2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
MARI-LIIS ORAV
OKTOOBER 2013
ANDMEKAITSEST:
LIHTSALT JA LÜHIDALT
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
ÜLESEHITUS
Miks andmekaitse ja miks just praegu?
Regulatsioon Eestis ja Euroopa Liidus
Ülevaade põhilistest andmekaitse elementidest
Euroopa andmekaitse reformikava
Kuumad teemad andmekaitses
Kuidas valmistuda tulevikuks juba nüüd?
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
MIKS ANDMEKAITSE JA
MIKS JUST PRAEGU?
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
MIKS ANDMEKAITSE JA MIKS JUST PRAEGU?
Isikuandmed kui „uus nafta“
Big Data
Tehnoloogiline areng ja vajadus (nt pilvetehnoloogia)
Kaasa toonud vajaduse uuenduste järgi regulatsioonides nii Euroopas kui ka mujal
maailmas:
Euroopa andmekaitsereform
Euroopa Nõukogu Konventsiooni nr 108 uuendamine
OECD uuendatud juhised
Mitmete riikide esmakordsed andmekaitseseadused (sageli põhinevad n-ö
Euroopa mudelil)
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
MIKS ÜLDSE ISIKUANDMETE KAITSE TEEMAGA TEGELEDA?
Kohustus seadusest
Sanktsioonid
Võimalik kahju mainele
Konkurentsieelis?
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
KUIDAS VÕIVAD ISIKUANDMED SOOVIMATULT AVALIKUKS TULLA?
Ei ole ainult IT küsimus – ettevõttes peab kaitse toimima kõigil tasandil, sh
organisatsioonilisel
Sageli määrav just inimlik faktor:
Asjade kaotamine/vargus (mälupulgad, arvutid, telefonid)
Lohakus või vastavate protseduurireeglite puudumine (isikuandmeid sisaldavate
dokumentide ebapiisav hävitamine, nt Õismäe perearstikeskus)
Häkkimine
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
REGULATSIOON EESTIS
JA EUROOPA LIIDUS
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
REGULATSIOON EUROOPAS
EL-i direktiiv 95/46/EÜ (andmekaitsedirektiiv)
EL-i direktiiv 2002/58/EÜ (elektroonilise side direktiiv)
Üldkasutatavate elektrooniliste sideteenuste osutamisel ühenduse üldkasutatavates sidevõrkudes
EL-i direktiiv 2006/24/EÜ
Üldkasutatavate elektrooniliste sideteenuste või üldkasutatavate sidevõrkude pakkujate tegevusega kaasnevate või nende töödeldud andmete säilitamine
Võrgu- ja infoturbe direktiivi (nn küberkaitsedirektiivi) eelnõu
Praegu peavad ainult telekomiettevõtted andmete rikkumisest teavitama
Ettepanek nimekirja laiendada (nt internetifirmad, pangandus-, energia-, tervisesektor)
Teavitama peab juhtumitest, millel on märkimisväärne mõju ettevõtte peamise teenuse pakkumisele
Lisaks olulisel kohal Euroopa andmekaitseinspektori (EDPS) ja andmekaitsedirektiivi artikli 29 alusel loodud töögrupi (WP29) arvamused ja juhised
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
REGULATSIOON EESTIS (1)
Isikuandmete kaitse seadus (IKS)
Ei kohaldata, kui isikuandmeid töötleb füüsiline isik isiklikul otstarbel või kui
isikuandmeid üksnes edastatakse läbi Eesti territooriumi, ilma neid siin
töötlemata
Ei kohaldata üldiselt ka siis, kui andmesubjekt on oma isikuandmed
avalikustanud ise, andnud nõusoleku nende avalikustamiseks või kui
isikuandmeid avalikustatakse seaduse alusel (mh ajakirjanduses)
Elektroonilise side seadus
10. ptk – andmete turvalisus ja kaitse
Infoühiskonna teenuse seadus
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
REGULATSIOON EESTIS (2)
Andmekaitseinspektsioon (AKI):
IKS, AvTS jt isikuandmete töötlemist ja üldiseks kasutamiseks mõeldud teabe
avalikustamist ja juurdepääsu sätestavate õigusaktide täitmise riiklik
järelevalve
Delikaatsete isikuandmete töötlejate registreerimine
Haldus- või väärteomenetluse korras karistamine
Juhised (nt elektrooniliste kontaktandmete kasutamine otseturustuses;
isikuandmete taatlemine töösuhetes; isikuandmete edastamine välisriiki,
turvakaamerate kasutamine jpt)
Koostöö välisriikidega
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
ÜLEVAADE PÕHILISTEST
ANDMEKAITSE
ELEMENTIDEST
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
PÕHIMÕISTED (1)
Isikuandmed (1)
Mis tahes andmed tuvastatud või tuvastatava füüsilise isiku kohta, sõltumata
kujust või vormist
Nimi, isikukood, aadress, finantsinfo, haridusinfo, harjumused
IP-aadress?
