Uus isikuandmete kaitse üldmäärus

 

Euroopa Parlamendi poolt heaks kiidetud isikuandmete kaitse üldmäärus (GDPR – general data protection regulation) jõustub 25. mail 2018.Määrus asendab seni kehtinud andmekaitsedirektiivi. Uus isikuandmete kaitse üldmäärus on otsekohalduv, mis tähendab, et määrus hakkab asendama ka seni kehtinud Eesti isikuandmete kaitse seadust.

Uue andmekaitse määruse peamiseks eesmärgiks on anda isikutele parem kontroll oma andmete üle. Sellega kaasneb andmeid töötlevatele ettevõtjatele mitmeid uusi kohustusi. Isikuandmete töötlemise turvanõuete ja teavitamiskohustuse rikkumiste eest määratavad trahvid suurenevad uue määrusega tunduvalt. Iga trahvi puhul võetakse küll arvesse konkreetse juhtumi asjaolusid, aga määruse järgi võib trahv ulatuda 10 000 000 euroni või 2 protsendini ettevõtja eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb on suurem. Kuigi taolised trahvid on mõeldud eelkõige ülemaailmsete tehnoloogiaettevõtete ohjeldamiseks, siis puudutab see siiski ka väiksemaid ettevõtteid, kes isikuandmeid töötlevad. Uue määruse tõttu võib ettevõtetel olla vajalik uuendada oma andmekaitse eeskirju või tehnilisi võimalusi.

Eelkõige tuleb isikuandmete töötlejatel kindlaks teha, et isikuandmete töötlemine oleks seaduslik. Töötlemine on seaduslik juhul, kui täidetud on vähemalt üks järgnevatest tingimustest:

  • Andmesubjekt on andnud nõusoleku oma isikuandmeid töödelda;
  • Isikuandmete töötlemine on vajalik andmesubjekti osalusel sõlmitud lepingu täitmiseks või lepingu sõlmimisele eelnevate meetmete võtmiseks;
  • Isikuandmete töötlemine on vajalik vastutava töötleja juriidilise kohustuse täitmiseks;
  • Isikuandmete töötlemine on vajalik andmesubjekti või mõne muu füüsilise isiku eluliste huvide kaitsmiseks;
  • Isikuandmete töötlemine on vajalik avalikes huvides oleva ülesande täitmiseks või vastutava töötleja avaliku võimu teostamiseks;
  • Isikuandmete töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral (v.a kui huvi kaaluvad üles andmesubjekti põhiõigused ja –vabadused).

Uue isikuandmete kaitse määruse jõustumisel hakkavad kehtima ka mitmed olulised muudatused võrreldes varem kehtinud seadustega.

Määrusest tulenevalt on andmete töötlejatel kohustus informeerida isikuid, et neil on õigus keelduda andmete töötlemisest. Taoline teavitus peab olema selge ning eristatud kõiksugu muust teabes. Samuti tuleb isikule selgitada kuidas ning millisel eesmärgil tema andmeid kasutatakse. Samuti on isikutel õigus nõuda töötlemise lõpetamist konkreetsete andmete osas.

Üheks suuremaks muutuseks on isiku õigus oma andmeid erinevate andmetöötlejate vahel liigutada. Isikule on uue andmekaitse määrusega antud õigus nõuda töötlejaid andmeid endale või edastada need otse uuele töötlejale. Andmete edastus peab toimuma struktureeritud ja masinloetavas vormingus. Juhul kui andmeid töötlev ettevõte hetkel ei oma võimekust, et andmeid igal hetkel kliendile kaasa anda või teisele ettevõttele edastada, siis tuleb ettevõttel teha vastavaid muudatusi oma süsteemides.

Lisaks eelmainitule on uues määrusest eelnevast põhjalikumalt sätestatud isiku „õigus olla unustatud“ (ingl. k. right to be forgotten) ehk isik võib nõuda teatud andmete kustutamist, kui andmete töötlemiseks ei ole enam õigustust või andmed ei ole enam asjakohased. See tähendab, et ettevõtjatel tuleb isiku nõudmisel vastavad andmed kustutada.

Kui tegemist on avaliku sektori organiga, töötlejaga, kelle põhitegevuse moodustavad isikuandmete töötlemise toimingud, mille ulatus tingib ulatusliku ja süstemaatilise andmesubjektide jälgimise või töötlejaga, kes töötleb ulatuslikult kohtuotsuste ja süütegudega seotud isikuandmeid, siis on vajalik andmekaitseametniku määramine. Andmekaitseametnik võib olla vastava ettevõtja töötaja või täita andmekaitseametniku ülesandeid teenuse osutamise lepingu alusel ning tema ülesandeks on peamiselt andmete töötleja nõustamine seoses andmekaitse määrusest ja muudest õigusaktidest tulenevate kohustustega.

 

Ann Tarkin, jurist

Lisa kommentaar