juuni 8, 2018

Uus andmekaitse üldmäärus

OÜ HUGO jurist Anu Baum arutleb uue andmekaitsemääruse üle – millised on kodanike õigused uue määruse kontekstis ning kuidas peaksid käituma ettevõtted.

Uue määruse eesmärk ja vajadus

25. mai 2018 rakendunud andmekaiste üldmääruse peamiseks eesmärgiks on anda nutitelefonide, sotsiaalmeedia ja internetipanganduse ajastul kodanikele parem kontroll oma andmete üle. Ehk siis teiste sõnadega – uue andmekaiste väljatöötamise vajadus on otseselt seotud interneti ja digitaalteenuste arenguga. On selge, et tänapäeval tehakse väga palju toimingud interneti vahendusel. Samuti on infotehnoloogia lai levik teinud kergeks isikuandmete kogumise ja töötlemise – seda nii riikidel, kui ka eraettevõtluses.

Kiire digitaliseerimine on viinud meid olukorrani, kus inimestel endal puudub suuresti ülevaade, kellel ja millised isikuandmed tema isikust on, kuidas neid töödeldakse ning milleks kasutatakse. Kuna olemasolev seadusandlus ei pakkunud kodanikele piisavalt kaitset isikuandmete töötlejate osas (kogumine, edastamine kolmandatele isikule jne), oli vajadus uue ning kaasaegseid vajadusi ja tehnoloogia arengut arvestava seadusandluse järgi.

Uus rakendunud andmekaiste üldmäärus annab inimesele suurema võimu oma isikuandmete kaitsmisel. Isiku õigus privaatsusele ning andmete kaitsele on üks isiku põhiõigustest.

Euroopa Liidu põhiõiguste harta artiklites 7 ja 8 tunnustatakse eraelu austamist ja isikuandmete kaitset kui omavahel tihedalt seotud, kuid eraldiseisvaid põhiõigusi. 4. novembri 1950. aasta Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artiklis 8 on sätestatud õigus era- ja perekonnaelu austamisele: „Igaühel on õigus sellele, et austataks tema era- ja perekonnaelu ja kodu ning korrespondentsi saladust.“

Seega on uue andmekaiste määruse peamiseks eesmärgiks isiku põhiõiguste kaitse, andes isikule suurema õiguse ise otsustada millisel otstarbel tema andmeid kasutatakse.

Samuti annab Määrus inimesele õiguse :
1) nõuda tema andmete töötlemise lõpetamist
2) saada täieliku ülevaatena teavet tema andmete kasutamise kohta
3) nõuda andmete edastamist andmesubjekti (st isiku) poolt määratud kolmandatele isikutele

Vastakad arvamused uue määruse osas  

Uue andmekaiste määruse kohta on ühiskonnas ja ajakirjanduses levimas vastakad seisukohad ning arvamused. Ühelt poolt vaadeldakse seda kui ülereguleerimise näidet, sh tuuakse välja suured (kallid) sanktsioonid mida võib rakendada ettevõtete suhtes, kes määruse nõudeid ei järgi. Teiselt poolt vaadeldakse seda kui uut imevahendit, mis peaks lahendama kõik andmekaistega seotud probleemid ning mis peaks, kui mitte muidu siis rangete sanktsioonide hirmus, tagama isiku privaatandmete täieliku kaitse.

Mida võiks tavainimene sellest teada  

Tavainimesele on uue andmekaitse määruse rakendumisel olulisim teada, et tal on õigus ise määrata, milleks andmekoguja tema andmeid kasutab. Inimesel on õigus teada, millisel eesmärgil tema andmeid kogutakse. Juhul, kui andmete kogumisel on mitu eesmärki, siis peab olema inimesel võimalus anda nõusolek (või sellest keelduda) iga eesmärgi kohta eraldi. Andmete töötlemise eesmärgid peavad olema sõnastatud võimalikult lihtsalt ja nö tavainimesele arusaadavas keeles.

Kuidas ettevõtted käituvad

Alates mai teisest poolest asusid mitmed ettevõtted ja teenusepakkujad oma klientidele saatma e-posti teel kirju, milles palusid inimesel oma andmeid uuendada ning anda nõusolek oma andmete töötlemiseks.

Kahjuks oli ka nende seas juba näha olukordi, kus suurfirmad tegelikkuses rikuvad uue andmekaiste määruse põhimõtteid. Nii näiteks ei ole määrusega päris kooskõlas isiku nõusoleku küsimine mitmeks eesmärgiks moodusel, kus inimesel on võimalus anda nõusolek kas kõikideks eesmärkideks või mitte ühekski. Määruse järgi ei ole sellisel kujul nõusoleku andmine õiguspärane – inimesel peab olema õigus valida, milleks ta annab nõusoleku ja milleks mitte.

Nii näiteks on vaieldav, kas suurettevõtte poolt kliendile edastatud 8 lehekülje pikkune dokument, kus on mitmeid eesmärke milleks ettevõte soovib andmeid töödelda ning millele klient peab andma nö ühe klikiga nõusoleku (olen tutvunud mulle edastatud firma X andmete töötlemise põhimõtete ja eesmärkidega ning annan selleks nõusoleku), on ikka seaduspärane. Kindla vastuse annab tulevik, sest iga uus seadus nõuab aega tavaelus rakendumiseks ning kohtupraktika väljakujunemiseks, kuid täna teadaoleva informatsiooni valguses tundub, et sellisel kujul nõusoleku võtmine isiku andmete töötlemiseks ei ole õiguspärane ning see on vastuolus määruse põhimõtetega.