Juriidiliste isikute kohta käivad andmed ei käi IKS regulatsiooni alla
„Tavalised“ ja delikaatsed isikuandmed
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
PÕHIMÕISTED (2)
Isikuandmed (2)
Delikaatsed isikuandmed on:
poliitilisi vaateid, usulisi ja maailmavaatelisi veendumusi kirjeldavad andmed, välja arvatud andmed seadusega ettenähtud korras registreeritud eraõiguslike juriidiliste isikute liikmeks olemise kohta;
etnilist päritolu ja rassilist kuuluvust kirjeldavad andmed;
andmed terviseseisundi või puude kohta;
andmed pärilikkuse informatsiooni kohta;
biomeetrilised andmed (eelkõige sõrmejälje-, peopesajälje- ja silmaiirisekujutis ning geeniandmed);
andmed seksuaalelu kohta;
andmed ametiühingu liikmelisuse kohta;
andmed süüteo toimepanemise või selle ohvriks langemise kohta enne avalikku kohtuistungit või õigusrikkumise asjas otsuse langetamist või asja menetluse lõpetamist.
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
PÕHIMÕISTED (3)
Isikuandmed (3)
Delikaatsete isikuandmete töötlemine tuleb registreerida AKI-s. Registrikannetel
õiguslik tähendus.
Erand: kui on määratud isikuandmete kaitse eest vastutav isik (sõltumatu;
kontrolliv tegevus; register) ja registreeritud AKI-s
Veel erandeid: kui delikaatsed andmed satuvad kätte juhuslikult või kasutatakse
neid sisemiseks töökorralduseks (näiteks peetakse tööandjana arvestust töötajate
haigestumiste üle)
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
PÕHIMÕISTED (4)
Töötlemine
Iga isikuandmetega tehtav toiming, sh kogumine, salvestamine, korrastamine, säilitamine, muutmine ja avalikustamine, juurdepääsu võimaldamine, päringu teostamine ja väljavõtete tegemine, kasutamine, edastamine, ristkasutamine, ühendamine, sulgemine, kustutamine, hävitamine, sõltumata toimingute teostamise viisist ja kasutatavatest vahenditest
Vastutav töötleja
Otsustab isikuandmete töötlemise eesmärgid, töödeldavate isikuandmete koosseisu, töötlemise korra ja viisi ja isikuandmete kolmandatele isikutele üleandmise lubamise
Kõik seadusest tulenevad kohustused on vastutaval töötlejal!
