Riigikogus arutatakse täna seaduseelnõud, mis reguleerib isikuandmete kasutamist, töötlemist ja järelevalvet. Samuti on lugemisel uus küberturvalisuse seadus.
- Põhiseaduskomisjoni esimees Marko Pomerants. Foto: Andras Kralla
„Ehkki isikuandmete kaitse seadus pole mingi lihtne lugemine, on põhimõte see, et inimeste andmed peavad olema piisavalt kaitstud ja reeglid on ühetaolised üle terve Euroopa Liidu,“ ütles põhiseaduskomisjoni esimees Marko Pomerants.
Üldmäärus annab tugevama kontrolli oma isikuandmete üle. Juurdepääs enda kohta käivatele andmetele lihtsustub ja inimest tuleb põhjalikumalt ning selgelt teavitada sellest, kuidas tema andmeid töödeldakse.
Kui inimene ei soovi enam lasta oma andmeid töödelda ja nende andmete säilitamiseks puudub ka õiguslik alus, siis andmed kustutatakse. Näiteks võib nõuda Google´ilt, telefonisideoperaatorilt või postimüügiportaalilt oma isikuandmete töötlemise lõpetamist ja kustutamist.
Ettevõtjad ja organisatsioonid kohustuvad ka teavitama inimest tema isikuandmete ründamisest. Samuti peavad nad teavitama andmekaitse inspektsiooni.
Vastutus rikkumiste eest läheb suuremaks ja maksimaalne trahv isikuandmete töötlemise põhimõtete eiramise eest võib olla kuni 20 miljonit eurot või kuni neli protsenti juriidilise isiku käibest.
Üldmäärusega on liikmesriigile jäetud võimalus täpsustada isikuandmete kasutamise erijuhtumeid. Selle kohaselt on näiteks alaealise isikuandmete töötlemise lubatud alampiir vahemikus 13-16 eluaastat. Eestis on eelnõu kohaselt lapse isikuandmete töötlemine lubatud juhul, kui laps on vähemalt 13aastane.
Lisaks on lugemisel uus küberturvalisuse seadus
Lisaks on riigikogus kolmandal lugemisel küberturvalisuse seaduse eelnõu. Valitsuse algatatud eelnõuga võetakse üle Euroopa võrgu ja infoturbe direktiiv. Riigisiseselt kehtestatakse olulise teenuse ja digitaalse teenuse osutajatele turvameetmete rakendamise ja küberintsidentidest teavitamise nõuded.
Samuti täpsustatakse küberturvalisuse tagamise koordineerimisel ja piiriülese koostöö korraldamisel riikliku järelevalveasutuse, riigi infosüsteemide ameti ülesandeid. Eelnõu eesmärgiks on tugevdada ühiskonna jaoks määrava tähtsusega teenuste osutamisel ning riigi ja kohaliku omavalitsuse üksuste võrgu- ja infosüsteemide kaitset.
Seletuskirjas märgitakse, et ühiskonna toimimist oluliselt mõjutavad teenuseosutajad (nt elutähtsad teenused, olulised infrastruktuuri ettevõtted, Eesti Interneti SA) kui ka suuremad digitaalse teenuse osutajad (internetipõhised kauplemiskohad, otsimootorid või pilveandmetöötlejad) peavad seaduse jõustumisel rakendama riskianalüüsipõhiseid organisatsioonilisi, füüsilisi ja infotehnilisi turvameetmeid.
Samuti peavad nad seirama turvalisust ohustavat tegevust ning vajadusel rakendama meetmeid intsidentide mõju ja leviku vähendamiseks. Lisaks tekib kohustus teavitada olulise mõjuga küberintsidentidest riigi infosüsteemi ametit.
Avalik sektor saab kohustusi juurde
Avalikus sektoris – sh omavalitsusüksustes – laieneb kohustus rakendada infoturbemeetmeid ka näiteks meiliserveritele, failiserveritele ja dokumendihaldussüsteemidele. Seni on kehtinud kohustus rakendada õigusaktist tulenevaid turvameetmeid üksnes infosüsteemidele, mis on andmekogud avaliku teabe seaduse tähenduses. Eelnõuga ei nähta avalikule sektorile ette märkimisväärseid uusi kohustusi. Infosüsteemide turvalisuse tagamine on juba pikka aega osa IT-süsteemide arendusest ja haldusest.
Teise lugemise käigus esitati eelnõule kaheksa muudatusettepanekut. Üheks olulisemaks muudatusettepanekuks oli see, et perearstide puhul on vajalik ühtlustada nende poolt kasutatavate infosüsteemide turvanõudeid vältimaks näiteks isikuandmete lekkeid või andmete krüpteerimist lunavara rünnakute käigus. Muudatusettepaneku normitehniline külg võimaldab selle hilisemat jõustamist.
Osa muudatusi jõustub 2022. aastal
Perearstide arvukuse tõttu jõustuvad neid puudutavad sätted kokkuleppel sotsiaalministeeriumiga 2022. aasta 1. jaanuaril, mis arvestab reaalset võimekust seaduse nõudeid täita.
Lisaks täiendati ühe muudatusettepanekuga rahvusringhäälingu seadust ERRi kohustusega täita elanikkonda või riiklust ohustavates olukordades adekvaatse informatsiooni operatiivseks edastamiseks kasutatavate süsteemide turvalisuse tagamiseks küberturvalisuse seaduse paragrahvides 7 ja 8 ning nende alusel kehtestatud nõudeid.
Arvestades, et info elanikkonna teavitamisel kriisidest või tähtsatest ühiskonda puudutavatest sündmustest on äärmiselt oluline, siis tuleb tagada rahvusringhäälingu toimimise järjepidevus ja katkematus. Ühe muudatusettepanekuga jõustuvad ERRi puudutavad sätted samuti 2022. aasta 1. jaanuaril, mis arvestab reaalset võimekust nõudeid täita.
Seotud lood
Arvutipargi renditeenus on mugav, säästlik ja (tuleviku)kindel. Green IT tegevjuht Asko Pukk usub, et ettevõtete äriline fookus peab alati olema enda põhitegevusel, sektoril, mida teatakse peensusteni, et olla konkurentidest paremad – just selleks vajaliku aja ja raha renditeenus vabastab.