I026 - Kevad 2017 - IT ettevõtete õigused ja kohustused isikuandmete töötlemisel

From ICO wiki
Jump to navigationJump to search
The printable version is no longer supported and may have rendering errors. Please update your browser bookmarks and please use the default browser print function instead.


Autorid: Annika Pajupuu, Juta Jaama, Ilmar Ermus, Jüri Vinnal, Martti-Heiki Must


Sissejuhatus

18. detsembril 1948. a vastu võetud ÜRO inimõiguste ülddeklaratsiooni artikkel 12 sätestab kindlalt ja selgesõnaliselt ühe põhilise inimõigusena õiguse eraelu puutumatusele. Ajal, kui tänu kiirele tehnoloogilise arengule ja globailiseerumisele on erinevate andmete kogumine, edastamine, töötlemine ja jagamine muutunud lihtsamaks, võimaldades väga lühikese ajaga kogude, töödelda ja edastada teise maailma otsa väga suuri andmemassiive, peavad rahvusvahelised organisatsioonid ja riigid mõtlema üsna tõsiselt selle peale, kuidas inimeste põhiõigusi paremini kaitsta. Eriti keeruliseks teeb riigi jaoks olukorra see, et pilveandmetöötluse tulek ja laialt kättesaadav kaugjuurdepääs erinevatele IT-süsteemidele on teinud võimalikuks andmete nende poolt kontrollimatu edastamise hetkega ühest riigist teise.


Üks liik andmeid, mida tänu toimunud tehnoloogilistele arengutele suures ulatuses kogutakse ja töödeldakse ning tahetakse üha suuremas ulatuses koguda, töödelda ja analüüsida, on isikuandmed. Tegemist ei ole lihtsalt ühe lihtsa andmemassiiviga, vaid see sisaldab palju erineva väärtusega infot, millest osa on isiku jaoks, keda see puudutab, tundliku iseloomuga, millise info sattumist võõra isiku kätte on sunnitud valitsused ennetama, sest lähtuvalt eespool mainitud ÜRO inimõiguste ülddeklaratsioonile on nad kohustatud enda võimuala piires võtma käsile vajalikud meetmed nende andmete kaitseks.


Kuidas on isikuandmed tegelikult kaitstud, see lahendus sõltub konkreetsest riigist, selle valitsusest, kes annab ette õigusraamistiku, millest tuleb kinni pidada. Need regulatsioonid mõjutavad olulisel määral ka ITK sektori tegevust, sest süsteemide ülesehitamisel tuleb tahes-tahtmata arvestada ka kehtivate reeglitega, mis paraku kipuvad erinevates riikides veidi varieeruma.


Järgnevalt oleme vaatluse alla võtnud meie jaoks olulisemad piirkonnad, kus me vaatame üle, kuidas on konkreetse riigi või riikide liidu piires lahendatud isikuandmete kaitsega seotud küsimused ja kuivõrd see mõjutab ITK sektori tööd.


Euroopas ja Eestis


Eestis hetkel kehtivate seaduste kohaselt on isikuandmed sisuliselt kõik andmed, mis võimaldavad inimest tuvastada ja õiguslik alus isikuandmete töötlemiseks on nõusolek või seadus.[1] Isikuandmetega seotut reguleerib „Isikuandmete kaitse seadus“ ja nõuete täitmise alast infot jagab ja järelevalvet teostab Andmekaitse Inspektsioon.


Isikuandmeteks loetakse kõiki andmeid tuvastatud või tuvastatava füüsilise isiku kohta, mis väljendavad tema füüsilisi, psüühilisi, füsioloogilisi, majanduslikke, kultuurilisi või sotsiaalseid omadusi ning suhteid ja kuuluvust. Seadusest tulenevalt jagunevad isikuandmed hetkel "tavalisteks" ja delikaatseteks isikuandmeteks.[2] Viimaste hulka loetakse infot, mis käsitleb isiku poliitilisi vaateid, usulisi ja maailmavaatelisi veendumusi (välja arvatud andmed seadusega ettenähtud korras registreeritud eraõiguslike juriidiliste isikute liikmeks olemise kohta); etnilist päritolu ja rassilist kuuluvust kirjeldavaid andmeid; andmeid terviseseisundi või puude kohta; pärilikkuse informatsiooni kohta; biomeetrilisi andmeid (eelkõige sõrmejälje-, peopesajälje- ja silmaiirisekujutis ning geeniandmed); andmeid seksuaalelu; ametiühingu liikmelisuse; süüteo toimepanemise või selle ohvriks langemise kohta enne avalikku kohtuistungit või õigusrikkumise asjas otsuse langetamist või asja menetluse lõpetamist.[3] Kui töödeldavad isikuandmed sisaldavad delikaatseid isikuandmeid, siis on hetkel kehtiva seaduse kohaselt töötlejal (ettevõttel, kes andmeid töötleb) kohustus järgida rangemaid nõudeid ning registreerida delikaatsete isikuandmete töötlemise andmekaitse järelevalveasutuses (Eestis Andmekaitse Inspektsioonis).[4] See tähendab, et andmete töötleja peab kirjeldama andmete töötlemise aspekte nagu andmete koosseis, eesmärk, rakendatud turvameetmed ning saama andmete töötlemisele heakskiidu inspektsioonilt.[5] Registreerima ei pea, kui delikaatsed andmed satuvad kätte juhuslikult või kasutatakse neid sisemiseks töökorralduseks (näiteks tööandja peab arvestust töötajate haigestumiste üle).[6]


Isikuandmete töötleja on kohustatud isikuandmete töötlemisel järgima põhimõtteid:
„1) seaduslikkuse põhimõte – isikuandmeid võib koguda vaid ausal ja seaduslikul teel;
2) eesmärgikohasuse põhimõte – isikuandmeid võib koguda üksnes määratletud ja õiguspäraste eesmärkide saavutamiseks ning neid ei või töödelda viisil, mis ei ole andmetöötluse eesmärkidega kooskõlas;
3) minimaalsuse põhimõte – isikuandmeid võib koguda vaid ulatuses, mis on vajalik määratletud eesmärkide saavutamiseks;
4) kasutuse piiramise põhimõte – isikuandmeid võib muudel eesmärkidel kasutada üksnes andmesubjekti nõusolekul või selleks pädeva organi loal;
5) andmete kvaliteedi põhimõte – isikuandmed peavad olema ajakohased, täielikud ning vajalikud seatud andmetöötluse eesmärgi saavutamiseks;
6) turvalisuse põhimõte – isikuandmete kaitseks tuleb rakendada turvameetmeid, et kaitsta neid tahtmatu või volitamata töötlemise, avalikuks tuleku või hävimise eest;
7) individuaalse osaluse põhimõte – andmesubjekti tuleb teavitada tema kohta kogutavatest andmetest, talle tuleb võimaldada juurdepääs tema kohta käivatele andmetele ja tal on õigus nõuda ebatäpsete või eksitavate andmete parandamist.“[7]


ja nõudeid:
(1) Füüsiline isik, kes isikuandmete töötleja alluvuses töötleb isikuandmeid, on kohustatud neid töötlema seaduses lubatud eesmärkidel ja tingimustel ning vastutava töötleja antud juhiste ja korralduste kohaselt.
(2) Füüsiline isik, kes isikuandmete töötleja alluvuses töötleb isikuandmeid on kohustatud hoidma saladuses talle tööülesannete täitmisel teatavaks saanud isikuandmeid ka pärast töötlemisega seotud tööülesannete täitmist või töö- või teenistussuhte lõppemist.
(3) Isikuandmete töötleja on kohustatud tagama oma alluvuses isikuandmeid töötlevate isikute väljaõppe isikuandmete kaitse alal.“[8]


