5. peatükk. Andmekaitsealane mõjuhinnang

Käesolevas viiendas peatükis on seletatud, mis on andmekaitsealane mõjuhinnang ja mida see sisaldab.

Vt üldmääruse art. 35, pp. 89-93; direktiivi art. 27, pp. 51-53; IKS § 38.
Vt käesoleva üldjuhendi lisa nr. 1 „Andmekaitsealase mõjuhinnangu tegemise kontrollnimekiri“.
Vt. Euroopa andmekaitsenõukogu „Suunised, mis käsitlevad andmekaitsealast mõjuhinnangut ja selle
kindlaksmääramist, kas isikuandmete töötlemise tulemusena „tekib tõenäoliselt suur oht“ vastavalt
määrusele (EL) 2016/679 avaneb uues vahekaardis
“.
Vrd. küberturvalisuse avaneb uues vahekaardisseaduse riskianalüüsi sätetega, eeskätt § 7.

 

Miks on mõjuhinnangut vaja? Mida ta sisaldab?

Iga mõistlik andmetöötleja hindab nii või teisiti oma tänaseid ja tulevasi ohte, kui selleks on vajadus. Õiguslikus mõttes on seda vaja kolme nõude täitmiseks:

1) vastutaval töötlejal on kohustus võtta arvesse andmetöötlusega seotud ohte ning rakendada meetmeid, et tagada andmetöötluse vastavus üldmäärusele/direktiivile ning seda üle võtvale IKSle ja olla võimeline seda vastavust tõendama;40

2) vastutaval töötlejal on kohustus rakendada lõimitud andmekaitset;41

3) vastutaval ja volitatud töötlejal on kohustus tagada töötlemise turvalisus.42 Ulatusliku tundliku isikuandmete töötlusega alustamisel nõuab üldmäärus/direktiiv (IKS) mõju hindamist dokumenteeritud kujul. Selle dokumendi sisule seatakse mõned miinimumnõuded. Vastutav töötleja hindab ja kirjeldab:

1) mis eesmärgi saavutamiseks mis alusel mis isikuandmeid mis meetoditega ta töötleb
2) kuidas töötlemiseks kavandatud valikud on eesmärgi saavutamiseks vajalikud ja kohased
3) ohtude analüüs, sh nende taseme määramine (nt kõrge, keskmine, madal)
4) milliseid tagatisi ja meetmeid ta ohtude suhtes rakendab

 

See ongi mõjuhinnangu sisu miinimum. Meetmed kätkevad endast töökorralduse reegleid, füüsilisi ja infotehnilisi lahendusi.

Mõjuhinnangu kõige olulisem eesmärk on hinnata, kas andmete kaitseks rakendatavad meetmed on piisavad, et tõenäolisi ohte kas täielikult maandada või vähemalt leevendada vastuvõetavale tasemele.

Kes peavad mõjuhinnangu tegema?

Mõjuhinnangu peavad tegema kõik isikuandmete vastutavad töötlejad, kelle isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvestades tekib tõenäoliselt inimestele suur oht.43 Üldmääruse eestikeelne versioon (art. 35 lg 3) toob eelneva kohta kolm näidet.44

Esimene näide käib profileerimise kohta: andmetöötleja hindab inimesi a. automatiseeritud andmetöötlust kasutades; b. ulatuslikult ja c. süstemaatiliselt ning d. selline hindamine on inimesele kas õiguslike tagajärgedega või olulise mõjuga.

Teine näide seisneb eriliiki või süüteoandmete ulatuslikus töötlemises.

Kolmas näide on avalike alade ulatuslik süstemaatiline jälgimine.

Paraku on üldmääruse eestikeelsest tõlkest jäänud ekslikult välja asjaolu, et see loetelu on tegelikult lahtine. Need näited ei ole ammendavad. Seega vajab mõjuhinnangut ka muu andmetöötlus, millega võib tõenäoliselt kaasneda eelneva kolme näitega võrreldav suur oht.

