Mida tähendab määruses nimetatud andmete ülekantavus?
Suurim sisuline muutus, mis seoses uue määrusega andmekaitsevaldkonnas kogu erasektorit ees ootab, on isikuandmete ülekandmise õigus: inimene võib võtta oma digitaalandmed ettevõttest A ja viia need ettevõttesse B. Ettevõttel, kel on põhjust oodata selliseid soove hulgi, on mõistlik kulude optimeerimiseks ja klientide rahulolu suurendamiseks oma infosüsteemid üle vaadata, et andmeid oleks võimalikult hõlbus ja lihtne üle kanda. Eks seda, kuidas see tegelikult toimima hakkab ning millistes ettevõtetes seda rohkem kasutama hakatakse, näitab tulevik.
Mida loetakse isikuandmeteks?
Isikuandmeteks loetakse kõiki andmeid, mida on kas või kaudselt võimalik ühe konkreetse inimesega seostada. Alates tema nimest, sünniajast, elukoha- ja kontaktandmetest ning lõpetades sellega, millised on ta tarbimisharjumused, liikumistrajektoorid või näiteks internetikäitumine. Eraldi saab rääkida tundlikumatest ehk senise nimetusega delikaatsetest isikuandmetest. Näiteks on diagnoosid ja kogu tervisega seonduv info üldjuhul ju palju isiklikum ning selle teabe lekkimisest võib inimesele tekkida rohkem kahju kui pelgalt ta nime või sünniaja teadmisest.
Uus määrus toob aga kaasa ka uue mõiste – edaspidi räägime delikaatsete isikuandmete asemel eriliiki isikuandmetest. Mõiste sisu jääb aga samaks: eriliiki isikuandmetega on tegemist siis, kui neist ilmneb inimese rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine; ka loetakse sellisteks isikuandmeteks geneetilisi, biomeetrilisi, tervise ja seksuaalelu kohta käivaid andmeid.
Uus Euroopa Liidu isikuandmete kaitse üldmäärus puudutab suuremal või vähemal määral kõiki neid kategooriaid – nii tavalisi isikuandmeid alates inimese nimest kui ka eriliiki isikuandmeid.
Mida uus üldmäärus muudab?
Inimese seisukohast vaadates on muudatusi väga vähe. Ehkki uue määruse tulekut nimetatakse lausa reformiks, ei tule senistesse andmekaitse põhimõtetesse suuri muudatusi ega uusi piiranguid. Küll aga tuleb muudatusteks valmis olla ettevõtetel ja asutustel. Üldmääruse läbiv joon on riskipõhine lähenemine. Mida tundlikum andmetöötlus, seda rangemad reeglid.
Uue andmekaitse määruse peamiseks eesmärgiks on anda praegusel nutitelefonide, sotsiaalmeedia ja internetipanganduse ajastul inimestele parem kontroll oma andmete üle. Seega tuleb organisatsioonidel ettevalmistusi teha, et oma tegevus ühtsete nõudmistega vastavusse viia.
Ettevõte ja asutus, kes kogub ja kasutab tundlikke isikuandmeid ning andmemassiive, teeb automaatprofileerimist või ulatuslikku kaamerajälgimist, peaks kindlasti oma töökorralduse, infosüsteemid ja dokumendipõhjad üle vaatama. Üldine suundumus on muuta rohkem andmeid anonüümseks ja suurendada töötajate teadlikkust andmekaitsest.
Kellele tuleks teatada andmekaitsealastest rikkumistest?
Rikkumise korral tuleks esmalt kindlasti ühendust võtta ettevõtte, asutuse või organisatsiooniga, kes rikkumise toime on pannud, ning nõuda rikkumise lõpetamist ja küsida selgitusi. Näiteks kui rikkumine on toimunud korteriühistus, saab üldjuhul kõige kiiremini lahenduse sellega seonduvad küsimused naabritega selgeks rääkides. Rikkumisest tasub teavitada ka andmekaitse inspektsiooni. Seda eriti olukorras, kus rikkumist lõpetada ei õnnestu ning rikkujaga üksmeelt ei saavutata.
Milliseid müüte seoses uuendustega on vaja ümber lükata?
