Andmekaitse: õigus teada, kes sinu andmeid on vaadanud. Kas iga rikkumise korral õigus hüvitisele?

Lisa lingid
Allikas: Vikipeedia

Artikkel annab ülevaate Euroopa Liidu Kohtu otsustest C-579/21[1], C-300/21[2] ja C-154/21[3], mille sisuks on andmekaitse ning õigus teada, kes on isikuandmeid vaadanud. Artiklis tuuakse välja teemaga seotud õigusaktid ja kohtupraktika nii Eestis kui ka Euroopa Liidus. Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta[4] on isikuandmete kaitse üldmäärus, kus on sätestatud regulatsioonid isikuandmete ning nende kaitse kohta.

Isikuandmed[muuda | muuda lähteteksti]

Isikuandmed on igasugune teave tuvastatud või tuvastatava füüsilise isiku (andmesubjekti) kohta. Eelkõige on füüsiline isik tuvastatav identifitseerimistunnuse põhjal nagu näiteks isiku nimi, isikukood, asukohateave jms või selle isiku füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal.[5]

Euroopa Liidu seadusandja eesmärgiks on olnud anda mõistele ,,isikuandmed” lai tähendus. Mõiste lai tähendus võimaldab hõlmata igasugust teavet, kas objektiivsete või subjektiivsete arvamuste või hinnangute vormis. See teave peab aga käima kõnealuse isiku kohta.[6]

Isikuandmeteks ei loeta selliseid andmeid, mis on anonüümsed viisil, et pole võimalik tuvastada üksikisikut. Isikuandmeteks loetakse andmeid, mis on muudetud selliseks, et sealt ei ole võimalik üksikisikut tuvastada, kui neid andmeid saab kasutada uuesti, et tuvastada isik.[7]

Andmesubjektil on õigus tutvuda andmetega ning saada töötlejalt kinnitust selle kohta, kas ja kuidas tema andmeid töödeldakse. Juhul, kui tema andmeid töödeldakse on tal õigus tutvuda teabega, mis on sätestatud määruse 2016/679 artiklis 15 punktis 1.[8]

Isikuandmete vastutav töötleja on isik, kes määrab kindlaks andmete töötlemise eesmärgi ning kuidas seda tehakse.[9]

Isikuandmete volitatud töötleja on isik, kes töötleb andmeid vastutava töötleja nimel.[10]

Asjakohased õigusaktid Euroopa Liidus[muuda | muuda lähteteksti]

Isikuandmete kaitse üldmääruse eesmärgiks on kaitsta füüsiliste isikute põhiõigusi ja -vabadusi ning nende õigust isikuandmete kaitsele.[11] Määruse kaitse rakendub füüsilistele isikutele, kui nende isikuandmeid töödeldakse ning see ei olene nende kodakondsusest või elukohast[12]. Juriidiliste isikute andmete töötlemisel kaitse, mida määrusega pakutakse, ei rakendu.[13] Määruses sätestatakse läbipaistvuse põhimõte, mis tähendab, et andmesubjektile või üldsusele antud teave on lihtsasti ligipääsetav ja mõistetav.[14]

Selleks, et oleks tagatud füüsiliste isikute andmete kaitse ning ei oleks häiritud isikuandmete liikumine Euroopa Liidus, peaks kaitse isikuandmete töötlemisel olema kõikides liikmesriikides sarnasel tasemel.[15]

Rakendamine Euroopa Liidu kohtupraktikas[muuda | muuda lähteteksti]

Kohtuasi C-154/21[muuda | muuda lähteteksti]

Otsuse[16] põhiküsimus seisneb EL määruse 2016/679 artikli 15 lõike 1 punkti c[17] tõlgenduses. Selles analüüsitakse, kas isiku andmetega tutvumise nõue tähendab, et kui andmed on avaldatud, siis peab nõue hõlmama avaldatud andmete vastuvõtjaid või võib nõue piirduda vastuvõtjate kategooriatega, kui konkreetseid vastuvõtjaid ei ole andmete kavandamise ajal teada.[18]

