Teodora Tochkova
Bulgaaria Kõrgeima Justiitsnõukogu inspektsiooni peainspektor

 

I Õigusraamistik – rakendamine, põhimõtted

Kohtuvõimu eripära tõttu kehtib sellele isikuandmete töötlemisel õiguslik erikord. Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruses (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (edaspidi: määrus) sätestatakse järjepidevalt põhimõte, et üldjärelevalveasutuste pädevust järelevalve korraldamisel isikuandmete kaitse toimingute üle piiratakse, kui see on seotud kohtute õigust mõistva funktsiooni täitmisega. Selline põhimõte sätestatakse sõnaselgelt määruse artikli 55 lõikes 3, mille alusel ei ole järelevalveasutused pädevad korraldama järelevalvet nende isikuandmete töötlemise toimingute üle, mida kohtud teevad oma õigust mõistvat funktsiooni täites.

Selline seisukoht on võetud ka Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiivi (EL) 2016/680 (mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK; edaspidi: direktiiv) artikli 45 lõikes 2, millega sätestatakse, et neid järelevalvetoiminguid võib teha muu kohtusüsteemi kuuluv sõltumatu asutus. Säte põhineb Euroopa seadusandja määruse (EL) 2016/679 põhjendusel 20 ja direktiivi (EL) 2016/680 põhjendusel 80 ning teenib vajadust tagada kohtusüsteemi sõltumatus õigust mõistva funktsiooni täitmisel, sealhulgas otsuste langetamisel.

Bulgaaria Vabariigis kehtiva isikuandmete töötlemise järelevalve alase õigusraamistiku kooskõlla viimiseks uute määruses ja direktiivis sätestatud õigusnormidega võttis Bulgaaria parlament vastu isikuandmete kaitse seaduse (edaspidi: ZZLD[1]) muudatused. See on Bulgaaria Vabariigi põhiline õigusakt, millega sätestatakse üksikisikute õiguste kaitse avalik kord isikuandmete töötlemisel. Muudatused kinnitati riigi õigusaktide vastuvõtmiseks sätestatud korra alusel 26. veebruaril 2019 ning need jõustusid 2. märtsil 2019.

Muudatuste kohaselt anti Kõrgeima Justiitsnõukogu Inspektsioonile volitused teha järelevalvet üksikisikute õiguste kaitsmise üle isikuandmete töötlemisel õigust mõistva funktsiooni täitmisel kohtutes, prokuratuuris ja uurimisasutustes, kui isikuandmeid töödeldakse kuritegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või karistuste täitmisele pööramise eesmärgil, sealhulgas kaitseks avaliku korra ja julgeoleku ohustamise eest ja ohu ennetamiseks.

Siinkohal tuleb selgitada Bulgaaria Vabariigi prokuratuuri positsiooni. Tuleb arvesse võtta, et Bulgaaria põhiseaduse alusel on see osa kohtusüsteemist. Prokuratuur teeb üldist järelevalvet õiguspärasuse üle, juhtides uurimisi ja jälgides, et neid korraldataks õiguspäraselt, tuues kohtu ette kuritegusid sooritanud isikud ja korraldades süüdistamist kriminaalasjades üldiselt. Andmesubjektide isikuandmete töötlemise õiguste kaitse seisukohast on Bulgaaria Vabariigi prokuratuur kohtusüsteemi sõltumatu õigusasutus direktiivi (EL) 2016/680 põhjenduse 80 mõttes ning seega sätestatakse Bulgaaria isikuandmete kaitse seaduse artiklis 17 sõnaselgelt, et Kõrgeima Justiitsnõukogu Inspektsioonil on pädevus teha prokuratuuris järelevalvet isikuandmete töötlemise üle.

Lisaks tuleb selgitada veel üht väga tähtsat asjaolu. Bulgaaria Vabariigi prokuratuuri ametlik pädevus on asutuse olemuse tõttu piiratud ainult kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või karistuste täitmisele pööramisega ning seega kuulub nende volituste kasutamise käigus isikuandmete töötlemine isikuandmete kaitse seaduse materiaalsesse kohaldamisalasse, eriti sätted, millega on üle võetud direktiiv (EL) 2016/680.

Riigi üldkohtute olukord on teistsugune, kuna nende funktsioon on seotud õigusemõistmisega nii kriminaal- kui ka tsiviilasjades kõige üldisemas mõttes. Seetõttu tuleb nende kohtute puhul alati arvesse võtta, millist pädevust õigusemõistmisel isikuandmete töötlemiseks rakendatakse, sest just see määrab, milline õigus toimingule kohaldub. Kui kohus töötleb isikuandmeid kriminaalmenetluse eesmärgil, kehtib ZZLD, ning kui õigusemõistmine on seotud tsiviilasjadega kõige üldisemas mõttes, kehtivad määrus (EL) 2016/679 ja ZZLD.

