Euroopa Andmekaitsenõukogu ja „one stop shop“ käivitamine Eesti vaatest

Kui aastat 2018 võis andmekaitse järelevalveasutuste jaoks nimetada tänu isikuandmete kaitse üldmääruse (IKÜM) kehtimahakkamisele murranguliseks, siis 2019. aasta näitas, et nii mitmedki uued nõuded (nt rikkumisteated) on muutumas tavapäraseks. Kuid endiselt vajavad paika loksumist teatud protsessid, sest selleks ongi vaja pikemat ajaperioodi. Andmekaitseasutuste ühiseks proovikiviks osutusid möödunud aastal ülepiirilised menetlused ja omavaheline koostöö.

Koostöö on üha enam oluline, sest tehnoloogiaajastul hägustunud riikide piirid on loonud olukorra, kus teenusepakkujad ei piiritle ennast vaid ühe riigiga, vaid vaatavad ka oma koduriigist väljapoole, osutades teenuseid nii Euroopa Liidu sees kui ka väljaspool liitu asuvates riikides.

Teenuse osutamine nõuab isikuandmete töötlemist. Seepärast on IKÜM-s ettenähtud omad tingimused ja kord, kui peaks toimuma ülepiiriline andmetöötluse intsident, sh kui inimene tunneb, et tema õigusi rikub andmetöötleja, kes üldse ei asugi inimese koduriigis.

Euroopa ühine one-stop-shop (ühe akna süsteem)

Euroopa ühine one-stop-shop tähendab seda, et inimene saab oma koduriigi andmekaitseasutuse poole pöördudes kaitset ka ülepiirilise juhtumi korral. Koduriigi andmekaitseasutus lahendab ära juhtumi koostöös teiste andmekaitseasutustega. Siinkohal tuleb juhtida tähelepanu, et selliseid koostöökohustusi ning one-stop-shop’i reeglite nõudeid saab peale panna vaid Euroopa Liidu liikmesriikide ning Euroopa Majanduspiirkonna andmekaitse järelevalveasutustele.

One-stop-shop protsessireeglite alusel käiva menetluskoostöö läbiviimiseks on Euroopa Andmekaitsenõukogu kasutusele võtnud Euroopa Liidu siseturu infosüsteemi (IMI), millega harjumine ning sealt tuleneva töömahuga hakkama saamine oligi möödunud aastal väljakutseks ilmselt kõikide andmekaitsenõukogu liikmete jaoks.

„IMI kaudu liigub tuhandeid  algatatud menetlusi, aga enne kui sisuliselt kaasusega tegelema saab hakata, tuleb kindlaks määrata, kes on juhtiv andmekaitseasutus ning kes on kaasatud asutused.“

IMI kaudu liigub tuhandeid algatatud menetlusi, aga enne kui sisuliselt kaasusega tegelema saab hakata, tuleb kindlaks määrata, kes on juhtiv andmekaitseasutus ning kes on kaasatud asutused. See aga ainuüksi tähendab, et iga algatus, mis IMI-sse laetakse, tuleb läbi vaadata, et olla veendunud, kas näiteks Eesti andmekaitseasutusel on puutumus asjasse või mitte. Kui asutused on paika saadud, hakkab sisuline menetlus, sh riikide vaheline koostöö asjaolude tuvastamisel. Enne otsuse vastuvõtmist peavad olema kõik kaastaud asutused otsusega ühel meelel, vastasel korral on andmekaitsenõukogu see, kes vaidlusi lahendab.

Ühiselt kujundatud seisukohad ja järjepidevuse mehhanism

Kuna Euroopa Andmekaitsenõukogu tegeleb ühelt poolt järjepideva praktika loomisega ning andmekaitseasutuste omavaheliste vaidluste lahendamisega ning teisest poolt andmekaitseliste seisukohtade loomise ja tõlgendamisega, siis möödunud aastasse jääb mitmeid olulisi seisukohti ja arvamusi, mille seast peaks esile tooma kauaoodatud videovalve juhise.

Videovalve juhise lõplik vastuvõtmine peale avalikku konsultatsiooni toimus küll 2020. aasta alguses, kuid arvestades juhise pikka valmimisaega ning avalikustamist 2019  suvel, võiks seda siiski lugeda olulisimaks andmekaitsenõukogu juhiseks sel perioodil.

