Põhjalik ülevaade andmete õigusaktist, sealhulgas selle eesmärkidest ja praktilisest toimimisest.
Miks andmeseadus?
Andmemäärus on õigusakt, mille eesmärk on edendada ELi andmemajandust ja edendada konkurentsivõimelist andmeturgu, muutes andmed (eelkõige tööstusandmed) kättesaadavamaks ja kasutatavamaks, soodustades andmepõhist innovatsiooni ja suurendades andmete kättesaadavust. Selle saavutamiseks tagatakse andmeseadusega andmete väärtuse õiglane jaotamine andmepõhises majanduses osalejate vahel. Selles selgitatakse, kes saab kasutada milliseid andmeid ja millistel tingimustel.
Viimastel aastatel on internetiga ühendatud toodete (edaspidi „ühendatud tooted“) kättesaadavus Euroopa turul kiiresti kasvanud. Need tooted, mis koos moodustavad asjade interneti (IoT) nime all tuntud võrgu, suurendavad oluliselt ELis taaskasutamiseks kättesaadavate andmete mahtu. See kujutab endast tohutut innovatsiooni ja konkurentsivõime potentsiaali ELis.
Andmeseadus annab ühendatud toodete kasutajatele (ettevõtted või üksikisikud, kes sellist toodet omavad, rendivad või rendivad) suurema kontrolli nende loodud andmete üle, säilitades samal ajal stiimulid neile, kes investeerivad andmetehnoloogiatesse. Lisaks on selles sätestatud üldtingimused olukordadele, kus ettevõttel on juriidiline kohustus jagada andmeid teise ettevõttega.
Andmemäärus sisaldab ka meetmeid õigluse ja konkurentsi suurendamiseks Euroopa pilvandmetöötlusturul ning ettevõtjate kaitsmiseks ebaõiglaste lepingutingimuste eest, mis on seotud andmete jagamisega, mille on kehtestanud tugevamad osalejad. Samuti kehtestatakse sellega mehhanism, mille kaudu avaliku sektori asutused saavad taotleda andmeid ettevõtjalt, kellel on erakordne vajadus, näiteks avalikes hädaolukordades, ning sätestatakse selged eeskirjad selliste taotluste esitamise kohta. Lisaks kehtestatakse sellega kaitsemeetmed, et vältida olukorda, kus kolmandate riikide valitsusasutused pääsevad juurde isikustamata andmetele, kui see oleks vastuolus ELi või siseriikliku õigusega. Andmemääruses määratletakse koostalitlusvõimega seotud olulised nõuded, et tagada andmete sujuv liikumine sektorite ja liikmesriikide vahel, mida hõlbustavad ühised Euroopa andmeruumid, samuti andmetöötlusteenuste osutajate vahel.
Andmemäärus avaldati Euroopa Liidu Teatajas 22. detsembril 2023 ja seda hakatakse kohaldama 12. septembril 2025.
Andmemäärus täiendab andmehaldust käsitlevat õigusakti, mis on Euroopa andmestrateegia esimene tulemus. Andmehaldust käsitlevat õigusakti hakati kohaldama 2023. aasta septembris. Kuigi andmehaldust käsitlev õigusakt suurendab usaldust vabatahtlike andmejagamismehhanismide vastu, pakub andmeseadus õiguslikku selgust andmetele juurdepääsu ja nende kasutamise osas.
Koos muude poliitikameetmete ja rahastamisvõimalustega aitavad need kaks määrust luua ELi ühtse andmeturu, muutes Euroopa andmemajanduse liidriks, kasutades Euroopa majanduse ja ühiskonna hüvanguks üha suurenevate andmehulkade, eelkõige tööstusandmete potentsiaali.
Käsitletud küsimused
Vastavalt üldsätetele (I peatükk), milles sätestatakse määruse reguleerimisala ja määratletakse põhimõisted, on andmemäärus jagatud kuueks põhipeatükiks:
II peatükk ettevõtjatevahelise ning ettevõtja ja tarbija vahelise andmete jagamise kohta asjade interneti kontekstis: asjade interneti objektide kasutajad pääsevad juurde, saavad kasutada ja portida andmeid, mida nad koos genereerivad, kasutades ühendatud toodet.
IIIpeatükk ettevõtjatevahelise andmete jagamise kohta: see selgitab andmete jagamise tingimusi, kui ettevõte on seadusest, sealhulgas andmeseadusest tulenevalt kohustatud jagama andmeid teise ettevõttega.
IV peatükk ebaõiglaste lepingutingimuste kohta: need sätted kaitsevad kõiki ettevõtjaid, eelkõige VKEsid, neile kehtestatud ebaõiglaste lepingutingimuste eest.
