Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Valvame, et isikuandmete kasutamisel austatakse eraelu
ning et riigi tegevus oleks läbipaistev
ANDMEKAITSE INSPEKTSIOONI
TEGEVUSPÕHIMÕTTED
Kinnitatud peadirektori 2011. a. 9. septembri käskkirjaga nr 1.1-4/11/15
Sisukord
1. Milleks see dokument on mõeldud? .................................................................... 2 2. Mis on meie tegevuse eesmärk ja alused? ........................................................... 2
3. Miks vajame avaliku sektori läbipaistvust? ........................................................ 2 4. Miks vajame eraelulise teabe kaitset? ................................................................. 3
5. Kuidas isikuandmete kaitset piiritleda? ............................................................... 4 6. Eraelu kaitse versus teised põhiõigused .............................................................. 5 7. Milliseid rolle me tegelikult täidame? ................................................................. 7 8. Kuidas olla strateegiline reguleerija? ................................................................ 11 9. Kuidas hinnata riske? ........................................................................................ 11
2
1. Milleks see dokument on mõeldud?
See dokument on Andmekaitse Inspektsiooni töö korraldamise strateegiadokument,
mis selgitab:
- kuidas me suhestame enda töö ühiskonna vajaduste ja arenguga,
- mis on rollid, mida me oma töös täidame,
- mis põhimõtetel teeme oma töös valikuid,
- mida püüame oma valikutega saavutada.
2. Mis on meie tegevuse eesmärk ja alused?
Andmekaitse Inspektsioon kaitseb igaühe põhiseaduslikke õigusi:
1) õigust saada teavet asutuste ja ametiisikute tegevuse kohta,
2) õigust pere- ja eraelu puutumatusele isikuandmete kasutamisel,
3) õigust tutvuda enda kohta kogutud andmetega.
Isikuandmete kogumine ja kasutamine võib pere- ja eraelu puutumatuse kõrval
põimuda ka teiste põhiõigustega, näiteks:
1) õigusega aule ja heale nimele,
2) õigusega vabale eneseteostusele,
3) õigusega sõnumisaladusele.
Põhiõiguste kaitsmiseks volitavad meid:
1) isikuandmete kaitse seadus (IKS),
2) avaliku teabe seadus,
3) elektroonilise side seadus,
4) rahvusvahelised õigusaktid (piiriüleste andmekogude ühine järelevalve,
Euroopa andmekaitseasutuste ühises töörühmas osalemine).
3. Miks vajame avaliku sektori läbipaistvust?
Infotehnoloogia areng võimaldab avaliku võimu teostajail teada üksikisikust järjest
enam. Demokraatia kestlikkuse seisukohalt on oluline tasakaalu tagamine: ka avaliku
võimu teostamine peab ise olema järjest läbipaistvam.
Üksikisiku tasandil tagab avaliku sektori läbipaistvus, et inimene saab hõlpsasti talle
vajalikku teavet asutuste tegevuse kohta. Sama vajadus on ka juriidilistel isikutel
(ettevõtetel, ühingutel).
3
Ühiskonna tasandil tagab läbipaistvus avalikkuse kontroll avaliku võimu teostamise,
avalike teenuste osutamise ja avaliku raha kasutamise üle. Avalikkuse kontroll aitab
kaasa halduse tõhususele ning vähendab korruptsiooni ja ebavõrdse kohtlemise ohte.
Avaliku teabe õigus on tihedalt seotud e-riigi arenguga. Passiivne küsimise peale teabe
väljastamine asendub üha enam teabe kättesaadavaks tegemisega avalikus
arvutivõrgus.
Peame selle juures jälgima, et avaliku sektori võrguteave ei hajuks asutuste
võrgulehtede rägastikku, vaid jõuaks kasutajakeskses ning ühtlustatud esituses Eesti
teabeväravasse www.eesti.ee.
