Valvame, et isikuandmete kasutamisel austatakse eraelu

ning et riigi tegevus oleks läbipaistev

ANDMEKAITSE INSPEKTSIOONI

TEGEVUSPÕHIMÕTTED

Kinnitatud peadirektori 2011. a. 9. septembri käskkirjaga nr 1.1-4/11/15

Sisukord

1. Milleks see dokument on mõeldud? .................................................................... 2 2. Mis on meie tegevuse eesmärk ja alused? ........................................................... 2

3. Miks vajame avaliku sektori läbipaistvust? ........................................................ 2 4. Miks vajame eraelulise teabe kaitset? ................................................................. 3

5. Kuidas isikuandmete kaitset piiritleda? ............................................................... 4 6. Eraelu kaitse versus teised põhiõigused .............................................................. 5 7. Milliseid rolle me tegelikult täidame? ................................................................. 7 8. Kuidas olla strateegiline reguleerija? ................................................................ 11 9. Kuidas hinnata riske? ........................................................................................ 11

2

1. Milleks see dokument on mõeldud?

See dokument on Andmekaitse Inspektsiooni töö korraldamise strateegiadokument,

mis selgitab:

- kuidas me suhestame enda töö ühiskonna vajaduste ja arenguga,

- mis on rollid, mida me oma töös täidame,

- mis põhimõtetel teeme oma töös valikuid,

- mida püüame oma valikutega saavutada.

2. Mis on meie tegevuse eesmärk ja alused?

Andmekaitse Inspektsioon kaitseb igaühe põhiseaduslikke õigusi:

1) õigust saada teavet asutuste ja ametiisikute tegevuse kohta,

2) õigust pere- ja eraelu puutumatusele isikuandmete kasutamisel,

3) õigust tutvuda enda kohta kogutud andmetega.

Isikuandmete kogumine ja kasutamine võib pere- ja eraelu puutumatuse kõrval

põimuda ka teiste põhiõigustega, näiteks:

1) õigusega aule ja heale nimele,

2) õigusega vabale eneseteostusele,

3) õigusega sõnumisaladusele.

Põhiõiguste kaitsmiseks volitavad meid:

1) isikuandmete kaitse seadus (IKS),

2) avaliku teabe seadus,

3) elektroonilise side seadus,

4) rahvusvahelised õigusaktid (piiriüleste andmekogude ühine järelevalve,

Euroopa andmekaitseasutuste ühises töörühmas osalemine).

3. Miks vajame avaliku sektori läbipaistvust?

Infotehnoloogia areng võimaldab avaliku võimu teostajail teada üksikisikust järjest

enam. Demokraatia kestlikkuse seisukohalt on oluline tasakaalu tagamine: ka avaliku

võimu teostamine peab ise olema järjest läbipaistvam.

Üksikisiku tasandil tagab avaliku sektori läbipaistvus, et inimene saab hõlpsasti talle

vajalikku teavet asutuste tegevuse kohta. Sama vajadus on ka juriidilistel isikutel

(ettevõtetel, ühingutel).

3

Ühiskonna tasandil tagab läbipaistvus avalikkuse kontroll avaliku võimu teostamise,

avalike teenuste osutamise ja avaliku raha kasutamise üle. Avalikkuse kontroll aitab

kaasa halduse tõhususele ning vähendab korruptsiooni ja ebavõrdse kohtlemise ohte.

Avaliku teabe õigus on tihedalt seotud e-riigi arenguga. Passiivne küsimise peale teabe

väljastamine asendub üha enam teabe kättesaadavaks tegemisega avalikus

arvutivõrgus.

Peame selle juures jälgima, et avaliku sektori võrguteave ei hajuks asutuste

võrgulehtede rägastikku, vaid jõuaks kasutajakeskses ning ühtlustatud esituses Eesti

teabeväravasse www.eesti.ee.

