Aastaraamat 2019

Täna kirjutan neid ridu hoopis teistsugusest maailmast, kui see oli kaks kuud tagasi – kodust, karantiinist, olles osaline ülemaailmse pandeemiaga võitlusest. Nii mõnedki on öelnud, et maailm ei ole enam kunagi selline, milline ta oli enne viirust COVID-19 ning tulevikus hakkamegi rääkima ajast enne ja pärast laastavat viirust. Võibolla tõesti.
Kuna Eesti õigusruumi ei ole e-privaatsusdirektiivi küpsiste sätet üheselt üle võetud, lähtus inspektsioon kuni oktoobris tehtud kohtuotsuseni isikuandmete kaitse üldnormidest, mille järgi ei olnud vaja võtta kasutajalt nõusolekut, kui veebiküpsiste abil ei toimu inimeste tuvastamist ehk isikuandmete töötlemist. Piisas, kui võrgulehtedel oli teave veebiküpsiste kasutamise kohta. Euroopa Kohtu otsus muutis nii mõndagi.
Oluline on rõhutada, et biomeetrilisteks andmeteks loetakse kõiki inimese unikaalseid füüsilisi, füsioloogilisi ja käitumuslikke omadusi ka siis, kui ei ole nimeliselt teada, kellele biomeetria kuulub. Varasemas andmekaitseõiguses käsitleti räsi näiteks tavaliste isikuandmetena.
Inimeste privaatsus oli inspektsioonile edastatud rikkumisteadete järgi ohus 2019. aastal 115. korral, kuna inspektsioon registreeris aasta jooksul selles arvus intsidente.
Intsidente juhtus nii riigi- ja omavalitsusasutustes, tervishoiu,- finants,- transpordi,- side - kui haridusteenusteste valdkonnas. Suur osa nendest leidis aset veebiteenuste osutamisel.
Kuigi ootus Eesti esimese suure trahvi määramiseks oli olemas, ei määratud rikkumiste eest 2019. aastal suurt trahvi. Näiteks jäi selline trahv määramata rattaringluse süsteemis toimunud andmekaitselise rikkumise eest, kus piirduti noomitusega. 
Kuni uue isikuandmete kaitse seaduse (IKS) jõustumiseni 15. jaanuaril 2019 andis inspektsioon lubasid kõikidele teadusuuringutele, sõltumata sellest, kas uuringus kasutati tavalisi või eriliigilisi isikuandmeid. Uus IKS muutis teadusuuringuteks lubade väljastamise korda ja lisandus uus teadusuuringu valdkond - poliitikakujundamise eesmärgil tehtavad uuringud.
EBINi asutamisega selgines mitmeid korralduslike küsimusi seoses eriliigiliste andmetega teadusuuringute läbiviimisel. EBINi loomisega ühendati ka varasemalt Sotsiaalministeeriumi juures tegutsenud biomeditsiiniliste ja inimuuringu eetikaga tegelenud komiteed.
Üleeuroopalise isikuandmete kaitse üldmääruse kehtima hakkamisega tõstatusid siseriiklikus õiguses päevakorda jälgimisseadmete kasutamisega seotud õiguslikud küsimused, kuna enam ei olnud võimalik jälgimisseadmete kasutamisel toetuda varasemalt enimkasutust leidnud üldsõnalisele turvalisuse tagamise eesmärgile, mida võimaldas isikuandmete kaitse seadus. Sellega seoses hakati erasektoris kasutama õigusliku alusena õigustatud huvi, kuid seda puudujääkidega.
Igas olukorras, kus kõikide klientide andmeid soovitakse äriühingu õiguste kaitseks säilitada üldkorras üle kolme aasta, tuleb teha andmetöötlejal väga kaalukas ja põhjalik hindamine selle osas, kas pikem andmete säilitamine sellisel eesmärgil on reaalselt vajalik ja proportsionaalne meede eesmärgi täitmiseks.
