Miks on vaja reegleid isikuandmete töötlemise kohta? Sest inimesed vajavad kindlustunnet, et nende kohta käivat teavet kogutakse ja kasutatakse ausalt, õigesti ja turvaliselt. Ilma selleta ei teki usaldust. Kui inimesed ei usalda, kuidas nende andmeid kasutatakse, siis digimajanduse ja e-riigi areng seiskub.
Aga arengut takistab ka ülereguleerimine ja juriidiline ülemõtlemine. Kahjuks kasutatakse andmekaitset nii mõnigi kord vabanduseks laiskusele ja lollusele. Andmekaitse eesmärk ei ole öelda, et mitte midagi ei tohi teha, vaid kuidas saab vajalikke asju õigesti teha. Andmekaitsereeglite mõistlik tõlgendamine, kavakindel järgimine ning tõhus infoturve aitavad tagada inimeste usaldust ning ühtlasi kaitsta ettevõtte/asutuse (info)vara.
Eesti põhiseadus kaitseb pere- ja eraelu puutumatust, sõnumisaladust, õigust vabale eneseteostusele ning annab õiguse küsida avaliku sektori asutustelt teavet, mida neil küsija kohta on. Kogumis loovad nad aluse isikuandmete kaitsele. Euroopa Liidu ja Eesti andmekaitseõigus uueneb. Alates 25. maist 2018 rakendatakse isikuandmete kaitse üldmäärust 2016/679 (edaspidi üldmäärus).1
Maikuus tuli üle võtta õiguskaitseasutuste andmekaitsedirektiiv 2016/680 (edaspidi direktiiv). 2 Käesolev üldjuhend võtab kokku kõige olulisema, mida isikuandmete töötleja peaks neist teadma. Üldjuhend on – nagu nimigi ütleb – üldine selgituste kogumik. Ta on suunatud kõigile isikuandmete töötlejatele – ettevõtetele, mittetulundusühingutele, asutustele, ametiisikutele.
Üldjuhendis ei ole kitsamatele valdkondadele suunatud soovitusi. Seetõttu pöördun ettevõtlus-, kutse- ja erialaliitude poole. Kindlasti on teie tegevusvaldkonnas probleeme, mida üldjuhend ei käsitle. Keegi ei tunne neid paremini ega oska paremaid lahendusi pakkuda kui te ise. Inspektsiooni võimalused anda üksikutele andmetöötlejatele põhjalikumat nõu on kasinad. Kuid oleme rõõmuga valmis aitama, kui panete pead kokku ning asute ühiselt koostama oma kutse- või eriala jaoks hea tava toimimisjuhendeid, meelespäid, dokumendipõhjasid, sertifitseerimisskeeme ja muid abimaterjale.
Üldjuhend ei ole oma sisult uus dokument. Ta tugineb 2017. a. mais ja juunis inspektsiooni võrgulehel avaldatud teemaartiklitele ning 2018. a. 25. mail ülekinnitatud Euroopa andmekaitseasutuste ühisseisukohtadele.3
Kuna riigisiseseid rakendusakte üldjuhendis esmase koostamise ajal polnud, siis kommenteerime üldmääruse kõrval direktiivi sisu (kuigi direktiiv ei ole otsekohalduv) ning lisame ka asjakohased viited isikuandmete kaitse seaduse (IKS) sätetele, mis võtavad direktiivi üle.
Üldjuhendi põhikoostajad on inspektsiooni tehnoloogiadirektor Urmo Parm ja koostöödirektor Maarja Kirss ülejäänud kolleegide aktiivsel osalusel. Üldjuhendi algmaterjal (teemaartiklid) on esitatud arvamuse avaldamiseks inspektsiooni nõukojale ning paljudele riigiasutustele, kutse- ja erialaühendustele. Tänan kõiki, kes panustasid. Loomulikult on tegemist „elava“ dokumendiga, mille asja- ja ajakohastamine jätkub.
