Isikuandmete kaitse üldmääruse kohane andmekaitse
Isikuandmete kaitse üldmääruses on sätestatud üksikasjalikud nõuded ettevõtjatele ja organisatsioonidele isikuandmete kogumise, säilitamise ja haldamise kohta. Neid nõudeid kohaldatakse nii ELis üksikisikute isikuandmeid töötlevate Euroopa organisatsioonide kui ka väljaspool ELi asuvate organisatsioonide suhtes, mille sihtrühmaks on ELis elavad inimesed.
Millal kohaldatakse isikuandmete kaitse üldmäärust?
Isikuandmete kaitse üldmäärust kohaldatakse siis, kui:
- teie ettevõte töötleb isikuandmeid ning asub ELis, sõltumata sellest, kus andmete töötlemine tegelikult toimub;
- teie ettevõte asub väljaspool ELi, kuid töötleb isikuandmeid seoses kaupade ja teenuste pakkumisega ELis asuvatele üksikisikutele või jälgib ELi üksikisikute käitumist.
Väljaspool ELi asuvad ettevõtjad, kes töötlevad ELi kodanike andmeid, peavad määrama ELis oma esindaja.
Millal ei kohaldata isikuandmete kaitse üldmäärust?
Isikuandmete kaitse üldmäärust ei kohaldata siis, kui:
- andmesubjekt on surnud;
- andmesubjekt on juriidiline isik;
- andmeid töötleb isik, kelle tegutsemise eesmärk ei ole seotud tema kaubandusliku, äri- või kutsetegevusega.
Mis on isikuandmed?
Isikuandmed on teave tuvastatud või tuvastatava füüsilise isiku kohta, keda nimetatakse ka andmesubjektiks. Isikuandmed on näiteks:
- nimi;
- aadress;
- isikutunnistuse/passi number;
- sissetulek;
- kultuuriline profiil;
- internetiprotokoll (IP-aadress);
- haiglate või arstide säilitatavad andmed, mida kasutatakse isiku kordumatuks tuvastamiseks tervishoiuga seotud eesmärkidel.
Isikuandmete eriliigid
Teil on keelatud töödelda isikuandmeid, millest ilmnevad:
- rassiline või etniline päritolu;
- seksuaalne sättumus;
- poliitilised vaated;
- usulised või filosoofilised veendumused;
- ametiühingusse kuulumine;
- geneetilised, biomeetrilised või terviseseisundi andmed, välja arvatud konkreetsetel juhtudel ehk kui teile on antud selgesõnaline nõusolek või kui töötlemine on vajalik olulise avaliku huviga seotud põhjustel ELi või riigisisese õiguse alusel;
- isikuandmed süüteoasjades süüdimõistvate kohtuotsuste ja rikkumiste kohta, välja arvatud juhtudel, kui see on lubatud ELi või riigisisese õigusega.
Kes töötleb isikuandmeid?
Isikuandmete töötlemise käigus võivad isikuandmed jõuda erinevate ettevõtjate või organisatsioonideni. Selles tsüklis on kaks peamist osalist, kes tegelevad isikuandmete töötlemisega:
- vastutav töötleja – otsustab isikuandmete töötlemise eesmärgi ja viisi;
- volitatud töötleja – säilitab ja töötleb andmeid vastutava töötleja nimel.
Kes jälgib seda, kuidas ettevõtja isikuandmeid töötleb?
Andmekaitseametnik, kelle võis ametisse määrata ettevõtja, vastutab isikuandmete töötlemise seire ning selle eest, et isikuandmeid töötlevaid töötajaid teavitataks ja nõustataks seoses nende kohustustega. Andmekaitseametnik teeb koostööd andmekaitseasutusega, olles andmekaitseasutuse ja üksikisikute jaoks kontaktpunkt.
Millal peaksite andmekaitseametniku ametisse nimetama?
