Põhjalik ülevaade andmemäärusest, sealhulgas selle eesmärkidest ja sellest, kuidas see praktikas toimib.
Milleks on vaja andmemäärust?
Andmemäärus on õigusakt, mille eesmärk on tõhustada ELi andmemajandust ja edendada konkurentsivõimelist andmeturgu, muutes andmed (eelkõige tööstusandmed) kättesaadavamaks ja kasutatavamaks, soodustades andmepõhist innovatsiooni ja suurendades andmete kättesaadavust. Selle saavutamiseks tagatakse andmemäärusega andmete väärtuse õiglane jaotamine andmemajanduses osalejate vahel. Selles selgitatakse, kes võib milliseid andmeid kasutada ja millistel tingimustel. Põhjalikuma teabe saamiseks tutvuge andmemääruse kohta korduma kippuvate küsimustega.
Viimastel aastatel on internetiga ühendatud toodete (edaspidi „ühendatud tooted“) kättesaadavus Euroopa turul kiiresti kasvanud. Need tooted, mis koos moodustavad asjade interneti (IoT) võrgustiku, suurendavad märkimisväärselt ELis taaskasutamiseks kättesaadavate andmete mahtu. See kätkeb endas tohutut innovatsiooni ja konkurentsivõime potentsiaali ELis.
Andmemäärusega antakse ühendatud toodete kasutajatele (ettevõtjad või üksikisikud, kes sellist toodet omavad, liisivad või rendivad) suurem kontroll nende loodud andmete üle, säilitades samal ajal stiimulid neile, kes investeerivad andmetehnoloogiasse. Lisaks sätestatakse selles üldtingimused olukordadeks, kus ettevõttel on juriidiline kohustus jagada andmeid teise ettevõttega.
Andmemäärus sisaldab ka meetmeid, mille eesmärk on suurendada õiglust ja konkurentsi Euroopa pilveturul ning kaitsta ettevõtjaid tugevamate osalejate kehtestatud ebaõiglaste lepingutingimuste eest, mis on seotud andmete jagamisega. Samuti kehtestatakse sellega mehhanism, mille kaudu avaliku sektori asutused saavad taotleda andmeid ettevõtjalt, kellel on erakorraline vajadus, näiteks üldistes hädaolukordades, ning sätestatakse selged eeskirjad selle kohta, kuidas selliseid taotlusi tuleks esitada. Lisaks kehtestatakse sellega kaitsemeetmed, et vältida kolmandate riikide valitsusasutuste juurdepääsu isikustamata andmetele, kui see oleks vastuolus ELi või liikmesriigi õigusega. Andmemääruses on kindlaks määratud koostalitlusvõimega seotud olulised nõuded, et tagada andmete sujuv liikumine sektorite ja liikmesriikide vahel, mida hõlbustavad ühtsed Euroopa andmeruumid, ning andmetöötlusteenuste osutajate vahel.
Andmemäärus avaldati Euroopa Liidu Teatajas 22. detsembril 2023 ja seda kohaldatakse alates 12. septembrist 2025.
Andmemäärus täiendab andmehalduse määrust, mida hakati kohaldama 2023. aasta septembris. Kuigi andmehalduse määrus suurendab usaldust vabatahtlike andmejagamismehhanismide vastu, tagatakse andmemäärusega õigusselgus seoses andmetele juurdepääsu ja nende kasutamisega.
Koos muude poliitikameetmete ja rahastamisvõimalustega aitavad need kaks määrust kaasa ELi ühtse andmeturu loomisele. Eesmärk on muuta Euroopa andmepõhise majanduse liidriks, kasutades ära üha suureneva andmehulga, eelkõige tööstusandmete potentsiaali Euroopa majanduse ja ühiskonna hüvanguks.
Käsitletud küsimused
Vastavalt üldsätetele (I peatükk), milles sätestatakse määruse kohaldamisala ja määratletakse põhimõisted, on andmemäärus jagatud kuueks peamiseks peatükiks:
II peatükk ettevõtjatevahelise ning ettevõtja ja tarbija vahelise andmete jagamise kohta asjade interneti kontekstis: asjade interneti objektide kasutajatel on juurdepääs andmetele, mida nad koos loovad ühendatud toote kasutamise kaudu, ning nad saavad neid andmeid kasutada ja portida.
III peatükk ettevõtjatevahelise andmete jagamise kohta: see selgitab andmete jagamise tingimusi, kui ettevõte on seadusega, sealhulgas andmemäärusega, kohustatud jagama andmeid teise ettevõttega.
IV peatükk ebaõiglaste lepingutingimuste kohta: need sätted kaitsevad kõiki ettevõtjaid, eelkõige VKEsid, neile kehtestatud ebaõiglaste lepingutingimuste eest.
