Kuidas mõista andmestunud maailmaTekst

Loe katkendit
Märgi loetuks
Kuidas lugeda raamatut pärast ostmist
  • Lugemine ainult LitRes “Loe!”
Šrift:Väiksem АаSuurem Aa

1.2. ANDMETE ÕIGUSLIK KAITSE JA KASUTAMINE TEADUSTÖÖS

Aleksei Kelli, Irene Kull, Age Värv


LUGEMISSOOVITUSED

• Aleksei Kelli, Tõnis Mets, Lars Jonsson, Krister Lindén, Kadri Vider, Ramūnas Birštonas, Age Värv, Challenges of Transformation of Research Data into Open Data: the Perspective of Social Sciences and Humanities. – International Journal of Technology Management and Sustainable Development 2018, 17, 3, 227−251. https://doi.org/10.1386/tmsd.17.3.227_1.

• Aleksei Kelli, Krister Lindén, Kadri Vider, Pawel Kamocki, Ramunas Birštonas, Silvia Calamai, Penny Labropoulou, Maria Gavrilidou, Pavel Straňák, Processing personal data without the consent of the data subject for the development and use of language resources. Ed. by Inguna Skadina, Maria Eskevich. Linköping University Electronic Press, Linköpings universitet 2019. http://www.ep.liu.se/ecp/article.asp?issue=159&article=008&volume= (18.09.2019).

• Jane Klavan, Arvi Tavast, Aleksei Kelli, The Legal Aspects of Using Data from Linguistic Experiments for Creating Language Resources. – Frontiers in Artificial Intelligence and Applications 2018, 307, 71−78. doi:10.3233/978-1-61499-912-6-71.

1.2.1. Sissejuhatus

Siinses peatükis vaadeldakse andmete õiguslikku olemust ja nende kasutamisega seotud piiranguid teadustöö kontekstis. Käsitluse rõhuasetus on sotsiaal- ja humanitaarvaldkonna teadusandmetel ning analüüs tugineb Eesti ja Euroopa Liidu õigusele. Osaliselt lähtutakse autorite eelnevatest avatud teaduse teemalistest uuringutest (vt Kelli et al. 2017a). Mitmed selgitavad näited pärinevad keeletehnoloogia valdkonnast.

Andmete kasutamisel tuleb arvestada mitmesuguste õiguslike piirangutega, mis võivad tuleneda eri õigusvaldkondade (õigusharude) õigusaktidest. Üldjuhul on olulisemateks õigusvaldkondadeks isikuandmete kaitse ja intellektuaalse omandi13 õigus. Ent tulenevalt konkreetsete andmete olemusest võib asjakohane olla ka näiteks äri-, maksu-, panga-, riigi- jms saladuse kaitse regulatsioon. Enamjaolt on seesugused piirangud leitavad Eesti õigusaktidest, kuid mõningatel juhtudel tuleb otse rakendada Euroopa Liidu õigusakti (sellisteks otse kohalduvateks aktideks on Euroopa Liidu määrused).

Õigusaktidega kehtestatud piirangud andmete kasutamisel lähtuvad praktilisest vajadusest kaitsta kellegi huve, näiteks on isikuandmete regulatsiooni eesmärk inimeste privaatsuse ja eraelu kaitse. Intellektuaalse omandi õigus aga kaitseb loojate huve, tagades neile ainuõiguse otsustada enda loodu kasutamise üle (sh võimaluse küsida kasutamise eest tasu) ning luues seeläbi motivatsiooni uue teadmuse loomiseks.

Õiguslik regulatsioon iseenesest ei keela andmete kasutamist teadustöös, vaid seab täiendavaid nõudeid, mille eesmärk on tasakaalu leidmine teiste isikute huvide ja teadustegevuse vahel. Nii näiteks on lubatud isikuandmete töötlemine teadustöö eesmärgil, kuid seejuures tuleb tagada puudutatud isikute huvide minimaalne kahjustamine. Piirangute rikkumise korral (nt andmete kasutamine õigustatud isiku nõusolekuta, kui kasutamise eeltingimuseks oli nõusolek) võib rikkujalt tavaliselt nõuda andmete kasutamise lõpetamist ja edasisest õiguste rikkumisest hoidumist, kõne alla võib tulla ka kahju hüvitamise nõue.