4. Miks vajame eraelulise teabe kaitset?
Elame infoühiskonnas. Üha enam mõjutavad meie igapäevaelu automatiseeritud
andmetöötlus, digitaalsed andmekogud ning üleilmne arvutivõrk. Kõikvõimalikku
teavet, sh inimeste ning nende era- ja pereelu kohta, koguneb järjest enam. See teave
on järjest paremini kasutatav ja kättesaadav.
Infoühiskonna areng on meile vajalik globaalses konkurentsis püsimiseks.
Automatiseerimine ja digitaliseerimine nii äris kui halduses aitavad toime tulla
elanikkonna vananemise ja töökäte vähenemisega.
Infoühiskonna arenguga koos kasvavad isikuandmetega seotud riskid, kui:
- isikuteave on ebatäpne, eksitav või vananenud,
- kogutud andmeid säilitatakse ülemäära kaua,
- andmeid ei kasutata selleks, milleks neid koguti, või kasutatakse keelatud ja
ebaausal eesmärgil,
- teavet avaldatakse neile, kellel pole õigust seda saada,
- andmeid ei hoita turvaliselt.
Kõik need riskid kalduvad suurenema siis, kui inimene ise ei teagi, millist teavet tema
kohta kogutakse ja mida sellega tehakse.
Need riskid võivad inimest kahjustada nii isiklikes, tööalastes ja sotsiaalsetes suhetes.
Alates rämpsposti-uputusest ja küberkiusamisest ning lõpetades töökaotuse või
identiteedivargusega.
Kuid isikuteabe kasutamise korrastatus ei ole vajalik üksnes üksikisiku tasandil.
Ühiskonnale kui tervikule on samuti oluline isikuandmetega seotud riske vähendada.
4
Kui isikuandmete kasutamisel ei ole asjad korras, kahjustab see usaldust – nii
ärisuhetes, halduses kui inimestevahelises läbikäimises laiemalt.
Vajadus usalduse järgi on aga täna suurem kui varem. Digiajastul loovad inimesed
suhteid, teevad tehinguid ning ajavad asju ilma teist osapoolt nägemata. Eriti oluline
on inimeste usaldus e-teenuste arendamisel.
Isikuandmete kasutamise reguleerimise eesmärk on kaitsta inimeste era- ja pereelu.
Läbi ajaloo on avalik võim püüdnud inimesi kaitsta, kui nende eraellu omavoliliselt
sekkutakse. Eeskätt on kaitstud füüsilise sekkumise – kallale- ja sissetungimise eest.
Infoühiskonnas häirib inimeste eraelu järjest enam aga informatsiooniline sekkumine.
Informatsiooniline sekkumine võib lisaks era- ja pereelu puutumatusele kahjustada ka
teisi põhiõigusi – näiteks õigust aule ja heale nimele, õigust sõnumisaladusele, õigust
vabale eneseteostusele, elukutse ja tegevusala valiku vabadust.
Seetõttu aitab eraelulise teabe kaitsmine tagada nii üksikisiku põhiõigusi kui ka
ühiskonna tervikhuve.
5. Kuidas isikuandmete kaitset piiritleda?
Isikuandmete kaitse reeglid ei ole absoluutsed. Oluline on nende mõistlik piiritlemine.
Vastasel juhul on oht jõuda absurdi.
Isikuandmete kaitse õiguse aluseks olev Euroopa Nõukogu konventsioon ning
Euroopa andmekaitsedirektiiv on suunatud automatiseeritud andmetöötlusele. Muul
juhul kohaldatakse isikuandmete kaitset, kui moodustatakse korrastatud
andmekogumeid.1
Seda piiritlust tasub arvestada ka meil. Grafiti võib sisaldada isikuandmeid, kuid on
sellele vaatamata heakorra, mitte isikuandmete kaitse küsimus.
Isikuandmete kaitse õigustikku ei kohaldata, kui andmeid kogutakse ja kasutatakse
isiklikuks (ka koduseks) otstarbeks.2 Seda ka siis, kui teise isiku andmed kasutavad
mitu eraisikut korraga. Ehk siis isikuteave jääb erasfääri – vastandina avalikule sfäärile
(kuhu kuuluvad haldus, avalikud teenused, äri jne).
