1. Uudised
  2. Andmed! Isiku- või isikustamata, selles on küsimus
28.11.2019

Andmed! Isiku- või isikustamata, selles on küsimus

Õigusliku regulatsiooni vaatevinklist on olemas kahte liiki andmeid: isikuandmed ja isikustamata andmed. Neid reguleerivad erinevad õigusaktid ja mõlema andmeliigi regulatsioon on keeruline.

Peamine vajadus, miks on vaja andmeliike eristada, ongi erinev regulatiivne koormus, andmetega tegelemise bürokraatia ja kulud, mis isikuandmete puhul on märksa suuremad. Kuna valdkond on väga keeruline ja määrustest on raske aru saada, asus Euroopa Komisjon oma õigusakti selgitama ja tuli nüüd välja selgitavate suunistega isikustamata andmete vaba liikumise määruse kohta. Alljärgnevad nopped, eriti konkreetsed näited, põhinevadki Euroopa Komisjoni suunistel.

Mis on isikuandmed?

Isikuandmete kaitse üldmääruse kohaselt on isikuandmed igasugune teave tuvastatud või tuvastatava füüsilise isiku kohta. Tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal.

Kuna isikuandmete määratlus osutab füüsilistele isikutele, on juriidiliste isikute nimesid ja kontaktandmeid sisaldavate andmekogude puhul põhimõtteliselt tegemist isikustamata andmetega. Kuid teatavates olukordades võivad need olla isikuandmed. Seda näiteks juhul, kui juriidilise isiku nimi on sama kui selle omanikuks oleva füüsilise isiku nimi või kui teave sisaldab andmeid tuvastatud või tuvastatava füüsilise isiku kohta.

Mis on isikustamata andmed?

Isikustamata andmed on kõik andmed, mis pole isikuandmed. Isikustamata andmeid saab liigitada päritolu põhjal järgmiselt. Esiteks andmed, mis ei olnud algselt seotud tuvastatud või tuvastatava füüsilise isikuga, näiteks tuulegeneraatoritele paigaldatud anduritest saadud andmed ilmastikutingimuste kohta või andmed tööstuslike masinate hooldamise vajaduse kohta.

Teiseks andmed, mis olid algselt isikuandmed, aga mis hiljem anonüümiti, st muudeti anonüümseks sellisel viisil, et andmesubjekti ei ole võimalik tuvastada või ei ole enam võimalik tuvastada. Sellised on andmed, mis on koondatud üksikute sündmuste kohta (näiteks inimese reisid välismaale) tuvastamist mittevõimaldaval viisil. Anonüümseid andmeid kasutatakse näiteks statistikas või müügiaruannetes (näiteks toote ja selle funktsioonide populaarsuse hindamiseks).

Isikustamata andmete näidetena võib nimetada ka finantssektori sagedase kauplemise andmeid või andmeid täppispõllumajanduse kohta.

Isikustamata andmed muutuvad isikuandmeteks

Kui isikustamata andmed võivad olla seotud üksikisikuga ükskõik mis viisil, mille tulemusena muutub isik kas otseselt või kaudselt tuvastatavaks, siis tuleb andmeid käsitada isikuandmetena.

Näiteks kui tootmisliini kvaliteedikontrolli aruanne võimaldab seostada andmeid tehase konkreetsete töötajatega (näiteks nendega, kes määrasid kindlaks tootmisparameetrid), siis on need andmed isikuandmed, mille suhtes tuleb kohaldada isikuandmete kaitse üldmäärust. Nii ütleb Euroopa Komisjon oma juhistes. Samad reeglid kehtivad juhul, kui tehnoloogia ja andmeanalüüsi areng võimaldab muuta anonüümitud andmed isikuandmeteks.

Kõik andmed ühes andmekogus

Enamik andmekogusid on segaandmekogud, mis koosnevad nii isiku- kui ka isikustamata andmetest. Näiteks:

  • ettevõtte maksuaruanne, mis sisaldab ettevõtte direktori nime ja telefoninumbrit;
  • panga andmekogud, eelkõige need, mis sisaldavad kliendi- ja tehinguandmeid, näiteks makseteenused (krediit- ja deebetkaardid), partnersuhete haldamise rakendused, laenulepingud ja dokumendid, mis sisaldavad andmeid nii füüsiliste kui ka juriidiliste isikute kohta;
  • teadusasutuse anonüümitud statistilised andmed ja algselt kogutud toorandmed, näiteks üksikisikute vastused statistilise uuringu küsimustele;
  • ettevõtte IT-probleeme ja nende lahendusi sisaldav teadmiste andmebaas, mis põhineb konkreetsete IT-intsidentide aruannetel;
  • kliendisuhte haldamise teenused (CRM-andmed);
  • asjade internetiga seotud andmed, millest mõned võimaldavad teha järeldusi tuvastatavate isikute kohta (näiteks konkreetsel aadressil viibimise ja seadme kasutamise seaduspärad);
  • tööstuse tootmisseadmete operatiivlogi andmete analüüs.

Millisest määrusest segaandmekogude puhul lähtuda?

Komisjon ütleb, et nii isiku- kui ka isikustamata andmeid sisaldavate andmekogude puhul kohaldatakse andmekogu isikustamata andmete osa suhtes isikustamata andmete vaba liikumise määrust ja andmekogu isikuandmete osa suhtes isikuandmete kaitse üldmäärust. Kui isikustamata ja isikuandmete osa on omavahel lahutamatult seotud, siis kohaldatakse kogu segaandmekogu suhtes täielikult isikuandmete kaitse üldmäärusest tulenevaid andmekaitseõigusi ja -kohustusi isegi juhul, kui isikuandmed moodustavad andmekogust ainult väikese osa.

Lahutamatu seotuse mõistet ei ole määratletud kummaski määruses. See võib osutada olukorrale, kus andmekogu sisaldab isiku- ja isikustamata andmeid ning nende kahe andmete tüübi eraldamine oleks kas võimatu või vastutava töötleja arvates majanduslikult ebaotstarbekas või tehniliselt teostamatu. Näiteks peaks ettevõtja CRM-i ja müügiaruandluse süsteemide ostmisel tegema tarkvara omandamiseks topeltkulutused, ostes eraldi tarkvara CRM-i (isikuandmed) ja CRM-i andmetel põhinevate müügiaruandluse süsteemide (koondandmed / isikustamata andmed) jaoks.

Kui isikustamata andmed võivad olla seotud üksikisikuga ükskõik mis viisil, mille tulemusena muutub isik kas otseselt või kaudselt tuvastatavaks, siis tuleb andmeid käsitada isikuandmetena.

Kas teadsid?

Euroopa Liidus (EL) reguleerivad isikuandmeid ja isikustamata andmeid erinevad määrused.

  • Isikuandmeid reguleerib isikuandmete kaitse üldmäärus (Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta).
  • Isikustamata andmeid reguleerib isikustamata andmete vaba liikumise määrus (Euroopa Parlamendi ja nõukogu 14. novembri 2018. aasta määrus (EL) 2018/1807, mis käsitleb Euroopa Liidus isikustamata andmete vaba liikumise raamistikku).
0