Isikuandmete kaitse üldmääruse kohaselt on vastuvõtja kas füüsiline või juriidiline isik, avaliku sektori asutus või muu organ, kellele isikuandmeid avaldatakse. Vastuvõtjateks ei ole avaliku sektori asutused, kellel on õigus isikuandmeid konkreetsete päringutega saada. Sellisel juhul töötlevad isikuandmeid avaliku sektori organid kooskõlas andmekaitsenormidega.[19]

RW pöördus 15. jaanuaril 2019. aastal Österreichische Posti poole, et tutvuda teda puudutavate andmetega, mida Österreichische Post säilitab või on säilitanud. Lisaks, kui neid oli avaldatud ka kolmandatele isikutele, soovis RW teavet vastuvõtjate isikute kohta.[20] Österreichische Post vastuses konkreetseid andmeid ei avaldanud, vaid lisas oma vastusesse veebilehe, kust oli võimalik leida üldist teavet vastuvõtjate kohta. RW esitas hagi ja palus saada Österreichische Posti käest täpsemaid andmeid vastuvõtjate kohta.[21]

Euroopa Kohtu esimene koda otsustas, et artikli 15 lõike 1 punkti c peab tõlgendama nii, et kui andmed on avalikustatud või tulevikus avalikustatakse vastuvõtjatele, siis peab vastutav töötleja esitama andmesubjektile konkreetsete vastuvõtjate andmed, välja arvatud siis, kui vastuvõtjaid pole võimalik täpselt teada.[22] Lisaks otsustati, et vastutav töötleja võib teatada andmesubjektile ainult vastuvõtjate kategooriad siis, kui ta tõendab, et teabega tutvumise taotlus on ülemäärane või põhjendamatu määruse 2016/679 artikli 12 lõike 5 tähenduses.[23]

Kohtuasi C-579/21[muuda | muuda lähteteksti]

2014. aastal sai Pankki S-i töötaja ja klient J.M teada, et panga töötajad olid 2013. aastal mitmeid kordi tutvunud tema kliendiandmetega. J.M-l oli Pankki S-iga töösuhe lõppenud ning tal tekkis kahtlus, kas tema andmetega tutvumine oli õiguspärane. Seetõttu palus 2018. aasta mais Pankki S-ilt nende töötajate nimesi, kes tema andmetega olid tutvunud, millal nad seda tegid ja mis eesmärgil andmeid töödeldi. Pankki S keeldus nende töötajate nimede andmisest ning põhjendas oma tegevust sellega, et antud teave sisaldas töötajate isikuandmeid ja J.M-i andmetega tutvus vastavalt Pankki S korraldusele sisekontrolli osakond. J.M pöördus selle järel andmekaitse voliniku büroosse (Soome), kes ei rahuldanud tema nõuet. Seetõttu esitas J.M kohtusse kaebuse, et kohustada Pankki S-il tema andmetega tutvunud töötajate nimesi väljastama.[24]

Euroopa Kohus käsitles küsimust, kas isikuandmete kaitse üldmääruse artikli 15 lg 1 koosmõjul artikli 4 p 1 alusel on õigus J.M-il tutvuda Pankki S-i (andmetöötleja) kogutud andmetega, sealhulgas nende andmetega, mis puudutavad Pankki S-i töötajaid.[25]

Kohus selgitas, et eeskätt näeb antud säte ette, et andmesubjektil on õigus saada töötlejalt kinnitust, kas tema kohta käivaid andmeid töödeldakse või mitte ning saada teavet töötlemise eesmärkide kohta. Mõiste ,,isikuandmed” laia määratluse tõttu puudutab teave andmesubjekti siis, kui see on oma sisu, eesmärgi või toime tõttu seotud tuvastatava isikuga.[26]

Kohus leidis sellest tulenevalt, et J.M-il on õigus tutvuda teabega, mis sisaldab andmetega tutvumise kuupäevi ja eemärke, mis põhjusel nende andmetega on tutvutud.[27] J.M. nõudis ka töötajate nimede avaldamist, kuid kohus leidis, et Pankki S töötajaid ei saa pidada andmete vastuvõtjateks.[28]

