Andmekaitsest lihtsalt ja lühidalt (legal booster)

  • Published on
    29-May-2015

  • View
    1.848

  • Download
    1

Embed Size (px)

DESCRIPTION

Data protection in Estonia

Transcript

  • 1. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / MARI-LIIS ORAV OKTOOBER 2013 ANDMEKAITSEST: LIHTSALT JA LHIDALT

2. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / LESEHITUS Miks andmekaitse ja miks just praegu? Regulatsioon Eestis ja Euroopa Liidus levaade philistest andmekaitse elementidest Euroopa andmekaitse reformikava Kuumad teemad andmekaitses Kuidas valmistuda tulevikuks juba nd? 3. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / MIKS ANDMEKAITSE JA MIKS JUST PRAEGU? 4. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / MIKS ANDMEKAITSE JA MIKS JUST PRAEGU? Isikuandmed kui uus nafta Big Data Tehnoloogiline areng ja vajadus (nt pilvetehnoloogia) Kaasa toonud vajaduse uuenduste jrgi regulatsioonides nii Euroopas kui ka mujal maailmas: Euroopa andmekaitsereform Euroopa Nukogu Konventsiooni nr 108 uuendamine OECD uuendatud juhised Mitmete riikide esmakordsed andmekaitseseadused (sageli phinevad n- Euroopa mudelil) 5. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / MIKS LDSE ISIKUANDMETE KAITSE TEEMAGA TEGELEDA? Kohustus seadusest Sanktsioonid Vimalik kahju mainele Konkurentsieelis? 6. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / KUIDAS VIVAD ISIKUANDMED SOOVIMATULT AVALIKUKS TULLA? Ei ole ainult IT ksimus ettevttes peab kaitse toimima kigil tasandil, sh organisatsioonilisel Sageli mrav just inimlik faktor: Asjade kaotamine/vargus (mlupulgad, arvutid, telefonid) Lohakus vi vastavate protseduurireeglite puudumine (isikuandmeid sisaldavate dokumentide ebapiisav hvitamine, nt isme perearstikeskus) Hkkimine 7. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / REGULATSIOON EESTIS JA EUROOPA LIIDUS 8. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / REGULATSIOON EUROOPAS EL-i direktiiv 95/46/E (andmekaitsedirektiiv) EL-i direktiiv 2002/58/E (elektroonilise side direktiiv) ldkasutatavate elektrooniliste sideteenuste osutamisel henduse ldkasutatavates sidevrkudes EL-i direktiiv 2006/24/E ldkasutatavate elektrooniliste sideteenuste vi ldkasutatavate sidevrkude pakkujate tegevusega kaasnevate vi nende tdeldud andmete silitamine Vrgu- ja infoturbe direktiivi (nn kberkaitsedirektiivi) eelnu Praegu peavad ainult telekomiettevtted andmete rikkumisest teavitama Ettepanek nimekirja laiendada (nt internetifirmad, pangandus-, energia-, tervisesektor) Teavitama peab juhtumitest, millel on mrkimisvrne mju ettevtte peamise teenuse pakkumisele Lisaks olulisel kohal Euroopa andmekaitseinspektori (EDPS) ja andmekaitsedirektiivi artikli 29 alusel loodud tgrupi (WP29) arvamused ja juhised 9. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / REGULATSIOON EESTIS (1) Isikuandmete kaitse seadus (IKS) Ei kohaldata, kui isikuandmeid ttleb fsiline isik isiklikul otstarbel vi kui isikuandmeid ksnes edastatakse lbi Eesti territooriumi, ilma neid siin ttlemata Ei kohaldata ldiselt ka siis, kui andmesubjekt on oma isikuandmed avalikustanud ise, andnud nusoleku nende avalikustamiseks vi kui isikuandmeid avalikustatakse seaduse alusel (mh ajakirjanduses) Elektroonilise side seadus 10. ptk andmete turvalisus ja kaitse Infohiskonna teenuse seadus 10. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / REGULATSIOON EESTIS (2) Andmekaitseinspektsioon (AKI): IKS, AvTS jt isikuandmete ttlemist ja ldiseks kasutamiseks meldud teabe avalikustamist ja juurdepsu stestavate igusaktide titmise riiklik jrelevalve Delikaatsete isikuandmete ttlejate registreerimine Haldus- vi vrteomenetluse korras karistamine Juhised (nt elektrooniliste kontaktandmete kasutamine otseturustuses; isikuandmete taatlemine tsuhetes; isikuandmete edastamine vlisriiki, turvakaamerate kasutamine jpt) Koost vlisriikidega 11. