8. peatükk. Andmete ülekandmine

Mida tähendab andmete ülekandmine?

Õigus tutvuda enda kohta käivate andmetega on Euroopa Liidu/Ühenduse liikmesriikides kehtinud aastast 1995 saadik. Isikuandmete kaitse üldmäärus tõi selle kõrvale õiguse nõuda andmete ülekandmist. Esimene neist on laiem (ligipääs mistahes alusel kogutud ja mistahes kujul hoitavatele andmetele, sh nt paberandmetele). Teine on kitsam (üksnes digitaalandmed, mis kogutud lepingu või nõusoleku alusel).

Õigus nõuda andmete ülekandmist tähendab, et inimene võib küsida ja saada vastutavalt töötlejalt kõiki teda puudutavaid isikuandmeid, mida ta on andmetöötlejale edastanud.

• Seda kõike struktureeritud, üldkasutatavas vormingus ning
• masinloetaval kujul.

Samuti on inimesel õigus saadud andmed edastada teisele andmetöötlejale kas ise või paluda seda teha andmetöötlejal, kellelt andmed saadi. Mis on ülekandmisõiguse eesmärk? Silmas peeti nii paremat kontrolli oma andmete üle (inimestel on lihtne oma isikuandmeid hallata ja taaskasutada) kui ka konkurentsi edendamist andmemajanduses (inimene saab oma andmetega minna ühe teenusepakkuja juurest teise juurde). Andmetöötleja peab inimest temaga seotud andmete ülekandmise õigusest informeerima.⁵⁸

Mis on edastatud andmed?

Edastamisena tuleb käsitleda kõiki andmeid, mida inimene edastab andmetöötlejale

• otseselt kas ise (näiteks sisestab enda kohta andmed kasutajakonto avamisel) või
• edastatakse teenuse tarbimise (näiteks poes ostude sooritamise, nutiseadme kasutamise) käigus.

Edastatud andmete põhjal võib aga andmetöötleja ise luua täiendavaid andmeid – näiteks profileerides inimese eelistusi ja harjumusi. See täiendav analüütiline andmestik ei kuulu edastatud andmete hulka. Inimesel on küll õigus nõuda sellega tutvumist (aluseks üldmääruse art. 15), kuid mitte ülekandmist (üldmääruse art. 20).

Mis alusel loodud andmeid saab üle kanda?

Andmete ülekandmist saab kohaldada ainult nendele andmetele, mille kogumise aluseks on kas inimese nõusolek või inimese ja andmetöötleja vahel sõlmitud leping.

Seega on ülekantavuse kohaldumisalas andmed, mida inimene andis enda kohta (nt nimi, kasutajatunnus, kontaktandmed, enda märgitud eelistused jms) ning mis tekkisid tema tegevuse käigus:

• ostuajalugu kaupluses;
• elektri, gaasi ja vee tarbimise ajalugu elektri- või gaasimüügi või ühisveevärgi ettevõttes;
• nutirakendusse tekkinud andmed rakenduse kasutaja tegevuste kohta;
• hambaarsti juurde tekkinud andmed hambaravi kohta.

Kui andmetöötlus toimub avaliku võimu teostamisel, avaliku ülesande täitmisel (seaduse alusel), siis õigus andmete ülekandmisele ei kohaldu. See on ka põhjus, miks õiguskaitseasutuste andmekaitsedirektiiv ning seda üle võttev IKS andmete ülekantavuse õigust ei tunne – õiguskaitsevaldkonnas ei koguta isikuandmeid lepingu või nõusoleku alusel. Samuti ei kohaldu ülekantavus andmetele, mida ettevõte või asutus töötleb üksnes seadusejärgse kohustuse täitmiseks – näiteks maksuarvestuseks või raamatupidamiseks. Kuid samad andmed võivad ettevõttes olla korraga kahel alusel – lepingu täitmiseks ja ühtlasi raamatupidamiseks.

Mis vorminõudeid tuleb andmete ülekandmisel järgida?

Andmete ülekandmise õiguse tagamiseks peab vastutav töötleja isikuandmed edastama:

• struktureeritult, üldkasutatavas vormingus ning
• masinloetaval kujul.

Et andmetöötlejal oleks võimalik nimetatud vorminõudeid täita, seab üldmäärus lisatingimuse, mille kohaselt kuuluvad ülekandmisele ainult need isikuandmed, mida andmetöötleja töötleb automatiseeritult. Näiteks paberkandjatel olevad isikuandmed siia alla ei kuulu.

Üldkasutatava ehk avatud vormingu all peetakse silmas vorminguid, mis ei ole seotud kitsamalt kasutatava kommertstarkvaraga.