4. Miks vajame eraelulise teabe kaitset?

Elame infoühiskonnas. Üha enam mõjutavad meie igapäevaelu automatiseeritud

andmetöötlus, digitaalsed andmekogud ning üleilmne arvutivõrk. Kõikvõimalikku

teavet, sh inimeste ning nende era- ja pereelu kohta, koguneb järjest enam. See teave

on järjest paremini kasutatav ja kättesaadav.

Infoühiskonna areng on meile vajalik globaalses konkurentsis püsimiseks.

Automatiseerimine ja digitaliseerimine nii äris kui halduses aitavad toime tulla

elanikkonna vananemise ja töökäte vähenemisega.

Infoühiskonna arenguga koos kasvavad isikuandmetega seotud riskid, kui:

- isikuteave on ebatäpne, eksitav või vananenud,

- kogutud andmeid säilitatakse ülemäära kaua,

- andmeid ei kasutata selleks, milleks neid koguti, või kasutatakse keelatud ja

ebaausal eesmärgil,

- teavet avaldatakse neile, kellel pole õigust seda saada,

- andmeid ei hoita turvaliselt.

Kõik need riskid kalduvad suurenema siis, kui inimene ise ei teagi, millist teavet tema

kohta kogutakse ja mida sellega tehakse.

Need riskid võivad inimest kahjustada nii isiklikes, tööalastes ja sotsiaalsetes suhetes.

Alates rämpsposti-uputusest ja küberkiusamisest ning lõpetades töökaotuse või

identiteedivargusega.

Kuid isikuteabe kasutamise korrastatus ei ole vajalik üksnes üksikisiku tasandil.

Ühiskonnale kui tervikule on samuti oluline isikuandmetega seotud riske vähendada.

4

Kui isikuandmete kasutamisel ei ole asjad korras, kahjustab see usaldust – nii

ärisuhetes, halduses kui inimestevahelises läbikäimises laiemalt.

Vajadus usalduse järgi on aga täna suurem kui varem. Digiajastul loovad inimesed

suhteid, teevad tehinguid ning ajavad asju ilma teist osapoolt nägemata. Eriti oluline

on inimeste usaldus e-teenuste arendamisel.

Isikuandmete kasutamise reguleerimise eesmärk on kaitsta inimeste era- ja pereelu.

Läbi ajaloo on avalik võim püüdnud inimesi kaitsta, kui nende eraellu omavoliliselt

sekkutakse. Eeskätt on kaitstud füüsilise sekkumise – kallale- ja sissetungimise eest.

Infoühiskonnas häirib inimeste eraelu järjest enam aga informatsiooniline sekkumine.

Informatsiooniline sekkumine võib lisaks era- ja pereelu puutumatusele kahjustada ka

teisi põhiõigusi – näiteks õigust aule ja heale nimele, õigust sõnumisaladusele, õigust

vabale eneseteostusele, elukutse ja tegevusala valiku vabadust.

Seetõttu aitab eraelulise teabe kaitsmine tagada nii üksikisiku põhiõigusi kui ka

ühiskonna tervikhuve.

5. Kuidas isikuandmete kaitset piiritleda?

Isikuandmete kaitse reeglid ei ole absoluutsed. Oluline on nende mõistlik piiritlemine.

Vastasel juhul on oht jõuda absurdi.

Isikuandmete kaitse õiguse aluseks olev Euroopa Nõukogu konventsioon ning

Euroopa andmekaitsedirektiiv on suunatud automatiseeritud andmetöötlusele. Muul

juhul kohaldatakse isikuandmete kaitset, kui moodustatakse korrastatud

andmekogumeid.1

Seda piiritlust tasub arvestada ka meil. Grafiti võib sisaldada isikuandmeid, kuid on

sellele vaatamata heakorra, mitte isikuandmete kaitse küsimus.

Isikuandmete kaitse õigustikku ei kohaldata, kui andmeid kogutakse ja kasutatakse

isiklikuks (ka koduseks) otstarbeks.2 Seda ka siis, kui teise isiku andmed kasutavad

mitu eraisikut korraga. Ehk siis isikuteave jääb erasfääri – vastandina avalikule sfäärile

(kuhu kuuluvad haldus, avalikud teenused, äri jne).