Eesti keele seletav sõnaraamat defineerib sõna „andmed“ järgmiselt: „informatsioon kellegi v. millegi kohta, faktid, mida kellegi v. millegi kohta teada saadakse v. teatakse“. OECD (2015: 8) määratluse kohaselt on teadusandmed „faktilised andmed (factual records), mida kasutatakse esmase allikana teadustöös“. Olukorra muudab keeruliseks asjaolu, et eri (teadus)valdkondades määratletakse andmeid erinevalt. Näiteks võivad teadusandmeteks olla kirjalikud ja suulised tekstid, rahvaloomingu salvestised, joonistused, maalid ja muu seesugune. Võimalike õiguslike piirangute ja nõuete kindlakstegemiseks on siiski oluline pigem see, milline on konkreetsete andmete käsitlus erinevates õiguslikes režiimides, mis võiksid katta humanitaar- ja sotsiaalvaldkonna teadusandmeid ning mõjutada nende kasutamist.

Selles peatükis keskendutakse andmete kasutamisele teadustöö eesmärgil teadusasutustes. Äriühingute korraldatud uuringutes (commercial research) tuleb lähtuda vastavatest üldregulatsioonidest. Peatüki esimene pool keskendub andmete võimalikele seostele intellektuaalse omandi õigusega ja teine seostele isikuandmete kaitsega. Peatüki lõpetavad selgitavad näited rahvaloomingust ja keeleressurssidest (keeleandmestik) kui teadusandmetest.

1.2.2. Andmete kaitse intellektuaalse omandina

Andmete kaitset ja kasutust intellektuaalse omandi kontekstis saab analüüsida lähtudes järgmisest joonisest.

Joonis 1.2.1. Intellektuaalse omandi süsteemi ülesehitus


Olulised elemendid, mida eelkõige tuleb vaadelda, on kaitstav objekt (millist informatsiooni ehk teadmust konkreetne intellektuaalse omandi liik kaitseb), kaitse kestus ja õiguste piirangud.

Andmete kaitsel intellektuaalse omandina võib tugineda autoriõigusele, autoriõigusega kaasnevatele õigustele ja ärisaladusele.

1.2.2.1. AUTORIÕIGUS JA KAASNEVAD ÕIGUSED

Andmed (blogid, fotod, salvestised jm), mida teadustöös kasutatakse, võivad olla kaitstavad autoriõigusliku teosena. Autoriõiguse tuumaks on autori isiklikud ja varalised õigused, mille loetelu sätestab autoriõiguse seadus (AutÕS). Isiklike õiguste alla käivad näiteks õigus esineda avalikkuse ees teose loojana, otsustada, millal on teos valmis avalikustamiseks, teha teoses muudatusi ja täiendusi jms. Varaliste õiguste all mõistetakse ainuõigust teost igal moel ise kasutada, lubada ja keelata oma teose samaviisilist kasutamist teiste isikute poolt ning saada tulu oma teose sellisest kasutamisest (AutÕS §-d 12 ja 13). Niisiis on oluline küsida, mis on „teos“.

TEKSTIKAST 1.2.1. TEOS

Autoriõiguse seadus loeb teoseks „mis tahes originaalset tulemust kirjanduse, kunsti või teaduse valdkonnas, mis on väljendatud mingisuguses objektiivses vormis ja on selle vormi kaudu tajutav ning reprodutseeritav“ (§ 4 (2)). Teos on originaalne, kui isik on selle ise loonud (§ 4 (2)). Seaduses on ka näidisloetelu erinevatest teostest (vt AutÕS § 4 (3)). Sarnase teose iseseisev loomine kellegi teise poolt ei ole autoriõiguse rikkumine (erinevalt kopeerimisest).

Nii Eesti kui ka Euroopa õiguspraktikas on originaalsuskünnis suhteliselt madal. Juba Eesti varajases õiguspraktikas leidis Riigikohus, et slaid puisteaine kogumispunkriga on loomingulise töö tulemus ehk siis teos (Riigikohtu tsiviilkolleegium, lahend 3-2-1-60-98). Teoseks on loetud ka prügikast (Harju Maakohus 2012). Euroopa Kohus (C-5/08) on leidnud, et ka 11-sõnaline väljavõte teosest võib olla iseseisev autoriõiguslikult kaitstav teos.

Teadustöö tegelemisel võib abiks olla loetelu autoriõigusega mittekaitstavatest objektidest, mille sätestab AutÕS § 5. Nii ei ole autoriõigusega kaitstavad näiteks teoses väljendatud ideed ja kontseptsioonid, päevauudised, faktid ja andmed. Siinkohal võib tekkida küsimus, kuidas tuleks andmete mõistet autoriõiguse kontekstis sisustada. Vaidluse korral võib hinnata, kas andmed vastavad teose tunnustele. Näiteks võib tekkida küsimus kas Twitteri ja Facebooki postitused on autoriõiguslikult kaitstavad. Ühene vastus siin puudub. Kui postituse sisuks on üks sõna, siis ei ole see kaitstav. Pikema postituse (kui lähtuda kohtupraktikast, siis 11 sõna on piisavalt pikk) korral saab rääkida autoriõiguslikust kaitsest.