Pankki S töötajaid ei saa pidada andmete vastuvõtjateks, sest antud kaasuses tutvusid töötajad J.M-i isikuandmetega töötades töötleja alluvuses ja tema juhiste kohaselt.[29] Kohus leidis, et isikuandmete kaitse üldmääruse põhjenduse 4 kohaselt ei ole isikuandmete kaitse õigus absoluutne õigus, vaid seda tuleb analüüsida lähtuvalt selle ülesandest ühiskonnas ja tagada tasakaal selle õiguse ja teiste põhiõiguste vahel.[30]Sellest tulenevalt oli kohus seisukohal, et isikuandmete kaitse üldmääruse artikli 15 lõiget 1 tuleb tõlgendada nii, et säte ei anna õigust andmesubjektil tutvuda teabega, mis puudutab vastutava isiku töötajate isikuandmeid, kes tegutsesid töötleja alluvuses ja tema juhiste kohaselt, välja arvatud juhul, kui see teave on hädavajalik.[31]

Kohtujuristi seisukoht[muuda | muuda lähteteksti]

Kohtujuristi töö Euroopa Kohtus on abistada menetluse käigus kohtunikke. Nende ülesandeks on määratud kohtuasjades anda erapooletult seisukohti ja põhjendatud arvamusi.[32]

Kohtujurist analüüsis oma seisukohas samuti küsimust, kas J. M-i isikuandmed, mida Pankki kogus ja töötles, vastavad teabele, mida andmesubjektil on isikuandmete kaitse üldmääruse artikli 15 lõike 1 alusel õigus saada. Kohtujurist oli kohtuga samal arvamusel, et J.M-il on õigus nõuda, et Pankki teavitab teda isikuandmetest, mis on Pankki valduses ja mis on saadud J.M-ilt või muul viisil. Lisaks õigus saada teavet ka nende isikuandmete töötlemise kohta (art 15 alusel). Kohtujurist leidis, et J.M andmetega tutvunud töötajate nimed ei ole nende isikuandmed. Seisukohas selgitas kohtujurist, et andmete ,,vastuvõtjateks”[33] võib pidada üksnes juhtumeid, kus töötaja ei järgi vastutava töötleja poolt kehtestatud menetlusi ja tutvub omal algatusel klientide andmetega. Antud olukorras töödeldi J.M-i andmeid töötleja poolt antud käsu ja juhiste alusel ning nad tegutsesid Pankki S nimel. Seega ei ole neid võimalik defineerida vastuvõtjateks artikkel 15 lg 1 punkti c tähenduses ning Pankki S ei olnud kohustatud avaldama J.M-ile antud töötajate nimesid.[34]

Kohtuasi  C-300/21[muuda | muuda lähteteksti]

Aadresside müügiga tegelev äriühing Österreichische Post oli alates 2017. aastast kogunud infot Austria elanike poliitiliste vaadete kohta.[35] Hagejale ei meeldinud temale kõnealuse erakonnale omaste vaadete omistamine ega tema poliitiliste vaadete kohta käivate andmete säilitamine.[36] Hageja esitas siseriiklikule kohtule hagi, millest sai rahuldatud esimene punkt, mis nõudis kostjalt isikuandmete töötlemise lõpetamist.[37]Esitati apellatsiooni- ja kassatsioonikaebused, millest menetlusse jäi hageja kassatsioonikaebus, mis keskendus kahju hüvitamise nõude rahuldamata jätmisele.[38]

Euroopa Kohtule esitati eelotsusemenetluses küsimused, mis puudutasid isikuandmete kaitse üldmääruse artikli 82 tõlgendamist. Esiteks sooviti seisukohta, kas kahjuhüvitise väljamõistmiseks piisab isikuandmete kaitse üldmääruse rikkumisest või on nõutav ka kahju tekkimine hagejale. Teiseks küsiti kahjuhüvitise hindamise nõuete kohta, kas peale tõhususe ja võrdväärsuse põhimõtte on ka muid liidu õiguse nõudeid, mida peab järgima. Kolmandaks küsiti liidu õiguse ja isikuandmete kaitse määruse kooskõla kohta – kas mittevaralise kahju väljamõistmiseks on vajalik, et õiguste rikkumise tagajärg või mõju on suurema kaaluga ja läheb kaugemale lihtsalt tekitatud rahulolematusest.[39]

