Kasutaja:Stevenl21/Isikuandmete kaitse üldmäärus

Allikas: Vikipeedia

Isikuandmete kaitse üldmäärus (ingl General Data Protection Regulation, lüh GDPR) on Euroopa Liidu määrus, mis loob isikuandmete kaitse normidele õigusliku raamistiku, millega kehtestatakse suunised isikuandmete töötlemiseks Euroopa Liidus ja teatud tingimustel ka väljaspool Euroopa Liidu territooriumi. Määruse eesmärk on tugevdada, lihtsustada ja ühendada Euroopa Liidu isikuandmete kaitse norme, andes üksikisikutele suuremad õigused kontrollida, kuidas eraisikud, ettevõtted ja riigiasutused nende isikuandmeid töötlevad.

Isikuandmete kaitse üldmäärus asendab ja muudab kehtetuks enam kui 20 aastat seda valdkonda reguleerinud Euroopa Parlamendi ja nõukogu direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta.[1][2] Seni oli see kõige olulisem isikuandmete kaitset puudutav Euroopa Liidu õigusakt.


Kohustused[muuda | muuda lähteteksti]

----- Siit alates on täiendused -------

Isikuandmete kaitse üldmääruse rakendumisega hakkavad ettevõtetele kehtima allolevas tabelis väljatoodud kohustused: [3][4]

Kohustus Kirjeldus Artikkel
Isikuandmete töötlemise põhimõtete rakendamine Andmete töötleja peab tagama:
  • töötlemise seaduslikkuse, õigluse ja läbipaistvuse;
  • andmeid töödeltakse täpse ja kindlaksmääratud eesmärgi kohaselt;
  • andmete asjakohasuse, olulisuse ning veenduma, et kogutakse võimalikult vähe andmeid;
  • andmete õigsuse ning võimalusel ajakohasuse;
  • andmete säilitamise ainult seniks, kuni eesmärk nõuab;
  • isikuandmete töötlemisel andmete turvalisuse ja konfidentsiaalsuse.

Andmete töötleja vastutab eelnimetatud punktide nõuete täitmise eest ning peab olema võimeline seda tõestama.

5
Turvaline isikuandmete töötlemine Andmete vastutav ja volitatud töötleja on kohustatud isikuandmete turvaliseks töötlemiseks rakendama erinevaid asjakohaseid tehnilisi ja korralduslike meetmeid. Vastavalt töötlemise iseloomule ning ohu suurusest on vaja rakendada järgmiseid meetmeid:
  • isikuandmete pseudonümiseerimine ja krüpteerimine;
  • süsteemide ja teenuste konfidentsiaalsuse, tervikluse, kättesaadavasue ja vastupidavuse tagamine;
  • õigeagse andmete kättesaadavuse ja juurdepääsu taastamise tagamine vahejuhtumi korral;
  • tehniliste ja korralduslike meetmete tõhususe testimine ja hindamine.
 32
Indiviidide õiguste järgimine Isikuandmete vastutav töötleja peab töötlustoimingud viima vastavusse uute kohustususte ja õigustega:
  • kohustus teavitada - teha teatavaks andmesubjektide kohta kogutav info;
  • õigus tutvuda andmetega - andmesubjektil on õigus saada vastutavalt töötlejalt kinnitust selle kohta, kas teda käsitlevaid isikuandmeid töödeldakse, ning sellisel juhul tutvuda isikuandmete;
  • õigus andmete parandamisele - andmesubjektil on õigus nõuda, et vastutav töötleja parandaks põhjendamatu viivituseta teda puudutavad ebaõiged isikuandmed;
  • õigus andmete kustutamisele („õigus olla unustatud“) - andmesubjektil on õigus nõuda, et vastutav töötleja kustutaks põhjendamatu viivituseta teda puudutavad isikuandmed;
  • õigus isikuandmete töötlemise piiramisele - andmesubjektil on õigus nõuda vastutavalt töötlejalt isikuandmete töötlemise piiramist;
  • kohustus teatada isikuandmete parandamisest, kustutamisest või isikuandmete töötlemise piiramisest;
  • andmete ülekandmise õigus - andmesubjektil on õigus saada teda puudutavaid isikuandmeid, mida ta on vastutavale töötlejale esitanud, struktureeritud, üldkasutatavas vormingus ning masinloetaval kujul ning õigus edastada need andmed teisele vastutavale töötlejale;
  • õigus esitada vastuväiteid - andmesubjektil on õigus oma konkreetsest olukorrast lähtudes esitada igal ajal vastuväiteid teda puudutavate isikuandmete töötlemise suhtes;
  • andmesubjektil on õigus, et tema kohta ei võetaks otsust, mis põhineb üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil, mis toob kaasa teda puudutavaid õiguslikke tagajärgi või avaldab talle märkimisväärset mõju;
 12–21
Lõimitud ja vaikimisi andmekaitse Uute toodete või teenuste planeerimise ning rakendamise käigus tuleb jälgida, et kogu isikuandmete töötlemine vastab turvalise töötlemise põhimõtetele. Uute teenuste või toodete planeerimisel ja rakendamisel tuleb jälgida, et vaikimisi töödeldakse ainult neid isikuandmeid, mis on vajalikud konkreetse eesmärgi saavutamiseks. 25
Töötlemistoimingute registreerimine Isikuandmete vastutavad ja volitatud töötlejad peavad pidama töötlemistoimingute registrit ning nõudmise korral tegema selle kättesaadavaks andmekaitse järelevalveasutusele. Registreerimiskohtustus rakendub sisuliselt enamusele isikuandmete töötlejatele, kuna registreerida tuleb töötlemistoimingud, mis ei ole juhtumipõhised.