Üldjuhend lähtub väljakujunenud eesti õiguskeelest. Kutsun kõiki üles kasutama andmekaitse alal head eesti keelt, näiteks:
- isikuandmete kaitse üldmäärus (IKÜM) või lihtsalt (andmekaitse) üldmäärus, mitte General Data Protection Regulation (GDPR),
- andmekaitsespetsialist (AKS), mitte data protection officer (DPO), 4
- andmekaitsetingimused, mitte privaatsuspoliitika,
5 - isikuandmete töötlemisülevaade, mitte isikuandmete töötlemise toimingute register.6
Enne sisupeatükke soovitan tutvuda mõistete7 lühikursusega:
Asjad, mida teadmata ei saa järgnevaist peatükkidest aru
Isikuandmed on teave inimese ehk füüsilise isiku (andmesubjekti) kohta, millega teda saab otse või kaude tuvastada: nimi, isikukood, asukohateave, võrguidentifikaatorid (tunnused, mis sidevõrgus aitavad viia konkreetse isikuni), samuti füüsilised, geneetilised, vaimsed, majanduslikud, kultuurilised ja mistahes muud tuvastamist võimaldavad tunnused ja nende kombinatsioonid.8
| Näide A: mingis nimekirjas olev ainsa Jaan Tamme puhul piisab otseseks tuvastamiseks tema nimest. |
| Näide B: kui nimekirjas on kõik Eestis elavad Jaan Tammed, siis nimest üksi ei piisa, kuid koos isikukoodi ja/või koduse aadressiga on isik selgesti eristatav nimekaimudest ning otseselt tuvastatav. |
| Näide C: tuvastamine võib olla kaudne, eri andmetest kombineeritud – räägitakse nime nimetamata ettevõtjast, kes on üks Tallinnas asuva osaühingu N.N. viiest osanikust ning ühtlasi Tartumaal paikneva talukoha omanik. Igaüks saab äriregistrist tuvastada, kes need viis osanikku on, ning siis leida kinnistusraamatust, et neist vaid Jaan Tammel on Tartumaal talu. |
Eriliiki isikuandmed on andmed, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, geneetilised andmed, isiku kordumatuks tuvastamiseks kasutatavad biomeetrilised andmed, terviseandmed ja andmeid seksuaalelu ja seksuaalse sättumuse kohta.9
Isikuandmete töötlemine on andmetega tehtav mistahes toiming: kogumine, korrastamine, säilitamine, muutmine, lugemine, kasutamine, edastamine, ühendamine, kustutamine jne.10
Isikuandmete kaitse reeglid ei kehti, kui:
1) tegu on juriidilise isiku või asutuse andmetega;11
2) teave ei võimalda inimest mõistlike pingutustega tuvastada; 12
| Näide A: üks eraisik ei tea reeglina teise eraisiku arvuti IP-aadressi või muud võrguidentifikaatorit, seevastu sideettevõte tunneb nende järgi oma kliendid ära. |
| Näide B: fail patsientide terviseandmetega on kas krüpteeritud või on nimed asendatud kas varjunimede või suvaliste numbritega. Sellele, kes saab faili lahti krüpteerida või kes oskab varjunimesid pärisnimedega asendada, on tegu isikuandmetega. Sellele, kes ei saa seda teha, ei ole tegu isikuandmetega. |
| Näide C: erinevalt e-posti aadressist eesnimi.perenimi@ettevõttenimi.ee ei sisalda aadress myygimees@ettevõttenimi.ee võõraste jaoks isikuandmeid. Kui aga ettevõtte sees on teada, et seda aadressi saab kasutada vaid üks konkreetne töötaja, siis teadjate jaoks on tegu isikuandega. |
3) isikuandmeid ei töödelda automatiseeritult ning neist ei tehta ka andmekogumit; 13
| Näide A: patsientide nimekirja peetakse arvutifailis – see tähendab automatiseeritud andmetöötlust, seega isikuandmete kaitse reeglid kehtivad. |
