2016. aasta kevadel võttis Euroopa Parlament vastu andmekaitse üldmääruse, mille eesmärk on anda infoühiskonna ajastul kodanikele parem kontroll enda andmete üle.
Mida toob andmekaitsereform endaga kaasa Eestis?
Kuigi üldmäärus on tervikuna siduv ja alates 25. maist 2018 vahetult kohaldatav kõikides Euroopa Liidu riikides, on üldmäärusega jäetud liikmesriikidele volitused üldmääruse nõuete täpsustamisel. Tänaseks on uue isikuandmete kaitse seaduse eelnõu valminud ka Eestis. Valmis on saanud eelnõu esialgne tekst, mille justiitsminister saatis 24. novembril 2017 huvigruppidele kooskõlastamiseks ja arvamuse andmiseks. Võtmata käesolevaga seisukohta eelnõu kvaliteedi ja kõikide ettepanekute mõistlikkuse kohta, on paras aeg teha kokkuvõtlik ülevaade sellest, mida spetsiifilist andmekaitsereform eelnõu kohaselt Eestis kaasa tooks.
Eelnõu sätestab uue õigusliku aluse isikuandmete töötlemiseks kunstilise ja kirjandusliku eneseväljenduse eesmärgil. Hetkel kehtiv isikuandmete kaitse seadus ja uus eelnõu sätestavad mõlemad õigusliku alusena isikuandmete töötlemiseks ka ajakirjandusliku eesmärgi, aga seni kehtiv seadus ei sätesta eraldi õiguslikku alust muul kunstilisel eesmärgil isikuandmete avaldamiseks. Muu kunstiline või kirjanduslik eneseväljenduse eesmärk võib olla näiteks isikuandmete avaldamine elulooraamatus- või filmis. Uus säte suurendab sõnavabadust, sest sätestab konkreetse õigusliku aluse isikuandmete avaldamiseks ja töötlemiseks sõnavabadusele tugines.
Kui varem eeldas isikuandmete töötlemine elulooraamatutes- ja filmides üldjuhul isiku nõusolekut, siis uue eelnõu järgi võib isikuandmeid avaldada ilma andmesubjekti nõusolekuta. Samas on eelnõus rõhutatud, et isikuandmete töötlemine kunstilise ja kirjandusliku eneseväljenduse eesmärgil on lubatud vaid siis, kui see ei kahjusta ülemääraselt andmesubjekti õigusi.
Seega tuleb igal üksikjuhul analüüsida, kas isikuandmete avaldamine elulooraamatus või -filmis sõnavabadusele tuginedes on proportsionaalne riivega selle isiku eraelu puutumatusele, kelle andmeid avaldada tahetakse. Arvestades, et sellise tasakaalu leidmine on alati hinnangu küsimus, võib sätte rakendamine praktikas tuua kaasa hulgaliselt kohtuvaidlusi. Kui kohus leiab vaidluse tulemusena, et isikuandmete avaldamisel on riive isiku eraelu puutumatusele olnud ebaproportsionaalne, võib kohus nõuda ka trükitud raamatute hävitamist või filmi avaldamise keelata.
Ealiseks piirmääraks jääb ilmselt 14 aastat
Täiesti uue küsimusena reguleerib eelnõu lapse antud nõusolekut isikuandmete töötlemiseks infoühiskonna teenuse saamiseks. Infoühiskonna teenused on elektrooniliselt osutatavad teenused. Sellised teenused on näiteks sotsiaalmeediakonto kasutamine, e-postikonto loomine, muusika voogedastuse teenuse tellimine, jne. Andmekaitse üldmääruse kohaselt väärivad lapse andmed suuremat kaitset.
Andmekaitse üldmäärus järgi võivad Euroopa Liidu liikmesriigid seadusega sätestada, et nõusoleku isikuandmete töötlemiseks infoühiskonnateenuse saamiseks võib anda vähemalt 13-aastane laps. Uue eelnõu kohaselt saab Eestis infoühiskonna teenuse raames isikuandmete töötlemiseks nõusoleku anda vähemalt 14-aastane laps ning noorema kui 14-aastase lapse eest peab nõusoleku andma tema seaduslik esindaja.
