Advokaadid: kas 1. sünnipäeva tähistav andmekaitsereform on Eestis läbi kukkunud?

GDPR.

FOTO: gdpr.org

25. mail tähistab Euroopa andmekaitse üldmäärus ehk GDPR oma kehtimise esimest aastapäeva. Asjaolu, et Eesti ettevõtetele pole selle aja jooksul ühtki paljuräägitud hiigeltrahvi, ei näita siiski, et andmekaitsereform oleks läbi kukkunud, sest paljuski peab üldmäärusega seonduv veel paika asetuma.

Euroopa Andmekaitsenõukogu statistika järgi määrati Euroopa Liidus 9 kuu jooksul pärast GDPR-i jõustumisi trahve kokku summas 55 955 871 eurot. Kuigi see summa on märkimisväärne, moodustas ligi 90% sellest Prantsusmaa poolt Google’ile määratud trahv summas 50 miljonit eurot. Trahvi põhjus oli asjaolus, et Google ei andnud kasutajatele privaatsuspoliitikates ja nõusolekuvormides piisavalt põhjalikku teavet nende andmete töötlemise kohta, ega taganud kasutajatele kontrolli nende andmete üle.

Suuruselt järgmised trahvisummad on määratud Suurbritannia andmekaitse asutuse poolt ja on olnud summas kuni 500 000 naela. Näiteks määrati Facebookile Google Analytica skandaali eest trahvi summas 500 000 naela. Uberit trahviti summas 385 000 naela, kui tuli ilmsiks, et Uber oli kinni maksnud häkkerid, kes varastasid ligi 3 miljoni Uberi Suurbritannia kliendi andmed, aga Uber ei teavitanud sellest rikkumisest ohvreid. Poola määras digiturundusega tegelevale ettevõttele Bisnode 220 000 euro suuruse trahvi, sest ettevõte ei andnud enda privaatsusteavitustes andmesubjektidele piisavat teavet nende andmete töötlemise kohta.

Käesoleva artikli kirjutamise seisuga Eestis hiigeltrahve määratud ei ole. Ka ei ole AKI määranud veel ühtegi trahvi GDPR-i alusel. See aga ei tähenda, et Eestis tegutsevad ettevõtted oleksid andmekaitsealaste nõuete täitmisel eesrindlikumad kui Euroopa ettevõtted. Ühest küljest ei oleks Eestis põhjendatud Euroopa suurriikidega võrreldavad trahvisummad, arvestades meie väiksust ja seega ka võimalikust rikkumisest puudutavate andmesubjektide hulka. Teisest küljest on Eesti Andmekaitse Inspektsioon (AKI) rikkumiste menetlemisel ja trahvide määramisel olnud tõenäoliselt passiivsem juhi puudumise tõttu. AKI eelmise peadirektori ametiaeg lõppes mullu septembri lõpus, mis tähendab, et viimased 8 kuud pole AKI-l juhti olnud. Hiljuti kiitis valitsus heaks juhikandidaadina Pille Lehise, kelle ametiaeg algab augusti keskel. Kas ja kuidas muutub AKI poliitika rikkumiste menetlemisel ja trahvide määramisel uue juhi ametiajal, saame näha juba sügisel.

Lisaks hiigeltrahvide määramisele põhjustas Eestis kõige suuremaid lained küsimus ajakirjandusvabadusest pärast GDPR-i jõustumist. Kuna esialgne Eesti isikuandmete seaduse uus versioon sisaldas sätet, mille järgi tohib isikuandmeid ajakirjanduslikul eesmärgil töödelda ja meedias avalikustada üksnes eeldusel, et selleks on „ülekaalukas“ avalik huvi,  tekitasid poliitikud sõnasõja teemal, kas andmekaitse hakkab piirama sõnavabadust. Võtmata seisukohta, kas seaduseelnõu sätte kritiseerimise eesmärk oli valimiste-eelse tähelepanu saamine või midagi muud, võeti poliitfiasko tagajärjel uus isikuandmete kaitse seadus Eestis vastu alles jaanuarikuu keskel. Ennast alati eesrindlikuna näidata soovinud Eesti jäi seetõttu uue isikuandmete kaitse seaduse vastuvõtmisel Euroopas viimaste sekka. Vahepealne õigusvaakum tekitas hulga vaidlusi teemadel, kuidas GDPR-i Eestis rakendada sai ning milline oli vahepealsel ajal Andmekaitse Inspektsiooni pädevus.