Teie ettevõte peab andmekaitseametniku ametisse nimetama järgmistel juhtudel:
- jälgite korrapäraselt või süstemaatiliselt üksikisikuid või töötlete isikuandmete eriliike;
- selline töötlemine on teie põhitegevusala;
- töötlete andmeid suures ulatuses.
Kui töötlete näiteks isikuandmeid, et suunata otsingumootorites inimeste veebikäitumisest lähtuvaid reklaame, peab teil olema ametisse määratud andmekaitseametnik. Kui saadate oma klientidele üksnes kord aastas reklaammaterjale, siis ei ole vaja andmekaitseametnikku ametisse määrata. Kui olete arst ja kogute andmeid patsientide tervise kohta, ei ole teil samuti tõenäoliselt andmekaitseametnikku vaja. Kui kogute aga geneetilisi ja tervisealaseid isikuandmeid haigla jaoks, siis on andmekaitseametniku olemasolu nõutav.
Andmekaitseametnikuks võib olla teie organisatsiooni töötaja või teenuslepingu alusel töötav väline töötaja. Andmekaitseametnikuks võib olla üksikisik või ka organisatsiooni struktuuriüksus.
Andmete töötlemine teise ettevõtja jaoks
Vastutav töötleja saab kasutada üksnes sellist volitatud töötlejat, kes annab piisava tagatise, mis sisaldub poolte vahelises kirjalikus lepingus. Leping peab sisaldama ka konkreetseid kohustuslikke sätteid, näiteks seda, et volitatud töötleja töötleb isikuandmeid üksnes siis, kui vastutav töötleja seda nõuab.
Andmete edastamine väljapoole ELi
Kui isikuandmed liiguvad EList välja, siis tuleb andmetega kaasa ka isikuandmete kaitse üldmäärusest tulenev kaitse. See tähendab seda, et andmeid välismaale eksportides peate tagama, et järgitaks ühte järgmistest meetmetest:
- kolmandas riigis tagatakse piisav kaitsetase, mis vastab ELis tagatavale kaitsetasemele;
- teie ettevõte astub vajalikud sammud, et tagada asjakohased kaitsemeetmed, sealhulgas konkreetsed eriklauslid isikuandmeid importiva kolmanda riigiga sõlmitavas lepingus;
- teie ettevõte tugineb andmete edastamisel konkreetsetele erieesmärkidele (erandid), näiteks üksikisiku nõusolek.
Millal on lubatud andmeid töödelda?
ELi andmekaitse-eeskirjadega on ette nähtud, et peate andmeid töötlema õiglasel ja seaduslikul viisil, kindlaksmääratud ning õiguspärastel eesmärkidel. Samuti võite töödelda üksnes neid andmeid, mis on vajalikud nimetatud eesmärkide täitmiseks. Isikuandmete töötlemisel peate tagama, et vastate vähemalt ühele järgmistest tingimustest:
- asjaomane üksikisik on teile andnud nõusoleku;
- vajate isikuandmeid, et täita üksikisikuga sõlmitud lepingust tulenevat lepingulist kohustust;
- vajate isikuandmeid, et täita juriidilist kohustust;
- vajate isikuandmeid, et kaitsta üksikisiku elulisi huve;
- töötlete isikuandmeid, et täita ülesandeid avalikes huvides;
- toimite oma ettevõtte õigustatud huvides, tingimusel et see ei mõjuta selle üksikisiku põhiõigusi ja -vabadusi, kelle isikuandmeid töödeldakse. Kui isiku õigused kaaluvad üles teie ettevõtte huvid, siis on teil keelatud isikuandmeid töödelda.
Isikuandmete töötlemiseks nõusoleku andmine
Isikuandmete kaitse üldmäärus kehtestab ranged eeskirjad nõusoleku alusel saadud andmete töötlemise kohta. Nende eeskirjade eesmärk on tagada, et üksikisik mõistaks seda, millele ta oma nõusoleku annab. See tähendab seda, et nõusolek peab olema antud vabatahtlikult, konkreetselt, teadlikult ja ühemõtteliselt, ning see peab olema sõnastatud selgelt ja lihtsalt. Nõusolek tuleks anda kinnitusena, näiteks kasti märgistamisega veebis või vormi allkirjastamisega.
