Mis on andmekaitsealane mõjuhinnang?

PrintPDF Jaga

25. mail 2018. a jõustuva andmekaitse üldmääruse artikkel 35 kohustab andmetöötlejaid viima enne isikuandmete töötlemise alustamist läbi andmekaitsealase mõjuhinnangu.

Mõjuhinnangu tegemise käigus andmetöötleja hindab ja analüüsib, milliseid isikuandmeid ja milliste vahenditega ta oma tegevuse eesmärkide täitmiseks töötleb ning kas ja milliseid organisatsioonilisi, füüsilisi ja infotehnilisi turvameetmeid rakendab. Mõjuhinnang on oluline tööriist, mis annab organisatsiooniülese teadmise andmetöötlustoimingutest tervikuna. See võimaldab hinnata, kas andmete kaitseks rakendatavad asjakohased meetmed on piisavad, et üksikisikule tekkivat võimalikku kõrget privaatsusriivet leevendada vastuvõetavale tasemele.

Artikkel 35(7) selgitab täpsemalt, mida mõjuhinnang peab käsitlema:

  • kavandatud isikuandmete töötlemise toimingute ja töötlemise eesmärkide, sealhulgas asjakohasel juhul vastutava töötleja õigustatud huvi süstemaatiline kirjeldus;
  • isikuandmete töötlemise toimingute vajalikkuse ja proportsionaalsuse hindamine eesmärkide suhtes;
  • lõikes 1 osutatud andmesubjektide õigusi ja vabadusi puudutavate ohtude hinnang, ning
  • ohtude käsitlemiseks kavandatud meetmed, sealhulgas tagatised, turvameetmed ja mehhanismid isikuandmete kaitse tagamiseks ja käesoleva määruse järgimise tõendamiseks, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õigustatud huve.

Kes peavad mõjuhinnangu tegema?

Mõjuhinnangu peavad tegema kõik need andmetöötlejad, kelle isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsilistele isikute õigustele ja vabadustele suur oht (artikkel 35.1).

NB! Edaspidi kasutame termini suur oht tähenduses keeleliselt loetavamat mõistet kõrge risk (inglise k. üldmääruses kui high risk).

Samuti tuleb mõjude hindamine läbi viia ka siis, kui andmetöötleja hakkab kasutama (uut) tehnoloogiat, millega tal varem kokkupuudet pole olnud. Näiteks sõrmejälje- või näotuvastuspõhised lahendused või nn asjade interneti (Internet of Things ehk IoT) seadmetel põhinevate teenuste osutamine. See annab andmetöötlejale teadmise, kas näiteks uus riist- või tarkvara võib võrreldes senisega kujutada üksikisikutele kõrge riskiga eraelulist riivet. Ning selle teadmise baasilt teha otsuse, kas tema käsutuses olevate vahendite, teadmiste ja oskustega on seda riivet võimalik piisavalt maandada.

Andmekaitsealane mõjuhinnang tuleb kirjalikult vormistada.

Nõuded isikuandmete turvaliseks töötlemiseks sätestab üldmääruse artikkel 32.

Kui andmetöötleja hinnangul rakendatavad meetmed kõrget riski piisavalt ei maanda, on andmetöötleja vastavalt üldmääruse artiklile 36(1) kohustatud enne andmetöötlusega alustamist konsulteerima pädeva järelevalveasutusega. Eestis on selleks Andmekaitse Inspektsioon.

Mis juhtudel tuleb mõjuhinnang teha?

Üldmääruse artikkel 35(3) annab loetelu mõningatest kõrge riskiga toimingutest, millal andmetöötleja on kohustatud mõjuhinnangu tegema:

  • isiklike aspektide (nt isiku vaated, seisukohad, isikuomadused, harjumused, huvid, eelistused, sotsiaalne staatus, käitumine, asukoht, liikumine) süstemaatiline ja ulatuslik hindamine, mis põhineb automaatsel isikuandmete töötlemisel, sealhulgas profiilianalüüsil, ja millel põhinevad otsused, millel on füüsilise isiku jaoks õiguslikud tagajärjed või mis samaväärselt mõjutavad oluliselt füüsilist isikut;
  • artikli 9 lõikes 1 osutatud andmete eriliikide (nt terviseandmed, isiku kordumatuks tuvastamiseks kasutatavad biomeetrilised andmed, poliitilised vaated, usulised veendumused, isikuandmed, millest ilmneb inimese rassiline või etniline päritolu) või artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmete ulatuslik töötlemine, või
  • avalike alade ulatuslik süstemaatiline jälgimine (nt kaamerate kasutamine valve-või korrakaitse eesmärgil).

Eelnevale tuginedes on Andmekaitse Inspektsiooni arvamusel kõrge riskiga andmetöötlustoimingud näiteks järgmistes valdkondades:

