Teema 2: Isikuandmete kaitse üldmääruse (GDPR) rakendamine

Kirjeldus

Euroopa Liidu isikuandmete kaitse üldmäärus jõustus 25. mail 2018. See tõi isikuandmete kaitse reeglite jõustamisse uued võimalused ning täpsustas varem kehtinud põhimõtteid. Üldmäärus on otsekohalduv õigusakt, mis tähendab, et Eesti isikuandmete kaitse seadus reguleerib vaid neid osasid isikuandmete kaitsest, mida üldmäärus ei reguleeri või mis üldmääruse kohaselt vajavad siseriiklikult täpsustamist. Üldmäärus EL õigusaktina on Eesti õiguse suhtes ülimuslik.

Üldmääruse tõhus rakendamine Eestis ja mujal riikides on olnud samas problemaatiline.

Esmalt on Eesti järelevalveasutus Andmekaitse Inspektsioon alarahastatud isikuandmete kaitse üldmäärusega talle seatud ülesannete täitmiseks. Sealhulgas ei ole AKIle eraldatud üldse täiendavaid vahendeid võrreldes varasema olukorraga, kuigi üldmäärusega täienes ameti pädevus ja kohustused. AKI võimekus tõhusat järelevalvet teostada on seetõttu kaheldav. GDPR jõustumisele vahetult järgnenud perioodi jäi ka AKI peadirektori venima jäänud vahetumine, mis nõrgestas asutust veelgi.

Teisalt on üldmääruse jõustumisega olnud vajalik üle vaadata Eesti senine õigusraamistik. Isikuandmete kaitse seaduse rakendamise seadus, millega tehti muudatused teistes Eesti seadustes, et need oleksid kooskõlas üldmäärusega, võeti vastu kiirustades ning põhjalikult muudatusi analüüsimata. Probleemseks võivad osutuda eelkõige üldmääruse artikkel 23 alusel tehtud erandid, millega on liikmesriikidel lubatud piirata üldmääruses toodud kohustusi ja õigusi teatud konkreetsetel eesmärkidel (avaliku huvi, julgeoleku jne põhjustel). Samas peavad need meetmed austama põhiõiguste ja -vabaduste olemust ning olema demokraatlikus ühiskonnas vajalikud ja proportsionaalsed.

Lõpuks on teadlikkus isikuandmete kaitse üldmäärusest üldiselt madal, sest riik ei ole täitnud oma kohustusi inimesi ja ettevõtteid uutest reeglitest teavitada. Samuti ei ole Eestis täna ühtegi vabaühendust, mis otseselt GDPR jõustamisega tegeleks ning aitaks inimestel oma õiguste eest seista. Sellise võimaluse üldmääruse artikkel 80 vabaühendustele annab.

Samuti on eriti suure riskiga isikuandmete töötlemine teaduslikel eesmärkidel, mille puhul ei ole täna selgust, kuivõrd see on üldmäärusega kooskõlas. Kuigi üldmäärus lubab erandina statistilistel, ajaloolistel ja teaduslikel eesmärkidel isikuandmeid töödelda, on suur risk, et algselt teadustööks kasutatavad isikuandmeid (näiteks mobiilioperaatorite asukohaandmed, geeni- ja terviseandmed) kommertsialiseeritakse teadusasutuste sidusettevõtete poolt viisil, mis rikub inimõigusi. Taolised rikkumised on varjatud, aga potentsiaalselt eriti kõrge riskiga, kuna puudutavad inimese kõige eraelulisemaid andmeid. Lisaks avalikele andmebaasidele võidakse andmebaasid siduda ka eraandmetega.

Riik kuulab akadeemilist ekspertiisi, aga nt GDPRiga on teadmatus, kuidas tõlgendada, kartus võtta otsustust, delegeerides selle AKIle, kes pole väga huvitatud, delegeerides selle eetikakomiteele… Teadmatust on väga palju erinevate asutuste poolt, GDPRi tõlgendamine konkreetsetes kontekstides on veel sisse seadmata. Andmed on eest ära läinud, õigus longib sabas. – fookusgrupis osalenud ekspert.

Ma arvan, et hästi informeeritud ja teadlikust kodanikust on suur puudus. Kuhu riik ei saa minna, on erasektor, pluss teadusuuringute puhul ei saa ka sekkuda – aga teadusuuringutes on eetika kaheldava väärtusega. – fookusgrupis osalenud ekspert.

Võimalused ja ohud

Üldmäärus kujutab endast suurt sammu edasi selle suunas, et isikuandmete kaitse kõrge tase oleks tagatud. See on võimalus nii riigile kui ettevõtetele viia oma tegevus inimõigustega kooskõlla ning tagada eraelu puutumatust austavad infotehnoloogilised lahendused. Isikuandmete kaitse põhimõtete austamine panustab omakorda sellesse, et suureneb usaldus infotehnoloogilistesse lahendustesse ja seega saavad need paremini levida ja leiavad suuremat vabatahtlikku kasutust. Seega kaitseb üldmääruse tõhus rakendamine õigust isikuandmete kaitsele ning sellega seonduvat eraelu puutumatust.

Tugeval isikuandmete kaitse rakendamisel on positiivne mõju ka teistele inimõigustele, nagu õigusele väljendusvabadusele (hoiatakse ära jälitusega kaasnev nn chilling effect).

Isikuandmete kaitse üldmääruse tõhus rakendamine võib samas vajada tasakaalustamist teiste inimõigustega ning piirata mõnevõrra näiteks ettevõtlusvabadust või meediavabadust.

Lahendused ja soovitused

1. Vaadata üle Eesti õigusruum isikuandmete kaitse üldmäärusega kooskõla mõttes ning lähtuda lõimitud ja vaikimisi isikuandmete kaitse põhimõttest.
2. Teavitada laialt ja lihtsasti arusaadavalt isikuandmete kaitse reeglitest ettevõtjaid, avaliku sektori töötajaid ja kodanikke, sh konverentside, koolitusprogrammide, kampaaniate ja muu abil.
3. Reguleerida selgemalt ja täpsemalt isikuandmete kasutamine teaduslikel eesmärkidel (näiteks käitumisjuhistega) ning tugevdada järelevalvet piisavate kaitsemeetmete kasutamise üle.
4. Luua vabaühendustele rahastusmeede, mille abil nad saaksid isikuandmete kaitse üldmääruse jõustumisele kaasa aidata, sealhulgas esindades andmesubjekte kohtuvaidlustes artikkel 80 alusel.