Eesti on andmekaitses Euroopa Liidu üks nõrgim lüli

01.02.2021

Oliver Grauberg
Advokaadibüroo KPMG Law advokaat



Möödunud neljapäeval (28.01) tähistati isikuandmete kaitse päeva ning, arutledes kolleegiga siinse isikuandmete kaitse õigusliku ja praktilise taseme üle, jõudsime järeldusele, et ega meil suurt miskit tähistada pole. Isikuandmete kaitse tase on meil Euroopa Liidu liikmesriikide võrdluses sabassörkija ja meie probleemid ei ole „kõigest“ riskid meie enda kodanike isikuandmete turvalisusele, vaid võimaldavad kõikide eurooplaste isikuandmete pahatahtlikku levitamist.

Mida tähendab isikuandmete pahatahtlik levitamine? Pean silmas isikuandmete õigusliku (näiteks isiku enda nõusolek) aluseta müümist Euroopa Liidu välistele isikutele. Tegemist on väga tülikate olukordadega, kus teie isikuandmeid hakatakse töötlema isiku või organisatsiooni poolt, keda on väga keeruline selle eest vastutusele võtta.

Miks on võimalik ilma minu nõusolekuta isikuandmeid seaduslikult müüa? Hea küsimus. Juriidiliselt ei saa andmetele ehk informatsioonile omandit kehtestada ehk teie isikuandmed ei ole teie omand. Keegi ei oma fakte, näiteks et taevas on sinine või et minu nimi on Oliver Grauberg. Kuid samas on võimalik omada andmebaase (mis erinevad lihtandmetest oma süstemaatilise organiseerituse poolest – seadus soovib kaitsta investeeringuid, mis suunatakse andmebaaside koostamisele). Tegemist on piiratud intellektuaalse omandi õigusega, mis on täpsemalt kirjeldatud autoriõiguse seaduses, kuid sisuliselt võib andmebaasi omaja keelata või lubada teistel selle andmebaasi kasutamist. See õigus on müüdav. Kuna teie isikuandmed on andmebaasis, mille omand teile ei kuulu, siis ei olegi sellise andmebaasi müügiks teie nõusolekut tarvis ning teil puudub ka võimalus sellist lepingut tagasi pöörata.

Kas isikuandmete kaitse üldmäärus (tuntud ka kui IKÜM/GDPR) ei peaks sellist tegevust takistama? Ei ja jah. Ühelt poolt ei kehtesta ka IKÜM isikuandmetele omandit. Pigem on see tegevusjuhend – kui tegeled isikuandmete töötlemisega, kohustud järgima konkreetseid nõudeid, muidu ähvardab trahv. Seega reguleerib IKÜM ennekõike reaalseid tegevusi, samas kui müügileping on olemuselt õiguslik suhe. Teisalt on ka müügilepingu täitmiseks vaja töödelda isikuandmeid – need tuleb edastada ostjale. Isikuandmete edastamine kui tegevus on IKÜM-s reguleeritud ning seega on isikuandmete edastamine lubatud vaid õigusliku aluse (nt isiku nõusolek) olemasolul. Rikkumise tagajärjeks on trahv õigusliku aluseta edastamise eest, kuid samas müügileping jääb ikkagi kehtima. Totter olukord, kus isikuandmed on kehtivalt edasi antud, kuid vähemalt edastamise eest trahvitakse.

Kuidas on tegemist just Eesti probleemiga? Üldpildis tagab IKÜM trahvide märkimisväärne suurus ning järelevalveasutuste tegevus piisava heidutuse sellise tegevuse takistamiseks, sest trahvirisk ületab müügitulu, kuid mitte Eestis, mis on saamaks kurikuulsaks oma passiivsusega andmekaitses. Me võime küll rääkida hirmuäratavatest trahvidest teoreetiliselt, aga praktikas ei ole me ainukese riigina ühtegi trahvi teinud. Vabandan, kaks trahvi ikkagi tegime - 48 eurot politseiteenistujale politsei andmebaasis surfamise eest ja 56 eurot tervishoiutöötajale e-tervise andmebaasis surfamise eest.

