Mis mul GDPRist, mul on ju kindlustus

Kuu on möödunud isikuandmete kaitse üldmääruse jõustumisest. Maikuus kuhjusid e-postkastides andmekaitsele viitavaid e-kirjad ja vilkusid veebilehtedel pealetükkivad lisaaknad nõusolekute lunimiseks ja „hädavajaliku teavitustöö“ tegemiseks. Juunis tundub, et see torm on vaibunud. Tegelikult on aga hetkel pigem vaikus enne tõelist tormi. Üldmääruse jõustumine tähendab, et selle rakendamine on algusjärgus – järelevalveasutused alles hakkavad kontrolle teostama, haldus- ja kohtupraktika alles hakkab kujunema.

Kui mõned ettevõtted tegid mai lõpus veel viimaseid pingutusi, et isikuandmete töötlemist üldmäärusega kooskõlla viia, siis on tänaseni hulgaliselt neid, kes pigem lähtuvad põhimõttest – ootame ja vaatame. Samuti on levinud arusaam, et hea kindlustus päästab isegi üldmäärusest tingitud riskide eest. Turul levivad ka kindlustusandjate pakkumised, millest mõnes näiteks reklaamitakse „võimalust lisada turvatunnet andmekaitseregulatsiooniks valmistumisel.“

Seega tekib küsimus, kas asi ongi äkki nii lihtne? Kas võib üldmääruse panna rahulikult sahtlisse ning pika ja kuluka tegevuse üldmäärusega vastavusse viimise asemel hoopis sõlmida kindlustuslepingu võimalike riskide maandamiseks?

Nii lihtne see paraku siiski pole. Eestis reguleerib kindlustustegevust ja kindlustusvahendust kindlustustegevuse seadus, kindlustuslepinguid käsitletakse ka võlaõigusseaduses. Kindlustustegevuse seaduses antud loetelu kohaselt on võimalik pakkuda mh tsiviilvastutuskindlustust. Üldmääruse ja isikuandmete kaitse seaduse alusel määratavad trahvid on olemuselt aga karistus väärteo eest. Tegemist ei ole tsiviilvastutusega. Samuti ei paigutu trahvide kindlustamine teiste kahjukindlustuse alaliikide alla. Kõnealused loetelud ei ole avatud, see tähendab, et seadusandja soovis ammendavalt ette näha, mis laadi riske on põhimõtteliselt võimalik kindlustada. Eelduslikult on nii Euroopa Liidu kui ka Eesti õigusnormide ühine eesmärk, et väärteo eest määratava trahvi puhul peab säilima selle karistuslik iseloom – karistust peab kandma teo toimepanija, kes ei saa tasumise kohustust veeretada kindlustusandjale.

Lisaks trahvidele võib aga isikuandmetega seotud rikkumistega kaasneda muu kahju või kulu (andmesubjektide nõuded, kulud töötlemisprotsesside muutmiseks jne). Kas nende osas võiks ettevõte ennast kindlustada? Võlaõigusseadusest tulenevalt vabaneb kindlustusandja lepingu täitmise kohustusest, kui kindlusvõtja põhjustas tahtlikult ja õigusvastaselt sündmuse toimumise, millest tulenevalt kindlustusvõtja kahjustatud isiku ees vastutab. Järelikult kui ettevõte ei ole võimeline näitama vähemalt püüdlusi oma tegevuse isikuandmete kaitse üldmäärusega kooskõlla viimiseks, siis on seda võimalik tõlgendada sündmuse tahtliku ja õigusvastase põhjustamisena. Seega isegi juhul, kui ettevõte on sõlminud esmapilgul väga headel tingimustel kindlustuslepingu, ei tarvitse ta pääseda üldmäärusest ja sellest tulenevast vastutusest. Kindlustus võib aidata leevendada võimalikke eksimusi ja apsakaid üldmääruse kohaldamisel, kuid ei kaitse täieliku tegevusetuse eest.

Ettevõtted, kes on pööranud tähelepanu üldmääruse nõuetele, võivad ilmselt nüüd mõnda aega veidi rahulikumalt hingata. Ootajate ja kindlustajate olukord kisub järelevalveasutuste kullipilgu all aga pingelisemaks. Ilma rakenduspraktikata ei ole võimalik püstitatud teema osas täiesti kindlat üldist „jah“ või „ei“ vastust anda, palju oleneb konkreetse juhtumi asjaoludest. Äärmiselt tõenäoline on aga see, et lihtsalt kindlustuse kilbi taha peitumine ei anna kaitset üldmäärusest tulenevate võimalike riskide ega trahvide eest. Hästi läbimõeldud kindlustusleping võib aga kõigile osapooltele kasu tuua. Seega tasub nii kindlustusandjatel läbi mõelda võimalikud täiendavalt kindlustatavad valdkonnad kui ka kindlustusvõtjatel endil uurida võimalusi erinevate uudsete riskide maandamiseks.

Autor: Margot Maksing