See tähendab, et edaspidi peavad teenuseostuajad nagu Facebook, YouTube’i, GMail, Spotify, jne võtma tarvitusele meetmed, mis võimaldavad kontrollida, et Eestis oleks noorema kui 14-aastase lapse puhul nõusolek isikuandmete töötlemiseks antud tema seadusliku esindaja poolt.
Vanuselise piirmäära sätestamisel on erinevad riigid läinud erinevat teed. Näiteks Ühendkuningriikide seaduseelnõu sätestab vanuselise piirmäärana 13-aastat, Leedu seaduseelnõu aga 16-aastat. Seaduseelnõu väljatöötamisel oli Andmekaitse Inspektsiooni ettepanek, et Eestis võiks alates 13. eluaastast laps anda ise nõusoleku infoühiskonnateenuste kasutamiseks. Eelnõus on valitud vanuseks aga 14-aastat, mida on mõnevõrra üllatuslikult põhjendatud paralleeliga karistusseadustikus sätestatud süüvõimelisuse tekkimisega, mis samuti tekib isiku 14-aastaseks saamisel.
Isikuandmete töötlemist tuleb logima hakata
Uus seaduseelnõu toob kaasa mitmeid täiendavaid kohustusi isikuandmete töötlemisel õiguskaitseasutuste poolt. Näiteks on uue nõuetena sätestatud kohustused kehtestada isikuandmete töötlemise tähtajad, pidada isikuandmete töötlemise kohta logisid ja registreerida isikuandmete töötlemise toimingud.
Uue eelnõu järgi, kui seaduses ei ole sätestatud isikuandmete säilitamise tähtaega, peab töötleja tähtaja ise kehtestama ja tagama, et tähtaja möödumisel kustutatakse isikuandmed pöördumatult. Isikuandmete logimise kohustus tähendab, et isikuandmete töötlemisel arvutisüsteemi kaudu peab olema võimalik logide kaudu tuvastada, mida on isikuandmetega tehtud. Logide järgi peab olema võimalik tuvastada, kes on isikuandmeid lugenud, kellele on isikuandmeid edastatud, millal ja kelle poolt on isikuandmed kustutatud, jne.
Logide pidamise kohustuse eesmärk on tagada isikuandmete töötlemisel suurem läbipaistvus ning võimaldada läbi viia efektiivset sisemist kontrolli kui ka järelevalvet Andmekaitse Inspektsiooni poolt. Isikuandmete töötlemise toimingute registreerimise kohustuse järgi tuleb registreerida isikuandmete töötlemise toimingud, millise kohustuse eesmärk on, et isikuandmete töötlejal oleks ülevaade sellest, milliseid isikuandmeid ning millisel eesmärgil ta töötleb. Kohustuse eesmärk on n-ö sisemise korrastatuse loomine.
Veel ühe uue nõudena sätestab eelnõu andmesubjekti õiguse andmete ülekandmisele ühe töötleja juurest teise juurde, kui see on tehniliselt teostatav. See tähendab, et andmesubjektil on näiteks õigus nõuda, et tema kohta Politsei- ja Piirivalveametis salvestatud andmed edastatakse mõnele teisele andmetöötlejale, näiteks andmesubjekti soovil krediidiandjale tausta kontrollimiseks.
Eelnõu viimane peatükk sätestab väärteokoosseisud ja karistused andmekaitse üldmääruse rikkumisel. Maksimumkaristusena on ettenähtud rahatrahv kuni 20 000 000 eurot või kuni 4 protsenti juriidilise isiku käibest. Vajab aga rõhutamist, et trahvide selline määramine eeldab praegu kehtiva karistusseadustiku üldosa muutmist ehk sisuliselt kogu Eesti karistusõiguse muutmist. Eesti õigussüsteemi tänane eripära ei võimalda määrata trahve andmekaitse üldmääruses sätestatu kohaselt. Meedias palju käsitletud hiigeltrahve saaks seega kohaldada üksnes siis kui muudetakse ka karistusseadustikku.