Alates 15. jaanuarist pole terviseseisundit, poliitilisi tõekspidamisi ja seksuaalset orientatsiooni puudutavad isikuandmed enam Eesti õigusruumis delikaatsed. Pea seitse kuud pärast Euroopa Liidu isikuandmete kaitse üldmääruse (GDPR) jõustumist hakkas Eestis kehtima uus isikuandmete kaitse seadus (IKS), mille kohaselt on tegemist hoopis eriliiki isikuandmetega. Mõiste “delikaatsed isikuandmed” kadus Eesti kehtivast õigusest koos vana isikuandmete kaitse seadusega.
Tegelikult ei piirdunud seadusandja siiski ainult ühe legaaldefinitsiooni muutmisega. Uus IKS lööb kaks kärbest ühe hoobiga, sisaldades nii GDPR rakendamiseks kui nn “kriminaal-andmekaitse direktiivi1” Eesti õigusesse ülevõtmiseks vajalikke sätteid.
Need viimased sisalduvad seaduse pikimas, 4. peatükis, millega võetakse Eesti õigusesse üle nn “kriminaal-andmekaitse direktiiv”. Kuna direktiiv ja määrus võeti vastu ühel ajal ning nendes sätestatud üldpõhimõtted on ühesugused, sisaldavad need palju samasisulisi sätteid. Siiski ei ole Euroopa seadusandjad pidanud võimalikuks või vajalikuks neid sätteid ühest aktist teise sõna-sõnalt kopeerida. Arvestades, et Euroopa Liidu õigusaktid omavad samaväärset õiguslikku jõudu kõigis liidu ametlikes keeltes, toob selline praktika kahtlemata rohkelt tööd ja leiba nii maksumaksja kui kliendi raha eest töötavatele juristidele.
Kuna IKS on GDPR-i suhtes ennekõike vaid rakendusaktiks, ei saa seaduskuulekas kodanik väljaspool “kriminaal-andmekaitse direktiivi” kohaldamisala aga kuidagi piirduda vaid seaduse lugemisega, vaid peab selle kõrvale võtma ka andmekaitse üldmääruse. Isegi peamised mõisted ja põhimõtted on defineeritud vaid määruses, mitte seaduses.
Heaks halvaks näiteks sobib siinkohal seaduse § 8 lg 1: “Kui kohaldatakse Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artikli 6 lõike 1 punkti a seoses infoühiskonna teenuste pakkumisega otse lapsele, on lapse isikuandmete töötlemine lubatud ainult juhul, kui laps on vähemalt 13-aastane.” Tõenäoliselt oleks pisut hõlpsamini mõistetav lause “Eestis elav laps saab anda kehtiva nõusoleku oma isikuandmete töötlemiseks seoses talle infoühiskonna teenuste pakkumisega juhul, kui ta on vähemalt 13 aastat vana.” Näiteks võib 13-aastaseks saanud laps anda online-mängukeskkonna või sotsiaalvõrgustiku pidajale oma isikuandmete töötlemiseks ise nõusoleku, kuid nooremate laste eest peavad selle andma nende vanemad.
Enda läbikaevamine sellest “juriidilisest pläralärast” võib oma põhitegevusele keskenduda soovivale ettevõtjale olla keeruline ja aeganõudev.
1Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK.
