Palju kõneainet tekitav teema Eesti ettevõtjate ja avaliku sektori organisatsioonide hulgas on mõne aasta eest jõustunud GDPR, mis sätestab, mismoodi ja kuidas tuleb kaitsta üksikisiku personaalseid isikuandmeid. Kuidas andmekaitsega selle puhul toime tulla ja mida teha, sellest tegi lihtsa ja selge ülevaate Virge Rebane Infibird.ee-st.

Iga ettevõtja, kes toimetab oma kauba kätte postiteenuseid kasutades kas kulleriga või pakiautomaadi kaudu, peab küsima oma kliendilt nõusolekut tema isikuandmete kogumiseks, töötlemiseks ja säilitamiseks õigustatud huvi alusel, milleks on siinkohal toodud näite puhul ostetud kauba kättetoimetamine. Kuid see pole veel kõik.

Isikuandmeteks loetakse ka finantsandmeid, sest enamasti tuleb erinevaid kaardimakse- või pangateenuse lahendusi kasutades tasuda kauba eest kohe ja otse kaupmehe veebilehel.

Seega töödeldakse erinevaid isikuandmeid, finantsandmeid ja veel mitut liiki muidki isikuandmeid, mis on inimese jaoks praegu saanud tema üheks kõige kallimaks varaks. Maandades suuremad ohud ja riskid, on võimalik ettevõttel isikuandmeid töödelda neid turvaliselt hoides.

Seega tasub lahti mõtestada, on andmekaitse, keda see puudutab ja miks see nii oluline on?

Mis on andmekaitse?

Tehes juttu andmekaitsest, räägime tegelikult isikuandmete kaitsest, mida reguleeritakse Euroopa Liidus GDPR-i ehk Isikuandmete Kaitse Üldmäärusega (IKÜM). Kuid Eestis on veel Eesti Vabariigi Põhiseadus, Isikuandmete Kaitse Seadus, Euroopa inimõiguste ja põhivabaduste kaitse konventsioon ja Isikuandmete automatiseeritud töötlemisel isiku kaitse konventsioon. Need kõik sätestavad teineteist toetavalt ja täiendades seaduse tasandil kodaniku enda jaoks, millistel õiguslikel alustel tuleb tema isikuandmeid kaitsta, töödelda, säilitada ning milliste õigustatud huvide raames võib üldse isikuandmeid kodanikult küsida.

Õigus isikuandmete kaitsele ei ole aga absoluutne õigus, vaid seda tuleb kaaluda vastavalt selle ülesandele ühiskonnas ning tasakaalustada muude põhiõigustega vastavalt proportsionaalsuse põhimõttele.

Näiteks tuleb õigust isikuandmete kaitsele kaaluda järgmiste õigustega:

• era- ja perekonnaelu,
• kodu ja edastatavate sõnumite saladuse austamine,
• mõtte-, südametunnistuse- ja usuvabadus,
• sõna- ja teabevabadus,
• ettevõtlusvabadus,
• õigus tõhusale õiguskaitsevahendile ja õiglasele kohtulikule arutamisele
• õigus kultuurilisele, usulisele ja keelelisele mitmekesisusele.

Õigus isikuandmete kaitsele ei ole rohkem ega vähem tähtsam, kui teised inimese põhiõigused.

Isikuandmeid kaitstes seistakse selle eest, et inimeste eraelu puutumatust ja vabadust lubamatult ei riivataks ning säiliks ligipääs iseenda kohta kogutud andmetele ning samuti infole, millises ulatuses, eesmärgil ja õiguslikul alusel on isikuandmeid töödeldud.

Samas võib ühe inimese õigus eraelule põrkuda teise inimese sõna- ja teabevabadusega, eneseteostusvabadusega, ettevõtlusvabadusega. 

Teatud küsimustes on seadusandja andnud täpsemad kaalumisreeglid: näiteks ajakirjanduslikul eesmärgil võib piirata privaatsust eraelule suure avaliku huvi korral. Põhiõigusi tuleb konkreetses olukorras omavahel kaaluda.

Miks peaksid väikeettevõtted ja veebiteenuste pakkujad andmekaitsega tegelema?

