Isikuandmete kaitse üldmäärus

Isikuandmete kaitse üldmäärus – kolm kuud segadust!

Allan Kubu Allan Kubu

25. augustil möödus kolm kuud kuupäevast, mil hakati kohaldama isikuandmete kaitse üldmäärust[1]. Segadust oli enne seda palju. Ettevõtted kahtlesid, kas töötajate sünnipäevad võib välja trükkida ja puhketoas seinale kinnitada ning ehk peaks töötajate lastele jõulupakkide tegemise suisa lõpetama, sest nõuab see ju laste isikuandmete töötlemist. 

Tõsi on see, et üldmääruse jõustumine tõi ettevõtetele kaasa mitmeid uusi kohustusi ning vajaduse üle vaadata organisatsioonisisesed protseduurid, et tagada nende vastavus üldmäärusele.

Andmekaitse reformi eesmärk oli efektiivselt kaitsta füüsiliste isikute põhiõigusi ja -vabadusi, eriti just inimeste õigust isikuandmete kaitsele, mis on selgelt erinevates õigusaktides sätestatud kui võõrandamatu põhiõigus.

Nagu öeldud, oli segadust enne üldmääruse kohaldamist palju. Ettevõtted ei olnud kindlad, kuidas käituda. Kas on kohustuslik määrata andmekaitse spetsialist? Kas turunduslikke e-kirju ei tohi enam saata? Kas Andmekaitse Inspektsioon on homme kontori ukse peale jõuliselt prõmmimas, hoides käes mitmemiljonilise trahvi määramise otsust, mille põhjendavas osas on jõutud ammendavale järeldusele, et kõik on valesti. Kolm kuud on möödunud – kas hirmud olid põhjendatud?

Liiga vähe andmekaitsespetsialiste

Tulenevalt üldmääruse artiklist 37 on teatud ettevõtetel kohustus määrata andmekaitsespetsialist. Avaliku sektori asutus või organ peavad igal juhul määrama andmekaitsespetsialisti olenemata isikuandmete töötlemise mahust. Eraõiguslikel ettevõtetel oleneb andmekaitsespetsialisti määramise kohustus isikuandmete töötlemise mahust ja laadist (Andmekaitse Inspektsioon on andnud välja väga informatiivse juhise andmekaitsespetsialisti määramise kohustuse kohta[2]).

Andmekaitse Inspektsiooni andmetel[3] oli 25. juuli seisuga andmekaitsespetsialisti määranud ligi 1600 ettevõtet. Ilmselt on praeguseks see number juba mõnevõrra suurem. Statistikaameti info[4] kohaselt on Eestis majanduslikult aktiivseid ettevõtteid 157 757, millest 2370 ettevõtet kuuluvad kohaliku omavalitsuse üksusesse, kes peavad kindlasti määrama andmekaitsespetsialisti. Kui võtta aluseks statistikaameti andmed majanduslikult aktiivsete ettevõtete kohta ning ettevõtted, kes on juba määranud andmekaitsespetsialisti, saame arvutustehte tulemuseks, et 1% kõikidest ettevõtetest (autor mõistab, et kõigil ettevõtetel ei ole kindlasti kohustust määrata andmekaitsespetsialisti) on määranud ning avaldanud andmekaitsespetsialisti äriregistris. Eelnevast saab järeldada, et on veel oluline hulk ettevõtteid (nii avalik-õiguslikud kui ka eraõiguslikud), kellel on kohustus määrata andmekaitsespetsialist ning kes seda veel teinud ei ole. Siiski ei ole veel teada, et Andmekaitse Inspektsioon oleks mõnele ettevõttele, kellel on kohustus määrata andmekaitsespetsialist, kuid kes seda veel teinud ei ole, vastavasisulise ettekirjutuse teinud. Kohustus määrata andmekaitsespetsialist ei ole muutunud, kuid järelevalve kohustuse täitmise suhtes on veel leebe. Paanikaks ei ole põhjust.

Kaebuste arv on tõusnud                                                           

Üldmäärus näeb expressis verbis ette andmesubjektile õiguse esitada kaebus Andmekaitse Inspektsioonile. Rahvusvaheline andmekaitseeksperte ühendav organisatsioon (The International Association of Privacy Professionals, IAPP)  on avaldanud artikli kaebuste mahu hüppelise tõusu kohta[5]. Eesti Andmekaitse Inspektsiooni poolt IAPP-ile edastatud info kohaselt said nad esimese 14 päeva jooksul, mil üldmäärus oli jõus, seitse kaebust. Krediidiinfo andmetel on Andmekaitse Inspektsioonil 30.06.2018 seisuga 18 töötajat. Puudub informatsioon selle kohta, et Andmekaitse Inspektsioon oleks neid kaebusi menetlenud ning et määratud oleks sunniraha või muu rahaline sanktsioon. Võrdluseks: Ühendkuningriigi järelevalveasutusele esitati üldmääruse kohaldamise järgse 26 päevaga 1124 (!) kaebust. Küll aga on Ühendkuningriigi järelevalveasutusel kaebuste menetlemiseks oluliselt rohkem ressurssi – töötajaid 2017. aasta seisuga 393. Läti järelevalveasutuseni (töötajaid 25) jõudis üldmääruse järgse esimese 26 päevaga 19 kaebust.  

