Isikuandmete kaitse reeglid on täitmiseks ka enne Euroopa Liidu üldmääruse rakendumist

29.01

Isikuandmete eristamise ja nende töötlemisel õigusnormide jälgimise nõue on rahvusvahelises õiguses sätestatud alates aastast 1981 ja Eestis 1996, andmetöötlejad ei ole kunagi olnud töödeldavate isikuandmete omanikud. Seni kehtivad trahvid pole olnud andmetöötlejatele motiveerivad, et oma tegevusi õigusnormidele vastavaks viia, kirjutab advokaadibüroo Turnstone vandeadvokaat Urmas Kukk.

Jätkuvalt kurdavad IT inimesed, et nüüd peavad nad oma tegevuse kõvasti ümber korraldama, sest nende senine tegevus ei ole alates 25.05.2018 kooskõlas õigusnormidega. Nende õnnetu olukord tuleneb tõenäoliselt sellest, et andmetöötlejad on ekslikul seisukohal, nagu oleks nad töödeldavate andmete omanikud ja nende senine tegevus on kooskõlas õigusnormidega. Samuti ei õnnestunud neil veenda asjaomaseid andmekaitse üldmääruse (AKÜM) ettevalmistamisel, et kui nende tegevus ohustab põhiõigusi (sh õigus isikuandmete kaitsele), siis tuleb neile erand teha, mitte nõuda neilt oma tegevuse viimist kooskõlla õigusnormidega, et tagada põhiõiguste kaitse.

Andmeid alati töödeldakse mingi eesmärgi saavutamiseks ja isikuandmete töötlemine on ainult abivahend muude eesmärkide saavutamiseks ning IT on ainult abivahend andmete (sh isikuandmete) töötlemiseks. Tõenäoliselt ei ole olemas ühtegi andmekogu, mille ainus eesmärk on andmete töötlemine (N: sorteerimine tähestiku järgi ja kui see tehtud, siis teabe laekumise järgi). Andmekaevanduse ja suurandmete töötlemisega leitud/leiutatud seostega tuleviku ennustamine on ikkagi ainult ennustamine ja ei midagi muud. Poeketi poolt alaealise teavitamine tolle rasedusest, analüüsides tema ostukäitumist, on siiski ainult IT legend. Vaatamata sellele, et see ilmus New York Timesis ja selle korjas üles Forbes.

AKÜM ei ole rünnak kehtiva äramudeli vastu. Nagu ka keeld juhtida sõidukit joobes ei ole rünnak seda soovija õiguse vabale eneseteostusele vastu. Kui kasutatav ärimudel ei vasta õigusnormides ettekirjutatule, siis on see sellise ärimudeli kasutaja risk, et ta võib selle eest karistada saada. Isikuandmete eristamise ja nende töötlemisel õigusnormide jälgimise nõue on rahvusvahelises õiguses sätestatud alates 28. jaanuarist 1981 Euroopa Nõukogu isikuandmete automatiseeritud töötlemisel isiku kaitse konventsiooni koostamisega ja Eestis alates 12. juunist 1996 isikuandmete kaitse seaduse esimese redaktsiooni vastuvõtmisega.

Andmetöötlejad ei ole kunagi olnud töödeldavate isikuandmete omanikud. Neile on antud õigus kasutada isikuandmeid oma eesmärkida saavutamiseks. Kuid neile on alati ettekirjutatud muu hulgas seda, millistel tingimustel ja kui kaua võib isikuandmeid töödelda, ehk siis, millised on seaduslikud andmete töötlemise meetodid. Samuti on isikul (andmesubjektil) alati olnud ulatuslikud õigused sekkuda isikuandmete töötlemisse. Kaasa arvatud õigus nõuda tema kohta käivate isikuandmete kustutamist. Seega, kui isikuandmete töötlemise süsteemide loojad oleks alates 12. juunist 1996 järginud ka õigusnorme, siis oleks nad julgelt 90% ulatuses valmis ka AKÜM-i rakendamiseks alates 25.05.2018, sest „revolutsioonilisi“ muudatusi andmetöötlejatelt, võrreldes kehtivate õigusnormidega, ei nõuta.

Andmetöötlejate probleemid tulenevad eelkõige sellest, et pärast seda, kui avastati kasutuses olevate andmekogude mittevastavus isikuandmete töötlemise normidele või, kui tekkis soov isikuandmete kasutamiseks mingil teisel eesmärgil, ei hakatud enam oma tegevust õigusnormidele vastavaks viima, sest trahvi suurus võrreldes süsteemi ümbertegemise kuludega on „peenraha“.

AKÜM (GDPR) on meeldetuletus isikuandmete töötlejatele, kes oma tegevuses ei järgi õigusnorme, et nad ei ole (andmete) Universumi direktorid.

Urmas Kukk
vandeadvokaat
Advokaadibüroo Turnstone
Andmekaitse Inspektsiooni peadirektor 2003-2008