Andmekaitse

Andmekaitse reform

2016. aasta 14. aprillil kiitis Euroopa Parlament heaks isikuandmete kaitse üldmääruse, millega asendatakse senine andmekaitsedirektiiv. Uus määrus on otsekohalduv, mis tähendab, et koos siseriiklike rakendusaktidega hakkab see asendama ka senist Eesti isikuandmete kaitse seadust. Määrus jõustus 24.05.2016 ning seda hakatakse kohaldama pärast kaheaastast üleminekuaega, alates 25. maist 2018. a. Määrus puudutab ettevõtjaid ja muid juriidilisi isikuid, kes tegelevad isikuandmete töötlemisega. Isikuandmete töötlemine tähendab üldmääruse järgi näiteks isikuandmete kogumist, dokumenteerimist, säilitamist jne. Isikuandmete töötlemiseks võib lugeda näiteks olukordi, kus ettevõttel on kliendiandmebaas või kliendilojaalsusprogramm, ettevõte säilitab töötajate CV-sid või klientide e-posti aadresseid, koduseid aadresseid, pilte, turvakaamera salvestisi, telefoninumbreid ja muid selliseid andmeid.

Kuna andmekaitsemäärus toob kaasa nii mõnedki muudatused, hakkab Eestis kehtima ka uuenenud isikuandmete kaitse seadus. Kasutades nii isikuandmete kaitse seaduse eelnõud, seletuskirja kui isikuandmete kaitse üldmäärust, on advokaadibüroo LMP kokkuvõtlikult toonud välja põhilised punktid, mida ettevõtja peaks isikuandmete töötlemise kohta teadma.

Mis on isikuandmed?

Isikuandmeteks loetakse kõiki andmeid tuvastatud või tuvastatava füüsilise isiku kohta, mis väljendavad isiku füüsilisi, psüühilisi, füsioloogilisi, majanduslikke, kultuurilisi või sotsiaalseid omadusi, suhteid ja kuuluvust. Seega tuleb isikuandmetena käsitleda kõiki andmeid, mis kasvõi kaudseltki on füüsilise isikuga seostatavad. Seaduse järgi jagunevad isikuandmed nö “tavalisteks” ja eriliiki isikuandmeteks. Tavalised isikuandmed on näiteks – nimi, elukoht, isiku pilt, turvakaamera salvestis, “Reporteri” klipp, kust on võimalik inimene tuvastada jne.

Eriliiki isikuandmed on andmed, millest ilmneb või ilmnevad rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused, geneetilised andmed, biomeetrilised andmed, terviseandmed või andmed füüsilise isiku seksuaalelu või seksuaalse sättumuse kohta. Selliste isikuandmete töötlemine on keelatud v. a erandjuhtudel. Erandjuhtudeks on uue isikuandmete kaitse seaduse ja üldmääruse järgi näiteks olukord, kus töötlemine on vajalik olulise avaliku huviga seotud põhjustel või kui töötlemine on vajalik, et ennetada ohtu avalikule korrale või riiklikule julgeolekule. Avaliku huvi definitsiooni kehtivast õigusest ei leia. Avalik huvi on väga abstraktne mõiste, aga üheks määratluseks võib lugeda selle, et avalik huvi on suunatud avaliku hüve loomisele või säilitamisele.[1]

Kas uus andmekaitsemäärus puudutab Sind ja Sinu ettevõtet?

Äriühingud, kes peaksid üle vaatama oma isikuandmete töötlemise põhimõtted:

  • Kinnisvaraga tegelevad ettevõtted (nt. kinnisvarabürood)
  • Finants- ja kindlustustegevusega tegelevad ettevõtted (nt. pangad, laenuandjad, kindlustusfirmad)
  • Posti ja neti teel jaemüügiga tegelevad ettevõtted (nt. e-poed)
  • Haldus- ja abitegevustega tegelevad ettevõtted (nt. reisibürood, inkasso)
  • Tervishoiuteenuse- ja sotsiaalhoolekandeteenuseosutajad (sh. üldarstiabi, perearstikeskused, õendusabi, hambaravi)
  • Info ja sidega tegelevad ettevõtted (nt. veebiportaalid, ajakirjade kirjastused, telekommunikatsioon)
  • Kutse-, teaduse- ja tehnikaalase tegevusega tegelevad äriühingud (nt. reklaami vahendamine, turuuuringute tegijad, küsitlejad)
  • Majutusega tegelevad ettevõtted (nt. hotellid, motellid, külalistemajad)

Millistel juhtudel on isikuandmete töötlemine seaduslik ja lubatud?

