Mine sisu juurde

Isikuandmete kaitse üldmäärus

Allikas: Vikipeedia

Isikuandmete kaitse üldmäärus (inglise keeles General Data Protection Regulation, lüh GDPR; EL 2016/679) ehk Euroopa Liidu isikuandmete kaitse üldmäärus (lühendina ELIKÜM[1]) on Euroopa Liidu määrus, mis loob isikuandmete kaitse normidele õigusliku raamistiku, millega kehtestatakse suunised isikuandmete töötlemiseks Euroopa Liidus ja teatud tingimustel ka väljaspool Euroopa Liidu territooriumi. Määruse eesmärk on tugevdada, lihtsustada ja ühendada Euroopa Liidu isikuandmete kaitse norme, andes üksikisikutele suuremad õigused kontrollida, kuidas eraisikud, ettevõtted ja riigiasutused nende isikuandmeid töötlevad.

Isikuandmete kaitse üldmäärus asendab ja muudab kehtetuks enam kui 20 aastat seda valdkonda reguleerinud Euroopa Parlamendi ja nõukogu direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta.[2][3] Seni oli see kõige olulisem isikuandmete kaitset puudutav Euroopa Liidu õigusakt.

ELi andmekaitse reform sai alguse 2012. aasta jaanuaris, kui Euroopa Komisjon esitles uute andmekaitse reeglite raamistikku, mille põhieesmärgiks seadis üksikisikute õiguste tugevdamise digitaalse infovahetuse ajastul, kus andmete suuremahuline töötlemine ja ligipääsetavus andmepilvedes seab ohtu üksikisiku põhiõiguste tagamise nagu isikuandmete ja eraelu kaitse (ELi põhiõiguste harta, artikkel 7 ja 8).[4]

Reformi teiseks oluliseks eesmärgiks sai andmetöötluse reeglite lihtsustamine ettevõtete jaoks, et luua paremad tingimused ELi digitaalse ühisturu arenguks ja muuta ühisturg konkurentsivõimelisemaks vastukaaluks Ameerika Ühendriikides asuvatele internetis valitsevatele teenuseosutajatele nagu Google, Facebook, Amazon, Microsoft, Apple jt.

Pärast mitmeaastast arutelu ELi institutsioonides võeti määrus Euroopa Parlamendi poolt vastu 14. aprillil 2016. Määrus jõustus 24. mail 2016 (kahekümnendal päeval pärast selle avaldamist ELi Teatajas) ja hakkas pärast kaheaastast üleminekuperioodi kehtima 25. mail 2018.

Ei ole veel selge, kuidas GDPR muudab andmetöötluse reegleid ja praktikaid, kuid oma osa hakkab siis arvatavasti mängima ka kohtupraktika. Näiteks andis Austria juristi Max Schremsi asutatud mittetulundusühing noyb.eu kõigest mõned minutid pärast GDPRi kehtima hakkamist sisse kaebused Google'i, Facebooki, WhatsAppi ja Instagrami vastu.[5]

Võrdlus seni kehtinud isikuandmete kaitse direktiiviga

[muuda | muuda lähteteksti]

Võrreldes seni kehtinud regulatsiooniga on olulisemateks muudatusteks:

  • suurenev kohaldamisala: määrust kohaldatakse kõikidel juhtudel, kui ettevõtted töötlevad ELis asuvate üksikisikute isikuandmeid, sõltumata ettevõtte asukohast maailmas;
  • andmete teisaldatavus: üksikisik võib saada isikuandmete töötlejalt enda isikuandmed masinloetaval kujul ja edastada need teisele isikuandmete töötlejale;
  • kustutamisõigus: üksikisik võib nõuda enda isikuandmete kustutamist, kui need pole enam vajalikud või kui andmete töötlemine on ebaseaduslik;
  • privaatsuse arvestamine ja tagamine: ettevõte, kes kaupade pakkumisel või teenuste osutamisel töötleb isikuandmeid, peab nende andmete kaitsmist arvesse võtma ning nende kaupade või teenuste pakkumisel üksikisikule peavad privaatsuse tagamise seaded olema juba rakendatud, ilma et üksikisik peaks seda ise tegema.
  • andmekaitseametnik: see ettevõtte või asutuse poolt määratud ametnik täidab olulist rolli andmekaitse reeglite tagamisel, teavitades, nõustades ja pidades järelevalvet isikuandmete kaitse põhimõtete järgimise üle, olles vastutavaks vaheisikuks ettevõtte või asutuse, järelevalveasutuse ja üksikisiku vahel.

