Investoritele
Ava MyFondia

Andmemääruse olulised aspektid: mida peaksid teadma?

Fondia
Blogi 26. veebruar 2024

Fondia legal services
Autor: Arttu Ruukki

Andmemäärus jõustus 11. jaanuaril 2024 ja hakatakse enamikes küsimustes kohaldama alates 12. septembrist 2025. Määrus reguleerib nii toodete kui ka teenuste tarbimise käigus loodud andmete kasutamist ning andmete jagamisega seotud küsimusi. Alates septembrist 2025 läheb nö asjade internetti ühendatud toote või selle tootega seotud teenuste kasutamisel loodud andmete "omandiõigus" toodete ja teenuste pakkujatelt üle nende kasutajatele. Andmemäärus paneb ettevõtjatele ehk andmevaldajatele, kes toodavad ühendatud tooteid või pakuvad seotud teenuseid, märkimisväärseid lisakohustusi. Need kohustused võivad sundida ümber mõtlema kogu äri- ja kasumimudelid. 

Äsja jõustunud andmemäärus mõjutab: 

  • andmevaldajaid ja andmesaajaid, 

  • pilveteenuste pakkujaid ja kasutajaid, 

  • seadmete tootjaid, tarnijaid ja kasutajaid, 

  • andmetöötlusteenuse pakkujaid. 

Andmemääruse eesmärgid 

Andmemäärus koos andmehalduse määrusega moodustavad Euroopa Liidu andmestrateegia selgroo. Andmemääruse eesmärgid ja ambitsioonid on üllad. Andmemääruse eesmärk on edendada õiglast juurdepääsu andmetele ja hõlbustada nende kasutamist. Selleks luuakse ühtlustatud eeskirjad, mis võimaldavad andmete taaskasutamist ja kõrvaldavad tõkked Euroopa andmemajanduse arengult. Keskendudes innovatsiooni ja andmepõhise majanduse potentsiaali avamisele, austatakse samal ajal Euroopa väärtusi ja edendatakse õiglast andmevahetust eri osapoolte vahel. Andmemäärus aitab kaasa Euroopa keskkonnasäästlikule ja digitaalsele üleminekule, luues selge raamistiku andmetele juurdepääsuks ja nende kasutamiseks.  

Kuidas need eesmärgid praktikas saavutatakse? 

Andmete reguleerimise erinevad vaatenurgad 

Andmemäärus sisaldab mitmeid omavahel seotud teemasid, mille ühine nimetaja on juurdepääs andmetele ja nende kasutamise põhireeglid. Neid teemasid käsitletakse erinevatest vaatenurkadest.  Määrus näeb ette ühtlustatud eeskirjad, mis käsitlevad toote või teenuse kasutamise tulemusel saadud andmete kättesaadavaks tegemist nii kasutajale kui ka kolmandatele isikutele kasutaja taotlusel. Määrus puudutab ka andmete kättesaadavaks tegemist avaliku sektori asutustele erakorraliste vajaduste rahuldamiseks. Lisaks reguleeritakse andmete taaskasutamise tingimusi, andmete edastamist käsitlevate ühepoolsete lepingutingimuste lubatud sisu, andmete jagamise mehhanismide ja teenuste standardimist, andmete edastamist väljapoole Euroopat ning pilveteenuse pakkuja vahetamise hõlbustamist. 

Kes ettevõttes vastutab andmemääruse järgimise eest? 

Andmemäärusel on ettevõtjatele ulatuslik mõju ja selle järgimine ei ole pelgalt dokumentide koostamine õigusosakonna töölaual.  

Andmemäärus osana teenuse- või tootedisainist

Andmemäärusest tulenevate kohustustega tuleb arvestada juba toote või teenuse kavandamisest alates - milliseid andmeid koguda, kuidas neile ligi pääseda ja kuidas neid käsitleda. Need valikud määravad kindlaks, millises ulatuses tuleb varem täielikult kaitstud andmed teha kättesaadavaks mitte ainult kasutajale, vaid (kasutaja taotlusel) ka kolmandatele osapooltele, sealhulgas konkurentidele.  

Alates sügisest 2026 peavad turule toodavad ühendatud tooted ja seotud teenused olema algusest peale kavandatud nii, et nende toodetud andmed oleksid kasutajale lihtsalt, turvaliselt ja tasuta kättesaadavad. Kui see on tehniliselt võimalik, peavad andmed olema otse kättesaadavad, näiteks seadme kasutajaliidese kaudu. 