V peatükk ettevõtjate ja valitsuse vahelise andmete jagamise kohta: avaliku sektori asutused saavad teatavates erakorralise vajaduse olukordades teha rohkem tõenditel põhinevaid otsuseid, võttes meetmeid juurdepääsuks teatavatele erasektori valduses olevatele andmetele.
VI peatükk andmetöötlusteenuste vahetamise kohta: pilv- ja servtöötlusteenuste osutajad peavad vastama miinimumnõuetele, et hõlbustada koostalitlusvõimet ja võimaldada teenuseosutaja vahetamist.
VII peatükk kolmandate riikide valitsuste ebaseadusliku juurdepääsu kohta andmetele: ELis säilitatavad isikustamata andmed on kaitstud välisriikide valitsuste ebaseaduslike juurdepääsutaotluste eest.
VIII peatükk koostalitlusvõime kohta: andmeruumides osalejad peavad vastama kriteeriumidele, mis võimaldavad andmete liikumist andmeruumides ja nende vahel. ELi andmehoidlas sätestatakse asjakohased pilveteenuste koostalitlusvõime standardid ja spetsifikatsioonid.
IX peatükk täitmise tagamise kohta: Liikmesriigid peavad määrama ühe või mitu pädevat asutust, kes jälgivad andmemääruse täitmist ja tagavad selle täitmise. Kui on määratud rohkem kui üks asutus, tuleb määrata andmekoordinaator, kes tegutseb ühtse kontaktpunktina riiklikul tasandil.
II peatükk: Ettevõtjatevaheline ning ettevõtja ja tarbija vaheline andmete jagamine asjade interneti turu kontekstis
Miks?
Andmemääruse peamine eesmärk on luua andmepõhises majanduses õiglus ja anda kasutajatele võimalus saada kasu andmetest, mida nad loovad oma ühendatud toodete abil, mida nad omavad, rendivad või liisivad.
Andmemäärus võimaldab ühendatud toodete (nt ühendatud autod, meditsiini- ja spordiseadmed, tööstus- või põllumajandusmasinad) ja nendega seotud teenuste (st kõik, mis paneks ühendatud toote konkreetsel viisil käituma, näiteks rakendus tulede heleduse reguleerimiseks või külmiku temperatuuri reguleerimiseks) kasutajatel pääseda juurde andmetele, mida nad koos loovad, kasutades ühendatud tooteid / seotud teenuseid.
Selliste andmete kättesaadavus mõjutab majandust märkimisväärselt. Näiteks ühendatud toodete ja nendega seotud teenuste loodud andmeid saab kasutada järelturu ja kõrvalteenuste edendamiseks ning täiesti uute teenuste loomiseks, millest saavad kasu nii ettevõtjad kui ka tarbijad.
Ühendatud toodete näited: tarbekaubad (nt ühendatud autod, terviseseireseadmed, nutikoduseadmed), muud tooted (nt lennukid, robotid, tööstusmasinad).
Seotud teenuse näide: kasutaja ostab pesumasina ja paigaldab rakenduse, mis võimaldab tal mõõta pesutsükli keskkonnamõju masina sees olevatelt erinevatelt anduritelt saadud andmete põhjal ja tsüklit vastavalt kohandada. Seda rakendust peetakse seotud teenuseks.
Näited järelturu- ja kõrvalteenuste kohta: remondi- ja hooldusteenused, andmepõhine kindlustus.
Kohaldamisalasse kuuluvate andmete liigid
Andmemääruse II peatükki, mis käsitleb andmete jagamist ettevõtjate vahel ning ettevõtja ja tarbija vahel, kohaldatakse kõigi ühendatud toote või seotud teenuse kasutamisel loodud töötlemata ja eeltöödeldud andmete suhtes, mis on andmevaldajale (nt ühendatud toote tootja / seotud teenuse osutaja) kergesti kättesaadavad, st andmete suhtes, millele on lihtne juurde pääseda ilma ebaproportsionaalsete jõupingutusteta, mis lähevad lihtsast toimingust kaugemale. See kehtib nii isikuandmete kui ka isikustamata andmete, sealhulgas asjakohaste metaandmete kohta.
Sellised andmed hõlmavad andmeid, mis on kogutud ühelt andurilt või ühendatud andurite rühmalt, nagu temperatuur, rõhk, voolukiirus, heli, pH väärtus, vedeliku tase, asend, kiirendus või kiirus.
Tuletatud või tuletatud andmed ja sisu (nt väga rikastatud andmed, audiovisuaalne materjal) ei kuulu kohaldamisalasse. Lisaks ei piira andmemäärus intellektuaalomandi õiguste kaitset käsitlevate õigusaktide kohaldamist.
Näiteks kui kasutaja vaatab filmi oma ühendatud telerist, ei ole film ise hõlmatud, kuid ekraani heleduse andmed on hõlmatud.