V peatükk ettevõtjatelt valitsusele andmete jagamise kohta: avaliku sektori asutused saavad teatavates erandlikes olukordades teha rohkem tõenditel põhinevaid otsuseid, võttes meetmeid juurdepääsuks teatavatele erasektori valduses olevatele andmetele.
VI peatükk andmetöötlusteenuste vahetamise kohta: pilvandmetöötluse ja servandmetöötluse teenuste osutajad peavad vastama miinimumnõuetele, et hõlbustada koostalitlusvõimet ja võimaldada vahetamist.
VII peatükk, mis käsitleb kolmandate riikide valitsuste juurdepääsu andmetele: ELis säilitatavad isikustamata andmed on kaitstud välisriigi valitsuse ebaseaduslike juurdepääsutaotluste eest.
VIII peatükk koostalitlusvõime kohta: andmeruumides osalejad peavad vastama kriteeriumidele, mis võimaldavad andmete liikumist andmeruumides ja nende vahel. Pilvandmetöötluse koostalitlusvõime jaoks kehtestatakse asjakohased standardid ja spetsifikatsioonid ELi andmekogus.
IX peatükk jõustamise kohta: Liikmesriigid peavad määrama ühe või mitu pädevat asutust andmete õigusakti jälgimiseks ja jõustamiseks. Kui on määratud rohkem kui üks asutus, tuleb määrata andmekoordinaator, kes tegutseb riiklikul tasandil ühtse kontaktpunktina.
II peatükk: Andmete jagamine ettevõtjate vahel ning ettevõtja ja tarbija vahel asjade interneti turu kontekstis
Miks?
Andmeseaduse peamine eesmärk on luua andmepõhises majanduses õiglus ja anda kasutajatele võimalus saada kasu andmetest, mida nad loovad, kasutades ühendatud tooteid, mida nad omavad, rendivad või liisivad.
Andmeseadus võimaldab ühendatud toodete (nt ühendatud autod, meditsiini- ja spordiseadmed, tööstus- või põllumajandusmasinad) ja nendega seotud teenuste (s.t kõik, mis muudaks ühendatud toote käitumise konkreetsel viisil, näiteks rakenduse abil tulede heleduse reguleerimiseks või külmiku temperatuuri reguleerimiseks) kasutajatel juurdepääsu andmetele, mida nad koos loovad, kasutades ühendatud tooteid/seotud teenuseid.
Selliste andmete kättesaadavus mõjutab oluliselt majandust. Näiteks saab ühendatud toodete ja seotud teenuste abil saadud andmeid kasutada järelturu- ja kõrvalteenuste edendamiseks ning täiesti uute teenuste loomiseks, millest saavad kasu nii ettevõtjad kui ka tarbijad.
Ühendatud toodetenäited: tarbekaubad (nt ühendatud autod, terviseseireseadmed, nutikoduseadmed), muud tooted (nt lennukid, robotid, tööstusmasinad).
Näide seotud teenusest: kasutaja ostab pesumasina ja paigaldab rakenduse, mis võimaldab mõõta pesemistsükli keskkonnamõju masina sees olevate erinevate andurite andmete põhjal ja kohandada tsüklit vastavalt. Seda rakendust peetakse seotud teenuseks.
Näited järelturu- ja kõrvalteenustest: Remondi- ja hooldusteenused, andmepõhine kindlustus.
Reguleerimisalasse kuuluvate andmete liigid
Andmete jagamist käsitleva andmeseaduse II peatükki kohaldatakse kõigi toorandmete ja eeltöödeldud andmete suhtes, mis on saadud ühendatud toote või seotud teenuse kasutamisel ja mis on andmevaldajale (nt ühendatud toote tootja/seotud teenuse osutaja) kergesti kättesaadavad, st andmed, millele on lihtne juurde pääseda ilma ebaproportsionaalsete jõupingutusteta, minnes kaugemale lihtsast toimingust. See kehtib nii isikuandmete kui ka isikustamata andmete, sealhulgas asjakohaste metaandmete kohta.
Sellised andmed hõlmavad andmeid, mis on kogutud ühest andurist või ühendatud andurite rühmast, nagu temperatuur, rõhk, voolukiirus, heli, pH väärtus, vedeliku tase, asend, kiirendus või kiirus.
Tuletatud või tuletatud andmed ja sisu (nt väga rikastatud andmed, audiovisuaalne materjal) ei kuulu reguleerimisalasse. Lisaks ei piira andmeseadus intellektuaalomandi õiguste kaitset käsitlevate seaduste kohaldamist.
Näiteks kui kasutaja vaatab filmi oma ühendatud telerist, ei kuulu film ise kohaldamisalasse, kuid ekraani heleduse andmed on ulatuse piires.
