| Dokumendiregister | Justiitsministeerium |
| Viit | 7-2/10245 |
| Registreeritud | 22.12.2025 |
| Sünkroonitud | 23.12.2025 |
| Liik | Sissetulev kiri |
| Funktsioon | 7 EL otsustusprotsessis osalemine ja rahvusvaheline koostöö |
| Sari | 7-2 Rahvusvahelise koostöö korraldamisega seotud kirjavahetus (Arhiiviväärtuslik) |
| Toimik | 7-2/2025 |
| Juurdepääsupiirang | Avalik |
| Juurdepääsupiirang | |
| Adressaat | EV alaline esindus EL juures |
| Saabumis/saatmisviis | EV alaline esindus EL juures |
| Vastutaja | Kristiina Krause (Justiits- ja Digiministeerium, Kantsleri vastutusvaldkond, Üldosakond, Kommunikatsiooni ja väliskoostöö talitus) |
| Originaal | Ava uues aknas |
ET ET
EUROOPA KOMISJON
Brüssel, 19.12.2025
C(2025) 8771 final
KOMISJONI RAKENDUSOTSUS,
19.12.2025,
millega muudetakse komisjoni 28. juuni 2021. aasta rakendusotsust (EL) 2021/1772, mis
põhineb Euroopa Parlamendi ja nõukogu määrusel (EL) 2016/679 ning käsitleb
isikuandmete piisavat kaitset Ühendkuningriigis (teatavaks tehtud numbri C(2021)4800
all)
(EMPs kohaldatav tekst)
ET 1 ET
KOMISJONI RAKENDUSOTSUS,
19.12.2025,
millega muudetakse komisjoni 28. juuni 2021. aasta rakendusotsust (EL) 2021/1772, mis
põhineb Euroopa Parlamendi ja nõukogu määrusel (EL) 2016/679 ning käsitleb
isikuandmete piisavat kaitset Ühendkuningriigis (teatavaks tehtud numbri C(2021)4800
all)
(EMPs kohaldatav tekst)
EUROOPA KOMISJON,
võttes arvesse Euroopa Liidu toimimise lepingut,
võttes arvesse Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrust (EL) 2016/679
füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning
direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus),1 eriti selle
artikli 45 lõiget 3,
ning arvestades järgmist:
1. SISSEJUHATUS
(1) Rakendusotsuses (EL) 2021/17722 järeldati, et määruse (EL) 2016/679 artikli 45
kohaldamisel tagab Ühendkuningriik kõnealuse määruse kohaldamisalas Euroopa
Liidust Ühendkuningriiki edastatavate isikuandmete kaitse piisava taseme3.
(2) Komisjon võttis rakendusotsuse (EL) 2021/1772 vastuvõtmisel arvesse, et
Suurbritannia ja Põhja-Iiri Ühendkuningriigi Euroopa Liidust ja Euroopa
Aatomienergiaühendusest väljaastumise lepingus4 ette nähtud üleminekuperioodi
lõppemisel ning kui ühelt poolt Euroopa Liidu ja Euroopa Aatomienergiaühenduse
ning teiselt poolt Suurbritannia ja Põhja-Iiri Ühendkuningriigi vahelise kaubandus- ja
koostöölepingu5 artikli 782 kohase ajutise sätte kohaldamine on lõppenud, võtab
Ühendkuningriik vastu uue andmekaitsekorra, mis erineb korrast, mis kehtis, kui
Ühendkuningriigile oli siduv Euroopa Liidu õigus, ning hakkab uut korda kohaldama
ja tagab selle täitmise.
1 ELT L 119, 4.5.2016, lk 1. 2 Komisjoni 28. juuni 2021. aasta rakendusotsus (EL) 2021/1772, mis põhineb Euroopa Parlamendi ja
nõukogu määrusel (EL) 2016/679 ning käsitleb isikuandmete piisavat kaitset Ühendkuningriigis
(ELT L 360, 11.10.2021, lk 1, ELI: http://data.europa.eu/eli/dec_impl/2021/1772/oj). 3 Vt otsuse (EL) 2021/1772 artikli 1 lõige 1. Kõnealuse otsuse artikli 1 lõike 2 kohaselt ei hõlma otsus
isikuandmeid, mida edastatakse Ühendkuningriigi sisserände kontrolliga seotud eesmärkidel või mis
kuuluvad muul moel Ühendkuningriigi 2018. aasta andmekaitseseaduse 2. lisa punkti 4 alapunktiga 1
ette nähtud erandi kohaldamisalasse. 4 ELT C 384I, 12.11.2019, lk 1. 5 ELT L 149, 30.4.2021, lk 10, ELI: http://data.europa.eu/eli/agree_internation/2021/689(1)/oj.
ET 2 ET
(3) Kuna see võib sisaldada muudatusi rakendusotsuses (EL) 2021/1772 hinnatud
andmekaitseraamistikus või muid asjakohaseid muudatusi, peeti asjakohaseks
sätestada, et kõnealust otsust kohaldatakse nelja aasta jooksul alates selle jõustumisest.
Rakendusotsus (EL) 2021/1772 pidi seega kehtima kuni 27. juunini 2025, kui selle
kehtivust ei pikendata määruse (EL) 2016/679 artikli 93 lõikes 2 osutatud korras.
(4) Rakendusotsuse (EL) 2021/1772 võimaliku pikendamise otsustamiseks peab komisjon
hindama, kas järeldus, et Ühendkuningriik tagab kaitse piisava taseme, on faktiliselt ja
õiguslikult põhjendatud, võttes arvesse muutusi, mis on toimunud pärast
rakendusotsuse (EL) 2021/1772 vastuvõtmist, võttes arvesse määruse (EL) 2016/679
artikli 45 lõikes 2 loetletud elemente.
(5) Täpsemalt esitas Ühendkuningriigi valitsus 23. oktoobril 2024 parlamendile andmete
(kasutamise ja neile juurdepääsu) seaduse eelnõu,6 mis sisaldas ettepanekuid muuta
Ühendkuningriigi isikuandmete kaitse üldmäärust ja 2018. aasta andmekaitseseadust,
mida on hinnatud rakendusotsuses (EL) 2021/1772. Komisjon võttis 24. juunil 2025
vastu rakendusotsuse (EL) 2025/, millega pikendati rakendusotsuse (EL) 2021/1772
kehtivust kuue kuu võrra ehk 27. detsembrini 20257. See ajaliselt piiratud tehniline
pikendus võimaldas komisjonil viia lõpule Ühendkuningriigis kehtiva isikuandmete
kaitse piisava taseme hindamise stabiilse õigusraamistiku alusel, st pärast asjakohase
seadusandliku protsessi lõpetamist8.
(6) Pärast rakendusotsuse (EL) 2021/1772 vastuvõtmist on komisjon pidevalt jälginud
asjakohaseid arengusuundi Ühendkuningriigis9. Rakendusotsuse (EL) 2021/1772
põhjenduse 281 kohaselt pöörati erilist tähelepanu Ühendkuningriigi nende normide
kohaldamisele praktikas, mis reguleerivad isikuandmete edastamist kolmandatele
riikidele, ja mõjule, mida see võib avaldada rakendusotsuse (EL) 2021/1772 alusel
edastatud andmete kaitse tasemele, üksikisikute õiguste tulemuslikule teostamisele,
sealhulgas kõigile asjakohastele arengusuundadele õiguses ja praktikas, mis võivad
viia üksikisiku õigustest erandite tegemiseni või nende piiramiseni (eeskätt sisserände
tulemusliku kontrolli säilitamise erandile), ning valitsuse juurdepääsuga seotud
piirangute ja kaitsemeetmete järgimisele. Muude elementide hulgas on komisjon
võtnud jälgimisel arvesse kohtupraktika arengusuundi ning teabevoliniku büroo ja
teiste sõltumatute organite tehtavat järelevalvet.
(7) Nende arengusuundade, sealhulgas andmete (kasutamise ja neile juurdepääsu)
seadusega Ühendkuningriigi isikuandmete kaitse üldmääruses ja 2018. aasta
andmekaitsemääruses tehtud muudatuste alusel järeldab komisjon, et Ühendkuningriik
tagab jätkuvalt määruse (EL) 2016/679 raames Euroopa Liidust Ühendkuningriiki
edastatavatele isikuandmete kaitse piisava taseme.
(8) Samuti järeldab komisjon, et võttes arvesse muudatusi, mis on tehtud
Ühendkuningriigi õigusaktide asjakohastes sätetes,10 ei ole enam põhjendatud
6 Kättesaadav aadressil https://bills.parliament.uk/bills/3825/news. 7 Komisjoni rakendusotsus (EL) 2025/1226, millega muudetakse komisjoni 28. juuni 2021. aasta
rakendusotsust (EL) 2021/1772, mis põhineb Euroopa Parlamendi ja nõukogu määrusel (EL) 2016/679
ning käsitleb isikuandmete piisavat kaitset Ühendkuningriigis (ELT L, 2025/1226, 26.6.2025, ELI:
http://data.europa.eu/eli/dec_impl/2025/1226/oj). 8 Andmete (kasutamise ja neile juurdepääsu) seadus sai kuningliku heakskiidu 19. juunil 2025. 9 Määruse (EL) 2016/679 artikli 45 lõige 4. 10 2021. aasta mais leidis Inglismaa ja Walesi apellatsioonikohus (England and Wales Court of Appeal), et
Ühendkuningriigi andmekaitseseaduse 2. lisa punkti 4 alapunkti 1 sõnastuses ei ole sisserände erand
enam kooskõlas Ühendkuningriigi õigusaktidega, sest selles seadusandlikus meetmes puuduvad
ET 3 ET
rakendusotsuse (EL) 2021/1772 kohaldamisalast selliste isikuandmete väljajätmine,
mida edastatakse Ühendkuningriigi sisserände kontrolliga seotud eesmärkidel või mis
kuuluvad muul moel Ühendkuningriigi andmekaitseseaduse 2. lisa punkti 4
alapunktile 1 vastava sisserände tulemusliku kontrolli säilitamise eesmärkidel
andmesubjektide teatavate õiguste erandi (sisserände erandi) alla, nagu on selgitatud
käesoleva otsuse põhjenduses 37.
2. ISIKUANDMETE TÖÖTLEMISE SUHTES KOHALDATAVATE
ÕIGUSNORMIDEGA SEOTUD ASJAKOHASED ARENGUSUUNAD
2.1. Ühendkuningriigi andmekaitseraamistik
(9) Rakendusotsuse (EL) 2021/1772 vastuvõtmise ajal koosnes Ühendkuningriigi
isikuandmete kaitse raamistik järgmistest õigusaktidest:
– Ühendkuningriigi isikuandmete kaitse üldmäärus,11 mis lisati
Ühendkuningriigi õigusesse 2018. aasta Euroopa Liidust väljaastumise
seadusega12 ja mida on muudetud 2019. aasta andmekaitset, eraelu
puutumatust, elektroonilist sidet (muudatused jms) (EList väljaastumist)
käsitleva määrusega13;
– 2018. aasta andmekaitseseadus,14 mida on muudetud andmekaitse, eraelu
puutumatuse ja elektroonilise side määrusega.
erisätted, milles oleks kehtestatud Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 23 lõikes 2
loetletud kaitsemeetmed. Kohtuotsuse täitmiseks muutis Ühendkuningriigi valitsus sisserände erandit,
võttes vastu 2018. aasta andmekaitseseadust (2. lisa erandite muutmist) käsitleva 2022. aasta määruse.
Kuid ka muudetud erand vaidlustati põhjusel, et see ei olnud kooskõlas Ühendkuningriigi isikuandmete
kaitse üldmääruse artikli 23 lõikega 2. Apellatsioonikohtu 11. detsembri 2023. aasta otsusega tunnistati
sisserände erand ka muudetud kujul Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 23
lõikega 2 vastuolus olevaks. Vastuolu kõrvaldamiseks võttis Ühendkuningriigi valitsus vastu
2018. aasta andmekaitseseadust (2. lisa erandi muutmist) käsitleva 2024. aasta määruse, mis jõustus
8. märtsil 2024. 11 Isikuandmete kaitse üldmäärus, kättesaadav aadressil
https://www.legislation.gov.uk/eur/2016/679/contents. 12 2018. aasta Euroopa Liidust väljaastumise seadus, kättesaadav aadressil
https://www.legislation.gov.uk/ukpga/2018/16/contents, millega lisati üleminekuperioodi lõppedes
Ühendkuningriigi õigusesse kogu Ühendkuningriigis vahetult kohaldatav liidu õigus. Selliste jätkuvalt
kohaldatavate ELi õigusaktide hulka kuulub tervikuna määrus (EL) 2016/679, sealhulgas selle
põhjendused (vt 2018. aasta Euroopa Liidust väljaastumise seaduse selgitavad märkused, punkt 83,
kättesaadav aadressil https://www.legislation.gov.uk/ukpga/2018/16/pdfs/ukpgaen_20180016_en.pdf).
Kõnealuse seaduse kohaselt pidid Ühendkuningriigi kohtud tõlgendama muutmata kujul jätkuvalt
kohaldatavaid ELi õigusakte kooskõlas Euroopa Kohtu asjaomase kohtupraktika ja liidu õiguse
üldpõhimõtetega sellisel kujul, nagu need kehtisid vahetult enne üleminekuperioodi lõppu (vastavalt
„jätkuvalt kohaldatav ELi kohtupraktika“ ja „jätkuvalt kohaldatavad liidu õiguse põhimõtted“). 13 2019. aasta andmekaitset, eraelu puutumatust, elektroonilist sidet (muudatused jms) käsitlev (EList
väljaastumise) määrus, kättesaadav aadressil
https://www.legislation.gov.uk/uksi/2019/419/contents/made, mida on muudetud 2020. aasta
andmekaitse, eraelu puutumatuse ja elektroonilise side määrusega; kättesaadav aadressil
https://www.legislation.gov.uk/ukdsi/2020/9780348213522. Andmekaitse, eraelu puutumatuse ja
elektroonilise side määrusega muudeti määrust (EL) 2016/679, mis lisati Ühendkuningriigi õigusesse
2018. aasta Euroopa Liidust väljaastumise seaduse, 2018. aasta andmekaitseseaduse ja muude
andmekaitsealaste õigusaktidega, et viia see vastavusse riigisisese kontekstiga. 14 2018. aasta andmekaitseseadus, kättesaadav aadressil
https://www.legislation.gov.uk/ukpga/2018/12/contents. Enne Ühendkuningriigi väljaastumist Euroopa
Liidust ja üleminekuperioodi vältel olid riigisisesed õigusnormid nähtud ette 2018. aasta
ET 4 ET
(10) Kuigi need kaks õigusakti, mis järgisid üsna täpselt vastavaid Euroopa Liidus
kohaldatavaid norme, kujutavad endast jätkuvalt Ühendkuningriigi andmekaitsealaseid
õigusnorme, on neid sellest alates teatud määral muudetud ja see kajastab seda, et
Ühendkuningriigi suhtes ei kohaldata enam Euroopa Liidu õigust.
(11) Esiteks on 2023. aasta jätkuvalt kohaldatavate ELi õigusaktide (kehtetuks tunnistamise
ja reformimise) seaduses15 selgitatud, et ELi õiguse üldpõhimõtted ei ole pärast
2023. aasta lõppu enam Ühendkuningriigi õiguse osa16. Ühendkuningriigi kohtud ei
pea enam tõlgendama muutmata kujul ühtlustatud õigusakte, mida varem nimetati
„jätkuvalt kohaldatavateks ELi õigusaktideks“, kooskõlas ELi õiguse
üldpõhimõtetega, vaid selliseid õigusakte tuleb nüüd tõlgendada kooskõlas
Ühendkuningriigi õigusega17. Siiski peavad Ühendkuningriigi asjaomased kohtud
senini tõlgendama muutmata kujul sarnastatud õigusakte kooskõlas Euroopa Kohtu
asjaomase kohtupraktikaga, nagu see kehtis enne üleminekuperioodi lõppu,18 mida on
selgitatud ka rakendusotsuse (EL) 2021/1772 põhjenduses 13. 2018. aasta
andmekaitseseadust on muudetud andmete (kasutamise ja neile juurdepääsu)
seadusega, et selgitada jätkuvalt kohaldatavate ELi õigusaktide (kehtetuks
tunnistamise ja reformimise) seaduse mõju Ühendkuningriigi andmekaitsealastele
õigusaktidele. Näiteks on 2018. aasta andmekaitseseaduse paragrahvi 183A lõikes 1
nähtud ette üldreegel, mille kohaselt eeldatakse iga uue õigusakti puhul (mis võetakse
vastu alates 20. augustist 2025), millega kehtestatakse isikuandmete töötlemisega
seotud uued kohustused või õigused, et selle suhtes kehtivad Ühendkuningriigi
õiguskaitsealased õigusaktid. See tähendab, et Ühendkuningriigi andmekaitseraamistik
on muude õigusaktide suhtes jätkuvalt ülimuslik. 2018. aasta andmekaitseseaduse
paragrahvi 183A lõike 2 punkti b kohaselt ei kohaldata seda eeldust juhul, kui
Ühendkuningriigi parlament sätestab õigusaktis sõnaselgelt teisiti, misläbi säilitatakse
parlamentaarne suveräänsus. Lisaks on 2018. aasta andmekaitseseaduse
paragrahvi 186A lõikes 2A selgitatud, et 2018. aasta andmekaitseseaduse
paragrahvi 186 lõikes 3 loetletud andmesubjektide õigustele kehtivaid piiranguid ei
kaalu üles 2018. aasta andmekaitseseaduse paragrahvi 186 lõige 1, milles on
sätestatud, et teabe avalikustamist keelavad või piiravad õigusaktid ei kaalu üles
teatavaid andmekaitseõiguseid. Sellega tagatakse, et näiteks 2018. aasta
andmekaitseseaduses andmesubjektide õigustele kehtestatud piirangud ise ei kuulu
2018. aasta andmekaitseseaduse paragrahvi 186 lõike 1 kohase üldise „andmekaitse
ülimuslikkuse“ alla.
(12) Teiseks on pärast rakendusotsuse (EL) 2021/1772 vastuvõtmist Ühendkuningriigi
andmekaitsealaseid õigusakte muudetud 2023. aasta muudetud andmekaitsemäärusega
(põhiõigused ja -vabadused)19. Selles määruses on Ühendkuningriigi isikuandmete
kaitse üldmääruse ja 2018. aasta andmekaitseseaduse (mis varasema määratluse järgi
andmekaitseseaduses, millega täpsustati ja piirati määrusega (EL) 2016/679 lubatud juhtudel määruse
(EL) 2016/679 normide kohaldamist ning võeti üle direktiiv (EL) 2016/680. 15 Kättesaadav aadressil https://www.legislation.gov.uk/ukpga/2023/28. 16 Jätkuvalt kohaldatavate ELi õigusaktide (kehtetuks tunnistamise ja reformimise) seadusega muudetud
2018. aasta Euroopa Liidust väljaastumise seaduse paragrahv 5. 17 Jätkuvalt kohaldatavate ELi õigusaktide (kehtetuks tunnistamise ja reformimise) seadusega muudetud
2018. aasta Euroopa Liidust väljaastumise seaduse paragrahvi 5 lõige A2. 18 Jätkuvalt kohaldatavate ELi õigusaktide (kehtetuks tunnistamise ja reformimise) seadusega muudetud
2018. aasta Euroopa Liidust väljaastumise seaduse paragrahvi 6 lõiked 3 ja 7. 19 Kättesaadav aadressil https://www.gov.uk/government/publications/the-data-protection-fundamental-
rights-and-freedoms-amendment-regulations-2023.
ET 5 ET
hõlmasid ELi põhiõigusi ja -vabadusi20) viited põhiõigustele ja -vabadustele
määratletud viidetena Euroopa inimõiguste konventsioonis sätestatud õigustele, mis
kehtestati Ühendkuningriigi õiguses 1998. aasta inimõiguste seadusega21. 1998. aasta
inimõiguste seadusega lisati Euroopa inimõiguste konventsioonis sisalduvad õigused
Ühendkuningriigi õigusesse. Inimõiguste seadusega on kõikidele isikutele antud
põhiõigused ja -vabadused, mis on sätestatud Euroopa inimõiguste konventsiooni
artiklites 2–12 ja 14, konventsiooni protokolli nr 1 artiklites 1, 2 ja 3 ning protokolli
nr 13 artiklis 1, mida tõlgendatakse koostoimes selle konventsiooni artiklitega 16, 17
ja 18. Nende hulka kuuluvad õigus era- ja perekonnaelu austamisele (ja selle osana
isikuandmete kaitsele) ning õigus õiglasele kohtumenetlusele22.
(13) Samuti on andmete (kasutamise ja neile juurdepääsu) seaduse 5. ja 6. osaga
sihipäraselt muudetud Ühendkuningriigi isikuandmete kaitse üldmäärust ja 2018. aasta
andmekaitseseadust. Kuigi andmete (kasutamise ja neile juurdepääsu) seaduse
kohaldamisala hõlmab enamat kui vaid isikuandmete kaitset, on sellega muudetud
vähesel määral ka andmekaitsekorra mitut aspekti, nagu normid, mis käsitlevad
andmete töötlemist teadusuuringute eesmärgil, andmete töötlemise õiguslikud alused,
eesmärgi piiramise põhimõttega seotud normid ja automatiseeritud töötlusel
põhinevate otsuste tegemise tingimused. Lisaks muudetakse andmete (kasutamise ja
neile juurdepääsu) seadusega teabevoliniku büroo juhtimisstruktuuri. Nende meetmete
jõustumisel asendatakse teabevoliniku büroo uue üksusega ehk teabekomisjoniga.
Selle reguleeriva asutuse kui Ühendkuningriigi sõltumatu andmekaitse
järelevalveasutuse roll ja ülesanded jäävad samaks. Samuti antakse reguleerivale
asutusele selle seadusega uued täitmise tagamise volitused.
(14) Käesolevas otsuses hinnatakse seadusandlikke, regulatiivseid ja muid muudatusi, mis
on asjakohased seoses rakendusotsuses (EL) 2021/1772 esitatud järeldusega
Ühendkuningriigi tagatud kaitsetaseme kohta. Rakendusotsuses (EL) 2021/1772
esitatud hinnang kehtib ka edaspidi nende Ühendkuningriigi andmekaitseraamistiku
aspektide kohta, mida ei ole muudetud või mida ei ole mõjutanud muud muudatused,
mis on tehtud alates rakendusotsuse (EL) 2021/1772 vastuvõtmisest.
(15) Seadusandlikke, regulatiivseid ja muid asjaomaseid arengusuundi analüüsitakse
üksikasjalikult järgmistes osades, tuginedes kaitse piisavuse nõudele, mille kohaselt
peab komisjon tegema kindlaks, kas asjaomane kolmas riik tagab kaitsetaseme, mis
„sisuliselt vastab“ Euroopa Liidus tagatud kaitsetasemele23. Nagu Euroopa Liidu
Kohus on selgitanud, ei eelda see identset kaitsetaset24. Eelkõige võivad vahendid,
mida asjaomane kolmas riik isikuandmete kaitsmiseks kasutab, erineda nendest, mida
rakendatakse Euroopa Liidus, kuivõrd need osutuvad praktikas piisava kaitsetaseme
tagamisel tulemuslikuks25. Kaitse piisavuse nõue ei eelda seega, et liidu õigusnorme
tuleb punkt-punktilt kopeerida. Küsimus on pigem selles, kas välisriigi õigussüsteem
20 ELi põhiõigused ja -vabadused kehtisid Ühendkuningriigi õiguses 2018. aasta Euroopa Liidust
väljaastumise lepingu paragrahvi 4 alusel, mis tunnistati kehtetuks 2023. aasta lõpus jätkuvalt
kohaldatavate ELi õigusaktide (kehtetuks tunnistamise ja reformimise) seadusega. 21 2023. aasta muudetud andmekaitsemääruse (põhiõigused ja -vabadused) paragrahvi 2 lõige 3. 22 Euroopa inimõiguste konventsiooni artiklid 6, 8, 10 ja 13 (vt ka 1998. aasta inimõiguste seaduse 1. lisa). 23 Määruse (EL) 2016/679 põhjendus 104. 24 Otsus kohtuasjas C-362/14, Schrems (edaspidi „kohtuotsus Schrems I“), ECLI:EU:C:2015:650,
punkt 73. 25 Kohtuotsus Schrems I, punkt 74.
ET 6 ET
tervikuna tagab andmekaitseõiguste sisu, nende tulemusliku rakendamise, järelevalve
ja jõustamise kaudu nõutava isikuandmete kaitse taseme26.
2.1.1. Mõisted
(16) Ühendkuningriigi andmekaitsekorras kehtivad jätkuvalt andmekaitse põhimõisted, mis
vastavad määruses (EL) 2016/67 kasutatud terminoloogiale. Neid mõisteid on
hinnatud rakendusotsuse (EL) 2021/1772 põhjenduses 23.
(17) Kuigi andmete (kasutamise ja neile juurdepääsu) seaduses on enamik määratlusi jäetud
muutmata, on Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 4 lõigetesse 2,
3, 4 ja 5 lisatud konkreetsed määratlused, mis on seotud isikuandmete töötlemisega
teadus- ja ajaloouuringute ning statistilisel eesmärgil. Lõikes 2 on „töötlemine
teadusuuringute eesmärgil“ määratletud isikuandmete töötlemisena mis tahes
uuringute eesmärgil, mida saab põhjendatult pidada teaduslikuks. Teadusuuringuid
võib rahastada avaliku sektori või eravahenditest ja viia ellu kaubandusliku või
mittekaubandusliku tegevusena. Samamoodi nagu määruse (EL) 2016/679
põhjenduses 159, on lõikes 3 esitatud mittetäielik loetelu uuringutest, mis kuuluvad
teaduslikul eesmärgil tehtud uuringute alla, sealhulgas näiteks tehnoloogiaarendus,
tutvustamistegevus, alusuuringud ja rakendusuuringud. Lõikes 4 on selgitatud, et
„ajaloouuringud“ hõlmavad ka genealoogilisi uuringuid, mis on ajaloouuringute
eesmärgiks tunnistatud ka määruse (EL) 2016/679 põhjenduses 160. Samuti on
lõikes 5 töötlemine statistilisel eesmärgil määratletud andmete töötlemisena
statistikauuringute või statistika koostamise jaoks, kui andmeid koondatakse määral,
mil neid ei peeta enam isikuandmeteks. Lisaks ei tohi töödeldud andmeid ega saadud
teavet kasutada selliste otsuste tegemiseks või meetmete võtmiseks, mis on suunatud
konkreetsele isikule. Määratlus on kooskõlas määruse (EL) 2016/679 põhjenduses 162
väljendatud arusaamaga statistiliste eesmärkide kohta.
(18) Seega võib järeldada, et kuigi Ühendkuningriigi isikuandmete kaitse üldmääruse
artikli 4 muudatustega on lisatud konkreetsed määratlused, mis käsitlevad andmete
töötlemist teadusuuringute, ajaloouuringute ja statistilisel eesmärgil, on need
kooskõlas määruse (EL) 2016/679 sõnastuse ja mõttega, nagu seda on kajastatud
eespool osutatud põhjendustes 159, 160 ja 162.
(19) Lõike 6 lisamisega Ühendkuningriigi isikuandmete kaitse üldmääruse artiklisse 4 on
andmete (kasutamise ja neile juurdepääsu) seadusega kehtestatud ka andmesubjektilt
teadusuuringute eesmärgil isikuandmete töötlemiseks nõusoleku saamise konkreetne
raamistik. Sarnaselt määruse (EL) 2016/679 põhjendusega 33, milles on tunnistatud, et
teadusuuringute valdkonnas ei ole võimalik täielikult kindlaks määrata
teadusuuringute eesmärgil toimuva andmetöötluse eesmärki, on uue sättega lubatud
nõusoleku saamine ulatuslikumas vormis, võimaldades andmesubjektidel anda kehtiva
nõusoleku isegi siis, kui uuringu täpset eesmärki ei ole andmete kogumise ajal
võimalik täielikult kindlaks määrata, tingimusel et nõusoleku saamisel järgitakse
konkreetses teadusuuringuvaldkonnas tunnustatud eetikanorme. Igal juhul peaks
andmesubjektidel olema võimalus anda nõusolekut üksnes teadusuuringu teatavatele
osadele, kui see on võimalik.
26 Vt komisjoni 10. jaanuari 2017. aasta teatis Euroopa Parlamendile ja nõukogule „Isikuandmete
vahetamine ja kaitsmine globaliseerunud maailmas“, COM(2017) 7, punkt 3.1, lk 6–7, kättesaadav
aadressil https://eur-lex.europa.eu/legal-content/ET/TXT/PDF/?uri=CELEX:52017DC0007&from=ET.
ET 7 ET
(20) Peale selle on andmete (kasutamise ja neile juurdepääsu) seadusega veelgi täpsustatud
varem Ühendkuningriigi isikuandmete kaitse üldmääruse artiklis 89 ja 2018. aasta
andmekaitseseaduse paragrahvis 19 käsitletud kaitsemeetmeid, mida rakendatakse siis,
kui andmeid töödeldakse avalikes huvides toimuva arhiveerimise, teadus- või
ajaloouuringute või statistilisel eesmärgil, lisades Ühendkuningriigi isikuandmete
kaitse üldmäärusesse uue peatüki 8A27. Need kaitsemeetmed sarnanevad määruse
(EL) 2016/679 artikli 89 nõuetega ja sisaldavad kohustust võtta tehnilisi ja
korralduslikke meetmeid, et tagada võimalikult väheste andmete kogumise põhimõtte
järgimine.
2.2. Kaitsemeetmed, õigused ja kohustused
2.2.1. Isikuandmete töötlemise seaduslikkus ja õiglus
(21) Ühendkuningriigi andmekaitseraamistikus on jätkuvalt nõutud, et andmeid töödeldaks
seaduslikult, õiglaselt ja õigustatult, nagu on hinnatud rakendusotsuse (EL) 2021/1772
põhjendustes 24–26.
(22) Ühendkuningriigi õiguses on seaduslikkuse ja õigluse põhimõtted ning seadusliku
töötlemise alused tagatud Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 5
lõike 1 punktiga a ja artikli 6 lõikega 1, nagu on hinnatud rakendusotsuses
(EL) 2021/1772. Kuigi need sätted on jätkuvalt peaaegu identsed28 määruse
(EL) 2016/679 vastavate sätetega, on andmete (kasutamise ja neile juurdepääsu)
seadusega esmalt muudetud Ühendkuningriigi isikuandmete kaitse üldmääruse
artikli 6 lõiget 1, lisades artikli 6 lõike 1 punkti ea kohase isikuandmete töötlemise
täiendava seadusliku aluse29. Selle sätte järgi on töötlemine seaduslik üksnes siis ja
niivõrd, kui see on „vajalik tunnustatud õigustatud huvi korral“. Erinevalt
Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktis f õigusliku
alusena sätestatud õigustatud huvist ei ole uue õigusliku alusena kehtestatud
tunnustatud õigustatud huvi korral vaja iga kord tasakaalustada vastutava töötleja
õigustatud huvi andmesubjekti huvi või põhiõiguste ja -vabadustega, mis peaks andma
muudele kui avaliku sektori vastutavatele töötlejatele rohkem õiguslikku kindlust.
Ühendkuningriigi isikuandmete kaitse üldmäärusesse lisatud uues artikli 6 lõikes 5 on
täpsustatud, et töötlemine on tunnustatud õigustatud huvi korral vajalik üksnes siis, kui
see vastab 1. lisas sätestatud tingimusele,30 ja seejärel loetletud olukorrad, milles
andmete töötlemine loetakse tunnustatud õigustatud huvi eesmärgil vajalikuks, näiteks
kui selleks on esitanud taotluse avaliku sektori asutus, kes vajab andmeid avalikes
huvides oleva ülesande täitmiseks ja selleks on Ühendkuningriigi isikuandmete kaitse
üldmääruse artikli 6 lõikele 3 vastav õiguslik alus, ja kui töötlemine on vajalik riigi või
27 Ühendkuningriigi isikuandmete kaitse üldmääruse artiklid 84A–84D, mis lisati andmete (kasutamise ja
neile juurdepääsu) seaduse paragrahviga 86. 28 Selguse huvides tuleb märkida, et andmete (kasutamise ja neile juurdepääsu) seadusega on ka
Ühendkuningriigi isikuandmete kaitse määruse artiklisse 6 lisatud uus lõik, milles on esitatud selliste
andmetöötlusliikide näited, mida võib lugeda Ühendkuningriigi isikuandmete kaitse määruse artikli 6
lõike 1 punkti f kohase õigustatud huvi korral vajalikuks. Neid näiteid (otseturundus, andmete
edastamine kontserni piires sisehalduse eesmärkidel, võrkude ja infosüsteemide turvalisus) on
nimetatud ka määruse (EL) 2016/679 põhjendustes 47 ja 48 kui olukordi, töötlemine on vajalik
vastutava töötleja õigustatud huvi korral. 29 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahvi 70 lõike 2 punkt b. Andmete
(kasutamise ja neile juurdepääsu) seaduse paragrahvi 70 lõike 5 järgi laieneb Ühendkuningriigi
isikuandmete kaitse üldmääruse artiklis 21 sätestatud õigus esitada vastuväiteid nüüd ka üldmääruse
artikli 6 lõike 1 uuele punktile ea. 30 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahvi 70 lõige 4.
ET 8 ET
avaliku julgeoleku kaitsmiseks, hädaolukorrale reageerimiseks, süütegude
avastamiseks, uurimiseks või tõkestamiseks või haavatavate isikute kaitsmiseks31.
(23) Kuigi andmete (kasutamise ja neile juurdepääsu) seadusega on lisatud isikuandmete
töötlemise õiguslikke aluseid, millele vastutav töötleja võib tugineda, kehtivad uuele
õiguslikule alusele ehk tunnustatud õigustatud huvile mitu olulist piirangut. Esiteks
piirdub tunnustatud õiguslik huvi üksnes eriolukordadega, mis on kõik loetletud
seaduses. Teiseks ei saa avaliku sektori asutused tugineda sellele õiguslikule alusele
oma ülesannete täitmisel32. Kolmandaks kehtib see üksnes valdkondades, kus
töötlemistoiminguid tehakse selgelt avaliku huvi eesmärgil (1. lisas kirjeldatud
tingimustel), st andmeid töödeldakse eesmärkidel, mis on loetletud Ühendkuningriigi
isikuandmete kaitse üldmääruse artiklis 23 (mis vastab määruse (EL) 2016/679
artiklile 23), ja sellele ei saa tugineda kaubanduslikul eesmärgil. Neljandaks, kuigi
andmete (kasutamise ja neile juurdepääsu) seadusega on ministrile antud õigus muuta
1. lisas esitatud loetelu oma määrusega,33 võib minister sellise määruse kehtestada
ainult pärast teabevoliniku bürooga konsulteerimist34 ning lisada tunnustatud
õigustatud huvi loetelusse üksnes siis, kui töötlemine on vajalik Ühendkuningriigi
isikuandmete kaitse üldmääruse artikli 23 lõike 1 punktides c–j loetletud avaliku huvi
eesmärgi täitmiseks35. Lõpuks, nagu on kinnitatud teabevoliniku büroo suunistes,36
peavad tunnustatud õigustatud huvile tuginevad vastutavad töötlejad täitma kõiki muid
Ühendkuningriigi isikuandmete kaitse üldmääruse tingimusi, sealhulgas tagama, et
andmete töötlemine on õigustatud huvi jaoks vajalik ja proportsionaalne.
(24) Teiseks on andmete (kasutamise ja neile juurdepääsu) seadusega täpsustatud
Ühendkuningriigi isikuandmete üldmääruse artikli 6 lõikes 3, artikli 9 lõike 2
punktis g ja artikli 10 lõikes 1, mis vastavad määruse (EL) 2016/679 vastavatele
sätetele, et seadusjärgse kohustuse või avaliku huviga seotud ülesande täitmisel võib
isikuandmete, isikuandmete eriliikide ning süüdimõistvate kohtuotsuste ja
süütegudega seotud isikuandmete töötlemise alus tuleneda lisaks riigisisesele õigusele
31 Vt andmete (kasutamise ja neile juurdepääsu) seaduse 4. lisa. Ühendkuningriigi ametiasutuste sõnul
kuuluvad olukordade hulka, kus muu kui avaliku sektori asutus peab isikuandmeid töötlema kuritegude
ennetamiseks või avastamiseks, näiteks ettevõte, kes saab teada katsetest ebaseaduslikult nende
arvutisüsteemidesse häkkida, või pank või finantsasutus, kes saab teada katsetest pettuse teel konto
avada. Muu kui avaliku sektori asutuse tehtav isikuandmete töötlemine võib olla vajalik näiteks riigi
julgeoleku või riigikaitse tagamiseks, kui äriorganisatsioon kahtlustab, et tema kliendi
internetitegevuses on märke terroristlikus tegevuses osalemisest. Teabevoliniku büroo tegeleb sel
teemal suuniste, sealhulgas asjakohaste mõistete määratluste väljatöötamisega. Näiteks viitab ta „riigi
julgeolekule“ kui millelegi, mis võib tõenäoliselt hõlmata kogu Ühendkuningriigi, tema elanikkonna,
institutsioonide ja valitsuse julgeolekut ja heaolu. Vt teabevoliniku büroo suunised tunnustatud
õigusliku huvi kohta, mis on avaldatud avalikuks konsulteerimiseks järgmisel aadressil:
https://ico.org.uk/for-organisations/recognised-legitimate-interest-guidance/. 32 Artikli 6 lõike 1 viimane lõik, mida on muudetud andmete (kasutamise ja neile juurdepääsu) seaduse
paragrahvi 70 lõike 2 punktiga c. 33 Enne määruse andmist peab minister võtma arvesse iga muudatuse mõju andmesubjektide huvidele
ning põhiõigustele ja -vabadustele ning seda, et eelkõige peab (asjakohastel juhtudel) kaitsma laste
isikuandmeid. Määrus tuleb kehtestada õigusaktiga ja nende suhtes kehtib kinnitav
resolutsioonimenetlus, mis tähendab, et need peab heaks kiitma Ühendkuningriigi parlament. Andmete
(kasutamise ja neile juurdepääsu) seaduse paragrahvi 70 lõike 4 punkt 8. 34 2018. aasta andmekaitseseaduse paragrahvi 182 lõige 2. 35 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahvi 70 lõike 4 punkt 9. 36 Vt teabevoliniku büroo suunised andmete õigustatud huvide kohta, kättesaadavad aadressil
https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/lawful-basis/a-guide-to-lawful-
basis/legitimate-interests/?q=appropriate+policy.
ET 9 ET
ka asjakohasest rahvusvahelisest õigusest37. Ühendkuningriigi isikuandmete kaitse
üldmäärusesse lisatud uues artiklis 9A koosmõjus lisaga A1 on asjakohane
rahvusvaheline õigus piiritletud aga vaid ühe lepinguga, nimelt Suurbritannia ja Põhja-
Iiri Ühendkuningriigi ning Ameerika Ühendriikide valitsuse vahel 3. oktoobril
2019. aastal sõlmitud lepinguga, mis käsitleb juurdepääsu elektroonilistele andmetele
raskete kuritegude vastu võitlemise eesmärgil (edaspidi „Ühendkuningriigi ja USA
vaheline leping“)38. Selles lepingus sätestatud kaitsemeetmeid on hinnatud
rakendusotsuse (EL) 2021/1772 põhjendustes 153–155 ja nende rakendamist
analüüsitakse käesoleva otsuse põhjendustes 87–93.
2.2.2. Isikuandmete eriliikide töötlemine
(25) Ühendkuningriigi andmekaitseraamistikus kohaldatakse isikuandmete eriliikide
töötlemisel konkreetseid kaitsemeetmeid, nagu on hinnatud rakendusotsuse
(EL) 2021/1772 põhjendustes 27–42.
(26) Jätkuvalt kehtivad Ühendkuningriigi isikuandmete kaitse üldmääruses ja 2018. aasta
andmekaitseseaduses sätestatud isikuandmete eriliikide määratlus ja nende
andmeliikide töötlemise erinormid. Samal ajal on andmete (kasutamise ja neile
juurdepääsu) seadusega antud ministrile ka volitus anda määruseid, et lisada
isikuandmete uusi eriliike, kohandada nende kasutamise tingimusi ja lisada uusi
määratlusi, kui see osutub vajalikuks39. Oluline on see, et sellega ei anta ministrile
õigust eemaldada või muuta olemasolevaid isikuandmete eriliike ega muuta nende
eriliikide töötlemise tingimusi40. Uus määruste andmise õigus annab valitsusele
võimaluse lisada tundlike andmete uusi liike ja määrata kindlaks nende liikide
töötlemise tingimused, mille eesmärk on luua valitsusele võimalus reageerida vajaduse
korral tulevastele tehnoloogilistele ja ühiskondlikele muutustele.
(27) Seega ei mõjuta need muudatused isikuandmete eriliikide kaitse taset, mis loeti
rakendusotsuses (EL) 2021/1772 ELi kaitsetasemele sisuliselt vastavaks.
2.2.3. Eesmärgi piirang
(28) Ühendkuningriigi isikuandmete kaitse korras on jätkuvalt nõutud, et andmeid tuleb
töödelda konkreetsel eesmärgil ja seejärel kasutada neid vaid sel määral, kui see vastab
töötlemise algsele eesmärgile, nagu on hinnatud rakendusotsuse (EL) 2021/1772
põhjendustes 43–48.
(29) Esiteks on andmete (kasutamise ja neile juurdepääsu) seaduses tehtud
Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktis b sätestatud
eesmärgi piirangu põhimõtet vaid vähesel määral sihipäraselt muudetud.
Muudatustega on täpsustatud põhimõtte kohaldamist, aga ei ole muudetud selle sisu.
37 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 72. 38 Suurbritannia ja Põhja-Iiri Ühendkuningriigi valitsuse ning Ameerika Ühendriikide valitsuse vaheline
leping, mis käsitleb juurdepääsu elektroonilistele andmetele raskete kuritegude vastu võitlemise
eesmärgil, kättesaadav aadressil
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/8369
69/CS_USA_6.2019_Agreement_between_the_United_Kingdom_and_the_USA_on_Access_to_Electr
onic_Data_for_the_Purpose_of_Countering_Serious_Crime.pdf. 39 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 74. Neile määrustele kohaldatakse
kinnitava resolutsiooni menetlust, mis tähendab, et need peab heaks kiitma Ühendkuningriigi
parlament. 40 Vt Ühendkuningriigi isikuandmete kaitse üldmääruse uue artikli 11A lõike 1 punkt b ja lõige 2, samuti
andmete (kasutamise ja neile juurdepääsu) seaduse eelnõu selgitavad märkused, punkt 571; kättesaadav
aadressil https://publications.parliament.uk/pa/bills/cbill/59-01/0179/en/240179en.pdf.
ET 10 ET
Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahvi 71 lõigetes 1, 2 ja 3 on
sätestatud, et andmesubjektilt või muul viisil andmete kogumise korral järgitakse
eesmärgi piirangu põhimõtet, et see kehtib üksnes siis, kui hiljem töötleb isikuandmeid
sama vastutav töötleja või neid töödeldakse hiljem tema nimel (st see ei kehti, kui
vastutav töötleja muutub), ja et töötlemine ei ole seaduslik üksnes põhjendusel, et see
vastab andmete kogumise eesmärgile.