Praktikas
Andmemääruse II peatükk võimaldab kasutajatel (st igal juriidilisel või füüsilisel isikul, kes omab, rendib või liisib ühendatud toodet) pääseda juurde andmetele, mida nad loovad ühendatud toote või seotud teenuse kasutamisel. Kui kasutaja soovib jagada neid andmeid teise üksuse või isikuga (edaspidi „kolmasisik“),võib ta seda teha otse või paluda andmevaldajal jagada neid enda valitud kolmanda isikuga (välja arvatud digiturgude määrusekohased pääsuvalitsejad). Andmevaldaja on tavaliselt ettevõte, kes toodab ühendatud toodet või osutab seotud teenust. Andmevaldajal peab olema kasutajaga leping (nt müügileping, rendileping, seotud teenusleping jne), milles määratakse kindlaks õigused seoses ühendatud toote või seotud teenuse loodud andmetele juurdepääsu, nende kasutamise ja jagamisega. Oluline on märkida, et andmevaldaja ei saa kasutada toote loodud isikustamata andmeid ilma kasutaja nõusolekuta.
Näiteks ja pidades meeles, et asjaomases lepingus on kindlaks määratud täpsed rollid:
-
Ettevõte käitab buldooserit: andmevaldaja on tavaliselt buldooseri tootja ja kasutaja on buldooserit käitav ettevõte.
-
Kui keegi ostab ühendatud külmiku ja laadib alla rakenduse, mis aitab tal reguleerida külmiku sisu optimaalset temperatuuri, võib olla kaks andmevaldajat, nimelt külmiku turule lasknud üksus ja seotud teenust pakkuv üksus (rakendus), ning ainult üks kasutaja (külmiku omanik).
Andmemääruses on sätestatud mitu mehhanismi, et kasutajatel oleks lihtsam neid sätteid kasutada: andmevaldajad peavad andma kasutajale teavet selle kohta, millist liiki andmeid nad ühendatud toote või seotud teenuse kasutamisel loovad (sealhulgas maht, kogumise sagedus jne); kasutajatel peaks olema võimalik taotleda andmetele juurdepääsu lihtsa protsessi kaudu ning andmevaldajad peavad tegema andmed kasutajatele tasuta kättesaadavaks.
Andmete kasutamise piirangud
Et mitte heidutada ettevõtjaid investeerimast andmeid loovatesse toodetesse, ei saa saadud andmeid kasutada konkureeriva ühendatud toote väljatöötamiseks. Andmeseadus ei keela konkurentsi seotud või järelturu teenustes. Lisaks ei ole andmemääruse kohaselt andmevaldajal kohustust jagada andmeid väljaspool ELi asuvate kolmandate isikutega.
Andmemäärus on täielikult kooskõlas andmekaitse-eeskirjadega, eelkõige isikuandmete kaitse üldmäärusega. Kui kasutaja ei ole andmesubjekt, kelle andmeid taotletakse, võib isikuandmeid kättesaadavaks teha ainult siis, kui selleks on olemas kehtiv õiguslik alus (nt nõusolek). See on oluline kaalutlus, kuna koostoodetud andmed sisaldavad sageli nii isikuandmeid kui ka isikustamata andmeid, mida võib olla raske eraldada.
See stimuleerib uutel andmevoogudel põhinevate ühendatud toodete ja teenuste arendamist, mis on väiksemate ettevõtjate jaoks eriti väärtuslik. Lisaks ei kohaldata mikro- ja väikeettevõtjate kui seotud teenuste tootjate või osutajate suhtes samu kohustusi kui suuremate ettevõtjate suhtes.
Ärisaladuste kaitsmiseks, kahjustamata andmemääruse eesmärki teha kättesaadavaks rohkem andmeid, võivad andmevaldaja ja kasutaja/kolmas isik kokku leppida teatavates meetmetes, et säilitada ärisaladuste konfidentsiaalsus. Kui neid meetmeid ei järgita, võib andmevaldaja andmete jagamisest keelduda või selle peatada. Andmevaldaja võib andmete jagamisest keelduda üksnes juhul, kui ta suudab tõendada, et ärisaladuste avalikustamine põhjustab talle suure tõenäosusega tõsist majanduslikku kahju.
Andmevaldaja ja kasutaja võivad kokku leppida andmete jagamise piiramises, kui on oht, et ühendatud toote turvanõudeid võidakse kahjustada, millel on tõsine kahjulik mõju inimeste tervisele, ohutusele või turvalisusele. Sellised nõuded peavad olema sätestatud liidu või liikmesriigi õiguses.
