiiviväärtuslik) |
| Toimik | 7-1/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | Eesti alaline esindus Euroopa Liidu juures |
| Saabumis/saatmisviis | Eesti alaline esindus Euroopa Liidu juures |
| Vastutaja | Kristiina Krause (Justiits- ja Digiministeerium, Kantsleri vastutusvaldkond, Üldosakond, Kommunikatsiooni ja väliskoostöö talitus) |
| Originaal | Ava uues aknas |
ET ET
EUROOPA KOMISJON
Brüssel, 19.12.2025
C(2025) 8782 final
KOMISJONI RAKENDUSOTSUS,
19.12.2025,
millega muudetakse komisjoni 28. juuni 2021. aasta rakendusotsust (EL) 2021/1773, mis
põhineb Euroopa Parlamendi ja nõukogu direktiivil (EL) 2016/680 ning käsitleb
isikuandmete piisavat kaitset Ühendkuningriigis (teatavaks tehtud numbri C(2021)4801
all)
(EMPs kohaldatav tekst)
ET 1 ET
KOMISJONI RAKENDUSOTSUS,
19.12.2025,
millega muudetakse komisjoni 28. juuni 2021. aasta rakendusotsust (EL) 2021/1773, mis põhineb
Euroopa Parlamendi ja nõukogu direktiivil (EL) 2016/680 ning käsitleb isikuandmete piisavat
kaitset Ühendkuningriigis (teatavaks tehtud numbri C(2021)4801 all)
(EMPs kohaldatav tekst)
EUROOPA KOMISJON,
võttes arvesse Euroopa Liidu toimimise lepingut,
võttes arvesse Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiivi (EL) 2016/680, mis
käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude
tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele
pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks
nõukogu raamotsus 2008/977/JSK,1 eelkõige selle artikli 36 lõiget 3,
ning arvestades järgmist:
1. SISSEJUHATUS
(1) Rakendusotsuses (EL) 2021/17732 järeldati, et direktiivi (EL) 2016/680 artikli 36
kohaldamisel tagab Ühendkuningriik kõnealuse direktiivi kohaldamisalas Euroopa Liidust
Ühendkuningriiki edastatavate isikuandmete kaitse piisava taseme.
(2) Komisjon võttis rakendusotsuse (EL) 2021/1773 vastuvõtmisel arvesse, et Suurbritannia ja
Põhja-Iiri Ühendkuningriigi Euroopa Liidust ja Euroopa Aatomienergiaühendusest
väljaastumise lepingus3 ette nähtud üleminekuperioodi ning ühelt poolt Euroopa Liidu ja
Euroopa Aatomienergiaühenduse ning teiselt poolt Suurbritannia ja Põhja-Iiri
Ühendkuningriigi vahelise kaubandus- ja koostöölepingu4 artikli 782 kohase ajutise sätte
kohaldamise lõppemisel võib Ühendkuningriik võtta vastu sellise uue andmekaitsekorra, mis
erineb korrast, mis kehtis, kui Ühendkuningriigile oli siduv Euroopa Liidu õigus, ning võib
hakata seda korda kohaldama ja tagama selle täitmist.
(3) Kuna see võib sisaldada muudatusi rakendusotsuses (EL) 2021/1773 hinnatud
andmekaitseraamistikus või muid asjakohaseid muudatusi, peeti asjakohaseks sätestada, et
kõnealust otsust kohaldatakse nelja aasta jooksul alates selle jõustumisest. Seepärast nähti ette,
et rakendusotsus (EL) 2021/1773 kehtib 27. juunini 2025, kui selle kehtivust ei pikendata
direktiivi (EL) 2016/680 artikli 58 lõikes 2 osutatud korras.
(4) Rakendusotsuse (EL) 2021/1773 võimaliku pikendamise otsustamiseks peab komisjon
hindama, kas järeldus, et Ühendkuningriik tagab kaitse piisava taseme, on faktiliselt ja
1 ELT L 119, 4.5.2016, lk. 89. 2 Komisjoni 28. juuni 2021. aasta rakendusotsus (EL) 2021/1773, mis põhineb Euroopa Parlamendi ja
nõukogu direktiivil (EL) 2016/680 ning käsitleb isikuandmete piisavat kaitset Ühendkuningriigis
(ELT L 360, 11.10.2021, lk 69, ELI: http://data.europa.eu/eli/dec_impl/2021/1773/oj). 3 ELT C 384I, 12.11.2019, lk 1. 4 ELT L 149, 30.4.2021, lk 10, ELI: http://data.europa.eu/eli/agree_internation/2021/689(1)/oj.
ET 2 ET
õiguslikult põhjendatud, võttes arvesse muutusi, mis on toimunud pärast rakendusotsuse
(EL) 2021/1773 vastuvõtmist, võttes arvesse direktiivi (EL) 2016/680 artikli 36 lõikes 2
loetletud elemente.
(5) Täpsemalt esitas Ühendkuningriigi valitsus 23. oktoobril 2024 parlamendile andmete
(kasutamise ja neile juurdepääsu) seaduse eelnõu,5 mis sisaldas ettepanekuid muuta
2018. aasta andmekaitseseadust, mida on hinnatud rakendusotsuses (EL) 2021/1773.
Komisjon võttis 24. juunil 2025 vastu rakendusotsuse (EL) 2025/1225, millega pikendati
otsuse (EL) 2021/1773 kehtivust kuue kuu võrra ehk 27. detsembrini 20256. See ajaliselt
piiratud tehniline pikendus võimaldas komisjonil viia Ühendkuningriigis kehtiva isikuandmete
kaitse piisava taseme hindamise lõpule stabiilse õigusraamistiku alusel, st pärast asjakohase
seadusandliku protsessi lõpetamist.
(6) Alates rakendusotsuse (EL) 2021/1773 vastuvõtmisest jälgis komisjon pidevalt asjakohaseid
arengusuundi Ühendkuningriigis7. Rakendusotsuse (EL) 2021/1773 põhjenduse 165 kohaselt
pöörati erilist tähelepanu praktikas Ühendkuningriigi selliste normide kohaldamisele, mis
reguleerivad isikuandmete edastamist kolmandatele riikidele, ja mõjule, mida see võib
avaldada rakendusotsuse (EL) 2021/1773 alusel edastatud andmete kaitse tasemele ja
üksikisikute õiguste tulemuslikule teostamisele, sealhulgas kõigile asjakohastele
arengusuundadele õiguses ja praktikas, mis võivad viia üksikisiku õigustest erandite tegemise
või nende piiramiseni. Muude elementide hulgas on komisjon võtnud jälgimisel arvesse
kohtupraktika arengusuundi ning teabevoliniku büroo ja teiste sõltumatute organite tehtavat
järelevalvet.
(7) Nende arengusuundade, sealhulgas andmete (kasutamise ja neile juurdepääsu) seadusega
2018. aasta andmekaitseseadusesse tehtud muudatuste alusel järeldab komisjon, et
Ühendkuningriik jätkab direktiivi (EL) 2016/680 raames Euroopa Liidust Ühendkuningriiki
edastatavate isikuandmete kaitse piisava taseme tagamist.
2. ISIKUANDMETE TÖÖTLEMISE SUHTES KOHALDATAVATE
ÕIGUSNORMIDEGA SEOTUD ASJAKOHASED ARENGUSUUNAD
2.1. Ühendkuningriigi andmekaitseraamistik
(8) Rakendusotsuse (EL) 2021/1773 vastuvõtmise ajal oli õigusraamistik, millega reguleeriti
riiklikes pädevates asutustes isikuandmete töötlemist kuritegude tõkestamise, uurimise,
avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise
eesmärkidel, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende
ennetamiseks, kehtestatud 2018. aasta andmekaitseseaduse asjakohastes osades,8 mida on
muudetud 2019. aasta andmekaitset, eraelu puutumatust, elektroonilist sidet (muudatused
5 Kättesaadav aadressil https://bills.parliament.uk/bills/3825/news. 6 Komisjoni rakendusotsus (EL) 2025/1225, millega muudetakse 28. juuni 2021. aasta rakendusotsust
(EL) 2021/1773, mis põhineb Euroopa Parlamendi ja nõukogu direktiivil (EL) 2016/680 ning käsitleb
isikuandmete piisavat kaitset Ühendkuningriigis (ELT L, 2025/1225, 26.6.2025,
ELI: http://data.europa.eu/eli/dec_impl/2025/1225/oj). 7 Direktiivi (EL) 2016/680 artikli 36 lõige 4. 8 2018. aasta andmekaitseseadus, kättesaadav aadressil
https://www.legislation.gov.uk/ukpga/2018/12/contents. Enne Ühendkuningriigi Euroopa Liidust
väljaastumist ja üleminekuperioodi ajal olid riigi õigusnormid sätestatud 2018. aasta
andmekaitseseaduses, kuivõrd seda võimaldas määrus (EL) 2016/679, ning sellega täpsustati ja piirati
määruses (EL) 2016/679 kehtestatud normide kohaldamist ning võeti üle direktiiv (EL) 2016/680.
ET 3 ET
jms) käsitleva (EList väljaastumise) määrusega,9 ja eelkõige nimetatud andmekaitseseaduse
3. osas.
(9) Kuigi see õigusakt, mis järgis üsna täpselt Euroopa Liidus kohaldatavaid vastavaid norme, on
jätkuvalt asjakohaste töötlemistoimingute suhtes kohaldatav Ühendkuningriigi
andmekaitsealane õigusnormide kogum, on seda praeguseks teatud määral muudetud ja see
kajastab seda, et Ühendkuningriigis ei kohaldata enam Euroopa Liidu õigust.
(10) Esiteks selgitati 2023. aasta jätkuvalt kohaldatavate ELi õigusaktide (kehtetuks tunnistamise ja
reformimise) seaduses,10 et ELi õiguse üldpõhimõtted ei ole pärast 2023. aasta lõppu enam
Ühendkuningriigi õiguse osa11. Ühendkuningriigi kohtud ei pea enam tõlgendama muutmata
kujul ühtlustatud õigusakte, mida varem nimetati „jätkuvalt kohaldatavateks ELi
õigusaktideks“, kooskõlas ELi õiguse üldpõhimõtetega, vaid selliseid õigusakte tuleb nüüd
tõlgendada kooskõlas Ühendkuningriigi õigusega12. Siiski peavad asjaomased kohtud senini
tõlgendama muutmata kujul ühtlustatud õigusakte kooskõlas Euroopa Kohtu asjaomase
kohtupraktikaga, nii nagu see kehtis enne üleminekuperioodi lõppu,13 nagu on selgitatud ka
rakendusotsuse (EL) 2021/1773 põhjenduses 12. 2018. aasta andmekaitseseadust on muudetud
andmete (kasutamise ja neile juurdepääsu) seadusega, et selgitada jätkuvalt kohaldatavate ELi
õigusaktide (kehtetuks tunnistamise ja reformimise) seaduse mõju Ühendkuningriigi
andmekaitsealastele õigusaktidele. Näiteks on 2018. aasta andmekaitseseaduse
paragrahvi 183A lõikes 1 nähtud ette üldreegel, mille kohaselt eeldatakse iga uue õigusakti
puhul (mis võetakse vastu alates 20. augustist 2025), millega kehtestatakse isikuandmete
töötlemisega seotud uued kohustused või õigused, et selle suhtes kehtivad Ühendkuningriigi
õiguskaitsealased õigusaktid. See tähendab, et Ühendkuningriigi andmekaitseraamistik on
muude õigusaktide suhtes jätkuvalt ülimuslik. 2018. aasta andmekaitseseaduse
paragrahvi 183A lõike 2 punkti b kohaselt ei kohaldata seda eeldust juhul, kui
Ühendkuningriigi parlament sätestab õigusaktis sõnaselgelt teisiti, misläbi säilitatakse
parlamentaarne suveräänsus. Lisaks on 2018. aasta andmekaitseseaduse paragrahvi 186A
lõikes 2A täpsustatud, et 2018. aasta andmekaitseseaduse paragrahvi 186 lõikes 3 loetletud
andmesubjektide õigustele kehtivaid piiranguid ei kaalu üles 2018. aasta andmekaitseseaduse
paragrahvi 186 lõige 1, milles on sätestatud, et teabe avalikustamist keelavad või piiravad
õigusaktid ei kaalu üles teatavaid andmekaitseõiguseid. Sellega tagatakse, et näiteks
2018. aasta andmekaitseseaduses andmesubjektide õigustele kehtestatud piirangud ise ei kuulu
2018. aasta andmekaitseseaduse paragrahvi 186 lõike 1 kohase üldise „andmekaitse
ülimuslikkuse“ alla.
(11) Teiseks on pärast rakendusotsuse (EL) 2021/1773 vastuvõtmist Ühendkuningriigi
andmekaitsealaseid õigusakte muudetud 2023. aasta muudetud andmekaitsemäärusega
9 2019. aasta andmekaitset, eraelu puutumatust, elektroonilist sidet (muudatused jms) käsitlev (EList
väljaastumise) määrus, kättesaadav aadressil
https://www.legislation.gov.uk/uksi/2019/419/contents/made, mida on muudetud 2020. aasta
andmekaitse, eraelu puutumatuse ja elektroonilise side määrusega; kättesaadav aadressil
https://www.legislation.gov.uk/ukdsi/2020/9780348213522. Andmekaitse, eraelu puutumatuse ja
elektroonilise side määrusega muudeti määrust (EL) 2016/679, mis lisati Ühendkuningriigi õigusesse
2018. aasta Euroopa Liidust väljaastumise seaduse, 2018. aasta andmekaitseseaduse ja muude
andmekaitsealaste õigusaktidega, et viia see vastavusse riigisisese kontekstiga. 10 2023. aasta jätkuvalt kohaldatavate ELi õigusaktide (kehtetuks tunnistamise ja reformimise) seadus,
kättesaadav aadressil https://www.legislation.gov.uk/ukpga/2023/28. 11 Jätkuvalt kohaldatavate ELi õigusaktide (kehtetuks tunnistamise ja reformimise) seadusega muudetud
2018. aasta Euroopa Liidust väljaastumise seaduse paragrahv 5. 12 Jätkuvalt kohaldatavate ELi õigusaktide (kehtetuks tunnistamise ja reformimise) seadusega muudetud
2018. aasta Euroopa Liidust väljaastumise seaduse paragrahvi 5 lõige A2. 13 Jätkuvalt kohaldatavate ELi õigusaktide (kehtetuks tunnistamise ja reformimise) seadusega muudetud
2018. aasta Euroopa Liidust väljaastumise seaduse paragrahvi 6 lõiked 3 ja 7.
ET 4 ET
(põhiõigused ja -vabadused)14. Selles määruses on Ühendkuningriigi 2018. aasta
andmekaitseseaduse viited põhiõigustele ja -vabadustele (mis varasema määratluse järgi
hõlmasid ELi põhiõigusi ja -vabadusi)15 määratletud viidetena Euroopa inimõiguste
konventsioonis sätestatud õigustele, mis kehtestati Ühendkuningriigi õiguses 1998. aasta
inimõiguste seadusega16. 1998. aasta inimõiguste seadusega lisati Euroopa inimõiguste
konventsioonis sisalduvad õigused Ühendkuningriigi õigusesse. Inimõiguste seadusega on
kõikidele isikutele antud põhiõigused ja -vabadused, mis on sätestatud Euroopa inimõiguste
konventsiooni artiklites 2–12 ja 14, konventsiooni protokolli nr 1 artiklites 1, 2 ja 3 ning
protokolli nr 13 artiklis 1, mida tõlgendatakse koostoimes selle konventsiooni artiklitega 16,
17 ja 18. Nende hulka kuuluvad õigus era- ja perekonnaelu austamisele (ja selle osana
isikuandmete kaitsele) ning õigus õiglasele kohtumenetlusele17.
(12) Samuti on andmete (kasutamise ja neile juurdepääsu) seaduse 5. ja 6. osaga sihipäraselt
muudetud 2018. aasta andmekaitseseadust. Kuigi andmete (kasutamise ja neile juurdepääsu)
seaduse kohaldamisala hõlmab enamat kui vaid isikuandmete kaitset, on sellega vähesel
määral muudetud ka andmekaitsekorra mitut aspekti, sealhulgas näiteks andmesubjektide
õiguste teostamise ja automatiseeritud töötlusel põhinevate otsuste tegemise tingimusi ning
teatavate vastutusnõuete kohaldamisala. Lisaks muudetakse andmete (kasutamise ja neile
juurdepääsu) seadusega teabevoliniku büroo juhtimisstruktuuri. Nende meetmete jõustumisel
asendatakse teabevoliniku büroo uue üksusega ehk teabekomisjoniga. Selle reguleeriva
asutuse kui Ühendkuningriigi sõltumatu andmekaitse järelevalveasutuse roll ja ülesanded
jäävad samaks. Samuti antakse reguleerivale asutusele selle seadusega uued täitmise tagamise
volitused.
(13) Käesolevas otsuses hinnatakse seadusandlikke, regulatiivseid ja muid muudatusi, mis on
asjakohased seoses rakendusotsuses (EL) 2021/1773 esitatud järeldusega Ühendkuningriigi
tagatud kaitsetaseme kohta. Rakendusotsuses (EL) 2021/1773 esitatud hinnang kehtib ka
edaspidi nende Ühendkuningriigi andmekaitseraamistiku aspektide kohta, mida ei ole
muudetud või mida ei ole mõjutanud muud muudatused, mis on tehtud alates rakendusotsuse
(EL) 2021/1773 vastuvõtmisest.
(14) Seadusandlikke, regulatiivseid ja muid asjaomaseid arengusuundi analüüsitakse üksikasjalikult
järgmistes osades, tuginedes kaitse piisavuse nõudele, mille kohaselt peab komisjon tegema
kindlaks, kas asjaomane kolmas riik tagab kaitsetaseme, mis „sisuliselt vastab“ Euroopa
Liidus tagatud kaitsetasemele18. Nagu Euroopa Liidu Kohus on selgitanud, ei eelda see
identset kaitsetaset19. Eelkõige võivad vahendid, mida asjaomane kolmas riik isikuandmete
kaitsmiseks kasutab, erineda nendest, mida rakendatakse Euroopa Liidus, kui need osutuvad
praktikas piisava kaitsetaseme tagamisel tulemuslikuks20. Kaitse piisavuse nõue ei eelda seega,
et liidu õigusnorme tuleb punkt-punktilt kopeerida. Küsimus on pigem selles, kas välisriigi
14 Kättesaadav aadressil https://www.gov.uk/government/publications/the-data-protection-fundamental-
rights-and-freedoms-amendment-regulations-2023. 15 ELi põhiõigused ja -vabadused kehtisid Ühendkuningriigi õiguses 2018. aasta Euroopa Liidust
väljaastumise lepingu paragrahvi 4 alusel, mis tunnistati kehtetuks 2023. aasta lõpus jätkuvalt
kohaldatavate ELi õigusaktide (kehtetuks tunnistamise ja reformimise) seadusega. 16 2023. aasta muudetud andmekaitsemääruse (põhiõigused ja -vabadused) paragrahvi 2 lõige 3. 17 Euroopa inimõiguste konventsiooni artiklid 6, 8, 10 ja 13 (vt ka 1998. aasta inimõiguste seaduse 1. lisa),
mis on kättesaadavad aadressil https://www.legislation.gov.uk/ukpga/1998/42/contents). 18 Direktiivi (EL) 2016/680 põhjendus 67. 19 Otsus kohtuasjas C-362/14, Schrems (edaspidi „kohtuotsus Schrems I“), ECLI:EU:C:2015:650,
punkt 73. 20 Kohtuotsus Schrems I, punkt 74.
ET 5 ET
õigussüsteem tervikuna tagab andmekaitseõiguste sisu, nende tulemusliku rakendamise,
järelevalve ja jõustamise kaudu nõutava isikuandmete kaitse taseme21.
2.1.1. Mõisted
(15) Ühendkuningriigi andmekaitsekorras kehtivad jätkuvalt andmekaitse põhimõisted, mis
vastavad direktiivis (EL) 2016/680 kasutatud terminoloogiale. Neid mõisteid on hinnatud
rakendusotsuse (EL) 2021/1773 põhjendustes 26 ja 27.
(16) Täpsustades nõusoleku saamise määratlust ja tingimusi, kinnitatakse andmete (kasutamise ja
neile juurdepääsu) seadusega eelkõige õigusraamistikku, mis reguleerib nõusoleku kasutamist
isikuandmete töötlemise õigusliku alusena22. Ajakohastatud sätetes kasutatakse samasugust
sõnastust kui Ühendkuningriigi isikuandmete kaitse üldmääruses, suurendades seeläbi
järjepidevust kogu Ühendkuningriigi andmekaitsekorras. Selline ühtlustamine aitab pädevatel
asutustel selgemalt tõlgendada tingimusi, mille täitmisel on nõusolekut võimalik kasutada
andmete töötlemise õigusliku alusena.
(17) Esiteks on andmete (kasutamise ja neile juurdepääsu) seaduse paragrahviga 69 lisatud
2018. aasta andmekaitseseaduse paragrahvile 33 uus lõige 1A, milles on „nõusolek“
määratletud andmesubjekti vabatahtliku, konkreetse, teadliku ja ühemõttelise tahteavaldusena.
Tahteavaldus peab olema väljendatud ütluse või selgelt kinnitava toiminguga ning peab
tähendama isiku nõustumist tema isikuandmete töötlemisega.
(18) Teiseks lisatakse sama sättega 2018. aasta andmekaitseseadusesse paragrahv 40A, milles on
sätestatud tingimused, mis peavad olema täidetud nõusolekule tuginemisel. Vastutav töötleja
peab suutma tõendada, et andmesubjekt on andnud kehtiva nõusoleku. Kui nõusolek on
saadud kirjalikult üldisema dokumendi osana, peab see olema esitatud nii, et nõusolek eristub
selgelt dokumendi muust sisust, ja olema väljendatud üldmõistetavas, arusaadavas ja selges
keeles. Dokumendis sisalduvad tingimused, mis ei vasta neile nõuetele, ei ole siduvad23.
(19) Enne kui isik annab nõusoleku, peab vastutav või volitatud töötleja talle selgitama ka tema
õigust võtta nõusolek tagasi. Nõusoleku tagasivõtmine peab olema sama lihtne kui selle
andmine. Sellega tagatakse, et andmesubjektil on igal ajal oma isikuandmete üle tegelik
kontroll24.
(20) Lisaks sellele on andmete (kasutamise ja neile juurdepääsu) seaduses selgitatud, et kui
hinnatakse, kas nõusolek anti vabatahtlikult, siis peab arvesse võtma seda, kas teenuse
osutamise tingimuseks oli seatud nõustumine isikuandmete töötlemisega eesmärgil, mis ei ole
teenuse osutamiseks nõutud. Sellisel juhul võib see kahjustada nõusoleku kehtivust25.
