Pilveteenuste kiire kasv ning rakendamine igal elualal on põhjustanud arutelu privaatsuse ja õigusliku raamistiku teemadel. Hannes Vallikivi harutab sasipuntra lahti ja annab soovitusi.

1. 18.11.2015
Hannes Vallikivi
Pilveteenuste kasutamise
õiguslikud riskid

2. andmed
isikuandmed
delikaatsed isikuandmed
muud piiratud andmed

3. Kiirtest
3
• Kas seadus lubab?
○ Andmete liigid
○ Töötlemisluba
○ Andmete asukoht
• Kas ettevõtte standardid lubavad?
• Kas on võimalik seadust täita?
○ Andmete kaitse ja terviklikkus
○ Andmesubjekti õiguste tagamine
Õigusteenused
Eesti / Läti / Leedu

4. Isikuandmed
4
• Isikuandmed (IA) – mis tahes andmed tuvastatud või
tuvastatava füüsilise isiku kohta (IKS § 4 lg 1)
• Delikaatsed isikuandmed (DIA) kirjeldavad (IKS § 4 lg 2):
○ Poliitilisi, usulisi, maailmavaatelisi veendumusi
○ Etnilist päritolu või rassilist kuuluvust
○ Terviseseisundit või puuet
○ Isiku pärilikkust
○ Seksuaalelu
○ Biomeetrilist infot (nt geeni- ja sõrmejälje andmed)
Õigusteenused
Eesti / Läti / Leedu

5. Isikuandmed?
5
Õigusteenused
Eesti / Läti / Leedu

6. Isikuandmete töötlemine
6
• Andmete töötlemine – igasugune andmetega tehtav toiming,
sh nende hoidmine ja hoiustamine (IKS § 5)
• Töötlemiseks üldjuhul vajalik isiku nõusolek (IKS §§ 10 lg 1,
12)
• Delikaatsete isikuandmete töötlemiseks vajalik:
○ Subjekti informeeritud nõusolek (IKS § 12 lg 4)
○ Vastutava töötleja määramine või registreering AKIs (IKS
§§ 27, 30)
Õigusteenused
Eesti / Läti / Leedu

7. 7
Õigusteenused
Eesti / Läti / Leedu
„andmesubjekt“
töötaja
klient
kodanik
meie
„vastutav töötleja“ „volitatud töötleja“
Pilvetee-
nuse
pakkuja
alltöö-
võtja
alltöö-
võtja
alltöö-
võtja
„volitatud alltöötleja“
• Eesmärgipärane andmetöötlus
• „Nii palju kui tarvis, nii vähe kui võimalik“
• Andmete turvaline hoidmine
isikuandmed

8. Andmete eksport
8
• Euroopa Liidus lubatud (IKS § 18 lg 2)
• Väljapoole Euroopa Majanduspiirkonda lubatud, kui:
○ Safe Harbour – USA osas otsus tühine
○ Teenusepakkuja on sõlminud mudellepingu (Model
Clauses)
○ AKI luba ja teenusepakkujaga leping
Õigusteenused
Eesti / Läti / Leedu

9. 9
• Väide: andmete
edastamisega USA
serveritesse ei ole
andmekaitse piisavas
mahus tagatud
• Euroopa Kohus tühistas EL
ja USA vahelise Safe
Harbour kokkuleppe
Õigusteenused
Eesti / Läti / Leedu
Max Schrems vs Facebook

10. Vastavus
10
• Andmed peavad olema kaitstud hävimise, volitamata
muutmise ja andmetele volitamata ligipääsu eest
ettevõtte/asutuse suhtes kehtivale standardile vastaval
tasemel (mh IKS §§ 24, 25)
• Peab olema võimalik täita kohustusi andmesubjekti ees, sh
(IKS §§ 19 jm):
○ Informeerida andmesubjekti töödeldavatest
isikuandmetest ja sellest, kes andmeid töötleb
○ Andmeid parandada, kustutada või sulgeda
○ Logida andmete salvestamist, muutmist ja kustutamist
○ Vältida andmete edastamist riiki, kus on ebapiisav
andmekaitse tase
Õigusteenused
Eesti / Läti / Leedu

11. Tänan!
11
Õigusteenused
Eesti / Läti / Leedu
Hannes Vallikivi
Vandeadvokaat, juhtivpartner
M +372 511 6811
hannes.vallikivi@tgslegal.com
Fotod: appleinsider.com,
techcrunch.com, theguardian.com