Kui erasfääris – nt perekondlikus, töökaaslaste, naabrite või sõprade vahelises

suhtluses – kasutatakse isikuandmeid, siis selle riiklikule järelevalvele allutamine on

1 1981. aastal Strasbourgis sõlmitud Euroopa Nõukogu „Isikuandmete automatiseeritud töötlemisel

isiku kaitse konventsioon“, art. 3 lõige 1 (RT II 2001, 1, 3); Euroopa Parlamendi ja Nõukogu direktiiv

95/46/EÜ, 24. oktoober 1995, üksikisiku kaitse kohta isikuandmete töötlemisel ja selliste andmete

vaba liikumise kohta, art. 3 lg 1.

2 Eelviidatud direktiivi 95/46/EÜ art. 3 lg 2; isikuandmete kaitse seaduse § 2 lg 1 p 1.

5

otstarbetu. Asjaosalised saavad siin enda õiguste kaitsel tugineda tsiviilõigusele ja

tsiviilkohtumenetlusele.

Meie kaudu ei lahendata vaidlusi au ja hea nime teotamise asjus. Meil on pädevus

hinnata vaid isikuandmete kogumise ja kasutamise õiguslikku alust (seadus või

nõusolek). Au ja hea nime teotamise asjades käib vaidlus reeglina väärtushinnangute

ebakohasuse üle, milles meil pädevus puudub.

Samamoodi ei saa me lahendada isikuandmetega seotud muid vaidlusi, kui need

sõltuvad sellisest õigussuhtest, mille hindamiseks meil puudub pädevus (näiteks kas

pooltevaheline leping kehtib või mitte).

6. Eraelu kaitse versus teised põhiõigused

Isikuandmete kogumise ja kasutamise reguleerimise eesmärgiks on kaitsta inimese

põhiõigusi, eeskätt eraelu puutumatust.

Kuid erinevad põhiõigused võivad tegelikus elus omavahel vastanduda. Näiteks eraelu

kaitstus võib vastanduda:

1) sõna- ehk väljendusvabadusele,

2) teabe levitamise vabadusele,

3) ettevõtlusvabadusele,

4) (loomingulise) eneseteostuse vabadusele.

Ükski neist põhiõigustest ei ole teistest ülem ega alam. Põhiõiguste põrkumisel peame

esmalt kaaluma, kus peaks olema nende vaheline tasakaalupunkt. Peame hindama, kas

ühe põhiõiguse kaitsmise vajadus konkreetses olukorras kaalub üles teiste põhiõiguste

riive.

Vaidlustega, mis puudutavad kirjandust, kunsti ja muid loomingulise eneseteostuse

valdkondi, on sama mis au ja hea nime teotamise asjadega – nende lahendamiseks on

eeskätt võlaõigusseadus ning tsiviilkohtumenetluse seadustik.

Meedia kuulub isikuandmete kaitse kohaldamisalasse. Seadus annab erinormi

isikuandmete nõusolekuta avaldamiseks ajakirjanduslikul eesmärgil, kui:

1) selleks on ülekaalukas avalik huvi,

2) ajakirjanduseetika nõuded on täidetud ja

3) inimesele ei põhjustata ülemäärast kahju (IKS § 11 lg 2).

Siin satub eraelu kaitse vastakuti sõnavabadusega ning teabe levitamise vabadusega.

Sõnavabadus ega teabe levitamise vabadus ei ole elukutseliste ajakirjanike privileeg.

Ajakirjandusele suunatud sättele (IKS § 11 lg 2) võib tugineda igaüks, kes

isikuandmeid sisaldavat teavet avalikkuse ette toob. Seega nii kutseline ajakirjandus

kui ka muud avalikud kanalid – näiteks veebipäevikud, netifoorumid,

netikommentaariumid, suhtluskeskkonnad jne.

6

Eraelu piiride tunnetus on inimeseti erinev. Seetõttu ei ole meie asutusel kohane

sekkuda meedia osas vaidlustesse omal algatusel, ilma puudutatud isiku kaebuseta.