Kõrgeima Justiitsnõukogu Inspektsioon on sõltumatu kontrollorgan, mis kuulub kohtusüsteemi. See asutati Bulgaaria Vabariigi põhiseaduse neljanda muudatusega aastal 2007 (Bulgaaria Vabariigi Riigi Teataja (SG) nr 12/2007). Inspektsioon koosneb peainspektorist ja kümnest inspektorist, kelle Bulgaaria parlament valib koosseisu kahekolmandikulise häälteenamusega vastavalt viieks (peainspektor) ja neljaks (inspektorid) aastaks. Peainspektoriks ja inspektoriteks saab valida pika õigusalase kogemusega isikuid, kellel on peainspektoriks saamiseks vähemalt kümme aastat erialast kogemust kohtuniku, prokuröri või uurijana piirkonna- või kõrgema tasandi õigusasutuses või inspektoriks saamiseks vähemalt viis aastat erialast kohtu-, prokuratuuri- või uurimiskogemust piirkonna- või kõrgema tasandi kohtuasutuses. Inspektsiooni volitused on sätestatud Bulgaaria Vabariigi põhiseaduses ning neid on pikemalt selgitatud kohtute seaduses. Inspektsiooni põhiline eesmärk, milleks see 2007. aastal asutati, on kontrollida õigussüsteemi tegevust, rikkumata kohtunike, vandekohtu, prokuröride ja uurijate sõltumatust nende funktsioonide täitmisel. Inspektsioon kasutab oma volitusi, korraldades kehtestatud tingimustel kohtute, prokuratuuri ja uurimisasutuste haldustegevuse korralduse ning juhtumite ja dokumentide avamise, liikumise ja sulgemise kohta ülevaatusi.

Aastal 2012 usaldati inspektsioonile pädevus teha otsuseid Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artikli 6 lõike 1 rikkumise kohta õigusasutuste vastu esitatud hilinenud õigusemõistmise kaebuste korral ning 2015. aastal anti Bulgaaria Vabariigi põhiseaduse viienda muudatusega (SG nr 100/2015) asutusele ülesanne kontrollida kohtunike, prokuröride ja uurijate ausust ja huvide konflikte, nende majanduslike huvide deklaratsioone ning sätestada tegevused, mis kahjustavad õigusasutuste head mainet või on seotud kohtunike, prokuröride ja uurijate sõltumatuse rikkumisega. Nagu eespool mainitud, kontrollib inspektsioon viimase, 2019. aasta märtsis tehtud seadusemuudatuse alusel andmesubjektide õiguste kaitsmist, kui kohtuasutused töötlevad nende isikuandmeid. Volitusi täidab inspektsioon omal algatusel või kodanike, juriidiliste isikute või riigiasutuste, sealhulgas kohtunike, prokuröride ja uurijate taotlusel.

Bulgaaria Vabariigi põhiseaduse artikli 132a lõike 6 alusel on peainspektor ja inspektorid oma funktsioonide täitmisel sõltumatud ning alluvad üksnes seadustele. Inspektsioon võtab põhiseaduse ja seadustega kooskõlas vastu oma töökorra, otsustab, milliseid asutusi oma aasta inspektsioonikavasse võtta, ja tal on sõltumatu eelarve, mille kinnitab kohtusüsteemi eelarve raames parlament. Bulgaaria parlamendi otsust anda inspektsioonile ülesandeks järelevalve Bulgaaria Vabariigi kohtusüsteemis isikuandmete töötlemise üle õigust mõistva funktsiooni täitmisel mõjutasid Kõrgeima Justiitsnõukogu Inspektsiooni staatuses, struktuuris ja funktsioonides määratletud põhiomadused: sõltumatus, autonoomia ja kohtusüsteemi kuulumine.

Menetluskord, mille järgi inspektsioon isikuandmete kaitse järelevalve volitusi teostab, on sätestatud isikuandmete kaitse seaduses ja neid on üksikasjalikult kirjeldatud Kõrgeima Justiitsnõukogu Inspektsiooni töökorralduse eeskirjas, mida loetakse põhimääruseks. Esialgse konsultatsiooni korraldamiseks kooskõlas määruse (EL) 2016/679 artikliga 36, inspektsiooni aastakavas ette nähtud inspektsioonide tegemiseks ja teate alusel isikuandmete kaitse eeskirja rikkumise kohta kohtuasutuses inspektsioonide korraldamiseks (teadeteks loetakse ka meediakajastust), andmesubjektide kaebuste menetlemiseks, kohtusüsteemi põhimõtete kohta arvamuse avaldamiseks, rahvusvahelise koostöö tegemiseks, haldusmeetmete võtmiseks ja karistuste määramiseks on sätestatud töökorrad.

Nimetatud toimingutest väärivad erilist tähelepanu andmesubjektide kaebustega tegelemine ja plaaniliste inspektsioonide korraldamine.