Praktikas
Andmeseaduse II peatükk võimaldab kasutajatel (st mis tahes juriidilisel või füüsilisel isikul, kes omab, rendib või liisib seotud toodet) pääseda juurde andmetele, mida nad loovad ühendatud toote või seotud teenuse kasutamise kaudu. Kui kasutaja soovib neid andmeid jagada teise üksuse või üksikisikuga (edaspidi „kolmas isik“), võib ta seda teha otse või paluda andmevaldajal neid jagada enda valitud kolmanda isikuga (välja arvatud digiturgude õigusakti alusel sisule juurdepääsu kontrollijad). Andmevaldaja on tavaliselt ettevõte, kes toodab ühendatud toodet või osutab seotud teenust. Andmevaldajal peab olema kasutajaga leping (nt müügileping, rendileping, seotud teenusleping jne), milles määratakse kindlaks ühendatud toote või seotud teenuse loodud andmetele juurdepääsu, nende kasutamise ja jagamise õigused. Oluline on märkida, et andmevaldaja ei saa kasutada toote genereeritud isikustamata andmeid ilma kasutaja nõusolekuta.
Näiteks ja pidades silmas, et asjaomane leping määrab kindlaks täpsed rollid:
-
Ettevõte käitab buldooserit: andmevaldaja on tavaliselt buldooseri tootja ja kasutaja on buldooserit käitav ettevõte.
-
Kui keegi ostab ühendatud külmiku ja laadib alla rakenduse, mis aitab neil reguleerida külmiku sisu optimaalset temperatuuri, oleks potentsiaalselt kaks andmevaldajat, nimelt üksus, kes külmiku turule laskis ja seotud teenust pakkuv üksus (rakendus), ja ainult üks kasutaja (külmiku omanik).
Andmeseadus sisaldab mitmeid mehhanisme, mis lihtsustavad kasutajate jaoks nende sätete kasutamist: andmevaldajad peavad andma kasutajale teavet andmete liigi kohta, mida nad loovad ühendatud toote või seotud teenuse kasutamisel (sealhulgas maht, kogumise sagedus jne); kasutajatel peaks olema võimalik taotleda andmetele juurdepääsu lihtsa protsessi kaudu ning andmevaldajad peavad tegema andmed kasutajatele tasuta kättesaadavaks.
Andmete kasutamise piirangud
Selleks et mitte heidutada ettevõtjaid investeerimast andmeid genereerivatesse toodetesse, ei saa saadud andmeid kasutada konkureeriva ühendatud toote väljatöötamiseks. Andmeseadus ei keela konkurentsi seotud või järelturu teenustes. Lisaks ei ole andmeseaduse kohaselt andmevaldajal kohustust jagada andmeid kolmandate isikutega, kes asuvad väljaspool ELi.
Andmekaitseseadus on täielikult kooskõlas andmekaitsenormidega, eelkõige isikuandmete kaitse üldmäärusega. Kui kasutaja ei ole andmesubjekt, kelle andmeid taotletakse, võib isikuandmeid kättesaadavaks teha üksnes kehtiva õigusliku aluse olemasolul (nt nõusolek). See on oluline kaalutlus, kuna koosloodud andmed sisaldavad sageli nii isikuandmeid kui ka isikustamata andmeid, mida võib olla raske eraldada.
See stimuleerib uutel andmevoogudel põhinevate ühendatud toodete ja teenuste arendamist, mis on väiksemate ettevõtete jaoks eriti väärtuslikud. Lisaks ei ole mikro- ja väikeettevõtjatel kui seotud teenuste tootjatel või pakkujatel samu kohustusi kui suurematel äriühingutel.
Ärisaladuste kaitsmiseks, kahjustamata andmeseaduse eesmärki teha rohkem andmeid kättesaadavaks, võivad andmevaldaja ja kasutaja/kolmas isik kokku leppida teatavates meetmetes ärisaladuste konfidentsiaalsuse säilitamiseks. Kui neid meetmeid ei järgita, võib andmevaldaja andmete jagamisest keelduda või selle peatada. Andmevaldaja võib keelduda andmete jagamisest üksnes juhul, kui ta suudab tõendada, et ärisaladuste avalikustamine võib talle suure tõenäosusega põhjustada tõsist majanduslikku kahju.
Andmevaldaja ja kasutaja võivad leppida kokku andmete jagamise piiramises, kui on oht, et ühendatud toote turvanõudeid võidakse kahjustada, mis avaldab tõsist kahjulikku mõju inimeste tervisele, ohutusele või turvalisusele. Sellised nõuded peavad olema sätestatud ELi või siseriiklikus õiguses.
