Selle aasta augustist on Andmekaitse Inspektsioonil (AKI) uus juht Pille Lehis. Uurisime temalt, kuidas AKI-l on läinud, mis on tulemas ning mida tasub GDPRi osas Eestis silmas pidada.

Kindel on, et esimene vahetu küsimine ei jää viimaseks – meie eesmärk on Eesti GDPRi teemad regulaarselt pildil hoida ning olla üheks peamiseks erialaseks infokanaliks andmekaitsespetsialistidele.

Selle teadmise foonil väärib märkimist, et justiitsministeerium on kokku pannud karistusseadustikku muutva eelnõu – vaata siit. Karistusseadustiku muutmise järel saab AKI võimaluse tulevikus määrata ka Eesti andmetöötlejatele kogu Euroopas suurt vastukaja põhjustavaid mitmekümne miljoni euro suuruseid GDPR-trahve.

Nagu nähtub AKI vastustest, ei ole GDPRi üleminekuaeg Eestis veel läbi saanud, kuigi märke sellest, et Eesti DPO-d mõistavad üha enam andmekaitse olulisust (vt meie varasemat postitust), sellega kaasnevaid riske ning soovivad hankida oma töö jaoks ka lisateadmisi.

Nüüd aga küsimused-vastused GDPRi jõustamise kohta Eestis. Vastab Andmekaitse Inspektsiooni peadirektor Pille Lehis:

1. Millised eesmärgid on AKI uuel peadirektoril eesseisvaks ametiajaks?

Eesmärk ei saa erineda AKI kui organisatsiooni eesmärkidest. Lühidalt öeldes on meie ülesandeks tagada ühelt poolt isikuandmete kaitse üldmääruse rakendamine, mis oma sisult on inimeste privaatsuse tagamine. Teiselt poolt tegutseme selle nimel, et ühiskond püsiks läbipaistva ja avatuna. Ilma selleta ei oleks võimalik kahesuunaline koostöö riigi ja tema elanike vahel. Samuti on oluline välja tuua, et andmekaitse ei tohiks saada innovatsiooni piduriks, küll aga peab ta suutma pidurdada vajadusel terve mõistuse kõrvale heitmist.

2. Kas Eesti ja teiste Euroopa riikide praktika on olnud erinev GDPR-i rakendamises ja üldmääruse nõuete jõustamises? Millised eesmärgid on AKI-il seonduvalt GDPRi rakendamisega Eestis?

Digitaliseerunud ühiskond peab olema turvaline koht selle igale liikmele. Üldmäärus aitab seda tagada, kuna andmetöötlus on kõikide eluvaldkondade lahutamatu osa.

3. Millises ulatuses on AKI teostanud järelevalvet Eestis GDPR-ist tulenevate nõuete täitmise osas? Millised on olnud seni läbi viidud järelevalve tulemid? Kui arvesse võtta, et nö üleminekuperiood andmetöötlejatele on möödumas, kas järelevalvet on plaanis ka tugevdada? Kui jah, siis kuidas?

AKI viimase aasta tegevus on olnud suunatud vägagi palju üldmääruse tõlgendamisele Eesti õigusruumis, samuti selle sulandamisele ühiskonda. Kuigi andmekaitsenõuded ei tekkinud päeva pealt, vaid andmekaitse on olnud digiühiskonna kaasandeks vähemalt 15 aastat ja juba üle kahekümne aasta Eestis olemas, siis andmekaitse teema, nagu me kõik mäletame, lendas raketina õhku ikkagi siis, kui hakati rääkima üldmääruse kehtima hakkamisel tehtavatest hiiglaslikest trahvidest.
Viimasel aastal on AKI aidanud andmetöötlejatel nõudeid õigesti rakendada. Paraku ei hakka ükski õigusakt tööle üleöö peale selle vastuvõtmist ilma, et seda ei analüüsitaks reaalsetes elulistes olukordades. Praktika tekkimine on oluline.
Ülemineku aeg ei ole veel läbi saanud, aga mul on tunne, et vaikselt me ikkagi ronime mäenõlvast üles ja andmekaitse olulisust teadvustatakse üha enam asutustes ja ettevõttetes.
Järelevalve menetlusi ÜM nõuete täitmiste üle või rikkumiste välja selgitamiseks on algatatud mitmeid. Meediast on läbi käinud näiteks Tartu rattaringlus ja e-pood Charlot. Mõlemad menetlused veel kestavad. Kui vaadata tulevikku, siis AKI kui õigus – ja korrakaitseasutuse tegevus jätkub selle nimel, et saame elada ühiskonnas, kus saame üksteist usaldada.

4. Milliste GDPR-ist tulenevatele nõuete ja kohustuste täitmisele pöörab AKI kõige rohkem tähelepanu? Kas on ka mingi kindel grupp avaliku sektori asutusi või erafirmasid, mis on edaspidi erilise tähelepanu all seonduvalt andmekaitsealaste nõuete täitmisega?

Kõik üldmäärusest tulenevad nõuded ja kohustused on ühtviisi olulised, neist ei ole võimalik ja vajalik edetabelit koostada. Järgmise aasta või lähituleviku eesmärkide seadmisel on võimalik, et mõni teema tuleb enam fookusesse, ent sellest on vara rääkida. Samas ei tähenda see seda, et kui ühed teemad on fookuses, siis teised valdkonnad võivad end kohe lõdvaks lasta.

5. Kui suures määras ja mis põhimõttel on AKI määranud GDPR-ist tulenevaid trahve andmekaitsealaste rikkumiste eest? Kui vaadata Euroopa riikide senist praktikat (nt Saksamaa), siis kas ka Eestis on plaanis suuri trahve määrata andmekaitsealaste rikkumiste eest?

Karistusmeetmed peavad olema, aga kasutama peab neid kaalutletult. Trahvimine ei ole olnud eesmärgiks omaette, ega saa ka olema selleks tulevikus. AKI reageerib rikkumistele valides selleks eesmärgipärased ja vajalikud meetmed. Oluline on ju asjad korda saada.

Aitäh vastamast!