Isikuandmete kaitse määrus

Kellel on vaja andmekaitsespetsialisti?

Alates 25. maist 2018 kehtima hakkava isikuandmete kaitse üldmääruse (IKÜ) artikkel 37 (1) sätestab, et isikuandmete töötleja on kohustatud määrama andmekaitsespetsialisti. Iga ettevõte tegeleb isikuandmete töötlemisega, kuid mitte igal töötlejal pole vaja määrata andmekaitsespetsialisti.

Andmekaitsespetsialisti on kohustatud tööle võtma või teenust sisse ostma: avaliku sektori asutused, ettevõtted kelle põhitegevus on isikuandmete korrapärane ja süstemaatiline töötlemine ning ettevõtted, kelle põhitegevus on isikuandmete eriliikide ulatuslik töötlemine.

Põhitegevus on võtmetegevus, ilma milleta ei saa ettevõte oma igapäevaseid eesmärke täita. Näiteks haigla ei saa osutada tervishoiuteenust ilma isikuandmeid töötlemata. Samas ettevõtte enda töötajate isikuandmete töötlemine ei ole IKÜ mõistes põhitegevus. Kuid ettevõtete ring, kelle põhitegevus ülaltoodud kriteeriumidele vastab, on lai.

Andmekaitse Inspektsiooni (AKI) soovitusel peaksid järgnevat tüüpi ettevõtted määrama andmekaitse spetsialisti:

  • krediidiasutused, krediidiandjad, krediidivahendajad, kindlustusseltsid, kindlustusvahendajad
  • sideettevõtted, kes tegelevad telefoni- või internetiteenuse kasutajate andmete töötlemisega
  • hotellid, kaubandusketid ning muud ettevõtted, kes koguvad klientide andmeid ning kellel on lojaalsusprogrammid
  • personaliotsingu ja tööjõurendi ettevõtted, töövahendusportaalid, aga ka uudisteportaalid
  • turvateenust osutavad ettevõtted, kes jälgivad rahvarohketes kohtades inimesi turvakaamerate abil, näiteks kaubanduskeskustes
  • tervisekeskused ja spaad, kui nad töötlevad isikuandmeid
  • ühistranspordi valideerimislahendustega, võrguturbega, veebiteenuste osutamisega (veebimeedia), kindla valimi alusel otseturunduse saatmisega (isikutele) tegelevad ettevõtted
  • isikute sobivuse hindamisega panga- või kindlustustoote kasutamiseks (nt maksevõime või kliendi tervise- või liikluskäitumise riski hindamisega) tegelevad ettevõtted
  • nutirakendustes isikute asukohaandmete töötlemisega tegelevad ettevõtted
  • klientide võrgulehtede kasutuse analüüsimisega ja selle põhjal reklaamimise ehk digiturundusega tegelevad ettevõtted
  • kliendiandmete töötlejad kaugloetavate arvestite (smart devices) abil
  • telemaatikateenuse osutajad

Kõik ettevõtted, mis töötlevad isikuandmete eriliike – rassilist või etnilist päritolu, poliitilisi vaateid, usulisi või filosoofilisi veendumusi või ametiühingulist kuuluvust sisaldavaid andmeid, geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta – on kohustatud andmekaitse ametniku määrama.

Eriliigiliste andmete ulatuslikud töötlejad on näiteks haiglad ja perearstikeskused. Ka terviseuuringute tegijad, kui nad kasutavad isikustatud andmeid. Lisaks on eriliigiliste andmete töötlejad ka artikli 10 järgi süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmete töötlejad – näiteks advokaadibürood.

Kellel on vaja mõjuhinnangut?

Vastavalt IKÜ artiklile 35.1 peavad mõjuhinnangu tegema kõik need ettevõtted, kelle isikuandmete töötlemise laad, ulatus, kontekst ja eesmärgid tekitavad tõenäoliselt suure riski füüsiliste isikute õigustele ja vabadustele. Allpool on toodud tõenäolisemad mõjuhinnangu valdkonnad AKI käsitluses, kuid meeles tuleb pidada, et mõjuhinnang tehakse siiski töötlemisprotsessile, mitte tervele ettevõttele või valdkonnale. Seega võib isikuandmete kaitse teemalist mõjuanalüüsi vaja minna uue nutirakenduse arendamisel, laenuriski mõõtva valemi parandamisel, uue turundusprojekti alustamisel või ka näiteks ajalooliste isikuandmete töötlemiseks, kui tulemuseks on valem, mida saab ka teistes andmekogudes kasutada.

AKI määratluses on suure riskiga isikuandmete töötlemise valdkonnad järgmised:

  • töötajate monitoorimine ja monitooringu kasutamine võimekuse hindamiseks; töötamiseks kasutatava arvuti, nutiseadme või elektrooniliste ruumiligipääsude kasutamise jälgimine töökeskkonnas
  • inimese võrgukäitumise, asukoha ja liikumiste jälgimine (nt võrguturbeettevõtted, nutirakenduste pakkujad, sideettevõtted, turvaettevõtted, telemaatikateenuste osutajad)
  • finantsteenuste ja -toodete osutamine füüsilisele isikule; füüsilise isiku finants- või krediidivõimelisuse hindamine (nt krediidiasutused, krediidiandjad, krediidivahendajad)
  • füüsilisele isikule kindlustustoodete või -teenuste osutamine (nt kindlustusseltsid, kindlustusvahendajad)
  • füüsilisele isikule investeerimistoodete- või -teenuste osutamine (nt fondivalitsejad, investeerimis- ja pensionifondid, investeerimisühingud, investeerimisnõustajad)
  • kliendikaardiga ostuandmete töötlemine jaekaubandusettevõtetes
  • registreeritud kasutajate andmetöötlus e-poes
  • tervise- või geenitestide põhjal inimese tervisliku seisundi hindamine või haigusriskide ennustamine; terviseandmete töötlemine haiglates ja tervisekeskustes
  • võrgulehtedel liikumise põhjal inimese turundusprofiili loomine ja käitumispõhise reklaami kuvamine
  • tööpakkumiste vahendamine (nt andmetöötlus tööportaalides, personaliotsingu- ja tööjõurendi teenust pakkuvates organisatsioonides)
  • hasartmängu raames inimese andmete töötlemine
  • laste, vanurite, vaimsete puuetega isikute, varjupaigataotlejate ja teiste haavatavate isikute gruppide andmete ulatuslik töötlemine
  • andmetöötlus, kus kombineeritakse ja võrreldakse erinevatest allikatest pärinevaid isikuandmete koosseise (Big Data ehk suurandmetöötlus)
  • isikuandmete piiriülene edastamine väljapoole Euroopa Liitu

 

Autor: Siiri Antsmäe