hero-img-1920x400-c-min

Andmekaitse

Andmekaitse reform

GDPR tähistab Euroopa Liidu üldist andmekaitsemäärust (inglise keeles General Data Protection Regulation). See on Euroopa Liidu andmekaitseraamistik, mis jõustus 25. mail 2018. aastal ja asendas varasema andmekaitse direktiivi. GDPRi eesmärk on kaitsta üksikisikute isikuandmeid, tagades nende privaatsuse ja õigused nende isikuandmete töötlemisel. GDPR kehtib kõikidele Euroopa Liidus asuvatele ettevõtetele ja ka väljaspool ELi tegutsevatele ettevõtetele, kes koguvad või töötlevad ELi elanike isikuandmeid.

Määrus puudutab ettevõtjaid ja muid juriidilisi isikuid, kes tegelevad isikuandmete töötlemisega. Isikuandmete töötlemine tähendab üldmääruse järgi näiteks isikuandmete kogumist, dokumenteerimist, säilitamist jne. Isikuandmete töötlemiseks võib lugeda näiteks olukordi, kus ettevõttel on kliendiandmebaas või kliendilojaalsusprogramm, ettevõte säilitab töötajate CV-sid või klientide e-posti aadresseid, koduseid aadresseid, pilte, turvakaamera salvestisi, telefoninumbreid ja muid selliseid andmeid.

Kuna andmekaitsemäärus toob kaasa nii mõnedki muudatused, hakkab Eestis kehtima ka uuenenud isikuandmete kaitse seadus. Kasutades nii isikuandmete kaitse seaduse eelnõud, seletuskirja kui isikuandmete kaitse üldmäärust, on advokaadibüroo LMP kokkuvõtlikult toonud välja põhilised punktid, mida ettevõtja peaks isikuandmete töötlemise kohta teadma.

Mis on isikuandmed?

Isikuandmeteks loetakse kõiki andmeid tuvastatud või tuvastatava füüsilise isiku kohta, mis väljendavad isiku füüsilisi, psüühilisi, füsioloogilisi, majanduslikke, kultuurilisi või sotsiaalseid omadusi, suhteid ja kuuluvust. Seega tuleb isikuandmetena käsitleda kõiki andmeid, mis kasvõi kaudseltki on füüsilise isikuga seostatavad. Seaduse järgi jagunevad isikuandmed nö “tavalisteks” ja eriliiki isikuandmeteks. Tavalised isikuandmed on näiteks – nimi, elukoht, isiku pilt, turvakaamera salvestis, “Reporteri” klipp, kust on võimalik inimene tuvastada jne.

Eriliiki isikuandmed on andmed, millest ilmneb või ilmnevad rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused, geneetilised andmed, biomeetrilised andmed, terviseandmed või andmed füüsilise isiku seksuaalelu või seksuaalse sättumuse kohta. Selliste isikuandmete töötlemine on keelatud v. a erandjuhtudel. Erandjuhtudeks on uue isikuandmete kaitse seaduse ja üldmääruse järgi näiteks olukord, kus töötlemine on vajalik olulise avaliku huviga seotud põhjustel või kui töötlemine on vajalik, et ennetada ohtu avalikule korrale või riiklikule julgeolekule. Avaliku huvi definitsiooni kehtivast õigusest ei leia. Avalik huvi on väga abstraktne mõiste, aga üheks määratluseks võib lugeda selle, et avalik huvi on suunatud avaliku hüve loomisele või säilitamisele.[1]

Kas uus andmekaitsemäärus puudutab Sind ja Sinu ettevõtet?

Äriühingud, kes peaksid üle vaatama oma isikuandmete töötlemise põhimõtted:

Millistel juhtudel on isikuandmete töötlemine seaduslik ja lubatud?

