Andmekaitse

Andmekaitse (inglise keeles data protection) hõlmab endas reegleid, mis kaitsevad üksikisikute õigusi seoses nende isikuandmetega ning sätestab riigiasutuste, ettevõtete ja teiste organisatsioonide kohustused nende andmete kaitsmisel.^[1]

Eesmärk on kaitsta inimeste privaatsust, turvalisust ja ka õigusi. Kuna digitaalajastul kogutakse ja töödeldakse suurel hulgal isikuandmeid, on nende andmete kaitse muutunud aina olulisemak.^[2]

Isikuandmete kaitse on tunnustatud iga inimese põhiõigusena, mida reguleerib Euroopa Liidu põhiõiguste harta artikkel 8.^[3] Isikuandmete töötlemine peab olema sihipärane ning põhinema kas isiku nõusolekul või seaduslikul alusel. Eestis reguleerib isikuandmete kaitset isikuandmete kaitse seadus IKS.^[4]

Andmekaitse Euroopas

Andmekaitse reform algas 1995. aastal. Võeti vastu Euroopa Andmekaitsedirektiiv (95/46/EÜ), et kaitsta isikuandmeid ja tagada nende vaba liikumine.^[5] 2012. aasta jaanuaris tegi Euroopa Komisjon ettepaneku EL-i 1995. aasta andmekaitse-eeskirjade põhjalikuks reformiks, et tugevdada privaatsusõigusi internetis ja edendada Euroopa digitaalset majandust.^[5] Oluline eesmärk oli lihtsustada andmetöötluse reegleid ettevõtetele, et luua seejuures soodsamad tingimused ELi digitaalse ühisturu arenguks ja suurendada seega konkurentsivõimet Ameerika Ühendriikides asuvate suuremate teenusepakkujate, näiteks Google jt. vastu.

Euroopa Parlament ja Euroopa Liidu Nõukogu võtsid andmekaitse üldmääruse ehk GDPR-i (ingl. k. General Data Protection Regulation) vastu 14. aprillil 2016. Andmekaitse üldmäärus rõhutab isikuandmete privaatsuse tähtsust, pannes organisatsioonidele suure vastutuse andmekaitse tagamiseks. Määrus jõustus 24. mail 2016 ning hakkas pärast kaheaastast üleminekuperioodi kehtima 25. mail 2018. EL-i määrusena (direktiivi asemel) on GDPR otsekohalduv seaduse jõuga, samas annab see ka üksikutele liikmesriikidele paindlikkuse mõningate selle sätete muutmiseks ehk erandite tegemiseks.^[5]

Brüsseli efekti näitena on see määrus olnud inspiratsiooniks paljudele seadustele üle maailma, sealhulgas Jaapanis, kus loodi APPI (Act on the Protection of Personal Information).^[6]^[7] Samuti on California tarbijate privaatsuse seadusel (California Consumer Privacy Act / CCPA), mis võeti vastu 28. juunil 2018, palju ühist GDPR-iga.^[8] Pärast Euroopa Liidust lahkumist kehtestas Ühendkuningriik oma versiooni, "UK GDPR", mis on sisult sama, mis GDPR.^[9]

Andmekaitse Eestis

Andmekaitse Inspektsiooni (AKI) põhimääruse üldsätete artiklis 1, paragrahvides 1, 2 ja 3 ^[10] on sätestatud, et AKI on Justiitsministeeriumi haldusalas tegutsev asutus, mille ülesanne on tagada isikuandmete kaitse ja avaliku teabe kättesaadavus. AKI vastutab selle eest, et inimeste eraelulist teavet (isikuandmeid) kaitstaks ning et avalikku teavet hoitaks üldsusele kättesaadavana. Mõlemad on põhiseaduslikud õigused, mille kaitsmine kuulub AKI pädevusse.

Kui isikuandmete kaitse õigust on rikutud ja rikkuja ei ole esitatud pöördumisele kuu aja jooksul vastanud, võib pöörduda AKI poole. Samuti lasub igaühel endal vastutus oma andmete turvalisuse tagamiseks – hooletu andmete hoidmine või nende avalikustamine võib kaasa tuua mitmeid soovimatuid tagajärgi, nagu rämpsposti saamine või isegi konto- või identiteedivargus.^[11]

AKI poole saab pöörduda nõuandetelefoni, e-posti, posti või kohalemineku teel. Erinevate pöördumiste jaoks on inspektsiooni kodulehel saadaval vastavad vormid: sekkumistaotluse, selgitustaotluse ja teabenõude jaoks.^[viide?]

