• 07.05.17, 11:10
Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine

Andmete ülekantavus uues isikuandmete kaitse üldmääruses: müüdid ja tegelikkus

25. mail 2018. a. jõustuva uue isikuandmete kaitse üldmääruse kontekstis pakub palju kõneainet üldmäärusega tutvustatav uus andmesubjekti õigus, milleks on õigus nõuda andmete ülekandmist (üldmääruse artikkel 20). Olukorda selgitavad Eversheds Sutherland Ots & Co intellektuaalomandi- ja andmekaitse valdkonna juht, vandeadvokaat Tambet Toomela ja jurist Erika Tuvike.
Eversheds Sutherland Ots & Co intellektuaalomandi- ja andmekaitse valdkonna juht, vandeadvokaat Tambet Toomela ja jurist Erika Tuvike
  • Eversheds Sutherland Ots & Co intellektuaalomandi- ja andmekaitse valdkonna juht, vandeadvokaat Tambet Toomela ja jurist Erika Tuvike
25. aprillil avaldas Andmekaitse Inspektsioon oma veebilehel teate, milles kutsus muuhulgas andmete ülekantavuse oma tööprotsessides ja infosüsteemides üle vaatama, sest see saab tõenäoliselt olema rakendustegevustest kulukaim ja aeganõudvaim. Inspektsioon soovitas mitte jätta seda viimasele minutile, sest nõuete täitmist võidakse nõuda juba üldmääruse kohaldamise esimesest päevast peale (http://www.aki.ee/et/soovitused_maaruseks_valmistumisel).
Õigusnõustamise käigus oleme mitmel korral puutunud kokku nõutute klientidega, kes loevad üldmääruse andmete ülekantavuse kohta käivaid sätteid, kuid ei suuda sellest tuletada ühtegi selget nõuet ega soovitust selle kohta, mida nad nüüd kibekiiresti üldmääruse jõustumise ajaks tegema peavad. Mõistmatus algab juba nimetatud õiguse olemusest.
Andmete ülekantavus viitab justkui sellele, et andmeid peab olema võimalik anda punktist A üle punkti B, mis seondub kohustusega võimaldada andmete ülekandmist uuele kolmandale isikule (näiteks andmesubjekti uuele teenusepakkujale). Nii on seda kommunikeeritud ka avalikkusele, julgustades ettevõtjaid tööprotsessi ja infosüsteeme üle vaatama ning vajalikke lisaarendusi või muid kohandusi korraldama.
Kuid kes on need, kellele peaks olema võimalik andmeid üle kanda? Millised on nende süsteemid? Mida teha kui ettevõtja ei suuda vastuvõtjana andmeid nende erineva ja ühildamatu vormingu tõttu töödelda?
Küsimusi on rohkem kui vastuseid.
Tegelikkuses on andmete ülekantavus 2018.a. mais jõustuva üldmääruse sõnastuses pisut teine ja vähemalt andmetöötlejate ajutiseks lohutuseks märkimisväärselt leebem.
Andmete ülekantavust reguleerivas artiklis 20 on sisuliselt eristatavad kaks õigust.
Esiteks sisaldub selles andmesubjekti nö. väljavõtteõigus ehk õigus saada teatud tingimuste esinemisel töötlejale edastatud automatiseeritult töödeldavaid isikuandmeid struktureeritud, üldkasutatavas vormingus ja masinloetaval kujul. Näiteks muusika streaming-teenuse osutaja kohustus esitada kliendi palvel talle tema valitud lugude nimekiri. Seda tuleb andmetöötlejatel tõepoolest võimaldada juba alates 2018.a. maist, mis muuhulgas võib tähendada protsesside ja süsteemide ülevaatamist selles võtmes, et andmesubjektile oleks igal ajal võimalik pakkuda terviklikku ülevaadet tema kohta töödeldavatest andmetest.
Mõnevõrra teine on aga olukord andmesubjekti andmete ülekantavusega andmetöötlejalt kolmandale isikule. Üldmääruses tunnustatakse peale väljavõtteõiguse igati ka sellist andmesubjekti õigust, kuid tehakse seejärel mööndus, mille kohaselt võib nõuda andmete edastamist otse teisele töötlejale, kui see on tehniliselt teostatav.
Ehk teisisõnu, kui ülekantavus ei ole tehnilistel põhjustel teostatav, ei pea andmetöötleja andmeid otse teisele töötlejale edastama. Piisab, kui andmesubjektile tagatakse väljavõtteõigus.
Siinkohal väärib märkimist, et kuigi andmete ülekantavus kitsamas mõttes on olemuslikult tervitatav, sest loob tarbijatele eeldused teenusepakkuja lihtsamaks vahetamiseks (andmete koondumise tõttu nn lock-in`ide lõhkumine), ei ole vähemalt täna infosüsteemide mitmekesisuse tõttu mõeldav, et kõik või isegi arvestatav osa erasektori andmetöötlejatest asuksid ühildama oma süsteeme või looma nende vahele süsteemide koosvõimet toetavaid programmiliideseid. Jättes kõrvale süsteemide kommertslitsentsid ja nendega seotud finantskoormuse ettevõtetele, tuleb arvestada, et isegi alternatiivsete vabavarasüsteemide kasutamiseks tuleb nõustuda vabavara litsentsitingimustega, mistõttu on põhjendamatu nõuda näiteks seda, et uus teenusepakkuja peab kliendi saamise nimel eelmiselt teenusepakkujalt andmete vastuvõtmiseks nõustuma ka viimase kasutatud vabavara juurde kuuluva litsentsiga.
Probleeme on ilmselt mõistnud ka üldmääruse kohta juhiseid jagav Euroopa andmekaitseasutuste töörühm, kelle juhisest ülekantavuse kohta leiab julgustavaid, kuid samas pealiskaudseid soovitusi andmetöötlejatele asuda tööle infovahetussüsteemide koostöövõime ja rakenduse programmiliideste arendamisega. Juhisest ei tulene täpsemalt, millistest vormingutest ja muudest tehnilistest üksikasjadest peaksid töötlejad seejuures lähtuma.
Seega on andmete ülekantavus selles kontekstis täna pigem idee ja suunanäitaja, mille õiguslik siduvus sõltub konkreetse juhtumi tehnilistest asjaoludest nagu teenusepakkujate süsteemide ühilduvus või koosvõime.