Vastutav töötleja peab töötlustoimingute puhul registreerima järgneva informatsiooni:

  • töötleja ja kaasvastutava töötleja ning töötleja esindaja ja andmekaitseametniku kontaktandmed;
  • töötlemise eesmärgid;
  • andmesubjektide kategooriad ja isikuandmete liigid;
  • vastuvõtjate kategooriad, sh eraldi välja tooma, kui andmeid edastatakse kolmandale riigile või rahvusvahelise organisatsioonile;
  • võimaluse korral andmete säilitamise põhimõtted ning üldise turvameetmete kirjelduse.

Volitatud töötleja peab töötlustoimingute puhul registreerima järgneva informatsiooni:

  • vastutava töötleja ning volitatud töötleja, asjakohasel juhul esindajate ning andmekaitseametnike kontaktandmed;
  • töötlemise kategooriad;
  • vastuvõtjate kategooriad, sh eraldi välja tooma, kui andmeid edastatakse kolmandale riigile või rahvusvahelise organisatsioonile;
  • võimaluse korral üldise turvameetmete kirjelduse.

Vastavaid registreid tuleb hoida elektroonselt ning ajakohasena.

30
Rikkumisteated Isikuandmete töötlejatele rakenduvad seoses rikkumistega järgmised nõuded:
  • vastutav töötleja peab dokumenteerima kõik isikuandmetega seotud rikkumised, sh rikkumise asjaolud, mõju ja kasutatud parandusmeetmed;
  • rikkumise avastamisel tuleb teavitada järelvalveasutust 72 tunni jooksul teadasaamisest, välja arvatud juhul, kui isikute õigused ega vabadused pole ohustatud;
  • füüsiliste isikute õigustele ja vabadustele suurt ohtu kujutava rikkumise korral on vastutav töötleja kohustatud viivituseta mõjutatud isikuid teavitama.
 33,34
Andmekaitsealane mõjuhinnang Füüsiliste isikute õigustele ja vabadustele suurt ohtu avaldava töötlemistoimingu puhul on vajalik läbi viia andmekaitsealane mõjuhinnang. Isikuandmete vastutav töötleja on kohustatud hindama enne isikuandmete töötlemist kavandatavate toimingute mõju isikuandmete kaitsele, eelkõige uute tehnoloogiate kasutamisel. 35
Eelnev konsulteerimine Kui andmekaitsealasest mõjuhinnangust selgub, et hoolimata ohtu leevendavate meetmete rakendamisest püsib isiku õigustele ja vabadustele suur oht, siis on töötleja kohustatud konsulteerima andmekaitse järelevalveasutusega. 36
Andmekaitseametnik Isikuandmete vastutav ja volitatud töötleja on kohustatud määrama andmekaitseametniku järgnevatel juhtudel:
  • isikuandmeid töötleb avaliku sektori asutus või organ;
  • isikuandmete töötlemisega toimub ulatuslik, korrapärane ja süstemaatiline andmesubjektide jälgimine;
  • andmetöötleja põhitegevuse moodustab andmete eriliikide või süütegudega seotud isikuandmete ulatuslik töötlemine.

