Üksikisikute tugevdatud õigused ettevõtete vastu

Katkend Bruno DUMAY raamatust: GDPR DEKRÜPTSIOON – ettevõtete ja organisatsioonide juhtidele, strateegilistele osakondadele ja töötajatele – eessõna Gaëlle MONTEILLERilt

Demokraatlike ühiskondade normid peaksid tagama tasakaalu huvide vahel, mis võivad olla vastuolulised. Enamik olulisi tekste sisaldab aga orientatsiooni – ma rääkisin eespool filosoofiast –, mis eelistab ühte poolt teise kahjuks, kas seetõttu, et neid tekste kehtestav võim soovib anda uue suuna või seetõttu, et pärast mõningaid ühes suunas kaldumisi, mis on viinud poolte asümmeetriliste suheteni, on tunda vajadust tasakaalustamise järele. GDPR on kahtlemata vahend üksikisikute õiguste taastamiseks kõikvõimsate ettevõtete ees, kes ei hoolinud enam eriti privaatsuse austamisest.  

Määruse III peatükk on täielikult pühendatud andmesubjekti õigustele. Nende õiguste teostamise hõlbustamise eest vastutab andmetöötleja. Ta peab vastama „nii kiiresti kui võimalik ja igal juhul ühe kuu jooksul alates taotluse kättesaamisest. Vajadusel võib seda perioodi pikendada kahe kuu võrra, võttes arvesse taotluste keerukust ja arvu“ (artikkel 12-3). Seega võiks järeldada, et taotlusele vastamiseks on aega kolm kuud ja et ainuüksi see periood võib paljud taotlejad eemale peletada. Tegelikult mitte; ühelt poolt seetõttu, et see pikendamine peab olema põhjendatud „vajaduse“ või „keerukusega“, teiselt poolt seetõttu, et taotluse esitajat tuleb ühe kuu jooksul teavitada pikendamise põhjustest (jällegi artikkel 12-3). Ja kui andmetöötleja leiab, et taotlus on alusetu, on tema ülesanne seda alusetust tõendada (artikkel 12-5).

Artikkel 13 loetleb kogu teabe, mis tuleb esitada üksikisiku kohta andmete kogumisel. See on revolutsiooniline areng: me ei saa seda aktsepteerida ilma esmalt tagamata määruse sätete usaldusväärsust. Keegi ei saa enam oma suuruse, maine ega staaži peale lootma jääda, et veenda internetikasutajaid ennast avaldama.

Seega peab ettevõte eelnevalt esitama järgmise teabe:

– andmetöötleja identiteet ja kontaktandmed;

– andmekaitseametniku kontaktandmed (struktuurides, kus see on kohustuslik, käsitleme seda hiljem);

– töötlemise eesmärgid, milleks andmeid kavatsetakse, ning selle töötlemise õiguslik alus;

– andmete saajad, sealhulgas juhul, kui andmeid on kavas edastada kolmandasse riiki.

Andmete kättesaamisel (tekstis on märgitud „… ajal“) tuleb siiski teavitada järgmist:

– säilivusaeg;

– õigus andmete parandamisele, kustutamisele, töötlemise piiramisele, töötlemisele vastuväidete esitamisele ja andmete ülekandmisele (tuleme iga õiguse juurde tagasi);

– õigus esitada kaebus järelevalveasutustele;

– andmete esitamata jätmise tagajärjed;

– andmete esitamise tagajärjed, eelkõige automatiseeritud otsuste tegemise või profiilianalüüsi osas.

Kui andmeid ei ole kogutud andmesubjektilt endalt, on kohustused samad, millele lisandub „allikas, kust isikuandmed pärinevad“. See teave ei ole nõutav, kui andmeid töödeldakse avaliku huvi arhiveerimise, uurimistöö või statistilisel eesmärgil.  

Kui andmesubjekt on andmed edastanud, ei pääse need enam temalt (milline muutus võrreldes praeguste tavadega, jällegi). Tõepoolest, isikuandmete kaitse üldmäärus (taas)loob esmalt juurdepääsuõiguse (artikkel 15). See juurdepääsuõigus on Prantsusmaal juba olemas, kuid see on vähetuntud ja selle rakendamine on keeruline. Siin hõlmab see kogu artiklis 13 nimetatud teavet. Juurdepääs toimub edastamise teel lihtsa taotluse alusel: „Andmetöötleja esitab töödeldavate isikuandmete koopia“ (artikkel 15-3). See koopia on tasuta (lisakoopia eest võidakse küsida mõistlikku tasu). Kui taotlus esitatakse elektrooniliselt, antakse vastus samas vormis, välja arvatud juhul, kui taotlus on erinev.

Teine sõnaselgelt sätestatud õigus: õigus andmete parandamisele (artikkel 16). See õigus puudutab andmeid, mis on töötlemise eesmärgi seisukohast ebatäpsed ja mittetäielikud.