Meil tekib puutumus meediaga, kui kaebaja taotleb IKS § 11 lg 3 alusel, et lõpetataks:

1) õigusvastane,

2) jätkuv ning

3) kaebaja õigusi ülemääraselt kahjustav avaldamine,

4) kusjuures avaldajal on teabekandja üle kontroll.

Jätkuv avaldamine, mille lõpetamist saab nõuda, ei toimu paberväljaandes, raadios või

telepildis, seal on ühekordne avaldamine. Jätkuv avaldamine on avaldamine avalikus

arvutivõrgus. Otsingumootorid teevad seal ilmunu inimesega seostatult kättesaadavaks

ka aastakümneid hiljem. Oma võrgukanali üle on avaldajal kontroll – erinevalt

väljamüüdud pabertiraažist.

Avaldamise lõpetamise nõudmine sisaldab olulisi valikuvõimalusi:

- eelistavaim variant on isiku nime blokeerimine Interneti-otsingumootoritele

(„guugeldamisele“). Sellega muutub võrgumaterjali kättesaadavus

analoogseks pabermaterjaliga;

- meie järgmine eelistus on isiku tuvastamatuks muutmine avaliku

juurdepääsuga veebimaterjalis;

- või kui see ei ole asja sisu tõttu võimalik, siis viimase valikuna

avalikkusele juurdepääsu sulgemist tervele veebimaterjalile;

- me ei nõua sulgetavate isikuandmete või materjali lõplikku kustutamist

(„ajaloo ärahävitamist“). Kui juurdepääs on edaspidi avatud nt vaid

meediaväljaande sisevõrgus, siis on avaldamine lõpetatud.

Isikuandmete kaitse eesmärgiks on inimese eraelu (informatsioonilise privaatsuse)

kaitse, kuid mitte avalikkusele suunatud tegevuse arvustamise takistamine. Kui

kaebuse esemeks oleva materjali sisu jääb eraelust väljapoole (poliitiline, ühiskondlik

või muu avalikkusele suunatud tegevus, sh avalikkusele suunatud teenuste pakkumine

ettevõtjana), siis eeldame avalikku huvi selle tegevuse käsitlemiseks.

Kui inimene ikkagi vastustab oma avalikkusele suunatud tegevuse käsitlemist

meedias, siis eeldame, et tegu on kaebaja ja avaldaja vahelise tsiviilvaidlusega (au ja

hea nime teotamine, valeandmete ümberlükkamine jms). See on tsiviilõiguse ja

tsiviilkohtumenetluse, mitte isikuandmete kaitse teema.

Kui kaebuse esemeks oleva materjali sisu puudutab inimese eraelu, siis küsime

avaldajalt selgitusi (eeskätt: millega põhjendab avalikku huvi) ning kaalume

sekkumise vajadust. Küsime ka kaebajalt endalt, milles tema hinnangul väljendub

tema õiguste ülemäärane riive.

„Avaliku huvi“, „ülemäärase kahju“ jms hinnanguliste õigusmõistete kohaldamine ei

ole täppisteadus. Seadus annab meil nende suhtes kaalutlusõiguse. Selle juures

7

pöörame erilist tähelepanu Euroopa Inimõiguste Kohtu praktikale. Meie otsused on

kohtus vaidlustatavad.

7. Milliseid rolle me tegelikult täidame?

Seadused eraelulise teabe kaitse ja avaliku teabe kättesaadavuse kohta ei ole

iserakenduvad. Nad vajavad tõhusaks toimimiseks asutust, kes kontrolliks, ühtlustaks

ja edendaks nende rakendamist.

Seadused annavad meie asutusele volitusi erinevate toimingute tegemiseks. Vabariigi

Valitsuse seadus käsitleb inspektsiooni järelevalveasutusena, kelle põhiülesanne on

kohaldada riikliku järelevalvet ja sundi. Need normid ei anna siiski ülevaadet rollidest,

mida me tegelikult täidame.