(21) Oluline on see, et 2018. aasta andmekaitseseaduse muudetud 3. osa kohaselt ei ole nõusolek
jätkuvalt käesoleva otsuse kohaldamisalasse kuuluvate asjakohaste töötlemistoimingute
õiguslik alus, nagu on selgitatud rakendusotsuse (EL) 2021/1773 põhjenduses 35. Pealegi ei
põhine õiguskaitse kontekstis isikuandmete töötlemine jätkuvalt vaid nõusolekul, sest pädeval
asutusel peab alati olema volitus, mis annab talle õiguse andmeid töödelda, nagu on märgitud
rakendusotsuse (EL) 2021/1773 põhjenduses 36. Konkreetsemalt tähendab see, et samamoodi,
21 Vt komisjoni 10. jaanuari 2017. aasta teatis Euroopa Parlamendile ja nõukogule „Isikuandmete
vahetamine ja kaitsmine globaliseerunud maailmas“, COM(2017) 7, punkt 3.1, lk 6–7; kättesaadav
aadressil https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:52017DC0007. 22 2018. aasta andmekaitseseaduse paragrahvid 33 ja 40A, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahvi 69 lõigetega 1, 2 ja 4. 23 2018. aasta andmekaitseseaduse paragrahvi 40A lõiked 2 ja 3, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahvi 69 lõikega 4. 24 2018. aasta andmekaitseseaduse paragrahvi 40A lõiked 5 ja 6, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahvi 69 lõikega 4. 25 2018. aasta andmekaitseseaduse paragrahvi 40A lõige 7, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahvi 69 lõikega 4.
ET 6 ET
nagu on lubatud direktiivi (EL) 2016/680 kohaselt,26 on nõusoleku vajalikkus lisatingimus,
mis võimaldab teatavaid piiratud ja konkreetseid töötlemistoiminguid, mida ei saaks muul
juhul teha, näiteks sellise isiku DNA-proovi kogumine ja töötlemine, kes ei ole kahtlusalune.
2.2. Kaitsemeetmed, õigused ja kohustused
2.2.1. Tundlike isikuandmete töötlemine
(22) Ühendkuningriigi andmekaitseraamistikus kohaldatakse isikuandmete eriliikide töötlemisel
konkreetseid kaitsemeetmeid, nagu on hinnatud rakendusotsuse (EL) 2021/1773
põhjendustes 38–42.
(23) Jätkuvalt kehtivad 2018. aasta andmekaitseseaduse 3. osas sätestatud isikuandmete eriliikide
määratlus ja nende andmeliikide töötlemise suhtes kohaldatavad erinormid. Samal ajal on
andmete (kasutamise ja neile juurdepääsu) seadusega antud ministrile ka volitus lisada
määruse kaudu isikuandmete uusi eriliike ja kohandada nende kasutamisele kohaldatavaid
tingimusi, kui see osutub vajalikuks27. Oluline on see, et see volitus ei anna ministrile õigust
eemaldada või muuta olemasolevaid isikuandmete eriliike ega muuta nende eriliikide
töötlemise tingimusi28.
(24) Seega ei mõjuta need muudatused isikuandmete eriliikide kaitse taset, mis loeti
rakendusotsuses (EL) 2021/1773 ELi kaitsetasemele sisuliselt vastavaks.
2.2.2. Üksikisiku õigused
(25) Ühendkuningriigi õigusraamistiku kohaselt on andmesubjektidel jätkuvalt samad konkreetsed
õigused, mis on sätestatud direktiivis (EL) 2016/680 ja mida nad saavad vastutava või
volitatud töötleja suhtes kohtulikult kaitsta, eelkõige õigus tutvuda isikuandmetega, õigus
töötlemine vaidlustada ning õigus lasta andmeid parandada ja kustutada, nagu on hinnatud
rakendusotsuse (EL) 2021/1773 põhjendustes 57–65.
(26) Andmete (kasutamise ja neile juurdepääsu) seaduses on selgitatud, mis konkreetsetel
tingimustel saab neid õigusi teostada.
(27) Esiteks on praeguse korra kohaselt andmete vastutaval töötlejal õigus jätta taotlus rahuldamata
või nõuda selle eest mõistlikku tasu, kui taotlus on selgelt põhjendamata ja ülemäärane29.
Sellega seoses on andmete (kasutamise ja neile juurdepääsu) seadusega antud ministrile uus
määruse andmise volitus, mille kohaselt võib minister anda välja määruseid, mis kohustavad
andmete vastutavat töötlejat koostama ja avaldama juhendeid tasude kohta, mida ta sellistes
olukordades kohaldab. Lisaks on andmete (kasutamise ja neile juurdepääsu) seaduses
selgitatud, et kui vastutav töötleja keeldub taotluse rahuldamisest eespool toodud alusel, peab
ta teavitama andmesubjekti keeldumise põhjustest ja andmesubjekti õigusest esitada kaebus
teabevolinikule. Sellekohane teade tuleb esitada põhjendamatu viivituseta30.
(28) Teiseks on andmete (kasutamise ja neile juurdepääsu) seaduses täpsustatud tähtaegu, mille
jooksul peab vastutav töötleja vastama andmesubjekti taotlusele. Täpsemalt viiakse nõutavad
vastamise tähtajad vastavusse nendega, mis on sätestatud Ühendkuningriigi isikuandmete
26 Vt direktiivi (EL) 2016/680 põhjendused 35 ja 37. 27 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 74. Nende määruste vastuvõtmiseks
kasutatakse kinnitava resolutsiooni menetlust (affirmative resolution procedure), mis tähendab, et need
peab heaks kiitma Ühendkuningriigi parlament. 28 Vt 2018. aasta andmekaitseseaduse uus paragrahv 42A, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahviga 74, ja andmete (kasutamise ja neile juurdepääsu) seaduse eelnõu
selgitavate märkuste punkt 577, kättesaadav aadressil
https://publications.parliament.uk/pa/bills/cbill/59-01/0179/en/240179en.pdf. 29 2018. aasta andmekaitseseaduse paragrahvi 53 lõige 1. Vt ka rakendusotsuse (EL) 2021/1773
põhjendus 64. 30 2018. aasta andmekaitseseaduse paragrahvi 53 lõiked 4A, 6 ja 7, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahviga 75.
ET 7 ET
kaitse üldmääruses. Muudetud sätete järgi on lubatud vastamise tähtaega pikendada kuni kahe
kuu võrra juhtudel, kui taotlus on keerukas või saadakse mitu taotlust. Sellistel juhtudel peab
vastutav töötleja teavitama andmesubjekti tähtaja pikendamisest ja selle põhjustest31. Andmete
(kasutamise ja neile juurdepääsu) seadusega loodi ka mehhanism, mille abil saab vastutav
töötleja taotlusele vastamise tähtaja peatada, kui andmesubjektilt vajatakse taotletud andmete
kindlakstegemiseks rohkem teavet32.
(29) Kolmandaks, mis puutub õigusesse tutvuda teabe ja isikuandmetega, on andmete (kasutamise
ja neile juurdepääsu) seadusega muudetud 2018. aasta andmekaitseseaduse paragrahvi 45, et
lisada sinna kehtiva riigisisese kohtupraktika alusel selgitus (tuginedes ELi õiguse kohasele
proportsionaalsuse põhimõttele), et vastutav töötleja peab taotletud teabe ja isikuandmete
leidmiseks tegema vaid mõistlikke ja proportsionaalseid otsinguid33. Uue sätte tõlgendamisel
eeldatakse, et seda tehakse kooskõlas kehtiva kohtupraktikaga, mille kohaselt „[---] kaalutakse
proportsionaalsuse hindamisel omavahel otsingu lõppeesmärki ehk võimalikku kasu, mida
selle teabe andmine võib andmesubjektile tuua, ja vahendeid, mille abil see teave saadakse.
Igal üksikul juhul tuleb hinnata, kas teabe otsimine ja esitamine nõuab ebaproportsionaalseid
jõupingutusi võrreldes kasuga, mida andmesubjekt võib sellest teabest saada“34.
(30) Seega tagab Ühendkuningriigi süsteem jätkuvalt, et andmesubjektide taotlusi tuleb menetleda
objektiivsete tegurite alusel määratletud mõistliku aja jooksul, kuigi andmesubjektide taotluste
lahendamise suhtes kehtib üksikasjalikum kord. Lisaks määratakse vastutava töötleja
juurdepääsutaotlustele vastamisega seotud sisulised kohustused kindlaks kehtestatud õiguslike
nõuete alusel, milles võetakse arvesse ka andmesubjekti huve. Pealegi on kehtivates
teabevoliniku suunistes sätestatud, et vastutav töötleja ei pea tegema otsinguid, mis oleksid
teabele juurdepääsu andmise olulisuse seisukohast põhjendamatud või ebaproportsionaalsed35.
(31) Andmete (kasutamise ja neile juurdepääsu) seadusega lisati 2018. aasta
andmekaitseseadusesse ka uus paragrahv 45A, mille kohaselt tehakse selge erand kohustusest
anda andmesubjektile juurdepääs või teavet, kui teave kuulub kutsesaladuse kaitsealasse36.
Seda erandit kohaldatakse 2018. aasta andmekaitseseaduse paragrahvi 44 lõikes 2 ja
paragrahvi 45 lõikes 1 sätestatud kohustustele, mille kohaselt peab vastutav töötleja teavitama
isikut tema isikuandmete töötlemisest ja andma talle võimaluse nende andmetega tutvuda37.
Lisatud sättes selgitatakse, et vastutav töötleja ei pea avalikustama teavet, kui selle tulemusena
rikutakse kutsesaladust. Sarnane erand on kehtestatud ka Ühendkuningriigi isikuandmete
kaitse üldmääruses38.
(32) Kaitsemeetmetega seoses peab vastutav töötleja sellele erandile tuginemise korral teavitama
kirjalikult ja viivitamata andmesubjekti erandi kohaldamisest, selgitama erandile tuginemise
31 2018. aasta andmekaitseseaduse paragrahvi 54 lõige 3A ja paragrahvi 54 lõige b3, mis lisati andmete
(kasutamise ja neile juurdepääsu) seaduse paragrahvi 76 lõikega 6. 32 2018. aasta andmekaitseseaduse paragrahvi 54 lõiked 3C ja 3D, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahvi 76 lõigetega 5 ja 6. 33 2018. aasta andmekaitseseaduse paragrahvi 45 lõige 2A, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahviga 78. 34 Dawson-Damer vs. Taylor Wessing LLP [2017] EWCA Civ 74. 35 Kättesaadav aadressil https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/individual-
rights/right-of-access/how-do-we-find-and-retrieve-the-relevant-information/. 36 Paragrahv 45A, mis lisati andmete (kasutamise ja neile juurdepääsu) seaduse paragrahviga 79.
Ühendkuningriigis on kutsesaladus tähtis seaduslik õigus, millega tagatakse, et konkreetset
konfidentsiaalset suhtlust kliendi ja tema õigusnõustaja vahel ei avalikustata ilma kliendi nõusolekuta.
Sellel on kaks põhiliiki: õigusnõustamise saladus, millega kaitstakse õigusnõustamise eesmärgil saadud
ja antud teabe konfidentsiaalsust, ja kohtumenetlussaladus, mis kehtib kohtumenetluseks valmistumise
ja kohtumenetluse ajal vahetatud teabe korral. 37 Varem tuginesid 3. osa kohased pädevad asutused muudele 2018. aasta andmekaitseseaduse
paragrahvi 44 lõikes 4 (õigus saada teavet) ja paragrahvi 45 lõikes 4 (õigus tutvuda andmetega)
sätestatud eranditele. 38 2018. aasta andmekaitseseaduse 2. lisa punkt 19.
ET 8 ET
põhjuseid ja seda, et andmesubjektil on õigus taotleda teabevolinikult selle läbivaatamist või
kasutada õiguskaitsevahendeid39. Vastutuse tagamiseks peab vastutav töötleja 2018. aasta
andmekaitseseaduse paragrahvi 45A lõike 4 kohaselt dokumenteerima erandi kohaldamise
põhjused ja esitama taotluse korral asjakohase dokumendi teabevolinikule40.
(33) Lisaks on andmete (kasutamise ja neile juurdepääsu) seadusega muudetud ja konsolideeritud
2018. aasta andmekaitseseaduse 3. osa olemasolevaid erandeid, mida pädevad asutused riigi
julgeoleku eesmärgil kasutada saavad. Riigi julgeoleku erand võimaldab pädevatel
ametiasutustel jätta 2018. aasta andmekaitseseaduse 3. osa teatav säte kohaldamata, kui sellest
sättest erandi tegemine on vajalik riigi julgeoleku tagamiseks41. Siin võetakse arvesse
Ühendkuningriigi isikuandmete kaitse üldmääruse (sätestatud 2018. aasta andmekaitseseaduse
paragrahvis 26) ja 2018. aasta andmekaitseseaduse 4. osa (sätestatud 2018. aasta
andmekaitseseaduse paragrahvis 110) alusel toimuva isikuandmete töötlemise kohta ette
nähtud riigi julgeolekuga seotud erandeid.
(34) Riigi julgeoleku erandile kehtivad samad piirangud ja kaitsemeetmed kui Ühendkuningriigi
isikuandmete kaitse üldmääruses ja 2018. aasta andmekaitseseaduse 4. osas ette nähtud
eranditele, mida on analüüsitud rakendusotsuse (EL) 2021/1772 põhjendustes 64–67 ja 126.
Eelkõige võib erandit kohaldada ainult juhul, kui see on vajalik riigi julgeoleku kaitsmiseks, ja
selleks vajalikus ulatuses. See ei ole üldine erand ning vastutav töötleja peab erandile
tuginemiseks kaaluma iga üksikjuhtu eraldi42. Peale selle peab erandi kohaldamine olema
kooskõlas inimõiguste normidega (mis on sätestatud 1998. aasta inimõiguste seaduses ja
Euroopa inimõiguste konventsioonis), mille kohaselt peab igasugune sekkumine eraelu
puutumatuse õigustesse olema demokraatlikus ühiskonnas vajalik ja proportsionaalne43. Seda
on kinnitatud ka teabevoliniku büroo suunistes riigi julgeoleku erandi kohaldamise kohta44.
2.2.3. Andmete edasisaatmise piirangud
(35) Euroopa Liidust Ühendkuningriigis asuvatele õiguskaitseasutustele edastatavatele
isikuandmetele pakutava kaitse taset ei kahjusta jätkuvalt selliste andmete edasisaatmine
kolmandas riikides asuvatele andmete saajatele. Ühendkuningriigist isikuandmete
rahvusvahelise edastamise kord on endiselt väga sarnane direktiivi (EL) 2016/680 viiendas
peatükis sätestatud normidega, nagu on hinnatud rakendusotsuse (EL) 2021/1773
põhjendustes 74–87.
39 2018. aasta andmekaitseseaduse paragrahvi 45A lõige 2, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahviga 79. Erand sellest teatamisnõudest kehtib siis, kui teatamine ise
kahjustaks selle teabe salastatust või kaitsmist avalikustamise eest. Sellistel juhtudel ei pea vastutav
töötleja teatama erandi kasutamisest ega andma selle kohta mingeid lisaselgitusi. 40 2018. aasta andmekaitseseaduse paragrahv 45A, mis lisati andmete (kasutamise ja neile juurdepääsu)
seaduse paragrahviga 79. 41 2018. aasta andmekaitseseaduse paragrahvi 78A lõige 1, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahviga 88. Erand võimaldab kooskõlas 2018. aasta andmekaitseseaduse
paragrahvi 78A lõigetega 2–4 jätta kohaldamata andmekaitse põhimõtted (välja arvatud õiguspärasuse
põhimõte ning tundlike andmete töötlemise tingimused ja kaitsemeetmed), üksikisikute õigused,
vastutava ja volitatud töötleja kohustused isikuandmetega seotud rikkumiste korral ja rahvusvahelise
edastamise eeskirjade teatavad osad ning mõned teabevoliniku volitused, mis puudutavad kontrolli
tegemist ja täitemeetmete võtmist. 42 Vt Baker vs. Secretary of State for the Home Department [2001] UKIT NSA2 (edaspidi „Baker vs.
Secretary of State“). 43 Vt ka Guriev vs. Community Safety Development (United Kingdom) Ltd, [2016], EWHC 643 (QB),
punkt 45; Lin vs. Commissioner of the Police for the Metropolis [2015], EWHC 2484 (QB), punkt 80. 44 Vt teabevoliniku suunised riigi julgeoleku ja riigikaitse erandi kohta, kättesaadavad aadressil
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-
regulation-gdpr/national-security-and-defence/.
ET 9 ET
(36) Kuigi andmete (kasutamise ja neile juurdepääsu) seadusega muudeti 2018. aasta
andmekaitseseaduse 3. osa 5. peatükki isikuandmete edastamise kohta kolmandate riikide
pädevatele asutustele, on selles säilinud nõue, et a) edastamine peab olema vajalik õiguskaitse
eesmärgil; b) edastamine peab põhinema i) edastamist heakskiitval määrusel (mis asendab
varasemat kaitse piisavuse määrust), ii) asjakohastel kaitsemeetmetel või iii) erilistel
asjaoludel; c) edastatavate andmete saaja peab olema i) kolmanda riigi asjaomane asutus (st
pädeva asutusega samaväärne asutus), ii) asjaomane rahvusvaheline organisatsioon, iii) pädeva
asutuse nimel andmeid töötlev vastutav töötleja või iv) muu isik kui asjaomane asutus, kuid
ainult juhul, kui edastamine on rangelt vajalik õiguskaitse eesmärgi täitmiseks45. Need
andmete edastamise üldpõhimõtted on väljendatud 2018. aasta andmekaitseseaduse
paragrahvis 73, milles on veel täpsustatud, et isikuandmete edastamine kolmandale riigile või
rahvusvahelisele organisatsioonile on lubatud üksnes siis, kui andmete edastamisel järgitakse
2018. aasta andmekaitseseaduse 3. osa teisi sätteid46.
(37) Mis puutub konkreetselt määrustesse, millega andmete edastamineheaks kiidetakse, siis on
2018. aasta andmekaitseseaduse paragrahvi 74AA lõikes 2 täpsustatud, et minister võib sellise
määruse anda üksnes siis, kui tema hinnangul on andmekaitse nõue täidetud. See tähendab, et
ministrile 2018. aasta andmekaitseseaduse paragrahvi 74AA lõikega 3 antud võimalust võtta
sellise määruse andmisel arvesse andmevoo hõlbustamise soovitatavust võib kasutada vaid
tingimusel, et andmekaitse nõue on täidetud. 2018. aasta andmekaitseseaduse uues
paragrahvis 74AB47 on sätestatud andmekaitse nõude täitmise kohta õiguslik standard, mille
järgi ei tohi andmesubjektide kaitse tase andmeid vastuvõtvas riigis või rahvusvahelises
organisatsioonis olla oluliselt madalam kui Ühendkuningriigi vastavas andmekaitset käsitlevas
õigusaktis andmesubjektide suhtes ettenähtud tase. 2018. aasta andmekaitseseaduse
paragrahvi 74AB lõikes 2 on esitatud nende elementide mitteammendav loetelu, mida tuleb
kaaluda, kui hinnatakse nõudele vastavust, näiteks õigusriigi põhimõtte ja inimõiguste
austamine, sõltumatu järelevalveasutuse olemasolu ja volitused, õigus- ja teiste
kaitsemeetmete rakendamise kord, riigist või organisatsioonist teistele riikidele ja
rahvusvahelistele organisatsioonidele isikuandmete edastamist käsitlevad eeskirjad, riigi või
organisatsiooni asjakohased rahvusvahelised kohustused ning riigi või organisatsiooni
põhiseadus või -kiri, traditsioonid ja kultuur. Kuigi 2018. aasta andmekaitseseaduse endises
paragrahvis 74A esitatud asjakohaste elementide loetelu on muudetud, on uues sättes säilitatud
selle põhielemendid ja seega on loetelu jätkuvalt väga sarnane direktiivi (EL) 2016/680
artiklis 36 sätestatuga. Pealegi on Ühendkuningriigi ametiasutused kinnitanud, et minister
võtab arvesse paragrahvi 74AB lõikes 2 loetlemata elemente, nagu kolmanda riigi seadused ja
tavad, mis puudutavad ametiasutuste juurdepääsu isikuandmetele riigi julgeoleku või
õiguskaitse eesmärkidel, niivõrd kui need mõjutavad kaitse üldist taset. Lisaks peavad
Ühendkuningriigi ametiasutused kolmanda riigi asjakohast kohtupraktikat oluliseks
komponendiks selliste küsimuste käsitlemisel, mille mittetäielik loetelu on esitatud 2018. aasta
andmekaitseseaduse paragrahvi 74AB lõikes 2.
(38) Rakendusotsuse (EL) 2021/1773 põhjenduse 77 kohaselt kohaldatakse määruste suhtes,
millega andmete edastamine heaks kiidetakse, jätkuvalt 2018. aasta andmekaitseseaduse
paragrahvis 182 ette nähtud üldisi menetlusnõudeid. Nimetatud menetluse raames peab
minister Ühendkuningriigi kaitse piisavuse määruse vastuvõtmise ettepaneku tegemisel
konsulteerima teabevolinikuga48. Pärast seda, kui minister on kaitse piisavuse määruse vastu
45 2018. aasta andmekaitseseaduse paragrahv 73, mida muudeti andmete (kasutamise ja neile juurdepääsu)
seaduse 8. lisa punkti 3 alapunktidega 4 ja 5. 46 2018. aasta andmekaitseseaduse paragrahv 73, mida muudeti andmete (kasutamise ja neile juurdepääsu)
seaduse 8. lisa punkti 3 alapunktiga 3. 47 Lisatud andmete (kasutamise ja neile juurdepääsu) seaduse 8. lisa punkti 4 alapunktiga 2. 48 Vt digitaal-, kultuuri-, meedia- ja spordivaldkonna ministri ning teabevoliniku büroo vaheline
vastastikuse mõistmise memorandum teabevoliniku rolli kohta seoses Ühendkuningriigi uue kaitse
piisavuse hindamisega, kättesaadav aadressil
ET 10 ET
võtnud, esitatakse see parlamendile ja kohaldatakse nn negatiivse resolutsiooni menetlust,
mille kohaselt võivad parlamendi mõlemad kojad määrust kontrollida ja võtta 40 päeva
jooksul vastu ettepaneku selle tühistamiseks49.
(39) Seoses asjakohaste kaitsemeetmetega on 2018. aasta andmekaitseseaduse paragrahvis 75, mida
muudeti andmete (kasutamise ja neile juurdepääsu) seaduse 8. lisa punktiga 6, sätestatud, et
selline andmete edastamine võib jätkuda üksnes siis, kui a) andmete kavandatud vastuvõtjat
seob asjakohane juriidiline dokument ehk dokument, mis vastab uues lisatud lõikes 4
sätestatud tingimustele, eelkõige sellele, et iga dokumendiosaliseks olev Ühendkuningriigi
pädev asutus teeb põhjendatult ja proportsionaalselt toimides kindlaks, et andmekaitse nõue on
täidetud, või b) vastutav töötleja leiab põhjendatult ja proportsionaalselt toimides, et andmete
edastamise või seda laadi edastamisega seoses on andmekaitse nõue täidetud. 2018. aasta
andmekaitseseadusesse lisatud paragrahvi 75 lõikes 5 selgitatakse, et andmekaitse nõue on
täidetud, kui kohustuslike kaitsemeetmete abil on andmesubjektidele tagatud kaitse tase, mis ei
ole pärast andmete edastamist oluliselt madalam tasemest, mida on nõutud Ühendkuningriigi
andmekaitset käsitlevate õigusaktidega. See sarnaneb direktiivi (EL) 2016/680 artiklis 37
sätestatud meetmetega. Seega kehtivad ELis ja Ühendkuningriigis samasugused õiguslikud
nõuded sellise edastamise heakskiitmisele, mille suhtes peab kohaldama asjakohaseid
kaitsemeetmeid. 2018. aasta andmekaitseseadusesse lisatud paragrahvi 75 uue lõike 6 kohaselt
tuleb põhjendatuse ja proportsionaalsuse kindlaksmääramisel arvesse võtta kõiki või tõenäolisi
asjaolusid, mis on seotud andmete edastamise või edastamise laadiga, sealhulgas edastatavate
isikuandmete olemust ja mahtu.