Eestis on nimetatud järelevalveasutuseks Andmekaitse Inspektsioon.

Igaühe õigus isikuandmete kaitsele

[muuda | muuda lähteteksti]

Isikuandmed – igasugune teave tuvastatud või tuvastatava füüsilise isiku (edaspidi "andmesubjekt") kohta. Tuvastatav isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige isikukoodi põhjal või ühe või mitme tema füüsilise, füsioloogilise, vaimse, majandusliku, kultuurilise või sotsiaalse identiteedi joone põhjal.[6]

Euroopa Liidu põhiõiguste harta artikli 8 lõikes 1 ja Euroopa Liidu toimimise lepingu artikli 16 lõikes 1 on sätestatud, et igaühel on õigus oma isikuandmete kaitsele. Füüsiliste isikute kaitse põhimõtete ja eeskirjadega nende isikuandmete töötlemisel tuleks nende kodakondsusest ja elukohast sõltumata austada nende põhiõigusi ja -vabadusi, eelkõige õigust isikuandmete kaitsele. Õigus isikuandmete kaitsele ei ole absoluutne õigus, vaid seda tuleb kaaluda vastavalt selle ülesandele ühiskonnas ning tasakaalustada muude põhiõigustega vastavalt proportsionaalsuse põhimõttele.

Isikuandmete töötlemine

[muuda | muuda lähteteksti]

Isikuandmete töötlemine – iga isikuandmetega tehtav toiming või toimingute kogum, olenemata sellest, kas see on automatiseeritud või mitte, näiteks kogumine, salvestamine, korrastamine, säilitamine, kohandamine või muutmine, väljavõtete tegemine, päringu teostamine, kasutamine, üleandmine, levitamine või muul moel avaldamine, ühitamine või ühendamine, sulgemine, kustutamine või hävitamine.[6]

Vastutav töötleja – füüsiline või juriidiline isik, riigiasutus, esindused või mõni muu organ, kes määrab üksi või koos teistega kindlaks isikuandmete töötlemise eesmärgid ja vahendid. Kui töötlemise eesmärgid ja vahendid on kindlaks määratud siseriiklike või ühenduse õigusnormidega, võib vastutava töötleja või tema ametissemääramise sätestada siseriiklikus või ühenduse õiguses.[6]

Isikuandmete igasugune töötlemine peaks olema seaduslik ja õiglane. Füüsilisi isikuid puudutavate isikuandmete kogumine, kasutamine, lugemine või muu töötlemine ja nende andmete töötlemise ulatus praegu või tulevikus peaks olema nende jaoks läbipaistev. Töötlemise seaduslikkuse tagamiseks tuleks isikuandmeid töödelda asjaomase andmesubjekti nõusolekul või muul õiguslikul alusel. Kui töödeldakse andmesubjekti nõusolekul, peaks vastutav töötleja suutma tõestada, et andmesubjekt on andnud isikuandmete töötlemise toiminguks oma nõusoleku. Teadliku nõusoleku andmiseks peaks andmesubjekt olema teadlik vähemalt sellest, kes on vastutav töötleja ja milleks kavatsetakse isikuandmeid töödelda.[7]

