Euroopa Liidu Nõukogu lükkab lekkinud digitaalse omnibuss-eelnõu projektis tagasi IKÜM-i „isikuandmete“ definitsiooni muudatused

Euroopa digitaalpoliitika olulise pöördena viitab Euroopa Liidu Nõukogu lekkinud kompromisstekst sellele, et liikmesriigid asuvad blokeerima isikuandmete kaitse üldmääruse (IKÜM) kohase „isikuandmete“ definitsiooni kavandatud muudatusi. 20. veebruaril 2026 dateeritud ja Küprose eesistumise poolt levitatud dokument näitab kindlat eelistust säilitada status quo, selle asemel et nõustuda Euroopa Komisjoni ulatuslikumate ja vastuolulisemate muudatustega.

Eelnõu, mis tuli avalikuks vahetult enne Brüsselis toimuvaid kõrgetasemelisi diplomaatilisi kohtumisi, tähistab kriitilist punkti niinimetatud „digitaalse omnibuss-eelnõu“ (Digital Omnibus) jaoks. See seadusandlik pakett oli mõeldud EL-i digitaalsete reeglite ühtlustamiseks ning nende kohandamiseks arenenud tehisintellekti ja üldlevinud äärearvutuse ajastuga. Otsus jätta välja isikuandmete muudetud definitsioon viitab aga sellele, et liikmesriigid pelgavad avada privaatsuse põhimõistete „Pandora laegast“.

Status quo stabiilsus

Ligi kümme aastat on isikuandmete definitsioon olnud Euroopa privaatsusõiguse nurgakiviks. Praeguse IKÜM-i kohaselt on isikuandmed igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta. Euroopa Komisjoni algne ettepanek digitaalse omnibuss-eelnõu jaoks püüdis seda täpsustada, laiendades potentsiaalselt ulatust, et hõlmata rohkem nüansseeritud metaandmete kategooriaid ja käitumuslikke identifikaatoreid, mida tehisintellektisüsteemid üha enam genereerivad.

Nõukogu otsus need muudatused kõrvaldada peegeldab „ohutus ennekõike“ lähenemisviisi. Jäädes kindlaks olemasolevale tekstile, väldivad liikmesriigid tohutut õiguslikku ebakindlust, mida uus definitsioon kaasa tooks. Ettevõtete jaoks tähendaks definitsiooni muutmine iga andmebaasi, nõusolekuvormi ja andmetöötluslepingu ümberhindamist. Nõukogu näib olevat seadnud regulatiivse stabiilsuse kõrgemale komisjoni soovist tehnilise täpsuse järele.

Miks on definitsioon oluline

Mõistmaks, miks see samm on nii oluline, võib isikuandmete definitsiooni käsitleda kui IKÜM-i „jurisdiktsioonilist konksu“. Kui teave kuulub selle definitsiooni alla, rakendub EL-i privaatsusõiguse kogu raskus. Kui see jääb väljapoole, saab andmeid liigutada, müüa või analüüsida tunduvalt vähemate piirangutega.

Kavandatava laiendamise kriitikud väitsid, et laiem definitsioon oleks tahtmatult hõlmanud „anonümiseeritud“ andmeid, mida praegu kasutatakse meditsiinilisteks uuringuteks ja infrastruktuuri planeerimiseks. Teisest küljest muretsevad privaatsuse eestkõnelejad, et vana definitsiooni säilitamisega ei suuda EL tegeleda tänapäevase masinõppe põhjustatud „taastuvastamise“ riskidega, kus näiliselt anonüümsed andmepunktid on võimalik isiku paljastamiseks kokku põimida.

Küprose eesistumise tasakaalustamine

Küprosel, kes on praegu nõukogu eesistujariik, on kadestusväärne ülesanne leida ühisosa kahekümne seitsme liikmesriigi vahel, kellel on erinevad digitaalsed prioriteedid. Lekkinud kompromisstekst viitab sellele, et Küprose meeskond keskendub pigem „protseduurilisele harmooniale“ kui „definitsioonide põhjalikule ümberkorraldamisele“.

Eemaldades vaidlusalused isikuandmete muudatused, püüab eesistujariik tõenäoliselt vabastada tee ülejäänud digitaalsele omnibuss-eelnõule. See pakett sisaldab olulisi uuendusi piiriülese täitemenetluse ja riiklike andmekaitseasutuste vahelise koostöö kohta. Kui isikuandmete definitsioon oleks jäänud lauale, oleks see võinud kogu seadusandliku protsessi aastateks seisata.

Mõju tehnoloogiasektorile

Tehnoloogiasektori jaoks peetakse seda leket suuresti kergenduseks. Tööstus on pikka aega väitnud, et IKÜM on niigi piisavalt keeruline. Selle kõige põhjapanevama mõiste muutuv definitsioon oleks loonud „liikuva sihtmärgi“ nõuete täitmisel.

Mis saab edasi?

Teadaolevalt arutasid liikmesriikide diplomaadid eelnõu 27. veebruaril. Kui nõukogu jääb sellele seisukohale kindlaks, on järgmiseks etapiks kolmepoolsed läbirääkimised (triloog) nõukogu, Euroopa Parlamendi ja Euroopa Komisjoni vahel. Parlament on ajalooliselt olnud andmesubjektide õiguste suhtes kaitsvam ja võib võidelda selle nimel, et taastada mõned laiemad kaitsemeetmed, mida komisjon algselt kavandas.

Nõukogu ühtne rind selles küsimuses saadab aga tugeva signaali: Euroopa riikide valitsused ei ole praegu meelestatud privaatsuse alustalade radikaalseks ümberkujundamiseks. Nad soovivad, et reeglid töötaksid paremini, mitte tingimata, et need oleksid laiemad.

Praktilised soovitused organisatsioonidele

Kuigi isikuandmete definitsioon võib jääda samaks, on nõuete täitmise maastik siiski muutumas. Siin on see, millele organisatsioonid peaksid keskenduma, kui digitaalne omnibuss-eelnõu edasi liigub:

• Auditeerige oma andmete kaardistamist: Isegi kui definitsioon ei muutu, areneb kohtute (nagu Euroopa Kohus) tõlgendus edasi. Veenduge, et teie andmeinventuur on ajakohane.
• Keskenduge protseduurilisele vastavusele: Digitaalne omnibuss-eelnõu toob tõenäoliselt kaasa rangemad tähtajad andmekaitseasutuste päringutele vastamiseks. Vaadake üle oma sisesed aruandlustöövood.
• Jälgige triloogi: Lõplik tekst ei ole veel kivisse raiutud. Hoidke järgnevatel kuudel hoolikalt silma peal Euroopa Parlamendi vastusel sellele nõukogu eelnõule.
• Investeerige anonümiseerimisse: Sõltumata juriidilisest definitsioonist on parim viis riskide vähendamiseks tagada, et andmed on tõeliselt anonümiseeritud, kasutades tipptasemel tehnikaid, mis takistavad taastuvastamist.

Allikad

• European Council: Council of the European Union Overview
• Euractiv: Digital & Media Policy Reports
• Politico Europe: Tech and Data Protection Coverage
• European Commission: GDPR Procedural Rules and Digital Omnibus Documentation
• Official Journal of the European Union: GDPR Text and Definitions