Küll aga võivad faktid ja andmed olla õiguslikult kaitstud kogumina, st andmebaasina.

TEKSTIKAST 1.2.2. ANDMEBAASID

Autoriõigus tunneb kahte liiki andmebaase:

1) autoriõiguslikult kaitstavad andmebaasid (andmebaas on kaitstav kui teos);

2) sui generis andmebaasid. Sui generis andmebaasid ei ole originaalsed ega seetõttu ka autoriõiguslikult kaitstavad, küll aga kaitstakse neid kui autoriõigusega kaasnevate õiguste objekti. Autoriõiguse seaduse kohaselt on sui generis andmebaas teoste, andmete või muu materjali süstemaatiliselt või metoodiliselt korraldatud kogu, mis on individuaalselt kasutatav (AutÕS § 75²). Andmebaasis olevad andmed aga ei ole kaitstavad.

Sui generis andmebaasi kaitstavuse kriteeriumiks on oluline investeering selle loomisesse (AutÕS § 753). Euroopa Kohus (C-203/02) on selgitanud, et andmebaasi sisu kogumiseks tehtud investeering „tähendab vahendeid, mida on kasutatud olemasoleva materjali välja otsimiseks ja selle koondamiseks nimetatud andmebaasi. See mõiste ei hõlma andmebaasi sisuks oleva materjali loomiseks kasutatud vahendeid“. Autoriõiguslikult kaitstavaks andmebaasiks on näiteks tsiteeringute, blogide või piltide kogu, mis põhineb isiku enda valikul. Sui generis andmebaasi näitena võib tuua telefoniraamatu või muu tehniliste andmete kogu, mille loomine ei eelda loomingulisust. Sui generis andmebaasina võib olla kaitstav näiteks agregeeritud andmetabel.

 

Sõltuvalt andmete tüübist (nt vanad arhiivimaterjalid) võib tõusetuda küsimus autoriõiguse ajalisest kehtivusest. Üldreegli14 kohaselt kehtib autoriõigus teosele 70 aastat pärast autori surma (AutÕS § 38) ning tähtaja kulgemise algust arvestatakse autori surma-aastale järgneva aasta 1. jaanuarist (AutÕS § 43). Pärast kehtivusaja lõppu võib teost vabalt kasutada (vabakasutus, public domain). Siiski on vajalik autorile viitamine (AutÕS § 45).

Sui generis andmebaasi tegija õigused kehtivad 15 aastat, arvates andmebaasi valmimise päevale järgneva aasta 1. jaanuarist (AutÕS § 757 (2)). Sui generis andmebaasi kvalitatiivse või kvantitatiivse täiendamise korral pikeneb kaitse 15 aasta võrra (AutÕS § 757 (4)). Oluline on seejuures silmas pidada, et tähtaeg pikeneb just täienduste, mitte kogu andmebaasi osas.

Vana materjali kasutamisel (nt ajaloo uuringuks) peab arvestama ka ühe täiendava autoriõigusega kaasneva õigusega. Nimelt näeb autoriõiguse seadus ette, et isikul, kes pärast autoriõiguse kehtivuse tähtaja lõppemist esimesena õiguspäraselt avaldab või suunab üldsusele varem avaldamata teose, on 25 aasta jooksul sellise teose esmakordsest avaldamisest või üldsusele suunamisest autori varaliste õigustega (AutÕS § 13) võrdsed õigused sellele teosele (AutÕS § 741 (1)).15 Sisuliselt tähendab see seda, et kui mõni muuseum või muu institutsioon esmakordselt avaldab enda seaduslikus valduses oleva teose (isegi kui see on sajandeid vana), siis tekivad sellele varalised õigused.

Kui teadustöös kasutatavad andmed (teadustöö sisendmaterjal) vastavad teose tunnustele ning kaitsetähtaeg ei ole möödunud, tuleb analüüsida autoriõiguste piiranguid, mis siiski võimaldavad teistel isikutel ka ilma teose autori käest nõusolekut küsimata andmeid kasutada (nn teose vabakasutus). Asjakohased autoriõiguse piirangud on järgmised:

1) füüsilise isiku poolt isiklikuks kasutuseks (AutÕS § 18);

2) tsiteerimine (AutÕS § 19 punkt 1);

3) kasutamine illustreeriva materjalina õppe- ja teaduslikel16 eesmärkidel (AutÕS § 19 punkt 2);

4) kopeerimine õppe- ja teaduslikel eesmärkidel (AutÕS § 19 punkt 3);

5) teksti- ja andmekaeveks (AutÕS § 19 punkt 31).

