Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.
Andmekaitse eirajat trahvida ei saa
Kui Eestile meeldib end tituleerida kiire ja innovaatilise e-riigina, siis andmekaitse valdkonnas ollakse justiitsministeeriumi saamatuse tõttu läbikukkunud ning isikuandmete kaitse üldmäärust on seetõttu keeruline rakendada, kirjutavad Ellex Raidla advokaat Merlin Liis ja Ellex Raidla juhtivpartner Ants Nõmper.
Eestit maailmale tutvustades rõhutavad meie poliitikud ja ettevõtjad sageli Eesti innovaatilisust. Eesti väiksus on meie konkurentsieelis paljude suuremate riikide ees põhjusel, et väikses riigis saavad toimuda muutused kiiremini ja väiksema bürokraatiaga. Mitmetes valdkondades saamegi ennast esitleda eduka e-riigina. Näiteks pole peale Eesti ühtegi teist riiki, kes saaks tunda uhkust nii turvalise ja lihtsa e-tervise keskkonna üle. Andmekaitse valdkonnas võib aga kahjuks tänase seisuga lugeda Eesti püüdluse kiirusele ja innovaatilisusele läbikukkunuks ja seda justiitsministeeriumi saamatuse tõttu.
Isikuandmete kaitse üldmäärus ehk ingliskeelse lühendiga GDPR hakkas kehtima 25. mail Määrus võeti vastu veidi enam kui kaheaastase üleminekuajaga juba 27. aprillil 2016. aastal. See tähendab, et GDPR kehtib üleeuroopaliselt juba enam kui neli kuud, aga tekst sai vastuvõetud juba peaaegu kaks ja pool aastat tagasi.
GDPR on määrusena kehtiv ja vahetult kohaldatav kõikides Euroopa riikides, sealhulgas Eestis. Kuna üldmäärus on mõeldud kasutamiseks kogu Euroopale, siis ei saanud üldmääruse kirjutajad arvestada kõikide riikide võimalike eripäradega. Niisamuti ei ole arvestatud ka Eesti eripäradega ja seetõttu jäetigi üldmäärusega liikmesriikidele volitused määruse nõuete täpsustamisel. Koos GDPRi jõustumisega 25. mail 2018. aaastal oleks Eesti pidanud vastu võtma ka uue riigisisese isikuandmete kaitse seaduse, kuid seda ei ole siiani tehtud.
Uue isikuandmete kaitse seaduse eelnõu on hetkel riigikogu menetluses teise lugemise etapis ja võimalike muudatusettepanekute ootel. Seega ei ole vastust küsimusele, millal uus isikuandmete seadus vastu võetakse.
Trahve ei saa määrata
Selline õigusvaakum on tekitanud palju küsimusi ja ebaselgust. Esiteks on õigusvaakumi valguses ebaselge, kuidas GDPR täpselt Eestis kohaldub. Teiseks on ebaselge Andmekaitse Inspektsiooni täpne pädevus. Andmekaitse Inspektsiooni põhimääruse järgi täidab Andmekaitse Inspektsioon ülesandeid isikuandmete kaitse ning avaliku teabe valdkonnas. Samas ei ole järelevalveasutusel võimalik valvata õiguse üle, mille täpne sisu on talle riigisisese õigusakti puudumise tõttu teadmata. Halenaljakas on seejuures Andmekaitse Inspektsiooni juhi konkursi fiasko, mis on päädinud sellega, et täna puudub Andmekaitse Inspektsioonil juht hoopiski.
Tekkinud õigusvaakum tähendab, et formaalselt isikuandmete üldmäärus küll kehtib, kuid praktikas ei ole võimalik GDPRi rikkumise tõttu ja GDPRi alusel trahve määrata, sest tänane isikuandmete kaitse seadus sellist pädevust Andmekaitse Inspektsioonile ei anna.
Kokkuvõtlikult mõjub Eesti suutmatus õigel ajal riigisisest õigusakti vastu võtta häbiplekina meie innovaatilise e-riigi mainele. GDPR saigi vastu võetud kaheaastase üleminekuajaga eesmärgil, et riikidel oleks piisavalt aega enda õiguskordasid uuendada. Eesti pole aga uut seadust pea kahe ja poole aasta jooksul vastu võtta suutnud ning on ebaselge, millal seda tehakse.