Võrdväärsuse põhimõte tähendab, et kui kaasuses ei ole antud valdkonnas kohalduvaid Euroopa Liidu õigusnorme, tuleb õigussubjekti õiguste kaitse tagamiseks mõeldud kohtuasjade menetluslikke asjaolusid reguleerida liikmesriigi riigisiseses õiguskorras. Seda aga vaid tingimusel, et need normid ei ole liidu õiguse kohaldamisalasse kuuluvates olukordades ebasoodsamad kui normid, mis reguleerivad siseriikliku õiguse kohaldamisalasse kuuluvaid sarnaseid olukordi. Tõhususe põhimõtte kohaselt ei tohi regulatsioonid muuta riigisisese õigusega antud õiguste kasutamist praktiliselt võimatuks või liiga keeruliseks.[40]

Esimest küsimust analüüsides selgitas kohus, et määruse kohaselt on igal isikul, kes on kandnud isikuandmete kaitse üldmääruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest.[41] Hüvitise saamise õigus tekib, kui täidetud on kumulatiivsed tingimused: isikuandmete töötlemine üldmääruse sätteid rikkudes, andmesubjektile tekitatud kahju ning põhjuslik seos õigusvastasuse ja kahju vahel.[42]Seega ei anna isikuandmete kaitse üldmääruse sätetele tuginedes mis tahes „rikkumine“ andmesubjektile (art 4 p 1) õigust  hüvitisele.[43] Kohus selgitas, et seetõttu tuleb isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tõlgendada nii, et vaid määruse sätete rikkumisest ei piisaks õiguse saamiseks hüvitisele.[44]

Kolmanda küsimuse analüüsimisel leidis kohus, et määruse artikli 82 kohaselt võib õiguse hüvitisele anda ka mittemateriaalne kahju ilma kindla raskusastmeta.[45] Isikuandmete kaitse üldmääruse põhjenduse 146 kolmanda lause kohaselt tuleks kahju mõistet kohtupraktikat arvestades tõlgendada laialt, kuid mõiste „kahju“ laia käsitlusega mindaks vastuollu, kui seda mõistet saaks piirata kahjuga, millel on teatud raskusaste.[46] Kokkuvõtvalt leidis kohus kolmandale küsimusele vastates, et isikuandmete kaitse üldmääruse artikli 82 lõiget 1 tuleb tõlgendada nii, et selle artikliga peab vastuolus olema kas riigisisene õigusnorm või praktika, mille raames eeldaks mittevaralise kahju hüvitamine andmesubjektile teatud raskusastmega kahju tekitamist.[47]

Teise küsimuse analüüsimisel leidis kohus, et isikuandmete kaitse üldmääruse artiklit 82 tuleb tõlgendada nii, et võrdväärsuse ja tõhususe põhimõtete järgimisel ja kahjuhüvitise suuruse määramisel peavad liikmesriikide kohtud kohaldama riigisiseseid norme, mis käsitlevad rahalise hüvitamise ulatust.[48] Võrdväärsuse põhimõttega seoses ei näinud kohus ühtegi vastuolus olevat asjaolu.[49] Tõhususe põhimõttega võeti arvesse määruse artiklis 82 ette nähtud hüvitamisfunktsiooni, kus sellele tuginevat rahalist hüvitist tuleb pidada määruse põhjenduse 146 kuuenda lause kohaselt “täielikuks ja tõhusaks”, kui sellega on võimalik hüvitada määruse rikkumisega konkreetselt tekitatud kahju ilma karistusliku kahjuhüvitise väljamõistmiseta.[50] Kohus leidis, et isikuandmete kaitse üldmääruse artiklit 82 tuleb seega tõlgendada nii, et kahjuhüvitise suuruse määramiseks peavad liikmesriikide kohtud kohaldama riigisiseseid õigusnorme, mis käsitlevad rahalise hüvitamise ulatust, järgides võrdväärsuse ja tõhususe põhimõtteid.[51]

Kohtujuristi seisukoht[muuda | muuda lähteteksti]

Kohtuasjas tegi ettepanekud kohtujurist Manuel Campos Sánchez-Bordona.[52]