Kui andmevaldaja peatab andmete jagamise, peatab selle või keeldub sellest ärisaladuste kaitse või turvanõuete tõttu, peab ta sellest teavitama riiklikku pädevat asutust. Kasutajad võivad sellise otsuse vaidlustada kas liikmesriigi pädevas kohtus, esitades kaebuse pädevale asutusele või kokkuleppel andmevaldajaga vaidluste lahendamise organile.
III peatükk: Eeskirjad kohustusliku ettevõtjatevahelise andmete jagamise kohta
Miks?
Andmemäärusega kehtestatakse eeskirjad olukordadeks, kus ettevõtjal (andmevaldajal) on ELi või liikmesriigi õiguse alusel juriidiline kohustus teha andmed kättesaadavaks teisele ettevõtjale (andmesaaja), sealhulgas asjade interneti andmete kontekstis. Eelkõige peavad andmete jagamise tingimused olema õiglased, mõistlikud ja mittediskrimineerivad.
Andmete jagamise stiimulina võivad andmevaldajad, kes on kohustatud andmeid jagama, nõuda andmesaajalt mõistlikku hüvitist.
Kohaldamisalasse kuuluvate andmete liigid
Andmemääruse III peatükki kohaldatakse kõigi ettevõtte valduses olevate andmete (nii isikuandmete kui ka isikustamata andmete) suhtes, sealhulgas andmemääruse II peatükiga hõlmatud olukordades.
Praktikas
Andmevaldajad võivad nõuda mõistlikku hüvitist andmete andmesaajale kättesaadavaks tegemise eest. See võib hõlmata andmete kättesaadavaks tegemise kulusid ning levitamise ja säilitamisega seotud tehnilisi kulusid. Mikroettevõtjatelt, VKEdelt ja mittetulunduslikelt teadusasutustelt ei saa siiski nõuda suuremat tasu kui andmete kättesaadavaks tegemise kulud.
Andmevaldajate kaitsmiseks sisaldab andmemäärus mittetäielikku loetelu meetmetest, millega parandatakse olukordi, kus kolmas isik või kasutaja on andmetele ebaseaduslikult juurde pääsenud või neid ebaseaduslikult kasutanud. Näiteks võib andmevaldaja nõuda, et rikkuja lõpetaks kõnealuse toote tootmise või hävitaks ebaseaduslikult saadud andmed, või nõuda hüvitist.
See ei mõjuta andmemäärusele eelnenud andmete jagamise kohustusi. Tulevastes (valdkondlikes) õigusaktides sätestatud kohustused tuleks viia kooskõlla andmemääruse III peatüki sätetega.
IV peatükk: Ebaõiglased lepingutingimused
Miks?
Lepinguvabadus on ettevõtjatevahelistes suhetes kesksel kohal. Andmemääruse eesmärk on aga kaitsta kõiki andmeid omandada soovivaid Euroopa ettevõtjaid, eelkõige VKEsid, ebaõiglaste lepingutingimuste eest, võttes meetmeid, et sekkuda olukordades, kus näiteks üks ettevõtjatest on tugevamas läbirääkimispositsioonis (nt oma turu suuruse tõttu) ning kehtestab teise suhtes mittekaubeldava tingimuse („võta või jäta“), mis on seotud andmetele juurdepääsu ja nende kasutamisega.
Kohaldamisalasse kuuluvate andmete liigid
Need eeskirjad hõlmavad kõiki andmeid, nii isikuandmeid kui ka isikustamata andmeid, mis on eraõigusliku üksuse valduses ning millele pääsetakse juurde ja mida kasutatakse ettevõtjatevahelise lepingu alusel.
Praktikas
Ühepoolselt kehtestatud võta-või-jäta-tingimuste suhtes võib kohaldada ebaõigluse testi, kui need on seotud andmete kättesaadavaks tegemisega.
Andmemäärusega kehtestatakse mitteammendav loetelu tingimustest, mida peetakse alati ebaõiglaseks (nt mis välistaks või piiraks tingimuse ühepoolselt kehtestanud poole vastutust tahtliku tegevuse või raske hooletuse eest), ja tingimustest, mida peetakse ebaõiglaseks (nt mis piiraks sobimatult õiguskaitsevahendeid lepinguliste kohustuste täitmata jätmise korral või vastutust nende kohustuste rikkumise korral või laiendaks selle ettevõtja vastutust, kellele tingimus on ühepoolselt kehtestatud). Kui lepingutingimus loetakse ebaõiglaseks, ei ole see enam kehtiv – võimaluse korral lihtsalt eraldatakse see lepingust. Kui eeldatakse, et tingimus on ebaõiglane, võib tingimuse kehtestanud üksus püüda tõendada, et tingimus ei ole ebaõiglane.
V peatükk: Ettevõtjatevaheline andmete jagamine
Miks?