Kui andmevaldaja peatab, peatab või keeldub jagamast andmeid ärisaladuste kaitse või julgeolekunõuete alusel, peab ta sellest teavitama riigi pädevat asutust. Kasutajad võivad sellise otsuse vaidlustada kas liikmesriigi pädevas kohtus, pädevale asutusele kaebuse esitamise teel või kokkuleppel andmevaldajaga vaidluste lahendamise organi ees.
III peatükk: Ettevõtjatevahelise andmete kohustusliku jagamise eeskirjad
Miks?
Andmemäärusega kehtestatakse eeskirjad olukordadeks, kus ettevõtjal (edaspidi „andmevaldajal“) on ELi või siseriikliku õiguse alusel õiguslik kohustus teha andmed kättesaadavaks teisele ettevõtjale (edaspidi „andmete vastuvõtja“), sealhulgas asjade interneti andmete kontekstis. Eelkõige peavad andmete jagamise tingimused olema õiglased, mõistlikud ja mittediskrimineerivad.
Andmete jagamise stiimulina võivad andmevaldajad, kes on kohustatud andmeid jagama, nõuda andmesaajalt mõistlikku hüvitist.
Reguleerimisalasse kuuluvate andmete liigid
Andmeseaduse III peatükki kohaldatakse kõigi ettevõtte valduses olevate (nii isiklike kui ka mitteisikuliste) andmete suhtes, sealhulgas andmeseaduse II peatükis käsitletud olukordade suhtes.
Praktikas
Andmevaldajad võivad nõuda mõistlikku hüvitist andmete kättesaadavaks tegemise eest andmesaajale. See võib hõlmata andmete kättesaadavaks tegemisega seotud kulusid ning levitamise ja säilitamisega seotud tehnilisi kulusid. Mikroettevõtjatelt, VKEdelt ja mittetulunduslikelt teadusorganisatsioonidelt ei saa siiski nõuda suuremat tasu kui andmete kättesaadavaks tegemisega seotud kulud.
Andmevaldajate kaitsmiseks sisaldab andmeseadus mitteammendavat loetelu meetmetest, mille eesmärk on parandada olukordi, kus kolmas isik või kasutaja on andmetele ebaseaduslikult juurde pääsenud või neid kasutanud. Näiteks võib andmevaldaja nõuda, et rikkuja lõpetaks kõnealuse toote tootmise või hävitaks ebaseaduslikult saadud andmed või nõuda hüvitist.
Mis tahes andmejagamiskohustused, mis eelnesid andmeseadusele, jäävad samaks. Tulevastes (valdkondlikes) õigusaktides sätestatud kohustused tuleks viia kooskõlla andmeseaduse III peatüki sätetega.
IV peatükk: Ebaõiglased lepingutingimused
Miks?
Lepinguvabadus on ettevõtjatevahelistes suhetes kesksel kohal. Andmete õigusakti eesmärk on siiski kaitsta kõiki Euroopa ettevõtjaid, eelkõige VKEsid, ebaõiglaste lepingutingimuste eest, millega sekkutakse näiteks olukordadesse, kus ühel ettevõtjal on tugevam läbirääkimispositsioon (nt oma turu suuruse tõttu) ja kehtestatakse andmetele juurdepääsu ja nende kasutamisega seotud mittekaastatav tingimus („võta või jäta see“).
Reguleerimisalasse kuuluvate andmete liigid
Need eeskirjad hõlmavad kõiki nii isiklikke kui ka mitteisikulisi andmeid, mis kuuluvad eraõiguslikule üksusele, millele pääseb ligi ja mida kasutatakse ettevõtjatevahelise lepingu alusel.
Praktikas
Ühepoolselt kehtestatud tingimuste suhtes, mis on seotud andmete kättesaadavaks tegemisega, võidakse kohaldada ebaõigluse kontrolli.
Andmeseadusega kehtestatakse mitteammendav loetelu tingimustest, mida alati peetakse ebaõiglasteks (nt mis välistaksid või piiraksid selle poole vastutust, kes ühepoolselt kehtestas tingimuse tahtliku teo või raske hooletuse korral) ja lepingutingimused, mida peetakse ebaõiglaseks (nt mis piiraks sobimatult õiguskaitsevahendeid lepinguliste kohustuste täitmata jätmise korral või vastutust nende kohustuste rikkumise korral või laiendaks selle ettevõtja vastutust, kelle suhtes tingimus on ühepoolselt kehtestatud). Kui tingimust peetakse ebaõiglaseks, ei ole see enam kehtiv – võimaluse korral on see lihtsalt kontaktist eraldatud. Kui eeldatakse, et tingimus on ebaõiglane, võib tingimuse kehtestanud üksus püüda tõendada, et tingimus ei ole ebaõiglane.
V peatükk: Ettevõtete ja valitsuste vaheline andmete jagamine
Miks?
