Andmete, failide ja nende töötlemise lai määratlus

Katkend Bruno DUMAY raamatust: GDPR DEKRÜPTSIOON – ettevõtete ja organisatsioonide juhtidele, strateegilistele osakondadele ja töötajatele – eessõna Gaëlle MONTEILLERilt

Me arvame, et teame, mis on isikuandmed (pange tähele, et seda terminit ei kasutata ainsuses, ilmselt seetõttu, et nende töötlemise alustamiseks on vaja koguda vähemalt kahte andmeüksust – näiteks nimi ja aadress). Kuid olge ettevaatlikud ja vigade vältimiseks võtkem arvesse määruse artiklis 4 sõnastatud määratlust: „igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige identifikaatori, näiteks nime, isikukoodi, asukohaandmete, veebiidentifikaatori või ühe või mitme sellele füüsilisele isikule omase füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse identiteedi teguri abil.“

Kuigi sõnastus on kõike muud kui üheselt mõistetav, ei jäta see kahtlust termini laia tähenduse osas. Isikuga seotud „igasugune teave” kujutab endast isikuandmeid. Isiku „identiteediga” seotud omadussõnade loetelu rõhutab vajadusel sõna „teave” ulatust. 

CNIL selgitas isikuandmete mõistet andmekaitseseaduse artikli 2 kommentaaris: „Andmeid peetakse isikuandmeteks, kui need puudutavad otseselt või kaudselt tuvastatud füüsilisi isikuid. Isik on tuvastatud näiteks siis, kui tema nimi esineb toimikus.“

Isik on tuvastatav, kui fail sisaldab teavet, mis võimaldab kaudselt tema tuvastamist (nt IP-aadress, nimi, registreerimisnumber, telefoninumber, foto, biomeetrilised elemendid, nagu sõrmejälg, DNA, riiklik üliõpilase identifitseerimisnumber (INE), teabekogum, mis võimaldab isikut populatsioonis diskrimineerida (teatud statistilised failid), näiteks elukoht ja amet ning sugu ja vanus). Andmed, mida võite pidada anonüümseks, võivad olla isikuandmed, kui need võimaldavad konkreetset isikut kaudselt või ristviitamise teel tuvastada. See võib tegelikult olla teave, mis ei ole seotud isiku nimega, kuid mis võimaldab teda hõlpsalt tuvastada ja teada saada tema harjumusi või maitseid.

Selles mõttes hõlmavad isikuandmed ka kogu teavet, mis ristviitamise korral võimaldab tuvastada konkreetse isiku (nt sõrmejälg, DNA, elukoha omavalitsusega seotud sünniaeg)...

GDPR-i kohaldamisalast on välja jäetud riikide tegevus, mis on seotud nende julgeolekuga (16^e põhjendus) ja loomulikult puhtalt riigisisese iseloomuga tegevusi (artikkel 2). Teisest küljest puudutab määrus kõiki ettevõtteid (ja haldusasutusi ning organisatsioone ja ühendusi), kes töötlevad Euroopa kodanike andmeid, olenemata sellest, kas nad on asutatud mandril või mitte. Samamoodi, kui ettevõte kasutab väljaspool ELi asuvat alltöövõtjat, peab ka viimane tegutsema vastavalt nõuetele (artikkel 3).

Kuna need andmed salvestatakse failidesse, siis pangem tähele ka selle sõna definitsiooni: „igasugune struktureeritud isikuandmete kogum, millele on ligipääs vastavalt kindlatele kriteeriumidele, olenemata sellest, kas see kogum on tsentraliseeritud, detsentraliseeritud või funktsionaalselt või geograafiliselt hajutatud.“ Siinkohal on taas selge, et me ei saa olla kavalad, püüdes salvestada andmeid andmebaasidesse, mida ei saaks nimetada „failideks“. Meie tööriist mitte ainult ei klassifitseeritaks ümber, vaid ka järelevalveasutus peaks seda kahtlemata raskendavaks asjaoluks.

Samamoodi ei saa arvutistamisele vastu seisev käsitööline, kes hoiab oma klientide kohta paberkandjal faile tähestikulises järjekorras, isikuandmete kaitse üldmäärusest kõrvale hiilida (art 2, lõige 1).

Just seetõttu, et need on ette nähtud töötlemiseks, tuleb faile moodustavaid andmeid kaitsta. Mis on töötlemine? „Iga toiming või toimingute kogum, mida tehakse isikuandmete või isikuandmete kogumitega automatiseeritud või automatiseerimata vahenditega, näiteks kogumine, salvestamine, korraldamine, struktureerimine, säilitamine, kohandamine või muutmine, otsimine, tutvumine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine“ (artikli 4 lõige 2). Sõnade loetelu on peaaegu ammendav: niipea kui me andmetega kokku puutume, töötleme neid ja seetõttu kuulume määruse alla. Seda enam tuleb rangelt jälgida profiilimist – andmete töötlemist käitumise hindamiseks või ennustamiseks.

Isikuandmete kaitse üldmäärus soovitab võimaluse korral pseudonümiseerimist, et andmeid ei saaks enam ilma lisateavet kasutamata füüsilise isikuga seostada. „Isikuandmete pseudonümiseerimine aitab vähendada andmesubjektide riske ning aidata vastutavatel ja volitatud töötlejatel täita oma andmekaitsekohustusi“ (28).^e arvestades).  

Töötlemise kontroll on viidud piirini, kuna see ulatub üle piiride. Euroopa Liidust väljapoole edastatud andmed kuuluvad endiselt Euroopa õiguse alla, loomulikult nii edastamise kui ka edasise töötlemise osas. Võib tekkida ka küsimus, kas võivad tekkida õiguslikud vaidlused, eriti Hiina või Ameerika Ühendriikidega. Väljaspool ELi asuvate partnerite eelnevaks teavitamiseks soovitab määrus allkirjastada siduvad kontsernisisesed eeskirjad (BCR) või võtta vastu Euroopa institutsiooni poolt valideeritud standardsed lepingutingimused.

Lõpetuseks selgitagem, et isikuandmetega seotud rikkumine on „turvalisuse rikkumine, mis põhjustab edastatud, salvestatud või muul viisil töödeldud isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise, loata avalikustamise või neile juurdepääsu“ (artikkel 4, lõige 12). Seega tuleb seda terminit ka siin mõista väga laias tähenduses.