Autoriõigusliku kaitse seisukohalt ei oma tähtsust, kas teos on avalikustatud või mitte. Kaitstud on nii avalikustatud kui ka avalikustamata teosed (AutÕS § 8 (1)). Autoriõiguslikult kaitstava teose vabakasutamisele tuginemine eeldab, et see on eelnevalt õiguspäraselt avaldatud (AutÕS § 19). Teksti- ja andmekaeve erandi juures ei ole seda eraldi välja toodud, kuid autoriõiguse üldisest ideoloogiast lähtudes peaks see olema ka siin nõutav.

Kuna andmekaeve on üks uuemaid ja kohati ka raskesti arusaadavamaid autoriõiguslikke erandeid, siis peatume sellel mõnevõrra. Andmekaeve valdkond kooskõlastati Euroopa Liidu direktiiviga 2019/790 (direktiiv autoriõigusest digitaalsel ühisturul). Direktiivi kohaselt on andmekaeve automatiseeritud analüüsimeetod, millega analüüsitakse digivormingus tekste ja andmeid, et saada teavet muu hulgas mustrite, suundumuste ja korrelatsioonide kohta (art 2 punkt 2). Andmekaeve puhul on keskseks küsimuseks õigus teha koopiat. Analüüs kui selline ei oma autoriõiguslikult tähtsust. Näiteks kui teadlane soovib analüüsida Twitteri säutse, siis on oluline omada õiguslikku alust säutsudest koopiate tegemiseks (eeldusel, et analüüsi ei tehta otse internetis). Säutsude analüüsiks ei ole autoriõiguse omaja luba vaja. Oluline on vaadata ka Twitteri kasutajatingimusi, mis võivad seada täiendavaid lepingulisi piiranguid.

Teose vabakasutus nõuab üldjuhul autorile viitamist ning võimaldab teose kasutamist üksnes motiveeritud mahus. Viitamisel lähtutakse konkreetse valdkonna tavadest. Motiveeritud mahu nõue tekitab tihti segadust. Autoriõiguse seaduse kohaselt hinnatakse motiveeritud mahtu teaduslike eesmärkide kontekstis. Motiveeritud maht tähendab pigem teose osa kui tervikteose kasutamist. Samas sõltub see eelkõige kontekstist, teose ja kasutamise iseloomust. Igat vabakasutust tuleb hinnata juhtumipõhiselt. Vabakasutus on keelatud ärilisel eesmärgil.17 Äriline eesmärk on ebaselge mõiste, mida Eesti õiguspraktikas ei ole veel selgeks vaieldud.

Seoses sui generis andmebaasidega lubab autoriõiguse seadus andmebaasist väljavõtte tegemist illustreeriva materjalina õppe- või teadusliku uurimistöö eesmärkidel motiveeritud mahus ilma ärilise eesmärgita. Vajalik on viidata ka andmebaasi avaldamisallikale (AutÕS § 756 punkt 2).

Täiendavad kohustused teoste kasutamisel võivad tuleneda ka eriseadustest. Näiteks tuleneb muuseumiseadusest kohustus digitaalse museaali (muuseumis arvele võetud kultuuriväärtusega asi, MuuS § 2 (2)) või museaali kasutamisel viidata museaalile ja muuseumile (MuuS § 16 (3)).

TEKSTIKAST 1.2.3. TEOSE VABA KASUTAMINE

Autori õiguste piirangutele tuginemisel tuleb teose kasutajal nii analoog- kui ka digitaalkeskkonnas hinnata oma tegevuse lubatavust kolmeastmelise testi abil, mis tuleneb autoriõiguse seaduse §-st 17. Selle kohaselt on lubatud teost kasutada autori nõusolekuta ja autoritasu maksmiseta järgmistel tingimustel:

1) erand peab olema otsesõnu seaduses ette nähtud;

2) teose kasutus ei ole vastuolus teose tavapärase kasutamisega;

3) teose kasutus ei kahjusta põhjendamatult autori seaduslikke huve.

Sisuliselt tähendab see, et kui teose kasutamisel tuginetakse näiteks teadustöö erandile, siis autor saab ikkagi väita, et seesugune kasutus on vastuolus teose tavapärase kasutamisega ja kahjustab tema huve. Teose tavapärane kasutus seondub tavaliselt majanduslike aspektidega. Selle raames tuleb hinnata, kas autor jääb niisuguse kasutusega oma sissetulekust ilma või vähendab see sissetulekut. Valdkonna eksperdid on selgitanud, et hinnata tuleb nii potentsiaalset kui ka praegust ja tegelikku teose majanduslikku kasutust. Erandile tuginev kasutus ei või hakata autoriga konkureerima raha teenimisel (Ricketson, Ginsburg 2006: 769–770).

