Andmekaitsest lihtsalt ja lühidalt (legal booster)

2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /

MARI-LIIS ORAV

OKTOOBER 2013

ANDMEKAITSEST:

LIHTSALT JA LÜHIDALT


ÜLESEHITUS

Miks andmekaitse ja miks just praegu?

Regulatsioon Eestis ja Euroopa Liidus

Ülevaade põhilistest andmekaitse elementidest

Euroopa andmekaitse reformikava

Kuumad teemad andmekaitses

Kuidas valmistuda tulevikuks juba nüüd?


MIKS ANDMEKAITSE JA

MIKS JUST PRAEGU?


MIKS ANDMEKAITSE JA MIKS JUST PRAEGU?

Isikuandmed kui „uus nafta“

Big Data

Tehnoloogiline areng ja vajadus (nt pilvetehnoloogia)

Kaasa toonud vajaduse uuenduste järgi regulatsioonides nii Euroopas kui ka mujal

maailmas:

Euroopa andmekaitsereform

Euroopa Nõukogu Konventsiooni nr 108 uuendamine

OECD uuendatud juhised

Mitmete riikide esmakordsed andmekaitseseadused (sageli põhinevad n-ö

Euroopa mudelil)


MIKS ÜLDSE ISIKUANDMETE KAITSE TEEMAGA TEGELEDA?

Kohustus seadusest

Sanktsioonid

Võimalik kahju mainele

Konkurentsieelis?


KUIDAS VÕIVAD ISIKUANDMED SOOVIMATULT AVALIKUKS TULLA?

Ei ole ainult IT küsimus – ettevõttes peab kaitse toimima kõigil tasandil, sh

organisatsioonilisel

Sageli määrav just inimlik faktor:

Asjade kaotamine/vargus (mälupulgad, arvutid, telefonid)

Lohakus või vastavate protseduurireeglite puudumine (isikuandmeid sisaldavate

dokumentide ebapiisav hävitamine, nt Õismäe perearstikeskus)

Häkkimine


REGULATSIOON EESTIS

JA EUROOPA LIIDUS


REGULATSIOON EUROOPAS

EL-i direktiiv 95/46/EÜ (andmekaitsedirektiiv)

EL-i direktiiv 2002/58/EÜ (elektroonilise side direktiiv)

Üldkasutatavate elektrooniliste sideteenuste osutamisel ühenduse üldkasutatavates sidevõrkudes

EL-i direktiiv 2006/24/EÜ

Üldkasutatavate elektrooniliste sideteenuste või üldkasutatavate sidevõrkude pakkujate tegevusega kaasnevate või nende töödeldud andmete säilitamine

Võrgu- ja infoturbe direktiivi (nn küberkaitsedirektiivi) eelnõu

Praegu peavad ainult telekomiettevõtted andmete rikkumisest teavitama

Ettepanek nimekirja laiendada (nt internetifirmad, pangandus-, energia-, tervisesektor)

Teavitama peab juhtumitest, millel on märkimisväärne mõju ettevõtte peamise teenuse pakkumisele

Lisaks olulisel kohal Euroopa andmekaitseinspektori (EDPS) ja andmekaitsedirektiivi artikli 29 alusel loodud töögrupi (WP29) arvamused ja juhised


REGULATSIOON EESTIS (1)

Isikuandmete kaitse seadus (IKS)

Ei kohaldata, kui isikuandmeid töötleb füüsiline isik isiklikul otstarbel või kui

isikuandmeid üksnes edastatakse läbi Eesti territooriumi, ilma neid siin

töötlemata

Ei kohaldata üldiselt ka siis, kui andmesubjekt on oma isikuandmed

avalikustanud ise, andnud nõusoleku nende avalikustamiseks või kui

isikuandmeid avalikustatakse seaduse alusel (mh ajakirjanduses)

Elektroonilise side seadus

10. ptk – andmete turvalisus ja kaitse

Infoühiskonna teenuse seadus


REGULATSIOON EESTIS (2)

Andmekaitseinspektsioon (AKI):