(40) Seoses erilistel asjaoludel põhineva edastamisega vastavalt 2018. aasta andmekaitseseaduse
paragrahvile 76 on tehtud mitu tehnilist muudatust, millega täpsustatakse tingimusi, mille
alusel võib niiviisi andmeid edastada, mõjutamata isikuandmete kaitse taset
Ühendkuningriigis50.
(41) Seoses Ühendkuningriigis andmete rahvusvahelist edastamist reguleerivate õigusnormide
kohaldamisega on pärast rakendusotsuse (EL) 2021/1773 vastuvõtmist tehtud mitu muudatust.
(42) Esiteks on Ühendkuningriigis pärast seda, kui siseministeerium ja teabevoliniku büroo
sõlmisid 2022. aastal vastastikuse mõistmise memorandumi, milles määratleti poolte vastavad
kohustused õiguskaitse piisavuse hindamisel,51 hinnatud andmekaitseraamistikke Jersey ja
Guernsey sõltkonnas ning Mani saarel. Selle tulemusena võttis Ühendkuningriik vastu kaitse
piisavuse määruse Guernsey kohta 2023. aasta juulis,52 Jersey kohta 2023. aasta novembris53 ja
Mani saare kohta 2025. aasta jaanuaris54. Neis määrustes kinnitatakse, et igas jurisdiktsioonis
tagatakse 2018. aasta andmekaitseseaduse 3. osa kohaselt edastatavate isikuandmete kaitse
piisav tase. Kuigi need määrused võeti algselt vastu eelmise õigusraamistiku alusel, jääb
hinnang, millel need põhinevad, kehtivaks ka ajakohastatud raamistiku kohaselt. Seega
hõlbustavad määrused jätkuvalt rahvusvahelist koostööd õiguskaitse valdkonnas.
(43) Kui komisjon hindas direktiivi 95/46/EÜ artikli 25 lõike 6 ja määruse (EL) 2016/679 artikli 97
alusel vastu võetud kaitse piisavuse otsuste toimimist, hindas ta ka Jersey ja Guernsey
sõltkonnas ning Mani saarel kehtivaid andmekaitseraamistikke isikuandmete töötlemiseks
kriminaalõiguskaitse kontekstis ja õigusnorme, millega reguleeritakse avaliku sektori asutuste
juurdepääsu isikuandmetele riigi julgeolekuga seotud eesmärkidel. Tuginedes muu hulgas ka
https://www.gov.uk/government/publications/memorandum-of-understanding-mou-on-the-role-of-the-
ico-in-relation-to-new-uk-adequacy-assessments. 49 Kui määruse tühistamise ettepanek vastu võetakse, ei ole määrusel lõppkokkuvõttes mingit edasist
õigusmõju. 50 Andmete (kasutamise ja neile juurdepääsu) seaduse 8. lisa punkt 7. 51 Kättesaadav aadressil https://ico.org.uk/media2/about-the-ico/mou/4025752/ico-ho-mou.pdf. 52 Kättesaadav aadressil https://www.legislation.gov.uk/uksi/2023/1221/contents/made. 53 Kättesaadav aadressil https://www.legislation.gov.uk/uksi/2023/744/made. 54 Kättesaadav aadressil https://www.legislation.gov.uk/uksi/2025/89/contents/made.
ET 11 ET
sellele hinnangule, järeldas komisjon, et kõigis kolmes jurisdiktsioonis on jätkuvalt tagatud
EList edastatud isikuandmete kaitse piisav tase55.
(44) Teiseks sõlmisid Ühendkuningriik ja USA 2022. aastal andmekaitse ja eraelu puutumatuse
kaitse lepingu,56 millega kohaldatakse mutatis mutandis ELi ja USA raamlepingut,57 tagades
seeläbi samaväärse kaitsetaseme Ühendkuningriigi ja USA vahel õiguskaitse eesmärgil
andmete vahetamise korral.
(45) Kolmandaks ajakohastas teabevolinik 2023. ja 2025. aastal oma suuniseid 2018. aasta
andmekaitseseaduse 3. osa 5. peatüki kohase rahvusvahelise edastamise kohta58. 2023. aastal
ajakohastatud versioonis selgitati nõude „rangelt vajalik“ tähendust juhul, kui andmete
vastuvõtja ei ole asjakohane õiguskaitseasutus, ja loodi seega suurem kindlustunne andmete
vastutavatele töötlejatele sellise andmeedastuse õiguspärasuse hindamisel. 2025. aastal
ajakohastati asjaomaste riikide ja territooriumide loetelu vastavalt Ühendkuningriigi kaitse
piisavuse määrusele Mani saare kohta.
2.2.4. Automatiseeritud töötlusel põhinevate otsuste tegemine
(46) Kuigi on säilitatud mitu rakendamisotsuse (EL) 2021/1773 põhjendustes 72–73 hinnatud
automatiseeritud töötlusel põhinevate otsuste tegemise normide elementi, on andmete
(kasutamise ja neile juurdepääsu) seadusega muudetud nende normide mõnda aspekti.
(47) Esiteks on 2018. aasta andmekaitseseaduse uues lisatud paragrahvis 50B kehtestatud üldine
keeld teha tähtsaid otsuseid, mis põhinevad täielikult või osaliselt isikuandmete eriliikide
töötlemisel. Siiski on seal sätestatud ka kaks erandit sellest keelust: andmesubjekt on andnud
selliseks töötlemiseks sõnaselge nõusoleku või otsus on nõutud või lubatud seadusega59.
(48) Teiseks on 2018. aasta andmekaitseseaduse uues lisatud paragrahvis 50C sätestatud, et
vastutav töötleja kohaldab kaitsemeetmeid iga olulise otsuse korral, mis põhineb täielikult või
osaliselt isikuandmetel ja üksnes automatiseeritud töötlemisel. Need kaitsemeetmed peavad
sisaldama andmesubjekti teavitamist otsustamisprotsessist, võimaldama andmesubjektil
vaidlustada otsus või esitada märkusi ja tagama, et andmesubjekt saab taotleda inimese
sekkumist otsuse tegemise protsessi60. Kuigi 2018. aasta andmekaitseseaduse paragrahvi 50C
lõikega 4 kehtestatakse nende kaitsemeetmete kohaldamisest erand, kui see on vajalik
ametliku või õigusliku päringu, uurimise või menetluse takistamise vältimiseks, süütegude
55 Komisjoni 15. jaanuari 2024. aasta aruanne Euroopa Parlamendile ja nõukogule direktiivi 95/46/EÜ
artikli 25 lõike 6 kohaselt vastu võetud kaitse piisavuse otsuste toimimise esimese läbivaatamise kohta,
kättesaadav aadressil https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:52024DC0007; ja
riigipõhised aruanded direktiivi 95/46/EÜ kohaselt vastu võetud kaitse piisavuse otsuste toimimise
kohta, mis on lisatud dokumendile: Komisjoni aruanne Euroopa Parlamendile ja nõukogule
direktiivi 95/46/EÜ artikli 25 lõike 6 kohaselt vastu võetud kaitse piisavuse otsuste toimimise esimese
läbivaatamise kohta, kättesaadav aadressil
https://commission.europa.eu/document/download/f8229eb2-1a36-4cf5-a099-
1cd001664bff_en?filename=JUST_template_comingsoon_Commission%20Staff%20Working%20Doc
ument%20-%20Report%20on%20the%20first%20review%20of%20the%20functioning.pdf. 56 Kättesaadav aadressil https://www.gov.uk/government/publications/ukusa-exchange-of-notes-on-the-
protection-of-personal-information-relating-to-prevention-investigation-detection-and-prosecution-of-
criminal-offe. 57 Ameerika Ühendriikide ja Euroopa Liidu vaheline süütegude tõkestamise, uurimise, avastamise ja
nende eest vastutusele võtmisega seotud isikuandmete kaitse kokkulepe (ELT L 336, 10.12.2016, lk 3–
13), kättesaadav aadressil https://eur-lex.europa.eu/legal-
content/ET/TXT/PDF/?uri=CELEX:22016A1210(01)&from=ET. 58 Kättesaadav aadressil https://ico.org.uk/for-organisations/law-enforcement/guide-to-le-
processing/international-transfers/. 59 2018. aasta andmekaitseseaduse paragrahv 50B, mis lisati andmete (kasutamise ja neile juurdepääsu)
seaduse paragrahvi 80 lõikega 3. 60 2018. aasta andmekaitseseaduse paragrahv 50C, mis lisati andmete (kasutamise ja neile juurdepääsu)
seaduse paragrahvi 80 lõikega 3.
ET 12 ET
tõkestamise, avastamise, uurimise või nende eest vastutusele võtmise või kriminaalkaristuste
täitmisele pööramise kahjustamise vältimiseks, avaliku julgeoleku kaitseks, riigi julgeoleku
kaitseks või teiste isikute õiguste ja vabaduste kaitseks, peatatakse nende kaitsemeetmete
kohaldamine üksnes ajutiselt, tingimusel et vastutav töötleja peab otsuse uuesti läbi vaatama
nii kiiresti kui mõistlikult võimalik ja tagatud on inimese sisuline kaasamine otsuse uuesti
läbivaatamisse61.
(1) Lisaks on 2018. aasta andmekaitseseaduse uues paragrahvis 50A selgitatud „üksnes
automatiseeritud töötlusel põhineva“ otsuse määratlust, sätestades, et see on otsus, mille
tegemises ei ole sisuliselt osalenud inimene. Tähtis on see, et vastutav töötleja peab hindama,
mil määral aitab profiilianalüüs kaasa otsuse tegemisele, et määrata kindlaks, kas inimese
kaasamine on olnud sisuline. Peale selle on 2018. aasta andmekaitseseaduse paragrahvis 50A
selgitatud, et „oluline otsus“ on selline, millel on kahjulik õiguslik või samaväärselt oluline
kahjulik mõju andmesubjektile62. Selline andmesubjektile kahjulikku mõju avaldavaid
otsuseid hõlmav piirang kajastab asjaolu, et erinevalt töötlemisest Ühendkuningriigi
isikuandmete kaitse üldmääruse alusel ei tee pädevad ametiasutused tõenäoliselt otsuseid,
mida andmesubjektid peavad positiivseks.
(50) Samuti antakse 2018. aasta andmekaitseseaduse paragrahviga 50D ministrile õigus anda
teiseseid õigusakte, et määratleda, mis on ja mis ei ole inimese sisuline kaasamine ning
milliseid otsuseid peetakse ja milliseid mitte selliseks, millel on andmesubjektile samaväärne
oluline kahjulik mõju. Samuti võimaldab see ministril anda teiseseid õigusakte, et i) lisada
uusi kaitsemeetmeid, ii) kehtestada nõudeid, mis täiendavad olemasolevaid kaitsemeetmeid, ja
iii) määratleda meetmed, mis ei vasta kaitsemeetmetele63. Oluline on see, et 2018. aasta
andmekaitseseaduse paragrahvi 50D kohaselt peab minister enne määruste vastuvõtmist
konsulteerima teabevolinikuga64 ja määruste suhtes kehtib kinnitav resolutsiooni menetlus,65
mis tähendab, et määrused ei saa jõustuda enne, kui Ühendkuningriigi parlamendi mõlemad
kojad on need heaks kiitnud.
(51) Kuigi andmete (kasutamise ja neile juurdepääsu) seadusega on seega muudetud
automatiseeritud töötlusel põhinevate otsuste raamistikku, on oluline märkida, et
Ühendkuningriigis automatiseeritud töötlusel põhinevate otsuste tegemist reguleerivas
õigusraamistikus on jätkuvalt ette nähtud peamine kaitsemeede, mille järgi on nõutud õigus
inimsekkumisele alati, kui otsuseid tehakse automatiseeritult, st tuginedes tundlike ja
mittetundlike isikuandmete töötlemisele66.
2.2.5. Vastutus
(52) Ühendkuningriigi õigusraamistikus on säilitatud vastutuspõhimõte, mis on sätestatud
direktiivis (EL) 2016/680 ja mille järgi peavad avaliku sektori asutused rakendama
asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja tõendada
andmekaitsekohustuste täitmist, nagu on hinnatud rakendusotsuse (EL) 2021/1773
põhjendustes 88–92.
(53) Üks meede, mis on lisatud 2018. aasta andmekaitseseadusesse, et tagada vastutus ning luua
vastutavatele ja volitatud töötlejatele võimalus tõendada oma kohustuste täitmist, on avaliku
61 2018. aasta andmekaitseseaduse paragrahvi 50C lõiked 3 ja 4, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahvi 80 lõikega 3. 62 2018. aasta andmekaitseseaduse paragrahv 50A, mis lisati andmete (kasutamise ja neile juurdepääsu)
seaduse paragrahvi 80 lõikega 3. 63 2018. aasta andmekaitseseaduse artikkel 50D, mis lisati andmete (kasutamise ja neile juurdepääsu)
seaduse paragrahvi 80 lõikega 3. Iga selle volituse alusel kehtestatud määrus peab läbima kinnitava
resolutsiooni menetluse, millega tagatakse parlamendi järelevalve. Määrustega ei saa muuta artiklis 50C
sätestatud nõudeid. 64 2018. aasta andmekaitseseaduse paragrahvi 182 lõige 2. 65 2018. aasta andmekaitseseaduse paragrahvi 50D lõige 5. 66 2018. aasta andmekaitseseaduse paragrahvi 50C lõike 2 punkt c.
ET 13 ET
sektori asutuste kohustus pidada oma töötlemistoimingute kohta logisid, milles
dokumenteeritakse muu hulgas andmete kogumine, muutmine, lugemine, avalikustamine,
kombineerimine ja kustutamine67. Andmete (kasutamise ja neile juurdepääsu) seadusega
muudeti selle sätte kohaseid vastutava töötleja erikohustusi, jättes 2018. aasta
andmekaitseseaduse paragrahvist 62 välja vaid nõude, et vastutav töötleja peab
dokumenteerima põhjenduse, kui isikuandmeid loetakse või avalikustatakse68. Tähtis on see, et
vastutava töötleja kohustus dokumenteerida töötlemistoiminguid jääb kehtima, mis tähendab,
et vastutuse tagamise põhimehhanism on säilitatud.
2.3. Järelevalve ja täitmise tagamine
2.3.1. Sõltumatu järelevalve
(54) Ühendkuningriigis kontrollib ja tagab andmekaitseraamistiku nõuete täitmist sõltumatu
andmekaitse järelevalveasutus, nagu on analüüsitud rakendusotsuse (EL) 2021/1773
põhjendustes 93–99. Andmete (kasutamise ja neile juurdepääsu) seadusega on reformitud selle
asutuse juhtimisstruktuuri ja loodud juriidilisest isikust teabekomisjon, mis asendab
teabevoliniku büroo, mis oli ühest füüsilisest isikust koosnev eraldiseisev juriidiline isik.
(55) Täpsemalt kaotatakse pärast andmete (kasutamise ja neile juurdepääsu) seaduses ette nähtud
juhtimismeetmete rakendama hakkamist teabevoliniku büroo ning selle ülesanded, töötajad ja
vara antakse teabevoliniku büroolt üle teabekomisjonile. Teabekomisjon koosneb
tegevliikmetest ja mitte-tegevliikmetest69. Samuti on seaduses nähtud ette, et teabevoliniku roll
läheb üle teabekomisjoni esimehele, kes on üks mitte-tegevliikmetest70. Peale selle on andmete
(kasutamise ja neile juurdepääsu) seaduses sätestatud, et kuivõrd see on ülesannete üleandmise
tulemusena asjakohane, käsitatakse viiteid teabevolinikule kõikides õigusaktides või muudes
dokumentides (olenemata nende vastuvõtmise või koostamise ajast) viidetena
teabekomisjonile. Oma ülesannete täitmiseks võib komisjon luua komiteesid ja delegeerida
ülesandeid liikmele, töötajale või komitee komisjonile71 ning reguleerida enda ja komiteede
menetlusi, sealhulgas seoses kvoorumi ja häälteenamuse alusel otsustamisega. Need
menetlused tuleb avalikustada72.
(56) Oluline on see, et teabekomisjoni sõltumatuse suhtes kehtivad samad kaitsemeetmed,
sealhulgas teabekomisjoni esimehe ametisse nimetamise ja ametist tagandamise eeskirjade
osas, mida on hinnatud rakendusotsuse (EL) 2021/1773 põhjendustes 95–9873. Sarnased
kaitsemeetmed kehtivad ka teabekomisjoni mitte-tegevliikmete suhtes. Teabekomisjoni
esimehe määrab ametisse Tema Majesteet ministri soovitusel. Esimees valitakse vastavalt
saavutustele ning õiglase ja avatud konkursi alusel74. Mitte-tegevliikmed määrab pärast
esimehega konsulteerimist ametisse minister. Kandidaadi saab ametisse nimetamiseks esitada
või ametisse nimetada üksnes siis, kui ta on valitud vastavalt saavutustele õiglase ja avatud
konkursi tingimustel ning minister on veendunud, et kandidaadil ei ole huvide konflikti75.
Tegevliikmed on teabekomisjoni töötajad, kelle töötamise tingimused määravad mitte-
tegevliikmed76. Tegevjuhi määravad pärast ministriga konsulteerimist ametisse teabekomisjoni
67 2018. aasta andmekaitseseaduse paragrahv 62. Vt ka rakendusotsuse (EL) 2021/1773 põhjendus 90. 68 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 82. 69 2018. aasta andmekaitseseaduse lisa 12A punkti 3 alapunkt 1. 70 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahvid 117, 118, 119 ja 120 koos 14. lisaga. 71 2018. aasta andmekaitseseaduse lisa 12A punktid 13 ja 14. 72 2018. aasta andmekaitseseaduse lisa 12A punkt 16. 73 Ühendkuningriigi isikuandmete kaitse üldmääruse artikkel 52 ja 2018. aasta andmekaitseseaduse
lisa 12A, mis lisati andmete (kasutamise ja neile juurdepääsu) seaduse paragrahviga 117. 74 2018. aasta andmekaitseseaduse lisa 12A punkti 5 alapunkt 1. 75 2018. aasta andmekaitseseaduse lisa 12A punkti 3 alapunkt 2 ning punktid 5 ja 6. 76 2018. aasta andmekaitseseaduse lisa 12A punkt 11.
ET 14 ET
esimees ja teised mitte-tegevliikmed. Ka tegevliikmed nimetatakse ametisse vastavalt
saavutustele õiglase ja avatud konkursi alusel77.
(57) Esimehe võib ametist tagandada Tema Majesteet mõlema parlamendikoja pöördumise alusel
ja üksnes siis, kui minister on esitanud sellele parlamendikojale aruande, milles ta kinnitab
oma veendumust, et esimees on pannud toime tõsise üleastumise, tal on huvide konflikt, ta ei
ole järginud võimaliku huvide konfliktiga seotud konkreetseid teabe avaldamise nõudeid või ei
ole suuteline, sobiv või valmis täitma esimehe ülesandeid78. Mitte-tegevliikmed võib ametist
tagandada ainult minister, kui ta on veendunud, et õigusaktides kehtestatud konkreetsed
tingimused on täidetud. Nende hulka kuuluvad huvide konflikt, tõsine üleastumine või see, et
isik ei ole suuteline, sobiv või valmis täitma esimehe ülesandeid. Mis puutub täiendavatesse
kaitsemeetmetesse, siis peab minister vastava otsuse avalikustama ja esitama asjaomasele
liikmele teate ametist tagandamise põhjuste kohta79.
(58) Andmete (kasutamise ja neile juurdepääsu) seadusega ei muudetud teabekomisjoni
põhikohustusi ja komisjon jätkab 2018. aasta andmekaitseseaduse 13. lisas sätestatud
ülesannete täitmist. Nende hulka kuuluvad 2018. aasta andmekaitseseaduse 3. osa nõuete
täitmise kontrollimine ja tagamine, parlamendi ja valitsuse nõustamine, üldsuse teadlikkuse
suurendamine, vastutavate ja volitatud töötlejate abistamine nende kohustuste täitmisel ja
isikutele nende õiguste kohta teabe andmine80. Andmete (kasutamise ja neile juurdepääsu)
seaduses on selgitatud, et kui teabekomisjon täidab oma kohustust tagada isikuandmete kaitse
piisav tase, peab ta võtma arvesse andmesubjektide, vastutavate töötlejate ja teiste huve,
arvestama laiema üldsuse huve ning suurendama üldsuse usaldust seoses isikuandmete
töötlemisega 81.
(59) Lisaks on andmete (kasutamise ja neile juurdepääsu) seaduses täpsustatud, et niivõrd, kui see
on konkreetses olukorras asjakohane, võtab teabekomisjon andmekaitsealaste õigusaktide
alusel oma ülesandeid täites arvesse innovatsiooni ja konkurentsi edendamist, süütegude
tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise tähtsust, vajadust kaitsta
avalikku ja riigi julgeolekut ning laste kaitsmisega seotud erivajadusi82. ELi
andmekaitseõiguses tunnistatakse ka vajadust luua tasakaal isikuandmete kaitse ning mitme
muu põhiõiguse ja eesmärgi (nagu julgeolek ja õigus) vahel83.
2.3.2. Täitmise tagamine, sealhulgas sanktsioonid, ja õiguskaitse
(60) Teabekomisjoni volitused ja ülesanded vastavad jätkuvalt direktiivi (EL) 2016/680 vastavates
artiklites sätestatud liikmesriikide andmekaitse järelevalveasutuste volitustele ja
ülesannetele,84 nagu on hinnatud rakendusotsuse (EL) 2021/1773 põhjendustes 100–109.
(61) Mõne volituse teostamist on konkreetsemalt selgitatud andmete (kasutamise ja neile
juurdepääsu) seaduses.
(62) Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahviga 97 on muudetud 2018. aasta
andmekaitseseaduse paragrahvi 142, et luua teabekomisjonile selge võimalus nõuda mitte
ainult teavet, vaid ka konkreetseid dokumente, millega suurendatakse komisjoni suutlikkust
uurida ja kontrollida nõuete täitmist.
77 2018. aasta andmekaitseseaduse lisa 12A punkti 5 alapunkt 2. 78 2018. aasta andmekaitseseaduse lisa 12A punkti 7 alapunktid 6 ja 7. 79 2018. aasta andmekaitseseaduse lisa 12A punkti 9 alapunktid 6, 7, 8 ja 9. 80 2018. aasta andmekaitseseaduse 13. lisa. 81 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 91, millega lisati 2018. aasta
andmekaitseseadusesse paragrahv 120A. 82 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 91, millega lisati 2018. aasta
andmekaitseseadusesse paragrahv 120B. 83 Vt eelkõige direktiivi (EL) 2016/680 põhjendus 2. 84 2018. aasta andmekaitseseaduse 13. lisa punkt 2.
ET 15 ET
(63) Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahviga 98 on täiendatud 2018. aasta
andmekaitseseaduse paragrahvi 146 kohaseid teabekomisjoni volitusi, luues teabekomisjonile
võimaluse nõuda vastutavalt või volitatud töötlejalt, et ta telliks konkreetset küsimust käsitleva
sõltumatu aruande. Aruande peab koostama kinnitatud isik ja teabekomisjonil peab olema
lõplik õigus kinnitatud isiku kandidaat heaks kiita või keegi teine ametisse määrata, kui ei
esitata sobivat kandidaati või vastutav töötleja jätab vajalikud toimingud tegemata85. Aruande
formaadi, sisu ja tähtaja võib täpsustada hindamisteates86. Kõik aruandega seotud kulud,
sealhulgas kinnitatud isiku tasu, peab kandma vastutav või volitatud töötleja87.