| Näide B: õpilaste nimed ja õpitulemused märgitakse paberkausta, nimed on järjestatud tähestikuliselt ning õpitulemused märgitud nimede juurde ajalises järjestuses. Automatiseeritud andmetöötlust ei ole, kuid tegu on korrastatud andmekogumiga, seega isikuandmete kaitse reeglid kehtivad. |
| Näide C: nimesid ja äratuntavaid näokujutisi sisaldav graffiti majaseintel ei ole automatiseeritud andmetöötlus ega ka andmekogum, seega isikuandmete kaitse reeglid ei kehti. Inimene, keda graffiti sisu kahjustab (näiteks teotab tema au ja head nime), saab esitada nõudeid võlaõigusseadusele, mitte isikuandmete kaitse üldmäärusele tuginedes. |
| Näide D: elulooraamat kajastab nii peategelase kui paljude teiste reaalseid eluloosündmusi. Automatiseeritud andmetöötlust pole, kuid tegemist on andmete kogumisega, seega isikuandmete kaitse reeglid kehtivad. |
| Näide E: sideettevõtte väljaantud telefoniraamat (paberil) eraisikute nimede ja telefoninumbritega on selgesti andmekogum, isikuandmete kaitse reeglid kehtivad. |
4) isikuandmeid kasutatakse isiklikul otstarbel või kodumajapidamise tarvis; 14
| Näide A: inimese isiklik telefoniraamat tuttavate kohta – olgu pabermärkmikuna või arvutis – on isiklikul eesmärgil andmetöötlus, isikuandmete kaitse reeglid ei kehti. |
| Näide B: sugulaste nimekiri suguvõsa kokkutuleku korraldamiseks on mitme inimese isiklikul eesmärgil toimuv andmetöötlus senikaua, kuni see on suguvõsa-siseses kasutuses. Kui nimekirja hakatakse jagama ettevõtetega ja kasutama näiteks ärilise reklaami saatmiseks, siis ei ole enam tegu isikliku otstarbega. |
| Näide C: sama kehtib arutelu kohta suhtlusvõrgustiku rühmas, mille liikmeks on eraisikud. See on mitme inimese isiklikul eesmärgil toimuv andmetöötlus, isikuandmete kaitse reeglid ei kehti. Kui rühmaga liituvad ettevõtted või kui suhtlus on rühmaliikmete ameti- või äritegevuse osaks, siis ei ole enam tegu isikliku otstarbega ning isikuandmete kaitse reeglid kehtivad. |
5) liikmesriik kasutab isikuandmeid oma julgeoleku tagamiseks või Euroopa Liidu ühise välis- ja julgeolekupoliitika raames.15
Õigus isikuandmete kaitsele ei kehti piiramatult. Ta ei ole iseenesest rohkem ega vähem tähtsam kui teised põhiõigused. Ühe inimese õigus eraelule võib põrkuda teise inimese sõna- ja teabevabadusega, eneseteostusvabadusega, ettevõtlusvabadusega. Põhiõigusi tuleb konkreetses olukorras omavahel kaaluda. Avalikus sektoris võib eraelu piirata avaliku huvi kaalutlustel. Teatud küsimustes on seadusandja andnud täpsemad kaalumisreeglid – näiteks ajakirjanduslikult eesmärgil isikuandmete töötlemiseks.16
Isikuandmete töötlemise peamised põhimõtted on:17
1) seaduslikkus – igasuguseks isikuandmete töötlemiseks peab olema alus;
2) eesmärgipärasus – määratle eesmärk, milleks andmeid vajad. Samade andmete muu eesmärgil töötlemiseks peab olema teine alus;
3) minimaalsus – tuleneb eesmärgist: ära kogu rohkem andmeid kui eesmärgi saavutamiseks vaja on;
4) õigsus ehk andmekvaliteet – tuleneb samuti eesmärgist: andmed olgu eesmärgi saavutamiseks asja- ja ajakohased;
5) säilitamistähtaeg – eesmärgist tuleneb ka säilitamistähtaeg;
6) turvalisus – hoia ja töötle andmeid turvaliselt,
7) vastutus ja läbipaistvus – andmetöötleja vastutab nende põhimõtete järgimise eest ning peab olema andmesubjekti jaoks läbipaistev (andma teavet, võimaldama tutvuda ja nõudeid esitada).
Isikuandmete töötlemise alused:18
1) nõusolek – nõusoleku olemasolu peab tõendama andmetöötleja. Nõusolek on ühepoolselt tagasivõetav.