Eraõiguslike üksuste valduses olevad andmed võivad olla avaliku sektori asutuse jaoks hädavajalikud avalikku huvi pakkuva ülesande täitmiseks. Andmemääruse V peatükk võimaldab avaliku sektori asutustel erandlikel tingimustel sellistele andmetele juurde pääseda. Viimane viitab ettenägematule ja ajaliselt piiratud olukorrale, kus eraõigusliku üksuse valduses olevad andmed on vajalikud avaliku huvi ülesande täitmiseks, eelkõige tõenditel põhinevate otsuste tegemise parandamiseks. Erakorralise vajadusega olukorrad hõlmavad nii üldisi hädaolukordi (näiteks suured loodusõnnetused või inimtegevusest tingitud katastroofid, pandeemiad ja küberturvalisuse intsidendid) kui ka muid kui hädaolukordi (näiteks võib liiklusvoogude optimeerimiseks kasutada juhtide GPS-süsteemide koond- ja anonüümitud andmeid).
Andmemäärusega tagatakse, et avaliku sektori asutustel on sellistele andmetele õigeaegne ja usaldusväärne juurdepääs, tekitamata ettevõtjatele põhjendamatut halduskoormust.
Reguleerimisalasse kuuluvate andmete liigid
V peatüki kohaselt kuuluvad kohaldamisalasse kõik andmed, keskendudes isikustamata andmetele.
Andmemääruse V peatükis, mis käsitleb andmete jagamist ettevõtjate ja valitsuse vahel, eristatakse kahte stsenaariumi:
-
Üldisele hädaolukorrale reageerimiseks peaks avaliku sektori asutus taotlema isikustamata andmeid. Kui see ei ole aga olukorra lahendamiseks piisav, võidakse nõuda isikuandmeid. Võimaluse korral peaks andmevaldaja need andmed anonüümseks muutma.
-
Erakorralistes olukordades võivad avaliku sektori asutused taotleda ainult isikustamata andmeid.
Peamised sidusrühmad
Andmeid on õigus taotleda liikmesriikide avaliku sektori asutustel ning teatavatel ELi institutsioonidel, organitel ja asutustel. Need üksused võivad teatavatel tingimustel jagada andmeid ka teadusuuringuid tegevate ja rahastavate organisatsioonidega.
Ettevõtjalt riigile esitatavate taotluste kontekstis on andmevaldajad tavaliselt eraõiguslikud üksused, kuid võivad hõlmata ka riigi osalusega äriühinguid.
Praktikas
Avaliku sektori asutus võib teatavatel tingimustel kohustada andmevaldajat tegema teatavad andmed põhjendamatu viivituseta kättesaadavaks, et reageerida üldisele hädaolukorrale. Andmemääruses on määratletud üldine hädaolukord; kuid selle olemasolu määratakse kindlaks vastavalt riiklikele või ELi menetlustele või õigusaktidele.
Erakorraliste vajaduste puhul, mis ei ole seotud üldise hädaolukorraga, võib avaliku sektori asutus taotleda isikustamata andmeid, et täita konkreetset ülesannet, mis on avalikes huvides ja mis on sätestatud seaduses, kui avaliku sektori asutus suudab tõendada, et tal ei ole olnud andmetele juurdepääsu muul viisil.
Mõlemal juhul (hädaolukord ja muu kui hädaolukord) tuleb taotluste puhul järgida mitmeid rangeid põhimõtteid ja tingimusi. Näiteks peavad taotlused olema konkreetsed, läbipaistvad ja proportsionaalsed, ärisaladusi tuleb kaitsta ning andmed tuleb kustutada, kui neid enam ei vajata.
Järgmises tabelis on esitatud kokkuvõte sellest, mida ettevõtjad võivad sellega seoses taotleda andmete esitamiseks avaliku sektori asutusele.
Hüvitis andmete kättesaadavaks tegemise eest andmemääruse V peatüki alusel
| Ettevõtjad, kes ei ole mikro- ja väikeettevõtjad, võivad taotleda: | Mikro- ja väikeettevõtted võivad küsida: | |
| Üldine hädaolukord | Ettevõtjad võivad nõuda, et andmeid saav avaliku sektori asutus nende esitatud andmeid tunnustaks ja avalikult tunnustaks. | Mõistlik tasu, mis ei ületa tehnilisi ja korralduslikke kulusid + taotluse korral avalik tunnustamine |
| Erakorraline olukord | Mõistlik tasu, mis ei ületa tehnilisi ja korralduslikke kulusid (välja arvatud ametliku statistika koostamine) | Ei kohaldata (vabastatud andmete esitamise kohustusest) |
Ettevõtjate koormuse vähendamiseks ei tohi rohkem kui üks avaliku sektori asutus nõuda samu andmeid rohkem kui üks kord (ühekordsuse põhimõte). Seetõttu peab andmekoordinaator tegema kõik taotlused üldsusele kättesaadavaks (välja arvatud juhul, kui esineb turvaprobleeme).
