Käesolevalt lehelt on võimalik leida ülevaatlikud kokkuvõtted Komisjoni ettepanekute kohta. Komisjoni ettepaneku ning AKI arvamuse täistekstide lingid on kättesaadavad ajakava lehelt.
IKÜM-i osas teeb Komisjon muuhulgas järgmised ettepanekud
Ettepanekuga soovitakse lisada isikuandmete mõistele juurde, et füüsilise isikuga seotud teave ei ole tingimata isikuandmed iga teise isiku või üksuse jaoks ainuüksi seetõttu, et teine üksus saab selle füüsilise isiku tuvastada. Teave ei ole antud üksuse jaoks isiklik, kui see üksus ei suuda tuvastada füüsilist isikut, kellega teave on seotud, võttes arvesse vahendeid, mida see üksus mõistlikult tõenäoliselt kasutab. Selline teave ei muutu selle üksuse jaoks isiklikuks ainuüksi seetõttu, et potentsiaalsel järgmisel saajal on vahendid, mida mõistlikult tõenäoliselt saab kasutada selle füüsilise isiku tuvastamiseks, kellega teave on seotud.
Ettepanek lisab IKÜM-i uue artikli, mille kohaselt võib Komisjon vastu võtta rakendusakte, et täpsustada vahendeid ja kriteeriume, mille alusel teha kindlaks, kas pseudonüümimise teel saadud andmed ei ole enam teatud üksuste jaoks isikuandmed.
Ettepanek täiendab eriliigiliste isikuandmete töötlemise erandeid IKÜM artikli 9 punktiga k, mille kohaselt on andmetöötlejal õigus töödelda eriliiki isikuandmeid, kui andmetöötleja tegeleb tehisintellekti süsteemi või mudeli arendamise või toimimisega. Ettepanek täpsustab hiljem IKÜM artikli 9 uues lõikes 5, et isikuandmete eriliikide kogumise ja muul viisil töötlemise vältimiseks rakendatakse asjakohaseid korralduslikke ja tehnilisi meetmeid. Kui vastutav töötleja tuvastab vaatamata selliste meetmete rakendamisele treenimiseks, testimiseks või valideerimiseks kasutatavates andmekogumites või tehisintellekti süsteemis või mudelis isikuandmete eriliikidesse kuuluvaid andmeid, eemaldab vastutav töötleja need andmed.
Ettepanek sisaldab uut eriliiki isikuandmete töötlemise erandit artikli 9 lõike 2 punktis l. Punkti l kohaselt on eriliiki isikuandmete töötlemine lubatud, kui biomeetriliste andmete töötlemine on vajalik andmesubjekti isikusamasuse kinnitamiseks (kontrollimine), kusjuures biomeetrilised andmed või kontrollimiseks vajalikud vahendid on andmesubjekti ainukontrolli all.
Digitaalse omnibusi ettepanekus on IKÜM artikkel 12 lõiget 5 täiendatud ning välja on pakutud, et artiklite 13 ja 14 kohaselt esitatav teave ning artiklite 15–22 ja 34 alusel tehtavad teated ja võetud meetmed esitatakse tasuta. Kui andmesubjekti taotlused on ilmselgelt alusetud või ülemäärased, eelkõige nende korduva iseloomu tõttu või ka artikli 15 alusel esitatud taotluste puhul seetõttu, et andmesubjekt kuritarvitab käesoleva määrusega antud õigusi muul eesmärgil kui oma andmete kaitse, võib vastutav töötleja kas:
(a) nõuda mõistlikku tasu, võttes arvesse teabe või teate edastamise või taotletud toimingu tegemise halduskulusid; või
(b) keelduda taotluse alusel tegutsemast.