(30) Teiseks on andmete (kasutamise ja neile juurdepääsu) seaduses selgitatud andmete
edasise töötlemise eeskirju, koondades need Ühendkuningriigi isikuandmete kaitse
üldmäärusesse lisatud uue artikli 8A alla, milles sätestatakse täielik isikuandmete
täiendava töötlemise kord. Ühendkuningriigi isikuandmete kaitse üldmääruse
artikli 8A lõikes 2 on loetletud elemendid, mida tuleb võtta arvesse, kui määratakse
kindlaks, kas töötlemise uus eesmärk vastab algsele eesmärgile. Varem olid need
elemendid loetletud Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 6
lõikes 4, mis vastab määruse (EL) 2016/679 artikli 6 lõikele 441. Ühendkuningriigi
isikuandmete kaitse üldmääruse artikli 8A lõikega 3 on ühe sätte alla koondatud
olukorrad, milles isikuandmete töötlemist uuel eesmärgil käsitatakse algsele
eesmärgile vastava töötlemisena. Nende hulka kuuluvad olukorrad, kus andmesubjekt
annab nõusoleku isikuandmete töötlemiseks uuel eesmärgil, töötlemine on vajalik
artikli 23 lõikes 1 loetletud eesmärgi täitmiseks42 või andmeid töödeldakse teadus- või
ajaloouuringute, avalikes huvides arhiveerimise või statistilisel eesmärgil43. Samuti on
andmete (kasutamise ja neile juurdepääsu) seaduses selgitatud, et algsele eesmärgile
vastavaks loetakse igasugune töötlemine, mis tehakse selleks, et tagada
Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 5 lõikes 1 sätestatud
andmekaitsepõhimõtete järgimine või tõendada nende järgimist. Eelnimetatud
olukorrad vastavad jätkuvalt sellele, mida määruses (EL) 2016/679 loetakse edasiseks
eesmärgile vastavaks töötlemiseks.
(31) Kolmandaks on andmete (kasutamise ja neile juurdepääsu) seadusega lisatud
Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 8A lõike 3 punkti d uued
olukorrad, milles isikuandmete edasine töötlemine uuel eesmärgil loetakse vastavaks
algsele eesmärgile. Need olukorrad on esitatud Ühendkuningriigi isikuandmete kaitse
üldmääruse 2. lisas44 ja nende hulka kuuluvad näiteks olukord, kus töötlemist on
taotlenud avaliku sektori asutus, kes vajab andmeid avalikes huvides oleva ülesande
täitmiseks, mis on Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 6 lõikele 3
vastav õiguslik alus; olukord, kus töötlemine on vajalik avaliku julgeoleku
kaitsmiseks, reageerimiseks hädaolukorrale, süütegude avastamiseks, uurimiseks või
tõkestamiseks, andmesubjekti ja teiste isikute eluliste huvide kaitsmiseks, haavatavate
isikute kaitsmiseks, maksustamise eesmärgil või õigusjärgsete kohustuste täitmiseks45.
(32) Kuigi andmete (kasutamise ja neile juurdepääsu) seadusega on lisatud olukordi, milles
edasine töötlemine teistsugusel eesmärgil loetakse algsele eesmärgile vastavaks,
kehtivad olukordade lisamisele ranged piirangud. Esiteks piirdub see vaid nende
41 Sarnaselt määrusega (EL) 2016/679 kuuluvad nende elementide hulka kõik seosed algse ja uue
eesmärgi vahel, isikuandmete kogumise kontekst, sealhulgas seosed andmesubjekti ja vastutava töötleja
vahel, töötlemise laad ja see, kas töötlemine hõlmab andmete eriliike, kavandatud töötlemise tagajärjed
andmesubjektile ja asjakohaste kaitsemeetmete olemasolu. 42 Vt ka määruse (EL) 2016/679 artikli 6 lõige 4. 43 Määruse (EL) 2016/679 põhjendus 50. 44 Ühendkuningriigi isikuandmete kaitse üldmäärusele on lisatud 2. lisa andmete (kasutamise ja neile
juurdepääsu) seaduse 5. lisa kaudu; vt selle seaduse paragrahvi 71 lõige 6. 45 Vt andmete (kasutamise ja neile juurdepääsu) seaduse 5. lisa.
ET 11 ET
eriolukordadega, mis on kõik loetletud seaduses. Teiseks kehtib see üksnes
valdkondades, kus andmeid töödeldakse selgelt avaliku huvi eesmärgil, st andmete
edasine töötlemine toimub vaid eesmärkidel, mis on loetletud Ühendkuningriigi
isikuandmete kaitse üldmääruse artiklis 23 (mis vastab määruse (EL) 2016/679
artiklile 23). Seega ei saa tugineda töötlemisel kaubanduslikele eesmärkidele.
Kolmandaks, kuigi andmete (kasutamise ja neile juurdepääsu) seadusega on ministrile
antud õigus muuta 2. lisas esitatud loetelu oma määrusega,46 võib minister lisada
andmetöötluse liigi loetelusse üksnes siis, kui see töötlemine on vajalik
Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 23 lõike 1 punktides c–j
loetletud avaliku huvi eesmärgi täitmiseks47. Neljandaks, kui vastutav töötleja kogub
isikuandmeid andmesubjekti nõusolekul, loetakse andmete täiendav töötlemine mõnes
2. lisas loetletud olukorras uuel eesmärgil algsele eesmärgile vastavaks siis, kui
vastutavalt töötlejalt ei saa põhjendatult eeldada andmesubjektilt uue nõusoleku
saamist48.
2.2.4. Üksikisiku õigused
(33) Ühendkuningriigi isikuandmete kaitse raamistiku kohaselt saavad andmesubjektid
jätkuvalt ja oluliste muutusteta kasutada samu konkreetseid õigusi, mis on sätestatud
määruses (EL) 2016/67949 ja mida nad saavad vastutava või volitatud töötleja suhtes
kohtulikult kaitsta, eeskätt õigus tutvuda isikuandmetega, õigus vaidlustada töötlemine
ning õigus lasta andmeid parandada ja kustutada, nagu on hinnatud rakendusotsuse
(EL) 2021/1772 põhjendustes 51–54.
(34) Esiteks on andmete (kasutamise ja neile juurdepääsu) seaduses selgitatud, mis
konkreetsetel tingimustel saab neid õigusi kasutada. Ühelt poolt on Ühendkuningriigi
isikuandmete kaitse üldmääruse artikli 12 muutmise ja uue artikli 12A50 lisamisega
täpsustatud tähtaegu, mille jooksul vastutav töötleja peab vastama andmesubjekti
taotlusele. Täpsemalt muudeti Ühendkuningriigi isikuandmete kaitse üldmääruse
artiklit 12 nii, et kui andmesubjekt on üldmääruse artiklite 15–22 kohaselt esitanud
taotluse, ei pea vastutav töötleja enam andma teavet võetud meetmete kohta (või
esitama meetmete võtmata jätmise põhjuseid) mitte „ühe kuu jooksul pärast taotluse
saamist“, vaid „enne kohaldatava tähtaja lõppemist“. Kohaldatav tähtaeg on täpsemalt
määratletud Ühendkuningriigi isikuandmete kaitse üldmäärusele lisatud uues
46 Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 8A lõige 5, mis lisati andmete (kasutamise ja
neile juurdepääsu) seaduse paragrahvi 71 lõikega 1. 47 Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 8A lõige 6, mis lisati andmete (kasutamise ja
neile juurdepääsu) seaduse paragrahvi 71 lõikega 1. 48 Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 8A lõike 4 punkt b, mis lisati andmete
(kasutamise ja neile juurdepääsu) seaduse paragrahvi 71 lõikega 1. 49 2024. aasta kuriteoohvrite ja vangide seaduse paragrahviga 31 täiendati Ühendkuningriigi isikuandmete
kaitse üldmääruse artiklis 17 sätestatud andmete kustutamise õiguse aluseid, nii et andmesubjektidel on
õigus taotleda, et vastutav töötleja kustutaks tema isikuandmed, kui neid on töödeldud alusetu
süüdistuse alusel, mille on andmesubjekti kohta esitanud kuritahtlik isik. Isik loetakse kuritahtlikuks,
kui ta on mõistetud süüdi kuriteoohvrite ja vangide seaduse paragrahvi 31 lõikes 3 sätestatud teo
toimepanekus (näiteks ahistamine) või tema suhtes on kohaldatud lähenemiskeeldu. Kuriteoohvrite ja
vangide seadus on kättesaadav aadressil https://www.legislation.gov.uk/ukpga/2024/21/contents. Lisaks
on andmete (kasutamise ja neile juurdepääsu) seaduse paragrahviga 77 muudetud Ühendkuningriigi
isikuandmete kaitse üldmääruse artiklis 13 sätestatud õigust teabele, nii et vastutav töötleja ei pea enam
teavitama andmesubjekti tema isikuandmete täiendavast töötlemisest uuel eesmärgil, kui andmeid
töödeldakse teadus- või ajaloouuringu, avalikes huvides arhiveerimise või statistilisel eesmärgil ja
kooskõlas Ühendkuningriigi isikuandmete kaitse üldmääruse uues artiklis 84B sätestatud
kaitsemeetmetega ning teavitamine oleks võimatu või ebaproportsionaalne. 50 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 76.
ET 12 ET
artiklis 12A kui ühe kuu pikkune periood, mis algab hetkel, kui vastutav töötleja saab
taotluse kätte, kui vastutav töötleja saab teavet üldmääruse artikli 12 lõike 6 kohase
taotluse kohta või kui on makstud üldmääruse artikli 12 lõike 5 kohaselt esitatud
taotlusele kohaldatud tasu, olenevalt sellest, milline neist on hiliseim51. Artikli 12A
lõike 3 kohaselt võib vastutav töötleja pikendada kohaldatavat tähtaega kahe kuu
võrra, kui see on vajalik andmesubjekti esitatud taotluse keerukuse või mitme sellise
taotluse saamise tõttu. Samal ajal, mis puutub õigusesse tutvuda teabe ja
isikuandmetega, on andmete (kasutamise ja neile juurdepääsu) seadusega muudetud
Ühendkuningriigi isikuandmete kaitse üldmääruse artiklit 15, millesse lisati
olemasoleva riigisisese kohtupraktika alusel selgitus, milles lähtutakse ELi õiguse
kohasest proportsionaalsuse põhimõttest – selles selgitatakse, et vastutavad töötlejad
peavad taotletud teabe ja isikuandmete leidmiseks tegema vaid mõistlikke ja
proportsionaalseid otsinguid52. Uue sätte tõlgendamisel eeldatakse, et seda tehakse
kooskõlas kehtiva kohtupraktikaga, mille kohaselt „[---] kaalutakse proportsionaalsuse
hindamisel omavahel otsingu lõppeesmärki ehk võimalikku kasu, mida selle teabe
andmine võib andmesubjektile tuua, ja vahendeid, mille abil see teave saadakse. Igal
üksikul juhul tuleb hinnata, kas teabe otsimine ja esitamine nõuab
ebaproportsionaalseid jõupingutusi võrreldes kasuga, mida andmesubjekt võib sellest
teabest saada“53.
(35) Seega tagab Ühendkuningriigi süsteem jätkuvalt, et andmesubjektide taotlusi
menetletakse objektiivsete tegurite alusel määratud mõistliku aja jooksul, kuid
isikuandmetega tutvumise õigusega seoses on andmesubjektide taotlustele vastamise
tähtaegade ja vastutavate töötlejate konkreetsete kohustuste kohta kehtestatud
üksikasjalikumad nõuded. Lisaks määratakse vastutava töötleja juurdepääsutaotlustele
vastamisega seotud sisulised kohustused kindlaks kehtestatud õiguslike nõuete alusel,
milles võetakse arvesse ka andmesubjekti huve. Pealegi on kehtivates teabevoliniku
suunistes sätestatud, et vastutav töötleja ei pea tegema otsinguid, mis oleksid teabele
juurdepääsu andmise olulisuse seisukohast põhjendamatud või ebaproportsionaalsed54.
(36) Nende üksikisiku õiguste piirangud, mis on sätestatud 2018. aasta
andmekaitseseaduses ja kuuluvad Ühendkuningriigi isikuandmete kaitse üldmääruse
artikli 23 raamistikku, ning nende piirangute kohaldamise aluseks olevad kitsendavad
tingimused ja kaitsemeetmed kehtivad Ühendkuningriigi raamistikus jätkuvalt,55 nagu
on üksikasjalikult kirjeldatud rakendusotsuse (EL) 2021/1772 põhjendustes 55–67.
(37) Konkreetselt seoses piiranguga, mis kehtib isikuandmete töötlemise suhtes sisserände
tulemusliku kontrolli säilitamise või seda kahjustava tegevuse uurimise või avastamise
eesmärgil, kuivõrd nende sätete kohaldamine võib tõenäoliselt kahjustada mõnda neist
51 Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 12A lõiked 1 ja 2, mis lisati andmete
(kasutamise ja neile juurdepääsu) seaduse paragrahviga 76. 52 Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 15 lõige 1A, mis lisati andmete (kasutamise ja
neile juurdepääsu) seaduse paragrahviga 78. 53 Dawson-Damer vs. Taylor Wessing LLP [2017] EWCA Civ 74. 54 Kättesaadav aadressil https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/individual-
rights/right-of-access/how-do-we-find-and-retrieve-the-relevant-information/. 55 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahvi 88 lõikega 2 on vähesel määral
muudetud 2018. aasta andmekaitseseaduse paragrahvi 26 lõike 2 punkti f (riigi julgeoleku ja riigikaitse
erand), selgitades, et õigus esitada volinikule kaebus Ühendkuningriigi isikuandmete kaitse üldmääruse
artikli 77 alusel ei kuulu sätete hulka, mille kohaldamist saab piirata riigi julgeoleku või riigikaitse
eesmärgil.
ET 13 ET
aspektidest (sisserände erand),56 on Ühendkuningriigi valitsus muutnud 2018. aasta
andmekaitseseaduse 2. lisa punkti 4, muutes 2018. aasta andmekaitseseadust (2. lisa
erandite muutmine) käsitlevat 2022. aasta määrust57 ja 2018. aasta andmekaitseseadust
(2. lisa erandite muutmine) käsitlevat 2024. aasta määrust,58 mis täiendab 2022. aasta
määrust59. Tehtud muudatustega lisati 2018. aasta andmekaitseseaduse 2. lisa
punktidesse 4A ja 4B sisserände erandi kohaldamiseks kaitsemeetmed, mida on
nõutud Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 23 lõikes 2.
Täpsemalt on nendes nõutud, et i) sisserände erandile peab tuginema ainult
juhtumipõhiselt, igast asjakohasest Ühendkuningriigi isikuandmete kaitse üldmääruse
sättest eraldi ja iga kord uuesti, kui minister kaalub üldmääruse mõne asjakohase sätte
kohaldamise lõpetamist või piiramist;60 ii) sisserände erandi kohaldamisel võetakse
arvesse andmesubjekti õigusi, vabadusi ja võimalikku haavatavust;61 iii) minister
dokumenteerib sisserände erandi kasutamise ja teatab selle kasutamisest
andmesubjektile (välja arvatud konkreetsetes olukordades, kus teatamine võib piirata
erandi eesmärki);62 ja selgitatud, et iv) sisserände erandi kasutamise korral töötleb
isikuandmeid vaid minister63, st praktikas teeb seda siseministeerium oma 2018. aasta
andmekaitseseaduse 2. lisa paragrahvi 4 lõikes 1 kirjeldatud ülesannete täitmiseks.
Lisaks on nendes selgitatud tasakaalu hindamist, mis tuleb teha, kui uuritakse, kas
andmesubjekti õiguste teostamine võib tõenäoliselt kahjustada sisserände tulemuslikku
kontrolli ja kas seetõttu oleks õiguste piiramine vajalik ja proportsionaalne.
(38) Lisaks andis Ühendkuningriigi teabevoliniku büroo välja põhjalikud suunised selle
konkreetse piirangu kasutamiseks64. Suunistes on eeskätt märgitud: „Sisserände
erandit ei tohiks kohaldada üldise erandina, et piirata [---] õigust kõikidele teie
valduses olevatele andmetele. Erandi kohaldamisala piirdub õigustega, mille
56 Rakendusotsuse (EL) 2021/1772 vastuvõtmise ajal ei olnud sisserände erandi kehtivus ja tõlgendamine
Ühendkuningriigi õiguses üheselt selge, sest ühes Inglismaa ja Walesi apellatsioonikohtu 26. mai
2021. aasta otsuses leiti, et sisserände erand 2018. aasta andmekaitseseaduses esitatud kujul ei olnud
Ühendkuningriigi õigusega kooskõlas, sest selles puudusid määruse (EL) 2016/679 artikli 23 lõikele 2
vastavad konkreetsed sätted, milles oleksid sätestatud Ühendkuningriigi isikuandmete kaitse
üldmääruse artikli 23 lõikega 2 ette nähtud kaitsemeetmed. Seepärast olid rakendusotsuse
(EL) 2021/1772 kohaldamisalast välja jäetud isikuandmed, mida edastatakse Ühendkuningriigi
sisserände kontrolliga seotud eesmärkidel või mis kuuluvad muul moel sisserände erandi
kohaldamisalasse. 57 Määrus jõustus 31. jaanuaril 2022 ja on kättesaadav aadressil
https://www.legislation.gov.uk/uksi/2022/76/contents/made. 58 Määrus jõustus 8. märtsil 2024 ja on kättesaadav aadressil
https://www.legislation.gov.uk/uksi/2024/342/contents/made. 59 Sisserände erand, mida oli muudetud 2022. aasta määrusega, vaidlustati taas kohtuliku kontrolli teel
selle alusel, et see ei vastanud ikka kõikidele Ühendkuningriigi isikuandmete kaitse üldmääruse artikli
23 lõike 2 nõuetele. 2023. aasta detsembris otsustas apellatsioonikohus, et see ei ole kooskõlas
Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 23 lõike 2 nõuetega. Kohtuotsuse tulemusena
täiendati 2022. aasta määrust 2024. aasta määrusega ja viidi sisserände erandisse sisse uued
muudatused. 60 2018. aasta andmekaitseseaduse 2. lisa punkti 4A alapunkt 2. 61 2018. aasta andmekaitseseaduse 2. lisa punkti 4AB alapunktid 3 ja 4. Teabevoliniku bürooga
konsulteeriti 2024. määruse eelnõu küsimuses ja nad kinnitasid, et nõustuvad määrusega. Pärast
konsulteerimist saadetud kiri, milles kinnitatakse teabevoliniku büroo seisukohta, on kättesaadav
aadressil https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/02/ico-responds-to-home-
office-s-draft-regulations-to-the-immigration-exemption/. 62 2018. aasta andmekaitseseaduse 2. lisa punkti 4B alapunktid 1 ja 2. 63 2018. aasta andmekaitseseaduse 2. lisa punkti 4 alapunkt 1. 64 Kättesaadav aadressil https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-
resources/exemptions/immigration-exemption-a-guide/.
ET 14 ET
teostamine valduses olevate andmete suhtes kahjustaks kindlakstehtud sisserändealaste
eesmärkide saavutamist. [---] Seepärast peaks vastutav töötleja lähtuma vaikimisi
seisukohast, et ta peaks järgima nii palju kui võimalik määruse (EL) 2016/679 ja
andmekaitseseaduse nõudeid. [---] Tõenäolise kahjustamise nõude künnis on kõrge ja
erandit ei tohiks kohaldada üldise erandina. [---] Peate kaaluma, kas erandi
kohaldamine on üksikisiku andmekaitsetaotlusele vastamiseks proportsionaalne. Võite
leida, et sisserände erandi kohaldamiseks on tungiv sotsiaalne vajadus, kuid arvesse
tuleb võtta ka seda, kas see kaalub üles määruses (EL) 2016/679 sätestatud kohustuse
üksikisikute ees. Neil on oma isikuandmetega seoses õigused, eelkõige õigus tutvuda
isikuandmetega, ja neid tuleb arvesse võtta igas olukorras. Seepärast on tähtis iga
juhtumi puhul kaaluda, kas üksikisiku õigus andmekaitsele kaalub üles tuvastatud
kahjustamise ohu. Erandit peab kohaldama proportsionaalselt, arvestades asjaolusid, ja
iga juhtumit peab hoolikalt kaaluma ning selle dokumenteerima.“
(39) Üldiselt kehtib sisserände piirangu suhtes, mis on sätestatud 2018. aasta
andmekaitseseaduse 2. lisa punktis 4, mida Ühendkuningriigi valitsus muutis 2022. ja
2024. aastal ning mida on tõlgendatud kohtupraktikas65 ja teabevoliniku suunistes,
mitu ranget tingimust, mis piiravad selle kohaldamist ja sarnanevad liidu õiguses,
eelkõige määruse (EL) 2016/679 artiklis 23, sätestatud tingimustega, mis kehtivad
andmekaitsega seotud õigustele ja kohustustele olulise avaliku huvi eesmärkide korral,
näiteks sisserände kontrollimisel.
2.2.5. Andmete edasisaatmise piirangud
(40) Euroopa Liidust Ühendkuningriigis asuvatele vastutavatele ja volitatud töötlejatele
edastatavatele isikuandmetele pakutava kaitse taset ei kahjusta jätkuvalt selliste
andmete täiendav edasisaatmine kolmandasse riiki. Ühendkuningriigist isikuandmete
rahvusvahelise edastamise kord on jätkuvalt väga sarnane määruse (EL) 2016/679
V peatükis sätestatud normidega, nagu on hinnatud rakendusotsuse (EL) 2021/1772
põhjendustes 74–82.
(41) Kuigi andmete (kasutamise ja neile juurdepääsu) seadusega muudeti Ühendkuningriigi
isikuandmete kaitse üldmääruse V peatükki, milles käsitletakse isikuandmete
edastamist kolmandatele riikidele ja rahvusvahelistele organisatsioonidele, on selles
säilinud peamine nõue, et isikuandmeid võib edastada kolmandale riigile või
rahvusvahelisele organisatsioonile üksnes siis, kui see põhineb i) edastamist
heakskiitval määrusel (varem „kaitse piisavuse määrus“), ii) asjakohastel
kaitsemeetmetel või iii) eriolukordadeks kehtestatud erandil. Neid andmete edastamise
üldpõhimõtteid on väljendatud Ühendkuningriigi isikuandmete kaitse üldmääruse
artiklit 44 asendavas uues artiklis 44A,66 milles on veel täpsustatud, et isikuandmete
edastamine kolmandatele riikidele või rahvusvahelistele organisatsioonidele on
lubatud üksnes siis, kui andmete edastamisel järgitakse Ühendkuningriigi
isikuandmete kaitse üldmääruse teisi sätteid.
(42) Mis puutub konkreetselt määrustesse, millega andmete edastamine heaks kiidetakse,
on Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 45A lõikes 2 täpsustatud,
et minister võib selliseid määruseid anda vaid juhul, kui ta leiab, et andmekaitse nõue
on täidetud. See tähendab, et Ühendkuningriigi isikuandmete kaitse üldmääruse
artikli 45A lõikes 3 ette nähtud võimalusele arvestada selliste määruste andmisel
65 Open Rights Group & Anor, R (On the Application Of) vs. Secretary of State for the Home Department
& Anor [2019] EWHC 2562 (Admin), punktid 40 ja 41. 66 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 85 ja 7. lisa.
ET 15 ET
andmevoogude hõlbustamise soovitavust kehtib alati tingimus, et andmekaitse nõue
peab olema täidetud. Andmekaitse nõuet käsitlev õiguslik standard on sätestatud
Ühendkuningriigi isikuandmete kaitse üldmääruse uue artikli 45B lõikes 1, mille
kohaselt ei tohi andmeid vastuvõtvas riigis või rahvusvahelises organisatsioonis olla
andmesubjektide kaitse tase oluliselt madalam kui Ühendkuningriigi vastavas
andmekaitset käsitlevas õigusaktis andmesubjektide suhtes ettenähtud tase.
Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 45B lõikes 2 on esitatud
nende elementide mitteammendav loetelu, mida tuleb kaaluda, kui hinnatakse nõudele
vastavust, näiteks õigusriigi põhimõtte ja inimõiguste austamine, sõltumatu
andmekaitseasutuse olemasolu ja volitused, õiguslike ja muude kaitsemeetmete
rakendamise kord, riigist või organisatsioonist teistele riikidele ja rahvusvahelistele
organisatsioonidele isikuandmete edastamist käsitlevad normid, riigi või
organisatsiooni asjakohased rahvusvahelised kohustused ja riigi või organisatsiooni
põhiseadus või -kiri, traditsioonid ja kultuur. Kuigi uue artikli 45B lõikes 2 on
Ühendkuningriigi isikuandmete kaitse üldmääruse artiklis 45 loetletud elemendid
ümber sõnastatud, on selles säilitatud loetelu peamised elemendid ja seega on loetelu
jätkuvalt väga sarnane määruse (EL) 2016/679 V peatükis sätestatuga. Lisaks on
Ühendkuningriigi ametiasutused kinnitanud, et minister võtab arvesse ka artikli 45B
lõikes 2 loetlemata elemente, näiteks kolmanda riigi seadused ja tavad, mis
puudutavad ametiasutuste juurdepääsu isikuandmetele riigi julgeoleku või õiguskaitse
eesmärkidel, niivõrd kui need mõjutavad kaitse üldist taset. Peale selle leiavad
Ühendkuningriigi ametiasutused, et Ühendkuningriigi isikuandmete kaitse üldmääruse
artikli 45B lõike 2 mitteammendavas loetelus nimetatud teemade hindamisel on väga
tähtis kolmanda riigi asjakohane kohtupraktika.
(43) Määruste suhtes, millega andmete edastamine heaks kiidetakse, kohaldatakse ka
edaspidi 2018. aasta andmekaitseseaduse paragrahvis 182 sätestatud üldisi
menetlusnõudeid, nagu on nähtud ette rakendusotsuse (EL) 2021/1772
põhjenduses 77. Nimetatud menetluse raames peab minister Ühendkuningriigi kaitse
piisavuse määruse vastuvõtmise ettepaneku tegemisel konsulteerima
teabevolinikuga67. Pärast seda, kui minister on kaitse piisavuse määruse vastu võtnud,
esitatakse see parlamendile ja kohaldatakse nn negatiivse resolutsiooni menetlust,
mille kohaselt võivad parlamendi mõlemad kojad määrust kontrollida ja võtta
40 päeva jooksul vastu ettepaneku selle tühistamiseks68.
(44) Asjakohaste kaitsemeetmetega seoses on Ühendkuningriigi isikuandmete kaitse
üldmääruse artikli 46 uues lõikes 1A sätestatud, et edastamine võib jätkuda üksnes
siis, kui üldmääruse artikli 46 lõigetes 2 ja 3 loetletud dokumendis69 on ette nähtud
67 Vt digitaal-, kultuuri-, meedia- ja spordivaldkonna ministri ning teabevoliniku büroo vaheline
vastastikuse mõistmise memorandum teabevoliniku rolli kohta seoses Ühendkuningriigi uue kaitse
piisavuse hindamisega, kättesaadav aadressil https://www.gov.uk/government/publications/memorandum-of-understanding-mou-on-the-role-of-the-
ico-in-relation-to-new-uk-adequacy-assessments. 68 Kui määruse tühistamise ettepanek vastu võetakse, ei ole määrusel lõppkokkuvõttes mingit edasist
õigusmõju. 69 Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 46 lõigete 2 ja 3 kohaselt kuuluvad edastamist
võimaldavate dokumentide hulka avaliku sektori asutuste või organite vahelised õiguslikult siduvad ja
täitmisele pööratavad dokumendid, siduvad kontsernisisesed eeskirjad vastavalt Ühendkuningriigi
isikuandmete kaitse üldmääruse artiklile 47, ministri määruses või teabevoliniku väljaantud dokumendis
täpsustatud standardsed andmekaitseklauslid, heakskiidetud toimimisjuhend ja heakskiidetud
sertifitseerimismehhanism.
ET 16 ET
asjakohased kaitsemeetmed ja vastutav või volitatud töötleja või vastav avaliku sektori
asutus leiab mõistlikult ja proportsionaalselt toimides, et andmekaitse nõue on
täidetud. Uutes lisatud lõigetes 6 ja 7 on selgitatud, et andmekaitse nõue on täidetud,
kui kohustuslike kaitsemeetmete abil on andmesubjektidele tagatud kaitse tase, mis ei
ole pärast andmete edastamist oluliselt madalam tasemest, mis on nõutud
Ühendkuningriigi andmekaitset käsitlevate õigusaktidega, st nagu ka määruse
(EL) 2016/679 puhul, kehtivad samad õiguslikud nõuded nii määruste suhtes, millega
andmete edastamine heaks kiidetakse, kui ka asjakohaste kaitsemeetmete suhtes.
Samade lõigete kohaselt tuleb mõistlikkuse ja proportsionaalsuse kindlaksmääramisel
arvesse võtta kõiki või tõenäolisi asjaolusid, mis on seotud andmete edastamise või
edastamise laadiga, sealhulgas edastatavate isikuandmete olemust ja mahtu.
(45) Eriolukordades kohaldatavate eranditega seoses on eriolukordades erandite
kohaldamise tingimusi käsitlevas artiklis 49 tehtud tehnilisi muudatusi, mis viivad
selle sätte vastavusse teistes sätetes tehtud muudatustega, kuid ei mõjuta
Ühendkuningriigis isikuandmete kaitse taset. Peale selle on lisatud uus lõige 4A, et
saavutada sama mõju mis 2018. aasta andmekaitseseaduse paragrahvi 18 lõikel 1,
millega on ministrile antud õigus täpsustada määrusega asjaolusid, mille alusel võib
andmete edastamise tunnistada vajalikuks avalike huvidega seotud põhjustel. Viimaks
on uue artikliga 49A saavutatud sama mõju mis 2018. aasta andmekaitseseaduse
paragrahvi 18 lõikel 2, millega on ministrile antud õigus kehtestada määrusega
piiranguid andmete edastamisele, kui seda ei ole artikli 45A kohaselt heaks kiidetud
(määrustega heakskiidetud edastamised) ja edastamine loetakse vajalikuks avalike
huvidega seotud põhjustel.
(46) Seoses Ühendkuningriigis andmete rahvusvahelist edastamist reguleerivate
õigusnormide kohaldamisega on pärast rakendusotsuse (EL) 2021/1772 vastuvõtmist
tehtud mitu muudatust.
(47) Edastamist heakskiitvate määruste kohta on siiani vastu võetud kaks uut määrust, mis
sarnanevad liidus kehtivate kaitse piisavuse otsustega, st määrus andmete edastamise
kohta Korea Vabariiki ja edastamise kohta äriühingutele, kes täidavad ELi-USA
andmekaitseraamistiku Ühendkuningriigi lisa nõudeid. Korea Vabariigi piisavuse
määrus70 jõustus 19. detsembril 2022 ja selle kohaselt võib isikuandmeid edastada
Ühendkuningriigist Korea Vabariiki. ELi-USA andmekaitseraamistiku
Ühendkuningriigi lisa, mille suhtes kehtiv asjakohane määrus71 jõustus 12. oktoobril
2023, tagab isikuandmete vaba liikumise neile organisatsioonidele USAs, kes on
kinnitanud põhimõtete järgimist.
(48) Asjakohaste kaitsemeetmetega seoses on Ühendkuningriik avaldanud oma
andmekaitset käsitlevad lepingu tüüptingimused ning rahvusvahelise andmete
edastamise lepingu72 ja ELi lepingu tüüptingimuste lisa, mis mõlemad jõustusid
2022. aasta märtsis. Rahvusvaheline andmete edastamise leping on
Ühendkuningriigile omane mehhanism, mis tagab isikuandmete edastamisel
asjakohased kaitsemeetmed ja sarnaneb mitmes aspektis ELi lepingu
tüüptingimustega. Teabevoliniku büroo väljaantud lisa loob Ühendkuningriigi
vastutavatele ja volitatud töötlejatele võimaluse tugineda rahvusvahelise
70 Kättesaadav aadressil https://www.legislation.gov.uk/uksi/2022/1213/made. 71 Kättesaadav aadressil https://www.legislation.gov.uk/uksi/2023/1028/made. 72 Kättesaadav aadressil https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-
transfers/international-data-transfer-agreement-and-guidance/.
ET 17 ET
andmeedastuse korral ELi lepingu tüüptingimustele Ühendkuningriigi isikuandmete
kaitse üldmääruse alusel. Teabevoliniku büroo on koostanud ka andmete edastamise
riskihindamise vahendi, et aidata Ühendkuningriigi organisatsioonidel hinnata
rahvusvahelise edastamisega seotud riske.
(49) Peale selle on Ühendkuningriigis lihtsustatud ka siduvate kontsernisiseste eeskirjade
heakskiitmise protsessi: välja on antud uued suunised ja loodud nende eeskirjade
heakskiitmise uusi võimalusi. 2022. aasta juulis avaldas teabevoliniku büroo suunised
ja võrdlustabelid, et selgitada Ühendkuningriigi Brexiti-järgset lähenemisviisi siduvate
kontsernisiseste eeskirjade suhtes, ja 2023. aasta detsembris avaldati ELi siduvate
kontsernisiseste eeskirjade lisa, et tagada liidu raamistiku alusel heakskiidetud
kontsernisiseste eeskirjade kohtulik kaitstavus Ühendkuningriigis73.
(50) 2023. aasta juulis sai Ühendkuningriik globaalsete piiriüleste eraelu puutumatuse
eeskirjade foorumi (Global Cross-Border Privacy Rules (CBPR) Forum)
assotsieerunud liikmeks74. Oluline on see, et liikmeks olemine ei hõlbusta andmete
edastamist Ühendkuningriigist teistesse foorumisse kuuluvatesse riikidesse.
Ühendkuningriik on selgitanud, et igasuguse isikuandmete edastamise korral
Ühendkuningriigist kolmandatele riikidele või rahvusvahelistele organisatsioonidele
peavad olema täidetud Ühendkuningriigi õigusaktides sätestatud tingimused, mida on
kirjeldatud eespool, eelkõige andmekaitse nõue, mille kohaselt ei tohi kaitse tase olla
„oluliselt madalam“ Ühendkuningriigi isikuandmete kaitse üldmäärusele vastavast
tasemest.
(51) Nagu komisjon on juba selgitanud, ei taga piiriülese eraelu puutumatuse kaitse
eeskirjad EList pärinevate isikuandmete kaitse piisavat taset. Eelkõige ei taga nad
kohtulikult kaitstavaid üksikisiku õigusi75. Seepärast on eriti tähtis see, et isegi kui
Ühendkuningriik on globaalse piiriülese eraelu puutumatuse kaitse eeskirjade foorumi
assotsieerunud liige, ei ole globaalse piiriülese eraelu puutumatuse kaitse eeskirjad
Ühendkuningriigi andmekaitseõiguse järgi kehtiv edastamismehhanism. Kui asjaolud
peaks muutuma, alandaks see isikuandmete kaitse taset, mis on praegu tagatud, kui
73 Ühendkuningriigi teabevoliniku büroosse saadeti pärast Ühendkuningriigi väljaastumist Euroopa
Liidust väga palju siduvate kontsernisiseste eeskirjade taotlusi. Paljusid heakskiidetud siduvaid
kontsernisiseseid eeskirju ei saanud enam kasutada, sest pärast Brexitit sai kasutada vaid neid, mille
heakskiitmises oli osalenud teabevoliniku büroo, kuid need siduvaid kontsernisiseseid eeskirju
kohaldavad üksused pidid esitama teabevoliniku büroole Ühendkuningriigi ajakohastatud isikuandmete
kaitse määrusele vastavad dokumendid siduvate kontsernisiseste eeskirjade kohta. 74 CBPR foorumisse kuuluvad Ameerika Ühendriigid, Kanada, Jaapan, Korea Vabariik, Filipiinid,
Singapur, Taiwan ja Austraalia, kusjuures Mauritius, Dubai rahvusvaheline finantskeskus ja Bermuda
on assotsieerunud liikmed, nagu Ühendkuningriikki. 75 Vt näiteks G7 andmekaitseasutuste tehtud võrdlev analüüs isikuandmete kaitse üldmääruse
sertifitseerimiskavade ja piiriülese eraelu puutumatuse kaitse eeskirjade süsteemi kohta, mis näitas, et
süsteemide vahel on „märkimisväärseid erinevusi“, sealhulgas „täidetavuse ja õiguskaitse kättesaadavuse
ning sõltumatu järelevalve ja valitsuse juurdepääsu puhul“. Kättesaadav aadressil
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10063165.
Vt komisjoni 23. jaanuari 2019. aasta rakendusotsuse (EL) 2019/419 (isikuteabe kaitse seaduse raames
Jaapani pakutava isikuandmete kaitse piisavuse kohta vastavalt Euroopa Parlamendi ja nõukogu
määrusele (EL) 2016/679) põhjendus 79; kättesaadav aadressil https://eur-lex.europa.eu/legal-
content/ET/TXT/?uri=uriserv:OJ.L_.2019.076.01.0001.01.EST&toc=OJ:L:2019:076:TOC. Vt ka artikli 29 töörühma arvamus 02/2014, milles käsitletakse ELi liikmesriikide andmekaitseasutustele
esitatud siduvate kontsernisiseste eeskirjade ja APECi piiriüleste eraelu puutumatuse eeskirjade järgimise
kinnitamise eest vastutavatele ametitele esitatud piiriüleste eraelu puutumatuse eeskirjade nõudeid, 6. märts
2014.
ET 18 ET
andmeid edastatakse EList Ühendkuningriiki. Seepärast jälgib komisjon
tähelepanelikult selles valdkonnas toimuvat arengut.
2.2.6. Automatiseeritud töötlusel põhinevate otsuste tegemine
(52) Kuigi on säilitatud mitu rakendusotsuse (EL) 2021/1772 põhjenduses 54 hinnatud
automatiseeritud töötlusel põhinevate otsuste tegemise normide elementi, on andmete
(kasutamise ja neile juurdepääsu) seadusega muudetud nende normide mõnda aspekti.
(53) Esiteks on Ühendkuningriigi isikuandmete kaitse üldmääruse uues artiklis 22B
kehtestatud isikuandmete eriliikide (määratletud Ühendkuningriigi isikuandmete kaitse
üldmääruse artikli 9 lõikes 1) töötlemise üldine keeld tähtsate otsuste korral, mis
põhinevad üksnes automatiseeritud töötlusel, millel on andmesubjektile õiguslikud
tagajärjed või millel on talle samaväärne oluline mõju. Siiski on seal sätestatud ka
kolm erandit sellest keelust: andmesubjekt on andnud selliseks töötlemiseks sõnaselge
nõusoleku, otsus on vajalik andmesubjekti ja vastutava töötleja vahel lepingu
sõlmimiseks või sõlmitud lepingu täitmiseks või töötlemine on nõutud või lubatud
seadusega. Viimasel kahel juhul peab automatiseeritud töötlemine olema vajalik
olulisel avaliku huviga seotud põhjusel76. See üldine keelt ei kehti oluliste otsuste
suhtes, mis põhinevad andmete muude kui erikategooriate automatiseeritud
töötlemisel.
(54) Lisaks on Ühendkuningriigi isikuandmete kaitse üldmäärusesse lisatud uues
artiklis 22A selgitatud „üksnes automatiseeritud töötlusel põhineva“ otsuse määratlust,
sätestades, et see on otsus, mille tegemises on sisuliselt osalenud inimene. Tähtis on
see, et vastutav töötleja peab hindama, mil määral aitab profiilianalüüs kaasa otsuse
tegemisele, et määrata kindlaks, kas inimese kaasamine on olnud sisuline. Peale selle
on Ühendkuningriigi isikuandmete kaitse määruse artiklil 22A selgitatud, et „oluline
otsus“ on selline, mis tekitab õigusliku või samaväärselt olulise mõju
andmesubjektile77.
(55) Teiseks on Ühendkuningriigi isikuandmete kaitse üldmääruse uues artiklis 22C nähtud
vastutavatele töötlejatele ette kohustus võtta meetmeid, et pakkuda asjakohaseid
kaitsemeetmeid iga olulise otsuse jaoks, mis põhineb täielikult või osaliselt
isikuandmetel ja üksnes automaatsel töötlemisel (sh muude kui erikategooria andmete
töötlemisel). Need kaitsemeetmed peavad sisaldama andmesubjekti teavitamist
otsustamisprotsessist, võimaldama andmesubjektil vaidlustada otsus või esitada
märkusi ja tagama, et andmesubjekt saab taotleda inimese sekkumist otsuse tegemise
protsessi.78.
(56) Samuti antakse Ühendkuningriigi isikuandmete kaitse üldmääruse uue artikliga 22D
ministrile õigus anda teiseseid õigusakte, et määratleda, mis on ja mis ei ole sisuline
inimese kaasamine ja milliseid otsuseid peetakse ja milliseid mitte sellisteks, millel on
andmesubjektile samaväärne oluline kahjulik mõju. Samuti võimaldab see ministril
anda teiseseid õigusakte, et i) lisada uusi kaitsemeetmeid, ii) kehtestada nõudeid, mis
täiendavad olemasolevaid kaitsemeetmeid, ja iii) määratleda meetmed, mis ei vasta
76 Ühendkuningriigi isikuandmete kaitse üldmääruse artikkel 22B, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahvi 80 lõikega 1. 77 Ühendkuningriigi isikuandmete kaitse üldmääruse artikkel 22A, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahvi 80 lõikega 1. 78 Ühendkuningriigi isikuandmete kaitse üldmääruse artikkel 22C, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahvi 80 lõikega 1.
ET 19 ET
kaitsemeetmetele79. Oluline on see, et Ühendkuningriigi isikuandmete kaitse
üldmääruse artikli 22D kohaselt peab minister enne määruste vastuvõtmist
konsulteerima teabevoliniku bürooga,80 määrustega ei tohi muuta Ühendkuningriigi
isikuandmete kaitse üldmääruse artiklit 22C81 ning nende suhtes kehtib kinnitav
resolutsiooni menetlus,82 mis tähendab, et määrused ei saa jõustuda enne, kui
Ühendkuningriigi parlamendi mõlemad kojad on need heaks kiitnud.
(57) Kuigi andmete (kasutamise ja neile juurdepääsu) seadusega on seega muudetud
automatiseeritud töötlusel põhinevate otsuste raamistikku, on oluline märkida, et
jätkuvalt on Ühendkuningriigis automatiseeritud töötlusel põhinevate otsuste tegemist
reguleerivas õigusraamistikus ette nähtud peamised kaitsemeetmed, mille järgi on
nõutud õigus inimsekkumisele alati, kui olulisi otsuseid tehakse automaatse
isikuandmete töötlemise alusel, st tuginedes tundlike ja mittetundlike isikuandmete
töötlemisele83. Lisaks ei mõjuta Ühendkuningriigi isikuandmete kaitse üldmääruses
automatiseeritud töötlusel põhinevate otsuste tegemise suhtes sätestatud erieeskirjad
tõenäoliselt liidust Ühendkuningriiki edastatud isikuandmete kaitse taset, nagu
komisjon on märkinud varasemates kaitse piisavuse otsustes84. Liidus kogutud
isikuandmete puhul teeb kõik automatiseeritud töötlemisel põhinevad otsused
tavaliselt liidu vastutav töötleja (kellel on otsene suhe asjaomase andmesubjektiga) ja
nende suhtes kohaldatakse seega määruses (EL) 2016/679 sätestatud nõudeid.
2.3. Järelevalve ja täitmise tagamine
2.3.1. Sõltumatu järelevalve
(58) Ühendkuningriigis kontrollib ja tagab andmekaitseraamistiku nõuete täitmist
sõltumatu andmekaitse järelevalveasutus, nagu on analüüsitud rakendusotsuse
(EL) 2021/1772 põhjendustes 85–91. Andmete (kasutamise ja neile juurdepääsu)
seadusega on reformitud selle asutuse juhtimisstruktuuri ja loodud juriidilisest isikust
teabekomisjon, mis asendab teabevoliniku büroo, mis oli ühest füüsilisest isikust
koosnev eraldiseisev juriidiline isik.
