Alates 2018. aasta maikuust, mil jõustus Euroopa Liidus isikuandmete kaitse üldmäärus, kehtivad Euroopa Liidus ja teatud tingimustel ka väljaspool Euroopa Liidu territooriumi täiendavad isikuandmete kogumise, töötlemise ja kustutamise nõuded, millega isikuandmete kogujad ja töötlejad peavad arvestama. Andmekaitseasutused on juba asunud uute nõuete täitmist kontrollima ning esimesed suured trahvid on rikkumiste eest ka välja kirjutatud.

Mis on isikuandmed?

Isikuandmed on andmed, mille alusel saab üksikisikut tuvastada. Üldmääruses sätestati täiendavad nõuded, millega andmete kogujad ja töötlejad peavad arvestama näiteks nime, sünniaja, koduse aadressi, e-posti aadressi, telefoninumbri kogumisel, töötlemisel ja kustutamisel.

Üldmäärusega soovitakse pakkuda suuremat kaitset isikute eraelu puutumatusele, kuna üha enam ettevõtteid kasutab kogutud isikuandmeid enda huvides, sh tulu teenimiseks ja muudel ärilistel eesmärkidel. Isikuandmetest on saanud justkui uus maksevahend, millega teenuste ja kaupade eest on võimalik tasuda – teenuse saamise eelduseks on, et isik lubab kasutada oma andmeid.

18 miljoniline trahv Austria postiettevõttele

Esimesed suured trahvid seoses üldmääruse rikkumisega on välja kirjutatud; eksinud on näiteks Rootsi kool, kus näotuvastust teostati kohaolekukontrolli eesmärgil, mis ei ole kehtiva regulatsiooni kohaselt piisav põhjus selleks, et õpilaste kohta delikaatseid andmeid koguda. Trahvi sai ka Taani taksofirma, kes eemaldas sõitude kohta kogutud andmetelt küll isikute nimed, kuid jättis alles telefoninumbrid, mistõttu leiti, et info on isikustatav ja seetõttu seda säilitada ja ettevõtte arendustegevuses kasutada ei tohi.

Hiljuti trahvis Austria andmekaitseasutus kohalikku postiettevõtet Austria Posti 18 miljoni euro suuruse summaga. Kuna Austrias väljakirjutatud trahv on kolossaalne, on selge, et ka isikuandmete töötlemisega seotud rikkumine ei saa olla vähese tähtsusega. Nimelt kasutati Austria Posti poolt kogutud 2.2 miljonit andmeühikut isikuandmeid selleks, et tuvastada Austria kodanike poliitilisi eelistusi, mille järel pakuti kogutud andmeid müügiks erinevatele erakondadele. Andmemüügi tulemusena oli võimalik isikuid profileerida ja kasutada kogutud isikuandmeid just vastavate poliitiliste eelistustega isikutele suunatud reklaamiks.

Rikkumise raskust suurendab asjaolu, et poliitilised vaated on käsitatavad üldmääruse artikkel 9 tähenduses eriliigiliste isikuandmetena, mille töötlemise puhul tuleb alati eraldi nõusolek saada.

Nagu oleks eeltoodust veel vähe, avastati uurimise käigus ka rida teisi rikkumisi. Nimelt töötles Austria Post isikuandmeid veel selleks, et saada teada, kui suure sagedusega telliti saadetisi kindlatele aadressidele ja kui tihti isikud, kes saadetisi tellisid, kolisid, kusjuures selliseks isikuandmete töötlemiseks õiguslik alus puudus.

Nõuded isikuandmete kogumiseks ja töötlemiseks

Nii nagu postiasutustel on kerge luua andmekogusid isikuandmetest, mida isikud peavad esitama postiteenuse kasutamise eesmärgil, on see võimalik ka paljudel teistel ettevõtetel, kes vajavad oma teenuse osutamiseks teatud isikuandmete esitamist andmesubjektide poolt.

Füüsilistele isikutele peab olema selge, mille alusel ning millistel eesmärkidel nende isikuandmeid töödeldakse, samuti peavad olema paika pandud isikuandmete töötlemise turvameetmed, isikuandmete kustutamistähtajad ja andmesubjektide õigused.

Tavalise postiteenuse puhul peaks isikuandmete töötlemise õiguslikuks aluseks olema postiteenuse osutamiseks sõlmitud leping. Arvestada tuleb aga, et postiteenuse osutamise osaks pole otseturunduse tegemine.

Kogutud isikuandmetest andmekogude moodustamise ja juba moodustatud andmekogudes sisalduvate isikuandmete müümise idee võib tulla päevakorda näiteks juhul, kui on kogutud andmeid, mida töötlejal endal vaja pole või on vajadus selliseid andmeid kasutada ära langenud. Üldmääruse järgi selliseid andmeid siiski ilma isiku nõusolekuta edasi anda ei saa, kuna siis ei omaks andmesubjekt kontrolli oma andmete kasutamise üle. Samuti peab olema selgelt teada antud, kui andmete koguja planeerib andmete kasutamise abil tulu teenida.

Isikuandmete töötlemine peab toimuma minimaalsuse põhimõttel ehk et isikuandmeid on õigus töödelda vaid ulatuses, mis on vajalik andmetöötlusega saavutada soovitavate eesmärkide saavutamiseks ning säilitada vaid seni, kuni eesmärgid on saavutatud. Seega peaks üldjuhul kustutama näiteks postiteenuse puhul kogutud isikuandmed juba siis, kui saadetis on isikule kohale toimetatud. Teatud juhtudel on isikuandmeid võimalik säilitada ka peale eesmärgi täitmist, kuid näiteks postiteenuse puhul on selleks õigustuse leidmine keeruline.

Ole hoolikas!

Kuigi Eestis ühtegi trahvi veel välja kirjutatud ei ole, on Austria Posti näide hoiatuseks ka meile. Andmekaitse üldmäärusest tulenevad isikuandmete töötlemisega seonduvad rikkumised on andmekaitseasutuste pideva järelevalve all ning ettevõtete poolt isikuandmetega seotud töötlemistoimingute läbiviimine saab toimuda vaid õigusaktides sätestatud ulatuses. Vastasel korral võivad oodata trahvid, mis pole sugugi väiksed.

Ettevõtted küll teadvustavad isikuandmete kaitse olulisust, kuid praktikas tekitab andmekogude koostamine ja isikuandmete müügikeeld palju küsimusi ning mõistlik on pöörduda näiteks advokaadibüroo poole, kus pühendunud meeskond saab abistada võttes arvesse ka teiste riikide valdkondlikku praktikat.