“Millise arvu või andmete massi juures algab ulatuslik andmetöötlemine? Kas vastust tuleb otsida jälgitavate isikute arvust, jälgimise ajast või geograafilist ulatusest? Inspektsioon on Eesti andmetöötlejate jaoks koostanud suuniseid andva nimekirja ja kirjeldanud ulatuslikkust Eesti mõistes. Dokument jagab andmetöötlejad, kes peavad määrama andmekaitsespetsialisti kolme kategooriasse: töödeldakse vähemalt 5000 inimese eriliigilisi andmeid, 10 000 inimese tundlikumaid isikuandmeid või 50 000 inimese tavalisi isikuandmeid.  Viimase statistika järgi on andmekaitsespetsialisteks määratud 1754 inimest (25. august). Enamikes EL liikmesriikides ei ole aga veel ulatuslikku andmetöötlust täpsemalt defineeritud,” selgitas Heiberg.

Kolmas näide tuleb Euroopa tasemel vaidlusest mõjuhinnangu koostamise üle. Andmekaitse üldmäärus nõuab ulatusliku andmetöötluse puhul, mis võib põhjustada suurt ohtu, eelneva mõjuhinnangu koostamist.

Liikmesriikide andmekaitseasutused saavad koostada näidisnimekirjad andmetöötluste kohta, mis vajavad mõjuhinnangut, kuid piiriülese andmetöötluse osas on nimekirjale vajalik saada Euroopa andmekaitsenõukogu kooskõlastust. Kuna määrus annab palju tõlgendamise võimalusi, siis siiamaani käib vaidlus selle üle, mis on ulatuslik andmetöötlus. Inspektsioon lähtub samadest kriteeriumidest, mis kehtivad andmekaitsespetsialisti määramise kohta.

Eesti on esimene riik, kust mõjuhinnangu koostamiskohustuse juhend jõudis juba juunis Euroopa andmekaitsenõukogu laua peale. “Riigid, kus andmetöötluse ulatuslikkust ei ole defineeritud, on tõsises hädas,” lausus Heiberg.

Kiired ajad AKIs

Võrreldes kolmekuulist perioodi 2017. ja 2018. aastal, siis selgitustaotlusi on tulnud inspektsiooni poole rohkem. 2017. aastal laekus neid 25. maist kuni 25. augustini 316, aga sel aastal tuli arvuks 628.

“Selle suure arvu sees jääb silma inimeste jaoks oluline teema. Väga palju tehakse pöördumisi nõusoleku saamine või andmise teemal reklaamimisel e-kanalites. Pöörduvad nii reklaami saajad kui saatjad. Alates 25. maist kuni 23. augustini on Andmekaitse Inspektsioon menetlenud ligi 80 selgitustaotlust, märgukirja või kaebust, mis on seotud reklaampakkumistega e-kanalitesse. Näiteks möödunud aastal menetleti sama ajavahemiku jooksul ligi 30 juhtumit,” selgitas Heiberg.

Heiberg lisas, et praeguseks on paljud ettevõtted ja asutused on oma andmetöötluse ja infoturbe korrastamisse tõhusalt panustanud, kuid mitte kõik. “Inspektsiooni ei saa kellegi eest hüpet sooritada, aga saab olla instruktor parima tulemuse sooritamiseks,” lausus ta.

“Avalikus sektoris on asutused vaikselt õppimas lähenema oma infohaldusele terviklikult – lisaks andmekaitsele ja küberturbele peab rakendama ka avaliku teabe seaduse ning digiteenuste kohta käiva määruse nõudeid. Kuigi selle positiivse trendi sees peab inspektsioon pöörama rohkem tähelepanu omavalitsustele, kus mulluse haldusreformi tõttu tuleb pakkuda rohkem tuge,” lisas ta.

Üks väärteomenetlus

Kuigi üldiselt on asjad liikumas heas trendis, siis on esinenud üks tõsisem probleem. Väärteomenetluseni on peale 25. maid jõudnud üks juhtum, mil asutus võimaldas dokumendiregistri kaudu ligi kolm nädalat juurdepääsu dokumendile, mis sisaldas piiranguga isikuandmeid, sealhulgas tundlikke eraelulisi andmeid.

Kokku on inspektsioonile on 30. augusti seisuga teatatud 34 juhtumist, kus isikuandmetega midagi juhtus. Kõige tõsisemaks tuleb inspektsiooni hinnangul pidada ühe perearstikeskuse andmete blokeerimist lunavaraga.

AKI seire

Eelmise aasta keskpaigast alustas inspektsioon omaalgatuslikult mahuka infoportaalide seirega, mille eesmärgiks on kaardistada isikuandmete töötlemise olukord infoportaalides. Millisel õiguslikul alusel ning milliseid isikuandmeid infoportaalides kogutakse ja (taas)avalikustatakse ning kuidas on inimesed informeeritud privaatsusega seotud aspektidest.

Inspektsioon on kaasatud samuti kolme rahvusvahelisse menetlusse. See tähendab, et juhtiv järelevalveasutus asub teises riigis ja kuna juhtum võib puudutada Eesti inimesi, on Eesti järelvalveasutus sinna kaasatud.

Seirete, auditite tegemise kõrval on inspektsioon oma tegevuses seadunud rõhuasetuse teavitusele ja selgitustele. Selles osas oleme saanud teha asutustele ja ettevõtetele erinevaid ringkirju, teavitusi. Kogu menetluspraktika kohta saab lugeda siit.