Meie asutuse eesmärgiks on kaitsta inimeste põhiõigusi. Sarnaneme oma eesmärgi

poolest põhiõiguste kaitse voliniku (ombudsmani ehk õigusvahemehe) rollile, mida

Eestis täidab õiguskantsler. Samuti soolise võrdõiguslikkuse ja võrdse kohtlemise

voliniku institutsioonile.

Samas on klassikaline põhjamaine ombudsmani-institutsioon ilma täitevvõimu

volitusteta. Tavapäraselt avaldab ombudsman arvamust ning võib selle

mittearvestamisel pöörduda (põhiseadus)kohtu poole.

Meie asutus kaitseb teabeõigusi. Need õigused on oma olemuselt ajakriitilised.

Viivitus võib sageli muuta teabega seotud õiguste kaitse mõttetuks. Sestap nõuab ka

rahvusvaheline õigus, et isikuandmete kaitse asutusel peavad olema tõhusad uurimus-

ja sekkumisvolitused.3

Samuti eeldab rahvusvaheline õigus, et isikuandmete kaitse asutus saab avaldada

arvamust selliste haldusmeetmete võtmise või õigusaktide koostamise käigus, mis

puudutavad isikute põhiõiguste kaitset isikuandmete töötlemisel.4 Isikuandmete kaitse

asutus peab täitma privaatsuse häirekella rolli, kes aitab probleeme ära tunda ja

ennetada.

Isikuandmete kaitse, samuti avalikule teabele juurdepääsu piiramine tugineb sageli

hinnangulistele õigusmõistetele. Nende sujuv rakendamine, samuti nende õigusharude

sidustamine kiirelt areneva infotehnoloogiaga vajab seadusandlust täiendavat „pehmet

õigust“ ehk häid tavasid.

3 Euroopa Nõukogu „Isikuandmete automatiseeritud töötlemisel isiku kaitse konventsioon“ 8.11.2001

sõlmitud lisaprotokoll, art. 1 (RT II 2009, 17, 44); Euroopa Parlamendi ja Nõukogu direktiiv 95/46/EÜ,

24. oktoober 1995, üksikisiku kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise

kohta, art. 28 lg 3; Euroopa Parlamendi ja Nõukogu direktiiv 2002/58/EÜ, 12, juuli 2002, milles

käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu

puutumatust ja elektroonilist sidet käsitlev direktiiv), art. 15a lg 3.

4 Eelviidatud andmekaitsedirektiivi 95/46/EÜ art 28 lg 2.

8

Isikuandmete kaitse teema on piiriülene. Seda nii avalikus sektoris (erinevad

õiguskoostöö alased piiriülesed Euroopa infosüsteemid) kui ärisektoris (kasutajad

ühes, teenusepakkuja teises ja andmehoidlad kolmandas riigis). Isikuandmete kaitse

asutused peavad tegema tihedat rahvusvahelist koostööd.

Kõik see vajutab ka vastavaile asutustele küllalt erilise pitseri. Meie tegeliku töö võib

kokku võtta nii, et joonistuvad välja selgepiirilised rollid:5

7.1) selgitaja-teavitaja roll hõlmab selgituste jagamist ning teadlikkuse tõstmist

isikuandmete kaitse ja avaliku teabe alal:

- selgitustaotlustele vastamine,

- nõuandetelefon,

- konsultatsioon,

- teadlikkuse tõstmise üritused ja meetmed;

7.2) õigusvahemehe (ombudsmani) roll hõlmab nii kaebuste läbivaatamist kui ka

omal algatusel rikkumistele reageerimist:

- lahendame kaebuste ning vaideid põhiõiguste tagamiseks;

- õiguste rikkumise kahtluse korral algatame järelevalve ilma kaebuseta,

- järelevalve käigus on meil piisavad uurimismenetlused ning õigus teha

siduvaid otsuseid (ettekirjutused, vaideotsused).

