17.01.2019 Neljapäev

IKS – seadus, mida tuleb lugeda koos määrusega

Alates 15. jaanuarist pole terviseseisundit, poliitilisi tõekspidamisi ja seksuaalset orientatsiooni puudutavad isikuandmed enam Eesti õigusruumis delikaatsed. Pea seitse kuud pärast Euroopa Liidu isikuandmete kaitse üldmääruse (GDPR) jõustumist hakkas Eestis kehtima uus isikuandmete kaitse seadus (edaspidi - IKS), mille kohaselt on tegemist hoopis eriliiki isikuandmetega. Mõiste „delikaatsed isikuandmed“ kadus Eesti kehtivast õigusest koos vana IKS-iga. Vandeadvokaadi abi Peeter P. Mõtsküla selgitab lähemalt.

Peeter P. Mõtsküla, vandeadvokaadi abi, Triniti.
Peeter P. Mõtsküla, vandeadvokaadi abi, Triniti. Foto: Scanpix

Tegelikult ei piirdunud seadusandja siiski ainult ühe legaaldefinitsiooni muutmisega. Uus IKS lööb kaks kärbest ühe hoobiga, sisaldades nii GDPR rakendamiseks kui nn „kriminaal-andmekaitse direktiivi [1]“ Eesti õigusesse ülevõtmiseks vajalikke sätteid.

Need viimased sisalduvad seaduse pikimas, 4. peatükis, millega võetakse Eesti õigusesse üle nn „kriminaal-andmekaitse direktiiv“. Kuna direktiiv ja määrus võeti vastu ühel ajal ning nendes sätestatud üldpõhimõtted on ühesugused, sisaldavad need palju samasisulisi sätteid. Siiski ei ole Euroopa seadusandjad pidanud võimalikuks või vajalikuks neid sätteid ühest aktist teise sõna-sõnalt kopeerida. Arvestades, et Euroopa Liidu õigusaktid omavad samaväärset õiguslikku jõudu kõigis liidu ametlikes keeltes, toob selline praktika kahtlemata rohkel tööd ja leiba nii maksumaksja kui kliendi raha eest töötavatele juristidele.

Kuna IKS on GDPR-i suhtes ennekõike vaid rakendusaktiks, ei saa seaduskuulekas kodanik väljaspool „kriminaal-andmekaitse direktiivi“ kohaldamisala aga kuidagi piirduda vaid seaduse lugemisega, vaid peab selle kõrvale võtma ka andmekaitse üldmääruse. Isegi peamised mõisted ja põhimõtted on defineeritud vaid määruses, mitte seaduses.

Heaks halvaks näiteks sobib siinkohal seaduse § 8 lg 1: „Kui kohaldatakse Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artikli 6 lõike 1 punkti a seoses infoühiskonna teenuste pakkumisega otse lapsele, on lapse isikuandmete töötlemine lubatud ainult juhul, kui laps on vähemalt 13-aastane.“ Tõenäoliselt oleks pisut hõlpsamini mõistetav lause „Eestis elav laps saab anda kehtiva nõusoleku oma isikuandmete töötlemiseks seoses talle infoühiskonna teenuste pakkumisega juhul, kui ta on vähemalt 13 aastat vana.“ Näiteks võib 13-aastaseks saanud laps anda online-mängukeskkonna või sotsiaalvõrgustiku pidajale oma isikuandmete töötlemiseks ise nõusoleku, kuid nooremate laste eest peavad selle andma nende vanemad.

Enda läbikaevamine sellest „juriidilisest pläralärast“ võib oma põhitegevusele keskenduda soovivale ettevõtjale olla keeruline ja aeganõudev. TRINITI intellektuaalomandi ja IT-õiguse töörühm on aga selle töö juba ära teinud ning saab teile vajadusel abiks olla. Oleme välja töötanud lahenduse, mis aitab meie klientidel viia oma tegevus määruse ja seaduste nõuetega kooskõlla ning seda jätkuvalt kooskõlas hoida. Sellest kirjutame pikemalt mõnes meie järgmistest blogipostitustest.

Küsi nõu!

  Esita küsimus

Saada vihje

Hea lugeja, meie eesmärk on teha just sellist ajakirja, nagu sulle meeldib. Pane kirja soovitud teemad ning dokumendivormid, mida tahaksid siit leida. Tehkem koostööd!
430824810 430800019636154 7356040320163199917 n255