Mida tähendab andmete ülekandmise õigus?

PrintPDF Jaga

Andmekaitse üldmääruse artikkel 20 kohaldab uue mõiste, milleks on õigus andmete ülekandmisele (ingl. k. Data Portability). Selle kohaselt on inimesel õigus küsida ja saada andmetöötlejalt kõiki teda puudutavaid isikuandmeid, mida inimene on andmetöötlejale edastanud.

Teatavasti on isikuandmed mistahes andmed, mis võimaldavad inimest otseselt või kaudselt tuvastada. Kui andmetöötleja valduses on ainult anonüümsed ehk inimest mitte tuvastada võimaldavad andmed, siis sellistele andmetele ülekandmise õigus ei kohaldu.

Edastamise all tuleb käsitleda kõiki andmeid, mida inimene edastab otseselt kas ise või edastatakse andmetöötlejale inimese mõne tegevuse käigus. Näiteks veebivormide täitmine (e-poe-, sotsiaalmeedia konto loomine) või e-kirja saatmine. Samuti nutiseadme kasutamisel sideoperaatorile edastatud andmed (nt helistaja asukoht, kõne adressaat). Aga ka kliendikaardiga registreeritud ostud poes või andmed (nt pulsisagedus, sammude arv), mida inimese aktiivsusmonitor edastab näiteks toitumisnõustajale.
Kui andmetöötleja on inimese edastatud andmetega teinud erinevaid analüüse ja loonud uusi lisandväärtusega andmeid, siis need ei kuulu ülekandmise rakendusalasse.

Andmete ülekandmist tuleb kohaldada ainult nendele andmetele, mille töötlemise aluseks on kas inimese nõusolek või inimese ja andmetöötleja vahel sõlmitud leping.

Seega kui andmetöötlus toimub ainult seaduse alusel, siis õigus andmete ülekandmisele ei kohaldu. Seaduse alusel töötlevad inimeste isikuandmeid näiteks riigi ja kohaliku omavalitsuse asutused.

Andmete ülekandmise õiguse tagamiseks peab andmetöötleja isikuandmed edastama:

  • struktureeritult,
  • üldkasutatavas vormingus ning
  • masinloetaval kujul.

Et andmetöötlejal oleks võimalik nimetatud vorminõudeid täita, seab määrus lisatingimuse, mille kohaselt kuuluvad ülekandmisele ainult need isikuandmed, mida andmetöötleja töötleb automatiseeritult. Näiteks paberkandjatel olevad isikuandmed siia alla ei kuulu.

Samuti saab inimene nõuda, et üks andmetöötleja edastab andmed otse teisele andmetöötlejale. Seda siis juhul, kui see on tehniliselt teostatav. See tähendab, et kui inimene soovib näiteks vahetada e-posti, panga- või kõneteenuse pakkujat, on tal õigus nõuda, et senine teenusepakkuja edastab tehnilisel võimalusel inimesega seotud isikuandmed otse uuele teenusepakkujale.

Samas ei tähenda andmete ülekandmine uuele teenusepakkujale, et inimene peab oma kliendisuhte senise teenusepakkujaga lõpetama. Samuti ei tähenda see automaatselt seda, et senine teenusepakkuja peab kõik inimesega seotud isikuandmed kustutama (isegi kui kliendisuhe lõppeb). Nõuded andmete säilitustähtaegadele tulenevad siiski vastavatest eriseadustest.

Mõningatel juhtudel on inimesega seotud andmetöötlustoimingutesse kaasatud ka teised isikud. Näiteks tehes pangaülekannet või helistades. Määrus näeb ette, et andmete ülekandmise raames ei tohi kahjustada teiste isikute õigusi ja vabadusi. Teise isiku all tuleb mõista nii füüsilist isikut kui ka näiteks äriühingust andmetöötlejat koos tema valduses oleva intellektuaalomandi või ärisaladusega.

Näiteks kui inimene on e-posti teenuses salvestanud sõprade, tuttavavate või sugulaste kontaktandmed ning palub olemasoleval teenusepakkujal need edastada uuele teenusepakkujale, võib viimane neid andmeid töödelda ainult algsel eesmärgil, milleks on kontaktandmete säilimise tagamine. Sama kehtib ka inimese maksetehingute ajalooga, mis kantakse olemasolevast pangast uude. Nii uus pank kui e-posti teenusepakkuja ei tohi pangatehingus osalenud teiste inimeste andmeid või e-posti kontaktide nimekirja automaatselt kasutada näiteks oma teenuse pakkumiste või muude otseturustussõnumite edastamiseks.

Andmetöötleja peab inimest andmete ülekandmise õigusest informeerima määruse artiklite 13 (2b) ja 14(2c) nõuete kohaselt.

Nagu näha, loob andmekaitse üldmäärus võrreldes senisega täiesti uue olukorra. Eelkõige tähendab see seda, et andmetöötlejad peavad hakkama oma infosüsteeme ja andmetöötlustoiminguid analüüsima sellise pilguga, et andmed oleks vormingutes ja struktuurides, mis võimaldavad vähese vaevaga ja operatiivselt andmeid inimesele kättesaadavaks teha või ühe andmetöötleja infosüsteemist teise üle kanda.


Teema kohta on võimalik põhjalikumat lugeda Euroopa andmekaitseasutuste vastavast ühisarvamusest.


Päästa Liisa ID!
TerviseandmeteKaitsefoorum
targalt internetis bänner