Mõjuhinnangu tegemise kohustuse määratlemisel tulevad mängu kaks kriteeriumi, mida üldmäärus kasutab ka andmekaitsespetsialisti määramise kohustuse juures: a) töötlemise süstemaatilisus ja b) ulatuslikkus.45 Kordame nende definitsioone:

Süstemaatiline andmetöötlus on planeeritud ja metoodiline. Andmetöötlus on ulatuslik, kui hõlmab: 1) eriliiki või süüteoandmeid 5000 ja enama inimese kohta;46

2) suurt ohtu põhjustavaid andmeid 10 000 ja enama inimese kohta;47 suure ohu näideteks võib tuua:

a. identiteedivarguse või -pettuse oht (eriti digitaalse usaldusteenuse ning sellega võrreldava identiteedihaldusteenuse puhul)
b. oht varale (eriti panga- ja krediitkaarditeenuse kaudu)
c. oht sõnumisaladuse rikkumisele (eriti sideteenuse puhul)
d. inimese asukoha reaalajas jälitamine (eriti sideteenuse puhul)
e. inimese majandusliku seisu avalikuks saamine (eriti maksuandmete, pangaandmete ning krediidireitingu andmete kaudu – kuid ei hõlma avalike andmete kasutamist)
f. oht õiguslike tagajärgedega või samalaadse mõjuga diskrimineerimiseks (sealhulgas töövahendusteenuses ning palga- ja karjäärivõimalusi mõjutavas hindamisteenuses)
g. laste isikuandmete töötlemine (lastele suunatud teenustes)
h. seadusest tuleneva saladuse hoidmise kohustusega kaitstud teabe avalikuks saamise oht (juurdepääsupiiranguga teave, ameti- ja kutsesaladusega kaitstud teave)

 

3) ülejäänud isikuandmed 50 000 ja enama inimese kohta.48

Piiriülese andmetöötluse korral49 ei määratletata ulatuslikku töötlemist andmesubjektide täpse minimaalse arvu järgi. Seetõttu peavad vastutavad töötlejad piiriüleste isikuandmete töötlemisel järgima järgmisi nõudeid.

Järgnev loetelu on soovituslik ning esitatud näited täiendavad ja täpsustavad täiendavalt üldmääruse artikli 35 lõikes 1 sätestatud nõudeid ning kriteeriume, mis on loetletud juhendis „Suunised, mis käsitlevad andmekaitsealast mõjuhinnangut ja selle kindlaksmääramist, kas isikuandmete töötlemise tulemusena „tekib tõenäoliselt suur oht“ vastavalt määrusele (EL) 2016/679 avaneb uues vahekaardis”.

Iga vastutav töötleja peab läbi viima andmekaitsealase mõju hindamise, kui võttes arvesse töötlemise laadi, ulatust, konteksti ja eesmärke, on tõenäoline, et füüsilisele isikule tekib suur oht.

Üldmääruse artikli 35 lõige 3 annab selle kohta kolm näidet.

1. Esimene näide on profileerimine – vastutav töötleja / volitatud töötleja hindab inimesi:

a. automatiseeritud andmetöötlemist kasutades
b. ulatuslikult (suures ulatuses)
c. süstemaatiliselt ning
d. selline hindamine on inimesele õiguslike tagajärgedega või olulise mõjuga.

2. Teine näide on eriliigiliste andmete või kriminaalkorras süüdimõistvate kohtuotsuste andmete ulatuslik töötlemine.

3. Kolmas näide on avalike alade ulatuslik süstemaatiline jälgimine. Euroopa Andmekaitsenõukogu suunistest50 lähtudes tuleks kaaluda järgmisi tegureid, kui otsustatakse, kas töötlemine toimub suures ulatuses: a. asjaomaste andmesubjektide arv kas konkreetse numbri või asjaomase elanikkonna osana;
b. andmete maht ja/või töödeldavate erinevate andmeühikute hulk;
c. andmete töötlemise kestus või püsivus;
d. töötlemistoimingute geograafiline ulatus.

Üldmääruse artikli 35 lõikes 3 loetletud näited ei ole ammendavad. Seetõttu vajab andmekaitse mõju hindamist ka muud liiki isikuandmete töötlemine, mis võib kaasa tuua eelneva kolme näidisega võrreldava kõrge riski.

Näiteks: 4. Biomeetriliste andmete ulatuslik töötlemine füüsilise isiku ainulaadse identifitseerimise eesmärgil.

5. Geneetiliste andmete töötlemine suures ulatuses.

6. Tööhõive kontekstis ulatuslik andmete töötlemine hõlmates töötajate tegevuste süstemaatilist jälgimist. Ulatuslik töötlemine, mis:

7. Võib kujutada endast identiteedivarguse või pettuse ohtu (eriti digitaalsete usaldusteenuste ja võrreldavate identiteedi haldamise teenuste puhul).

