Alustava ettevõtja jaoks on kõige keerulisem tuvastada, kas üleüldse on tegemist isikuandmetega. Kus algavad ja lõppevad isikuandmed?
Seadusandja ei ole täpselt määratlenud vastavat kataloogi, milles saaks kokku lugeda, mis on isikuandmed. Isikuandmeteks loetakse kõiki andmeid tuvastatud või tuvastatava füüsilise isiku kohta, mis väljendavad isiku füüsilisi, psüühilisi, füsioloogilisi, majanduslikke, kultuurilisi või sotsiaalseid omadusi, suhteid ja kuuluvust.
Mis teeb isikuandmete töötlemise hindamise veelgi keerulisemaks on asjaolu, et tegemist on nn „ujuva“ mõistega, mis ajas muutub vastavalt tehnoloogia arengule, nt on isikuandmeteks see, milliseid veebilehekülgi inimene külastab ning milliseid otsingusõnu kasutab. Mõiste „isikuandmed” hõlmab teavet, mis puudutab üksikisiku era- ja perekonnaelu kitsamas mõttes, kuid ka teavet üksikisiku mis tahes tegevuse kohta, näiteks tema töösuhete või majandusliku või sotsiaalse käitumisega seotud teavet. Isikuandmete mõiste laieneb mis tahes vormis teabele: see võib esineda sõnadena, numbritena, graafiliselt, fotona või helina. Isikuandmetena tuleb käsitleda kõiki andmeid, mis kasvõi kaudseltki on füüsilise isikuga seostatavad.
Seega on isikuandmeteks nii inimese kehakaal (nt osalemine dieediprogrammis), ostuharjumus (kliendikaardi ostud) kui ka perekonnaseis (sh laste arv). Samuti inimese näo ja keha kujutis (foto), asukoht (viibimine spordisaalis) kui ka minevik (mis koolis ta õppis). Üsna keeruline on täna leida ärivaldkonda, kus ei oleks tegemist isikuandmetega.
Seaduse järgi jagunevad isikuandmed tavalisteks ja delikaatseteks isikuandmeteks. Viimaseks on selliseid isikuandmeid, mis paljastavad inimese rassilise või etnilise päritolu, poliitilised vaated, usulised või filosoofilised veendumused, ametiühingusse kuulumise, ning tervislikku seisundit või seksuaalelu. Selliste andmete töötlemisele on kehtestatud hulk erinõudeid ning nende töötlemine väljaspool meditsiinisüsteemi on üsna keeruline. Eestis on kehtestatud delikaatsete isikuandmete töötlejatele lisanõuded, nagu registreerimine DIAT-registris. Lisaks sellele peab antud andmeid töötleval töötajal olema konfidentsiaalsuskohustus, nt on see olemas tervishoiutöötajatel. Samuti tuleb täpselt määratleda, mille jaoks isiku andmeid kasutatakse ning mis eesmärgil. Lisaks sellele tuleb sätestada süsteemist lahkumise tingimused. Selleks et süsteem oleks vastuvõetav isikuandmete kaitse seisukohalt, tuleb volitamata isikute juurdepääs andmetele muuta praktiliselt võimatuks.
Tavaliste isikuandmete puhul puudub registreerimise kohustus, kuid muus osas on töötlemise reeglid ja nõuded suuresti samad.
Teenuse pakkuja jaoks teeb isikuandmete töötlemise keeruliseks asjaolu, et inimene, kelle andmeid töödeldakse, ei pea ise olema oma õigustega kursis. Inimene võib lausa rõõmuga anda enda isikuandmeid töötlemiseks, kuid vaatamata sellele, peab teenuse pakkuja tagama, et kõik isikuandmete kaitse nõuded (eesmärgikohasus, minimaalsus, andmete kvaliteet, turvalisus jne) oleksid täidetud.
Ilma inimese nõusolekuta on isikandmete kogumine ja töötlemine keelatud. Samuti ei ole lubatud isikuandeid koguda ka juhul kui need nn lebavad kõigi nähes, nt sotsiaalmeedia andmed. Vastavad andmeid võib koguda ning neid profileerida ainult sotsiaalmeedia ettevõte, kes on vastava nõusoleku saanud kasutajalt. Lisaks on ka hulga nõudeid sellele, kuidas peab olema isikuandmete töötlemise nõusolek vormistatud (informeeritud nõusolek).
Eraldi nõuded on ka isikuandmete edastamisele välisriiki, seda saab teha kas Andmekaitse Inspektsiooni nõusolekul või siis sellisesse riiki, millel on samaväärne isikuandmete kaitse režiim kui Euroopa Liidus. See kohaldub ka pilvandmetöötluse teenuste kasutusele, nt ei saa hoida isikuandmeid serverites, mis ei asu Euroopa Liidu liikmesriikide territooriumil või Safe Harbor režiimis.
Toomas Seppel,
advokaat,
Hedman Partners