IKS, AvTS jt isikuandmete töötlemist ja üldiseks kasutamiseks mõeldud teabe

avalikustamist ja juurdepääsu sätestavate õigusaktide täitmise riiklik

järelevalve

Delikaatsete isikuandmete töötlejate registreerimine

Haldus- või väärteomenetluse korras karistamine

Juhised (nt elektrooniliste kontaktandmete kasutamine otseturustuses;

isikuandmete taatlemine töösuhetes; isikuandmete edastamine välisriiki,

turvakaamerate kasutamine jpt)

Koostöö välisriikidega


ÜLEVAADE PÕHILISTEST

ANDMEKAITSE

ELEMENTIDEST


PÕHIMÕISTED (1)

Isikuandmed (1)

Mis tahes andmed tuvastatud või tuvastatava füüsilise isiku kohta, sõltumata

kujust või vormist

Nimi, isikukood, aadress, finantsinfo, haridusinfo, harjumused

IP-aadress?

Juriidiliste isikute kohta käivad andmed ei käi IKS regulatsiooni alla

„Tavalised“ ja delikaatsed isikuandmed


PÕHIMÕISTED (2)

Isikuandmed (2)

Delikaatsed isikuandmed on:

poliitilisi vaateid, usulisi ja maailmavaatelisi veendumusi kirjeldavad andmed, välja arvatud andmed seadusega ettenähtud korras registreeritud eraõiguslike juriidiliste isikute liikmeks olemise kohta;

etnilist päritolu ja rassilist kuuluvust kirjeldavad andmed;

andmed terviseseisundi või puude kohta;

andmed pärilikkuse informatsiooni kohta;

biomeetrilised andmed (eelkõige sõrmejälje-, peopesajälje- ja silmaiirisekujutis ning geeniandmed);

andmed seksuaalelu kohta;

andmed ametiühingu liikmelisuse kohta;

andmed süüteo toimepanemise või selle ohvriks langemise kohta enne avalikku kohtuistungit või õigusrikkumise asjas otsuse langetamist või asja menetluse lõpetamist.


PÕHIMÕISTED (3)

Isikuandmed (3)

Delikaatsete isikuandmete töötlemine tuleb registreerida AKI-s. Registrikannetel

õiguslik tähendus.

Erand: kui on määratud isikuandmete kaitse eest vastutav isik (sõltumatu;

kontrolliv tegevus; register) ja registreeritud AKI-s

Veel erandeid: kui delikaatsed andmed satuvad kätte juhuslikult või kasutatakse

neid sisemiseks töökorralduseks (näiteks peetakse tööandjana arvestust töötajate

haigestumiste üle)


PÕHIMÕISTED (4)

Töötlemine

Iga isikuandmetega tehtav toiming, sh kogumine, salvestamine, korrastamine, säilitamine, muutmine ja avalikustamine, juurdepääsu võimaldamine, päringu teostamine ja väljavõtete tegemine, kasutamine, edastamine, ristkasutamine, ühendamine, sulgemine, kustutamine, hävitamine, sõltumata toimingute teostamise viisist ja kasutatavatest vahenditest

Vastutav töötleja

Otsustab isikuandmete töötlemise eesmärgid, töödeldavate isikuandmete koosseisu, töötlemise korra ja viisi ja isikuandmete kolmandatele isikutele üleandmise lubamise

Kõik seadusest tulenevad kohustused on vastutaval töötlejal!

Volitatud töötleja

Töötleb andmeid vastutava töötleja ülesandel haldusakti või lepingu alusel (nt IT teenus, raamatupidamisteenus)

Volitatud töötleja tegevuse eest vastutab lõppkokkuvõttes vastutav töötleja

Üks ettevõte võib olla nii vastutav kui ka volitatud töötleja – oleneb andmetest


ANDMEKAITSE PÕHIMÕTTED

Seaduslikkus

Eesmärgikohasus

Minimaalsus

Kasutuse piiramine

Andmete kvaliteet

Turvalisus

Individuaalne osalus


VASTUTAVA TÖÖTLEJA KOHUTUSED (1)