8. Võib tekitada varalise kahju riski (eriti pangandus- ja krediitkaarditeenuste puhul).

9. Võib põhjustada kirjavahetuse saladuse rikkumise ohtu (eriti sideteenuste puhul).

10. Toob kaasa asukoha jälgimise reaalajas (eriti sideteenuste puhul).

11. Võib kujutada ohtu isiku majandusliku seisu avalikustamisele (eriti maksualased andmed, pangandusandmed, krediidireitingu andmed – avalikult kättesaadavaid andmeid ei võeta arvesse).

12. Võib kujutada diskrimineerimise ohtu, millel on õiguslikud tagajärjed või millel on sarnane mõju (eriti tööjõu vahendamise ning palka ja karjääri mõjutavate hindamisteenuste puhul).

13. Võib kujutada ohtu, et kaotatakse teabe seadusjärgne konfidentsiaalsus (piiratud teave, ametisaladus). Rõhutame, et eelnevalt mainitud nimekirjad ja näited ei ole ammendavad, kuna näited üldmääruse artikli 35 lõikes 3 ei ole ammendavad.

Kuidas mõjuhinnangut koostada?

1) mõjuhinnangu peab koostama elektroonilises/kirjalikus vormis. Ta on küll andmetöötleja sisemine dokument, kuid Andmekaitse Inspektsioon võib selle järelevalve käigus välja nõuda ning eelkonsulteerimise käigus on selle inspektsioonile esitamine nõutav;

2) juhul, kui andmetöötlejal on küberturvalisuse seaduse kohaselt nõutav riskianalüüsi koostamine, siis on mõistlik küberturbe-ohtude hindamine ühitada isikuandmete kaitse alase mõju hindamisega;

3) andmekaitsealane mõju hindamine ei ole ühekordne tegevus. Kui andmetöötluse käigus ilmnevad uued suured ohud (näiteks kasutatav tark- või riistvara muutub infotehnilise arengu tõttu haavatavaks ning terve infosüsteemi turvalisus satub ohtu), siis tuleks mõjuhinnangut uuendada. Arusaadavalt kehtib siin olulisuse printsiip – ebaoluliste muutuste pärast ei ole mõtet mõjuhinnangut uuendama hakata;

4) sarnast suurt ohtu kujutavaid andmetöötlusi võib hinnata koos. Koos hindamist võiks teha ka siis, kui andmetöötlusse on kaasatud mitu andmetöötlejat (kaasvastutavad töötlejad ja/või vastutav ja volitatud töötleja). Eriti oluline on sel juhul täpselt fikseerida vastutus kaitsemeetmete osas;

Näide A: kaupluste ja turvaettevõtte koostöö kaameravalve kasutamise mõjuhinnangu tegemisel
Näide B: asutuste koostöö sama dokumendihaldusplatvormi kasutusele võtu mõjuhinnangu tegemisel

 

5) mõjuhinnangu tegemisse tuleb kaasata andmekaitsespetsialist, kui ta on või peab olema ettevõttes/asutuses määratud;51

6) kui on nõutav mõjuhinnang tegevusele, mis põhineb õigusaktil (avaliku võimu teostamine, avaliku ülesande täitmine, seadusejärgne kohustus), siis võib olla mõistlik teha mõjuhinnang ära juba õigusakti eelnõu väljatöötamiskavatsuse juures ja lisada ka peatükina eelnõu seletuskirja. Kui kõik olulised asjaolud olid juba väljatöötamiskavatsuse ajal teada ja nad hinnati ära, siis õigusakti rakendavad asutused täiendavat mõjuhinnangut koostama ei pea. Kui aga olulisi andmetöötlusvalikuid, mis põhjustavad suurt ohtu, tehakse alles või lisaks ka õigusakti ellurakendamise käigus, siis tuleb koostada (täiendav) mõjuhinnang.

Kuidas toimida juba käimasolevate andmetöötlustoimingutega?

Üldmääruse kohane mõjuhinnang tuleb teha andmetöötlustoimingute osas, millega andmetöötleja alustab peale 2018. a. 25. maid ehk peale üldmääruse rakendumist.

Mõjuhinnang tuleb teha ka siis, kui andmetöötleja tänased isikuandmete töötlemise toimingud ja põhimõtted on alates 2018. a. 25. maist oluliselt muutunud. Näiteks on kasutusele võetud uus tehnoloogia, isikuandmete töötlemise eesmärgid on muutunud või isikute kohta tehtavate automaatsete otsuste ja profileerimiste osakaal andmetöötlemise protsessis on märkimisväärselt kasvanud.


