Aastate jooksul on Andmekaitse Inspektsiooni roll oluliselt kasvanud ja laienenud. Tänane AKI on märksa mitmekülgsem organisatsioon kui kunagi varem — lisandunud on uusi töövaldkondi ja ülesandeid. Kui varem keskenduti peamiselt järelevalvele, siis nüüd on fookuses ka strateegiline lähenemine, mis hõlmab nõustamist, koolitusi ja andmekaitsekultuuri arendamist laiemalt.
Miks üldse on vaja isikuandmete kaitset — ehk milleks AKI?
Kui Andmekaitse Inspektsioon omal ajal loodi, oli fookus eeskätt riigipoolse andmetöötluse järelevalvel. 2000. aastate alguses tekkisid uued andmekogud ning oli oluline tagada, et riik kasutaks inimeste andmeid usaldusväärselt ja läbipaistvalt.
Aja jooksul on raskuskese aga nihkunud — tänaseks seisab AKI üha enam inimeste õiguste kaitse eest. Samas on viimastel aastatel taas tõusnud päevakorda ka riigi enda tegevuse läbipaistvuse, mis on saanud järjest olulisemaks.
Just järelevalve on see, mis AKI nime sageli meedias esile toob. Sageli kõlab sõna „inspektsioon“ üsna tõsiselt — seostatakse menetluste, trahvide ja kontrollidega. Tegelikult on AKI töö aga palju laiem: lisaks järelevalvele tegeletakse aktiivselt mh ka nõustamise, koolituste ja andmekogude kooskõlastamisega, samuti antakse arvamusi seaduseelnõude kohta. Kõik need tegevused aitavad kaasa sellele, et andmekaitsekultuur Eestis areneks ja muutuks ka inimeste teadvuses üha tugevamaks.
Viimastel aastatel on AKI ellu kutsunud mitu andmekaitsespetsialistide võrgustikku, kus oma ala professionaalid saavad omavahel kogemusi jagada, arutada töö käigus tekkinud küsimusi ning üksteisele toeks olla. Nagu Maarja Kirss märgib — pole ju mõtet igaühel jalgratast leiutada, kui teised on sama tee juba läbi sõitnud.
Olulisel kohal AKI töös on ka rahvusvaheline koostöö, mis on viimastel aastatel üha enam hoogu kogunud. Andmekaitse ei tunne riigipiire ning seetõttu on eriti tähtis ühine arusaam põhimõistetest ja põhimõtetest — mis täpselt on isikuandmed, kes on andmetöötlejad ja milline on nende vastutus. Selliste arusaamade ühtlustamine on omaette suur töövaldkond, millega AKI iga päev tegeleb ning mis aitab kaasa kogu Euroopa andmekaitsepraktika ühtsele arengule.
Miks on vajalik GDPR ehk isikuandmete kaitse üldmäärus (IKÜM)?
Ühelt poolt on see turvalisuse küsimus – isikuandmed on väärtuslik vara, mida tuleb kaitsta samamoodi nagu muid olulisi ressursse. Teiselt poolt on see ka maine ja usaldusväärsuse küsimus: kas ettevõte on turvaline ja usaldatav partner või mitte.
Andmekaitse ei ole eesmärk omaette, vaid reeglite kogum, mis tagab inimeste eraelu puutumatuse. See tähendab, et nende andmeid hoitakse turvaliselt ning neid kasutatakse ainult siis, kui selleks on selge õiguslik alus ja tegelik vajadus. Lõppkokkuvõttes on see usaldusväärsuse küsimus – ükski ettevõte, kes soovib olla aus ja usaldusväärne oma klientide suhtes, ei saa andmekaitsest mööda vaadata. Õnneks on teadlikkuse muutumist näha ka inimestes ja seda just inspektsiooni sisse tulevate kaebuste ja küsimuste näol. Inimesed muutuvad andmekaitse küsimustes aina teadlikumaks. 10–15 aastat tagasi ei räägitud sellest üldse.
