Isikuandmete kaitse üldmäärus - Eesti Turismi- ja Reisifirmade Liit

25. mail 2018 rakendus Isikuandmete kaitse üldmäärus (General Data Protection Regulation – GDPR).
Rohkelt vajalikku infot Euroopa andmekaitse reformist leiab Andmekaitse Inspektsiooni kodulehelt.

UUS: 01.06.2018 Andmekaitse Inspektsioon süstematiseeris ja võttis ühtede kaante vahele kokku praktilised soovitused uue andmekaitseõiguse rakendajatele. „Isikuandmete töötleja üldjuhend“ tugineb inspektsiooni enda teemaartiklitele ning Euroopa andmekaitseasutuste hiljutistele ühisseisukohtadele ning viitab ka küberturbeseadusele.

Andmekaitse Inspektsiooni „Isikuandmete töötleja üldjuhend“ on praktiliseks abimaterjaliks EL isikuandmete kaitse üldmääruse ning õiguskaitseasutuste andmekaitsedirektiivi rakendajatele.

NB! juhend algab Keeleameti juhi Viljar Peebu toimetatud sissejuhatusega, kus on head soovitused kogu temaatika käsitlemiseks ning väljapakutud eestikeelsed mõisted.

Järgnev on ETFLi liikmetele kasutamiseks keskselt koostatud oluliste materjalid kogum, mis on täiendatud vastavalt Andmekaitse Inspektsiooni soovitustele 23.05st.

Paneme kõikidele ETFLi liikmetele südamele, et tegemist on materjalidega, mis on koostatud liidu ressursse kasutades ning mõeldud kasutamiseks AINULT ETFLi liikmetele.

9 sammuga andmekaitset reformima_ millest üldse alustada

Andmekaitsealane sissejuhatus (24.05.2018 täiendatud tekst)

Introduction to Data Protection_EN (tõlge 28.05.2018)

Andmekaitse_Korduma Kippuvad Küsimused (koostatud ECTAA GDPR töörühma poolt, tõlgitud eesti keelde)

GDPR_Frequently Asked Questions_compiled by ECTAA working group_April2018

GDPR_küsimused ja vastused

Avaldame siin ETFLi liikmete poolt meie juristidele esitatud
andmekaitsealaseid küsimusi ning neile saadud vastuseid. Kui teil on
spetsiifilisi küsimusi, mis võiksid ka teisi liidu liikmeid huvitada ning
meie kõikide teadlikkust tõsta, siis saatke need palun liidu e-posti
aadressile: info@etfl.ee

Ajakohastatud: 29.05.2018

KÜSIMUS: Kui kaugele peab minema AKI lehel avaldatud isikuandmete
töötlemise registriga, tabelid volitatud
töötlejatele, kaasvastutavatele töötlejatele. Kas tabelitesse tuleb kirjutada
kõik partnerid, keda vahendatakse või müüakse edasi: majutusettevõtted,
transpordiettevõtted, IT partnerid jne?

Vastus:
Teema puudutab art 30 p 1 a tõlgendust: Vastutav töötleja ja
asjakohasel juhul vastutava töötleja esindaja registreerib tema vastutusel
tehtavad isikuandmete töötlemise toimingud. See kanne sisaldab järgmist teavet:
a) vastutava töötleja ning asjakohasel juhul kaasvastutava töötleja, vastutava
töötleja esindaja ja andmekaitseametniku nimi ja kontaktandmed;

„Asjakohasel juhul“ tähendab seda, et olukorras
kus on tegemist kaasvastutavate töötlejatega (üldse). Seega soovitakse
kaasvastutavate isikute (mitte kõigi lepingupartnerite) nimesid ja kontaktandmeid.
Tegemist on sisuliselt enamike tehingupartneritega – mida oleks mõistlik pidada
eraldi pidevalt muutuva lisana. Nt. müügiprogrammi lisa hankijate müügiarvete
konto baasil vms.

Volitatud töötlejate puhul saan aru, et volitatud töötleja nime ja kontaktandmeid
vastutava või kaasvastutava töötleja poolt esitama ei pea. Tabel nõuab vaid
kategooria ära nimetamist (nt. raamatupidamisettevõte).

