25. mail 2018. a. jõustuva uue isikuandmete kaitse üldmääruse kontekstis pakub palju kõneainet üldmäärusega tutvustatav uus andmesubjekti õigus, milleks on õigus nõuda andmete ülekandmist (üldmääruse artikkel 20). Olukorda selgitavad Eversheds Sutherland Ots & Co intellektuaalomandi- ja andmekaitse valdkonna juht, vandeadvokaat Tambet Toomela ja jurist Erika Tuvike.
- Eversheds Sutherland Ots & Co intellektuaalomandi- ja andmekaitse valdkonna juht, vandeadvokaat Tambet Toomela ja jurist Erika Tuvike
25. aprillil avaldas Andmekaitse Inspektsioon oma veebilehel teate, milles kutsus muuhulgas andmete ülekantavuse oma tööprotsessides ja infosüsteemides üle vaatama, sest see saab tõenäoliselt olema rakendustegevustest kulukaim ja aeganõudvaim. Inspektsioon soovitas mitte jätta seda viimasele minutile, sest nõuete täitmist võidakse nõuda juba üldmääruse kohaldamise esimesest päevast peale (
http://www.aki.ee/et/soovitused_maaruseks_valmistumisel).
Õigusnõustamise käigus oleme mitmel korral puutunud kokku nõutute klientidega, kes loevad üldmääruse andmete ülekantavuse kohta käivaid sätteid, kuid ei suuda sellest tuletada ühtegi selget nõuet ega soovitust selle kohta, mida nad nüüd kibekiiresti üldmääruse jõustumise ajaks tegema peavad. Mõistmatus algab juba nimetatud õiguse olemusest.
Andmete ülekantavus viitab justkui sellele, et andmeid peab olema võimalik anda punktist A üle punkti B, mis seondub kohustusega võimaldada andmete ülekandmist uuele kolmandale isikule (näiteks andmesubjekti uuele teenusepakkujale). Nii on seda kommunikeeritud ka avalikkusele, julgustades ettevõtjaid tööprotsessi ja infosüsteeme üle vaatama ning vajalikke lisaarendusi või muid kohandusi korraldama.
Kuid kes on need, kellele peaks olema võimalik andmeid üle kanda? Millised on nende süsteemid? Mida teha kui ettevõtja ei suuda vastuvõtjana andmeid nende erineva ja ühildamatu vormingu tõttu töödelda?
Küsimusi on rohkem kui vastuseid.
Tegelikkuses on andmete ülekantavus 2018.a. mais jõustuva üldmääruse sõnastuses pisut teine ja vähemalt andmetöötlejate ajutiseks lohutuseks märkimisväärselt leebem.
Andmete ülekantavust reguleerivas artiklis 20 on sisuliselt eristatavad kaks õigust.
Esiteks sisaldub selles andmesubjekti nö. väljavõtteõigus ehk õigus saada teatud tingimuste esinemisel töötlejale edastatud automatiseeritult töödeldavaid isikuandmeid struktureeritud, üldkasutatavas vormingus ja masinloetaval kujul. Näiteks muusika streaming-teenuse osutaja kohustus esitada kliendi palvel talle tema valitud lugude nimekiri. Seda tuleb andmetöötlejatel tõepoolest võimaldada juba alates 2018.a. maist, mis muuhulgas võib tähendada protsesside ja süsteemide ülevaatamist selles võtmes, et andmesubjektile oleks igal ajal võimalik pakkuda terviklikku ülevaadet tema kohta töödeldavatest andmetest.
Mõnevõrra teine on aga olukord andmesubjekti andmete ülekantavusega andmetöötlejalt kolmandale isikule. Üldmääruses tunnustatakse peale väljavõtteõiguse igati ka sellist andmesubjekti õigust, kuid tehakse seejärel mööndus, mille kohaselt võib nõuda andmete edastamist otse teisele töötlejale, kui see on tehniliselt teostatav.