(59) Täpsemalt kaotatakse pärast andmete (kasutamise ja neile juurdepääsu) seaduses ette
nähtud juhtimismeetmete rakendama hakkamist teabevoliniku büroo ning selle
ülesanded, töötajad ja vara antakse teabevoliniku büroolt üle teabekomisjonile.
Teabekomisjon koosneb tegevliikmetest ja mitte-tegevliikmetest85. Samuti on seaduses
nähtud ette, et teabekomisjoni esimehe rolli võtab üle teabevolinik, kes on üks mitte-
tegevliikmetest86. Peale selle on andmete (kasutamise ja neile juurdepääsu) seaduses
79 Ühendkuningriigi isikuandmete kaitse üldmääruse artikkel 22D, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahvi 80 lõikega 1. Iga selle volituse alusel kehtestatud määrus peab läbima
kinnitava resolutsiooni menetluse, millega tagatakse parlamendi järelevalve. Määrustega ei saa muuta
artiklis 22C sätestatud nõudeid. 80 2018. aasta andmekaitseseaduse paragrahvi 182 lõige 2. 81 Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 22D lõige 4. 82 Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 22D lõige 5. 83 Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 22C lõige 2, mis lisati andmete (kasutamise ja
neile juurdepääsu) seaduse paragrahvi 80 lõikega 1. 84 Vt näiteks komisjoni 23. jaanuari 2019. aasta rakendusotsuse (EL) 2019/419 (isikuteabe kaitse seaduse
raames Jaapani pakutava isikuandmete kaitse piisavuse kohta vastavalt Euroopa Parlamendi ja nõukogu
määrusele (EL) 2016/679) põhjendus 94 ja komisjoni 17. detsembri 2021. aasta rakendusotsuse
(EL) 2022/254 (mis põhineb Euroopa Parlamendi ja nõukogu määrusel (EL) 2016/679 ning käsitleb
isikuandmete kaitse seaduse kohast isikuandmete piisavat kaitset Korea Vabariigis) põhjendus 81. 85 2018. aasta andmekaitseseaduse lisa 12A punkti 3 alapunkt 1. 86 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahvid 117, 118, 119 ja 120 koos 14. lisaga.
ET 20 ET
sätestatud, et kuivõrd see on ülesannete üleandmise tulemusena asjakohane,
käsitatakse viiteid teabevolinikule kõikides õigusaktides või muudes dokumentides
(olenemata nende vastuvõtmise või koostamise ajast) viidetena teabekomisjonile. Oma
ülesannete täitmiseks võib komisjon luua komiteesid ja delegeerida ülesandeid
liikmele, töötajale või komitee komisjonile87 ning reguleerida enda ja komiteede
menetlusi, sealhulgas seoses kvoorumi ja häälteenamuse alusel otsustamisega. Need
menetlused tuleb avalikustada88.
(60) Oluline on see, et teabekomisjoni sõltumatuse suhtes kehtivad samad kaitsemeetmed,
sealhulgas seoses teabekomisjoni esimehe ametisse määramise ja ametist tagandamise
eeskirjadega, mida on hinnatud rakendusotsuse (EL) 2021/1772 põhjendustes 87–9089.
Sarnased kaitsemeetmed kehtivad ka teabekomisjoni mitte-tegevliikmete suhtes.
Teabekomisjoni esimehe määrab ametisse Tema Majesteet ministri soovitusel.
Esimees valitakse vastavalt saavutustele ning õiglase ja avatud konkursi alusel90.
Mitte-tegevliikmed määrab pärast esimehega konsulteerimist ametisse minister.
Kandidaadi saab ametisse nimetamiseks esitada ja ametisse nimetada üksnes siis, kui
ta on valitud vastavalt saavutustele õiglase ja avatud konkursi tingimustel ning
minister on veendunud, et kandidaadil ei ole huvide konflikti91. Tegevliikmed on
teabekomisjoni töötajad, kelle töötamise tingimused määravad mitte-tegevliikmed92.
Tegevjuhi määravad pärast ministriga konsulteerimist ametisse teabekomisjoni
esimees ja teised mitte-tegevliikmed. Ka tegevliikmed nimetatakse ametisse vastavalt
saavutustele õiglase ja avatud konkursi alusel93.
(61) Esimehe võib ametist tagandada Tema Majesteet mõlema parlamendikoja pöördumise
alusel ja üksnes siis, kui minister on esitanud sellele parlamendikojale aruande, milles
ta kinnitab oma veendumust, et esimees on pannud toime tõsise üleastumise, tal on
huvide konflikt, ta ei ole järginud võimaliku huvide konfliktiga seotud konkreetseid
teabe avaldamise nõudeid või ei ole suuteline, sobiv või valmis täitma esimehe
ülesandeid94. Mitte-tegevliikmed võib ametist vabastada ainult minister, kui ta on
veendunud, et õigusaktides kehtestatud konkreetsed tingimused on täidetud. Nende
hulka kuuluvad huvide konflikt, tõsine üleastumine või see, et isik ei ole suuteline,
sobiv või valmis täitma esimehe ülesandeid. Mis puutub täiendavatesse
kaitsemeetmetesse, siis peab minister vastava otsuse avalikustama ja esitama
asjaomasele liikmele teate ametist tagandamise põhjuste kohta95.
(62) Teabekomisjoni põhiülesanne on jätkuvalt andmekaitseraamistiku järelevalve ja
täitmise tagamine Ühendkuningriigis, et kaitsta üksikisikute põhiõigusi ja -vabadusi96.
Teabekomisjoni ülesande kohta tagada isikuandmete kaitse piisav tase on andmete
(kasutamise ja neile juurdepääsu) seaduses konkreetselt nõutud, et teabekomisjon peab
võtma arvesse andmesubjektide, vastutavate töötlejate ja teiste poolte huve ning üldise
87 2018. aasta andmekaitseseaduse lisa 12A punktid 13 ja 14. 88 2018. aasta andmekaitseseaduse lisa 12A punkt 16. 89 Ühendkuningriigi isikuandmete kaitse üldmääruse artikkel 52 ja 2018. aasta andmekaitseseaduse
lisa 12A, mis lisati andmete (kasutamise ja neile juurdepääsu) seaduse eelnõu paragrahviga 114A. 90 2018. aasta andmekaitseseaduse lisa 12A punkti 5 alapunkt 1 ning punkti 3 alapunkt 2. 91 2018. aasta andmekaitseseaduse lisa 12A punkti 3 alapunkt 2 ning punktid 5 ja 6. 92 2018. aasta andmekaitseseaduse lisa 12A punkt 11. 93 2018. aasta andmekaitseseaduse lisa 12A punkti 5 alapunkt 2. 94 2018. aasta andmekaitseseaduse lisa 12A punkti 7 alapunktid 6 ja 7. 95 2018. aasta andmekaitseseaduse lisa 12A punkti 9 alapunktid 6, 7, 8 ja 9. 96 Ühendkuningriigi isikuandmete kaitse üldmääruse artikkel 51.
ET 21 ET
avaliku huvi küsimusi ja suurendama üldsuse usaldust seoses isikuandmete
töötlemisega97. Neid eesmärke on käsitletud ka määruse (EL) 2016/679 põhjenduses 7.
(63) Lisaks on andmete (kasutamise ja neile juurdepääsu) seaduses täpsustatud, et
teabekomisjon võtab andmekaitsealaste õigusaktide alusel oma ülesandeid täites
arvesse innovatsiooni ja konkurentsi edendamist, süütegude tõkestamise, uurimise,
avastamise ja nende eest vastutusele võtmise tähtsust, vajadust kaitsta avalikku ja riigi
julgeolekut ning laste kaitsmisega seotud erivajadusi98. Lisaks tunnistatakse ELi
andmekaitseõiguses vajadust leida isikuandmete kaitse ja mitme muu põhiõiguse ja
eesmärgi (nagu majanduslik ja sotsiaalne areng, julgeolek ja õigus ning
ettevõtlusvabadus) vahel99.
2.3.2. Täitmise tagamine, sealhulgas sanktsioonid
(64) Teabekomisjoni volitused ja ülesanded vastavad jätkuvalt määruse (EL) 2016/679
vastavates artiklites sätestatud liikmesriikide andmekaitse järelevalveasutuste
volitustele ja ülesannetele,100 nagu on hinnatud rakendusotsuse (EL) 2021/1772
põhjendustes 91–95.
(65) Mõne volituse teostamist on konkreetsemalt selgitatud andmete (kasutamise ja neile
juurdepääsu) seaduses.
(66) Ühelt poolt on andmete (kasutamise ja neile juurdepääsu) seaduses selgitatud, et
teabekomisjon võib nõuda teabenõude volituse alusel konkreetseid dokumente ja
teavet101. Teiselt poolt lisati andmete (kasutamise ja neile juurdepääsu) seadusega
teabekomisjonile kaks uut uurimisvolitust: uus volitus nõuda aruandeid102 ja uus
volitus esitada vastutavale töötlejale, keda kahtlustatakse Ühendkuningriigi
isikuandmete kaitse üldmääruse või 2018. aasta andmekaitseseaduse rikkumises, nn
küsitlusteade103.
(67) Seoses teabekomisjoni volituste teostamisega on teabevolinik alates rakendusotsuse
(EL) 2021/1772 jõustumisest menetlenud igal aastal ligikaudu
40 000 andmesubjektide esitatud kaebust, mis on enam-vähem sama palju kui siis, kui
97 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 91, millega lisati 2018. aasta
andmekaitseseadusesse paragrahv 120A. 98 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 91, millega lisati 2018. aasta
andmekaitseseadusesse paragrahv 120B. Andmete (kasutamise ja neile juurdepääsu) seadusega lisati
2018. aasta andmekaitseseadusesse uus paragrahv 120C, mille kohaselt peab teabekomisjon koostama
ja avaldama strateegia, mis muu hulgas kajastab seda, kuidas komisjon eespool nimetatud teemasid
arvesse võtab ja kuidas on kavas edendada regulatiivseid ülesandeid täites majanduskasvu. 99 Vt eelkõige määruse (EL) 2016/679 põhjendused 2 ja 4 ning artikkel 23. 100 Ühendkuningriigi isikuandmete kaitse üldmääruse artiklid 57 ja 58. 101 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 97, millega muudetakse 2018. aasta
andmekaitseseaduse paragrahvi 142. Nii Ühendkuningriigis kui ka ELis hindavad andmete kaitset
reguleerivad asutused oma tegevuse osana tehnoloogia mõju digimajanduse vastu usalduse loomisele ja
andmekaitse rolli digimajanduse vastu usalduse loomises. Vt nt Euroopa Andmekaitsenõukogu
2024. aasta aruanne, lk 12: „Euroopa Andmekaitsenõukogu on dünaamiline koostöökogu, kellel on
keskne roll kogu Euroopas andmekaitsega seotud õigusaktide järjepideva kohaldamise tagamisel.
Andmekaitsenõukogu esimehe vaatenurgast pean ma organisatsiooni üksikisikute eraelu puutumatuse
õiguse kaitsjaks, kes loob oskuslikult tasakaalu innovatsioonivajaduste ja majanduskasvu vahel.“ 102 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 98, millega muudetakse 2018. aasta
andmekaitseseaduse paragrahvi 146. 103 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 100, millega lisati 2018. aasta
andmekaitseseadusesse paragrahv 148A.
ET 22 ET
Ühendkuningriik kuulus ELi ja kohaldas määrust (EL) 2016/679104. Teabevolinik viis
ametikohustusi täites läbi ka uurimisi, mis olid seotud mitmesuguste sektorite ja
nõuete järgimise küsimustega, sealhulgas andmesubjektide õigustega105.
(68) Täitmise tagamise meetmetena on teabevolinik alates rakendusotsuse (EL) 2021/1772
jõustumisest teinud 120 noomitust, esitanud 32 teabenõuet, 3 hindamisteadet ja
12 täitmisteadet, teinud 2 hoiatust ja määranud 12 trahvi106. Nende hulka kuuluvad
mitu olulist rahalist karistust, mis määrati Ühendkuningriigi isikuandmete kaitse
üldmääruse ja 2018. aasta andmekaitseseaduse alusel. Näiteks määras teabevolinik
2023. aasta aprillis 12,7 miljoni naelsterlingi suuruse trahvi sotsiaalmeediaplatvormile
laste andmete väärkasutamise eest107. 2025. aasta märtsis määrati 3,07 miljoni
naelsterlingi suurune trahv tarkvarafirmale selle eest, et nad ei taganud andmete
piisavat turvalisust, seades seeläbi ohtu üle 70 000 inimese andmed108. Alles hiljuti,
2025. aasta juunis, määras teabevolinik 2,31 miljoni naelsterlingi suuruse trahvi
geneetilise testimisega tegelevale ettevõtjale, kes ei kohaldanud Ühendkuningriigi
kasutajate isikuandmete kaitsmiseks asjakohaseid turvameetmeid, mille tagajärjeks oli
ulatuslik küberrünne 2023. aastal109.
(69) Alates rakendusotsuse (EL) 2021/1772 jõustumisest on teabevoliniku büroo koostanud
ja avaldanud palju suuniseid, arvamusi ja muid juhendavaid dokumente, milles on
selgitatud andmekaitsenormide kohaldamist olulistes valdkondades (nagu näotuvastus,
õiglus tehisintellekti kasutamisel, laste andmed, otseturundus, videovalve, õigus
tutvuda isikuandmetega, läbipaistvus tervishoiu ja hoolekande valdkonnas jne) ja
mitmesugustele sihtrühmadele, sealhulgas väikesed ja keskmise suurusega ettevõtjad,
konkreetsed asutused, nt koolid, lasteaiad või väikesed avaliku sektori asutused,
samuti ettevõtjad üldiselt, üldsus või andmesubjektid110.
3. ASJAKOHASED ARENGUSUUNAD SEOSES JUURDEPÄÄSUGA
EUROOPA LIIDUST EDASTATUD ISIKUANDMETELE JA NENDE
KASUTAMISEGA ÜHENDKUNINGRIIGIS ASUVATE AVALIKU SEKTORI
ASUTUSTE POOLT
3.1. Üldine õigusraamistik
(70) Ühendkuningriik on jätkuvalt Euroopa Nõukogu liige, järgib Euroopa inimõiguste
konventsiooni ja allub Euroopa Inimõiguste Kohtule. Seega kehtivad tema suhtes ka
rahvusvahelises õiguses sätestatud kohustused, nagu on kirjeldatud rakendusotsuse
(EL) 2021/1772 põhjendustes 116–119, mis loovad raamistiku valitsuse
isikuandmetele juurdepääsu süsteemile, lähtudes Euroopa inimõiguste ja
põhivabaduste kaitse konventsiooni osalisena samasugustest põhimõtetest,
104 Teabevoliniku 2021.–2022., 2022.–2023. ja 2023.–2024. aasta aruanded. Vt ka komisjoni
rakendusotsuse (EL) 2021/1772 põhjendus 96. 105 Teabevoliniku 2023.–2024. aasta aruanne, lk 41. 106 Teabevoliniku 2021.–2022., 2022.–2023. ja 2023.–2024. aasta aruanded. 107 Nende ja täiendavate täitemeetmete kohta leiab lisateavet teabevoliniku veebisaidilt, mis on kättesaadav
aadressil https://ico.org.uk/action-weve-taken/enforcement/. 108 Lisateave on kättesaadav järgmisel aadressil: https://ico.org.uk/action-weve-
taken/enforcement/2025/03/advanced-computer-software-group-limited/. 109 Lisateave on kättesaadav järgmisel aadressil: https://ico.org.uk/action-weve-
taken/enforcement/2025/06/23andme/. 110 Kättesaadav aadressil https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/.
ET 23 ET
kaitsemeetmetest ja üksikisiku õigustest nagu need, mis kehtivad 27 liikmesriigi
suhtes ja kajastuvad suurel määral Euroopa Liidu Kohtu asjaomases praktikas.
(71) 2018. aasta andmekaitseseadusega on jätkuvalt tagatud konkreetsed andmekaitsega
seotud kaitsemeetmed ja õigused juhul, kui andmeid töötlevad Ühendkuningriigi
avaliku sektori asutused, sealhulgas õiguskaitse- ja riiklikud julgeolekuasutused, nagu
on analüüsitud rakendusotsuse (EL) 2021/1772 põhjendustes 121–132. Andmete
(kasutamise ja neile juurdepääsu) seadusega on vaid vähesel määral ja konkreetsel
eesmärgil muudetud 2018. aasta andmekaitseseaduse neid osi, milles on sätestatud
normid isikuandmete töötlemiseks kriminaalõiguskaitse (2018. aasta
andmekaitseseaduse 3. osa) ja riigi julgeoleku (2018. aasta andmekaitseseaduse 4. osa)
kontekstis.
(72) Seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise,
uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuse
täitmisele pööramise eesmärgil, sealhulgas avalikku julgeolekut ähvardavate ohtude
eest kaitsmiseks ja nende ennetamiseks, on 2018. aasta andmekaitseseaduse 3. osaga
jätkuvalt tagatud selliste põhimõtete, õiguste ja kohustuste järgimine, mis sarnanevad
direktiivis (EL) 2016/680 sätestatutega111.
(73) Täpsemalt võttis komisjon käesoleva otsusega samal kuupäeval direktiivi
(EL) 2016/680 artikli 36 lõike 3 alusel vastu otsuse, milles järeldati, et
Ühendkuningriigi kriminaalõiguskaitseasutustes andmete töötlemisele kohaldatava
andmekaitse korraga on tagatud kaitsetase, mis sisuliselt vastab direktiiviga
(EL) 2016/680 tagatud kaitsetasemele.
(74) Andmete (kasutamise ja neile juurdepääsu) seadusega on muudetud ja konsolideeritud
2018. aasta andmekaitseseaduse 3. osa olemasolevaid erandeid, mida pädevad
asutused riigi julgeoleku eesmärgil kasutada saavad. Riigi julgeoleku erand võimaldab
pädevatel ametiasutustel jätta 2018. aasta andmekaitseseaduse 3. osa teatav säte
kohaldamata, kui sellest sättest erandi tegemine on vajalik riigi julgeoleku
tagamiseks112. Selles võetakse arvesse Ühendkuningriigi isikuandmete kaitse
üldmääruse (sätestatud 2018. aasta andmekaitseseaduse paragrahvis 26) ja 2018. aasta
111 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahviga 69 lisati 2018. aasta
andmekaitseseaduse paragrahvi 33 uue lõikena 1A ja paragrahvina 40A nõusoleku määratlus ja
nõusolekule tuginemise tingimused, nagu need on sätestatud Ühendkuningriigi isikuandmete kaitse
üldmääruse artikli 4 lõikes 11 ja artiklis 7 (mis vastavad määruse (EL) 2016/679 vastavatele sätetele), ja
seega selgitatakse nõusoleku mõistet ja nõusolekule tuginemise tingimusi juhul, kui seda kasutatakse
õigusliku alusena pädevas asutuses isikuandmete töötlemiseks kriminaalõiguskaitse eesmärgil. Lisaks
on andmete (kasutamise ja neile juurdepääsu) seaduse paragrahvi 71 lõigetes 7 ja 8 veidi täpsustatud
2018. aasta andmekaitseseaduse paragrahvi 36 lõike 1 sõnastust. Viimaks on asjakohastel juhtudel
andmete (kasutamise ja neile juurdepääsu) seadusega tehtud Ühendkuningriigi isikuandmete kaitse
üldmääruse muudatused, nagu on kirjeldatud paragrahvis 2, kajastatud ka 2018. aasta
andmekaitseseaduse 3. osas – vt näiteks paragrahvi 74 lõiked 2–5 tundlike isikuandmete töötlemise
kohta, paragrahvi 76 lõiked 4–6 andmesubjekti taotlusele vastamise tähtaegade kohta, paragrahvi 78
lõiked 2–3 andmesubjekti taotlusega seotud otsingute kohta ning paragrahvi 80 lõiked 3–5
automatiseeritud töötlusel põhinevate otsuste tegemise kohta. 112 2018. aasta andmekaitseseaduse paragrahvi 78A lõige 1, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahviga 88. Erand võimaldab kooskõlas 2018. aasta andmekaitseseaduse
paragrahvi 78A lõigetega 2–4 jätta kohaldamata andmekaitse põhimõtted (välja arvatud õiguspärasuse
põhimõte ning tundlike andmete töötlemise tingimused ja kaitsemeetmed), üksikisikute õigused,
vastutava ja volitatud töötleja kohustused isikuandmetega seotud rikkumiste korral ja rahvusvahelise
edastamise eeskirjade teatavad osad ning mõned teabevoliniku volitused, mis puudutavad kontrolli
tegemist ning täitemeetmete võtmist.
ET 24 ET
andmekaitseseaduse 4. osa (sätestatud 2018. aasta andmekaitseseaduse
paragrahvis 110) alusel toimuva isikuandmete töötlemise kohta ette nähtud riigi
julgeolekuga seotud erandeid.
(75) Riigi julgeoleku erandile kehtivad samad piirangud ja kaitsemeetmed kui
Ühendkuningriigi isikuandmete kaitse üldmääruses ja 2018. aasta andmekaitseseaduse
4. osas ette nähtud eranditele, mida on analüüsitud rakendusotsuse (EL) 2021/1772
põhjendustes 64–67 ja 126. Eelkõige võib erandit kohaldada ainult juhul, kui see on
vajalik riigi julgeoleku kaitsmiseks, ja selleks vajalikus ulatuses. See ei ole üldine
erand ning vastutav töötleja peab erandile tuginemiseks kaaluma iga üksikjuhtu
eraldi113. Peale selle peab erandi kohaldamine olema kooskõlas inimõiguste normidega
(mis on sätestatud 1998. aasta inimõiguste seaduses ja Euroopa inimõiguste
konventsioonis), mille kohaselt peab igasugune sekkumine eraelu puutumatuse
õigustesse olema demokraatlikus ühiskonnas vajalik ja proportsionaalne114. Seda
kinnitatakse ka teabevoliniku büroo suunistes riigi julgeoleku erandi kohaldamise
kohta115.
(76) Lisaks võib andmete (kasutamise ja neile juurdepääsu) seadusega tehtud muudatuste116
alusel kriminaalõiguskaitseasutustes konkreetsele andmete töötlemisele kohaldada ka
2018. aasta andmekaitseseaduse 4. osa sätteid, mida tavaliselt kohaldatakse üksnes
andmete töötlemisele riiklikes julgeolekuasutustes.
(77) Kuigi riigi julgeoleku eesmärgil töötlemisele kohalduv andmekaitse kord laieneb
seega konkreetsetes olukordades ka andmete töötlemisele
kriminaalõiguskaitseasutustes, kehtib see üksnes konkreetsete asjaolude korral ning
juhul, kui järgitakse rangeid tingimusi ja kaitsemeetmeid, st siis, kui i) pädev asutus on
liigitatud „nõuetele vastavaks pädevaks asutuseks“ ministri määrusega, mille peab
heaks kiitma parlament,117 ja ii) minister määrab teatises konkreetse
töötlemistoimingu, mille teeb nõuetele vastav pädev asutus. Oluline on see, et minister
võib määrata toimingu vaid siis, kui ta leiab, et töötlemistoimingu määramine on
vajalik riigi julgeoleku kaitsmise eesmärgil, st siis, kui kriminaalõiguskaitseasutus
tegutseb riigi julgeoleku eesmärgil ja töötlemistoimingu teeb nõuetele vastav pädev
asutus kaasvastutava töötlejana koos vähemalt ühe luureteenistusega118. Täiendavate
kaitsemeetmetena peab minister enne määramisteate väljaandmist konsulteerima
teabevolinikuga,119 teate tekst tuleb üldjuhul avaldada120 ja isik, keda määramisteade
113 Vt Baker vs. Secretary of State for the Home Department [2001] UKIT NSA2 (edaspidi „Baker vs.
Secretary of State“). 114 Vt ka Guriev vs. Community Safety Development (United Kingdom) Ltd, [2016], EWHC 643 (QB),
punkt 45; Lin vs. Commissioner of the Police for the Metropolis [2015], EWHC 2484 (QB), punkt 80. 115 Vt teabevoliniku suunised riigi julgeoleku ja riigikaitse erandi kohta, kättesaadavad aadressil
https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/exemptions/national-security-and-
defence-exemption-a-guide. 116 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahvid 89 ja 90. 117 2018. aasta andmekaitseseaduse paragrahvi 82 lõiked A1, 2A ja 4, mis lisati andmete (kasutamise ja
neile juurdepääsu) seaduse paragrahvi 89 lõikega 2. 118 Paragrahvi 82A lõiked 1 ja 2, mis lisati andmete (kasutamise ja neile juurdepääsu) seaduse
paragrahvi 89 lõikega 3. Täiendavate kaitsemeetmetena peab minister enne määramisteate väljaandmist
konsulteerima teabevolinikuga (vt 2018. aasta andmekaitseseaduse uus paragrahvi 82A lõige 8),
põhimõtteliselt peab avaldama teate teksti (vt uue paragrahvi 82D lõige 1), välja arvatud 2018. aasta
andmekaitseseaduse uue paragrahvi 82D lõikes 3 sätestatud erandite korral, ja isik, keda määramisteade
otse puudutab, võib taotleda kohtulikku kontrolli (vt 2018. aasta andmekaitseseaduse uus
paragrahv 82E). 119 2018. aasta andmekaitseseaduse paragrahvi 82A lõige 8.
ET 25 ET
otse puudutab, võib taotleda kohtulikku kontrolli121. Seega on selle muudatuse
eesmärk sisuliselt selgitada, et kui Ühendkuningriigi asutustel on pädevus tegutseda
nii õiguskaitse kui ka riigi julgeoleku valdkonnas ja nad töötlevad andmeid viimati
nimetatud valdkonnas ülesandeid täites, kohaldatakse riiklike julgeolekuteenistuste
jaoks kehtestatud andmekaitsekorda.
(78) 2018. aasta andmekaitseseaduse 4. osa kohaldatakse juhtudel, kui andmeid töötlevad
Ühendkuningriigi luureteenistused. Jätkuvalt on selles sätestatud peamised
andmekaitsepõhimõtted, kehtestatud andmete eriliikide töötlemise tingimused ja
andmesubjektide õigused ning nõutud lõimitud andmekaitset ja reguleeritud andmete
edastamist, nagu on kirjeldatud rakendusotsuse (EL) 2021/1772 põhjendustes 125–
132.
(79) Andmete (kasutamise ja neile juurdepääsu) seadusega on seda korda muudetud vaid
vähesel määral. Seoses 2018. aasta andmekaitseseaduse paragrahvis 94 sätestatud
andmesubjektide õigusega tutvuda isikuandmetega on andmete (kasutamise ja neile
juurdepääsu) seadusega lisatud uus lõige 2A, milles selgitatakse, et andmesubjektil on
õigus asjakohasele teabele ainult siis, kui vastutav töötleja suudab seda teavet anda
mõistliku ja proportsionaalse otsingu tulemusena122. Nagu on selgitatud
põhjenduses 35, annab see muudatus aluse õigusele tutvuda isikuandmetega kooskõlas
kehtestatud õiguslike nõuetega, milles on võetud arvesse andmesubjekti huve. Kuigi
automatiseeritud töötlusel põhinevate otsuste tegemisel on vastutaval töötlejal
jätkuvalt keelatud teha otsust, mis mõjutab oluliselt andmesubjekti, tuginedes üksnes
andmesubjektiga seotud isikuandmete automatiseeritud töötlemisele, välja arvatud siis,
kui selline otsus on nõutud või lubatud seadusega, andmesubjekt on andnud nõusoleku
selle põhjal otsuse tegemisele või selline otsus tehakse lepingu alusel;123 andmete
(kasutamise ja neile juurdepääsu) seadusega lisati 2018. aasta andmekaitseseaduse
4. osas124 mõiste „üksnes automatiseeritud töötlemisel põhinev otsus“ kohta sama
määratlus, mis sisaldub Ühendkuningriigi isikuandmete kaitse üldmääruse artiklis 22A
ja mida on analüüsitud käesoleva otsuse põhjenduses 53.
3.2. Asjakohased arengusuunad seoses juurdepääsuga andmetele ja andmete
kasutamisega Ühendkuningriigi avaliku sektori asutuste poolt
kriminaalõiguskaitse eesmärkidel
(80) Ühendkuningriigi õiguses kehtivad endiselt isikuandmetele juurdepääsu ja nende
kriminaalõiguskaitse eesmärkidel kasutamise olulised piirangud ning selles
valdkonnas on ette nähtud järelevalve- ja õiguskaitsemehhanismid, nagu on
analüüsitud rakendusotsuse (EL) 2021/1772 põhjendustes 134–174.
3.2.1. Õiguslik alus ja kohaldatavad piirangud/kaitsemeetmed
(81) Ühendkuningriigi õiguskorra järgi on ettevõtjatelt kriminaalõiguskaitse eesmärkidel
isikuandmete kogumine lubatud läbiotsimis- ja andmeesitamismääruste alusel, millele
120 2018. aasta andmekaitseseaduse paragrahvi 82D lõige 1, mille suhtes kohaldatakse seaduse uue
paragrahvi 82D lõiget 3. 121 2018. aasta andmekaitseseaduse paragrahv 82E. 122 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahvi 78 lõige 4. 123 2018. aasta andmekaitseseaduse paragrahv 96. 124 2018. aasta andmekaitseseaduse uue paragrahvi 96 lõike 4 kohaselt põhineb otsus täielikult
automatiseeritud töötlusel, kui otsustamine ei sisalda võimalust, et inimene nõustub otsusega, lükkab
selle tagasi või mõjutab seda. Vt andmete (kasutamise ja neile juurdepääsu) seaduse paragrahvi 80
lõike 4 punkt c.
ET 26 ET
kehtivad rakendusotsuse (EL) 2021/1772 põhjendustes 135–138 kirjeldatud
tingimused ja kaitsemeetmed.
(82) Lisaks on spionaažist, sabotaažist ja välisjõudude huvides tegutsevatest isikutest
tulenevate ohtude vastu võitlemisele suunatud 2023. aasta riikliku julgeoleku
seadusega125 antud Ühendkuningriigi politseile uued volitused ruumidesse
sisenemiseks, läbiotsimiseks ja kinnipidamiseks, sealhulgas võimalus saada
isikuandmeid, kui on põhjendatud alus kahtlustada, et leitakse võimalikku
tõendusmaterjali selle kohta, et toime on pandud või võidakse panna mõni 2023. aasta
riikliku julgeoleku seadusele vastav raske süütegu või välisjõudude ohustav tegevus126.
Nende volituste suhtes kehtivad tingimused ja kaitsemeetmed, mis sarnanevad
nendega, mida analüüsiti rakendusotsuses (EL) 2021/1772 vastava perioodi kohta.
Eelkõige onnende volituste kasutamiseks vaja luba, mille annab sõltumatu kohtunik
läbiotsimis-, andmeesitamis- või selgitava määruse vormis politseikonstaabli või
uurija taotlusel127. Konfidentsiaalse teabe, näiteks ajakirjandusliku materjali või
kutsesaladuse alla kuuluva teabe suhtes kohaldatakse erikaitsemeetmeid128. Lisaks on
2023. aasta riikliku julgeoleku seadusega kehtestatud avalikustamise,129 klientide
andmete130 ja kontode jälgimise määruste131 kohta ette nähtud, et need annab kohtunik
välja vastava ametniku taotluse alusel ning nende suhtes kohaldatakse eritingimusi ja -
kaitsemeetmeid; sealhulgas on ette nähtud, et määrust taotletakse konkreetse isiku
puhul mõne välisjõudude ohustava tegevuse uurimiseks, et määrus aitab kaasa
uurimisele ja seda ei kasutata kutsesaladuse alla kuuluva või muul moel välistatud
teabe, näiteks ajakirjandusliku materjali ja teatavate terviseandmete saamiseks132.
(83) Nagu on kirjeldatud rakendusotsuse (EL) 2021/1772 põhjendustes 139–141, on
Ühendkuningriigi õigusraamistikus antud konkreetsetele õiguskaitseasutustele, näiteks
riiklikule kuritegevusevastase võitluse ametile ja Londoni politseiametile õigus
kasutada 2016. aasta uurimisvolituste seaduse alusel suunatud uurimisvolitusi133
raskete kuritegude tõkestamiseks või avastamiseks. Need õiguskaitseasutused võivad
125 Kättesaadav aadressil https://www.legislation.gov.uk/ukpga/2023/32/contents/enacted. 126 2023. aasta riikliku julgeoleku seaduse 2. lisa. 2023. aasta riikliku julgeoleku seaduse järgi on
asjakohased süüteod näiteks kaitstud teabe saamine või avalikustamine (paragrahv 1), ärisaladuste
saamine või avalikustamine (paragrahv 3), välisriigi luureteenistuse abistamine (paragrahv 4), sabotaaž
(paragrahv 12) või konkreetne keelatud tegevus kavatsusega tekitada välisjõudude huvides sekkuvat
mõju (paragrahv 13). 127 Vt 2023. aasta riikliku julgeoleku seaduse 2. lisa punkti 2 alapunkt 1, punkti 3 alapunkt 1, punkti 4
alapunkt 1 ja punkti 10 alapunkt 1. 128 Vt 2023. aasta riikliku julgeoleku seaduse 2. lisa punkti 2 alapunkti 4 alapunkt b, punkti 3 alapunkti 4
alapunktid b ja c, punkti 4 alapunkti 4 alapunktid b ja c ning punkti 10 punkt 1. 129 2023. aasta riikliku julgeoleku seaduse 3. lisa kohase avaldamiskorraldusega võib ametnik kohustada
isikut andma uurimisega seotud teavet, esitama dokumente ja/või vastama küsimustele, et teha kindlaks
välisjõudude ohustava tegevusega seotud vara, sealhulgas sellise vara liikumine või kasutamine. 130 2023. aasta riikliku julgeoleku seaduse 4. lisa kohase klienditeabekorraldusega võib ametnik kohustada
finantsasutust esitama klienditeavet konkreetse isiku kohta. 131 5. lisa kohase kontojälgimiskorraldusega võib ametnik nõuda finantsasutuselt korralduses täpsustatud
teabe esitamist korralduses täpsustatud viisil ja kindla perioodi kohta, mis ei tohi olla pikem kui
90 päeva. 132 2023. aasta riikliku julgeoleku seaduse 3. lisa punkti 2 alapunkt 1, 4. lisa punkt 1, 5. lisa punkt 1. 133 2016. aasta uurimisvolituste seadusega (vt
https://www.legislation.gov.uk/ukpga/2016/25/contents/enacted) asendati mitu seadust, mis käsitlesid
side pealtkuulamist, seadmete töösse sekkumist ja sideandmete hankimist, eelkõige 2000. aasta
uurimisvolituste reguleerimise seaduse I osa, mis moodustas õiguskaitseasutuste ja riiklike
julgeolekuasutuste uurimisvolituste kasutamise varasema üldise õigusliku aluse.
ET 27 ET
kasutada järgmisi uurimisvolitusi: suunatud pealtkuulamine (2016. aasta
uurimisvolituste seaduse 2. osa), sideandmete hankimine (2016. aasta uurimisvolituste
seaduse 3. osa) ja suunatud sekkumine seadmete töösse (2016. aasta uurimisvolituste
seaduse 5. osa). Kui minister annab 2016. aasta uurimisvolituste seaduse 4. osa alusel
välja säilitamisteatised, võivad sellest kasu saada ka õiguskaitseasutused, kes pääsevad
säilitatud sideandmetele ligi 2016. aasta uurimisvolituse 3. osas sätestatud
sideandmete kogumise volituse alusel.
(84) Alates rakendusotsuse (EL) 2021/1772 vastuvõtmisest moodustab 2016. aasta
uurimisvolituste seadus koos Inglismaa, Walesi ja Põhja-Iirimaa 2000. aasta
uurimisvolituste reguleerimise seaduse ja Šotimaa 2000. aasta uurimisvolituste
reguleerimise seadusega (Šotimaa) jätkuvalt õigusliku aluse ning selles on nähtud ette
volituste kasutamise suhtes kohaldatavad piirangud ja kaitsemeetmed, nagu on
kirjeldatud rakendusotsuses (EL) 2021/1772. Oluline on õigusraamistikus jätkuvalt
sisalduv nõue, et nende volituste teostamiseks peab ametiasutusel olema määrus,134
mille on välja andnud pädev asutus135 ja heaks kiitnud sõltumatu kohtuvolinik136 (nn
topeltkinnituse menetlus). Määruse väljaandmisel hinnatakse jätkuvalt selle
vajalikkust ja proportsionaalsust137.
(85) Pärast rakendusotsuse (EL) 2021/1772 vastuvõtmist muudeti aga 2016. aasta
uurimisvolituste seaduse teatud elemente 2024. aasta uurimisvolituste (muutmise)
seadusega, mis sai kuningliku heakskiidu 2024. aasta aprillis138. Järgmistes lõikudes
analüüsitakse neid muudatusi ja teisi asjakohaseid arengusuundi, kuivõrd need
seostuvad tingimuste, piirangute ja kaitsemeetmetega, mida rakendatakse juhul, kui
Ühendkuningriigi ametiasutused kasutavad eespool kirjeldatud konkreetseid
uurimisvolitusi kriminaalõiguskaitse eesmärkidel, nagu on hinnatud rakendusotsuse
(EL) 2021/1772 põhjendustes 177–215. Nende Ühendkuningriigi õigusraamistiku
elementide suhtes, mida eespool nimetatud seadusega ei muudetud või mida muud
asjakohased arengusuunad ei ole mõjutanud, kehtib rakendusotsuses (EL) 2021/1772
esitatud analüüs.
(86) Sideandmete suunatud kogumise ja säilitamise139 suhtes on jäänud kehtima neile
volitustele kohaldatavad tingimused ja kaitsemeetmed, nagu on hinnatud
134 2016. aasta uurimisvolituste seaduse 2. osa 2. peatükis on sätestatud mõned olukorrad, kus
pealtkuulamine võib toimuda ilma määruseta. Nende hulka kuuluvad pealtkuulamine saatja või
vastuvõtja nõusolekul, pealtkuulamine halduslikel või nõuete täitmise tagamisega seotud eesmärkidel,
pealtkuulamine teatavates asutustes (vanglad, psühhiaatriahaiglad ja sisserändajate
kinnipidamiskeskused) ning pealtkuulamine kooskõlas asjakohase rahvusvahelise lepinguga. 135 Enamikul juhtudel annab 2016. aasta uurimisvolituste seaduse alusel määruse välja valitsuskabineti
minister, samas kui Šotimaa ministritel on õigus anda välja suunatud pealtkuulamise määruseid,
vastastikuse abiga seotud lubasid ja määruseid suunatud sekkumiseks seadmete töösse juhul, kui
pealtkuulatav isik või ruumid ja seadmed, mille töösse sekkutakse, asuvad Šotimaal (vt 2016. aasta
uurimisvolituste seaduse paragrahvid 22 ja 103). Suunatud sekkumise korral seadmete töösse võib
2016. aasta uurimisvolituste seaduse paragrahvis 106 nimetatud tingimustel anda määruse
õiguskaitseasutuse ülem (nagu on kirjeldatud 2016. aasta uurimisvolituste seaduse 6. lisa 1. ja 2. osas). 136 Kohtuvolinikud abistavad uurimisvolituste volinikku (Investigatory Powers Commissioner), kes on
sõltumatu isik, kelle ülesanne on teha järelevalvet luureasutuste uurimisvolituste kasutamise üle. 137 Vt eelkõige 2016. aasta uurimisvolituste seaduse paragrahvid 19 ja 23. 138 Kättesaadav aadressil https://www.legislation.gov.uk/ukpga/2024/9/contents/2025-04-25. 139 Termin „sideandmed“ hõlmab vastuseid sidega seotud küsimustele „kes?“, „millal?“, „kust?“ ja
„kuidas?“, kuid mitte sidevahendite kaudu edastatud teabe sisu, st seda, mida räägiti või kirjutati.
Sideandmete hulka võivad kuuluda ka side aeg ja kestus, side algataja ja adressaadi telefoninumber või
e-posti aadress ning mõnikord ka kasutatud sidevahendite asukoht (vt 2016. aasta uurimisvolituste
seaduse paragrahvi 261 lõige 5). Minister tohib 2016. aasta sideseaduse järgi nõuda
ET 28 ET
rakendusotsuses (EU) 2021/1772. 2024. aasta uurimisvolituste (muutmise) seaduses
on olemasolevate kaitsemeetmete selgitamiseks lisatud 2016. aasta uurimisvolituste
seaduse paragrahvi 11 (mille järgi on telekommunikatsioonioperaatorilt
ebaseaduslikult sideandmete saamine süütegu) loetelu näidetest, mida „seaduslik
luba“140 selles sättes hõlmab. Lisaks on 2024. aasta uurimisvolituste (muutmise)
seaduses täpsemalt selgitatud 2016. aasta uurimisvolituste seaduse paragrahvis 261
esitatud sideandmete määratlust, täpsustades selgelt, et abonendi andmed loetakse
sideandmeteks141.
(87) Sideandmete säilitamise teatiste142 väljaandmisele kohaldatakse jätkuvalt piiranguid ja
kaitsemeetmeid, mida on kirjeldatud rakendusotsuse (EL) 2021/1772
põhjendustes 208–209, eelkõige kehtib vajalikkuse ja proportsionaalsuse ning
sõltumatu kohtuvoliniku heakskiidu nõue. Kuigi 2024. aasta uurimisvolituste
(muutmise) seadusega loodi võimalus nende teatiste kehtivust pikendada, kohalduvad
pikendamisele samad vajalikkuse ja proportsionaalsuse ning kohtuvoliniku heakskiidu
nõuded143.
(88) Sideandmete puhul on 2024. aasta uurimisvolituste (muutmise) seadusega muudetud
ka telekommunikatsioonioperaatori, st säilitamisteatise võimaliku adressaadi
määratlust. See määratlus hõlmab nüüd iga isikut, kes „pakub või osutab
telekommunikatsiooniteenust, mis i) asub (täielikult või osaliselt) Ühendkuningriigis
või mida kontrollitakse Ühendkuningriigist ning ii) mida kasutavad teised isikud
selleks, et pakkuda Ühendkuningriigis telekommunikatsiooniteenuseid“144. Eriti
oluline on see, et muudetud määratluse kohaselt eeldatakse alati tihedat seost
Ühendkuningriigi turuga. Niisiis selgitatakse muudatusega, et 2016. aasta
uurimisvolituste seadus hõlmab keeruka ülesehitusega suuri äriühinguid tervikuna,
ilma et määratlust laiendataks telekommunikatsiooniteenuste pakkujatele, kelle
pakutavad teenused ei ole mõeldud Ühendkuningriigis asuvatele isikutele. Seda
kinnitavad ka 2024. aasta uurimisvolituste (muutmise) seaduse selgitavad märkused,
mille kohaselt ei olnud selle muudatuse eesmärk 2016. aasta uurimisvolituse seaduses
telekommunikatsioonioperaatoritelt sideandmete säilitamist, et mitmesugused ametiasutused, sealhulgas
õiguskaitse- ja luureasutused, saaksid neile kitsalt piiritletud tingimustel juurde pääseda. 2016. aasta
uurimisvolituste seaduse 4. osaga on ette nähtud sideandmete säilitamine ning 3. osaga sideandmete
suunatud kogumine. Seaduse 3. ja 4. osas on sätestatud ka nende volituste kasutamise konkreetsed
piirangud ja ette nähtud konkreetsed kaitsemeetmed. 140 Kui näiteks asjaomane isik saab asjaomase avaliku sektori asutuse seadusjärgset volitust kasutades
sideandmeid või sideandmed saadakse kohtumääruse või muu kohtuliku loa alusel. 2016. aasta
uurimisvolituste seaduse paragrahvi 11 lõige 3A, mis lisati 2024. aasta uurimisvolituste (muutmise)
seaduse paragrahvi 12 lõikega 3. 141 Paragrahvi 261 lõiked 5A ja 5B, mis lisati 2024. aasta uurimisvolituste (muutmise) seaduse
paragrahvi 13 lõikega 3. 142 2016. aasta uurimisvolituste seaduse paragrahvidele 87–89 vastavate säilitamisteatiste väljaandmise
eesmärk on tagada, et telekommunikatsioonioperaatorid säilitaksid kuni 12 kuud asjakohaseid
sideandmeid, mis muidu kustutatakse, kui neid enam ärilistel eesmärkidel ei vajata. Säilitatavad andmed
jäävad nõutava aja jooksul kättesaadavaks juhuks, kui ametiasutusel peaks hiljem olema vaja neid
koguda 2016. aasta uurimisvolituste seaduse 3. osas sätestatud sideandmete suunatud kogumise loa
alusel. 143 2016. aasta uurimisvolituste seaduse paragrahv 94A, mis lisati 2024. aasta uurimisvolituste (muutmise)
seaduse paragrahvi 20 lõikega 4. 144 2016. aasta uurimisvolituste seaduse paragrahvi 261 lõike 10 punkt c, mis lisati 2024. aasta
uurimisvolituste (muutmise) seaduse paragrahviga 19.
