Andres Varustin
Küsinud Ants Vill 18. jaanuar 2018 15:49
Juba mais jõustub Euroopa Liidu andmekaitse regulatsioon, mille eesmärk on lõpetada isikuandmete põhjendamatu töötlemine ja talletamine. Määruse põhjal peavad ettevõtted üle vaatama isikuandmete käsitlemise. Uuenduste kohta jagab selgitusi andmekaitse inspektsiooni avalike suhete nõunik Maire Iro.

Mida tähendab määruses nimetatud andmete ülekantavus?

Mida loetakse isikuandmeteks?

Isikuandmeteks loetakse kõiki andmeid, mida on kas või kaudselt võimalik ühe konkreetse inimesega seostada. Alates tema nimest, sünniajast, elukoha- ja kontaktandmetest ning lõpetades sellega, millised on ta tarbimisharjumused, liikumistrajektoorid või näiteks internetikäitumine. Eraldi saab rääkida tundlikumatest ehk senise nimetusega delikaatsetest isikuandmetest. Näiteks on diagnoosid ja kogu tervisega seonduv info üldjuhul ju palju isiklikum ning selle teabe lekkimisest võib inimesele tekkida rohkem kahju kui pelgalt ta nime või sünniaja teadmisest.

Uus määrus toob aga kaasa ka uue mõiste – edaspidi räägime delikaatsete isikuandmete asemel eriliiki isikuandmetest. Mõiste sisu jääb aga samaks: eriliiki isikuandmetega on tegemist siis, kui neist ilmneb inimese rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine; ka loetakse sellisteks isikuandmeteks geneetilisi, biomeetrilisi, tervise ja seksuaalelu kohta käivaid andmeid.

Uus Euroopa Liidu isikuandmete kaitse üldmäärus puudutab suuremal või vähemal määral kõiki neid kategooriaid – nii tavalisi isikuandmeid alates inimese nimest kui ka eriliiki isikuandmeid.

Mida uus üldmäärus muudab?

Inimese seisukohast vaadates on muudatusi väga vähe. Ehkki uue määruse tulekut nimetatakse lausa reformiks, ei tule senistesse andmekaitse põhimõtetesse suuri muudatusi ega uusi piiranguid. Küll aga tuleb muudatusteks valmis olla ettevõtetel ja asutustel. Üldmääruse läbiv joon on riskipõhine lähenemine. Mida tundlikum andmetöötlus, seda rangemad reeglid.

Uue andmekaitse määruse peamiseks eesmärgiks on anda praegusel nutitelefonide, sotsiaalmeedia ja internetipanganduse ajastul inimestele parem kontroll oma andmete üle. Seega tuleb organisatsioonidel ettevalmistusi teha, et oma tegevus ühtsete nõudmistega vastavusse viia.

Ettevõte ja asutus, kes kogub ja kasutab tundlikke isikuandmeid ning andmemassiive, teeb automaatprofileerimist või ulatuslikku kaamerajälgimist, peaks kindlasti oma töökorralduse, infosüsteemid ja dokumendipõhjad üle vaatama. Üldine suundumus on muuta rohkem andmeid anonüümseks ja suurendada töötajate teadlikkust andmekaitsest.

Kellele tuleks teatada andmekaitsealastest rikkumistest?

Rikkumise korral tuleks esmalt kindlasti ühendust võtta ettevõtte, asutuse või organisatsiooniga, kes rikkumise toime on pannud, ning nõuda rikkumise lõpetamist ja küsida selgitusi. Näiteks kui rikkumine on toimunud korteriühistus, saab üldjuhul kõige kiiremini lahenduse sellega seonduvad küsimused naabritega selgeks rääkides. Rikkumisest tasub teavitada ka andmekaitse inspektsiooni. Seda eriti olukorras, kus rikkumist lõpetada ei õnnestu ning rikkujaga üksmeelt ei saavutata.

Milliseid müüte seoses uuendustega on vaja ümber lükata?

