Kiire tehnoloogilise arengu ajastul on oluliselt suurenenud igapäevaselt töödeldavate andmete maht. Uued tehnoloogiad on muutnud oluliselt andmete töötlemise viise. Selle tulemusena puutuvad ettevõtted sõltumata oma tegevusalast üha enam kokku isikuandmete töötlemisest tulenevate riskidega. Üldiselt kiputakse arvama, et isikuandmete kaitse on vaid nö uue äri ettevõtete, kelle põhitegevus toimub online’is, mure. Päris nii lihtne see pole. On tõsi, et põhitegevust internetiavarustes läbi viivate ettevõtjate puutepunkt isikuandmete töötlemisega on sageli suurem ja nüansid keerulisemad. Samas on andmekaitse kasvanud tänaseks nii põhjalikult reguleeritud valdkonnaks, et ka näiteks masinatöösturitel, ehitusettevõtjatel või kasvõi (finants)konsultantidel ei ole enam ohutu silma kinni pigistada.
Isikuandmed ehk millest jutt käib
Andmekaitse on laiem mõiste kui isikuandmete kaitse, kuid piirdume antud loo kontekstis lihtsuse huvides isikuandmetega. Isikuandmed on mistahes andmed tuvastatud (st andmete alusel on selge, millise inimesega on tegemist) või tuvastatava (andmete alusel on võimalik selgitada välja, millise inimesega on tegemist) inimese kohta, sealhulgas kindlasti ta nimi, sünniaeg ja isikukood. Kui palju leiame ettevõtteid, kelle majapidamises ei leidu klientide, töötajate, koostööpartnerite jne nimekirju, mis selliseid andmeid sisaldavad? Vastus on ütlematagi selge. Isikuandmete töötlemise nõuded kohalduvad iga sellise nimekirja koostamisele ja muutmisele või mistahes muu toimingu tegemisele nimekirjas sisalduvate isikuandmetega.
Oluline on tähele panna, et sageli kiputakse isikuandmete kaitset seostama vaid elektroonilistes andmebaasides sisalduvaga, kuid selline arusaam on ekslik. Isikuandmete töötlemine on igasugune isikuandmetega tehtav toiming sõltumata selle vormist (sh andmete säilitamise vormist). Seega ka paberil peetav töötajate sünnipäevade nimekiri on isikuandmeid sisaldav dokument ja selle käsitlemisel tuleb lähtuda seaduse nõuetest. Viimane on kõigest üksik ja lihtne näide.
Andmete kaitse puudutab muuhulgas näiteks kaubandus- ja teenindusettevõtteid kliendiandmete kogumisel püsiklientide lojaalsusprogrammide raames, meediaettevõtteid, fotostuudioid ning fotopankade omanikke seoses isikute fotode kogumise ja säilitamisega, pankasid klientide finantsinfo säilitamisel, mistahes veebilehe omanikku „küpsiste“ paigaldamisel, rääkimata sellest, et iga tööandja peab järgima andmekaitsenõudeid suhetes oma töötajatega (tõenäoliselt pole enam kaugel ajad, kus ka Eestis hakkavad töötajad andmekaitsega seonduvaid argumente töövaidlustes aktiivselt kasutama, mingil määral esineb seda juba praegu). Seega oleks igal ettevõttel sõltumata tegevusalast kasulik kaardistada oma tegevus tuvastamaks, milliste toimingute käigus ja millisel viisil isikuandmete töötlemine toimub. Selle põhjal tuleks seada sisse oma ettevõtte spetsiifikast lähtuvad isikuandmete töötlemise nõuded, mille järgimine firmasiseselt tagaks seadusele vastavuse ja väldiks olukorda, kus ühel päeval potsatab postkasti kiri Andmekaitse Inspektsioonilt tulvil uudishimu teie tegevuse üksikasjade suhtes, kaebus kliendilt enda andmete kasutamise osas või ehmatab teid ajakirjaniku varahommikune kõne küsimustega andmelekke või e-posti spämmi asjus.