(64) Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahviga 100 on 2018. aasta
andmekaitseseaduse paragrahvis 148A kehtestatud uue täitmise tagamise vahendina
küsitlusteade. Teabekomisjon võib nõuda isiku osalemist küsitlustes ning rakendada
kaitsemeetmeid, näiteks õigust keelduda enda vastu tunnistuste andmisest ja kutsesaladuse
kaitset88.
(65) Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahviga 101 on muudetud
2018. aasta andmekaitseseaduse 16. lisa, et tagada teabekomisjoni suurem paindlikkus
trahviteadete väljaandmisel. Kuigi üldine reegel on jätkuvalt, et lõplik trahviteade tuleb teha
praegu kehtiva kuue kuu jooksul pärast sellisest kavatsusest teatamist, võib komisjon selle
sätte järgi teha trahviteate ka pärast nimetatud tähtaja möödumist, kui tähtajast ei ole
mõistlikult võimalik kinni pidada. Sellistel juhtudel tuleb teade teha nii kiiresti, kui on
mõistlikult võimalik. Kui teabekomisjon otsustab jätta trahviteate tegemata, peab ta sellest
asjaomasele isikule teatama kirjalikult kuue kuu jooksul või nii kiiresti, kui on mõistlikult
võimalik. Selle paragrahviga lisatakse ka uus nõue, mille kohaselt peab teabekomisjon
avaldama suunised asjaolude kohta, mille esinemise korral võib trahviteate tegemiseks minna
vaja rohkem aega kui kuus kuud.
(66) Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahviga 102 on teabekomisjonile
määratud uus aruandluskohustus. Sellega muudetakse 2018. aasta andmekaitseseaduse
paragrahvi 139 ja lisatakse uus paragrahv 161A, mille kohaselt peab teabekomisjon avaldama
aastaaruande regulatiivse tegevuse kohta. Aruandes tuleb täpsustada, kuidas on kasutatud
Ühendkuningriigi isikuandmete kaitse üldmääruse ja 2018. aasta andmekaitseseaduse 3. ja
4. osas ette nähtud uurimis- ja täitmise tagamise volitusi. Selles peab avalikustama ka nende
trahviteadete arvu, mille korral ületati kuue kuu pikkust tähtaega pärast kavatsusest teada
andmist, ja põhjendama viivitust. Lisaks peab aruandes selgitama, kuidas on teabekomisjon
järginud oma suuniseid regulatiivsete otsuste tegemisel.
(67) Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahviga 103 on tugevdatud kaebuste
esitamise korda, mida andmesubjektid saavad kasutada. Sellega on lisatud 2018. aasta
andmekaitseseadusesse uued paragrahvid 164A ja 164B. Paragrahvis 164A on sätestatud, et
andmesubjektil on õigus esitada kaebus otse vastutavale töötlejale, kui ta usub, et on rikutud
tema õigusi, mis tulenevad Ühendkuningriigi isikuandmete kaitse üldmäärusest või
2018. aasta andmekaitseseaduse 3. osast. Vastutav töötleja peab hõlbustama seda protsessi,
kinnitama kaebuse kättesaamist 30 päeva jooksul ja vastama ilma põhjendamatu viivituseta.
Samuti peab vastutav töötleja teatama kaebuse esitajale menetluse käigust ja tulemustest.
Paragrahviga 164B antakse ministrile volitus anda määruseid, millega nõutakse vastutavalt
töötlejalt saadud kaebuste arvu teatamist.
85 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 98, millega lisati 2018. aasta
andmekaitseseadusesse paragrahv 146A. 86 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 98, millega lisati 2018. aasta
andmekaitseseadusesse paragrahvi 146 lõige 3A. 87 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 98, millega lisati 2018. aasta
andmekaitseseadusesse paragrahvi 146 lõige 11A. 88 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 98, millega lisati 2018. aasta
andmekaitseseadusesse paragrahvi 146 lõige 8B.
ET 16 ET
(68) Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahviga 104 on 2018. aasta
andmekaitseseadusesse lisatud uus paragrahv 180A, et täpsustada kohtu volitusi
andmesubjektide juurdepääsutaotluste menetlemisel. Selle sätte järgi võib kohus nõuda
andmete vastutavalt töötlejalt vaidlustatud teavet, et kohus saaks seda kontrollida, enne kui
otsustab, kas andmesubjektil on õigus selle teabega tutvuda. Andmesubjektile ei tohi seda
teavet avaldada aga enne, kui kohus on otsustanud, et tal on õigus sellega tutvuda. Sättega
selgitakse, et kohus saab vaidlustatud materjali läbi vaadata, ilma et seda avalikustataks enne
õiget aega andmesubjektile, taastades kaitsemeetme, mis oli varem ette nähtud 1998. aasta
andmekaitseseaduses.
(69) Alates rakendusotsuse (EL) 2021/1773 vastuvõtmisest on teabevolinik lahendanud arvukalt
kaebusi, mis on seotud eespool nimetatud volituste kasutamisega,89 viinud ellu mitu uurimist
ja võtnud täitemeetmeid seoses andmete töötlemisega õiguskaitseasutustes.
Ajavahemikus 2021–2025 viis teabevolinik läbi uurimisi ja tegi noomitusi eri
politseiorganitele selle eest, et nad ei täitnud neile pandud andmekaitsekohustusi näiteks siis,
kui nad vastasid andmetega tutvumise taotlustele, kehtestasid turvameetmeid
videovalveandmetele, käitlesid tundlikke karistusregistri andmeid, koondasid isikute andmeid
või avalikustasid isikuandmeid kolmandatele isikutele90. Teabevolinik andis välja ja
ajakohastas ka suuniseid, arvamusi ja juhendeid, mis käsitlesid näiteks õigust tutvuda
andmetega või seda, kuidas menetleda 2018. aasta andmekaitseseaduse 3. osa alusel selgelt
põhjendamatuid või ülemääraseid taotlusi,91 või ajakohastas olemasolevaid suuniseid, nagu
õiguskaitse eesmärgil andmete töötlemise juhend92.
3. KOKKUVÕTE
(70) Komisjon leiab, et 2018. aasta andmekaitseseaduse 3. osaga tagatakse jätkuvalt Euroopa
Liidus asuvatelt pädevatelt asutustelt Ühendkuningriigi pädevatele asutustele
kriminaalõiguskaitse eesmärkidel edastatavate isikuandmete kaitse tase, mis vastab sisuliselt
direktiiviga (EL) 2016/680 tagatud kaitsetasemele.
(71) Lisaks leiab komisjon, et Ühendkuningriigi õiguses ette nähtud järelevalvemehhanismid ja
õiguskaitsevahendid võimaldavad jätkuvalt praktikas tuvastada rikkumisi ja nende eest
karistada ning pakuvad andmesubjektile õiguskaitsevahendeid temaga seotud isikuandmetele
juurdepääsu saamiseks ning vajaduse korral nende parandamiseks või kustutamiseks.
(72) Seetõttu tuleks otsustada, et Ühendkuningriik tagab jätkuvalt direktiivi (EL) 2016/680
artikli 36 lõike 2 tähenduses piisava kaitsetaseme, mida tõlgendatakse põhiõiguste hartast
lähtudes.
4. KÄESOLEVA OTSUSE MÕJU JA ANDMEKAITSEASUTUSTE TEGEVUS
(73) Liikmesriigid ja nende organid peavad võtma liidu institutsioonide aktide järgimiseks
vajalikud meetmed, sest selliste aktide õiguspärasust eeldatakse ja need tekitavad seega
õiguslikke tagajärgi seni, kuni need ei ole aegunud, neid ei ole tagasi võetud, tühistamishagi
89 Näiteks aastatel 2023–2024 sai teabevolinik 1 890 taotlust, mis esitati isikuandmete kaitse üldmääruse
ja/või 2018. aasta andmekaitseseaduse alusel organisatsioonide kohta, kes liigituvad allsektoritesse
„politseiasutus“, „politseijõud“ ja „politseiülemad“. Vt ka teabevoliniku 2023.–2024. aasta aruanne ja
finantsaruanded, mis on kättesaadavad aadressil https://ico.org.uk/media2/migrated/4030348/annual-
report-2023-24.pdf. 90 Lisateave on kättesaadav aadressil https://ico.org.uk/action-weve-
taken/enforcement/?ensector=criminal-justice. 91 Kättesaadav aadressil https://ico.org.uk/for-organisations/law-enforcement/the-right-of-access-part-3-
of-the-dpa-2018/ ja https://ico.org.uk/for-organisations/law-enforcement/guide-to-le-
processing/individual-rights/manifestly-unfounded-and-excessive-requests/. 92 Kättesaadav aadressil https://ico.org.uk/for-organisations/law-enforcement/guide-to-le-processing/.
ET 17 ET
menetlemise tulemusena tühistatud ega eelotsusemenetluse tulemusel või õigusvastasuse väite
alusel kehtetuks tunnistatud.
(74) Seega on direktiivi (EL) 2016/680 artikli 36 lõike 3 alusel komisjoni vastu võetud kaitse
piisavuse otsus siduv kõikidele liikmesriikide organitele, kes on selle otsuse adressaadiks,
sealhulgas nende sõltumatutele järelevalveasutustele. Käesoleva otsusega muudetud
rakendusotsuse (EL) 2021/1773 kohaldamise ajal võib edastada andmeid liidus asuvalt
vastutavalt või volitatud töötlejalt Ühendkuningriigis asuvatele vastutavatele või volitatud
töötlejatele ilma, et oleks vaja taotleda lisaluba.
(75) Samal ajal olgu meenutatud, et vastavalt direktiivi (EL) 2016/680 artikli 47 lõikele 5 ja nagu
Euroopa Kohus on selgitanud Schrems I kohtuotsuses, peab samas olema liikmesriigi õigusega
juhuks, kui riiklik andmekaitseasutus kahtleb (sh laekunud kaebuse põhjal) komisjoni tehtud
kaitse piisavuse otsuse kooskõlas üksikisiku põhiõigustega eraelu puutumatusele ja
andmekaitsele, ette nähtud õiguskaitsevahend, mis võimaldab tal edastada need vastuväited
riigisisesele kohtule, kellelt võidakse nõuda asja kohta Euroopa Kohtule eelotsusetaotluse
esitamist93.
5. SEIRE
(76) Direktiivi (EL) 2016/680 artikli 36 lõike 4 kohaselt peab komisjon pidevalt jälgima
asjakohaseid muutusi Ühendkuningriigis, et hinnata, kas Ühendkuningriik tagab endiselt
sisuliselt vastava kaitsetaseme. Selline jälgimine on eriti oluline seetõttu, et Ühendkuningriik
kohaldab ja jõustab muudetud andmekaitsekorda. Lisaks on Ühendkuningriigi muudetud
andmekaitseraamistikuga antud ministrile volitused seda raamistikku teiseste õigusaktidega
veelgi täpsustada. Siinkohal tuleks pöörata erilist tähelepanu sellistele lisatäpsustustele, samuti
isikuandmete kolmandatele riikidele edastamist käsitlevate Ühendkuningriigi muudetud
normide praktilisele kohaldamisele, üksikisikute õiguste teostamise tulemuslikkusele,
sealhulgas kõigile asjakohastele arengusuundadele õiguses ja praktikas, mis puudutavad
selliste õiguste suhtes hiljuti kehtestatud erandeid või piiranguid, ning ümberkorraldatud
teabevoliniku büroo toimimisele, sealhulgas seoses kaebuste käsitlemise ja parandusvolituste
rakendamisega. Jälgimisel peaks komisjon võtma muu hulgas arvesse kohtupraktika
suundumusi ning teabevoliniku büroo ja teiste sõltumatute asutuste järelevalve tulemusel
kogutud andmeid.
(77) Selleks peaksid Ühendkuningriigi ametiasutused kiiresti ja korrapäraselt teavitama komisjoni
Ühendkuningriigi õiguskorra igast sisulisest muudatusest, mis mõjutab käesoleva otsusega
muudetud rakendusotsuses (EL) 2021/1773 käsitletavat õigusraamistikku, samuti
isikuandmete töötlemisega seotud ja käesoleva otsusega muudetud rakendusotsuses
(EL) 2021/1773 hinnatud tavade muudatustest, eelkõige põhjenduses 39 nimetatud elementide
osas.
(78) Selleks et komisjonil oleks võimalik tulemuslikult täita oma järelevalvefunktsiooni, peaksid
liikmesriigid teavitama komisjoni kõikidest asjakohastest meetmetest, mida riiklikud
andmekaitseasutused võtavad, eelkõige seoses ELi andmesubjektide päringute või kaebustega,
mis puudutavad isikuandmete edastamist liidust Ühendkuningriigis asuvatele pädevatele
asutustele. Komisjoni tuleks teavitada ka võimalikest märkidest, et süütegude tõkestamise,
uurimise, avastamise või nende eest vastutusele võtmise eest vastutavate Ühendkuningriigi
avaliku sektori asutuste tegevus, samuti järelevalveasutuste tegevus ei taga nõutavat
kaitsetaset.
(79) Kui kättesaadavast teabest, eriti käesoleva otsuse järelevalvest tulenevast või
Ühendkuningriigi või liikmesriikide ametiasutuste esitatud teabest ilmneb, et
Ühendkuningriigi pakutav kaitsetase ei pruugi enam olla piisav, peaks komisjon sellest kohe
teavitama Ühendkuningriigi pädevaid asutusi ning nõudma asjakohaste meetmete võtmist
93 Kohtuotsus Schrems I, punkt 65.
ET 18 ET
kindlaksmääratud tähtaja jooksul, mis ei või olla pikem kui kolm kuud. Vajaduse korral võib
seda tähtaega pikendada kindlaksmääratud tähtaja võrra, võttes arvesse tõstatatud küsimuse
ja/või võetavate meetmete laadi.
(80) Kui Ühendkuningriigi pädevad asutused ei ole kindlaksmääratud tähtaja jooksul neid
meetmeid võtnud või muul viisil rahuldavalt tõendanud, et käesolev otsus põhineb endiselt
piisaval kaitsetasemel, algatab komisjon direktiivi (EL) 2016/680 artikli 58 lõikes 2 osutatud
menetluse käesoleva otsuse osaliseks või täielikuks peatamiseks või kehtetuks tunnistamiseks.
(81) Teise võimalusena algatab komisjon kõnealuse menetluse käesoleva otsusega muudetud
rakendusotsuse (EL) 2021/1773 muutmiseks, et eelkõige kehtestada andmete edastamiseks
lisatingimusi või piirata kaitse piisavuse otsuse kohaldamisala nii, et see hõlmab üksnes sellist
andmeedastust, mille puhul on kaitse piisav tase jätkuvalt tagatud.
(82) Nõuetekohaselt põhjendatud, tungivalt vajalikul ja kiireloomulisel juhul kasutab komisjon
võimalust võtta kooskõlas direktiivi (EL) 2016/680 artikli 58 lõikes 3 osutatud menetlusega
vastu viivitamata kohaldatavad rakendusaktid, millega otsus peatatakse või tunnistatakse
kehtetuks või seda muudetakse.
6. KÄESOLEVA OTSUSE KOHALDAMISE LÄBIVAATAMINE, KESTUS JA
PIKENDAMINE
(83) Kohaldades direktiivi (EL) 2016/680 artikli 36 lõiget 3 ja pidades silmas asjaolu, et
Ühendkuningriigi õigusraamistikust tulenev kaitsetase võib muutuda, peaks komisjon pärast
käesoleva otsuse vastuvõtmist korrapäraselt kontrollima, kas järeldused Ühendkuningriigi
tagatava kaitse piisava taseme kohta on endiselt faktiliselt ja õiguslikult põhjendatud. Sellised
hindamised peaksid toimuma vähemalt iga nelja aasta tagant ja need peaksid hõlmama kõiki
käesoleva otsuse toimimise aspekte, sealhulgas asjaomaste järelevalve- ja täitmise tagamise
mehhanismide toimimist.
(84) Läbivaatamiseks peaks komisjon kohtuma Ühendkuningriigi ametiasutuste, sealhulgas
teabekomisjoni asjakohaste esindajatega. Sellel kohtumisel peaks olema lubatud osaleda ka
Euroopa Andmekaitsenõukogu liikmete esindajatel. Läbivaatamise raames peaks komisjon
laskma Ühendkuningriigil esitada põhjalikku teavet kõigi kaitse piisavuse järelduse
seisukohast oluliste aspektide kohta. Samuti peaks komisjon küsima selgitusi käesoleva otsuse
seisukohast olulise teabe kohta, mille ta on saanud näiteks Euroopa Andmekaitsenõukogult,
konkreetsetelt andmekaitseasutustelt, kodanikuühiskonna rühmadelt, avalikest aruannetest,
meediakajastustest või muudest kättesaadavatest teabeallikatest.
(85) Läbivaatamise alusel peaks komisjon koostama avaliku aruande, mis esitatakse Euroopa
Parlamendile ja nõukogule.
(86) Komisjon peab võtma ka arvesse seda, et andmekaitseraamistik, mida on hinnatud selles
otsuses ja rakendusotsuses (EL) 2021/1773, võib edasi areneda.
(87) Seepärast on asjakohane sätestada, et käesoleva otsuse kohaldamise periood on kuus aastat
alates selle jõustumisest.
(88) Kui eelkõige käesoleva otsuse järelevalvest tulenev teave näitab, et Ühendkuningriigis tagatud
kaitse taseme piisavusega seotud tähelepanekud on endiselt faktiliselt ja õiguslikult
põhjendatud, peaks komisjon hiljemalt kuus kuud enne käesoleva otsuse kohaldamise lõppu
algatama käesoleva otsuse muutmise menetluse, et pikendada selle kohaldamisaega
põhimõtteliselt veel nelja aasta võrra. Käesolevat otsust muutvad rakendusaktid võetakse vastu
kooskõlas direktiivi (EL) 2016/680 artikli 58 lõikes 2 osutatud menetlusega.
ET 19 ET
7. LÕPPMÄRKUSED
(89) Euroopa Andmekaitsenõukogu avaldas oma arvamuse,94 mida on käesoleva otsuse
koostamisel arvesse võetud.
(90) Käesoleva otsusega ette nähtud meetmed on kooskõlas direktiivi (EL) 2016/680 artikli 58
alusel loodud komitee arvamusega.
(91) ELi lepingule ja ELi toimimise lepingule lisatud protokolli nr 21 (Ühendkuningriigi ja Iirimaa
seisukoha kohta vabadusel, turvalisusel ja õigusel rajaneva ala suhtes) artikli 6a kohaselt ei ole
direktiivis (EL) 2016/680 sätestatud normid isikuandmete töötlemise kohta liikmesriikide
poolt ELi toimimise lepingu kolmanda osa V jaotise 4. või 5. peatüki kohaldamisalasse
kuuluva tegevuse puhul Iirimaa suhtes siduvad, kui Iirimaa suhtes ei ole siduvad normid, mis
käsitlevad õigusalast koostööd kriminaalasjades või politseikoostööd, mille raames tuleb
järgida ELi toimimise lepingu artikli 16 alusel kehtestatud sätteid. Nõukogu rakendusotsuse
(EL) 2020/174595 alusel tuleb direktiiv (EL) 2016/680 Iirimaal siiski rakendada ja seda
ajutiselt kohaldada alates 1. jaanuarist 2021. Järelikult on käesolev otsus Iirimaale seoses
Schengeni acquis’ga, milles Iirimaa osaleb, siduv samadel tingimustel, nagu direktiivi
(EL) 2016/680 kohaldamisel Iirimaal vastavalt nõukogu rakendusotsuses (EL) 2020/1745
sätestatule.
(92) ELi lepingule ja ELi toimimise lepingule lisatud protokolli nr 22 (Taani seisukoha kohta)
artiklite 2 ja 2a kohaselt ei ole direktiivis (EL) 2016/680 sätestatud normid ja seega käesolev
rakendusotsus Taani suhtes siduvad ning Taani suhtes ei kohaldata norme isikuandmete
töötlemise kohta liikmesriikide poolt ELi toimimise lepingu kolmanda osa V jaotise 4. või
5. peatüki kohaldamisalasse kuuluva tegevuse puhul. Võttes siiski arvesse, et direktiiv
(EL) 2016/680 põhineb Schengeni acquis’l, teatas Taani 26. oktoobril 2016 kooskõlas
nimetatud protokolli artikliga 4, et on otsustanud direktiivi (EL) 2016/680 rakendada. Seega
on käesolev otsus rahvusvahelise õiguse kohaselt Taani suhtes siduv.
(93) Islandi ja Norra puhul kujutab käesolev otsus endast Schengeni acquis’ sätete edasiarendamist
Euroopa Liidu Nõukogu ning Islandi Vabariigi ja Norra Kuningriigi vahel sõlmitud lepingu
(viimase kahe riigi osalemiseks Schengeni acquis’ sätete rakendamises, kohaldamises ja
edasiarendamises) tähenduses96.
(94) Šveitsi puhul kujutab käesolev otsus endast Schengeni acquis’ sätete edasiarendamist Euroopa
Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepingu (Šveitsi
Konföderatsiooni ühinemise kohta Schengeni acquis’ rakendamise, kohaldamise ja
edasiarendamisega)97 tähenduses.
(95) Liechtensteini puhul kujutab käesolev otsus endast Schengeni acquis’ sätete edasiarendamist
Euroopa Liidu, Euroopa Ühenduse, Šveitsi Konföderatsiooni ja Liechtensteini Vürstiriigi
vahel allakirjutatud protokolli (mis käsitleb Liechtensteini Vürstiriigi ühinemist Euroopa
Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepinguga Šveitsi
Konföderatsiooni ühinemise kohta Schengeni acquis’ rakendamise, kohaldamise ja
edasiarendamisega)98 tähenduses.
(96) Seepärast tuleks rakendusotsust (EL) 2021/1773 vastavalt muuta,
94 Arvamus 27/2025 Euroopa Komisjoni rakendusotsuse eelnõu kohta, mis käsitleb isikuandmete piisavat
kaitset Ühendkuningriigis, kättesaadav aadressil https://www.edpb.europa.eu/our-work-tools/our-
documents/opinion-art-70/opinion-272025-regarding-european-commission-draft_en. 95 ELT L 393, 23.11.2020, lk 3. 96 EÜT L 176, 10.7.1999, lk 36. 97 ELT L 53, 27.2.2008, lk 52. 98 ELT L 160, 18.6.2011, lk 21.
ET 20 ET
ON VASTU VÕTNUD KÄESOLEVA OTSUSE:
Artikkel 1
Rakendusotsuse (EL) 2021/1773 artikkel 4 asendatakse järgmisega:
„Artikkel 4
Käesolev otsus kehtib 27. detsembrini 2031, kui selle kehtivust ei pikendata direktiivi (EL) 2016/680
artikli 58 lõikes 2 osutatud korras.“
Artikkel 2
Käesolev otsus on adresseeritud liikmesriikidele.
Brüssel, 19.12.2025
Komisjoni nimel
Michael McGRATH
komisjoni liige
Tere
Edastame.