1.2.2.2. ÄRISALADUS

Andmed võivad olla kaitstavad ka ärisaladusena.18 Ärisaladuseks võivad muu hulgas olla isikute käitumismustrid, ostueelistused, finants- ja muud andmed. Ärisaladuseks on peetud näiteks ka tarkvara loodud kasutajaprofiile (vt Duportail 2017).

Ebaausa konkurentsi takistamise ja ärisaladuse kaitse seaduse (EKTÄKS) § 5 lg 2 kohaselt on ärisaladus teave, mis vastab järgmistele tingimustele:

1) see ei ole kogumis või üksikosade täpses paigutuses ja kokkupanus üldteada või kergesti kättesaadav nende ringkondade isikutele, kes tavaliselt kõnealust laadi teabega tegelevad;

2) sellel on kaubanduslik väärtus oma salajasuse tõttu ja

3) selle üle seaduslikku kontrolli omav isik on asjaoludest lähtuvalt võtnud vajalikke meetmeid, et hoida seda salajas.

Ärisaladuseks saab olla nii tehniline kui ka äriline info (tarbija eelistused ja käitumine, äristrateegia jm). See tähendab, et ärisaladusena võivad olla kaitstavad andmed, mis pakuvad huvi humanitaar- ja sotsiaalteadlastele.

Ärisaladust võib kasutada või avaldada vaid ärisaladuse üle kontrolli omava isiku nõusolekul. Seadus ei näe ette nn teadustegevuse erandit, seega tuleks lähtuda põhimõttest, et ka teaduslike uuringute korraldamiseks teatavate andmete kasutamisel tuleb küsida eelnevat nõusolekut. Kui andmed on avalikud, siis neile ärisaladuse kaitse ei kohaldu ning nende kasutamine ei ole ärisaladuse rikkumine. Seejuures ei tohi unustada, et andmed võivad ikkagi olla kaitstavad muu regulatsiooni alusel (nt isikuandmete kaitse).

Kui keegi jõuab iseseisva loometöö tulemusena mingi resultaadini, mida teine isik peab enese ärisaladuseks, siis ei ole tegemist ärisaladuse rikkumisega. Ärisaladuse kaitse seadust tuleb tõlgendada kooskõlas Euroopa Liidu ärisaladuse kaitse direktiiviga; selle kohaselt on lubatud ka ärisaladust sisaldava eseme pöördprojekteerimine (reverse engineering), st lubatud on teabe saamine eseme jälgimise, uurimise, demonteerimise või katsetamise kaudu. Ese peab olema tehtud üldsusele kättesaadavaks või olema teabe omandaja seaduslikus valduses (direktiivi art 3 (1) punkt b).19

1.2.3. Andmete kaitse isikuandmetena

Teadustöös kasutatavad andmed võivad olla isikuandmed. Seetõttu on oluline mõista isikuandmete kaitse süsteemi põhimõisteid.

Üldistatult võib öelda, et isikuandmete kaitse süsteem tugineb Euroopa Liidu isikuandmete kaitse üldmäärusele20 (üldmäärus, ka IKÜM) ja isikuandmete kaitse seadusele (IKS). Süsteemi mõistmiseks on abiks ka kohtupraktika, 1996. aastal andmekaitse direktiivi artikli 29 alusel asutatud andmekaitse töörühma suunised,21 Andmekaitse Inspektsiooni (AKI) juhised ja teaduskirjandus.

 

Selles peatükis käsitletakse isikuandmete mõistet ja töötlemist teadustöö eesmärgil.

1.2.3.1. ISIKUANDMETE MÕISTE

Isikuandmete kaitse vundamendi moodustab isikuandmete mõiste. Kui tegemist ei ole isikuandmetega, ei ole vaja järgida ka isikuandmete kaitse nõudeid. Üldmääruse kohaselt on isikuandmed „igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal“ (art 4 punkt 1). Joonis 1.2.2 on abiks isikuandmete eri aspektide mõistmisel.


Joonis 1.2.2. Isikuandmete mõiste


Lähtuvalt definitsioonist on isikuandmed tuvastatud või tuvastatava isiku kohta käiv teave. Küsimus tekib, kui kaugele peaks minema isiku tuvastamisel.