See roll on oluline ka:

- rahvusvahelises mõõtmes (kaebused piiriüleste andmekogude asjades, muud

piiriülest koostööd nõudvad asjad) ning

- nende andmekogude suhtes, millele ligipääs on piiratud ja kus inimesel endal

ei ole võimalust enda kohta kogutud andmeid ise kontrollida;

7.3) audiitori-loaandja roll on mitmekülgne:

5 Rollide piiritlemisel tugineme rahvusvahelise tunnustuse leidnud teosele: Colin J. Bennet, Charles D.

Raab: The Governance of Privacy. Policy Instruments in Global Perspective. The MIT Press; Cambridge

(Massachusetts), London; 2006.

9

ombudsman reageerib kaebuse- või rikkumispõhiselt. Niimoodi suudame piltlikult

öeldes tegeleda küll puude, kuid mitte metsaga. Peame kasutama ka proaktiivseid,

suuremamõjulisi järelevalvevorme:

- vastavus- ja valmidusauditid tundlikes andmekogudes, et saada nende

andmekaitsekorraldusest tervikpilt,

- võrdlevad seired, millesse haarame mingi aspekti kontrollimiseks ja üldistuste

saamiseks kümneid ja sadu seiratavaid,

- auditeid ja seireid korraldame ka rahvusvahelises koostöös.

Mõned auditeerimisülesanded on seotud loa, kooskõlastuse või nõusoleku andmisega:

- delikaatsete isikuandmete töötlemise registreerimine – töötlemisõigus tekib

registrikandest, seega on see formaalselt loamenetlus:

tunnistame selle funktsiooni ebatõhusust. Järelevalve-abinõust on

sisuliselt saanud teadlikkuse tõstmise meede. Meie online-registris

automatiseeritud veafiltritega küsimustiku täitmine aitab töötlejatel

tõsta enda andmekaitse-alast teadlikkust ning hinnata oma riske.

Kuna tegemist on ebatõhusa meetmega, siis hoidume selle

ebamõistlikult laiast kohaldamisest. Registreerimist nõuame üksnes siis,

kui delikaatsete isikuandmete töötlemine on töötleja plaanipärase

tegevuse osaks. Näiteks terviseandmetega võib tööõnnetuse korral

teoreetiliselt kokku puutuda iga tööandja, kuid see ei ole tema

plaanipärase tegevuse osa, vaid etteplaneerimata erandlik juhtum. Küll

aga on terviseandmete töötlemine tervishoiuteenuse osutaja

plaanipärase tegevuse osaks, kelle on seetõttu ka

registreerumiskohustus;

- avaliku sektori andmekogude asutamiskavatsuse, käikulaskmise,

andmekoosseisu muutmise ja likvideerimise kooskõlastamine detailiseeritud

inim- ja masinloetava võrgupõhise süsteemi kaudu,

- teadus-uuringuiks isikuandmete kasutamise loa andmine ilma uuritavate

nõusolekuta:

meie eesmärgiks on ära hoida riske, mida teadus-uuringuiks kogutud ja

isikuandmete lekkimine või väärkasutamine võiks inimestele

põhjustada.

Teadvustame sealjuures, et isikuandmete umbisikustamise või

nõusolekupõhisuse nõue võib olla mahukate, pika-ajaliste ning

erinevaid andmeallikaid (andmekogusid) hõlmavate uuringute puhul

ülemääraseks takistuseks teadustööle;

- ebapiisava andmekaitsetasemega kolmandatesse riikidesse isikuandmete

edastamise loa andmine;

7.4) heade tavade kujundaja:

10

isikuandmete kaitse ja avaliku teabe õigus reguleerivad hinnangulisi õigusmõisteid

kasutades kiiresti muutuvat ainest. Tavaelus on seetõttu oluline heade tavade

kogumine ja avaldamine ehk „pehme õiguse“ kujundamine. Selleks volitavad meid ka

mõlemad seadused.

Kuna isikuandmete kaitses on piiriülesel mõõtmel suur osakaal, siis täidame seda rolli

ka rahvusvahelises koostöös. Tähtsaimaks väljundiks on siin Euroopa

andmekaitseasutuste ühine töörühm. Paraku segab meie asutuse väiksus meid siin

aktiivsemat osa täitmast;

7.5) poliitikanõustaja:

nõustame avaliku sektori tegevusi, eeskätt õigusloomelisi ja infotehnoloogilisi

algatusi. Teeme seda:

- nii omal algatusel,

- küsimise peale kui ka

- otse seaduses ettenähtud juhtudel.