VI peatükk: Andmetöötlusteenuste vahetamine
Miks?
Selleks et tagada ELis konkurentsivõimeline turg, peaks andmetöötlusteenuste (sealhulgas pilve- ja servtöötlusteenuste) klientidel olema võimalik sujuvalt ühelt teenuseosutajalt teisele üle minna. Siiski seisavad kliendid praegu silmitsi mitmete takistustega, sealhulgas kõrgete tasudega, mis on seotud näiteks andmete väljaviimisega, pikkade menetlustega ja teenusepakkujate vahelise koostalitlusvõime puudumisega, mis võib põhjustada andmete ja rakenduste kadu.
Andmemäärus muudab vahetamise tasuta, kiireks ja sujuvaks. Sellest saavad kasu nii kliendid, kes saavad vabalt valida oma vajadustele kõige paremini vastavad teenused, kui ka teenusepakkujad, kes saavad kasu suuremast kliendibaasist.
Reguleerimisala
Andmemääruse VI peatükki kohaldatakse andmetöötlusteenuste osutajate suhtes (st digiteenused, mis võimaldavad asukohast sõltumatut ja tellitavat juurdepääsu võrgule, nagu võrgud, serverid või muu virtuaalne või füüsiline taristu ja tarkvara). Teenuseosutaja vahetamisel keskse tähtsusega andmed hõlmavad sisend- ja väljundandmeid, sealhulgas metaandmeid, mis on loodud kliendi poolt teenuse kasutamisel, välja arvatud andmed, mis on kaitstud intellektuaalomandi õigustega või mis kujutavad endast teenuseosutaja ärisaladust.
Praktikas
Selleks et ületada pilveturul teenuseosutajate ja klientide vaheline võimu tasakaalustamatus, on andmemääruses sätestatud pilvelepingute sisu miinimumnõuded. Eelkõige saavad lepingute suuremast läbipaistvusest kasu era- ja avaliku sektori kliendid.
Andmemäärus sisaldab meetmeid, millega tagatakse, et kliendid saavad kiiresti ja sujuvalt ning ilma andmeid või rakenduste funktsionaalsust kaotamata minna ühelt andmetöötlusteenuste osutajalt (lähteteenuse osutaja) üle teisele (sihtkohateenuse osutajale). Näiteks peavad platvormi ja tarkvara kui teenuse pakkujad tegema avatud liidesed kättesaadavaks ja eksportima vähemalt andmeid üldkasutatavas ja masinloetavas vormingus. Infrastruktuuri kui teenuse pakkujad peavad võtma meetmeid, mis hõlbustavad seda, et kui klient läheb üle sama liiki teenusele, saab klient sisuliselt võrreldavad tulemused vastusena samale sisendile funktsioonide puhul, mida mõlemad teenused jagavad (funktsionaalne samaväärsus). Sellise meetme näitena võib lähteteenuse pakkujal olla vaja kasutada tööriistu arvutuskoormuse nihutamiseks ühelt virtualiseerimistehnoloogialt teisele.
Kõik teenuseosutajad peavad kõrvaldama takistused, millega nende kliendid võivad kokku puutuda, kui nad soovivad vahetada teenuseosutajat või kasutada samal ajal mitut teenust.
Andmemäärusega kaotatakse alates 12. jaanuarist 2027 täielikult ka vahetustasud, sealhulgas andmete väljaviimise tasud (st andmeedastustasud). See tähendab, et teenuseosutajad ei saa nõuda oma klientidelt tasu toimingute eest, mis on vajalikud teenuseosutaja vahetamise hõlbustamiseks või andmete väljavõtmiseks. Üleminekumeetmena esimese kolme aasta jooksul pärast andmemääruse jõustumist (11. jaanuarist 2024 kuni 12. jaanuarini 2027) võivad teenuseosutajad siiski nõuda oma klientidelt tasu teenuseosutaja vahetamise ja andmete väljavõtmisega seotud kulude eest.
VII peatükk: Kolmandate riikide valitsuste ebaseaduslik juurdepääs
Miks?
Mõnikord on väljaspool ELi asuva riigi (edaspidi „kolmas riik“) tehtud otsuse või kohtuotsuse eesmärk võimaldada valitsusele juurdepääs ELis töödeldavatele ja säilitatavatele isikustamata andmetele ning nende edastamine. Teatavatel juhtudel võib aga sellistele andmetele juurdepääsu võimaldamine või nende edastamine olla tegelikult ebaseaduslik, eelkõige juhul, kui taotlus on vastuolus ELi õigusaktide ja tagatistega, mis käsitlevad üksikisikute põhiõiguste kaitset, riigi julgeolekuhuve või tundlikke äriandmeid.