Seega kõigist partneritest jäävad ära nimetada nimeliselt ja
kontaktandmetega need, kes on kaasvastutajateks isikuandmete töötlemisel.

KÜSIMUS: Kas inimese ees- ja perekonnanimi ei ole
andmesubjekt.

Vastus: Andmesubjekt on füüsiline isik GDPR
tähenduses. Ees- ja perekonnanimi on isikuandmed. Ees- ja
perekonnanimi on kaitstud GDPR isikuandmete kaitsealaga. Seega,
nimi on kaitstud.

KÜSIMUS: Kas peab pidama isikuandmete töötlemise registrit?

Vastus: Kui tegemist on ettevõttega, kus töötab alla
250 töötaja, tuleb sellele küsimusele vastamiseks vastata küsimusele kas:

(a) Teie teostatav töötlemine võib kujutada endast tõenäolist ohtu
andmesubjekti õigustele ja vabadustele,

(b) töötlemine ei ole juhtumipõhine või

Isikuandmete kaitse seadus (IKS) seletuskiri nimetab ära mh reisibürood, kindlustustegevuse
ja selle vahenduse, finantstegevuse ja selle vahenduse (siia
käib finantsteenusega reisi müük, korraldus jms) ja majutusega (ja
selle vahenduse) seonduva teenuse osutamise kui tegevusalad, millised
võivad hõlmata isikuandmete ulatuslikku, korrapärast ja süstemaatilist
jälgimist.

Seega nende tegevuste puhul Justiitsministeerium eeldab ja AKI peab sellest
kinni pidama, et tuleb kontrollida iga ettevõtja puhul eraldi, kas oht on
tõenäoline või mitte. Selle tõenäosuse piiri paneb paika (kohtu)praktika.
Kokkuvõtlikult, tõenäoliselt on reisiettevõtjad isikud, kelle puhul on see oht
ulatuslik, isikuandmete töötlemine on süstemaatiline (mitte juhtumipõhine, nt
juba kliendikaart, teabeleht, otsekorraldussüsteem jne on süstemaatilise
isikuandmete kasutamise headeks näideteks) ja tuleb päris tihti töödelda
ka delikaatseid isikuandmeid (ratastooli vajadus, erimenüüd jne).

Lõpuks on see iga ettevõtja enda risk, kuidas ta
AKI’le selgeks teeb, et tema puhul ei ole töötlemine ulatuslik süstemaatiline
ega leia aset delikaatsete isikuandete töötlemist (näiteks, kui info
edastatakse otse teenuseosutajale, vedajale, majutusteenuse
osutajale). Arvestada tuleb, et AKI eelnõu § 61 järgi on võimalik
rahatrahv kuni 10 milj eur või kuni 2 % jur isiku käibest.

KÜSIMUS: Kes on Vastutav töötleja?

Vastus: Vastutav töötleja ise määrab eesmärgid ja
vahendid isikuandmete töötlemiseks. Reeglina on enamuses isikuandmete töötlejad
ühtlasi vastutavad töötlejad. Tavanäide – isik tuleb hotelli ja broneerib toa.
Toa broneerimise käigus on vaja esitada isikuandmeid. Neid on vaja teenuse
täitmiseks ja osalt ka seadusest tulenevate nõuete täitmiseks. Hotell kasutab
(töötleb) ise neid andmeid teenuse osutamiseks ta ise määrab isikuandmete
töötlemise eesmärgi ja vahendid.

KÜSIMUS: Kes on Volitatud töötleja

Vastus: Volitatud töötleja ise ei määratle midagi,
tema saab oma volituste piirid vastutavalt töötlejalt kes määratleb, mis
eesmärgil ja vahenditega andmeid kasutatakse. Kõige tavalisem näide on
igasugused internetikeskkondade teenuste osutajad elik isikud kelle serverites
andeid hoitakse, kelle juures netilehte peetakse. Oluline – volitatud töötleja
töötleb andmeid Vastutava töötleja nimel ja huvides.

