Uus andmekaitse üldmäärus

OÜ HUGO jurist Anu Baum arutleb uue andmekaitsemääruse üle – millised on kodanike õigused uue määruse kontekstis ning kuidas peaksid käituma ettevõtted.

Uue määruse eesmärk ja vajadus

25. mai 2018 rakendunud andmekaiste üldmääruse peamiseks eesmärgiks on anda nutitelefonide, sotsiaalmeedia ja internetipanganduse ajastul kodanikele parem kontroll oma andmete üle. Ehk siis teiste sõnadega – uue andmekaiste väljatöötamise vajadus on otseselt seotud interneti ja digitaalteenuste arenguga. On selge, et tänapäeval tehakse väga palju toimingud interneti vahendusel. Samuti on infotehnoloogia lai levik teinud kergeks isikuandmete kogumise ja töötlemise – seda nii riikidel, kui ka eraettevõtluses.

Kiire digitaliseerimine on viinud meid olukorrani, kus inimestel endal puudub suuresti ülevaade, kellel ja millised isikuandmed tema isikust on, kuidas neid töödeldakse ning milleks kasutatakse. Kuna olemasolev seadusandlus ei pakkunud kodanikele piisavalt kaitset isikuandmete töötlejate osas (kogumine, edastamine kolmandatele isikule jne), oli vajadus uue ning kaasaegseid vajadusi ja tehnoloogia arengut arvestava seadusandluse järgi.

Uus rakendunud andmekaiste üldmäärus annab inimesele suurema võimu oma isikuandmete kaitsmisel. Isiku õigus privaatsusele ning andmete kaitsele on üks isiku põhiõigustest.

Euroopa Liidu põhiõiguste harta artiklites 7 ja 8 tunnustatakse eraelu austamist ja isikuandmete kaitset kui omavahel tihedalt seotud, kuid eraldiseisvaid põhiõigusi. 4. novembri 1950. aasta Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artiklis 8 on sätestatud õigus era- ja perekonnaelu austamisele: „Igaühel on õigus sellele, et austataks tema era- ja perekonnaelu ja kodu ning korrespondentsi saladust.“

Seega on uue andmekaiste määruse peamiseks eesmärgiks isiku põhiõiguste kaitse, andes isikule suurema õiguse ise otsustada millisel otstarbel tema andmeid kasutatakse.

Samuti annab Määrus inimesele õiguse :
1) nõuda tema andmete töötlemise lõpetamist
2) saada täieliku ülevaatena teavet tema andmete kasutamise kohta
3) nõuda andmete edastamist andmesubjekti (st isiku) poolt määratud kolmandatele isikutele

Vastakad arvamused uue määruse osas  

Uue andmekaiste määruse kohta on ühiskonnas ja ajakirjanduses levimas vastakad seisukohad ning arvamused. Ühelt poolt vaadeldakse seda kui ülereguleerimise näidet, sh tuuakse välja suured (kallid) sanktsioonid mida võib rakendada ettevõtete suhtes, kes määruse nõudeid ei järgi. Teiselt poolt vaadeldakse seda kui uut imevahendit, mis peaks lahendama kõik andmekaistega seotud probleemid ning mis peaks, kui mitte muidu siis rangete sanktsioonide hirmus, tagama isiku privaatandmete täieliku kaitse.

Mida võiks tavainimene sellest teada  

Tavainimesele on uue andmekaitse määruse rakendumisel olulisim teada, et tal on õigus ise määrata, milleks andmekoguja tema andmeid kasutab. Inimesel on õigus teada, millisel eesmärgil tema andmeid kogutakse. Juhul, kui andmete kogumisel on mitu eesmärki, siis peab olema inimesel võimalus anda nõusolek (või sellest keelduda) iga eesmärgi kohta eraldi. Andmete töötlemise eesmärgid peavad olema sõnastatud võimalikult lihtsalt ja nö tavainimesele arusaadavas keeles.