ET 29 ET
sätestatud asjaomaste volituste kohaldamisalasse kuuluvate äriühingute arvu
suurendamine,145 vaid selgitamine.
(89) Samuti tehti 2024. aasta uurimisvolituste (muutmise) seadusega mõned sihipärased
muudatused määruste väljaandmise korda, sealhulgas suunatud pealtkuulamise ja
seadmete töösse sekkumise osas, st seoses volitustega, mida saavad Ühendkuningriigis
kasutada ka konkreetsed õiguskaitseasutused kuritegude tõkestamise ja tuvastamise
eesmärkidel. Need muudatused on seotud vaid eriolukorraga, kus neid volitusi
kasutatakse sellise isiku eraeluliste või sideandmete saamiseks, kes on asjakohase
seadusandliku kogu liige146. Kui suunatud pealtkuulamise ja seadmete töösse
sekkumise määruse võib tavaliselt välja anda minister ja selle kinnitab kohtuvolinik
(vt rakendusotsuse (EL) 2021/1772 põhjendused 186–196 ja 210–215), on
uurimisvolituste seaduse paragrahvide 26 ja 111 järgi lisaks nõutud ka peaministri
kinnitus, kui määrus tehakse parlamendi või muu asjakohase seadusandliku kogu
liikme kohta (nn kolmikkinnituse menetlus). Praegu võib 2024. aasta uurimisvolituste
(muutmise) seaduse kohaselt peaminister määrata viis ministrit, kellel on õigus
teostada peaministri volitust kinnitada selliseid määruseid, tingimusel et kinnitust on
vaja kiiresti ja peaminister ei saa seda anda tervislikel põhjustel või turvalise side
puudumise tõttu. Oluline on see, et selliste määruste väljaandmise suhtes kohaldatakse
jätkuvalt piiranguid ja kaitsemeetmeid, mida on kirjeldatud rakendusotsuses
(EL) 2021/1772.
3.2.2. Kogutud teabe edasine kasutamine
(90) Kui õiguskaitseasutus jagab teise asutusega andmeid muul eesmärgil kui see, milleks
need algselt koguti (andmete edasisaatmine), siis kehtivad selle suhtes jätkuvalt
tingimused, mida on analüüsitud rakendusotsuse (EL) 2021/1772 põhjendustes 142–
156.
(91) Andmete Ühendkuningriigist Ameerika Ühendriikidesse edasisaatmise eriolukorra
suhtes kehtib Suurbritannia ja Põhja-Iiri Ühendkuningriigi valitsuse ning Ameerika
Ühendriikide valitsuse vahel 2019. aastal sõlmitud ning 2022. aasta oktoobris
jõustunud ja sellest alates kohaldatav leping, mis käsitleb juurdepääsu elektroonilistele
andmetele raskete kuritegude vastu võitlemise eesmärgil (edaspidi „Ühendkuningriigi
ja USA vaheline leping“)147. Selle lepingu järgi võidakse EList Ühendkuningriigis
asuvatele teenuseosutajatele edastatavate andmete suhtes kohaldada korraldusi esitada
tõendeid, mille on väljastanud USA pädevad õiguskaitseasutused ja mida kohaldatakse
Ühendkuningriigis.
(92) Oluline on see, et jätkuvalt kehtivad määruste väljaandmisele ja täitmisele
kohaldatavad tingimused ja kaitsemeetmed, nagu on hinnatud rakendusotsuse
(EL) 2021/1772 põhjenduses 154. Täpsemalt kehtib lepingu alusel saadud andmetele
samaväärne kaitse kui konkreetsetele kaitsemeetmetele, mis on sätestatud ELi ja USA
145 2024. aasta uurimisvolituste (muutmise) seaduse selgitavad märkused, punkt 359, kättesaadav aadressil
https://www.legislation.gov.uk/ukpga/2024/9/pdfs/ukpgaen_20240009_en.pdf. 146 2016. aasta uurimisvolituste seaduse paragrahvid 26 ja 111. 147 Suurbritannia ja Põhja-Iiri Ühendkuningriigi valitsuse ning Ameerika Ühendriikide valitsuse vaheline
leping juurdepääsu kohta elektroonilistele andmetele raskete kuritegude vastu võitlemiseks, kättesaadav
aadressil
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/83696
9/CS_USA_6.2019_Agreement_between_the_United_Kingdom_and_the_USA_on_Access_to_Electro
nic_Data_for_the_Purpose_of_Countering_Serious_Crime.pdf.
ET 30 ET
vahelises raamlepingus148 ja mis kõik on mutatis mutandis inkorporeeritud
Ühendkuningriigi ja USA vahelisse lepingusse149.
(93) Pärast rakendusotsuse (EL) 2021/1772 vastuvõtmist on Ühendkuningriik selgitanud, et
ta täpsustas, sealhulgas asjakohaste osalistega Ühendkuningriigi ja USA vahelise
lepingu rakendamise asjus suheldes, kuidas raamlepingus sisalduvaid
õiguskaitsealaseks koostööks kavandatud erikaitsemeetmeid kohandatakse ja
kohaldatakse, kui andmeid edastatakse Ühendkuningriigi ja USA vahelise lepingu
alusel. Täpsemalt on Ühendkuningriik selgitanud, et raamlepingu sätteid, milles on
nähtud ette asjaomase pädeva asutuse (mis Ühendkuningriigi teenuseosutaja ja USA
õiguskaitseasutuse vahelise otsese koostöö korral puudub) roll, tõlgendatakse mutatis
mutandis viitena vastava lepingupoole määratud asutusele (mis on määratletud
Ühendkuningriigi ja USA vahelises lepingus)150.
(94) Näiteks on Ühendkuningriik selgitanud ELi ja USA raamlepingu artikli 10 kohase
infoturbe intsidentidest teatamise kohta, mille korral on vaja teavitada andmeid
esitavat pädevat asutust, et seda sätet kohaldatakse mutatis mutandis, mis tähendab, et
teatama peab andmeid edastanud poole määratud asutusele.
(95) Pädevalt asutuselt saadud loa kohta enne isikuandmete edasisaatmist raamlepingu
artikli 7 kohaselt on Ühendkuningriik selgitanud, et seda sätet kohaldatakse mutatis
mutandis, mis tähendab, et andmeid edastanud poole määratud asutus peab andma
andmete edasisaatmiseks loa.
(96) Seoses raamlepingu artiklis 8 sätestatud andmete kvaliteedi ja tervikluse säilitamise
kohustustega muudaks selle sätte mutatis mutandis tõlgendamine andmete kvaliteedi
ja terviklusega seostuvate probleemide korral andmeid vastuvõtva poole määratud
asutuse andmete esitajaga tehtava koostöö eest vastutavaks.
(97) Kohtusse pöördumise õiguse kohta on Ühendkuningriik rõhutanud, et
Ühendkuningriigi ja USA vahelise lepingu alusel andmete edastamise korral osaleb
selles alati kummagi poole määratud asutus. Kui USA saab Ühendkuningriigis asuvalt
teenuseosutajatelt andmeid, on määratud asutus Ameerika Ühendriikide
justiitsministeerium. Ühendkuningriigi tõlgenduse kohaselt osaleb seega
justiitsministeerium iga Ühendkuningriigi ja USA vahelise lepingu alusel esitatud
taotluse lahendamises föderaalasutusena, kes on määratud USA õiguskaitseseaduse
(Judicial Redress Act) alusel, ja raamlepingu artikli 19 alusel saab seega kohtusse
nõude esitada justiitsministeeriumi vastu. Lisaks on Ühendkuningriik kinnitanud
komisjoni teenistustele, et õiguskaitseseadus ei ole õiguskaitse saamiseks ainus
mehhanism. Olenevalt olukorrast ja iga juhtumi asjaoludest on muude USA
seadustega ette nähtud ka teisi kohtumenetluse teel õiguskaitse saamise võimalusi.
3.2.3. Järelevalve ja õiguskaitse
(98) Tuginedes volitustele, mida pädevad asutused kasutavad õiguskaitse eesmärkidel
isikuandmete töötlemisel (kas 2018. aasta andmekaitseseaduse või 2016. aasta
uurimisvolituste seaduse alusel), tagavad eri asutused jätkuvalt järelevalve nende
148 Ameerika Ühendriikide ja Euroopa Liidu vaheline süütegude tõkestamise, uurimise, avastamise ja
nende eest vastutusele võtmisega seotud isikuandmete kaitse kokkulepe (ELT L 336, 10.12.2016, lk 3–
13), kättesaadav aadressil https://eur-lex.europa.eu/legal-
content/ET/TXT/PDF/?uri=CELEX:22016A1210(01)&from=ET. 149 Lepingu artikli 9 lõige 1. 150 Ühendkuningriigi ja USA vahelise lepingu artikli 1 lõike 8 kohaselt tähendab „määratud asutus“
valitsusasutust, kelle Ühendkuningriigis määrab siseminister ja USAs justiitsminister.
ET 31 ET
volituste kasutamise üle, nagu on hinnatud rakendusotsuse (EL) 2021/1772
põhjendustes 158–174, ja õiguskaitsemehhanismid on 2018. aasta andmekaitseseaduse
3. osa, 2016. aasta uurimisvolituste seaduse ja 1998. aasta inimõiguste seadusega
jätkuvalt tagatud, nagu on analüüsitud rakendusotsuse (EL) 2021/1772
põhjendustes 250–269.
(99) 2018. aasta andmekaitseseaduse 3. osa täitmise üle tehtava järelevalvega seoses on
teabekomisjoni ülesandeid ja volitusi analüüsitud rakendusotsuse (EL) 2021/1772
põhjendustes 158–160 ja 162, arvestades käesoleva otsuste punktides 2.3.1 ja 2.3.2
kirjeldatud muudatusi, mis tehti andmete (kasutamise ja neile juurdepääsu) seadusega.
(100) Alates rakendusotsuse (EL) 2021/1772 vastuvõtmisest on teabevolinik lahendanud
arvukalt kaebusi, mis on seotud eespool nimetatud volituste kasutamisega,151 viinud
ellu mitu uurimist ja võtnud täitemeetmeid seoses andmete töötlemisega
õiguskaitseasutustes. Ajavahemikus 2021–2025 viis teabevolinik läbi uurimisi ja tegi
noomitusi eri politseiorganitele selle eest, et nad ei täitnud neile pandud
andmekaitsekohustusi näiteks siis, kui nad vastasid andmetega tutvumise taotlustele,
kehtestasid turvameetmeid videovalveandmetele, käitlesid tundlikke karistusregistri
andmeid, koondasid isikute andmeid või avalikustasid isikuandmeid kolmandatele
isikutele152. Teabevolinik andis välja ka suuniseid, arvamusi ja juhiseid, mis käsitlesid
näiteks õigust tutvuda isikuandmetega või seda, kuidas menetleda 2018. aasta
andmekaitseseaduse 3. osa tähenduses selgelt põhjendamatuid või ülemääraseid
taotlusi153.
(101) Seoses uurimisvolituste kasutamisega 2016. aasta uurimisvolituste seaduse alusel
tagab sõltumatu ja kohtuliku järelevalve endiselt uurimisvolituste volinik, keda
abistavad kohtuvolinikud, kusjuures uurimisvolituste volinikku ja kohtuvolinikke koos
nimetatakse kohtuvolinikeks154. Selles valdkonnas on 2024. aasta uurimisvolituste
(muutmise) seadusega tehtud vaid väiksemaid sihipäraseid muudatusi, mis ei mõjuta
kohtuvolinike sõltumatust, ülesandeid ega volitusi, vaid on suunatud olemasoleva
järelevalvekorra tegeliku toimimise tugevdamisele eelkõige uurimisvolituste
asevoliniku lisamise abil, kellele uurimisvolituste volinik saab delegeerida erivolitusi,
kui ta ei saa oma kohustusi täita või ei ole selleks kättesaadav. Asevolinik peab olema
kohtuvolinik ja asevoliniku määrab uurimisvolituste volinik155.
3.3. Asjakohased arengusuunad seoses juurdepääsuga andmetele ja andmete
kasutamisega Ühendkuningriigi avaliku sektori asutuste poolt riigi julgeoleku
eesmärkidel
(102) Seoses uurimisvolituste teostamisega riigi julgeoleku eesmärgil pakub 2016. aasta
uurimisvolituste seadus jätkuvalt õigusraamistikku nende volituste kasutamiseks.
151 Näiteks aastatel 2023–2024 sai teabevolinik 1 890 taotlust, mis esitati isikuandmete kaitse üldmääruse
ja/või 2018. aasta andmekaitseseaduse alusel organisatsioonide kohta, kes liigituvad allsektoritesse
„politseiasutus“, „politseijõud“ ja „politseiülemad“. Vt ka teabevoliniku 2023.–2024. aasta aruanne ja
finantsaruanded, mis on kättesaadavad aadressil https://ico.org.uk/media2/migrated/4030348/annual-
report-2023-24.pdf. 152 Lisateave on kättesaadav aadressil https://ico.org.uk/action-weve-
taken/enforcement/?ensector=criminal-justice. 153 Kättesaadav aadressil https://ico.org.uk/for-organisations/law-enforcement/the-right-of-access-part-3-
of-the-dpa-2018/ ja https://ico.org.uk/for-organisations/law-enforcement/guide-to-le-
processing/individual-rights/manifestly-unfounded-and-excessive-requests/. 154 Vt rakendusotsuse (EL) 2021/1772 põhjendus 250. 155 2016. aasta uurimisvolituste seaduse paragrahv 227, mis lisati uurimisvolituste (muutmise) seaduse
paragrahviga 7.
ET 32 ET
Lisaks muudatustele, mis on seotud suunatud uurimisvolitustega, millele konkreetsetel
tingimustel saavad tugineda ka teatavad õiguskaitseasutused, nagu on kirjeldatud
käesoleva otsuse põhjendustes 77–85, on 2024. aasta uurimisvolituste (muutmise)
seadusega muudetud ka üht 2016. aasta uurimisvolituste seaduses sätestatud volitust,
mida saab laialdaselt kasutada.
(103) Täpsemalt on 2024. aasta uurimisvolituste seadusega lisatud 2016. aasta
uurimisvolituste seaduse uude osasse 7A suurte isikuandmete kogumite konkreetse
alamrühma säilitamise ja läbivaatamise erikord, st kord, mis puudutab
andmekogumeid,156 mille korral isikud, kelle isikuandmeid see kogum sisaldab, ei saa
eeldada või saavad vaid vähesel määral mõistlikult eeldada oma andmete
privaatsust157. Selle, kas suur isikuandmete kogum kuulub selle konkreetse kogumite
alamrühma hulka, teeb kindlaks luureteenistuse juht, võttes arvesse kõiki asjaolusid,
eelkõige aga järgmist: i) andmete laad; ii) mil määral on isikud oma andmeid
avalikustanud või andnud nõusoleku nende avalikustamiseks; iii) kui andmed on
avaldatud, siis mil määral on need avaldatud pärast redigeerimist või isiku poolt, kes
toimib kutsestandardite järgi; iv) kui andmed on avaldatud või muul moel
üldkasutatavad, siis mil määral on need laialdaselt tuntud; v) mil määral on andmeid
juba üldsusele kättesaadaval viisil kasutatud158.
(104) Oluline on see, et selliste suurte isikuandmete kogumite puhul, mis ei kuulu sellesse
kategooriasse, st kus on tundlikumad andmed, mille puhul võib seega mõistlikult
eeldada nende privaatsust, kehtib jätkuvalt säilitamise ja läbivaatamise kord, mida on
hinnatud rakendusotsuse (EL) 2021/1772 põhjendustes 239 ja 240, täpsemalt nõue, et
määruse vajalikkuse kinnitab esmalt minister ja siis kohtuvolinik, võttes arvesse
meetme vajalikkuse ja proportsionaalsuse nõuet, nagu on sätestatud 2016. aasta
uurimisvolituste seaduse 7. osas159.
(105) 2016. aasta uurimisvolituste seaduse osas 7A on ette nähtud kahte liiki load:
individuaalne luba ja kategooriapõhine luba. Iga osa 7A alusel kogutud suure
isikuandmete kogumi puhul tuleb selle säilitamiseks või säilitamiseks ja
läbivaatamiseks saada üks neist lubadest. Mõlemad load eeldavad põhimõtteliselt160
luureteenistuse juhi (või tema nimel tegutseva isiku) luba ja sõltumatu kohtuvoliniku
156 Suurte isikuandmete kogumite määrustega, mis antakse välja 2016. aasta uurimisvolituste seaduse
paragrahvi 200 alusel, antakse luureasutustele õigus säilitada ja läbi vaadata andmekogusid, mis
sisaldavad paljude isikute isikuandmeid ja on sellised, et oma ülesandeid täitev luureteenistus ei huvitu
või tõenäoliselt ei huvitu enamikust neist isikutest, ning luureteenistus säilitab neid andmeid
elektrooniliselt ja analüüsib neid oma seadusjärgsete ülesannete täitmisel; vt ka 2016. aasta
uurimisvolituste seaduse paragrahv 199. 157 2016. aasta uurimisvolituste seaduse paragrahvi 226A lõige 1, mis lisati 2024. aasta uurimisvolituste
(muutmise) seaduse paragrahviga 2. 158 2016. aasta uurimisvolituste seaduse paragrahvi 226A lõige 3, mis lisati 2024. aasta uurimisvolituste
(muutmise) seaduse paragrahviga 2. 159 2024. aasta uurimisvolituste (muutmise) seadusega on muudetud 2016. aasta andmekaitseseaduse
paragrahvi 213 nii, et nüüd kaotab suurte isikuandmete kogumite kohta antud määrus kehtivuse, kui
selle väljaandmisest on möödunud 12 kuud. Varem pidi määrust pikendama iga 6 kuu tagant. Vt
2024. aasta uurimisvolituste (muutmise) seaduse paragrahv 3. 160 Individuaalse loa võib ilma eelneva kohtuliku heakskiiduta anda ainult juhul, kui i) individuaalset luba
andev isik leiab, et kõnealune suur andmekogum kuulub olemasoleva kategooriapõhise loa alla, või ii)
kui tegu on kiireloomulise juhtumiga – vt 2016. aasta uurimisvolituste seaduse paragrahvi 226B lõige 6.
Viimasel juhul peab kiireloomulise individuaalse loa vaatama läbi kohtuvolinik kolme tööpäeva
jooksul alates loa väljastamise päevast – vt 2016. aasta uurimisvolituste seaduse paragrahv 226BC.
ET 33 ET
heakskiitu161. Individuaalse loa annab luureteenistuse juht 2016. aasta uurimisvolituste
seaduse paragrahvi 226B lõikes 4 sätestatud tingimustel ja eeldusel, et kohtuvolinikud
on selle eelnevalt heaks kiitnud. Kohtuvolinik peab vaatama läbi loa andnud isiku
järeldused selle kohta, kas loas kirjeldatud suure isikuandmete kogumi suhtes kehtib
paragrahv 226A, s.o nõue, et andmete privaatsust ei saa või saab ainult vähesel määral
mõistlikult eeldada162.
(106) Kategooriapõhise loaga antakse luba loas kirjeldatud suurte isikuandmete kogumite
säilitamiseks või säilitamiseks ja läbivaatamiseks.
(107) Kategooriapõhise loa andmise otsuse teeb luureteenistuse juht, kui ta leiab et mis tahes
selle kategooria andmekogumi puhul kehtib paragrahv 226A ja kui loa andmise otsuse
kiidab heaks sõltumatu kohtuvolinik163. Kohtuvolinik peab üle vaatama, kas loas
kirjeldatud andmekogumite kategooriasse kuuluva andmekogumi suhtes kohaldatakse
paragrahvi 226 (st andmete privaatsust ei saa või saab ainult vähesel määral
mõistlikult eeldada)164.
(108) Individuaalse või kategooriapõhise loa andmise otsust kinnitades peab kohtuvolinik
eelkõige „rakendama samu põhimõtteid, mida kohaldaks kohus kohtuliku
läbivaatamise ajal“,165 ja kaaluma neid küsimusi piisava hoolikusega, tagamaks, et
kohtuvolinik täidab kohustusi, mis on sätestatud 2016. aasta uurimisvolituste seaduse
paragrahvis 2 (eraelu puutumatusega seotud üldised kohustused)166. Lisaks kehtib loa
andmisel range järelkontroll eelkõige igal aastal ministrile ning parlamendi luure- ja
julgeolekukomisjonile esitatavate aastaaruannete167 ja uurimisvolituste voliniku büroo
korrapärase kontrollimise168 kaudu.
(109) Seoses asjakohaste arengusuundadega järelevalve alal on uurimisvolituste voliniku
büroo avaldanud 2021., 2022. ja 2023. aasta kohta aruanded, mis sisaldavad
üksikasjalikku statistikat ja teavet selle kohta, kuidas Ühendkuningriigi luure- ja
õiguskaitseasutused on kasutanud uurimisvolitusi169. Aruannetes on kirjeldatud ka
büroo auditeid ja uurimisi ning nende tulemusi, mis kinnitavad, et uurimisvolituste
161 2016. aasta uurimisvolituste seaduse paragrahvi 226B lõige 1, mis lisati uurimisvolituste (muutmise)
seaduse paragrahviga 2. 162 2016. aasta uurimisvolituste seaduse paragrahvi 226BB lõike 1 punkt a, mis lisati 2024. aasta
uurimisvolituste (muutmise) seaduse paragrahviga 2. 163 2016. aasta uurimisvolituste seaduse paragrahv 226BA, mis lisati uurimisvolituste (muutmise) seaduse
paragrahviga 2. 164 2016. aasta uurimisvolituste seaduse paragrahvi 226BB lõike 1 punkt b, mis lisati uurimisvolituste
(muutmise) seaduse paragrahviga 2. 165 2016. aasta uurimisvolituste seaduse paragrahvi 226BB lõike 2 punkt a, mis lisati 2024. aasta
uurimisvolituste (muutmise) seaduse paragrahviga 2. 166 2016. aasta uurimisvolituste seaduse paragrahvi 226BB lõike 2 punkt b, mis lisati 2024. aasta
uurimisvolituste (muutmise) seaduse paragrahviga 2. Kooskõlas nende 2016. aasta uurimisvolituste
seaduse paragrahvis 2 sätestatud eraelu puutumatusega seotud üldiste kohustustega peab
uurimisvolituste seaduse alusel tegutsev ametiasutus võtma arvesse seda, a) kas määruse, loa või teatega
taotletavat eesmärki on mõistlikult võimalik saavutada muude, vähem sekkuvate vahenditega, b) kas
määruse, loa või teate alusel teabe saamise suhtes kohaldatava kaitse tase on kõrgem selle teabe erilise
tundlikkuse tõttu, c) avalikku huvi telekommunikatsioonisüsteemide ja postiteenuste usaldusväärsuse ja
turvalisuse vastu ning d) muid eraelu puutumatusega seotud aspekte. 167 2016. aasta uurimisvolituste seaduse paragrahv 226DA ja paragrahv 226DB, mis lisati 2024. aasta
uurimisvolituste (muutmise) seaduse paragrahviga 2. 168 Vt uurimisvoliniku 2023. aasta aruanne, kättesaadav aadressil https://ipco-wpmedia-prod-s3.s3.eu-west-
2.amazonaws.com/E03270100-HC_603-IPCO-Annual-Report-2023-Web_Accessible.pdf, lk 3. 169 Aastaaruanded on kättesaadavad järgmisel aadressil: https://www.ipco.org.uk/publications/annual-
reports/.
ET 34 ET
volinik tagab jätkuvalt oma äärmiselt olulise järelevalvekohustuse täitmist
Ühendkuningriigi uurimisvolituste korra kohaselt. Näiteks kontrollis ta 2023. aastal
vajalikkuse ja proportsionaalsuse põhjendusi, mida valitsusside peakorter oli esitanud
laialdase pealtkuulamise kasutamise kohta (nagu on hinnatud rakendusotsuse
(EL) 2021/1772 põhjendustes 218–225), ja järeldas, et enamikul juhtudel olid taotluste
põhjendused veenvalt sõnastatud, kuigi mõnel juhul ei olnud proportsionaalsus selgelt
väljendatud. Neid tulemusi arutati valitsusside peakorteri vastavuskontrolli
osakonnaga, kes kohustus tellima selle probleemi lahendamiseks asutusesisese
teadlikkuse suurendamise lisakoolituse170.
(110) Lisaks avaldas uurimisvolituste kohus (Investigatory Powers Tribunal) avaliku
aruande oma tegevuse ja kohtupraktika kohta aastatel 2021–2023171. See aruanne
näitab, et kohtuni jõudnud juhtumite arv on alates 2017. aastast enam kui
kahekordistunud ning 2023. aastal laekus kohtule üle 400 juhtumi172. Enamik kaebusi
puudutasid õiguskaitseasutusi ja nende järel kohe luure- ja julgeolekuasutused173.
2022. ja 2023. aastal tegi kohus enne 2021. aastat laekunud asjades otsused, milles ta
leidis, et Ühendkuningriigi avaliku sektori asutused, täpsemalt Šotimaa politsei,174
Manchesteri linnapiirkonna politsei,175 Surrey politsei,176 MI5 ja siseminister177 olid
tegutsenud ebaseaduslikult. Mis puutub õiguskaitsevahenditesse, siis andis
uurimisvolituste kohus muu hulgas käsu hävitada mis tahes ebaseaduslikult saadud
materjal ning mõistis ühel juhul tuvastatud rikkumiste hüvitamiseks välja ka
12 000 naelsterlingit. Niisiis kinnitab aastaaruanne, et uurimisvolituste kohus täidab
tulemuslikult oma olulist rolli, mis tal on kriminaalõiguskaitse ja riigi julgeoleku
eesmärgil isikuandmetele juurdepääsu puhul järelevalve ja õiguskaitse tagamisel.
(111) Lisaks on aruandes toodud esile olulised sündmused, nagu Euroopa Inimõiguste Kohtu
otsus, milles kohus leidis, et üksikisikud kõikjal maailmas võivad esitada
uurimisvolituste kohtule kaebuse Ühendkuningriigi laialdase pealtkuulamise korra
kohta, kui kõnealune toiming leidis aset Ühendkuningriigis ja selle tegi
Ühendkuningriigi avaliku sektori asutus178.
4. KOKKUVÕTE
(112) Komisjon leiab, et Ühendkuningriigi isikuandmete kaitse üldmäärus ja 2018. aasta
andmekaitseseadus, mida on muudetud andmete (kasutamise ja neile juurdepääsu)
seadusega, tagavad jätkuvalt Euroopa Liidust edastavate isikuandmete kaitsetaseme,
mis on sisuliselt samaväärne määruse (EL) 2016/679 kohaselt tagatud kaitsetasemega.
170 Vt 2023. aasta aruande punktid 6.39–6.43, kättesaadav aadressil https://ipco-wpmedia-prod-s3.s3.eu-
west-2.amazonaws.com/E03270100-HC_603-IPCO-Annual-Report-2023-Web_Accessible.pdf. 171 Uurimisvolituste kohtu 2021.–2023. aasta aruanne, kättesaadav aadressil
https://investigatorypowerstribunal.org.uk/wp-content/uploads/2024/11/Investigatory-Powers-Tribunal-
Report-2024.pdf. 172 Uurimisvolituste kohtu 2021.–2023. aasta aruanne, lk 5. 173 Uurimisvolituste kohtu 2021.–2023. aasta aruanne, lk 12. 174 Wilson vs. Police Scotland [2022] UKIPTrib 5.
175 Pendlebury vs. Greater Manchester Police [2023] UKIPTrib 2.
176 Hill vs. Metropolitan Police Service & Independent Office For Police Conduct [2022] UKIPTrib 6.
177 Liberty & Privacy International vs. Security Service and Secretary of State for the Home Department
[2023] UKIPTrib 1. 178 Wieder and Guarnieri vs. UK, [2023] ECHR 668, vt ka uurimisvolituste kohtu aruanne 2021.–
2023. aasta aruanne, lk 6.
ET 35 ET
(113) Lisaks leiab komisjon, et Ühendkuningriigi õiguses ette nähtud
järelevalvemehhanismid ja õiguskaitse võimalused tervikuna võimaldavad praktikas
tuvastada rikkumisi ja nende eest karistada ning pakuvad andmesubjektile
õiguskaitsevahendeid temaga seotud isikuandmetele juurdepääsu saamiseks ning
vajaduse korral nende parandamiseks või kustutamiseks.
(114) Peale selle leiab komisjon Ühendkuningriigi õigussüsteemi kohta kättesaadava teabe
põhjal, et selliste üksikisikute põhiõiguste riivamine, kelle isikuandmeid edastavad
Euroopa Liidust Ühendkuningriiki Ühendkuningriigi avaliku sektori asutused avaliku
huviga seotud eesmärkidel, eelkõige õiguskaitse ja riigi julgeoleku eesmärkidel,
piirdub jätkuvalt sellega, mis on rangelt vajalik kõnealuse õiguspärase eesmärgi
täitmiseks, ning et selliste riivete vastu on olemas tõhus õiguskaitse.
(115) Seetõttu tuleks käesoleva otsuse järelduste põhjal otsustada, et Ühendkuningriik tagab
jätkuvalt piisava kaitsetaseme määruse (EL) 2016/679 artikli 45 tähenduses, mida
tõlgendatakse Euroopa Liidu põhiõiguste hartat silmas pidades.
(116) See järeldus põhineb nii Ühendkuningriigi asjakohasel riiklikul korral, mida on alates
rakendusotsuse (EL) 2021/1772 vastuvõtmisest edasi arendatud, kui ka riigi
rahvusvahelistel kohustustel, eelkõige Ühendkuningriigi jätkuval Euroopa inimõiguste
konventsiooni järgimisel ja Euroopa Inimõiguste Kohtu jurisdiktsioonile allumisel.
Seega on selliste rahvusvaheliste kohustuste järjepidev täitmine käesoleva otsuse
aluseks oleva hindamise eriti tähtis element.
5. KÄESOLEVA OTSUSE MÕJU JA ANDMEKAITSEASUTUSTE TEGEVUS
(117) Liikmesriigid ja nende organid peavad võtma liidu institutsioonide aktide järgimiseks
vajalikud meetmed, sest selliste aktide õiguspärasust eeldatakse ja need tekitavad
seega õiguslikke tagajärgi seni, kuni need ei ole aegunud, neid ei ole tagasi võetud,
tühistamishagi menetlemise tulemusena tühistatud ega eelotsusemenetluse tulemusel
või õigusvastasuse väite alusel kehtetuks tunnistatud.
(118) Seega on määruse (EL) 2016/679 artikli 45 lõike 3 alusel komisjoni vastu võetud otsus
kaitse piisavuse kohta siduv kõikidele liikmesriikide organitele, kes on selle otsuse
adressaadiks, sealhulgas nende sõltumatutele järelevalveasutustele. Käesoleva
otsusega muudetud rakendusotsuse (EL) 2021/1772 kohaldamise ajal võib edastada
andmeid liidus asuvalt vastutavalt või volitatud töötlejalt Ühendkuningriigis asuvatele
vastutavatele või volitatud töötlejatele ilma, et oleks vaja taotleda lisaluba.
(119) Olgu meenutatud, et vastavalt määruse (EL) 2016/679 artikli 58 lõikele 5 ja nagu
Euroopa Kohus on selgitanud Schrems I kohtuotsuses,179 peab samas olema
liikmesriigi õigusega juhuks, kui riiklik andmekaitseasutus kahtleb (sh laekunud
kaebuse põhjal) komisjoni tehtud kaitse piisavuse otsuse kooskõlas üksikisiku
põhiõigustega eraelu puutumatusele ja andmekaitsele, ette nähtud õiguskaitsevahend,
mis võimaldab tal edastada need vastuväited riigisisesele kohtule, kellelt võidakse
nõuda asja kohta Euroopa Kohtule eelotsusetaotluse esitamist180.
179 Kohtuotsus Schrems I, punkt 65. 180 Kohtuotsus Schrems I, punkt 65: „Sellega seoses on liikmesriigi seadusandja kohustatud ette nägema
õiguskaitsevahendid, mis võimaldavad järelevalveasutusel esitada siseriiklikes kohtutes väiteid, mida ta
peab põhjendatuks, selleks et kohtud juhul, kui neil on komisjoni otsuse kehtivuse suhtes samasugused
kahtlused, esitaksid eelotsusetaotluse kõnealuse otsuse kehtivuse analüüsimiseks“.
ET 36 ET
6. SEIRE
(120) Määruse (EL) 2016/679 artikli 45 lõike 4 kohaselt jälgib komisjon pidevalt
asjakohaseid arengusuundi Ühendkuningriigis, et hinnata, kas see tagab endiselt
sisuliselt vastava kaitsetaseme. Selline jälgimine on eriti oluline seetõttu, et
Ühendkuningriik kohaldab ja jõustab muudetud andmekaitsekorda. Lisaks on
Ühendkuningriigi muudetud andmekaitseraamistikuga antud ministrile volitused seda
raamistikku teiseste õigusaktidega veelgi täpsustada. Siinkohal tuleks pöörata erilist
tähelepanu sellistele lisatäpsustustele, samuti isikuandmete kolmandatele riikidele
edastamist käsitlevate Ühendkuningriigi muudetud normide praktilisele
kohaldamisele, üksikisikute õiguste teostamise tulemuslikkusele, sealhulgas kõigile
asjakohastele arengusuundadele õiguses ja praktikas, mis puudutavad selliste õiguste
suhtes hiljuti kehtestatud erandeid või piiranguid; ümberkorraldatud teabevoliniku
büroo toimimisele, sealhulgas seoses kaebuste käsitlemise ja parandusvolituste
rakendamisega, ning valitsuse juurdepääsu käsitlevate piirangute ja kaitsemeetmete
järgimisele, eelkõige seoses 2016. aasta uurimisvolituste seaduse uue osaga 7A.
Jälgimisel peaks komisjon võtma muu hulgas arvesse kohtupraktika suundumusi ning
teabevoliniku büroo ja teiste sõltumatute asutuste järelevalve tulemusel kogutud
andmeid.
(121) Jälgimise hõlbustamiseks peaksid Ühendkuningriigi ametiasutused komisjoni
viivitamata teavitama igast Ühendkuningriigi õiguskorra sisulisest muudatustest, mis
mõjutab käesoleva otsusega muudetud rakendusotsuses (EL) 2021/1772 käsitletavat
õigusraamistikku, samuti kõigist muudatustest isikuandmete töötlemise tavades, mida
on käesoleva otsusega muudetud rakendusotsuses (EL) 2021/1772 hinnatud: nii neis,
mis puudutavad isikuandmete töötlemist vastutavate ja volitatud töötlejate poolt
Ühendkuningriigi isikuandmete kaitse üldmääruse alusel, kui ka neis, mis puudutavad
piiranguid ja kaitsemeetmeid, mida kohaldatakse avaliku sektori asutuste juurdepääsul
isikuandmetele. See peaks hõlmama ka muutusi põhjenduses 120 nimetatud
elementides.
(122) Selleks et komisjonil oleks võimalik tulemuslikult täita oma järelevalvefunktsiooni,
peaksid liikmesriigid teavitama komisjoni kõikidest asjakohastest meetmetest, mida
riiklikud andmekaitseasutused võtavad, eelkõige seoses ELi andmesubjektide
päringute või kaebustega, mis puudutavad isikuandmete edastamist liidust
Ühendkuningriigis asuvatele vastutavatele või volitatud töötlejatele. Komisjoni tuleks
teavitada ka võimalikest märkidest, et kuritegude ennetamise, uurimise, avastamise või
nende eest süüdimõistmise või riigi julgeoleku eest vastutavate Ühendkuningriigi
avaliku sektori asutuste tegevus, samuti järelevalveasutuste tegevus ei taga nõutavat
kaitsetaset.
(123) Kui kättesaadavast teabest, eriti käesoleva otsusega muudetud rakendusotsuse
(EL) 2021/1772 järelevalvest tulenevast või Ühendkuningriigi või liikmesriikide
ametiasutuste esitatud teabest ilmneb, et Ühendkuningriigi pakutav kaitsetase ei pruugi
enam olla piisav, peaks komisjon sellest kohe teavitama Ühendkuningriigi pädevaid
asutusi ning nõudma asjakohaste meetmete võtmist kindlaksmääratud tähtaja jooksul,
mis ei või olla pikem kui kolm kuud. Vajaduse korral võib seda tähtaega pikendada
kindlaksmääratud tähtaja võrra, võttes arvesse tõstatatud küsimuse ja/või võetavate
meetmete laadi. Näiteks algatataks selline menetlus juhul, kui andmete edasisaatmisel,
ka siis, kui seda tehakse ministri vastuvõetud uute kaitse piisavuse määruste või
Ühendkuningriigi sõlmitud rahvusvaheliste lepingute alusel, ei järgitaks enam
kaitsemeetmeid, millega tagatakse kaitse jätkuvus määruse (EL) 2016/679 artikli 44
tähenduses.
ET 37 ET
(124) Kui Ühendkuningriigi pädevad asutused ei ole kindlaksmääratud tähtaja jooksul neid
meetmeid võtnud või muul viisil rahuldavalt tõendanud, et käesolev otsus põhineb
endiselt piisaval kaitsetasemel, algatab komisjon määruse (EL) 2016/679 artikli 93
lõikes 2 osutatud menetluse käesoleva otsuse osaliseks või täielikuks peatamiseks või
kehtetuks tunnistamiseks.
(125) Teise võimalusena algatab komisjon menetluse käesoleva otsuse muutmiseks, et
eelkõige kehtestada andmete edastamiseks lisatingimused või piirata kaitse piisavuse
otsuse kohaldamisala selliselt, et selle alla kuuluks üksnes andmeedastus, mille puhul
on kaitse piisav tase jätkuvalt tagatud.
(126) Nõuetekohaselt põhjendatud, tungivalt vajalikul ja kiireloomulisel juhul kasutab
komisjon võimalust võtta kooskõlas määruse (EL) 2016/679 artikli 93 lõikes 3
osutatud menetlusega vastu viivitamata kohaldatavad rakendusaktid, millega otsus
peatatakse või tunnistatakse kehtetuks või seda muudetakse.
7. KÄESOLEVA OTSUSE KOHALDAMISE LÄBIVAATAMINE, KESTUS JA
PIKENDAMINE
(127) Kohaldades määruse (EL) 2016/679 artikli 45 lõiget 3 ja pidades silmas asjaolu, et
Ühendkuningriigi õiguskorrast tulenev kaitsetase võib muutuda, peaks komisjon pärast
käesoleva otsuse vastuvõtmist korrapäraselt kontrollima, kas järeldused
Ühendkuningriigi tagatava kaitse piisava taseme kohta on endiselt faktiliselt ja
õiguslikult põhjendatud, võttes arvesse määruse (EL) 2016/679 artikli 45 lõikes 2
loetletud elemente. Sellised hindamised peaksid toimuma vähemalt iga nelja aasta
tagant ja need peaksid hõlmama kõiki käesoleva otsuse toimimise aspekte, sealhulgas
asjaomaste järelevalve- ja täitmise tagamise mehhanismide toimimist.
(128) Läbivaatamiseks peaks komisjon kohtuma Ühendkuningriigi ametiasutuste, sealhulgas
teabekomisjoni asjakohaste esindajatega. Sellel kohtumisel peaks olema lubatud
osaleda ka Euroopa Andmekaitsenõukogu liikmete esindajatel. Läbivaatamise raames
peaks komisjon laskma Ühendkuningriigil esitada põhjalikku teavet kõigi kaitse
piisavuse järelduse seisukohast oluliste aspektide kohta. Samuti peaks komisjon
küsima selgitusi käesoleva otsuse seisukohast olulise teabe kohta, mille ta on saanud
näiteks Euroopa Andmekaitsenõukogult, konkreetsetelt andmekaitseasutustelt,
kodanikuühiskonna rühmadelt, avalikest aruannetest, meediakajastustest või muudest
kättesaadavatest teabeallikatest.
(129) Läbivaatamise alusel peaks komisjon koostama avaliku aruande, mis esitatakse
Euroopa Parlamendile ja nõukogule.
(130) Komisjon peab võtma ka arvesse seda, et andmekaitseraamistik, mida on hinnatud
selles otsuses ja rakendusotsuses (EL) 2021/1772, võib edasi areneda.
(131) Seepärast on asjakohane sätestada, et käesoleva otsuse kohaldamise periood on kuus
aastat alates selle jõustumisest.
(132) Kui eelkõige käesoleva otsuse järelevalvest tulenev teave näitab, et Ühendkuningriigis
tagatud kaitse taseme piisavusega seotud tähelepanekud on endiselt faktiliselt ja
õiguslikult põhjendatud, peaks komisjon hiljemalt kuus kuud enne käesoleva otsuse
kohaldamise lõppu algatama käesoleva otsuse muutmise menetluse, et pikendada selle
kohaldamisaega põhimõtteliselt veel nelja aasta võrra. Käesolevat otsust muutvad
rakendusaktid võetakse vastu määruse (EL) 2016/679 artikli 93 lõikes 2 osutatud
korras.
ET 38 ET
8. LÕPPMÄRKUSED
(133) Euroopa Andmekaitsenõukogu avaldas oma arvamuse,181 mida on käesoleva otsuse
koostamisel arvesse võetud.
(134) Käesoleva otsusega ettenähtud meetmed on kooskõlas määruse (EL) 2016/679
artikli 93 kohaselt loodud komitee arvamusega.
(135) Seepärast tuleks rakendusotsust (EL) 2021/1772 vastavalt muuta,
ON VASTU VÕTNUD KÄESOLEVA OTSUSE:
Artikkel 1
Rakendusotsuse (EL) 2021/1772 artikli 1 lõige 2 tunnistatakse kehtetuks.
Artikkel 2
Rakendusotsuse (EL) 2021/1772 artikkel 4 asendatakse järgmisega:
„Artikkel 4
Käesolev otsus kehtib kuni 27. detsembrini 2031, kui selle kehtivust ei pikendata määruse
(EL) 2016/679 artikli 93 lõikes 2 osutatud korras.“
Artikkel 3
Käesolev otsus on adresseeritud liikmesriikidele.
Brüssel, 19.12.2025
Komisjoni nimel
Michael McGRATH
komisjoni liige
181 Arvamus 26/2025 Euroopa Komisjoni rakendusotsuse eelnõu kohta, mis põhineb Euroopa Parlamendi
ja nõukogu direktiivil (EL) 2016/679 ning käsitleb isikuandmete piisavat kaitset Ühendkuningriigis;
kättesaadav aadressil https://www.edpb.europa.eu/system/files/2025-
10/edpb_opinion_202526_united_kingdom_adequacy_gdpr_en.pdf.
