Arvamuse edastamine

Vastuseks teie 2.12.2025 saadetud üleskutsele seisukohtade edastamiseks Euroopa Komisjoni digiomnibusi lihtsustamispaketi kohta saadame arvamused Tartu Ülikooli teadusarvutuste keskuse poolt. Regulatsioonide ajakohastamine, halduskoormuse vähendamine ja konkurentsivõimelisuse tagamine EU-s on kahtlemata tervitatav, kuid tõstatusid mõned küsimused.

Täiendavates küsimustes on meie poolt kontaktisikuks infoturbe nõunik Tommy Tomson ([email protected] , +372 520 2666 )

1. Üldised kommentaarid

• Standardite valmimise ja digital omnibusi planeeritud muudatuste jõustumise ebaselge tähtaeg tekitab suurt ebakindlust ja teadmatust tulevaste projektide osas.

2. Isikuandmete mõiste

• Identifitseerimise kriteeriumide ebaselgus

Mõistlikult tuvastada ("means reasonably likely to be used to identify the natural person") jääb subjektiivseks mõisteks. Kuigi eesmärk on luua õigusselgust, tekib küsimus:

• kes määrab, mis on “mõistlikult tuvastatav”? Kelle jaoks mõistlikult? Milline on see “mõistlik” kompetents või mille alusel seda hinnata?

• kas täna “mittemõistlik” vahend võib homme muutuda “mõistlikuks” ja tavapäraseks?

• Vastutuse hajumine

Muudatus loob olukorra, kus sama info võib olla ühe osapoole jaoks isikuandmed, teise jaoks mitte. Probleemid:

• kui andmeid jagatakse mitme vahendaja kaudu, võib tekkida vastutuse "hall tsoon";

• andmesubjekti õiguste (juurdepääs, kustutamine) rakendamine muutub keeruliseks;

• rikkumiste korral on raske määrata, kes kannab vastutust.

• Kontrollimise ja vastutava töötleja paradoks

Dokument ütleb, et organisatsioonid peavad kontrollima, kas jagatud andmed on isikuandmed või mitte (andmete saajale), kuid:

• kuidas saab andmeedastaja teada, millised vahendid on andmete vastuvõtjal?

• kas andmete edastaja peab uurima vastuvõtja tehnilisi võimekusi?

• tekib vastuolu: organisatsioon ei ole vastutav töötleja, aga peab kontrollima.

• Muud kommentaarid

• Kuigi eesmärk on õiguskindluse suurendamine, võib tegelikult tekkida rohkem kohtuvaidlusi termini "mõistlik" tõlgendamise üle.

• Isikul on raskem jälgida, kes nende andmeid töötleb (näiteks kui osapool ei pea end isikuandmete töötlejaks) ja sellest lähtuvalt on isik ka nõrgemas positsioonis oma õiguste maksma panemisel.

• Praeguses sõnastuses näeme ohtu, et kohustustest kõrvale hiilimiseks hakatakse liiga lõdvalt tõlgendama taasidendifitseerimise võimalust. Kuidas reguleeritakse sh, millised kohustused ja õigused on andmete töötlejal, kes “mõistlikul viisil” ei suuda andmed taasidentifitseerida? Milline on tema roll GDPR mõistes? Kui andmed edastatakse kolmandale töötlejale, kes suudab andmed identifitseerida, mis on tema roll? Kuidas tagada, et andmete töölemine põhineb õiguslikul alusel ja kes vastutab, kui peaks toimuma rikkumine?

• Näited

• Näide 1. Kuidas tõlgendatakse antud muudatuste valguses IP-aadressi. Nt vastutav töötleja kogub ankeedi kaudu andmeid, edastab need analüüsiks volitatud töötlejale, kellel ei ole võimalik ligi pääseda informatsioonile, mille abil andmesubjekte identifitseerida ja IP-aadressi abil tuvastad. Kui andmestikus ei ole ka muid andmeid, mis lubaks andmesubjekti tuvastada, kas siis on vajalik Data Prosessing Agreement (DPA), kui tegu ei ole enam isikuandmetega? Kas DPA-s sätestab vastutav töötleja tingimused, et volitatud töötleja tohib/ei tohi andmeid muul eesmärgil kasutada/edastada? Millistel juhtudel on DPA vajalik?  Või kuna volitatud töötleja ei töötle isikuandmeid võib ta andmeid edasi töödelda ja edastada tingimusel, et veendub, et vastuvõtja ei suuda sammuti IP-aadresite järgi isikuid tuvastada ja tema roll muutub sel juhul kelleks (GDPR mõistes)?