Seadus eristab nö tavalistest isikuandmetest delikaatsed isikuandmed (nt poliitilisi vaateid, tervislikku seisundit, seksuaalelu jm puudutavad andmed), mille töötlemise suhtes kehtivad tavalisest rangemad nõuded (töötlemise registreerimise kohustus Andmekaitse Inspektsioonis jm). Kuna delikaatseid isikuandmeid töötlevad reeglina vaid spetsiifilistes valdkondades (nt meditsiini-, haridus- ja kasvatusasutused) tegutsevad asutused ja ettevõtted, siis me käesolevas loos neid lähemalt ei puuduta.
Vastutav ja volitatud töötleja ehk kes millega riskib
Seadus eristab vastutavat ja volitatud isikuandmete töötlejat. Üldistades võib öelda, et vastutav töötleja on isik, kelle kontrolli all andmete töötlemine toimub ning kes selle seaduslikkuse eest vastutab. Vastutav töötleja saab volitada teist isikut (nt teenusepakkujat) töötlema isikuandmeid tema eest andes selliseks töötlemiseks juhtnööre ning määrates kindlaks andmete töötlemise nõuded. Võib tunduda lihtne, kuid tegelikkuses on keerukamate andmetöötlusprotsesside puhul sageli raske määratleda, kas isik on vastutav või volitatud töötleja. Selline kindlaks määramine on mõlema poole jaoks esmatähtis, sest vastutava ja volitatud töötleja kohustused ja vastutus on erinevad.
Vastutav töötleja vastutab andmetöötluse vastavuse eest seadusele. See tähendab, et isegi kui seadust rikub volitatud töötleja, siis seaduse kohaselt on rikkuvaks isikuks ikkagi vastutav töötleja, sest tema ülesanne oli tagada, et tema ülesandel läbi viidav andmete töötlemine toimub nõuetekohaselt. Andmesubjekti, st inimese, kelle andmeid töödeldi, suhtes vastutab ikka ja ainult vastutav töötleja sõltumata sellest, milles vastutav ja volitatud töötleja omavahel kokku on leppinud. Seetõttu on vastutava töötleja seisukohast oluline leppida volitatud töötlejaga sõlmitavas lepingus kokku, et juhul, kui volitatud töötleja nõudeid rikub, on vastutaval töötlejal õigus nõuda lepingu alusel oma lepingupartnerilt kas siis kahju hüvitamist, leppetrahvi või kohaldada muud kokku lepitud õiguskaitsevahendit.
Siin on heaks näiteks pilveteenused, mille puhul on andmetöötlemise pädevuse ja vastutuse määratlemine sageli lepingu üks olulisemaid küsimusi. Suurte andmemahtude puhul on riskid suured. Tellija kui vastutava töötleja huvides on kogu temale seadusest tulenev vastutus teenuse pakkujale kui volitatud töötlejale „edasi põrgatada“. See ei ole aga niisama lihtne, vaid nõuab lepingu hoolikat sõnastamist. Pilveteenused on ühtlasi aga hea näide ka sellest, et mitte alati ei ole kõik must-valge ehk tellija ilmtingimata vastutav ja teenuse pakkuja volitatud töötleja. Keerulisemate protsesside puhul tuleb määratlemisel arvesse võtta hulk erinevaid kriteeriume (nt kellel mingis andmetöötlusetapis on kontroll andmete üle jms) otsustamaks, kumb lepingupool millist vastutust seaduse alusel kannab.
