Andmete ülekantavus uues isikuandmete kaitse üldmääruses: müüdid ja tegelikkus

Andmekaitse Inspektsioon kutsus oma veebilehel muu hulgas üle vaatama andmete ülekantavuse oma tööprotsessides ja infosüsteemides, sest see saab tõenäoliselt olema rakendustegevustest kulukaim ja aeganõudvaim. Inspektsioon soovitas mitte jätta seda viimasele minutile, sest nõuete täitmist võidakse nõuda juba üldmääruse kohaldamise esimesest päevast peale.

Õigusnõustamise käigus oleme mitmel korral puutunud kokku nõutute klientidega, kes loevad üldmääruse andmete ülekantavuse kohta käivaid sätteid, kuid ei suuda sellest tuletada ühtegi selget nõuet ega soovitust selle kohta, mida nad nüüd kibekiiresti üldmääruse jõustumise ajaks tegema peavad. Mõistmatus algab juba nimetatud õiguse olemusest.

Andmete ülekantavus viitab justkui sellele, et andmeid peab olema võimalik anda punktist A üle punkti B, mis seondub kohustusega võimaldada andmete ülekandmist uuele kolmandale isikule (näiteks andmesubjekti uuele teenusepakkujale). Nii on seda kommunikeeritud ka avalikkusele, julgustades ettevõtjaid tööprotsessi ja infosüsteeme üle vaatama ning vajalikke lisaarendusi või muid kohandusi korraldama.

Kuid kes on need, kellele peaks olema võimalik andmeid üle kanda? Millised on nende süsteemid? Mida teha, kui ettevõtja ei suuda vastuvõtjana andmeid nende erineva ja ühildamatu vormingu tõttu töödelda?

Küsimusi on rohkem kui vastuseid.

Tegelikkuses on andmete ülekantavus 2018. aasta mais jõustuva üldmääruse sõnastuses pisut teine ja vähemalt andmetöötlejate ajutiseks lohutuseks märkimisväärselt leebem.

Andmete ülekantavust reguleerivas artiklis 20 on sisuliselt eristatavad kaks õigust.

Esiteks sisaldub selles andmesubjekti n-ö väljavõtteõigus ehk õigus saada teatud tingimuste esinemisel töötlejale edastatud automatiseeritult töödeldavaid isikuandmeid struktureeritud, üldkasutatavas vormingus ja masinloetaval kujul. Näiteks muusika streaming teenuse osutaja kohustus esitada kliendi palvel talle tema valitud lugude nimekiri. Seda tuleb andmetöötlejatel tõepoolest võimaldada alates järgmise aasta maist, mis muuhulgas võib tähendada protsesside ja süsteemide ülevaatamist selles võtmes, et andmesubjektile oleks igal ajal võimalik pakkuda terviklikku ülevaadet tema kohta töödeldavatest andmetest.

Mõnevõrra teine on aga olukord andmesubjekti andmete ülekantavusega andmetöötlejalt kolmandale isikule. Üldmääruses tunnustatakse peale väljavõtteõiguse igati ka sellist andmesubjekti õigust, kuid tehakse seejärel mööndus, mille kohaselt võib nõuda andmete edastamist otse teisele töötlejale, kui see on tehniliselt teostatav.

Ehk teisisõnu, kui ülekantavus ei ole tehnilistel põhjustel teostatav, ei pea andmetöötleja andmeid otse teisele töötlejale edastama. Piisab, kui andmesubjektile tagatakse väljavõtteõigus.

Kuigi andmete ülekantavus kitsamas mõttes on tervitatav, sest loob tarbijatele eeldused teenusepakkuja lihtsamaks vahetamiseks, ei ole vähemalt täna infosüsteemide mitmekesisuse tõttu mõeldav, et kõik või isegi arvestatav osa erasektori andmetöötlejatest asuksid ühildama oma süsteeme või looma nende vahele süsteemide koosvõimet toetavaid programmiliideseid.

Jättes kõrvale süsteemide kommertslitsentsid ja nendega seotud finantskoormuse ettevõtetele, tuleb arvestada, et isegi alternatiivsete vabavarasüsteemide kasutamiseks tuleb nõustuda vabavara litsentsitingimustega, mistõttu on põhjendamatu nõuda näiteks seda, et uus teenusepakkuja peab kliendi saamise nimel eelmiselt teenusepakkujalt andmete vastuvõtmiseks nõustuma ka viimase kasutatud vabavara juurde kuuluva litsentsiga.

Loe pikemalt: ituudised.ee

Autor: Tambet Toomela, Erika Tuvike, ituudised.ee