Aga miks meil on avaliku teabe seadus ja miks see mulle kui eraisikule oluline on?
Selle teema keskmes on üks põnev paradoks. Eraisikuna soovime, et meie andmed oleksid turvaliselt hoitud ja privaatsed, kuid riigina peame samas tagama, et võimalikult palju teavet oleks avalik – et inimesed teaksid, millega riik tegeleb ja kuidas otsuseid tehakse.
Avaliku teabe seadus aitabki tagada riigi läbipaistvuse ja usaldusväärsuse – see on märksa laiem põhimõte kui pelgalt isikuandmete kaitse. See annab igale inimesele õiguse teada, mis toimub tema ümber ja kuidas avalikku võimu ning raha kasutatakse.
Kuidas seda praktikas tajuda?
Proovige näiteks minna mõne asutuse kodulehele ja vaadata, millist infot sealt leiab. Eestis on dokumentide ja otsuste läbipaistvus üsna kõrgel tasemel – meil on näiteks avalikud dokumendiregistrid, mida paljudes teistes riikides ei ole. Samuti on kõigil võimalik esitada teabenõue ning asutus peab sellele vastama viie tööpäeva jooksul.
Loomulikult võib ette tulla olukordi, kus mõnele teabele kehtib juurdepääsupiirang. Siis tulebki appi AKI, kes aitab lahendada vaideid ja hinnata, kas piirang oli põhjendatud. Mõnikord pannakse piiranguid liiga kergekäeliselt – enamasti teadmatusest –, kuid just selliste olukordade lahendamine aitabki tagada, et Eestis kehtiks põhimõte: kõik on avalik, välja arvatud see, mis on põhjusega piiratud.
Oluline on rõhutada, et Andmekaitse Inspektsioon on eelkõige liitlane, mitte karistaja.
Kui ettevõte plaanib uut projekti või on valmimas mõni uus seaduseelnõu, tasub AKI poole pöörduda juba algfaasis, et vältida hilisemaid probleeme. Nõustamine aitab ennetada olukordi, kus projekt ei vasta kehtivatele andmekaitse nõuetele.
Rõõmustav on näha, et üha enam organisatsioone teebki seda juba eos – ja sageli ollakse meeldivalt üllatunud, kui palju abi ja selgust AKI spetsialistid pakkuda oskavad. Tõsi, AKI ei paku otsest õigusabi, kuid aitab kaasa mõelda ja suunata, et andmekaitse oleks igasse uude algatusse õigesti ja läbimõeldult integreeritud.
Mis juhtub ettevõtjaga, kes satub AKI huviorbiiti?
Kõige olulisem on teada, et AKI eesmärk ei ole karistamine, vaid kord majja saada. Kui inspektsioon saab kaebuse või märkab mõnd andmekaitseprobleemi, on esimene samm alati selgituste küsimine. AKI ei tee kunagi otsuseid ilma eelnevalt olukorda mõistmata – esmalt uuritakse, mis täpselt juhtus, küsitakse vajadusel täpsustavaid dokumente või andmetöötluse kirjeldusi.
Enamasti piisabki selgitustest või tähelepanu juhtimisest, et olukord parandatud saaks. Sageli saadetakse ettevõttele ettepanek või märguekiri, milles juhitakse probleemile tähelepanu ja soovitatakse, kuidas seda tulevikus vältida.
Põhisõnum on lihtne – tehke koostööd
AKI järelevalve ei ole karistusprotsess, vaid vastutuse võtmise ja õppimise võimalus. Kui olukord siiski jõuab menetluseni, ei tähenda see automaatselt trahvi. Paljudel juhtudel piirdutakse selgituste või parandusettepanekutega. Oluline on, et ettevõte võtab vastutuse ja teeb vajalikud sammud, et andmekaitse oleks edaspidi korras.
Andmehäälingu uus episood on valminud koostöös Euroopa Liidu CERV programmiga, mis toetab privaatsuse ja andmekaitseteadlikkuse arendamist Eestis.
