Aastaraamat 2024
Austatud lugejad! Mul on hea meel juhatada sisse meie järjekordne aastaraamat, mis heidab pilgu meie senisele tegevusele ja seab sihid tulevikuks. Andmekaitse ja privaatsuse teemad on juba mõnda aega olnud esiplaanil nii Eestis kui ka kogu maailmas, ja meie asutuse roll nende küsimuste lahendamisel on muutunud olulisemaks kui kunagi varem.
2024. aastal tegeles AKI lisaks järelevalvemenetlustele senisest suuremas mahus ka eri väärteomenetlustega (VTM). Kokku algatas AKI 12 eri väärteomenetlust, millest 9 füüsilise isiku osas ja 3 juriidilise isiku osas, suurem osa menetlustest on veel pooleli. Samuti jätkasime varasemalt alustatud juriidiliste isikute menetlusi, mis jõudsid otsuseni 2024 aastal.
Algatuseks tuleb öelda, et ka telefonikõne salvestisele jääv inimese hääl on isikuanne ja seda ka siis, kui inimene kõnes oma nime või muid isikuandmeid ei maini. Inimese hääl on inimesele ainuomane. Hääle alusel on võimalik isikut identifitseerida sarnaselt sõrmejäljele.
Inspektsioonil on olnud menetlusi e-poodide vastu seoses andmekaitse minimaalsuse põhimõttega. Mis tahes isikuandmete töötlemiseks peab olema õiguslik alus (nõusolek, leping vms) ja konkreetne õiguspärane eesmärk ning arvestada tuleb muu hulgas minimaalsusega.
2024. aastal ei ole menetluste seas aktuaalsust kaotanud andmesubjektide kaebused seoses võlgade avaldamisega maksehäireregistrites. Seadusandja lubab andmesubjekti krediidivõimelisuse hindamise eesmärgil või muul samasugusel eesmärgil võlaandmete avaldamist teistele isikutele maksimaalselt 5 aastat peale kohustuse rikkumise lõppemist või aegumist, kui see ei kahjusta ülemäära andmesubjekti õigusi või vabadusi.
Möödunud aasta üheks eesmärgiks oli tugevdada andmekaitsespetsialistide rolli organisatsioonides, suurendada teadlikkust nende töö ning tähtsuse kohta, samas olla neile ka veel rohkem toeks. Selleks kutsus inspektsioon ellu mitu andmekaitsespetsialiste koondavat võrgustikku, infopäeva ning -seminari.
Lastekaitse olulisust klassikalises võtmes mõistavad ilmselt kõik, kuid tihti unustatakse, et see peab hõlmama ka laste isikuandmete kaitset. Nimelt on isikuandmete kaitse üldmääruse põhjenduspunktis 38 selgitatud, et laste isikuandmed vajavad erilist kaitset, sest lapsed ei pruugi olla piisavalt teadlikud asjaomastest ohtudest, tagajärgedest ja kaitsemeetmetest ning oma õigustest seoses isikuandmete töötlemisega.
Andmekaitse Inspektsioon (AKI) pani möödunud aasta jooksul rõhku tervishoiule ning tervishoiuteenuse osutajate (TTO) käitumisele isikuandmete töötlemisel. Kuivõrd infoturve ja andmekaitse käivad käsikäes, vaatasime senisest põhjalikumalt otsa ka TTO-de infosüsteemidele.
2023. aasta lõpus käis AKI kontrollkäigul nelja Eesti suurema haigla erakorralise meditsiini osakonna (EMO) ootealal ja registratuuris, eesmärgiga saada aru, kuidas täpsemalt on erakorralise meditsiini osakondades nendel aladel tagatud patsientide kohapealne privaatsus ning millised dokumendid on selle reguleerimiseks koostatud.
Andmekaitse Inspektsiooni (AKI) 2024. aasta fookusteema oli tervishoid ning seega suunasime rohkem tegevusi ja koolitusi tervishoiuteenuse osutajatele (TTO). Üldjoontes algasid koolitused alati õiguslike aluste selgitamisega ehk millal võib TTO ilma nõusolekuta patsiendi andmeid tervise infosüsteemis (TIS, patsientidele tuntud ka läbi juurdepääsu „Terviseportaal“) töödelda.
Andmekaitse Inspektsiooni (AKI) eesmärk on veenduda, et asutused ja ettevõtted järgivad andmekaitsereegleid. Selleks viisime omal algatusel neljas hambaravikliinikus läbi andmekaitseauditi, et hinnata isikuandmete kaitse üldmääruse (IKÜM) täitmist. On oluline, et kõik Eesti organisatsioonid kaitsevad tõhusalt isikuandmeid ja austavad üksikisikute eraelu puutumatust.