Alates 2019. aasta 15. jaanuarist jõustunud isikuandmete kaitse seaduses pikenes võlateabe avalikustamiseks lubatud aeg.
Mida aeg edasi, seda enam on inspektsiooni muutnud murelikuks asjaolu, et sellises õiguslikus olukorras on keeruline ebaseaduslikku tegevust peatada ning seista inimeste õiguse eest mitte saada soovimatuid reklaamteadaandeid. Kui siseriiklik õigus võimaldaks teha haldustrahvi, muutuks menetlus ökonoomsemaks ja inspektsioon saab määrata korduvrikkujale trahvi väikse ajakuluga.
Endiselt vajavad paika loksumist teatud protsessid. Andmekaitseasutuste ühiseks proovikiviks osutusid möödunud aastal ülepiirilised menetlused ja omavaheline koostöö.
Andmekaitse Inspektsioon osaleb Euroopa ja ülemaailmse haardega töörühmades ning teeb koostööd mitmete rahvusvaheliste organisatsioonidega, kuid aastaraamatu artiklis toome välja osalemise töörühmades GPEN ja IWGDPT.
Keegi ilmselt ei kujuta enam ette endist maailma, kus kindlustus, meditsiin, turism, pangandus, turundus ja avalik sektori ei oleks oma teenustega kättesaadav internetist. Kas aga andmetöötlejad on valmis kaitsma inimeste privaatsust? Väljavõtteid inspektsiooni õiguspraktikute menetlustest ja olulisemast selgitustööst isikuandmete kaitse üldmääruse kontekstis.
Inspektsioon kohustas andmetöötlejaid mitmetes järelevalvemenetlustes oluliselt panustama andmetöötluse läbipaistvusesse. Seejuures kontrollis inspektsioon, et andmekaitsetingimused vastaksid täielikult IKÜM-i artiklites 12 – 14 sätestatud nõuetele.
Inspektsiooni menetlusesse jõudis ka selliseid juhtumeid, kus oma pääsu terviseandmete juurde on kuritarvitatud oma lähikondlaste kohta info uurimisel.
Praktikutel tuli selgitada, miks on väär on küsida nõusolekut olukorras, kus tegelikult on isikuandmete töötlemiseks muu õiguslik alus. Selline tegevus on eksitav, sest jätab mulje, et inimesel on otsustusõigus olukorras, kus seda tegelikult ei ole.
* Koolil ei ole õigus küsida tervisetõendile lisaks täpsemat diagnoosi;
* Vanema nõusolek lapse andmete töötlemiseks kehtib ainult selle küsijale.
2019. aastal sai inspektsioon mitmeid sekkumistaotlusi, millele oli vaja reageerida. Üks juhtumitest puudutas kadunud alaealise otsimist, kes oli üles leitud. Alaealine isik oli igati tuvastatav .
* Koolidirektor ei saa koristaja töö kontrollimiseks kasutada turvakaamerat;
* Kõrgkool kohustub tagama privaatsust ka ühiselamus;
* Vilistlaste isikuandmete avaldamisest
* Aastaraamatus pöörab inspektsioon tähelepanu juhtumile, kus korraga oli ohus 10 000 isiku privaatsus ja enamus nendest olid alaealised;
* Korteriühistud saavad töödelda ainult korteriomanike andmeid- minimaalsuse põhimõte.
Kõnesalvestis on oma olemuselt mitte ainult isikuanne, vaid isikuandmete kogu, mille tundlikkus sõltub selle sisust ehk informatsioonist, mida inimene enda kohta avaldab. Olgu selleks näiteks teave inimese elukoha, majandusliku olukorra, tervisliku või psüühilise (hetke)seisundi kohta. Samuti on isikuandmeks ka helistaja hääl.
2019. aasta läbivaks märksõnaks võiks olla uue praktika paika loksumine.