Oma õigust tuleb kohtus taga nõuda

Andmekaitse Inspektsioon menetleb üksnes neid eraõiguslikest suhetest esile kerkinud juhtumeid, mille puhul on vajalik kiire sekkumine ning kui asja menetlemine on avalikes huvides[6]. Kui vaidlus on üksnes asjaosaliste vaheline, tuleb pöörduda oma õiguste kaitseks maakohtu poole. Tulenevalt kehtivatest õigusaktidest ja varasemast praktikast võib Andmekaitse Inspektsioon eraõiguslikust suhtest võrsunud kaebusega mitte tegeleda ning öelda, et nemad kaebust ei menetle (puudub avalik huvi) ning inimene peaks pöörduma maakohtusse, millega kaasneb oluliselt formaalsem, kulukam ning keerukam tsiviilkohtumenetlus.

Ilmselt hingavad ettevõtted sellise käsitluse peale kergendatult, ent andmesubjektid raskendatult. Kas sellises olukorras saab öelda, et inimesel on võimalik efektiivselt kaitsta oma põhiõigusi isikuandmete kaitse valdkonnas? Võimalik, et kunagi jõuab halduskohtusse mõne inimese vaie Andmekaitse Inspektsiooni tegevuse peale, mis justkui võiks olla vastuolus üldmääruse või selle mõttega. Üldmääruse kohaselt on järelevalveasutuse ülesanne muu hulgas käsitleda andmesubjekti, asutuse, organisatsiooni või ühenduse esitatud kaebusi, uurida asjakohasel määral kaebuste sisu ning teavitada kaebuse esitajat mõistliku aja jooksul uurimise käigust ja tulemustest.

Inimesed ei tea oma andmete kasutamisest midagi

Üldine teadlikkus isikuandmete kaitsest on ühiskonnas tõusuteel. Ilmselt on kõik viimasel ajal täheldanud, et ettevõtted on loonud või uuendanud oma privaatsuspoliitikaid. Samuti on pea igal veebilehel nüüdsest kasutajamugavust häiriv kastikene, mis palub veebilehe kasutajal nõustuda küpsiste kasutamisega (olgugi, et säärane üldmääruse tõlgendamine on kaheldav). CIM-i[7] tehtud uuringu (küll mitte kitsalt Eesti tarbijate osas) kohaselt ei mõista 48% küsitletud tarbijatest, kuidas organisatsioonid nende isikuandmeid kasutatavad ning vähem kui viiendik (18%) inimestest usub, et ettevõtted kasutavad isikuandmeid ausal ja läbipaistval eesmärgil. Vähem kui pooled (41%) küsitletutest olid teadlikud uuest üldmäärusest. Oluliselt on kahanenud usaldus sotsiaalmeedia ettevõtete suhtes ja see on eriti madal näiteks Facebooki ja Twitteri vastu. Facebooki mitteusaldamisele on õli tulle valanud ettevõttega jätkuvalt seotud privaatsusskandaalid (näiteks andmete edastamine Cambridge Analyticale).

Kohtulahendid ning Euroopa andmekaitse järelvaatajate otsused annaksid andmetöötlejatele kindlaid suuniseid ning tõlgendusreegleid mitme väga üldiselt sõnastatud üldmääruse sätte rakendamiseks, näiteks ,,suur oht,“ ,,ulatuslik andmetöötlus“ ja ,,piisavad tehnilised ja organisatoorsed meetmed.“ Ilmselt ei aita selgusele kaasa isikuandmete kaitse seaduse mitteõigeaegne vastuvõtmine Eestis. Loodetavasti selleni jõutakse – selle vastuvõtmiseks on ilmselgelt ülekaalukas avalik huvi, eriti arvestades Eesti riigi võimalikku mainekahju ning rikkumismenetlust. Oluline on siiski nentida, et isikuandmete kaitse seaduse olemasolu siseriiklikus õiguses ei piira üldmääruse kohaldamist ja kehtivust. Praegu kehtivat isikuandmete kaitse seadust tuleb lugeda ja tõlgendada üldmääruse kontekstis ning isikuandmete kaitse seaduses sisalduvad normid, mis on vastuolus üldmäärusega, tuleb jätta kõrvale. 

