1. Isikuandmed on kõik andmed, mis on seotud füüsilise isikuga.
Mitte alati. Isikuandmed on kõik andmed üksikuna või kogumis, mille kaudu füüsiline inimene on otseselt või kaudselt äratuntav, näiteks nimi, isikukood, asukohateave. Oluline on rõhutada, et ka isikukood on tavaline isikuanne ja selle kasutamisele ei ole seatud rohkem piiranguid kui inimese nime või sünniaja kasutamisele.
Jätkuvalt aetakse aga segamini isikuandmeid ja teisi andmeid. Isikuandmed ei ole andmed, mis käivad loomade, aga näiteks ka liiklusvahendite, ehitiste või muude asjade kohta. Lisaks ei ole isikuandmed ka andmed, mis puudutavad juriidilise isiku nime, vormi ja kontaktandmeid. Samas on isikuandmed kõigi äriühingutega seotud füüsiliste isikute andmed (nt nimi, isikukood, sünniaeg). Siiski peab meeles pidama, et kuna juriidilised isikud saavad tegutseda vaid füüsiliste isikute kaudu ning sel määral, mil füüsiliste isikute tegevus kvalifitseerub juriidilise isiku tegevuse alla, ei kuulu see isikuandmete kaitse üldmääruse kohaldamisalasse.
Inspektsioonil oli aastaid tagasi menetlus, kus teabevaldaja keeldus teabenõude täitmisest, sest tema hinnangul sisaldasid hobuste põlvnemist kinnitavad geneetilised ekspertiisid eriliigilisi isikuandmeid ja tegemist oli seetõttu juurdepääsupiiranguga teabega. Tol korral pidi inspektsioon selgitama, et hobuste põlvnemise andmed ei ole isikuandmed ja isikuandmete kaitse seadus laieneb siiski ainult füüsilistele isikutele ja nende andmetele.
2. Olümpiaadide tuemuste avalikustamine on keelatud.
Päris nii see siiski pole. 2023. aastal oli Andmekaitse Inspektsiooni menetluses juhtum, mille üheks küsimuseks kujunes olümpiaaditulemuste avalikustamise lubatavus ja tingimused. Ka avalikkuses tekkis diskussioon selle üle, kui kaua peaksid olümpiaaditulemused internetis nähtavad olema ja ekslikult võis jääda mulje, justkui oleks eri võistluste ja olümpiaadide tulemuste avalikustamine nüüd täiesti keelatud.
Tulemuste avalikustamisel tuleb lihtsalt silmas pidada seda, et selleks peab olema õiguslik alus ning kui õiguslik alus selliseks avalikustamiseks on olemas, siis tuleb seda teha kooskõlas isikuandmete kaitse üldmäärusest tulenevate põhimõtetega, milleks on muuhulgas minimaalsuse ja eesmärgipärasuse põhimõte. Olümpiaadi tulemuste avalikustamisel saaks selleks olla isikute nõusolek, õigustatud huvi või siis peaks see õigus tulema seadusest.
Lisaks peaks läbi mõtlema, kuidas ja kui kaua tulemusi avalikustatakse. Näiteks kas alati on vajalik kuvada ka konkreetset punktisummat või piisab saavutatud koha kuvamisest, või ehk saaks hoopis isikustatult kuvada neid õpilasi, kelle punktisumma on võimalikust saadavast kuni 50%. Peale selle peaks veel mõtlema läbi, milline on konkreetse eesmärgi täitmiseks vajalik andmete säilitamise tähtaeg. Aastakümnete pikkune säilitamine ja avalikustamine ei ole üldiselt esialgse eesmärgiga kooskõlas.
3. Kui dokument sisaldab isikuandmeid, siis tuleb sellele kehtestada juurdepääsupiirang avaliku teabe seaduse § 35 lõike 1 punkti 12 alusel, sest selle sätte kohaselt tuleb teave, mis sisaldab isikuandmeid ja millele juurdepääsu võimaldamine kahjustaks oluliselt andmesubjekti eraelu puutumatust, tunnistada asutusesiseseks kasutamiseks mõeldud teabeks.
See pole alati päris nii. Üksnes inimese nime olemasolu dokumendis ei ole alati piirangu seadmise põhjuseks avaliku teabe seaduse § 35 lg 1 p 12 alusel, kui dokument ise ei sisalda eraelu puutumatust oluliselt kahjustavat teavet. Ka sünniaja või isikukoodi lisamine nimele ei saa alati olla iseenesest piirangu seadmise aluseks. Näiteks ei saa avaliku teabe seaduse § 35 lg 1 p 12 alusel piirangut kehtestada dokumendi sisule ega ka dokumendi saaja/saatja isikule, kui dokument ei käsitle inimese eraelu, vaid üksnes avalikku tegevust ja ühiskondlikke küsimusi. Seda, kas dokument sisaldab inimese eraelu puutumatust kahjustavat teavet, tuleb hinnata iga dokumendi puhul eraldi ning vastavalt selle sisule.