Tegemist on meie kõige tundlikemate andmebaasidega, keda sellised trahvid heidutama peaksid? Ja me ei räägi siin sellest, et Andmekaitse Inspektsioon (AKI) peaks justkui väikestele ettevõtjatele miljonite ulatuses trahve välja kirjutama - selline paanika külvamine on alusetu. Juba suhteliselt laialdane praktika Euroopas näitab, et trahvide määrad arvestavad kõiki asjaolusid ning valdav enamus IKÜM trahve on siiski nelja- või viiekohalised. Jah, kui näitad üles absoluutset hoolimatust andmekaitsenõuete suhtes või kui rikud teadlikult nõudeid väga ulatuslikus koguses andmete töötlemisel, siis on karistus karmim - ja peakski olema. Kuid kahjuks on just Eesti sattunud positsiooni, kus trahvi heidutus, kui põhiline tagatis isikuandmete turvalisuse tagamisel, ei tööta, ohustades nõnda kõikide eurooplaste andmeid.

On kaks põhjust, miks Eesti siin teistest maha jääb. Esimene on laias laastus meie õigusruum, mis ei võimalda haldusmenetluse raames trahve määrata (erinevalt teistest liikmesriikidest). Trahvide määramiseks on praegune lahendus seega väärteomenetlus. Väärteomenetluse kaudu on aga väga keeruline rikkumise eest vastutusele võtta.

Esiteks tuleb tuvastada, et rikkuja on süüdi ilma igasuguse kahtluseta, mis on oluliselt kõrgem tõendamiskoormis kui haldusmenetluses. Ühes asjaoludega, et andmekaitsenõudeid rikkuv andmetöötlus toimub varjatult ja paljude nõuete täitmine on IKÜM üldsõnalisuse tõttu vaieldav, on lootus kedagi vastutusele võtta väga madal. Teine probleem väärteomenetluses on juriidilised isikud. Reaalne oht ei ole üksikisikute uudishimupäringud, vaid  äriühingute süsteemne omavoli isikuandmete töötlemisel ja kasu eesmärgil andmetega kauplemine. Kuid on selge põhjus, miks meie kaks trahvi olid politseiteenistujale ja tervishoiutöötajale, mitte PPA-le ja tervishoiuteenuse pakkujale – väärteomenetluse takistused. Juriidilise isiku karistamine on küll võimalik, kuid selleks peab kõigepealt mõistma süüdi selle äriühingu mõne juhtivtöötaja isiklikult ning siis ka tõendama, et see töötaja tegutses rikkumisel äriühingu huvides – jällegi keeruline koorem AKI-le täita.

Kuigi väärteotrahve praktiliselt tehtud ei ole, on AKI pädevuses määrata ka sunniraha IKÜM rikkumiste lõpetamiseks. Tegemist on haldusmenetluse kõige lähedasema instrumendiga trahvile. Teadmata kindlalt, kas mõni sunniraha hoiatus AKI poolt on jõudnud ka päriselt sunniraha välja mõistmiseni (märkimisväärseid summasid pole ma täheldanud), julgen väita, et ka sunniraha määramisel on mitmeid probleeme.

Esiteks peab sunniraha väljamõistmisele eelnema hoiatus koos tähtajaga rikkumise lõpetamiseks, mis sisuliselt nullib igasuguse heidutusfunktsiooni – rikkuja saab targalt tegutsedes pääseda puhta nahaga isegi siis, kui vahele jääb. Teiseks on sunniraha rakendatav vaid selleks, et sundida rikkumist lõpetama. Tuleme tagasi meie probleemolukorra juurde – andmebaasid on juba müüdud, rikkumine on toimunud ja seda ei ole võimalik lõpetada. Sunniraha ei saa rakendada. Välismaise ostja suhtes, kes rikkumist jätkab, pole meil suurt midagi peale hakata. Sel põhjusel olen erinevalt mitmest kolleegist pigem rahul plaaniga tuua Eesti õiguskorda haldustrahvid. Isegi kui praegusel kujul on eelnõu veel „kandiline“, siis selle eesmärk on vägagi vajalik ning plaaniga viivitamine riigile pigem kahjulik.