Kui erasfääris – nt perekondlikus, töökaaslaste, naabrite või sõprade vahelises
suhtluses – kasutatakse isikuandmeid, siis selle riiklikule järelevalvele allutamine on
1 1981. aastal Strasbourgis sõlmitud Euroopa Nõukogu „Isikuandmete automatiseeritud töötlemisel
isiku kaitse konventsioon“, art. 3 lõige 1 (RT II 2001, 1, 3); Euroopa Parlamendi ja Nõukogu direktiiv
95/46/EÜ, 24. oktoober 1995, üksikisiku kaitse kohta isikuandmete töötlemisel ja selliste andmete
vaba liikumise kohta, art. 3 lg 1.
2 Eelviidatud direktiivi 95/46/EÜ art. 3 lg 2; isikuandmete kaitse seaduse § 2 lg 1 p 1.
5
otstarbetu. Asjaosalised saavad siin enda õiguste kaitsel tugineda tsiviilõigusele ja
tsiviilkohtumenetlusele.
Meie kaudu ei lahendata vaidlusi au ja hea nime teotamise asjus. Meil on pädevus
hinnata vaid isikuandmete kogumise ja kasutamise õiguslikku alust (seadus või
nõusolek). Au ja hea nime teotamise asjades käib vaidlus reeglina väärtushinnangute
ebakohasuse üle, milles meil pädevus puudub.
Samamoodi ei saa me lahendada isikuandmetega seotud muid vaidlusi, kui need
sõltuvad sellisest õigussuhtest, mille hindamiseks meil puudub pädevus (näiteks kas
pooltevaheline leping kehtib või mitte).
6. Eraelu kaitse versus teised põhiõigused
Isikuandmete kogumise ja kasutamise reguleerimise eesmärgiks on kaitsta inimese
põhiõigusi, eeskätt eraelu puutumatust.
Kuid erinevad põhiõigused võivad tegelikus elus omavahel vastanduda. Näiteks eraelu
kaitstus võib vastanduda:
1) sõna- ehk väljendusvabadusele,
2) teabe levitamise vabadusele,
3) ettevõtlusvabadusele,
4) (loomingulise) eneseteostuse vabadusele.
Ükski neist põhiõigustest ei ole teistest ülem ega alam. Põhiõiguste põrkumisel peame
esmalt kaaluma, kus peaks olema nende vaheline tasakaalupunkt. Peame hindama, kas
ühe põhiõiguse kaitsmise vajadus konkreetses olukorras kaalub üles teiste põhiõiguste
riive.
Vaidlustega, mis puudutavad kirjandust, kunsti ja muid loomingulise eneseteostuse
valdkondi, on sama mis au ja hea nime teotamise asjadega – nende lahendamiseks on
eeskätt võlaõigusseadus ning tsiviilkohtumenetluse seadustik.
Meedia kuulub isikuandmete kaitse kohaldamisalasse. Seadus annab erinormi
isikuandmete nõusolekuta avaldamiseks ajakirjanduslikul eesmärgil, kui:
1) selleks on ülekaalukas avalik huvi,
2) ajakirjanduseetika nõuded on täidetud ja
3) inimesele ei põhjustata ülemäärast kahju (IKS § 11 lg 2).
Siin satub eraelu kaitse vastakuti sõnavabadusega ning teabe levitamise vabadusega.
Sõnavabadus ega teabe levitamise vabadus ei ole elukutseliste ajakirjanike privileeg.
Ajakirjandusele suunatud sättele (IKS § 11 lg 2) võib tugineda igaüks, kes
isikuandmeid sisaldavat teavet avalikkuse ette toob. Seega nii kutseline ajakirjandus
kui ka muud avalikud kanalid – näiteks veebipäevikud, netifoorumid,
netikommentaariumid, suhtluskeskkonnad jne.
6
Eraelu piiride tunnetus on inimeseti erinev. Seetõttu ei ole meie asutusel kohane
sekkuda meedia osas vaidlustesse omal algatusel, ilma puudutatud isiku kaebuseta.