Andmekaitse reformi mõte ja eesmärk oli tagada, et andmesubjektidel oleks enda andmete üle suurem kontroll. Ka GDPR-i üks esimesi põhjenduspunkte selgitab, et isikuandmete töötlemine peaks olema mõeldud teenima inimesi. Kas isikuandmed ja isikuandmete töötlemine on muutunud pärast isikuandmete kaitse üldmääruse jõustumist igapäevaelus olulisemaks ning kas inimesed on saanud enda andmete üle suurema kontrolli? Julgeme väita, et ei ole. Andmekaitse üldmäärusega kaasnenud uued õigused, näiteks õigus andmete ülekantavusele (right to data portability), ei ole praktikas realiseerunud. Täna ei saa Eestis andmesubjekt minna ühe teenuseosutaja juurde ja paluda enda andmete edastamist uuele teenusepakkujale. Põhjus, miks selline õigus realiseerunud ei ole, on eelkõige tehniline. Nimelt puuduvad eri ettevõtete infosüsteemide ja tarkvarade vahel vajalikud liidestused, mis andmete vahetamist sellisel viisil võimaldaksid. On kaheldav, et õigus andmete ülekantavusele lähiajal realiseerub.

Andmekaitse üldmäärus tõi muutusena kaasa ka pikemad privaatsuspoliitikad ja sagedasemad nõusolekute küsimised andmetöötluseks, näiteks reklaami saatmiseks. Kuigi artikli alguses toodud näite järgi on ebapiisava privaatsuspoliitika tõttu ühel korral määratud trahv summas 50 miljonit eurot, ei ole GDPR-i kohustus taganud inimestele läbipaistvust nende andmete töötlemise kohta. Kuigi GDPR sätestab kohustusena koostada privaatsustingimused lihtsas keeles, siis enamikel juhtudel on privaatsuspoliitikate tekstid koostatud õigusteadust mittemõistvate inimeste jaoks segaselt. Alatasaseid nõusolekute küsimisi tajuvad inimesed pigem tüütutena ning need aktsepteeritakse automaatselt.

Mis on andmekaitse reformiga muutunud Eestis paremaks? Kas andmete töötlemine on tagatud varasemast turvalisemalt? Ühe uue kohustusena sätestas GDPR kohustuse andmetöötlejaid teavitada Andmekaitse Inspektsiooni andmekaitsealastest rikkumistest. Aprilli viimase nädala seisuga olid andmetöötlejad esitanud Andmekaitse Inspektsioonile 101 isikuandmetega seotud rikkumisteadet. Tõenäoliselt on kohustus esitada rikkumisteade ära hoidnud Eestis nii mõnegi andmekaitsealase rikkumise ning leevendanud rikkumisega kaasnevaid tagajärgesid. Ilmselt hoiab see ära ka mõne rikkumise tulevikus.

GDPR sätestas uue kohustusena määrata avaliku sektori asutustel ja ettevõtetel, kes töötlevad isikuandmeid suuremahuliselt või töötlevad põhitegevusena tundlikumat liiki isikuandmeid andmekaitsespetsialisti ehk ingliskeelse lühendina DPO. Juba 2018 juulikuu lõpu seisuga oli Eestis ettevõtjaportaalis registreeritud ligi 1600 andmekaitsespetsialisti. Puudub statistika selle kohta, paljudel juhtudel on teenus sisse ostetud professionaalselt teenuseosutajalt ning paljudel juhtudel on andmekaitseametnikuks määratud formaalselt mõni ettevõtte töötaja, kelle andmekaitsealased teadmised on piiratud. Enne GDPR-i jõustumist oli ülemaailmse andmekaitse professionaalide ühenduse IAPP ennustus, et GDPR-i jõustumisel vajab tööjõuturg enam kui 28 000 andmekaitsespetsialisti Euroopas ning 75 000 andmekaitsespetsialisti  mujal maailmass, Ameerika Ühendriikides. Kindlasti on andmekaitsespetsialisti määramine aidanud paljusid ettevõtteid andmekaitse regulatsioone korrektsemalt täitma.  

Kokkuvõtlikult võib järeldada, et andmekaitsealane reform Eestis on olnud tagasihoidlik. Kuigi on positiivne, et reformieelne paanika seoses hiigeltrahvidega ei ole realiseerunud, on negatiivne, et andmekaitse üldmääruse jõustumisega ei ole saanud andmesubjektid tegelikku kontrolli enda andmete ja privaatsuse üle.

Tagasi üles