Kui keegi annab nõusoleku oma isikuandmete töötlemiseks, siis võite töödelda andmeid üksnes sel eesmärgil, milleks nõusolek anti. Samuti peate andma isikule võimaluse oma nõusolek tagasi võtta.
Läbipaistva teabe esitamine
Peate esitama üksikisikutele selge teabe selle kohta, kes töötleb nende isikuandmeid ja milleks seda tehakse. Esitada tuleb vähemalt järgmine teave:
- kes te olete;
- miks töötlete isikuandmeid;
- milline on õiguslik alus;
- kes on andmete saaja (kui on asjakohane).
Konkreetsetel juhtudel peate teavitama järgmisest:
- andmekaitseametniku kontaktandmed, kui see on asjakohane;
- milline on ettevõtja õigustatud huvi, juhul kui tuginete töötlemisel sellele õiguslikule alusele;
- võetud meetmed, kui edastate andmeid kolmandatesse riikidesse;
- kui kaua andmeid säilitatakse;
- üksikisiku andmekaitseõigused (st juurdepääsuõigus, parandamine, kustutamine, piiramine, vastuväidete esitamine, ülekantavus jne);
- kuidas saab nõusolekut tagasi võtta (kui nõusolek on töötlemise õiguslikuks aluseks);
- kas on olemas põhikirjajärgsed või lepingulised kohustused andmete esitamiseks;
- automatiseeritud otsuste tegemise korral teave otsuse loogika, olulisuse ja tagajärgede kohta.
See teave tuleb esitada selgelt ja lihtsalt sõnastatuna.
Erieeskirjad laste kohta
Kui kogute isikuandmeid lapselt nõusoleku alusel, näiteks kasutades sotsiaalmeedia või allalaadimise kontosid, peate esmalt saama vanemliku nõusoleku, saates näiteks teate vanemale või eestkostjale. See, millise vanuseni loetakse isikut lapseks, on sõltuvalt elukohast erinev, kuid jääb vahemikku 13–16 eluaastat.
Juurdepääsuõigus ning isikuandmete ülekandmise õigus
Peate üksikisikutele tagama tasuta juurdepääsuõiguse neid käsitlevatele isikuandmetele. Kui saate vastava taotluse, peate toimima järgmiselt:
- teavitama neid sellest, et töötlete nende isikuandmeid;
- andma teavet töötlemise kohta (töötlemise eesmärk, asjakohased isikuandmete eriliigid, neid käsitlevate isikuandmete saajad jne);
- esitama neile koopia töödeldavate isikuandmete kohta (kättesaadavas vormingus).
Kui töötlemise aluseks on nõusolek või leping, siis võib üksikisik nõuda, et tagastate talle tema isikuandmed või edastate need teisele ettevõtjale. Seda nimetatakse andmete ülekandmise õiguseks. Peate esitama andmed laialdaselt kasutatavas ja masinloetavas vormingus.
Parandamise õigus ja vastuväidete esitamise õigus
Kui üksikisik arvab, et tema isikuandmed on ebatäpsed, puudulikud või ebaõiged, siis on tal õigus nõuda, et need andmed kustutatakse või neid täiendatakse põhjendamatu viivituseta.
Sel juhul tuleb teil teatada kõikidele andmete saajatele, kellele olete isikuandmeid edastanud, et andmeid on muudetud või need on kustutatud. Kui edastatud isikuandmed olid ebatäpsed, võite sellest teavitada ka kõiki neid, kes neid andmeid nägid (välja arvatud siis, kui see nõuaks ebaproportsionaalselt suurt jõupingutust).