Kohtujurist leidis, et vaid normi rikkumisest ei piisa, kui sellega ei kaasne varalist või mittevaralist kahju, et saada hüvitist tekkinud kahju eest[53]. Kohtujurist toetus siinkohal isikuandmete kaitse üldmääruse artikli 82 lõike 1 sõnastusele.[54] Olukorras, kus kahju ei ole tekitatud, hakkaks hüvitamine täitma rikkumisega põhjustatud ebasoodsate tagajärgede ülesannet, mis läheneks sellisel juhul olemuselt karistamisele[55]. Karistusliku kahjuhüvitise eesmärk on hoiatav.[56] Kohtujurist ei näinud isikuandmete kaitse üldmääruses viiteid sellele, et et varalise või mittevaralise kahju eest oleks hüvitis karistuslikku laadi.[57] Lisaks tõi kohtujurist välja üldmääruse eesmärgid ja leidis, et nende eesmärkide saavutamiseks ei eelda määrus, et hüvitis peab olema seotud sellega, et rikutud on andmete töötlemist reguleerivat õigusnormi, mille tagajärjeks on vastutusele karmimate ülesannete omistamine.[58]

Lisaks leidis kohtujurist, et liikmesriikide kohtud peavad tegema kindlaks, millal võib subjektiivset ebamugavustunnet pidada mittevaraliseks kahjuks, sest üldjuhul ei laiene mittevaralise kahju hüvitamine ärritusele, mida kannatanu võis määruse 2016/679 sätete rikkumise tõttu tunda.[59] Ta leidis, et on oluline teha vahet kahjul ja teistel seaduslikkuse nõude eiramisel tingitud ebamugavustel.[60] Liikmesriikide kohtute ülesanne on seda eristada ja kindlaks teha.[61] Lisaks nentis ta, et isikuandmete kaitse üldmääruse artikli 82 lõikes 1 seisnev õigus hüvitisele ei ole sobiv vahend õigusrikkumiste vastu isikuandmete töötlemisel, kus see tekitab subjektile vaid ebamugavust või ärritust.[62] Fakt, et mööduvate emotsioonide või tunnete eest ei ole õigust hüvitist saada, ei jäta subjekti kaitsetuks, vaid tal on võimalik kasutada muid õiguskaitsevahendeid, mille isikuandmete kaitse üldmäärus sätestab.[63]

Rakendus Eesti kohtupraktikas ja õiguses[muuda | muuda lähteteksti]

Eestis reguleerib isikuandmete kaitset isikuandmete kaitse seadus[64]. Isikuandmete põhiseadusliku kaitse tagab lisaks sellele ka PS § 26[65]eraelu puutumatus. Riigikohus on öelnud, et ,,eraelu puutumatuse riivena käsitatakse muu hulgas isikuandmete kogumist, säilitamist, kasutamist ja avalikustamist.”[66]  

Kohtulahend 3-19-1207[muuda | muuda lähteteksti]

Eestis on Riigikohus käsitlenud isikuandmete kaitset kohtuasjas[67], kus kaebaja A Sotsiaalkindlustusametile esitatud raviplaanile ei lisanud SKA juurdepääsupiirangut, mistõttu kaebaja isikuandmeid sisaldavad ravidokumendid olid avalikkusele kättesaadavad. Kaebaja esitas kohtule kaebuse, milles palus mõista SKA-lt välja mittevaralise kahju hüvitise. Tema seisukohaks oli SKA tegevuse õigusvastasus, sest rikuti avaliku teabe seadust ning isikuandmete kaitse üldmääruse artiklis 5 lõikes 1 punktis f sätestatud turvalisuse põhimõtet.[68]

Riigikohus leidis, et SKA tegevus oli isikuandmete kaitse üldmääruse kohaldamisalas ja isikuandmete kaitse üldmääruse artiklis 82 lõikes 1 on sätestatud määruse rikkumisel õigus saada hüvitist tekitatud kahju eest.[69] Kohus selgitas, et isikuandmete kaitse üldmääruse artikkel 82 kahju hüvitamist tuleks tõlgendada nii, et SKA-l on kohustus hüvitada tegelikult tekkinud kahju, mida antud kaasuses ei tuvastatud.[70] Kaebus rahuldati osaliselt ning kohus leidis, et vastustaja tegevus, mis hõlmas kaebaja isikuandmete lubamatu avaldamise on õigusvastane alusel ning kahjuhüvitist kaebajale ei määratud.[71] Vastustaja vabandas kaebaja eest ning kinnitas, et on kohaldanud meetmeid, et selliseid rikkumisi ei korduks.[72]