Andmete edastamine välisriiki
Tänapäevases piiriülese äri maailmas on isikuandmete töötlejatel oluline ka silmas pidada isikuandmete välisriiki toimetamise reegleid. Juhul, kui töötleja soovib andmebaasi üle anda teisele isikule (vastutavale või volitatud töötlejale) selliselt, et andmeid hakatakse hoidma väljaspool Euroopa Liitu või Euroopa Majanduspiirkonda asuvas serveris, tuleb selgitada, kas Euroopa Komisjon on lugenud andmekaitse taseme sellises riigis piisavaks, s.t. vähemalt võrdseks Euroopa Liidu omaga. Kui see nii ei ole, võib andmeid üldjuhul välja viia vaid Andmekaitse Inspektsiooni eelneval nõusolekul või kui andmesubjekt ise on otsesõnu lubanud enda andmeid sellisesse riiki toimetada.
Miks see kõik oluline on?
Tagajärgi võib olla erinevaid, alustades Andmekaitse Inspektsiooni ettekirjutusest lihtsamate puuduste korral, mida on kerge vaevaga võimalik kõrvaldada kuni isikute (andmesubjektide) kaebusteni nende õiguste rikkumise osas, millest võivad välja kasvada pikad ja tülikad kohtuvaidlused. Sinna vahele jäävad näiteks vaidlused lepingupartneritega lepingu seisukohalt oluliste andmete lekkimise eest vastutuse üle jpm. Kuid kaugeltki vähem oluline pole oht oma ettevõtte muidu nii head ja usaldusväärset mainet rikkuda kui selgub, et andmekaitse protseduurides on suuremat sorti lüngad. Turundusinfoga spämmimise miinusmärgiga kasutegur on ilmselt üks leebemaid näiteid.
Oleme Eestis täna juba kindlasti ajajärgus, kus ettevõtte selge ja tugev privaatsuspoliitika saab olla heaks tööriistaks tõstmaks usaldusväärsust nii oma töötajate, klientide, lõppkasutajate kui ka avalikkuse silmis. See annab signaali, et olete teile usaldatud info osas hoolikad ja lugupidavad. Kas sinu ettevõtte juba müüb usaldusväärsust?
Kui räägime isikuandmete kaitsest, siis millest me räägime? Ja miks?
Kiire tehnoloogilise arengu ajastul on oluliselt suurenenud igapäevaselt töödeldavate andmete maht. Uued tehnoloogiad on muutnud oluliselt andmete töötlemise viise. Selle tulemusena puutuvad ettevõtted sõltumata oma tegevusalast üha enam kokku isikuandmete töötlemisest tulenevate riskidega. Üldiselt kiputakse arvama, et isikuandmete kaitse on vaid nö uue äri ettevõtete, kelle põhitegevus toimub online’is, mure. Päris nii lihtne see pole. On tõsi, et põhitegevust internetiavarustes läbi viivate ettevõtjate puutepunkt isikuandmete töötlemisega on sageli suurem ja nüansid keerulisemad. Samas on andmekaitse kasvanud tänaseks nii põhjalikult reguleeritud valdkonnaks, et ka näiteks masinatöösturitel, ehitusettevõtjatel või kasvõi (finants)konsultantidel ei ole enam ohutu silma kinni pigistada.
Isikuandmed ehk millest jutt käib
Andmekaitse on laiem mõiste kui isikuandmete kaitse, kuid piirdume antud loo kontekstis lihtsuse huvides isikuandmetega. Isikuandmed on mistahes andmed tuvastatud (st andmete alusel on selge, millise inimesega on tegemist) või tuvastatava (andmete alusel on võimalik selgitada välja, millise inimesega on tegemist) inimese kohta, sealhulgas kindlasti ta nimi, sünniaeg ja isikukood. Kui palju leiame ettevõtteid, kelle majapidamises ei leidu klientide, töötajate, koostööpartnerite jne nimekirju, mis selliseid andmeid sisaldavad? Vastus on ütlematagi selge. Isikuandmete töötlemise nõuded kohalduvad iga sellise nimekirja koostamisele ja muutmisele või mistahes muu toimingu tegemisele nimekirjas sisalduvate isikuandmetega.
