Isikuandmete kaitse üldmääruse olulisus rehabilitatsiooniasutustele

Tõenäoliselt on enamus kuulnud andmekaitse reformist, mis on tulnud Euroopa Nõukogu poolt. Selle olulisusest räägitakse palju ja võiks öelda, et lausa nii palju, et mitmed ettevõtted on blokeerinud kogu selle teema ja nendele tundub, et see on justkui uus moodne asi, mida IT-inimesed ja juristid peale suruvad. Olles ise jurist, siis peaksin nõustuma sellega, et just eelnevalt mainitud kahe valdkonna inimesed näevad selles reformis teenimise võimalust. Mis seal salata, ka ise pakun vastavaid teenuseid. Kuid ei saa nõustuda sellega, et see on valdkond ja teema, mille puhul peaks silmad ja kõrvad kinni panema ja ignoreerima.

Andmekaitse on oluline kuna sellega kaitstakse füüsilisi isikuid (kliendid ja töötajad) ja nende andmeid. Füüsiline isik on alati olnud oma andmete omanik, kuid nad ei ole seda ise sellisena teadvustanud. Andmekaitse reformiga tuletatakse inimestele meelde, et tegemist on nende endi andmetega ja nemad saavad otsustada, mis nendega tehakse. Usun, et keegi ei vaidle sellele vastu, et andmekaitse reformi eesmärk on üllas. Selleks aga, et seda eesmärki täita peavad pingutama ettevõtted ja asutused, kes kasutavad (koguvad, töötlevad ja säilitavad) füüsiliste isikute andmeid. Euroopa Nõukogu määrusega on antud mitmeid õigusi füüsilistele isikutele ja selle kaudu on ka pandud mitmeid kohustusi juriidilistele isikutele.

Rehabilitatsiooniasutused töötlevad delikaatseid isikuandmeid, mida uue määruse kohaselt nimetatakse „eriliigilised andmed“. Nimetus on küll muutunud aga sisu mitte. Eriliigiliste andmete töötlemisele pööratakse suuremat tähelepanu kuna andmed on väga tundlikud. Sellest tulenevalt saab siinkohal välja tuua olulisemad kohustused, mis rehabilitatsiooniasutustel on alates 25.05.2018. a (s.o. päev, mil jõustub uus isikuandmete kaitse üldmäärus).

KOHUSTUSED rehabilitatsiooniasutustele seoses eriliigiliste andmete käitlemisega
  • Andmekaitseametniku määramine ja ametniku andmete esitamine ettevõtjaportaalis;
  • Töötlemistoimingute registri kohendamine. Delikaatsete isikuandmete register (DIAT-register) kehtib kuni 24.05.2018. a ning peale seda DIAT-registrisse andmeid enam esitama ei pea. Kuid rehabilitatsiooniasutused peavad siiski pidama töötlemistoimingute registrist, mis erineb mõne võrra DIAT-registrisse esitatavatest andmetest.
  • Andmete töötlemisest ja töötlemise eesmärkidest oma klientide ja töötajate

Lisaks ülaltoodule soovitan rehabilitatsiooniasutustel teha oma asutuse sisene andmete töötlemise analüüs, et tuvastada, kas asutus vastab 25.05.2018. a jõustuvatele andmekaitse tingimustele. Analüüsi koostamise kohustust ei ole, küll aga on  kohustus vastata kõikidele tingimustele.

Lõpetuseks saaks välja tuua, et nii nagu meedias on ka rõhutatud, siis trahvid isikuandmete kaitse üldmääruse rikkumise eest on tõepoolest utoopilised. Isiklikult arvan, et selliseid trahve Eestis ei hakata määrama massiliselt, kuid sellegi poolest tuleks pigem keskenduda oma asutuse nõuetele vastavusse viimisele, kui hiljem vaielda Andmekaitse Inspektsiooniga, kas rikkumine esines ja kas see oli oluline rikkumine.

Isikuandmete kaitse seaduse eelnõu ei ole käesoleval hetkel Eestis veel vastu võetud. Sellegi poolest soovitan tutvuda seaduse eelnõuga.

Abiks andmekaitse teemadel on kindlasti Andmekaitse Inspektsiooni koduleht, kust leiab täpsemaid selgitusi ja juhiseid.

Autor: vandeadvokaat Jana Reitsakas, Advokaadibüroo Remo`s