Reg. number: 10.2-11/1225
Reg. kuupäev: 19.12.2025
Sisu: KOMISJONI RAKENDUSOTSUS, 19.12.2025, millega muudetakse komisjoni 28. juuni 2021. aasta rakendusotsust (EL) 2021/1773, mis põhineb Euroopa Parlamendi ja nõukogu direktiivil (EL) 2016/680 ning käsitleb isikuandmete piisavat kaitset Ühendkuningriigis (teatavaks tehtud numbri C(2021)4801
all)
Parimat
Raili Lillemets
Sekretär
Eesti alaline esindus Euroopa Liidu juures
ET ET
EUROOPA KOMISJON
Brüssel, 19.12.2025
C(2025) 8782 final
KOMISJONI RAKENDUSOTSUS,
19.12.2025,
millega muudetakse komisjoni 28. juuni 2021. aasta rakendusotsust (EL) 2021/1773, mis
põhineb Euroopa Parlamendi ja nõukogu direktiivil (EL) 2016/680 ning käsitleb
isikuandmete piisavat kaitset Ühendkuningriigis (teatavaks tehtud numbri C(2021)4801
all)
(EMPs kohaldatav tekst)
ET 1 ET
KOMISJONI RAKENDUSOTSUS,
19.12.2025,
millega muudetakse komisjoni 28. juuni 2021. aasta rakendusotsust (EL) 2021/1773, mis põhineb
Euroopa Parlamendi ja nõukogu direktiivil (EL) 2016/680 ning käsitleb isikuandmete piisavat
kaitset Ühendkuningriigis (teatavaks tehtud numbri C(2021)4801 all)
(EMPs kohaldatav tekst)
EUROOPA KOMISJON,
võttes arvesse Euroopa Liidu toimimise lepingut,
võttes arvesse Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiivi (EL) 2016/680, mis
käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude
tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele
pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks
nõukogu raamotsus 2008/977/JSK,1 eelkõige selle artikli 36 lõiget 3,
ning arvestades järgmist:
1. SISSEJUHATUS
(1) Rakendusotsuses (EL) 2021/17732 järeldati, et direktiivi (EL) 2016/680 artikli 36
kohaldamisel tagab Ühendkuningriik kõnealuse direktiivi kohaldamisalas Euroopa Liidust
Ühendkuningriiki edastatavate isikuandmete kaitse piisava taseme.
(2) Komisjon võttis rakendusotsuse (EL) 2021/1773 vastuvõtmisel arvesse, et Suurbritannia ja
Põhja-Iiri Ühendkuningriigi Euroopa Liidust ja Euroopa Aatomienergiaühendusest
väljaastumise lepingus3 ette nähtud üleminekuperioodi ning ühelt poolt Euroopa Liidu ja
Euroopa Aatomienergiaühenduse ning teiselt poolt Suurbritannia ja Põhja-Iiri
Ühendkuningriigi vahelise kaubandus- ja koostöölepingu4 artikli 782 kohase ajutise sätte
kohaldamise lõppemisel võib Ühendkuningriik võtta vastu sellise uue andmekaitsekorra, mis
erineb korrast, mis kehtis, kui Ühendkuningriigile oli siduv Euroopa Liidu õigus, ning võib
hakata seda korda kohaldama ja tagama selle täitmist.
(3) Kuna see võib sisaldada muudatusi rakendusotsuses (EL) 2021/1773 hinnatud
andmekaitseraamistikus või muid asjakohaseid muudatusi, peeti asjakohaseks sätestada, et
kõnealust otsust kohaldatakse nelja aasta jooksul alates selle jõustumisest. Seepärast nähti ette,
et rakendusotsus (EL) 2021/1773 kehtib 27. juunini 2025, kui selle kehtivust ei pikendata
direktiivi (EL) 2016/680 artikli 58 lõikes 2 osutatud korras.
(4) Rakendusotsuse (EL) 2021/1773 võimaliku pikendamise otsustamiseks peab komisjon
hindama, kas järeldus, et Ühendkuningriik tagab kaitse piisava taseme, on faktiliselt ja
1 ELT L 119, 4.5.2016, lk. 89. 2 Komisjoni 28. juuni 2021. aasta rakendusotsus (EL) 2021/1773, mis põhineb Euroopa Parlamendi ja
nõukogu direktiivil (EL) 2016/680 ning käsitleb isikuandmete piisavat kaitset Ühendkuningriigis
(ELT L 360, 11.10.2021, lk 69, ELI: http://data.europa.eu/eli/dec_impl/2021/1773/oj). 3 ELT C 384I, 12.11.2019, lk 1. 4 ELT L 149, 30.4.2021, lk 10, ELI: http://data.europa.eu/eli/agree_internation/2021/689(1)/oj.
ET 2 ET
õiguslikult põhjendatud, võttes arvesse muutusi, mis on toimunud pärast rakendusotsuse
(EL) 2021/1773 vastuvõtmist, võttes arvesse direktiivi (EL) 2016/680 artikli 36 lõikes 2
loetletud elemente.
(5) Täpsemalt esitas Ühendkuningriigi valitsus 23. oktoobril 2024 parlamendile andmete
(kasutamise ja neile juurdepääsu) seaduse eelnõu,5 mis sisaldas ettepanekuid muuta
2018. aasta andmekaitseseadust, mida on hinnatud rakendusotsuses (EL) 2021/1773.
Komisjon võttis 24. juunil 2025 vastu rakendusotsuse (EL) 2025/1225, millega pikendati
otsuse (EL) 2021/1773 kehtivust kuue kuu võrra ehk 27. detsembrini 20256. See ajaliselt
piiratud tehniline pikendus võimaldas komisjonil viia Ühendkuningriigis kehtiva isikuandmete
kaitse piisava taseme hindamise lõpule stabiilse õigusraamistiku alusel, st pärast asjakohase
seadusandliku protsessi lõpetamist.
(6) Alates rakendusotsuse (EL) 2021/1773 vastuvõtmisest jälgis komisjon pidevalt asjakohaseid
arengusuundi Ühendkuningriigis7. Rakendusotsuse (EL) 2021/1773 põhjenduse 165 kohaselt
pöörati erilist tähelepanu praktikas Ühendkuningriigi selliste normide kohaldamisele, mis
reguleerivad isikuandmete edastamist kolmandatele riikidele, ja mõjule, mida see võib
avaldada rakendusotsuse (EL) 2021/1773 alusel edastatud andmete kaitse tasemele ja
üksikisikute õiguste tulemuslikule teostamisele, sealhulgas kõigile asjakohastele
arengusuundadele õiguses ja praktikas, mis võivad viia üksikisiku õigustest erandite tegemise
või nende piiramiseni. Muude elementide hulgas on komisjon võtnud jälgimisel arvesse
kohtupraktika arengusuundi ning teabevoliniku büroo ja teiste sõltumatute organite tehtavat
järelevalvet.
(7) Nende arengusuundade, sealhulgas andmete (kasutamise ja neile juurdepääsu) seadusega
2018. aasta andmekaitseseadusesse tehtud muudatuste alusel järeldab komisjon, et
Ühendkuningriik jätkab direktiivi (EL) 2016/680 raames Euroopa Liidust Ühendkuningriiki
edastatavate isikuandmete kaitse piisava taseme tagamist.
2. ISIKUANDMETE TÖÖTLEMISE SUHTES KOHALDATAVATE
ÕIGUSNORMIDEGA SEOTUD ASJAKOHASED ARENGUSUUNAD
2.1. Ühendkuningriigi andmekaitseraamistik
(8) Rakendusotsuse (EL) 2021/1773 vastuvõtmise ajal oli õigusraamistik, millega reguleeriti
riiklikes pädevates asutustes isikuandmete töötlemist kuritegude tõkestamise, uurimise,
avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise
eesmärkidel, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende
ennetamiseks, kehtestatud 2018. aasta andmekaitseseaduse asjakohastes osades,8 mida on
muudetud 2019. aasta andmekaitset, eraelu puutumatust, elektroonilist sidet (muudatused
5 Kättesaadav aadressil https://bills.parliament.uk/bills/3825/news. 6 Komisjoni rakendusotsus (EL) 2025/1225, millega muudetakse 28. juuni 2021. aasta rakendusotsust
(EL) 2021/1773, mis põhineb Euroopa Parlamendi ja nõukogu direktiivil (EL) 2016/680 ning käsitleb
isikuandmete piisavat kaitset Ühendkuningriigis (ELT L, 2025/1225, 26.6.2025,
ELI: http://data.europa.eu/eli/dec_impl/2025/1225/oj). 7 Direktiivi (EL) 2016/680 artikli 36 lõige 4. 8 2018. aasta andmekaitseseadus, kättesaadav aadressil
https://www.legislation.gov.uk/ukpga/2018/12/contents. Enne Ühendkuningriigi Euroopa Liidust
väljaastumist ja üleminekuperioodi ajal olid riigi õigusnormid sätestatud 2018. aasta
andmekaitseseaduses, kuivõrd seda võimaldas määrus (EL) 2016/679, ning sellega täpsustati ja piirati
määruses (EL) 2016/679 kehtestatud normide kohaldamist ning võeti üle direktiiv (EL) 2016/680.
ET 3 ET
jms) käsitleva (EList väljaastumise) määrusega,9 ja eelkõige nimetatud andmekaitseseaduse
3. osas.
(9) Kuigi see õigusakt, mis järgis üsna täpselt Euroopa Liidus kohaldatavaid vastavaid norme, on
jätkuvalt asjakohaste töötlemistoimingute suhtes kohaldatav Ühendkuningriigi
andmekaitsealane õigusnormide kogum, on seda praeguseks teatud määral muudetud ja see
kajastab seda, et Ühendkuningriigis ei kohaldata enam Euroopa Liidu õigust.
(10) Esiteks selgitati 2023. aasta jätkuvalt kohaldatavate ELi õigusaktide (kehtetuks tunnistamise ja
reformimise) seaduses,10 et ELi õiguse üldpõhimõtted ei ole pärast 2023. aasta lõppu enam
Ühendkuningriigi õiguse osa11. Ühendkuningriigi kohtud ei pea enam tõlgendama muutmata
kujul ühtlustatud õigusakte, mida varem nimetati „jätkuvalt kohaldatavateks ELi
õigusaktideks“, kooskõlas ELi õiguse üldpõhimõtetega, vaid selliseid õigusakte tuleb nüüd
tõlgendada kooskõlas Ühendkuningriigi õigusega12. Siiski peavad asjaomased kohtud senini
tõlgendama muutmata kujul ühtlustatud õigusakte kooskõlas Euroopa Kohtu asjaomase
kohtupraktikaga, nii nagu see kehtis enne üleminekuperioodi lõppu,13 nagu on selgitatud ka
rakendusotsuse (EL) 2021/1773 põhjenduses 12. 2018. aasta andmekaitseseadust on muudetud
andmete (kasutamise ja neile juurdepääsu) seadusega, et selgitada jätkuvalt kohaldatavate ELi
õigusaktide (kehtetuks tunnistamise ja reformimise) seaduse mõju Ühendkuningriigi
andmekaitsealastele õigusaktidele. Näiteks on 2018. aasta andmekaitseseaduse
paragrahvi 183A lõikes 1 nähtud ette üldreegel, mille kohaselt eeldatakse iga uue õigusakti
puhul (mis võetakse vastu alates 20. augustist 2025), millega kehtestatakse isikuandmete
töötlemisega seotud uued kohustused või õigused, et selle suhtes kehtivad Ühendkuningriigi
õiguskaitsealased õigusaktid. See tähendab, et Ühendkuningriigi andmekaitseraamistik on
muude õigusaktide suhtes jätkuvalt ülimuslik. 2018. aasta andmekaitseseaduse
paragrahvi 183A lõike 2 punkti b kohaselt ei kohaldata seda eeldust juhul, kui
Ühendkuningriigi parlament sätestab õigusaktis sõnaselgelt teisiti, misläbi säilitatakse
parlamentaarne suveräänsus. Lisaks on 2018. aasta andmekaitseseaduse paragrahvi 186A
lõikes 2A täpsustatud, et 2018. aasta andmekaitseseaduse paragrahvi 186 lõikes 3 loetletud
andmesubjektide õigustele kehtivaid piiranguid ei kaalu üles 2018. aasta andmekaitseseaduse
paragrahvi 186 lõige 1, milles on sätestatud, et teabe avalikustamist keelavad või piiravad
õigusaktid ei kaalu üles teatavaid andmekaitseõiguseid. Sellega tagatakse, et näiteks
2018. aasta andmekaitseseaduses andmesubjektide õigustele kehtestatud piirangud ise ei kuulu
2018. aasta andmekaitseseaduse paragrahvi 186 lõike 1 kohase üldise „andmekaitse
ülimuslikkuse“ alla.
(11) Teiseks on pärast rakendusotsuse (EL) 2021/1773 vastuvõtmist Ühendkuningriigi
andmekaitsealaseid õigusakte muudetud 2023. aasta muudetud andmekaitsemäärusega
9 2019. aasta andmekaitset, eraelu puutumatust, elektroonilist sidet (muudatused jms) käsitlev (EList
väljaastumise) määrus, kättesaadav aadressil
https://www.legislation.gov.uk/uksi/2019/419/contents/made, mida on muudetud 2020. aasta
andmekaitse, eraelu puutumatuse ja elektroonilise side määrusega; kättesaadav aadressil
https://www.legislation.gov.uk/ukdsi/2020/9780348213522. Andmekaitse, eraelu puutumatuse ja
elektroonilise side määrusega muudeti määrust (EL) 2016/679, mis lisati Ühendkuningriigi õigusesse
2018. aasta Euroopa Liidust väljaastumise seaduse, 2018. aasta andmekaitseseaduse ja muude
andmekaitsealaste õigusaktidega, et viia see vastavusse riigisisese kontekstiga. 10 2023. aasta jätkuvalt kohaldatavate ELi õigusaktide (kehtetuks tunnistamise ja reformimise) seadus,
kättesaadav aadressil https://www.legislation.gov.uk/ukpga/2023/28. 11 Jätkuvalt kohaldatavate ELi õigusaktide (kehtetuks tunnistamise ja reformimise) seadusega muudetud
2018. aasta Euroopa Liidust väljaastumise seaduse paragrahv 5. 12 Jätkuvalt kohaldatavate ELi õigusaktide (kehtetuks tunnistamise ja reformimise) seadusega muudetud
2018. aasta Euroopa Liidust väljaastumise seaduse paragrahvi 5 lõige A2. 13 Jätkuvalt kohaldatavate ELi õigusaktide (kehtetuks tunnistamise ja reformimise) seadusega muudetud
2018. aasta Euroopa Liidust väljaastumise seaduse paragrahvi 6 lõiked 3 ja 7.
ET 4 ET
(põhiõigused ja -vabadused)14. Selles määruses on Ühendkuningriigi 2018. aasta
andmekaitseseaduse viited põhiõigustele ja -vabadustele (mis varasema määratluse järgi
hõlmasid ELi põhiõigusi ja -vabadusi)15 määratletud viidetena Euroopa inimõiguste
konventsioonis sätestatud õigustele, mis kehtestati Ühendkuningriigi õiguses 1998. aasta
inimõiguste seadusega16. 1998. aasta inimõiguste seadusega lisati Euroopa inimõiguste
konventsioonis sisalduvad õigused Ühendkuningriigi õigusesse. Inimõiguste seadusega on
kõikidele isikutele antud põhiõigused ja -vabadused, mis on sätestatud Euroopa inimõiguste
konventsiooni artiklites 2–12 ja 14, konventsiooni protokolli nr 1 artiklites 1, 2 ja 3 ning
protokolli nr 13 artiklis 1, mida tõlgendatakse koostoimes selle konventsiooni artiklitega 16,
17 ja 18. Nende hulka kuuluvad õigus era- ja perekonnaelu austamisele (ja selle osana
isikuandmete kaitsele) ning õigus õiglasele kohtumenetlusele17.
(12) Samuti on andmete (kasutamise ja neile juurdepääsu) seaduse 5. ja 6. osaga sihipäraselt
muudetud 2018. aasta andmekaitseseadust. Kuigi andmete (kasutamise ja neile juurdepääsu)
seaduse kohaldamisala hõlmab enamat kui vaid isikuandmete kaitset, on sellega vähesel
määral muudetud ka andmekaitsekorra mitut aspekti, sealhulgas näiteks andmesubjektide
õiguste teostamise ja automatiseeritud töötlusel põhinevate otsuste tegemise tingimusi ning
teatavate vastutusnõuete kohaldamisala. Lisaks muudetakse andmete (kasutamise ja neile
juurdepääsu) seadusega teabevoliniku büroo juhtimisstruktuuri. Nende meetmete jõustumisel
asendatakse teabevoliniku büroo uue üksusega ehk teabekomisjoniga. Selle reguleeriva
asutuse kui Ühendkuningriigi sõltumatu andmekaitse järelevalveasutuse roll ja ülesanded
jäävad samaks. Samuti antakse reguleerivale asutusele selle seadusega uued täitmise tagamise
volitused.
(13) Käesolevas otsuses hinnatakse seadusandlikke, regulatiivseid ja muid muudatusi, mis on
asjakohased seoses rakendusotsuses (EL) 2021/1773 esitatud järeldusega Ühendkuningriigi
tagatud kaitsetaseme kohta. Rakendusotsuses (EL) 2021/1773 esitatud hinnang kehtib ka
edaspidi nende Ühendkuningriigi andmekaitseraamistiku aspektide kohta, mida ei ole
muudetud või mida ei ole mõjutanud muud muudatused, mis on tehtud alates rakendusotsuse
(EL) 2021/1773 vastuvõtmisest.
(14) Seadusandlikke, regulatiivseid ja muid asjaomaseid arengusuundi analüüsitakse üksikasjalikult
järgmistes osades, tuginedes kaitse piisavuse nõudele, mille kohaselt peab komisjon tegema
kindlaks, kas asjaomane kolmas riik tagab kaitsetaseme, mis „sisuliselt vastab“ Euroopa
Liidus tagatud kaitsetasemele18. Nagu Euroopa Liidu Kohus on selgitanud, ei eelda see
identset kaitsetaset19. Eelkõige võivad vahendid, mida asjaomane kolmas riik isikuandmete
kaitsmiseks kasutab, erineda nendest, mida rakendatakse Euroopa Liidus, kui need osutuvad
praktikas piisava kaitsetaseme tagamisel tulemuslikuks20. Kaitse piisavuse nõue ei eelda seega,
et liidu õigusnorme tuleb punkt-punktilt kopeerida. Küsimus on pigem selles, kas välisriigi
14 Kättesaadav aadressil https://www.gov.uk/government/publications/the-data-protection-fundamental-
rights-and-freedoms-amendment-regulations-2023. 15 ELi põhiõigused ja -vabadused kehtisid Ühendkuningriigi õiguses 2018. aasta Euroopa Liidust
väljaastumise lepingu paragrahvi 4 alusel, mis tunnistati kehtetuks 2023. aasta lõpus jätkuvalt
kohaldatavate ELi õigusaktide (kehtetuks tunnistamise ja reformimise) seadusega. 16 2023. aasta muudetud andmekaitsemääruse (põhiõigused ja -vabadused) paragrahvi 2 lõige 3. 17 Euroopa inimõiguste konventsiooni artiklid 6, 8, 10 ja 13 (vt ka 1998. aasta inimõiguste seaduse 1. lisa),
mis on kättesaadavad aadressil https://www.legislation.gov.uk/ukpga/1998/42/contents). 18 Direktiivi (EL) 2016/680 põhjendus 67. 19 Otsus kohtuasjas C-362/14, Schrems (edaspidi „kohtuotsus Schrems I“), ECLI:EU:C:2015:650,
punkt 73. 20 Kohtuotsus Schrems I, punkt 74.
ET 5 ET
õigussüsteem tervikuna tagab andmekaitseõiguste sisu, nende tulemusliku rakendamise,
järelevalve ja jõustamise kaudu nõutava isikuandmete kaitse taseme21.
2.1.1. Mõisted
(15) Ühendkuningriigi andmekaitsekorras kehtivad jätkuvalt andmekaitse põhimõisted, mis
vastavad direktiivis (EL) 2016/680 kasutatud terminoloogiale. Neid mõisteid on hinnatud
rakendusotsuse (EL) 2021/1773 põhjendustes 26 ja 27.
(16) Täpsustades nõusoleku saamise määratlust ja tingimusi, kinnitatakse andmete (kasutamise ja
neile juurdepääsu) seadusega eelkõige õigusraamistikku, mis reguleerib nõusoleku kasutamist
isikuandmete töötlemise õigusliku alusena22. Ajakohastatud sätetes kasutatakse samasugust
sõnastust kui Ühendkuningriigi isikuandmete kaitse üldmääruses, suurendades seeläbi
järjepidevust kogu Ühendkuningriigi andmekaitsekorras. Selline ühtlustamine aitab pädevatel
asutustel selgemalt tõlgendada tingimusi, mille täitmisel on nõusolekut võimalik kasutada
andmete töötlemise õigusliku alusena.
(17) Esiteks on andmete (kasutamise ja neile juurdepääsu) seaduse paragrahviga 69 lisatud
2018. aasta andmekaitseseaduse paragrahvile 33 uus lõige 1A, milles on „nõusolek“
määratletud andmesubjekti vabatahtliku, konkreetse, teadliku ja ühemõttelise tahteavaldusena.
Tahteavaldus peab olema väljendatud ütluse või selgelt kinnitava toiminguga ning peab
tähendama isiku nõustumist tema isikuandmete töötlemisega.
(18) Teiseks lisatakse sama sättega 2018. aasta andmekaitseseadusesse paragrahv 40A, milles on
sätestatud tingimused, mis peavad olema täidetud nõusolekule tuginemisel. Vastutav töötleja
peab suutma tõendada, et andmesubjekt on andnud kehtiva nõusoleku. Kui nõusolek on
saadud kirjalikult üldisema dokumendi osana, peab see olema esitatud nii, et nõusolek eristub
selgelt dokumendi muust sisust, ja olema väljendatud üldmõistetavas, arusaadavas ja selges
keeles. Dokumendis sisalduvad tingimused, mis ei vasta neile nõuetele, ei ole siduvad23.
(19) Enne kui isik annab nõusoleku, peab vastutav või volitatud töötleja talle selgitama ka tema
õigust võtta nõusolek tagasi. Nõusoleku tagasivõtmine peab olema sama lihtne kui selle
andmine. Sellega tagatakse, et andmesubjektil on igal ajal oma isikuandmete üle tegelik
kontroll24.
(20) Lisaks sellele on andmete (kasutamise ja neile juurdepääsu) seaduses selgitatud, et kui
hinnatakse, kas nõusolek anti vabatahtlikult, siis peab arvesse võtma seda, kas teenuse
osutamise tingimuseks oli seatud nõustumine isikuandmete töötlemisega eesmärgil, mis ei ole
teenuse osutamiseks nõutud. Sellisel juhul võib see kahjustada nõusoleku kehtivust25.