Tere
Edastame.
Reg. number: 10.2-11/1230
Reg. kuupäev: 19.12.2025
Sisu: KOMISJONI RAKENDUSOTSUS, 19.12.2025, millega muudetakse komisjoni 28. juuni 2021. aasta rakendusotsust (EL) 2021/1772, mis põhineb Euroopa Parlamendi ja nõukogu määrusel (EL) 2016/679 ning käsitleb isikuandmete piisavat kaitset Ühendkuningriigis (teatavaks tehtud numbri C(2021)4800 all)
Parimat
Raili Lillemets
Sekretär
Eesti alaline esindus Euroopa Liidu juures
ET ET
EUROOPA KOMISJON
Brüssel, 19.12.2025
C(2025) 8771 final
KOMISJONI RAKENDUSOTSUS,
19.12.2025,
millega muudetakse komisjoni 28. juuni 2021. aasta rakendusotsust (EL) 2021/1772, mis
põhineb Euroopa Parlamendi ja nõukogu määrusel (EL) 2016/679 ning käsitleb
isikuandmete piisavat kaitset Ühendkuningriigis (teatavaks tehtud numbri C(2021)4800
all)
(EMPs kohaldatav tekst)
ET 1 ET
KOMISJONI RAKENDUSOTSUS,
19.12.2025,
millega muudetakse komisjoni 28. juuni 2021. aasta rakendusotsust (EL) 2021/1772, mis
põhineb Euroopa Parlamendi ja nõukogu määrusel (EL) 2016/679 ning käsitleb
isikuandmete piisavat kaitset Ühendkuningriigis (teatavaks tehtud numbri C(2021)4800
all)
(EMPs kohaldatav tekst)
EUROOPA KOMISJON,
võttes arvesse Euroopa Liidu toimimise lepingut,
võttes arvesse Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrust (EL) 2016/679
füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning
direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus),1 eriti selle
artikli 45 lõiget 3,
ning arvestades järgmist:
1. SISSEJUHATUS
(1) Rakendusotsuses (EL) 2021/17722 järeldati, et määruse (EL) 2016/679 artikli 45
kohaldamisel tagab Ühendkuningriik kõnealuse määruse kohaldamisalas Euroopa
Liidust Ühendkuningriiki edastatavate isikuandmete kaitse piisava taseme3.
(2) Komisjon võttis rakendusotsuse (EL) 2021/1772 vastuvõtmisel arvesse, et
Suurbritannia ja Põhja-Iiri Ühendkuningriigi Euroopa Liidust ja Euroopa
Aatomienergiaühendusest väljaastumise lepingus4 ette nähtud üleminekuperioodi
lõppemisel ning kui ühelt poolt Euroopa Liidu ja Euroopa Aatomienergiaühenduse
ning teiselt poolt Suurbritannia ja Põhja-Iiri Ühendkuningriigi vahelise kaubandus- ja
koostöölepingu5 artikli 782 kohase ajutise sätte kohaldamine on lõppenud, võtab
Ühendkuningriik vastu uue andmekaitsekorra, mis erineb korrast, mis kehtis, kui
Ühendkuningriigile oli siduv Euroopa Liidu õigus, ning hakkab uut korda kohaldama
ja tagab selle täitmise.
1 ELT L 119, 4.5.2016, lk 1. 2 Komisjoni 28. juuni 2021. aasta rakendusotsus (EL) 2021/1772, mis põhineb Euroopa Parlamendi ja
nõukogu määrusel (EL) 2016/679 ning käsitleb isikuandmete piisavat kaitset Ühendkuningriigis
(ELT L 360, 11.10.2021, lk 1, ELI: http://data.europa.eu/eli/dec_impl/2021/1772/oj). 3 Vt otsuse (EL) 2021/1772 artikli 1 lõige 1. Kõnealuse otsuse artikli 1 lõike 2 kohaselt ei hõlma otsus
isikuandmeid, mida edastatakse Ühendkuningriigi sisserände kontrolliga seotud eesmärkidel või mis
kuuluvad muul moel Ühendkuningriigi 2018. aasta andmekaitseseaduse 2. lisa punkti 4 alapunktiga 1
ette nähtud erandi kohaldamisalasse. 4 ELT C 384I, 12.11.2019, lk 1. 5 ELT L 149, 30.4.2021, lk 10, ELI: http://data.europa.eu/eli/agree_internation/2021/689(1)/oj.
ET 2 ET
(3) Kuna see võib sisaldada muudatusi rakendusotsuses (EL) 2021/1772 hinnatud
andmekaitseraamistikus või muid asjakohaseid muudatusi, peeti asjakohaseks
sätestada, et kõnealust otsust kohaldatakse nelja aasta jooksul alates selle jõustumisest.
Rakendusotsus (EL) 2021/1772 pidi seega kehtima kuni 27. juunini 2025, kui selle
kehtivust ei pikendata määruse (EL) 2016/679 artikli 93 lõikes 2 osutatud korras.
(4) Rakendusotsuse (EL) 2021/1772 võimaliku pikendamise otsustamiseks peab komisjon
hindama, kas järeldus, et Ühendkuningriik tagab kaitse piisava taseme, on faktiliselt ja
õiguslikult põhjendatud, võttes arvesse muutusi, mis on toimunud pärast
rakendusotsuse (EL) 2021/1772 vastuvõtmist, võttes arvesse määruse (EL) 2016/679
artikli 45 lõikes 2 loetletud elemente.
(5) Täpsemalt esitas Ühendkuningriigi valitsus 23. oktoobril 2024 parlamendile andmete
(kasutamise ja neile juurdepääsu) seaduse eelnõu,6 mis sisaldas ettepanekuid muuta
Ühendkuningriigi isikuandmete kaitse üldmäärust ja 2018. aasta andmekaitseseadust,
mida on hinnatud rakendusotsuses (EL) 2021/1772. Komisjon võttis 24. juunil 2025
vastu rakendusotsuse (EL) 2025/, millega pikendati rakendusotsuse (EL) 2021/1772
kehtivust kuue kuu võrra ehk 27. detsembrini 20257. See ajaliselt piiratud tehniline
pikendus võimaldas komisjonil viia lõpule Ühendkuningriigis kehtiva isikuandmete
kaitse piisava taseme hindamise stabiilse õigusraamistiku alusel, st pärast asjakohase
seadusandliku protsessi lõpetamist8.
(6) Pärast rakendusotsuse (EL) 2021/1772 vastuvõtmist on komisjon pidevalt jälginud
asjakohaseid arengusuundi Ühendkuningriigis9. Rakendusotsuse (EL) 2021/1772
põhjenduse 281 kohaselt pöörati erilist tähelepanu Ühendkuningriigi nende normide
kohaldamisele praktikas, mis reguleerivad isikuandmete edastamist kolmandatele
riikidele, ja mõjule, mida see võib avaldada rakendusotsuse (EL) 2021/1772 alusel
edastatud andmete kaitse tasemele, üksikisikute õiguste tulemuslikule teostamisele,
sealhulgas kõigile asjakohastele arengusuundadele õiguses ja praktikas, mis võivad
viia üksikisiku õigustest erandite tegemiseni või nende piiramiseni (eeskätt sisserände
tulemusliku kontrolli säilitamise erandile), ning valitsuse juurdepääsuga seotud
piirangute ja kaitsemeetmete järgimisele. Muude elementide hulgas on komisjon
võtnud jälgimisel arvesse kohtupraktika arengusuundi ning teabevoliniku büroo ja
teiste sõltumatute organite tehtavat järelevalvet.
(7) Nende arengusuundade, sealhulgas andmete (kasutamise ja neile juurdepääsu)
seadusega Ühendkuningriigi isikuandmete kaitse üldmääruses ja 2018. aasta
andmekaitsemääruses tehtud muudatuste alusel järeldab komisjon, et Ühendkuningriik
tagab jätkuvalt määruse (EL) 2016/679 raames Euroopa Liidust Ühendkuningriiki
edastatavatele isikuandmete kaitse piisava taseme.
(8) Samuti järeldab komisjon, et võttes arvesse muudatusi, mis on tehtud
Ühendkuningriigi õigusaktide asjakohastes sätetes,10 ei ole enam põhjendatud
6 Kättesaadav aadressil https://bills.parliament.uk/bills/3825/news. 7 Komisjoni rakendusotsus (EL) 2025/1226, millega muudetakse komisjoni 28. juuni 2021. aasta
rakendusotsust (EL) 2021/1772, mis põhineb Euroopa Parlamendi ja nõukogu määrusel (EL) 2016/679
ning käsitleb isikuandmete piisavat kaitset Ühendkuningriigis (ELT L, 2025/1226, 26.6.2025, ELI:
http://data.europa.eu/eli/dec_impl/2025/1226/oj). 8 Andmete (kasutamise ja neile juurdepääsu) seadus sai kuningliku heakskiidu 19. juunil 2025. 9 Määruse (EL) 2016/679 artikli 45 lõige 4. 10 2021. aasta mais leidis Inglismaa ja Walesi apellatsioonikohus (England and Wales Court of Appeal), et
Ühendkuningriigi andmekaitseseaduse 2. lisa punkti 4 alapunkti 1 sõnastuses ei ole sisserände erand
enam kooskõlas Ühendkuningriigi õigusaktidega, sest selles seadusandlikus meetmes puuduvad
ET 3 ET
rakendusotsuse (EL) 2021/1772 kohaldamisalast selliste isikuandmete väljajätmine,
mida edastatakse Ühendkuningriigi sisserände kontrolliga seotud eesmärkidel või mis
kuuluvad muul moel Ühendkuningriigi andmekaitseseaduse 2. lisa punkti 4
alapunktile 1 vastava sisserände tulemusliku kontrolli säilitamise eesmärkidel
andmesubjektide teatavate õiguste erandi (sisserände erandi) alla, nagu on selgitatud
käesoleva otsuse põhjenduses 37.
2. ISIKUANDMETE TÖÖTLEMISE SUHTES KOHALDATAVATE
ÕIGUSNORMIDEGA SEOTUD ASJAKOHASED ARENGUSUUNAD
2.1. Ühendkuningriigi andmekaitseraamistik
(9) Rakendusotsuse (EL) 2021/1772 vastuvõtmise ajal koosnes Ühendkuningriigi
isikuandmete kaitse raamistik järgmistest õigusaktidest:
– Ühendkuningriigi isikuandmete kaitse üldmäärus,11 mis lisati
Ühendkuningriigi õigusesse 2018. aasta Euroopa Liidust väljaastumise
seadusega12 ja mida on muudetud 2019. aasta andmekaitset, eraelu
puutumatust, elektroonilist sidet (muudatused jms) (EList väljaastumist)
käsitleva määrusega13;
– 2018. aasta andmekaitseseadus,14 mida on muudetud andmekaitse, eraelu
puutumatuse ja elektroonilise side määrusega.
erisätted, milles oleks kehtestatud Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 23 lõikes 2
loetletud kaitsemeetmed. Kohtuotsuse täitmiseks muutis Ühendkuningriigi valitsus sisserände erandit,
võttes vastu 2018. aasta andmekaitseseadust (2. lisa erandite muutmist) käsitleva 2022. aasta määruse.
Kuid ka muudetud erand vaidlustati põhjusel, et see ei olnud kooskõlas Ühendkuningriigi isikuandmete
kaitse üldmääruse artikli 23 lõikega 2. Apellatsioonikohtu 11. detsembri 2023. aasta otsusega tunnistati
sisserände erand ka muudetud kujul Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 23
lõikega 2 vastuolus olevaks. Vastuolu kõrvaldamiseks võttis Ühendkuningriigi valitsus vastu
2018. aasta andmekaitseseadust (2. lisa erandi muutmist) käsitleva 2024. aasta määruse, mis jõustus
8. märtsil 2024. 11 Isikuandmete kaitse üldmäärus, kättesaadav aadressil
https://www.legislation.gov.uk/eur/2016/679/contents. 12 2018. aasta Euroopa Liidust väljaastumise seadus, kättesaadav aadressil
https://www.legislation.gov.uk/ukpga/2018/16/contents, millega lisati üleminekuperioodi lõppedes
Ühendkuningriigi õigusesse kogu Ühendkuningriigis vahetult kohaldatav liidu õigus. Selliste jätkuvalt
kohaldatavate ELi õigusaktide hulka kuulub tervikuna määrus (EL) 2016/679, sealhulgas selle
põhjendused (vt 2018. aasta Euroopa Liidust väljaastumise seaduse selgitavad märkused, punkt 83,
kättesaadav aadressil https://www.legislation.gov.uk/ukpga/2018/16/pdfs/ukpgaen_20180016_en.pdf).
Kõnealuse seaduse kohaselt pidid Ühendkuningriigi kohtud tõlgendama muutmata kujul jätkuvalt
kohaldatavaid ELi õigusakte kooskõlas Euroopa Kohtu asjaomase kohtupraktika ja liidu õiguse
üldpõhimõtetega sellisel kujul, nagu need kehtisid vahetult enne üleminekuperioodi lõppu (vastavalt
„jätkuvalt kohaldatav ELi kohtupraktika“ ja „jätkuvalt kohaldatavad liidu õiguse põhimõtted“). 13 2019. aasta andmekaitset, eraelu puutumatust, elektroonilist sidet (muudatused jms) käsitlev (EList
väljaastumise) määrus, kättesaadav aadressil
https://www.legislation.gov.uk/uksi/2019/419/contents/made, mida on muudetud 2020. aasta
andmekaitse, eraelu puutumatuse ja elektroonilise side määrusega; kättesaadav aadressil
https://www.legislation.gov.uk/ukdsi/2020/9780348213522. Andmekaitse, eraelu puutumatuse ja
elektroonilise side määrusega muudeti määrust (EL) 2016/679, mis lisati Ühendkuningriigi õigusesse
2018. aasta Euroopa Liidust väljaastumise seaduse, 2018. aasta andmekaitseseaduse ja muude
andmekaitsealaste õigusaktidega, et viia see vastavusse riigisisese kontekstiga. 14 2018. aasta andmekaitseseadus, kättesaadav aadressil
https://www.legislation.gov.uk/ukpga/2018/12/contents. Enne Ühendkuningriigi väljaastumist Euroopa
Liidust ja üleminekuperioodi vältel olid riigisisesed õigusnormid nähtud ette 2018. aasta
ET 4 ET
(10) Kuigi need kaks õigusakti, mis järgisid üsna täpselt vastavaid Euroopa Liidus
kohaldatavaid norme, kujutavad endast jätkuvalt Ühendkuningriigi andmekaitsealaseid
õigusnorme, on neid sellest alates teatud määral muudetud ja see kajastab seda, et
Ühendkuningriigi suhtes ei kohaldata enam Euroopa Liidu õigust.
(11) Esiteks on 2023. aasta jätkuvalt kohaldatavate ELi õigusaktide (kehtetuks tunnistamise
ja reformimise) seaduses15 selgitatud, et ELi õiguse üldpõhimõtted ei ole pärast
2023. aasta lõppu enam Ühendkuningriigi õiguse osa16. Ühendkuningriigi kohtud ei
pea enam tõlgendama muutmata kujul ühtlustatud õigusakte, mida varem nimetati
„jätkuvalt kohaldatavateks ELi õigusaktideks“, kooskõlas ELi õiguse
üldpõhimõtetega, vaid selliseid õigusakte tuleb nüüd tõlgendada kooskõlas
Ühendkuningriigi õigusega17. Siiski peavad Ühendkuningriigi asjaomased kohtud
senini tõlgendama muutmata kujul sarnastatud õigusakte kooskõlas Euroopa Kohtu
asjaomase kohtupraktikaga, nagu see kehtis enne üleminekuperioodi lõppu,18 mida on
selgitatud ka rakendusotsuse (EL) 2021/1772 põhjenduses 13. 2018. aasta
andmekaitseseadust on muudetud andmete (kasutamise ja neile juurdepääsu)
seadusega, et selgitada jätkuvalt kohaldatavate ELi õigusaktide (kehtetuks
tunnistamise ja reformimise) seaduse mõju Ühendkuningriigi andmekaitsealastele
õigusaktidele. Näiteks on 2018. aasta andmekaitseseaduse paragrahvi 183A lõikes 1
nähtud ette üldreegel, mille kohaselt eeldatakse iga uue õigusakti puhul (mis võetakse
vastu alates 20. augustist 2025), millega kehtestatakse isikuandmete töötlemisega
seotud uued kohustused või õigused, et selle suhtes kehtivad Ühendkuningriigi
õiguskaitsealased õigusaktid. See tähendab, et Ühendkuningriigi andmekaitseraamistik
on muude õigusaktide suhtes jätkuvalt ülimuslik. 2018. aasta andmekaitseseaduse
paragrahvi 183A lõike 2 punkti b kohaselt ei kohaldata seda eeldust juhul, kui
Ühendkuningriigi parlament sätestab õigusaktis sõnaselgelt teisiti, misläbi säilitatakse
parlamentaarne suveräänsus. Lisaks on 2018. aasta andmekaitseseaduse
paragrahvi 186A lõikes 2A selgitatud, et 2018. aasta andmekaitseseaduse
paragrahvi 186 lõikes 3 loetletud andmesubjektide õigustele kehtivaid piiranguid ei
kaalu üles 2018. aasta andmekaitseseaduse paragrahvi 186 lõige 1, milles on
sätestatud, et teabe avalikustamist keelavad või piiravad õigusaktid ei kaalu üles
teatavaid andmekaitseõiguseid. Sellega tagatakse, et näiteks 2018. aasta
andmekaitseseaduses andmesubjektide õigustele kehtestatud piirangud ise ei kuulu
2018. aasta andmekaitseseaduse paragrahvi 186 lõike 1 kohase üldise „andmekaitse
ülimuslikkuse“ alla.
(12) Teiseks on pärast rakendusotsuse (EL) 2021/1772 vastuvõtmist Ühendkuningriigi
andmekaitsealaseid õigusakte muudetud 2023. aasta muudetud andmekaitsemäärusega
(põhiõigused ja -vabadused)19. Selles määruses on Ühendkuningriigi isikuandmete
kaitse üldmääruse ja 2018. aasta andmekaitseseaduse (mis varasema määratluse järgi
andmekaitseseaduses, millega täpsustati ja piirati määrusega (EL) 2016/679 lubatud juhtudel määruse
(EL) 2016/679 normide kohaldamist ning võeti üle direktiiv (EL) 2016/680. 15 Kättesaadav aadressil https://www.legislation.gov.uk/ukpga/2023/28. 16 Jätkuvalt kohaldatavate ELi õigusaktide (kehtetuks tunnistamise ja reformimise) seadusega muudetud
2018. aasta Euroopa Liidust väljaastumise seaduse paragrahv 5. 17 Jätkuvalt kohaldatavate ELi õigusaktide (kehtetuks tunnistamise ja reformimise) seadusega muudetud
2018. aasta Euroopa Liidust väljaastumise seaduse paragrahvi 5 lõige A2. 18 Jätkuvalt kohaldatavate ELi õigusaktide (kehtetuks tunnistamise ja reformimise) seadusega muudetud
2018. aasta Euroopa Liidust väljaastumise seaduse paragrahvi 6 lõiked 3 ja 7. 19 Kättesaadav aadressil https://www.gov.uk/government/publications/the-data-protection-fundamental-
rights-and-freedoms-amendment-regulations-2023.
ET 5 ET
hõlmasid ELi põhiõigusi ja -vabadusi20) viited põhiõigustele ja -vabadustele
määratletud viidetena Euroopa inimõiguste konventsioonis sätestatud õigustele, mis
kehtestati Ühendkuningriigi õiguses 1998. aasta inimõiguste seadusega21. 1998. aasta
inimõiguste seadusega lisati Euroopa inimõiguste konventsioonis sisalduvad õigused
Ühendkuningriigi õigusesse. Inimõiguste seadusega on kõikidele isikutele antud
põhiõigused ja -vabadused, mis on sätestatud Euroopa inimõiguste konventsiooni
artiklites 2–12 ja 14, konventsiooni protokolli nr 1 artiklites 1, 2 ja 3 ning protokolli
nr 13 artiklis 1, mida tõlgendatakse koostoimes selle konventsiooni artiklitega 16, 17
ja 18. Nende hulka kuuluvad õigus era- ja perekonnaelu austamisele (ja selle osana
isikuandmete kaitsele) ning õigus õiglasele kohtumenetlusele22.
(13) Samuti on andmete (kasutamise ja neile juurdepääsu) seaduse 5. ja 6. osaga
sihipäraselt muudetud Ühendkuningriigi isikuandmete kaitse üldmäärust ja 2018. aasta
andmekaitseseadust. Kuigi andmete (kasutamise ja neile juurdepääsu) seaduse
kohaldamisala hõlmab enamat kui vaid isikuandmete kaitset, on sellega muudetud
vähesel määral ka andmekaitsekorra mitut aspekti, nagu normid, mis käsitlevad
andmete töötlemist teadusuuringute eesmärgil, andmete töötlemise õiguslikud alused,
eesmärgi piiramise põhimõttega seotud normid ja automatiseeritud töötlusel
põhinevate otsuste tegemise tingimused. Lisaks muudetakse andmete (kasutamise ja
neile juurdepääsu) seadusega teabevoliniku büroo juhtimisstruktuuri. Nende meetmete
jõustumisel asendatakse teabevoliniku büroo uue üksusega ehk teabekomisjoniga.
Selle reguleeriva asutuse kui Ühendkuningriigi sõltumatu andmekaitse
järelevalveasutuse roll ja ülesanded jäävad samaks. Samuti antakse reguleerivale
asutusele selle seadusega uued täitmise tagamise volitused.
(14) Käesolevas otsuses hinnatakse seadusandlikke, regulatiivseid ja muid muudatusi, mis
on asjakohased seoses rakendusotsuses (EL) 2021/1772 esitatud järeldusega
Ühendkuningriigi tagatud kaitsetaseme kohta. Rakendusotsuses (EL) 2021/1772
esitatud hinnang kehtib ka edaspidi nende Ühendkuningriigi andmekaitseraamistiku
aspektide kohta, mida ei ole muudetud või mida ei ole mõjutanud muud muudatused,
mis on tehtud alates rakendusotsuse (EL) 2021/1772 vastuvõtmisest.
(15) Seadusandlikke, regulatiivseid ja muid asjaomaseid arengusuundi analüüsitakse
üksikasjalikult järgmistes osades, tuginedes kaitse piisavuse nõudele, mille kohaselt
peab komisjon tegema kindlaks, kas asjaomane kolmas riik tagab kaitsetaseme, mis
„sisuliselt vastab“ Euroopa Liidus tagatud kaitsetasemele23. Nagu Euroopa Liidu
Kohus on selgitanud, ei eelda see identset kaitsetaset24. Eelkõige võivad vahendid,
mida asjaomane kolmas riik isikuandmete kaitsmiseks kasutab, erineda nendest, mida
rakendatakse Euroopa Liidus, kuivõrd need osutuvad praktikas piisava kaitsetaseme
tagamisel tulemuslikuks25. Kaitse piisavuse nõue ei eelda seega, et liidu õigusnorme
tuleb punkt-punktilt kopeerida. Küsimus on pigem selles, kas välisriigi õigussüsteem
20 ELi põhiõigused ja -vabadused kehtisid Ühendkuningriigi õiguses 2018. aasta Euroopa Liidust
väljaastumise lepingu paragrahvi 4 alusel, mis tunnistati kehtetuks 2023. aasta lõpus jätkuvalt
kohaldatavate ELi õigusaktide (kehtetuks tunnistamise ja reformimise) seadusega. 21 2023. aasta muudetud andmekaitsemääruse (põhiõigused ja -vabadused) paragrahvi 2 lõige 3. 22 Euroopa inimõiguste konventsiooni artiklid 6, 8, 10 ja 13 (vt ka 1998. aasta inimõiguste seaduse 1. lisa). 23 Määruse (EL) 2016/679 põhjendus 104. 24 Otsus kohtuasjas C-362/14, Schrems (edaspidi „kohtuotsus Schrems I“), ECLI:EU:C:2015:650,
punkt 73. 25 Kohtuotsus Schrems I, punkt 74.
ET 6 ET
tervikuna tagab andmekaitseõiguste sisu, nende tulemusliku rakendamise, järelevalve
ja jõustamise kaudu nõutava isikuandmete kaitse taseme26.
2.1.1. Mõisted
(16) Ühendkuningriigi andmekaitsekorras kehtivad jätkuvalt andmekaitse põhimõisted, mis
vastavad määruses (EL) 2016/67 kasutatud terminoloogiale. Neid mõisteid on
hinnatud rakendusotsuse (EL) 2021/1772 põhjenduses 23.
(17) Kuigi andmete (kasutamise ja neile juurdepääsu) seaduses on enamik määratlusi jäetud
muutmata, on Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 4 lõigetesse 2,
3, 4 ja 5 lisatud konkreetsed määratlused, mis on seotud isikuandmete töötlemisega
teadus- ja ajaloouuringute ning statistilisel eesmärgil. Lõikes 2 on „töötlemine
teadusuuringute eesmärgil“ määratletud isikuandmete töötlemisena mis tahes
uuringute eesmärgil, mida saab põhjendatult pidada teaduslikuks. Teadusuuringuid
võib rahastada avaliku sektori või eravahenditest ja viia ellu kaubandusliku või
mittekaubandusliku tegevusena. Samamoodi nagu määruse (EL) 2016/679
põhjenduses 159, on lõikes 3 esitatud mittetäielik loetelu uuringutest, mis kuuluvad
teaduslikul eesmärgil tehtud uuringute alla, sealhulgas näiteks tehnoloogiaarendus,
tutvustamistegevus, alusuuringud ja rakendusuuringud. Lõikes 4 on selgitatud, et
„ajaloouuringud“ hõlmavad ka genealoogilisi uuringuid, mis on ajaloouuringute
eesmärgiks tunnistatud ka määruse (EL) 2016/679 põhjenduses 160. Samuti on
lõikes 5 töötlemine statistilisel eesmärgil määratletud andmete töötlemisena
statistikauuringute või statistika koostamise jaoks, kui andmeid koondatakse määral,
mil neid ei peeta enam isikuandmeteks. Lisaks ei tohi töödeldud andmeid ega saadud
teavet kasutada selliste otsuste tegemiseks või meetmete võtmiseks, mis on suunatud
konkreetsele isikule. Määratlus on kooskõlas määruse (EL) 2016/679 põhjenduses 162
väljendatud arusaamaga statistiliste eesmärkide kohta.
(18) Seega võib järeldada, et kuigi Ühendkuningriigi isikuandmete kaitse üldmääruse
artikli 4 muudatustega on lisatud konkreetsed määratlused, mis käsitlevad andmete
töötlemist teadusuuringute, ajaloouuringute ja statistilisel eesmärgil, on need
kooskõlas määruse (EL) 2016/679 sõnastuse ja mõttega, nagu seda on kajastatud
eespool osutatud põhjendustes 159, 160 ja 162.
(19) Lõike 6 lisamisega Ühendkuningriigi isikuandmete kaitse üldmääruse artiklisse 4 on
andmete (kasutamise ja neile juurdepääsu) seadusega kehtestatud ka andmesubjektilt
teadusuuringute eesmärgil isikuandmete töötlemiseks nõusoleku saamise konkreetne
raamistik. Sarnaselt määruse (EL) 2016/679 põhjendusega 33, milles on tunnistatud, et
teadusuuringute valdkonnas ei ole võimalik täielikult kindlaks määrata
teadusuuringute eesmärgil toimuva andmetöötluse eesmärki, on uue sättega lubatud
nõusoleku saamine ulatuslikumas vormis, võimaldades andmesubjektidel anda kehtiva
nõusoleku isegi siis, kui uuringu täpset eesmärki ei ole andmete kogumise ajal
võimalik täielikult kindlaks määrata, tingimusel et nõusoleku saamisel järgitakse
konkreetses teadusuuringuvaldkonnas tunnustatud eetikanorme. Igal juhul peaks
andmesubjektidel olema võimalus anda nõusolekut üksnes teadusuuringu teatavatele
osadele, kui see on võimalik.
26 Vt komisjoni 10. jaanuari 2017. aasta teatis Euroopa Parlamendile ja nõukogule „Isikuandmete
vahetamine ja kaitsmine globaliseerunud maailmas“, COM(2017) 7, punkt 3.1, lk 6–7, kättesaadav
aadressil https://eur-lex.europa.eu/legal-content/ET/TXT/PDF/?uri=CELEX:52017DC0007&from=ET.
ET 7 ET
(20) Peale selle on andmete (kasutamise ja neile juurdepääsu) seadusega veelgi täpsustatud
varem Ühendkuningriigi isikuandmete kaitse üldmääruse artiklis 89 ja 2018. aasta
andmekaitseseaduse paragrahvis 19 käsitletud kaitsemeetmeid, mida rakendatakse siis,
kui andmeid töödeldakse avalikes huvides toimuva arhiveerimise, teadus- või
ajaloouuringute või statistilisel eesmärgil, lisades Ühendkuningriigi isikuandmete
kaitse üldmäärusesse uue peatüki 8A27. Need kaitsemeetmed sarnanevad määruse
(EL) 2016/679 artikli 89 nõuetega ja sisaldavad kohustust võtta tehnilisi ja
korralduslikke meetmeid, et tagada võimalikult väheste andmete kogumise põhimõtte
järgimine.
2.2. Kaitsemeetmed, õigused ja kohustused
2.2.1. Isikuandmete töötlemise seaduslikkus ja õiglus
(21) Ühendkuningriigi andmekaitseraamistikus on jätkuvalt nõutud, et andmeid töödeldaks
seaduslikult, õiglaselt ja õigustatult, nagu on hinnatud rakendusotsuse (EL) 2021/1772
põhjendustes 24–26.
(22) Ühendkuningriigi õiguses on seaduslikkuse ja õigluse põhimõtted ning seadusliku
töötlemise alused tagatud Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 5
lõike 1 punktiga a ja artikli 6 lõikega 1, nagu on hinnatud rakendusotsuses
(EL) 2021/1772. Kuigi need sätted on jätkuvalt peaaegu identsed28 määruse
(EL) 2016/679 vastavate sätetega, on andmete (kasutamise ja neile juurdepääsu)
seadusega esmalt muudetud Ühendkuningriigi isikuandmete kaitse üldmääruse
artikli 6 lõiget 1, lisades artikli 6 lõike 1 punkti ea kohase isikuandmete töötlemise
täiendava seadusliku aluse29. Selle sätte järgi on töötlemine seaduslik üksnes siis ja
niivõrd, kui see on „vajalik tunnustatud õigustatud huvi korral“. Erinevalt
Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 6 lõike 1 punktis f õigusliku
alusena sätestatud õigustatud huvist ei ole uue õigusliku alusena kehtestatud
tunnustatud õigustatud huvi korral vaja iga kord tasakaalustada vastutava töötleja
õigustatud huvi andmesubjekti huvi või põhiõiguste ja -vabadustega, mis peaks andma
muudele kui avaliku sektori vastutavatele töötlejatele rohkem õiguslikku kindlust.
Ühendkuningriigi isikuandmete kaitse üldmäärusesse lisatud uues artikli 6 lõikes 5 on
täpsustatud, et töötlemine on tunnustatud õigustatud huvi korral vajalik üksnes siis, kui
see vastab 1. lisas sätestatud tingimusele,30 ja seejärel loetletud olukorrad, milles
andmete töötlemine loetakse tunnustatud õigustatud huvi eesmärgil vajalikuks, näiteks
kui selleks on esitanud taotluse avaliku sektori asutus, kes vajab andmeid avalikes
huvides oleva ülesande täitmiseks ja selleks on Ühendkuningriigi isikuandmete kaitse
üldmääruse artikli 6 lõikele 3 vastav õiguslik alus, ja kui töötlemine on vajalik riigi või
27 Ühendkuningriigi isikuandmete kaitse üldmääruse artiklid 84A–84D, mis lisati andmete (kasutamise ja
neile juurdepääsu) seaduse paragrahviga 86. 28 Selguse huvides tuleb märkida, et andmete (kasutamise ja neile juurdepääsu) seadusega on ka
Ühendkuningriigi isikuandmete kaitse määruse artiklisse 6 lisatud uus lõik, milles on esitatud selliste
andmetöötlusliikide näited, mida võib lugeda Ühendkuningriigi isikuandmete kaitse määruse artikli 6
lõike 1 punkti f kohase õigustatud huvi korral vajalikuks. Neid näiteid (otseturundus, andmete
edastamine kontserni piires sisehalduse eesmärkidel, võrkude ja infosüsteemide turvalisus) on
nimetatud ka määruse (EL) 2016/679 põhjendustes 47 ja 48 kui olukordi, töötlemine on vajalik
vastutava töötleja õigustatud huvi korral. 29 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahvi 70 lõike 2 punkt b. Andmete
(kasutamise ja neile juurdepääsu) seaduse paragrahvi 70 lõike 5 järgi laieneb Ühendkuningriigi
isikuandmete kaitse üldmääruse artiklis 21 sätestatud õigus esitada vastuväiteid nüüd ka üldmääruse
artikli 6 lõike 1 uuele punktile ea. 30 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahvi 70 lõige 4.
ET 8 ET
avaliku julgeoleku kaitsmiseks, hädaolukorrale reageerimiseks, süütegude
avastamiseks, uurimiseks või tõkestamiseks või haavatavate isikute kaitsmiseks31.
(23) Kuigi andmete (kasutamise ja neile juurdepääsu) seadusega on lisatud isikuandmete
töötlemise õiguslikke aluseid, millele vastutav töötleja võib tugineda, kehtivad uuele
õiguslikule alusele ehk tunnustatud õigustatud huvile mitu olulist piirangut. Esiteks
piirdub tunnustatud õiguslik huvi üksnes eriolukordadega, mis on kõik loetletud
seaduses. Teiseks ei saa avaliku sektori asutused tugineda sellele õiguslikule alusele
oma ülesannete täitmisel32. Kolmandaks kehtib see üksnes valdkondades, kus
töötlemistoiminguid tehakse selgelt avaliku huvi eesmärgil (1. lisas kirjeldatud
tingimustel), st andmeid töödeldakse eesmärkidel, mis on loetletud Ühendkuningriigi
isikuandmete kaitse üldmääruse artiklis 23 (mis vastab määruse (EL) 2016/679
artiklile 23), ja sellele ei saa tugineda kaubanduslikul eesmärgil. Neljandaks, kuigi
andmete (kasutamise ja neile juurdepääsu) seadusega on ministrile antud õigus muuta
1. lisas esitatud loetelu oma määrusega,33 võib minister sellise määruse kehtestada
ainult pärast teabevoliniku bürooga konsulteerimist34 ning lisada tunnustatud
õigustatud huvi loetelusse üksnes siis, kui töötlemine on vajalik Ühendkuningriigi
isikuandmete kaitse üldmääruse artikli 23 lõike 1 punktides c–j loetletud avaliku huvi
eesmärgi täitmiseks35. Lõpuks, nagu on kinnitatud teabevoliniku büroo suunistes,36
peavad tunnustatud õigustatud huvile tuginevad vastutavad töötlejad täitma kõiki muid
Ühendkuningriigi isikuandmete kaitse üldmääruse tingimusi, sealhulgas tagama, et
andmete töötlemine on õigustatud huvi jaoks vajalik ja proportsionaalne.
(24) Teiseks on andmete (kasutamise ja neile juurdepääsu) seadusega täpsustatud
Ühendkuningriigi isikuandmete üldmääruse artikli 6 lõikes 3, artikli 9 lõike 2
punktis g ja artikli 10 lõikes 1, mis vastavad määruse (EL) 2016/679 vastavatele
sätetele, et seadusjärgse kohustuse või avaliku huviga seotud ülesande täitmisel võib
isikuandmete, isikuandmete eriliikide ning süüdimõistvate kohtuotsuste ja
süütegudega seotud isikuandmete töötlemise alus tuleneda lisaks riigisisesele õigusele
31 Vt andmete (kasutamise ja neile juurdepääsu) seaduse 4. lisa. Ühendkuningriigi ametiasutuste sõnul
kuuluvad olukordade hulka, kus muu kui avaliku sektori asutus peab isikuandmeid töötlema kuritegude
ennetamiseks või avastamiseks, näiteks ettevõte, kes saab teada katsetest ebaseaduslikult nende
arvutisüsteemidesse häkkida, või pank või finantsasutus, kes saab teada katsetest pettuse teel konto
avada. Muu kui avaliku sektori asutuse tehtav isikuandmete töötlemine võib olla vajalik näiteks riigi
julgeoleku või riigikaitse tagamiseks, kui äriorganisatsioon kahtlustab, et tema kliendi
internetitegevuses on märke terroristlikus tegevuses osalemisest. Teabevoliniku büroo tegeleb sel
teemal suuniste, sealhulgas asjakohaste mõistete määratluste väljatöötamisega. Näiteks viitab ta „riigi
julgeolekule“ kui millelegi, mis võib tõenäoliselt hõlmata kogu Ühendkuningriigi, tema elanikkonna,
institutsioonide ja valitsuse julgeolekut ja heaolu. Vt teabevoliniku büroo suunised tunnustatud
õigusliku huvi kohta, mis on avaldatud avalikuks konsulteerimiseks järgmisel aadressil:
https://ico.org.uk/for-organisations/recognised-legitimate-interest-guidance/. 32 Artikli 6 lõike 1 viimane lõik, mida on muudetud andmete (kasutamise ja neile juurdepääsu) seaduse
paragrahvi 70 lõike 2 punktiga c. 33 Enne määruse andmist peab minister võtma arvesse iga muudatuse mõju andmesubjektide huvidele
ning põhiõigustele ja -vabadustele ning seda, et eelkõige peab (asjakohastel juhtudel) kaitsma laste
isikuandmeid. Määrus tuleb kehtestada õigusaktiga ja nende suhtes kehtib kinnitav
resolutsioonimenetlus, mis tähendab, et need peab heaks kiitma Ühendkuningriigi parlament. Andmete
(kasutamise ja neile juurdepääsu) seaduse paragrahvi 70 lõike 4 punkt 8. 34 2018. aasta andmekaitseseaduse paragrahvi 182 lõige 2. 35 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahvi 70 lõike 4 punkt 9. 36 Vt teabevoliniku büroo suunised andmete õigustatud huvide kohta, kättesaadavad aadressil
https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/lawful-basis/a-guide-to-lawful-
basis/legitimate-interests/?q=appropriate+policy.
ET 9 ET
ka asjakohasest rahvusvahelisest õigusest37. Ühendkuningriigi isikuandmete kaitse
üldmäärusesse lisatud uues artiklis 9A koosmõjus lisaga A1 on asjakohane
rahvusvaheline õigus piiritletud aga vaid ühe lepinguga, nimelt Suurbritannia ja Põhja-
Iiri Ühendkuningriigi ning Ameerika Ühendriikide valitsuse vahel 3. oktoobril
2019. aastal sõlmitud lepinguga, mis käsitleb juurdepääsu elektroonilistele andmetele
raskete kuritegude vastu võitlemise eesmärgil (edaspidi „Ühendkuningriigi ja USA
vaheline leping“)38. Selles lepingus sätestatud kaitsemeetmeid on hinnatud
rakendusotsuse (EL) 2021/1772 põhjendustes 153–155 ja nende rakendamist
analüüsitakse käesoleva otsuse põhjendustes 87–93.
2.2.2. Isikuandmete eriliikide töötlemine
(25) Ühendkuningriigi andmekaitseraamistikus kohaldatakse isikuandmete eriliikide
töötlemisel konkreetseid kaitsemeetmeid, nagu on hinnatud rakendusotsuse
(EL) 2021/1772 põhjendustes 27–42.
(26) Jätkuvalt kehtivad Ühendkuningriigi isikuandmete kaitse üldmääruses ja 2018. aasta
andmekaitseseaduses sätestatud isikuandmete eriliikide määratlus ja nende
andmeliikide töötlemise erinormid. Samal ajal on andmete (kasutamise ja neile
juurdepääsu) seadusega antud ministrile ka volitus anda määruseid, et lisada
isikuandmete uusi eriliike, kohandada nende kasutamise tingimusi ja lisada uusi
määratlusi, kui see osutub vajalikuks39. Oluline on see, et sellega ei anta ministrile
õigust eemaldada või muuta olemasolevaid isikuandmete eriliike ega muuta nende
eriliikide töötlemise tingimusi40. Uus määruste andmise õigus annab valitsusele
võimaluse lisada tundlike andmete uusi liike ja määrata kindlaks nende liikide
töötlemise tingimused, mille eesmärk on luua valitsusele võimalus reageerida vajaduse
korral tulevastele tehnoloogilistele ja ühiskondlikele muutustele.
(27) Seega ei mõjuta need muudatused isikuandmete eriliikide kaitse taset, mis loeti
rakendusotsuses (EL) 2021/1772 ELi kaitsetasemele sisuliselt vastavaks.
2.2.3. Eesmärgi piirang
(28) Ühendkuningriigi isikuandmete kaitse korras on jätkuvalt nõutud, et andmeid tuleb
töödelda konkreetsel eesmärgil ja seejärel kasutada neid vaid sel määral, kui see vastab
töötlemise algsele eesmärgile, nagu on hinnatud rakendusotsuse (EL) 2021/1772
põhjendustes 43–48.
(29) Esiteks on andmete (kasutamise ja neile juurdepääsu) seaduses tehtud
Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 5 lõike 1 punktis b sätestatud
eesmärgi piirangu põhimõtet vaid vähesel määral sihipäraselt muudetud.
Muudatustega on täpsustatud põhimõtte kohaldamist, aga ei ole muudetud selle sisu.
37 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 72. 38 Suurbritannia ja Põhja-Iiri Ühendkuningriigi valitsuse ning Ameerika Ühendriikide valitsuse vaheline
leping, mis käsitleb juurdepääsu elektroonilistele andmetele raskete kuritegude vastu võitlemise
eesmärgil, kättesaadav aadressil
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/8369
69/CS_USA_6.2019_Agreement_between_the_United_Kingdom_and_the_USA_on_Access_to_Electr
onic_Data_for_the_Purpose_of_Countering_Serious_Crime.pdf. 39 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 74. Neile määrustele kohaldatakse
kinnitava resolutsiooni menetlust, mis tähendab, et need peab heaks kiitma Ühendkuningriigi
parlament. 40 Vt Ühendkuningriigi isikuandmete kaitse üldmääruse uue artikli 11A lõike 1 punkt b ja lõige 2, samuti
andmete (kasutamise ja neile juurdepääsu) seaduse eelnõu selgitavad märkused, punkt 571; kättesaadav
aadressil https://publications.parliament.uk/pa/bills/cbill/59-01/0179/en/240179en.pdf.
ET 10 ET
Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahvi 71 lõigetes 1, 2 ja 3 on
sätestatud, et andmesubjektilt või muul viisil andmete kogumise korral järgitakse
eesmärgi piirangu põhimõtet, et see kehtib üksnes siis, kui hiljem töötleb isikuandmeid
sama vastutav töötleja või neid töödeldakse hiljem tema nimel (st see ei kehti, kui
vastutav töötleja muutub), ja et töötlemine ei ole seaduslik üksnes põhjendusel, et see
vastab andmete kogumise eesmärgile.