Isikuandmete töötlemine on seaduslik, kui on täidetud vähemalt üks määruse artiklis 6 lg-s 1 sätestatud tingimustest:

  1. Isiku nõusolek töödelda oma isikuandmeid ühel või konkreetsel eesmärgil –näiteks peab veebilehe haldaja küsima kliendilt kinnitust, kas viimane lubab oma isikuandmeid teatud eesmärgil kasutada (eesmärgiks näiteks tellimuse täitmine vms).
  2. Isikuandmete töötlemine on vajalik isiku osalusel sõlmitud lepingu täitmiseks – siia alla kuuluvad ükskõik millise lepingu sõlmimised. Näiteks juhul kui klient tellib endale e-poe kaudu tooteid pakiautomaati. PS! Pea meeles, et lepingu sõlmimisel ei küsitaks liigselt palju andmeid kliendi kohta. Näiteks eelmainitud pakiautomaati kauba tellimisel, ei peaks klient avaldama oma kodust aadressi.
  3. Isikuandmete töötlemine on vajalik juriidilise kohustuse täitmiseks – siin mõeldakse selliseid andmetöötleja kohustusi, mis tulenevad seadusest. Näiteks on kasiinodel hasartmänguseadusest tulenevalt kohustus kasiinosse sisenejatelt küsida isikuandmeid.
  4. Isikuandmete töötlemine on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks või isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks. Üldmääruse järgi võib mõnda liiki isikuandmete töötlus teenida nii kaalukaid avalikke huve kui ka andmesubjekti elulisi huve, näiteks juhul, kui töötlemine on vajalik humanitaareesmärkidel, sealhulgas epideemia ja selle leviku jälgimiseks, või humanitaarhädaolukordades, eriti loodusõnnetuste ja inimtegevusest tingitud õnnetuste korral.

Millised on andmesubjekti ehk isiku, kelle andmeid töödeldakse, õigused?

  • Õigus saada teavet ja tema kohta käivaid isikuandmeid

Eesmärgiks on tagada, et füüsilisel isikul oleks võimalik teada, kas tema isikuandmeid töödeldakse, ja selleks, et kontrollida sellise töötlemise seaduslikkust, õigust tutvuda andmetega, mis on tema kohta kogutud. Andmesubjektil on esmalt õigus saada vastutavalt töötlejalt kinnitus selle kohta, kas teda käsitlevaid isikuandmeid töödeldakse. Juhul kui isikuandmeid töödeldake, on isikuandmete töötlejal  kohustus teha andmesubjektile teatavaks, millist teavet töötleja on kohustatud avaldama. Igal andmesubjektil peab olema õigus teada isikuandmete töötlemise eesmärke, töötlemise ajavahemikku ja andmete vastuvõtjaid, sealhulgas kolmandates riikides, ning saada eelneva kohta teavet. Kõnealuse õiguse tagamiseks piisab kui andmesubjektil on olemas arusaadaval kujul nimetatud andmete täielik kokkuvõte ehk andmed kujul, mis võimaldab tal saada nendest andmetest teadlikuks ning kontrollida, et need on õiged ja neid töödeldakse isikuandmete kaitse seaduse kohaselt. Andmete töötleja võib teabe andmisest keelduda, piirata selle esitamist või esitada hiljem juhul, kui see võib takistada või kahjustada süüteo tõkestamist, avastamist, menetlemist või karistuste täideviimist, kahjustada teise isiku õigusi ja vabadusi ning juhul, kui teabe avaldamine võib kahjustada riiklikku julgeolekut.

  • Õigus nõuda isikuandmete töötlemise lõpetamist, isikuandmete parandamist, sulgemist, kustutamist

Andmesubjektil on õigus nõuda isikuandmete parandamist ja kustutamist eelkõige juhul, kui tegemist on faktidel põhinevate andmetega. Andmesubjektil on eelkõige õigus nõuda isikuandmete kustutamist, kui isikuandmete töötlemine ei ole seaduse alusel lubatud või rikub isikuandmete töötlemise põhimõtteid.