Andmekaitseõiguse uuenemine on tekitanud ärevust eelkõige trahvidega seoses. Ilmselt enim kajastatud muutus on uus trahvi ülempiir – kuni 20 miljonit eurot või kuni neli protsenti ettevõtte üleilmsest käibest, sõltuvalt sellest, kumb on suurem. Uue andmekaitseõiguse eesmärk ei ole siiski senise karistuspoliitika muutmine ning trahvide esikohale seadmine. Andmekaitse inspektsioon leiab, et trahvide määramine on viimane abinõu – kui tegu on raske, pahatahtliku või korduva rikkumisega. Vajadusel saame rikkujale teha hoiatuse või ettekirjutuse trahvi määramata. Selles osas ei ole kavas senist praktikat muuta.
Kuidas saab inimene teada, kas ta andmed on kaitstud?
Inimesel on alati õigus küsida ettevõttelt, milliseid andmeid tollel tema kohta on ning mille jaoks neid kasutatakse. Samuti võib küsida selgitusi andmekaitsetingimuste kohta. Inimesel on õigus nõuda oma andmete parandamist, kui need on väärad, või kustutamist, kui nende alleshoidmiseks ei ole enam põhjust. Kui ettevõte näiteks seadusest tuleneval põhjusel andmeid kustutada ei saa, siis tuleb seda kliendile põhjendada – mis seadus ja mis eesmärgil kohustab andmeid alles hoidma. Siin võivad tulla kõne alla näiteks raamatupidamislikud kohustused, tehingu tõestamise nõue vms.
Kes peavad andmete kaitsmise eest hoolt kandma?
Isikuandmetega puutume me kõik kokku iga päev. Ennekõike on oluline hoolt kanda selle eest, et me ise näiteks internetis tegutsedes kogemata liiga palju enda ega oma lähedaste eraelu ei avalikustaks. Kas on mõistlik võõrastele kuulutada, et ees ootab pikem puhkusereis ja korter jääb mõneks ajaks tühjaks? Või rääkida avalikult lähedase inimese terviseprobleemidest? Pigem vist siiski mitte. Selle peale tasub mõelda sotsiaalmeediavõrgustikes, aga ka veebipõhiseid teenuseid või äppe kasutades. Vaadake üle, milliseid privaatsussätteid te erinevates teenustes ja seadmetes kasutate, ning vajadusel muutke need endale sobivamaks.
Milline on eraisiku vastutus andmekaitse alal?
Eraisiku jaoks kehtib andmekaitses isikliku otstarbe erand. Inimene võib iseenda jaoks vajalikke andmeid koguda ilma sellest kedagi teavitamata või kelleltki luba küsimata. Näiteks võib eraisik enda jaoks pidada nimekirja sõprade-sugulaste või endiste koolikaaslaste sünnipäevadest või kontaktandmetest. Samuti käib siia alla videote ja fotode tegemine sünnipäevapeol või pulmas. Selliste tegevuste juures ei pea andmekaitse nõuete pärast muret tundma. Küll aga ei anna see erand õigust kogutud andmeid ja tehtud pilte või videoid pere ringist väljapoole jagada ega kuskil avalikustada. Lühidalt kokku võttes: andmeid koguda või pildistada-filmida võib isiklikul otstarbel ka nõusolekuta, seevastu teadetetahvlile riputada, internetti üles laadida ega levitada aga mitte. Näiteks võib enda jaoks mälestuseks filmida lapse sünnipäevapeol viibivaid sõpru, ent selle video YouTube’i ülespanemiseks peaks juba videol olevate laste vanematelt nõusolekut küsima.
Siinjuures tuleb tähele panna, et ehkki andmekaitsereeglid isiklikul otstarbel pildistamist-salvestamist ei keela, võib asutus, ettevõte või ka eraisikust maja- ja maaomanik selle oma territooriumil siiski ära keelata.
Kui jutt käib statsionaarsest valvekaamerast, mille vaatevälja jääb ka avalik ruum, siis enne selle paigaldamist tuleb juba seadus ja inspektsiooni koostatud juhendmaterjal appi võtta ning läbi mõelda, kas kaamera kasutamine vastab seaduses toodud nõuetele.
Kommentaarid