Üksikisik võib seoses konkreetse kasutusviisiga ka igal ajal oma isikuandmete töötlemise suhtes vastuväiteid esitada, kui teie ettevõte töötleb andmeid teie õigustatud huvides või avalikes huvides oleva ülesande täitmiseks. Kui teie õigustatud huvi ei kaalu üles üksikisiku huvi, tuleb teil isikuandmete töötlemine lõpetada.
Samuti võib üksikisik nõuda, et tema isikuandmete töötlemine oleks piiratud, sel ajal, kui tehakse kindlaks, kas teie õigustatud huvi kaalub üles tema huvi. Otseturunduse korral olete aga alati kohustatud lõpetama isikuandmete töötlemise, kui üksikisik seda nõuab.
Õigus andmete kustutamisele („õigus olla unustatud")
Teatud tingimustel võib üksikisik nõuda, et vastutav töötleja kustutaks tema isikuandmed, näiteks kui isikuandmeid ei ole enam töötlemise eesmärgil vaja. Siiski ei ole teie ettevõte kohustatud nii toimima järgmistes olukordades:
- töötlemine on vajalik, et austada väljendus- ja teabevabadust;
- säilitate isikuandmeid selleks, et täita juriidilist kohustust;
- tegemist on avalikust huvist lähtuvate muude põhjendustega isikuandmete säilitamiseks, näiteks rahvatervisealased või teadus- või ajaloouuringutega seotud eesmärgid;
- isikuandmeid on vaja säilitada selleks, et koostada õigusnõue.
Automatiseeritud otsuste tegemine ja profiilianalüüs
Üksikisikul on õigus sellele, et tema suhtes tehtav otsus ei tugineks üksnes automatiseeritud töötlemisele. Sellest reeglist võib siiski teatavatel juhtudel kõrvale kalduda, näiteks siis, kui automatiseeritud otsuse kohta on antud selgesõnaline nõusolek. Välja arvatud juhul, kui automatiseeritud otsus põhineb seadusel, peab teie ettevõte toimima järgmiselt:
- teavitama üksikisikut automatiseeritud otsuste tegemisest;
- andma üksikisikule õiguse automatiseeritud otsus läbi vaadata;
- andma üksikisikule võimaluse automatiseeritud otsus vaidlustada.
Kui näiteks pank automatiseerib oma otsuse selle kohta, kas anda konkreetsele üksikisikule laenu, siis tuleb üksikisikut automatiseeritud otsusest teavitada ja anda võimalus see otsus vaidlustada ning nõuda inimsekkumist.
Nõuetekohane teavitamine isikuandmetega seotud rikkumise korral
Isikuandmetega seotud rikkumine toimub siis, kui isikuandmed, mille suhtes olete vastutav, avalikustatakse juhuslikult või ebaseaduslikult selleks volitamata saajale või kui andmed ei ole ajutiselt kättesaadavad või neid on muudetud.
Kui on toimunud isikuandmetega seotud rikkumine ja rikkumise tulemusena tekib oht üksikisiku õigustele ja vabadustele, tuleb teil sellest teatada andmekaitseasutusele 72 tunni jooksul pärast rikkumisest teada saamist.
Sõltuvalt sellest, kas isikuandmetega seotud rikkumise tulemusena tekib suur oht neile, keda see mõjutab, võib teie ettevõte olla kohustatud teavitama kõiki sellest mõjutatud üksikisikuid.
Taotlustele vastamine
Kui teie ettevõte saab taotluse üksikisikult, kes soovib oma õigusi kasutada, peate vastama sellele taotlusele põhjendamatu viivituseta ja mitte hiljem kui ühe kuu jooksul pärast taotluse saamist. Asjaomast vastamisaega võib pikendada kahe kuu võrra, arvestades taotluse keerukust või nende hulka, tingimusel et üksikisikut teavitatakse sellisest pikendamisest. Taotlusi tuleb menetleda tasuta.
Kui taotlus on tagasi lükatud, tuleb üksikisikut teavitada tagasilükkamise põhjustest ning tema õigusest esitada kaebus andmekaitseasutusele.