Isikuandmete käsitlemisel tuleb rakendada turvameetmeid ning töötajaile tuleb anda piisav väljaõpe. Inimesel, kelle andmeid töödeldakse, on samas õigus küsida selle kohta teavet ning vajadusel nõuda oma andmete töötlemise lõpetamist, andmete parandamist, sulgemist või kustutamist.[9]

Hetkel kehtivate seaduste kohaselt tuleb juhul kui isikuandmeid edastatakse ilma inimese nõusolekuta ebapiisava isikuandmete kaitse tasemega riiki väljaspool Euroopa Majanduspiirkonda küsida luba Andmekaitse Inspektsioonist. Isikuandmete edastamine Eestist on lubatud üksnes sellisesse riiki, kus on piisav andmekaitse tase ja sellisteks riikideks loetakse Euroopa Liidu (EL) liikmesriike, Euroopa Majanduspiirkonna lepinguga ühinenud riike ja riike, mille andmekaitsetaset on Euroopa Komisjon hinnanud piisavaks. Euroopa Komisjon on vastu võtnud ka rakendusotsuse isikuandmete kaitse piisavuse kohta andmete edastamisel EL ja Ameerika Ühendriikide vahel kasutades Privacy Shield andmekaitseraamistikku. Andmete vastutav töötleja garanteerib sel juhul inimeste õiguste ja eraelu puutumatuse kaitse välisriigis ja et edastamise juhul on välisriigis tagatud piisav andmekaitsetase. Andmekaitse Inspektsiooni loata on isikuandmete edastamine kolmandatesse riikidesse lubatud vaid: isikuandmete kaitse seaduse kohase vastava nõusoleku alusel; üksikjuhtumil andmesubjekti või muu isiku elu, tervise või vabaduse kaitseks; või juhul kui kolmas isik taotleb teavet, mis on saadud või loodud seaduse või selle alusel antud õigusaktides sätestatud avalikke ülesandeid täites ja taotletav teave ei sisalda delikaatseid isikuandmeid. Kui tegutsetakse korraga mitmes Euroopa riigis, siis antakse luba andmekaitseasutuste koostöös.[10]


Kui pikalt ei olnud Euroopa tasemel isikuandmetega seotu ühtselt reguleeritud siis eelkõige just seoses kiirete arengutega infotehnoloogia valdkonnas leiti, et isikuandmetega seotu tuleks EL tasemel ühtlustada ja 2012. a tegi Euroopa Komisjon ettepaneku vastavaks reformiks, mille tulemusena valminud määrus ja direktiiv jõustusid 2016.aastal ning direktiiv tuleb üle võtta liikmesriikide õigusaktidesse 2018.aasta maiks. Uute nõuete eesmärk on anda inimestele tagasi kontroll oma isikuandmete üle ja lihtsustada ettevõtete tööd.[11] Uue määrusega lihtsustatakse ja ühtlustatakse andmekaitse-eeskirju kogu Euroopas. Praegu peavad EL ettevõtted arvestama 28 erineva andmekaitseseadusega, kuid edaspidi kaob ettevõtete kohustus teatada teiste liikmesriikide andmekaitseasutustele oma töödeldavatest andmetest.[12]


Uute nõuete kohaselt kohaldatakse ELi eeskirju alati, kui töötleja tegevus on seotud toodete või teenuste pakkumisega ELis asuvatele isikutele või nende käitumise jälgimisega. ELi andmekaitsestandardeid tuleb kohaldada sõltumata sellest, kus ELis asuvaid isikuid puudutavaid andmeid töödeldakse. Seda tehakse parema kooskõlastamise ja eeskirjade rakendamiseks loodud ühtse kontaktpunkti kaudu. Edaspidi peab iga ettevõte aru andma ainult ühele andmekaitseasutusele ning nii ettevõtete kui ka tarbijate jaoks on üks kontaktpunkt. Määrusega lihtsustatakse ka rahvusvahelist andmeedastust väljapoole ELi.[13]


Uue üldmäärusega tagatakse, et andmete omanikule antakse selget ja arusaadavat teavet isikuandmete töötlemise kohta. Kui andmete töötlemiseks on vajalik omaniku nõusolek, siis tuleb see anda selge nõusolekut väljendava tegevusega enne, kui ettevõte saab andmeid hakata töötlema. Uute eeskirjadega tagatakse ka inimestele õigus olla unustatud ehk et juhul kui keegi ei soovi enam, et tema isikuandmeid töödeldaks, ning ettevõttel puudub õiguspärane alus andmete säilitamiseks, siis need kustutatakse. Uue määrusega tagatakse ka vaba ja lihtne juurdepääs oma andmetele, mis peaks aitama inimestel näha, milliseid isikuandmeid ettevõtted ja ametiasutused nende kohta omavad ja lihtsustaks isikuandmete ülekandmist teenusepakkujate vahel. See tähendab, et isikul on õigus kanda isikuandmed üle ühelt teenusepakkujalt teisele.[14] See tähendab, et kuna suhtlusvõrgustikud ja erinevad Internetileheküljed võimaldavad inimestel salvestada sadu isiklikke sõnumeid ning isiklikke kontakte ja kui näiteks fotod postitanud inimene otsustab, et ta tahab kasutada mõnda teist teenusepakkujat, peab tal olema võimalik ilma igasuguste takistuste või kaotusteta üle kanda kõik oma fotod. See kehtib ka teiste andmete puhul ja seejuures ei tohi esimene ette võte seda takistada.[15]


Reformi kohaselt peavad organisatsioonid teavitama nii isikuid kui ka asjakohast andmekaitseasutust põhjendamatu viivitamiseta (võimalusel 72 tunni jooksul), kui andmeid on juhuslikult või ebaseaduslikult hävitatud või muudetud, need on läinud kaotsi, nendega on tutvutud või neid on avalikustatud isikutele, kellele ei oleks tohtinud neid avaldada, kui see võib ohtu seada üksikisikute õigusi.[16]