Isikuandmete töötlemine on seaduslik, kui on täidetud vähemalt üks määruse artiklis 6 lg-s 1 sätestatud tingimustest:

  1. Isiku nõusolek töödelda oma isikuandmeid ühel või konkreetsel eesmärgil –näiteks peab veebilehe haldaja küsima kliendilt kinnitust, kas viimane lubab oma isikuandmeid teatud eesmärgil kasutada (eesmärgiks näiteks tellimuse täitmine vms).
  2. Isikuandmete töötlemine on vajalik isiku osalusel sõlmitud lepingu täitmiseks – siia alla kuuluvad ükskõik millise lepingu sõlmimised. Näiteks juhul kui klient tellib endale e-poe kaudu tooteid pakiautomaati. PS! Pea meeles, et lepingu sõlmimisel ei küsitaks liigselt palju andmeid kliendi kohta. Näiteks eelmainitud pakiautomaati kauba tellimisel, ei peaks klient avaldama oma kodust aadressi.
  3. Isikuandmete töötlemine on vajalik juriidilise kohustuse täitmiseks – siin mõeldakse selliseid andmetöötleja kohustusi, mis tulenevad seadusest. Näiteks on kasiinodel hasartmänguseadusest tulenevalt kohustus kasiinosse sisenejatelt küsida isikuandmeid.
  4. Isikuandmete töötlemine on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks või isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. Üldmääruse järgi võib mõnda liiki isikuandmete töötlus teenida nii kaalukaid avalikke huve kui ka andmesubjekti elulisi huve, näiteks juhul, kui töötlemine on vajalik humanitaareesmärkidel, sealhulgas epideemia ja selle leviku jälgimiseks, või humanitaarhädaolukordades, eriti loodusõnnetuste ja inimtegevusest tingitud õnnetuste korral.

Millised on andmesubjekti ehk isiku, kelle andmeid töödeldakse, õigused?

Õigus saada teavet ja tema kohta käivaid isikuandmeid

Eesmärgiks on tagada, et füüsilisel isikul oleks võimalik teada, kas tema isikuandmeid töödeldakse, ja selleks, et kontrollida sellise töötlemise seaduslikkust, õigust tutvuda andmetega, mis on tema kohta kogutud. Andmesubjektil on esmalt õigus saada vastutavalt töötlejalt kinnitus selle kohta, kas teda käsitlevaid isikuandmeid töödeldakse. Juhul kui isikuandmeid töödeldake, on isikuandmete töötlejal  kohustus teha andmesubjektile teatavaks, millist teavet töötleja on kohustatud avaldama. Igal andmesubjektil peab olema õigus teada isikuandmete töötlemise eesmärke, töötlemise ajavahemikku ja andmete vastuvõtjaid, sealhulgas kolmandates riikides, ning saada eelneva kohta teavet. Kõnealuse õiguse tagamiseks piisab kui andmesubjektil on olemas arusaadaval kujul nimetatud andmete täielik kokkuvõte ehk andmed kujul, mis võimaldab tal saada nendest andmetest teadlikuks ning kontrollida, et need on õiged ja neid töödeldakse isikuandmete kaitse seaduse kohaselt. Andmete töötleja võib teabe andmisest keelduda, piirata selle esitamist või esitada hiljem juhul, kui see võib takistada või kahjustada süüteo tõkestamist, avastamist, menetlemist või karistuste täideviimist, kahjustada teise isiku õigusi ja vabadusi ning juhul, kui teabe avaldamine võib kahjustada riiklikku julgeolekut.

Õigus nõuda isikuandmete töötlemise lõpetamist, isikuandmete parandamist, sulgemist, kustutamist

Andmesubjektil on õigus nõuda isikuandmete parandamist ja kustutamist eelkõige juhul, kui tegemist on faktidel põhinevate andmetega. Andmesubjektil on eelkõige õigus nõuda isikuandmete kustutamist, kui isikuandmete töötlemine ei ole seaduse alusel lubatud või rikub isikuandmete töötlemise põhimõtteid.

“Õigus olla unustatud”

Andmekaitse üldmäärusega kaasnev uuendus, mis tähendab, et füüsilisel isikul on õigus nõuda, et andmetöötleja kustutaks viivituseta teda puututavad isikuandmed. Selline õigus kehtib näiteks  juhul, kui andmetöötlejal ei ole enam isikuandmeid vaja sellel eesmärgil, millega seoses need koguti või töödeldi – näiteks kui ettevõte säilitab CV-sid tuleviku tarbeks, võib isik igal ajal nõuda CV kustutamist. Lisanduvad muud üldmääruse artiklis 17 sätestatud juhud, mh kui isik võtab andmete töötlemiseks antud nõusoleku tagasi või kui isikuandmeid on töödeldud ebaseaduslikult.