Meil tekib puutumus meediaga, kui kaebaja taotleb IKS § 11 lg 3 alusel, et lõpetataks:
1) õigusvastane,
2) jätkuv ning
3) kaebaja õigusi ülemääraselt kahjustav avaldamine,
4) kusjuures avaldajal on teabekandja üle kontroll.
Jätkuv avaldamine, mille lõpetamist saab nõuda, ei toimu paberväljaandes, raadios või
telepildis, seal on ühekordne avaldamine. Jätkuv avaldamine on avaldamine avalikus
arvutivõrgus. Otsingumootorid teevad seal ilmunu inimesega seostatult kättesaadavaks
ka aastakümneid hiljem. Oma võrgukanali üle on avaldajal kontroll – erinevalt
väljamüüdud pabertiraažist.
Avaldamise lõpetamise nõudmine sisaldab olulisi valikuvõimalusi:
- eelistavaim variant on isiku nime blokeerimine Interneti-otsingumootoritele
(„guugeldamisele“). Sellega muutub võrgumaterjali kättesaadavus
analoogseks pabermaterjaliga;
- meie järgmine eelistus on isiku tuvastamatuks muutmine avaliku
juurdepääsuga veebimaterjalis;
- või kui see ei ole asja sisu tõttu võimalik, siis viimase valikuna
avalikkusele juurdepääsu sulgemist tervele veebimaterjalile;
- me ei nõua sulgetavate isikuandmete või materjali lõplikku kustutamist
(„ajaloo ärahävitamist“). Kui juurdepääs on edaspidi avatud nt vaid
meediaväljaande sisevõrgus, siis on avaldamine lõpetatud.
Isikuandmete kaitse eesmärgiks on inimese eraelu (informatsioonilise privaatsuse)
kaitse, kuid mitte avalikkusele suunatud tegevuse arvustamise takistamine. Kui
kaebuse esemeks oleva materjali sisu jääb eraelust väljapoole (poliitiline, ühiskondlik
või muu avalikkusele suunatud tegevus, sh avalikkusele suunatud teenuste pakkumine
ettevõtjana), siis eeldame avalikku huvi selle tegevuse käsitlemiseks.
Kui inimene ikkagi vastustab oma avalikkusele suunatud tegevuse käsitlemist
meedias, siis eeldame, et tegu on kaebaja ja avaldaja vahelise tsiviilvaidlusega (au ja
hea nime teotamine, valeandmete ümberlükkamine jms). See on tsiviilõiguse ja
tsiviilkohtumenetluse, mitte isikuandmete kaitse teema.
Kui kaebuse esemeks oleva materjali sisu puudutab inimese eraelu, siis küsime
avaldajalt selgitusi (eeskätt: millega põhjendab avalikku huvi) ning kaalume
sekkumise vajadust. Küsime ka kaebajalt endalt, milles tema hinnangul väljendub
tema õiguste ülemäärane riive.
„Avaliku huvi“, „ülemäärase kahju“ jms hinnanguliste õigusmõistete kohaldamine ei
ole täppisteadus. Seadus annab meil nende suhtes kaalutlusõiguse. Selle juures
7
pöörame erilist tähelepanu Euroopa Inimõiguste Kohtu praktikale. Meie otsused on
kohtus vaidlustatavad.
7. Milliseid rolle me tegelikult täidame?
Seadused eraelulise teabe kaitse ja avaliku teabe kättesaadavuse kohta ei ole
iserakenduvad. Nad vajavad tõhusaks toimimiseks asutust, kes kontrolliks, ühtlustaks
ja edendaks nende rakendamist.
Seadused annavad meie asutusele volitusi erinevate toimingute tegemiseks. Vabariigi
Valitsuse seadus käsitleb inspektsiooni järelevalveasutusena, kelle põhiülesanne on
kohaldada riikliku järelevalvet ja sundi. Need normid ei anna siiski ülevaadet rollidest,
mida me tegelikult täidame.