Andmekaitseametniku määramisel peab vastutav töötleja avaldab andmekaitseametniku kontaktandmed ning edastama ka need andmekaitse järelevalveasutusele.

37–39
Isikuandmete edastamine kolmandatesse riikidesse Isikuandmeid võib üldjuhul kolmandasse riiki edastada ainult siis, kui Euroopa Komisjon on teinud otsuse, et riigis on tagatud piisav isikuandmete kaitse tase. Määrustik lubab ilma komisjoni otsuseta edastada kolmandasse riiki, kui on tagatud piisav kaitse andmete edastamisel (määratud siduvad kontsernisisesed eeskirjad, standardsed andmekaitseklauslid, lepingu tüüptingimused jms). 44–50


----- Siiamaani on täiendused -------

Ajalugu[muuda | muuda lähteteksti]

ELi andmekaitse reform sai alguse 2012. aasta jaanuaris, kui Euroopa Komisjon esitles uute andmekaitse reeglite raamistikku, mille põhieesmärgiks seadis üksikisikute õiguste tugevdamise digitaalse infovahetuse ajastul, kus andmete suuremahuline töötlemine ja ligipääsetavus andmepilvedes seab ohtu üksikisiku põhiõiguste tagamise nagu isikuandmete ja eraelu kaitse (ELi põhiõiguste harta, artikkel 7 ja 8).[5]

Reformi teiseks oluliseks eesmärgiks sai andmetöötluse reeglite lihtsustamine ettevõtete jaoks, et luua paremad tingimused ELi digitaalse ühisturu arenguks ja muuta ühisturg konkurentsivõimelisemaks vastukaaluks Ameerika Ühendriikides asuvatele internetis valitsevatele teenusepakkujatele nagu Google, Facebook, Amazon, Microsoft, Apple jt.

Pärast mitmeaastast arutelu ELi institutsioonides võeti määrus Euroopa Parlamendi poolt vastu 14. aprillil 2016. Määrus jõustus 24. mail 2016 (kahekümnendal päeval pärast selle avaldamist ELi Teatajas) ja hakkab pärast kaheaastast üleminekuperioodi kehtima 25. mail 2018.

Võrdlus seni kehtinud isikuandmete kaitse direktiiviga[muuda | muuda lähteteksti]

Võrreldes seni kehtinud regulatsiooniga on olulisemateks muudatusteks:

  • suurenev kohaldamisala: määrus rakendub kõikidel juhtudel, kui ettevõtted töötlevad ELis asuvate üksikisikute isikuandmeid, sõltumata ettevõtte asukohast maailmas;
  • andmete teisaldatavus: üksikisik võib saada isikuandmete töötlejalt enda isikuandmed masinloetaval kujul ja edastada need teisele isikuandmete töötlejale;
  • kustutamisõigus: üksikisik võib nõuda enda isikuandmete kustutamist, kui need pole enam vajalikud või kui andmete töötlemine on ebaseaduslik;
  • privaatsuse arvestamine ja tagamine: ettevõte, kes kaupade või teenuste pakkumisel töötleb isikuandmeid, peab nende andmete kaitsmist arvesse võtma ning nende kaupade või teenuste pakkumisel üksikisikule peavad privaatsuse tagamise seaded olema juba rakendatud, ilma et üksikisik peaks seda ise tegema.
  • andmekaitseametnik: see ettevõtte või asutuse poolt määratud ametnik täidab olulist rolli andmekaitse reeglite tagamisel, teavitades, nõustades ja pidades järelvalvet isikuandmetekaitse põhimõtete järgimise üle, olles vastutavaks vaheisikuks ettevõtte või asutuse, järelvalveasutuse ja üksikisiku vahel.

Eestis on nimetatud järelvalveasutuseks Andmekaitse Inspektsioon.

Viited[muuda | muuda lähteteksti]

  1. Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus)
  2. Euroopa parlamendi ja nõukogu direktiiv (EL) 2016/680, 27. aprill 2016, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK>
  3. Andmekaitse inspektsioon. "Andmetöötleja kohustused". Vaadatud 22.03.2018.
  4. "EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS (EL) 2016/679". 27. aprill 2016. Vaadatud 22. märts 2018.
  5. Euroopa Liidu põhiõiguste harta (2012/C 326/02)

Välislingid[muuda | muuda lähteteksti]

Pärit leheküljelt "https://et.wikipedia.org/w/index.php?title=Kasutaja:Stevenl21/Isikuandmete_kaitse_üldmäärus&oldid=5010807"