Mõju hindamine
Andmekaitsealase mõjuhinnangu tegemine on kohustuslik iga kord, kui plaanitud töötlemine võib tekitada suurt ohtu üksikisikute õigustele ja vabadustele, näiteks siis, kui kasutatakse uusi tehnoloogiaid.
Suur oht on olemas järgmistel juhtudel:
- kui üksikisikute hindamiseks kasutatakse automatiseeritud töötlemise ja profiilianalüüsi mehhanisme;
- kui avalikke alasid jälgitakse ulatuslikult, näiteks videovalve kaudu;
- kui töödeldakse ulatuslikult isikuandmete eriliike või isikuandmeid, mis on seotud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega (nt tervisealased isikuandmed).
Märkus. Andmekaitseasutused võivad ka teisi andmetöötluse kategooriaid käsitleda suure ohuna.
Kui andmekaitsealases mõjuhinnangus osutatud meetmetega ei ole võimalik tuvastatud suuri ohte kõrvaldada, tuleks enne kavandatavat töötlemist konsulteerida andmekaitseasutusega.
Registreerimine
Peate olema valmis tõestama, et teie ettevõte tegutseb kooskõlas isikuandmete kaitse üldmäärusega ja täidab kõiki sätestatud kohustusi, eriti andmekaitseasutuse taotlusel või tema teostatava kontrolli korral.
Üks võimalus on see, kui registreerite üksikasjalikult järgmise teabe:
- ettevõtte nimi ja kontaktandmed, kui teie ettevõte osaleb andmetöötluses;
- isikuandmete töötlemise põhjendus(ed);
- isikuandmeid esitavate üksikisikute kategooriate kirjeldus;
- isikuandmeid saavate organisatsioonide kategooriad;
- isikuandmete edastamine teise riiki või teisele organisatsioonile;
- isikuandmete säilitamisaeg;
- isikuandmete töötlemisel kasutatavate turvameetmete kirjeldus.
Peate kehtestama ka kirjalikud menetlused ja juhendid ning neid korrapäraselt ajakohastama, samuti peate need teatavaks tegema oma töötajatele.
Hoiatus
Kui teie ettevõte on VKE en või sellest väiksem, siis ei ole vaja isikuandmete töötlemisega seotud tegevusi registreerida, tingimusel et töötlemine
- ei toimu korrapäraselt;
- ei mõjuta kaasatud üksikisikute õigusi ja vabadusi;
- ei ole seotud isikuandmete eriliikide või karistusandmetega.
Isikuandmete lõimitud kaitse ja vaikimisi kaitse
Isikuandmete lõimitud kaitse tähendab seda, et teie ettevõte peab arvestama andmekaitsega juba isikuandmete uuel viisil töötlemise kavandamise varajases etapis. Kooskõlas selle põhimõttega peaks vastutav töötleja võtma tarvitusele kõik vajalikud tehnilised ja organisatsioonilised abinõud, et rakendada andmekaitse põhimõtteid ning kaitsta üksikisikute õigusi. Need abinõud võiksid näiteks hõlmata pseudonüümide kasutamist.
Vaikimisi andmekaitse tähendab seda, et teie ettevõte peaks alati oma vaikimisi seadistused muutma kõige rohkem eraelu puutumatust toetavaks. Kui näiteks on võimalik rakendada kahte privaatsuse seadistust ja üks nendest hoiab ära selle, et isikuandmetele saaksid juurdepääsu teised, siis peaks kasutama sellist seadistust vaikimisi seadistusena.
Eeskirjade rikkumine ja karistused
Isikuandmete kaitse üldmääruse sätete rikkumise eest võidakse määrata trahv, mille suurus võib teatavate rikkumiste puhul olla kuni 20 miljonit eurot või 4% ettevõtja ülemaailmsest kogukäibest. Andmekaitseasutus võib rakendada täiendavaid parandusmeetmeid, näiteks võidakse teile anda korraldus lõpetada isikuandmete töötlemine.