Kuidas ettevõtted käituvad

Alates mai teisest poolest asusid mitmed ettevõtted ja teenusepakkujad oma klientidele saatma e-posti teel kirju, milles palusid inimesel oma andmeid uuendada ning anda nõusolek oma andmete töötlemiseks.

Kahjuks oli ka nende seas juba näha olukordi, kus suurfirmad tegelikkuses rikuvad uue andmekaiste määruse põhimõtteid. Nii näiteks ei ole määrusega päris kooskõlas isiku nõusoleku küsimine mitmeks eesmärgiks moodusel, kus inimesel on võimalus anda nõusolek kas kõikideks eesmärkideks või mitte ühekski. Määruse järgi ei ole sellisel kujul nõusoleku andmine õiguspärane – inimesel peab olema õigus valida, milleks ta annab nõusoleku ja milleks mitte.

Nii näiteks on vaieldav, kas suurettevõtte poolt kliendile edastatud 8 lehekülje pikkune dokument, kus on mitmeid eesmärke milleks ettevõte soovib andmeid töödelda ning millele klient peab andma nö ühe klikiga nõusoleku (olen tutvunud mulle edastatud firma X andmete töötlemise põhimõtete ja eesmärkidega ning annan selleks nõusoleku), on ikka seaduspärane. Kindla vastuse annab tulevik, sest iga uus seadus nõuab aega tavaelus rakendumiseks ning kohtupraktika väljakujunemiseks, kuid täna teadaoleva informatsiooni valguses tundub, et sellisel kujul nõusoleku võtmine isiku andmete töötlemiseks ei ole õiguspärane ning see on vastuolus määruse põhimõtetega.

Ettevõte, kes isikuandmeid töötleb, peab andma inimesele informatsiooni vastutava töötleja kohta. Vastutav töötleja ei pea olema nõusoleku vormis mainitud nimeliselt – oluline on, et välja oleks toodud e-posti aadress, millele kirjutades saab kodanik anda teada soovist “Ma ei soovi, et ettevõte X minu isikuandmeid töötleks”. Selliseks e-posti aadressiks võib ilmselt olla ettevõtte üldaadress.

Uus mõiste uues määruses  

Uueks mõisteks Määruses on isiku õigus andmete ülekandmisele (ingl. k. Data Portability; Määruse artikkel 20). Sellekohaselt on inimesel õigus küsida ja saada andmetöötlejalt kõik teda puudutavad isikuandmed, mida inimene on andmetöötlejale edastanud. Oluline on siin just see, et õigus on saada vaid neid andmeid, mida inimene on ise andmetöötlejale edastanud. Nende andmete osas, mis on andmetöötleja enda genereerinud (nt analüüs isiku makseharjumuste kohta), puudub andmetöötlejal edastamise kohustus.

Parktikas võib tekkida probleem andmete looja suhtes, st millised andmed on edastatud isiku enda poolt ning millised on genereeritud andmete käitleja/teenuse pakkuja poolt. Kuigi teoreetiliselt on asi lihtne, siis näiteks võib vaidlusaluseks osutuda küsimus, kas internetiteenuse pakkuja poolt salvestatavad logiandmed on teenuse pakkuja andmed või on tegemist isiku poolt edastatud isikuandmetega.

Kindlasti tekitab uus määrus praktikas küsimusi, mis leiavad lahenduse ehk alles kohtus (kui on tekkinud kohtupraktika).