Teaduskirjanduse väitel on tuvastatavus kontekstist sõltuv. Teavet, mida ei tuvasta üks isik, tuvastab teine, sest tal on informatsiooni, mida esimesel ei olnud. Andmed võivad muutuda tuvastatavaks teiste andmetega kombineerimisel (Oostveen 2016: 306). Erialakirjanduses on eristatud absoluutset (arvesse lähevad kõik võimalused isiku tuvastamiseks) ja relatiivset (arvesse lähevad realistlikud võimalused isiku tuvastamiseks) lähenemist (Spindler, Schmechel 2016: 165–166). Andmekaitse töörühm on väljendanud seisukohta, et üksnes hüpoteetiline võimalus isiku tuvastamiseks ei ole piisav, et lugeda isik tuvastatavaks (AKT 2007: 15). Lihtsustatud näitena võib tuua olukorra, kus filmitakse kuskil piirkonnas sõitvaid autosid, ilma et nende numbrimärgid oleks näha. Teoreetiliselt võiks need autod siduda konkreetse isikuga, kuid pigem võib asuda seisukohale, et seesugune materjal ei sisalda isikuandmeid.

Andmekaitse töörühm on välja toonud, et isikuandmed võivad esineda mistahes vormis. Näiteks võivad need olla numbrilised, alfabeetilised, graafilised, fotona või akustilised. Heli ja pilt on samuti isikuandmed. Näiteks võib isikuandmeid sisaldada ka lapse joonistus. Andmeid võib hoida paberil, arvutis ja videolindil. Isikuandmeid sisaldav info ei pea olema struktureeritud andmebaasis või failis. Isikuandmeid võib sisaldada ka e-kiri. Isikuandmeteks olev teave ei pea tingimata olema ka tõene (AKT 2007: 6–8). Ka metaandmed võivad sisaldada isikuandmeid (vt AKI 2015).

TEKSTIKAST 1.2.4. ISIKUANDMETE KAITSE

Esmase liigitusena tuleb eristada n-ö üldisi ja eriliiki (delikaatseid) isikuandmeid. Isikuandmete kaitse üldmäärus keelab eriliiki andmete töötlemise: „Keelatud on töödelda isikuandmeid, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta.“ (IKÜM art 9 (1))

Toodud liigitusel on ka praktiline tähendus. Nimelt peab eriliiki isikuandmete kaitse vastama kõrgemale standardile. See on ka loomulik, sest info levitamine isiku tervise ja mõnel avalikul üritusel viibimise kohta on erineva kaaluga.

Liigitus üldisteks ja eriliiki isikuandmeteks ei ole kuigi selgepiiriline. Näiteks võidakse teadustöös sisendina kasutada fotosid, millel on kujutatud inimesi. Tekib küsimus, kas tegemist on üldiste või eriliiki isikuandmetega. Kui fotolt on võimalik isikut tuvastada, siis on tegemist isikuandmetega. Samuti võib foto sisaldada eriliiki isikuandmeteks olevaid biomeetrilisi andmeid.22 Üldmäärus annab seejuures järgmise selgituse: „Fotode töötlemist ei peaks süstemaatiliselt käsitlema isikuandmete eriliikide töötlemisena, kuna need on hõlmatud üksnes biomeetriliste andmete määratlusega, kui neid töödeldakse konkreetsete tehniliste vahenditega, mis võimaldavad füüsilist isikut kordumatult tuvastada või autentida“ (üldmääruse selgituse punkt 51). Isikuandmete määratlusest tulenevalt on eriliiki isikuandmeteks muu hulgas ka rassiline või etniline päritolu. See info võib olla tuvastatav foto vaatlemisel.

Eriliiki isikuandmeteks loetakse ka terviseandmeid, mida Euroopa Kohus on juba oma varajases praktikas, 2003. aastal, laiendatult tõlgendanud. Euroopa Kohus lahendas vaidlust (C-101/01), kus vastustaja täitis Rootsi koguduse juures koristaja ja leeriõpetaja ülesandeid. Ta pidas veebilehte, kus leidus teavet tema töökaaslaste kohta koguduses. Muu hulgas oli seal ka info, et üks töökaaslane oli vigastanud jalga ja töötab seetõttu osalise ajaga. Euroopa Kohus leidis, et sellise info edastamine kujutab endast eriliiki isikuandmete töötlemist, mis on lubatud ainult seadusega kehtestatud piirides.