Lõimitud ja vaikimisi andmekaitse

Lõimitud andmekaitse tähendab, et andmekaitse on algusest peale arvestatud toodete, teenuste ja süsteemide loomisel. Vaikimisi andmekaitse tagab, et isikuandmete kogumine ja kasutamine on vaikimisi võimalikult piiratud – kogutakse ainult hädavajalikud andmed, juurdepääs neile on rangelt kontrollitud ning andmeid säilitatakse vaid nii kaua, kui vaja. Need andmekaitse vormid on kohustus kõigile vastutavatele töötlejatele, olenemata töötlemise suurusest ja erinevast keerukusest.^[12]

Vastutav töötleja on organisatsioon või isik, kes määrab kindlaks, miks ja kuidas isikuandmeid töödeldakse. Ta vastutab andmetöötluse eesmärkide ja meetodite eest ning kannab õiguslikku vastutust andmekaitse nõuete täitmise eest.^[13]

Vastutavatel töötlejatel tuleb uue töötlemistoimingu kavandamisel juba varakult silmas pidada lõimitud ja vaikimisi andmekaitset. Nad rakendavad lõimitud ja vaikimisi andmekaitset nii enne töötlemist kui ka pidevalt töötlemise ajal, vaadates korrapäraselt läbi valitud meetmete ja kaitsemeetmete tõhususe. Lõimitud ja vaikimisi andmekaitse kohustus kehtib ka olemasolevate süsteemide suhtes, milles töödeldakse isikuandmeid (isikuandmete kaitse üldmääruse artikkel 25 lõige 1).

Lisaks peavad vastutavad töötlejad suutma tõendada, et põhimõtteid on järgitud. Rakendatavad meetmed ja kaitsemeetmed peaksid saavutama andmekaitse seisukohast soovitud mõju ning vastutav töötleja peaks sellised meetmed dokumenteerima.^[12]

Vaata ka

Isikuandmete kaitse seadus

Andmekaitse Inspektsioon

General Data Protection Regulation

Volitatud töötleja

Viited

↑ "Andmekaitse". EUR-Lex.
↑ "Andmekaitse ABC II Miks privaatsus on oluline?". Andmekaitse Inspektsioon. 2023.
↑ "Euroopa Liidu põhiõiguste harta". Euroopa Liidu Teataja. 30. märts 2010. Lk 83/383.
↑ "Isikuandmete kaitse seadus". Riigi Teataja. 1. november 2023.
↑ ^5,0 ^5,1 ^5,2 "The History of the General Data Protection Regulation". European Data Protection Supervisor.
↑ Harwood, Lucy (15. juuni 2023). "Your Data Governance, GDPR and the Brussels Effect". Amplitude.
↑ "Act on the Protection of Personal Information".
↑ Lucarini, Francesca. "The differences between the California Consumer Privacy Act and the GDPR".
↑ "The UK GDPR". Information Commissioner's Office.
↑ "Andmekaitse Inspektsiooni põhimäärus". Riigi Teataja. 4. juuni 2021.
↑ "Isikuandmete ja eraelu kaitse". eesti.ee. 13. november 2024.
↑ ^12,0 ^12,1 "Lõimitud ja vaikimisi andmekaitse". Andmekaitse Inspektsioon.
↑ "Kes on vastutav töötleja või volitatud töötleja?". Euroopa Komisjon.

[1] "Andmekaitse". EUR-Lex.

[2] "Andmekaitse ABC II Miks privaatsus on oluline?". Andmekaitse Inspektsioon. 2023.

[3] "Euroopa Liidu põhiõiguste harta". Euroopa Liidu Teataja. 30. märts 2010. Lk 83/383.

[4] "Isikuandmete kaitse seadus". Riigi Teataja. 1. november 2023.

[:0-5] 5,0 ^5,1 ^5,2 "The History of the General Data Protection Regulation". European Data Protection Supervisor.

[6] Harwood, Lucy (15. juuni 2023). "Your Data Governance, GDPR and the Brussels Effect". Amplitude.

[7] "Act on the Protection of Personal Information".

[8] Lucarini, Francesca. "The differences between the California Consumer Privacy Act and the GDPR".

[9] "The UK GDPR". Information Commissioner's Office.

[10] "Andmekaitse Inspektsiooni põhimäärus". Riigi Teataja. 4. juuni 2021.

[11] "Isikuandmete ja eraelu kaitse". eesti.ee. 13. november 2024.

[:1-12] 12,0 ^12,1 "Lõimitud ja vaikimisi andmekaitse". Andmekaitse Inspektsioon.

[13] "Kes on vastutav töötleja või volitatud töötleja?". Euroopa Komisjon.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]