(21) Oluline on see, et 2018. aasta andmekaitseseaduse muudetud 3. osa kohaselt ei ole nõusolek
jätkuvalt käesoleva otsuse kohaldamisalasse kuuluvate asjakohaste töötlemistoimingute
õiguslik alus, nagu on selgitatud rakendusotsuse (EL) 2021/1773 põhjenduses 35. Pealegi ei
põhine õiguskaitse kontekstis isikuandmete töötlemine jätkuvalt vaid nõusolekul, sest pädeval
asutusel peab alati olema volitus, mis annab talle õiguse andmeid töödelda, nagu on märgitud
rakendusotsuse (EL) 2021/1773 põhjenduses 36. Konkreetsemalt tähendab see, et samamoodi,
21 Vt komisjoni 10. jaanuari 2017. aasta teatis Euroopa Parlamendile ja nõukogule „Isikuandmete
vahetamine ja kaitsmine globaliseerunud maailmas“, COM(2017) 7, punkt 3.1, lk 6–7; kättesaadav
aadressil https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:52017DC0007. 22 2018. aasta andmekaitseseaduse paragrahvid 33 ja 40A, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahvi 69 lõigetega 1, 2 ja 4. 23 2018. aasta andmekaitseseaduse paragrahvi 40A lõiked 2 ja 3, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahvi 69 lõikega 4. 24 2018. aasta andmekaitseseaduse paragrahvi 40A lõiked 5 ja 6, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahvi 69 lõikega 4. 25 2018. aasta andmekaitseseaduse paragrahvi 40A lõige 7, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahvi 69 lõikega 4.
ET 6 ET
nagu on lubatud direktiivi (EL) 2016/680 kohaselt,26 on nõusoleku vajalikkus lisatingimus,
mis võimaldab teatavaid piiratud ja konkreetseid töötlemistoiminguid, mida ei saaks muul
juhul teha, näiteks sellise isiku DNA-proovi kogumine ja töötlemine, kes ei ole kahtlusalune.
2.2. Kaitsemeetmed, õigused ja kohustused
2.2.1. Tundlike isikuandmete töötlemine
(22) Ühendkuningriigi andmekaitseraamistikus kohaldatakse isikuandmete eriliikide töötlemisel
konkreetseid kaitsemeetmeid, nagu on hinnatud rakendusotsuse (EL) 2021/1773
põhjendustes 38–42.
(23) Jätkuvalt kehtivad 2018. aasta andmekaitseseaduse 3. osas sätestatud isikuandmete eriliikide
määratlus ja nende andmeliikide töötlemise suhtes kohaldatavad erinormid. Samal ajal on
andmete (kasutamise ja neile juurdepääsu) seadusega antud ministrile ka volitus lisada
määruse kaudu isikuandmete uusi eriliike ja kohandada nende kasutamisele kohaldatavaid
tingimusi, kui see osutub vajalikuks27. Oluline on see, et see volitus ei anna ministrile õigust
eemaldada või muuta olemasolevaid isikuandmete eriliike ega muuta nende eriliikide
töötlemise tingimusi28.
(24) Seega ei mõjuta need muudatused isikuandmete eriliikide kaitse taset, mis loeti
rakendusotsuses (EL) 2021/1773 ELi kaitsetasemele sisuliselt vastavaks.
2.2.2. Üksikisiku õigused
(25) Ühendkuningriigi õigusraamistiku kohaselt on andmesubjektidel jätkuvalt samad konkreetsed
õigused, mis on sätestatud direktiivis (EL) 2016/680 ja mida nad saavad vastutava või
volitatud töötleja suhtes kohtulikult kaitsta, eelkõige õigus tutvuda isikuandmetega, õigus
töötlemine vaidlustada ning õigus lasta andmeid parandada ja kustutada, nagu on hinnatud
rakendusotsuse (EL) 2021/1773 põhjendustes 57–65.
(26) Andmete (kasutamise ja neile juurdepääsu) seaduses on selgitatud, mis konkreetsetel
tingimustel saab neid õigusi teostada.
(27) Esiteks on praeguse korra kohaselt andmete vastutaval töötlejal õigus jätta taotlus rahuldamata
või nõuda selle eest mõistlikku tasu, kui taotlus on selgelt põhjendamata ja ülemäärane29.
Sellega seoses on andmete (kasutamise ja neile juurdepääsu) seadusega antud ministrile uus
määruse andmise volitus, mille kohaselt võib minister anda välja määruseid, mis kohustavad
andmete vastutavat töötlejat koostama ja avaldama juhendeid tasude kohta, mida ta sellistes
olukordades kohaldab. Lisaks on andmete (kasutamise ja neile juurdepääsu) seaduses
selgitatud, et kui vastutav töötleja keeldub taotluse rahuldamisest eespool toodud alusel, peab
ta teavitama andmesubjekti keeldumise põhjustest ja andmesubjekti õigusest esitada kaebus
teabevolinikule. Sellekohane teade tuleb esitada põhjendamatu viivituseta30.
(28) Teiseks on andmete (kasutamise ja neile juurdepääsu) seaduses täpsustatud tähtaegu, mille
jooksul peab vastutav töötleja vastama andmesubjekti taotlusele. Täpsemalt viiakse nõutavad
vastamise tähtajad vastavusse nendega, mis on sätestatud Ühendkuningriigi isikuandmete
26 Vt direktiivi (EL) 2016/680 põhjendused 35 ja 37. 27 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 74. Nende määruste vastuvõtmiseks
kasutatakse kinnitava resolutsiooni menetlust (affirmative resolution procedure), mis tähendab, et need
peab heaks kiitma Ühendkuningriigi parlament. 28 Vt 2018. aasta andmekaitseseaduse uus paragrahv 42A, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahviga 74, ja andmete (kasutamise ja neile juurdepääsu) seaduse eelnõu
selgitavate märkuste punkt 577, kättesaadav aadressil
https://publications.parliament.uk/pa/bills/cbill/59-01/0179/en/240179en.pdf. 29 2018. aasta andmekaitseseaduse paragrahvi 53 lõige 1. Vt ka rakendusotsuse (EL) 2021/1773
põhjendus 64. 30 2018. aasta andmekaitseseaduse paragrahvi 53 lõiked 4A, 6 ja 7, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahviga 75.
ET 7 ET
kaitse üldmääruses. Muudetud sätete järgi on lubatud vastamise tähtaega pikendada kuni kahe
kuu võrra juhtudel, kui taotlus on keerukas või saadakse mitu taotlust. Sellistel juhtudel peab
vastutav töötleja teavitama andmesubjekti tähtaja pikendamisest ja selle põhjustest31. Andmete
(kasutamise ja neile juurdepääsu) seadusega loodi ka mehhanism, mille abil saab vastutav
töötleja taotlusele vastamise tähtaja peatada, kui andmesubjektilt vajatakse taotletud andmete
kindlakstegemiseks rohkem teavet32.
(29) Kolmandaks, mis puutub õigusesse tutvuda teabe ja isikuandmetega, on andmete (kasutamise
ja neile juurdepääsu) seadusega muudetud 2018. aasta andmekaitseseaduse paragrahvi 45, et
lisada sinna kehtiva riigisisese kohtupraktika alusel selgitus (tuginedes ELi õiguse kohasele
proportsionaalsuse põhimõttele), et vastutav töötleja peab taotletud teabe ja isikuandmete
leidmiseks tegema vaid mõistlikke ja proportsionaalseid otsinguid33. Uue sätte tõlgendamisel
eeldatakse, et seda tehakse kooskõlas kehtiva kohtupraktikaga, mille kohaselt „[---] kaalutakse
proportsionaalsuse hindamisel omavahel otsingu lõppeesmärki ehk võimalikku kasu, mida
selle teabe andmine võib andmesubjektile tuua, ja vahendeid, mille abil see teave saadakse.
Igal üksikul juhul tuleb hinnata, kas teabe otsimine ja esitamine nõuab ebaproportsionaalseid
jõupingutusi võrreldes kasuga, mida andmesubjekt võib sellest teabest saada“34.
(30) Seega tagab Ühendkuningriigi süsteem jätkuvalt, et andmesubjektide taotlusi tuleb menetleda
objektiivsete tegurite alusel määratletud mõistliku aja jooksul, kuigi andmesubjektide taotluste
lahendamise suhtes kehtib üksikasjalikum kord. Lisaks määratakse vastutava töötleja
juurdepääsutaotlustele vastamisega seotud sisulised kohustused kindlaks kehtestatud õiguslike
nõuete alusel, milles võetakse arvesse ka andmesubjekti huve. Pealegi on kehtivates
teabevoliniku suunistes sätestatud, et vastutav töötleja ei pea tegema otsinguid, mis oleksid
teabele juurdepääsu andmise olulisuse seisukohast põhjendamatud või ebaproportsionaalsed35.
(31) Andmete (kasutamise ja neile juurdepääsu) seadusega lisati 2018. aasta
andmekaitseseadusesse ka uus paragrahv 45A, mille kohaselt tehakse selge erand kohustusest
anda andmesubjektile juurdepääs või teavet, kui teave kuulub kutsesaladuse kaitsealasse36.
Seda erandit kohaldatakse 2018. aasta andmekaitseseaduse paragrahvi 44 lõikes 2 ja
paragrahvi 45 lõikes 1 sätestatud kohustustele, mille kohaselt peab vastutav töötleja teavitama
isikut tema isikuandmete töötlemisest ja andma talle võimaluse nende andmetega tutvuda37.
Lisatud sättes selgitatakse, et vastutav töötleja ei pea avalikustama teavet, kui selle tulemusena
rikutakse kutsesaladust. Sarnane erand on kehtestatud ka Ühendkuningriigi isikuandmete
kaitse üldmääruses38.
(32) Kaitsemeetmetega seoses peab vastutav töötleja sellele erandile tuginemise korral teavitama
kirjalikult ja viivitamata andmesubjekti erandi kohaldamisest, selgitama erandile tuginemise
31 2018. aasta andmekaitseseaduse paragrahvi 54 lõige 3A ja paragrahvi 54 lõige b3, mis lisati andmete
(kasutamise ja neile juurdepääsu) seaduse paragrahvi 76 lõikega 6. 32 2018. aasta andmekaitseseaduse paragrahvi 54 lõiked 3C ja 3D, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahvi 76 lõigetega 5 ja 6. 33 2018. aasta andmekaitseseaduse paragrahvi 45 lõige 2A, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahviga 78. 34 Dawson-Damer vs. Taylor Wessing LLP [2017] EWCA Civ 74. 35 Kättesaadav aadressil https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/individual-
rights/right-of-access/how-do-we-find-and-retrieve-the-relevant-information/. 36 Paragrahv 45A, mis lisati andmete (kasutamise ja neile juurdepääsu) seaduse paragrahviga 79.
Ühendkuningriigis on kutsesaladus tähtis seaduslik õigus, millega tagatakse, et konkreetset
konfidentsiaalset suhtlust kliendi ja tema õigusnõustaja vahel ei avalikustata ilma kliendi nõusolekuta.
Sellel on kaks põhiliiki: õigusnõustamise saladus, millega kaitstakse õigusnõustamise eesmärgil saadud
ja antud teabe konfidentsiaalsust, ja kohtumenetlussaladus, mis kehtib kohtumenetluseks valmistumise
ja kohtumenetluse ajal vahetatud teabe korral. 37 Varem tuginesid 3. osa kohased pädevad asutused muudele 2018. aasta andmekaitseseaduse
paragrahvi 44 lõikes 4 (õigus saada teavet) ja paragrahvi 45 lõikes 4 (õigus tutvuda andmetega)
sätestatud eranditele. 38 2018. aasta andmekaitseseaduse 2. lisa punkt 19.
ET 8 ET
põhjuseid ja seda, et andmesubjektil on õigus taotleda teabevolinikult selle läbivaatamist või
kasutada õiguskaitsevahendeid39. Vastutuse tagamiseks peab vastutav töötleja 2018. aasta
andmekaitseseaduse paragrahvi 45A lõike 4 kohaselt dokumenteerima erandi kohaldamise
põhjused ja esitama taotluse korral asjakohase dokumendi teabevolinikule40.
(33) Lisaks on andmete (kasutamise ja neile juurdepääsu) seadusega muudetud ja konsolideeritud
2018. aasta andmekaitseseaduse 3. osa olemasolevaid erandeid, mida pädevad asutused riigi
julgeoleku eesmärgil kasutada saavad. Riigi julgeoleku erand võimaldab pädevatel
ametiasutustel jätta 2018. aasta andmekaitseseaduse 3. osa teatav säte kohaldamata, kui sellest
sättest erandi tegemine on vajalik riigi julgeoleku tagamiseks41. Siin võetakse arvesse
Ühendkuningriigi isikuandmete kaitse üldmääruse (sätestatud 2018. aasta andmekaitseseaduse
paragrahvis 26) ja 2018. aasta andmekaitseseaduse 4. osa (sätestatud 2018. aasta
andmekaitseseaduse paragrahvis 110) alusel toimuva isikuandmete töötlemise kohta ette
nähtud riigi julgeolekuga seotud erandeid.
(34) Riigi julgeoleku erandile kehtivad samad piirangud ja kaitsemeetmed kui Ühendkuningriigi
isikuandmete kaitse üldmääruses ja 2018. aasta andmekaitseseaduse 4. osas ette nähtud
eranditele, mida on analüüsitud rakendusotsuse (EL) 2021/1772 põhjendustes 64–67 ja 126.
Eelkõige võib erandit kohaldada ainult juhul, kui see on vajalik riigi julgeoleku kaitsmiseks, ja
selleks vajalikus ulatuses. See ei ole üldine erand ning vastutav töötleja peab erandile
tuginemiseks kaaluma iga üksikjuhtu eraldi42. Peale selle peab erandi kohaldamine olema
kooskõlas inimõiguste normidega (mis on sätestatud 1998. aasta inimõiguste seaduses ja
Euroopa inimõiguste konventsioonis), mille kohaselt peab igasugune sekkumine eraelu
puutumatuse õigustesse olema demokraatlikus ühiskonnas vajalik ja proportsionaalne43. Seda
on kinnitatud ka teabevoliniku büroo suunistes riigi julgeoleku erandi kohaldamise kohta44.
2.2.3. Andmete edasisaatmise piirangud
(35) Euroopa Liidust Ühendkuningriigis asuvatele õiguskaitseasutustele edastatavatele
isikuandmetele pakutava kaitse taset ei kahjusta jätkuvalt selliste andmete edasisaatmine
kolmandas riikides asuvatele andmete saajatele. Ühendkuningriigist isikuandmete
rahvusvahelise edastamise kord on endiselt väga sarnane direktiivi (EL) 2016/680 viiendas
peatükis sätestatud normidega, nagu on hinnatud rakendusotsuse (EL) 2021/1773
põhjendustes 74–87.
39 2018. aasta andmekaitseseaduse paragrahvi 45A lõige 2, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahviga 79. Erand sellest teatamisnõudest kehtib siis, kui teatamine ise
kahjustaks selle teabe salastatust või kaitsmist avalikustamise eest. Sellistel juhtudel ei pea vastutav
töötleja teatama erandi kasutamisest ega andma selle kohta mingeid lisaselgitusi. 40 2018. aasta andmekaitseseaduse paragrahv 45A, mis lisati andmete (kasutamise ja neile juurdepääsu)
seaduse paragrahviga 79. 41 2018. aasta andmekaitseseaduse paragrahvi 78A lõige 1, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahviga 88. Erand võimaldab kooskõlas 2018. aasta andmekaitseseaduse
paragrahvi 78A lõigetega 2–4 jätta kohaldamata andmekaitse põhimõtted (välja arvatud õiguspärasuse
põhimõte ning tundlike andmete töötlemise tingimused ja kaitsemeetmed), üksikisikute õigused,
vastutava ja volitatud töötleja kohustused isikuandmetega seotud rikkumiste korral ja rahvusvahelise
edastamise eeskirjade teatavad osad ning mõned teabevoliniku volitused, mis puudutavad kontrolli
tegemist ja täitemeetmete võtmist. 42 Vt Baker vs. Secretary of State for the Home Department [2001] UKIT NSA2 (edaspidi „Baker vs.
Secretary of State“). 43 Vt ka Guriev vs. Community Safety Development (United Kingdom) Ltd, [2016], EWHC 643 (QB),
punkt 45; Lin vs. Commissioner of the Police for the Metropolis [2015], EWHC 2484 (QB), punkt 80. 44 Vt teabevoliniku suunised riigi julgeoleku ja riigikaitse erandi kohta, kättesaadavad aadressil
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-
regulation-gdpr/national-security-and-defence/.
ET 9 ET
(36) Kuigi andmete (kasutamise ja neile juurdepääsu) seadusega muudeti 2018. aasta
andmekaitseseaduse 3. osa 5. peatükki isikuandmete edastamise kohta kolmandate riikide
pädevatele asutustele, on selles säilinud nõue, et a) edastamine peab olema vajalik õiguskaitse
eesmärgil; b) edastamine peab põhinema i) edastamist heakskiitval määrusel (mis asendab
varasemat kaitse piisavuse määrust), ii) asjakohastel kaitsemeetmetel või iii) erilistel
asjaoludel; c) edastatavate andmete saaja peab olema i) kolmanda riigi asjaomane asutus (st
pädeva asutusega samaväärne asutus), ii) asjaomane rahvusvaheline organisatsioon, iii) pädeva
asutuse nimel andmeid töötlev vastutav töötleja või iv) muu isik kui asjaomane asutus, kuid
ainult juhul, kui edastamine on rangelt vajalik õiguskaitse eesmärgi täitmiseks45. Need
andmete edastamise üldpõhimõtted on väljendatud 2018. aasta andmekaitseseaduse
paragrahvis 73, milles on veel täpsustatud, et isikuandmete edastamine kolmandale riigile või
rahvusvahelisele organisatsioonile on lubatud üksnes siis, kui andmete edastamisel järgitakse
2018. aasta andmekaitseseaduse 3. osa teisi sätteid46.
(37) Mis puutub konkreetselt määrustesse, millega andmete edastamineheaks kiidetakse, siis on
2018. aasta andmekaitseseaduse paragrahvi 74AA lõikes 2 täpsustatud, et minister võib sellise
määruse anda üksnes siis, kui tema hinnangul on andmekaitse nõue täidetud. See tähendab, et
ministrile 2018. aasta andmekaitseseaduse paragrahvi 74AA lõikega 3 antud võimalust võtta
sellise määruse andmisel arvesse andmevoo hõlbustamise soovitatavust võib kasutada vaid
tingimusel, et andmekaitse nõue on täidetud. 2018. aasta andmekaitseseaduse uues
paragrahvis 74AB47 on sätestatud andmekaitse nõude täitmise kohta õiguslik standard, mille
järgi ei tohi andmesubjektide kaitse tase andmeid vastuvõtvas riigis või rahvusvahelises
organisatsioonis olla oluliselt madalam kui Ühendkuningriigi vastavas andmekaitset käsitlevas
õigusaktis andmesubjektide suhtes ettenähtud tase. 2018. aasta andmekaitseseaduse
paragrahvi 74AB lõikes 2 on esitatud nende elementide mitteammendav loetelu, mida tuleb
kaaluda, kui hinnatakse nõudele vastavust, näiteks õigusriigi põhimõtte ja inimõiguste
austamine, sõltumatu järelevalveasutuse olemasolu ja volitused, õigus- ja teiste
kaitsemeetmete rakendamise kord, riigist või organisatsioonist teistele riikidele ja
rahvusvahelistele organisatsioonidele isikuandmete edastamist käsitlevad eeskirjad, riigi või
organisatsiooni asjakohased rahvusvahelised kohustused ning riigi või organisatsiooni
põhiseadus või -kiri, traditsioonid ja kultuur. Kuigi 2018. aasta andmekaitseseaduse endises
paragrahvis 74A esitatud asjakohaste elementide loetelu on muudetud, on uues sättes säilitatud
selle põhielemendid ja seega on loetelu jätkuvalt väga sarnane direktiivi (EL) 2016/680
artiklis 36 sätestatuga. Pealegi on Ühendkuningriigi ametiasutused kinnitanud, et minister
võtab arvesse paragrahvi 74AB lõikes 2 loetlemata elemente, nagu kolmanda riigi seadused ja
tavad, mis puudutavad ametiasutuste juurdepääsu isikuandmetele riigi julgeoleku või
õiguskaitse eesmärkidel, niivõrd kui need mõjutavad kaitse üldist taset. Lisaks peavad
Ühendkuningriigi ametiasutused kolmanda riigi asjakohast kohtupraktikat oluliseks
komponendiks selliste küsimuste käsitlemisel, mille mittetäielik loetelu on esitatud 2018. aasta
andmekaitseseaduse paragrahvi 74AB lõikes 2.
(38) Rakendusotsuse (EL) 2021/1773 põhjenduse 77 kohaselt kohaldatakse määruste suhtes,
millega andmete edastamine heaks kiidetakse, jätkuvalt 2018. aasta andmekaitseseaduse
paragrahvis 182 ette nähtud üldisi menetlusnõudeid. Nimetatud menetluse raames peab
minister Ühendkuningriigi kaitse piisavuse määruse vastuvõtmise ettepaneku tegemisel
konsulteerima teabevolinikuga48. Pärast seda, kui minister on kaitse piisavuse määruse vastu
45 2018. aasta andmekaitseseaduse paragrahv 73, mida muudeti andmete (kasutamise ja neile juurdepääsu)
seaduse 8. lisa punkti 3 alapunktidega 4 ja 5. 46 2018. aasta andmekaitseseaduse paragrahv 73, mida muudeti andmete (kasutamise ja neile juurdepääsu)
seaduse 8. lisa punkti 3 alapunktiga 3. 47 Lisatud andmete (kasutamise ja neile juurdepääsu) seaduse 8. lisa punkti 4 alapunktiga 2. 48 Vt digitaal-, kultuuri-, meedia- ja spordivaldkonna ministri ning teabevoliniku büroo vaheline
vastastikuse mõistmise memorandum teabevoliniku rolli kohta seoses Ühendkuningriigi uue kaitse
piisavuse hindamisega, kättesaadav aadressil
ET 10 ET
võtnud, esitatakse see parlamendile ja kohaldatakse nn negatiivse resolutsiooni menetlust,
mille kohaselt võivad parlamendi mõlemad kojad määrust kontrollida ja võtta 40 päeva
jooksul vastu ettepaneku selle tühistamiseks49.
(39) Seoses asjakohaste kaitsemeetmetega on 2018. aasta andmekaitseseaduse paragrahvis 75, mida
muudeti andmete (kasutamise ja neile juurdepääsu) seaduse 8. lisa punktiga 6, sätestatud, et
selline andmete edastamine võib jätkuda üksnes siis, kui a) andmete kavandatud vastuvõtjat
seob asjakohane juriidiline dokument ehk dokument, mis vastab uues lisatud lõikes 4
sätestatud tingimustele, eelkõige sellele, et iga dokumendiosaliseks olev Ühendkuningriigi
pädev asutus teeb põhjendatult ja proportsionaalselt toimides kindlaks, et andmekaitse nõue on
täidetud, või b) vastutav töötleja leiab põhjendatult ja proportsionaalselt toimides, et andmete
edastamise või seda laadi edastamisega seoses on andmekaitse nõue täidetud. 2018. aasta
andmekaitseseadusesse lisatud paragrahvi 75 lõikes 5 selgitatakse, et andmekaitse nõue on
täidetud, kui kohustuslike kaitsemeetmete abil on andmesubjektidele tagatud kaitse tase, mis ei
ole pärast andmete edastamist oluliselt madalam tasemest, mida on nõutud Ühendkuningriigi
andmekaitset käsitlevate õigusaktidega. See sarnaneb direktiivi (EL) 2016/680 artiklis 37
sätestatud meetmetega. Seega kehtivad ELis ja Ühendkuningriigis samasugused õiguslikud
nõuded sellise edastamise heakskiitmisele, mille suhtes peab kohaldama asjakohaseid
kaitsemeetmeid. 2018. aasta andmekaitseseadusesse lisatud paragrahvi 75 uue lõike 6 kohaselt
tuleb põhjendatuse ja proportsionaalsuse kindlaksmääramisel arvesse võtta kõiki või tõenäolisi
asjaolusid, mis on seotud andmete edastamise või edastamise laadiga, sealhulgas edastatavate
isikuandmete olemust ja mahtu.
