Global menu

Our global pages

Close

Isikuandmete kaitse üldmääruse jõustumise ootuses: kus oleme täna?

  • Estonia
  • General

27-11-2017

Isikuandmete kaitse üldmäärus 2016/679 (Määrus) jõustub 25. mail 2018.a., milleni on jäänud vähem kui aasta. Määrusega tunnistatakse kehtetuks varasemalt kehtinud  direktiiv 95/46/EÜ, millel põhineb ka Eestis kehtiv isikuandmete kaitse seadus (IKS). Kuivõrd direktiiv kaotab kehtivuse, tunnistatakse lähiajal kehtetuks direktiivi Eesti siseriiklikusse õigusesse harmoniseerinud IKS. Seda põhjusel, et tulevikus tuleb esmajärjekorras lähtuda otsekohalduvast Määrusest, mille suhtes ei või siseriiklikus õiguses kehtida dubleerivad ega vastuolulisi õigusnorme.

Ehkki Määrus on vahetult kohalduv, pakub see liikmesriikidele mitmeid võimalusi Määruses sätestatut siseriiklike õigusaktidega täpsustada või täiendavalt reguleerida. Justiitsministeerium on otsustanud reguleerida sellised küsimused õigusnormidega, mida planeeritakse jõustada Määruse jõustumisel.

Käesolevaga antakse ülevaade tähtsamatest siseriiklikest eeskirjadest, mida on oodata veel enne Määruse jõustumist ja nendega kaasnevatest peamistest muudatustest.

Uus IKS-i jõustumine

Uue Määruse olulisemaks siseriiklikuks rakendusaktiks kavandatakse uut IKS-i, mis peaks jõustuma Määruse jõustumisel.

Esialgsete prognooside kohaselt pidi uus IKS-i eelnõu olema kooskõlastusringile edastamiseks valmis 2017.a suvel. Vabariigi Valitsuse lauale pidanuks see jõudma 2017.a sügisel. Tegelikkuses ei ole aga IKS-i eelnõu veel kooskõlastusringile jõudnud ja uute prognooside kohaselt loodab Justiitsministeerium seda teha hiljemalt novembri alguses.

Küll on tänaseks valmis Justiitsministeeriumi poolt välja töötatud õigusliku raamistiku kontseptsioon, mille põhjal võime ette näha mitmeid olulisi muudatusi.  

Üks suurema mõjuga muudatustest andmetöötlejale saab olema kohustus määrata teatud juhtudel andmekaitseametnik (andmekaitsespetsialist). Määruse kohaselt on see kohustus ette nähtud nii avaliku sektori asutustele ja organitele (nt linna- või vallavalitsused, üldharidus-, kutse- ja kõrgkoolid), kui ka piiratud ulatuses erasektoris tegutsevatele ettevõtetele.

Erasektoris tegutsevale andmetöötlejale tekib kohustus siis, kui selle ärimudel seondub andmesubjektide korrapärase ja süstemaatilise jälgimisega. Nimetatud alus hõlmab näiteks andmetöötlejaid, kes teevad mistahes jälgimis- või profileerimistoiminguid internetis (sh telekommunikatsiooni teenuse pakkujad). Lisaks tekib kohustus andmetöötlejale, kelle põhitegevuseks on andmete eriliikide ulatuslik töötlemine. Kuivõrd eriliigilisteks andmeteks loetakse ka terviseandmeid ja biomeetriat, on kohustatud isikuteks sellel alusel muuhulgas haiglad ja perearstikeskused. Eeltoodust nähtub, et Määruses on kohustatud isikute ring määratletud laiaulatuslikult, millega seoses võiks kaaluda täpsustavaid siseriiklikke eeskirju.

Kuivõrd kohustus laieneb nii era- kui ka avaliku sektorile korraga, vajavad mõlemad sektorid korraga suurel hulgal asjatundjaid, kes tunneksid eksperdi tasandil andmekaitsealaseid õigusakte ja tavasid, oleks suutelised aitama andmetöötlejaid ja kontrollima andmetöötlejate tegevuse vastavust nõuetele. Andmekaitse Inspektsiooni (AKI) hinnangul ei taga Eesti kõrgkoolis omandatud õigusteaduse või infotehnoloogia alane kraad uutele vajadustele vastavat kutsekvalifikatsiooni. Seetõttu on AKI välja töötanud ning avaldanud oma kodulehel andmekaitsereformi rubriigis andmekaitsespetsialisti ülesannete, teadmiste ja oskuste loetelu, mis on eelduseks andmekaitseametniku rolli tulemuslikuks täitmiseks. Eeltoodu on aluseks võetud ka andmekaitseametnike täiendkoolitusprogrammi välja töötamisel, mille alusel on alustatud ka esimesi koolitusi Tallinna Ülikoolis ja Tallinna Tehnikaülikoolis.

Määrusega seonduvalt on palju kõneainet pakkunud selles sätestatud suured karistused, mis võivad küündida kuni 20 000 000 euroni või 4%-ni ettevõtte ülemaailmsest käibest. Selles osas sätestatakse Eesti suhtes aga oluline erand. Nimelt ei kohaldu Eesti ettevõtetele Määruses toodud trahvimäärade maksimummäärad, kuivõrd Eesti muude õigusaktide kohaselt ei ole selliste karistuste määramine võimalik. Seega kuuluvad Eestile omased trahvimäärad sätestamisele uues IKS-is ning võib loota, et need jäävad 32 000 euro piiridesse.

