Andmekaitsemääruse tegevuste TOP 10: 6. ANDMETÖÖTLUSEKESKSETEST ETTEVÕTETEST JA PROFILEERIMISEST

Triniti
Andmetöötluse kesksete ettevõtete erisused

Ettevõtted, kelle tegevusest moodustab andetöötlus keskse või suure osa, on määruse kohaselt mitmeid täiendavaid kohustusi. Näiteks ettevõtted, kelle põhitegevuseks on ulatuslik isikuandmete töötlemine, ei pääse andmekaitse ametniku määramisest, sest sellistel ettevõtetel on andmekaitseametniku määramine ettenähtud määrusega. Samuti nõutab määrus, et mõjuhinnangu peavad tegema kõik, kelle isikuandmete töötlemisel selle laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsilistele isikute õigustele ja vabadustele suur risk[2].

Kõik eeltoodu ei tee lihtsamaks aga seda, kuidas määrata, kas konkreetne ettevõte on selline, mille põhitegevuseks on isikuandmete ulatuslik töötlemine või kelle töötlemise kaasneb suur risk. Määrus annab mõned viited, näiteks, et erasektoris on vastutava töötleja põhitegevus seotud tema esmase tegevusega ning mitte isikuandmete töötlemisega kõrvaltegevusena. Suure riski

Tegevusest, mida määrus eraldi reguleerida on võtnud on ettevõte, kelle tegevuse hulka kuulub profileerimine.

Profileerimine kui erikohustustega tegevus  

Profileerimiseks nimetab määrus igasugust isikuandmete automatiseeritud töötlemist, mis hõlmab isikuandmete kasutamist füüsilise isikuga seotud teatavate isiklike aspektide hindamiseks.

Automatiseeritud otsuste regulatsiooni juures on oluline teha vahet kahel erineval olukorral. Esiteks, kui tehakse otsus, mis ei põhine üksnes automatiseeritud töötlusel ja teiseks, otsus, mis põhineb üksnes automatiseeritud töötlusel. Näiteks ei loeta üksnes automatiseeritud töötlusel põhinevaks laenuandja otsust, kui laenuandja kasutab küll algoritmi abi krediidiskoori kujundamiseks, kuid lõpliku otsuse, kas laenu anda, teeb siiski inimene. Kui aga näiteks otsuse selle kohta, millise hinnaga tuleb isikul maksta kindlustusmakseid, teeb robot üksi, siis see oleks vaid automatiseeritud töötlusel põhinev otsus, mida määrus reguleerib rangemalt.

Nimelt on keelatud üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil põhinevate otsuste tegemine, millel on andmesubjektile kahjulikud õiguslikud tagajärjed või märkimisväärne mõju v.a kui selleks on:

  • andmesubjekti nõusolek;
  • see on lepingu täitmiseks või andmesubjekti taotlusel lepingu sõlmimiseks vajalik;
  • see on lubatud liikmesriigi õigusega.

Otsuse puhul, mis ei põhine üksnes automatiseeritud töötlusel on aga võimalik kasutada õigusliku alusena ka mh õigustatud huvi.

Täiendavalt on oluline automatiseeritud otsuste juures tähele panna, et andmesubjektidel on nendega seoses ka rohkem õigusi need on:

  • andmesubjektil on õigus konkreetsele teabele automatiseeritud töötluse kohta. Näiteks algoritmi korral sellele teabele, mida konkreetne algoritm muutujatena arvesse võtab;
  • õigust otsesele isiklikule kontaktile;
  • õigust väljendada oma seisukohta;
  • õigust saada selgitust otsuse kohta, mis tehti automatiseeritud otsusega;
  • õigust automatiseeritud otsust vaidlustada.

 

Automaatotsustest ja profileerimisest
Guidelines on automated individual decision-making and profiling for the purposes of Regulation 2016/679 –  (inglise keeles) vastu võetud 03.10.2017, kinnitatud 06.02.2018

Mõjuhinnangust
Suunised, mis käsitlevad andmekaitsealast mõjuhinnangut ja selle kindlaksmääramist, kas isikuandmete töötlemise tulemusena „tekib tõenäoliselt suur oht“ vastavalt määrusele (EL) 2016/679 (eesti keeles) – vastu võetud 04.04.2017, kinnitatud 04.10.2017
Inglise keeles: Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk”

[2] Määruse, ebaõnnestunud tõlkevalikute tõttu on eestikeelses tekstis kasutusel sõna „oht“.

Lisa kommentaar

Sinu e-postiaadressi ei avaldata. Nõutavad väljad on tähistatud *-ga