Andmemääruses järgitakse andmehalduse määrust seoses sätetega, mille eesmärk on takistada kolmandate riikide valitsuste ebaseaduslikku juurdepääsu ELis hoitavatele isikustamata andmetele ja nende edastamist. Sellised sätted ei mõjuta andmete korrapärast jagamist ettevõtjate vahel. Need suurendavad läbipaistvust ja õiguskindlust seoses protsessi ja tingimustega, mille alusel saavad kolmandate riikide valitsusasutused isikustamata andmetele juurde pääseda või neid neile edastada.
Kohaldamisalasse kuuluvate andmete liigid
mis tahes isikustamata andmed, mida andmetöötlusteenuse osutaja ELis hoiab.
Praktikas
Andmemäärusega ei keelata piiriüleseid andmevooge, vaid tagatakse, et ELis andmetele pakutav kaitse hõlmab kõiki väljaspool ELi edastatavaid andmeid.
Sellega seoses on andmemäärusega kehtestatud normid ja kaitsemeetmed, mis käsitlevad välisriigi avaliku sektori asutuse taotlusi juurdepääsuks liidus hoitavatele isikustamata andmetele. Need sätted ei mõjuta õiguspärast rahvusvahelist koostööd õiguskaitse valdkonnas.
Kui puudub rahvusvaheline leping, mis reguleeriks kolmanda riigi valitsuse juurdepääsu ELis asuvatele isikustamata andmetele, võib andmeid edastada või neile juurde pääseda ainult eritingimustel. Need tingimused viitavad teatavatele Euroopa õigusi kaitsvatele tagatistele, mida kolmanda riigi õigussüsteem peab täitma, sealhulgas nõudele esitada otsuses põhjused ja hinnata proportsionaalsust. Sellise otsusega hõlmatud andmetöötlusteenuste osutaja võib võtta ühendust asjaomase riikliku asutusega, et aidata hinnata, kas andmemääruses sätestatud tingimused on täidetud. Selleks et aidata hinnata, kas need tingimused on täidetud, töötab Euroopa Komisjon koos Euroopa Andmeinnovatsiooninõukoguga (andmehaldust käsitleva õigusakti alusel loodud eksperdirühm, et hõlbustada parimate tavade jagamist ja seada prioriteediks sektoriülesed koostalitlusvõime standardid) välja suunised.
Andmetöötlusteenuste osutajad peaksid võtma kõik mõistlikud meetmed (nt krüpteerimine, auditid, sertifitseerimiskavade järgimine), et vältida juurdepääsu süsteemidele, kus nad säilitavad isikustamata andmeid. Need meetmed tuleks avaldada nende veebisaitidel. Lisaks peaksid nad võimaluse korral teavitama oma kliente enne oma andmetele juurdepääsu andmist.
VIII peatükk: Koostalitlusvõime
Miks?
Standardid ja koostalitlusvõime on keskse tähtsusega tagamaks, et erinevatest allikatest pärit andmeid saab kasutada ühistes Euroopa andmeruumides ja nende vahel, et edendada teadusuuringuid ja töötada välja uusi tooteid või teenuseid. Selleks on andmemääruses sätestatud mõned olulised nõuded, mida andmeruumides osalejad peavad täitma ja mida Euroopa Komisjon võib delegeeritud õigusaktidega täpsustada.
Samuti on selle eesmärk tagada andmetöötlusteenuste koostalitlusvõime; see on oluline, et kliendid saaksid lihtsamast vahetamisest kasu.
Peamised sidusrühmad
Käesolev peatükk on suunatud andmeruumides osalejatele, kes pakuvad teistele osalejatele andmeid või andmepõhiseid teenuseid ning hõlbustavad andmeruumides andmete jagamist või osalevad selles.
Samuti käsitletakse selles nutilepingute müüjaid ja andmetöötlusteenuste osutajaid.
Praktikas
Andmeruumis osalejad peaksid täitma mitut olulist nõuet, et võimaldada andmete liikumist andmeruumides ja nende vahel. Näiteks peaks üldsusele olema kättesaadav andmestruktuuride, andmevormingute ja sõnastike kirjeldus, kui see on olemas. Lisaks tuleks tagada vahendid andmete jagamise kokkulepete, näiteks nutilepingute koostalitlusvõime tagamiseks.
Andmemäärusega luuakse ka alus andmetöötlusteenuste koostalitlusvõime suurendamiseks harmoneeritud standardite ja avatud koostalitlusvõime spetsifikatsioonide kaudu.
Lisaks sätestatakse selles nutilepingute müüjatele nõuded andmete jagamise kokkulepete automaatseks täitmiseks, näiteks tagamaks, et nad täidavad nõuetekohaselt andmete jagamise kokkuleppe sätteid ja peavad vastu kolmandate isikute poolsele manipuleerimisele.