II Kõrgeima Justiitsnõukogu Inspektsiooni ülevaade 2019. ja 2020. aastal esitatud kaebustest. Inspektsioonid ja teadlikkuse suurendamine

Andmesubjektid võivad esitada kaebuse Kõrgeima Justiitsnõukogu Inspektsioonile (KJNI) juhul, kui kohtuasutus on nende määrusest (EL) 2016/679 või seadusest tulenevaid õigusi rikkunud isikuandmete töötlemisel kas kohtus õigust mõistvat funktsiooni täites või prokuratuuris ja uurimisasutustes, kui isikuandmeid töödeldakse kuritegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või karistuste täitmisele pööramise eesmärgil. Kaebuste ülevaatamise normid on sätestatud isikuandmete kaitse seaduses ja KJNI töökorralduse eeskirjas. Andmesubjektid võivad kaebusi esitada kuue kuu jooksul arvates rikkumisest teada saamisest, kuid mitte hiljem kui kaks aastat pärast rikkumist. Kaebused vaatab üle inspektsiooni inspektor, kes valitakse juhuslikult.

Kaebus vaadatakse üle kahes järgus: nõuetekohasuse ja vastuvõetavuse kontroll ning kaebuse sisu analüüs. Kui nõuetekohasuse ja vastuvõetavuse kontrolli käigus selgub, et kaebus ei vasta sätestatud nõuetele, näiteks on puudu kaebuse esitaja kolm nime[2], kordumatu isikukood ja aadress, kaebus ei ole allkirjastatud, ei ole esitatud andmeid isikuandmete vastutava töötleja kohta, puudub eeldatava rikkumise kirjeldus, sealhulgas koht ja ajavahemik, millal rikkumine toimus, andmete olemus ja tehtud toimingud või muud rikkumise asjaolud, saadetakse kaebuse esitajale teade, milles palutakse kaebuse puudused kõrvaldada. Kaebuse esitaja võib kaebust parandada seitsme päeva jooksul alates teate saamisest. Kui seda ei tehta, jäetakse kaebus läbi vaatamata ja sellele lisatakse analüüsiva inspektori arvamus, mida saab kohtus vaidlustada haldusprotsessi koodeksi alusel. Ka anonüümsed kaebused jäetakse läbi vaatamata. Kui kaebus vastab nõuetele ja on vastuvõetav, analüüsib määratud inspektor juhtumi sisu. Asjaolude kindlakstegemiseks võib inspektor nõuda inspekteeritavalt asutuselt mis tahes teavet, mis on juhtumi jaoks oluline, ning talle tuleb tagada juurdepääs kõigile valdustele, sealhulgas varustusele ja andmetöötlusvahenditele. Kaebuse esitajat teavitatakse kaebuse uurimise arengust või inspektsiooni tulemustest kolme kuu jooksul.

Bulgaaria seadusandja valis kaebuse asjaolude analüüsi lõpetava otsuse tegemiseks eristava lähenemise. Esimesel juhul, kui kaebus on alusetu, teeb asja uuriv inspektor otsuse. Teisel juhul, kui töötleja inspekteerimise käigus leitakse, et kaebus on õigustatud, esitab inspektor inspektsioonile ettepaneku teha juhtumi kohta otsus, milles sõltuvalt rikkumise olemusest ja ulatusest võib inspektsioon kasutada oma õigust võtta parandusmeetmeid, määrates töötlejale määrusest või ZZLD-st tuleneva mis tahes haldussunnimeetme, või anda juhtumi üle peainspektorile halduskaristuse määramiseks. Mõlemal juhul saab otsuse kohtus edasi kaevata 14 päeva jooksul arvates selle kättesaamisest. Sellisel lahendusel oli kaks põhjust: esiteks võtta arvesse inspektsiooni töökoormust teiste pädevuste rakendamisel ja teiseks tagada, et otsuseid kohtuasutusele karistusi määrata ja täitmisele pöörata ei tee üksikisikud, vaid terve organ koos, vältides sellega vastuolusid praktikas ja tagades, et sarnaseid juhtumeid käsitletakse võrdselt.