Oluliseks muutuvad ka lõimitud andmekaitse ja vaikimisi andmekaitse. See tähendab, et andmekaitsemeetmed tuleb toodetesse ja teenustesse programmeerida alates nende kõige varasemast kavandamise etapist ehk et vaikimisi seadistused peaksid olema need, mis kaitsevad eraelu puutumatust kõige enam. Ettevõtted on tulevikus kohustatud inimesi võimalikult selgelt, arusaadavalt ja läbipaistvalt teavitama sellest, kuidas nad inimese isikuandmeid kasutavad, et kasutaja saaks teha teadliku otsus, milliseid andmeid soovitakse jagada. Seda teavet võib esitada standardsete ja lihtsasti mõistetavate ikoonide abil. Tuleb tagada, et kui kasutajad annavad ettevõtetele nõusoleku oma isikuandmete kasutamiseks, siis antakse selline nõusolek selge nõusolekut väljendava tegevuse kaudu ja nii, et nad on sellest täielikult teadlikud.[17]


Kõik kolmandate riikide ettevõtted peavad kaupade või teenuste pakkumisel ELis vastama samadele eeskirjadele, mis kehtivad ELi ettevõtete suhtes.[18] Uue isikuandmete kaitse üldmäärusega luuakse ka süsteem, millega tagatakse, et isikuandmete kaitse tase ei vähene pärast andmete EList väljapoole liikumist. See hõlmab selgeid eeskirju, mis määratlevad, millal kohaldatakse ELi õigust EList väljaspool asuvate ettevõtete või organisatsioonide suhtes, täpsustades eelkõige, et alati kui organisatsiooni tegevus on seotud toodete või teenuste pakkumisega ELis asuvatele isikutele, või nende käitumise jälgimisega, kohaldatakse ELi eeskirju.[19]


Olgu siin kohal ka ära märgitud, et erinevalt Ameerika Ühendriikidest, kus isikuandmete omanikuks andmekoguomanikud, siis EL seaduste kohaselt on isikuandmete omanik inimene, kelle kohta andmed käivad.


Ameerika Ühendriikides


Ammerika Ühendriikides puudub ühtne terviklik seadusandlus, mis isikuandmete kasutamist ja kogumist reguleeriks. Selle asemel on USA-s keeruline süsteemi föderaal-ja osariikide seadustest ja määrustest,mis on enamasti üksteisega kooskõlas, kui tuleb ette ka olukordi, kus seaduse kattuvad või on omavahel vastuolus. Lisaks on valitsusasutuste ja erinevaid valdkondi esindavate organisatsioonide poolt välja töötatud suuniseid ja juhiseid, millel ei ole seadusega võrdset mõjuvõimu, kuid mis on osa isereguleeruvatest juhistest ning eeskirjadest, mis esindavad parimaid tavasid. Erinevad organisatsioonid ja seadused tegelvad erinevaid valdkondi puudutavate andmete kaitsega.


The Financial Services Modernization Act (Gramm-Leach-Bliley Act (GLB)) (15 U.S.C. §§6801-6827)[20] reguleerib finantsteabe kogumist, kasutamist ja avalikustamist.
See reguleerib laiemalt finantsasutuste näiteks pankade, väärtpaberiettevõtete ja kindlustusseltside ning teiste ettevõtete, mis pakuvad rahalist teenuseid ja tooteid, admete kasutamise õiguseid. GLB piirab isiklike andmete avalikustamist ja mõnel juhul nõuab finantsasutustelt teavet nende privaatsusnõuete jälgimise kohta ning võimalusest loobuda isiklike andmete avalikustamisest. Lisaks on mitmed riiklike asutuste poolt kehtestatud reeglistikud the Safeguards Rule, Disposal Rule, and Red Flags Rule, mis andmete privaatsust ja avalikustamist reguleerivad.


The Health Insurance Portability and Accountability Act (HIPAA) (42 U.S.C. §1301 et seq.) reguleerib meditsiinilise info kasutamist ja kogumist. Seda rakendatakse üldiselt tervishoiuteenuste osutajatele, töötlejate, apteekidele ja muudele üksusustele, mis kasutavad meditsiinilist teavet. HIPAA eeskirjad vaadati läbi ja uuendati 2013. aasta alguses ning koondati HIPAA "Omnibus eeskirja" alla. [21]


The Fair Credit Reporting Act (15 U.S.C. §1681) (and the Fair and Accurate Credit Transactions Act (Pub. L. No. 108-159) reguleerib tarbija kohta käivat aruandlust kasutavate asutuste (näiteks laenuandjad) ning antud infot pakkuvate (nt krediitkaardi pakkujate) tegevust ning tarbijate finantskäitumist puudutava info kasutamist.


The Electronic Communications Privacy Act (18 U.S.C. §2510) [15] ja the Computer Fraud and Abuse Act (18 U.S.C. §1030) reguleerib elektroonilise kommunikatsiooni ja arvutite kasutamise omavoli. Hõlmab infovahetust elektroonilisel viisil ning paneb paika reeglid, mida andmete ja info edastamisel järgida.


1.aprillil 2016. Aastal avaldas Federal Communications Commission (FCC) teate õigusloome kavandamisest, otside abi parima meetodi leidmiseks kaitsmaks tarbijaid lairibaühenduste teenuste puhul. Tunnistati, et kehtivad privaatsusnõude ja eeskirjad ei vasta 21.sajandi kommunikatsiooni turvariskidele.



The Federal Trade Commission (FTC) loeb tundlikuks informatsiooniks järgmisi andmeid [22]:
● lapsi puudutav info
● finants- ja meditsiiniline info
● isikukoodid
● teatud geograafiline info

Osariiklikud privaatsuse seadused ja määrused


On palju seadusi osariikide tasandil, mis reguleerivad isikuandmete kogumist ja kasutamist ning see arv suureneb igal aastal. Näiteks reguleerib föderaalseadus kaubanduslikke e-kirju ja e-posti aadressite jagamist. Paljudel osariikidel on kehtestatud teatud privaatsust reguleerivad seadused, aga teenäitajaks on siiski California osariik, kus on jõustunud mitmeid privaatsust puudutavaid seadusi ja määruseid, millest mõnel on kaugeleulatuv mõju ka riiklikul tasandil.


California oli esimene osariik, kus võeti vastu seadus, mis kohustab inimesi turvaaugust teatama.


Seadus nõuab, et isik või ettevõte, kes omab ligipääsu elektroonilistele andmetele, mida loetakse privatseteks, teavitaks turvaaugu tekkimisest kõiki California elanikke, kelle krüpteerimata andmed võivad olla sattunud kolmanda osapoole kätte. Kui reglementeerisid seadused eeskirjad, mida järgida, kui turvaauk on tekkinud, siis üha enam on hakatud vastu võtma seadusi, mis kohustvad ettevõtteid ja organisatsioone tegelema tagajärgede asemel ennetamisega.