Volitatud töötleja
Töötleb andmeid vastutava töötleja ülesandel haldusakti või lepingu alusel (nt IT teenus, raamatupidamisteenus)
Volitatud töötleja tegevuse eest vastutab lõppkokkuvõttes vastutav töötleja
Üks ettevõte võib olla nii vastutav kui ka volitatud töötleja – oleneb andmetest
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
ANDMEKAITSE PÕHIMÕTTED
Seaduslikkus
Eesmärgikohasus
Minimaalsus
Kasutuse piiramine
Andmete kvaliteet
Turvalisus
Individuaalne osalus
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
VASTUTAVA TÖÖTLEJA KOHUTUSED (1)
Informatsiooni andmine
Milliseid andmeid töötlema hakatakse? Mis eesmärgil kasutatakse? Kes kasutavad? Vastutava isiku nimi ja aadress. Kuidas saab andmetele ligi? Millal on õigus nõuda andmete töötlemise lõpetamist, parandamist, sulgemist ja kustutamist? Õigus pöörduda AKI või kohtu poole ja nõuda kahju hüvitamist
Privaatsuspoliitika ei ole kohustuslik, aga soovituslik
Nõusoleku küsimine
Vaba tahe
Kirjalikku taasesitamist võimaldavas vormis
Informeeritud
Vaikimine ja tegevusetus ei ole nõusolek
Tõendamise kohustus töötlejal
Selgelt eristatav
Delikaatsete isikuandmete puhul kirjalik ja selgelt delikaatsete isikuandmete töötlemiseks andud
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
VASTUTAVA TÖÖTLEJA KOHUSTUSED (2)
Nõusolek ei ole vajalik kui:
Töötlemine toimub seaduse alusel (nt sideettevõtja võib kliendi nõusolekuta
töödelda ja säilitada andmeid, kui see on vajalik kliendile arve esitamiseks,
sealhulgas sidumistasude kindlaksmääramiseks ja arvestamiseks) või seadusest
tuleneva ülesande täitmiseks
Üksikjuhtumil andmesubjekti elu, tervise või vabaduse kaitseks, kui isikult ei
ole võimalik nõusolekut saada
Andmesubjektiga sõlmitud lepingu täitmiseks või lepingu täitmise tagamiseks
(v.a delikaatsed isikuandmed) (nt tööleping)
Ettevõtetele soovitatav leida/kasutada muud alust kui nõusolek, sest nõusoleku
võib alati tagasi võtta
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
VASTUTAVA TÖÖTLEJA KOHUSTUSED (3)
Füüsilised, organisatsioonilised ja infotehnilised turvameetmed
Kirjalik leping volitatud töötlejaga
Delikaatsete isikuandmete töötlemise registreerimine või isikuandmete kaitse eest
vastutava isiku määramine
Jälgida isikuandmete töötlemisel kõiki andmekaitse põhimõtteid – isikuandmeid
tuleb töödelda ainult siis, kui vaja ja ainult sellises mahus nagu vajalik
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
ISIKUANDMETE EDASTAMINE VÄLISRIIKI (1)
Teised EL/EMÜ riigid: ei ole vaja rakendada täiendavaid garantiisid
Euroopa Komisjoni poolt piisavat isikuandmete kaitse taset pakkuvateks riikideks
hinnatud (Andorra, Argentiina, Austraalia, Kanada, Šveits, Fääri saared, Guernsey,
Iisrael, Isle of Man, Jersey, Uus-Meremaa, Uruguay): ei ole vaja rakendada
täiendavaid garantiisid
Kolmandad riigid: AKI loal kui vastutav töötleja garanteerib konkreetsel juhul
andmesubjekti õiguste ja eraelu puutumatuse kaitse selles riigis või konkreetsel
isikuandmete edastamise juhul on selles riigis tagatud piisav andmekaitse tase:
USA Safe Harbour
Asjakohased lepingutingimused (tüüptingimused) (AKI näidis, Euroopa Komisjoni
näidis)
Binding Corporate Rules
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
ISIKUANDMETE EDASTAMINE VÄLISRIIKI (2)
AKI luba ei ole vaja kui
Nõusolek (peab vastama seaduses toodud tingimustele)
Üksikjuhtumil andmesubjekti elu jms kaitseks