Informatsiooni andmine

Milliseid andmeid töötlema hakatakse? Mis eesmärgil kasutatakse? Kes kasutavad? Vastutava isiku nimi ja aadress. Kuidas saab andmetele ligi? Millal on õigus nõuda andmete töötlemise lõpetamist, parandamist, sulgemist ja kustutamist? Õigus pöörduda AKI või kohtu poole ja nõuda kahju hüvitamist

Privaatsuspoliitika ei ole kohustuslik, aga soovituslik

Nõusoleku küsimine

Vaba tahe

Kirjalikku taasesitamist võimaldavas vormis

Informeeritud

Vaikimine ja tegevusetus ei ole nõusolek

Tõendamise kohustus töötlejal

Selgelt eristatav

Delikaatsete isikuandmete puhul kirjalik ja selgelt delikaatsete isikuandmete töötlemiseks andud


VASTUTAVA TÖÖTLEJA KOHUSTUSED (2)

Nõusolek ei ole vajalik kui:

Töötlemine toimub seaduse alusel (nt sideettevõtja võib kliendi nõusolekuta

töödelda ja säilitada andmeid, kui see on vajalik kliendile arve esitamiseks,

sealhulgas sidumistasude kindlaksmääramiseks ja arvestamiseks) või seadusest

tuleneva ülesande täitmiseks

Üksikjuhtumil andmesubjekti elu, tervise või vabaduse kaitseks, kui isikult ei

ole võimalik nõusolekut saada

Andmesubjektiga sõlmitud lepingu täitmiseks või lepingu täitmise tagamiseks

(v.a delikaatsed isikuandmed) (nt tööleping)

Ettevõtetele soovitatav leida/kasutada muud alust kui nõusolek, sest nõusoleku

võib alati tagasi võtta


VASTUTAVA TÖÖTLEJA KOHUSTUSED (3)

Füüsilised, organisatsioonilised ja infotehnilised turvameetmed

Kirjalik leping volitatud töötlejaga

Delikaatsete isikuandmete töötlemise registreerimine või isikuandmete kaitse eest

vastutava isiku määramine

Jälgida isikuandmete töötlemisel kõiki andmekaitse põhimõtteid – isikuandmeid

tuleb töödelda ainult siis, kui vaja ja ainult sellises mahus nagu vajalik


ISIKUANDMETE EDASTAMINE VÄLISRIIKI (1)

Teised EL/EMÜ riigid: ei ole vaja rakendada täiendavaid garantiisid

Euroopa Komisjoni poolt piisavat isikuandmete kaitse taset pakkuvateks riikideks

hinnatud (Andorra, Argentiina, Austraalia, Kanada, Šveits, Fääri saared, Guernsey,

Iisrael, Isle of Man, Jersey, Uus-Meremaa, Uruguay): ei ole vaja rakendada

täiendavaid garantiisid

Kolmandad riigid: AKI loal kui vastutav töötleja garanteerib konkreetsel juhul

andmesubjekti õiguste ja eraelu puutumatuse kaitse selles riigis või konkreetsel

isikuandmete edastamise juhul on selles riigis tagatud piisav andmekaitse tase:

USA Safe Harbour

Asjakohased lepingutingimused (tüüptingimused) (AKI näidis, Euroopa Komisjoni

näidis)

Binding Corporate Rules


ISIKUANDMETE EDASTAMINE VÄLISRIIKI (2)

AKI luba ei ole vaja kui

Nõusolek (peab vastama seaduses toodud tingimustele)

Üksikjuhtumil andmesubjekti elu jms kaitseks

Kui kolmas isik taotleb teavet, mis on saadud või loodud seaduses või selle

alusel antud õigusaktides sätestatud avalikke ülesandeid täites ja taotletav

teave ei sisalda delikaatseid isikuandmeid ning sellele ei ole muul põhjusel

kehtestatud juurdepääsupiirangut

Oluline tähele panna, et teistes riikides võivad isikuandmete töötlemisele

kehtida teised reeglid (nt Saksamaal kohustus määrata isikuandmete kaitse eest

vastutav isik; paljudel riikides kõikehõlmav registreerimiskohustus jne)