Meie asutuse eesmärgiks on kaitsta inimeste põhiõigusi. Sarnaneme oma eesmärgi
poolest põhiõiguste kaitse voliniku (ombudsmani ehk õigusvahemehe) rollile, mida
Eestis täidab õiguskantsler. Samuti soolise võrdõiguslikkuse ja võrdse kohtlemise
voliniku institutsioonile.
Samas on klassikaline põhjamaine ombudsmani-institutsioon ilma täitevvõimu
volitusteta. Tavapäraselt avaldab ombudsman arvamust ning võib selle
mittearvestamisel pöörduda (põhiseadus)kohtu poole.
Meie asutus kaitseb teabeõigusi. Need õigused on oma olemuselt ajakriitilised.
Viivitus võib sageli muuta teabega seotud õiguste kaitse mõttetuks. Sestap nõuab ka
rahvusvaheline õigus, et isikuandmete kaitse asutusel peavad olema tõhusad uurimus-
ja sekkumisvolitused.3
Samuti eeldab rahvusvaheline õigus, et isikuandmete kaitse asutus saab avaldada
arvamust selliste haldusmeetmete võtmise või õigusaktide koostamise käigus, mis
puudutavad isikute põhiõiguste kaitset isikuandmete töötlemisel.4 Isikuandmete kaitse
asutus peab täitma privaatsuse häirekella rolli, kes aitab probleeme ära tunda ja
ennetada.
Isikuandmete kaitse, samuti avalikule teabele juurdepääsu piiramine tugineb sageli
hinnangulistele õigusmõistetele. Nende sujuv rakendamine, samuti nende õigusharude
sidustamine kiirelt areneva infotehnoloogiaga vajab seadusandlust täiendavat „pehmet
õigust“ ehk häid tavasid.
3 Euroopa Nõukogu „Isikuandmete automatiseeritud töötlemisel isiku kaitse konventsioon“ 8.11.2001
sõlmitud lisaprotokoll, art. 1 (RT II 2009, 17, 44); Euroopa Parlamendi ja Nõukogu direktiiv 95/46/EÜ,
24. oktoober 1995, üksikisiku kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise
kohta, art. 28 lg 3; Euroopa Parlamendi ja Nõukogu direktiiv 2002/58/EÜ, 12, juuli 2002, milles
käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu
puutumatust ja elektroonilist sidet käsitlev direktiiv), art. 15a lg 3.
4 Eelviidatud andmekaitsedirektiivi 95/46/EÜ art 28 lg 2.
8
Isikuandmete kaitse teema on piiriülene. Seda nii avalikus sektoris (erinevad
õiguskoostöö alased piiriülesed Euroopa infosüsteemid) kui ärisektoris (kasutajad
ühes, teenusepakkuja teises ja andmehoidlad kolmandas riigis). Isikuandmete kaitse
asutused peavad tegema tihedat rahvusvahelist koostööd.
Kõik see vajutab ka vastavaile asutustele küllalt erilise pitseri. Meie tegeliku töö võib
kokku võtta nii, et joonistuvad välja selgepiirilised rollid:5
7.1) selgitaja-teavitaja roll hõlmab selgituste jagamist ning teadlikkuse tõstmist
isikuandmete kaitse ja avaliku teabe alal:
- selgitustaotlustele vastamine,
- nõuandetelefon,
- konsultatsioon,
- teadlikkuse tõstmise üritused ja meetmed;
7.2) õigusvahemehe (ombudsmani) roll hõlmab nii kaebuste läbivaatamist kui ka
omal algatusel rikkumistele reageerimist:
- lahendame kaebuste ning vaideid põhiõiguste tagamiseks;
- õiguste rikkumise kahtluse korral algatame järelevalve ilma kaebuseta,
- järelevalve käigus on meil piisavad uurimismenetlused ning õigus teha
siduvaid otsuseid (ettekirjutused, vaideotsused).