Praktikas võib tekitada segadust küsimus, kas avalikustatud andmed (nt internetis kättesaadavad andmed) on samuti isikuandmetena kaitstavad. Euroopa Kohus on selgitanud, et avalikest dokumentidest pärit isikuandmed on samuti kaitstavad. Kui avalikustatud isikuandmed ei oleks kaitstavad, siis kaotaks isikuandmete kaitse suuresti oma mõtte, kuna kaitse välistamiseks piisaks nende avalikustamisest (C-73/07, punktid 35 ja 48). Riigikohus on asunud sarnasele seisukohale ja selgitanud avalikustatud isikuandmete kaitset järgmiselt: „Ainuüksi sellest, et andmed on isiku nõusolekul või seaduse alusel ilma tema nõusolekuta varem mingis vormis avalikustatud, ei saa järeldada, et täiendaval avalikustamisel ei pruugi andmesubjekti jaoks olla olulisi tagajärgi. Andmete esialgne ja korduv avalikustamine võivad toimuda väga erinevas vormis ja väga erineva intensiivsusega, sõltuvalt andmete edastaja isikust, infokanalist, kontekstist, auditooriumist jne“ (lahend 3-3-1-3-12, punkt 24).

Kokkuvõtvalt võib asuda seisukohale, et ka avalikustatud isikuandmed on kaitstavad. Avalikustamiseks võib pidada olukorda, kui andmetele pääseb juurde piiramatu arv isikuid. Eksisteerib ka n-ö halle alasid, kus ühene selgus puudub (kinnine Facebooki konto, millele pääseb juurde 1500 „sõpra“). Samas ei tähenda see, et andmete avalikustamine ei omaks mingit õiguslikku tähendust. Näiteks keelab isikuandmete kaitse üldmäärus eriliiki isikuandmete töötlemise (art 9 (1)), kuid sama keeldu ei kohaldata, kui töödeldakse isikuandmeid, mille andmesubjekt on ilmselgelt avalikustanud (art 9 (2) punkt e).

Isikuandmete kaitse tagamisel omavad olulist tähendust pseudonümiseerimine ja anonümiseerimine (anonümiseerimise praktiliste aspektide kohta vt Finnish Social Science Data Archive).

TEKSTIKAST 1.2.5. PSEUDONÜMISEERIMINE

Isikuandmete kaitse üldmääruse kohaselt on pseudonümiseerimine isikuandmete töötlemine sellisel viisil, et isikuandmeid ei saa enam täiendavat teavet kasutamata seostada konkreetse andmesubjektiga, tingimusel et sellist täiendavat teavet hoitakse eraldi ja andmete tuvastatud või tuvastatava füüsilise isikuga seostamise vältimise tagamiseks võetakse tehnilisi ja korralduslikke meetmeid (IKÜM art 4 punkt 5).

Üldmääruses rõhutatakse, et pseudonümiseeritud andmed on kaitstavad isikuandmetena (selgituse punkt 26). Pseudonümiseerimine on eelkõige isikuandmete kaitse meede.23 Pseudonümiseerimise eesmärk on identiteedi varjamine. Selleks võidakse andmed krüpteerida, kodeerida või võtta muid meetmeid (AKT 2007: 18). Psedonümiseerimise näitena võib tuua olukorra, kui isiku nimi on asendatud initsiaalide või mingi numbri- või tähekombinatsiooniga. Isikuandmete töötleja (teadlane) saab vajadusel konkreetse isiku tuvastada.

Erinevalt pseudonümiseeritud isikuandmetest jäävad anonümiseeritud andmed isikuandmete kaitse regulatsiooni alt välja. Seda rõhutatakse ka üldmääruses.24 Olukord on mõnevõrra keerulisem, kui algselt isikustatud andmed muudetakse anonüümseks. Andmekaitse töörühm on juhtinud tähelepanu asjaolule, et anonümiseerimine kujutab endast isikuandmete edasist töötlemist, mis peab vastama isikuandmete kaitse tingimustele (AKT 2014: 3). See tähendab, et muu hulgas peab töötlemisel tuginema konkreetsele õiguslikule alusele.

Isikuandmete seisukohalt oluliseks küsimuseks on nende kaitse kestus. Isikuandmete kaitse üldmäärust ei kohaldata surnuid puudutavatele isikuandmetele ning vastavad regulatsioonid kehtestavad Euroopa Liidu liikmesriigid ise (selgituse punkt 27).25 Isikuandmete kaitse seadus näeb ette üldreegli, mille kohaselt kehtib isikuandmete kaitse isiku eluajal ja 10 aastat pärast tema surma. Alaealisena surnud isiku puhul on kaitse 20 aastat pärast tema surma (IKS § 9 (1)). Nõusoleku isikuandmete töötlemiseks võib anda pärija. Mitme pärija korral võib nõusoleku anda igaüks neist (IKS § 9 (3)).

Surnud isiku andmete töötlemine 10 aastat pärast tema surma võib siiski olla seotud piirangutega. Nimelt võivad surnud isiku andmed seonduda ka elavate isikutega. Sellele võimalusele on juhtinud tähelepanu ka andmekaitse töörühm, tehes viite pärilikele haigustele (AKT 2007: 22).