Lõimitud andmekaitse ühendab kõiki privaatsuse kaitse meetmeid alates isikuandmete töötlust ettevalmistavatest toimingutest kuni protsessi viimase etapini välja. 

Teisisõnu on see meetmete komplekt vajalik kogu andmetöötluse elutsüklis. Lõimitud on omavahel nii dokumentatsioon ja õiguslikud alused, kui tehnoloogia ja töökorraldus ehk kõik töötlusprotsessi toimingud, mis juhinduvad andmekaitse reeglitest ja põhimõtetest.

Näiteks on tegemist lõimitud andmekaitsega, kui organisatsioonil on kasutusel asjakohased ja kaasajastatud infoturbemeetmed, hinnatud on riskid ja vajadusel tehtud andmekaitseline mõjuhinnang, inimesele on tagatud teave nii tema andmete töötlemise eesmärgi kui ta õiguste kohta, sõlmitud on lepingud volitatud andmetöötlejatega ja olemas on kehtivad töösisekorra eeskirjad.

Vaikimisi andmekaitse on lõimitud andmekaitse üks väljunditest, mille eesmärk on tagada inimesele lahendust lähtuvalt andmetöötluse minimaalsuse ja maksimaalse turvalisuse põhimõtetest. Toodete või teenuste saamiseks küsitavate isikuandmete hulk on nii vähene kui lepingu täitmiseks vajalik, samas antakse inimesele võimalus soovi korral jagada asjasse puutuvaid lisaandmeid.

Näiteks kui tellida internetivormi kaudu koju üldhuviajakiri, on vajalik küsida peale nime veel kohaletoimetamise aadress, kuid andmete küsimine inimese töökoha, laste arvu, hariduse vms kohta osutub ülemääraseks.

E-poodi kasutajakonto tegemiseks on vaja küsida vaid neid andmeid, mida e–poe tellimuse täitmiseks vaja. Kõik eelseadistused tehnoloogiaseadmetes on pandud paika selliselt, et inimene saab suurema privaatsusriivega valikuid ise aktiveerida.

Kuidas mõjutab andmekaitse igapäevast äritegevust ning mis on peamised riskid?

Iga mõistlik andmetöötleja (ettevõte ja avalik organisatsioon) hindab nii või teisiti oma tänaseid ja tulevasi ohte, kui selleks on vajadus.

Õiguslikus mõttes on seda vaja kolme nõude täitmiseks:

1. vastutaval töötlejal on kohustus võtta arvesse andmetöötlusega seotud ohte ning rakendada meetmeid, et tagada andmetöötluse vastavus üldmäärusele/direktiivile ning seda üle võtvale IKS’le ja olla võimeline seda vastavust tõendama;
2. vastutaval töötlejal on kohustus rakendada lõimitud andmekaitset;
3. vastutaval ja volitatud töötlejal on kohustus tagada töötlemise turvalisus.

Ulatusliku tundliku isikuandmete töötlusega alustamisel nõuab üldmäärus/direktiiv (IKS) mõju hindamist dokumenteeritud kujul. Selle dokumendi sisule seatakse mõned miinimumnõuded.

Vastutav töötleja hindab ja kirjeldab:

• millise eesmärgi saavutamiseks, millistel alustel ja milliseid isikuandmeid milliste meetoditega ta töötleb;
• kuidas töötlemiseks kavandatud valikud on eesmärgi saavutamiseks vajalikud ja kohased;
• ohtude analüüs, sh nende taseme määramine (nt kõrge, keskmine, madal);
• milliseid tagatisi ja meetmeid ta ohtude suhtes rakendab.

See ongi mõjuhinnangu sisu miinimum. Meetmed kätkevad endas töökorralduse reegleid, füüsilisi ja infotehnilisi lahendusi.

Mõjuhinnangu kõige olulisem eesmärk on hinnata, kas andmete kaitseks rakendatavad meetmed on piisavad, et tõenäolisi ohte kas täielikult maandada või vähemalt leevendada neid vastuvõetavale tasemele.

Mõjuhinnangu peavad tegema kõik isikuandmete vastutavad töötlejad, kelle isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvestades tekib tõenäoliselt inimestele suur oht.

