Andmekaitsemääruse tegevuste TOP 10: 1. MIS ON ISIKUANDMED?

Triniti

Isikuandmete kaitse üldmäärus laiendab ja täpsustab oluliselt andmete definitsiooni sh võib määruse järgi isikuandmeteks teatud juhtudel lugeda ka IP aadressi.

Isikuandmed

Määrusega astutakse samm kaugemale sellest, mida üldse andmeteks lugeda. Määruse artikkel 4(1) järgi on isikuandmeteks igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta. Seejärel määrus täpsustab, kuidas eelnevat tuleb mõista. Määrusest tuleneb, et andmeteks on sh nimi, isikukood, asukohateave, võrguidentifikaator aga lisaks ka füüsilise isiku füüsilised, füsioloogilised, geneetilised, vaimsed, majanduslikud, kultuurilised või sotsiaalsed tunnused ning võrgukäitumine.

Huvitav on see, et tuvastatavaks loeb määrus füüsilise isiku ka võrguidentifikaatori abil. Võrguidentifikaatoritena on määruse preambulis omakorda nimetatud ka IP-aadresse ja küpsiseid. Seega, kui traditsiooniliselt oleme mõistnud, et teave, millega saab isikut tuvastada on eelkõige nimi, isikukood ja asukohateave, siis nüüd tuleneb määrusest selgelt, et andmeteks võivad olla ka IP aadressid ja küpsised. Eriti just dünaamiliste IP aadresside osas täpsustuse saamiseks on Saksamaa ülemkohus pöördunud Euroopa Liidu Kohtusse eelotsusetaotlusega. Küpsiste osas on oluline, et kui ettevõte ei kasuta selliseid küpsiseid või veebimajakaid, mille kaudu on isik tuvastatav, ei ole enam vajalik ka nn küpsise-teavituse esitamine kodulehel.

Isikuandmed võivad olla ettevõttes kasutusel ja töödeldavad nii serveris paiknevates dokumentides (nt Excel-failid); e-kirjades; paberdokumentidel; erinevates infotehnoloogilistes keskkondades (s.h nt test-keskkonnad); serveri varukoopiates; töötajate arvutite kõvaketastel; CRM-programmides.

Selleks, et üldmääruse nõuetega vastavust hinnata, peaks ettevõtja täpselt teadma, kus ja milliseid andmeid hoitakse – kuidas muidu saaks ta tagada, et andmesubjekt saab teostada näiteks enda õigust koopiale.

Suhtelisus ja subjektiivsus

Juba eelnevast on mõistetav, et isikuandmed ei ole objektiivne kategooria.

Isikuandmete suhtelisus tähendab seda, et üks andmepoeg (ehk „anne“) võib olla isikuandmeteks, kuid seesama andmepoeg ei pruugi seda alati olla. Näiteks isiku nimi. Kui tegemist on nimega Margus Tamm, siis eraldi muudest, täiendavatest andmetest, ei ole tegemist isikuandmetega, sest selle kaudu ei ole füüsiline isik tuvastatav. Kui lisada sellele ükskikule andmepojale täiendavaid andmeid, nt isikukood, siis need koos moodustavad juba isikuandmed, sest füüsiline isik on nüüd tuvastatav.

Isikuandmete subjektiivsus täiendab seda, et see, kas konkreetsed andmed on isikuandmed või mitte sõltub sellest, kes seda vaatab. Heaks näiteks on sõiduki registrinumber. Tavalisele tänaval liikuvale isikule ei ole auto numbrimärgi näol tegemist isikuandmetega, sest tal ei ole võimalik tuvastada sõiduki kasutajat või omanikku (sest autoregister ei ole avalik register). Olles aga ARK töötajaks, kellel on ligipääs registrile ning kelle tööülesanded hõlmavad registrikannete ülevaatamist, oleks selline andmetükk nagu seda on autoregistri number isikuandmeteks.

Isikuandmete eriliigid

IKS-st varem delikaatseteks isikuandmeteks liigitunud isikuandmed on üldmääruses mõiste „isikuandmete eriliigid“ all ning nendeks on: isikuandmed, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, geneetilised andmed, füüsilise isiku kordumatuks tuvastamiseks kasutatavad biomeetrilised andmed, terviseandmed või andmed füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta.

Lisaks toob määrus eraldi välja ka süüteoasjades süüdimõistvad kohtuotsused ja süütegude või nendega seotud turvameetmetega seotud isikuandmed, mille kaitsele nüüdsest rohkem rõhku ja tähelepanu pööratakse. Tegemist ei ole siiski määruse järgi eriliigiliste andmetega.

Järgmised sammud ehk asu tegutsema!

Selleks, et tagada enda tegevuse kooskõla üldmääruse nõuetega on vajalik:

  • Teada, milliseid andmeid töödeldakse. Seda teadmist on võimalik saada näiteks läbi andmeauditi või ettevõtte töötlemistoimingute tervkhindamise;
  • Teada, kus asuvad isikuandmete eriliigid ja kas, kuidas neid töödeldakse, sest nende osas on vajalik eriline hoolsus ja täpsus.

Lisa kommentaar

Sinu e-postiaadressi ei avaldata. Nõutavad väljad on tähistatud *-ga