Siiski tuleb rõhutada ja meeles pidada seda, et isikliku kontaktteabe (kodune aadress, isiklik e-postiaadress ja telefoninumber jms) sattumine piiramatu hulga võõraste isikute kätte võib oluliselt kahjustada tema eraelu puutumatust. See võib põhjustada rämpsposti adressaadiks sattumist ja muud soovimatut kontaktivõtmist. Seetõttu tuleb isiklikule kontaktteabele dokumendis seada piirang avaliku teabe seaduse § 35 lg 1 p 12 alusel. Kui dokumendile on selline piirang seatud, ei tähenda see siiski seda, et dokumenti poleks võimalik teabenõude korras väljastada.
Paraku näeb aga Andmekaitse Inspektsioon praktikas veel neid olukordi, kus piirangu kehtestamist põhjendatakse näiteks sellega, et dokument sisaldab eraelu oluliselt kahjustada võivaid andmeid, tegelikkuses aga on dokumendi pealkirjaks näiteks "Biojäätmete kogumist toetav meede". Pealkirja järgi otsustades tekib kahtlus, kas sellised dokumendid ikka sisaldavad isikuandmeid. Samuti on üsna palju asutustevahelist kirjavahetust ja lepinguid, millele on kehtestatud juurdepääsupiirang eraelu kaitseks. On küsitav, kas asutuste vahel toimuv kirjavahetus või lepingud ikka sisaldavad nii paljudel juhtudel kellegi eraelu kahjustavat teavet.
4. Kui dokumendile on seatud juurdepääsupiirang, siis polegi võimalik teabenõude korras teavet saada ega seda ka väljastada.
Ei, see pole tõsi. Kokkuvõtlikult võib öelda, et kui soovitud dokument sisaldab juurdepääsupiirangulist teavet, siis igaühel on õigus avaliku teabe seaduse alusel saada seda osa teabest või dokumendist, millele juurdepääsupiirangud ei kehti. Isegi kui teabevaldaja on kohustatud juurdepääsupiiranguga teavet sisaldava dokumendi tunnistama asutusesiseseks kasutamiseks, ei tähenda see, et kogu dokumendi sisu on juurdepääsupiiranguga.
Ka avaliku teabe seaduse § 38 lg 2 sätestab, et kui teabele juurdepääsu võimaldamine võib põhjustada juurdepääsupiiranguga teabe avalikuks tulemise, siis tagatakse juurdepääs üksnes sellele osale teabest või dokumendist, mille kohta juurdepääsupiirangud ei kehti. See tähendab, et teabenõudjale antakse välja dokument, milles üksnes kaitset vajav juurdepääsupiiranguga teave on kinni kaetud.
5. Andmekaitsetingimused ei anna täielikku ülevaadet või puuduvad sootuks.
Isikuandmete töötlemise üheks põhimõtteks, mida kõik andmetöötlejad peavad järgima, on läbipaistvuse põhimõte.
Läbipaistvus tähendab usaldusväärsust ja tänapäeva ühiskonnas võib seda põhjendatult pidada digivisiitkaardi osaks. Läbipaistvuse põhimõtte kohaselt peavad isikuandmete töötlemisega seotud teave ja sõnumid olema lihtsalt kättesaadavad (näiteks veebilehel), arusaadavad ning selgelt ja lihtsalt sõnastatud, ehk teisisõnu – koostatud peavad olema andmekaitsetingimused. Andmekaitsetingimused peavad olema sihtgrupile arusaadavas keeles ja vormis. Näiteks kui sihtgrupiks on lapsed või vanurid, siis peavad andmekaitsetingimused olema lihtsasti ja kergesti mõistetavad ka neile. Samamoodi peab arvestama, et kui ettevõtte põhisihtrühmaks on Eesti kliendid, siis peavad ka andmekaitsetingimused eesti keeles koostatud olema. Andmekaitsetingimuste sisu reguleerivad isikuandmete kaitse üldmääruse artiklid 12–14.
Ülioluline on aru saada, et andmekaitsetingimusi ei looda lihtsalt linnukese kirja saamiseks, vaid need peavad lähtuma just vastutava töötleja andmetöötlusest, mis eeldab, et andmetöötlus on täpselt kaardistatud ning ka andmekaitsetingimuste koostajale endale arusaadav.