Isikuandmete säilitamine on käsitletav töötlemisena (IKÜM art 4 punkt 2). Üldmäärus näeb ette ka säilitamispiirangu põhimõtte, mis ei rakendu teadustegevusele (IKÜM art 5 (1) punkt e). See tähendab, et teadustöö eesmärgil võib andmeid säilitada.

13Ülemaailmse Intellektuaalse Omandi Organisatsiooni asutamise konventsiooni kohaselt sisaldab intellektuaalne omand õigusi, mis tulenevad intellektuaalsest tegevusest tööstuse, teaduse, kirjanduse ja kunsti alal (art 2 punkt viii). Intellektuaalse omandi võib jagada kolmeks põhivaldkonnaks: 1) autoriõigus, 2) autoriõigusega kaasnevad õigused, 3) tööstusomand. Viimase alla paigutub tinglikult ka ärisaladuse kaitse.
14Erinormid reguleerivad anonüümseid teoseid, töösuhte teoseid, kollektiivseid teoseid. Autorsus ning autori au ja väärikus on kaitstavad tähtajatult (vt AutÕS §-d 40, 41, 44).
15Viidatud regulatsiooni aluseks on direktiiv autoriõiguse ja sellega kaasnevate õiguste kaitse tähtaja kohta (tähtaja direktiivi art 4).
16Teadustegevuse määratlemisel võib lähtuda teadus- ja arendustegevuse korralduse seadusest (TAKS). Selle kohaselt on teadustegevus „isiku loomevabadusel põhinev tegevus, mille eesmärk on teaduslike uuringute abil uute teadmiste saamine inimese, looduse ja ühiskonna ning nende vastastikuse toime kohta“ (TAKS § 2 punkt 7).
17Erandina võib nimetada tsiteerimist, mis on lubatud ka ärilisel eesmärgil (nt kui tsiteerida oma monograafias teiste isikute teoseid, ei ole monograafia müümine autoriõigusega vastuolus).
18Ärisaladuse kaitset Eestis reguleerib „Ebaausa konkurentsi takistamise ja ärisaladuse kaitse seadus“ (ärisaladuse kaitse seadus). Selle aluseks on Euroopa Liidu direktiiv, milles käsitletakse avalikustamata oskusteabe ja äriteabe (ärisaladuste) ebaseadusliku omandamise, kasutamise ja avalikustamise vastast kaitset (ärisaladuse kaitse direktiiv). Ärisaladuse kaitse direktiiv on kasutatav Eesti seaduse selgitamisel ja mõtestamisel.
19Arvutiprogrammi korral on pöördprojekteerimine (dekompileerimine) lubatud üksnes ühilduvuse tagamiseks teiste programmidega (vt AutÕS § 25).
20Üldmäärus on otsekohalduv kogu EL-is.
  Töörühma liikmeteks on Euroopa Liidu liikmesriikide andmekaitse asutused, kes väljendavad andmekaitsealaseid ekspertarvamusi. Vt https://www.aki.ee/et/rahvusvaheline-koostoo/euroopa-andmekaitseasutuste-tooruhm (18.09.2019).
22Üldmääruse kohaselt on biomeetrilised andmed „konkreetse tehnilise töötlemise abil saadavad isikuandmed isiku füüsiliste, füsioloogiliste ja käitumuslike omaduste kohta, mis võimaldavad kõnealust füüsilist isikut kordumatult tuvastada või kinnitavad selle füüsilise isiku tuvastamist, näiteks näokujutis ja sõrmejälgede andmed“ (art 4 punkt 14).
23Üldmäärus annab pseudonümiseerimise kohta järgmise selgituse: „Isikuandmete pseudonümiseerimine võib vähendada asjaomaste andmesubjektide jaoks ohte ning aidata vastutavatel töötlejatel ja volitatud töötlejatel täita oma andmekaitsekohustusi“ (selgituse punkt 28).
24Üldmääruse selgituse punkt 26: „Andmekaitse põhimõtteid ei tuleks seetõttu kohaldada anonüümse teabe suhtes, nimelt teave, mis ei ole seotud tuvastatud või tuvastatava füüsilise isikuga, või isikuandmete suhtes, mis on muudetud anonüümseks sellisel viisil, et andmesubjekti ei ole võimalik tuvastada või ei ole enam võimalik tuvastada. Käesolevas määruses ei käsitleta seega sellise anonüümse teabe töötlemist, sealhulgas statistilisel või uuringute eesmärgil.“
25See toob kaasa olukorra, kus isikuandmete kaitse EL-is liikmesriigiti erineb.
Olete lõpetanud tasuta lõigu lugemise. Kas soovite edasi lugeda?