Kaks probleemset nüanssi seoses uue määrusega

Uue määruse valguses võib inimene igapäevaselt kokku puutuda ka selliste probleemidega/küsimustega:
1)   Kui inimene ei nõustu isikuandmete käitleja tingimustega, siis kas isikuandmete töötlejal on õigus teenuse leping üles öelda. Näiteks on järelmaksu pakkuva ettevõtte lepingus kirjas, et tal on õigus edastada andmed kolmandatele isikutele, sh pankadele ja inkassoettevõtele. Juhul, kui te nõusolekut ei anna, siis kas see on aluseks teiega järelmaksu lepingut mitte sõlmida (ilmselt on, seega – inimesel ei pruugi olla väga muid valikud kui isikuandmete töötlejale anda nõusolek kõiges mida töötleja soovib)
2)   Rahvusvahelised teenuse pakkujad – teenuselepingud ja isikuandmete töötlemiseks nõusolek on tihti isegi emakeeles raskesti loetav ja arusaadav (mitte ainult nö tavainimesele, vaid ka juristile). Rahvusvaheliste teenusepakkujate nõusolekud on tihti ingliskeelsed, millest teenuse kasutaja ei saa kas üldse aru või ei saa piisavalt aru. Seega, isegi kui inimene teeb linnukesed kastikestesse, millega ta nõustub isikuandmete töötlemisega, ei tähenda see veel tegelikult seda, et inimene oleks aru saanud mille osas ta nõusoleku annab (nt FB, Google, Microsofti tooted).

Ära anna nõusolekut, kui eesmärk jääb arusaamatuks  

On veel üks nüanss, millele tuleb tähelepanu pöörata seoses jõustunud andmekaitse määrusega. Nimelt, nagu juba eelpool öeldud – selleks, et ettevõte saaks teie isikuandmeid töödelda, sh edastada neid kolmandatele isikutele, saata teile uudiskirju jne, peate te olema andnud nõusoleku. Kindlasti oleme me kõik viimaste nädalate jooksul näinud oma e-postkastides erinevatelt ettevõtetelt saabunud e-kirju, mis paluvad meil oma andmeid uuendada ning ühtlasi anda nõusolek, et ettevõte saaks meie andmeid kasutada. Üldiselt on toodud ka välja eesmärk, milleks ettevõte soovib teie andmeid kasutada. Palun kõigil lugeda enne “nõustun” nupule vajutamist läbi ning aru saada, mille osas te nõusoleku annate – mõne nö linnukese tegemata jätmine võimaldab ennetavalt hoida oma e-postkast puhtam reklaamidest ja kaubanduslikest teadaannetest.

Kuid siin tuleb arvestada, et mitte nõustudes ei pruugi te enam olla selle müüja/teenusepakkuja püsiklient ning te ei saa näiteks nende kliendikaarti kasutada. Hinnake oma aega ja vajadust – kas selle nimel, et kord aastas kaupleja toodet ostes saate allahindlust kaalub üles asjaolu, et peate iga nädal sama kaupleja reklaame enda postkastist kustutama.

Inkassod ei ole uue seaduse valguses mingeid samme astunud  

Määrus ütleb, et isiku nõusolekut andmete töötlemiseks ei ole vaja (isikuandmete töötlemine on seaduslik), kui on täidetud vähemalt üks määruse artiklis 6 lg-s 1 sätestatud tingimustest. Üheks selliseks tingimuseks on, et isikuandmeid võib töödelda, kui töötlemine on vajalik isiku osalusel sõlmitud lepingu täitmiseks. Samuti on isikuandmete töötlemine lubatud isiku nõusolekuta, kui isikuandmete töötlemine on avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks.

Inkasso teenuseid pakkuvad ettevõtted, sh maksehäirete registrit pidavad asutused, on eraettevõtted, kes ei täida avaliku võimu funktsioone. Kuigi tihti arvatakse, et inkassoteenuse pakkujate õigused täitmata kohustuste sissenõudmisel on vähemalt sama suured kui kohtutäituritel kui mitte suuremad, siis tegelikkuses on tegemist täitsa tavalise eraettevõttega – mingeid erilisi seadusest tulenevaid õiguseid inkassoteenuse pakkujatel ei ole.

Hetkel, kui uus andmekaistemäärus on jõustunud ning kõik Euroopa Liidu ettevõtted on elanud nädalapäevi uues määruses kehtestatu järgi, ei ole vähemasti Eesti suuremate inkassoteenust pakkuvate ettevõtete kodulehtedel mitte ühtegi vihjet andmete kaitsele ega privaatsusele. Ka ei ole inkassoteenuseid pakkuvad ettevõtted pidanud vajalikuks oma kodulehtedel tuua välja, mille alusel nad jätkavad inkassoteenuste pakkumist alates 25.05.2018, mil jõustus uus määrus.