Erasektori üksuste valduses olevad andmed võivad olla avaliku sektori asutuse jaoks olulised avalikes huvides oleva ülesande täitmiseks. Andmeseaduse V peatükk võimaldab avaliku sektori asutustel teatavatel tingimustel sellistele andmetele juurde pääseda, kui selleks on erandlik vajadus. Viimane viitab ettenägematule ja ajaliselt piiratud olukorrale, kus eraõigusliku üksuse valduses olevad andmed on vajalikud avaliku huvi ülesande täitmiseks, eelkõige tõenditel põhineva otsustusprotsessi parandamiseks. Erakorralised olukorrad hõlmavad nii avalikke hädaolukordi (nt suured loodusõnnetused või inimtegevusest tingitud katastroofid, pandeemiad ja küberturvalisuse intsidendid) kui ka muid kui hädaolukordi (näiteks võiks liiklusvoogude optimeerimiseks kasutada sõidukijuhtide GPS-süsteemide koond- ja anonüümseid andmeid).
Andmemäärusega tagatakse, et avaliku sektori asutustel on juurdepääs sellistele andmetele õigeaegselt ja usaldusväärselt, ilma et see tekitaks ettevõtjatele põhjendamatut halduskoormust.
Reguleerimisalasse kuuluvate andmete liigid
V peatüki kohaselt kuuluvad kõik andmed kohaldamisalasse, keskendudes isikustamata andmetele.
Andmeseaduse V peatükis, mis käsitleb andmete jagamist ettevõtjate ja valitsuste vahel, eristatakse kahte stsenaariumi:
-
Selleks et reageerida avalikule hädaolukorrale, peaks avaliku sektori asutus taotlema isikustamata andmeid. Kui see ei ole siiski piisav olukorrale reageerimiseks, võidakse nõuda isikuandmeid. Võimaluse korral peaks andmevaldaja need andmed anonüümseks muutma.
-
Mittehädaolukorras võivad avaliku sektori asutused taotleda ainult isikustamata andmeid.
Peamised sidusrühmad
Üksused, kellel on õigus andmeid taotleda, hõlmavad liikmesriikide avaliku sektori asutusi ning teatavaid ELi institutsioone, organeid ja asutusi. Need üksused võivad teatavatel tingimustel jagada andmeid ka teadusuuringuid tegevate ja rahastavate organisatsioonidega.
Ettevõtetevaheliste taotluste kontekstis on andmevaldajad tavaliselt eraõiguslikud üksused, kuid võivad hõlmata ka riigi osalusega äriühinguid.
Praktikas
Avaliku sektori asutus võib teatavatel tingimustel kohustada andmevaldajat tegema teatavad andmed kättesaadavaks põhjendamatu viivituseta, et reageerida avalikule hädaolukorrale. Andmeseaduses määratletakse avalik hädaolukord; kuid selle olemasolu määratakse kindlaks vastavalt riiklikele või ELi menetlustele või õigusaktidele.
Erakorraliste vajaduste puhul, mis ei ole seotud avaliku hädaolukorraga, võib avaliku sektori asutus nõuda isikustamata andmete esitamist, et täita konkreetset ülesannet, mis on avalikes huvides ja mis on seadusega ette nähtud, kui avaliku sektori asutus suudab tõendada, et tal ei ole olnud võimalik andmetele muul viisil juurde pääseda.
Mõlemal juhul (hädaolukorras ja mittehädaolukorras) peavad taotlused vastama mitmetele rangetele põhimõtetele ja tingimustele. Näiteks peavad taotlused olema konkreetsed, läbipaistvad ja proportsionaalsed, ärisaladusi tuleb kaitsta ning andmed tuleb kustutada, kui neid enam ei vajata.
Alljärgnevas tabelis on esitatud kokkuvõte sellest, mida ettevõtjad võivad selles kontekstis nõuda andmete esitamist avaliku sektori asutusele.
Hüvitis andmete kättesaadavaks tegemise eest andmeseaduse V peatüki alusel
| Ettevõtjad, kes ei ole mikro- ja väikeettevõtjad, võivad taotleda: | Mikro- ja väikeettevõtjad võivad taotleda: | |
| Avalik hädaolukord | Ettevõtjad võivad nõuda, et andmeid saav avaliku sektori asutus tunnustaks nende panust ja tunnustaks seda avalikult. | Mõistlik tasu, mis ei ületa tekkinud tehnilisi ja korralduslikke kulusid + avaliku sektori kinnitus, taotluse korral |
| Mittehädaolukord | Mõistlik tasu, mis ei ületa tehnilisi ja korralduslikke kulusid (v.a riikliku statistika koostamine) | Ei kohaldata (vabastatud andmete esitamise kohustusest) |
Selleks et vähendada ettevõtjate koormust, ei saa rohkem kui üks avaliku sektori asutus nõuda samu andmeid rohkem kui üks kord („üks kordne põhimõte“). Seetõttu peab andmekoordinaator tegema kõik taotlused avalikult kättesaadavaks (välja arvatud juhul, kui esineb turvalisusega seotud probleeme).