Tehniliste lahenduste (IT) osas tuleb andmed liigitada ja eraldada, et neid saaks vajaduse korral kättesaadavaks teha konkreetse kasutaja taotlusel talle kuuluvate andmete ulatuses. Samas tuleb arvestada isikuandmete kaitse ja eeskirjadega, sest andmemäärus ei ole mingil moel ülimuslik isikuandmete kaitse üldmääruse (GDPR) suhtes. 

Müüjad peavad olema teadlikud sellest, mida tuleb klientidele toodete ja teenuste turustamisel edastada ning kuidas klientidega kokku leppida andmete avalikustamises, juurdepääsuõigustes ja kasutuspiirangutes. 

Hangete osas peaksid lepingulised nõuded, nt seoses nutikate komponentide hankimisega teie enda pakutavate toodete jaoks, olema kooskõlas teie kohustustega teha andmed kasutajale kättesaadavaks. Probleemiks on ka tähistamata kaubamärgiga tooted (white label products), mille puhul tuleb eraldi kokku leppida juurdepääs tootega kogutud andmetele või seotud teenustele, näiteks Hiina tarnijaga. Kasutaja seisukohalt vastutab andmetele juurdepääsu võimaldamise eest ettevõtja, kes turustab toodet või teenust ELi siseturul. 

Klienditoe ja –teenuse pakkumise raames puututakse kindlasti kokku kasutajate andmetega seotud taotluste ja nõuetega, mille sisu võib minna tegelikest kohustustest kaugemale. Nende taotluste jaoks tuleb kehtestada selged protsessid ja suunised. 

Ettevõtete õigusosakonnad peavad andmemäärusele pöörama erilist tähelepanu. Andmetega seotud ärisaladuste kaitsmine, andmete kättesaadavaks tegemise lepingutingimuste koostamine, organisatsiooni toetamine andmemääruse nõuete täitmisel ja muu üldine tegevus seoses õigusliku vastavuse tagamisega hoiab juristid kindlasti hõivatud. 

Kuidas valmistuda andmemäärusest tulenevateks kohustusteks? 

GDPRi jõustumisega seotud stress ja kiirustamine on paljude ettevõtete mälus veel värskelt meeles. Andmemääruse mõju ulatust võiks hästi võrrelda GDPRi mõjuga. Kui GDPRi ettevalmistusprotsessist 2018. aastal on midagi õppida, siis seda, et varakult alustamine tasub ennast ära.  

Andmemääruse tekstiga saate tutvuda Euroopa Komisjoni veebilehel. Kui põhiline arusaam selle sisust hakkab kujunema, mõelge enda ettevõtte jaoks läbi vähemalt järgmised küsimused: 

  • Milliseid andmeid hõlmab andmete jagamise kohustus? 

  • Kuidas hallatakse praegu andmeid, mille suhtes kehtib jagamiskohustus? Kas need on salastatud, kas neid saab praktikas jagada? 

  • Kas jagamiskohustuse alla kuuluvad andmed sisaldavad ärisaladust? 

  • Kuidas on jagamiskohustuse alla kuuluv teave seotud isikuandmetega - kas see on eraldatav, kas seda säilitatakse eraldi, kas seda saab eraldi jagada? 

  • Kas tulevikus on vaja koguda kõiki toodete ja/või teenuste poolt praegu kogutud ja salvestatud andmeid? 

  • Kuidas rakendatakse tootearenduses ja selle protsessides jagamise kohustust, kuidas see on integreeritud teadus- ja arendustegevuse protsessi? 

  • Kui andmete jagamine ei ole võimalik otse seadme ja/või teenuse kaudu, siis kuidas saab andmete jagamist korraldada ja hallata? 

  • Kui müüakse kellegi teise toodetud tooteid, siis kus asuvad nende andmed ja kuidas on tagatud, et neid saab kasutaja või kolmandate isikute taotlusel kättesaadavaks teha? 

  • Kas on võimalik luua teenuseid teise ettevõtja toodetud tootele andmemäärusega avatud tooteandmete põhjal? 

Fondia eksperdid teie kõrval 

Fondia tehisintellekti ja andmemajanduse ekspertrühm aitab teil välja selgitada andmemääruse mõju ettevõtte äritegevusele. Võtke meiega julgelt ühendust.  

Selle artikliga alustame andmemäärust käsitleva postituste sarjaga. Järgmisena käsitleme andmemäärusega seotud konkreetsemaid küsimusi erinevatest vaatenurkadest ja alati praktilise suunitlusega.  

Fondia andmemajanduse ekspert Eestis on Marit Saul:

Marit Saul
Marit Saul
Vanem õigusnõustaja