Viimaste näiteks võib tuua meie korralisi ja erakorralisi ettekandeid Riigikogu

põhiseaduskomisjonile ja õiguskantslerile.

Mitme rahvusvahelise koostöövormi – eeskätt Euroopa andmekaitseasutuste ühise

töörühma – kaudu osaleme ka rahvusvahelises poliitikanõustamises, eeskätt Euroopa

Komisjonile;

7.6) sundija-karistaja:

tõsist ja pahatahtlikku rikkumist tuleb karistada. Selleks on meil kohtuvälise

väärteomenetleja õigused.

Kuid kui iga väikese ja/või tahtmatu rikkumise peale reageerida väärteomenetlusega,

siis vajaksime oma koosseisu sadu menetlejaid.

Valdaval enamusel juhtudest on meie poole pöördumise eesmärgiks rikkumise

lõpetamine/ärahoidmine, mitte karistamine.

Seetõttu kasutame riskipõhist reageerimisastmestikku:

- soovituse andmine võimaliku rikkumise lõpetamiseks ilma selgitusi ja

tagasisidet küsimata (lihtsustatud järelevalve),

- asja uurimine ja ettepaneku tegemine koos tagasiside küsimisega,

- ettekirjutuse tegemine koos sunniraha/väärteovastutuse hoiatusega,

11

- sunniraha määramine,

- väärteotrahvi määramine.

8. Kuidas olla strateegiline reguleerija?

Isikuandmete kogumise ja kasutamisega tegelevad põhimõtteliselt kõik asutused, kõik

ettevõtted, kogu mittetulundussektor. Ka tavaline eraisik peab täitma isikuandmete

kaitse reegleid, avaldades internetis teavet teiste isikute kohta.

Teabe hulk, millele kohaldub avaliku teabe seadus, üha kasvab. Seaduse täitjaiks on

kõik asutused ning kõik avalikke ülesandeid täitvad või avalikku raha kasutavad

eraõiguslikud isikud.

On ilmne, et meie asutus ei suhestu järelevalvatavatega sel moel nagu ametid ja

inspektsioonid, kes kõigi või suurema osaga järelevalvatavatest saavad reaalselt kokku

puutuda.

Suur osa meie tööst on reageeriv. Kui meile kaevatakse või meilt küsitakse nõu, siis

peame vastama heale klienditeenindusele kohasel viisil. Kuid küsimuse/kaebuse-

põhine lähenemine on passiivne lähenemine ning ainult sellega piirdumine oleks

ilmselgelt ebapiisav.

Oma töö selles osas, mida teeme enda algatusel, peame keskenduma kõige

olulisemale. Peame meile usaldatud vähest ressurssi kasutama kõige mõjusamal moel.

Peame olema strateegiline reguleerija.

Tahame oma töös saavutada enamat kui lihtsalt seaduste formaalne täitmine. Peame

kaasa aitama heade tavade ja mõistliku õiguspraktika kujunemisele.

Peame meeles, et koostöös teiste asutuste ja ühendustega saavutame rohkem kui

üksinda. Isikuandmete kaitse ja avaliku teabe järelevalve ja edendamine peaks olema

sisse lõimitud valdkondlike järelevalveasutuste, sisekontrollisüsteemide ning

erialaorganisatsioonide tegevusse.

Meie võimuses ei ole kõrvalda kõiki riske, vaid vähendada kõige tõsisemaid ning

kaitsta neid, kes on kõige haavatavamad.

Me ei võta kelleltki vabadust ise otsustada ja peame meeles, et inimesed on tavaliselt

ise kõige tõhusamad omaenda huvide kaitsjad. Küll aga on meie töö osaks aidata neil

informeeritud otsuseid teha.

9. Kuidas hinnata riske?

Meie sekkumise aluseks on riskide tõenäosus ning kahju tõsidus.

