Euroopa Liidus käimasoleva andmekaitsereformi kandev idee on anda üksikisikule tagasi kontroll enda andmete üle, mis sotsiaalmeedia ja internetipõhiste teenuste ajastul on kippunud käest libisema.
Tõepoolest, olukorras, kus me ammu enam ei suuda jälgida, millised meie andmed erinevate teenuseosutajate juures kokku kogutakse ja kuidas neid meie huvides (või meie vastu?) kasutatakse, küsitakse viimasel ajal üha sagedamini, kas privaatsus ongi surnud. Käesoleva aasta mais rakenduv andmekaitse üldmäärus proovib seda suundumust muuta. Andmetöötlus peab muutuma läbipaistvamaks, inimestel peab olema võimalik saada kergemini infot andmete töötlemise kohta ning õigus määrata, kes ja kuidas tema andmeid kasutab. Ühest loodud meetmest, andmete ülekandmise õigusest, seekord lähemalt räägimegi.
Andmekaitse üldmäärus annab üksikisikule õiguse küsida andmete töötleja käest teda puudutavaid isikuandmeid ja nõuda, et andmete töötleja edastaks need ise otse teisele isikuandmete töötlejale. Teisisõnu – igaüks saab lihtsal viisil oma isikuandmed ühe andmetöötleja (tüüpiliselt mingi teenuseosutaja) juurest teise andmetöötleja juurde üle viia. Näiteks kui keegi soovib vahetada elukindlustuse pakkujat, võib ta nõuda, et tema senine kindlustusagent saadaks kõik andmed, mille inimene on andnud, teisele kindlustusagendile. Või teise näitena: kas ei oleks tulevikus mugav panka vahetades võtta kaasa ka oma tehingute ajalugu? Teenuseosutaja vaatevinklist tähendab see, et klient tuleb koos tema kohta kogutud andmetega otsese konkurendi juurde aidata.
Puudutatud on nii eraisikud kui teenusepakkujad
Andmete ülekantavuse kasud inimestele on kahtlemata märkimisväärsed: mugavus, suurem kontroll enda andmete üle, tõhusam konkurents ja tarbija tugevam kaitse teenuseosutajate vahel liikumisel. Teenuseosutajate jaoks võib see aga nõuda olulisi investeeringuid või tekitada lausa vajaduse uute nõudmiste valguses oma ärimudelid üle vaadata. Analoogse näitena saab tuua mobiilsideoperaatorite suhtes 2005. aastal jõustunud nn numbriliikuvuse. See vähendas oluliselt operaatorite võimalust klienti enda juures “kinni hoida” ning sundis muutunud konkurentsiolukorras oma strateegiaid hoolega läbi mõtlema. Isikuandmete ülekantavus toimub numbriliikuvusega võrreldes muidugi hoopis laiemal skaalal.
Andmete ülekandmise õigus on siiski piirangutega. See kehtib ainult juhtudel, kui isikuandmeid töödeldakse isiku nõusolekul või lepingu täitmiseks. Andmete ülekandmist ei saa seega nõuda näiteks riigiasutustelt, kes töötlevad andmeid seaduse alusel. Lisaks ei pea töötleja välja andma päris kõiki isikuandmeid, mis tema valduses on. Tuleb anda vaid need andmed, mille allikaks on andmesubjekt: otseselt tema esitatud andmed (näiteks lepingu sõlmimisel esitatud andmed) ja need, mille teenuseosutaja on talletanud andmesubjekti tegevuse kohta, sh näiteks salvestatud asukohaandmed, otsingute ajalugu, seadmete saadetud andmed jms (ingl raw data). Selliseid andmeid, mis on töötleja enda loodud (näiteks profileerimise vm analüüsi tulemusena), üle andma ei pea. Näiteks krediidiajaloo andmed tuleks väljastada, aga nende põhjal antud krediidivõimekuse hinnangut mitte.
Väljakutsed ja võimalused ettevõtetele
Vaatamata piirangutele võib ülekantavus olla andmetöötlejate jaoks väga koormav kohustus. Seda eriti üleminekuperioodil, kuna senine IT-arhitektuur ei ole pidanud selliste andmete eraldamist võimaldama. Esiteks peab tagama, et infosüsteemidest oleks kõik nõutavad andmed võimalik välja sorteerida ning struktureeritud, üldkasutatavas vormingus ja masinloetaval kujul välja anda. See võib eeldada olulises mahus IT-arendusi. Teiseks tuleb veenduda, et andmete ülekandmine toimuks turvaliselt. Kolmandaks võib olla vajalik läbi mõelda, kuidas väljastada andmed nii, et sellega koos ei antaks konkurendile välja väärtuslikku infot enda äri või toodete kohta.
Samas võib selline andmete oluliselt vabam liikumine luua aga ka võimalusi uuteks ärimudeliteks. Nii ei tohiks unustada, et privaatsuse kaitsmise kõrval on andmekaitse üldmäärusel ka teine kandev eesmärk – andmete (piiriülene) vaba liikumine. Juba hõisatakse, et “Isikuandmed on uus nafta!”1 ning luuakse andmekaitse üldmääruse reegleid arvestades isikuandmete mugavaks jagamiseks ja haldamiseks innovaatilisi lahendusi asjade interneti, quantified self’i, self data jms vallas. Seejuures saab olema huvitav jälgida, kuhu tekib tasakaalupunkt globaalses vaidluses “Kelle omad on andmed?” – kas pigem inimõiguslase vaatest andmesubjekti omad või ettevõtja vaatest äri omad? Aga normatiivse surve all tasub kindlasti otsida võimalusi oma konkurentidest positiivselt eristumiseks ja innovatsiooniks, andes seejuures kontrolli oma andmete üle inimestele tagasi.
———————-
1https://www.wired.com/insights/2014/07/data-new-oil-digital-economy/
