Juunis avalikustas Euroopa Liidu Põhiõiguste Amet (FRA) raporti „Isikuandmete kaitse üldmäärus (IKÜM) praktikas – andmekaitseasutuste kogemus“ (inglise keelne kokkuvõte). FRA viis oma analüüsi läbi Euroopa Komisjoni tellimuse, kes peaks avaldama on teise hindamisraporti IKÜM-i rakendamise kohta veel sellel aastal.
Esimene Euroopa Komisjoni IKÜM-i rakendamise hindamine viidi läbi 2020. aastal (inglise keelne raport). Komisjon soovis, et FRA koguks andmeid selle kohta, milliseid kogemusi, probleeme ja tavasid on andmekaitseasutused IKÜM-i rakendamisel kohanud. Raporti koostamiseks viis FRA läbi intervjuud kõigi 27 liikmesriigi (sh Eesti) andmekaitseasutustega. Kogutud andmete analüüsi pinnalt tõi FRA välja peamised probleemid, head praktikad ja pakub välja ka lahendusi. Kõige olulisema probleemina näeb FRA andmekaitseasutuste käsutuses olevate vahendite nappust. FRA rõhutab, et alarahastamine ja töötajate vähesus takistavad andmekaitseasutustel oma volitusi täielikult täita. Kui võrrelda praeguse uuringu tulemusi FRA 2010. ja 2014. aastal avaldatud järeldustega, siis eelkõige näitab käesolev aruanne, et 14 aastat hiljem on andmekaitseasutuste rahalistes ja inimressurssides endiselt puudujääke, samas kui andmekaitseasutuste vastutusalasse kuuluvate ülesannete arv on suurenenud.
Uued EL-i õigusaktid, näiteks tehisintellekti käsitlev õigusakt või EL-i piirihaldussüsteemid, loovad neile lisaülesandeid, mida on raske tõhusalt rakendada ilma asjakohaste vahenditeta. EL-i riigid peaksid tagama vajalikud rahalised ja inimressursid, et andmekaitseasutused saaksid oma rolli täita.
Veel FRA välja toodud järgmised kitsaskohad ja võimalikud lahendused:
Järelevalvevolitused. Andmekaitseasutustel on juba uurimisvolitused, kuid nad vajavad rohkem erinevaid tööriistu oma järelevalvesuutlikkuse suurendamiseks. Näiteks võime viia läbi salajuurdlusi, võimalus trahvida organisatsioone, kes keelduvad koostööst. Euroopa Komisjon ja Euroopa Andmekaitsenõukogu (EAKN) peaksid hindama, milliseid vahendeid on vaja ning vajaduse korral tugevdama õigusraamistikku.
Parimate tavade vahetamine. Vahendite puudumise tõttu peavad andmekaitseasutused sageli prioritiseerima kaebuste menetlemist, et aidata asutustel paremini menetleda suurt hulka kaebusi, peaks EAKN andma rohkem suuniseid ja hõlbustama parimate tavade vahetamist. Selleks võib olla vaja anda EAKN-le rohkem vahendeid.
Konsulteerimine ja nõustamine. Andmekaitseasutustega ei konsulteerita sageli uute õigusaktide osas või antakse reageerimiseks liiga lühike tähtaeg. Mõned avaliku sektori asutused ei konsulteeri andmekaitseasutustega ka enne andmetöötlustoimingu alustamist. Selleks, et tagada andmekaitsepõhimõtete arvesse võtmine seadusandlikes ettepanekutes, peaksid EL-i riigid konsulteerima andmekaitseasutustega ja küsima neilt eelnevalt nõu. Samuti peaksid nad julgustama avaliku sektori asutusi konsulteerima süstemaatilisemalt andmekaitseasutustega.
Teadlikkuse tõstmine. Inimesed ei mõista siiani täielikult oma õigust isikuandmetele. Isikuandmete töötlejatel on raske tuvastada ja ennetada andmekaitseriske, eriti tehisintellektisüsteemide puhul. Seetõttu on andmekaitse mõjuhinnanguid väga vähe. EL-i institutsioonid ja EL-i riigid peaksid suurendama teadlikkust andmekaitse-eeskirjadest ja -kohustustest. EAKN peaks välja töötama konkreetsed suunised uut tehnoloogiat hõlmava andmetöötluse kohta.
Juurdepääs andmetele teadusuuringute jaoks. Teadlastel on endiselt raskusi andmetele juurdepääsuga, kuigi EL-i andmekaitse-eeskirjad võimaldavad andmete töötlemist teaduslikel eesmärkidel. EAKN peaks välja töötama konkreetsed suunised ja selgitama, mis on EL-i õigusega võimalik.
Uued tehnoloogiad. IKÜM pakub kasulikke vahendeid uute tehnoloogiliste probleemide lahendamiseks, kuid paljudel andmekaitseasutustel on raskusi nende nõuetekohase reguleerimisega. EAKN peaks koos andmekaitseasutustega määrama kindlaks konkreetsed tehnoloogiaga seotud valdkonnad, kus on vaja suuremat selgust. Andmekaitseasutused peaksid uute tehnoloogiate kohta nõu andmisel tegema tihedamat koostööd.
Parimate tavade osa leidis FRA aruandes eraldi ära märkimist Balti riikide andmekaitseasutuste ühine ennetav järelevalve sõidukite lühiajalise üürimise valdkonnas, mille eesmärk oli anda soovitusi, et ennetada kodanike isikuandmetele avalduvaid võimalike ohte selles konkreetses sektoris ja aidata kaasa järjepidevamale järelevalvele.
Andmekaitse Inspektsiooni järelevalve hõlmas Eesti territooriumil tegutsevaid ettevõtteid Bolt Operations OÜ, ELMO Rent AS ja Tuul Mobility OÜ. Ettevõtete tegevuses tuvastati ebakorrektse õigusliku aluse kasutamist isikuandmete töötlemiseks, ebaselget privaatsuspoliitikat ja ebatäpsust andmete säilitamise aja osas ehk millistel eesmärkidel ja kui kaua andmeid säilitati. Tänaseks on kõikide puudujääkidega tegeletud. Selliste probleemide tuvastamine aitas ennetada võimalikke tulevasi probleeme. Ühise järelevalve kokkuvõte on Läti andmekaitseasutuse poolt koostamisel.