Isikuandmete kaitse üldmääruse (IKÜM) kehtima hakkamine kaotas ära praktiliselt kohustuse taotleda järelevalveasutustelt luba andmete edastamiseks kolmandasse, mittepiisava andmekaitsetasemega välisriiki (edaspidi välisriiki) .
Isikuandmete kaitse üldmääruse (IKÜM) artikli 15 kohaselt on andmesubjektil üldjuhul õigus tutvuda enda kohta kogutud andmetega. Seda õigust võib piirata üksnes siis, kui andmete edastamine kahjustab teiste isikute õigusi ja vabadusi.
Eesti asutused ei saa lähtuda kulutõhususest ja hoiustada andmeid avalikes pilveteenustes. Avalikul sektoril on kohustus ning vastutus, et teabele oleks tagatud õigeaegne juurdepääs ka kriiside ja hädaolukordade ajal ning elutähtsate teenuste toimepidavuse tagamiseks.
Tihti ollakse arvamusel, et kui avalik teave sisaldab isiku nime, siis ei tohi sellisele teabele juurdepääsu võimaldada. Avaliku teabe seaduse tõlgendus tekitas jätkuvalt segadust.

Ülevaade tähelepanekutest avaliku teabe seaduse täitmisel
Põhiseaduse (PS) § 44 lg 1 sätestab riigi- ja kohalike omavalitsuste asutustele kohustuse anda isiku nõudmisel informatsiooni oma tegevuse kohta. Sellest sättest tuleneb ka avaliku teabe seaduse mõte, mille kohaselt on avaliku teabe seaduse eesmärgiks tagada üldiseks kasutamiseks mõeldud teabele avalikkuse ja igaühe juurdepääs ning anda avalikkusele võimalus kontrollida avalike ülesannete täitmist.
Eelmisel aastal registreeriti mitmeid märgukirju kohaliku omavalitsuse volikogu liikmetelt seoses sellega, et vallavalitsus kas ei võimalda neile dokumendiregistrile juurdepääsu või on kehtestanud mingitele kirjadele ebaseaduslikud juurdepääsupiirangud. Teisalt olid vallavalitsused mures, et kui volikogu liikmetele on avaldatud/võimaldatud juurdepääs ka piiranguga teabele, siis avalikustavad volikogu liikmed sellist teavet ka nn oma valijatele, leides, et neil on selleks õiguslik alus.
Avaliku teabe seaduse kohaselt on isikul, kelle õigusi on rikutud teabe kättesaadavuse osas, õigus pöörduda vaidega inspektsiooni poole. Siinkohal tuleb rõhutada, et seadus ei anna ühele poolele ainult õigust ega pane teisele poolele ainult kohustust, vaid mõlemal poolel on nii õigused kui kohustused. Ehk siis selleks , et teabevaldajal oleks arusaadav, millist teavet teabenõudja soovib, tuleb teabenõue esitada võimalikult selgelt.
Möödunud aastal sai inspektsioon ka selliseid kaebusi, mille lahendamiseks tal pädevust ei ole. Näiteks sooviti, et järelevalveasutusena teeks inspektsioon kohtule ettekirjutuse tunnistada kehtetuks kohtutoimikule juurdepääsu pannud kohtu määrus.
2019. aastal juhtus mitmeid andmelekkeid, kus dokumendiregistrites said avalikuks juurdepääsupiiranguga dokumendid. Pisteliste kontrollide käigus selgus, et jätkuvalt ei võimaldata ligipääsu e-kirjadele, millele ei ole kehtestatud juurdepääsupiirangut.
Vastavalt 28.02.2019 jõustunud avaliku teabe seaduse rakendusaktile, milleks oli ministri määrus „Veebilehtede ja mobiilirakenduste ligipääsetavuse nõuded ja ligipääsetavust kirjeldava teabe avaldamise kord“ tuleb teabe valdajatel tagada juurdepääs teabele vastavalt rahvusvaheliste suuniste standardile WCAG (Web Content Accessibility Guidelines ), mis on väljatöötatud veebidele ja mobiilirakendustele.
Siinses peatükis teeme tagasivaate kuuele õigusakti eelnõule, mille kohta jõudis inspektsioon tagasisidet anda.  
2019. aastal jõudsid lõpuni mõned kohtuasjad, mis olid seotud varasemate inspektsiooni toimingute või haldusaktidega. Aastaraamatus anname kolmest lõpuni jõudnud kohtulahendist põhjalikuma ülevaate. 
Inspektsioon sai möödunud aasta jooksul ligi 2400 pöördumist, millest ca 1300 olid selgitustaotlused. Töömahult on see üsna tavaline aasta, kuid samas kujunes sellest murranguline aasta.
Aastakümneid tagaplaanil olnud andmekaitsest on saanud nüüd ka Eestis üks peavooluteemadest, sest probleeme jagub, mille üle arutada. E-posti kirjade saatmise õigsusest kuni andmete mis iganes moel loata töötlemise teemadeni välja. Inimesed mõistavad üha enam, kui oluline on küsida ja kellele missuguseid isikuandmeid jagada.
Vahemikus 1.01 - 31.12. 2019 helistati inspektsiooni infoliinile 1578 korda. Võrreldes 2018. aastaga on kõnede arv mõningal määral vähenenud, sest tolle aasta kohta registreeriti 2556 kõnet.
Soovitused andmetöötlejale!
Tegevus numbrites näeb välja igal aastal kordumatuna, sest ükski aasta ei saagi sarnaneda eelnevatele, kui ühiskond pole täna see, mida ta oli eile. 2019. aasta jätab endast maha osades tegevusvaldkondades kahanevad ja teises osas kasvavad numbrid. Statistikatabel 2019 kohta ja võrdluses varasemate aastatega.
Isikuandmete kaitse üldmäärus sisustas uue mõiste, milleks on andmekaitsespetsialist (ingl. k. DPO ehk Data Protection Officer)

Andmekaitsespetsialistide määramised asutustes ja ettevõtetes 31.12.2019 seisuga:

 

 

 

Loe aastaraamatu PDF versiooni