VI peatükk: Üleminek andmetöötlusteenuste vahel
Miks?
Selleks et tagada ELis konkurentsivõimeline turg, peaks andmetöötlusteenuste (sealhulgas pilve- ja servteenuste) klientidel olema võimalik sujuvalt ühelt teenuseosutajalt teisele üle minna. Siiski seisavad kliendid praegu silmitsi mitmete takistustega, sealhulgas kõrged tasud, mis on seotud näiteks andmete väljavoolu, pikkade menetluste ja pakkujate vahelise koostalitlusvõime puudumisega, mis võib põhjustada andmete ja rakenduste kaotsiminekut.
Andmeseadus muudab vahetamise tasuta, kiireks ja sujuvaks. See toob kasu nii klientidele, kes saavad vabalt valida oma vajadustele kõige paremini vastavad teenused, kui ka teenuseosutajatele, kes saavad kasu suuremast klientide kogumist.
Ulatus
Andmeseaduse VI peatükki kohaldatakse andmetöötlusteenuste osutajate suhtes (st digitaalteenused, mis võimaldavad kõikjal ja tellitaval võrgule juurdepääsu, näiteks võrgud, serverid või muu virtuaalne või füüsiline taristu ja tarkvara). Vahetamisel olulised andmed hõlmavad sisend- ja väljundandmeid, sealhulgas metaandmeid, mis on saadud kliendi poolt teenuse kasutamisel, välja arvatud intellektuaalomandi õigustega kaitstud andmed või teenuseosutaja ärisaladus.
Praktikas
Teenuseosutajate ja klientide vahelise võimu tasakaalustamatuse ületamiseks pilvandmetöötluse turul on andmeseaduses sätestatud pilvelepingute sisu miinimumnõuded. Eelkõige saavad palju suuremast lepingute läbipaistvusest kasu era- ja avaliku sektori kliendid.
Andmeseadus sisaldab meetmeid, millega tagatakse, et kliendid saavad ühelt andmetöötlusteenuste osutajalt (edaspidi „allikapakkuja“) kiiresti ja sujuvalt üle minna teisele (sihtkoha) pakkujale, kaotamata seejuures andmeid või rakenduste funktsionaalsust. Näiteks peavad platvormi ja tarkvara kui teenuse pakkujad tegema avatud liidesed kättesaadavaks ja eksportima vähemalt andmeid üldkasutatavas ja masinloetavas vormingus. Infrastruktuuri pakkujad kui teenuse osutajad peavad võtma meetmeid, mis hõlbustavad seda, et kui klient läheb üle sama liiki teenusele, saab klient oluliselt võrreldavaid tulemusi vastusena samadele sisenditele funktsioonide puhul, mida mõlemad teenused jagavad („funktsionaalne samaväärsus“). Sellise meetme näitena võib juhtuda, et lähteteenuse pakkuja peab kasutama vahendeid andmetöötluse töökoormuse nihutamiseks ühelt virtualiseerimistehnoloogialt teisele.
Kõik teenusepakkujad on kohustatud kõrvaldama takistused, millega nende kliendid võivad kokku puutuda, kui nad soovivad vahetada teise teenuseosutaja või kasutada samal ajal mitut teenust.
Andmeseadusega kaotatakse täielikult ka vahetamise tasud, sealhulgas alates 12. jaanuarist 2027 andmeväljumise tasud (s.t andmesidetasud). See tähendab, et teenusepakkujad ei saa võtta oma klientidelt tasu toimingute eest, mis on vajalikud vahetamise hõlbustamiseks või andmete väljavooluks. Esimese kolme aasta jooksul pärast andmeseaduse jõustumist (11. jaanuarist 2024 kuni 12. jaanuarini 2027) võivad teenuseosutajad siiski nõuda oma klientidelt ülemineku ja andmete väljavooluga seotud kulude hüvitamist.
VII peatükk: Ebaseaduslik juurdepääs kolmanda riigi valitsusele
Miks?
Mõnikord püütakse väljaspool ELi asuva riigi (edaspidi „kolmas riik“) otsuse või kohtuotsusega võimaldada valitsusele juurdepääsu ELis töödeldavatele ja säilitatavatele isikustamata andmetele ning nende edastamist. Teatavatel juhtudel võib sellistele andmetele juurdepääsu võimaldamine või nende edastamine olla tegelikult ebaseaduslik, eelkõige juhul, kui taotlus on vastuolus ELi õigusaktidega ja tagatistega üksikisikute põhiõiguste, riigi julgeolekuhuvide või tundlike äriandmete kaitse kohta.