Austraalias


Austraalias haldab isikuandmete hoiustamist, kasutamist ning avalikustamist Föderaalne Privaatsuse seadus 1998 (the federal Privacy Act 1988 (Cth)[23]. Esmakordselt kiideti see Austraalia parlamendis heaks aastal 1988 ning seadus sai aluse aasta hiljem. Privaatsuse seadus oli Austraalia nõusolek rakendada Organisation for Economic Cooperation and Development (OECD) Guidelines on the Protection of Privacy and Transborder Flows of Personal Data ning artikkel 17 - International Covenant on Civil and Political Rights.


Austraalia jaguneb kuueks osariigiks - New South Wales (NSW), Queensland (QLD), South Australia (SA), Tasmania (TAS), Victoria (VIC) ja Western Australia (WA) ning kaheks peamiseks territooriumiks - Australian Capital Territory (ACT) ning the Northern Territory (NT). Kõikidel osadel (välja arvatud Western Australia ning South Australia) on rakendatud enda andmekaitsme seadus, mis kehtivad osariigi valitsuse agentuuridele ning erafirmadele, kellega neil on koostöö. Osariigiti on need järgmised [24] :
Information Privacy Act 2014 (Australian Capital Territory)
Information Act 2002 (Northern Territory)
Privacy and Personal Information Protection Act 1998 (New South Wales)
Information Privacy Act 2009 (Queensland)
Personal Information Protection Act 2004 (Tasmania)
Privacy and Data Protection Act 2014 (Victoria).


Osariikide seadused reguleerivad peamiselt isikuandmete kasutamist avaliku sektori poolt, tervisega seotud andmete kasutamist nii era- kui ka avaliku sektori poolt kui ka järelvaate ning karistusregistri kasutamist.


The Privacy Act sisaldab mitut alamsätet, mis seab kohustusi andmete käitlejatele. Eraldi reeglid on määratud ka Tax File Number käsitsemisel. Ilma selle numbrita ei või näiteks tööle Austraalias asuda ning see määrab ka maksuprotsendi igale indiviidile (Rule 2015)[25].


Teised peamised seadused, mis määravad isikuandmete käsitlust on:
Taxation Administration Act 1953 (Cth)[26]– keelab kindlate maksumaksjate informatsiooni avalikustamist ning seab karmid kohustused maksuametnikele selle informatsiooni valdamisel.
Telecommunications (Interception and Access) Act 1979 (Cth)[27] – Keelab telekommunikatsiooni kinnipidamist ning ligipääsu. See ei kehti mõnel erijuhtumil, nagu näiteks hädaabiteenuste pakkujatel ning vastava volituse omajatel.
Telecommunications Act 1997 (Cth)[28] – Keelab volitamata interneti- ning telefoni teenuspakkujatel personaalsete andmete avalikustamist.
Do Not Call Register Act 2006 (Cth)[29] – Keelab teleturustus kõnesid numbritele, mis on sisestatud riikliku Do Not Call registrisse.
Spam Act 2003 (Cth) (Spam Act)[30] – Keelab pealesunnitud reklaamide saatmist e-mailide teel.


Privacy Act kehtib nendele tegevustele, mis viiakse läbi Austraalias või millel on seos Austraaliaga – ehk siis kui firma või isik on aluse enda praksisele teinud Austraalias. Välismaiste isikute ning üksustega informatsiooni jagamine on seaduse rikkumine.

Selle akti alla ei kuulu mitmed organisatsioonid [31]:
• Meedia organisatsioonid
• Registreeritud poliitilised parteid
• Osariigi või territooriumi ametivõimud
• Indiviidid, kes esinevad mitteärilisel mahul
• Tööandja organisatsioon, mis esineb töötajate andmete suhtes
• Väikeettevõtted


Väikeettevõtete alla langevad siis firmad, kelle aastane käive jääb alla 3 miljoni dollari. Ka nende seas on erandeid, kes ei jää aktist puutumatuks :
• Kui firma pakub tervishoiuteenust ning hoiab töötajate tervislikku informatsiooni
• Avalikustab isikuandmeid endale kasu loomiseks
• Tagab kasu isikuandmete kogumisest. 2014 märtsis lisati seadusele mitmeid muudatusi ning rakendusse läksid nn APP-d ehk Australian Privacy Principles [32]. Need lisad asendasid IPP-d (International Privacy Principles) ja NPP-d (National Privacy Principles) et paremini reguleerida isikuandmete kasutamist Austraalia ja Norfolki saare valitsusorganite poolt ning ka erasektori organisatsioonid, mille aastane käive ületab 3 miljonit Austraalia dollarit, langesid nende aktide alla. See muudatus suurendas ka privaatuse kaitse voliniku (Privacy Commissioner) võimu, lubades tal läbi viia juurdlusi, et privaatsusseadusest hoitakse kinni. Esmakordselt lisati ka tsiviilkaristused tõsiste või korduvate rikkumiste puhul.


APP sisaldab 13 peamist õiguslikult siduvat põhimõtet isikuandmete käsitlemiseks ja hoiustamiseks [33]:
Open and transparent management of personal information – Üksused on kohustatud võtma põhjendatud samme et rakendada protseduure mis kindlustavad kinnipidamist APP reeglitega.
Anonymity and pseudonymity - Andmete omajatel peab olema valik ennast mitte identifitseerida, või kasutada teist nime, kui on kokkupuude nende üksustega. (mõningate eranditega).
Collection of solicited personal information – Määrab, kuna andmete kogumine on lubatud ning kuna on vaja nõusolekut.
Dealing with unsolicited personal information – Kui üksus saab soovimata personaalset infot, peab ta otsustama.
Notification of the collection of personal information – Üksused peavad võtma arvestatud samme, et teavitada andmete omajaid info kogumisel või esimesel võimalusel peale seda, siia kuuluvad näiteks üksuse kontaktandmed ning sellle andmekogumise põhjus.
Use or disclosure of personal information – Üksus ei tohi kasutada või avaldada informatsiooni, mille nad on kogunud kindlal eesmärgil mingi teise otstarve jaoks ilma andmete omaja nõusolekuta.
Direct marketing – Üksused ei või kasutada ega avalikustada otseturunduse eesmärgil. Kui juhtub olema erand, siis peab turnduse sihtisikul olema võimalus sellest loobuda.
Cross-border disclosure of personal information – Kui kohalik üksus avalikustab isikuandmeid ettevõtttele, mis opereerib väljaspool Austraaliat, peab ta olema eelnevalt veendunud, et see võõras ettevõte järgib APP seaduseid. Enamikel juhtudel jääb just kohalik ettevõte või üksus süüdlaseks, kui andmete käsitluses on reegleid rikutud.
Adoption, use or disclosure of government related identifier – Määratud kindlad piirangud, mis puudutab valitsusega seotud infoga, nagu eelmainitud Tax File Number ning ka Medicare (Austraalia tervisekindlustusprogramm) numbrid.
Quality of personal information – Üksused peavad veenduma, et kogutud, kasutatavad või jagatavad andmed on korrektsed, uuendatud ning täiuslikud.
Security of personal information – Andmete omamisel peavad üksused võtma õigeid samme et vältida nende valekasutamist, vahelesekkumist või kaotamist. Andmed, mida neil enam tarvis ei lähe, peavad nad kustutama.
Access to personal information – Isikutel peab olema lubatud ligipääs enda isikuandmetele.
Correction of personal information – Andmete muutumisel peab olema garanteeritud võimalus neid muuta, et need oleksid õiged, täiuslikud ning asjakohased.