| Näide A: nõusolek peab olema informeeritud – inimene peab teadma, milleks täpselt (mis eesmärgiks ta nõusoleku annab). Nõusolekut ei saa võtta lihtsalt andmetöötluseks. |
| Näide B: nõusolek peab olema vabatahtlik – seda ei saa kokku siduda muude tingimustega (Sa ei saa meie ettevõtte kliendiks hakata ja lepingut sõlmida, kui Sa ühtlasi ei anna nõusolekut edaspidi meilt reklaami saamiseks). |
| Näide C: ettevõtted/asutused kipuvad lepingu või avaliku ülesande alusel toimuva andmetöötluse korral lisama täiendava alusena nõusolekut. Nõusolek on ühepoolselt tagasivõetav. Ei saa nii olla, et kui inimene nõusoleku tagasi võtab, siis teatatakse, et seesama andmetöötlus jätkub nüüd lepingu alusel või avaliku ülesande täitmiseks. Kui inimeselt võetakse nõusoleku laadne kinnitus tema kohta käiva andmetöötluse kohta ja tal ei ole võimalik sellest andmetöötlusest kas kohe või hiljem keelduda, siis on tegu eksliku, algusest peale kehtetu nõusolekuga. Muu alus (nt. leping) võib aga sealjuures ikkagi kehtida. |
2) leping – lepingu sõlmimiseks või sõlmitud lepingu täitmiseks vajalik andmetöötlus.
| Isikuandmete töötlemiseks ei ole vaja sõlmida eraldi lisa-lepingut, kui see on juba kaetud põhilepinguga (nt töölepinguga). Lepingusse ei ole vaja lisada tühisätteid, mis nendivad, et lepingu täitmiseks võib ettevõte oma kliendi/töötaja andmeid töödelda; |
3) seadusejärgne kohustus – näiteks ettevõtte/asutuse kohustused, mis tulenevad raamatupidamis- või maksuseadustest;
4) avaliku võimu teostamine, avaliku ülesande täitmine – andmetöötlus võib olla õigusaktis otse nimetatud või ka tuletatud selle täitmise vajadusest;
5) inimese eluliste huvide kaitseks, et teda hädas aidata (näiteks on inimene kontaktivõimetu või kadunud);
| Inimeste eluliste huvide kaitsele saab viidata erandlikus olukorras, mitte siis, kui tegu seadusejärgse kohustusega (nt. lastekaitseseadus kohustab igaüht hädasolevast lapsest pädevale asutusele teatama) või avaliku ülesande täitmise või avaliku võimu teostamisega (millele tuginevad riigi ja omavalitsuse asutused ja ametiisikud, nt politseinikud ja sotsiaaltöötajad). |
6) selline õigustatud huvi, mis kaalub üles inimese õiguse eraelule ja isikuandmete kaitsele.
Õigustatud huvi on samuti erandlik ning peaaegu alati vaieldav andmetöötluse alus. Seda tasakaalustab nõue, et inimesele tuleb tema kohta käivast andmetöötlusest teada anda (vt üldmääruse art. 13 ja 14).
Isikuandmete vastutav töötleja on see ettevõte/asutus, kes määrab kindlaks isikuandmete töötluse eesmärgid ja vahendid. Volitatud töötleja on see, kes vastutava töötleja nimel ja ülesandel isikuandmeid töötleb. Vastuvõtja on iga isik või asutus, kellele isikuandmeid avaldatakse.19
| Näide: ettevõte/asutus tellib avaliku arvamuse uuringu, püstitades uuringu eesmärgid ja andes selleks raha. Tellijana on ta vastutav töötleja. Uuringufirma, kes tema tellimusel inimesi küsitleb ning tulemused kokku võtab, on volitatud töötleja. Andmemajutusettevõte, kes hiljem uuringu andmestikku oma serveris säilitab, on samuti volitatud töötleja. Vastutav ja volitatud töötleja on selles näites ettevõtted. Nende töötajad (nt küsitlejad uuringufirmas) ei ole ise vastutavad/volitatud töötlejad. Kuid nii uuringufirma, andmemajutusettevõte kui ka nende töötajad on kõik isikuandmete vastuvõtjad. |
1Üldmääruse ametlik pealkiri on: „Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus)“. Üldmäärus on avaldatud Euroopa Liidu Teatajas L 119, 04.05.2016, lk 1-88.
2„Õiguskaitseasutuste andmekaitsedirektiiv“ ei ole ametlik nimi, vaid katse leida eesti keeles arusaadavat lühivarianti. Direktiivi ametlik pealkiri on: „Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/680, 27. aprill 2016, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK“. Direktiiv on avaldatud Euroopa Liidu Teatajas L 119, 04.05.2016, lk 89-131.