Seotud lood

Uudised
  • 10.09.17, 11:06
Tartus arutati Euroopa andmekaitse tulevikku
Justiitsministeeriumi kutsel kogunesid 7.-8. septembril Tartusse Euroopa andmekaitsespetsialistid, suurettevõtete esindajad ja ühiskondlikud „valvekoerad“, et arutada 2018. aasta maist rakenduvat ELi andmekaitse reformi.
Uudised
  • 13.02.17, 17:12
Telia andmekaitsereformist: saatan peitub detailides
Suurettevõtte Telia kogemusest andmekaitsereformi läbiviimisel rääkis Telia Eesti riskijuhtimise osakonna juhataja Eva Jakunin 8. veebruaril KPMG ja ITuudiste koostöös korraldatud seminaril "Praktilised juhised uuest andmekaitsemäärusest tulenevate nõuete järgimiseks".
Uudised
  • 01.05.17, 19:27
Ettevõtteid ootavad ees suured IT-investeeringud
Kõik ettevõtted peavad aasta jooksul üle vaatama oma IT-süsteemid ja viisid, kuidas kogutud andmeid töödeldakse, sest 2018. aasta mais rakenduvad Euroopa Liidus andmekaitse uued põhimõtted.
Uudised
  • 04.07.17, 11:39
Argo Virkebau: uus andmekaitsemäärus esitab väljakutse
Eelmisel kevadel võeti Euroopa Liidus vastu uus andmekaitsemäärus, mis toob ettevõtetele kaasa lisaülesandeid andmete kogumisel, kasutamisel ja turvalisuse tagamisel. Ettevõtetele on uue määrusega kohandumine suur väljakutse, sest muutuvad või suisa kaovad senised ärimudelid. Vastuseid kõigile küsimustele veel ei ole, tõdes Tele2 tegevjuhi Argo Virkebau.
  • ST
Sisuturundus
  • 11.12.24, 14:29
Kuula arutelu riigi IT-majadest. “Ohus on kogu sektori ekspordivõime”
Riigi loodud IT-majad pakuvad erasektori IT-ettevõtetele järjest rohkem konkurentsi: võisteldakse tööjõuturul ja IT-firmadel on oht muutuda tööjõurendi pakkujateks, selgus Äripäeva raadio saates.

Hetkel kuum

Liitu uudiskirjaga

Telli uudiskiri ning saad oma postkasti päeva olulisemad uudised.

Tagasi ITuudised esilehele