Viies põhivabadus – andmete vaba liikumine
Andmete vaba liikumine, mida Eesti poliitikud on Euroopas juba aastaid viienda põhivabadusena „müünud“, sai maikuus osaks Euroopa Liidu õigusest. Peeter P. Mõtsküla uurib oma postituses, kuidas see mõjutab Eesti IT-ettevõtjate ärivõimalusi.
Idee, et kaupade, kapitali, teenuste ja tööjõu vaba liikumise kõrval peaks Euroopa Liidus olema põhivabadusena tagatud ka andmete liikumine, sõnastas ilmselt esimesena mõni eestlane. Meie riigijuhid on seda rauda tagunud juba pikalt: Jüri Ratas rääkis sellest 2018. aastal Tallinnas EL digitippkohtumisel, Toomas Hendrik Ilves 2016. aastal Brüsselis Euroopa Parlamendi täiskogul ja Taavi Rõivas 2015. aastal Milanos Bocconi ülikoolis.
Aluslepingute muutmiseni küll ei mindud, kuid alates 2019. aasta mai lõpust on Euroopa Liidu liikmesriikidel ja nende keelatud ilma mõjuva põhjuseta takistada isikustamata andmete liikumist üle liidu sisepiiride (isikuandmete liikumisvabadus liidus nähti ette juba aasta varem jõustunud isikuandmete kaitse üldmäärusega).
Kellele ja milleks see oluline on?
Mitmed riigid on kehtestanud nõudeid, millega nähakse ette IT-teenusepakkujate kohustus töödelda teatavat liiki andmeid (sh nt avaliku sektori andmeid) selles konkreetses riigis. Sellised nõuded piiravad IT-ettevõtjate võimalusi laiendada oma tegevust teistesse riikidesse või ära kasutada teistes riikides asuvate koostööpartnerite pakutavaid teenuseid. Kuna Euroopa kontekstis tähendavad sellised piirangud ka takistusi digitaalse ühisturu väljakujunemisele, tulebki seda probleemi lahendada liidu, mitte liikmesriikide tasandil.
Andmete vaba liikumise määrus
28. mail 2019 jõustunud Euroopa Parlamendi ja Nõukogu määrusel (EL) 2018/1807, mis käsitleb isikustamata andmete Euroopa Liidus vaba liikumise raamistikku, on kolm olulist omadust.
Määrus keelab liikmesriikidel kehtestada uusi nõudeid (isikustamata) andmete asukohale ning kohustab neid olemasolevad nõuded kahe aasta jooksul kehtetuks tunnistama, kui nad ei suuda komisjonile näidata, et mingi konkreetne nõue on avaliku julgeoleku kaalutlustel põhjendatud ja proportsionaalsuse põhimõttega kooskõlas.
Määrusega luuakse koostöömehhanism, mille eesmärk on tagada liikmesriikide pädevatele asutustele õigus saada juurdepääs neile vajalikele andmetele ka siis, kui neid töödeldakse mõnes teises liikmesriigis.
Määruse alusel hakkab komisjon toetama tööstussektori iseregulatsiooni tegevusjuhendite väljatöötamist, hõlbustamaks teenuseosutajate vahetamist ja andmete portimist.
Isikustamata andmed ja segaandmekogud
Isikustamata andmeteks loetakse kõik andmed, mida isikuandmete kaitse üldmäärus (GDPR) ei määratle isikuandmetena. Need on ennekõike sellised andmed, mis ei ole mitte kunagi puudutanud tuvastatud või tuvastatavaid füüsilisi isikuid (nt ilmastikuandmed ja valuutakursid), aga ka sellised andmed, mis on algselt olnud isikuandmed olnud, kuid mida on töödeldud viisil, mis välistab nende seostamise konkreetse isikuga isegi lisaandmeid kasutades.
Andmete vaba liikumise määrus ei puuduta isikuandmete töötlemist. Reaalses elus sisaldab suur osa andmekogudest nii isikuandmeid kui isikustamata andmeid. Kumba määrust sellistele segaandmekogudele kohaldada, sõltub sellest, kas erinevat tüüpi andmed on neis andmekogudes lahutamatult seotud või mitte. Kui isiku- ja isikustamata andmeid on võimalik eraldada, kohaldatakse isikuandmetele GDPR-i ja isikustamata andmetele andmete vaba liikumise määrust; kui andmetüüpide eraldamine oleks kas võimatu või vastutava töötleja arvates majanduslikult ebaotstarbekas, kohaldub GDPR kogu andmekogule tervikuna.