Andmemäärusega järgitakse andmehaldust käsitlevat õigusakti seoses sätetega, mille eesmärk on takistada kolmandate riikide valitsuste ebaseaduslikku juurdepääsu ELis säilitatavatele isikustamata andmetele ja nende edastamist. Sellised sätted ei mõjuta ettevõtetevahelist korrapärast andmete jagamist. Need suurendavad läbipaistvust ja õiguskindlust seoses protsessi ja tingimustega, mille alusel saab isikustamata andmetele juurde pääseda või neile edastada.
Reguleerimisalasse kuuluvate andmete liigid
Kõik ELis andmetöötlusteenuse osutaja valduses olevad isikustamata andmed.
Praktikas
Andmemäärus ei keela piiriüleseid andmevooge, vaid tagab, et andmete kaitse ELis toimub koos EList väljapoole edastatavate andmetega.
Sellega seoses kehtestatakse andmemäärusega eeskirjad ja kaitsemeetmed välisriigi avaliku sektori asutuse poolt liidus hoitavatele isikustamata andmetele juurdepääsu taotlemiseks. Need sätted ei mõjuta seaduslikku rahvusvahelist koostööd õiguskaitse valdkonnas.
Kui puudub rahvusvaheline leping, mis reguleeriks kolmanda riigi valitsuse juurdepääsu ELis asuvatele isikustamata andmetele, võib andmeid edastada või neile juurde pääseda üksnes eritingimustel. Need tingimused viitavad teatavatele tagatistele, millega tagatakse Euroopa õigused, mida kolmanda riigi õigussüsteem peab täitma, sealhulgas nõue esitada põhjendused ja hinnata otsuses proportsionaalsust. Sellise otsusega hõlmatud andmetöötlusteenuste osutaja võib võtta ühendust asjaomase riikliku asutusega, et aidata hinnata, kas andmeseaduses sätestatud tingimused on täidetud. Nende tingimuste täitmise hindamiseks töötab Euroopa Komisjon välja suunised koos Euroopa Andmeinnovatsiooni Nõukoguga (andmehaldust käsitleva õigusakti alusel loodud eksperdirühm, et hõlbustada parimate tavade jagamist ja seada esikohale valdkondadevahelised koostalitlusvõime standardid).
Andmetöötlusteenuste osutajad peaksid võtma kõik mõistlikud meetmed (nt krüpteerimine, auditid, sertifitseerimissüsteemide järgimine), et vältida juurdepääsu süsteemidele, milles nad ei säilita isikustamata andmeid. Need meetmed tuleks avaldada nende veebisaitidel. Lisaks peaksid nad võimaluse korral teavitama oma kliente enne oma andmetele juurdepääsu võimaldamist.
VIII peatükk: Koostalitlusvõime
Miks?
Standardid ja koostalitlusvõime on keskse tähtsusega, et tagada eri allikatest pärit andmete kasutamine Euroopa ühistes andmeruumides ja nende vahel, et edendada teadusuuringuid ja töötada välja uusi tooteid või teenuseid. Selleks kehtestatakse andmeseadusega mõned olulised nõuded, millele andmeruumides osalejad peavad vastama ja mida Euroopa Komisjon saab delegeeritud õigusaktidega täpsustada.
Samuti on selle eesmärk tagada andmetöötlusteenuste koostalitlusvõime; see on oluline selleks, et kliendid saaksid lihtsamast üleminekust kasu.
Peamised sidusrühmad
Käesolevas peatükis käsitletakse andmeruumides osalejaid, kes pakuvad teistele osalejatele andmeid või andmepõhiseid teenuseid ning hõlbustavad andmeruumides andmete jagamist või osalevad selles.
See puudutab ka arukate lepingute müüjaid ja andmetöötlusteenuste osutajaid.
Praktikas
Andmeruumis osalejad peaksid täitma mitut olulist nõuet, et võimaldada andmete liikumist andmeruumide sees ja vahel. Näiteks peaks andmestruktuuride, andmevormingute ja sõnastike kirjeldus, kui see on olemas, olema üldsusele kättesaadav. Lisaks tuleks tagada andmejagamiskokkulepete, näiteks arukate lepingute koostalitlusvõime.
Andmemäärusega valmistatakse ette ka alus andmetöötlusteenuste koostalitlusvõime suurendamiseks ühtlustatud standardite ja avatud koostalitlusvõime spetsifikatsioonide abil.
Lisaks sätestatakse selles nutilepingute müüjatele nõuded andmejagamislepingute automaatseks täitmiseks, näiteks tagamaks, et nad täidavad nõuetekohaselt andmejagamislepingu sätteid ja taluvad kolmandate isikute poolset manipuleerimist.