3Käesolevas üldjuhendis on kasutatud järgmisi 2018. a. 25. mail ülekinnitatud Euroopa andmekaitsenõukogu suuniseid: Suunised andmekaitseametnike kohta; Suunised, mis käsitlevad andmekaitsealast mõjuhinnangut ja selle kindlaksmääramist, kas isikuandmete töötlemise tulemusena „tekib tõenäoliselt suur oht“ vastavalt määrusele (EL) 2016/679; Suunised, mis käsitlevad isikuandmetega seotud rikkumistest teatamise määruse 2016/679 alusel; Suunised andmete ülekandmise õiguse kohta; Suunised määruse (EL) 2016/679 kohase nõusoleku kohta; Suunised määruse 2016/679 kohase läbipaistvuse kohta.
4Üldmääruse eestikeelne versioon kasutab ebaõnnestunud terminit andmekaitseametnik, mis ei sobi kasutamiseks väljaspool avalikku teenistust riigi ja omavalitsuste ametiasutustes. Üldmääruse artiklis 39 nimetatud ülesanded on oma sisult spetsialisti-taseme ülesanded. See, kas andmekaitsespetsialistil on veel mingeid muid ülesandeid, mis võimaldavad teda nimetada näiteks ettevõtte andmekaitsejuhiks, on ettevõtte-sisene suhe. Välispidiselt tuleb igal juhul kasutada andmekaitsespetsialisti nimetust.
5Üldmääruse art. 12 lõikes 1 nimetatud teave tervikdokumendina. Termin lähtub sellest, et see on ettevõtte üld- või tüüptingimuste laadne dokument või lausa selle üks osa.
6Üldmääruse art. 30 on pealkirjastatud eksitavalt Isikuandmete töötlemise toimingute registreerimine, direktiivi art. 24 analoogse normi pealkiri on Isikuandmete töötlemise toimingute dokumenteerimine ning IKS § 37 pealkiri on Isikuandmete töötlemise toimingute registreerimine. Tegelikult peetakse siin silmas ettevõtte/asutuse-sisest isikuandmete töötlemise ülevaate koostamist, mitte logiraamatu-laadset toimingute registri pidamist. Mõistlik on nimetada asja sellena, mis ta on.
7Direktiiv võeti üle isikuandmete kaitse seaduse 4. peatükiga. Selle peatüki üks säte, § 13, määratleb, et selle peatüki tähenduses kasutatakse termineid üldmääruse art. 4 ning art 9 lõike 1 tähenduses. Samas paragrahvis määratletakse ka ära õiguskaitseasutuse mõiste.
8Vt üldmääruse art. 4 p.1; direktiivi art. 3 p. 1.
9Vt üldmääruse art. 9 ja direktiivi art. 10. See mõiste on kattuv seni Eesti õiguses kasutatud delikaatsete isikuandmete mõistega – välja arvatud selles osas, et eriliiki isikuandmed ei hõlma süüteoandmeid ja süüdimõistvaid kohtuotsuseid (vt üldmääruse art. 10).
10Vt üldmääruse art. 4 p. 2; direktiivi art. 3 p. 2.
11Vt üldmääruse art. 1; direktiivi art. 1.
12Vt üldmääruse sissejuhatuse põhjenduspunkt (edaspidi pp.) 26 ja 57 ning art. 11; direktiivi pp. 21.
13Vt üldmääruse art. 2 lg 1; direktiivi art. 2 lg 2.
14Vt üldmääruse art. 1 lg 2 p. c.
15Vt üldmääruse art. 2 lg 2 p. a ja b; direktiivi art. 2 lg 3 p. a.
16Vt eelkõige üldmääruse pp. 4 ning lisaks pp. 153-159 ning art. 85, 86, 88, 89. Lisaks vt IKS § 4.
17Vt üldmääruse art. 5; direktiivi art. 4; IKS § 14.
18Vt üldmääruse art. 6, täiendavad nõuded eriliiki andmete osas art. 9, vt samuti art. 7-11; direktiivi art. 8; IKS § 15
19Vt üldmääruse art. 4 p. 8 ja 9 ning art. 24, 26, 28 ja 29; direktiivi art. 3 p. 8 ja 9 ning art. 19, 21-23; IKS § 29-32.
Viljar Peep, üldjuhendi toimetaja
Last updated: 04.04.2024