Reeglite järgimisel hoiab silma peal riiklikud volinikud. Neil on õigus läbi viia auditeid, vajadusel lahendada kahe osapoole vaheline konflikt ning nemad võtavad vastu otsused, kas ja kuidas väärtegude puhul patuseid karistada. Ta määrab, kas akt oli privaatsuse rikkumine, kas ettevõtel on vaja teha samme, et seda enam ei juhtuks või kas kannatanule peab maksma hüvitist. Kui on otsus langenud, et privaatsuseseadust on murtud, on trahvideks kuni 2000 trahviühikut ehk 360,000 dollarit eraisikutele ning kuni 10000 ühikut ehk 1,800,000 dollarit korporatsioonidele[34]. Need summad on ette määratud ja ei või kasutada ohvritele hüvitise maksmiseks.

Vene Föderatsioonis


Selleks, et paremini aru saada, millised on õigused ja kohustused Vene Föderatsioonis, tuleb esmalt vaadata, kuidas on sealne süsteem üles ehitatud. Ehk siis, Vene Föderatsioonis tegeleb valdkonna reguleerimise ning selle üle kontrolli ja järelevalve teostamisega Side- ja Massikommunikatsiooniministeeriumi haldusalas olev Роскомнадзор [35] ehk Föderaalne Side-, Infotehnoloogia ja Massikommunikatsiooni Valdkonna Järelevalveteenistus (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций). Osaliselt kattub valdkonnaga ka Роспечать[36] ehk Venemaa Föderaalne Trüki- ja Massikommunikatsiooniteenistuse (Федеральное агентство по печати и массовым коммуникациям России) tegevus, kuid seda siiski nii suures ulatuses.


Mainitud keskasutus Роскомнадзор on föderaalne täidesaatev organ, mille ülesanneteks laiemalt on massikommunikatsiooni-, sh elektrooniliste vahendite, side ja infotehnoloogia valdkonna kontrolli ja järelevalve teostamine. Tema ülesanne on ka jälgida, et isikuandmete töötlemine oleks kooskõlas Vene Föderatsiooni seadusandlusega.


Роскомнадзор-i struktuuris on loodud kaks eraldi osakonda, mille tegevus seondub eelkõige mainitud valdkonnaga:
• isikuandmete subjektide õiguste kaitse valitsus
• infotehnoloogia valdkonna järelevalvevalitsus


Kui vaadata edasi, siis Vene Föderatsiooni seadusandluses on isikuandmetele ja nende kaitsele pööratud väga palju tähelepanu. Lisaks riigi- ja kohaliku omavalitsuse asutustele on üsna põhjalikult reguleeritud ka eraettevõtete kohustused isikuandmete töötlemisel. Sealjuures omab Роскомнадзор järelvalve teostamisel väga suuri volitusi. Järgnevalt vaatame ettevõtete õigusi ja kohustusi, mis tulenevad otseselt Vene Föderatsiooni seadusandlusest, arvestada tuleb siinjuures nii puhtalt avalikule sektorile kui ka erasektorile kehtivaid norme. Vene Föderatsiooni õigusruumis on olulisel kohal föderaalseadused, millega antakse nii avaliku sektori kui erasektori asutustele ette väga selged piirid, millest kinni pidada. Mis puudutab IKT valdkonda, siis vaieldamatult on kõige tähtsam föderaalseadus „Informatsioonist, infotehnoloogiatest ja informatsiooni kaitsest“ [37] (Riigiduuma poolt vastu võetud 27.07.2010, käesolev redaktsioon kehtib alates 01.01.2017).


Seadus reguleerib informatsiooni hoidmise, haldamise ja kaitsmisega seotud küsimusi, viidates sealhulgas vajadusele tagada riigi- ja kohaliku omavalitsuse asutuste tegevuse läbipaistvus, tagada eraisikutele õigus eraelu puutumatusele ja kaitsele jm. Seadusega on teabe haldajale pandud kohustus kinni pidada õigusaktides fikseeritud normidest ning rakendada teabe kaitsmisel vajalikke meetmeid, piirates õigusaktidest tulenevalt vajadusel ka juurdepääsu teabele, sh isikuandmetele.


Üldiselt on füüsilise ja juriidilise isiku puhul rakendatud Euroopa Liiduga sarnaseid õiguspõhimõtteid. Ka siin on lähtutud avaliku sektori teabe loomupärasest avalikkusest, kui sellele ei kehti juurdepääsupiirangud, ning eraisiku õigusele saada ülevaade tema kohta kogutud infost ning õigust eraelu puutumatusele.


Huvitav on peatükk 10_1, mis käsitleb internetiteenuse pakkuja kohustusi, mis hõlmab muuhulgas kohustust hoida Vene Föderatsiooni territooriumil informatsiooni elektroonilise teabe vastuvõtmise, edastamise ja töötlemise kohta vähemalt aasta jooksul, ning elektrooniliselt edastatud teavet poole aasta jooksul, ja tagama pädevale riigiorganile seadusest tulenevatel alustel juurdepääsu sellele teabele. Vene Föderatsiooni valitsusel on muuseas õigus mainitud säilitustähtaegasid ja hoidmise tingimusi ja korda täpsemalt reguleerida.


Samuti on seadusega veebilehe haldajale pandud eraldi kohustus mitte avaldada eraelulisi isikuandmeid, mis võivad andmesubjekti kahjustada. Ta peab veebilehel kuvama enda perekonnanime ja initsiaalid ning meiliaadressi, et riigiorgani esindajal või andmesubjektil oleks võimalik õiguslike küsimuste puhul temaga otse ühendust võtta. Samuti viidatakse seaduses kodaniku õigusele esitada otsingumootori omanikule põhjendatud avaldus eemaldada otsingutulemusest andmed tema kohta, kui see on vastuolus kehtivate õigusaktidega ning see kahjustab tema õigusi.


Mainitud seadus annab ette üldised piirangud, millega peab IKT ettevõte arvestama. Detailsed nõuded, millega peab konkreetsetel juhtudel arvestama, on kirjas juba teistes madalama astme õigusaktides. Oluline on ka see, et seaduses on selgelt fikseeritud, et valdkonnaga seotud rikkumiste menetlemisega tegeleb Роскомнадзор.