Isikuandmete kataloog – kõik isikuandmete korrastatud kogumid, millest võib andmeid saada teatavate kriteeriumide põhjal, olenemata sellest, kas kõnealune andmete kogum on tsentraliseeritud, detsentraliseeritud või funktsionaalsetel või geograafilistel põhimõtetel hajutatud.[6]

Euroopa Kohtu kohtupraktika

[muuda | muuda lähteteksti]

Kohtuasi nr c 210/16, Saksamaa andmekaitseasutus vs. Wirtschaftsakademie

[muuda | muuda lähteteksti]

Kohtuasjas on peamine küsimus, keda mõista isikuandmete vastutava töötlejana direktiivi 95/46/EÜ mõistes.[8] Samuti selgitatakse nii Euroopa Liidu liikmesriikides kohaldatava õigusega kui ka nende järelevalveasutuste pädevusega seonduvat olukordades, kus isikuandmete töötleja on asutatud väljaspool Euroopa Liitu, kuid kellel on Euroopa Liidu liikmesriikide territooriumidel õiguslikult iseseisvad üksused, millel on eri suunitlusega ülesanded ning tulenevalt sellest ka eri rollid isikuandmete töötlemisel.[9]

Asjaolude kirjeldus

[muuda | muuda lähteteksti]

Saksamaal menetluses olnud kohtuasjas andis Saksamaa Schleswig-Holsteini liidumaa piirkondlik sõltumatu andmekaitseasutus (edaspidi Saksamaa andmekaitseasutus), kelle ülesanne on vastava liidumaa territooriumil teha järelevalvet direktiivi 95/46/EÜ sätete järgimise üle, koolitusteenuseid pakkuvale Wirtschaftsakademie Schleswig-Holstein GmbH (edaspidi Wirtschaftsakademie) korralduse inaktiveerida nende Facebookis majutatav fännileht, kuna Wirtschaftsakademie ja Facebook ei teavitanud selle külastajaid, et Facebook kogub külastajate seadmetele salvestatavate küpsiste abil külastajate isikuandmeid, mida seejärel töödeldakse. Külastajate andmete kogumiseks salvestab Facebook fännilehe külastaja arvuti kõvakettale või muule andmekandjale tekstikujuliste failide ehk küpsiste abil kordumatu identifikaatori, mis on aktiivne kaks aastat ning mis loeb ja töötleb kasutaja andmeid fännilehe avamise ajal. Selle abil on fännilehe haldajatel võimalik saada enda lehe külastajate kohta anonüümseid statistilisi andmeid.[9] Saksamaa andmekaitseasutuse hinnangul aitas Wirtschaftsakademie fännilehe loomisega aktiivselt ja vabatahtlikult kaasa Facebooki isikuandmete kogumisele ja sai sellest ka ise kasu, saades kasutajastatistikat veebisaidi külastajate kohta. Wirtschaftsakademie ei nõustunud kõnealuse seisukohaga, vaieldes vastu, et tema ei ole vastutav selle eest, et Facebook paigaldab küpsiseid ja töötleb andmeid.[8]

Euroopa Kohtu põhjendused ja seisukoht

[muuda | muuda lähteteksti]