See roll on oluline ka:
- rahvusvahelises mõõtmes (kaebused piiriüleste andmekogude asjades, muud
piiriülest koostööd nõudvad asjad) ning
- nende andmekogude suhtes, millele ligipääs on piiratud ja kus inimesel endal
ei ole võimalust enda kohta kogutud andmeid ise kontrollida;
7.3) audiitori-loaandja roll on mitmekülgne:
5 Rollide piiritlemisel tugineme rahvusvahelise tunnustuse leidnud teosele: Colin J. Bennet, Charles D.
Raab: The Governance of Privacy. Policy Instruments in Global Perspective. The MIT Press; Cambridge
(Massachusetts), London; 2006.
9
ombudsman reageerib kaebuse- või rikkumispõhiselt. Niimoodi suudame piltlikult
öeldes tegeleda küll puude, kuid mitte metsaga. Peame kasutama ka proaktiivseid,
suuremamõjulisi järelevalvevorme:
- vastavus- ja valmidusauditid tundlikes andmekogudes, et saada nende
andmekaitsekorraldusest tervikpilt,
- võrdlevad seired, millesse haarame mingi aspekti kontrollimiseks ja üldistuste
saamiseks kümneid ja sadu seiratavaid,
- auditeid ja seireid korraldame ka rahvusvahelises koostöös.
Mõned auditeerimisülesanded on seotud loa, kooskõlastuse või nõusoleku andmisega:
- delikaatsete isikuandmete töötlemise registreerimine – töötlemisõigus tekib
registrikandest, seega on see formaalselt loamenetlus:
tunnistame selle funktsiooni ebatõhusust. Järelevalve-abinõust on
sisuliselt saanud teadlikkuse tõstmise meede. Meie online-registris
automatiseeritud veafiltritega küsimustiku täitmine aitab töötlejatel
tõsta enda andmekaitse-alast teadlikkust ning hinnata oma riske.
Kuna tegemist on ebatõhusa meetmega, siis hoidume selle
ebamõistlikult laiast kohaldamisest. Registreerimist nõuame üksnes siis,
kui delikaatsete isikuandmete töötlemine on töötleja plaanipärase
tegevuse osaks. Näiteks terviseandmetega võib tööõnnetuse korral
teoreetiliselt kokku puutuda iga tööandja, kuid see ei ole tema
plaanipärase tegevuse osa, vaid etteplaneerimata erandlik juhtum. Küll
aga on terviseandmete töötlemine tervishoiuteenuse osutaja
plaanipärase tegevuse osaks, kelle on seetõttu ka
registreerumiskohustus;
- avaliku sektori andmekogude asutamiskavatsuse, käikulaskmise,
andmekoosseisu muutmise ja likvideerimise kooskõlastamine detailiseeritud
inim- ja masinloetava võrgupõhise süsteemi kaudu,
- teadus-uuringuiks isikuandmete kasutamise loa andmine ilma uuritavate
nõusolekuta:
meie eesmärgiks on ära hoida riske, mida teadus-uuringuiks kogutud ja
isikuandmete lekkimine või väärkasutamine võiks inimestele
põhjustada.
Teadvustame sealjuures, et isikuandmete umbisikustamise või
nõusolekupõhisuse nõue võib olla mahukate, pika-ajaliste ning
erinevaid andmeallikaid (andmekogusid) hõlmavate uuringute puhul
ülemääraseks takistuseks teadustööle;
- ebapiisava andmekaitsetasemega kolmandatesse riikidesse isikuandmete
edastamise loa andmine;
7.4) heade tavade kujundaja:
10
isikuandmete kaitse ja avaliku teabe õigus reguleerivad hinnangulisi õigusmõisteid
kasutades kiiresti muutuvat ainest. Tavaelus on seetõttu oluline heade tavade
kogumine ja avaldamine ehk „pehme õiguse“ kujundamine. Selleks volitavad meid ka
mõlemad seadused.
Kuna isikuandmete kaitses on piiriülesel mõõtmel suur osakaal, siis täidame seda rolli
ka rahvusvahelises koostöös. Tähtsaimaks väljundiks on siin Euroopa
andmekaitseasutuste ühine töörühm. Paraku segab meie asutuse väiksus meid siin
aktiivsemat osa täitmast;
7.5) poliitikanõustaja:
nõustame avaliku sektori tegevusi, eeskätt õigusloomelisi ja infotehnoloogilisi
algatusi. Teeme seda:
- nii omal algatusel,
- küsimise peale kui ka
- otse seaduses ettenähtud juhtudel.