Andmekaiste direktiivi kehtimise ajal on Andmekaiste Inspektsioon leidnud, et maksehäirete registri pidamine ning seal isikute kuvamine on avalikes huvides ning seetõttu on neil õigus kuvada maksehäiretes olevate isikute (ehk siis võlglaste) andmeid. Täna ei ole üheselt selge, kas ka uue andmekaitsemääruse tingimustes on maksehäirete registrite pidamine ning seal olevate isikute kuvamine kolmandatele isikutele põhjendatav kaalukate avalike huvidega. Inkassoettevõte on siiski eelkõige äriettevõte, kelle peamiseks eesmärgiks on kasumi mitte avalike huvide teenimine.

Hoolimata inkassoettevõtte põhjendusest võlglaste andmete kuvamiseks on andmesubjektil (teil, kui võlglasel) õigus neilt küsida, et kas neil on teie luba selleks.

Seega – kui te just ise ei ole andnud viimasel ajal nõusolekut inkassoteenuseid pakkuvale ettevõttele teie andmete töötlemiseks, siis ärge häbenege neile kirjutada ning selgitust küsida – inkasso ei häbene üldse, kui meelitab teid de facto aegunud võlgnevust tasuma, kasutades selleks tihti eetiliselt küsitavaid veenmismeetodeid. Samuti ei pea nad paljuks kasutada oma inim- ja finantsressursse, saatmaks teile e-kirju, SMS-sse ning teiega isiklikult telefonitsi suhelda.

Seega minu soovitus on – suhelge nüüd ise inkassoga ning tehke seda julgelt! Paluge, et nad edastaksid teile mitte ainult info selle kohta, milliseid andmeid neil teie kohta on, vaid ka õiguslikud alused teie andmete hoidmise ja säilitamise osas. Samuti uurige kindlasti andmete töötlemise eesmärke ning kellele nad teie andmeid edastavad.

Igaks juhuks mainin, et ärge selle asjaajamise käigus juhuslikult mõnele maksegraafikule võlgnevuse tasumiseks alla kirjutage, eriti veel, kui see võlgnevus on juba aastate tagune ning te ei ole inkassole vahepeal makseid teinud– suure tõenäosusega on see võlgnevus aegunud. Kui see ei ole aegunud, siis oleksid nad juba selle nõudega teie vastu kohtusse pöördunud.

Kui inkasso ei vasta  

Kui te ei saa inkassoettevõttelt vastust, teie kohta kogutud andmed on valed või ei ole kogumine õiguslikud põhjendanud (ala töötleme, kuna te andsite aastal 2007 selleks lepingut sõlmides nõusoleku), siis ärge unustage – teil on ÕIGUS nõuda KÕIKIDE teie kohta olevate andmete kustutamist. Kustutamine ei tähenda mitte ainult seda, et teie andmed ei ole enam maksehäireregistris üleval, vaid need peavad päriselt ja täielikult olema kustutatud, sealhulgas ka näiteks kõik teievahelised e-kirjad jne.

Lõpetuseks paar lihtsat nõuannet  

Ärge unustage – alati on õigus nõusolekut mitte anda. Alati mõelge enne nõusoleku andmist läbi, kas teil on seda vaja ning mis juhtub, kui te seda ei anna. Elu on näidanud, et juba antud nõusolekut ei kiputa enam tagasi võtma, kuigi see on lubatud.

Kui tekib kahtlus, kas mõni ettevõte (sh inkassoteenuseid pakkuv ettevõte) kasutab sinu andmeid õiguspäraselt, võib alati pöörduda vastavasisulise päringuga andmekaiste inspektsiooni poole, otsida tutvusringkonnast tuttav andmekaitse spetsialist või pidada nõu juristiga.

Kes antud teema kohta rohkem informatsiooni soovib, võib külastada andmekaitse inspektsiooni kodulehekülge http://www.aki.ee/et/eraelu-kaitse/euroopa-andmekaitse-reform