ANDMESUBJEKTI ÕIGUSED

Saada teavet ja tema kohta käivaid isikuandmeid

Nõuda ebaõigete isikuandmete parandamist

Nõuda isikuandmete töötlemise lõpetamist, avalikustamist või neile juurdepääsu

võimaldamise lõpetamist, kogutud isikuandmete kustutamist või sulgemist

Pöörduda AKI või kohtu poole

Nõuda kahju hüvitamist


SANKTSIOONID

Kui vastutav töötleja rikub järgmisi kohustusi: delikaatsete isikuandmete töötlemise registreerimiskohustus, isikuandmete välisriiki edastamise nõuded, andmesubjekti teavitamise kohustus, isikuandmete kaitse turvameetmete nõuded, isikuandmete töötlemise nõuded, on ette nähtud trahv suuruses

Kuni 300 trahviühikut

Kui juriidiline isik – kuni 32 000 eurot

Delikaatsete isikuandmete ebaseadusliku avalikustamise, andmetele juurdepääsu võimaldamise või andmete edastamise eest omakasu eesmärgil või kui sellega on tekitatud oluline kahju teise isiku seadusega kaitstud õigustele või huvidele – karistatakse rahalise karistuse või kuni üheaastase vangistusega (KarS)

Teist isikut tuvastavate või tuvastada võimaldavate isikuandmete tema nõusolekuta edastamise, nendele juurdepääsu võimaldamise või nende kasutamise eest eesmärgiga luua teise isikuna esinemise teel temast teadvalt ebaõige ettekujutus, kui sellega on tekitatud kahju teise isiku seadusega kaitstud õigustele või huvidele, või varjata kuritegu karistatakse rahalise karistuse või kuni kolmeaastase vangistusega (KarS)


EUROOPA ANDMEKAITSE

REFORMIKAVA (SEISUGA

OKTOOBER 2013)


TAUST

Euroopa andmekaitsedirektiiv pärineb aastast 1995 – vahepeal toimunud kiire

tehnoloogiline areng tinginud vajaduse uuenduste järele

Eesmärgiks suurendada andmesubjektide kaitset ja õigusi ning soodustada siseturu

toimimist

Rohkem õigusselgust ettevõtetele (nn one-stop-shop)

Vähendada halduskoormust

Üleüldine toetus direktiivi uuendamisele, erimeelsus ulatuse ning vormi osas

Euroopa Komisjon teeb väga suuri jõupingutusi eelnõu läbi surumiseks

Eesti Euroopa Komisjoni eelnõu suhtes väga kriitiline (ülereguleerimine,

keerukam eri väärtuste kaalumine, mõjuanalüüsi puudumine jms)


HETKESEIS

Euroopa Komisjoni eelnõu (jaanuar 2012):

Euroopa isikuandmete kaitse üldmääruse eelnõu

Kriminaal- ja politseivaldkonna isikuandmete kaitse direktiivi eelnõu

Laiaulatuslikud arutelud, arvamused, debatid, suurfirmade ja USA lobi

Seadusandlik tavamenetlus: Euroopa Parlament ja EL Nõukogu

Euroopa Parlamendi juhtkomitee aruande projekt (jaanuar 2013)

Üle 4000 (!) parandusettepaneku

Euroopa Parlamendi juhtkomitee aruanne (oktoober 2013)

EL Nõukogu on pidanud mitmeid arutelusid, aga ei ole ühise arvamuseni jõudnud – paljudel liikmesriikidel reserveeringud

Oluline tähtaeg: aprill 2014

Nõukogu ei pruugi jõuda mis edasi?