Viimaste näiteks võib tuua meie korralisi ja erakorralisi ettekandeid Riigikogu
põhiseaduskomisjonile ja õiguskantslerile.
Mitme rahvusvahelise koostöövormi – eeskätt Euroopa andmekaitseasutuste ühise
töörühma – kaudu osaleme ka rahvusvahelises poliitikanõustamises, eeskätt Euroopa
Komisjonile;
7.6) sundija-karistaja:
tõsist ja pahatahtlikku rikkumist tuleb karistada. Selleks on meil kohtuvälise
väärteomenetleja õigused.
Kuid kui iga väikese ja/või tahtmatu rikkumise peale reageerida väärteomenetlusega,
siis vajaksime oma koosseisu sadu menetlejaid.
Valdaval enamusel juhtudest on meie poole pöördumise eesmärgiks rikkumise
lõpetamine/ärahoidmine, mitte karistamine.
Seetõttu kasutame riskipõhist reageerimisastmestikku:
- soovituse andmine võimaliku rikkumise lõpetamiseks ilma selgitusi ja
tagasisidet küsimata (lihtsustatud järelevalve),
- asja uurimine ja ettepaneku tegemine koos tagasiside küsimisega,
- ettekirjutuse tegemine koos sunniraha/väärteovastutuse hoiatusega,
11
- sunniraha määramine,
- väärteotrahvi määramine.
8. Kuidas olla strateegiline reguleerija?
Isikuandmete kogumise ja kasutamisega tegelevad põhimõtteliselt kõik asutused, kõik
ettevõtted, kogu mittetulundussektor. Ka tavaline eraisik peab täitma isikuandmete
kaitse reegleid, avaldades internetis teavet teiste isikute kohta.
Teabe hulk, millele kohaldub avaliku teabe seadus, üha kasvab. Seaduse täitjaiks on
kõik asutused ning kõik avalikke ülesandeid täitvad või avalikku raha kasutavad
eraõiguslikud isikud.
On ilmne, et meie asutus ei suhestu järelevalvatavatega sel moel nagu ametid ja
inspektsioonid, kes kõigi või suurema osaga järelevalvatavatest saavad reaalselt kokku
puutuda.
Suur osa meie tööst on reageeriv. Kui meile kaevatakse või meilt küsitakse nõu, siis
peame vastama heale klienditeenindusele kohasel viisil. Kuid küsimuse/kaebuse-
põhine lähenemine on passiivne lähenemine ning ainult sellega piirdumine oleks
ilmselgelt ebapiisav.
Oma töö selles osas, mida teeme enda algatusel, peame keskenduma kõige
olulisemale. Peame meile usaldatud vähest ressurssi kasutama kõige mõjusamal moel.
Peame olema strateegiline reguleerija.
Tahame oma töös saavutada enamat kui lihtsalt seaduste formaalne täitmine. Peame
kaasa aitama heade tavade ja mõistliku õiguspraktika kujunemisele.
Peame meeles, et koostöös teiste asutuste ja ühendustega saavutame rohkem kui
üksinda. Isikuandmete kaitse ja avaliku teabe järelevalve ja edendamine peaks olema
sisse lõimitud valdkondlike järelevalveasutuste, sisekontrollisüsteemide ning
erialaorganisatsioonide tegevusse.
Meie võimuses ei ole kõrvalda kõiki riske, vaid vähendada kõige tõsisemaid ning
kaitsta neid, kes on kõige haavatavamad.
Me ei võta kelleltki vabadust ise otsustada ja peame meeles, et inimesed on tavaliselt
ise kõige tõhusamad omaenda huvide kaitsjad. Küll aga on meie töö osaks aidata neil
informeeritud otsuseid teha.
9. Kuidas hinnata riske?
Meie sekkumise aluseks on riskide tõenäosus ning kahju tõsidus.