KÜSIMUS: Kes on Edasivolituse alusel töötleja?
Vastus: tegemist on volitatud töötleja puhul vastava
edasivolitamisõiguse olemasolul isikuga, kellele on antud edasivolituse alusel
õigus andmeid töödelda. Ka tema töötleb andmeid vastutava töötleja nimel ja
rangelt vastutava töötleja ja volitatud töötleja poolt seatud volituste raames.
Siin võiks olla siis näide samal internetikeskkonna teenus osutajalt nt
ajutiselt serveriruumi kelleltki teiselt rentimise näol.

Oluline! Kui volitatud isik või edasivolituse alusel
isikuandmeid töötlev isik hakkavad isikuandmeid töötlema oma eesmärgi
täitmiseks (nt lisaks serveris hoidmisele hakkavad töötlema nt logifaile mingil
eesmärgil, muutuvad nad automaatselt sellise töötlemise osas vastutavaks
töötlejaks.

KÜSIMUS: Kes on Kaasvastutav töötleja?
Vastus: kaasvastutav töötleja on isik kes sama
lepingu raames aga oma kitsa eesmärgi täitmiseks isikuandmeid täiendavalt veel
ise töötleb. Kaasvastutajatena saavad olla

a) seotud reisikorraldusteenuse pakkuja (kaasvastutav isik nr 1)

b) transporditeenuse pakkuja (vedaja on kaasavastutav isik nr 2)

c) majutusasutus (majutusteenuse pakkuja on kaasvastutav isik nr 3).

GDPR sätestab (Art 26 p 1-3), et iga kaasvastutaja vastutusala tuleb
omavaheliste lepingutega kindlaks määrata ehk seotud reisikorraldusteenuse
pakkuja vastutab lepingu raames andmete töötlemise eest, mis on vaja teistele
kaasvastutajatele oma lepingulise osade täitmiseks. Seotud
reisikorraldusteenuse pakkuja võiks omavaheliste lepingute abil välistada
vastutuse, mis toimub nt vedaja poolt isikuandmete töötlemisel veoteenuse
osutamise käigus ja/või majutusasutuse poolt isikuandete töötlemisel
majutusteenuse osutamise käigus. Samas vedaja ja hotell ei saa vastutada seotud
reisikorraldusteenuse kvaliteedi eest ja selle käigus toimunud isikuandmete
töötlemise eest, majutus ei saa vastutada vedaja ja teenuste eest jne…

Nii peab iga kaasvastutaja oma vastutuse ära piiritlema. Kliendile tuleb
(Art 26 p 2 viimane lause) aga teavitada sellise kokkulepe põhitingimused (kes
mille eest põhimõtteliselt vastutab).

KÜSIMUS: Mis on peamised märksõnad, mille poolest töötlejad
üksteisest erinevad?

Vastus: Võtmesõnaks on Eesmärk ja vahendid. See,
kes määrab kindlaks töötlemise eesmärgi ja vahendid, on igal juhul
vastutav töötleja.

Reisibüroo -> teenuse osutaja (nt laevafirma, hotell,
kindlustusettevõte)

reisibüroo, vedaja, majutusteenuse osutaja, kindlusandja – igaühel on
oma kindel lepinguline eesmärk. Kaasvastutajad, igaüks oma kitsa teenuse osas
isikuandmete töötlemisel.

Reisibüroo- > broneerimissüsteem (Amadeus, hotellide
konsolidaatorid) -> lennuettevõtja, majutusettevõtja

Kui broneerimissüsteemil on oma eesmärk ning ta on selles reas samuti
kaasvastutaja. Ülejäänute puhul pädeb ülaltoodud näide.

Reisibüroo allagent -> reisibüroo-> teenuse osutaja

Allagent on volitatud isik GDPR mõttes, kui ta
töötleb andmeid reisibüroo nimel ja eesmärkidel. Kui sel
volitatud isikul on antud edasivolitamisõiguse õigus andmeid edastada
töötlemiseks veel mingile teenuse osutajale, on tegemist edasivolitamisega.
Teenuse osutaja, kellele andmeid edastatakse (majutusteenuse osutaja,
kindlustusettevõte, vedaja vms) on kaasvastutavaks töötlejaks algse vastutava
töötleja (meie näite puhul siis reisibüroo) kõrval.