OLULISED ELEMENDID (1)

Ekstraterritoriaalne mõju – määrus kehtib ka töötlejatele väljaspool EL-i, kui nad pakuvad teenuseid EL-is elavatele inimestele või kui nad jälgivad EL-is elavaid inimesi (profileerimine)

Pseudonüümsed ja krüpteeritud andmed kuuluvad isikuandmete definitsiooni alla, ent nende puhul kehtivad mõned erandid

Küpsised ja IP-aadressid kui isikuandmed

„Peamine tegevuskoht“ – piiriülestele firmadele lihtsustatud kontseptsioon, kus nad peavad tegemist tegema ainult ühe andmekaitseasutusega, kes koordineerib tööd kõigi teiste riikide omadega, kus firma tegutseb

Isikuandmete välisriikidesse edastamine

Euroopa Komisjoni pädevusotsused ja Safe Harbouri režiim jääb kehtima 5 aastaks pärast määruse jõustumist

Lepingu tüüptingimused tuleb üle vaadata ja uuesti registreerida 2 aasta jooksul pärast määruse jõustumist

Binding Corporate Rules

„Euroopa Andmekaitse Pitsat“ kui uus alus



Selgesõnaline (explicit) nõusolek

Firmade õigustatud huvi kui üks töötlemise alus, ent piiratud

Ikoonide kasutamine privaatsuseeskirjades

Õigus olla unustatud/õigus andmete kustutamisele

Vastutava töötleja vastutuskohustus kui eraldi kontseptsioon (accountability) –

peab vastu võtma vastavad eeskirjad ja juhised ning olema suuteline

demonstreerima nende efektiivsust

Iga kahe aasta tagune privaatsuseeskirjade ja –protseduuride kohustuslik üle

vaatamine



Privacy by Design, Privacy by Default

Andmete rikkumisest tuleb teavitada võimalikult kiiresti (AKI ja andmesubjekt)

Vastutaval ja volitatud töötlejal suurenenud kohustused:

Dokumenteerimiskohustus

Mõjuanalüüsid

Kohustuslik isikuandmete kaitse eest vastutava isiku määramine, kui tegemist avaliku sektoriga, kui töötleja töötleb aasta jooksul rohkem kui 5000 andmesubjekti andmeid, kui töötleja töötleb delikaatseid isikuandmeid või kui töötlemine, oma olemuselt, sisaldab isikute jälgimist

Eelnev konsultatsioon ja luba AKI-lt

Detailsem turvameetmete kirjeldus

Väga kõrged sanktsioonid: 100 mln eurot või 5% ettevõtte ülemaailmsest käibest, kumb iganes on suurem


KUUMAD TEEMAD


KUUMAD TEEMAD ANDMEKAITSES TÄNA

Mobiilirakendused

Hollandi andmekaitseinspektsiooni WhatsAppi juhtum; Jay-Z

Palju juhiseid

Pilvetöötlus

Küpsised

BYOD (Bring Your Own Device)

Andmete säilitamine raskete kuritegude uurimiseks (data retention)


MIDA TEHA JUBA TÄNA?


Viia tegevus kooskõlla kehtiva IKS-iga:

Registreerida delikaatsete andmete töötlemine või nimetada isikuandmete kaitse eest vastutav isik

Veenduda, et andmeid ei töödelda rohkem kui vaja ning et iga töötlemise jaoks oleks olemas alus

Veenduda, et oleksid paigas asjakohased lepingud volitatud töötlejatega

Veenduda, et kõik isikuandmete edastamised välisriikidesse oleksid asjakohasel alusel ja asjakohaste tagatistega

Veenduda, et andmete turvalisus oleks igati tagatud (nii tehnoloogiliselt kui ka organisatsiooniliselt)

See eeldab arusaama oma ettevõtte isikuandmete töötlemisest (inventuur), võimalike ohtude teadvustamist ning oma töötajate koolitamist

Vt ka AKI „Eneseabi küsimustik“


Valmistuda tulevikuks ja Euroopa isikuandmete kaitse üldmääruseks (tuleb mingil –

kehtivast IKS-st rangemal kujul – ühel hetkel niikuinii):

Selgitustöö! Palju kontseptsioone, mis Eesti ettevõtetele võõrad

Inventuur

Protseduurid, juhised, põhimõtted, koolitused


AITÄH!

Law

Andmekaitsest lihtsalt ja lühidalt (legal booster)