Mida töötajate laste jõulupakkidega teha?

Isikuandmete töötlejad on pöördunud nõustamisteenuste pakkujate poole, et saada selgust, mida täpselt on nad kohustatud tegema, et saavutada vastavus üldmäärusega. Küsimused on esmajoones suunatud just isikuandmete töötlemisele töösuhtes. Üldmääruse artikkel 13 sätestab ettevõtetele kohustuse teavitada andmesubjekti tema isikuandmete töötlemisest. Teavitamise kohustus kehtib nii ettevõtte klientidele kui ka töötajatele. Ehk siis töötaja sünnipäevade väljariputamiseks avalikku ruumi (nii füüsiline kui ka internetiruum) peaks tööandja küsima töötajate nõusolekut, kuna sünnipäevade avalikustamine ei tulene töölepingu seadusest, ei ole seotud lepingu täitmisega ning selleks puudub ka tööandjal õigustatud huvi. Kui tööandjal on soov töötaja lastele jõulupakke teha ning ta soovib koguda selleks otstarbeks laste sünniaegasid või isikukoode, siis peab ta töötajat teavitama, miks ta viidatud isikuandmeid kogub ehk mis on sellise tegevuse eesmärk (tähele tuleb ka panna asjaolu, et tegemist saab olla vaid vabatahtlikult täidetava andmeväljaga). Oluline on töötajat teavitada, kuidas tema isikuandmeid töödeldakse. Kõige parem on määratleda töösuhte jooksul isikuandmete töötlemine sisemistes dokumentides – töösisekorra eeskirjad või isikuandmete töötlemise kord.

Kuidas e-turundust teha?

Otseturunduslikul eesmärgil isikuandmete töötlemisel (näiteks e-kirjade saatmine) ei tohiks ära unustada elektroonilise side seadust, mille § 1031 lg 3 sätestab, et kui isik saab seoses toote müügi või teenuse osutamisega füüsilisest või juriidilisest isikust ostja elektroonilised kontaktandmed, võib kasutada neid ostjale oma samasuguste toodete või teenuste otseturustuseks juhul, kui:

  • ostjale antakse tema elektrooniliste kontaktandmete esmase kogumise ajal selge ja arusaadav võimalus tasuta ja lihtsal viisil keelata oma kontaktandmete selline kasutamine;
  • ostjale antakse iga kord, kui tema elektroonilisi kontaktandmeid kasutatakse otseturunduseks, selge ja arusaadav võimalus tasuta ning lihtsal viisil keelata oma kontaktandmete selline kasutamine (n-ö unsubscribe);
  • ostjal võimaldatakse oma õigust keeldumisele realiseerida elektroonilise sidevõrgu kaudu.

 Kokkuvõttes kehtib Eesti vanasõna, et seitse korda mõõda ja üks kord lõika. Ettevõtetel tasub ära teha tegevused, mis võimaldavad neil täita kohustust teavitada andmesubjekte nende isikuandmete töötlemisest, vastata andmesubjektide päringutele ning dokumenteerida oma isikuandmete töötlemise protsessid.

Tuginedes meie kogemusele, tasub kaardistada kogutavad isikuandmed, koostada privaatsusteatis ning isikuandmete töötlemise korrad. Loodetavasti saavad lähitulevikus ka mõned Ameerika Ühendriikide ettevõtted ületatud takistuse, mille nimeks isikuandmete kaitse üldmäärus ning peatselt on võimalik ka Euroopa lugejatel sirvida näiteks Los Angeles Timesi. Praegu selle ajalehe kodulehte külastades tervitatakse enamikku Euroopa lugejaid järgnevaga: ,,kahjuks ei ole meie veebileht kättesaadav enamikus Euroopa riikides.“ Põhjus: isikuandmete kaitse üldmäärus ja tehniline suutmatus.

 


[1] Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus). Veebis kättesaadav: https://eur-lex.europa.eu/legal-content/ET/TXT/?uri=CELEX%3A32016R0679.

[2] Andmekaitse Inspektsioon. Kes peavad määrama andmekaitsespetsialisti? Veebis kättesaadav: http://www.aki.ee/et/andmekaitsespetsialisti-maaramine/kes-peavad-maarama-andmekaitsespetsialisti.

[4] Allikas kättesaadav veebis: https://www.stat.ee/68777.

[6] Allikas kättesaadav veebis: http://www.aki.ee/et/inspektsioon/poordu-inspektsiooni-poole. Viimane lõik.