Isikuandmete kaitse üldmäärus

Millega tuleb arvestada isikuandmete töötlejal Leedus?

Vaatamata sellele, et Euroopa Liidu (EL) isikuandmete kaitse üldmääruse (edaspidi: üldmäärus) üks peaeesmärke on andmekaitseseaduste ühtlustamine kogu EL-is, on liikmesriikidel lubatud teha olulisi erandeid seoses riikliku julgeoleku, kuritegevuse tõkestamise ja tsiviilhagide jõustamisega. Erandite tegemise eeldus on see, et andmekaitsealased põhiõigused on tagatud ning erandid on vajalikud ja proportsionaalsed.

Euroopa Liidu liikmesriigid võivad rakendada erandeid ka andmete töötlemistoimingutes, sh töötlemises, mis on seotud väljendus- ja teabevabadusega (ajakirjandusvabadusega), avaliku juurdepääsuga ametlikele dokumentidele, isikukoodidega (riigisiseste ID-numbritega), töötajate tööhõiveandmetega, arhiveerimise ja statistika eesmärgil töötlemisega, turvakohustustega ning kiriku- ja religioossete ühendustega.

Üldmääruse jõustumisele järgnenud aasta jooksul on enamik liikmesriike enda valitud erandite rakendamiseks vastu võtnud uued andmekaitseseadused. Leedus jõustus üldmääruse erisusi rakendav isikuandmete õigusliku kaitse seadus (edaspidi: andmekaitseseadus) 16. juulil 2018.

Andmekaitseseadusega reguleeritakse üldmääruse erisusi, mis puudutavad Leedu isikukoodi töötlemist, väljendusvabadust, tööhõivega seotud andmetöötlust, lapse vanust infoühiskonna teenuste tarbimiseks, trahvide määramise korda ja järelevalveasutuste funktsioone.

Leedu andmekaitseseaduse peamised aspektid:

  • isikukoodi võib üldmääruse (artikli 6 lõike 1) kohaselt töödelda, kuid keelatud on isikukoodi töötlemine otseturunduse eesmärgil ja isikukoodi avalikustamine;
  • kui isikuandmeid töödeldakse ajakirjanduslikul või akadeemilisel eesmärgil, samuti kunstilises või kirjanduslikus eneseväljenduses, siis ei kohaldata mõningaid üldmääruse sätteid;
  • töötajate värbamisel ja olemasolevate töötajate puhul on keelatud kontrollida kehtivate kuritegude ja karistuste olemasolu, välja arvatud juhul, kui need andmed on konkreetse töö (ametikoha) puhul seadusega nõutavad. Näiteks õiguskaitseorganites töötamisel on selline taustakontroll vajalik;
  • kui tööandja on vastutav töötleja, võib ta koguda tööle kandideerija isikuandmeid taustakontrolliks, nt kvalifikatsioon, töökogemus ja eelmiste tööandjate soovitused, teavitades kandidaati sellest eelnevalt. Soovituse küsimiseks praeguse tööandja käest on nõutav tööle kandideerija nõusolek;
  • lapse vanus, kellele võib otse pakkuda infoühiskonna teenuseid, ja seadusega sätestatud vanus infoühiskonna teenuste kasutamisel nõusoleku andmiseks on 14 aastat.

Trahvid ulatuvad kümnetesse tuhandetesse eurodesse

  • trahve määratakse üldmääruse sätete kohaselt;
  • otsus haldustrahvi kohta tehakse kahe aasta jooksul alates rikkumise avastamisest ning kui rikkumine kestab, siis rikkumise tuvastamise kuupäevast;
  • andmekaitseseaduse kohaselt on Leedu avaliku sektori trahvid üldmäärusega sätestatud trahvidest väiksemad ning moodustavad 1–1,5% rikkuja aastaeelarvest, ent mitte rohkem kui 30 000–60 000 eurot. Erasektori trahve määratakse vastavalt üldmääruses sätestatule.

Järelevalveasutusel on lubatud määrata nii trahve kui ka muid karistusi: teha vastutavale töötlejale ettekirjutusi ja hoiatusi, anda juhiseid ning kehtestada lõplik või ajutine isikuandmete töötlemise keeld. Kõik karistused on konkreetsete juhtumite põhised.

Oma 2018. aasta ülevaates märkis Leedu Riiklik Andmekaitseinspektsioon (edaspidi: inspektsioon), et tegi ennetavat kontrolli 141 tervishoiusektori ettevõttes. Lisaks kontrolliti isikuandmete töötlemist 12 toiduaine-, majapidamiskaupade- ja ravimitööstuse ettevõtte otseturundus- ja lojaalsusprogrammides.

Kaebuste arv on järsult kasvanud

2018. aastal sai inspektsioon 100 teadet isikuandmetega seotud rikkumiste kohta (võrreldes 7 teatega 2017.aastal ja 6 teatega 2016. aastal). See suundumus on sarnane olukorrale kogu Euroopas, kus andmekaitseasutused on teatanud teadete ja päringute arvu järsust kasvust. Enamik andmekaitsealastest rikkumisest olid seotud isikuandmete avalikustamise (56 juhtumit) ja andmete kadumisega (11 juhtumit).

Lisaks sai inspektsioon 2018. aastal eraisikutelt 859 üldmäärusega seotud kaebust (võrreldes 480 kaebusega 2017. aastal ja 443 kaebusega 2016. aastal). Enamik laekunud kaebustest puudutasid eraettevõtete tegevust. Suurim arv kaebusi oli seotud otseturundusega, ent samuti oli kaebusi piltide töötlemise õiguspärasuse ja võlgnike isikuandmete kohta, samuti isikuandmete töötlemise kohta teenindussektoris.

2018. aastal määrati Leedu õigusaktide ja üldmääruse alusel mitmeid karistusi, kuid mitte trahve. Esimene märkimisväärne trahv määrati 2019. aasta mais, kui isikuandmete turvalisusega seotud rikkumise eest ühes konkreetses maksesüsteemis määrati ühe eraettevõtte trahviks 61 500 eurot. Sellel konkreetsel juhul olid isikuandmed avalikult kättesaadavad ja ettevõte ei esitanud teadet inspektsioonile, kes lisaks leidis, et ettevõte ei järginud võimalikult väheste andmete kogumise nõuet ja töötles liiga suures ulatuses isikuandmeid.

Enne üldmääruse jõustumist oli üldsuse teadlikkus isikuandmete töötlemisest Leedus väga väike. Üldmäärusega seotud teemade kajastamine meedias ja juba määratud trahvid on pannud ettevõtted üldmääruse nõuete täitmise seisukohast avalikkuse luubi alla.

 

Artikli autor: Greta Aliukonienė, õigusnõustaja, Grant Thornton Baltic UAB