(30) Teiseks on andmete (kasutamise ja neile juurdepääsu) seaduses selgitatud andmete
edasise töötlemise eeskirju, koondades need Ühendkuningriigi isikuandmete kaitse
üldmäärusesse lisatud uue artikli 8A alla, milles sätestatakse täielik isikuandmete
täiendava töötlemise kord. Ühendkuningriigi isikuandmete kaitse üldmääruse
artikli 8A lõikes 2 on loetletud elemendid, mida tuleb võtta arvesse, kui määratakse
kindlaks, kas töötlemise uus eesmärk vastab algsele eesmärgile. Varem olid need
elemendid loetletud Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 6
lõikes 4, mis vastab määruse (EL) 2016/679 artikli 6 lõikele 441. Ühendkuningriigi
isikuandmete kaitse üldmääruse artikli 8A lõikega 3 on ühe sätte alla koondatud
olukorrad, milles isikuandmete töötlemist uuel eesmärgil käsitatakse algsele
eesmärgile vastava töötlemisena. Nende hulka kuuluvad olukorrad, kus andmesubjekt
annab nõusoleku isikuandmete töötlemiseks uuel eesmärgil, töötlemine on vajalik
artikli 23 lõikes 1 loetletud eesmärgi täitmiseks42 või andmeid töödeldakse teadus- või
ajaloouuringute, avalikes huvides arhiveerimise või statistilisel eesmärgil43. Samuti on
andmete (kasutamise ja neile juurdepääsu) seaduses selgitatud, et algsele eesmärgile
vastavaks loetakse igasugune töötlemine, mis tehakse selleks, et tagada
Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 5 lõikes 1 sätestatud
andmekaitsepõhimõtete järgimine või tõendada nende järgimist. Eelnimetatud
olukorrad vastavad jätkuvalt sellele, mida määruses (EL) 2016/679 loetakse edasiseks
eesmärgile vastavaks töötlemiseks.
(31) Kolmandaks on andmete (kasutamise ja neile juurdepääsu) seadusega lisatud
Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 8A lõike 3 punkti d uued
olukorrad, milles isikuandmete edasine töötlemine uuel eesmärgil loetakse vastavaks
algsele eesmärgile. Need olukorrad on esitatud Ühendkuningriigi isikuandmete kaitse
üldmääruse 2. lisas44 ja nende hulka kuuluvad näiteks olukord, kus töötlemist on
taotlenud avaliku sektori asutus, kes vajab andmeid avalikes huvides oleva ülesande
täitmiseks, mis on Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 6 lõikele 3
vastav õiguslik alus; olukord, kus töötlemine on vajalik avaliku julgeoleku
kaitsmiseks, reageerimiseks hädaolukorrale, süütegude avastamiseks, uurimiseks või
tõkestamiseks, andmesubjekti ja teiste isikute eluliste huvide kaitsmiseks, haavatavate
isikute kaitsmiseks, maksustamise eesmärgil või õigusjärgsete kohustuste täitmiseks45.
(32) Kuigi andmete (kasutamise ja neile juurdepääsu) seadusega on lisatud olukordi, milles
edasine töötlemine teistsugusel eesmärgil loetakse algsele eesmärgile vastavaks,
kehtivad olukordade lisamisele ranged piirangud. Esiteks piirdub see vaid nende
41 Sarnaselt määrusega (EL) 2016/679 kuuluvad nende elementide hulka kõik seosed algse ja uue
eesmärgi vahel, isikuandmete kogumise kontekst, sealhulgas seosed andmesubjekti ja vastutava töötleja
vahel, töötlemise laad ja see, kas töötlemine hõlmab andmete eriliike, kavandatud töötlemise tagajärjed
andmesubjektile ja asjakohaste kaitsemeetmete olemasolu. 42 Vt ka määruse (EL) 2016/679 artikli 6 lõige 4. 43 Määruse (EL) 2016/679 põhjendus 50. 44 Ühendkuningriigi isikuandmete kaitse üldmäärusele on lisatud 2. lisa andmete (kasutamise ja neile
juurdepääsu) seaduse 5. lisa kaudu; vt selle seaduse paragrahvi 71 lõige 6. 45 Vt andmete (kasutamise ja neile juurdepääsu) seaduse 5. lisa.
ET 11 ET
eriolukordadega, mis on kõik loetletud seaduses. Teiseks kehtib see üksnes
valdkondades, kus andmeid töödeldakse selgelt avaliku huvi eesmärgil, st andmete
edasine töötlemine toimub vaid eesmärkidel, mis on loetletud Ühendkuningriigi
isikuandmete kaitse üldmääruse artiklis 23 (mis vastab määruse (EL) 2016/679
artiklile 23). Seega ei saa tugineda töötlemisel kaubanduslikele eesmärkidele.
Kolmandaks, kuigi andmete (kasutamise ja neile juurdepääsu) seadusega on ministrile
antud õigus muuta 2. lisas esitatud loetelu oma määrusega,46 võib minister lisada
andmetöötluse liigi loetelusse üksnes siis, kui see töötlemine on vajalik
Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 23 lõike 1 punktides c–j
loetletud avaliku huvi eesmärgi täitmiseks47. Neljandaks, kui vastutav töötleja kogub
isikuandmeid andmesubjekti nõusolekul, loetakse andmete täiendav töötlemine mõnes
2. lisas loetletud olukorras uuel eesmärgil algsele eesmärgile vastavaks siis, kui
vastutavalt töötlejalt ei saa põhjendatult eeldada andmesubjektilt uue nõusoleku
saamist48.
2.2.4. Üksikisiku õigused
(33) Ühendkuningriigi isikuandmete kaitse raamistiku kohaselt saavad andmesubjektid
jätkuvalt ja oluliste muutusteta kasutada samu konkreetseid õigusi, mis on sätestatud
määruses (EL) 2016/67949 ja mida nad saavad vastutava või volitatud töötleja suhtes
kohtulikult kaitsta, eeskätt õigus tutvuda isikuandmetega, õigus vaidlustada töötlemine
ning õigus lasta andmeid parandada ja kustutada, nagu on hinnatud rakendusotsuse
(EL) 2021/1772 põhjendustes 51–54.
(34) Esiteks on andmete (kasutamise ja neile juurdepääsu) seaduses selgitatud, mis
konkreetsetel tingimustel saab neid õigusi kasutada. Ühelt poolt on Ühendkuningriigi
isikuandmete kaitse üldmääruse artikli 12 muutmise ja uue artikli 12A50 lisamisega
täpsustatud tähtaegu, mille jooksul vastutav töötleja peab vastama andmesubjekti
taotlusele. Täpsemalt muudeti Ühendkuningriigi isikuandmete kaitse üldmääruse
artiklit 12 nii, et kui andmesubjekt on üldmääruse artiklite 15–22 kohaselt esitanud
taotluse, ei pea vastutav töötleja enam andma teavet võetud meetmete kohta (või
esitama meetmete võtmata jätmise põhjuseid) mitte „ühe kuu jooksul pärast taotluse
saamist“, vaid „enne kohaldatava tähtaja lõppemist“. Kohaldatav tähtaeg on täpsemalt
määratletud Ühendkuningriigi isikuandmete kaitse üldmäärusele lisatud uues
46 Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 8A lõige 5, mis lisati andmete (kasutamise ja
neile juurdepääsu) seaduse paragrahvi 71 lõikega 1. 47 Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 8A lõige 6, mis lisati andmete (kasutamise ja
neile juurdepääsu) seaduse paragrahvi 71 lõikega 1. 48 Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 8A lõike 4 punkt b, mis lisati andmete
(kasutamise ja neile juurdepääsu) seaduse paragrahvi 71 lõikega 1. 49 2024. aasta kuriteoohvrite ja vangide seaduse paragrahviga 31 täiendati Ühendkuningriigi isikuandmete
kaitse üldmääruse artiklis 17 sätestatud andmete kustutamise õiguse aluseid, nii et andmesubjektidel on
õigus taotleda, et vastutav töötleja kustutaks tema isikuandmed, kui neid on töödeldud alusetu
süüdistuse alusel, mille on andmesubjekti kohta esitanud kuritahtlik isik. Isik loetakse kuritahtlikuks,
kui ta on mõistetud süüdi kuriteoohvrite ja vangide seaduse paragrahvi 31 lõikes 3 sätestatud teo
toimepanekus (näiteks ahistamine) või tema suhtes on kohaldatud lähenemiskeeldu. Kuriteoohvrite ja
vangide seadus on kättesaadav aadressil https://www.legislation.gov.uk/ukpga/2024/21/contents. Lisaks
on andmete (kasutamise ja neile juurdepääsu) seaduse paragrahviga 77 muudetud Ühendkuningriigi
isikuandmete kaitse üldmääruse artiklis 13 sätestatud õigust teabele, nii et vastutav töötleja ei pea enam
teavitama andmesubjekti tema isikuandmete täiendavast töötlemisest uuel eesmärgil, kui andmeid
töödeldakse teadus- või ajaloouuringu, avalikes huvides arhiveerimise või statistilisel eesmärgil ja
kooskõlas Ühendkuningriigi isikuandmete kaitse üldmääruse uues artiklis 84B sätestatud
kaitsemeetmetega ning teavitamine oleks võimatu või ebaproportsionaalne. 50 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 76.
ET 12 ET
artiklis 12A kui ühe kuu pikkune periood, mis algab hetkel, kui vastutav töötleja saab
taotluse kätte, kui vastutav töötleja saab teavet üldmääruse artikli 12 lõike 6 kohase
taotluse kohta või kui on makstud üldmääruse artikli 12 lõike 5 kohaselt esitatud
taotlusele kohaldatud tasu, olenevalt sellest, milline neist on hiliseim51. Artikli 12A
lõike 3 kohaselt võib vastutav töötleja pikendada kohaldatavat tähtaega kahe kuu
võrra, kui see on vajalik andmesubjekti esitatud taotluse keerukuse või mitme sellise
taotluse saamise tõttu. Samal ajal, mis puutub õigusesse tutvuda teabe ja
isikuandmetega, on andmete (kasutamise ja neile juurdepääsu) seadusega muudetud
Ühendkuningriigi isikuandmete kaitse üldmääruse artiklit 15, millesse lisati
olemasoleva riigisisese kohtupraktika alusel selgitus, milles lähtutakse ELi õiguse
kohasest proportsionaalsuse põhimõttest – selles selgitatakse, et vastutavad töötlejad
peavad taotletud teabe ja isikuandmete leidmiseks tegema vaid mõistlikke ja
proportsionaalseid otsinguid52. Uue sätte tõlgendamisel eeldatakse, et seda tehakse
kooskõlas kehtiva kohtupraktikaga, mille kohaselt „[---] kaalutakse proportsionaalsuse
hindamisel omavahel otsingu lõppeesmärki ehk võimalikku kasu, mida selle teabe
andmine võib andmesubjektile tuua, ja vahendeid, mille abil see teave saadakse. Igal
üksikul juhul tuleb hinnata, kas teabe otsimine ja esitamine nõuab
ebaproportsionaalseid jõupingutusi võrreldes kasuga, mida andmesubjekt võib sellest
teabest saada“53.
(35) Seega tagab Ühendkuningriigi süsteem jätkuvalt, et andmesubjektide taotlusi
menetletakse objektiivsete tegurite alusel määratud mõistliku aja jooksul, kuid
isikuandmetega tutvumise õigusega seoses on andmesubjektide taotlustele vastamise
tähtaegade ja vastutavate töötlejate konkreetsete kohustuste kohta kehtestatud
üksikasjalikumad nõuded. Lisaks määratakse vastutava töötleja juurdepääsutaotlustele
vastamisega seotud sisulised kohustused kindlaks kehtestatud õiguslike nõuete alusel,
milles võetakse arvesse ka andmesubjekti huve. Pealegi on kehtivates teabevoliniku
suunistes sätestatud, et vastutav töötleja ei pea tegema otsinguid, mis oleksid teabele
juurdepääsu andmise olulisuse seisukohast põhjendamatud või ebaproportsionaalsed54.
(36) Nende üksikisiku õiguste piirangud, mis on sätestatud 2018. aasta
andmekaitseseaduses ja kuuluvad Ühendkuningriigi isikuandmete kaitse üldmääruse
artikli 23 raamistikku, ning nende piirangute kohaldamise aluseks olevad kitsendavad
tingimused ja kaitsemeetmed kehtivad Ühendkuningriigi raamistikus jätkuvalt,55 nagu
on üksikasjalikult kirjeldatud rakendusotsuse (EL) 2021/1772 põhjendustes 55–67.
(37) Konkreetselt seoses piiranguga, mis kehtib isikuandmete töötlemise suhtes sisserände
tulemusliku kontrolli säilitamise või seda kahjustava tegevuse uurimise või avastamise
eesmärgil, kuivõrd nende sätete kohaldamine võib tõenäoliselt kahjustada mõnda neist
51 Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 12A lõiked 1 ja 2, mis lisati andmete
(kasutamise ja neile juurdepääsu) seaduse paragrahviga 76. 52 Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 15 lõige 1A, mis lisati andmete (kasutamise ja
neile juurdepääsu) seaduse paragrahviga 78. 53 Dawson-Damer vs. Taylor Wessing LLP [2017] EWCA Civ 74. 54 Kättesaadav aadressil https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/individual-
rights/right-of-access/how-do-we-find-and-retrieve-the-relevant-information/. 55 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahvi 88 lõikega 2 on vähesel määral
muudetud 2018. aasta andmekaitseseaduse paragrahvi 26 lõike 2 punkti f (riigi julgeoleku ja riigikaitse
erand), selgitades, et õigus esitada volinikule kaebus Ühendkuningriigi isikuandmete kaitse üldmääruse
artikli 77 alusel ei kuulu sätete hulka, mille kohaldamist saab piirata riigi julgeoleku või riigikaitse
eesmärgil.
ET 13 ET
aspektidest (sisserände erand),56 on Ühendkuningriigi valitsus muutnud 2018. aasta
andmekaitseseaduse 2. lisa punkti 4, muutes 2018. aasta andmekaitseseadust (2. lisa
erandite muutmine) käsitlevat 2022. aasta määrust57 ja 2018. aasta andmekaitseseadust
(2. lisa erandite muutmine) käsitlevat 2024. aasta määrust,58 mis täiendab 2022. aasta
määrust59. Tehtud muudatustega lisati 2018. aasta andmekaitseseaduse 2. lisa
punktidesse 4A ja 4B sisserände erandi kohaldamiseks kaitsemeetmed, mida on
nõutud Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 23 lõikes 2.
Täpsemalt on nendes nõutud, et i) sisserände erandile peab tuginema ainult
juhtumipõhiselt, igast asjakohasest Ühendkuningriigi isikuandmete kaitse üldmääruse
sättest eraldi ja iga kord uuesti, kui minister kaalub üldmääruse mõne asjakohase sätte
kohaldamise lõpetamist või piiramist;60 ii) sisserände erandi kohaldamisel võetakse
arvesse andmesubjekti õigusi, vabadusi ja võimalikku haavatavust;61 iii) minister
dokumenteerib sisserände erandi kasutamise ja teatab selle kasutamisest
andmesubjektile (välja arvatud konkreetsetes olukordades, kus teatamine võib piirata
erandi eesmärki);62 ja selgitatud, et iv) sisserände erandi kasutamise korral töötleb
isikuandmeid vaid minister63, st praktikas teeb seda siseministeerium oma 2018. aasta
andmekaitseseaduse 2. lisa paragrahvi 4 lõikes 1 kirjeldatud ülesannete täitmiseks.
Lisaks on nendes selgitatud tasakaalu hindamist, mis tuleb teha, kui uuritakse, kas
andmesubjekti õiguste teostamine võib tõenäoliselt kahjustada sisserände tulemuslikku
kontrolli ja kas seetõttu oleks õiguste piiramine vajalik ja proportsionaalne.
(38) Lisaks andis Ühendkuningriigi teabevoliniku büroo välja põhjalikud suunised selle
konkreetse piirangu kasutamiseks64. Suunistes on eeskätt märgitud: „Sisserände
erandit ei tohiks kohaldada üldise erandina, et piirata [---] õigust kõikidele teie
valduses olevatele andmetele. Erandi kohaldamisala piirdub õigustega, mille
56 Rakendusotsuse (EL) 2021/1772 vastuvõtmise ajal ei olnud sisserände erandi kehtivus ja tõlgendamine
Ühendkuningriigi õiguses üheselt selge, sest ühes Inglismaa ja Walesi apellatsioonikohtu 26. mai
2021. aasta otsuses leiti, et sisserände erand 2018. aasta andmekaitseseaduses esitatud kujul ei olnud
Ühendkuningriigi õigusega kooskõlas, sest selles puudusid määruse (EL) 2016/679 artikli 23 lõikele 2
vastavad konkreetsed sätted, milles oleksid sätestatud Ühendkuningriigi isikuandmete kaitse
üldmääruse artikli 23 lõikega 2 ette nähtud kaitsemeetmed. Seepärast olid rakendusotsuse
(EL) 2021/1772 kohaldamisalast välja jäetud isikuandmed, mida edastatakse Ühendkuningriigi
sisserände kontrolliga seotud eesmärkidel või mis kuuluvad muul moel sisserände erandi
kohaldamisalasse. 57 Määrus jõustus 31. jaanuaril 2022 ja on kättesaadav aadressil
https://www.legislation.gov.uk/uksi/2022/76/contents/made. 58 Määrus jõustus 8. märtsil 2024 ja on kättesaadav aadressil
https://www.legislation.gov.uk/uksi/2024/342/contents/made. 59 Sisserände erand, mida oli muudetud 2022. aasta määrusega, vaidlustati taas kohtuliku kontrolli teel
selle alusel, et see ei vastanud ikka kõikidele Ühendkuningriigi isikuandmete kaitse üldmääruse artikli
23 lõike 2 nõuetele. 2023. aasta detsembris otsustas apellatsioonikohus, et see ei ole kooskõlas
Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 23 lõike 2 nõuetega. Kohtuotsuse tulemusena
täiendati 2022. aasta määrust 2024. aasta määrusega ja viidi sisserände erandisse sisse uued
muudatused. 60 2018. aasta andmekaitseseaduse 2. lisa punkti 4A alapunkt 2. 61 2018. aasta andmekaitseseaduse 2. lisa punkti 4AB alapunktid 3 ja 4. Teabevoliniku bürooga
konsulteeriti 2024. määruse eelnõu küsimuses ja nad kinnitasid, et nõustuvad määrusega. Pärast
konsulteerimist saadetud kiri, milles kinnitatakse teabevoliniku büroo seisukohta, on kättesaadav
aadressil https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/02/ico-responds-to-home-
office-s-draft-regulations-to-the-immigration-exemption/. 62 2018. aasta andmekaitseseaduse 2. lisa punkti 4B alapunktid 1 ja 2. 63 2018. aasta andmekaitseseaduse 2. lisa punkti 4 alapunkt 1. 64 Kättesaadav aadressil https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-
resources/exemptions/immigration-exemption-a-guide/.
ET 14 ET
teostamine valduses olevate andmete suhtes kahjustaks kindlakstehtud sisserändealaste
eesmärkide saavutamist. [---] Seepärast peaks vastutav töötleja lähtuma vaikimisi
seisukohast, et ta peaks järgima nii palju kui võimalik määruse (EL) 2016/679 ja
andmekaitseseaduse nõudeid. [---] Tõenäolise kahjustamise nõude künnis on kõrge ja
erandit ei tohiks kohaldada üldise erandina. [---] Peate kaaluma, kas erandi
kohaldamine on üksikisiku andmekaitsetaotlusele vastamiseks proportsionaalne. Võite
leida, et sisserände erandi kohaldamiseks on tungiv sotsiaalne vajadus, kuid arvesse
tuleb võtta ka seda, kas see kaalub üles määruses (EL) 2016/679 sätestatud kohustuse
üksikisikute ees. Neil on oma isikuandmetega seoses õigused, eelkõige õigus tutvuda
isikuandmetega, ja neid tuleb arvesse võtta igas olukorras. Seepärast on tähtis iga
juhtumi puhul kaaluda, kas üksikisiku õigus andmekaitsele kaalub üles tuvastatud
kahjustamise ohu. Erandit peab kohaldama proportsionaalselt, arvestades asjaolusid, ja
iga juhtumit peab hoolikalt kaaluma ning selle dokumenteerima.“
(39) Üldiselt kehtib sisserände piirangu suhtes, mis on sätestatud 2018. aasta
andmekaitseseaduse 2. lisa punktis 4, mida Ühendkuningriigi valitsus muutis 2022. ja
2024. aastal ning mida on tõlgendatud kohtupraktikas65 ja teabevoliniku suunistes,
mitu ranget tingimust, mis piiravad selle kohaldamist ja sarnanevad liidu õiguses,
eelkõige määruse (EL) 2016/679 artiklis 23, sätestatud tingimustega, mis kehtivad
andmekaitsega seotud õigustele ja kohustustele olulise avaliku huvi eesmärkide korral,
näiteks sisserände kontrollimisel.
2.2.5. Andmete edasisaatmise piirangud
(40) Euroopa Liidust Ühendkuningriigis asuvatele vastutavatele ja volitatud töötlejatele
edastatavatele isikuandmetele pakutava kaitse taset ei kahjusta jätkuvalt selliste
andmete täiendav edasisaatmine kolmandasse riiki. Ühendkuningriigist isikuandmete
rahvusvahelise edastamise kord on jätkuvalt väga sarnane määruse (EL) 2016/679
V peatükis sätestatud normidega, nagu on hinnatud rakendusotsuse (EL) 2021/1772
põhjendustes 74–82.
(41) Kuigi andmete (kasutamise ja neile juurdepääsu) seadusega muudeti Ühendkuningriigi
isikuandmete kaitse üldmääruse V peatükki, milles käsitletakse isikuandmete
edastamist kolmandatele riikidele ja rahvusvahelistele organisatsioonidele, on selles
säilinud peamine nõue, et isikuandmeid võib edastada kolmandale riigile või
rahvusvahelisele organisatsioonile üksnes siis, kui see põhineb i) edastamist
heakskiitval määrusel (varem „kaitse piisavuse määrus“), ii) asjakohastel
kaitsemeetmetel või iii) eriolukordadeks kehtestatud erandil. Neid andmete edastamise
üldpõhimõtteid on väljendatud Ühendkuningriigi isikuandmete kaitse üldmääruse
artiklit 44 asendavas uues artiklis 44A,66 milles on veel täpsustatud, et isikuandmete
edastamine kolmandatele riikidele või rahvusvahelistele organisatsioonidele on
lubatud üksnes siis, kui andmete edastamisel järgitakse Ühendkuningriigi
isikuandmete kaitse üldmääruse teisi sätteid.
(42) Mis puutub konkreetselt määrustesse, millega andmete edastamine heaks kiidetakse,
on Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 45A lõikes 2 täpsustatud,
et minister võib selliseid määruseid anda vaid juhul, kui ta leiab, et andmekaitse nõue
on täidetud. See tähendab, et Ühendkuningriigi isikuandmete kaitse üldmääruse
artikli 45A lõikes 3 ette nähtud võimalusele arvestada selliste määruste andmisel
65 Open Rights Group & Anor, R (On the Application Of) vs. Secretary of State for the Home Department
& Anor [2019] EWHC 2562 (Admin), punktid 40 ja 41. 66 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 85 ja 7. lisa.
ET 15 ET
andmevoogude hõlbustamise soovitavust kehtib alati tingimus, et andmekaitse nõue
peab olema täidetud. Andmekaitse nõuet käsitlev õiguslik standard on sätestatud
Ühendkuningriigi isikuandmete kaitse üldmääruse uue artikli 45B lõikes 1, mille
kohaselt ei tohi andmeid vastuvõtvas riigis või rahvusvahelises organisatsioonis olla
andmesubjektide kaitse tase oluliselt madalam kui Ühendkuningriigi vastavas
andmekaitset käsitlevas õigusaktis andmesubjektide suhtes ettenähtud tase.
Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 45B lõikes 2 on esitatud
nende elementide mitteammendav loetelu, mida tuleb kaaluda, kui hinnatakse nõudele
vastavust, näiteks õigusriigi põhimõtte ja inimõiguste austamine, sõltumatu
andmekaitseasutuse olemasolu ja volitused, õiguslike ja muude kaitsemeetmete
rakendamise kord, riigist või organisatsioonist teistele riikidele ja rahvusvahelistele
organisatsioonidele isikuandmete edastamist käsitlevad normid, riigi või
organisatsiooni asjakohased rahvusvahelised kohustused ja riigi või organisatsiooni
põhiseadus või -kiri, traditsioonid ja kultuur. Kuigi uue artikli 45B lõikes 2 on
Ühendkuningriigi isikuandmete kaitse üldmääruse artiklis 45 loetletud elemendid
ümber sõnastatud, on selles säilitatud loetelu peamised elemendid ja seega on loetelu
jätkuvalt väga sarnane määruse (EL) 2016/679 V peatükis sätestatuga. Lisaks on
Ühendkuningriigi ametiasutused kinnitanud, et minister võtab arvesse ka artikli 45B
lõikes 2 loetlemata elemente, näiteks kolmanda riigi seadused ja tavad, mis
puudutavad ametiasutuste juurdepääsu isikuandmetele riigi julgeoleku või õiguskaitse
eesmärkidel, niivõrd kui need mõjutavad kaitse üldist taset. Peale selle leiavad
Ühendkuningriigi ametiasutused, et Ühendkuningriigi isikuandmete kaitse üldmääruse
artikli 45B lõike 2 mitteammendavas loetelus nimetatud teemade hindamisel on väga
tähtis kolmanda riigi asjakohane kohtupraktika.
(43) Määruste suhtes, millega andmete edastamine heaks kiidetakse, kohaldatakse ka
edaspidi 2018. aasta andmekaitseseaduse paragrahvis 182 sätestatud üldisi
menetlusnõudeid, nagu on nähtud ette rakendusotsuse (EL) 2021/1772
põhjenduses 77. Nimetatud menetluse raames peab minister Ühendkuningriigi kaitse
piisavuse määruse vastuvõtmise ettepaneku tegemisel konsulteerima
teabevolinikuga67. Pärast seda, kui minister on kaitse piisavuse määruse vastu võtnud,
esitatakse see parlamendile ja kohaldatakse nn negatiivse resolutsiooni menetlust,
mille kohaselt võivad parlamendi mõlemad kojad määrust kontrollida ja võtta
40 päeva jooksul vastu ettepaneku selle tühistamiseks68.
(44) Asjakohaste kaitsemeetmetega seoses on Ühendkuningriigi isikuandmete kaitse
üldmääruse artikli 46 uues lõikes 1A sätestatud, et edastamine võib jätkuda üksnes
siis, kui üldmääruse artikli 46 lõigetes 2 ja 3 loetletud dokumendis69 on ette nähtud
67 Vt digitaal-, kultuuri-, meedia- ja spordivaldkonna ministri ning teabevoliniku büroo vaheline
vastastikuse mõistmise memorandum teabevoliniku rolli kohta seoses Ühendkuningriigi uue kaitse
piisavuse hindamisega, kättesaadav aadressil https://www.gov.uk/government/publications/memorandum-of-understanding-mou-on-the-role-of-the-
ico-in-relation-to-new-uk-adequacy-assessments. 68 Kui määruse tühistamise ettepanek vastu võetakse, ei ole määrusel lõppkokkuvõttes mingit edasist
õigusmõju. 69 Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 46 lõigete 2 ja 3 kohaselt kuuluvad edastamist
võimaldavate dokumentide hulka avaliku sektori asutuste või organite vahelised õiguslikult siduvad ja
täitmisele pööratavad dokumendid, siduvad kontsernisisesed eeskirjad vastavalt Ühendkuningriigi
isikuandmete kaitse üldmääruse artiklile 47, ministri määruses või teabevoliniku väljaantud dokumendis
täpsustatud standardsed andmekaitseklauslid, heakskiidetud toimimisjuhend ja heakskiidetud
sertifitseerimismehhanism.
ET 16 ET
asjakohased kaitsemeetmed ja vastutav või volitatud töötleja või vastav avaliku sektori
asutus leiab mõistlikult ja proportsionaalselt toimides, et andmekaitse nõue on
täidetud. Uutes lisatud lõigetes 6 ja 7 on selgitatud, et andmekaitse nõue on täidetud,
kui kohustuslike kaitsemeetmete abil on andmesubjektidele tagatud kaitse tase, mis ei
ole pärast andmete edastamist oluliselt madalam tasemest, mis on nõutud
Ühendkuningriigi andmekaitset käsitlevate õigusaktidega, st nagu ka määruse
(EL) 2016/679 puhul, kehtivad samad õiguslikud nõuded nii määruste suhtes, millega
andmete edastamine heaks kiidetakse, kui ka asjakohaste kaitsemeetmete suhtes.
Samade lõigete kohaselt tuleb mõistlikkuse ja proportsionaalsuse kindlaksmääramisel
arvesse võtta kõiki või tõenäolisi asjaolusid, mis on seotud andmete edastamise või
edastamise laadiga, sealhulgas edastatavate isikuandmete olemust ja mahtu.
(45) Eriolukordades kohaldatavate eranditega seoses on eriolukordades erandite
kohaldamise tingimusi käsitlevas artiklis 49 tehtud tehnilisi muudatusi, mis viivad
selle sätte vastavusse teistes sätetes tehtud muudatustega, kuid ei mõjuta
Ühendkuningriigis isikuandmete kaitse taset. Peale selle on lisatud uus lõige 4A, et
saavutada sama mõju mis 2018. aasta andmekaitseseaduse paragrahvi 18 lõikel 1,
millega on ministrile antud õigus täpsustada määrusega asjaolusid, mille alusel võib
andmete edastamise tunnistada vajalikuks avalike huvidega seotud põhjustel. Viimaks
on uue artikliga 49A saavutatud sama mõju mis 2018. aasta andmekaitseseaduse
paragrahvi 18 lõikel 2, millega on ministrile antud õigus kehtestada määrusega
piiranguid andmete edastamisele, kui seda ei ole artikli 45A kohaselt heaks kiidetud
(määrustega heakskiidetud edastamised) ja edastamine loetakse vajalikuks avalike
huvidega seotud põhjustel.
(46) Seoses Ühendkuningriigis andmete rahvusvahelist edastamist reguleerivate
õigusnormide kohaldamisega on pärast rakendusotsuse (EL) 2021/1772 vastuvõtmist
tehtud mitu muudatust.
(47) Edastamist heakskiitvate määruste kohta on siiani vastu võetud kaks uut määrust, mis
sarnanevad liidus kehtivate kaitse piisavuse otsustega, st määrus andmete edastamise
kohta Korea Vabariiki ja edastamise kohta äriühingutele, kes täidavad ELi-USA
andmekaitseraamistiku Ühendkuningriigi lisa nõudeid. Korea Vabariigi piisavuse
määrus70 jõustus 19. detsembril 2022 ja selle kohaselt võib isikuandmeid edastada
Ühendkuningriigist Korea Vabariiki. ELi-USA andmekaitseraamistiku
Ühendkuningriigi lisa, mille suhtes kehtiv asjakohane määrus71 jõustus 12. oktoobril
2023, tagab isikuandmete vaba liikumise neile organisatsioonidele USAs, kes on
kinnitanud põhimõtete järgimist.
(48) Asjakohaste kaitsemeetmetega seoses on Ühendkuningriik avaldanud oma
andmekaitset käsitlevad lepingu tüüptingimused ning rahvusvahelise andmete
edastamise lepingu72 ja ELi lepingu tüüptingimuste lisa, mis mõlemad jõustusid
2022. aasta märtsis. Rahvusvaheline andmete edastamise leping on
Ühendkuningriigile omane mehhanism, mis tagab isikuandmete edastamisel
asjakohased kaitsemeetmed ja sarnaneb mitmes aspektis ELi lepingu
tüüptingimustega. Teabevoliniku büroo väljaantud lisa loob Ühendkuningriigi
vastutavatele ja volitatud töötlejatele võimaluse tugineda rahvusvahelise
70 Kättesaadav aadressil https://www.legislation.gov.uk/uksi/2022/1213/made. 71 Kättesaadav aadressil https://www.legislation.gov.uk/uksi/2023/1028/made. 72 Kättesaadav aadressil https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-
transfers/international-data-transfer-agreement-and-guidance/.
ET 17 ET
andmeedastuse korral ELi lepingu tüüptingimustele Ühendkuningriigi isikuandmete
kaitse üldmääruse alusel. Teabevoliniku büroo on koostanud ka andmete edastamise
riskihindamise vahendi, et aidata Ühendkuningriigi organisatsioonidel hinnata
rahvusvahelise edastamisega seotud riske.
(49) Peale selle on Ühendkuningriigis lihtsustatud ka siduvate kontsernisiseste eeskirjade
heakskiitmise protsessi: välja on antud uued suunised ja loodud nende eeskirjade
heakskiitmise uusi võimalusi. 2022. aasta juulis avaldas teabevoliniku büroo suunised
ja võrdlustabelid, et selgitada Ühendkuningriigi Brexiti-järgset lähenemisviisi siduvate
kontsernisiseste eeskirjade suhtes, ja 2023. aasta detsembris avaldati ELi siduvate
kontsernisiseste eeskirjade lisa, et tagada liidu raamistiku alusel heakskiidetud
kontsernisiseste eeskirjade kohtulik kaitstavus Ühendkuningriigis73.
(50) 2023. aasta juulis sai Ühendkuningriik globaalsete piiriüleste eraelu puutumatuse
eeskirjade foorumi (Global Cross-Border Privacy Rules (CBPR) Forum)
assotsieerunud liikmeks74. Oluline on see, et liikmeks olemine ei hõlbusta andmete
edastamist Ühendkuningriigist teistesse foorumisse kuuluvatesse riikidesse.
Ühendkuningriik on selgitanud, et igasuguse isikuandmete edastamise korral
Ühendkuningriigist kolmandatele riikidele või rahvusvahelistele organisatsioonidele
peavad olema täidetud Ühendkuningriigi õigusaktides sätestatud tingimused, mida on
kirjeldatud eespool, eelkõige andmekaitse nõue, mille kohaselt ei tohi kaitse tase olla
„oluliselt madalam“ Ühendkuningriigi isikuandmete kaitse üldmäärusele vastavast
tasemest.
(51) Nagu komisjon on juba selgitanud, ei taga piiriülese eraelu puutumatuse kaitse
eeskirjad EList pärinevate isikuandmete kaitse piisavat taset. Eelkõige ei taga nad
kohtulikult kaitstavaid üksikisiku õigusi75. Seepärast on eriti tähtis see, et isegi kui
Ühendkuningriik on globaalse piiriülese eraelu puutumatuse kaitse eeskirjade foorumi
assotsieerunud liige, ei ole globaalse piiriülese eraelu puutumatuse kaitse eeskirjad
Ühendkuningriigi andmekaitseõiguse järgi kehtiv edastamismehhanism. Kui asjaolud
peaks muutuma, alandaks see isikuandmete kaitse taset, mis on praegu tagatud, kui
73 Ühendkuningriigi teabevoliniku büroosse saadeti pärast Ühendkuningriigi väljaastumist Euroopa
Liidust väga palju siduvate kontsernisiseste eeskirjade taotlusi. Paljusid heakskiidetud siduvaid
kontsernisiseseid eeskirju ei saanud enam kasutada, sest pärast Brexitit sai kasutada vaid neid, mille
heakskiitmises oli osalenud teabevoliniku büroo, kuid need siduvaid kontsernisiseseid eeskirju
kohaldavad üksused pidid esitama teabevoliniku büroole Ühendkuningriigi ajakohastatud isikuandmete
kaitse määrusele vastavad dokumendid siduvate kontsernisiseste eeskirjade kohta. 74 CBPR foorumisse kuuluvad Ameerika Ühendriigid, Kanada, Jaapan, Korea Vabariik, Filipiinid,
Singapur, Taiwan ja Austraalia, kusjuures Mauritius, Dubai rahvusvaheline finantskeskus ja Bermuda
on assotsieerunud liikmed, nagu Ühendkuningriikki. 75 Vt näiteks G7 andmekaitseasutuste tehtud võrdlev analüüs isikuandmete kaitse üldmääruse
sertifitseerimiskavade ja piiriülese eraelu puutumatuse kaitse eeskirjade süsteemi kohta, mis näitas, et
süsteemide vahel on „märkimisväärseid erinevusi“, sealhulgas „täidetavuse ja õiguskaitse kättesaadavuse
ning sõltumatu järelevalve ja valitsuse juurdepääsu puhul“. Kättesaadav aadressil
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10063165.
Vt komisjoni 23. jaanuari 2019. aasta rakendusotsuse (EL) 2019/419 (isikuteabe kaitse seaduse raames
Jaapani pakutava isikuandmete kaitse piisavuse kohta vastavalt Euroopa Parlamendi ja nõukogu
määrusele (EL) 2016/679) põhjendus 79; kättesaadav aadressil https://eur-lex.europa.eu/legal-
content/ET/TXT/?uri=uriserv:OJ.L_.2019.076.01.0001.01.EST&toc=OJ:L:2019:076:TOC. Vt ka artikli 29 töörühma arvamus 02/2014, milles käsitletakse ELi liikmesriikide andmekaitseasutustele
esitatud siduvate kontsernisiseste eeskirjade ja APECi piiriüleste eraelu puutumatuse eeskirjade järgimise
kinnitamise eest vastutavatele ametitele esitatud piiriüleste eraelu puutumatuse eeskirjade nõudeid, 6. märts
2014.
ET 18 ET
andmeid edastatakse EList Ühendkuningriiki. Seepärast jälgib komisjon
tähelepanelikult selles valdkonnas toimuvat arengut.
2.2.6. Automatiseeritud töötlusel põhinevate otsuste tegemine
(52) Kuigi on säilitatud mitu rakendusotsuse (EL) 2021/1772 põhjenduses 54 hinnatud
automatiseeritud töötlusel põhinevate otsuste tegemise normide elementi, on andmete
(kasutamise ja neile juurdepääsu) seadusega muudetud nende normide mõnda aspekti.
(53) Esiteks on Ühendkuningriigi isikuandmete kaitse üldmääruse uues artiklis 22B
kehtestatud isikuandmete eriliikide (määratletud Ühendkuningriigi isikuandmete kaitse
üldmääruse artikli 9 lõikes 1) töötlemise üldine keeld tähtsate otsuste korral, mis
põhinevad üksnes automatiseeritud töötlusel, millel on andmesubjektile õiguslikud
tagajärjed või millel on talle samaväärne oluline mõju. Siiski on seal sätestatud ka
kolm erandit sellest keelust: andmesubjekt on andnud selliseks töötlemiseks sõnaselge
nõusoleku, otsus on vajalik andmesubjekti ja vastutava töötleja vahel lepingu
sõlmimiseks või sõlmitud lepingu täitmiseks või töötlemine on nõutud või lubatud
seadusega. Viimasel kahel juhul peab automatiseeritud töötlemine olema vajalik
olulisel avaliku huviga seotud põhjusel76. See üldine keelt ei kehti oluliste otsuste
suhtes, mis põhinevad andmete muude kui erikategooriate automatiseeritud
töötlemisel.
(54) Lisaks on Ühendkuningriigi isikuandmete kaitse üldmäärusesse lisatud uues
artiklis 22A selgitatud „üksnes automatiseeritud töötlusel põhineva“ otsuse määratlust,
sätestades, et see on otsus, mille tegemises on sisuliselt osalenud inimene. Tähtis on
see, et vastutav töötleja peab hindama, mil määral aitab profiilianalüüs kaasa otsuse
tegemisele, et määrata kindlaks, kas inimese kaasamine on olnud sisuline. Peale selle
on Ühendkuningriigi isikuandmete kaitse määruse artiklil 22A selgitatud, et „oluline
otsus“ on selline, mis tekitab õigusliku või samaväärselt olulise mõju
andmesubjektile77.
(55) Teiseks on Ühendkuningriigi isikuandmete kaitse üldmääruse uues artiklis 22C nähtud
vastutavatele töötlejatele ette kohustus võtta meetmeid, et pakkuda asjakohaseid
kaitsemeetmeid iga olulise otsuse jaoks, mis põhineb täielikult või osaliselt
isikuandmetel ja üksnes automaatsel töötlemisel (sh muude kui erikategooria andmete
töötlemisel). Need kaitsemeetmed peavad sisaldama andmesubjekti teavitamist
otsustamisprotsessist, võimaldama andmesubjektil vaidlustada otsus või esitada
märkusi ja tagama, et andmesubjekt saab taotleda inimese sekkumist otsuse tegemise
protsessi.78.
(56) Samuti antakse Ühendkuningriigi isikuandmete kaitse üldmääruse uue artikliga 22D
ministrile õigus anda teiseseid õigusakte, et määratleda, mis on ja mis ei ole sisuline
inimese kaasamine ja milliseid otsuseid peetakse ja milliseid mitte sellisteks, millel on
andmesubjektile samaväärne oluline kahjulik mõju. Samuti võimaldab see ministril
anda teiseseid õigusakte, et i) lisada uusi kaitsemeetmeid, ii) kehtestada nõudeid, mis
täiendavad olemasolevaid kaitsemeetmeid, ja iii) määratleda meetmed, mis ei vasta
76 Ühendkuningriigi isikuandmete kaitse üldmääruse artikkel 22B, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahvi 80 lõikega 1. 77 Ühendkuningriigi isikuandmete kaitse üldmääruse artikkel 22A, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahvi 80 lõikega 1. 78 Ühendkuningriigi isikuandmete kaitse üldmääruse artikkel 22C, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahvi 80 lõikega 1.
ET 19 ET
kaitsemeetmetele79. Oluline on see, et Ühendkuningriigi isikuandmete kaitse
üldmääruse artikli 22D kohaselt peab minister enne määruste vastuvõtmist
konsulteerima teabevoliniku bürooga,80 määrustega ei tohi muuta Ühendkuningriigi
isikuandmete kaitse üldmääruse artiklit 22C81 ning nende suhtes kehtib kinnitav
resolutsiooni menetlus,82 mis tähendab, et määrused ei saa jõustuda enne, kui
Ühendkuningriigi parlamendi mõlemad kojad on need heaks kiitnud.
(57) Kuigi andmete (kasutamise ja neile juurdepääsu) seadusega on seega muudetud
automatiseeritud töötlusel põhinevate otsuste raamistikku, on oluline märkida, et
jätkuvalt on Ühendkuningriigis automatiseeritud töötlusel põhinevate otsuste tegemist
reguleerivas õigusraamistikus ette nähtud peamised kaitsemeetmed, mille järgi on
nõutud õigus inimsekkumisele alati, kui olulisi otsuseid tehakse automaatse
isikuandmete töötlemise alusel, st tuginedes tundlike ja mittetundlike isikuandmete
töötlemisele83. Lisaks ei mõjuta Ühendkuningriigi isikuandmete kaitse üldmääruses
automatiseeritud töötlusel põhinevate otsuste tegemise suhtes sätestatud erieeskirjad
tõenäoliselt liidust Ühendkuningriiki edastatud isikuandmete kaitse taset, nagu
komisjon on märkinud varasemates kaitse piisavuse otsustes84. Liidus kogutud
isikuandmete puhul teeb kõik automatiseeritud töötlemisel põhinevad otsused
tavaliselt liidu vastutav töötleja (kellel on otsene suhe asjaomase andmesubjektiga) ja
nende suhtes kohaldatakse seega määruses (EL) 2016/679 sätestatud nõudeid.
2.3. Järelevalve ja täitmise tagamine
2.3.1. Sõltumatu järelevalve
(58) Ühendkuningriigis kontrollib ja tagab andmekaitseraamistiku nõuete täitmist
sõltumatu andmekaitse järelevalveasutus, nagu on analüüsitud rakendusotsuse
(EL) 2021/1772 põhjendustes 85–91. Andmete (kasutamise ja neile juurdepääsu)
seadusega on reformitud selle asutuse juhtimisstruktuuri ja loodud juriidilisest isikust
teabekomisjon, mis asendab teabevoliniku büroo, mis oli ühest füüsilisest isikust
koosnev eraldiseisev juriidiline isik.
(59) Täpsemalt kaotatakse pärast andmete (kasutamise ja neile juurdepääsu) seaduses ette
nähtud juhtimismeetmete rakendama hakkamist teabevoliniku büroo ning selle
ülesanded, töötajad ja vara antakse teabevoliniku büroolt üle teabekomisjonile.