Teine põhjus, miks Eesti maha jääb – AKI lähenemine järelevalve teostamisel. Tekib ju küsimus, et kui sunniraha hoiatusi on tehtud palju, siis on ju ka tuvastatud palju rikkumisi – miks pole algatatud väärteomenetlusi? AKI on teatanud, et nende prioriteet on võimalusel andmetöötlejaid trahvimise asemel toetada, mis tundub mõistlik ja ettevõtjasõbralik lähenemine - kuid teatava piirini. Praeguses olukorras on AKI-l viimane aeg näidata, et nad on ikkagi järelevalveasutus, mitte nõustamisettevõte. Ilmselt on passiivsuse põhjuseid teisigi. Oletan, et IKÜM rakendumisega ei kaasnenud AKI jaoks vajalikud lisavahendid, mille toel arendada kompetentsi ja tõsta võimekust väärteomenetlusi efektiivselt läbi viia. Kui see on nii, siis miks pole AKI-le vahendeid juurde antud? Katteallikas täiendavatele kuludele saaks ju tulla järelevalve raames läbiviidavatest menetlustest.

Miks me siia jõudnud oleme? Sest ka probleemi ignoreerimiseks on esitatud õigustusi. Peamiselt, et igasugune järelevalve ja trahvide tugevdamine kahjustab meie ettevõtluskeskkonda ning riigi eesmärk peaks olema ettevõtluse soosimine, mitte selle ahistamine sanktsioonidega. Minu hinnangul on see alusetu argument, sest kohe tekib küsimus - keda me nii soosime? Selgelt on antud juhul kaotajateks seaduskuulekad ja isikuandmete turvalisust väärtustavad ettevõtjad, kellel on küll parem kontroll ja ülevaade oma andmetöötlusest ning on avalikkusele usaldusväärsemad, kuid kes peavad järgima meie andmete turvalisuse tagamiseks piiranguid, millele nende ükskõiksemad konkurendid vilistavad ja turueelise saamiseks ära kasutavad.

Teiseks, mis rahvusvahelise kuvandi me seeläbi loome siin tegutsevatele ettevõtetele? Ei saa ju olla eesmärk, et näiteks siinsed IT-ettevõtted peaksid õigustama madala andmekaitse taseme kiuste oma äritegevust Eestis. Kui korraks mõelda, et missugust ettevõtluskeskkonda me soovime ja milliseid ettevõtjaid siia ootame, siis on alusetu väita, et tugevam õigusruum ja efektiivsem jõustamine meie ettevõtjaid pärsib. Ning ilmselt peaksimegi pärssima nende tegevust, kes hetkeolukorrast kasu lõikavad.

Olukorrakirjeldus võib tunduda dramaatiliselt esitatuna, kuid tegutsedes igapäevaselt IT-õiguse ja andmekaitse valdkonnas rahvusvahelises nõustamisvõrgustikus, on see probleem üha tajutavam. Veelgi enam, see on kõigest üks meie probleemidest andmekaitses, järgmisena võime käsitleda näiteks Eesti õigusruumi problemaatikat seoses veebiküpsistega. Lühidalt - andmekaitse mõttes sörgime me teistel sabas ja ilmselt see meie digiriigi kuvandile kaasa ei aita. Loodan siiski, et Eesti jõuab EL-ile järele ning minu soovitus oleks mitte takerduda näiteks 5G ja IoT andmeturvalisuse pindudesse, kui meil veel on kaelas rippumas väga puuduliku järelevalve palk.

Artikkel on avaldatud Ärilehes


Andmekaitse alaste küsimuste, mõtete, probleemide korral võtke julgesti ühendust Oliver Graubergiga.

Leiame Teie ettevõtte jaoks parima lahenduse!

Oliver Graubergi kontaktid