Euroopa Andmekaitsenõukogu on alates 2022. aastast koordineerinud liikmesriikide järelevalveasutuste ühistegevust, mille raames keskendutakse ühe kokkulepitud aktuaalse andmekaitse valdkonna rakendamise uurimisele. 2022. aastal keskenduti ühistegevuses pilveteenuste kasutamisele avalikus sektoris ja 2023. aastal andmekaitsespetsialistide rollile ning tegevusele.
2024. aastal läbi viidud ühisseire keskendus andmesubjektide õigusele tutvuda töödeldavate isikuandmetega ja saada töötluse kohta täiendavat teavet, sest tegemist on isikuandmete kaitse üldmääruse (üldmäärus) ühe keskse õigusega, mis võimaldab andmesubjektidel kontrollida, kas ja kuidas nende isikuandmeid töödeldakse (vt üldmääruse artikkel 15). Andmesubjektid on andmetega tutvumise õigusest üha teadlikumad ning kasutavad seda kõigist üldmäärusega antud õigustest enim, mida kinnitab ka fakt, et järelevalveasutused üle Euroopa saavad andmesubjektidelt palju kaebusi nende juhtumite kohta, kus andmetöötlejad ei võimalda neil oma õigust kasutada sellisel moel, nagu on üldmäärusega ette nähtud.
Andmekaitse Inspektsiooni 2024. aastal läbi viidud seire keskendus küsimusele, kuidas kindlustusandjad andmetega tutvumise ja teabe saamise õiguse tagavad. Oluline on siinkohal mainida, et kindlustussektor töötleb oma teenuste osutamise raames väga paljude isikute andmeid ja sealhulgas selliseid andmeid, mida üldmäärus nimetab eriliigilisteks andmeteks (nt terviseandmed) ja alaealiste andmeid, kellel on üldmääruse järgi õigus erilisele kaitsele. Seetõttu väärib andmesubjektide õiguste tagamine kindlustussektoris erilist tähelepanu. Seiresse kaasati 9 Eestis tegutsevat kindlustusandjat.
Seire tulemusena ei tuvastatud ühtegi olukorda, kus kindlustusandjad oleksid oluliselt piiranud andmesubjekti õigust andmetega tutvuda. Tuvastati nii kohti, kus on arenguruumi, kui ka häid praktikaid, mida teistele eeskujuks tuua.
Üks olulisemaid teemasid, mis seirest välja koorus, on kindlustusandjate väga erinev praktika andmetega tutvumise taotluste ja nendega seotud isikuandmete säilitamistähtaegade osas. Määratus tähtajad varieerusid 3 aastast kuni kindlustuslepinguga seotud põhiandmete säilitamise lõpuni, mida võib sõltuvalt kindlustuslepingu pikkusest mõõta kümnenditega. Siinkohal tuleb märkida, et kõik andmetöötlejad peavad tulenevalt minimaalsuse põhimõttest väga rangelt hindama, kui kaua on neil vaja konkreetseid isikuandmeid säilitada ja andmetega tutvumise taotlusega seotud andmed ei tohiks üldjuhul olla sellised andmed, mida säilitatakse pikka aega.
Teiseks probleemkohaks oli teabe andmine andmesubjektidele selle kohta, kellele nende isikuandmeid on edastatud või võidakse edastada – enamik kindlustusandjaid andis infot vaid viidatud isikute kategooriate kohta, toomata välja konkreetseid isikuid, kellele konkreetse andmesubjekti isikuandmeid tegelikult edastatud on. Kuigi üldmääruse sõnastus annab võimaluse valida „vastuvõtjate või vastuvõtjate kategooriate“ vahel, siis siinkohal juhime tähelepanu, et üldmääruse alusel on vastutav töötleja kohustatud andma andmesubjektile nii detailset informatsiooni kui võimalik ja nimetama tegelikud vastuvõtjad, välja arvatud juhul, kui neid vastuvõtjaid ei ole võimalik kindlaks teha või kui andmesubjekt ise soovib üldisemat informatsiooni (vt ka Euroopa Andmekaitsenõukogu suuniste 01/2022 punkti 117 ja Euroopa Kohtu kohtuasja nr C-154/21 RW v Österreichische Post AG punkt 48).
Siinkohal on paslik tuua välja ka mõned silma jäänud head praktikad, näiteks andmesubjektidele kinnituse saatmine tema taotluse kättesaamise kohta ja selgitused edasise menetluse kohta (sh millal on oodata vastust). Teiseks on positiivne, et enamik kindlustusandjaid ei ole andmesubjektide taotluste menetlemist jätnud ainult andmekaitsespetsialistide hoolde, vaid on loonud eraldi meeskonnad, kes taotlusi menetlevad, kaasates vajadusel keerulisemate õiguslike küsimuste korral õigusosakonda ja/või andmekaitsespetsialisti. Hea on märkida, et mõningatel juhtudel kontrollivad kindlustusandjad andmekaitsespetsialisti kaasaabil ka ise neile esitatud taotluste menetlemise vastavust kehtestatud protsessidele.
Ühtlasi on see üks võimalikke viise, kuidas andmekaitsespetsialisti rolli organisatsioonis sisustada ja kuidas saada sisendit protsesside puuduste tuvastamiseks ning parandamiseks. Lisaks eeltoodule tasub hea praktikana välja tuua, et osad andmetöötlejad võimaldavad iseteenindusportaali kaudu andmesubjektidel otse tutvuda enda kohta töödeldavate isikuandmetega. Selline lähenemine on andmesubjektide õiguste vaatest ilma kahtluseta kõige tõhusam, sest võimaldab ilma viivituseta igal ajahetkel saada ülevaadet, milliseid andmeid töödeldakse. Samas tuleb silmas pidada, et iseteenindusportaalide kasutamine ei vabasta andmetöötlejat otsesuhtlusest andmesubjektidega ja iseteenindusportaali kaudu kajastatav info ei pruugi olla piisavalt täielik ning hõlmata kogu teavet, mida andmesubjektil on õigus saada. Seega peavad andmetöötlejad ka sellise lahenduse kasutamise puhul olema valmis andma andmesubjektile täiendavat infot või väljastama neile isikuandmete koopia. Inspektsioon julgustab teisigi andmetöötlejaid kõiki välja toodud häid praktikaid oma tegevuses rakendama.
Juhtisime seires osalenud kindlustusandjate tähelepanu töötlemise kitsaskohtadele. Lisaks soovitame kõigil andmetöötlejatel tutvuda Euroopa Andmekaitsenõukogu 01/2022 suunistega andmesubjekti õiguste kohta – õigus tutvuda andmetega.
2025. aastal on ühistegevuse fookuses õigus olla unustatud (vt üldmäärus artikkel 17), aga sellest lähemalt juba järgmises aastaraamatus.
- Kommenteerimiseks logi sisse või registreeru