Kohtulahend 3-20-332[muuda | muuda lähteteksti]

Kohtuasjas[73] vaidlevad pooled selle üle, kas vastustaja võib keelduda kaebajale andmete väljastamisest. Kaebaja X pöördus Rahapesu Andmebüroo (RAB) poole, et saada teada, kas tema kohta on edastatud Eesti või välisriigi krediidiasutustele või välisriigi ametiasutustele teavet, milles on viidatud rahapesu kahtlusele. RAB vastas, et rahapesu ja terrorismi rahastamise tõkestamise seaduse (RahaPTS) §-st 60[74] ja avaliku teabe seaduse (AvTS) § 23 lõike 1 punktist 1[75] ei saa RAB selliseid andmeid kaebajale väljastada.[76]

Kaebaja esitas Tallinna Halduskohtule kaebuse, milles palus RAB-i kohustada soovitud teavet väljastama. X-i kontod olid Ameerika Ühendriikide pankades suletud, kuid pangakontod olid kaebajale vajalikud. Lisaks suleti pangakontod põhjendusi esitamata. X pidas võimalikuks, et RAB on tema kohta andmeid kogunud ja väljastanud välisriigi pangale. Kaebaja lisas, et taotletud andmed puudutavad vahetult ta isikut, tegemist on isikuandmetega isikuandmete kaitse üldmääruse ja isikuandmete kaitse seaduse[77] tähenduses. IKÜM artikli 15 lõike 1 ja IKS § 24 lõike 1 järgi on andmesubjektil õigus saada vastutavalt töötlejalt kinnitus selle kohta, kas tema isikuandmeid töödeldakse ning nendega tutvuda.[78]

Riigikohus leidis, et andmesubjekti õigust tutvuda andmetega reguleerib isikuandmete kaitse üldmääruse artikkel 15 ja selle õiguse piiramisel kohaldatakse määruse artiklit 23. “IKÜM-i ei kohaldata, kui isikuandmeid töötlevad pädevad asutused süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil” (IKÜM artikli 2 lõike 2 punkt d), sel juhul peab kohaldama IKS § 24.[79] RAB põhjendas kaebajale teabe väljastamata jätmist RahaPTS § 60 lõikest 1 tuleneva juurdepääsupiiranguga. RahaPTS § 60 lõike 1 teine lause lubab andmesubjekti õigusi piirata, kuid põhjendus ei olnud seadusega kooskõlas. RahaPTS § 60 lõike 1 teine lause annab RAB-i juhile kaalutlusõiguse piirata andmesubjekti õigusi seaduse alusel. RAB-i juht võib piirangute üle otsustada enne kaebaja taotluste uuesti otsustamist, kui esinevad põhjused andmesubjektiõiguste piiramiseks. Lisaks peab andmesubjekti õiguste piiramine olema kooskõlas IKÜM artikliga 23.[80] Kohus jõudis järeldusele, et kuna otsust andmesubjekti õiguste piiramise kohta pole tehtud, ei võta kolleegium lõplikku seisukohta RahaPTS § 60 lõike 1 kooskõla kohta IKÜM artikliga 23.[81]

Viited[muuda | muuda lähteteksti]