Praktikas kipuvad andmetöötlejad andmekaitsetingimusi väga üldiselt sõnastama. Tegelikult peaks välja tooma kõik tõelised eesmärgid, õiguslikud alused ja selle, kellele andmeid edastatakse. Näiteks kasutatakse klausleid, et „võime teie andmeid edastada kolmandatele isikutele“, mis pole aga piisav, sest ei anna reaalset ülevaadet. Ka sõnade „näiteks, eelkõige, muu hulgas“ kasutamine ei ole hea tava. Samas ei tasuks ka ülemäära juriidilist, tehnilist ega erialast keelt või terminoloogiat kasutada.
Andmekaitsetingimused võiksid asuda lehe jaluses ja olla koostatud võimalikult lühidalt ning lihtsas sõnastuses, vältides seaduste kopeerimist. Samuti tuleks vältida kunstlikult loodud lauseid, mis ei anna tegelikult mingit lisainfot. Näiteks ei ole hea lause „klientide isiklikud andmed ning andmed nende poolt sooritatud tellimuste kohta on rangelt konfidentsiaalsed ja nende sattumine kolmanda osapoole kätte on välistatud“, sest see ei anna tegelikult mingit lisainfot.
6. Andmetöötlejal on õigus keelduda koopia väljastamisest isikule, kui failis on kolmandate isikute isikuandmeid, sest nende andmeid peab ka kaitsma.
Päris nii see siiski pole. Igal inimesel on õigus tutvuda enda kohta kogutud isikuandmetega ja saada selgitusi töötlemise asjaolude kohta. Seda õigust võib piirata üksnes siis, kui andmete edastamine kahjustab teiste isikute õigusi ja vabadusi. See aga ei tähenda seda, et olukorras, kus näiteks mõni dokument sisaldab kolmandate isikute andmeid, ei peaks üldse väljastama inimesele koopiat tema andmetest. Teiste isikuandmed tuleb lihtsalt kinni katta, sest koopia saamise õigus tähendab seda, et igal inimesel on õigus nõuda koopiat enda kohta käivatest isikuandmetest, mitte teiste inimeste andmetest.
Näiteks olukorras, kus isikuandmeid sisaldav videosalvestis sisaldab ka teiste isikute isikuandmeid, ei saa pidada isikuandmete kaitse üldmääruse või isikuandmete kaitse seaduse alusel teabe edastamisest keeldumise õigustatud põhjuseks. Tõepoolest, koopia saamise õigus ei tohi ju kahjustada teiste salvestisel olevate isikute õigusi ja vabadusi. See tähendabki, et juhul, kui andmesubjekti taotletava videosalvestise vaateväljas on nähtavad ka teised isikud, tuleb enne salvestise väljastamist teised inimesed salvestisel udustada.
Kui tema enda kohta käivate isikuandmete väljastamisest isikule siiski keeldutakse, siis tuleb ka põhjendada, kuidas isiku enda andmete talle väljastamine kahjustaks kolmandaid isikuid.
7. Kõige parem ja lihtsam on isikuandmete töötlemiseks võtta isiku nõusolek.
See on väärarusaam. Isikuandmete kaitse üldmääruses on välja toodud mitu võimalikku isikuandmete töötlemise õiguslikku alust. Näiteks saab selleks olla inimese nõusolek, töötlemine võib olla vajalik lepingu täitmiseks, andmete töötlemine on vajalik mõne juriidilise kohustuse täitmiseks või hoopiski on selleks andmetöötlejal õigustatud huvi. See loetelu siin pole muidugi ammendav.
Nõusolekut kui ühte isikuandmete töötlemise võimalust soovitakse aga tihti kasutada olukordades, kus üldmäärus muud alust selleks ei anna või kus see tundub kõige lihtsam. Tegelikult ei ole nõusolek aga mingi võluvits, mis võimaldaks igas olukorras ja igasugust andmetöötlust.
Nõusoleku puhul peab arvestama, et see peab olema vabatahtlik, konkreetne, selgesõnaline ja igal ajal tagasivõetav. Muuhulgas peab nõusolek olema kirjalikku taasesitamist võimaldavas vormis ning vaikimist või tegevusetust nõusolekuks ei loeta. Teisisõnu, kui isikul ei ole tegelikku valikut, ta tunneb end olevat sunnitud nõustuma või on keeldumisel negatiivsed tagajärjed, siis nõusolek ei kehti. Paljudel juhtudel on aga raske tagada, et nõusolek vastaks nendele kriteeriumitele.