Valdkonda reguleerivatest seadustest on tähtsuselt teine 27.07.2006 vastu võetud föderaalseadus „Isikuandmete kaitse kohta“ [38]. Samuti seondub isikuandmete kaitsega 19.12.2005 vastu võetud föderaalseadus „Euroopa Nõukogu konventsiooni füüsiliste isikute kaitse isikuandmete automatiseeritud töötlemisel ratifitseerimise kohta“ [39].


Isikuandmete kaitse osas on selgelt fikseeritud, et isikuandmeid võib töödelda ainult vastavalt õiguslikule alusele ning lähtuvalt reaalsele vajadusele. Nii nagu Euroopa Liidu õigusaktides, on ka Vene Föderatsiooni puhul fikseeritud, et isikuandmeid tohib töödelda ainult andmesubjekti nõusolekul või lepingu või õigusaktidest tulenevate kohustuste täitmiseks, või siis kui see on vajalik andmesubjekti õiguste, vabaduse vm kaitseks. Töötleja peab suutma vajadusel tõestada isiku nõusoleku olemasolu.


Delikaatsete isikuandmete (Vene Föderatsiooni õigusaktides kasutatakse terminit „erikategooria isikuandmed“) ja biomeetriliste isikuandmete töötlemine on lubatud ainult seaduses sätestatud juhtumitel, kui selleks on isiku luba või see vajadus tuleneb rahvusvahelisest lepingust või Vene Föderatsiooni õigusaktist, nagu näiteks pensioni arvestamiseks vm, või kui töötlemine toimub isiku õiguste ja tervise kaitseks või õigusemõistmise huvides. Andmesubjekti nõusolekut ei ole vaja ka meditsiinitöötajatel, kes töötlevad isikuandmeid tööalaselt ning peavad sealjuures lähtuvalt föderatsiooni seadustest kinni pidama arstisaladusest.


Isikuandmete edastamisel teise riiki peab operaator veenduma, et mainitud riigis on rakendatud piisavad meetmed isikuandmete kaitseks. Kui see pole antud riigi õigusaktide tasandil tagatud, peab isikuandmete edastamiseks olemas olema kas andmesubjekti kirjalik nõusolek või föderatsiooni seadusest tulenev erandit võimaldav alus. >br>Eraldi on rõhutatud, et riigi- ja kohaliku omavalitsuse asutused ei tohi enda infosüsteemides isikuandmete töötlemisel riivata kellegi vabadusi, õigusi ega väärikust. Isikuandmete subjektil on õigus teada tema kohta kogutud andmete olemasolu, koosseisu, säilitamise ja töötlemise kohta, samuti andmete kogumise õigusliku aluse kohta. Samuti on tal õigus keelata isikuandmete töötlemine, kui nende töötlemiseks puudub õiguslik alus.


Asutus on kohustatud isikuandmete kaitsmiseks (eraldi rõhutatud ka infosüsteemides olevaid isikuandmeid), sh õigusvastase juurdepääsu, muutmise või hävitamise, kopeerimise, lukustamise takistamiseks, kasutusele võtma vajalikud organisatsioonilised ja tehnilised meetmed. Muuseas on asutusele pandud ka kohustus fikseerida kõik aset leidnud õigusrikkumised ning nende puhul asutuses olukorra parandamiseks rakendatud meetmed. Ka tuleb asutuses täpselt reguleerida isikuandmetele juurdepääsu ja nende töötlemise reeglid. Vene Föderatsiooni valitsus reguleerib eraldi õigusaktidega infosüsteemides asuvate erinevate tasemetega isikuandmete kaitse ja töötlemise nõudeid, biomeetriliste isikuandmete teabekandjate nõuded ja nende säilitamise tehnilised nõuded, valitsus- ja föderaalasutuste infosüsteemides isikuandmete kaitseks rakendatavate organisatsiooniliste ja tehniliste meetmete nõuded jm. Muude asjade seas on juriidilisel isikul kohustus nimetada ametisse isikuandmete töötlemise eest vastutav isik, kes teostab organisatsiooni sees kontrolli isikuandmete töötlemise, õigusaktides sätestatud nõuete täitmise ja seoses isikuandmete töötlemisega tekkinud küsimuste lahendamise üle.


Valdkonda reguleerivatest Vene Föderatsiooni presidendi ukaasidest on huvitavamad 30.05.2005 ukaas nr 609 „Vene Föderatsiooni riiklike tsiviilteenistujate isikuandmete isikutoimiku pidamise kohta“ [40], 17.03.2008 ukaas nr 351 „Vene Föderatsiooni informatsiooniohutuse tagamine informatsiooni-telekommunikatsiooni sätete kasutamisel rahvusvahelisel informatsiooni vahetusel“ [41], 06.03.1997 ukaas nr 188 „Konfidentsiaalse iseloomuga andmete loetelu“ [42]. Sisu poolest täpsustavad need föderatsiooni seadustes fikseeritud nõudeid tehnilistes küsimustes.


Vene Föderatsiooni valitsuse poolt kinnitatud õigusaktidest on olulised määrusega 01.11.2012 nr 1119 kinnitatud „Isikuandmete kaitse nõuete kinnitamine nende töötlemisel isikuandmete infosüsteemides“ [43], määrusega 19.08.2015 nr 857 kinnitatud „Automatiseeritud infosüsteemist „Isikuandmete subjektide õiguste rikkujate register““[44], määrusega 21.03.2012 nr 211 kinnitatud „Föderaalseadusega isikuandmete kohta ettenähtud kohustuste täitmise tagamiseks suunatud meetmete loetelu kinnitamine“[45], määrusega 15.09.2008 nr 687 kinnitatud „Isikuandmete töötlemise teostamisel automatiseerimise vahenditeta erisuste kinnitamine“[46], määrusega 06.07.2008 nr 512 kinnitatud „Biomeetriliste isikuandmete teabekandjatele ja selliste andmete säilitamisele isikuandmete infosüsteemis nõuete kehtestamine“[47].


Määrus 01.11.2012 nr 1119 lähtub eelkõige föderaalseadusest „Isikuandmete kaitse kohta“, kirjeldades asutuste kohustusi infosüsteemides isikuandmete töötlemise ja kaitse osas täpsemalt. Oluline on, et määruses on eristatud isikuandmete kaitse osas nelja erinevat taset, mida tuleb infosüsteemide puhul rakendada. Määrus 21.03.2012 nr 211 rakendub eelkõige avaliku sektori asutustele, ning seal on tähelepanu pööratud, kuidas need asutused peavad enda juures isikuandmete töötlemist reguleerima. Määruses on fikseeritud, et asutuse juht peab kinnitama isikuandmete töötlemise korra, andmesubjektide või nende esindajate poolt esitatud avalduste läbivaatamise protseduurid, isikuandmeid sisaldavate infosüsteemide loetelu, asutuse poolt töödeldavate isikuandmete loetelu, ametikohtade loetelu, kes vastutavad isikuandmete töötlemise eest, isikuandmete töötlemise ruumile juurdepääsu tagamise korra jm. Tehnilised nõuded asutuste infosüsteemidele on kirjeldatud eraldi õigusaktides. Määrus 06.07.2008 nr 512 keskendub infosüsteemidele, kus säilitatakse biomeetrilisi isikuandmeid. Põhiosas on nõuded sarnased muude õigusaktidega, viidates kohustusele tagada ohutus ning takistada volitamata juurdepääs andmetele. Lisaks on siin viidatud ka kohustusele pidada arvestust erinevate andmekandjate üle. Samuti on olemas kohustus fikseerida infosüsteemi hõlmatud isikuandmete osas tehtud muudatused jm toimingud.