Kui kolmas isik taotleb teavet, mis on saadud või loodud seaduses või selle
alusel antud õigusaktides sätestatud avalikke ülesandeid täites ja taotletav
teave ei sisalda delikaatseid isikuandmeid ning sellele ei ole muul põhjusel
kehtestatud juurdepääsupiirangut
Oluline tähele panna, et teistes riikides võivad isikuandmete töötlemisele
kehtida teised reeglid (nt Saksamaal kohustus määrata isikuandmete kaitse eest
vastutav isik; paljudel riikides kõikehõlmav registreerimiskohustus jne)
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
ANDMESUBJEKTI ÕIGUSED
Saada teavet ja tema kohta käivaid isikuandmeid
Nõuda ebaõigete isikuandmete parandamist
Nõuda isikuandmete töötlemise lõpetamist, avalikustamist või neile juurdepääsu
võimaldamise lõpetamist, kogutud isikuandmete kustutamist või sulgemist
Pöörduda AKI või kohtu poole
Nõuda kahju hüvitamist
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
SANKTSIOONID
Kui vastutav töötleja rikub järgmisi kohustusi: delikaatsete isikuandmete töötlemise registreerimiskohustus, isikuandmete välisriiki edastamise nõuded, andmesubjekti teavitamise kohustus, isikuandmete kaitse turvameetmete nõuded, isikuandmete töötlemise nõuded, on ette nähtud trahv suuruses
Kuni 300 trahviühikut
Kui juriidiline isik – kuni 32 000 eurot
Delikaatsete isikuandmete ebaseadusliku avalikustamise, andmetele juurdepääsu võimaldamise või andmete edastamise eest omakasu eesmärgil või kui sellega on tekitatud oluline kahju teise isiku seadusega kaitstud õigustele või huvidele – karistatakse rahalise karistuse või kuni üheaastase vangistusega (KarS)
Teist isikut tuvastavate või tuvastada võimaldavate isikuandmete tema nõusolekuta edastamise, nendele juurdepääsu võimaldamise või nende kasutamise eest eesmärgiga luua teise isikuna esinemise teel temast teadvalt ebaõige ettekujutus, kui sellega on tekitatud kahju teise isiku seadusega kaitstud õigustele või huvidele, või varjata kuritegu karistatakse rahalise karistuse või kuni kolmeaastase vangistusega (KarS)
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
EUROOPA ANDMEKAITSE
REFORMIKAVA (SEISUGA
OKTOOBER 2013)
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
TAUST
Euroopa andmekaitsedirektiiv pärineb aastast 1995 – vahepeal toimunud kiire
tehnoloogiline areng tinginud vajaduse uuenduste järele
Eesmärgiks suurendada andmesubjektide kaitset ja õigusi ning soodustada siseturu
toimimist
Rohkem õigusselgust ettevõtetele (nn one-stop-shop)
Vähendada halduskoormust
Üleüldine toetus direktiivi uuendamisele, erimeelsus ulatuse ning vormi osas
Euroopa Komisjon teeb väga suuri jõupingutusi eelnõu läbi surumiseks
Eesti Euroopa Komisjoni eelnõu suhtes väga kriitiline (ülereguleerimine,
keerukam eri väärtuste kaalumine, mõjuanalüüsi puudumine jms)
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
HETKESEIS
Euroopa Komisjoni eelnõu (jaanuar 2012):
Euroopa isikuandmete kaitse üldmääruse eelnõu
Kriminaal- ja politseivaldkonna isikuandmete kaitse direktiivi eelnõu
Laiaulatuslikud arutelud, arvamused, debatid, suurfirmade ja USA lobi
Seadusandlik tavamenetlus: Euroopa Parlament ja EL Nõukogu
Euroopa Parlamendi juhtkomitee aruande projekt (jaanuar 2013)
Üle 4000 (!) parandusettepaneku
Euroopa Parlamendi juhtkomitee aruanne (oktoober 2013)
EL Nõukogu on pidanud mitmeid arutelusid, aga ei ole ühise arvamuseni jõudnud – paljudel liikmesriikidel reserveeringud
Oluline tähtaeg: aprill 2014
Nõukogu ei pruugi jõuda mis edasi?