Näiteks töösuhetes on nõusolekut töötaja isikuandmete töötlemiseks võimalik kasutada üksikutel juhtudel, sest töötaja allub tööandja juhtimisele ja kontrollile ning töötaja nõusolek ei oleks ei vabatahtlik ega sama lihtsalt tagasi võetav. Samamoodi ei loeta vabatahtlikuks nõusolekuks olukorda, kus n-ö „linnukese kast“ on eeltäidetud.
8. Igasugune huvi tähendab õigustatud huvi olemasolu.
Päris nii siiski ei ole. Isikuandmete kaitse üldmäärus näeb ühe isikuandmete töötlemise õigusliku alusena ette õigustatud huvi õigusliku aluse. Sel juhul on isikuandmete töötlemine vajalik andmetöötleja või kolmanda(te) isiku(te) õigustatud huvi korral ning on kaalukam andmesubjekti põhiõigustest ja -vabadustest. Seega ei tähenda mingi huvi olemasolu automaatselt seda, et võimalik oleks tugineda õigustatud huvile kui andmetöötluse õiguslikule alusele.
Enamasti oskavad andmetöötlejad üsna hästi enda huve välja tuua, sest soov andmetöötlusega alustada on millestki alguse saanud. Siiski on hea üle korrata, et õigustatud huvid peavad olema sõnastatud piisavalt selgelt. See tähendab, et ei piisa huvidest, mis on liiga ebamäärased või spekulatiivsed. Muidugi ei ole õigustatud huvi ka mitte miski, mis on ebaeetiline või ebaseaduslik.
Näiteks – kuigi turundus võib üldiselt olla legitiimne eesmärk – ei ole elektroonilise turunduse reeglitega vastuolus rämpsposti saatmine legitiimne. Samamoodi – isegi kui tööandja huviks võib olla näiteks tööaja kontrollimine – ei saa õigustatud huviks olla töötajate pidev ning ülemäärane kontrollimine ja jälgimine jälgimisseadmetega, sest see läheb vastuollu andmekaitset käsitlevate ja muude õigusaktidega. Samamoodi peab enne valvetegevuse alustamist olema käes tegelik olukord, näiteks varasem kahju või varasemad tõsised juhtumid.
9. Andmekaitse Inspektsioon aitab välja nõuda kahjuhüvitisi.
See ei vasta tõele. Teatud juhtudel võib isikutele nende isikuandmete töötlemise tagajärjel ka kahju tekkida ning abi saamiseks pöördutakse Andmekaitse Inspektsiooni poole. Näiteks võib tuua olukorrad, kui meedias on avaldatud ebaõigeid väiteid või kui mingit teavet on levitatud ilma õigusliku aluseta. Andmekaitse Inspektsioonil ei ole sellises olukorras pädevust välja mõista kahjuhüvitisi. Kahju hüvitamise hagiga tuleks pöörduda siis maakohtusse.
Inspektsioon saab kontrollida, kas isikuandmete töötlemiseks (nt avalikustamiseks) on olemas õiguslik alus ning kas andmetöötluses on järgitud kõiki põhimõtteid. Kui õiguslikku alust ei ole, siis saab inspektsioon kohustada isikuandmete töötlejat sellist tegevust lõpetama.
10. Häkkerid valivad sihtmärkideks suuremad ettevõtted ja elutähtsate teenuste pakkujad.
Ei, nii see ei ole. Siiski võib kohati ühiskonnas tajuda suhtumist, justkui oleks andmekaitse ning infoturbe tagamine miski, millega peavad tegelema ainult suured ning rahvusvahelised ettevõtted, sest nende käsutuses on ju suurel hulgal isikuandmeid. Niinimetatud pahalased ei vali aga enam ammu enda sihtmärke ainult nende tuntuse või suuruse alusel. Olulist rolli sihtmärgi valikul mängib ka see, milliseid andmeid töödeldakse ning kui hästi on ennast rünnete vastu kaitstud.
Tõepoolest, küberrünnakud elutähtsate teenuste osutajate vastu on viimase aastaga mitmekordistunud, kuid kindlasti saab sihtmärgi valikul määravaks ka see, kui kerge vaevaga on võimalik ohvrit rünnata. Seega ei ole sisuliselt küsimus enam selles, kes satub mõne rünnaku alla, vaid millal see juhtub ning millal leitakse üles süsteemi nõrgad kohad.
Näiteks võib mõne väiksema meditsiinitarkvara pakkuva ettevõtte ründamine pakkuda ründajatele hoopiski suuremat huvi kui näiteks seda sama teenust kasutava haigla süsteemidesse häkkimine, sest seeläbi on võimalik tekitada suuremat kahju ning paremini ka enda lunarahanõudeid maksma panna.
- Kommenteerimiseks logi sisse või registreeru