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / LEVAADE PHILISTEST ANDMEKAITSE ELEMENTIDEST 12. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / PHIMISTED (1) Isikuandmed (1) Mis tahes andmed tuvastatud vi tuvastatava fsilise isiku kohta, sltumata kujust vi vormist Nimi, isikukood, aadress, finantsinfo, haridusinfo, harjumused IP-aadress? Juriidiliste isikute kohta kivad andmed ei ki IKS regulatsiooni alla Tavalised ja delikaatsed isikuandmed 13. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / PHIMISTED (2) Isikuandmed (2) Delikaatsed isikuandmed on: poliitilisi vaateid, usulisi ja maailmavaatelisi veendumusi kirjeldavad andmed, vlja arvatud andmed seadusega ettenhtud korras registreeritud eraiguslike juriidiliste isikute liikmeks olemise kohta; etnilist pritolu ja rassilist kuuluvust kirjeldavad andmed; andmed terviseseisundi vi puude kohta; andmed prilikkuse informatsiooni kohta; biomeetrilised andmed (eelkige srmejlje-, peopesajlje- ja silmaiirisekujutis ning geeniandmed); andmed seksuaalelu kohta; andmed ametihingu liikmelisuse kohta; andmed steo toimepanemise vi selle ohvriks langemise kohta enne avalikku kohtuistungit vi igusrikkumise asjas otsuse langetamist vi asja menetluse lpetamist. 14. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / PHIMISTED (3) Isikuandmed (3) Delikaatsete isikuandmete ttlemine tuleb registreerida AKI-s. Registrikannetel iguslik thendus. Erand: kui on mratud isikuandmete kaitse eest vastutav isik (sltumatu; kontrolliv tegevus; register) ja registreeritud AKI-s Veel erandeid: kui delikaatsed andmed satuvad ktte juhuslikult vi kasutatakse neid sisemiseks tkorralduseks (niteks peetakse tandjana arvestust ttajate haigestumiste le) 15. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / PHIMISTED (4) Ttlemine Iga isikuandmetega tehtav toiming, sh kogumine, salvestamine, korrastamine, silitamine, muutmine ja avalikustamine, juurdepsu vimaldamine, pringu teostamine ja vljavtete tegemine, kasutamine, edastamine, ristkasutamine, hendamine, sulgemine, kustutamine, hvitamine, sltumata toimingute teostamise viisist ja kasutatavatest vahenditest Vastutav ttleja Otsustab isikuandmete ttlemise eesmrgid, tdeldavate isikuandmete koosseisu, ttlemise korra ja viisi ja isikuandmete kolmandatele isikutele leandmise lubamise Kik seadusest tulenevad kohustused on vastutaval ttlejal! Volitatud ttleja Ttleb andmeid vastutava ttleja lesandel haldusakti vi lepingu alusel (nt IT teenus, raamatupidamisteenus) Volitatud ttleja tegevuse eest vastutab lppkokkuvttes vastutav ttleja ks ettevte vib olla nii vastutav kui ka volitatud ttleja oleneb andmetest 16. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / ANDMEKAITSE PHIMTTED Seaduslikkus Eesmrgikohasus Minimaalsus Kasutuse piiramine Andmete kvaliteet Turvalisus Individuaalne osalus 17. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / VASTUTAVA TTLEJA KOHUTUSED (1) Informatsiooni andmine Milliseid andmeid ttlema hakatakse? Mis eesmrgil kasutatakse? Kes kasutavad? Vastutava isiku nimi ja aadress. Kuidas saab andmetele ligi? Millal on igus nuda andmete ttlemise lpetamist, parandamist, sulgemist ja kustutamist? igus prduda AKI vi kohtu poole ja nuda kahju hvitamist Privaatsuspoliitika ei ole kohustuslik, aga soovituslik Nusoleku ksimine Vaba tahe Kirjalikku taasesitamist vimaldavas vormis Informeeritud Vaikimine ja tegevusetus ei ole nusolek Tendamise kohustus ttlejal Selgelt eristatav Delikaatsete isikuandmete puhul kirjalik ja selgelt delikaatsete isikuandmete ttlemiseks andud 18. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / VASTUTAVA TTLEJA KOHUSTUSED (2) Nusolek ei ole vajalik kui: Ttlemine toimub seaduse alusel (nt sideettevtja vib kliendi nusolekuta tdelda ja silitada andmeid, kui see on vajalik kliendile arve esitamiseks, sealhulgas sidumistasude kindlaksmramiseks ja arvestamiseks) vi seadusest tuleneva lesande titmiseks ksikjuhtumil andmesubjekti elu, tervise vi vabaduse kaitseks, kui isikult ei ole vimalik nusolekut saada Andmesubjektiga slmitud lepingu titmiseks vi lepingu titmise tagamiseks (v.a delikaatsed isikuandmed) (nt tleping) Ettevtetele soovitatav leida/kasutada muud alust kui nusolek, sest nusoleku vib alati tagasi vtta 19. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / VASTUTAVA TTLEJA KOHUSTUSED (3) Fsilised, organisatsioonilised ja infotehnilised turvameetmed Kirjalik leping volitatud ttlejaga Delikaatsete isikuandmete ttlemise registreerimine vi isikuandmete kaitse eest vastutava isiku mramine Jlgida isikuandmete ttlemisel kiki andmekaitse phimtteid isikuandmeid tuleb tdelda ainult siis, kui vaja ja ainult sellises mahus nagu vajalik 20. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / ISIKUANDMETE EDASTAMINE VLISRIIKI (1) Teised EL/EM riigid: ei ole vaja rakendada tiendavaid garantiisid Euroopa Komisjoni poolt piisavat isikuandmete kaitse taset pakkuvateks riikideks hinnatud (Andorra, Argentiina, Austraalia, Kanada, veits, Fri saared, Guernsey, Iisrael, Isle of Man, Jersey, Uus-Meremaa, Uruguay): ei ole vaja rakendada tiendavaid garantiisid Kolmandad riigid: AKI loal kui vastutav ttleja garanteerib konkreetsel juhul andmesubjekti iguste ja eraelu puutumatuse kaitse selles riigis vi konkreetsel isikuandmete edastamise juhul on selles riigis tagatud piisav andmekaitse tase: USA Safe Harbour Asjakohased lepingutingimused (tptingimused) (AKI nidis, Euroopa Komisjoni nidis) Binding Corporate Rules 21. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / ISIKUANDMETE EDASTAMINE VLISRIIKI (2) AKI luba ei ole vaja kui Nusolek (peab vastama seaduses toodud tingimustele) ksikjuhtumil andmesubjekti elu jms kaitseks Kui kolmas isik taotleb teavet, mis on saadud vi loodud seaduses vi selle alusel antud igusaktides stestatud avalikke lesandeid tites ja taotletav teave ei sisalda delikaatseid isikuandmeid ning sellele ei ole muul phjusel kehtestatud juurdepsupiirangut Oluline thele panna, et teistes riikides vivad isikuandmete ttlemisele kehtida teised reeglid (nt Saksamaal kohustus mrata isikuandmete kaitse eest vastutav isik; paljudel riikides kikehlmav registreerimiskohustus jne) 22. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / ANDMESUBJEKTI IGUSED Saada teavet ja tema kohta kivaid isikuandmeid Nuda ebaigete isikuandmete parandamist Nuda isikuandmete ttlemise lpetamist, avalikustamist vi neile juurdepsu vimaldamise lpetamist, kogutud isikuandmete kustutamist vi sulgemist Prduda AKI vi kohtu poole Nuda kahju hvitamist 23. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / SANKTSIOONID Kui vastutav ttleja rikub jrgmisi kohustusi: delikaatsete isikuandmete ttlemise registreerimiskohustus, isikuandmete vlisriiki edastamise nuded, andmesubjekti teavitamise kohustus, isikuandmete kaitse turvameetmete nuded, isikuandmete ttlemise nuded, on ette nhtud trahv suuruses Kuni 300 trahvihikut Kui juriidiline isik kuni 32 000 eurot Delikaatsete isikuandmete ebaseadusliku avalikustamise, andmetele juurdepsu vimaldamise vi andmete edastamise eest omakasu eesmrgil vi kui sellega on tekitatud oluline kahju teise isiku seadusega kaitstud igustele vi huvidele karistatakse rahalise karistuse vi kuni heaastase vangistusega (KarS) Teist isikut tuvastavate vi tuvastada vimaldavate isikuandmete tema nusolekuta edastamise, nendele juurdepsu vimaldamise vi nende kasutamise eest eesmrgiga luua teise isikuna esinemise teel temast teadvalt ebaige ettekujutus, kui sellega on tekitatud kahju teise isiku seadusega kaitstud igustele vi huvidele, vi varjata kuritegu karistatakse rahalise karistuse vi kuni kolmeaastase vangistusega (KarS) 24. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / EUROOPA ANDMEKAITSE REFORMIKAVA (SEISUGA OKTOOBER 2013) 25. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / TAUST Euroopa andmekaitsedirektiiv prineb aastast 1995 vahepeal toimunud kiire tehnoloogiline areng tinginud vajaduse uuenduste jrele Eesmrgiks suurendada andmesubjektide kaitset ja igusi ning soodustada siseturu toimimist Rohkem igusselgust ettevtetele (nn one-stop-shop) Vhendada halduskoormust leldine toetus direktiivi uuendamisele, erimeelsus ulatuse ning vormi osas Euroopa Komisjon teeb vga suuri jupingutusi eelnu lbi surumiseks Eesti Euroopa Komisjoni eelnu suhtes vga kriitiline (lereguleerimine, keerukam eri vrtuste kaalumine, mjuanalsi puudumine jms) 26. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / HETKESEIS Euroopa Komisjoni eelnu (jaanuar 2012): Euroopa isikuandmete kaitse ldmruse eelnu Kriminaal- ja politseivaldkonna isikuandmete kaitse direktiivi eelnu Laiaulatuslikud arutelud, arvamused, debatid, suurfirmade ja USA lobi Seadusandlik tavamenetlus: Euroopa Parlament ja EL Nukogu Euroopa Parlamendi juhtkomitee aruande projekt (jaanuar 2013) le 4000 (!) parandusettepaneku Euroopa Parlamendi juhtkomitee aruanne (oktoober 2013) EL Nukogu on pidanud mitmeid arutelusid, aga ei ole hise arvamuseni judnud paljudel liikmesriikidel reserveeringud Oluline thtaeg: aprill 2014 Nukogu ei pruugi juda mis edasi? 27. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / OLULISED ELEMENDID (1) Ekstraterritoriaalne mju mrus kehtib ka ttlejatele vljaspool EL-i, kui nad pakuvad teenuseid EL-is elavatele inimestele vi kui nad jlgivad EL-is elavaid inimesi (profileerimine) Pseudonmsed ja krpteeritud andmed kuuluvad isikuandmete definitsiooni alla, ent nende puhul kehtivad mned erandid Kpsised ja IP-aadressid kui isikuandmed Peamine tegevuskoht piirilestele firmadele lihtsustatud kontseptsioon, kus nad peavad tegemist tegema ainult he andmekaitseasutusega, kes koordineerib td kigi teiste riikide omadega, kus firma tegutseb Isikuandmete vlisriikidesse edastamine Euroopa Komisjoni pdevusotsused ja Safe Harbouri reiim jb kehtima 5 aastaks prast mruse justumist Lepingu tptingimused tuleb le vaadata ja uuesti registreerida 2 aasta jooksul prast mruse justumist Binding Corporate Rules Euroopa Andmekaitse Pitsat kui uus alus 28. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / OLULISED ELEMENDID (2) Selgesnaline (explicit) nusolek Firmade igustatud huvi kui ks ttlemise alus, ent piiratud Ikoonide kasutamine privaatsuseeskirjades igus olla unustatud/igus andmete kustutamisele Vastutava ttleja vastutuskohustus kui eraldi kontseptsioon (accountability) peab vastu vtma vastavad eeskirjad ja juhised ning olema suuteline demonstreerima nende efektiivsust Iga kahe aasta tagune privaatsuseeskirjade ja protseduuride kohustuslik le vaatamine 29. 2014.05.15WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM / OLULISED ELEMENDID (3) Privacy by Design, Privacy by Default Andmete rikkumisest tuleb teavitada vimalikult kiiresti (AKI ja andmesubjekt) Vastutaval ja volitatud ttlejal suurenenud kohustused: Dokumenteerimiskohustus Mjuanalsid Kohustuslik isikuandmete kaitse eest vastutava isiku mramine, kui tegemist avaliku sektoriga, kui ttleja ttleb aasta jooksul rohkem kui 5000 andmesubjekti...