  • tööalase võimekuse hindamine; töötegemiseks kasutatava arvuti, nutiseadme või elektrooniliste ruumiligipääsude kasutamise jälgimine töökeskkonnas;
  • inimese võrgukäitumise, asukoha ja liikumiste jälgimine (nt võrguturbeettevõtted, nutirakenduste pakkujad, sideettevõtted, turvaettevõtted, telemaatikateenuste osutajad);
  • finantsteenuste ja -toodete osutamine füüsilisele isikule; füüsilise isiku finants- või krediidivõimelisuse hindamine (nt krediidiasutused, krediidiandjad, krediidivahendajad);
  • füüsilisele isikule kindlustustoodete või -teenuste osutamine (nt kindlustusseltsid, kindlustusvahendajad);
  • füüsilisele isikule investeerimistoodete- või -teenuste osutamine (nt fondivalitsejad, investeerimis- ja pensionifondid, investeerimisühingud, investeerimisnõustajad);
  • kliendikaardiga ostuandmete töötlemine jaekaubandusettevõtetes;
  • registreeritud kasutajate andmetöötlus e-poes;
  • tervise- või geenitestide põhjal inimese tervisliku seisundi hindamine või haigusriskide ennustamine;
  • terviseandmete töötlemine haiglates ja tervisekeskustes;
  • võrgulehtedel liikumise põhjal inimese turundusprofiili loomine ja käitumispõhise reklaami kuvamine;
  • tööpakkumiste vahendamine (nt andmetöötlus tööportaalides, personali otsingu- ja tööjõu rendi teenust pakkuvates organisatsioonides);
  • hasartmängu raames inimese andmete töötlemine;
  • töödeldakse ulatuslikult kaitsetute füüsiliste isikute andmeid (nt lapsed, vanurid, vaimse puudega isikud, varjupaigataotlejad);
  • andmetöötlus, kus kombineeritakse ja võrreldakse erinevatest allikatest pärinevaid isikuandmete koosseise (Big Data ehk suurandmetöötlus);
  • isikuandmete piirülene edastamine väljaspoole Euroopa Liitu.

Juhime tähelepanu, et tegemist ei ole ammendava loeteluga. Andmekaitse üldmäärus kohustab eelkõige andmetöötlejaid endid viima läbi vastava analüüsi ja tuvastama, kas tema tegevusega kaasnev isikuandmete töötlemine on kõrge riskiga.

Vastavalt üldmääruse artiklile 35(2) kaasab andmetöötleja mõjuhinnangu tegemisse andmekaitsespetsialisti.

Kes andmekaitsespetsialisti määrama peab, millist rolli ta organisatsioonis täidab ning millisele kvalifikatsioonile peaks vastama, saab lugeda siit ning siit.

Selleks, et aru saada, kas kõrge riskiga andmete töötlemine üldse toimub, soovitame läbi viia eelhinnang. Kui viimane näitab, et üldmääruse kohane kõrge riskiga andmetöötlus toimub, saab asuda põhjalikuma andmekaitsealase mõjuhinnangu tegemisele.

Mõjuhinnangu võib teha nii üksikule andmetöötlustoimingule kui ka korraga sarnastele toimingutele, kus kasutatakse sarnast tehnoloogiat, mis töötlevad sarnaseid andmekoosseise (artikkel 35.1, vt lisaks põhjenduspunkt 92). Näiteks turvaettevõtete kaamerakasutus kaubanduskeskustes, sideettevõtte konkreetse teenuse osutamine erinevatele kliendisegmentidele või jaekaubandusettevõtte boonusprogrammi kasutamine riigi erinevates piirkondades asuvates poodides.

Kui andmetöötluses osalevad ka volitatud töötlejad, peab mõjuhinnang selgelt kirjeldama, milline andmetöötleja konkreetselt milliste kõrget riski vähendavate meetmete osas vastutab.

Kuidas toimida juba käimasolevate andmetöötlustoimingutega?

Andmekaitse üldmääruse kohane mõjuhinnang tuleb teha kõikide andmetöötlustoimingute osas, millega andmetöötleja alustab peale 25. maid 2018 ehk peale üldmääruse jõustumist.

Mõjuhinnang tuleb teha ka siis, kui andmetöötleja tänased isikuandmete töötlemise toimingud ja põhimõtted on alates 25. maist 2018.a oluliselt muutunud. Näiteks on kasutusele võetud uus tehnoloogia, isikuandmete töötlemise eesmärgid on muutunud või isikute kohta tehtavate automaatsete otsuste ja profileerimiste osakaal andmetöötlemise protsessis on märkimisväärselt kasvanud.

Nagu eelnevalt selgitasime, kehtib mõjude hindamise kohustus juhul, kui toimub ulatuslik ja süstemaatiline kõrge riskiga andmetöötlus. Üldmääruse põhjenduspunkti 91 kohaselt ei ole aga näiteks ulatusliku andmetöötlusega tegu üksiku perearsti puhul. Samuti ei tule ulatuslikuks pidada andmetöötlust, kui näiteks konverentsi korraldaja küsib osalejatelt eelnevalt eelistusi toidule. Olgu põhjuseks siis kas näiteks osaleja allergia teatud toiduainete suhtes või osaleja usust tulenevad piirangud.

Üldmääruse artikkel 35(10) annab lisaerisuse, milliste kriteeriumite korral mõjuhinnangu tegemine ei pruugi olla nõutav: kui isikuandmete töötlemine toimub Euroopa Liidu või siseriikliku õigusakti alusel, kus on kirjas konkreetsed nõuded isikuandmete töötlemise toimingutele ning õigusakti vastuvõtmise raames on andmekaitsealane mõjuhinnang üldise mõjuhinnangu osana juba tehtud.

Isegi kui andmetöötleja leiab, et temale mõjuhinnangu läbiviimise kohustus ei laiene, soovitame vastava mõjuhinnangu siiski teha. Läbi selle saab kõige parema ülevaate, kas organisatsiooni tegevus vastab andmekaitse üldmääruse nõuetele.

Kindlasti ei ole mõjude hindamine ühekordne toiming. Sellega tuleb tegeleda pidevalt ning alustage juba täna.

Andmekaitsealasest mõjuhinnangust, selle läbiviimise võimalikest metoodikatest koos eneseabiküsimustikuga saab täiendavalt lugeda Euroopa andmekaitseasutuste esialgsest ühisarvamusest.


Päästa Liisa ID!
TerviseandmeteKaitsefoorum
targalt internetis bänner