  • “Õigus olla unustatud”

Andmekaitse üldmäärusega kaasnev uuendus, mis tähendab, et füüsilisel isikul on õigus nõuda, et andmetöötleja kustutaks viivituseta teda puututavad isikuandmed. Selline õigus kehtib näiteks  juhul, kui andmetöötlejal ei ole enam isikuandmeid vaja sellel eesmärgil, millega seoses need koguti või töödeldi – näiteks kui ettevõte säilitab CV-sid tuleviku tarbeks, võib isik igal ajal nõuda CV kustutamist. Lisanduvad muud üldmääruse artiklis 17 sätestatud juhud, mh kui isik võtab andmete töötlemiseks antud nõusoleku tagasi või kui isikuandmeid on töödeldud ebaseaduslikult.

  • Andmete ülekandmise õigus

Suurim sisuline muutus, mis ootab kogu erasektorit, on isikuandmete ülekantavus. Inimene võib võtta oma digitaalandmed ettevõttest A ning viia need ettevõttesse B. See täendab, et inimesel on õigus küsida ja saada andmetöötlejalt kõik teda puudutavaid isikuandmed, mida inimene on andmetöötlejale edastanud. Edastamise all tuleb käsitleda kõiki andmeid, mida inimene edastab otseselt kas ise või edastatakse andmetöötlejale inimese mõne tegevuse käigus. Näiteks veebivormide täitmine (e-poe, sotsiaalmeedia konto loomine) või e-kirja saatmine, samuti nutiseadme kasutamisel sideoperaatorile edastatud andmed (nt helistaja asukoht, kõne adressaat). Aga ka kliendikaardiga registreeritud ostud poes või andmed (nt pulsisagedus, sammude arv), mida inimese aktiivsusmonitor edastab näiteks toitumisnõustajale. Andmete ülekandmist tuleb kohaldada ainult nendele andmetele, mille töötlemise aluseks on kas inimese nõusolek või inimese ja andmetöötleja vahel sõlmitud leping. Seega kui andmetöötlus toimub ainult seaduse alusel, siis õigus andmete ülekandmisele ei kohaldu. Seaduse alusel töötlevad inimeste isikuandmeid näiteks riigi ja kohaliku omavalitsuse asutused.

Andmete ülekandmise õiguse tagamiseks peab andmetöötleja isikuandmed edastama:

  1. struktureeritult;
  2. üldkasutatavas vormingus;
  3. masinloetaval kujul.

Et andmetöötlejal oleks võimalik nimetatud vorminõudeid täita, seab määrus lisatingimuse, mille kohaselt kuuluvad ülekandmisele ainult need isikuandmed, mida andmetöötleja töötleb automatiseeritult. Seega paberkandjatel olevad isikuandmed ülekandmisele ei kuulu.
Samuti saab inimene nõuda, et üks andmetöötleja edastaks andmed otse teisele andmetöötlejale. Seda juhul, kui see on tehniliselt teostatav. See tähendab, et kui inimene soovib näiteks vahetada e-posti, panga või kõneteenuse pakkujat, on tal õigus nõuda, et senine teenusepakkuja edastab tehnilisel võimalusel inimesega seotud isikuandmed otse uuele teenusepakkujale.
Samas ei tähenda andmete ülekandmine uuele teenusepakkujale, et inimene peab oma kliendisuhte senise teenusepakkujaga lõpetama. Samuti ei tähenda see automaatselt seda, et senine teenusepakkuja peab kõik inimesega seotud isikuandmed kustutama (isegi kui kliendisuhe lõpeb).[2]

  • Õigus esitada vastuväiteid ja automatiseeritud töötlusel põhinevate üksikotsuste tegemine

Isik saab nõuda, et tema kohta ei võetaks vastu otsust, mis põhineb automatiseeritud töötlusel, sealhulgas profiilianalüüsil. Vastav õigus tekib siis kui profileerimisel on teda puudutavad õiguslikud tagajärjed või see avaldab talle märkimisväärset mõju. Sellised on näiteks juhud, kui taotletakse veebipõhiselt laenu ja laenutaotlus lükatakse tagasi ilma inimsekkumiseta.

Millised on Sinu kui andmetöötleja kohustused?