Riskide tõenäosus:

12

- võtame arvesse oma kogemusi kontrollimiste, kaebuste ja asjaosalistega

suhtlemise pinnalt, poliitika ja turu uurimisest,

- arvestame seda, mida arvavad riski tõenäosusest need, kelle õigusi oleme

kutsutud ja seatud kaitsma,

- kahju, mida peame ära hoidma, peab olema tõeline ja võimalik välja selgitada,

- lähtume üksikisikute ja ühiskonna mõistlikest ootustest.

Kahju tõsidust vaatleme laiemalt kui vaid nende huve, kes kaebasid:

- kui palju isikuid kahju tegelikult või oletuslikult mõjutab,

- kas need isikud on eriliselt haavatavad,

- kas kahju on pika- või lühiajalise mõjuga,

- kas on tegu üksikjuhtumiga või osana laiemast trendist või käitumismustrist,

- milline on kaudse kahju suurus, mida põhjustaks avalikkuse usalduse

vähenemine isikuandmete kaitstuse või avaliku sektori aususe vastu.

Sekkumisel peame endalt ühtlasi küsima, kas:

- meil on vaja juhtroll võtta,

- kas on tegu puhtalt isikuandmete kaitse või avaliku teabe teemaga või on see

lihtsalt suurema teema kõrvalaspekt,

- kas sekkumisel oleks reaalne, pikema-ajaline mõju,

- kas antud asjas on oodata poliitika või seadusandluse muutusi,

- kas võiksime sekkumisega mõjutada ettevõtlusalast või muud üldist arengut,

- kas on lisavõimalusi, näiteks meediahuvi, mida võiksime antud asjas kasutada,

- kas antud asjas on olnud meie poolset ebaselgust või ebajärjekindlust,

- kas antud riskid on juba lahendamiseks antud kellelgi teisele.

Kuidas me sekkume:

- probleemi ennetamine on parem kui tagantjärgi ravimine,

- astume samme, et isikuandmete kaitsega ja avaliku sektori läbipaistvusega

arvestataks poliitika ja õigusloome kujundamise varasematel järkudel, selmet

hiljem tagajärgedega tegeleda,

13

- informeerime, nõustame ja aitame neid, kes tahavad häid eesmärke saavutada,

selle asemel et oodata, kas neid saab karistada, kui nad midagi valesti teevad,

- paneme erilist rõhku eraelu kaitset soodustavaile lähenemisviisidele, mis

minimiseerivad isikuteabe kogumist, tagavad täpsuse ja turvalise hoidmise

ning soodustavad isikute pääsemist avaliku ja enesekohase teabeni,

- eelistame jätkusuutlikku, pikaajalist riskide vähenemist,

- harime inimesi, et nad oskaksid küsida õigeid küsimusi ja teha informeeritud

otsuseid,

- tunnustame mainehoidmise, tarbijate surve ja turujõudude mõju hea praktika

juurutamisel, eriti hea mainega ettevõtete jaoks,

- toetame hea praktika juurdumist, sh tunnustuste jagamisega,

- arvestame nendega, kes on asjaomases valdkonnas asjatundjad,

- töötame koostöös teiste regulaatoritega, võttes vajadusel juhtrolli, kuid jättes

selle teistele, kui see aitab paremini tulemusi saavutada,

Meie põhilised koostööpartnerid on:

- inspektsiooni alaline nõukoda,

- teised järelevalveasutused,

- ettevõtlusorganisatsioonid, ametiühingud, eriala- ja kutseliidud – toetame

nende eneseregulatsiooni ning teadlikkuse tõstmise abinõusid,

- valitsus ja seadusandja,

- meedia – anname selgeid ja järjekindlaid sõnumid andmekaitse ja avaliku teabe

eesmärkidest ja kasust,

- sisekontrolliüksused: nende kaudu mõjutame organisatsioone, nad aitavad meil

hinnata riske,

- kodanikuühiskonna ühendused (eeskätt tarbijakaitse, lastekaitse).