40 Vt üldmääruse art. 24, direktiivi art. 19, IKS § 29 lg 1.
41 Vt üldmääruse art. 25 lg 1, direktiivi art. 20 lg 1, IKS § 33.
42 Vt üldmääruse art. 32, direktiivi art. 29, IKS § 43.
43 Andmetöötluse laadi, konteksti ja eesmärki selgitame lisas nr 4. Andmetöötluse ulatust selgitame käesolevas peatükis.
44 Direktiivi art. 27 näidiste loetelu ei sisalda.
45 Vt üldmääruse art. 37 lg 1 p. b ning ulatuslikkuse osas ka p. c. Andmekaitsespetsialistidest lähemalt käesoleva üldjuhendi ptk. 3.
46 Eriliiki isikuandmed on üldmääruse art. 9 ja direktiivi art. 10 nimetatud andmed. Süüteomenetluste andmeid ja süüdimõistvaid kohtuotsuseid käsitleb üldmääruse art. 10. Reeglina kehtivad nii eriliiki kui süüteoandmetele samasugused nõuded (vrd. üldmääruse art. 35 lg 3 p. b, art. 37 lg 1 p. c). Inspektsioon lähtus arvu 5000 osas üldmääruse pp. 91 toodud ulatuslikkuse selgitusest. Pp. 91 kohaselt ei ole ulatuslik töötlemine üksiku arsti või muu tervishoiutöötaja andmetöötlus. Üldmäärus ei ütle, mitmest tervishoiutöötajast algab ulatuslik töötlemine. Eestis on kõige levinuimaks üksikuks tervishoiutöötajaks perearst, kelle nimistu piirsuurus on tervishoiuteenuste korraldamise seaduse § 8 lg 41 kohaselt 2000 patsienti või koos abiarstiga tegutsedes 2400 (tegelikkuses tavaliselt suurem). Arv 5000 tähendab vähemalt 3 piirarvu sisse jäävat perearsti või 2 piirarvust suuremat perearsti. Selle näite puhul tuleb arvestada, et ulatuslikkus on perearsti puhul oluline mõjuhinnangu tegemise kohustuse, mitte AKSi määramise kohustuse osas (kuna perearst kuulub avalikku sektorisse). Üldmääruse põhjenduspunktis toodud näide viitab ka üksikult tegutsevale juristile, kuid juristide klientuuri kohta usaldusväärne arvuline teave puudub. Ühtlasi arvestame, et eriliiki isikuandmete kohta käivad üldmääruse normid on rangemad kui varasemalt kehtinud isikuandmete kaitse seaduses – nende töötlemise alused on sõnastatud erandina, reegliks on keeld (vrd art. 9 lg 1, samuti direktiivi art. 10 lg 1; vt ka IKS § 20). Seetõttu on mõistlik, et eriliiki isikuandmete puhul kehtib muudest tundlikumatest andmetest poole väiksem ulatuslikkuse näitaja.
47 Suure ohu määratlus – vt üldmääruse pp. 75. Arvu 10 000 puhul lähtub inspektsioon võrreldavusest teiste oluliste teenustega, kus kasutatakse samuti 10 000 kliendi kriteeriumit: nt. oluline kaabelleviteenus (küberturvalisuse seaduse avaneb uues vahekaardis § 3 lg 1 p 5), elutähtsa teenusena osutatava elektrijaotusvõrgu teenus (elektrituruseaduse avaneb uues vahekaardis§ 211 p. 4), elutähtsa teenusena osutatav gaasijaotusvõrgu teenus (maagaasiseaduse avaneb uues vahekaardis§ 22 lg 15 p. 2).
48 Ülejäänud andmete töötlemise ulatuslikkuse puhul lähtus inspektsioon üldmääruse pp. 75 viimasest lauseosast: „kui töötlemine hõlmab suurt hulka isikuandmeid ja mõjutab paljusid andmesubjekte“.
49 Üldmääruse artikkel 35 lõige 6
50 Suunised avaneb uues vahekaardis, mis käsitlevad andmekaitsealast mõjuhinnangut ja selle kindlaksmääramist, kas isikuandmete töötlemise tulemusena „tekib tõenäoliselt suur oht“ vastavalt määrusele (EL) 2016/679 ja Suunised avaneb uues vahekaardisandmekaitseametnike kohta
51 Andmekaitsespetsialistist lähemalt vt käesoleva üldjuhendi 3. peatükist.

 

Last updated: 08.07.2024