(40) Seoses erilistel asjaoludel põhineva edastamisega vastavalt 2018. aasta andmekaitseseaduse
paragrahvile 76 on tehtud mitu tehnilist muudatust, millega täpsustatakse tingimusi, mille
alusel võib niiviisi andmeid edastada, mõjutamata isikuandmete kaitse taset
Ühendkuningriigis50.
(41) Seoses Ühendkuningriigis andmete rahvusvahelist edastamist reguleerivate õigusnormide
kohaldamisega on pärast rakendusotsuse (EL) 2021/1773 vastuvõtmist tehtud mitu muudatust.
(42) Esiteks on Ühendkuningriigis pärast seda, kui siseministeerium ja teabevoliniku büroo
sõlmisid 2022. aastal vastastikuse mõistmise memorandumi, milles määratleti poolte vastavad
kohustused õiguskaitse piisavuse hindamisel,51 hinnatud andmekaitseraamistikke Jersey ja
Guernsey sõltkonnas ning Mani saarel. Selle tulemusena võttis Ühendkuningriik vastu kaitse
piisavuse määruse Guernsey kohta 2023. aasta juulis,52 Jersey kohta 2023. aasta novembris53 ja
Mani saare kohta 2025. aasta jaanuaris54. Neis määrustes kinnitatakse, et igas jurisdiktsioonis
tagatakse 2018. aasta andmekaitseseaduse 3. osa kohaselt edastatavate isikuandmete kaitse
piisav tase. Kuigi need määrused võeti algselt vastu eelmise õigusraamistiku alusel, jääb
hinnang, millel need põhinevad, kehtivaks ka ajakohastatud raamistiku kohaselt. Seega
hõlbustavad määrused jätkuvalt rahvusvahelist koostööd õiguskaitse valdkonnas.
(43) Kui komisjon hindas direktiivi 95/46/EÜ artikli 25 lõike 6 ja määruse (EL) 2016/679 artikli 97
alusel vastu võetud kaitse piisavuse otsuste toimimist, hindas ta ka Jersey ja Guernsey
sõltkonnas ning Mani saarel kehtivaid andmekaitseraamistikke isikuandmete töötlemiseks
kriminaalõiguskaitse kontekstis ja õigusnorme, millega reguleeritakse avaliku sektori asutuste
juurdepääsu isikuandmetele riigi julgeolekuga seotud eesmärkidel. Tuginedes muu hulgas ka
https://www.gov.uk/government/publications/memorandum-of-understanding-mou-on-the-role-of-the-
ico-in-relation-to-new-uk-adequacy-assessments. 49 Kui määruse tühistamise ettepanek vastu võetakse, ei ole määrusel lõppkokkuvõttes mingit edasist
õigusmõju. 50 Andmete (kasutamise ja neile juurdepääsu) seaduse 8. lisa punkt 7. 51 Kättesaadav aadressil https://ico.org.uk/media2/about-the-ico/mou/4025752/ico-ho-mou.pdf. 52 Kättesaadav aadressil https://www.legislation.gov.uk/uksi/2023/1221/contents/made. 53 Kättesaadav aadressil https://www.legislation.gov.uk/uksi/2023/744/made. 54 Kättesaadav aadressil https://www.legislation.gov.uk/uksi/2025/89/contents/made.
ET 11 ET
sellele hinnangule, järeldas komisjon, et kõigis kolmes jurisdiktsioonis on jätkuvalt tagatud
EList edastatud isikuandmete kaitse piisav tase55.
(44) Teiseks sõlmisid Ühendkuningriik ja USA 2022. aastal andmekaitse ja eraelu puutumatuse
kaitse lepingu,56 millega kohaldatakse mutatis mutandis ELi ja USA raamlepingut,57 tagades
seeläbi samaväärse kaitsetaseme Ühendkuningriigi ja USA vahel õiguskaitse eesmärgil
andmete vahetamise korral.
(45) Kolmandaks ajakohastas teabevolinik 2023. ja 2025. aastal oma suuniseid 2018. aasta
andmekaitseseaduse 3. osa 5. peatüki kohase rahvusvahelise edastamise kohta58. 2023. aastal
ajakohastatud versioonis selgitati nõude „rangelt vajalik“ tähendust juhul, kui andmete
vastuvõtja ei ole asjakohane õiguskaitseasutus, ja loodi seega suurem kindlustunne andmete
vastutavatele töötlejatele sellise andmeedastuse õiguspärasuse hindamisel. 2025. aastal
ajakohastati asjaomaste riikide ja territooriumide loetelu vastavalt Ühendkuningriigi kaitse
piisavuse määrusele Mani saare kohta.
2.2.4. Automatiseeritud töötlusel põhinevate otsuste tegemine
(46) Kuigi on säilitatud mitu rakendamisotsuse (EL) 2021/1773 põhjendustes 72–73 hinnatud
automatiseeritud töötlusel põhinevate otsuste tegemise normide elementi, on andmete
(kasutamise ja neile juurdepääsu) seadusega muudetud nende normide mõnda aspekti.
(47) Esiteks on 2018. aasta andmekaitseseaduse uues lisatud paragrahvis 50B kehtestatud üldine
keeld teha tähtsaid otsuseid, mis põhinevad täielikult või osaliselt isikuandmete eriliikide
töötlemisel. Siiski on seal sätestatud ka kaks erandit sellest keelust: andmesubjekt on andnud
selliseks töötlemiseks sõnaselge nõusoleku või otsus on nõutud või lubatud seadusega59.
(48) Teiseks on 2018. aasta andmekaitseseaduse uues lisatud paragrahvis 50C sätestatud, et
vastutav töötleja kohaldab kaitsemeetmeid iga olulise otsuse korral, mis põhineb täielikult või
osaliselt isikuandmetel ja üksnes automatiseeritud töötlemisel. Need kaitsemeetmed peavad
sisaldama andmesubjekti teavitamist otsustamisprotsessist, võimaldama andmesubjektil
vaidlustada otsus või esitada märkusi ja tagama, et andmesubjekt saab taotleda inimese
sekkumist otsuse tegemise protsessi60. Kuigi 2018. aasta andmekaitseseaduse paragrahvi 50C
lõikega 4 kehtestatakse nende kaitsemeetmete kohaldamisest erand, kui see on vajalik
ametliku või õigusliku päringu, uurimise või menetluse takistamise vältimiseks, süütegude
55 Komisjoni 15. jaanuari 2024. aasta aruanne Euroopa Parlamendile ja nõukogule direktiivi 95/46/EÜ
artikli 25 lõike 6 kohaselt vastu võetud kaitse piisavuse otsuste toimimise esimese läbivaatamise kohta,
kättesaadav aadressil https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX:52024DC0007; ja
riigipõhised aruanded direktiivi 95/46/EÜ kohaselt vastu võetud kaitse piisavuse otsuste toimimise
kohta, mis on lisatud dokumendile: Komisjoni aruanne Euroopa Parlamendile ja nõukogule
direktiivi 95/46/EÜ artikli 25 lõike 6 kohaselt vastu võetud kaitse piisavuse otsuste toimimise esimese
läbivaatamise kohta, kättesaadav aadressil
https://commission.europa.eu/document/download/f8229eb2-1a36-4cf5-a099-
1cd001664bff_en?filename=JUST_template_comingsoon_Commission%20Staff%20Working%20Doc
ument%20-%20Report%20on%20the%20first%20review%20of%20the%20functioning.pdf. 56 Kättesaadav aadressil https://www.gov.uk/government/publications/ukusa-exchange-of-notes-on-the-
protection-of-personal-information-relating-to-prevention-investigation-detection-and-prosecution-of-
criminal-offe. 57 Ameerika Ühendriikide ja Euroopa Liidu vaheline süütegude tõkestamise, uurimise, avastamise ja
nende eest vastutusele võtmisega seotud isikuandmete kaitse kokkulepe (ELT L 336, 10.12.2016, lk 3–
13), kättesaadav aadressil https://eur-lex.europa.eu/legal-
content/ET/TXT/PDF/?uri=CELEX:22016A1210(01)&from=ET. 58 Kättesaadav aadressil https://ico.org.uk/for-organisations/law-enforcement/guide-to-le-
processing/international-transfers/. 59 2018. aasta andmekaitseseaduse paragrahv 50B, mis lisati andmete (kasutamise ja neile juurdepääsu)
seaduse paragrahvi 80 lõikega 3. 60 2018. aasta andmekaitseseaduse paragrahv 50C, mis lisati andmete (kasutamise ja neile juurdepääsu)
seaduse paragrahvi 80 lõikega 3.
ET 12 ET
tõkestamise, avastamise, uurimise või nende eest vastutusele võtmise või kriminaalkaristuste
täitmisele pööramise kahjustamise vältimiseks, avaliku julgeoleku kaitseks, riigi julgeoleku
kaitseks või teiste isikute õiguste ja vabaduste kaitseks, peatatakse nende kaitsemeetmete
kohaldamine üksnes ajutiselt, tingimusel et vastutav töötleja peab otsuse uuesti läbi vaatama
nii kiiresti kui mõistlikult võimalik ja tagatud on inimese sisuline kaasamine otsuse uuesti
läbivaatamisse61.
(1) Lisaks on 2018. aasta andmekaitseseaduse uues paragrahvis 50A selgitatud „üksnes
automatiseeritud töötlusel põhineva“ otsuse määratlust, sätestades, et see on otsus, mille
tegemises ei ole sisuliselt osalenud inimene. Tähtis on see, et vastutav töötleja peab hindama,
mil määral aitab profiilianalüüs kaasa otsuse tegemisele, et määrata kindlaks, kas inimese
kaasamine on olnud sisuline. Peale selle on 2018. aasta andmekaitseseaduse paragrahvis 50A
selgitatud, et „oluline otsus“ on selline, millel on kahjulik õiguslik või samaväärselt oluline
kahjulik mõju andmesubjektile62. Selline andmesubjektile kahjulikku mõju avaldavaid
otsuseid hõlmav piirang kajastab asjaolu, et erinevalt töötlemisest Ühendkuningriigi
isikuandmete kaitse üldmääruse alusel ei tee pädevad ametiasutused tõenäoliselt otsuseid,
mida andmesubjektid peavad positiivseks.
(50) Samuti antakse 2018. aasta andmekaitseseaduse paragrahviga 50D ministrile õigus anda
teiseseid õigusakte, et määratleda, mis on ja mis ei ole inimese sisuline kaasamine ning
milliseid otsuseid peetakse ja milliseid mitte selliseks, millel on andmesubjektile samaväärne
oluline kahjulik mõju. Samuti võimaldab see ministril anda teiseseid õigusakte, et i) lisada
uusi kaitsemeetmeid, ii) kehtestada nõudeid, mis täiendavad olemasolevaid kaitsemeetmeid, ja
iii) määratleda meetmed, mis ei vasta kaitsemeetmetele63. Oluline on see, et 2018. aasta
andmekaitseseaduse paragrahvi 50D kohaselt peab minister enne määruste vastuvõtmist
konsulteerima teabevolinikuga64 ja määruste suhtes kehtib kinnitav resolutsiooni menetlus,65
mis tähendab, et määrused ei saa jõustuda enne, kui Ühendkuningriigi parlamendi mõlemad
kojad on need heaks kiitnud.
(51) Kuigi andmete (kasutamise ja neile juurdepääsu) seadusega on seega muudetud
automatiseeritud töötlusel põhinevate otsuste raamistikku, on oluline märkida, et
Ühendkuningriigis automatiseeritud töötlusel põhinevate otsuste tegemist reguleerivas
õigusraamistikus on jätkuvalt ette nähtud peamine kaitsemeede, mille järgi on nõutud õigus
inimsekkumisele alati, kui otsuseid tehakse automatiseeritult, st tuginedes tundlike ja
mittetundlike isikuandmete töötlemisele66.
2.2.5. Vastutus
(52) Ühendkuningriigi õigusraamistikus on säilitatud vastutuspõhimõte, mis on sätestatud
direktiivis (EL) 2016/680 ja mille järgi peavad avaliku sektori asutused rakendama
asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja tõendada
andmekaitsekohustuste täitmist, nagu on hinnatud rakendusotsuse (EL) 2021/1773
põhjendustes 88–92.
(53) Üks meede, mis on lisatud 2018. aasta andmekaitseseadusesse, et tagada vastutus ning luua
vastutavatele ja volitatud töötlejatele võimalus tõendada oma kohustuste täitmist, on avaliku
61 2018. aasta andmekaitseseaduse paragrahvi 50C lõiked 3 ja 4, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahvi 80 lõikega 3. 62 2018. aasta andmekaitseseaduse paragrahv 50A, mis lisati andmete (kasutamise ja neile juurdepääsu)
seaduse paragrahvi 80 lõikega 3. 63 2018. aasta andmekaitseseaduse artikkel 50D, mis lisati andmete (kasutamise ja neile juurdepääsu)
seaduse paragrahvi 80 lõikega 3. Iga selle volituse alusel kehtestatud määrus peab läbima kinnitava
resolutsiooni menetluse, millega tagatakse parlamendi järelevalve. Määrustega ei saa muuta artiklis 50C
sätestatud nõudeid. 64 2018. aasta andmekaitseseaduse paragrahvi 182 lõige 2. 65 2018. aasta andmekaitseseaduse paragrahvi 50D lõige 5. 66 2018. aasta andmekaitseseaduse paragrahvi 50C lõike 2 punkt c.
ET 13 ET
sektori asutuste kohustus pidada oma töötlemistoimingute kohta logisid, milles
dokumenteeritakse muu hulgas andmete kogumine, muutmine, lugemine, avalikustamine,
kombineerimine ja kustutamine67. Andmete (kasutamise ja neile juurdepääsu) seadusega
muudeti selle sätte kohaseid vastutava töötleja erikohustusi, jättes 2018. aasta
andmekaitseseaduse paragrahvist 62 välja vaid nõude, et vastutav töötleja peab
dokumenteerima põhjenduse, kui isikuandmeid loetakse või avalikustatakse68. Tähtis on see, et
vastutava töötleja kohustus dokumenteerida töötlemistoiminguid jääb kehtima, mis tähendab,
et vastutuse tagamise põhimehhanism on säilitatud.
2.3. Järelevalve ja täitmise tagamine
2.3.1. Sõltumatu järelevalve
(54) Ühendkuningriigis kontrollib ja tagab andmekaitseraamistiku nõuete täitmist sõltumatu
andmekaitse järelevalveasutus, nagu on analüüsitud rakendusotsuse (EL) 2021/1773
põhjendustes 93–99. Andmete (kasutamise ja neile juurdepääsu) seadusega on reformitud selle
asutuse juhtimisstruktuuri ja loodud juriidilisest isikust teabekomisjon, mis asendab
teabevoliniku büroo, mis oli ühest füüsilisest isikust koosnev eraldiseisev juriidiline isik.
(55) Täpsemalt kaotatakse pärast andmete (kasutamise ja neile juurdepääsu) seaduses ette nähtud
juhtimismeetmete rakendama hakkamist teabevoliniku büroo ning selle ülesanded, töötajad ja
vara antakse teabevoliniku büroolt üle teabekomisjonile. Teabekomisjon koosneb
tegevliikmetest ja mitte-tegevliikmetest69. Samuti on seaduses nähtud ette, et teabevoliniku roll
läheb üle teabekomisjoni esimehele, kes on üks mitte-tegevliikmetest70. Peale selle on andmete
(kasutamise ja neile juurdepääsu) seaduses sätestatud, et kuivõrd see on ülesannete üleandmise
tulemusena asjakohane, käsitatakse viiteid teabevolinikule kõikides õigusaktides või muudes
dokumentides (olenemata nende vastuvõtmise või koostamise ajast) viidetena
teabekomisjonile. Oma ülesannete täitmiseks võib komisjon luua komiteesid ja delegeerida
ülesandeid liikmele, töötajale või komitee komisjonile71 ning reguleerida enda ja komiteede
menetlusi, sealhulgas seoses kvoorumi ja häälteenamuse alusel otsustamisega. Need
menetlused tuleb avalikustada72.
(56) Oluline on see, et teabekomisjoni sõltumatuse suhtes kehtivad samad kaitsemeetmed,
sealhulgas teabekomisjoni esimehe ametisse nimetamise ja ametist tagandamise eeskirjade
osas, mida on hinnatud rakendusotsuse (EL) 2021/1773 põhjendustes 95–9873. Sarnased
kaitsemeetmed kehtivad ka teabekomisjoni mitte-tegevliikmete suhtes. Teabekomisjoni
esimehe määrab ametisse Tema Majesteet ministri soovitusel. Esimees valitakse vastavalt
saavutustele ning õiglase ja avatud konkursi alusel74. Mitte-tegevliikmed määrab pärast
esimehega konsulteerimist ametisse minister. Kandidaadi saab ametisse nimetamiseks esitada
või ametisse nimetada üksnes siis, kui ta on valitud vastavalt saavutustele õiglase ja avatud
konkursi tingimustel ning minister on veendunud, et kandidaadil ei ole huvide konflikti75.
Tegevliikmed on teabekomisjoni töötajad, kelle töötamise tingimused määravad mitte-
tegevliikmed76. Tegevjuhi määravad pärast ministriga konsulteerimist ametisse teabekomisjoni
67 2018. aasta andmekaitseseaduse paragrahv 62. Vt ka rakendusotsuse (EL) 2021/1773 põhjendus 90. 68 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 82. 69 2018. aasta andmekaitseseaduse lisa 12A punkti 3 alapunkt 1. 70 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahvid 117, 118, 119 ja 120 koos 14. lisaga. 71 2018. aasta andmekaitseseaduse lisa 12A punktid 13 ja 14. 72 2018. aasta andmekaitseseaduse lisa 12A punkt 16. 73 Ühendkuningriigi isikuandmete kaitse üldmääruse artikkel 52 ja 2018. aasta andmekaitseseaduse
lisa 12A, mis lisati andmete (kasutamise ja neile juurdepääsu) seaduse paragrahviga 117. 74 2018. aasta andmekaitseseaduse lisa 12A punkti 5 alapunkt 1. 75 2018. aasta andmekaitseseaduse lisa 12A punkti 3 alapunkt 2 ning punktid 5 ja 6. 76 2018. aasta andmekaitseseaduse lisa 12A punkt 11.
ET 14 ET
esimees ja teised mitte-tegevliikmed. Ka tegevliikmed nimetatakse ametisse vastavalt
saavutustele õiglase ja avatud konkursi alusel77.
(57) Esimehe võib ametist tagandada Tema Majesteet mõlema parlamendikoja pöördumise alusel
ja üksnes siis, kui minister on esitanud sellele parlamendikojale aruande, milles ta kinnitab
oma veendumust, et esimees on pannud toime tõsise üleastumise, tal on huvide konflikt, ta ei
ole järginud võimaliku huvide konfliktiga seotud konkreetseid teabe avaldamise nõudeid või ei
ole suuteline, sobiv või valmis täitma esimehe ülesandeid78. Mitte-tegevliikmed võib ametist
tagandada ainult minister, kui ta on veendunud, et õigusaktides kehtestatud konkreetsed
tingimused on täidetud. Nende hulka kuuluvad huvide konflikt, tõsine üleastumine või see, et
isik ei ole suuteline, sobiv või valmis täitma esimehe ülesandeid. Mis puutub täiendavatesse
kaitsemeetmetesse, siis peab minister vastava otsuse avalikustama ja esitama asjaomasele
liikmele teate ametist tagandamise põhjuste kohta79.
(58) Andmete (kasutamise ja neile juurdepääsu) seadusega ei muudetud teabekomisjoni
põhikohustusi ja komisjon jätkab 2018. aasta andmekaitseseaduse 13. lisas sätestatud
ülesannete täitmist. Nende hulka kuuluvad 2018. aasta andmekaitseseaduse 3. osa nõuete
täitmise kontrollimine ja tagamine, parlamendi ja valitsuse nõustamine, üldsuse teadlikkuse
suurendamine, vastutavate ja volitatud töötlejate abistamine nende kohustuste täitmisel ja
isikutele nende õiguste kohta teabe andmine80. Andmete (kasutamise ja neile juurdepääsu)
seaduses on selgitatud, et kui teabekomisjon täidab oma kohustust tagada isikuandmete kaitse
piisav tase, peab ta võtma arvesse andmesubjektide, vastutavate töötlejate ja teiste huve,
arvestama laiema üldsuse huve ning suurendama üldsuse usaldust seoses isikuandmete
töötlemisega 81.
(59) Lisaks on andmete (kasutamise ja neile juurdepääsu) seaduses täpsustatud, et niivõrd, kui see
on konkreetses olukorras asjakohane, võtab teabekomisjon andmekaitsealaste õigusaktide
alusel oma ülesandeid täites arvesse innovatsiooni ja konkurentsi edendamist, süütegude
tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise tähtsust, vajadust kaitsta
avalikku ja riigi julgeolekut ning laste kaitsmisega seotud erivajadusi82. ELi
andmekaitseõiguses tunnistatakse ka vajadust luua tasakaal isikuandmete kaitse ning mitme
muu põhiõiguse ja eesmärgi (nagu julgeolek ja õigus) vahel83.
2.3.2. Täitmise tagamine, sealhulgas sanktsioonid, ja õiguskaitse
(60) Teabekomisjoni volitused ja ülesanded vastavad jätkuvalt direktiivi (EL) 2016/680 vastavates
artiklites sätestatud liikmesriikide andmekaitse järelevalveasutuste volitustele ja
ülesannetele,84 nagu on hinnatud rakendusotsuse (EL) 2021/1773 põhjendustes 100–109.
(61) Mõne volituse teostamist on konkreetsemalt selgitatud andmete (kasutamise ja neile
juurdepääsu) seaduses.
(62) Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahviga 97 on muudetud 2018. aasta
andmekaitseseaduse paragrahvi 142, et luua teabekomisjonile selge võimalus nõuda mitte
ainult teavet, vaid ka konkreetseid dokumente, millega suurendatakse komisjoni suutlikkust
uurida ja kontrollida nõuete täitmist.
77 2018. aasta andmekaitseseaduse lisa 12A punkti 5 alapunkt 2. 78 2018. aasta andmekaitseseaduse lisa 12A punkti 7 alapunktid 6 ja 7. 79 2018. aasta andmekaitseseaduse lisa 12A punkti 9 alapunktid 6, 7, 8 ja 9. 80 2018. aasta andmekaitseseaduse 13. lisa. 81 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 91, millega lisati 2018. aasta
andmekaitseseadusesse paragrahv 120A. 82 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 91, millega lisati 2018. aasta
andmekaitseseadusesse paragrahv 120B. 83 Vt eelkõige direktiivi (EL) 2016/680 põhjendus 2. 84 2018. aasta andmekaitseseaduse 13. lisa punkt 2.