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
OLULISED ELEMENDID (1)
Ekstraterritoriaalne mõju – määrus kehtib ka töötlejatele väljaspool EL-i, kui nad pakuvad teenuseid EL-is elavatele inimestele või kui nad jälgivad EL-is elavaid inimesi (profileerimine)
Pseudonüümsed ja krüpteeritud andmed kuuluvad isikuandmete definitsiooni alla, ent nende puhul kehtivad mõned erandid
Küpsised ja IP-aadressid kui isikuandmed
„Peamine tegevuskoht“ – piiriülestele firmadele lihtsustatud kontseptsioon, kus nad peavad tegemist tegema ainult ühe andmekaitseasutusega, kes koordineerib tööd kõigi teiste riikide omadega, kus firma tegutseb
Isikuandmete välisriikidesse edastamine
Euroopa Komisjoni pädevusotsused ja Safe Harbouri režiim jääb kehtima 5 aastaks pärast määruse jõustumist
Lepingu tüüptingimused tuleb üle vaadata ja uuesti registreerida 2 aasta jooksul pärast määruse jõustumist
Binding Corporate Rules
„Euroopa Andmekaitse Pitsat“ kui uus alus
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
OLULISED ELEMENDID (2)
Selgesõnaline (explicit) nõusolek
Firmade õigustatud huvi kui üks töötlemise alus, ent piiratud
Ikoonide kasutamine privaatsuseeskirjades
Õigus olla unustatud/õigus andmete kustutamisele
Vastutava töötleja vastutuskohustus kui eraldi kontseptsioon (accountability) –
peab vastu võtma vastavad eeskirjad ja juhised ning olema suuteline
demonstreerima nende efektiivsust
Iga kahe aasta tagune privaatsuseeskirjade ja –protseduuride kohustuslik üle
vaatamine
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
OLULISED ELEMENDID (3)
Privacy by Design, Privacy by Default
Andmete rikkumisest tuleb teavitada võimalikult kiiresti (AKI ja andmesubjekt)
Vastutaval ja volitatud töötlejal suurenenud kohustused:
Dokumenteerimiskohustus
Mõjuanalüüsid
Kohustuslik isikuandmete kaitse eest vastutava isiku määramine, kui tegemist avaliku sektoriga, kui töötleja töötleb aasta jooksul rohkem kui 5000 andmesubjekti andmeid, kui töötleja töötleb delikaatseid isikuandmeid või kui töötlemine, oma olemuselt, sisaldab isikute jälgimist
Eelnev konsultatsioon ja luba AKI-lt
Detailsem turvameetmete kirjeldus
Väga kõrged sanktsioonid: 100 mln eurot või 5% ettevõtte ülemaailmsest käibest, kumb iganes on suurem
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
KUUMAD TEEMAD
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
KUUMAD TEEMAD ANDMEKAITSES TÄNA
Mobiilirakendused
Hollandi andmekaitseinspektsiooni WhatsAppi juhtum; Jay-Z
Palju juhiseid
Pilvetöötlus
Küpsised
BYOD (Bring Your Own Device)
Andmete säilitamine raskete kuritegude uurimiseks (data retention)
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
MIDA TEHA JUBA TÄNA?
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
Viia tegevus kooskõlla kehtiva IKS-iga:
Registreerida delikaatsete andmete töötlemine või nimetada isikuandmete kaitse eest vastutav isik
Veenduda, et andmeid ei töödelda rohkem kui vaja ning et iga töötlemise jaoks oleks olemas alus
Veenduda, et oleksid paigas asjakohased lepingud volitatud töötlejatega
Veenduda, et kõik isikuandmete edastamised välisriikidesse oleksid asjakohasel alusel ja asjakohaste tagatistega
Veenduda, et andmete turvalisus oleks igati tagatud (nii tehnoloogiliselt kui ka organisatsiooniliselt)
See eeldab arusaama oma ettevõtte isikuandmete töötlemisest (inventuur), võimalike ohtude teadvustamist ning oma töötajate koolitamist
Vt ka AKI „Eneseabi küsimustik“
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
Valmistuda tulevikuks ja Euroopa isikuandmete kaitse üldmääruseks (tuleb mingil –
kehtivast IKS-st rangemal kujul – ühel hetkel niikuinii):
Selgitustöö! Palju kontseptsioone, mis Eesti ettevõtetele võõrad
Inventuur
Protseduurid, juhised, põhimõtted, koolitused
2014.05.15 WWW.GLIMSTEDT.EE TALLINN VILNIUS RIGA MINSK STOCKHOLM /
AITÄH!