Euroopa Kohus leiab, et direktiivi eesmärk on tagada andmesubjektide tõhus ja täielik kaitse. Seetõttu kohalduvad andmekaitse valdkonna õigusnormid igale üksusele, kes osaleb isikuandmete töötlemises[8], sh isikuandmete töötlemise vahendite ja eesmärkide kindlaksmäärajale.[9] Samas tuleb iga taolise isikuandmete töötlemisse kaasatud üksuse vastutust hinnata konkreetse juhtumi asjaolude valguses, kuna nad võivad olla kaasatud eri etappides ja erineval määral.[9] Euroopa Kohus leidis, et Facebooki fännilehe haldaja vastutab isikuandmete töötlemise eest juba ainuüksi fännilehe loomise tõttu, kuna ka vaid fännilehe külastamine, kusjuures külastajal endal ei pruugi olla isegi Facebooki kontot, toob kaasa automaatselt Facebooki küpsiste paigaldamisega külastaja isikuandmete töötlemise. Veelgi enam, kuna Facebooki fännilehe haldaja saab ise filtrite abil määrata statistika kogumise aluseks olevad kriteeriumid, mistõttu saab ta oma külastajate kohta nii demograafilisi andmeid, nagu nende vanus, sugu, suhtestaatus, töö tendentsid, elustiil, huvid, ostukäitumine veebis ning neile huvipakkuvad tooted ja teenused, kui ka geograafilisi andmeid, määrab haldaja seda tehes kindaks fännilehe külastajate isikuandmete töötlemise eesmärgid ja vahendid. Seetõttu aitab ta ise kaasa külastajate isikuandmete töötlemisele. Siinjuures ei pea Euroopa Komisjon oluliseks asjaolu, et Facebooki fännilehe haldajale edastatakse külastajate isikuandmete töötlemisel kogutud andmed anonüümseks muudetud kujul. Tulenevalt eeltoodust vastutab isikuandmete kaitse eeskirjade rikkumise eest iga suhtlusvõrgustikus majutavat fännilehte haldav üksus.[8]

Lisaks leidis Euroopa Kohus, et kui väljaspool Euroopa Liitu asutatud ettevõtjal on üksused eri liikmesriikides, on liikmesriigi järelevalveasutusel õigus kasutada tema territooriumil asuva üksuse suhtes talle direktiiviga 95/46/EÜ antud volitusi ning seda isegi juhul, kui isikuandmete kogumise ja töötlemise eest vastutab ametlikult mõnes teises liikmesriigis asuv üksus. Siinkohal on oluline, et liikmesriigi territooriumil asuva üksuse näol oleks tegemist vastutava töötleja üksusega ja isikuandmete töötlemine toimuks selle üksuse tegevuse raames. Vastava üksuse tegutsemine liikmesriigi territooriumil eeldab omakorda üksuse tõelist ja tegelikku tegevust ning stabiilset asukohta. Seega, kuigi isikuandmete kogumise ja töötlemise eest on vastutav Facebooki kontsernis Euroopa Liidu tasandil Facebooki üksus Iirimaal, on Saksamaal asuv reklaampinna edendamise ja müügiga tegelev Facebooki üksus samuti selle eest vastutav, kuna ka tema tegevus on lahutamatult seotud isikuandmete töötlemisega, mistõttu on Saksamaa andmekaitseasutusel õigus kasutada talle kõnealuse direktiivi alusel antud volitusi Facebooki Saksamaa üksuse suhtes. Liikmesriigi järelevalveasutus võib hinnata oma territooriumil asuva üksuse andmetöötluse seaduslikkust ja kasutada kõnealuse üksuse suhtes eelnimetatud direktiivist tulenevaid sekkumisvolitusi, ilma et peaks eelnevalt paluma teise liikmesriigi järelevalveasutuse sekkumist.[8]

Kohtuasi nr c 25/17, Soome andmekaitsevolinik vs. Jehoova tunnistajad

[muuda | muuda lähteteksti]

Kohtuasjas käsitleb Soome kõrgeima halduskohtu esitatud eelotsusetaotlus seda, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta. Direktiivi 95/46 artikli 1 lõikest 1 ja põhjendusest 10 on selle direktiivi eesmärk tagada isikuandmete töötlemisel füüsiliste isikute põhiõiguste ja -vabaduste, eelkõige eraelu puutumatuse kõrgetasemeline kaitse.[6] Määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.[7]

Asjaolude kirjeldus

[muuda | muuda lähteteksti]