Andmekaitseõiguse uuenemine on tekitanud ärevust eelkõige trahvidega seoses. Ilmselt enim kajastatud muutus on uus trahvi ülempiir – kuni 20 miljonit eurot või kuni neli protsenti ettevõtte üleilmsest käibest, sõltuvalt sellest, kumb on suurem. Uue andmekaitseõiguse eesmärk ei ole siiski senise karistuspoliitika muutmine ning trahvide esikohale seadmine. Andmekaitse inspektsioon leiab, et trahvide määramine on viimane abinõu – kui tegu on raske, pahatahtliku või korduva rikkumisega. Vajadusel saame rikkujale teha hoiatuse või ettekirjutuse trahvi määramata. Selles osas ei ole kavas senist praktikat muuta.

Kuidas saab inimene teada, kas ta andmed on kaitstud?

Inimesel on alati õigus küsida ettevõttelt, milliseid andmeid tollel tema kohta on ning mille jaoks neid kasutatakse. Samuti võib küsida selgitusi andmekaitsetingimuste kohta. Inimesel on õigus nõuda oma andmete parandamist, kui need on väärad, või kustutamist, kui nende alleshoidmiseks ei ole enam põhjust. Kui ettevõte näiteks seadusest tuleneval põhjusel andmeid kustutada ei saa, siis tuleb seda kliendile põhjendada – mis seadus ja mis eesmärgil kohustab andmeid alles hoidma. Siin võivad tulla kõne alla näiteks raamatupidamislikud kohustused, tehingu tõestamise nõue vms.

Kes peavad andmete kaitsmise eest hoolt kandma?

Milline on eraisiku vastutus andmekaitse alal?

Eraisiku jaoks kehtib andmekaitses isikliku otstarbe erand. Inimene võib iseenda jaoks vajalikke andmeid koguda ilma sellest kedagi teavitamata või kelleltki luba küsimata. Näiteks võib eraisik enda jaoks pidada nimekirja sõprade-sugulaste või endiste koolikaaslaste sünnipäevadest või kontaktandmetest. Samuti käib siia alla videote ja fotode tegemine sünnipäevapeol või pulmas. Selliste tegevuste juures ei pea andmekaitse nõuete pärast muret tundma. Küll aga ei anna see erand õigust kogutud andmeid ja tehtud pilte või videoid pere ringist väljapoole jagada ega kuskil avalikustada. Lühidalt kokku võttes: andmeid koguda või pildistada-filmida võib isiklikul otstarbel ka nõusolekuta, seevastu teadetetahvlile riputada, internetti üles laadida ega levitada aga mitte. Näiteks võib enda jaoks mälestuseks filmida lapse sünnipäevapeol viibivaid sõpru, ent selle video YouTube’i ülespanemiseks peaks juba videol olevate laste vanematelt nõusolekut küsima.

Siinjuures tuleb tähele panna, et ehkki andmekaitsereeglid isiklikul otstarbel pildistamist-salvestamist ei keela, võib asutus, ettevõte või ka eraisikust maja- ja maaomanik selle oma territooriumil siiski ära keelata.

Kui jutt käib statsionaarsest valvekaamerast, mille vaatevälja jääb ka avalik ruum, siis enne selle paigaldamist tuleb juba seadus ja inspektsiooni koostatud juhendmaterjal appi võtta ning läbi mõelda, kas kaamera kasutamine vastab seaduses toodud nõuetele.

Samal teemal

Kommentaarid  (4)

hh 20. jaanuar 2018 15:50
võib küll, kui väike inimene oled.
Vastuolu 20. jaanuar 2018 14:07
Varem reguleeris fotode ja videote levitamist autoriõiguse seadus. Kui nüüd andmekaitse üldmääruse järgi on inimest kujutav video paljas andmekogu, aga mitte enam looming, kas see tähendab siis, et mängufilmide levitamisel pole enam filmistuudiole vaja maksta?
Kõik kommentaarid

SISUTURUNDUS