Komisjon hindab koostalitlusvõime tõkkeid ja seab esikohale standardimisvajadused, mille alusel ta võib paluda Euroopa standardiorganisatsiooni(de)l koostada harmoneeritud standardid, mis vastavad eespool nimetatud nõuetele.
Kui taotlus ei too kaasa ühtlustatud standardit või kui standard ei ole piisav, et tagada vastavus andmeseadusele, võib komisjon varulahendusena vastu võtta ühtsed spetsifikatsioonid. Neid tuleks arendada avatud ja kaasaval viisil, võttes arvesse Euroopa Andmeinnovatsiooni Nõukogult saadud tagasisidet.
IX peatükk: Täitmise tagamine ja üldsätted
Liikmesriigid määravad ühe või mitu (uue või olemasoleva) pädevat asutust, et tagada andmete õigusakti tõhus rakendamine. Kui pädevaid asutusi on mitu, peavad liikmesriigid määrama ühe neist andmekoordinaatoriks. Andmekoordinaator tegutseb ühtse kontaktpunktina kõigis küsimustes, mis on seotud andmeseaduse rakendamisega riiklikul tasandil, hõlbustades kohaldamist nii ettevõtjate kui ka riigiasutuste jaoks. Näiteks kui ettevõte taotleb hüvitist oma andmeseadusest tulenevate õiguste rikkumise eest, peaks andmekoordinaator (taotluse korral) esitama kogu vajaliku teabe, et aidata tal esitada kaebus asjakohasele pädevale asutusele. Andmekoordinaator hõlbustab ka koostööd piiriülestes olukordades, näiteks kui asjaomase liikmesriigi pädev asutus ei tea, millise asutuse poole ta peaks andmekoordinaatori liikmesriigis pöörduma.
Komisjon peab pädevate asutuste ja andmekoordinaatorite avalikku registrit.
Euroopa Andmeinnovatsiooni Nõukogu hõlbustab pädevate asutuste vahelisi arutelusid, näiteks selleks, et koordineerida ja võtta vastu soovitusi andmete õigusakti rikkumise eest määratavate karistuste kohta. Karistused kehtestavad pädevad asutused ning andmeseaduse kohaselt peaksid olema tõhusad, proportsionaalsed ja hoiatavad karistused.
Liikmesriigid võivad soovi korral asutada sertifitseeritud vaidluste lahendamise organid, et aidata pooli, kes ei suuda andmete kättesaadavaks tegemise õiglastes, mõistlikes ja mittediskrimineerivates tingimustes kokku leppida. Pooled võivad vabalt pöörduda mis tahes vaidluste lahendamise organi poole kas oma asukohaliikmesriigis või mõnes teises liikmesriigis.
Sertifitseeritud vaidluste lahendamise mehhanismid ja spetsialiseerunud pädevad asutused lihtsustavad äriühingute, eelkõige väikeettevõtjate jaoks andmeseadusest tulenevate õiguste jõustamist, kuna nad pakuvad asjaosalistele lihtsat, kiiret ja odavat lahendust.
Mis järgmiseks?
Euroopa andmestrateegias sätestatakse tee, kuidas EL saab andmepõhises majanduses liidriks. See saavutatakse Euroopa ühtse andmeturu loomisega, kus andmed saavad liikuda sektorite ja liikmesriikide vahel ohutul ja usaldusväärsel viisil majanduse ja ühiskonna hüvanguks. Andmete õigusakt, millega tagatakse andmete väärtuse õiglane jaotamine sidusrühmade vahel, on selle visiooni saavutamise põhielement.
Andmemäärust hakatakse kohaldama 12. septembril 2025.
Selleks et aidata ettevõtetel nendes uutes eeskirjades liikuda, soovitab komisjon tüüptingimuste kogumit, et aidata ettevõtjatel sõlmida andmete jagamise lepinguid, mis on õiglased, mõistlikud ja mittediskrimineerivad (andmeseaduse II ja III peatükk). Need tingimused annavad ka juhiseid mõistliku hüvitise ja ärisaladuste kaitse kohta. Komisjon soovitab ka mittesiduvaid lepingu tüüptingimusi pilvandmetöötluse lepingute jaoks pilvandmetöötluse kasutajate ja teenuseosutajate vahel. Loodud on eksperdirühm, kes aitab komisjonil koostada selliseid tingimusi ja klausleid ning kavatseb neid soovitada 2025. aasta sügiseks.
Kolme aasta jooksul alates määruse jõustumisest hindab komisjon andmete õigusakti mõju. Selle alusel võib komisjon vajaduse korral teha ettepaneku õigusakti muutmiseks.
Õiguslik teatis
Seda dokumenti ei tohiks käsitada Euroopa Komisjoni ametliku seisukoha representatiivsena.