Euroopa Liidu õigusruum on viimastel aastatel kiiresti kujunenud ühtseks ja mitmekihiliseks andmemajanduse raamistikuks. Kui isikuandmete kaitse üldmääruse (edaspidi IKÜM) rakendumine 2018. aastal tähistas murrangut andmekaitseõiguses, siis praeguseks on sellele lisandunud mitu uut õigusakti, mille eesmärk on kõikide digitaalsete andmete kasutamist ja haldamist reguleerida.
Selle artikli keskmeks on uutest õigusaktidest andmemäärus (Data Act, edaspidi DA) ja andmehalduse määrus (Data Governance Act, edaspidi DGA). Mõlemad õigusaktid mõjutavad ettevõtjate andmekäitlust ning loovad uusi kohustusi ja võimalusi, mis omakorda peavad olema kooskõlas isikuandmete kaitse üldpõhimõtetega. IKÜM on samal ajal oluliseks alusraamistikuks, millega uued õigusaktid horisontaalselt suhestuvad.
1 Andmemäärus: õiglase andmete jagamise raamistik. Andmemääruse peamine eesmärk on tagada õiglane juurdepääs andmetele ja nende jagamine digitaalses majanduses olukordades, kus andmed tekivad ühendatud seadmete või seotud teenuste kasutamisel. Määrus loob raamistiku, mis võimaldab andmesubjektidel (andmemääruse mõistes ka kui tarbija) kontrollida oma andmete kasutamist ja jagamist ning määrab andmevaldajatele selged kohustused andmete turvaliseks ja õiguspäraseks haldamiseks. Samuti toetab andmemäärus innovatsiooni ja konkurentsi, luues kindla ja läbipaistva aluse andmete jagamiseks kolmandate isikutega tarbija taotlusel. Määrus reguleerib lisaks (isiku)andmete jagamist avaliku sektori asutustega erakorralise vajaduse korral.
1.1 Kasutaja õigus ühendatud toote kasutamisel loodud andmetele. IKÜM reguleerib andmesubjekti juurdepääsu oma isikuandmetele. Andmemäärus reguleerib juurdepääsu ühendatud toodete kasutamisel loodud andmetele laiemalt, andes kasutajale võimaluse ligi pääseda ka isikustamata andmetele, mis on loodud kasutajaga seotud ühendatud toote või seotud teenuse kasutamisel. Selline juurdepääs andmetele peab kasutajal olema reaalajas või taotluse alusel masinloetaval kujul.
Ettevõtted peavad oma läbipaistvustingimustes juba enne ühendatud toote müüki või teenuselepingu sõlmimist selgelt teatama, milliseid andmeid on võimalik taotleda, et tagada kasutajale teadlik ligipääs oma andmetele.
Kasutajaks ei ole alati vaid tarbija. Näiteks võib tarbija kasutada ühendatud toodet rendilepingu alusel, kuid ühendatud toode ei kuulu talle. Sellisel juhul on kasutajaks nii tarbija kui ka toote omanik. Mõlemal kasutajal on õigus ühendatud toote kasutamise käigus tekkinud (isiku)andmetele.
1.2 Andmesubjekti õigus andmete jagamisele kolmandatele isikutele. Andmemääruse üks keskseid uuendusi on tarbija õigus nõuda oma andmete jagamist kolmandale isikule. Tarbija võib määrata, milliseid andmeid jagatakse ja kellele, ning andmevaldajal on kohustus need andmed kättesaadavaks teha. Selline jagamine kolmandale isikule toimub IKÜM-i mõistes nõusoleku alusel, kuna oluliseks faktoriks on tarbija taotlus andmete jagamiseks.
Jagatavad andmed peavad olema samaväärsed nendega, mida andmevaldaja jagaks otse tarbijale. Andmevaldaja saab andmed kolmandale isikule kättesaadavaks teha näiteks andmehalduse määruses reguleeritud turvalise andmevahendusplatvormi kaudu.