2019. ja 2020. aastal sai KJNI andmesubjektidelt 40 kaebust. Läbi vaadatud kaebuste inspekteerimine näitas, et andmesubjektide KJNI-le esitatud põhilised kaebused on peaaegu kõigil juhtudel seotud ühega kahest isikuandmete töötlustoimingust kohtuasutuses, täpsemalt kohtumenetluse käigus tõendite kogumisega või juhtumite kohta teabe avaldamise eri vormidega. Kohtuasjades tõendite kogumisega seoses olid kõige tavalisemad kaebused, et kohtud koguvad ja säilitavad seadusvastaselt tõenditena kirjalikke dokumente, mis sisaldavad isikuandmeid. Läbi vaadatud kaebustes, mis selliseid väiteid sisaldasid, ei leitud kohtus andmesubjektide isikuandmete töötlemisel nende kaitse reeglite rikkumist. Kaebuste inspekteerimine paljastas, et need on seotud eri olukordadega, mil kohtud kogusid kirjalikke tõendeid kohtuasjaga seotud asjaolude või üksikute menetlustoimingute lubatavuse kohta. Üle vaadati juhtumid, mille kaebused olid seotud kirjalike tõendite kogumisega, et teha kindlaks selle poole majanduslik seis, kes taotles juriidilist abi. Samuti vaadati üle need juhtumid, milles kaebused olid esitatud kohtu omaalgatusliku kirjalike tõendite vastuvõtmise peale, et teha kindlaks prokuröri sotsiaalne identiteet kriminaalmenetluse kohtuistungil, kus esitati taotlus tema taandamiseks. Inspektsioon leidis, et nendes dokumentides sisalduvaid isikuandmeid töödeldi üle vaadatud juhtumite korral õiguspäraselt, kuna kohtuasutused kogusid andmeid määruse (EL) 2016/679 artikli 6 lõike 1 punktide c ja d alusel ja kooskõlas riiklike seadustega, kui isikuandmete töötlemine oli vajalik kohtu volituste kasutamiseks kriminaalmenetluses.

Teine suur rühm väiteid üle vaadatud kaebustes oli seotud kohtutoimikutes sisalduvate isikuandmete avaldamisega. Nendele toimingutele tuleks erilist tähelepanu pöörata. Bulgaaria Vabariigi õiguses sätestatakse hulk olukordi, mille korral on kohtuasutus kohustatud kohtuasjade kohta teavet andma. Näiteks, Bulgaaria Vabariigi haldusprotsessi koodeksi artiklite 181 ja 188 alusel peab kohus avaldama kaebuse andmed, sh isikuandmed, kui üldhaldusakt või määrus halduskohtus vaidlustatakse. Bulgaaria Vabariigi kohtute seaduse artikli 64 lõikes 1 on sätestatud: „Kohtu toimingud, välja arvatud kriminaalasjade korral, kui süüdistatavale määratakse vanglakaristus, tuleb viivitamata avaldada kohe pärast nende kohta otsuse tegemist kohtu veebisaidil kooskõlas isikuandmete kaitse nõuete ja salastatud teabe kaitse seadusega.“ Need näited on ainult osa juhtumitest, mille korral on kohtud kohustatud kohtuasjadega seotud teavet avaldama, kuid näitavad selgelt, et sellised toimingud seavad andmesubjektide õigused suuremasse ohtu, sest toimingu tegemise tulemusel pääseb andmetele avalikult ligi. Selliste kaebuste menetlemisel leiti, et nende toimingute käigus rikuti kaht põhilist isikuandmete kaitsega seotud normi. Esiteks rikuti määruse (EL) 2016/679 artikli 5 lõike 1 punktis c ja isikuandmete kaitse seaduse artikli 45 lõike 1 punktis 3 sätestatut, millega nõutakse, et toimingu käigus tuleb kasutada ainult andmeid, mis on andmete töötlemise eesmärgiga seotud ja selle seisukohalt vajalikud.

Eriti tekitab kohtuasjade andmete avaldamise toimingutes probleeme asjaolu, et iga toimingu korral tuleb leida tasakaal avaldatavate andmete hulga ja nende avaldamise eesmärgi vahel, arvestades, et asjakohase eesmärgi täitmiseks liigsete andmete avaldamine seab andmesubjektide õigused ohtu. Järgmiseks, kohtuasjade teabe avaldamisega rikutakse määruse (EL) 2016/679 artikli 5 lõiget 2 ja isikuandmete kaitse seaduse artikli 45 lõike 1 punkti 6; vastutavatel töötlejatel on kohustus võtta nende kontrolli all töödeldavate isikuandmete kaitseks asjakohaseid tehnilisi ja korralduslikke meetmeid. Näiteks leiti inspektsioonile esitatud kaebuse menetlemisel, et kohtuametnike ülesannete ebaselge jaotus meediale pressiteadete saatmisel loob sobimatute andmekaitse korraldusmeetmete tõttu eelduse isikuandmete ebaseaduslikuks avaldamiseks.

Inspektsiooni ülesanne on suurendada vastutavate töötlejate teadlikkust neile määrusega antud kohustustest, kusjuures eriti oluline on nende järelevalvefunktsioon, sest Bulgaaria Vabariigi kohtud ja prokuratuur on isikuandmete töötlemisel vabastatud kohustusest määrata andmekaitseametnik. Vabastus anti määrusega selleks, et andmekaitseametnikud ei mõjutaks oma funktsiooni täitmise käigus kohtuvõimu sõltumatust õigust mõistva funktsiooni täitmisel. Andmete vastutavate töötlejatena tegutsemisel on abiks inimesed, kellel on erialased teadmised andmekaitseõigusest. Toimingud, mida tavaliselt teevad andmekaitseametnikud, on usaldatud järelevalveasutusele.

