Andmekaitsereform lõhub isikuandmete kaubaturul monopole

Meie büroo partner Mari Matjus kirjutas Äripäevas EL-i uuest nõudest, mille kohaselt peavad isikuandmeid koguvad teenusepakkujad (nt Facebook) võimaldama kasutaja soovil paari klikiga kõigi andmete ühekorraga ülekantavust teise teenusepakkuja (nt LinkedIn, Google+) veebilehele. 

Ainult 15% eurooplastest tunneb, et neil on täielik kontroll oma isikuandmete üle ning 2/3 jaoks on oluline, et neil oleks võimalus kanda üle isiklikku informatsiooni ühelt teenusepakkujalt teisele. See on statistika, mis tuleneb mitmes Euroopa riigis läbiviidud uuringust inimeste suhtumise kohta oma isikuandmete töötlemisse. 2018. aastal jõustuva andmekaitsemääruse üks peamisi eesmärke on tuua isikuandmete üle kontroll tagasi indiviidi kätte.

Kaalukaussi kallutab privaatsus, mitte kogunenud andmete hulk

Kuigi suures osas sõnastab määrus juba väljakujunenud praktikat, on siiski sisse toodud mõned täiesti uued õigused. Neist üheks on inimese õigus oma andmeid üle kanda ehk viia kogu enda kohta salvestatud teave üle teise teenusepakkuja juurde. Vana direktiiv on lubanud isikuandmetel saavutada väärtusliku kauba staatuse, mille alusel profileeritakse ning arendatakse aina uusi ja individuaalsemaid teenuseid. Samal ajal aga hoitakse kliente nii-öelda lock-in situatsioonis, kus neil ei ole võimalust vahetada teenusepakkujat, sest liiga palju nende andmeid on aja jooksul vana pakkuja juurde kogunenud.

Kõige lihtsama näitena on tegemist sotsiaalvõrgustike probleemiga. Ilmselt inimest häirib, et ta ei tea kuidas Facebook isikuandmeid töötleb, aga ta ei saa ka midagi sinna parata, sest ainus alternatiiv on loobuda sotsiaalvõrgustikust üldse. Kui inimestel oleks võimalik koos kõikide kontaktide, piltide, vestluste ja eelistuste profileerimise tulemustega kolida ümber uude turvalisemasse sotsiaalvõrgustikku, siis ilmselt nad teeksid seda. Uus andmekaitsemäärus koos digitaalse ühisturu strateegiaga seda silmas peabki. Selles mõttes pürgib andmekaitsemäärus tarbijaõiguste ja konkurentsiõiguse sfääri, lukustades lahti valdkondi, kus kogu innovatsioon on koondunud isikuandmete monopoli kätte.

Mida see tähendab ettevõtja jaoks? Selle reegli täpne mõju on veel etteaimamatu, kuid on tõenäoline, et see mõju on väga suur. Uus õigus parendab konkurentsi ja innovatsiooni pea kõigis sektorites, mis puutuvad kokku isikuandmetega. Andmete ülekandmise õigusega luuakse võimalus idufirmadele ja väiksematele ettevõtetele pääseda ligi turgudele, mida hetkel veel valitsevad tehnikahiiglased.

Pooleteise aastaga on vaja ületada õiguslikud ja tehnilised katsumused

Ettevõtjal, kes aga on juba tegev näiteks e-kaubanduses, kommunikatsioonisüsteemide turul (näiteks Fleep, Slack) või muul viisil kasutab isikuandmete töötlemist oma peamise teenuse väljundina ja on kogunud arvestataval hulgal väärtuslikke andmeid klientide käitumismustrite kohta, tuleb arvestada uute mängureeglitega. Uue andmekaitsemääruse järgi on klient kuningas, kes ka faktiliselt teostab võimu. Seega igal ettevõtjal tasub juba praegu mõelda, mida tähendab kaubanduses see, kui klient võib küsida koopia kõigist isikuandmetest, mis on tema kohta kogutud, viia see konkurendi juurde ja nõuda vanalt teenusepakkujalt enda andmete kustutamist.

Peale isikuandmete ülekantavuse üldise kontseptsiooni tulenevad sellest ettevõtjatele veel mitmed õiguslikud ja tehnilised murekohad, millega tuleks juba varakult tegelema hakata. Uus andmekaitsemäärus näeb ette, et inimesel on õigus saada teda puudutavaid isikuandmeid struktureeritud, üldkasutatavas vormingus ning masinloetaval kujul. See esimene nõue võib olla juba tehniline väljakutse: kas ettevõttel on võimalik anda inimesele koopia kõigist tema isikuandmetest ning kas ettevõtte infosüsteemid saavad sellega hakkama? Samal ajal tuleb kindlasti mõelda, kuidas oma intellektuaalset omandit andmete ülekandmisel kaitsta. Probleemina kerkib üles ka kolmandate isikute õiguste kaitse küsimus. Andmete ülekandmine ei tohi kaasa tuua olukorda, kus avalikustatakse või muul moel rikutakse kolmandate isikute andmekaitsest tulenevaid õigusi.

Inimese õigus saada teda puudutavaid isikuandmeid või nõuda tema isikuandmete töötlejalt andmete otse edastamist teisele töötlejale ei peaks tekitama ettevõtetele kohustust võtta kasutusele või hoida töös tehniliselt ühilduvaid andmetöötlussüsteeme. Teisest küljest, kui see on aga tehniliselt võimalik, peab andmete töötleja edastama andmed otse teisele ettevõttele. Samuti võib inimene andmete ülekantavust kasutada koos andmete kustutamise, töötlemise piiramise ja muude nõuetega.

Andmete ülekantavus on vaja tagada pea kõigil töötlejatel

Uus andmesubjektide õigus puudutab kõiki isikuid, kes töötlevad inimeste andmeid nõusoleku alusel või kui see on vajalik lepingu täitmiseks. Andmete ülekantavuse nõue ei peaks olema kohaldatav eelkõige siis, kui isikuandmete töötlemine on vajalik ettevõtte juriidilise kohustuse täitmiseks või avalikes huvides oleva ülesande täitmiseks. Seega jäävad nõudest puutumata näiteks tervishoiuteenuse osutajad ulatuses, kus neil on kohustus patsientide andmeid töödelda.

Vaja on selget tegevusplaani

Uue andmekaitsemäärusega kaasnevad hiigeltrahvid peakohal hõljumas, tuleks esiteks üle vaadata või koostada ettevõttesisesed isikuandmete kaitse korrad. Seejärel tuleks üle vaadata sisseostetud teenuse osutamise lepingud isikuandmete volitatud töötlejatega. Juhul kui isikuandmete töötlemine toimub ettevõttes suures ulatuses või kui võetakse kasutusele andmetöötluseks uus tehnoloogia, on ettevõtetel kohustus koostada põhjalik andmekaitsealane mõjuhinnang, kus tuleb ka näidata koos süsteemide protsesside kirjeldustega, kuidas on tagatud kõik määrusest tulenevad õigused, k.a õigus andmete ülekantavusele. Kõige keerulisem on seejuures kindlustada, et andmed, mis seonduvad kolmandate osapooltega, ei satuks andmete sekka, mida andmete küsijale avaldatakse.

Prindi