Kui ta ei töötle andmeid reisibüroo nimel ja eesmärkidel vaid teeb seda oma
eesmärkidel, on allagentiks nimetamine ekslik. Tegemist ei ole sel puhul
volitatud töötlejaga. Nii on allagent ise ikkagi vastutavaks töötlejaks. Kui
selline töötleja edastab andmeid teenuse osutajale (majutusteenuse
osutaja, kindlustusettevõte, vedaja vms) on tegemist kaasvastutavate töötlejatega.

KÜSIMUS: Kuidas on mõeldud GDPRi kohustuslike tingimuste
vormistamine kõikide mittelepinguliste partneritega?

Vastus:

EL partneritega – neil endil on GDPRalane kohustus ja lepinguklauslite
sisseviimisest keeldumine tegelikkuses ei nõrgesta andmesubjektide
kaitset. Isikutele seda regulatsiooni tegelikult vaja ei ole. Seda on vaja
ettevõtetele, kes peavad hakkama AKI’le tõestama, et ettevõtte tegevus ja
regulatsioon vastab GDPRi nõuetele. Seetõttu oleks hea kui saaksite nt
volitatud töötleja puhul esitada lepingu (vastutav – volitatud), kus on sees
volituste täpne raam (et saaks hinnata kas volitatud isik on volitusi ületanud
või mitte), andmete esitamise kord, rikete teavitamise kord, kaastöö kohustus
AKI sekkumise puhul, jne, jne kuna Teie peate tõendama, et andmesubjekti
õiguste kaitseks olete võtnud tarvitusele mh lepingulised garantiid, et andmed
oleks kontrolli all. Kui ei tõenda, siis on risk trahvide näol.

Kui lepingut ei ole ja klauslid puuduvad, siis omavahelistesse lepingutes
tuleb võtta kliendilt nõusolek, et ta on nõus, et neid ja neid isikuandmeid
edastatakse selliselt partnerile, kellega ei ole GDPR alast lepingut.

Mitte EL lepingupartnerite puhul – saab omavahelistesse lepingutesse panna
GDPR klauslid, mida üha rohkem täna ka teha soovitatakse. Kui lepingupartner
keeldub sellise klausli lepingusse panemisest (on tõenäoline, et iga New Yorgi
hotell ei pruugi reageeridagi teie ettepanekule), tuleb võtta kliendilt
nõusolek, et ta on nõus, et neid ja neid isikuandmeid edastatakse selliselt
nõrka isikuandmete kaitse regulatsiooniga riiki, kus tema andmed ei pruugi olla
samaväärse kaitse all nagu EL’is. Kahjuks on nii, et selline nõusoleku võtmine
ei tohi muutuda süsteemseks ja igapäevaseks, seda võib teha siis, kui eelnevalt
on lepingupartnerilt GDPR klauslitega nõustumist küsitud.

Isikuandmete kaitse strateegia

Eesti Turismifirmade Liidu andmekaitse strateegia (edaspidi Strateegia) viitab meie pühendumusele käsitleda töötajate, klientide, sidusrühmade ja teiste huvitatud isikute isikuandmeid äärmise hoolsusega ning nende andmete töötlemisel lähtuda kehtivatest andmekaitsealastest normidest. Selle poliitika abil tagame, et kogume, salvestame ja töötleme andmeid õiglaselt, läbipaistvalt ja austades isikute individuaalseid õigusi.

Strateegia kehtestab üldise aluse, millise järgi meie organisatsioon töötleb inimeste isikuandmeid. Jälgime igapäevaselt, et meie tegevus oleks võimetekohaselt pidevalt kaasajastatud nii õigusalaselt, töötajaskonna teadlikkuselt kui ka tehniliselt, jälgides oma riist- ja tarkvara vastavust tehnika arengule. Kanname hoolt selle üle, et andmesubjekt saaks võimalikult suure kontrolli oma andmete töötlemise üle ja vastav andmesubjektile sõbralik regulatsioon kehtestatakse ettevõttesiseselt.

Strateegiat täpsustab Privaatsusteave (Privacy Notice).