Selleks, et kasvatada õigussüsteemi teadlikkust määruse (EL) 2016/679 ja isikuandmete kaitse seadusega sätestatud kohustustest, pani KJNI 2020. aastal oma aastaprogrammi kakskümmend juhuslikult valitud piirkonnakohtute plaanilist inspektsiooni. Inspektsiooni eesmärk oli tuvastada, kas kohtud on määruse artikli 5 lõikes 2 sätestatud vastutuspõhimõttest teadlikud ja järgivad seda. Inspektsioonide tegemiseks on kaks põhjust. Esiteks on see uus põhimõte ning selle järgimisest on huvitatud kõik isikuandmete töötlemisega seotud pooled. Teine ja olulisem põhjus on seotud põhimõtte sisuga. Määruse (EL) 2016/679 artikli 5 lõike 2 alusel vastutab andmete vastutav töötleja andmekaitse aluspõhimõtete täitmise eest ja peab olema võimeline täitmist tõendama.

Seega taandub põhimõtte järgimine nende kahe kumulatiivse elemendi rakendamisele: 1) vastutav töötleja järgib ja rakendab praktikas kõiki isikuandmete töötlemise põhimõtteid, mis on sätestatud määruse artikli 5 lõikes 1 ja isikuandmete kaitse seaduse artikli 45 lõikes 1 (seaduslikkus, õiglus ja läbipaistvus, eesmärgi piirang, võimalikult väheste andmete kogumine, õigsus, säilitamise piirang, usaldusväärsus ja konfidentsiaalsus), võttes selleks asjakohaseid ja tõhusaid meetmeid ning vastutades töötlemise eest; 2) vastutav töötleja näitab üles ja tõestab oma käitumisega eespool nimetatud põhimõtete järgimist, koostades ja esitades oma töö kohta sobivaid tõendeid. Tegelikult kasutame vastutavate töötlejate kohustust dokumenteerida nende kontrolli all töödeldavate isikuandmete kaitse meetmeid selleks, et tuvastada, kas ja millises ulatuses suudavad kohtud tõestada, et nende meetmed on piisavad ja tõhusad, et tagada õigust mõistva tegevuse raames isikuandmete töötlemise vastavus määruses (EL) 2016/679 ja isikuandmete kaitse seaduses sätestatud põhimõtete ja kohustustega.

Inspekteerimise eesmärk on selle käigus kogutud teabe kohta kokkuvõtteid teha ja seda analüüsida, nende põhjal annab inspektsioon kohtusüsteemile üldisi soovitusi. Usume, et see lähenemine on sobiv, et kasvatada kohtusüsteemi teadlikkust kohustustest järgida vastutuspõhimõtet ja teisi määruses (EL) 2016/679 ja isikuandmete kaitse seaduses sätestatud põhimõtteid.

Inspektsioone korraldades on KJNI möönnud, et kohtusüsteemis suudetakse vastutuspõhimõtte järgimist tõendada siis, kui tuvastatakse, millised on õigust mõistva funktsiooni täitmisel isikuandmete töötlemise olemus, ulatus ja eesmärk, ning koostatakse aruanded andmesubjektide õiguste kaitsmiseks võetud meetmete kohta vähemalt järgmises neljas valdkonnas.

  1. Seoses andmesubjektidega – vastutav töötleja peab võtma meetmeid, et järgida seaduslikkuse, õigluse ja läbipaistvuse põhimõtteid. Selleks, et töötlemine oleks määruse mõttes seaduslik, peab see toimuma mõnel artiklis 6 sätestatud alusel tavaliste isikuandmete kategooriate korral, artiklis 9 sätestatud alusel isikuandmete eriliikide korral või ZZLD artikli 49 alusel pädeva asutuse võimu teostamiseks kriminaalmenetluse puhul. Õigust mõistva tegevuse kontekstis töödeldakse Bulgaaria Vabariigi ringkonnakohtutes isikuandmeid õigusemõistmisega seotud volituste või kohustuste täitmiseks, toiminguid tehakse riigis sellisele tegevusele kehtivate seaduste alusel. Seega saab põhimõtte järgimist kontrollida andmete mahu, kogumise eesmärgi ja olemuse ning märgitud töötlemiseesmärgi alusel, mille vastutav töötleja on dokumenteerinud. Erilist tähelepanu tuleb andmesubjektidega suhtlemisel pöörata läbipaistvuse nõudele. Läbipaistvuspõhimõtet reguleerib määruse (EL) 2016/679 artikli 5 lõike 1 punkt 1, kuid see ei kehti, kui andmeid töödeldakse kriminaalmenetluse eesmärgil. Selles nõutakse, et kogu isikuandmete töötlemisega seotud teave ja suhtlus oleksid hõlpsasti juurdepääsetavad ja mõistetavad ning kasutataks selget ja ühest sõnastust. See põhimõte kehtib eriti teabe puhul, mida edastatakse andmesubjektidele vastutava töötleja isiku ja töötlemise eesmärgi kohta, ning lisateabe puhul, mida jagatakse õiglase ja läbipaistva andmetöötluse tagamise kohta seoses isikute õigusega saada kinnitusi ja teavet nendega seotud töödeldavate isikuandmete kohta. Isikuid teavitatakse isikuandmete töötlemisega seotud riskidest, õigusnormidest, garantiidest ja õigustest ning võimalustest oma töötlemisega seotud õigusi kasutada. Piirkonnakohtud peaksid saama tõestada, et on võtnud meetmeid läbipaistvuse põhimõtte järgimiseks tsiviilkohtuasjades isikuandmete töötlemisel ning et nad järgivad kohustust teavitada andmesubjekte õigust mõistva tegevuse käigus töödeldavatest isikuandmetest määruse (EL) 2016/679 artiklite 13 ja 14 alusel, samas kui kriminaalmenetluse pooltele antakse isikuandmete töötlemise kohta piiratumat teavet.