Eelotsusetaotlus esitati menetluses, milles Soome andmekaitsekomisjon tegi Soome andmekaitsevoliniku taotluse alusel otsuse keelata Jehoova tunnistajate usukogukonnal tema liikmete ukselt uksele tehtava kuulutustöö käigus saadud isikuandmete kogumine ja töötlemine viisil, mis ei vasta seadusest tulenevatele isikuandmete töötlemise tingimustele.[10] Kuulutustöö on Jehoova tunnistajate kogukonna üks peamistest tegevusvormidest, mida korraldavad ja koordineerivad kogukond ja selle kogudused. Andmekaitsekomisjon asus oma otsuse põhjendustes seisukohale, et Jehoova tunnistajate kogukonna liikmetel selliste andmete kogumine kujutab endast isikuandmete töötlemist ning kogukond koos oma liikmetega vastutab andmete töötlemise eest.[11]

Usuorganisatsioon esitas otsuse peale esimese astme kohtule kaebuse, milles väitis, et tegemist on isikuandmete seaduse tähenduses rangelt isiklikul eesmärgil toimuva andmete töötlemisega.[10] Jehoova tunnistajate kogukonna liikmed teevad ukselt uksele toimuva kuulutustöö käigus märkmeid inimestega kohtumiste kohta. Kogutavad andmed võivad sisaldada külastatud isikute nime ja aadressi ning teavet nende usuliste veendumuste ja perekondliku olukorra kohta. Andmeid kogutakse ilma, et andmesubjektid oleksid andmete kogumiseks andnud nõusoleku või neid oleks sellest teavitatud. Andmeid kasutatakse, või vähemalt osa neist, selleks, et koostada Jehoova tunnistajate kogukonna koguduste peetavaid nimekirju isikutest, kes ei soovi, et kogukonna kuulutustööd tegevad liikmed neid enam külastaksid.[11]

Eelotsusetaotlusest nähtub, et ukselt uksele tehtav kuulutustöö, mille käigus koguvad Jehoova tunnistajate kogukonna liikmed isikuandmeid, taotleb juba oma olemuselt eesmärki levitada Jehoova tunnistajate kogukonna usku isikutele, kes ei kuulu kuulutustööd tegevate liikmete leibkonda. Seega on kõnealune tegevus suunatud väljapoole kuulutustööd tegevate liikmete erasfääri.[11]

Euroopa Parlamendi ja nõukogu direktiivi 95/46/EÜ artikli 3 lõike 2 alusel ei kohaldata direktiivi isikuandmete töötlemise suhtes siis, kui seda teeb füüsiline isik isiklikel või kodustel eesmärkidel.

Euroopa Kohtu põhjendused ja seisukoht

[muuda | muuda lähteteksti]

Euroopa Kohus on oma otsuses leidnud, et usuorganisatsiooni tegevust ei saa pidada nimetatud sätte tähenduses üksnes isiklikuks või koduseks, kui selle eesmärk on teha isikuandmed kättesaadavaks määramata arvule isikutele või kui see tegevus kas või osaliselt ulatub avalikku ruumi ja on seetõttu suunatud andmete töötleja isiklikust sfäärist väljapoole.[11]

Euroopa Kohtu otsusest selgub, et külastatud isikute isikuandmete kogumine ja nende hilisem töötlemine aitavad saavutada Jehoova tunnistajate kogukonna eesmärki, mis on kogukonna usu levitamine ning kuulutustööd tegevad liikmed tegelevad sellega järelikult kogukonnale omasel eesmärgil. Lisaks ei ole Jehoova tunnistajate kogukond mitte ainult üldiselt teadlik, et tema usu levitamiseks toimub selline andmetöötlus, vaid ta korraldab ja koordineerib oma liikmete kuulutustööd, eelkõige jagades kuulutustöö tegijate vahel ära tegevuspiirkonnad. Niisugused asjaolud võimaldavad asuda seisukohale, et Jehoova tunnistajate kogukond julgustab oma kuulutustööd tegevaid liikmeid nende kuulutustöö käigus isikuandmeid töötlema.[11]