Asukohanõuete keeld
Määrusega keelustatakse andmete asukohanõuded, mis ei ole avaliku julgeoleku kaalutlustel põhjendatud ja proportsionaalsuse põhimõttega kooskõlas. Kehtivatele asukohanõuetele nähakse ette kaheaastane üleminekuperiood, mille jooksul peavad liikmesriigid need kas kehtetuks tunnistama või põhjendama komisjonile, miks nende kehtima jäämine on vajalik.
Keeld puudutab kõiki selliseid nõudeid, mis tulenevad liikmesriigi õigus- või haldusnormidest või liikmesriigi või selle avalik-õiguslike isikute üldisest haldustavast (sealhulgas riigihangete valdkonnas) ning millega nähakse ette andmete töötlemine selle liikmesriigi territooriumil või millega takistatakse andmete töötlemist teises liikmesriigis.
Andmete kättesaadavus pädevatele asutustele
Määrusega keelatakse pädevate asutuste juurdepääsu takistamine andmetele põhjusel, et andmeid töödeldakse teises liikmesriigis. Kui andmetele juurdepääsu taotlev asutus seda juurdepääsu ei saa ning kui liidu õigusega ega rahvusvaheliste kokkulepetega ei ole loodud koostöömehhanismi andmete vahetamiseks eri liikmesriikide pädevate asutuste vahel, võib juurdepääsu taotlev asutus pöörduda abi saamiseks ka isikustamata andmete vaba liikumise määruse artiklis 7 ette nähtud ühtse kontaktpunkti poole teises liikmesriigis.
Andmete ülekantavas
GDPR kohaselt on isikuandmete ülekantavus andmesubjekti õigus ning selle tagamine andmete vastutava töötleja kohustus. Isikustamata andmete vaba liikumise määrus on selles osas „pehmem", nähes ette vaid tööstusharu siseste iseregulatsiooni tegevusjuhendite, sh parimate praktikate ja teabe esitamise miinimumnõuete, loomise. Määruse kohaselt peab komisjon seda tegevust soodustama ja hõlbustama, kusjuures tegevusjuhendid peaksid valmima hiljemalt 29. novembril 2019 ja saama kasutusele võetud hiljemalt 29. mail 2020.
Määruse kohaldamisala
Määrus ei puuduta isikustamata andmete töötlemist väljaspool liitu. Küll aga puudutab see lisaks liidus elu- või tegevuskohta omavate isikute oma tarbeks toimuvale andmetöötlusele ka andmete töötlemist teenusena, mida osutatakse liidus elu- või tegevuskohta omavaile kasutajaile. Seejuures ei ole oluline, kas teenuseosutaja asukoht on liidus või mitte - oluline on vaid asjaolu, et andmete töötlemine toimub liidu piires.
Samuti ei piira määrus liikmesriikide ja nende avalik-õiguslike isikute õigust endale ise andmetöötlusteenuseid osutada. Seega on lisaks riigiasutuste sisemistele IT-osakondadele jätkuvalt lubatud ka „riigipilvede" ehitamine või riigi alluvuses olevate IT-teenuseasutuste pidamine. Niipea kui riik (või mõni tema avalik-õiguslik asutus) hakkab teenust turult sisse ostma, ei tohi ta aga enam andmete asukohale piiranguid seada.
Kokkuvõte
GDPR ja isikustamata andmete vaba liikumise määrus parandavad IT-ettevõtjate võimalusi osutada oma teenuseid nii teistes liikmesriikides asuvatele klientidele kui kasutada teistes liikmesriikides asuvate koostööpartnerite pakutavaid teenuseid oma asukohariigis asuvate klientide teenindamisel.
Kui teil on soov osaleda mõnel avalikul hankekonkursil, kuid selle tingimustes sisalduvad andmete asukoha nõuded tunduvad teile ebamõistlikult piiravad, võtke meiega kindlasti ühendust.