Vastutav töötleja kannab kohustust tõendada, et taotlus on ilmselgelt alusetu või et on mõistlik alus arvata, et see on ülemäärane
Ettepanekuga täpsustatakse IKÜM artikli 13 lõike 4 teksti. Ettepaneku eesmärk on muuta erandit, mis lubab andmetöötlejatel mitte anda andmesubjektidele teavet juhul, kui isikuandmeid kogutakse otse andmesubjektilt. Kuigi kehtiv määrus loob artikli 13 kohase läbipaistvuskohustuse erandi juhuks, kui andmesubjektil on kogu teave juba olemas, soovitab ettepanek teha teabe esitamisest erandi juhul, kui vastutav töötleja mõistlikult eeldab, et andmesubjektil on juba teatav teave olemas (näiteks vastutava töötleja identiteet ning töötlemise eesmärk ja õiguslik alus). See täiendav erand kehtiks teatud tingimustel:
i) isikuandmed on kogutud andmesubjektide ja vastutava töötleja vahelise selge ja piiritletud suhte kontekstis ning
ii) vastutav töötleja tegutseb viisil, mis ei ole andmemahukas.
IKÜM artikkel 13 lõige 4 erand kehtib vaid juhul, kui ei kohaldu ükski välistustest. Näiteks on üheks välistuseks, et andmeid ei tohi edastada teistele vastuvõtjatele, seega näiteks raamatupidamisteenuse osutajale, makseteenuse osutajale, veebiserveri teenusepakkujale, emailiteenuse pakkujale jms, kes on vastuvõtjateks IKÜM artikkel 4 punkti 9 alusel. Välistuseks on ka andmete edastamine kolmandasse riiki.
Peamine muudatus seoses rikkumisteadetega sisaldub artikli 33 lõikes 1 (allajoonitud tekst), mille kohaselt teavitab vastutav töötleja isikuandmetega seotud rikkumise korral, mis tõenäoliselt kujutab endast suurt ohtu füüsiliste isikute õigustele ja vabadustele põhjendamatu viivituseta ja võimaluse korral hiljemalt 96 tunni jooksul pärast rikkumisest teadasaamist direktiivi (EL) 2022/2555 artikli 23a kohaselt loodud ühtse teavituspunkti (single entry point) kaudu artiklite 55 ja 56 kohaselt pädevat järelevalveasutust.
Digitaalse omnibusi ettepanek lisab IKÜM-i artiklile 33 lõike 6, mille kohaselt koostab ja edastab Euroopa Andmekaitsenõukogu (EAKN) Komisjonile ettepaneku ühtse vormi kohta, mille alusel teavitatakse lõikes 1 osutatud pädevat järelevalveasutust isikuandmetega seotud rikkumisest, ning loetelu asjaolude kohta, millal isikuandmetega seotud rikkumine võib tõenäoliselt kujutada endast suurt ohtu füüsilise isiku õigustele ja vabadustele.
Ettepaneku kohaselt koostab ja edastab EAKN Komisjonile ettepaneku loetelu kohta töötlemistoimingute liikidest mille suhtes kohaldatakse või ei kohaldata andmekaitsealase mõjuhinnangu nõuet. Lisaks koostab ja edastab EAKN Komisjonile ettepaneku mõjuhinnangu tegemise ühise vormi ja metoodika kohta.
Euroopa Komisjon pakub ettepanekus teadusuuringu mõisteks IKÜM artikli 4 punktis 38 järgmise: „Teadusuuring” – igasugune uurimistöö, mis võib toetada ka innovatsiooni, näiteks tehnoloogiaarendus ja demonstratsioon. Need tegevused peavad panustama olemasolevatesse teaduslikesse teadmistesse või rakendama olemasolevaid teadmisi uudsel viisil, neid tuleb läbi viia eesmärgiga aidata kaasa ühiskonna üldise teadmise ja heaolu kasvule ning need peavad järgima asjakohase uurimisvaldkonna eetikanorme. See ei välista, et uurimistöö eesmärk võib olla ka ärihuvide edendamine.
Seoses eesmärgipärasusega on digitaalses omnibusis ettepanek muuta IKÜM artikli 5 lõike 1 punkti b järgmiselt: [andmeid] kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda edasi viisil, mis on nende eesmärkidega vastuolus; edasist töötlemist avalikes huvides arhiveerimise eesmärgil, teadus- või ajaloouuringute eesmärgil või statistilisel eesmärgil loetakse vastavalt artikli 89 lõikele 1 esialgsete eesmärkidega kooskõlas olevaks, olenemata käesoleva määruse artikli 6 lõike 4 tingimustest („eesmärgi piirang”).