Riskide tõenäosus:
12
- võtame arvesse oma kogemusi kontrollimiste, kaebuste ja asjaosalistega
suhtlemise pinnalt, poliitika ja turu uurimisest,
- arvestame seda, mida arvavad riski tõenäosusest need, kelle õigusi oleme
kutsutud ja seatud kaitsma,
- kahju, mida peame ära hoidma, peab olema tõeline ja võimalik välja selgitada,
- lähtume üksikisikute ja ühiskonna mõistlikest ootustest.
Kahju tõsidust vaatleme laiemalt kui vaid nende huve, kes kaebasid:
- kui palju isikuid kahju tegelikult või oletuslikult mõjutab,
- kas need isikud on eriliselt haavatavad,
- kas kahju on pika- või lühiajalise mõjuga,
- kas on tegu üksikjuhtumiga või osana laiemast trendist või käitumismustrist,
- milline on kaudse kahju suurus, mida põhjustaks avalikkuse usalduse
vähenemine isikuandmete kaitstuse või avaliku sektori aususe vastu.
Sekkumisel peame endalt ühtlasi küsima, kas:
- meil on vaja juhtroll võtta,
- kas on tegu puhtalt isikuandmete kaitse või avaliku teabe teemaga või on see
lihtsalt suurema teema kõrvalaspekt,
- kas sekkumisel oleks reaalne, pikema-ajaline mõju,
- kas antud asjas on oodata poliitika või seadusandluse muutusi,
- kas võiksime sekkumisega mõjutada ettevõtlusalast või muud üldist arengut,
- kas on lisavõimalusi, näiteks meediahuvi, mida võiksime antud asjas kasutada,
- kas antud asjas on olnud meie poolset ebaselgust või ebajärjekindlust,
- kas antud riskid on juba lahendamiseks antud kellelgi teisele.
Kuidas me sekkume:
- probleemi ennetamine on parem kui tagantjärgi ravimine,
- astume samme, et isikuandmete kaitsega ja avaliku sektori läbipaistvusega
arvestataks poliitika ja õigusloome kujundamise varasematel järkudel, selmet
hiljem tagajärgedega tegeleda,
13
- informeerime, nõustame ja aitame neid, kes tahavad häid eesmärke saavutada,
selle asemel et oodata, kas neid saab karistada, kui nad midagi valesti teevad,
- paneme erilist rõhku eraelu kaitset soodustavaile lähenemisviisidele, mis
minimiseerivad isikuteabe kogumist, tagavad täpsuse ja turvalise hoidmise
ning soodustavad isikute pääsemist avaliku ja enesekohase teabeni,
- eelistame jätkusuutlikku, pikaajalist riskide vähenemist,
- harime inimesi, et nad oskaksid küsida õigeid küsimusi ja teha informeeritud
otsuseid,
- tunnustame mainehoidmise, tarbijate surve ja turujõudude mõju hea praktika
juurutamisel, eriti hea mainega ettevõtete jaoks,
- toetame hea praktika juurdumist, sh tunnustuste jagamisega,
- arvestame nendega, kes on asjaomases valdkonnas asjatundjad,
- töötame koostöös teiste regulaatoritega, võttes vajadusel juhtrolli, kuid jättes
selle teistele, kui see aitab paremini tulemusi saavutada,
Meie põhilised koostööpartnerid on:
- inspektsiooni alaline nõukoda,
- teised järelevalveasutused,
- ettevõtlusorganisatsioonid, ametiühingud, eriala- ja kutseliidud – toetame
nende eneseregulatsiooni ning teadlikkuse tõstmise abinõusid,
- valitsus ja seadusandja,
- meedia – anname selgeid ja järjekindlaid sõnumid andmekaitse ja avaliku teabe
eesmärkidest ja kasust,
- sisekontrolliüksused: nende kaudu mõjutame organisatsioone, nad aitavad meil
hinnata riske,
- kodanikuühiskonna ühendused (eeskätt tarbijakaitse, lastekaitse).