• Näide 2. Terviseandmete liikumine: avaliku sektori raviasutus väljastab pseudonüümitud andmed teadusuuringu läbiviimiseks. Oletame, et teadusuuringu meeskond ja vastutav uurija hindab, et ei suuda “mõistlikult” andmesubjekte identifitseerida, kas teadusuuringu meeskond töötleb isikuandmeid?

• Kui näidetes 1 ja 2 nimetatud volitatud töötleja edastab andmed uuele osapoolele või toimub rikkumine, kus andmed satuvad kolmandate osapoolte valdusesse, kes suudavad taasisikustada andmesubjekte, siis kuidas jaotuvad rollid? Kes on vastutav töötleja, kes on volitatud töötleja ja millised kohutused rakenduvad volitatud töötlejale?

3. AI ja eriliik

• "Appropriate measures" ebaselgus

• Puuduvad konkreetsed kriteeriumid, mis on "asjakohased organisatsioonilised ja tehnilised meetmed".

• Probleemiks saavad erinevad tõlgendused eri organisatsioonides ja järelevalveasutustes.

• Väiksematel ettevõtetel puudub suutlikkus hinnata meetmete piisavust.

• "Disproportionate effort" lävend

• Ei ole määratletud, millal eemaldamine nõuab "ebaproportsionaalset pingutust".

• Suurettevõtted võivad kasutada seda väljapääsuna ja tegelikult andmeid mitte eemaldada.

• Majandusliku kasu vs andmesubjekti õiguste tasakaal on ebaselge.

• "Without undue delay" ajaraamistiku puudumine.

Ei täpsustata, mis on „alusetu viivitus“. See võib vastavalt kontekstile tähendada erinevaid aegu ja puudub selge järelevalve või vastutus viivituste eest.

• Eeldatav nõusolek puudub

Punkt (k) võimaldab eriliiki andmete töötlemist AI kontekstis ilma selge nõusolekuta, mis on vastuolus GDPRi põhimõtetega, kus eriliiki andmed nõuavad selgesõnalist nõusolekut. Andmesubjekt ei pruugi teada, et tema andmeid kasutatakse AI arenduses.

4. Automatiseeritud otsused, sh profileerimine

• "Necessity" kriteeriumi nõrgendamine

Uue tõlgenduse järgi peab automatiseeritud otsuse tegemine olema "vajalik", isegi kui on alternatiive ja see loob olukorra, kus organisatsioonid saavad õigustada peaaegu iga automatiseeritud otsust. Organisatsioonid võivad väita, et automatiseeritud otsused on vajalikud efektiivsuse/kulude kokkuhoiu jaoks ja eksisteerib risk, et igasugune äriline eesmärk tõlgendatakse “vajalikkuseks".

Ei eristata madala ja kõrge riskiga otsuseid - sama lähenemine kehtib nii töölevõtmisel kui ka kontosaldo kontrollimisel.

5. Mõjuhinnang (DPIA)

• Hetkel saavad liikmesriigid kohandada DPIA nõudeid vastavalt kohalikele oludele ja ühtne EL-i nimekiri võib ignoreerida riigispetsiifilisi riske ja vajadusi.

• On oht, et nimekiri võib olla liiga üldine (ei anna praktilist juhist, jääb kasutuks) või liiga spetsiifiline (ei sobi kõikide harude/sektorite jaoks).

• EL’i otsustusprotsess on aeglane, kuid uued tehnoloogiad arenevad väga kiiresti. Eksisteerib risk, et loodav nimekiri on alati “aegunud”.

• Eestis on AKI andnud suunised ja hinnangud, millal on tegu suure riskiga töötlemisega ja  millistel puhkudel on andmekaitsealane mõjuhinnang kindlasti vajalik aga komisjoni poolt antavad selged juhised ja template avaldaks kindlasti positiivset mõju mõjuhinnangute ühtlasemale kvaliteedile ja annaks andmesubjektidele ja töötlejatele suurema kindluse, et mõjuhinnang on läbi viidud piisava põhjalikkusega.

6. Andmesubjekti päring

• Juba praegu olemas GDPR-is, täiendus ei ole tingimata vajalik. Praegune GDPRi sõnastus on asjakohane ja täidab eesmärki. 

7. Teavitamine

• Probleem - läbipaistvus väheneb. Andmesubjektid jäävad teadmatuks paljudest rikkumistest, mis neid mõjutavad ja kaob võimalus ise kasutusele võtta meetmeid  (nt parooli vahetamine).