    Sellega seoses kontrollisime, kas kohtud on vastu võtnud läbipaistvuspõhimõtte rakendamiseks reeglid, kas nad avaldavad andmesubjektidele vajaliku teabe kohtu veebisaidil või on selle edasi andnud muul sobival viisil.

  1. Isikuandmetele asjakohase turvalisuse taseme loomine – määruse (EL) 2016/679 artikli 5 lõike 1 punkti f kohaselt peab vastutav töötleja andmeid asjakohasel tasemel kaitsma loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid. Määruse artikli 24 lõike 1 alusel on vastutaval töötlejal kohustus võtta asjakohaseid andmekaitsemeetmeid ja neid dokumenteerida. Need peaks arvesse võtma töötlemise laadi, ulatust, konteksti ja eesmärke, samuti andmesubjektide õigusi ähvardavaid ohte. Õigust mõistva funktsiooni täitmisel andmete töötlemise käigus esile kerkivate ohtudega seotud meetmete järgimine peab olema kooskõlas määruse (EL) 2016/679 artikli 32 lõikega 2. Selle sätte alusel võetakse vajaliku turvalisuse taseme hindamisel arvesse isikuandmete töötlemisest tulenevaid ohte, eelkõige edastatavate, salvestatavate või muul viisil töödeldavate isikuandmete juhuslikku või ebaseaduslikku hävitamist, kaotsiminekut, muutmist ja loata avalikustamist või neile juurdepääsu.

    Sellega seoses kontrollisime, kas kohtud on koostanud analüüsi, millised ohud tekivad andmesubjektide õigustele õigust mõistva funktsiooni täitmisel isikuandmete töötlemise korral ning kas nad on vastu võtnud tehniliste ja korralduslike meetmetega sise-eeskirjad isikuandmete kaitseks.

  1. Suhete sätestamine järelevalveasutusega – määruse (EL) 2016/679 artiklis 31 sätestatakse vastutavate töötlejate üldine kohustus teha koostööd järelevalveasutusega. Kohustusel on määruses ja isikuandmete kaitse seaduses mitmeid spetsiifilisi nüansse. Näiteks kuulub selle alla määruse artiklist 33 tulenev vastutava töötleja kohustus teavitada järelevalveasutust viivitamata isikuandmetega seotud rikkumistest.

    Kohustuse järgimiseks kontrollisime, kas kohtud on sätestanud töökorra, et järelevalveasutust isikuandmetega seotud rikkumistest teavitada.

  1. Muude vastutava töötleja kohustuste täitmine vastutamise põhimõtte järgimiseks – määruse (EL) 2016/679 artikli 30 alusel on kohtutel kohustus pidada enda vastutusel toimunud töötlemise toimingute registrit. Registri sisu ja vorm on õiguslikult sätestatud määruses ja isikuandmete kaitse seaduses. Vastutav töötleja esitab nõudmise korral registri järelevalveasutusele. Töötlemise toimingute register on kasulik tööriist võimalike andmetöötlusel tekkivate või tegelike keeruliste olukordade analüüsimiseks. See lihtsustab hindamist, millist ohtu võivad vastutava töötleja tehtud töötlemise toimingud üksikisikute õigustele ja vabadustele põhjustada. Lisaks lihtsustab see sobivate isikuandmete turvameetmete leidmist ja rakendamist.

    Inspektsiooni käigus kontrollisime, kas kohtud peavad tsiviil- ja kriminaalasjades õigusemõistmise käigus tehtud isikuandmete töötlemise toimingute registrit.

Mõned olulised järeldused.