Kolm näidet mõjuhinnangust

Siin on kolm näidet võimalikest mõjuhinnangutest.

Esimene näide käib profileerimise kohta: andmetöötleja hindab inimesi automatiseeritud andmetöötlust kasutades ulatuslikult ja süstemaatiliselt ning selline hindamine on inimesele kas õiguslike tagajärgedega või olulise mõjuga.

Teine näide seisneb erinevat liiki või süüteoandmete ulatuslikus töötlemises.

Kolmas näide on avalike alade ulatuslik süstemaatiline jälgimine (näiteks valvekaameratega).

Paraku on üldmääruse eestikeelsest tõlkest jäänud ekslikult välja asjaolu, et see loetelu on tegelikult lahtine. Need näited pole ammendavad. Seega vajab mõjuhinnangut ka muu andmetöötlus, millega võib tõenäoliselt kaasneda eelneva kolme näitega võrreldav suur oht.

Mõjuhinnangu tegemise kohustuse määratlemisel tulevad mängu kaks kriteeriumi, mida üldmäärus kasutab ka andmekaitsespetsialisti määramise kohustuse juures: töötlemise süstemaatilisus ja ulatuslikkus.

Kordame nende definitsioone:

Süstemaatiline andmetöötlus on planeeritud ja metoodiline. Andmetöötlus on ulatuslik, kui hõlmab

• erinevat liiki või süüteoandmeid 5000 ja enama inimese kohta;
• suurt ohtu põhjustavaid andmeid 10 000 ja enama inimese kohta: suure ohu näideteks võib tuua identiteedivarguse või -pettuse ohu (eriti digitaalse usaldusteenuse ning sellega võrreldava identiteedihaldusteenuse puhul), ohu varale (eriti panga- ja krediitkaarditeenuse kaudu), ohu sõnumisaladuse rikkumisele (eriti sideteenuse puhul), inimese asukoha reaalajas jälitamine (eriti sideteenuse puhul), inimese majandusliku seisu avalikuks saamine (eriti maksuandmete, pangaandmete ning krediidireitingu andmete kaudu – kuid ei hõlma avalike andmete kasutamist), ohu õiguslike tagajärgedega või samalaadse mõjuga diskrimineerimiseks (sealhulgas töövahendusteenuses ning palga- ja karjäärivõimalusi mõjutavas hindamisteenuses), laste isikuandmete töötlemine (lastele suunatud teenustes), seadusest tuleneva saladuse hoidmise kohustusega kaitstud teabe avalikuks saamise oht (juurdepääsupiiranguga teave, ameti- ja kutsesaladusega kaitstud teave).

Kehtesta reeglid ja juhised

Oleme selgitanud, et andmekaitse on sisuliselt üksikisiku personaalsete isikuandmete kaitsmine, mis võimaldab ettevõtetel ja avaliku sektori organisatsioonidel isikuandmeid turvaliselt koguda, töödelda, hallata ja inimene saab igal ajahetkel esitada päringu, et milliseid andmeid tema kohta hoitakse. Soovi korral saab ta nõuda oma isikuandmete kustutamist.

Andmeid kogutakse õigustatud huvi alusel andes inimesele kogu vajaliku info nõusoleku vormil, millele ta vabatahtlikult omapoolse kinnituse saab anda.

Ettevõtte jaoks on oluline kehtestada reeglid, korrad ja juhised, mis omavahel seovad kokku selle, kuidas ja mismoodi isikuandmeid kogutakse, töödeldakse, ligipääsu võimaldatakse, kui kaua neid säilitatakse ja mismoodi hallatakse.

Regulatsioonid ja seadused kehtestavad küll palju nõudeid, kuid samal ajal jääb ruumi lahtise ja vaba tõlgenduse jaoks, et kuidas siiski konkreeetse nõude täitmiseni täpsemalt jõuda.

Järgmistes blogiartiklites jätkame andmekaitse teemade käsitlemist.

(Artiklis on allikana kasutatud Andmekaitse Inspektsiooni veebilehte aki.ee)

Artikkel ilmus algselt Veebimajutus.ee blogis.