Teabekomisjon koosneb tegevliikmetest ja mitte-tegevliikmetest85. Samuti on seaduses
nähtud ette, et teabekomisjoni esimehe rolli võtab üle teabevolinik, kes on üks mitte-
tegevliikmetest86. Peale selle on andmete (kasutamise ja neile juurdepääsu) seaduses
79 Ühendkuningriigi isikuandmete kaitse üldmääruse artikkel 22D, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahvi 80 lõikega 1. Iga selle volituse alusel kehtestatud määrus peab läbima
kinnitava resolutsiooni menetluse, millega tagatakse parlamendi järelevalve. Määrustega ei saa muuta
artiklis 22C sätestatud nõudeid. 80 2018. aasta andmekaitseseaduse paragrahvi 182 lõige 2. 81 Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 22D lõige 4. 82 Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 22D lõige 5. 83 Ühendkuningriigi isikuandmete kaitse üldmääruse artikli 22C lõige 2, mis lisati andmete (kasutamise ja
neile juurdepääsu) seaduse paragrahvi 80 lõikega 1. 84 Vt näiteks komisjoni 23. jaanuari 2019. aasta rakendusotsuse (EL) 2019/419 (isikuteabe kaitse seaduse
raames Jaapani pakutava isikuandmete kaitse piisavuse kohta vastavalt Euroopa Parlamendi ja nõukogu
määrusele (EL) 2016/679) põhjendus 94 ja komisjoni 17. detsembri 2021. aasta rakendusotsuse
(EL) 2022/254 (mis põhineb Euroopa Parlamendi ja nõukogu määrusel (EL) 2016/679 ning käsitleb
isikuandmete kaitse seaduse kohast isikuandmete piisavat kaitset Korea Vabariigis) põhjendus 81. 85 2018. aasta andmekaitseseaduse lisa 12A punkti 3 alapunkt 1. 86 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahvid 117, 118, 119 ja 120 koos 14. lisaga.
ET 20 ET
sätestatud, et kuivõrd see on ülesannete üleandmise tulemusena asjakohane,
käsitatakse viiteid teabevolinikule kõikides õigusaktides või muudes dokumentides
(olenemata nende vastuvõtmise või koostamise ajast) viidetena teabekomisjonile. Oma
ülesannete täitmiseks võib komisjon luua komiteesid ja delegeerida ülesandeid
liikmele, töötajale või komitee komisjonile87 ning reguleerida enda ja komiteede
menetlusi, sealhulgas seoses kvoorumi ja häälteenamuse alusel otsustamisega. Need
menetlused tuleb avalikustada88.
(60) Oluline on see, et teabekomisjoni sõltumatuse suhtes kehtivad samad kaitsemeetmed,
sealhulgas seoses teabekomisjoni esimehe ametisse määramise ja ametist tagandamise
eeskirjadega, mida on hinnatud rakendusotsuse (EL) 2021/1772 põhjendustes 87–9089.
Sarnased kaitsemeetmed kehtivad ka teabekomisjoni mitte-tegevliikmete suhtes.
Teabekomisjoni esimehe määrab ametisse Tema Majesteet ministri soovitusel.
Esimees valitakse vastavalt saavutustele ning õiglase ja avatud konkursi alusel90.
Mitte-tegevliikmed määrab pärast esimehega konsulteerimist ametisse minister.
Kandidaadi saab ametisse nimetamiseks esitada ja ametisse nimetada üksnes siis, kui
ta on valitud vastavalt saavutustele õiglase ja avatud konkursi tingimustel ning
minister on veendunud, et kandidaadil ei ole huvide konflikti91. Tegevliikmed on
teabekomisjoni töötajad, kelle töötamise tingimused määravad mitte-tegevliikmed92.
Tegevjuhi määravad pärast ministriga konsulteerimist ametisse teabekomisjoni
esimees ja teised mitte-tegevliikmed. Ka tegevliikmed nimetatakse ametisse vastavalt
saavutustele õiglase ja avatud konkursi alusel93.
(61) Esimehe võib ametist tagandada Tema Majesteet mõlema parlamendikoja pöördumise
alusel ja üksnes siis, kui minister on esitanud sellele parlamendikojale aruande, milles
ta kinnitab oma veendumust, et esimees on pannud toime tõsise üleastumise, tal on
huvide konflikt, ta ei ole järginud võimaliku huvide konfliktiga seotud konkreetseid
teabe avaldamise nõudeid või ei ole suuteline, sobiv või valmis täitma esimehe
ülesandeid94. Mitte-tegevliikmed võib ametist vabastada ainult minister, kui ta on
veendunud, et õigusaktides kehtestatud konkreetsed tingimused on täidetud. Nende
hulka kuuluvad huvide konflikt, tõsine üleastumine või see, et isik ei ole suuteline,
sobiv või valmis täitma esimehe ülesandeid. Mis puutub täiendavatesse
kaitsemeetmetesse, siis peab minister vastava otsuse avalikustama ja esitama
asjaomasele liikmele teate ametist tagandamise põhjuste kohta95.
(62) Teabekomisjoni põhiülesanne on jätkuvalt andmekaitseraamistiku järelevalve ja
täitmise tagamine Ühendkuningriigis, et kaitsta üksikisikute põhiõigusi ja -vabadusi96.
Teabekomisjoni ülesande kohta tagada isikuandmete kaitse piisav tase on andmete
(kasutamise ja neile juurdepääsu) seaduses konkreetselt nõutud, et teabekomisjon peab
võtma arvesse andmesubjektide, vastutavate töötlejate ja teiste poolte huve ning üldise
87 2018. aasta andmekaitseseaduse lisa 12A punktid 13 ja 14. 88 2018. aasta andmekaitseseaduse lisa 12A punkt 16. 89 Ühendkuningriigi isikuandmete kaitse üldmääruse artikkel 52 ja 2018. aasta andmekaitseseaduse
lisa 12A, mis lisati andmete (kasutamise ja neile juurdepääsu) seaduse eelnõu paragrahviga 114A. 90 2018. aasta andmekaitseseaduse lisa 12A punkti 5 alapunkt 1 ning punkti 3 alapunkt 2. 91 2018. aasta andmekaitseseaduse lisa 12A punkti 3 alapunkt 2 ning punktid 5 ja 6. 92 2018. aasta andmekaitseseaduse lisa 12A punkt 11. 93 2018. aasta andmekaitseseaduse lisa 12A punkti 5 alapunkt 2. 94 2018. aasta andmekaitseseaduse lisa 12A punkti 7 alapunktid 6 ja 7. 95 2018. aasta andmekaitseseaduse lisa 12A punkti 9 alapunktid 6, 7, 8 ja 9. 96 Ühendkuningriigi isikuandmete kaitse üldmääruse artikkel 51.
ET 21 ET
avaliku huvi küsimusi ja suurendama üldsuse usaldust seoses isikuandmete
töötlemisega97. Neid eesmärke on käsitletud ka määruse (EL) 2016/679 põhjenduses 7.
(63) Lisaks on andmete (kasutamise ja neile juurdepääsu) seaduses täpsustatud, et
teabekomisjon võtab andmekaitsealaste õigusaktide alusel oma ülesandeid täites
arvesse innovatsiooni ja konkurentsi edendamist, süütegude tõkestamise, uurimise,
avastamise ja nende eest vastutusele võtmise tähtsust, vajadust kaitsta avalikku ja riigi
julgeolekut ning laste kaitsmisega seotud erivajadusi98. Lisaks tunnistatakse ELi
andmekaitseõiguses vajadust leida isikuandmete kaitse ja mitme muu põhiõiguse ja
eesmärgi (nagu majanduslik ja sotsiaalne areng, julgeolek ja õigus ning
ettevõtlusvabadus) vahel99.
2.3.2. Täitmise tagamine, sealhulgas sanktsioonid
(64) Teabekomisjoni volitused ja ülesanded vastavad jätkuvalt määruse (EL) 2016/679
vastavates artiklites sätestatud liikmesriikide andmekaitse järelevalveasutuste
volitustele ja ülesannetele,100 nagu on hinnatud rakendusotsuse (EL) 2021/1772
põhjendustes 91–95.
(65) Mõne volituse teostamist on konkreetsemalt selgitatud andmete (kasutamise ja neile
juurdepääsu) seaduses.
(66) Ühelt poolt on andmete (kasutamise ja neile juurdepääsu) seaduses selgitatud, et
teabekomisjon võib nõuda teabenõude volituse alusel konkreetseid dokumente ja
teavet101. Teiselt poolt lisati andmete (kasutamise ja neile juurdepääsu) seadusega
teabekomisjonile kaks uut uurimisvolitust: uus volitus nõuda aruandeid102 ja uus
volitus esitada vastutavale töötlejale, keda kahtlustatakse Ühendkuningriigi
isikuandmete kaitse üldmääruse või 2018. aasta andmekaitseseaduse rikkumises, nn
küsitlusteade103.
(67) Seoses teabekomisjoni volituste teostamisega on teabevolinik alates rakendusotsuse
(EL) 2021/1772 jõustumisest menetlenud igal aastal ligikaudu
40 000 andmesubjektide esitatud kaebust, mis on enam-vähem sama palju kui siis, kui
97 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 91, millega lisati 2018. aasta
andmekaitseseadusesse paragrahv 120A. 98 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 91, millega lisati 2018. aasta
andmekaitseseadusesse paragrahv 120B. Andmete (kasutamise ja neile juurdepääsu) seadusega lisati
2018. aasta andmekaitseseadusesse uus paragrahv 120C, mille kohaselt peab teabekomisjon koostama
ja avaldama strateegia, mis muu hulgas kajastab seda, kuidas komisjon eespool nimetatud teemasid
arvesse võtab ja kuidas on kavas edendada regulatiivseid ülesandeid täites majanduskasvu. 99 Vt eelkõige määruse (EL) 2016/679 põhjendused 2 ja 4 ning artikkel 23. 100 Ühendkuningriigi isikuandmete kaitse üldmääruse artiklid 57 ja 58. 101 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 97, millega muudetakse 2018. aasta
andmekaitseseaduse paragrahvi 142. Nii Ühendkuningriigis kui ka ELis hindavad andmete kaitset
reguleerivad asutused oma tegevuse osana tehnoloogia mõju digimajanduse vastu usalduse loomisele ja
andmekaitse rolli digimajanduse vastu usalduse loomises. Vt nt Euroopa Andmekaitsenõukogu
2024. aasta aruanne, lk 12: „Euroopa Andmekaitsenõukogu on dünaamiline koostöökogu, kellel on
keskne roll kogu Euroopas andmekaitsega seotud õigusaktide järjepideva kohaldamise tagamisel.
Andmekaitsenõukogu esimehe vaatenurgast pean ma organisatsiooni üksikisikute eraelu puutumatuse
õiguse kaitsjaks, kes loob oskuslikult tasakaalu innovatsioonivajaduste ja majanduskasvu vahel.“ 102 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 98, millega muudetakse 2018. aasta
andmekaitseseaduse paragrahvi 146. 103 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahv 100, millega lisati 2018. aasta
andmekaitseseadusesse paragrahv 148A.
ET 22 ET
Ühendkuningriik kuulus ELi ja kohaldas määrust (EL) 2016/679104. Teabevolinik viis
ametikohustusi täites läbi ka uurimisi, mis olid seotud mitmesuguste sektorite ja
nõuete järgimise küsimustega, sealhulgas andmesubjektide õigustega105.
(68) Täitmise tagamise meetmetena on teabevolinik alates rakendusotsuse (EL) 2021/1772
jõustumisest teinud 120 noomitust, esitanud 32 teabenõuet, 3 hindamisteadet ja
12 täitmisteadet, teinud 2 hoiatust ja määranud 12 trahvi106. Nende hulka kuuluvad
mitu olulist rahalist karistust, mis määrati Ühendkuningriigi isikuandmete kaitse
üldmääruse ja 2018. aasta andmekaitseseaduse alusel. Näiteks määras teabevolinik
2023. aasta aprillis 12,7 miljoni naelsterlingi suuruse trahvi sotsiaalmeediaplatvormile
laste andmete väärkasutamise eest107. 2025. aasta märtsis määrati 3,07 miljoni
naelsterlingi suurune trahv tarkvarafirmale selle eest, et nad ei taganud andmete
piisavat turvalisust, seades seeläbi ohtu üle 70 000 inimese andmed108. Alles hiljuti,
2025. aasta juunis, määras teabevolinik 2,31 miljoni naelsterlingi suuruse trahvi
geneetilise testimisega tegelevale ettevõtjale, kes ei kohaldanud Ühendkuningriigi
kasutajate isikuandmete kaitsmiseks asjakohaseid turvameetmeid, mille tagajärjeks oli
ulatuslik küberrünne 2023. aastal109.
(69) Alates rakendusotsuse (EL) 2021/1772 jõustumisest on teabevoliniku büroo koostanud
ja avaldanud palju suuniseid, arvamusi ja muid juhendavaid dokumente, milles on
selgitatud andmekaitsenormide kohaldamist olulistes valdkondades (nagu näotuvastus,
õiglus tehisintellekti kasutamisel, laste andmed, otseturundus, videovalve, õigus
tutvuda isikuandmetega, läbipaistvus tervishoiu ja hoolekande valdkonnas jne) ja
mitmesugustele sihtrühmadele, sealhulgas väikesed ja keskmise suurusega ettevõtjad,
konkreetsed asutused, nt koolid, lasteaiad või väikesed avaliku sektori asutused,
samuti ettevõtjad üldiselt, üldsus või andmesubjektid110.
3. ASJAKOHASED ARENGUSUUNAD SEOSES JUURDEPÄÄSUGA
EUROOPA LIIDUST EDASTATUD ISIKUANDMETELE JA NENDE
KASUTAMISEGA ÜHENDKUNINGRIIGIS ASUVATE AVALIKU SEKTORI
ASUTUSTE POOLT
3.1. Üldine õigusraamistik
(70) Ühendkuningriik on jätkuvalt Euroopa Nõukogu liige, järgib Euroopa inimõiguste
konventsiooni ja allub Euroopa Inimõiguste Kohtule. Seega kehtivad tema suhtes ka
rahvusvahelises õiguses sätestatud kohustused, nagu on kirjeldatud rakendusotsuse
(EL) 2021/1772 põhjendustes 116–119, mis loovad raamistiku valitsuse
isikuandmetele juurdepääsu süsteemile, lähtudes Euroopa inimõiguste ja
põhivabaduste kaitse konventsiooni osalisena samasugustest põhimõtetest,
104 Teabevoliniku 2021.–2022., 2022.–2023. ja 2023.–2024. aasta aruanded. Vt ka komisjoni
rakendusotsuse (EL) 2021/1772 põhjendus 96. 105 Teabevoliniku 2023.–2024. aasta aruanne, lk 41. 106 Teabevoliniku 2021.–2022., 2022.–2023. ja 2023.–2024. aasta aruanded. 107 Nende ja täiendavate täitemeetmete kohta leiab lisateavet teabevoliniku veebisaidilt, mis on kättesaadav
aadressil https://ico.org.uk/action-weve-taken/enforcement/. 108 Lisateave on kättesaadav järgmisel aadressil: https://ico.org.uk/action-weve-
taken/enforcement/2025/03/advanced-computer-software-group-limited/. 109 Lisateave on kättesaadav järgmisel aadressil: https://ico.org.uk/action-weve-
taken/enforcement/2025/06/23andme/. 110 Kättesaadav aadressil https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/.
ET 23 ET
kaitsemeetmetest ja üksikisiku õigustest nagu need, mis kehtivad 27 liikmesriigi
suhtes ja kajastuvad suurel määral Euroopa Liidu Kohtu asjaomases praktikas.
(71) 2018. aasta andmekaitseseadusega on jätkuvalt tagatud konkreetsed andmekaitsega
seotud kaitsemeetmed ja õigused juhul, kui andmeid töötlevad Ühendkuningriigi
avaliku sektori asutused, sealhulgas õiguskaitse- ja riiklikud julgeolekuasutused, nagu
on analüüsitud rakendusotsuse (EL) 2021/1772 põhjendustes 121–132. Andmete
(kasutamise ja neile juurdepääsu) seadusega on vaid vähesel määral ja konkreetsel
eesmärgil muudetud 2018. aasta andmekaitseseaduse neid osi, milles on sätestatud
normid isikuandmete töötlemiseks kriminaalõiguskaitse (2018. aasta
andmekaitseseaduse 3. osa) ja riigi julgeoleku (2018. aasta andmekaitseseaduse 4. osa)
kontekstis.
(72) Seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise,
uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuse
täitmisele pööramise eesmärgil, sealhulgas avalikku julgeolekut ähvardavate ohtude
eest kaitsmiseks ja nende ennetamiseks, on 2018. aasta andmekaitseseaduse 3. osaga
jätkuvalt tagatud selliste põhimõtete, õiguste ja kohustuste järgimine, mis sarnanevad
direktiivis (EL) 2016/680 sätestatutega111.
(73) Täpsemalt võttis komisjon käesoleva otsusega samal kuupäeval direktiivi
(EL) 2016/680 artikli 36 lõike 3 alusel vastu otsuse, milles järeldati, et
Ühendkuningriigi kriminaalõiguskaitseasutustes andmete töötlemisele kohaldatava
andmekaitse korraga on tagatud kaitsetase, mis sisuliselt vastab direktiiviga
(EL) 2016/680 tagatud kaitsetasemele.
(74) Andmete (kasutamise ja neile juurdepääsu) seadusega on muudetud ja konsolideeritud
2018. aasta andmekaitseseaduse 3. osa olemasolevaid erandeid, mida pädevad
asutused riigi julgeoleku eesmärgil kasutada saavad. Riigi julgeoleku erand võimaldab
pädevatel ametiasutustel jätta 2018. aasta andmekaitseseaduse 3. osa teatav säte
kohaldamata, kui sellest sättest erandi tegemine on vajalik riigi julgeoleku
tagamiseks112. Selles võetakse arvesse Ühendkuningriigi isikuandmete kaitse
üldmääruse (sätestatud 2018. aasta andmekaitseseaduse paragrahvis 26) ja 2018. aasta
111 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahviga 69 lisati 2018. aasta
andmekaitseseaduse paragrahvi 33 uue lõikena 1A ja paragrahvina 40A nõusoleku määratlus ja
nõusolekule tuginemise tingimused, nagu need on sätestatud Ühendkuningriigi isikuandmete kaitse
üldmääruse artikli 4 lõikes 11 ja artiklis 7 (mis vastavad määruse (EL) 2016/679 vastavatele sätetele), ja
seega selgitatakse nõusoleku mõistet ja nõusolekule tuginemise tingimusi juhul, kui seda kasutatakse
õigusliku alusena pädevas asutuses isikuandmete töötlemiseks kriminaalõiguskaitse eesmärgil. Lisaks
on andmete (kasutamise ja neile juurdepääsu) seaduse paragrahvi 71 lõigetes 7 ja 8 veidi täpsustatud
2018. aasta andmekaitseseaduse paragrahvi 36 lõike 1 sõnastust. Viimaks on asjakohastel juhtudel
andmete (kasutamise ja neile juurdepääsu) seadusega tehtud Ühendkuningriigi isikuandmete kaitse
üldmääruse muudatused, nagu on kirjeldatud paragrahvis 2, kajastatud ka 2018. aasta
andmekaitseseaduse 3. osas – vt näiteks paragrahvi 74 lõiked 2–5 tundlike isikuandmete töötlemise
kohta, paragrahvi 76 lõiked 4–6 andmesubjekti taotlusele vastamise tähtaegade kohta, paragrahvi 78
lõiked 2–3 andmesubjekti taotlusega seotud otsingute kohta ning paragrahvi 80 lõiked 3–5
automatiseeritud töötlusel põhinevate otsuste tegemise kohta. 112 2018. aasta andmekaitseseaduse paragrahvi 78A lõige 1, mis lisati andmete (kasutamise ja neile
juurdepääsu) seaduse paragrahviga 88. Erand võimaldab kooskõlas 2018. aasta andmekaitseseaduse
paragrahvi 78A lõigetega 2–4 jätta kohaldamata andmekaitse põhimõtted (välja arvatud õiguspärasuse
põhimõte ning tundlike andmete töötlemise tingimused ja kaitsemeetmed), üksikisikute õigused,
vastutava ja volitatud töötleja kohustused isikuandmetega seotud rikkumiste korral ja rahvusvahelise
edastamise eeskirjade teatavad osad ning mõned teabevoliniku volitused, mis puudutavad kontrolli
tegemist ning täitemeetmete võtmist.
ET 24 ET
andmekaitseseaduse 4. osa (sätestatud 2018. aasta andmekaitseseaduse
paragrahvis 110) alusel toimuva isikuandmete töötlemise kohta ette nähtud riigi
julgeolekuga seotud erandeid.
(75) Riigi julgeoleku erandile kehtivad samad piirangud ja kaitsemeetmed kui
Ühendkuningriigi isikuandmete kaitse üldmääruses ja 2018. aasta andmekaitseseaduse
4. osas ette nähtud eranditele, mida on analüüsitud rakendusotsuse (EL) 2021/1772
põhjendustes 64–67 ja 126. Eelkõige võib erandit kohaldada ainult juhul, kui see on
vajalik riigi julgeoleku kaitsmiseks, ja selleks vajalikus ulatuses. See ei ole üldine
erand ning vastutav töötleja peab erandile tuginemiseks kaaluma iga üksikjuhtu
eraldi113. Peale selle peab erandi kohaldamine olema kooskõlas inimõiguste normidega
(mis on sätestatud 1998. aasta inimõiguste seaduses ja Euroopa inimõiguste
konventsioonis), mille kohaselt peab igasugune sekkumine eraelu puutumatuse
õigustesse olema demokraatlikus ühiskonnas vajalik ja proportsionaalne114. Seda
kinnitatakse ka teabevoliniku büroo suunistes riigi julgeoleku erandi kohaldamise
kohta115.
(76) Lisaks võib andmete (kasutamise ja neile juurdepääsu) seadusega tehtud muudatuste116
alusel kriminaalõiguskaitseasutustes konkreetsele andmete töötlemisele kohaldada ka
2018. aasta andmekaitseseaduse 4. osa sätteid, mida tavaliselt kohaldatakse üksnes
andmete töötlemisele riiklikes julgeolekuasutustes.
(77) Kuigi riigi julgeoleku eesmärgil töötlemisele kohalduv andmekaitse kord laieneb
seega konkreetsetes olukordades ka andmete töötlemisele
kriminaalõiguskaitseasutustes, kehtib see üksnes konkreetsete asjaolude korral ning
juhul, kui järgitakse rangeid tingimusi ja kaitsemeetmeid, st siis, kui i) pädev asutus on
liigitatud „nõuetele vastavaks pädevaks asutuseks“ ministri määrusega, mille peab
heaks kiitma parlament,117 ja ii) minister määrab teatises konkreetse
töötlemistoimingu, mille teeb nõuetele vastav pädev asutus. Oluline on see, et minister
võib määrata toimingu vaid siis, kui ta leiab, et töötlemistoimingu määramine on
vajalik riigi julgeoleku kaitsmise eesmärgil, st siis, kui kriminaalõiguskaitseasutus
tegutseb riigi julgeoleku eesmärgil ja töötlemistoimingu teeb nõuetele vastav pädev
asutus kaasvastutava töötlejana koos vähemalt ühe luureteenistusega118. Täiendavate
kaitsemeetmetena peab minister enne määramisteate väljaandmist konsulteerima
teabevolinikuga,119 teate tekst tuleb üldjuhul avaldada120 ja isik, keda määramisteade
113 Vt Baker vs. Secretary of State for the Home Department [2001] UKIT NSA2 (edaspidi „Baker vs.
Secretary of State“). 114 Vt ka Guriev vs. Community Safety Development (United Kingdom) Ltd, [2016], EWHC 643 (QB),
punkt 45; Lin vs. Commissioner of the Police for the Metropolis [2015], EWHC 2484 (QB), punkt 80. 115 Vt teabevoliniku suunised riigi julgeoleku ja riigikaitse erandi kohta, kättesaadavad aadressil
https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/exemptions/national-security-and-
defence-exemption-a-guide. 116 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahvid 89 ja 90. 117 2018. aasta andmekaitseseaduse paragrahvi 82 lõiked A1, 2A ja 4, mis lisati andmete (kasutamise ja
neile juurdepääsu) seaduse paragrahvi 89 lõikega 2. 118 Paragrahvi 82A lõiked 1 ja 2, mis lisati andmete (kasutamise ja neile juurdepääsu) seaduse
paragrahvi 89 lõikega 3. Täiendavate kaitsemeetmetena peab minister enne määramisteate väljaandmist
konsulteerima teabevolinikuga (vt 2018. aasta andmekaitseseaduse uus paragrahvi 82A lõige 8),
põhimõtteliselt peab avaldama teate teksti (vt uue paragrahvi 82D lõige 1), välja arvatud 2018. aasta
andmekaitseseaduse uue paragrahvi 82D lõikes 3 sätestatud erandite korral, ja isik, keda määramisteade
otse puudutab, võib taotleda kohtulikku kontrolli (vt 2018. aasta andmekaitseseaduse uus
paragrahv 82E). 119 2018. aasta andmekaitseseaduse paragrahvi 82A lõige 8.
ET 25 ET
otse puudutab, võib taotleda kohtulikku kontrolli121. Seega on selle muudatuse
eesmärk sisuliselt selgitada, et kui Ühendkuningriigi asutustel on pädevus tegutseda
nii õiguskaitse kui ka riigi julgeoleku valdkonnas ja nad töötlevad andmeid viimati
nimetatud valdkonnas ülesandeid täites, kohaldatakse riiklike julgeolekuteenistuste
jaoks kehtestatud andmekaitsekorda.
(78) 2018. aasta andmekaitseseaduse 4. osa kohaldatakse juhtudel, kui andmeid töötlevad
Ühendkuningriigi luureteenistused. Jätkuvalt on selles sätestatud peamised
andmekaitsepõhimõtted, kehtestatud andmete eriliikide töötlemise tingimused ja
andmesubjektide õigused ning nõutud lõimitud andmekaitset ja reguleeritud andmete
edastamist, nagu on kirjeldatud rakendusotsuse (EL) 2021/1772 põhjendustes 125–
132.
(79) Andmete (kasutamise ja neile juurdepääsu) seadusega on seda korda muudetud vaid
vähesel määral. Seoses 2018. aasta andmekaitseseaduse paragrahvis 94 sätestatud
andmesubjektide õigusega tutvuda isikuandmetega on andmete (kasutamise ja neile
juurdepääsu) seadusega lisatud uus lõige 2A, milles selgitatakse, et andmesubjektil on
õigus asjakohasele teabele ainult siis, kui vastutav töötleja suudab seda teavet anda
mõistliku ja proportsionaalse otsingu tulemusena122. Nagu on selgitatud
põhjenduses 35, annab see muudatus aluse õigusele tutvuda isikuandmetega kooskõlas
kehtestatud õiguslike nõuetega, milles on võetud arvesse andmesubjekti huve. Kuigi
automatiseeritud töötlusel põhinevate otsuste tegemisel on vastutaval töötlejal
jätkuvalt keelatud teha otsust, mis mõjutab oluliselt andmesubjekti, tuginedes üksnes
andmesubjektiga seotud isikuandmete automatiseeritud töötlemisele, välja arvatud siis,
kui selline otsus on nõutud või lubatud seadusega, andmesubjekt on andnud nõusoleku
selle põhjal otsuse tegemisele või selline otsus tehakse lepingu alusel;123 andmete
(kasutamise ja neile juurdepääsu) seadusega lisati 2018. aasta andmekaitseseaduse
4. osas124 mõiste „üksnes automatiseeritud töötlemisel põhinev otsus“ kohta sama
määratlus, mis sisaldub Ühendkuningriigi isikuandmete kaitse üldmääruse artiklis 22A
ja mida on analüüsitud käesoleva otsuse põhjenduses 53.
3.2. Asjakohased arengusuunad seoses juurdepääsuga andmetele ja andmete
kasutamisega Ühendkuningriigi avaliku sektori asutuste poolt
kriminaalõiguskaitse eesmärkidel
(80) Ühendkuningriigi õiguses kehtivad endiselt isikuandmetele juurdepääsu ja nende
kriminaalõiguskaitse eesmärkidel kasutamise olulised piirangud ning selles
valdkonnas on ette nähtud järelevalve- ja õiguskaitsemehhanismid, nagu on
analüüsitud rakendusotsuse (EL) 2021/1772 põhjendustes 134–174.
3.2.1. Õiguslik alus ja kohaldatavad piirangud/kaitsemeetmed
(81) Ühendkuningriigi õiguskorra järgi on ettevõtjatelt kriminaalõiguskaitse eesmärkidel
isikuandmete kogumine lubatud läbiotsimis- ja andmeesitamismääruste alusel, millele
120 2018. aasta andmekaitseseaduse paragrahvi 82D lõige 1, mille suhtes kohaldatakse seaduse uue
paragrahvi 82D lõiget 3. 121 2018. aasta andmekaitseseaduse paragrahv 82E. 122 Andmete (kasutamise ja neile juurdepääsu) seaduse paragrahvi 78 lõige 4. 123 2018. aasta andmekaitseseaduse paragrahv 96. 124 2018. aasta andmekaitseseaduse uue paragrahvi 96 lõike 4 kohaselt põhineb otsus täielikult
automatiseeritud töötlusel, kui otsustamine ei sisalda võimalust, et inimene nõustub otsusega, lükkab
selle tagasi või mõjutab seda. Vt andmete (kasutamise ja neile juurdepääsu) seaduse paragrahvi 80
lõike 4 punkt c.
ET 26 ET
kehtivad rakendusotsuse (EL) 2021/1772 põhjendustes 135–138 kirjeldatud
tingimused ja kaitsemeetmed.
(82) Lisaks on spionaažist, sabotaažist ja välisjõudude huvides tegutsevatest isikutest
tulenevate ohtude vastu võitlemisele suunatud 2023. aasta riikliku julgeoleku
seadusega125 antud Ühendkuningriigi politseile uued volitused ruumidesse
sisenemiseks, läbiotsimiseks ja kinnipidamiseks, sealhulgas võimalus saada
isikuandmeid, kui on põhjendatud alus kahtlustada, et leitakse võimalikku
tõendusmaterjali selle kohta, et toime on pandud või võidakse panna mõni 2023. aasta
riikliku julgeoleku seadusele vastav raske süütegu või välisjõudude ohustav tegevus126.
Nende volituste suhtes kehtivad tingimused ja kaitsemeetmed, mis sarnanevad
nendega, mida analüüsiti rakendusotsuses (EL) 2021/1772 vastava perioodi kohta.
Eelkõige onnende volituste kasutamiseks vaja luba, mille annab sõltumatu kohtunik
läbiotsimis-, andmeesitamis- või selgitava määruse vormis politseikonstaabli või
uurija taotlusel127. Konfidentsiaalse teabe, näiteks ajakirjandusliku materjali või
kutsesaladuse alla kuuluva teabe suhtes kohaldatakse erikaitsemeetmeid128. Lisaks on
2023. aasta riikliku julgeoleku seadusega kehtestatud avalikustamise,129 klientide
andmete130 ja kontode jälgimise määruste131 kohta ette nähtud, et need annab kohtunik
välja vastava ametniku taotluse alusel ning nende suhtes kohaldatakse eritingimusi ja -
kaitsemeetmeid; sealhulgas on ette nähtud, et määrust taotletakse konkreetse isiku
puhul mõne välisjõudude ohustava tegevuse uurimiseks, et määrus aitab kaasa
uurimisele ja seda ei kasutata kutsesaladuse alla kuuluva või muul moel välistatud
teabe, näiteks ajakirjandusliku materjali ja teatavate terviseandmete saamiseks132.
(83) Nagu on kirjeldatud rakendusotsuse (EL) 2021/1772 põhjendustes 139–141, on
Ühendkuningriigi õigusraamistikus antud konkreetsetele õiguskaitseasutustele, näiteks
riiklikule kuritegevusevastase võitluse ametile ja Londoni politseiametile õigus
kasutada 2016. aasta uurimisvolituste seaduse alusel suunatud uurimisvolitusi133
raskete kuritegude tõkestamiseks või avastamiseks. Need õiguskaitseasutused võivad
125 Kättesaadav aadressil https://www.legislation.gov.uk/ukpga/2023/32/contents/enacted. 126 2023. aasta riikliku julgeoleku seaduse 2. lisa. 2023. aasta riikliku julgeoleku seaduse järgi on
asjakohased süüteod näiteks kaitstud teabe saamine või avalikustamine (paragrahv 1), ärisaladuste
saamine või avalikustamine (paragrahv 3), välisriigi luureteenistuse abistamine (paragrahv 4), sabotaaž
(paragrahv 12) või konkreetne keelatud tegevus kavatsusega tekitada välisjõudude huvides sekkuvat
mõju (paragrahv 13). 127 Vt 2023. aasta riikliku julgeoleku seaduse 2. lisa punkti 2 alapunkt 1, punkti 3 alapunkt 1, punkti 4
alapunkt 1 ja punkti 10 alapunkt 1. 128 Vt 2023. aasta riikliku julgeoleku seaduse 2. lisa punkti 2 alapunkti 4 alapunkt b, punkti 3 alapunkti 4
alapunktid b ja c, punkti 4 alapunkti 4 alapunktid b ja c ning punkti 10 punkt 1. 129 2023. aasta riikliku julgeoleku seaduse 3. lisa kohase avaldamiskorraldusega võib ametnik kohustada
isikut andma uurimisega seotud teavet, esitama dokumente ja/või vastama küsimustele, et teha kindlaks
välisjõudude ohustava tegevusega seotud vara, sealhulgas sellise vara liikumine või kasutamine. 130 2023. aasta riikliku julgeoleku seaduse 4. lisa kohase klienditeabekorraldusega võib ametnik kohustada
finantsasutust esitama klienditeavet konkreetse isiku kohta. 131 5. lisa kohase kontojälgimiskorraldusega võib ametnik nõuda finantsasutuselt korralduses täpsustatud
teabe esitamist korralduses täpsustatud viisil ja kindla perioodi kohta, mis ei tohi olla pikem kui
90 päeva. 132 2023. aasta riikliku julgeoleku seaduse 3. lisa punkti 2 alapunkt 1, 4. lisa punkt 1, 5. lisa punkt 1. 133 2016. aasta uurimisvolituste seadusega (vt
https://www.legislation.gov.uk/ukpga/2016/25/contents/enacted) asendati mitu seadust, mis käsitlesid
side pealtkuulamist, seadmete töösse sekkumist ja sideandmete hankimist, eelkõige 2000. aasta
uurimisvolituste reguleerimise seaduse I osa, mis moodustas õiguskaitseasutuste ja riiklike
julgeolekuasutuste uurimisvolituste kasutamise varasema üldise õigusliku aluse.
ET 27 ET
kasutada järgmisi uurimisvolitusi: suunatud pealtkuulamine (2016. aasta
uurimisvolituste seaduse 2. osa), sideandmete hankimine (2016. aasta uurimisvolituste
seaduse 3. osa) ja suunatud sekkumine seadmete töösse (2016. aasta uurimisvolituste
seaduse 5. osa). Kui minister annab 2016. aasta uurimisvolituste seaduse 4. osa alusel
välja säilitamisteatised, võivad sellest kasu saada ka õiguskaitseasutused, kes pääsevad
säilitatud sideandmetele ligi 2016. aasta uurimisvolituse 3. osas sätestatud
sideandmete kogumise volituse alusel.
(84) Alates rakendusotsuse (EL) 2021/1772 vastuvõtmisest moodustab 2016. aasta
uurimisvolituste seadus koos Inglismaa, Walesi ja Põhja-Iirimaa 2000. aasta
uurimisvolituste reguleerimise seaduse ja Šotimaa 2000. aasta uurimisvolituste
reguleerimise seadusega (Šotimaa) jätkuvalt õigusliku aluse ning selles on nähtud ette
volituste kasutamise suhtes kohaldatavad piirangud ja kaitsemeetmed, nagu on
kirjeldatud rakendusotsuses (EL) 2021/1772. Oluline on õigusraamistikus jätkuvalt
sisalduv nõue, et nende volituste teostamiseks peab ametiasutusel olema määrus,134
mille on välja andnud pädev asutus135 ja heaks kiitnud sõltumatu kohtuvolinik136 (nn
topeltkinnituse menetlus). Määruse väljaandmisel hinnatakse jätkuvalt selle
vajalikkust ja proportsionaalsust137.
(85) Pärast rakendusotsuse (EL) 2021/1772 vastuvõtmist muudeti aga 2016. aasta
uurimisvolituste seaduse teatud elemente 2024. aasta uurimisvolituste (muutmise)
seadusega, mis sai kuningliku heakskiidu 2024. aasta aprillis138. Järgmistes lõikudes
analüüsitakse neid muudatusi ja teisi asjakohaseid arengusuundi, kuivõrd need
seostuvad tingimuste, piirangute ja kaitsemeetmetega, mida rakendatakse juhul, kui
Ühendkuningriigi ametiasutused kasutavad eespool kirjeldatud konkreetseid
uurimisvolitusi kriminaalõiguskaitse eesmärkidel, nagu on hinnatud rakendusotsuse
(EL) 2021/1772 põhjendustes 177–215. Nende Ühendkuningriigi õigusraamistiku
elementide suhtes, mida eespool nimetatud seadusega ei muudetud või mida muud
asjakohased arengusuunad ei ole mõjutanud, kehtib rakendusotsuses (EL) 2021/1772
esitatud analüüs.
(86) Sideandmete suunatud kogumise ja säilitamise139 suhtes on jäänud kehtima neile
volitustele kohaldatavad tingimused ja kaitsemeetmed, nagu on hinnatud
134 2016. aasta uurimisvolituste seaduse 2. osa 2. peatükis on sätestatud mõned olukorrad, kus
pealtkuulamine võib toimuda ilma määruseta. Nende hulka kuuluvad pealtkuulamine saatja või
vastuvõtja nõusolekul, pealtkuulamine halduslikel või nõuete täitmise tagamisega seotud eesmärkidel,
pealtkuulamine teatavates asutustes (vanglad, psühhiaatriahaiglad ja sisserändajate
kinnipidamiskeskused) ning pealtkuulamine kooskõlas asjakohase rahvusvahelise lepinguga. 135 Enamikul juhtudel annab 2016. aasta uurimisvolituste seaduse alusel määruse välja valitsuskabineti
minister, samas kui Šotimaa ministritel on õigus anda välja suunatud pealtkuulamise määruseid,
vastastikuse abiga seotud lubasid ja määruseid suunatud sekkumiseks seadmete töösse juhul, kui
pealtkuulatav isik või ruumid ja seadmed, mille töösse sekkutakse, asuvad Šotimaal (vt 2016. aasta
uurimisvolituste seaduse paragrahvid 22 ja 103). Suunatud sekkumise korral seadmete töösse võib
2016. aasta uurimisvolituste seaduse paragrahvis 106 nimetatud tingimustel anda määruse
õiguskaitseasutuse ülem (nagu on kirjeldatud 2016. aasta uurimisvolituste seaduse 6. lisa 1. ja 2. osas). 136 Kohtuvolinikud abistavad uurimisvolituste volinikku (Investigatory Powers Commissioner), kes on
sõltumatu isik, kelle ülesanne on teha järelevalvet luureasutuste uurimisvolituste kasutamise üle. 137 Vt eelkõige 2016. aasta uurimisvolituste seaduse paragrahvid 19 ja 23. 138 Kättesaadav aadressil https://www.legislation.gov.uk/ukpga/2024/9/contents/2025-04-25. 139 Termin „sideandmed“ hõlmab vastuseid sidega seotud küsimustele „kes?“, „millal?“, „kust?“ ja
„kuidas?“, kuid mitte sidevahendite kaudu edastatud teabe sisu, st seda, mida räägiti või kirjutati.
Sideandmete hulka võivad kuuluda ka side aeg ja kestus, side algataja ja adressaadi telefoninumber või
e-posti aadress ning mõnikord ka kasutatud sidevahendite asukoht (vt 2016. aasta uurimisvolituste
seaduse paragrahvi 261 lõige 5). Minister tohib 2016. aasta sideseaduse järgi nõuda
ET 28 ET
rakendusotsuses (EU) 2021/1772. 2024. aasta uurimisvolituste (muutmise) seaduses
on olemasolevate kaitsemeetmete selgitamiseks lisatud 2016. aasta uurimisvolituste
seaduse paragrahvi 11 (mille järgi on telekommunikatsioonioperaatorilt
ebaseaduslikult sideandmete saamine süütegu) loetelu näidetest, mida „seaduslik
luba“140 selles sättes hõlmab. Lisaks on 2024. aasta uurimisvolituste (muutmise)
seaduses täpsemalt selgitatud 2016. aasta uurimisvolituste seaduse paragrahvis 261
esitatud sideandmete määratlust, täpsustades selgelt, et abonendi andmed loetakse
sideandmeteks141.
(87) Sideandmete säilitamise teatiste142 väljaandmisele kohaldatakse jätkuvalt piiranguid ja
kaitsemeetmeid, mida on kirjeldatud rakendusotsuse (EL) 2021/1772
põhjendustes 208–209, eelkõige kehtib vajalikkuse ja proportsionaalsuse ning
sõltumatu kohtuvoliniku heakskiidu nõue. Kuigi 2024. aasta uurimisvolituste
(muutmise) seadusega loodi võimalus nende teatiste kehtivust pikendada, kohalduvad
pikendamisele samad vajalikkuse ja proportsionaalsuse ning kohtuvoliniku heakskiidu
nõuded143.
(88) Sideandmete puhul on 2024. aasta uurimisvolituste (muutmise) seadusega muudetud
ka telekommunikatsioonioperaatori, st säilitamisteatise võimaliku adressaadi
määratlust. See määratlus hõlmab nüüd iga isikut, kes „pakub või osutab
telekommunikatsiooniteenust, mis i) asub (täielikult või osaliselt) Ühendkuningriigis
või mida kontrollitakse Ühendkuningriigist ning ii) mida kasutavad teised isikud
selleks, et pakkuda Ühendkuningriigis telekommunikatsiooniteenuseid“144. Eriti
oluline on see, et muudetud määratluse kohaselt eeldatakse alati tihedat seost
Ühendkuningriigi turuga. Niisiis selgitatakse muudatusega, et 2016. aasta
uurimisvolituste seadus hõlmab keeruka ülesehitusega suuri äriühinguid tervikuna,
ilma et määratlust laiendataks telekommunikatsiooniteenuste pakkujatele, kelle
pakutavad teenused ei ole mõeldud Ühendkuningriigis asuvatele isikutele. Seda
kinnitavad ka 2024. aasta uurimisvolituste (muutmise) seaduse selgitavad märkused,
mille kohaselt ei olnud selle muudatuse eesmärk 2016. aasta uurimisvolituse seaduses
telekommunikatsioonioperaatoritelt sideandmete säilitamist, et mitmesugused ametiasutused, sealhulgas
õiguskaitse- ja luureasutused, saaksid neile kitsalt piiritletud tingimustel juurde pääseda. 2016. aasta
uurimisvolituste seaduse 4. osaga on ette nähtud sideandmete säilitamine ning 3. osaga sideandmete
suunatud kogumine. Seaduse 3. ja 4. osas on sätestatud ka nende volituste kasutamise konkreetsed
piirangud ja ette nähtud konkreetsed kaitsemeetmed. 140 Kui näiteks asjaomane isik saab asjaomase avaliku sektori asutuse seadusjärgset volitust kasutades
sideandmeid või sideandmed saadakse kohtumääruse või muu kohtuliku loa alusel. 2016. aasta
uurimisvolituste seaduse paragrahvi 11 lõige 3A, mis lisati 2024. aasta uurimisvolituste (muutmise)
seaduse paragrahvi 12 lõikega 3. 141 Paragrahvi 261 lõiked 5A ja 5B, mis lisati 2024. aasta uurimisvolituste (muutmise) seaduse
paragrahvi 13 lõikega 3. 142 2016. aasta uurimisvolituste seaduse paragrahvidele 87–89 vastavate säilitamisteatiste väljaandmise
eesmärk on tagada, et telekommunikatsioonioperaatorid säilitaksid kuni 12 kuud asjakohaseid
sideandmeid, mis muidu kustutatakse, kui neid enam ärilistel eesmärkidel ei vajata. Säilitatavad andmed
jäävad nõutava aja jooksul kättesaadavaks juhuks, kui ametiasutusel peaks hiljem olema vaja neid
koguda 2016. aasta uurimisvolituste seaduse 3. osas sätestatud sideandmete suunatud kogumise loa
alusel. 143 2016. aasta uurimisvolituste seaduse paragrahv 94A, mis lisati 2024. aasta uurimisvolituste (muutmise)
seaduse paragrahvi 20 lõikega 4. 144 2016. aasta uurimisvolituste seaduse paragrahvi 261 lõike 10 punkt c, mis lisati 2024. aasta
uurimisvolituste (muutmise) seaduse paragrahviga 19.
