Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrusega (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (lühidalt: isikuandmete kaitse üldmäärus, IKÜM; siin edaspidi: üldmäärus) on kehtestatud üldised andmekaitsepõhimõtted igat laadi isikuandmete töötlemise, sh teadusuuringute suhtes. Üldmääruse jõustumisega toimus mitu olulist muutust andmekaitse õigusnormistikus.

Esiteks on üldmäärus otsekohalduv, st see kehtib vahetult sellises sõnastuses, nagu ta kirja on pandud. Erinevalt direktiividest ei pea üldmäärust Eestis seadusega üle võtma ega seda eraldi õigusaktiga kehtestama, kuid seda tuleb täita. Lisaks on Eestis muudetud ligikaudu 130 õigusakti, et viia need üldmäärusega kooskõlla.

Üldmäärusega on Euroopa Liidu liikmesriigid kokku leppinud üldised põhimõtted, kuid see ei paku üksiklahendusi ühe või teise olukorra jaoks. Seepärast on inimeste abistamiseks kirja pandud hulk suuniseid, soovitusi ja parimaid tavasid, mis aitavad üldmääruses sätestatut selgitada. Ka selle juhendi eesmärk on juhtida tähelepanu sellele, kuidas teadustöö tegemisel isikuandmete kaitsmise kohustusega arvestada.

Teiseks on igale Euroopa Liidu liikmesriigile jäetud võimalus täpsustada seadusega mõningaid olulisi erandeid. Isikuandmete töötlemine teadustöös on üks valdkondi, mida iga liikmesriik reguleerib oma seadusega. Eestis on selleks isikuandmete kaitse seadus (IKS), kus on näiteks täpsustatud eetikakomitee kooskõlastuse vajadust, mida üldmääruses ei käsitleta. Seega on isikuandmete töötlemisel teadustöös olukord tavapärasest keerulisem, kuna järgida ja tunda tuleb nii üldmäärust kui ka IKS-i.

Mis muutus üldmääruse jõustumisega?

Euroopa Liidu andmekaitsereformi käigus täpsustati mitut varem kehtinud põhimõtet ja kehtestati isikuandmete töötlejatele lisanõudeid. Allpool on nimetatud mõningad olulisemad muudatused, mis puudutavad teadustöö tegemist.

Muutusid terminid: senised kodeerimine ja dekodeerimine asendati pseudonüümimisega; termini delikaatsed isikuandmed asemel võeti üldmääruses kasutusele isikuandmete eriliigid, mis aga sõnastati IKS-is ümber eriliiki isikuandmeteks. Ka siinses juhendis kasutatakse Eesti õigusruumis levinumat terminit eriliiki isikuandmeid.

Kaotati vastutava töötleja registreerimise nõue: varem oli Eestis süsteem, kus eriliiki isikuandmete töötlejail tuli end Andmekaitse Inspektsioonis registreerida. Sellist registreerimissüsteemi enam ei ole. Eriliiki isikuandmete nõuetekohase töötlemise tagamiseks on kehtestatud üldine tingimus pidada nõu eetikakomiteega, sobiva komitee puudumisel Andmekaitse Inspektsiooniga.

Vastutava töötleja uued kohustused: Tartu Ülikoolile kui vastutavale töötlejale lisandus mitu kohustust: andmekaitsetingimuste avaldamine, isikuandmete töötlemise ülevaate koostamine, andmekaitsespetsialisti määramine, andmekaitsealaste mõjuhinnangute koostamine, järelevalveasutusega konsulteerimine ja rikkumistest teavitamine.

Avalike isikuandmete töötlemine on piiratud: varem oli IKS-i alusel kehtestatud erand, mille kohaselt oli õiguspäraselt avalikustatud isikuandmete edasine töötlemine alati lubatud.[1] Sellist erandit enam ei ole, mis tähendab, et ka avalikustatud isikuandmete töötlemiseks peab olema õiguslik alus, vastasel korral on töötlemine ebaseaduslik.

Kehtestati trahvid: Andmekaitse Inspektsiooni volitusi laiendati õigusega määrata andmekaitserikkumiste eest trahve, mis võivad Euroopa Liidus ulatuda ettevõtete puhul kuni 4%-ni üleilmsest aastasest kogukäibest ja muude isikute puhul 20 miljoni euroni.


[1] Kuni 01.01.2019 kehtinud seaduses § 11 lg 1. Samas hindas Riigikohus juba oma 2012. aasta otsuses 3-3-1-3-12, et IKS-i § 11 lg 1 ei andnud iseseisvat õiguslikku alust andmete töötlemiseks. Seega ei ole tegemist põhimõttelise muutusega, vaid pigem suurenenud selgusega.

  • No labels