Ettepaneku selgituses ja põhjenduses 32 on öeldud, et kui liidu ega liikmesriigi õigusega ei ole vastuolus, siis on teadusuuringu eesmärgil isikuandmete töötlemise õiguslikuks aluseks õigustatud huvi.
Digitaalne omnibus paneb kokku praegused artikli 22 lõiked 1 ja 2 ning uus sõnastus oleks järgmine: “Otsus, millel on andmesubjektile õiguslikud tagajärjed või mis teda sarnasel viisil oluliselt mõjutab, võib põhineda üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil, ainult juhul, kui see otsus...”
Lisaks muudetakse IKÜM artikli 22 lõike 2 punkti a (uue sõnastuse kohaselt artikli 22 lõike 1 punkti a) ja lisatakse allajoonitud tekst: on vajalik andmesubjekti ja andmetöötleja vahelise lepingu sõlmimiseks või täitmiseks, olenemata sellest, kas otsuse saaks teha muul viisil kui üksnes automatiseeritud vahenditega.
Muudatuse kohta on ettepaneku põhjenduspunktis 38 selgitatud järgmiselt: “See tähendab, et asjaolu, et otsuse võiks langetada ka inimene, ei takista vastutaval töötlejal langetamast otsust üksnes automatiseeritud töötlemise teel. Kui eksisteerib mitu võrdselt tõhusat automatiseeritud töötlemise lahendust, peaks vastutav töötleja kasutama vähem koormavat.”
Digitaalse omnibussi ettepanekuga soovitakse lisada IKÜM-i uus artikkel 88a, mis on alljärgneva sõnastusega:
(1) Isikuandmete salvestamine füüsilise isiku lõppseadmesse või juba salvestatud isikuandmetele juurdepääsu saamine on lubatud ainult juhul, kui see isik on andnud oma nõusoleku vastavalt käesolevale määrusele.
(2) Lõige 1 ei välista isikuandmete salvestamist füüsilise isiku lõppseadmesse või juba salvestatud isikuandmetele juurdepääsu saamist liidu või liikmesriigi õiguse alusel artikli 6 tähenduses ja tingimustel, et kaitsta artikli 23 lõikes 1 osutatud eesmärke.
(3) Isikuandmete salvestamine füüsilise isiku lõppseadmesse või juba salvestatud isikuandmetele juurdepääsu saamine ilma nõusolekuta ja hilisem töötlemine on seaduslik ulatuses, mis on vajalik järgmistel eesmärkidel:
(a) elektroonilise side edastamine elektroonilise side võrgu kaudu;
(b) andmesubjekti poolt sõnaselgelt taotletud teenuse osutamine;
(c) koondandmete loomine võrguteenuse kasutamise kohta, et mõõta sellise teenuse sihtrühma, kui seda teeb kõnealuse võrguteenuse vastutav töötleja üksnes enda tarbeks;
(d) vastutava töötleja pakutava ja andmesubjekti poolt taotletud teenuse või sellise teenuse osutamiseks kasutatava lõppseadme turvalisuse säilitamine või taastamine.
(4) Kui isikuandmete salvestamine või juba salvestatud isikuandmetele juurdepääsu saamine füüsilise isiku lõppseadmes põhineb nõusolekul, kohaldatakse järgmist:
(a) andmesubjektil peab olema võimalik keelduda nõusolekutaotlustest lihtsal ja arusaadaval viisil ühe klõpsuga nupu või samaväärse vahendi abil;
(b) kui andmesubjekt annab nõusoleku, ei tohi vastutav töötleja esitada uut nõusolekutaotlust samal eesmärgil ajavahemikul, mil vastutav töötleja saab seaduslikult tugineda andmesubjekti nõusolekule;
(c) kui andmesubjekt keeldub nõusoleku taotlusest, ei tohi vastutav töötleja esitada uut nõusoleku taotlust samal eesmärgil vähemalt kuue kuu jooksul. Käesolevat lõiku kohaldatakse ka isikuandmete hilisemale töötlemisele nõusoleku alusel.
Artikkel 88b loob raamistiku, mille kaudu andmesubjekt saab väljendada oma nõusolekut või keelduda sellest automatiseeritud ja masinloetava vahendi kaudu, näiteks brauseri tasandil.
