FOTO: EY

Üha enam saab selgeks, et tänases infoühiskonnas puudub üksikisikul kontroll internetis tema kohta leiduvate andmete osas. See on ilmselgeks märgiks, et on aeg teha muudatusi ja anda üksikisikule tagasi kontroll tema andmete üle – sõna otseses mõttes. Õnneks on sellest probleemist saadud aru ka Euroopa Liidu tasandil, kus anti start andmekaitse reformile.

Käesoleva aasta aprillikuus kiideti heaks Euroopa Parlamendi ja Nõukogu määrus nr 2016/679, mis on otsekohalduv kõigile 28 liikmesriigile (sh Eestile). Euroopas kehtivate andmekaitsenormide ühtlustamisega on eesmärk muuta ettevõtlus liikmesriikides lihtsamaks:

  • Üks maailmajagu, ühed normid: määrusega kehtestatakse ühtne õigusnormide kogum.
  • Üks järelevalveasutus (ehk one-stop-shop-põhimõte): ettevõtjad peavad suhtlema üheainsa järelevalveasutusega, eraldi menetluse algatamine erinevates seotud liikmesriikides ei ole vajalik.
  • Euroopas kehtivad Euroopa õigusnormid: väljaspool Euroopat asuvad ettevõtjad peavad EL-is teenuseid pakkudes pidama kinni samadest õigusnormidest.
  • Õigusnormid, mis soodustavad muudatusi: andmekaitse turvameetmed on toodetesse ja teenustesse sissekodeeritud alates arendamise varaseimast etapist (st lõimitud andmekaitse).

Üksikisiku kaitseks näeb määrus ette isikuandmete töötlemisel kohustuse järgida, et:

  • Isikuandmete töötlemise aluseks on üksikisiku informeerimine: üksikisikutele antakse suurem kontroll ja rohkem teavet nende andmete töötlemise kohta (sh kuidas töödeldakse, kes töötleb ning info andmete edastamise osas kolmandatele isikutele/riikidele) ning see teave tuleb kättesaadavaks teha selgel ja arusaadaval viisil; isiku nõusolek tema andmete töötlemiseks peab olema tagasivõetav sama lihtsalt kui see on antud.
  • Isikuandmeid töödeldakse ainult seaduslikul alusel: üksikisiku andmeid peab töötlema läbipaistvalt, minimaalses koguses, unustamisõigusega (ehk isikul on õigus olla teatud aja möödudes nn „unustatud“), tagades isikuandmete kaitse ka andmete edastamisel (sh väljapoole EL-i).
  • Isikuandmete töötlemisel on arvesse võetud erisused isikuandmete eriliikide osas: isiku geneetilised ja biomeetrilised andmed, terviseandmed jne kuuluvad isikuandmete eriliikide alla, mille töötlemine on lubatud vaid eraldi tingimustel.

Rahvusvaheliste ettevõtjate jaoks, kelle äritegevus toimub rohkem kui ühes liikmesriigis ning võib ulatuda ka EL-ist väljapoole, on üheks võimaluseks tagada isikuandmete kaitse kontsernisiseste eeskirjadega. Praktilisest vaatevinklist tähendab see seda, et kogu ettevõttega seotud andmekaitset puudutav regulatsioon pannakse kirja ühte dokumenti – siduvad kontsernisisesed eeskirjad (inglise keeles Binding Corporate Rules ehk BCRs).

Viidatud eeskirjade peamiseks eesmärgiks oleks reguleerida asjakohaseid kaitsemeetmeid, mis tagaks vajaliku andmekaitse taseme andmete edastamisel nii ELi-siseselt kui ka EL-ist väljapoole (nt Indiasse). Üheks kontsernisiseste eeskirjade eeliseks oleks ka see, et andmete edastamisel kolmandatesse riikidesse poleks vaja ametiasutuse luba enam mitu korda küsida, mis vähendaks seeläbi ka ametiasutuste halduskoormust (täna peab Andmekaitse Inspektsioon andma loa andmete edastamiseks riikidesse, kus ei ole Komisjoni arvamuse kohaselt piisav andmekaitse tagatud – vt piisava andmekaitse tasemega riikide loetelu siit: http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm).

Heaks näiteks viidatud kontsernisiseste eeskirjade kohaldamise osas on näiteks kasvõi EY (Ernst & Young) ise, kuuludes nimekirja, kelle kontsernisisesed eeskirjad (BCRs) on tunnistatud EL-i andmekaitse tasemega vastavuses olevaks (vt täielikku nimekirja ettevõtetest siit: http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/bcr_cooperation/index_en.htm).

Eraldi tähelepanu köidab ka määruses toodud trahvimäär, mis ulatub kuni 20 miljoni euroni. Loodame, et isikuandmete kaitse ajendiks ei saa olema aga ainult kõrge trahvimäär – oluline oleks siiski tagada see, et üksikisikul oleks kontroll oma andmete üle ning selle tagamiseks ka vastavaid samme astutakse.

Kohalduv määrus jõustub Eesti jaoks küll alles 25. mail 2018, kuid arvestades määruse detailsust, tuleks isikuandmete kaitsega hakata uute reeglite valguses tegelema juba täna. Seda enam, et iga ettevõtja puutub isikuandmete töötlemisega kokku nii oma kliente kui ka töötajaid puudutavate andmete osas, mis tähendab seda, et käimasolev andmekaitse reform ei tohiks jätta mitte ühtegi ärisektorit külmaks.

Kuna see valdkond võib olla ka oluliseks maineriski põhjustajaks, siis tasub pöörduda aegsasti spetsialisti poole, et uute reeglite rakendumiseks õigel ajal valmis olla.

Autor: Elis Prangli, EY maksu ja õigusnõustamise osakond, konsultant