AKI poolt koostatav juhendmaterjal

AKI poolt on kavandatud selgitada Määruses sätestatud nõudeid, õigusi ja kohustusi ka eraldi juhendmaterjalidega. Peamiseks Määrust selgitavaks juhendiks saab Määruse üldjuhend, kuhu koondatakse kokku kõik üldise iseloomuga juhtnöörid. Nii leiavad üldjuhendis selgitamist Määruse peamised nõuded ning ühtlasi näidatakse suunda andmetöötlusprotsesside vastavusse viimiseks Määruse nõuetega.

Prognooside kohaselt pidi üldjuhend olema valmis kinnitamiseks AKI nõukoja sügiskoosolekul. Tulenevalt asjaolust, et Justiitsministeeriumi poolt koostatav IKS-i eelnõu pole senini kooskõlastamisele jõudnud, võib arvata, et ka üldjuhendi väljaandmine lükkub edasi. Suures osas hakkab üldjuhend toetuma juba AKI kodulehel andmekaitse reformirubriigis avaldatule (andmetöötleja kohustuste lühikataloog, andmekaitsespetsialisti määramine, andmekaitsespetsialisti kompetentsid, mõjuhinnang, andmete ülekandmise õigus, rikkumisteated, töötlustoimingute registreerimine, vaikimisi ja lõimitud andmekaitse, andmekaitsetingimuste kontrollnimekiri ja nõusoleku kontrollnimekiri).

Täiendavalt üldjuhendile on AKI-il kavas enne Määruse jõustumist välja anda ka andmesubjekti õiguste meelespea. Mahult veidi väiksema juhendmaterjali eesmärgiks on anda terviklik ning kokkuvõtlik ülevaade kõikidest olulisematest andmesubjektile Määrusest tulenevatest õigustest. Muus osas kavatseb AKI täiendada ja muuta juba olemasolevaid juhendmaterjale. Esmalt leiavad täiendamist olulisemad teemad nagu näiteks andmete töötlemine töösuhtes, kaamerate kasutamine ning seejärel kõik ülejäänud juhendmaterjalid vastavalt vajadusele.

Määruse jõustumisega ettevõtetele kaasnevate rakenduskulude kokkuhoidmiseks on AKI välja töötamas ka andmesubjekti nõusoleku andmise tingimusi, andmesubjektile teabe andmise näidist ja kaebuse näidisvormi (sh elektroonilise). Need dokumendid ei ole samuti veel avaldatud.

Sõltumata sellest, et Määruse rakendusakte ning erinevaid juhendmaterjale ei ole senini avaldatud, peaksid andmetöötlejad Määruse jõustumiseks valmistuma juba praegu. Allolevalt esitame 5 soovitust, millega soovitame algust teha:

  1. Leidke asjatundja. Sõltumata sellest, kas teie ettevõtte on kohustatud määrama andmekaitsespetsialisti või mitte, leidke piisava kompetentsiga inimene, kes suudab teid abistada Määruse jõustumiseks ettevalmistuste tegemisel. Vajadusel koolitage ettevõtte siseseid töötajaid. Otsustage, kas teie ettevõttes on vaja määrata andmekaitsespetsialist.
  2. Kaardistage protsess. Tehke selgeks milliseid isikuandmeid ettevõttes andmesubjekti kohta kogute, millisel eesmärgil ning kuidas teavitate andmesubjekti isikuandmete töötlemise protsessist.
  3. Hinnake õiguste tagamise võimekust. Kui olete kaardistanud isikuandmete töötlemise protsessi, siis veenduge, et ettevõtte on võimeline tagama kõiki Määrusega andmesubjektile kaasnevaid õigusi. Muuhulgas tehke selgeks see, kuidas käituda kui andmesubjekt nõuab teda puudutavate isikuandmete kustutamist või nõuab andmete ülekandmist.
  4. Hinnake nõusoleku vastavust Määrusele. Isikuandmete töötlemisel nõusoleku alusel tutvu AKI poolt koostatud nõusoleku kontrollnimekirjaga ning veendu nõusolekuvormi vastavuses Määrusele.
  5. Koostage mõjuhinnang. Määrus kohustab teatud andmetöötlejaid koostama andmekaitse mõjuhinnangut juhul, kui isikuandmete töötlemisega võib kaasneda kõrge risk. Soovitame viia selle hinnangu läbi kõigil andmetöötlejatel, kuna sõltumata andmetöötlejast ja töötlusriskidest parandatakse hinnangu koostamisega andmetöötlusprotsesse ja tagatakse parem vastavus nõuetele.
Tambet Toomela, Partner
Erika Tuvike, Associate

This information is for guidance purposes only and should not be regarded as a substitute for taking legal advice. Please refer to the full terms and conditions on our website.

< Go back

Print Friendly and PDF

© Eversheds Sutherland 2023. All rights reserved. Eversheds Sutherland is a global provider of legal and other services operating through various separate and distinct legal entities.

Eversheds Sutherland is the name and brand under which the members of Eversheds Sutherland Limited (Eversheds Sutherland (International) LLP and Eversheds Sutherland (US) LLP) and their respective controlled, managed and affiliated firms and the members of Eversheds Sutherland (Europe) Limited (each an "Eversheds Sutherland Entity" and together the "Eversheds Sutherland Entities") provide legal or other services to clients around the world. Eversheds Sutherland Entities are constituted and regulated in accordance with relevant local regulatory and legal requirements and operate in accordance with their locally registered names. The use of the name Eversheds Sutherland, is for description purposes only and does not imply that the Eversheds Sutherland Entities are in a partnership or are part of a global LLP. The responsibility for the provision of services to the client is defined in the terms of engagement between the instructed firm and the client.