Andmete ülekantavus uues isikuandmete kaitse üldmääruses: müüdid ja tegelikkus

25. aprillil avaldas Andmekaitse Inspektsioon oma veebilehel teate, milles kutsus muuhulgas andmete ülekantavuse oma tööprotsessides ja infosüsteemides üle vaatama, sest see saab tõenäoliselt olema rakendustegevustest kulukaim ja aeganõudvaim. Inspektsioon soovitas mitte jätta seda viimasele minutile, sest nõuete täitmist võidakse nõuda juba üldmääruse kohaldamise esimesest päevast peale (http://www.aki.ee/et/soovitused_maaruseks_valmistumisel).

Õigusnõustamise käigus oleme mitmel korral puutunud kokku nõutute klientidega, kes loevad üldmääruse andmete ülekantavuse kohta käivaid sätteid, kuid ei suuda sellest tuletada ühtegi selget nõuet ega soovitust selle kohta, mida nad nüüd kibekiiresti üldmääruse jõustumise ajaks tegema peavad. Mõistmatus algab juba nimetatud õiguse olemusest.

Andmete ülekantavus viitab justkui sellele, et andmeid peab olema võimalik anda punktist A üle punkti B, mis seondub kohustusega võimaldada andmete ülekandmist uuele kolmandale isikule (näiteks andmesubjekti uuele teenusepakkujale). Nii on seda kommunikeeritud ka avalikkusele, julgustades ettevõtjaid tööprotsessi ja infosüsteeme üle vaatama ning vajalikke lisaarendusi või muid kohandusi korraldama.

Kuid kes on need, kellele peaks olema võimalik andmeid üle kanda? Millised on nende süsteemid? Mida teha kui ettevõtja ei suuda vastuvõtjana andmeid nende erineva ja ühildamatu vormingu tõttu töödelda?

Küsimusi on rohkem kui vastuseid.

Tegelikkuses on andmete ülekantavus 2018.a. mais jõustuva üldmääruse sõnastuses pisut teine ja vähemalt andmetöötlejate ajutiseks lohutuseks märkimisväärselt leebem.

Andmete ülekantavust reguleerivas artiklis 20 on sisuliselt eristatavad kaks õigust.

Esiteks sisaldub selles andmesubjekti nö. väljavõtteõigus ehk õigus saada teatud tingimuste esinemisel töötlejale edastatud automatiseeritult töödeldavaid isikuandmeid struktureeritud, üldkasutatavas vormingus ja masinloetaval kujul. Näiteks muusika streaming-teenuse osutaja kohustus esitada kliendi palvel talle tema valitud lugude nimekiri. Seda tuleb andmetöötlejatel tõepoolest võimaldada juba alates 2018.a. maist, mis muuhulgas võib tähendada protsesside ja süsteemide ülevaatamist selles võtmes, et andmesubjektile oleks igal ajal võimalik pakkuda terviklikku ülevaadet tema kohta töödeldavatest andmetest.

Mõnevõrra teine on aga olukord andmesubjekti andmete ülekantavusega andmetöötlejalt kolmandale isikule. Üldmääruses tunnustatakse peale väljavõtteõiguse igati ka sellist andmesubjekti õigust, kuid tehakse seejärel mööndus, mille kohaselt võib nõuda andmete edastamist otse teisele töötlejale, kui see on tehniliselt teostatav.

Ehk teisisõnu, kui ülekantavus ei ole tehnilistel põhjustel teostatav, ei pea andmetöötleja andmeid otse teisele töötlejale edastama. Piisab, kui andmesubjektile tagatakse väljavõtteõigus.

Siinkohal väärib märkimist, et kuigi andmete ülekantavus kitsamas mõttes on olemuslikult tervitatav, sest loob tarbijatele eeldused teenusepakkuja lihtsamaks vahetamiseks (andmete koondumise tõttu nn lock-in`ide lõhkumine), ei ole vähemalt täna infosüsteemide mitmekesisuse tõttu mõeldav, et kõik või isegi arvestatav osa erasektori andmetöötlejatest asuksid ühildama oma süsteeme või looma nende vahele süsteemide koosvõimet toetavaid programmiliideseid. Jättes kõrvale süsteemide kommertslitsentsid ja nendega seotud finantskoormuse ettevõtetele, tuleb arvestada, et isegi alternatiivsete vabavarasüsteemide kasutamiseks tuleb nõustuda vabavara litsentsitingimustega, mistõttu on põhjendamatu nõuda näiteks seda, et uus teenusepakkuja peab kliendi saamise nimel eelmiselt teenusepakkujalt andmete vastuvõtmiseks nõustuma ka viimase kasutatud vabavara juurde kuuluva litsentsiga.

Probleeme on ilmselt mõistnud ka üldmääruse kohta juhiseid jagav Euroopa andmekaitseasutuste töörühm, kelle juhisest ülekantavuse kohta leiab julgustavaid, kuid samas pealiskaudseid soovitusi andmetöötlejatele asuda tööle infovahetussüsteemide koostöövõime ja rakenduse programmiliideste arendamisega. Juhisest ei tulene täpsemalt, millistest vormingutest ja muudest tehnilistest üksikasjadest peaksid töötlejad seejuures lähtuma.

Seega on andmete ülekantavus selles kontekstis täna pigem idee ja suunanäitaja, mille õiguslik siduvus sõltub konkreetse juhtumi tehnilistest asjaoludest nagu teenusepakkujate süsteemide ühilduvus või koosvõime.