Ettevõte, kes isikuandmeid töötleb, peab andma inimesele informatsiooni vastutava töötleja kohta. Vastutav töötleja ei pea olema nõusoleku vormis mainitud nimeliselt – oluline on, et välja oleks toodud e-posti aadress, millele kirjutades saab kodanik anda teada soovist “Ma ei soovi, et ettevõte X minu isikuandmeid töötleks”. Selliseks e-posti aadressiks võib ilmselt olla ettevõtte üldaadress.

Uus mõiste uues määruses  

Uueks mõisteks Määruses on isiku õigus andmete ülekandmisele (ingl. k. Data Portability; Määruse artikkel 20). Sellekohaselt on inimesel õigus küsida ja saada andmetöötlejalt kõik teda puudutavad isikuandmed, mida inimene on andmetöötlejale edastanud. Oluline on siin just see, et õigus on saada vaid neid andmeid, mida inimene on ise andmetöötlejale edastanud. Nende andmete osas, mis on andmetöötleja enda genereerinud (nt analüüs isiku makseharjumuste kohta), puudub andmetöötlejal edastamise kohustus.

Parktikas võib tekkida probleem andmete looja suhtes, st millised andmed on edastatud isiku enda poolt ning millised on genereeritud andmete käitleja/teenuse pakkuja poolt. Kuigi teoreetiliselt on asi lihtne, siis näiteks võib vaidlusaluseks osutuda küsimus, kas internetiteenuse pakkuja poolt salvestatavad logiandmed on teenuse pakkuja andmed või on tegemist isiku poolt edastatud isikuandmetega.

Kindlasti tekitab uus määrus praktikas küsimusi, mis leiavad lahenduse ehk alles kohtus (kui on tekkinud kohtupraktika).

Kaks probleemset nüanssi seoses uue määrusega

Uue määruse valguses võib inimene igapäevaselt kokku puutuda ka selliste probleemidega/küsimustega:
1)   Kui inimene ei nõustu isikuandmete käitleja tingimustega, siis kas isikuandmete töötlejal on õigus teenuse leping üles öelda. Näiteks on järelmaksu pakkuva ettevõtte lepingus kirjas, et tal on õigus edastada andmed kolmandatele isikutele, sh pankadele ja inkassoettevõtele. Juhul, kui te nõusolekut ei anna, siis kas see on aluseks teiega järelmaksu lepingut mitte sõlmida (ilmselt on, seega – inimesel ei pruugi olla väga muid valikud kui isikuandmete töötlejale anda nõusolek kõiges mida töötleja soovib)
2)   Rahvusvahelised teenuse pakkujad – teenuselepingud ja isikuandmete töötlemiseks nõusolek on tihti isegi emakeeles raskesti loetav ja arusaadav (mitte ainult nö tavainimesele, vaid ka juristile). Rahvusvaheliste teenusepakkujate nõusolekud on tihti ingliskeelsed, millest teenuse kasutaja ei saa kas üldse aru või ei saa piisavalt aru. Seega, isegi kui inimene teeb linnukesed kastikestesse, millega ta nõustub isikuandmete töötlemisega, ei tähenda see veel tegelikult seda, et inimene oleks aru saanud mille osas ta nõusoleku annab (nt FB, Google, Microsofti tooted).

Ära anna nõusolekut, kui eesmärk jääb arusaamatuks  

On veel üks nüanss, millele tuleb tähelepanu pöörata seoses jõustunud andmekaitse määrusega. Nimelt, nagu juba eelpool öeldud – selleks, et ettevõte saaks teie isikuandmeid töödelda, sh edastada neid kolmandatele isikutele, saata teile uudiskirju jne, peate te olema andnud nõusoleku. Kindlasti oleme me kõik viimaste nädalate jooksul näinud oma e-postkastides erinevatelt ettevõtetelt saabunud e-kirju, mis paluvad meil oma andmeid uuendada ning ühtlasi anda nõusolek, et ettevõte saaks meie andmeid kasutada. Üldiselt on toodud ka välja eesmärk, milleks ettevõte soovib teie andmeid kasutada. Palun kõigil lugeda enne nõustun nupule vajutamist läbi ning aru saada, mille osas te nõusoleku annate – mõne nö linnukese tegemata jätmine võimaldab ennetavalt hoida oma e-postkast puhtam reklaamidest ja kaubanduslikest teadaannetest.

Kuid siin tuleb arvestada, et mitte nõustudes ei pruugi te enam olla selle müüja/teenusepakkuja püsiklient ning te ei saa näiteks nende kliendikaarti kasutada. Hinnake oma aega ja vajadust – kas selle nimel, et kord aastas kaupleja toodet ostes saate allahindlust kaalub üles asjaolu, et peate iga nädal sama kaupleja reklaame enda postkastist kustutama.

Inkassod ei ole uue seaduse valguses mingeid samme astunud  

Määrus ütleb, et isiku nõusolekut andmete töötlemiseks ei ole vaja (isikuandmete töötlemine on seaduslik), kui on täidetud vähemalt üks määruse artiklis 6 lg-s 1 sätestatud tingimustest. Üheks selliseks tingimuseks on, et isikuandmeid võib töödelda, kui töötlemine on vajalik isiku osalusel sõlmitud lepingu täitmiseks. Samuti on isikuandmete töötlemine lubatud isiku nõusolekuta, kui isikuandmete töötlemine on avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks.

Inkasso teenuseid pakkuvad ettevõtted, sh maksehäirete registrit pidavad asutused, on eraettevõtted, kes ei täi