Masinloetav kuju tähendab oma olemuselt struktureeritud faili, millest tarkvararakendused suudavad spetsiifilisi andmeid, sh üksikuid faktiväiteid ja nende sisemist struktuuri (metaandmeid), kergelt tuvastada, ära tunda ja välja lugeda. Masinloetavad avatud vormingud on näiteks XML (Extensible Markup Language – laiendatav märgistuskeel)', JSON (JavaScript Object Notation – lihtsustatud andmevahetusvorming), CSV (comma-separated value – piiritletud tekstifail, kus välju/väärtusi eraldatakse koma abil). Samuti saab inimene nõuda, et üks andmetöötleja edastab andmed otse teisele andmetöötlejale. Seda siis juhul, kui see on tehniliselt teostatav. See tähendab, et kui inimene soovib näiteks vahetada e-posti, panga- või kõneteenuse pakkujat, on tal õigus nõuda, et senine teenusepakkuja edastab tehnilisel võimalusel inimesega seotud isikuandmed otse uuele teenusepakkujale.

Kas andmetöötleja peab peale andmete ülekandmist andmed kustutama?

Ei, see ei tähenda, et inimene peab oma kliendisuhte senise teenusepakkujaga lõpetama. Ülekandmine võib olla andmete kopeerimine – klient jagab ühe teenusepakkuja juures olevaid andmeid teise teenusepakkujaga ning on samaaegselt mõlema klient. Tõsi, ülekandmine võib ka tähendada, et kliendisuhe lõpeb ja eelmise teenusepakkuja juurest andmed kustutatakse, kui muud alust nende säilitamiseks enam ei ole. Senine teenusepakkuja ei pea ülekandmise järel kõik inimesega seotud isikuandmed kustutama (isegi kui kliendisuhe lõpeb). Nõuded andmete säilitustähtaegadele võivad tulla nii eriseadustest või ka lepingust (lepingu tüüptingimustest). Näiteks kauplus säilitab (endise) kliendi andmeid sisaldavaid raamatupidamise algdokumente raamatupidamisseaduse § 12 alusel seitse aastat.

Kuidas tagada ülekandmisel teiste isikute õiguste kaitse?

Tihti on inimesega seotud andmetöötlustoimingutesse kaasatud ka teised isikud. Näiteks tehes pangaülekannet, helistades või ühismeedias suheldes on meie tegevusse hõlmatud ka teised osapooled, kes saavad või saadavad raha või kellega me suhtleme.

Andmete ülekandmise raames ei tohi kahjustada teiste isikute õigusi ja vabadusi. Teise isiku all tuleb mõista nii füüsilist isikut kui ka näiteks äriühingust andmetöötlejat koos tema valduses oleva intellektuaalomandi või ärisaladusega.

Näiteks kui inimene on e-posti teenuses salvestanud sõprade, tuttavavate või sugulaste kontaktandmed ning palub olemasoleval teenusepakkujal need edastada uuele teenusepakkujale, võib viimane neid andmeid töödelda ainult algsel eesmärgil, milleks on kontaktandmete säilimise tagamine. Sama kehtib ka inimese maksetehingute ajalooga, mis kantakse olemasolevast pangast uude. Nii uus pank kui e-posti teenusepakkuja ei tohi pangatehingus osalenud teiste inimeste andmeid või e-posti kontaktide nimekirja automaatselt kasutada näiteks oma teenuse pakkumiste või muude otseturustussõnumite edastamiseks.

Mis aja jooksul tuleb isiku andmete ülekandmise taotlusele vastata?

Taotlusele tuleb vastata põhjendamatu viivituseta, kuid mitte hiljem kui ühe kuu jooksul pärast taotluse saamist. Vajaduse korral võib andmetöötleja ajavahemikku pikendada kahe kuu võrra. Kuid sellisest pikendamisest tuleb anda ühe kuu jooksul isikule teada.

Näiteks võib selguda, et andmetöötleja peab andmekoosseise eelnevalt puhastama, et välistada teiste isikute õiguste rikkumine. Puhastamine on ajamahukas töö. Sel juhul annab andmetöötleja taotlejale sellest viivitamatult teada ja ütleb uue tähtaja. See peab jääma maksimaalselt kolme kalendrikuu piiresse.

Seega eeldab andmete ülekantavus vastutavatelt töötlejatelt täiendavat andmetöötluse kihti, et andmeid platvormilt kätte saada ja eraldada ülekantavuse kohaldamisalast väljapoole jäävad isikuandmed, nagu kaudsed andmed või süsteemide turvalisusega seotud andmed.

Seda täiendavat andmetöötlust peetakse põhilise andmetöötluse kõrvaltoiminguks, sest seda ei tehta vastutava töötleja määratletud uue eesmärgi saavutamiseks. Kui andmetöötleja keeldub ülekandmistaotlust rahuldamast, on ta kohustatud isikule ühe kuu jooksul selgitama keeldumise põhjuseid.

⁵⁸Vt üldmäärus art. 13 lg 2 p. b, art. 14 lg 2 p. c.