Selle eesmärk on vähendada korduvaid nõusoleku taotlusi (nn cookie-fatigue) ja tugevdada andmesubjekti kontrolli oma andmete üle. Andmetöötlejad peavad austama andmesubjekti antud valikuid ning Euroopa Komisjoni ülesanne on tagada standardite loomine masinloetavate signaalide tõlgendamiseks.
Digitaalse omnibussi ettepanek lisab IKÜM-i artikli 88c. Artikli 88c kohaselt kui isikuandmete töötlemine on vajalik vastutava töötleja huvides tehisintellekti määruse artikli 3 punktis 1 määratletud tehisintellekti süsteemi või tehisintellekti mudeli arendamise ja käitamise kontekstis, võib sellist töötlemist teostada õigustatud huvides IKÜM artikli 6 lõike 1 punkti f tähenduses, kui see on asjakohane, välja arvatud juhul, kui muud liidu või siseriiklikud õigusaktid nõuavad sõnaselgelt nõusolekut ja kui andmesubjekti huvid või põhiõigused ja -vabadused, mis nõuavad isikuandmete kaitset, on selliste huvide suhtes ülimuslikud, eelkõige juhul, kui andmesubjekt on laps.
Sellise töötlemise suhtes kohaldatakse asjakohaseid korralduslikke, tehnilisi meetmeid ja kaitsemeetmeid andmesubjekti õiguste ja vabaduste jaoks, näiteks andmete minimeerimise põhimõtte järgimise tagamiseks allikate valiku etapis ning tehisintellekti või -süsteemi või -mudeli koolitamisel ja testimisel, et kaitsta tehisintellekti süsteemis või -mudelis säilitatud jääkandmete avalikustamata jätmise eest, et tagada andmesubjektidele suurem läbipaistvus ja anda andmesubjektidele tingimusteta õigus oma isikuandmete töötlemisele vastuväiteid esitada.
Andmemääruse osas, mis puudutab isikuandmeid, teeb Komisjon järgmised ettepanekud
Digital omnibussi ettepaneku kohaselt lisatakse ärisaladuste kaitsmiseks juurde lisaalus andmete väljastamisest keeldumiseks, kui andmevaldaja tõendab, et on olemas suur risk, et ärisaladus võib jõuda kolmandate riikidega seotud üksusteni, kus ärisaladuse kaitse ei ole piisav.
Digitaalse omnibusi ettepaneku kohaselt lisatakse määrusesse artikkel 15a, millega eemaldatakse andmevaldajate kohustus väljastada andmeid avalikule sektorile erakorralise vajaduse tõttu ja andmete väljastamise kohustus kehtib üksnes hädaolukorras või vahetult pärast hädaolukorda olukorra leevendamiseks või taastumise toetamiseks. Ettepaneku kohaselt on avaliku sektori asutusel õigus esitada andmevaldajale taotlus eelkõige isikustamata andmete väljastamiseks. Andmemäärusele lisatava art 15a lõike 2 kohaselt peaks isikuandmete väljastamine toimuma olukorras, kus isikustamata andmed ei ole hädaolukorraga tegelemiseks piisavad ja kus võimalik, pseudonüümitakse isikuandmed enne väljastamist.
Digitaalse omnibusi ettepanekus sisalduv peatükk VIIa “Andmevahendusteenused ja andmealtruismi organisatsioonid” jätab lisatavas artikli 32 lõikes 2 edaspidi andmevahendusteenuse osutajatele teatise esitamise vabatahtlikuks. Digital omnibusi põhjenduspunktis 8 on selgitatud, et turu praeguses arenguetapis näib olevat piisav vabatahtlik kord, mis võimaldab neutraalsetel osalejatel teistest osalejatest eristada. Jätkusuutlike ärimudelite võimaldamiseks tuleks korda muuta vähem rangeks, kaotades andmevahendusteenuste ja muude lisaväärtusteenuste õigusliku eraldamise nõude, mida teenusel peaks olema lubatud pakkuda, asendades selle funktsioonipõhise eraldamisega, säilitades samal ajal teatavad kaitsemeetmed.