Perioodil juuli 2023 kuni oktoober 2024 viis inspektsioon läbi tutvumislehekülgede seire, kus fookusesse olid võetud internetileheküljed, mis võimaldavad inimestel erinevatel eesmärkidel omavahel tutvuda.
AKI algatas 2024. aastal seire, et saada ülevaade, kas ja kuidas täidetakse avalikus sektoris isikuandmete kaitse üldmääruses sätestatud kohustust dokumenteerida kõik isikuandmetega seotud rikkumised. Seire raames küsiti asutustelt infot selle kohta, kuidas dokumenteeritakse isikuandmete töötlemisega seotud rikkumisi ja kui palju on asutuses rikkumisi olnud.
2023. aasta aastaraamatus kajastatud ITK vaidlus jõudis lõpuks ka Riigikohtu kohtunike lauale, kes seoses väärteo aegumisega pidid väärteomenetluse lõpetama. Siiski andis Riigikohus mõningad olulised seisukohad, millega saab edaspidi menetlustes arvestada.
Avalik teave on tänapäeval paljude kodanike jaoks iseenesestmõistetavaks muutunud ning selle kättesaadavuse lihtsus on seejuures oluline aspekt. Avatud ja läbipaistev otsuste tegemine on iga demokraatliku süsteemi alus, st kodanikel on õigus teada, kuidas ja miks otsuseid tehakse.
Avaliku sektori asutused töötlevad oma tegevuse käigus suurel hulgal eri andmeid, sealhulgas isikuandmeid, aga ka eriliiki isikuandmeid . Tegemist on avaliku sektori andmetöötlusega ehk avaliku teabe töötlemisega.
2024. aastal teavitasid ettevõtted ja asutused meid isikuandmete kaitse nõuete rikkumistest kokku 184 korral. Juhtumid tõid esile organisatsioonide turvapuudujäägid ning vajaduse täiendavate korralduslike ja tehniliste kaitsemeetmete järele. Teavitatud rikkumistest oli puudutatud ca 910000 inimest. Seda nii Eestis kui välisriikides.
18. juunil 2021 andsid Euroopa Andmekaitsenõukogu (EAKN) ja Euroopa andmekaitseinspektor (EDPS) välja ühisarvamuse, milles kirjeldatakse kavandatava tehisintellekti (AI) määruse olulisi andmekaitsemeetmeid. Selle eesmärk on tasakaalustada tehisintellekti innovatsiooni ja põhiõiguste kaitset.
Euroopa Andmekaitsenõukogu on alates 2022. aastast koordineerinud liikmesriikide järelevalveasutuste ühistegevust, mille raames keskendutakse ühe kokkulepitud aktuaalse andmekaitse valdkonna rakendamise uurimisele. 2022. aastal keskenduti ühistegevuses pilveteenuste kasutamisele avalikus sektoris ja 2023. aastal andmekaitsespetsialistide rollile ning tegevusele.
Euroopa Andmekaitsenõukogu võttis oktoobris vastu arvamuse nr 22/2024, milles selgitatakse teatavaid kohustusi, mis lasuvad volitatud töötlejatel ja nende alamtöötlejatel. Arvamus põhineb Taani järelevalveasutuse taotlusel ning selles täpsustatakse vastutavate ja volitatud töötlejate ning nende alamtöötlejate kohustuste ulatust ning jaotumist eri osapoolte vahel.
Augusti alguses kiitis Andmekaitse Inspektsioon esimest korda pädeva asutusena heaks kontsernisisesed eeskirjad. Käesolevas artiklis antakse ülevaade kontsernisiseste eeskirjade olemusest ning nende heakskiitmisele eelnevast menetlusest.
Isikuandmete kaitse üldmääruse (IKÜM) artikkel 6 lõige 1 näeb ette loetelu erinevatest õiguslikest alustest, mille olemasolu korral loetakse isikuandmete töötlemine seaduslikuks. Üheks nendest alustest on õigustatud huvi.
2024. a tõi Euroopa Andmekaitsenõukogus (EAKN) kaasa mitu olulist arutelu, millel on reaalne mõju nii andmesubjektide õigustele kui ka sellele, kuidas ettevõtjad peavad oma tegevuses põhiõigustega arvestama. Üks nendest aruteludest päädis 17. aprillil vastu võetud EAKN-i arvamusega, mis käsitleb nõusoleku kehtivust isikuandmete töötlemiseks käitumusliku reklaami eesmärgil nn „nõustu või maksa” mudelite kontekstis, mida kasutavad suured veebiplatvormid.