• Lisandunud 24 tundi on abiks ründajatele - andmete edasimüük pimeturul, identiteedivargused jne.

• "Likely to result in high risk” on subjektiivne hindamine. Organisatsioon ise otsustab, kas risk on “kõrge” ja sellest tekib potentsiaalne konflikt, kuna ettevõtted ei taha halba mainet ning risk alandatakse näiteks "see küll ei ole nii kõrge risk”. "High risk" tähendus võib ja kindlasti ka varieerub liikmesriigiti, mis lisab kindlasti täiendavat segadust.

• "Single-entry point (SEP)” on mõeldud piiriüleste töötluste jaoks ning kui rikkumine mõjutab ainult üht riiki, on SEP kaudu teavitamine ebatõhus, kuna lisandub täiendav bürokraatia (suunamine). SEP võib osutuda ka kõige nõrgemaks lüliks, kui ta on üle koormatud või mingil põhjusel ei tööta.

• NIS2 direktiiv nõuab samuti rikkumiste teatamist (erineva läve ja tähtajaga), DORA (finantssektoris) on omad nõuded jne. Ettevõtted peavad navigeerima mitme paralleelse süsteemi vahel.

• Suure riskiga intsidentide teavitamiskohustuse erinevad tähtajad loodavas SEP-s. Kas intsidendist teavitaja peab eelnevalt ise klassifitseerima, millise intsidendiga on tegu (NIS2 24h vs GDPR 72->96h). Kuidas liiguvad esmalt andmekaitsealase intsidendina teavitatud rikkumise andmed õigete osapoolteni, kui selgub, et tegu oli siiski ka küberturvalisuse intsidendiga, millel on palju lühem teavitamise tähtaeg? Kas sellisel juhul on teavitaja eksinud ja vastutab, et pole teavitamiskohustusest kinni pidanud? Siseriiklikul tasandil on AKI loonud teavitajale vormi ja lihtsa viisi teavitamiseks, vajadus tuleneb mõne teise riigi järelvalve asutuse tegematusest pigem. 

• Mis juhtub olukorras, kui esmane rikkumine tundub “madala riskiga”, kuid hiljem selgub, et tegemist on osaga suuremast rünnakust? Kuna hakkab 96 tundi jooksma? Kas alates esmasest rünnakust või hetkest, kui selgub täiendav informatsioon?

8. Teadusuuringute mõiste

• Teadusuuringu mõiste lisamine GDPR-i on igati tervitatav, seni oleme lähtunud siseriiklikust definitsioonist (TAKS) ja mõiste defineerimine looks suurem selguse, eriti EU sisese piiriülese andmetöötluse osas, kuid leiame, et praeguse sõnastuse juures on suur oht seda liiga vabalt tõlgendada. Praegune sõnastus defineerib pigem erasektori tegevust.  

Lugupidamisega

****

From: Taavi Viilukas - JUSTDIGI <[email protected]>
Sent: Tuesday, December 2, 2025 4:03:29 PM
To: kpn - JUSTDIGI <[email protected]>
Subject: Kutse huvigruppidele tagasiside andmiseks EL digivaldkonna lihtsustamispaketi kohta

Hea riikliku küberturvalisuse poliitika nõukoja liige!

Justiits- ja Digiministeerium on kokku panemas seisukohti Euroopa Komisjoni avaldatud digiomnibusi lihtsustamispaketile. 

Digiomnibusi näol on tegemist Euroopa Liidu digivaldkonna õigusaktide lihtsustamise ettepanekutega. Ettepanekud on jagatud kahte eelnõusse: Digiomnibusi üldeelnõu kui ka tehisintellekti määrusega seotud digiomnibus. 

Soovime Teid teemast teavitada ning kutsume Teid esitama ministeeriumile oma arvamusi hiljemalt 19.12.2025 aadressile [email protected]. Edastasime sama üleskutse osadele KPNi liikmeks olevatele organisatsioonidele juba eelmisel nädalal, kuid kordame sama üleskutset KPNi meililisti kaudu. 

Teemat tutvustatakse ka 09.12.2025 kell 12:00-14:00 toimuval kaasamisüritusel (toimub üle MS Teamsi). 

Täpsem teave üleskutsest, kontaktisikutest kui ka kaasamisseminarist on leitav manuses olevast failist kui ka siit: Justiits- ja Digiministeeriumi avalik dokumendiregister

Lugupidamisega