Kaamerate kasutamine nii eraotstarbel kui avalikes kohtades, töösuhetes ja kaubanduses, on olnud väga pikka aega üks olulisemaid vaidluskohti andmekaitse valdkonnas. Lisaks tekkis IKÜM-i kehtima hakkamisega mõningane arusaamatus videovalve piirkonna tähistamisega. Kui varasemalt oli siseriikliku seadusega videovalve tähistamine kirjeldatud, siis IKÜM-s ja uues isikuandmete kaitse seaduses seda enam ei ole kirjeldatud. Seega ei ole kahtlustki, et antud juhend sai palju tähelepanu ning selle koostamine tekitas pikki vaidluseid.

Euroopa Andmekaitsenõukogu pakkus välja videovalve sildi visuaali [1]

Kuid see ei olnud ainuke oluline juhis, mille Euroopa Andmekaitsenõukogu koostas. Lisaks said nö joone alla toimimisjuhendite juhis, lõimitud ja vaikimisi andmekaitse juhend, andmetöötluse õiguslikust alusest interneti teenuste puhul jne.

Kui vaatleme Euroopa Andmekaitsenõukogu ülesandeid seoses järjepidevusmehhanismi tagamisega ning ülepiiriliste menetluste läbiviimisel, siis oli 2019 aasta väga tegus.

IKÜM näeb ette päris paljude nõuete juures, et andmekaitseasutus on kohustatud kohaldama järjepidevuse mehhanismi. Lihtsustatult öeldes tähendab see, et enne teatud nõuete või kohustuslike nimekirjade koostamist peab andmekaitseasutus pöörduma Euroopa Andmekaitsenõukogu poole ning saama enda koostatud nõuetele heakskiidu. Näiteks, kui andmekaitseasutus otsustab koostada nimekirja ülepiirilise andmetöötluse liikidest, mille puhul on kohustuslik läbi viia mõjuhinnang, siis tuleb sellele nimekirjale heakskiit küsida. Heakskiidu küsimine tähendab, et nõuded ja nimekiri vaadatakse läbi kõigi andmekaitsenõukogu liikmete poolt, koostatakse arvamus ettepanekutega nõuete/nimekirja täiendamiseks (kui on vajadus) ning pärast nõutud muudatuste tegemist võib andmekaitseasutus dokumendi avalikustada ning andmetöötlejad saavad sellest juhinduda.

„Kokku avaldas Euroopa Andmekaitsenõukogu 2019. aastal seonduvalt järjepidevuse mehhanismiga 17 arvamust, enamus neist puudutas mõjuhinnangute nimekirjasid ja kontsernisiseste reeglite heakskiitmist.“

Valdkondi, mille puhul on kohustus järgida järjepidevuse mehhanismi, on päris palju. Lisaks eespool mainitud mõjuhinnangute kohustusele, tuleb seda veel rakendada vastutava ja volitatud töötleja vaheliste lepingu tüüptingimuste koostamisel, toimimisjuhendite koostamisel, sertifitseerimisreeglite koostamisel, teatud juhtudel andmete välisriiki edastamiste lepingute heakskiitmisel ning siduvate kontsernisiseste reeglite heakskiitmisel jne.

Kokku avaldas Euroopa Andmekaitsenõukogu 2019. aastal seonduvalt järjepidevuse mehhanismiga 17 arvamust, enamus neist puudutas mõjuhinnangute nimekirju ja kontsernisiseste reeglite heakskiitmist.

Koostöö Euroopa Andmekaitsenõukoguga on olnud ja saab jätkuvalt olema oluline. Inspektsioon osaleb igakuistel Euroopa Andmekaitsenõukogu plenaaristungitel.

Samuti on inspektsioon enda jaoks valinud prioriteetsed alagrupid, mille tegevuses osalevad inspektsiooni töötajad koha peal käies. Prioriteetsed alagrupid on tehnoloogia, vastavus ja e-valitsemine, koostöö, menetlus ja trahvimine, võtmesätete, sotsiaalmeedia ning piiride, reisijate ja korrakaitse alagrupid. Inspektsioon hoiab end kursis ka teiste valdkondade töögruppide aruteludega ning vajadusel räägib kaasa.