Oluline on tähele panna, et sageli kiputakse isikuandmete kaitset seostama vaid elektroonilistes andmebaasides sisalduvaga, kuid selline arusaam on ekslik. Isikuandmete töötlemine on igasugune isikuandmetega tehtav toiming sõltumata selle vormist (sh andmete säilitamise vormist). Seega ka paberil peetav töötajate sünnipäevade nimekiri on isikuandmeid sisaldav dokument ja selle käsitlemisel tuleb lähtuda seaduse nõuetest. Viimane on kõigest üksik ja lihtne näide.
Andmete kaitse puudutab muuhulgas näiteks kaubandus- ja teenindusettevõtteid kliendiandmete kogumisel püsiklientide lojaalsusprogrammide raames, meediaettevõtteid, fotostuudioid ning fotopankade omanikke seoses isikute fotode kogumise ja säilitamisega, pankasid klientide finantsinfo säilitamisel, mistahes veebilehe omanikku „küpsiste“ paigaldamisel, rääkimata sellest, et iga tööandja peab järgima andmekaitsenõudeid suhetes oma töötajatega (tõenäoliselt pole enam kaugel ajad, kus ka Eestis hakkavad töötajad andmekaitsega seonduvaid argumente töövaidlustes aktiivselt kasutama, mingil määral esineb seda juba praegu). Seega oleks igal ettevõttel sõltumata tegevusalast kasulik kaardistada oma tegevus tuvastamaks, milliste toimingute käigus ja millisel viisil isikuandmete töötlemine toimub. Selle põhjal tuleks seada sisse oma ettevõtte spetsiifikast lähtuvad isikuandmete töötlemise nõuded, mille järgimine firmasiseselt tagaks seadusele vastavuse ja väldiks olukorda, kus ühel päeval potsatab postkasti kiri Andmekaitse Inspektsioonilt tulvil uudishimu teie tegevuse üksikasjade suhtes, kaebus kliendilt enda andmete kasutamise osas või ehmatab teid ajakirjaniku varahommikune kõne küsimustega andmelekke või e-posti spämmi asjus.
Seadus eristab nö tavalistest isikuandmetest delikaatsed isikuandmed (nt poliitilisi vaateid, tervislikku seisundit, seksuaalelu jm puudutavad andmed), mille töötlemise suhtes kehtivad tavalisest rangemad nõuded (töötlemise registreerimise kohustus Andmekaitse Inspektsioonis jm). Kuna delikaatseid isikuandmeid töötlevad reeglina vaid spetsiifilistes valdkondades (nt meditsiini-, haridus- ja kasvatusasutused) tegutsevad asutused ja ettevõtted, siis me käesolevas loos neid lähemalt ei puuduta.
Vastutav ja volitatud töötleja ehk kes millega riskib
Seadus eristab vastutavat ja volitatud isikuandmete töötlejat. Üldistades võib öelda, et vastutav töötleja on isik, kelle kontrolli all andmete töötlemine toimub ning kes selle seaduslikkuse eest vastutab. Vastutav töötleja saab volitada teist isikut (nt teenusepakkujat) töötlema isikuandmeid tema eest andes selliseks töötlemiseks juhtnööre ning määrates kindlaks andmete töötlemise nõuded. Võib tunduda lihtne, kuid tegelikkuses on keerukamate andmetöötlusprotsesside puhul sageli raske määratleda, kas isik on vastutav või volitatud töötleja. Selline kindlaks määramine on mõlema poole jaoks esmatähtis, sest vastutava ja volitatud töötleja kohustused ja vastutus on erinevad.