Kolmanda õiguse olulisus on viimase kümne aasta jooksul, alates Web 2.0 ja sotsiaalvõrgustike tekkimisest, järk-järgult ilmsiks saanud. Just sellest ajast alates oleme hakanud teadvustama andmete olulisust ning kogusid on korrastatud ja mitmekordistunud. Kuna meid puudutav teave on tundmatute käte käes, on kustutamisõiguse (või õiguse olla unustatud) nõudmine formaliseeritud. Prantsusmaa tegi 2010. aastal katse võtta vastu unustusõiguse harta, kuid Facebook ja Google keeldusid neile alla kirjutamast. Just Euroopa Liidu Kohus andis selle unustusõiguse 2014. aasta juunis, mille järel pidid peamised digitaalvaldkonna tegijad, sealhulgas Google, kehtestama menetlused, sealhulgas veebis vormi postitamise, mis võimaldaks internetikasutajal seda õigust teostada. Tänu vormile said sajad tuhanded inimesed oma tulemused oma andmebaasist eemaldada.

Isikuandmete kaitse üldmäärus sätestab selle õiguse Euroopa tasandil ja sätestab selle lihtsal viisil (artikkel 17). Andmesubjekti taotlusel on vastutav töötleja kohustatud kustutama isikuandmed „niipea kui võimalik“:

– kui andmeid ei ole enam vaja eesmärkidel, milleks need koguti;

– kui nõusolek tagasi võetakse;

– kui töötlemisele esitatakse vastuväiteid.

Andmesubjekt ei pea oma taotlust põhjendama. Ainsad piirangud sellele kustutamisõigusele on järgmised:

– liidu õigusest või liikmesriigi õigusest tuleneva juriidilise kohustuse täitmine;

– seadusjärgsete õiguste teostamine;

– avaliku arhiveerimise, teadusuuringute või statistika, samuti rahvatervise kaalutlused;

– lõpuks „sõna- ja teabevabaduse õiguse teostamine“ (art 17-3a). Tekib küsimus, mis pistmist on sõna- ja teabevabadusel sellega. Kas meedia huve vahendavatel lobirühmadel oli mingit mõjuvõimu? Või oli see lihtsalt meedia kõikvõimsus – sama tugev kui andmete oma –, mis end teksti koostajate peale surus?

Samuti on sätestatud „õigus töötlemise piiramisele“, eelkõige andmete täpsuse kontrollimise ajaks või kui töötlemine on ebaseaduslik, kuid andmesubjekt vaidlustab kustutamise (artikkel 18). Piirangust, nagu ka töötlemisest, tuleb andmesubjekti teavitada (artikkel 19).        

„Õigusega andmete ülekandmisele“ lubab GDPR üksikisikul saada kätte andmed, mille ta on organisatsioonile esitanud, „struktureeritud, üldkasutatavas ja masinloetavas vormingus“ (artikkel 20-1). Nad saavad seda teha kas isiklikuks otstarbeks või edastada need teisele organisatsioonile. Nad võivad isegi taotleda oma andmete edastamist otse ühelt andmetöötlejalt teisele. CNIL täpsustab, et andmeid, mis on „tuletatud, arvutatud või järeldatud“, st organisatsiooni loodud, ei saa nõuda (see erineb juurdepääsuõigusest). Saadud andmed võivad aga „teiseselt“ sisaldada teavet kolmandate isikute kohta.

WP29, 1995. aasta Euroopa direktiivi artikli 29 alusel loodud Euroopa töörühm, mis tegeleb isikuandmete kaitse üldmääruse selgitamisega enne selle muutmist Euroopa Andmekaitsenõukoguks, soovitab andmete edastamiseks üleslaadimise mehhanismi andmete teisaldatavuse õiguse raames. Kõigil juhtudel peab säte olema hõlpsasti ligipääsetav ja turvaline. Praegu ei ole konkreetset vormingut märgitud, kuid "WP29 julgustab valdkonna osalejaid ja kutseliite töötama välja koostalitlusvõimelisi standardeid ja vorminguid, et austada neid teisaldatavuse õiguse eeltingimusi".

Andmetöötlejat julgustatakse edastama selgelt teavet andmete ülekandmise õiguse kohta, rakendama enne taotletud andmete edastamist autentimisprotseduuri ja pakkuma seda teenust tasuta, välja arvatud juhul, kui taotlus on ilmselgelt alusetu või ülemäärane, "eelkõige oma korduva iseloomu tõttu". Tuleb märkida, et andmete ülekandmise õiguse alusel edastatud andmeid ei pea algsest failist kustutama.

Igaühel on õigus igal ajal vastuväiteid esitada (artikkel 21). See vastuväide võib puudutada mis tahes töötlemist või täpsemalt geoloogilist uurimistööd (artikkel 21-2) ja isegi teaduslikku või ajaloolist uurimistööd, "välja arvatud juhul, kui töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks" (artikkel 21-6). On mõeldav, et seda õigust kasutatakse peamiselt ärilistel eesmärkidel vastuväidete esitamiseks.

Lõpuks reguleerib isikuandmete kaitse üldmäärus profiilianalüüsi. „Andmesubjektil on õigus, et tema kohta ei tehtaks üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil põhinevat otsust, millel on tema kohta õiguslikke tagajärgi või mis mõjutab teda sarnasel viisil oluliselt“ (artikkel 22). See on lubatud lepingu raames või kui see põhineb selgesõnalisel kokkuleppel. Sellistel juhtudel tagab vastutav töötleja „andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitse“.