Andmekaitse ja isikuandmete kaitse seadus

Isikuandmete kaitse seadus on täna Eestis kehtiv seadus, millele vastavust peaks iga endast lugupida ettevõtte järgima.

Põhiline olemus, mida kõnealune seadus endast kätkeb on andmetöötleja kohustused isikuandmeid kaitsta, et tagada füüsiliste isikute õigused ja puutumatus.

Mis on isikuandmed?

Isikuandmeteks loetakse mistahes füüsilise isikuga ja tema tuvastamist võimaldavaid andmeid: Nimi, telefon, aadress, e-mail jne.

Mis on andmetöötlus?

Andmeöötluseks loetakse mistahes isikuandmetega tehtavat toimingut. Siia alla kuulub nii salvestamine, lugemine, kustutamine.

Näide: Kui klient ütleb oma nime ja sa selle infoga midagi ei tee, ei ole tegu töötlemisega, küll aga on sellega tegu hetkel kui sa selle info kuidagimoodi salvestad (kirjutamine paberile, kõne salvestamine jne.)

Mida tuleb siis töötlejal jälgida?

Minimaalsuse põhimõte

Esiteks on välja toodud, et andmeid tuleb töödelda minimaalsuse põhimõttel: iga füüsilise isiku suhtes omatav infokild peab olema põhjendatud, sisuliselt on keelatud “igaks juhuks” andmeid koguda.

Näide: Kui veebipoes müüakse kaupa ja seda tarnitakse pakiautomaati, siis ei ole põhjendatud koduse aadressi küsimine. Küll aga on põhjendatud telefoninumbri küsimine: essmärgiks on siinkohal kliendile teenuse osutamine.

Säilitusaeg

Täiendavalt peab olema kindel, et andmeid säilitatakse nii kaua kui on vaja põhjendatud tegevuse teostamiseks või muust seadusandlusest tingitud tingimuse täitmiseks: näiteks tuleb hoida isiku nime ja kontaktandmetega arvet alles 7 aastat (raamatupidamisseadus), küll aga on väga raske põhjendada, miks on vaja säilitada näiteks 10 aastat tagasi peetud kirjavahetuse konkreetse isikuga.

Näide: Isikustatud kliendikaardi ja konkreetse arve suhe. Arvet on vaja hoida alles raamatupidamise seaduse kohaselt 7 aastat, aga selle arve seotust konkreetse isikustatud kliendikaardiga on raskem põhjendada: kaupade puhul kehtib näiteks 2 aastane garantiiperioon, mis võib olla üheks põhjenduseks, teiseks põhjenduseks võib olla sihitud toodete pakkumine, mille puhul juba tuleb lähtuda automaatsete otsustega seotud tingimustest.

Teavitused:

Kasutajat tuleb alati teavitada tema õigustest ja võimalustest. Andmetöötleja peab vaidluste korral alati olema võimeline tõestama, et kasutaja on töötlemiseks nõusoleku andnud ja kui seda tõestada ei ole võimalik, loetakse see vaidluse korral automaatselt nõusoleku puudumiseks.

Näide:E-maili aadressi kogumisel turunduslikul otstarbel peab kasutajat informeerima: töötleja andmete ja kontaktandmete osas, töötlemise eesmärgist, info kolmandate osapoolte kohta, kellele andmeid edastatakse ja selle tingimused (siia alla kuulub ka näiteks e-maili teenuse pakkuja) ning kasutaja õigustest igal hetkel oma nõusolek tagasi võtta ning õigusest nõuda andmete kustutamist. Samuti peab peab olema veendumus, et e-mail on kasutaja oma: ostetud kliendibaasi puhul on väga kerge sattuda rämpspostitajate nimekirja:  http://www.aki.ee/et/menetluspraktika/rampspostitajate-nimekiri 

Volitatud andmetöötlejad

Volitatud andmetöötleja on keegi, kes tegeleb ettevõtte nimel andmetöötlusega. Volitatud töötleja eksimuste eest vastutab ikkagi andmetöötleja, seega on oluline, et teenuspartnerite valikul toimuks ka reaalne hindamine pädevuse osas.

Näide: Kui ettevõte valib endale IT teenuse partneri, kes majutab nende serverit, enda serveriruumis, siis antud juhul on IT teenust osutav ettevõte volitatud andmetöötleja. Seega lasub IT partneri eksimuse korral vastutus ikkagi ettevõttel, kellel on isiku luba tema andmeid töödelda.

Andmete edastamine välisriiki

Andmete edastamisel välisriiki tuleb silmas pidada, millises riigis tegutseva ettevõttega on tegu. Sätestatud on, et edastada tohib juhul, kui sihtriik on Europa Liidu liige või ta on ühinenud Euroopa majanduspiirkonna lepinguga. Samuti on lubatud andmete edastamine riiki, milles kehtivat seadusandlust on euroopa komisjon hinnanud piisavaks (http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm) ja EU-US Privacy Shield raamistik reguleerib Euroopa ja Ameerika vahelist andmeühendust: https://www.privacyshield.gov/welcome

Näide: Google ja Microsoft on mõlemad liitunud EU-US Privacy Shield lepinguga ja sealsel kodulehel on välja töödud nende ettevõtete järgmiste auditite tähtajad.

Delikaatsed Isikuandmed

Ühe eraldi teemana tuleb veel käsitleda delikaatseid isikuandmeid.

Seaduse järgi loetakse delikaatseteks isikuandmeteks infot, mis on seotud isikute rassi, usutunnistuse, poliitiliste vaadete või ka teviseandmetega.

Kui nimekirjast esimesed on suhteliselt hästi mõistetavad ja on lihtne aru saada, mida nad endast kätkevad, siis terviseandmete osas on sisu analüüsimine juba keerulisem. Suheldes Andmekaitse inspektsiooniga, oli nende poolne seisukoht, et näiteks inimese kehakaal ja pikkus ei kuulu terviseandmete alla. Küll aga kuuluvad sinna kõik andmed, mis on näiteks seotud konkreetsete diagnoosidega.

Seega võib delikaatsete isikuandmete töötlemiseks pidada näiteks toitumiskava koostamist, kui teenuse pakkuja saab näiteks teada diagnoositud toiduallergia ja otsustab selle info talletada.

Delikaatsete isikuandmete töötlemine tuleb alati registreerida Andmekaitse Inspektsioonis, või määrata endale vastutav töötleja, kellest tuleb siis Andmekaitse inspektsiooni teavitada. Minu soovitus on siinkohal alati valida viimane versioon, sest siis on “bürokraatiat” vähem. Küll aga ei tohi siinkohal arvata, et vastutav isik ei pea midagi tegema: registreid tuleb ikka pidada ja andmeid tuleb samuti kaitsta.

 

Soovid täiendavat infot, võta minuga ühendust!