Vastutav töötleja vastutab andmetöötluse vastavuse eest seadusele. See tähendab, et isegi kui seadust rikub volitatud töötleja, siis seaduse kohaselt on rikkuvaks isikuks ikkagi vastutav töötleja, sest tema ülesanne oli tagada, et tema ülesandel läbi viidav andmete töötlemine toimub nõuetekohaselt. Andmesubjekti, st inimese, kelle andmeid töödeldi, suhtes vastutab ikka ja ainult vastutav töötleja sõltumata sellest, milles vastutav ja volitatud töötleja omavahel kokku on leppinud. Seetõttu on vastutava töötleja seisukohast oluline leppida volitatud töötlejaga sõlmitavas lepingus kokku, et juhul, kui volitatud töötleja nõudeid rikub, on vastutaval töötlejal õigus nõuda lepingu alusel oma lepingupartnerilt kas siis kahju hüvitamist, leppetrahvi või kohaldada muud kokku lepitud õiguskaitsevahendit.
Siin on heaks näiteks pilveteenused, mille puhul on andmetöötlemise pädevuse ja vastutuse määratlemine sageli lepingu üks olulisemaid küsimusi. Suurte andmemahtude puhul on riskid suured. Tellija kui vastutava töötleja huvides on kogu temale seadusest tulenev vastutus teenuse pakkujale kui volitatud töötlejale „edasi põrgatada“. See ei ole aga niisama lihtne, vaid nõuab lepingu hoolikat sõnastamist. Pilveteenused on ühtlasi aga hea näide ka sellest, et mitte alati ei ole kõik must-valge ehk tellija ilmtingimata vastutav ja teenuse pakkuja volitatud töötleja. Keerulisemate protsesside puhul tuleb määratlemisel arvesse võtta hulk erinevaid kriteeriume (nt kellel mingis andmetöötlusetapis on kontroll andmete üle jms) otsustamaks, kumb lepingupool millist vastutust seaduse alusel kannab.
Andmete edastamine välisriiki
Tänapäevases piiriülese äri maailmas on isikuandmete töötlejatel oluline ka silmas pidada isikuandmete välisriiki toimetamise reegleid. Juhul, kui töötleja soovib andmebaasi üle anda teisele isikule (vastutavale või volitatud töötlejale) selliselt, et andmeid hakatakse hoidma väljaspool Euroopa Liitu või Euroopa Majanduspiirkonda asuvas serveris, tuleb selgitada, kas Euroopa Komisjon on lugenud andmekaitse taseme sellises riigis piisavaks, s.t. vähemalt võrdseks Euroopa Liidu omaga. Kui see nii ei ole, võib andmeid üldjuhul välja viia vaid Andmekaitse Inspektsiooni eelneval nõusolekul või kui andmesubjekt ise on otsesõnu lubanud enda andmeid sellisesse riiki toimetada.
Miks see kõik oluline on?
Tagajärgi võib olla erinevaid, alustades Andmekaitse Inspektsiooni ettekirjutusest lihtsamate puuduste korral, mida on kerge vaevaga võimalik kõrvaldada kuni isikute (andmesubjektide) kaebusteni nende õiguste rikkumise osas, millest võivad välja kasvada pikad ja tülikad kohtuvaidlused. Sinna vahele jäävad näiteks vaidlused lepingupartneritega lepingu seisukohalt oluliste andmete lekkimise eest vastutuse üle jpm. Kuid kaugeltki vähem oluline pole oht oma ettevõtte muidu nii head ja usaldusväärset mainet rikkuda kui selgub, et andmekaitse protseduurides on suuremat sorti lüngad. Turundusinfoga spämmimise miinusmärgiga kasutegur on ilmselt üks leebemaid näiteid.
Oleme Eestis täna juba kindlasti ajajärgus, kus ettevõtte selge ja tugev privaatsuspoliitika saab olla heaks tööriistaks tõstmaks usaldusväärsust nii oma töötajate, klientide, lõppkasutajate kui ka avalikkuse silmis. See annab signaali, et olete teile usaldatud info osas hoolikad ja lugupidavad. Kas sinu ettevõtte juba müüb usaldusväärsust?