Lugeja küsis andmekaitse inspektsioonilt, kas uus isikuandmete kaitse üldmäärus nõuab tõepoolest ettevõtjalt kõigi andmetöötlustoimingute puhul mõjude hindamist ja andmekaitse inspektsiooniga konsulteerimist?
Lugeja küsib: kas uus isikuandmete kaitse määrus nõuab ettevõtjalt andmetöötluse mõjude hindamist ja konsulteerimist?
Andmekaitse inspektsiooni peadirektor Viljar Peep vastab lugeja küsimusele.
Tegemist on järjekordse müüdiga, mis seoses uue isikuandmete kaitse üldmäärusega levima on hakanud. Andmekaitsealast mõjuhinnangut ei pea tegema sugugi mitte kõik ettevõtted ja asutused. Isikuandmete kaitse üldmäärus näeb ette, et andmekaitse mõjuhinnang tuleb teha enne kõrge riskiga andmetöötlusega alustamist. Üldmäärus on oma lähenemisviisilt riskipõhine. See tähendab, et rangemad nõuded rakenduvad siis, kui isikuandmete töötlemine sisaldab riske. Näiteks andmetöötluse suur maht, tundlik sisu, inimeste automatiseeritud profileerimine, automaatotsused, suurte alade kaameravalve, isikuandmete edastamine väljapoole Euroopat. See tähendab, et mõjuhinnangu tegemise kohustus on neil andmetöötlejatel, kelle isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt inimeste õigustele ja vabadustele suur oht.
Samuti tuleb mõjude hindamine teha siis, kui ettevõtja hakkab kasutama uut tehnoloogiat, millega tal varem kokkupuudet pole olnud. Näiteks sõrmejälje- või näotuvastuspõhised lahendused või nn asjade interneti seadmetel põhinevate teenuste osutamine. See annab andmetöötlejale teadmise, kas näiteks uus riist- või tarkvara võib võrreldes senisega kujutada inimestele kõrge riskiga eraelulist riivet. Selle teadmise baasilt saab teha otsuse, kas tema käsutuses olevate vahendite, teadmiste ja oskustega on seda riivet võimalik piisavalt maandada.
Ka juhul, kui andmetöötlejal on kohustus mõjuhinnang korraldada, ei tule seda esitada kooskõlastamiseks ega registreerimiseks andmekaitse inspektsioonile. Kui aga mõjuhinnang näitab isikuandmete töötlemise juures suurt ohtu, tuleb ettevõttel määruse kohaselt enne andmete töötlemist konsulteerida järelevalveasutusega. Eestis on selleks asutuseks andmekaitse inspektsioon.
Paljud ettevõtjad on ekslikult tõlgendanud eelneva konsulteerimise kohustust käsitlevat määruse artiklit endale ebasoodsamal viisil. Eksliku tõlgenduse kohaselt jääks eelneva konsulteerimise kohustus andmeid töötlevale ettevõttele-asutusele ka siis, kui pärast mõjuhinnangu tegemist leitakse sobivad meetmed ohu leevendamiseks ning andmete töötlemisel enam ohtu ei ole. Sellise kohustuse panemine andmetöötlejatele, kes on mõjuhinnangu järel ohu kõrvaldanud ja riskid maandanud, oleks andmekaitse inspektsiooni hinnangul kahtlemata ülemäärane ja liialt ressursimahukas.
Andmekaitse inspektsiooniga peavad konsulteerima tulema ainult need andmetöötlejad, kes pärast mõjuhinnangu tegemist ja vajalike meetmete kasutuselevõtmist ohtu piisavalt leevendada ei suuda. Kui riskid on maandatud, siis eelkonsulteerimise kohustust ei ole.