Andmete ülekandmise õigus

Suurim sisuline muutus, mis ootab kogu erasektorit, on isikuandmete ülekantavus. Inimene võib võtta oma digitaalandmed ettevõttest A ning viia need ettevõttesse B. See täendab, et inimesel on õigus küsida ja saada andmetöötlejalt kõik teda puudutavaid isikuandmed, mida inimene on andmetöötlejale edastanud. Edastamise all tuleb käsitleda kõiki andmeid, mida inimene edastab otseselt kas ise või edastatakse andmetöötlejale inimese mõne tegevuse käigus. Näiteks veebivormide täitmine (e-poe, sotsiaalmeedia konto loomine) või e-kirja saatmine, samuti nutiseadme kasutamisel sideoperaatorile edastatud andmed (nt helistaja asukoht, kõne adressaat). Aga ka kliendikaardiga registreeritud ostud poes või andmed (nt pulsisagedus, sammude arv), mida inimese aktiivsusmonitor edastab näiteks toitumisnõustajale. Andmete ülekandmist tuleb kohaldada ainult nendele andmetele, mille töötlemise aluseks on kas inimese nõusolek või inimese ja andmetöötleja vahel sõlmitud leping. Seega kui andmetöötlus toimub ainult seaduse alusel, siis õigus andmete ülekandmisele ei kohaldu. Seaduse alusel töötlevad inimeste isikuandmeid näiteks riigi ja kohaliku omavalitsuse asutused.

Andmete ülekandmise õiguse tagamiseks peab andmetöötleja isikuandmed edastama:

  1. struktureeritult;
  2. üldkasutatavas vormingus;
  3. masinloetaval kujul.

Et andmetöötlejal oleks võimalik nimetatud vorminõudeid täita, seab määrus lisatingimuse, mille kohaselt kuuluvad ülekandmisele ainult need isikuandmed, mida andmetöötleja töötleb automatiseeritult. Seega paberkandjatel olevad isikuandmed ülekandmisele ei kuulu.

Samuti saab inimene nõuda, et üks andmetöötleja edastaks andmed otse teisele andmetöötlejale. Seda juhul, kui see on tehniliselt teostatav. See tähendab, et kui inimene soovib näiteks vahetada e-posti, panga või kõneteenuse pakkujat, on tal õigus nõuda, et senine teenusepakkuja edastab tehnilisel võimalusel inimesega seotud isikuandmed otse uuele teenusepakkujale.

Samas ei tähenda andmete ülekandmine uuele teenusepakkujale, et inimene peab oma kliendisuhte senise teenusepakkujaga lõpetama. Samuti ei tähenda see automaatselt seda, et senine teenusepakkuja peab kõik inimesega seotud isikuandmed kustutama (isegi kui kliendisuhe lõpeb).[2]

Õigus esitada vastuväiteid ja automatiseeritud töötlusel põhinevate üksikotsuste tegemine

Isik saab nõuda, et tema kohta ei võetaks vastu otsust, mis põhineb automatiseeritud töötlusel, sealhulgas profiilianalüüsil. Vastav õigus tekib siis kui profileerimisel on teda puudutavad õiguslikud tagajärjed või see avaldab talle märkimisväärset mõju. Sellised on näiteks juhud, kui taotletakse veebipõhiselt laenu ja laenutaotlus lükatakse tagasi ilma inimsekkumiseta.

Millised on Sinu kui andmetöötleja kohustused?

Vastutus

Üheks suuremaks muutuseks võrreldes varasemalt kehtinud andmekaitse regulatsiooniga on trahvisummade suurenemine. Maksimaalne trahvisumma üldmääruses kehtestatud nõuete rikkumisel on 20 miljonit eurot või 4% ettevõtte ülemaailmsest käibest vastavalt sellele, kumb on suurem. Kuid järgides eelnevalt välja toodud punkte ja viies oma ettevõttes andmetöötluse nõuetele vastavaks, ei tasu suurte trahvisummade pärast siiski muretseda.