ET 29 ET
sätestatud asjaomaste volituste kohaldamisalasse kuuluvate äriühingute arvu
suurendamine,145 vaid selgitamine.
(89) Samuti tehti 2024. aasta uurimisvolituste (muutmise) seadusega mõned sihipärased
muudatused määruste väljaandmise korda, sealhulgas suunatud pealtkuulamise ja
seadmete töösse sekkumise osas, st seoses volitustega, mida saavad Ühendkuningriigis
kasutada ka konkreetsed õiguskaitseasutused kuritegude tõkestamise ja tuvastamise
eesmärkidel. Need muudatused on seotud vaid eriolukorraga, kus neid volitusi
kasutatakse sellise isiku eraeluliste või sideandmete saamiseks, kes on asjakohase
seadusandliku kogu liige146. Kui suunatud pealtkuulamise ja seadmete töösse
sekkumise määruse võib tavaliselt välja anda minister ja selle kinnitab kohtuvolinik
(vt rakendusotsuse (EL) 2021/1772 põhjendused 186–196 ja 210–215), on
uurimisvolituste seaduse paragrahvide 26 ja 111 järgi lisaks nõutud ka peaministri
kinnitus, kui määrus tehakse parlamendi või muu asjakohase seadusandliku kogu
liikme kohta (nn kolmikkinnituse menetlus). Praegu võib 2024. aasta uurimisvolituste
(muutmise) seaduse kohaselt peaminister määrata viis ministrit, kellel on õigus
teostada peaministri volitust kinnitada selliseid määruseid, tingimusel et kinnitust on
vaja kiiresti ja peaminister ei saa seda anda tervislikel põhjustel või turvalise side
puudumise tõttu. Oluline on see, et selliste määruste väljaandmise suhtes kohaldatakse
jätkuvalt piiranguid ja kaitsemeetmeid, mida on kirjeldatud rakendusotsuses
(EL) 2021/1772.
3.2.2. Kogutud teabe edasine kasutamine
(90) Kui õiguskaitseasutus jagab teise asutusega andmeid muul eesmärgil kui see, milleks
need algselt koguti (andmete edasisaatmine), siis kehtivad selle suhtes jätkuvalt
tingimused, mida on analüüsitud rakendusotsuse (EL) 2021/1772 põhjendustes 142–
156.
(91) Andmete Ühendkuningriigist Ameerika Ühendriikidesse edasisaatmise eriolukorra
suhtes kehtib Suurbritannia ja Põhja-Iiri Ühendkuningriigi valitsuse ning Ameerika
Ühendriikide valitsuse vahel 2019. aastal sõlmitud ning 2022. aasta oktoobris
jõustunud ja sellest alates kohaldatav leping, mis käsitleb juurdepääsu elektroonilistele
andmetele raskete kuritegude vastu võitlemise eesmärgil (edaspidi „Ühendkuningriigi
ja USA vaheline leping“)147. Selle lepingu järgi võidakse EList Ühendkuningriigis
asuvatele teenuseosutajatele edastatavate andmete suhtes kohaldada korraldusi esitada
tõendeid, mille on väljastanud USA pädevad õiguskaitseasutused ja mida kohaldatakse
Ühendkuningriigis.
(92) Oluline on see, et jätkuvalt kehtivad määruste väljaandmisele ja täitmisele
kohaldatavad tingimused ja kaitsemeetmed, nagu on hinnatud rakendusotsuse
(EL) 2021/1772 põhjenduses 154. Täpsemalt kehtib lepingu alusel saadud andmetele
samaväärne kaitse kui konkreetsetele kaitsemeetmetele, mis on sätestatud ELi ja USA
145 2024. aasta uurimisvolituste (muutmise) seaduse selgitavad märkused, punkt 359, kättesaadav aadressil
https://www.legislation.gov.uk/ukpga/2024/9/pdfs/ukpgaen_20240009_en.pdf. 146 2016. aasta uurimisvolituste seaduse paragrahvid 26 ja 111. 147 Suurbritannia ja Põhja-Iiri Ühendkuningriigi valitsuse ning Ameerika Ühendriikide valitsuse vaheline
leping juurdepääsu kohta elektroonilistele andmetele raskete kuritegude vastu võitlemiseks, kättesaadav
aadressil
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/83696
9/CS_USA_6.2019_Agreement_between_the_United_Kingdom_and_the_USA_on_Access_to_Electro
nic_Data_for_the_Purpose_of_Countering_Serious_Crime.pdf.
ET 30 ET
vahelises raamlepingus148 ja mis kõik on mutatis mutandis inkorporeeritud
Ühendkuningriigi ja USA vahelisse lepingusse149.
(93) Pärast rakendusotsuse (EL) 2021/1772 vastuvõtmist on Ühendkuningriik selgitanud, et
ta täpsustas, sealhulgas asjakohaste osalistega Ühendkuningriigi ja USA vahelise
lepingu rakendamise asjus suheldes, kuidas raamlepingus sisalduvaid
õiguskaitsealaseks koostööks kavandatud erikaitsemeetmeid kohandatakse ja
kohaldatakse, kui andmeid edastatakse Ühendkuningriigi ja USA vahelise lepingu
alusel. Täpsemalt on Ühendkuningriik selgitanud, et raamlepingu sätteid, milles on
nähtud ette asjaomase pädeva asutuse (mis Ühendkuningriigi teenuseosutaja ja USA
õiguskaitseasutuse vahelise otsese koostöö korral puudub) roll, tõlgendatakse mutatis
mutandis viitena vastava lepingupoole määratud asutusele (mis on määratletud
Ühendkuningriigi ja USA vahelises lepingus)150.
(94) Näiteks on Ühendkuningriik selgitanud ELi ja USA raamlepingu artikli 10 kohase
infoturbe intsidentidest teatamise kohta, mille korral on vaja teavitada andmeid
esitavat pädevat asutust, et seda sätet kohaldatakse mutatis mutandis, mis tähendab, et
teatama peab andmeid edastanud poole määratud asutusele.
(95) Pädevalt asutuselt saadud loa kohta enne isikuandmete edasisaatmist raamlepingu
artikli 7 kohaselt on Ühendkuningriik selgitanud, et seda sätet kohaldatakse mutatis
mutandis, mis tähendab, et andmeid edastanud poole määratud asutus peab andma
andmete edasisaatmiseks loa.
(96) Seoses raamlepingu artiklis 8 sätestatud andmete kvaliteedi ja tervikluse säilitamise
kohustustega muudaks selle sätte mutatis mutandis tõlgendamine andmete kvaliteedi
ja terviklusega seostuvate probleemide korral andmeid vastuvõtva poole määratud
asutuse andmete esitajaga tehtava koostöö eest vastutavaks.
(97) Kohtusse pöördumise õiguse kohta on Ühendkuningriik rõhutanud, et
Ühendkuningriigi ja USA vahelise lepingu alusel andmete edastamise korral osaleb
selles alati kummagi poole määratud asutus. Kui USA saab Ühendkuningriigis asuvalt
teenuseosutajatelt andmeid, on määratud asutus Ameerika Ühendriikide
justiitsministeerium. Ühendkuningriigi tõlgenduse kohaselt osaleb seega
justiitsministeerium iga Ühendkuningriigi ja USA vahelise lepingu alusel esitatud
taotluse lahendamises föderaalasutusena, kes on määratud USA õiguskaitseseaduse
(Judicial Redress Act) alusel, ja raamlepingu artikli 19 alusel saab seega kohtusse
nõude esitada justiitsministeeriumi vastu. Lisaks on Ühendkuningriik kinnitanud
komisjoni teenistustele, et õiguskaitseseadus ei ole õiguskaitse saamiseks ainus
mehhanism. Olenevalt olukorrast ja iga juhtumi asjaoludest on muude USA
seadustega ette nähtud ka teisi kohtumenetluse teel õiguskaitse saamise võimalusi.
3.2.3. Järelevalve ja õiguskaitse
(98) Tuginedes volitustele, mida pädevad asutused kasutavad õiguskaitse eesmärkidel
isikuandmete töötlemisel (kas 2018. aasta andmekaitseseaduse või 2016. aasta
uurimisvolituste seaduse alusel), tagavad eri asutused jätkuvalt järelevalve nende
148 Ameerika Ühendriikide ja Euroopa Liidu vaheline süütegude tõkestamise, uurimise, avastamise ja
nende eest vastutusele võtmisega seotud isikuandmete kaitse kokkulepe (ELT L 336, 10.12.2016, lk 3–
13), kättesaadav aadressil https://eur-lex.europa.eu/legal-
content/ET/TXT/PDF/?uri=CELEX:22016A1210(01)&from=ET. 149 Lepingu artikli 9 lõige 1. 150 Ühendkuningriigi ja USA vahelise lepingu artikli 1 lõike 8 kohaselt tähendab „määratud asutus“
valitsusasutust, kelle Ühendkuningriigis määrab siseminister ja USAs justiitsminister.
ET 31 ET
volituste kasutamise üle, nagu on hinnatud rakendusotsuse (EL) 2021/1772
põhjendustes 158–174, ja õiguskaitsemehhanismid on 2018. aasta andmekaitseseaduse
3. osa, 2016. aasta uurimisvolituste seaduse ja 1998. aasta inimõiguste seadusega
jätkuvalt tagatud, nagu on analüüsitud rakendusotsuse (EL) 2021/1772
põhjendustes 250–269.
(99) 2018. aasta andmekaitseseaduse 3. osa täitmise üle tehtava järelevalvega seoses on
teabekomisjoni ülesandeid ja volitusi analüüsitud rakendusotsuse (EL) 2021/1772
põhjendustes 158–160 ja 162, arvestades käesoleva otsuste punktides 2.3.1 ja 2.3.2
kirjeldatud muudatusi, mis tehti andmete (kasutamise ja neile juurdepääsu) seadusega.
(100) Alates rakendusotsuse (EL) 2021/1772 vastuvõtmisest on teabevolinik lahendanud
arvukalt kaebusi, mis on seotud eespool nimetatud volituste kasutamisega,151 viinud
ellu mitu uurimist ja võtnud täitemeetmeid seoses andmete töötlemisega
õiguskaitseasutustes. Ajavahemikus 2021–2025 viis teabevolinik läbi uurimisi ja tegi
noomitusi eri politseiorganitele selle eest, et nad ei täitnud neile pandud
andmekaitsekohustusi näiteks siis, kui nad vastasid andmetega tutvumise taotlustele,
kehtestasid turvameetmeid videovalveandmetele, käitlesid tundlikke karistusregistri
andmeid, koondasid isikute andmeid või avalikustasid isikuandmeid kolmandatele
isikutele152. Teabevolinik andis välja ka suuniseid, arvamusi ja juhiseid, mis käsitlesid
näiteks õigust tutvuda isikuandmetega või seda, kuidas menetleda 2018. aasta
andmekaitseseaduse 3. osa tähenduses selgelt põhjendamatuid või ülemääraseid
taotlusi153.
(101) Seoses uurimisvolituste kasutamisega 2016. aasta uurimisvolituste seaduse alusel
tagab sõltumatu ja kohtuliku järelevalve endiselt uurimisvolituste volinik, keda
abistavad kohtuvolinikud, kusjuures uurimisvolituste volinikku ja kohtuvolinikke koos
nimetatakse kohtuvolinikeks154. Selles valdkonnas on 2024. aasta uurimisvolituste
(muutmise) seadusega tehtud vaid väiksemaid sihipäraseid muudatusi, mis ei mõjuta
kohtuvolinike sõltumatust, ülesandeid ega volitusi, vaid on suunatud olemasoleva
järelevalvekorra tegeliku toimimise tugevdamisele eelkõige uurimisvolituste
asevoliniku lisamise abil, kellele uurimisvolituste volinik saab delegeerida erivolitusi,
kui ta ei saa oma kohustusi täita või ei ole selleks kättesaadav. Asevolinik peab olema
kohtuvolinik ja asevoliniku määrab uurimisvolituste volinik155.
3.3. Asjakohased arengusuunad seoses juurdepääsuga andmetele ja andmete
kasutamisega Ühendkuningriigi avaliku sektori asutuste poolt riigi julgeoleku
eesmärkidel
(102) Seoses uurimisvolituste teostamisega riigi julgeoleku eesmärgil pakub 2016. aasta
uurimisvolituste seadus jätkuvalt õigusraamistikku nende volituste kasutamiseks.
151 Näiteks aastatel 2023–2024 sai teabevolinik 1 890 taotlust, mis esitati isikuandmete kaitse üldmääruse
ja/või 2018. aasta andmekaitseseaduse alusel organisatsioonide kohta, kes liigituvad allsektoritesse
„politseiasutus“, „politseijõud“ ja „politseiülemad“. Vt ka teabevoliniku 2023.–2024. aasta aruanne ja
finantsaruanded, mis on kättesaadavad aadressil https://ico.org.uk/media2/migrated/4030348/annual-
report-2023-24.pdf. 152 Lisateave on kättesaadav aadressil https://ico.org.uk/action-weve-
taken/enforcement/?ensector=criminal-justice. 153 Kättesaadav aadressil https://ico.org.uk/for-organisations/law-enforcement/the-right-of-access-part-3-
of-the-dpa-2018/ ja https://ico.org.uk/for-organisations/law-enforcement/guide-to-le-
processing/individual-rights/manifestly-unfounded-and-excessive-requests/. 154 Vt rakendusotsuse (EL) 2021/1772 põhjendus 250. 155 2016. aasta uurimisvolituste seaduse paragrahv 227, mis lisati uurimisvolituste (muutmise) seaduse
paragrahviga 7.
ET 32 ET
Lisaks muudatustele, mis on seotud suunatud uurimisvolitustega, millele konkreetsetel
tingimustel saavad tugineda ka teatavad õiguskaitseasutused, nagu on kirjeldatud
käesoleva otsuse põhjendustes 77–85, on 2024. aasta uurimisvolituste (muutmise)
seadusega muudetud ka üht 2016. aasta uurimisvolituste seaduses sätestatud volitust,
mida saab laialdaselt kasutada.
(103) Täpsemalt on 2024. aasta uurimisvolituste seadusega lisatud 2016. aasta
uurimisvolituste seaduse uude osasse 7A suurte isikuandmete kogumite konkreetse
alamrühma säilitamise ja läbivaatamise erikord, st kord, mis puudutab
andmekogumeid,156 mille korral isikud, kelle isikuandmeid see kogum sisaldab, ei saa
eeldada või saavad vaid vähesel määral mõistlikult eeldada oma andmete
privaatsust157. Selle, kas suur isikuandmete kogum kuulub selle konkreetse kogumite
alamrühma hulka, teeb kindlaks luureteenistuse juht, võttes arvesse kõiki asjaolusid,
eelkõige aga järgmist: i) andmete laad; ii) mil määral on isikud oma andmeid
avalikustanud või andnud nõusoleku nende avalikustamiseks; iii) kui andmed on
avaldatud, siis mil määral on need avaldatud pärast redigeerimist või isiku poolt, kes
toimib kutsestandardite järgi; iv) kui andmed on avaldatud või muul moel
üldkasutatavad, siis mil määral on need laialdaselt tuntud; v) mil määral on andmeid
juba üldsusele kättesaadaval viisil kasutatud158.
(104) Oluline on see, et selliste suurte isikuandmete kogumite puhul, mis ei kuulu sellesse
kategooriasse, st kus on tundlikumad andmed, mille puhul võib seega mõistlikult
eeldada nende privaatsust, kehtib jätkuvalt säilitamise ja läbivaatamise kord, mida on
hinnatud rakendusotsuse (EL) 2021/1772 põhjendustes 239 ja 240, täpsemalt nõue, et
määruse vajalikkuse kinnitab esmalt minister ja siis kohtuvolinik, võttes arvesse
meetme vajalikkuse ja proportsionaalsuse nõuet, nagu on sätestatud 2016. aasta
uurimisvolituste seaduse 7. osas159.
(105) 2016. aasta uurimisvolituste seaduse osas 7A on ette nähtud kahte liiki load:
individuaalne luba ja kategooriapõhine luba. Iga osa 7A alusel kogutud suure
isikuandmete kogumi puhul tuleb selle säilitamiseks või säilitamiseks ja
läbivaatamiseks saada üks neist lubadest. Mõlemad load eeldavad põhimõtteliselt160
luureteenistuse juhi (või tema nimel tegutseva isiku) luba ja sõltumatu kohtuvoliniku
156 Suurte isikuandmete kogumite määrustega, mis antakse välja 2016. aasta uurimisvolituste seaduse
paragrahvi 200 alusel, antakse luureasutustele õigus säilitada ja läbi vaadata andmekogusid, mis
sisaldavad paljude isikute isikuandmeid ja on sellised, et oma ülesandeid täitev luureteenistus ei huvitu
või tõenäoliselt ei huvitu enamikust neist isikutest, ning luureteenistus säilitab neid andmeid
elektrooniliselt ja analüüsib neid oma seadusjärgsete ülesannete täitmisel; vt ka 2016. aasta
uurimisvolituste seaduse paragrahv 199. 157 2016. aasta uurimisvolituste seaduse paragrahvi 226A lõige 1, mis lisati 2024. aasta uurimisvolituste
(muutmise) seaduse paragrahviga 2. 158 2016. aasta uurimisvolituste seaduse paragrahvi 226A lõige 3, mis lisati 2024. aasta uurimisvolituste
(muutmise) seaduse paragrahviga 2. 159 2024. aasta uurimisvolituste (muutmise) seadusega on muudetud 2016. aasta andmekaitseseaduse
paragrahvi 213 nii, et nüüd kaotab suurte isikuandmete kogumite kohta antud määrus kehtivuse, kui
selle väljaandmisest on möödunud 12 kuud. Varem pidi määrust pikendama iga 6 kuu tagant. Vt
2024. aasta uurimisvolituste (muutmise) seaduse paragrahv 3. 160 Individuaalse loa võib ilma eelneva kohtuliku heakskiiduta anda ainult juhul, kui i) individuaalset luba
andev isik leiab, et kõnealune suur andmekogum kuulub olemasoleva kategooriapõhise loa alla, või ii)
kui tegu on kiireloomulise juhtumiga – vt 2016. aasta uurimisvolituste seaduse paragrahvi 226B lõige 6.
Viimasel juhul peab kiireloomulise individuaalse loa vaatama läbi kohtuvolinik kolme tööpäeva
jooksul alates loa väljastamise päevast – vt 2016. aasta uurimisvolituste seaduse paragrahv 226BC.
ET 33 ET
heakskiitu161. Individuaalse loa annab luureteenistuse juht 2016. aasta uurimisvolituste
seaduse paragrahvi 226B lõikes 4 sätestatud tingimustel ja eeldusel, et kohtuvolinikud
on selle eelnevalt heaks kiitnud. Kohtuvolinik peab vaatama läbi loa andnud isiku
järeldused selle kohta, kas loas kirjeldatud suure isikuandmete kogumi suhtes kehtib
paragrahv 226A, s.o nõue, et andmete privaatsust ei saa või saab ainult vähesel määral
mõistlikult eeldada162.
(106) Kategooriapõhise loaga antakse luba loas kirjeldatud suurte isikuandmete kogumite
säilitamiseks või säilitamiseks ja läbivaatamiseks.
(107) Kategooriapõhise loa andmise otsuse teeb luureteenistuse juht, kui ta leiab et mis tahes
selle kategooria andmekogumi puhul kehtib paragrahv 226A ja kui loa andmise otsuse
kiidab heaks sõltumatu kohtuvolinik163. Kohtuvolinik peab üle vaatama, kas loas
kirjeldatud andmekogumite kategooriasse kuuluva andmekogumi suhtes kohaldatakse
paragrahvi 226 (st andmete privaatsust ei saa või saab ainult vähesel määral
mõistlikult eeldada)164.
(108) Individuaalse või kategooriapõhise loa andmise otsust kinnitades peab kohtuvolinik
eelkõige „rakendama samu põhimõtteid, mida kohaldaks kohus kohtuliku
läbivaatamise ajal“,165 ja kaaluma neid küsimusi piisava hoolikusega, tagamaks, et
kohtuvolinik täidab kohustusi, mis on sätestatud 2016. aasta uurimisvolituste seaduse
paragrahvis 2 (eraelu puutumatusega seotud üldised kohustused)166. Lisaks kehtib loa
andmisel range järelkontroll eelkõige igal aastal ministrile ning parlamendi luure- ja
julgeolekukomisjonile esitatavate aastaaruannete167 ja uurimisvolituste voliniku büroo
korrapärase kontrollimise168 kaudu.
(109) Seoses asjakohaste arengusuundadega järelevalve alal on uurimisvolituste voliniku
büroo avaldanud 2021., 2022. ja 2023. aasta kohta aruanded, mis sisaldavad
üksikasjalikku statistikat ja teavet selle kohta, kuidas Ühendkuningriigi luure- ja
õiguskaitseasutused on kasutanud uurimisvolitusi169. Aruannetes on kirjeldatud ka
büroo auditeid ja uurimisi ning nende tulemusi, mis kinnitavad, et uurimisvolituste
161 2016. aasta uurimisvolituste seaduse paragrahvi 226B lõige 1, mis lisati uurimisvolituste (muutmise)
seaduse paragrahviga 2. 162 2016. aasta uurimisvolituste seaduse paragrahvi 226BB lõike 1 punkt a, mis lisati 2024. aasta
uurimisvolituste (muutmise) seaduse paragrahviga 2. 163 2016. aasta uurimisvolituste seaduse paragrahv 226BA, mis lisati uurimisvolituste (muutmise) seaduse
paragrahviga 2. 164 2016. aasta uurimisvolituste seaduse paragrahvi 226BB lõike 1 punkt b, mis lisati uurimisvolituste
(muutmise) seaduse paragrahviga 2. 165 2016. aasta uurimisvolituste seaduse paragrahvi 226BB lõike 2 punkt a, mis lisati 2024. aasta
uurimisvolituste (muutmise) seaduse paragrahviga 2. 166 2016. aasta uurimisvolituste seaduse paragrahvi 226BB lõike 2 punkt b, mis lisati 2024. aasta
uurimisvolituste (muutmise) seaduse paragrahviga 2. Kooskõlas nende 2016. aasta uurimisvolituste
seaduse paragrahvis 2 sätestatud eraelu puutumatusega seotud üldiste kohustustega peab
uurimisvolituste seaduse alusel tegutsev ametiasutus võtma arvesse seda, a) kas määruse, loa või teatega
taotletavat eesmärki on mõistlikult võimalik saavutada muude, vähem sekkuvate vahenditega, b) kas
määruse, loa või teate alusel teabe saamise suhtes kohaldatava kaitse tase on kõrgem selle teabe erilise
tundlikkuse tõttu, c) avalikku huvi telekommunikatsioonisüsteemide ja postiteenuste usaldusväärsuse ja
turvalisuse vastu ning d) muid eraelu puutumatusega seotud aspekte. 167 2016. aasta uurimisvolituste seaduse paragrahv 226DA ja paragrahv 226DB, mis lisati 2024. aasta
uurimisvolituste (muutmise) seaduse paragrahviga 2. 168 Vt uurimisvoliniku 2023. aasta aruanne, kättesaadav aadressil https://ipco-wpmedia-prod-s3.s3.eu-west-
2.amazonaws.com/E03270100-HC_603-IPCO-Annual-Report-2023-Web_Accessible.pdf, lk 3. 169 Aastaaruanded on kättesaadavad järgmisel aadressil: https://www.ipco.org.uk/publications/annual-
reports/.
ET 34 ET
volinik tagab jätkuvalt oma äärmiselt olulise järelevalvekohustuse täitmist
Ühendkuningriigi uurimisvolituste korra kohaselt. Näiteks kontrollis ta 2023. aastal
vajalikkuse ja proportsionaalsuse põhjendusi, mida valitsusside peakorter oli esitanud
laialdase pealtkuulamise kasutamise kohta (nagu on hinnatud rakendusotsuse
(EL) 2021/1772 põhjendustes 218–225), ja järeldas, et enamikul juhtudel olid taotluste
põhjendused veenvalt sõnastatud, kuigi mõnel juhul ei olnud proportsionaalsus selgelt
väljendatud. Neid tulemusi arutati valitsusside peakorteri vastavuskontrolli
osakonnaga, kes kohustus tellima selle probleemi lahendamiseks asutusesisese
teadlikkuse suurendamise lisakoolituse170.
(110) Lisaks avaldas uurimisvolituste kohus (Investigatory Powers Tribunal) avaliku
aruande oma tegevuse ja kohtupraktika kohta aastatel 2021–2023171. See aruanne
näitab, et kohtuni jõudnud juhtumite arv on alates 2017. aastast enam kui
kahekordistunud ning 2023. aastal laekus kohtule üle 400 juhtumi172. Enamik kaebusi
puudutasid õiguskaitseasutusi ja nende järel kohe luure- ja julgeolekuasutused173.
2022. ja 2023. aastal tegi kohus enne 2021. aastat laekunud asjades otsused, milles ta
leidis, et Ühendkuningriigi avaliku sektori asutused, täpsemalt Šotimaa politsei,174
Manchesteri linnapiirkonna politsei,175 Surrey politsei,176 MI5 ja siseminister177 olid
tegutsenud ebaseaduslikult. Mis puutub õiguskaitsevahenditesse, siis andis
uurimisvolituste kohus muu hulgas käsu hävitada mis tahes ebaseaduslikult saadud
materjal ning mõistis ühel juhul tuvastatud rikkumiste hüvitamiseks välja ka
12 000 naelsterlingit. Niisiis kinnitab aastaaruanne, et uurimisvolituste kohus täidab
tulemuslikult oma olulist rolli, mis tal on kriminaalõiguskaitse ja riigi julgeoleku
eesmärgil isikuandmetele juurdepääsu puhul järelevalve ja õiguskaitse tagamisel.
(111) Lisaks on aruandes toodud esile olulised sündmused, nagu Euroopa Inimõiguste Kohtu
otsus, milles kohus leidis, et üksikisikud kõikjal maailmas võivad esitada
uurimisvolituste kohtule kaebuse Ühendkuningriigi laialdase pealtkuulamise korra
kohta, kui kõnealune toiming leidis aset Ühendkuningriigis ja selle tegi
Ühendkuningriigi avaliku sektori asutus178.
4. KOKKUVÕTE
(112) Komisjon leiab, et Ühendkuningriigi isikuandmete kaitse üldmäärus ja 2018. aasta
andmekaitseseadus, mida on muudetud andmete (kasutamise ja neile juurdepääsu)
seadusega, tagavad jätkuvalt Euroopa Liidust edastavate isikuandmete kaitsetaseme,
mis on sisuliselt samaväärne määruse (EL) 2016/679 kohaselt tagatud kaitsetasemega.
170 Vt 2023. aasta aruande punktid 6.39–6.43, kättesaadav aadressil https://ipco-wpmedia-prod-s3.s3.eu-
west-2.amazonaws.com/E03270100-HC_603-IPCO-Annual-Report-2023-Web_Accessible.pdf. 171 Uurimisvolituste kohtu 2021.–2023. aasta aruanne, kättesaadav aadressil
https://investigatorypowerstribunal.org.uk/wp-content/uploads/2024/11/Investigatory-Powers-Tribunal-
Report-2024.pdf. 172 Uurimisvolituste kohtu 2021.–2023. aasta aruanne, lk 5. 173 Uurimisvolituste kohtu 2021.–2023. aasta aruanne, lk 12. 174 Wilson vs. Police Scotland [2022] UKIPTrib 5.
175 Pendlebury vs. Greater Manchester Police [2023] UKIPTrib 2.
176 Hill vs. Metropolitan Police Service & Independent Office For Police Conduct [2022] UKIPTrib 6.
177 Liberty & Privacy International vs. Security Service and Secretary of State for the Home Department
[2023] UKIPTrib 1. 178 Wieder and Guarnieri vs. UK, [2023] ECHR 668, vt ka uurimisvolituste kohtu aruanne 2021.–
2023. aasta aruanne, lk 6.
ET 35 ET
(113) Lisaks leiab komisjon, et Ühendkuningriigi õiguses ette nähtud
järelevalvemehhanismid ja õiguskaitse võimalused tervikuna võimaldavad praktikas
tuvastada rikkumisi ja nende eest karistada ning pakuvad andmesubjektile
õiguskaitsevahendeid temaga seotud isikuandmetele juurdepääsu saamiseks ning
vajaduse korral nende parandamiseks või kustutamiseks.
(114) Peale selle leiab komisjon Ühendkuningriigi õigussüsteemi kohta kättesaadava teabe
põhjal, et selliste üksikisikute põhiõiguste riivamine, kelle isikuandmeid edastavad
Euroopa Liidust Ühendkuningriiki Ühendkuningriigi avaliku sektori asutused avaliku
huviga seotud eesmärkidel, eelkõige õiguskaitse ja riigi julgeoleku eesmärkidel,
piirdub jätkuvalt sellega, mis on rangelt vajalik kõnealuse õiguspärase eesmärgi
täitmiseks, ning et selliste riivete vastu on olemas tõhus õiguskaitse.
(115) Seetõttu tuleks käesoleva otsuse järelduste põhjal otsustada, et Ühendkuningriik tagab
jätkuvalt piisava kaitsetaseme määruse (EL) 2016/679 artikli 45 tähenduses, mida
tõlgendatakse Euroopa Liidu põhiõiguste hartat silmas pidades.
(116) See järeldus põhineb nii Ühendkuningriigi asjakohasel riiklikul korral, mida on alates
rakendusotsuse (EL) 2021/1772 vastuvõtmisest edasi arendatud, kui ka riigi
rahvusvahelistel kohustustel, eelkõige Ühendkuningriigi jätkuval Euroopa inimõiguste
konventsiooni järgimisel ja Euroopa Inimõiguste Kohtu jurisdiktsioonile allumisel.
Seega on selliste rahvusvaheliste kohustuste järjepidev täitmine käesoleva otsuse
aluseks oleva hindamise eriti tähtis element.
5. KÄESOLEVA OTSUSE MÕJU JA ANDMEKAITSEASUTUSTE TEGEVUS
(117) Liikmesriigid ja nende organid peavad võtma liidu institutsioonide aktide järgimiseks
vajalikud meetmed, sest selliste aktide õiguspärasust eeldatakse ja need tekitavad
seega õiguslikke tagajärgi seni, kuni need ei ole aegunud, neid ei ole tagasi võetud,
tühistamishagi menetlemise tulemusena tühistatud ega eelotsusemenetluse tulemusel
või õigusvastasuse väite alusel kehtetuks tunnistatud.
(118) Seega on määruse (EL) 2016/679 artikli 45 lõike 3 alusel komisjoni vastu võetud otsus
kaitse piisavuse kohta siduv kõikidele liikmesriikide organitele, kes on selle otsuse
adressaadiks, sealhulgas nende sõltumatutele järelevalveasutustele. Käesoleva
otsusega muudetud rakendusotsuse (EL) 2021/1772 kohaldamise ajal võib edastada
andmeid liidus asuvalt vastutavalt või volitatud töötlejalt Ühendkuningriigis asuvatele
vastutavatele või volitatud töötlejatele ilma, et oleks vaja taotleda lisaluba.
(119) Olgu meenutatud, et vastavalt määruse (EL) 2016/679 artikli 58 lõikele 5 ja nagu
Euroopa Kohus on selgitanud Schrems I kohtuotsuses,179 peab samas olema
liikmesriigi õigusega juhuks, kui riiklik andmekaitseasutus kahtleb (sh laekunud
kaebuse põhjal) komisjoni tehtud kaitse piisavuse otsuse kooskõlas üksikisiku
põhiõigustega eraelu puutumatusele ja andmekaitsele, ette nähtud õiguskaitsevahend,
mis võimaldab tal edastada need vastuväited riigisisesele kohtule, kellelt võidakse
nõuda asja kohta Euroopa Kohtule eelotsusetaotluse esitamist180.
179 Kohtuotsus Schrems I, punkt 65. 180 Kohtuotsus Schrems I, punkt 65: „Sellega seoses on liikmesriigi seadusandja kohustatud ette nägema
õiguskaitsevahendid, mis võimaldavad järelevalveasutusel esitada siseriiklikes kohtutes väiteid, mida ta
peab põhjendatuks, selleks et kohtud juhul, kui neil on komisjoni otsuse kehtivuse suhtes samasugused
kahtlused, esitaksid eelotsusetaotluse kõnealuse otsuse kehtivuse analüüsimiseks“.
ET 36 ET
6. SEIRE
(120) Määruse (EL) 2016/679 artikli 45 lõike 4 kohaselt jälgib komisjon pidevalt
asjakohaseid arengusuundi Ühendkuningriigis, et hinnata, kas see tagab endiselt
sisuliselt vastava kaitsetaseme. Selline jälgimine on eriti oluline seetõttu, et
Ühendkuningriik kohaldab ja jõustab muudetud andmekaitsekorda. Lisaks on
Ühendkuningriigi muudetud andmekaitseraamistikuga antud ministrile volitused seda
raamistikku teiseste õigusaktidega veelgi täpsustada. Siinkohal tuleks pöörata erilist
tähelepanu sellistele lisatäpsustustele, samuti isikuandmete kolmandatele riikidele
edastamist käsitlevate Ühendkuningriigi muudetud normide praktilisele
kohaldamisele, üksikisikute õiguste teostamise tulemuslikkusele, sealhulgas kõigile
asjakohastele arengusuundadele õiguses ja praktikas, mis puudutavad selliste õiguste
suhtes hiljuti kehtestatud erandeid või piiranguid; ümberkorraldatud teabevoliniku
büroo toimimisele, sealhulgas seoses kaebuste käsitlemise ja parandusvolituste
rakendamisega, ning valitsuse juurdepääsu käsitlevate piirangute ja kaitsemeetmete
järgimisele, eelkõige seoses 2016. aasta uurimisvolituste seaduse uue osaga 7A.
Jälgimisel peaks komisjon võtma muu hulgas arvesse kohtupraktika suundumusi ning
teabevoliniku büroo ja teiste sõltumatute asutuste järelevalve tulemusel kogutud
andmeid.
(121) Jälgimise hõlbustamiseks peaksid Ühendkuningriigi ametiasutused komisjoni
viivitamata teavitama igast Ühendkuningriigi õiguskorra sisulisest muudatustest, mis
mõjutab käesoleva otsusega muudetud rakendusotsuses (EL) 2021/1772 käsitletavat
õigusraamistikku, samuti kõigist muudatustest isikuandmete töötlemise tavades, mida
on käesoleva otsusega muudetud rakendusotsuses (EL) 2021/1772 hinnatud: nii neis,
mis puudutavad isikuandmete töötlemist vastutavate ja volitatud töötlejate poolt
Ühendkuningriigi isikuandmete kaitse üldmääruse alusel, kui ka neis, mis puudutavad
piiranguid ja kaitsemeetmeid, mida kohaldatakse avaliku sektori asutuste juurdepääsul
isikuandmetele. See peaks hõlmama ka muutusi põhjenduses 120 nimetatud
elementides.
(122) Selleks et komisjonil oleks võimalik tulemuslikult täita oma järelevalvefunktsiooni,
peaksid liikmesriigid teavitama komisjoni kõikidest asjakohastest meetmetest, mida
riiklikud andmekaitseasutused võtavad, eelkõige seoses ELi andmesubjektide
päringute või kaebustega, mis puudutavad isikuandmete edastamist liidust
Ühendkuningriigis asuvatele vastutavatele või volitatud töötlejatele. Komisjoni tuleks
teavitada ka võimalikest märkidest, et kuritegude ennetamise, uurimise, avastamise või
nende eest süüdimõistmise või riigi julgeoleku eest vastutavate Ühendkuningriigi
avaliku sektori asutuste tegevus, samuti järelevalveasutuste tegevus ei taga nõutavat
kaitsetaset.
(123) Kui kättesaadavast teabest, eriti käesoleva otsusega muudetud rakendusotsuse
(EL) 2021/1772 järelevalvest tulenevast või Ühendkuningriigi või liikmesriikide
ametiasutuste esitatud teabest ilmneb, et Ühendkuningriigi pakutav kaitsetase ei pruugi
enam olla piisav, peaks komisjon sellest kohe teavitama Ühendkuningriigi pädevaid
asutusi ning nõudma asjakohaste meetmete võtmist kindlaksmääratud tähtaja jooksul,
mis ei või olla pikem kui kolm kuud. Vajaduse korral võib seda tähtaega pikendada
kindlaksmääratud tähtaja võrra, võttes arvesse tõstatatud küsimuse ja/või võetavate
meetmete laadi. Näiteks algatataks selline menetlus juhul, kui andmete edasisaatmisel,
ka siis, kui seda tehakse ministri vastuvõetud uute kaitse piisavuse määruste või
Ühendkuningriigi sõlmitud rahvusvaheliste lepingute alusel, ei järgitaks enam
kaitsemeetmeid, millega tagatakse kaitse jätkuvus määruse (EL) 2016/679 artikli 44
tähenduses.
ET 37 ET
(124) Kui Ühendkuningriigi pädevad asutused ei ole kindlaksmääratud tähtaja jooksul neid
meetmeid võtnud või muul viisil rahuldavalt tõendanud, et käesolev otsus põhineb
endiselt piisaval kaitsetasemel, algatab komisjon määruse (EL) 2016/679 artikli 93
lõikes 2 osutatud menetluse käesoleva otsuse osaliseks või täielikuks peatamiseks või
kehtetuks tunnistamiseks.
(125) Teise võimalusena algatab komisjon menetluse käesoleva otsuse muutmiseks, et
eelkõige kehtestada andmete edastamiseks lisatingimused või piirata kaitse piisavuse
otsuse kohaldamisala selliselt, et selle alla kuuluks üksnes andmeedastus, mille puhul
on kaitse piisav tase jätkuvalt tagatud.
(126) Nõuetekohaselt põhjendatud, tungivalt vajalikul ja kiireloomulisel juhul kasutab
komisjon võimalust võtta kooskõlas määruse (EL) 2016/679 artikli 93 lõikes 3
osutatud menetlusega vastu viivitamata kohaldatavad rakendusaktid, millega otsus
peatatakse või tunnistatakse kehtetuks või seda muudetakse.
7. KÄESOLEVA OTSUSE KOHALDAMISE LÄBIVAATAMINE, KESTUS JA
PIKENDAMINE
(127) Kohaldades määruse (EL) 2016/679 artikli 45 lõiget 3 ja pidades silmas asjaolu, et
Ühendkuningriigi õiguskorrast tulenev kaitsetase võib muutuda, peaks komisjon pärast
käesoleva otsuse vastuvõtmist korrapäraselt kontrollima, kas järeldused
Ühendkuningriigi tagatava kaitse piisava taseme kohta on endiselt faktiliselt ja
õiguslikult põhjendatud, võttes arvesse määruse (EL) 2016/679 artikli 45 lõikes 2
loetletud elemente. Sellised hindamised peaksid toimuma vähemalt iga nelja aasta
tagant ja need peaksid hõlmama kõiki käesoleva otsuse toimimise aspekte, sealhulgas
asjaomaste järelevalve- ja täitmise tagamise mehhanismide toimimist.
(128) Läbivaatamiseks peaks komisjon kohtuma Ühendkuningriigi ametiasutuste, sealhulgas
teabekomisjoni asjakohaste esindajatega. Sellel kohtumisel peaks olema lubatud
osaleda ka Euroopa Andmekaitsenõukogu liikmete esindajatel. Läbivaatamise raames
peaks komisjon laskma Ühendkuningriigil esitada põhjalikku teavet kõigi kaitse
piisavuse järelduse seisukohast oluliste aspektide kohta. Samuti peaks komisjon
küsima selgitusi käesoleva otsuse seisukohast olulise teabe kohta, mille ta on saanud
näiteks Euroopa Andmekaitsenõukogult, konkreetsetelt andmekaitseasutustelt,
kodanikuühiskonna rühmadelt, avalikest aruannetest, meediakajastustest või muudest
kättesaadavatest teabeallikatest.
(129) Läbivaatamise alusel peaks komisjon koostama avaliku aruande, mis esitatakse
Euroopa Parlamendile ja nõukogule.
(130) Komisjon peab võtma ka arvesse seda, et andmekaitseraamistik, mida on hinnatud
selles otsuses ja rakendusotsuses (EL) 2021/1772, võib edasi areneda.
(131) Seepärast on asjakohane sätestada, et käesoleva otsuse kohaldamise periood on kuus
aastat alates selle jõustumisest.
(132) Kui eelkõige käesoleva otsuse järelevalvest tulenev teave näitab, et Ühendkuningriigis
tagatud kaitse taseme piisavusega seotud tähelepanekud on endiselt faktiliselt ja
õiguslikult põhjendatud, peaks komisjon hiljemalt kuus kuud enne käesoleva otsuse
kohaldamise lõppu algatama käesoleva otsuse muutmise menetluse, et pikendada selle
kohaldamisaega põhimõtteliselt veel nelja aasta võrra. Käesolevat otsust muutvad
rakendusaktid võetakse vastu määruse (EL) 2016/679 artikli 93 lõikes 2 osutatud
korras.
ET 38 ET
8. LÕPPMÄRKUSED
(133) Euroopa Andmekaitsenõukogu avaldas oma arvamuse,181 mida on käesoleva otsuse
koostamisel arvesse võetud.
(134) Käesoleva otsusega ettenähtud meetmed on kooskõlas määruse (EL) 2016/679
artikli 93 kohaselt loodud komitee arvamusega.
(135) Seepärast tuleks rakendusotsust (EL) 2021/1772 vastavalt muuta,
ON VASTU VÕTNUD KÄESOLEVA OTSUSE:
Artikkel 1
Rakendusotsuse (EL) 2021/1772 artikli 1 lõige 2 tunnistatakse kehtetuks.
Artikkel 2
Rakendusotsuse (EL) 2021/1772 artikkel 4 asendatakse järgmisega:
„Artikkel 4
Käesolev otsus kehtib kuni 27. detsembrini 2031, kui selle kehtivust ei pikendata määruse
(EL) 2016/679 artikli 93 lõikes 2 osutatud korras.“
Artikkel 3
Käesolev otsus on adresseeritud liikmesriikidele.
Brüssel, 19.12.2025
Komisjoni nimel
Michael McGRATH
komisjoni liige
181 Arvamus 26/2025 Euroopa Komisjoni rakendusotsuse eelnõu kohta, mis põhineb Euroopa Parlamendi
ja nõukogu direktiivil (EL) 2016/679 ning käsitleb isikuandmete piisavat kaitset Ühendkuningriigis;
kättesaadav aadressil https://www.edpb.europa.eu/system/files/2025-
10/edpb_opinion_202526_united_kingdom_adequacy_gdpr_en.pdf.