Viies põhivabadus – andmete vaba liikumine

Pane tähele! Artikkel on ilmunud enam kui 5 aastat tagasi ning kuulub Geeniuse digitaalsesse arhiivi.

Idee, et kaupade, kapitali, teenuste ja tööjõu vaba liikumise kõrval peaks Euroopa Liidus olema põhivabadusena tagatud ka andmete liikumine, sõnastas ilmselt esimesena mõni eestlane. Meie riigijuhid on seda rauda tagunud juba pikalt: Jüri Ratas rääkis sellest 2018. aastal Tallinnas EL digitippkohtumisel, Toomas Hendrik Ilves 2016. aastal Brüsselis Euroopa Parlamendi täiskogul ja Taavi Rõivas 2015. aastal Milanos Bocconi ülikoolis.

Aluslepingute muutmiseni küll ei mindud, kuid alates 2019. aasta mai lõpust on Euroopa Liidu liikmesriikidel keelatud ilma mõjuva põhjuseta takistada isikustamata andmete liikumist üle liidu sisepiiride (isikuandmete liikumisvabadus liidus nähti ette juba aasta varem jõustunud isikuandmete kaitse üldmäärusega).

Kellele ja milleks see oluline on?

Mitmed riigid on kehtestanud nõudeid, millega nähakse ette IT-teenuseosutajate kohustus töödelda teatavat liiki andmeid (sh nt avaliku sektori andmeid) selles konkreetses riigis. Sellised nõuded piiravad IT-ettevõtjate võimalusi laiendada oma tegevust teistesse riikidesse või ära kasutada teistes riikides asuvate koostööpartnerite pakutavaid teenuseid. Kuna Euroopa kontekstis tähendavad sellised piirangud ka takistusi digitaalse ühisturu väljakujunemisele, tulebki seda probleemi lahendada liidu, mitte liikmesriikide tasandil.

Andmete vaba liikumise määrus

28. mail 2019. a jõustunud Euroopa Parlamendi ja Nõukogu määrusel (EL) 2018/1807, mis käsitleb isikustamata andmete Euroopa Liidus vaba liikumise raamistikku, on kolm olulist omadust.

  • Määrus keelab liikmesriikidel kehtestada uusi nõudeid (isikustamata) andmete asukohale ning kohustab neid olemasolevad nõuded kahe aasta jooksul kehtetuks tunnistama, kui nad ei suuda komisjonile näidata, et mingi konkreetne nõue on avaliku julgeoleku kaalutlustel põhjendatud ja proportsionaalsuse põhimõttega kooskõlas.
  • Määrusega luuakse koostöömehhanism, mille eesmärk on tagada liikmesriikide pädevatele asutustele õigus saada juurdepääs neile vajalikele andmetele ka siis, kui neid töödeldakse mõnes teises liikmesriigis.
  • Määruse alusel hakkab komisjon toetama tööstussektori iseregulatsiooni tegevusjuhendite väljatöötamist, et hõlbustada teenuseosutajate vahetamist ja andmete portimist.

Isikustamata andmed ja segaandmekogud

Isikustamata andmeteks loetakse kõik andmed, mida isikuandmete kaitse üldmäärus (GDPR) ei määratle isikuandmetena. Need on ennekõike sellised andmed, mis ei ole mitte kunagi puudutanud tuvastatud või tuvastatavaid füüsilisi isikuid (nt ilmastikuandmed ja valuutakursid), aga ka sellised andmed, mis on algselt olnud isikuandmed, kuid mida on töödeldud viisil, mis välistab nende seostamise konkreetse isikuga isegi lisaandmeid kasutades.

Andmete vaba liikumise määrus ei puuduta isikuandmete töötlemist. Reaalses elus sisaldab suur osa andmekogudest nii isikuandmeid kui isikustamata andmeid. Kumba määrust sellistele segaandmekogudele kohaldada, sõltub sellest, kas erinevat tüüpi andmed on neis andmekogudes lahutamatult seotud või mitte. Kui isiku- ja isikustamata andmeid on võimalik eraldada, kohaldatakse isikuandmetele GDPR ja isikustamata andmetele andmete vaba liikumise määrust. Kui andmetüüpide eraldamine oleks kas võimatu või vastutava töötleja arvates majanduslikult ebaotstarbekas, kohaldub GDPR kogu andmekogule tervikuna.

