2025. aastal kulmineerus Euroopa Andmekaitsenõukogu (EAKN) ja Euroopa Komisjoni ühine projekt Digiturgude määruse (DMA) ja Isikuandmete kaitse üldmääruse (IKÜM) koosmõju suuniste alal. Ühised suunised selgitavad, kuidas pääsuvalitsejad saavad DMA sätteid kooskõlas EL-i andmekaitseõigusega rakendada.
Suunised kirjutati algselt ainult EAKN-i siseselt selle konkurentsiõiguse ja tarbijakaitse õiguse alagrupis ja selle liikmete panustel, kuid kahe aasta jooksul ühines kirjutamisega Euroopa Komisjon. Suuniste kirjutamisse panustas ka Andmekaitse Inspektsioon. Kuna õigusakt puudutas üksikasjalikult nii andmekaitseõigust ja selle mõisted, mis on EAKN-i pädevuses, kui ka konkurentsiõigust, mis on Komisjoni pädevuses, otsustati, et ühiste koosmõju suuniste valmistamine, kus üksmeelt ja vastastikust mõistmist leitakse võimalikult vara, on õige tee.
DMA on eelkõige konkurentsiõiguse instrument, mille eesmärk on tagada Euroopa Liidu digisektoris konkurentsile avatud ja õiglased turud, millest saavad kasu füüsilistest või juriidilistest isikutest tavalised kasutajad (lõppkasutajad) ja ettevõtted, kes kasutavad digiplatvorme ärilistel eesmärkidel (ärikasutajad). DMA seab kohustusi suurtele tehnoloogiaettevõtetele, kes haldavad digiplatvorme ja pakuvad põhiplatvormiteenuseid nagu sotsiaalmeediateenused, veebibrauserid, sõnumiteenused, otsingumootorid ja muud veebipõhised teenused. Põhiplatvormiteenused on suurte kasutajaskondadega platvormid, mille kaudu pääsuvalitsejad on saanud digiturge oma huvides mõjutada.
Pääsuvalitsejate hulka kuulub näiteks selline ettevõtte nagu Meta, kes pakub muuhulgas põhiplatvormiteenuseid nagu sotsiaalmeediateenused (Facebook, Instagram), sõnumiteenuseid (Messenger, Whatsapp) ja internetireklaamteenused (Meta Ads). Teiselt poolt on pääsuvalitsejate hulgas ka ettevõtteid, kes pakuvad ainult ühte põhiplatvormiteenust – näiteks Booking.com, kes pakub ainult veebipõhist vahendusteenust (vahendusteenust majutuste leidmiseks).
Uued õigused ja kohustused
Uus määrus lisab kohustusi digihiiglastele ning pakub ka tarbijatele ehk lõppkasutajatele hulga uusi õiguseid, mis täiendavad nende IKÜM-ist tulenevaid õigusi. Üks olulisemaid sätteid DMA-s on artikli 5 lõige 2, mis keelab pääsuvalitsejal lõppkasutajate isikuandmetega teatud töötlemistoiminguid teha, sealhulgas:
• töödelda kolmandate isikute teenustelt saadud lõppkasutajate isikuandmeid reklaamide pakkumiseks;
• kombineerida isikuandmeid eri põhiplatvormiteenuste vahel või kolmandate isikute teenustelt saadud andmetega;
• ristkasutada põhiplatvormiteenuse kaudu saadud isikuandmeid muude teenuste puhul, mida pääsuvalitseja eraldi osutab;
• logida lõppkasutajaid automaatselt sisse pääsuvalitseja muudesse teenustesse, et isikuandmeid kombineerida.
Kohustus nendest toimingutest hoiduda aga ei kehti, kui kasutajale on antud selge valikuvõimalus ja ta annab oma nõusoleku, mis vastab IKÜM-i nõuetele (vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus). Suunistes täpsustatakse üksikasjalikumalt, kuidas pääsuvalitsejad peaksid neid elemente arvesse võtma, et IKÜM-ist tulenevaid nõudeid täita.
DMA on seadnud eesmärgiks tagada, et isikuandmete töötlemisest keeldumisel ei pea kasutajad siiski loobuma mõne teenuse kasutamisest. Kui lõppkasutaja keeldub oma isikuandmetega nimetatud toimingute tegemisest, peab pääsuvalitseja pakkuma oma platvormil vähem isikustatud, kuid samaväärset alternatiivi ilma, et teenus või selle funktsioonide kasutamine lõppkasutaja nõusolekust sõltuks. IKÜM-i vaatest on see hea eesmärk ja tervitatav areng, et teenuse kasutamise võimalus ja kvaliteet ei sõltuks isikuandmete töötlemisest.
DMA tutvustas ka uut õigust andmete ülekantavusele DMA alusel, mis on mõeldud täiendama IKÜM-ist tulenevat õigust andmete ülekantavusele. Selle kohustuse eesmärk on võimaldada lõppkasutajal tõhusalt platvorme vahetada või samal ajal mitut platvormi kasutada. Taotluse ülekantavusele võib teha nii lõppkasutaja kui ka tema volitatud kolmas isik selliste andmete kohta, mida kasutaja on esitanud või mis on loodud tema platvormi kasutamise tulemusena.
DMA täitmine
Komisjon on valvanud pääsuvalitsejate kohustuste täitmist põhiplatvormiteenustel ning 2025. aasta jooksul kuulutanud välja paar DMA täitmata jätmist käsitlevat otsust. Märkimisväärne otsus 2025. aprillist puudutab Meta nõustu-või-maksa-mudelit. Meta tutvustas 2024. aasta märtsis Facebookis ja Instagramis mudelit, kus kasutajad pidid kas andma nõusoleku oma isikuandmete kombineerimiseks isikupärastatud reklaamide pakkumise eesmärgil või maksma reklaamivaba teenuse eest tasu. Komisjon leidis, et sellise mudeliga ei pakkunud Meta lõppkasutajatele piisavat valikuvõimalust ning trahvis ettevõtet 200 miljoni euroga. Sarnase kriitilise hinnangu andis ka EAKN oma 2024. aprilli arvamuses, kus järeldas, et enamikul juhtudel ei ole suurtel digiplatvormidel võimalik kehtiva nõusoleku nõudeid täita, kui nad seavad kasutajad vaid kahe valiku ette: kas nõustuda isikuandmete töötlemisega käitumispõhise reklaami eesmärgil või maksta tasu.
Piisava valikuvõimaluse andmine on ettevõtetele kohustuslik nii IKÜM-i kui ka DMA kontekstis. Sarnased otsused näitavad, et lõppkokkuvõttes seistakse kahes asutuses sarnaste eesmärkide eest, kuid kasutades erinevaid õigusinstrumente.
Need ühised suunised rajavad teed ka teistele koostööprojektidele andmekaitseasutuste ja komisjoni vahel tänapäeva õigusmaastikul, kus õigusvaldkonnad kattuvad aina tihemini. Andmekaitsenõukogu ja komisjon on hetkel välja töötamas ka ühiseid tehisintellekti määruse ja andmekaitseõiguse koosmõju suuniseid.
- Kommenteerimiseks logi sisse või registreeru