Eelotsusetaotluse esitanud kohus väidab, et kuna isikuandmete seaduse tähenduses puudub konkreetne kartoteek või loetelu või muu nendega võrdsustatav otsingut võimaldav süsteem, ei saa usuorganisatsiooni liikmete töödeldavaid andmeid pidada kataloogiks. Kohtujurist oma ettepanekus samas nendib, et usuorganisatsiooni liikmete põhikohtuasjas kõne all oleva tegevuse käigus vastavalt kindlaksmääratud geograafilisele jaotusele manuaalselt kogutud isikuandmete kogu, mille eesmärk on valmistuda tulevasteks külastusteks inimeste juurde, kellega on astutud vaimsesse dialoogi, võib kujutada endast kataloogi.[10]

Eesti kohtupraktika

[muuda | muuda lähteteksti]

Pärast Euroopa Kohtu otsuseid C-210/16 ja C-25/17 (vastavalt 19.06.2018 ja 10.07.2018) on Eesti kohtutes tehtud viis lahendit (TlnRnKo 3-17-458/18, TlnRnKo 3-17-321/36, RKKKm 1-16-6179/85, RKTKo 2-15-13216/93 ja RKTKo 2-17-1026/47), milles viidatakse direktiivile 95/46/EÜ. Üheski eelnimetatud lahendis kohus otseselt kõnealustes Euroopa Kohtu otsustes käsitletavaid küsimusi ei analüüsi. Samas on Riigikohtu tsiviilkolleegium 13.03.2019 otsuses 2-17-1026/47 käsitlenud mõistet "vastutav töötleja", korrates üle Euroopa Kohtu otsuses C-210/16 kinnitatut, et "/.../ vastutav töötleja määrab andmete töötlemise eesmärgid ja vahendid ning seeläbi kannab ka vastutust andmetöötluspõhimõtete järgimise eest". Samuti on kõnealuses otsuses kohus möönnud kostjate kaasvastutust isikuandmete töötlemise eest, nagu ka eelnevalt viidatud kohtulahendis.[12] Mõistet "isikuandmete kataloog" ei ole Eesti kohtud pärast kõnealuste Euroopa Kohtu otsuste avalikustamist analüüsinud.

  1. Küsimusi rohkem kui vastuseid: mida toob meile GDPR ehk ELIKÜM ehk Euroopa Liidu andmekaitse üldmäärus?, Eesti Ekspress, 15. juuni 2018
  2. Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus)
  3. Euroopa parlamendi ja nõukogu direktiiv (EL) 2016/680, 27. aprill 2016, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK>
  4. Euroopa Liidu põhiõiguste harta (2012/C 326/02)
  5. Glyn Moody: "Why did privacy expert Max Schrems immediately file GDPR complaints against Google and Facebook – and will he win?" Privacy News Online, 23. juuni 2018
  6. 6,0 6,1 6,2 6,3 6,4 "Euroopa Parlamendi ja nõukogu direktiiv 95/46/EÜ, 24. oktoober 1995, üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta". Vaadatud 20.03.2019.
  7. 7,0 7,1 "Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27. aprill 2016". Vaadatud 20.03.2019.
  8. 8,0 8,1 8,2 8,3 8,4 "EKo C-210/16, Saksamaa andmekaitseasutus vs. Wirtschaftsakademie". Vaadatud 20.03.2019.
  9. 9,0 9,1 9,2 9,3 "EK C-210/16, Saksamaa andmekaitseasutus vs. Wirtschaftsakademie, kohtujurist Y. Bot ettepanek". Vaadatud 20.03.2019.
  10. 10,0 10,1 10,2 "EKo C-25/17, Soome andmekaitsevolinik vs. Jehoova tunnistajad, kohtujurist P. Mengozzi ettepanek". Vaadatud 20.03.2019.
  11. 11,0 11,1 11,2 11,3 11,4 "EKo C-25/17, Soome andmekaitsevolinik vs. Jehoova tunnistajad". Vaadatud 20.03.2019.
  12. "RKTKo 2-17-1026/47". Vaadatud 20.03.2019.

Välislingid

[muuda | muuda lähteteksti]