Autor: Mari Matjus • 5. detsember 2016

Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

Ainult 15% eurooplastest tunneb, et neil on täielik kontroll oma isikuandmete üle, ning 2/3 jaoks on oluline, et neil oleks võimalus kanda üle isiklikku informatsiooni ühelt teenusepakkujalt teisele.

Kuigi suuresti sõnastab määrus juba välja kujunenud praktikat, on siiski sisse toodud mõned täiesti uued õigused. Üks on inimese õigus oma andmeid üle kanda ehk viia kogu enda kohta salvestatud teave üle teise teenusepakkuja juurde. Vana direktiiv lubas isikuandmetel saavutada väärtusliku kauba staatuse, mille alusel profileeritakse ning arendatakse aina uusi ja individuaalsemaid teenuseid. Samal ajal aga hoitakse kliente nii-öelda lock-in olukorras, kus neil ei ole võimalust vahetada teenusepakkujat, sest liiga palju nende andmeid on aja jooksul vana pakkuja juurde kogunenud.

Ilmselt inimest häirib, et ta ei tea, kuidas Facebook isikuandmeid töötleb, aga ta ei saa ka midagi parata, sest ainus alternatiiv on loobuda sotsiaalvõrgustikust. Kui inimestel oleks võimalik koos kõikide kontaktide, piltide, vestluste ja eelistuste profileerimise tulemustega kolida ümber uude turvalisemasse sotsiaalvõrgustikku, siis ilmselt nad teeksid seda.

Uus andmekaitsemäärus koos digitaalse ühisturu strateegiaga seda silmas peabki. Ses mõttes pürib andmekaitsemäärus tarbijaõiguste ja konkurentsiõiguse sfääri, avades valdkondi, kus innovatsioon on koondunud isikuandmete monopoli kätte.

Mida see tähendab ettevõtjale?

Reegli täpne mõju on veel etteaimamatu, kuid on tõenäoliselt väga suur. Uus õigus parendab konkurentsi ja innovatsiooni pea kõigis sektorites, mis puutuvad kokku isikuandmetega. Andmete ülekandmise õigusega luuakse võimalus idufirmadele ja väiksematele ettevõtetele pääseda turgudele, mida praegu valitsevad tehnikahiiglased.

Ettevõtjal, kes on juba tegev näiteks e-kaubanduses, kommunikatsioonisüsteemide turul (näiteks Fleep, Slack) või töötleb muul viisil isikuandmeid ja on kogunud arvestataval hulgal väärtuslikke andmeid klientide käitumismustrite kohta, tuleb arvestada uute mängureeglitega. Uue andmekaitsemääruse järgi on klient kuningas, kes ka päriselt teostab võimu.

Seega tasub igal ettevõtjal juba praegu mõelda, mida tähendab kaubanduses see, kui klient võib küsida koopia kõigist isikuandmetest, mida oled tema kohta kogunud, viia see konkurendi juurde ja nõuda vanalt teenusepakkujalt enda andmete kustutamist.

Inimene peab oma andmed kätte saama

Uus andmekaitsemäärus näeb ette, et inimesel on õigus saada teda puudutavaid isikuandmeid struktureeritud, üldkasutatavas vormingus ning masinloetaval kujul. Esimene nõue võib olla juba tehniline väljakutse: kas ettevõttel on võimalik anda inimesele koopia kõigist tema isikuandmetest ning kas ettevõtte infosüsteemid saavad sellega hakkama? Samal ajal tuleb kindlasti mõelda, kuidas oma intellektuaalset omandit andmete ülekandmisel kaitsta. Kerkib ka kolmandate isikute õiguste kaitse küsimus. Andmete ülekandmine ei tohi kaasa tuua olukorda, kus avalikustatakse või muul moel rikutakse kolmandate isikute andmekaitsest tulenevaid õigusi.

Inimese õigus saada teda puudutavaid isikuandmeid või nõuda tema isikuandmete töötlejalt andmete otse edastamist teisele töötlejale ei peaks tekitama ettevõtetele kohustust võtta kasutusele või hoida töös tehniliselt ühilduvaid andmetöötlussüsteeme. Teisest küljest, kui see on aga tehniliselt võimalik, peab andmete töötleja edastama andmed otse teisele ettevõttele. Samuti võib inimene andmete ülekantavust kasutada koos andmete kustutamise, töötlemise piiramise ja muude nõuetega.

Kui isikuandmete töötlemine toimub ettevõttes suures ulatuses või kui võetakse kasutusele andmetöötluseks uus tehnoloogia, on ettevõtetel kohustus koostada põhjalik andmekaitselane mõjuhinnang, kus tuleb ka näidata koos süsteemide protsesside kirjeldustega, kuidas on tagatud kõik määrusest tulenevad õigused, k.a õigus andmete ülekantavusele. Miiniväli seejuures on kindlustamine, et andmed, mis seonduvad kolmandate osapooltega, ei satuks andmete sekka, mida andmete küsijale avaldatakse.