Valdkonda reguleerivad täiendavalt Роскомнадзор-i aktid, millest on olulisemad 05.09.2013 nr 996 kinnitatud „Isikuandmete deisikustamise nõuete ja meetodite kohta“[48], 03.12.2012 nr 1255 kinnitatud „Isikuandmete töötlemine ja kaitse föderaalteenistuse keskasutustes side, infotehnoloogia ja massikommunikatsiooni järelevalve teostamisel aluste kinnitamine“[49], 22.07.2015 nr 84 kinnitatud „Isikuandmete subjektide õiguste rikkumise registri operaatori veebimajutuse pakkujaga koostegutsemise korra ja isikuandmete õiguste rikkumise registris sisalduvale teabele operaatorite juurdepääsu korraldamise korra kinnitamine“[50].


Lisaks reguleerivad valdkonda teiste täitevvõimu keskasutuste õigusaktid, nagu näiteks FSB käskkiri 10.07.2014 nr 378 „Organisatsiooniliste ja tehniliste meetmete kinnitamine isikuandmete ohutuse tagamiseks nende töötlemisel isikuandmete infosüsteemides Vene Föderatsiooni valitsuse kehtestatud isikuandmete erinevate kaitsetasemete nõuete täitmiseks vajalike informatsiooni krüptograafiliste kaitsemeetodite kasutamisel“[51]. Siin on viidatud reeglitele, mis puudutab krüptograafiliste kaitsemeetodite kasutamist isikuandmete töötlemisel infosüsteemides. Käskkiri kohustab asutust tagama nii ruumide, teabekandjate kui infosüsteemide turvalisuse.


Asutused on kohustatud isikuandmeid sisaldavate infosüsteemide puhul arvestama ka erinevate tehniliste juhenditega, nagu näiteks Föderaalse Tehnilise ja Eksoprdikontrolli Teenistuse poolt 15.02.2008 kinnitatud juhis „Isikuandmete ohutuse baasmudel nende töötlemisel isikuandmete infosüsteemides“[52]. Seda reguleerib ka Föderaalne tehnilise ja ekspordikontrolli teenistuse käskkiri 18.02.2013 nr 21 „Organisatsiooniliste ja tehniliste meetodite ja sisu isikuandmete ohutuse tagamisel nende töötlemisel isikuandmete infosüsteemides kinnitamine“[53], mis loetleb detailselt üles suure hulga erinevaid tehnilisi meetmeid, mida peab infosüsteemides isikuandmete kaitsel kasutama. Loetelu sisaldab nii meetmeid andmekandjate ja tööruumide füüsiliseks kaitseks, kui ka infosüsteemidele juurdepääsu korraldamist, antiviiruse kasutamist, süsteemide aktiivkaitsemeetodeid, samuti süsteemide kaitstuse pidevat analüüsimist. Samuti on reguleeritud, mis klassi riistvara ja milliseid tehnilisi meetmeid on lubatud/kohustatud kasutada antud isikuandmete kaitse taseme juures.


Kui asutus ei suuda kinni pidada isikuandmete kaitse nõuetest, tuleb kindlasti arvestada ka võimalike karistustega. Siinjuures võib viidata, et alates 1. juulist tõusevad trahvimäärad, mille tulemusel võib ebaseaduslik isikuandmete töötlemine kaasa tuua trahvisumma kuni 50000 rubla, isikuandmete nõuetekohase mittekustutamise korral või isikuandmete töötlemisest mitteteavitamisel trahvisumma kuni 40000 rubla, isikuandmete töötlemisel kirjaliku nõusoleku puudumisel trahvisumma kuni 75000 rubla. Samuti võib tuua sertifitseerimata infosüsteemide või infokaitsevahendite kasutamise kaasa lisaks trahvile ka seadmete konfiskeerimise. Sarnaselt eelnevale ootab trahv ja seadmete konfiskeerimine, kui tegutsetakse infokaitse valdkonnas ilma vastava litsentsita. Heale õnnele ei tasu siinjuures loota, sest kontroll antud valdkonna üle ja määratud trahvisummad on kasvanud viimaste aastate jooksul tuntavalt.

Aafrikas


Aafrika riikides ei ole ühtset ulatuslikus õigusraamistikus kehtivat isikuandmete kaitse seadust, kuid siiski on olemas mõned tööstus spetsiifilised seadused ja määrused, mis pakuvad mõningat privaatsust.


Egiptuses on käimas seaduseelnõu seaduse üle, mis reguleeriks isikuandmete kaitset, kuid tänaseni pole see veel heaks kiidetud. Erinevates seadustes ja regulatsioonides võib leida sätteid mis seda valdkonda puudutavad.


Põhiseaduse mõtted põhinevad üksikisikute õigusele eraelu puutumatusele. Samuti reguleerib tsiviilseadustik isikuandmete kasutamist ja töötlemist. Egiptuse karistusseadustik 58/1937 kehtestab kriminaalkaristuse ebaseaduslikult piltide või videosalvestuste tegemise eraisikutest mitteavalikes kohtades. Mõned teised seadused näevad ette kaitset ja konfidentsiaalsust teatud tüüpi andmetele, näiteks tööõigus seadus nr. 12/2003 mis reguleerib töötaja andmete konfidentsiaalsust ja krediidiasutuste seadus nr. 88/2003 mis reguleerib klientide ja nende kontode andmete kasutamist.


Perekonnaseisuameti seadus nr. 143/1994 näeb ette perekonnaseisu andmete konfidentsiaalsuse. Telekommunikatsiooniseadus 10/2003 näeb ette vanglakaristust telekommunikatsiooni privaatsuse lubamatu rikkumise eest. Karistusseadistiku nr. 58/1937 ja arstide eetikakoodeks sätestab patsientide andmete avalikustamise keeldu ilma patsiendi eelneva nõusolekuta. Sellise keelu rikkumine näeb ette vanglakaristust või rahatrahvi. Põhiseaduse artikkel 57 järgi aastast 2014 sätestatakse eraelu puutumatuse kaitse ja e-kirjad, telefoni vestlused ja muud sidevahendite monitoorimine ja jälgimine on keelatud ilma eelneva kohtuotsuseta ja sel juhul ka vaid piiratud perioodi jooksul ja seadustega kooskõlas.[54]

Kokkuvõte

Vaatluse alla võetud piirkondade näitel on näha, et riikide valitsused on seadnud isikuandmete kaitsega seotud küsimuste reguleerimise oluliseks prioriteediks, millega seotud õigusruumi reguleerimisele ja järelelevalve teostamisele kulutatakse arvestatavaid ressursse. Samuti on selgelt eristuv suund, et võimude poolt antakse isikuandmete töötlejale üsna suuri lisakohustusi, mille täitmist kontrollib eraldi riigiasutus.


