Pilveteenuste kiire kasv ning rakendamine igal elualal on põhjustanud arutelu privaatsuse ja õigusliku raamistiku teemadel. Hannes Vallikivi harutab sasipuntra lahti ja annab soovitusi.
3. Kiirtest
3
• Kas seadus lubab?
○ Andmete liigid
○ Töötlemisluba
○ Andmete asukoht
• Kas ettevõtte standardid lubavad?
• Kas on võimalik seadust täita?
○ Andmete kaitse ja terviklikkus
○ Andmesubjekti õiguste tagamine
Õigusteenused
Eesti / Läti / Leedu
4. Isikuandmed
4
• Isikuandmed (IA) – mis tahes andmed tuvastatud või
tuvastatava füüsilise isiku kohta (IKS § 4 lg 1)
• Delikaatsed isikuandmed (DIA) kirjeldavad (IKS § 4 lg 2):
○ Poliitilisi, usulisi, maailmavaatelisi veendumusi
○ Etnilist päritolu või rassilist kuuluvust
○ Terviseseisundit või puuet
○ Isiku pärilikkust
○ Seksuaalelu
○ Biomeetrilist infot (nt geeni- ja sõrmejälje andmed)
Õigusteenused
Eesti / Läti / Leedu
6. Isikuandmete töötlemine
6
• Andmete töötlemine – igasugune andmetega tehtav toiming,
sh nende hoidmine ja hoiustamine (IKS § 5)
• Töötlemiseks üldjuhul vajalik isiku nõusolek (IKS §§ 10 lg 1,
12)
• Delikaatsete isikuandmete töötlemiseks vajalik:
○ Subjekti informeeritud nõusolek (IKS § 12 lg 4)
○ Vastutava töötleja määramine või registreering AKIs (IKS
§§ 27, 30)
Õigusteenused
Eesti / Läti / Leedu
7. 7
Õigusteenused
Eesti / Läti / Leedu
„andmesubjekt“
töötaja
klient
kodanik
meie
„vastutav töötleja“ „volitatud töötleja“
Pilvetee-
nuse
pakkuja
alltöö-
võtja
alltöö-
võtja
alltöö-
võtja
„volitatud alltöötleja“
• Eesmärgipärane andmetöötlus
• „Nii palju kui tarvis, nii vähe kui võimalik“
• Andmete turvaline hoidmine
isikuandmed
8. Andmete eksport
8
• Euroopa Liidus lubatud (IKS § 18 lg 2)
• Väljapoole Euroopa Majanduspiirkonda lubatud, kui:
○ Safe Harbour – USA osas otsus tühine
○ Teenusepakkuja on sõlminud mudellepingu (Model
Clauses)
○ AKI luba ja teenusepakkujaga leping
Õigusteenused
Eesti / Läti / Leedu
9. 9
• Väide: andmete
edastamisega USA
serveritesse ei ole
andmekaitse piisavas
mahus tagatud
• Euroopa Kohus tühistas EL
ja USA vahelise Safe
Harbour kokkuleppe
Õigusteenused
Eesti / Läti / Leedu
Max Schrems vs Facebook
10. Vastavus
10
• Andmed peavad olema kaitstud hävimise, volitamata
muutmise ja andmetele volitamata ligipääsu eest
ettevõtte/asutuse suhtes kehtivale standardile vastaval
tasemel (mh IKS §§ 24, 25)
• Peab olema võimalik täita kohustusi andmesubjekti ees, sh
(IKS §§ 19 jm):
○ Informeerida andmesubjekti töödeldavatest
isikuandmetest ja sellest, kes andmeid töötleb
○ Andmeid parandada, kustutada või sulgeda
○ Logida andmete salvestamist, muutmist ja kustutamist
○ Vältida andmete edastamist riiki, kus on ebapiisav
andmekaitse tase
Õigusteenused
Eesti / Läti / Leedu
11. Tänan!
11
Õigusteenused
Eesti / Läti / Leedu
Hannes Vallikivi
Vandeadvokaat, juhtivpartner
M +372 511 6811
hannes.vallikivi@tgslegal.com
Fotod: appleinsider.com,
techcrunch.com, theguardian.com