1.3 Avaliku sektori vajadused ja erakorralised olukorrad. Andmemäärus sätestab ka kohustuse jagada andmeid avaliku sektori asutustega vastava taotluse alusel erakorralise vajaduse korral, kui andmeid ei ole võimalik muul viisil õigel ajal ja tulemuslikult hankida. Määruse kohaselt peab selline erakorraline vajadus olema ajaliselt ja ulatuselt piiratud. Juhul, kui tegemist on eriolukorraga, on avaliku sektori asutusel õigus taotleda isikustatud andmeid. Ettevõtted peavad tagama, et selliste olukordade korral oleks loodud selged protsessid, mis võimaldavad isikuandmete turvalist ja kontrollitud edastamist, sealhulgas tehnilised ja korralduslikud meetmed, et tagada andmete terviklikkus, konfidentsiaalsus ja jälgitavus. Võimaluse korral tuleb isikuandmete edastamisel kohaldada kaitsemeetmeid, näiteks andmed pseudonüümida.
2 Andmehalduse määrus: usalduse ja läbipaistvuse raamistik. Andmehalduse määrus täiendab andmemäärust, luues mehhanismid andmete jagamise usaldusväärsuse suurendamiseks. Määrus reguleerib ettevõtjate poolelt andmete vahendajaid ja andmealtruismi organisatsioone ning avaliku sektori poolelt võimalust anda juurdepääsupiiranguga andmeid taaskasutamiseks.
2.1 Andmevahendusteenuse osutajad ning andmealtruismi organisatsioonid. Andmevahendusteenuse osutajad tegutsevad sõltumatute vahendajatena, kelle ülesanne on luua ettevõtjatele ja üksikisikutele usaldusväärsed ning turvalised andmete jagamise mehhanismid. Andmealtruismi organisatsioonid võimaldavad seevastu isikuandmete loovutamist näiteks nõusoleku alusel, eeskätt teadusuuringuteks, innovatsiooniks või avalike teenuste arendamiseks. Nõusoleku standardvormi kehtestab Euroopa Komisjon.
Isikuandmete kontekstis tähendab see, et andmete vahendamine ega altruistlik kasutamine ei tohi toimuda väljaspool IKÜM-i raamistikku ning isikuandmete töötlemisel peab andmetöötleja olema veendunud õigusliku aluse olemasolus.
2.2 Avaliku sektori juurdepääsupiiranguga andmete taaskasutamine. Andmehalduse määruse avaliku sektori andmete taaskasutamise regulatsioon kujutab endast sisulist täiendust avaandmete direktiivile. Kui avaandmete direktiivi eesmärk on tagada, et avaliku sektori valduses olevad juurdepääsupiiranguta andmed oleksid ühiskonnale võimalikult laialdaselt kättesaadavad, siis andmehalduse määrus laiendab seda lähenemist valdkondadesse, kus andmete täielik avalikustamine ei ole lubatud ärisaladuse, intellektuaalomandi kaitse, statistilise konfidentsiaalsuse või isikuandmete kaitse tõttu.
Andmehalduse määrus reguleerib piiratud juurdepääsuga andmestike kasutamise võimalust juhul, kui avaliku sektori asutus on selle andmestiku taaskasutamise tingimused ette näinud. Taaskasutaja võib taotleda, et avaliku sektori asutus annaks andmed taaskasutamiseks pseudonüümitud kujul, kui taaskasutaja on teinud IKÜM-i kohase mõjuhinnangu, konsulteerinud inspektsiooniga ning isikuandmete töötlemiseks on olemas õiguslik alus.
3 Pilk tulevikku. Digitaalsete õigusaktide rägastikus orienteerumine nõuab ettevõtjatelt olulist ressurssi. Selle lihtsustamiseks avaldas Euroopa Komisjon 19. novembril 2025 digitaalsete õigusaktide lihtsustamise ettepaneku, mis pakub välja muudatused muu hulgas andmemääruse, andmehalduse määruse ja isikuandmete kaitse üldmääruse muutmiseks.
1 Alates 2019. aastast on lisandunud üle 100 digitaalsete andmete käsitlemist reguleeriva õigusakti. Andmemäärus, andmehalduse määrus ja digiteenuste määrus on omavahel tihedalt seotud.
2 Pseudonüümimise kohta on Euroopa Kohus 04.09.2025 öelnud lahendis SRB vs EDPS, kui saaja ei oma ligipääsu lisateabele ega tehnilisi ega õiguslikke võimalusi isikuid taasidentifitseerida, võib pseudonüümne teave tema jaoks muutuda selliseks, et andmesubjekti ei peeta enam identifitseeritavaks (st tegemist oleks anonüümsete andmetega).
- Kommenteerimiseks logi sisse või registreeru