Küsimus: kas uus isikuandmete kaitse üldmäärus nõuab tõepoolest ettevõtjalt kõigi andmetöötlustoimingute puhul mõjude hindamist ja andmekaitse inspektsiooniga konsulteerimist?  

Vastab andmekaitse inspektsiooni peadirektor Viljar Peep

Ei nõua. Tegemist on järjekordse müüdiga, mis seoses uue isikuandmete kaitse üldmäärusega levima on hakanud. Andmekaitsealast mõjuhinnangut ei pea tegema sugugi mitte kõik ettevõtted ja asutused. Isikuandmete kaitse üldmäärus näeb ette, et andmekaitsealane mõjuhinnang tuleb läbi viia enne kõrge riskiga andmetöötlusega alustamist. Üldmäärus on oma lähenemisviisilt riskipõhine. See tähendab, et rangemad nõuded rakenduvad siis, kui isikuandmete töötlemine sisaldab riske. Näiteks andmetöötluse suur maht, tundlik sisu, inimeste automatiseeritud profileerimine, automaatotsused, suurte alade kaameravalve, isikuandmete edastamine väljapoole Euroopat. See tähendab, et mõjuhinnangu tegemise kohustus on neil andmetöötlejatel, kelle isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt inimeste õigustele ja vabadustele suur oht.

Samuti tuleb mõjude hindamine läbi viia siis, kui ettevõtja hakkab kasutama uut tehnoloogiat, millega tal varem kokkupuudet pole olnud. Näiteks sõrmejälje- või näotuvastuspõhised lahendused või nn asjade interneti seadmetel põhinevate teenuste osutamine. See annab andmetöötlejale teadmise, kas näiteks uus riist- või tarkvara võib võrreldes senisega kujutada inimestele kõrge riskiga eraelulist riivet. Selle teadmise baasilt saab teha otsuse, kas tema käsutuses olevate vahendite, teadmiste ja oskustega on seda riivet võimalik piisavalt maandada.

Kui selliseid riske ettevõtte andmetöötlusprotsessidega ei kaasne, siis mõjuhinnangut teha ei tule. Siiski soovitame ettevõtjatel oma andmetöötlusprotsesside mõjud ära kaardistada ka siis, kui mõjuhinnangu tegemise kohustust ei ole. See on vajalik ettevõttele endale, et aru saada, kas tegevus vastab määruse nõuetele.

Ka juhul, kui andmetöötlejal on kohustus mõjuhinnang läbi viia, ei tule seda esitada kooskõlastamiseks ega registreerimiseks Andmekaitse Inspektsioonile. Kui aga mõjuhinnang näitab isikuandmete töötlemise juures suurt ohtu, tuleb ettevõttel määruse kohaselt enne andmete töötlemist konsulteerida järelevalveasutusega. Eestis on selleks asutuseks Andmekaitse Inspektsioon.

Mitmed ettevõtjad on ekslikult tõlgendanud eelneva konsulteerimise kohustust käsitlevat määruse artiklit endale ebasoodsamal viisil. Eksliku tõlgenduse kohaselt jääks eelneva konsulteerimise kohustus andmeid töötlevale ettevõttele-asutusele ka siis, kui pärast mõjuhinnangu tegemist leitakse sobivad meetmed ohu leevendamiseks ning andmete töötlemisel enam ohtu ei ole. Sellise kohustuse panemine andmetöötlejatele, kes on mõjuhinnangu järel ohu kõrvaldanud ja riskid maandanud, oleks Andmekaitse Inspektsiooni hinnangul kahtlemata ülemäärane ja liialt ressursimahukas.

Andmekaitse Inspektsiooniga peavad konsulteerima tulema ainult need andmetöötlejad, kes pärast mõjuhinnangu tegemist ja vajalike meetmete kasutuselevõtmist ohtu piisavalt leevendada ei suuda. Kui riskid on maandatud, siis eelkonsulteerimise kohustust ei ole.