Kindlasti üheks raskeks probleemiks, mis seondub eelkõige IT ettevõtetega, on, kuidas leida meetodid ja võimalused, et kontrollida piiriülest isikuandmete edastamist ja töötlemist. Kindlasti ei ole selle taga ainult siiras soov kaitsta konkreetseid kodanike isikuandmeid, vaid ka tahe omada kontrolli nende andmete üle. Eriti selgelt on seda tunda Vene Föderatsiooni puhul.


Teiste piirkondade seast paistab isikuandmete kaitse reguleerimise osas eriliselt silma Euroopa Liit, kus kõigile liikmesriikidele on rakendumas ühtne ja üsna detailne andmekaitsemäärus, mis peaks teoreetiliselt EL piires ettevõtete tegevust ühtlustama ja lihtsustama. Kui vaadata seda Eesti kontekstis, siis on näha, et see toob ettevõtetele kaasa lisakohustusi ja täiendavat bürokraatiat. Igal pool siiski nii sügavuti pole suudetud minna. EL vastandiks on mõned piirkonnad, näiteks Aafrikas, kus on valdkond üsna puudulikult reguleeritud. Kuigi viimaste aastakümnete jooksul on isikuandmete kaitse alased õigusaktid IT ettevõtete tegevust puudutavates punktides muutunud spetsiifilisemaks ja täpsemaks, saavad IT ettevõtted tänasel päeval siiski veel teatud vabadust nautida, sest tehnoloogia areng on olnud kiirem kui valitsusametnikud ja juristid on suutnud reageerida.


Viited

  1. http://www.aki.ee/et/eraelu-kaitse/mida-peab-teadma-isikuandmete-tootlemisest
  2. http://www.aki.ee/et/mis-isikuandmed
  3. http://www.aki.ee/et/delikaatsed-isikuandmed
  4. http://www.aki.ee/et/mis-isikuandmed
  5. http://www.aki.ee/et/delikaatsed-isikuandmed
  6. http://www.aki.ee/et/eraelu-kaitse/mida-peab-teadma-isikuandmete-tootlemisest
  7. https://www.riigiteataja.ee/akt/130122010011?leiaKehtiv#para6
  8. https://www.riigiteataja.ee/akt/130122010011?leiaKehtiv#para6
  9. http://www.aki.ee/et/eraelu-kaitse/mida-peab-teadma-isikuandmete-tootlemisest
  10. http://www.aki.ee/et/eraelu-kaitse/isikuandmete-edastamine-valisriiki
  11. http://ec.europa.eu/justice/data-protection/
  12. http://ec.europa.eu/newsroom/document.cfm?doc_id=41577
  13. http://ec.europa.eu/newsroom/document.cfm?doc_id=41575
  14. http://ec.europa.eu/newsroom/document.cfm?doc_id=41578
  15. http://ec.europa.eu/newsroom/document.cfm?doc_id=41579
  16. http://ec.europa.eu/newsroom/document.cfm?doc_id=41578
  17. http://ec.europa.eu/newsroom/document.cfm?doc_id=41572
  18. http://ec.europa.eu/newsroom/document.cfm?doc_id=41579
  19. http://ec.europa.eu/newsroom/document.cfm?doc_id=41574
  20. https://www.gpo.gov/fdsys/pkg/PLAW-106publ102/pdf/PLAW-106publ102.pdf
  21. https://uk.practicallaw.thomsonreuters.com/6-502-0467?transitionType=Default&contextData=(sc.Default)&firstPage=true&bhcp=1
  22. http://www.lexology.com/library/detail.aspx?g=44b4db4a-6111-48a1-badf-87f8e2a73e67
  23. https://www.legislation.gov.au/Series/C2004A03712
  24. https://www.dlapiperdataprotection.com/index.html?t=law&c=AU
  25. https://www.legislation.gov.au/Details/F2015L00249
  26. http://www.austlii.edu.au/au/legis/cth/consol_act/taa1953269/
  27. http://www.austlii.edu.au/au/legis/cth/consol_act/taaa1979410/
  28. http://www.austlii.edu.au/au/legis/cth/consol_act/ta1997214/
  29. https://www.legislation.gov.au/Details/C2006A00088
  30. https://www.legislation.gov.au/Series/C2004A01214
  31. http://www.alrc.gov.au/publications/33.%20Overview%3A%20Exemptions%20from%20the%20Privacy%20Act/privacy-act-exemptions
  32. https://www.oaic.gov.au/privacy-law/privacy-act/australian-privacy-principles
  33. https://www.oaic.gov.au/agencies-and-organisations/guides/australian-privacy-principles-and-national-privacy-principles-comparison-guide
  34. https://www.oaic.gov.au/about-us/our-regulatory-approach/guide-to-privacy-regulatory-action/chapter-6-civil-penalties
  35. http://rkn.gov.ru/
  36. http://fapmc.ru/rospechat.html
  37. http://docs.cntd.ru/document/901990051
  38. http://pravo.gov.ru/proxy/ips/?docbody=&nd=102108261
  39. https://rg.ru/2005/12/22/lichnye-dannye-dok.html
  40. https://rg.ru/2005/06/07/gosslugba.html
  41. http://www.docp.ru/doc/fstek/up351.pdf
  42. http://pravo.gov.ru/proxy/ips/?docbody=&nd=102046005
  43. https://rg.ru/2012/11/07/pers-dannye-dok.html
  44. https://rg.ru/2015/08/20/reestr-site-dok.html
  45. https://rg.ru/2012/03/30/dannie-dok.html
  46. https://rg.ru/2008/09/24/dannye-obrabotka-dok.html
  47. https://rg.ru/2008/07/11/trebovaniya-dok.html
  48. https://rkn.gov.ru/chamber-of-commerce/p717/p732/p502/doc981.htm
  49. https://rg.ru/2013/01/30/dannie-dok.html
  50. https://rkn.gov.ru/docs/doc_1353.pdf
  51. https://rg.ru/2014/09/17/zashita-dok.html
  52. http://fstec.ru/component/attachments/download/289
  53. http://fstec.ru/normotvorcheskaya/akty/53-prikazy/691-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21
  54. https://www.dlapiperdataprotection.com