  • Andmetöötleja on kohustatud andmete töötlemisele rakendama isikuandmete töötlemise põhimõtteid. Isikuandmete töötlemise põhimõtted on määruses üldiselt sätestatud põhimõtted, milleks on näiteks seaduslikkuse, õigluse, läbipaistvuse ja võimalikult väheste andmete kogumise põhimõte.
  • Andmete töötleja peab isikuandmeid töötlema turvaliselt. Ettevõtjal on kohustus rakendada ohule vastava turvalisuse taseme tagamiseks asjakohaseid tehnilisi ja korralduslikke meetmeid. Näiteks on sellisteks meetmeteks isikuandmete krüpteerimine. Isikuandmete kaitseks peab rakendama turvameetmeid, et kaitsta neid tahtmatu või volitamata töötlemise,  avalikuks tuleku või hävimise eest.
  • Andmetöötlejal on kohustus esitada isikule teavet tema isikuandmete töötlemise tingimuste ning tema õiguste kohta. Andmetöötleja peab isikut teavitama isikuandmete töötlemisest kokkuvõtlikult, selgelt, arusaadavalt ja lihtsalt kättesaadavas vormis, kasutades selget ja lihtsat keelt. Teave esitatakse kirjalikult või muude vahendite abil, sealhulgas asjakohasel juhul elektrooniliselt.
  • Töötlemistoimingud tuleb registreerida. Ettevõtted või organisatsioonid, millel on üle 250 töötaja, peavad pidama töötlemistoimingute registrit ja nõudmise korral tegema selle kättesaadavaks andmekaitse järelevalveasutusele. Erandlikult peavad seda tegema ka väiksemad ettevõtted või organisatsioonid, kui andmete töötlemine kujutab ohtu isiku õigustele ja vabadustele, andmete töötlemine ei ole juhtumipõhine, töödeldakse eriliiki isikuandmeid või andmeid, mis on seotud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega. Kohustus tuleneb määruse artiklist 30. Võib tunduda, et väiksemad ettevõtted on sellisel juhul töötlemistoimingute registreerimisest pääsenud, kuid tegemist ei ole juhtumipõhise töötlemisega, kui toimingud on eelnevalt planeeritud, läbiviimine organiseeritud ja metoodiline ning andmete töötlemine on selgelt osa andmetöötleja ärimudelistSiia alla lähevad näiteks teenindusettevõtete lojaalsusprogrammid. Samuti on kõik tööandjad isikuandmete töötlejad (nt andmed töötajate, vabatahtlike, praktikantide, külaliste kohta) ning ei töötle inspektsiooni hinnangul andmeid ainult juhtumipõhiselt. Seega ei tohi registrist välja jätta ka organisatsiooni enda personali kohta käivate isikuandmete töötlemist.[3]
  • Laste isikuandmete kaitsmine. Üldmääruse järgi väärivad just laste isikuandmed erilist kaitset, kuna lapsed ei pruugi olla piisavalt teadlikud asjaomastustest ohtudest, tagajärgedest ja kaitsemeetmetest ning oma õigustest seoses isikuandmete töötlemisega. Eestis kehtima hakkava uue isikuandmete kaitse seaduse järgi on lapse isikuandmete töötlemine infoühiskonna teenuste pakkumisel seaduslik ainult juhul, kui laps on vähemalt 14-aastane.
  • Andmekaitseametniku määramise kohustus. Üldmääruse kohaselt peavad teatud isikuandmete töötlejad määrama andmekaitsespetsialisti. Nendeks on:
  • avaliku sektori astused või organid –ministeeriumid, ametid, inspektsioonid, üldhariduskoolid, linna- ja vallavalitsused;
  • andmetöötlejad, kelle põhitegevuseks on ulatuslik andmesubjektide korrapärane ja süstemaatiline jälgimine – nt haiglad, kaubanduskeskuses turvateenust osutav ettevõte, krediidiasutused, kindlustusvahendajad, sideettevõtted, hotellid, personaliotsingu ja tööjõurendi ettevõtted, töövahendusprotaalid;
  • andmetöötlejad, kelle põhitegevuseks on eriliiku andmete ulatuslik töötlemine või süüdimõistvate kohtuotsuste ja süütegudega seotud isikuandmete ulatuslik töötlemine – nt haiglad, perearstikeskused, terviseuuringute teostajad. [4]

Vastutus

Üheks suuremaks muutuseks võrreldes varasemalt kehtinud andmekaitse regulatsiooniga on trahvisummade suurenemine. Maksimaalne trahvisumma üldmääruses kehtestatud nõuete rikkumisel on 20 miljonit eurot või 4% ettevõtte ülemaailmsest käibest vastavalt sellele, kumb on suurem. Kuid järgides eelnevalt välja toodud punkte ja viies oma ettevõttes andmetöötluse nõuetele vastavaks, ei tasu suurte trahvisummade pärast siiski muretseda.

Rohkem infot meie andmekaitsespetsialistilt:

Birje esindab ja nõustab kliente peamistes tsiviilõiguse valdkondades nii kohtuväliselt kui ka kohtumenetluses.