Andmemäärusesse soovitakse lisada artikkel 32c punkt c, mille kohaselt võivad andmevahendusteenuse osutajad pakkuda lisateenuseid, näiteks andmete säilitamine, hooldamine, teisendamine, krüpteerimine, anonüümimine ja pseudonüümimine. Seda võib teha ainult andmevaldaja või andmesubjekti selgesõnalisel taotlusel või nõusolekul.
Andmemääruse ettepaneku kohaselt on andmemääruse eesmärk ühildada avaandmete direktiiv 2019/1024 ja andmehalduse määrus 2022/868.
Artikli 32w lõiked 3 ja 4 sätestavad konkreetsed viisid, kuidas isikuandmeid saab avaandmeteks anda. Eelkõige näevad sätted ette võimaluse isikuandmete anonüümimiseks või muul viisil ettevalmistamiseks; samuti võib kehtestada kohustuse töödelda andmeid üksnes turvalises töötlemiskeskkonnas või füüsilises ruumis. Lisaks võib taaskasutajale määrata konfidentsiaalsuskohustuse.
Tehisintellekti omnibusi osas teeb Komisjon järgmised ettepanekud
Tehisintellekti omnibusi ettepanekuga lisatakse tehisintellekti määrusesse artikli 4a kujul õiguslik alus isikuandmete eriliikide töötlemiseks kõigi tehisintellektisüsteemide ja -mudelite pakkujate ja juurutajate poolt, kui see on vajalik kallutatuse avastamiseks ja kõrvaldamiseks, tingimusel et kohaldatakse asjakohaseid kaitsemeetmeid. Tehisintellekti omnibusi põhjenduspunkti 6 kohaselt kehtestatakse see alus kooskõlas IKÜM artikli 9 lõike 2 punktiga g.
Kehtiva tehisintellekti määruse artikkel 49 lõike 2 kohaselt registreerib pakkuja või kohaldataval juhul volitatud esindaja enne sellise suure riskiga tehisintellektisüsteemi turule laskmist või kasutusele võtmist, mille kohta pakkuja on vastavalt artikli 6 lõikele 3 teinud otsuse, et tegemist ei ole suure riskiga süsteemiga, selle süsteemi artiklis 71 osutatud EL-i andmebaasis. See nõue kavatsetakse tehisintellekti omnibusi eelnõu punkti 14 kohaselt kaotada, seega edaspidi jääb tehisintellekti määruse artikkel 6 lõike 3 kohane hindamine ja dokumenteerimiskohustus pakkuja vastutada (nii nagu see seni on olnudki), kuid muudatuse kohaselt ei pea pakkuja enam sellisest süsteemist teada andma.
Kehtiv tehisintellekti määrus seab liikmesriikide pädevatele asutustele kohustuse luua riiklikul tasandil vähemalt üks tehisintellekti regulatiivliivakast. Ettepanekuga sätestatakse Euroopa tehisintellektiametile (tehisintellektiamet) võimalus luua selline regulatiivliivakast ka liidu tasandil.
Tehisintellekti omnibusi raames täpsustatakse tehisintellekti määruse artiklit 75, millega tugevdatakse tehisintellektiameti rolli üldotstarbeliste tehisintellektisüsteemide järelevalves ja koordineerimises. Artikli eesmärk on tagada üldotstarbeliste tehisintellektisüsteemide ühtne käsitlus liidu tasandil ning vältida killustunud järelevalvet, arvestades nende süsteemide laia kasutusulatust ja piiriülest mõju. Tehisintellektiametile antakse pädevus koguda ja hinnata teavet üldotstarbeliste tehisintellektisüsteemide kohta, toetada liikmesriikide järelevalveasutusi ning teha koostööd Euroopa tasandi struktuuridega, et tagada määruse järjepidev kohaldamine.
Põhiõigusi kaitsvatel asutustel on kehtiva tehisintellekti määruse artikli 77 alusel volitus dokumentatsiooni küsimiseks otse tehisintellektisüsteemide juurutajatelt ja pakkujatelt. Ettepaneku järgi peaksid põhiõigusi kaitsvad asutused vastavat dokumentatsiooni hakkama taotlema turujärelevalveasutuste kaudu.
Last updated: 12.01.2026