  1. EKo C-579/21, J.M. versus Pankki. S, ECLI:EU:C:2023:501.
  2. EKo C-300/21, UI versus Österreichische Post AG, ECLI:EU:C:2023:370.
  3. EKo C-154/21, RW versus Österreichische Post AG, ECLI:EU:C:2023:3.
  4. 27. aprilli 2016. aasta Euroopa Parlamendi ja nõukogu määrus (EL) nr 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus). – ELT L 119 lk 1 – 88.
  5. 2016/679/EL, artikkel 4.
  6. EKo C-579/21, J.M. versus Pankki. S, ECLI:EU:C:2023:501, p 42.
  7. Isikuandmed. Andmekaitse Inspektsioon. – https://www.aki.ee/et/eraelu-kaitse/isikuandmed (10.10.2023).
  8. 2016/679/EL, põhjendus 3.
  9. 2016/679/EL, art 4 p 7.
  10. 2016/679/EL, art 4 p 8.
  11. 2016/679/EL, art 1 p 2.
  12. 2016/679/EL, põhjendus 14.
  13. 2016/679/EL, põhjendus 14.
  14. 2016/679/EL, põhjendus 58.
  15. 2016/679/EL, põhjendus 10.
  16. EKo C-154/21, RW versus Österreichische Post AG, ECLI:EU:C:2023:3.
  17. 2016/679/EL, art 15 lg 1 p c.
  18. EKo C-154/21, Österreichische Post,  p 21.
  19. 2016/679/EL, art 4 p 9.
  20. EKo C-154/21, Österreichische Post, p 17.
  21. EKo C-154/21, Österreichische Post, p 18 – 19.
  22. EKo C-154/21, Österreichische Post, p 51.
  23. EKo C-154/21, Österreichische Post, p 52.
  24. EKo C-579/21, Pankki S,  pt-d 20-28.
  25. EKo C-579/21, Pankki S, p 37.
  26. EKo C-579/21, Pankki S, p 46.
  27. EKo C-579/21, Pankki S, p 56
  28. EKo C-579/21, Pankki S, p 73.
  29. EKo C-579/21, Pankki S, p 78.
  30. EKo C-579/21, Pankki S, p 78.
  31. EKo C-579/21, Pankki S, p 83.
  32. “Euroopa Kohus: koosseis, pädevus ja menetlus”,Luxembourg : Euroopa Liidu Väljaannete Talitus, 2010 (Belgia). Lk 3.
  33. 2016/679/EL art 15 lg 1 pt c.
  34. EKo C-579/21 Pankki S, pt-id 57-63, kohtujuristi Manuel Campos Sanchez-Bordona ettepanek.
  35. EKo C-300/21, Österreichische Post, p 11.
  36. Ibidem, p 12.
  37. Ibidem, p  13.
  38. Ibidem, p 15.
  39. EKo C-300/21, Österreichische Post, p 20.
  40. EKo C-300/21, Österreichische Post, p 53.
  41. Ibidem, p 31.
  42. Ibidem, p 32.
  43. Ibidem, p 33.
  44. Ibidem, p  42.
  45. Ibidem, p 45.
  46. Ibidem, p  46.
  47. Ibidem, p  51.
  48. Ibidem, p 52.
  49. Ibidem, p  55.
  50. Ibidem, p  58.
  51. Ibidem, p 59.
  52. EKo C-300/21. UI vs Österreichische Post AG. Kohtujuristi ettepanek. Manuel Campos Sánchez-Bordona.
  53. Ibidem, p 117.
  54. Ibidem, p  27.
  55. Ibidem, p 30.
  56. Ibidem, p 37.
  57. Ibidem, p  39.
  58. Ibidem, p 52.
  59. Ibidem, p 117.
  60. Ibidem, p 110.
  61. Ibidem, p 116.
  62. Ibidem, p 113.
  63. Ibidem, p 115.
  64. Isikuandmete kaitse seadus – RT I, 04.01.2019, 11.
  65. Põhiseadus - RT I, 15.05.2015, 2.
  66. RKHKo 3-3-1-3-12, p 19.
  67. RKHKo 3-19-1207.
  68. RKHKo 3-19-1207, p 1-6.
  69. RKHKo 3-19-1207, p 14.
  70. RKHKo 3-20-332, p 26.1
  71. RKHko 3-20-332, p 19-20.
  72. RKHKo 3-20-332, p 9.
  73. RKHKo 3-20-332.
  74. Rahapesu ja terrorismi rahastamise tõkestamise seadus. – RT I, 10.02.2023, 30.
  75. Avaliku teabe seadus – RT I, 07.03.2023, 11.
  76. RKHKo 3-20-332, p 1.
  77. Isikuandmete kaitse seadus – RT I, 04.01.2019, 11.
  78. RKHKo 3-20-332, p 2.
  79. RKHKo 3-20-332, p 8.
  80. RKHKo 3-20-332, p 12.
  81. RKHKo 3-20-332, p 14.
Pärit leheküljelt "https://et.wikipedia.org/w/index.php?title=Andmekaitse:_õigus_teada,_kes_sinu_andmeid_on_vaadanud._Kas_iga_rikkumise_korral_õigus_hüvitisele%3F&oldid=6513926"