Leiti, et peaaegu kõigis inspekteeritud kohtutes rakendati aktiivselt nende vastutusel töödeldavate isikuandmete kaitse meetmeid. Suudeti tõestada, et määruse artikli 5 lõike 1 punktis 1 sätestatud läbipaistvuspõhimõtet järgitakse, korraldades riskianalüüse, et leida, millised on kohtu õigust mõistva funktsiooni täitmisel isikuandmete töötluse korral andmesubjektidele avalduvad ohud, ning sätestades põhimõtted isikuandmete töötluse tehniliste ja korralduslike meetmete tasandil, teavitades volitatud järelevalveasutust isikuandmetega seotud rikkumistest ning pidades määruse (EL) 2016/679 artikli 30 kohaselt isikuandmete töötlemise toimingute registrit.

Loomulikult leidsime mõnedel juhtudel puudusi.

  1. Mõnedes kohtutes leidsime läbipaistvuspõhimõtetes vastuolusid ja ebatäpsusi. Nagu märgitud, on nende eesmärk teavitada andmesubjekte isikuandmete töötlemisega seotud riskidest, reeglitest, garantiidest ja õigustest ning viisidest, kuidas andmesubjektid saavad oma töötlemisega seotud õigusi kasutada. Siiski leiti mõnel juhul, et läbipaistvuspõhimõtete teave andmesubjektide õiguste kohta (eriti õiguse kohta esitada kaebus volitatud järelevalveasutusele) ei olnud ammendav.
  2. Rakendatud isikuandmete kaitse meetmetega seoses leidsime, et märkimisväärne osa kohtutest ei ole teinud määruse (EL) 2016/679 artikli 32 lõikes 2 sätestatud riskianalüüsi.
  3. Järelevalveasutusega koostöö tegemise meetmete kohta tuvastati, et erandiks on kohtud, kes ei ole järelevalveasutustega isikuandmete kaitse alase koostöö tegemiseks töökordi vastu võtnud.
  4. Teavitamise erinõuete kohta tuvastati, et märkimisväärne osa kohtutest ei järgi määruse (EL) 2016/679 artiklis 30 sätestatud kohustust pidada isikuandmete töötlemise toimingute registrit. Põhjus võib olla see, et sellist kohustust kehtetuks muutunud isikuandmete kaitse õigusraamistikus ei olnud.

Leidude alusel ja pärast plaanitud inspektsioonidest üksikasjaliku analüüsi koostamist paneb inspektsioon kokku suunised, et kasvatada kohtute teadlikkust läbipaistvuspõhimõtetest ja õigussüsteemi kohustusest koostada analüüs õigust mõistva funktsiooni täitmisel andmete töötlemise riskide kohta, eriti edastatavate, salvestatavate või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise ja loata avalikustamise või neile juurdepääsu kohta. Kohtu teadlikkuse kasvatamise suunistes rõhutatakse kohtuasutuste kohustust sätestada töökord volitatud järelevalveasutuste teavitamiseks isikuandmetega seotud rikkumistest kooskõlas määruse (EL) 2016/679 artikliga 33 ja kohtuasutuste kohustust pidada nende vastutusel tehtud isikuandmete töötlemise toimingute registrit kooskõlas määruse artikliga 30, samuti rõhutatakse nende tähendust ja sisu. Seda kohustust ei oleks saanud varem täita, sest isikuandmete vastutavate töötlejate tegelikku positsiooni õigusemõistmise korral saab tuvastada ainult inspektsiooni käigus.

 III Kokkuvõte

Oluline on lahendada väga tähtis küsimus, millele ei ole veel ühest lahendust. See puudutab õigust mõistva funktsiooni“ mõistet. Määruse (EL) 2016/679 artikli 55 lõikes 3 kasutatakse seda, et piirata üldjärelevalveasutuste volitusi seoses isikuandmete töötlemisega kohtutes õigust mõistva funktsiooni täitmisel. Määrus ei selgita aga selle mõiste sisu. Sama kehtib direktiivi 2016/680 kohta. Olukord toob praktikas kaasa tõsiseid vastuolusid, sest termini „õigust mõistev funktsioon“ eri tõlgendused tekitavad küsimusi järelevalveasutuste volituste kohta.

Ühe lähenemise kohaselt ei peaks terminit „õigust mõistev funktsioon“ piirama vaid küsimusega, kas isikuandmete töötlemisel on otsene mõju kindlas kohtuasjas otsuse tegemisele. Näiteks tagab ajakirjanikele toimikule juurdepääsu andmine kohtusüsteemi avalikkuse ja läbipaistvuse ning suurendab ühiskonna usaldust kohtute vastu. Läbipaistvuspõhimõte on üks demokraatliku riigi alustala ning see on kohtusüsteemiga lahutamatult seotud. Seega põhineb kohtuasjade kohta teabe andmine kohtu teabele juurdepääsu reguleerivatel sise-eeskirjadel, mille eesmärk on tagada kohtuasjade avalikkus ja läbipaistvus ning see on osa õigust mõistva funktsiooni täitmisest.