Asukohanõuete keeld

Määrusega keelustatakse andmete asukohanõuded, mis ei ole avaliku julgeoleku kaalutlustel põhjendatud ja proportsionaalsuse põhimõttega kooskõlas. Kehtivatele asukohanõuetele nähakse ette kaheaastane üleminekuperiood, mille jooksul peavad liikmesriigid need kas kehtetuks tunnistama või põhjendama komisjonile, miks nende kehtima jäämine on vajalik.

Keeld puudutab kõiki selliseid nõudeid, mis tulenevad liikmesriigi õigus- või haldusnormidest või liikmesriigi või selle avalik-õiguslike isikute üldisest haldustavast (sh riigihangete valdkonnas) ning millega nähakse ette andmete töötlemine selle liikmesriigi territooriumil või millega takistatakse andmete töötlemist teises liikmesriigis.

Andmete kättesaadavus pädevatele asutustele

Määrusega keelatakse pädevate asutuste juurdepääsu takistamine andmetele põhjusel, et andmeid töödeldakse teises liikmesriigis. Kui andmetele juurdepääsu taotlev asutus seda juurdepääsu ei saa ning kui liidu õigusega ega rahvusvaheliste kokkulepetega ei ole loodud koostöömehhanismi andmete vahetamiseks eri liikmesriikide pädevate asutuste vahel, võib juurdepääsu taotlev asutus pöörduda abi saamiseks ka isikustamata andmete vaba liikumise määruse artiklis 7 ette nähtud ühtse kontaktpunkti poole teises liikmesriigis.

Andmete ülekantavus

GDPR kohaselt on isikuandmete ülekantavus andmesubjekti õigus ning selle tagamine andmete vastutava töötleja kohustus. Isikustamata andmete vaba liikumise määrus on selles “pehmem”, nähes ette vaid tööstusharusiseste iseregulatsiooni tegevusjuhendite, sh parimate praktikate ja teabe esitamise miinimumnõuete, loomise.

Määruse kohaselt peab komisjon seda tegevust soodustama ja hõlbustama, kusjuures tegevusjuhendid peaksid valmima hiljemalt 29. novembril 2019 ja saama kasutusele võetud hiljemalt 29. mail 2020.

Määruse kohaldamisala

Määrus ei puuduta isikustamata andmete töötlemist väljaspool liitu. Küll aga puudutab see lisaks liidus elu- või tegevuskohta omavate isikute oma tarbeks toimuvale andmetöötlusele ka andmete töötlemist teenusena, mida osutatakse liidus elu- või tegevuskohta omavaile kasutajaile. Seejuures ei ole oluline, kas teenuseosutaja asukoht on liidus või mitte – oluline on vaid asjaolu, et andmete töötlemine toimub liidu piires.

Samuti ei piira määrus liikmesriikide ja nende avalik-õiguslike isikute õigust endale ise andmetöötlusteenuseid osutada. Seega on lisaks riigiasutuste sisemistele IT-osakondadele jätkuvalt lubatud ka “riigipilvede” ehitamine või riigi alluvuses olevate IT-teenuseasutuste pidamine. Niipea kui riik (või mõni tema avalik-õiguslik asutus) hakkab teenust turult sisse ostma, ei tohi ta aga enam andmete asukohale piiranguid seada.

Kokkuvõte

GDPR ja isikustamata andmete vaba liikumise määrus parandavad IT-ettevõtjate võimalusi osutada oma teenuseid nii teistes liikmesriikides asuvatele klientidele, kui kasutada teistes liikmesriikides asuvate koostööpartnerite pakutavaid teenuseid oma asukohariigis asuvate klientide teenindamisel.

Märksõnad:

Pane tähele!

Kord nädalas

Telli RMP Nädalakiri

Kolmapäeviti saadetav Nädalakiri sisaldab raamatupidamise, maksunduse ja tööõiguse valdkonna olulisi uudiseid, spetsialistide artikleid, seadusemuudatusi, nõuandeid ja soovitusi.

Töövahendid

Maksukalender Maksumäärad Numbriline Tööajafond RTJ IFRS Abitabelid Seadused MTA avalikud päringud Nädalakiri

Kalkulaatorid

Palgakalkulaator Maksuvaba tulu kalkulaator Puhkusekalkulaator Auditikalkulaator Kogumispensioni kontroll