Reeglid ikka logisevad

Riigikogu võttis 15.02.2007 vastu uue isikuandmete kaitse seaduse. Tegemist on juba kolmanda isikuandmete kaitse seadusega Eestis, mistõttu tekib põhjendatud küsimus - kas nüüd on isikuandmete regulatsioon lõpuks paigas? Kardan, et mitte.

Isikuandmete kaitse reformi sõnumiks oli: isikuandmete kaitse keskmes pole mitte andmed, vaid inimesed, ning reeglid ei kehti selleks, et EL nõuab, vaid selleks, et neid täidetaks. Just õigusnormide suuremale selgusele ja nende senisest efektiivsemale rakendamisele oli uus seadus algselt suunatud. Üritus kõiki probleeme korraga lahendada viis kahjuks üsna hüpliku regulatsioonini. Kindlasti on oma osa selles Riigikogus kiirkorras sisse viidud täiendustel.

Senise 49 paragrahvi asemel on meil nüüd 73, millest suurem osa tegeleb varasemate sätete täpsema sõnastamisega. Uute nähtustena leiab seadusest muuhulgas nõusoleku vorminõude, andmekaitse eest vastutava isiku ja poole miljoni krooni suuruse trahvimäära. Samas on EL isikuandmete direktiivi mitmed erandid isikuandmete töötlemise registreerimise ja andmesubjekti nõusoleku nõudest jäänud kahe silma vahele. Erandid said eeskätt need, kes eelnõu menetlemise käigus aktiivselt sekkusid. Tänu sellele saavutasid oma erandid arstid, ajakirjanikud, advokaadid, teadlased, statistikud, pankurid jne. Kahjuks ei ole erandite sõnastamisel võimalik tuvastada suuremat loogikat ega järjepidevust.

Nii näiteks saavad täieliku vabastuse isikuandmete kaitsmisest ajakirjanikud, kes heitsid eelnõule ette meedia suukorvistamist - nüüd ei pea ajakirjanik küsima isikult temast artikli kirjutamise tarvis andmete töötlemiseks nõusolekut ega võtma tarvitusele kaitseabinõusid (registreerima delikaatsete isikuandmete töötlemist). Arstid ja advokaadid suutsid vältida nõusoleku küsimise kohustust, kuid peavad ikkagi töötlemist registreerima Andmekaitse Inspektsioonis (AKI). Jääb arusaamatuks, miks riik usaldab arste ja advokaate ajakirjanikest vähem ja nõuab neilt isikuandmete töötlemise registreerimist. Veelgi vähem usaldatakse teadlasi ja statistikuid - nemad pääsevad nõusoleku küsimise kohustusest ainult siis, kui AKI nii arvab, registreerimiskohustusest pole aga üldse pääsu. Kõige nõrgemat häält tegid ilmselt tööandjad, kes samuti töötlevad delikaatseid isikuandmeid. Omavad ju kõik tööandjad andmeid selle kohta, kas töötaja on haigeks jäänud või mitte. Kuna tööandjatele mingit erandit ei tehtud, siis tähendab see, et kõik tööandjad peaksid küsima nõusolekut töötajatelt isikuandmete töötlemiseks ja registreerima töötlemise.

Rakendamise efektiivsuse tõstmiseks on püütud vähendada AKI koormust registreerimistaotluste menetlemisel. Uue seaduse kohaselt vabastab andmekaitse eest vastutava isiku määramine ettevõtja delikaatsete isikuandmete töötlemise registreerimise kohustusest. Lisaks on ära kaotatud eraeluliste andmete eriregulatsioon ja seega ka nende töötlemise teavitamise kohustus.

Kas need abinõud ka isikuandmete kaitse regulatsiooni efektiivsust parandavad? Vaevalt küll. Kui arvestada, et Eestis on kümneid tuhandeid tööandjaid, kes kõik peavad endale värbama andmekaitse eest vastutava isiku või registreerima delikaatsete isikuandmete töötlemise, siis ei ole küll võimalik prognoosida AKI koormuse vähenemist. Seetõttu võib karta, et isikuandmete kaitse seaduse massiline eiramine jätkub. See omakorda tähendab, et varsti on oodata neljandat isikuandmete kaitse seadust.