ET 15 ET
(63) Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahviga 98 on täiendatud 2018. aasta
andmekaitseseaduse paragrahvi 146 kohaseid teabekomisjoni volitusi, luues teabekomisjonile
võimaluse nõuda vastutavalt või volitatud töötlejalt, et ta telliks konkreetset küsimust käsitleva
sõltumatu aruande. Aruande peab koostama kinnitatud isik ja teabekomisjonil peab olema
lõplik õigus kinnitatud isiku kandidaat heaks kiita või keegi teine ametisse määrata, kui ei
esitata sobivat kandidaati või vastutav töötleja jätab vajalikud toimingud tegemata85. Aruande
formaadi, sisu ja tähtaja võib täpsustada hindamisteates86. Kõik aruandega seotud kulud,
sealhulgas kinnitatud isiku tasu, peab kandma vastutav või volitatud töötleja87.
(64) Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahviga 100 on 2018. aasta
andmekaitseseaduse paragrahvis 148A kehtestatud uue täitmise tagamise vahendina
küsitlusteade. Teabekomisjon võib nõuda isiku osalemist küsitlustes ning rakendada
kaitsemeetmeid, näiteks õigust keelduda enda vastu tunnistuste andmisest ja kutsesaladuse
kaitset88.
(65) Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahviga 101 on muudetud
2018. aasta andmekaitseseaduse 16. lisa, et tagada teabekomisjoni suurem paindlikkus
trahviteadete väljaandmisel. Kuigi üldine reegel on jätkuvalt, et lõplik trahviteade tuleb teha
praegu kehtiva kuue kuu jooksul pärast sellisest kavatsusest teatamist, võib komisjon selle
sätte järgi teha trahviteate ka pärast nimetatud tähtaja möödumist, kui tähtajast ei ole
mõistlikult võimalik kinni pidada. Sellistel juhtudel tuleb teade teha nii kiiresti, kui on
mõistlikult võimalik. Kui teabekomisjon otsustab jätta trahviteate tegemata, peab ta sellest
asjaomasele isikule teatama kirjalikult kuue kuu jooksul või nii kiiresti, kui on mõistlikult
võimalik. Selle paragrahviga lisatakse ka uus nõue, mille kohaselt peab teabekomisjon
avaldama suunised asjaolude kohta, mille esinemise korral võib trahviteate tegemiseks minna
vaja rohkem aega kui kuus kuud.
(66) Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahviga 102 on teabekomisjonile
määratud uus aruandluskohustus. Sellega muudetakse 2018. aasta andmekaitseseaduse
paragrahvi 139 ja lisatakse uus paragrahv 161A, mille kohaselt peab teabekomisjon avaldama
aastaaruande regulatiivse tegevuse kohta. Aruandes tuleb täpsustada, kuidas on kasutatud
Ühendkuningriigi isikuandmete kaitse üldmääruse ja 2018. aasta andmekaitseseaduse 3. ja
4. osas ette nähtud uurimis- ja täitmise tagamise volitusi. Selles peab avalikustama ka nende
trahviteadete arvu, mille korral ületati kuue kuu pikkust tähtaega pärast kavatsusest teada
andmist, ja põhjendama viivitust. Lisaks peab aruandes selgitama, kuidas on teabekomisjon
järginud oma suuniseid regulatiivsete otsuste tegemisel.
(67) Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahviga 103 on tugevdatud kaebuste
esitamise korda, mida andmesubjektid saavad kasutada. Sellega on lisatud 2018. aasta
andmekaitseseadusesse uued paragrahvid 164A ja 164B. Paragrahvis 164A on sätestatud, et
andmesubjektil on õigus esitada kaebus otse vastutavale töötlejale, kui ta usub, et on rikutud
tema õigusi, mis tulenevad Ühendkuningriigi isikuandmete kaitse üldmäärusest või
2018. aasta andmekaitseseaduse 3. osast. Vastutav töötleja peab hõlbustama seda protsessi,
kinnitama kaebuse kättesaamist 30 päeva jooksul ja vastama ilma põhjendamatu viivituseta.
Samuti peab vastutav töötleja teatama kaebuse esitajale menetluse käigust ja tulemustest.
Paragrahviga 164B antakse ministrile volitus anda määruseid, millega nõutakse vastutavalt
töötlejalt saadud kaebuste arvu teatamist.
85 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 98, millega lisati 2018. aasta
andmekaitseseadusesse paragrahv 146A. 86 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 98, millega lisati 2018. aasta
andmekaitseseadusesse paragrahvi 146 lõige 3A. 87 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 98, millega lisati 2018. aasta
andmekaitseseadusesse paragrahvi 146 lõige 11A. 88 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 98, millega lisati 2018. aasta
andmekaitseseadusesse paragrahvi 146 lõige 8B.
ET 16 ET
(68) Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahviga 104 on 2018. aasta
andmekaitseseadusesse lisatud uus paragrahv 180A, et täpsustada kohtu volitusi
andmesubjektide juurdepääsutaotluste menetlemisel. Selle sätte järgi võib kohus nõuda
andmete vastutavalt töötlejalt vaidlustatud teavet, et kohus saaks seda kontrollida, enne kui
otsustab, kas andmesubjektil on õigus selle teabega tutvuda. Andmesubjektile ei tohi seda
teavet avaldada aga enne, kui kohus on otsustanud, et tal on õigus sellega tutvuda. Sättega
selgitakse, et kohus saab vaidlustatud materjali läbi vaadata, ilma et seda avalikustataks enne
õiget aega andmesubjektile, taastades kaitsemeetme, mis oli varem ette nähtud 1998. aasta
andmekaitseseaduses.
(69) Alates rakendusotsuse (EL) 2021/1773 vastuvõtmisest on teabevolinik lahendanud arvukalt
kaebusi, mis on seotud eespool nimetatud volituste kasutamisega,89 viinud ellu mitu uurimist
ja võtnud täitemeetmeid seoses andmete töötlemisega õiguskaitseasutustes.
Ajavahemikus 2021–2025 viis teabevolinik läbi uurimisi ja tegi noomitusi eri
politseiorganitele selle eest, et nad ei täitnud neile pandud andmekaitsekohustusi näiteks siis,
kui nad vastasid andmetega tutvumise taotlustele, kehtestasid turvameetmeid
videovalveandmetele, käitlesid tundlikke karistusregistri andmeid, koondasid isikute andmeid
või avalikustasid isikuandmeid kolmandatele isikutele90. Teabevolinik andis välja ja
ajakohastas ka suuniseid, arvamusi ja juhendeid, mis käsitlesid näiteks õigust tutvuda
andmetega või seda, kuidas menetleda 2018. aasta andmekaitseseaduse 3. osa alusel selgelt
põhjendamatuid või ülemääraseid taotlusi,91 või ajakohastas olemasolevaid suuniseid, nagu
õiguskaitse eesmärgil andmete töötlemise juhend92.
3. KOKKUVÕTE
(70) Komisjon leiab, et 2018. aasta andmekaitseseaduse 3. osaga tagatakse jätkuvalt Euroopa
Liidus asuvatelt pädevatelt asutustelt Ühendkuningriigi pädevatele asutustele
kriminaalõiguskaitse eesmärkidel edastatavate isikuandmete kaitse tase, mis vastab sisuliselt
direktiiviga (EL) 2016/680 tagatud kaitsetasemele.
(71) Lisaks leiab komisjon, et Ühendkuningriigi õiguses ette nähtud järelevalvemehhanismid ja
õiguskaitsevahendid võimaldavad jätkuvalt praktikas tuvastada rikkumisi ja nende eest
karistada ning pakuvad andmesubjektile õiguskaitsevahendeid temaga seotud isikuandmetele
juurdepääsu saamiseks ning vajaduse korral nende parandamiseks või kustutamiseks.
(72) Seetõttu tuleks otsustada, et Ühendkuningriik tagab jätkuvalt direktiivi (EL) 2016/680
artikli 36 lõike 2 tähenduses piisava kaitsetaseme, mida tõlgendatakse põhiõiguste hartast
lähtudes.
4. KÄESOLEVA OTSUSE MÕJU JA ANDMEKAITSEASUTUSTE TEGEVUS
(73) Liikmesriigid ja nende organid peavad võtma liidu institutsioonide aktide järgimiseks
vajalikud meetmed, sest selliste aktide õiguspärasust eeldatakse ja need tekitavad seega
õiguslikke tagajärgi seni, kuni need ei ole aegunud, neid ei ole tagasi võetud, tühistamishagi
89 Näiteks aastatel 2023–2024 sai teabevolinik 1 890 taotlust, mis esitati isikuandmete kaitse üldmääruse
ja/või 2018. aasta andmekaitseseaduse alusel organisatsioonide kohta, kes liigituvad allsektoritesse
„politseiasutus“, „politseijõud“ ja „politseiülemad“. Vt ka teabevoliniku 2023.–2024. aasta aruanne ja
finantsaruanded, mis on kättesaadavad aadressil https://ico.org.uk/media2/migrated/4030348/annual-
report-2023-24.pdf. 90 Lisateave on kättesaadav aadressil https://ico.org.uk/action-weve-
taken/enforcement/?ensector=criminal-justice. 91 Kättesaadav aadressil https://ico.org.uk/for-organisations/law-enforcement/the-right-of-access-part-3-
of-the-dpa-2018/ ja https://ico.org.uk/for-organisations/law-enforcement/guide-to-le-
processing/individual-rights/manifestly-unfounded-and-excessive-requests/. 92 Kättesaadav aadressil https://ico.org.uk/for-organisations/law-enforcement/guide-to-le-processing/.
ET 17 ET
menetlemise tulemusena tühistatud ega eelotsusemenetluse tulemusel või õigusvastasuse väite
alusel kehtetuks tunnistatud.
(74) Seega on direktiivi (EL) 2016/680 artikli 36 lõike 3 alusel komisjoni vastu võetud kaitse
piisavuse otsus siduv kõikidele liikmesriikide organitele, kes on selle otsuse adressaadiks,
sealhulgas nende sõltumatutele järelevalveasutustele. Käesoleva otsusega muudetud
rakendusotsuse (EL) 2021/1773 kohaldamise ajal võib edastada andmeid liidus asuvalt
vastutavalt või volitatud töötlejalt Ühendkuningriigis asuvatele vastutavatele või volitatud
töötlejatele ilma, et oleks vaja taotleda lisaluba.
(75) Samal ajal olgu meenutatud, et vastavalt direktiivi (EL) 2016/680 artikli 47 lõikele 5 ja nagu
Euroopa Kohus on selgitanud Schrems I kohtuotsuses, peab samas olema liikmesriigi õigusega
juhuks, kui riiklik andmekaitseasutus kahtleb (sh laekunud kaebuse põhjal) komisjoni tehtud
kaitse piisavuse otsuse kooskõlas üksikisiku põhiõigustega eraelu puutumatusele ja
andmekaitsele, ette nähtud õiguskaitsevahend, mis võimaldab tal edastada need vastuväited
riigisisesele kohtule, kellelt võidakse nõuda asja kohta Euroopa Kohtule eelotsusetaotluse
esitamist93.
5. SEIRE
(76) Direktiivi (EL) 2016/680 artikli 36 lõike 4 kohaselt peab komisjon pidevalt jälgima
asjakohaseid muutusi Ühendkuningriigis, et hinnata, kas Ühendkuningriik tagab endiselt
sisuliselt vastava kaitsetaseme. Selline jälgimine on eriti oluline seetõttu, et Ühendkuningriik
kohaldab ja jõustab muudetud andmekaitsekorda. Lisaks on Ühendkuningriigi muudetud
andmekaitseraamistikuga antud ministrile volitused seda raamistikku teiseste õigusaktidega
veelgi täpsustada. Siinkohal tuleks pöörata erilist tähelepanu sellistele lisatäpsustustele, samuti
isikuandmete kolmandatele riikidele edastamist käsitlevate Ühendkuningriigi muudetud
normide praktilisele kohaldamisele, üksikisikute õiguste teostamise tulemuslikkusele,
sealhulgas kõigile asjakohastele arengusuundadele õiguses ja praktikas, mis puudutavad
selliste õiguste suhtes hiljuti kehtestatud erandeid või piiranguid, ning ümberkorraldatud
teabevoliniku büroo toimimisele, sealhulgas seoses kaebuste käsitlemise ja parandusvolituste
rakendamisega. Jälgimisel peaks komisjon võtma muu hulgas arvesse kohtupraktika
suundumusi ning teabevoliniku büroo ja teiste sõltumatute asutuste järelevalve tulemusel
kogutud andmeid.
(77) Selleks peaksid Ühendkuningriigi ametiasutused kiiresti ja korrapäraselt teavitama komisjoni
Ühendkuningriigi õiguskorra igast sisulisest muudatusest, mis mõjutab käesoleva otsusega
muudetud rakendusotsuses (EL) 2021/1773 käsitletavat õigusraamistikku, samuti
isikuandmete töötlemisega seotud ja käesoleva otsusega muudetud rakendusotsuses
(EL) 2021/1773 hinnatud tavade muudatustest, eelkõige põhjenduses 39 nimetatud elementide
osas.
(78) Selleks et komisjonil oleks võimalik tulemuslikult täita oma järelevalvefunktsiooni, peaksid
liikmesriigid teavitama komisjoni kõikidest asjakohastest meetmetest, mida riiklikud
andmekaitseasutused võtavad, eelkõige seoses ELi andmesubjektide päringute või kaebustega,
mis puudutavad isikuandmete edastamist liidust Ühendkuningriigis asuvatele pädevatele
asutustele. Komisjoni tuleks teavitada ka võimalikest märkidest, et süütegude tõkestamise,
uurimise, avastamise või nende eest vastutusele võtmise eest vastutavate Ühendkuningriigi
avaliku sektori asutuste tegevus, samuti järelevalveasutuste tegevus ei taga nõutavat
kaitsetaset.
(79) Kui kättesaadavast teabest, eriti käesoleva otsuse järelevalvest tulenevast või
Ühendkuningriigi või liikmesriikide ametiasutuste esitatud teabest ilmneb, et
Ühendkuningriigi pakutav kaitsetase ei pruugi enam olla piisav, peaks komisjon sellest kohe
teavitama Ühendkuningriigi pädevaid asutusi ning nõudma asjakohaste meetmete võtmist
93 Kohtuotsus Schrems I, punkt 65.
ET 18 ET
kindlaksmääratud tähtaja jooksul, mis ei või olla pikem kui kolm kuud. Vajaduse korral võib
seda tähtaega pikendada kindlaksmääratud tähtaja võrra, võttes arvesse tõstatatud küsimuse
ja/või võetavate meetmete laadi.
(80) Kui Ühendkuningriigi pädevad asutused ei ole kindlaksmääratud tähtaja jooksul neid
meetmeid võtnud või muul viisil rahuldavalt tõendanud, et käesolev otsus põhineb endiselt
piisaval kaitsetasemel, algatab komisjon direktiivi (EL) 2016/680 artikli 58 lõikes 2 osutatud
menetluse käesoleva otsuse osaliseks või täielikuks peatamiseks või kehtetuks tunnistamiseks.
(81) Teise võimalusena algatab komisjon kõnealuse menetluse käesoleva otsusega muudetud
rakendusotsuse (EL) 2021/1773 muutmiseks, et eelkõige kehtestada andmete edastamiseks
lisatingimusi või piirata kaitse piisavuse otsuse kohaldamisala nii, et see hõlmab üksnes sellist
andmeedastust, mille puhul on kaitse piisav tase jätkuvalt tagatud.
(82) Nõuetekohaselt põhjendatud, tungivalt vajalikul ja kiireloomulisel juhul kasutab komisjon
võimalust võtta kooskõlas direktiivi (EL) 2016/680 artikli 58 lõikes 3 osutatud menetlusega
vastu viivitamata kohaldatavad rakendusaktid, millega otsus peatatakse või tunnistatakse
kehtetuks või seda muudetakse.
6. KÄESOLEVA OTSUSE KOHALDAMISE LÄBIVAATAMINE, KESTUS JA
PIKENDAMINE
(83) Kohaldades direktiivi (EL) 2016/680 artikli 36 lõiget 3 ja pidades silmas asjaolu, et
Ühendkuningriigi õigusraamistikust tulenev kaitsetase võib muutuda, peaks komisjon pärast
käesoleva otsuse vastuvõtmist korrapäraselt kontrollima, kas järeldused Ühendkuningriigi
tagatava kaitse piisava taseme kohta on endiselt faktiliselt ja õiguslikult põhjendatud. Sellised
hindamised peaksid toimuma vähemalt iga nelja aasta tagant ja need peaksid hõlmama kõiki
käesoleva otsuse toimimise aspekte, sealhulgas asjaomaste järelevalve- ja täitmise tagamise
mehhanismide toimimist.
(84) Läbivaatamiseks peaks komisjon kohtuma Ühendkuningriigi ametiasutuste, sealhulgas
teabekomisjoni asjakohaste esindajatega. Sellel kohtumisel peaks olema lubatud osaleda ka
Euroopa Andmekaitsenõukogu liikmete esindajatel. Läbivaatamise raames peaks komisjon
laskma Ühendkuningriigil esitada põhjalikku teavet kõigi kaitse piisavuse järelduse
seisukohast oluliste aspektide kohta. Samuti peaks komisjon küsima selgitusi käesoleva otsuse
seisukohast olulise teabe kohta, mille ta on saanud näiteks Euroopa Andmekaitsenõukogult,
konkreetsetelt andmekaitseasutustelt, kodanikuühiskonna rühmadelt, avalikest aruannetest,
meediakajastustest või muudest kättesaadavatest teabeallikatest.
(85) Läbivaatamise alusel peaks komisjon koostama avaliku aruande, mis esitatakse Euroopa
Parlamendile ja nõukogule.
(86) Komisjon peab võtma ka arvesse seda, et andmekaitseraamistik, mida on hinnatud selles
otsuses ja rakendusotsuses (EL) 2021/1773, võib edasi areneda.
(87) Seepärast on asjakohane sätestada, et käesoleva otsuse kohaldamise periood on kuus aastat
alates selle jõustumisest.
(88) Kui eelkõige käesoleva otsuse järelevalvest tulenev teave näitab, et Ühendkuningriigis tagatud
kaitse taseme piisavusega seotud tähelepanekud on endiselt faktiliselt ja õiguslikult
põhjendatud, peaks komisjon hiljemalt kuus kuud enne käesoleva otsuse kohaldamise lõppu
algatama käesoleva otsuse muutmise menetluse, et pikendada selle kohaldamisaega
põhimõtteliselt veel nelja aasta võrra. Käesolevat otsust muutvad rakendusaktid võetakse vastu
kooskõlas direktiivi (EL) 2016/680 artikli 58 lõikes 2 osutatud menetlusega.
ET 19 ET
7. LÕPPMÄRKUSED
(89) Euroopa Andmekaitsenõukogu avaldas oma arvamuse,94 mida on käesoleva otsuse
koostamisel arvesse võetud.
(90) Käesoleva otsusega ette nähtud meetmed on kooskõlas direktiivi (EL) 2016/680 artikli 58
alusel loodud komitee arvamusega.
(91) ELi lepingule ja ELi toimimise lepingule lisatud protokolli nr 21 (Ühendkuningriigi ja Iirimaa
seisukoha kohta vabadusel, turvalisusel ja õigusel rajaneva ala suhtes) artikli 6a kohaselt ei ole
direktiivis (EL) 2016/680 sätestatud normid isikuandmete töötlemise kohta liikmesriikide
poolt ELi toimimise lepingu kolmanda osa V jaotise 4. või 5. peatüki kohaldamisalasse
kuuluva tegevuse puhul Iirimaa suhtes siduvad, kui Iirimaa suhtes ei ole siduvad normid, mis
käsitlevad õigusalast koostööd kriminaalasjades või politseikoostööd, mille raames tuleb
järgida ELi toimimise lepingu artikli 16 alusel kehtestatud sätteid. Nõukogu rakendusotsuse
(EL) 2020/174595 alusel tuleb direktiiv (EL) 2016/680 Iirimaal siiski rakendada ja seda
ajutiselt kohaldada alates 1. jaanuarist 2021. Järelikult on käesolev otsus Iirimaale seoses
Schengeni acquis’ga, milles Iirimaa osaleb, siduv samadel tingimustel, nagu direktiivi
(EL) 2016/680 kohaldamisel Iirimaal vastavalt nõukogu rakendusotsuses (EL) 2020/1745
sätestatule.
(92) ELi lepingule ja ELi toimimise lepingule lisatud protokolli nr 22 (Taani seisukoha kohta)
artiklite 2 ja 2a kohaselt ei ole direktiivis (EL) 2016/680 sätestatud normid ja seega käesolev
rakendusotsus Taani suhtes siduvad ning Taani suhtes ei kohaldata norme isikuandmete
töötlemise kohta liikmesriikide poolt ELi toimimise lepingu kolmanda osa V jaotise 4. või
5. peatüki kohaldamisalasse kuuluva tegevuse puhul. Võttes siiski arvesse, et direktiiv
(EL) 2016/680 põhineb Schengeni acquis’l, teatas Taani 26. oktoobril 2016 kooskõlas
nimetatud protokolli artikliga 4, et on otsustanud direktiivi (EL) 2016/680 rakendada. Seega
on käesolev otsus rahvusvahelise õiguse kohaselt Taani suhtes siduv.
(93) Islandi ja Norra puhul kujutab käesolev otsus endast Schengeni acquis’ sätete edasiarendamist
Euroopa Liidu Nõukogu ning Islandi Vabariigi ja Norra Kuningriigi vahel sõlmitud lepingu
(viimase kahe riigi osalemiseks Schengeni acquis’ sätete rakendamises, kohaldamises ja
edasiarendamises) tähenduses96.
(94) Šveitsi puhul kujutab käesolev otsus endast Schengeni acquis’ sätete edasiarendamist Euroopa
Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepingu (Šveitsi
Konföderatsiooni ühinemise kohta Schengeni acquis’ rakendamise, kohaldamise ja
edasiarendamisega)97 tähenduses.
(95) Liechtensteini puhul kujutab käesolev otsus endast Schengeni acquis’ sätete edasiarendamist
Euroopa Liidu, Euroopa Ühenduse, Šveitsi Konföderatsiooni ja Liechtensteini Vürstiriigi
vahel allakirjutatud protokolli (mis käsitleb Liechtensteini Vürstiriigi ühinemist Euroopa
Liidu, Euroopa Ühenduse ja Šveitsi Konföderatsiooni vahelise lepinguga Šveitsi
Konföderatsiooni ühinemise kohta Schengeni acquis’ rakendamise, kohaldamise ja
edasiarendamisega)98 tähenduses.
(96) Seepärast tuleks rakendusotsust (EL) 2021/1773 vastavalt muuta,
94 Arvamus 27/2025 Euroopa Komisjoni rakendusotsuse eelnõu kohta, mis käsitleb isikuandmete piisavat
kaitset Ühendkuningriigis, kättesaadav aadressil https://www.edpb.europa.eu/our-work-tools/our-
documents/opinion-art-70/opinion-272025-regarding-european-commission-draft_en. 95 ELT L 393, 23.11.2020, lk 3. 96 EÜT L 176, 10.7.1999, lk 36. 97 ELT L 53, 27.2.2008, lk 52. 98 ELT L 160, 18.6.2011, lk 21.
ET 20 ET
ON VASTU VÕTNUD KÄESOLEVA OTSUSE:
Artikkel 1
Rakendusotsuse (EL) 2021/1773 artikkel 4 asendatakse järgmisega:
„Artikkel 4
Käesolev otsus kehtib 27. detsembrini 2031, kui selle kehtivust ei pikendata direktiivi (EL) 2016/680
artikli 58 lõikes 2 osutatud korras.“
Artikkel 2
Käesolev otsus on adresseeritud liikmesriikidele.
Brüssel, 19.12.2025
Komisjoni nimel
Michael McGRATH
komisjoni liige