Komisjon hindab koostalitlusvõime tõkkeid ja seab esikohale standardimisvajadused, mille alusel ta võib paluda Euroopa standardiorganisatsiooni(de)l koostada harmoneeritud standardid, mis vastavad eespool nimetatud nõuetele.
Kui taotluse tulemuseks ei ole harmoneeritud standard või kui standard ei ole piisav, et tagada vastavus andmemäärusele, võib komisjon võtta varulahendusena vastu ühtsed kirjeldused. Need tuleks välja töötada avatud ja kaasaval viisil, võttes arvesse Euroopa Andmeinnovatsiooni Nõukogult saadud tagasisidet.
IX peatükk: Jõustamine ja üldsätted
Liikmesriigid määravad ühe või mitu (uut või olemasolevat) pädevat asutust, et tagada andmemääruse tõhus rakendamine. Kui pädevaid asutusi on mitu, peavad liikmesriigid määrama ühe neist andmekoordinaatoriks. Andmekoordinaator tegutseb ühtse kontaktpunktina kõigis küsimustes, mis on seotud andmemääruse rakendamisega riiklikul tasandil, hõlbustades selle kohaldamist nii ettevõtjate kui ka avaliku sektori asutuste jaoks. Näiteks kui ettevõtja taotleb hüvitist andmemäärusest tulenevate õiguste rikkumise eest, peaks andmekoordinaator (taotluse korral) esitama kogu vajaliku teabe, et aidata tal esitada kaebus asjakohasele pädevale asutusele. Andmekoordinaator hõlbustab koostööd ka piiriülestes olukordades, näiteks kui konkreetse liikmesriigi pädev asutus ei tea, millise asutuse poole ta peaks andmekoordinaatori liikmesriigis pöörduma.
Komisjon peab pädevate asutuste ja andmekoordinaatorite avalikku registrit.
Euroopa Andmeinnovatsiooni Nõukogu hõlbustab pädevate asutuste vahelisi arutelusid, näiteks selleks, et koordineerida ja võtta vastu soovitusi andmemääruse rikkumise eest karistuste kehtestamise kohta. Karistused määravad pädevad asutused ning andmemääruse kohaselt peaksid karistused olema tõhusad, proportsionaalsed ja hoiatavad.
Liikmesriigid võivad soovi korral luua sertifitseeritud vaidluste lahendamise organeid, et abistada pooli, kes ei suuda andmete kättesaadavaks tegemiseks kokku leppida õiglastes, mõistlikes ja mittediskrimineerivates tingimustes. Pooled võivad pöörduda mis tahes vaidluste lahendamise organi poole kas oma asukohaliikmesriigis või mõnes muus liikmesriigis.
Sertifitseeritud vaidluste lahendamise mehhanismid ja spetsialiseerunud pädevad asutused lihtsustavad äriühingutel, eelkõige väikeettevõtjatel, oma andmemäärusest tulenevate õiguste jõustamist, kuna need pakuvad asjaomastele pooltele lihtsat, kiiret ja odavat lahendust.
Andmemääruse rakendamise toetamine
Andmemäärust kohaldatakse alates 12. septembrist 2025. Selleks et aidata ettevõtjatel uutes eeskirjades orienteeruda, on komisjon avaldanud:
- Korduma kippuvad küsimused andmemääruse kohta
- Eelnõu: soovitus andmetele juurdepääsu ja nende kasutamise mittesiduvate lepingu näidistingimuste ning pilvandmetöötluse lepingute mittesiduvate lepingu tüüptingimuste kohta
- Suunised sõidukiandmete kohta, mis on lisatud andmemäärusele
Tulevikus avaldab komisjon andmemääruse III peatüki kontekstis suunised ettevõtjatevahelise kohustusliku andmete jagamise eest mõistliku hüvitise maksmise kohta.
Tuginedes juba avaldatud juhendmaterjalidele, pakub käivitatud andmemääruse õigusalane kasutajatugi sidusrühmadele konkreetseid suuniseid andmemäärusega seotud õiguslikes küsimustes.
Digitaalses koondõigusaktis teeb komisjon ettepaneku teha andmealases õigusaktis konkreetseid muudatusi, et pakkuda kohest leevendust nii ettevõtjatele, haldusasutustele kui ka kodanikele ning stimuleerida konkurentsivõimet.
Komisjon hindab andmemääruse mõju kolme aasta jooksul alates selle kohaldamise algusest. Selle alusel võib komisjon vajaduse korral teha ettepaneku õigusakti muutmiseks.
Õigusteave
Käesolevat dokumenti ei tohiks käsitada Euroopa Komisjoni ametlikku seisukohta esindavana.