Lugedes andmekaitse üldmääruse ehk AKÜM-i alaseid kirjutisi olen ühtpidi rahul, et isikuandmete kaitse reeglid ja nende täiendamine on pälvinud nii suurt tähelepanu. Teisalt teeb murelikuks, et paljuski peetakse vajalikuks andmete töötlejat hirmutada ja mõnikord omistatakse reeglite täiendustele tähendusi, mida seal ei ole. Samas ei ole aga tähelepanu pööratud täiendustele, mis võivad isiku jaoks kaasa tuua olulisi pöördeid temasse suhtumise osas.

Kindlasti ei tohi tõsiselt võtta soovitust kaaluda nende isikuandmete töötlemise lõpetamist, mida ei ole vaja eesmärkide saavutamiseks. Kui isikuandmeid ei ole seatud eesmärkide saavutamiseks vaja, siis nende andmete töötlemine tulebki lõpetada. Esiteks oleks edasine töötlemine vastuolus praegu isikuandmete kaitse seadusega ja tulevikus AKÜM-iga Teiseks, milleks kulutada ressurssi nende andmete säilitamisele ja kaitsmisele, mida tegelikult ei vajata.

Sõna "reform" ei ole täpne, sest revolutsioonilisi muudatusi ei tule

Ehk olete juba tähele pannud, et ma ei kasuta terminit „reform“. Seda väga lihtsal põhjusel - reform eeldab millegi muutmist väga kardinaalselt. AKÜM ei too kaasa kardinaalseid muudatusi isikuandmete kaitses. Ka õigus isikuandmete kustutamisele on täna olemas isikuandmete kaitse seaduses.

AKÜM-is on nõudeid isikuandmete töötlemisele ja kaitsmisele rohkem lahti seletatud võrreldes kehtiva direktiiviga. Kui asutuse isikuandmete töötlemise, ja sh kaitse, korraldus vastab täna kehtestatud nõuetele, siis vastab ta ka suuremas osas mais 2018 jõustuvatele nõuetele. See muidugi ei tähenda, et isikuandmete töötlemises ei ole sel juhul üldse midagi vaja muuta.

Mõned ajakirjanduses esitatud väited vajavad siiski selgitamist.

Isikuandmeid, mida kaitsta, ei tule juurde ega jää ka vähemaks. Asukohaandmed või võrguidentifikaatorid, mida praegu kehtivas direktiivis ei mainita, on ka täna isikuandmed, kui nende kaudu on võimalik isikut tuvastada. Niisamuti on isikuandmed ka kasutaja seadmesse paigaldatavad HTTP-küpsised, kui nende kasutamise kaudu on võimalik seadme kasutaja tuvastamine.

AKÜM-is on ette nähtud maksimaalne trahvimäär isikuandmete töötlemise rikkumise eest maksimaalselt 20 miljonit eurot või 4 protsenti isikuandmete töötleja aastakäibest. 20 miljoni euro suurust trahvimäära vaevalt kellelegi Eesti Vabariigis kohaldatakse, aga tõenäosus, et trahv seotakse isikuandmete töötleja käibega, ei ole väike. Eriti arvestades seda, kui mõni isikuandmete töötleja veel täna, enam kui 20 aastat peale isikuandmete kaitse seaduse jõustumist, on seisukohal, et isikuandmete töötlemise alla ei kuulu isikuandmete kogumine.

Tegevus, mis on AKÜM-is oluliselt rohkem lahti kirjutatud ja peremini selgitatud, on isikuandmete automatiseeritud töötlemine. Muutumatuna püsib reegel, mille kohaselt ei tohi isiku kohta teha üksikotsuseid, mis tuginevad üksnes andmete automatiseeritud töötlemisele ja mille eesmärk on anda hinnang isiku kohta. Olulise täiendusena on AKÜM-is lisandunud sõnapaar „sealhulgas profiilianalüüsid“. Ilmselt on varasemalt profiilianalüüse püütud välistada isikuandmete töötlemisest.

Profiilianalüüsidega kaasneb suurandmete töötlemine. Selline isiku kohta käivate suurandmete töötlemine ei ole keelatud ja ka ennustamine on lubatud tegevus. Seejuures tuleb aga arvestada asjaoluga, et isikule jääb õigus esitada sellise profiilianalüüsi tulemuste suhtes vastuväiteid, teisisõnu profiilianalüüs ei saa toimuda ilma tema teadmata.

Uus asi: õigus andmete ülekandmiseks

Tõeliselt uue asjana võib AKÜM-is välja tuua õiguse andmete ülekandmiseks. Kuidas andmete ülekandmine tulevikus välja hakkab nägema, ei ole käesoleval hetkel veel selge. Andmete ülekandmise eelduseks otse teisele töötlejale on asjaolu, et nii töötlejal, kelle juurest andmeid üle kantakse kui ka töötlejatel, kelle juurde andmeid üle kantakse, on ühilduvad andmete töötlemise süsteemid. Erasektori andmekaitse jälgib reeglina, et konkurendid teavet kätte ei saaks.

Tõenäoliselt andmete töötlejad ei ole oma andmetöötluse süsteemide loomisel konsulteerinud ja teinud koostööd oma konkurentidega, et kliendid saaks enda kohta käivaid andmeid lihtsalt konkurendi juurde viia. Seetõttu ei ole andmete ülekandmine otse teisele töötlejale suure tõenäosusega tehniliselt võimalik ka tulevikus.

Arvestades, et AKÜM-i jõustumiseni on jäänud tervelt 15 ja pool kuud, on paras aeg hakata analüüsima, mis tänases isikuandmete töötlemise korralduses vastab AKÜM-i nõuetele ning millises osas on vaja neid täiendada.

Ja lõpetuseks – looge selline isikuandmete töötlemise süsteem, mis vastab kehtestatud reeglitele. See on oluliselt lihtsam ja odavam sellest, kui reegleid oma tegemistele või tegemata jätmistele sobivaks tõlgendada.