Ehk teisisõnu, kui ülekantavus ei ole tehnilistel põhjustel teostatav, ei pea andmetöötleja andmeid otse teisele töötlejale edastama. Piisab, kui andmesubjektile tagatakse väljavõtteõigus.
Siinkohal väärib märkimist, et kuigi andmete ülekantavus kitsamas mõttes on olemuslikult tervitatav, sest loob tarbijatele eeldused teenusepakkuja lihtsamaks vahetamiseks (andmete koondumise tõttu nn lock-in`ide lõhkumine), ei ole vähemalt täna infosüsteemide mitmekesisuse tõttu mõeldav, et kõik või isegi arvestatav osa erasektori andmetöötlejatest asuksid ühildama oma süsteeme või looma nende vahele süsteemide koosvõimet toetavaid programmiliideseid. Jättes kõrvale süsteemide kommertslitsentsid ja nendega seotud finantskoormuse ettevõtetele, tuleb arvestada, et isegi alternatiivsete vabavarasüsteemide kasutamiseks tuleb nõustuda vabavara litsentsitingimustega, mistõttu on põhjendamatu nõuda näiteks seda, et uus teenusepakkuja peab kliendi saamise nimel eelmiselt teenusepakkujalt andmete vastuvõtmiseks nõustuma ka viimase kasutatud vabavara juurde kuuluva litsentsiga.
Probleeme on ilmselt mõistnud ka üldmääruse kohta juhiseid jagav Euroopa andmekaitseasutuste töörühm, kelle juhisest ülekantavuse kohta leiab julgustavaid, kuid samas pealiskaudseid soovitusi andmetöötlejatele asuda tööle infovahetussüsteemide koostöövõime ja rakenduse programmiliideste arendamisega. Juhisest ei tulene täpsemalt, millistest vormingutest ja muudest tehnilistest üksikasjadest peaksid töötlejad seejuures lähtuma.
Seega on andmete ülekantavus selles kontekstis täna pigem idee ja suunanäitaja, mille õiguslik siduvus sõltub konkreetse juhtumi tehnilistest asjaoludest nagu teenusepakkujate süsteemide ühilduvus või koosvõime.
Seotud lood
Justiitsministeeriumi kutsel kogunesid 7.-8. septembril Tartusse Euroopa andmekaitsespetsialistid, suurettevõtete esindajad ja ühiskondlikud „valvekoerad“, et arutada 2018. aasta maist rakenduvat ELi andmekaitse reformi.
Suurettevõtte Telia kogemusest andmekaitsereformi läbiviimisel rääkis Telia Eesti riskijuhtimise osakonna juhataja Eva Jakunin 8. veebruaril KPMG ja ITuudiste koostöös korraldatud seminaril "Praktilised juhised uuest andmekaitsemäärusest tulenevate nõuete järgimiseks".
Kõik ettevõtted peavad aasta jooksul üle vaatama oma IT-süsteemid ja viisid, kuidas kogutud andmeid töödeldakse, sest 2018. aasta mais rakenduvad Euroopa Liidus andmekaitse uued põhimõtted.
Eelmisel kevadel võeti Euroopa Liidus vastu uus andmekaitsemäärus, mis toob ettevõtetele kaasa lisaülesandeid andmete kogumisel, kasutamisel ja turvalisuse tagamisel. Ettevõtetele on uue määrusega kohandumine suur väljakutse, sest muutuvad või suisa kaovad senised ärimudelid. Vastuseid kõigile küsimustele veel ei ole, tõdes Tele2 tegevjuhi Argo Virkebau.
Tehisintellekti rakendades toovad kõige kiiremini kulutused tagasi rahaliselt suure mõjuga lahendused, näiteks allahindluste ja lao optimeerimine, aga ka senise käsitsitöö automatiseerimine.
Hetkel kuum
Tagasi ITuudised esilehele