Teise lähenemise kohaselt ei täida kohtu haldustöötajad meediale teabe andmise alaste sise-eeskirjade alusel andmete töötlemisel õigust mõistvat funktsiooni, sest tegu ei ole kohtuasja lahendava kohtuniku otsusega, vaid sisekorraeeskirjade järgimisega. Eeskirjad võtab vastu kohtu juht ning need kehtivad paljudele kohtusse jõudnud kaasustele. Selles mõttes allub üldjärelevalveasutuse korraldatud ajakirjanikele teabe edastamise sise-eeskirjade alusel toimunud andmetöötlustegevuste inspektsioon määrusele, sest see ei mõjuta kindlates kohtuasjades õigusemõistmise sõltumatust.

Siinkohal saab tuua ühe tõsise näite KJNI praktikast, kui nende järelevalvetegevus kahtluse alla seati.

Kaks altkäemaksusüüdistuse saanud isikut esitasid inspektsioonile kaebuse ühe Bulgaaria Vabariigi kohtu tegevuse vastu, märkides, et nende süüdimõistva kohtuotsuse põhjendus saadeti elektrooniliselt pea kogu riigi meediale ning selgitamatutel põhjustel jagati otsuse täielikku sisu koos kõigi isikuandmetega. Täpne probleem seisneb selles, et kaebajad esitasid kaebuse ka isikuandmete kaitse komisjonile, mis on Bulgaaria Vabariigi isikuandmete kaitse üldjärelevalveasutus. Süüdimõistva kohtuotsuse põhjendus edastati selleks, et teavitada avalikkust arengutest kriminaalmenetluses, mis oli kogu riigis väga palju kajastust saanud. Sellel juhul nõustus inspektsioon, et nemad, mitte üldjärelevalveasutus, on pädevad juurdlust korraldama, sest avaldamine on osa kohtu tegevusest kohtumenetluse jooksul ning järelevalvet selle üle ei peaks tegema andmekaitse üldjärelevalveasutus.

Isikuandmete kaitse komisjon aga leidis, et kaebuse ülevaatamine ei mõjutaks asjakohase kohtu sõltumatust, sest meediale süüdimõistva otsuse kohta selgituse esitamine ei kuulu kohtu „õigust mõistva funktsiooni“ alla.

Tulemus oli, et mõlemad järelevalveasutused määrasid kohtule sama andmetöötlustegevuse eest haldussunnimeetme. Kohtusse kaevati ainult isikuandmete kaitse komisjoni otsus ja Sofia linna halduskohus tunnistas selle kehtetuks.

Euroopa Liidu Kohtule edastati küsimus eelotsuse saamiseks õigust mõistva funktsiooni mõiste ulatuse kohta. Eelotsusetaotluse esitas Rechtbank Midden-Nederland (Midden Nederlandi esimese astme kohus) 29. mail 2020. Vastustaja on Autoriteit Persoonsgegevens (andmekaitseasutus). Eelotsusetaotluses esitati järgmine küsimus: „Kas isikuandmete kaitse üldmääruse artikli 55 lõiget 3 tuleb tõlgendada nii, et sõnastuse „isikuandmete töötlemise toimingud […], mida kohtud teevad oma õigust mõistvat funktsiooni täites“ all võib mõista õigusasutuse poolt isikuandmeid sisaldavate menetlusdokumentidega tutvumise võimaldamist, kusjuures võimalus tutvumiseks antakse nende menetlusdokumentide koopiate ajakirjanikule kättesaadavaks tegemisega, nagu eelotsusetaotluses on selgitatud?“

Isikuandmete töötlemisel isikute kaitse tagamine on kestev protsess. Seetõttu annab järelevalveasutuste pädevuse ulatuse küsimus seoses kohtus õigust mõistva funktsiooni täitmisel isikuandmete töötlemisega märkimisväärse panuse isikuandmete kaitse järelevalvetavade arengusse. Seetõttu ootame Euroopa Liidu Kohtu otsust kohtuasjas C-245/20.

Seoses Kõrgeima Justiitsnõukogu Inspektsiooni järelevalvepädevusega tuleb rõhutada, et määruses ja isikuandmete kaitse seaduses sätestatud isikuandmete kaitse probleemidega tegeletakse edasi. Lisaks kujuneb sellest õiguspraktika, mida on võimalik kohtus vaidlustada. Praeguseks näitab meie kogemus, et sõltumatule kohtusüsteemi-sisesele asutusele kohtute ja prokuratuuri isikuandmete kaitse nõuete järgimise üle järelevalvekohustuse panemine, juhtudel kui need tegutsevad sõltumatute kohtuasutustena, oli Bulgaaria seadusandja poolt õigustatud otsus.

____________________________    

[1] Закон за защита на личните данни (ЗЗЛД)

[2] Ees-, isa- ja perekonnanimi.