Kasutaja:Stevenl21/Isikuandmete kaitse üldmäärus
Isikuandmete kaitse üldmäärus (ingl General Data Protection Regulation, lüh GDPR) on Euroopa Liidu määrus, mis loob isikuandmete kaitse normidele õigusliku raamistiku, millega kehtestatakse suunised isikuandmete töötlemiseks Euroopa Liidus ja teatud tingimustel ka väljaspool Euroopa Liidu territooriumi. Määruse eesmärk on tugevdada, lihtsustada ja ühendada Euroopa Liidu isikuandmete kaitse norme, andes üksikisikutele suuremad õigused kontrollida, kuidas eraisikud, ettevõtted ja riigiasutused nende isikuandmeid töötlevad.
Isikuandmete kaitse üldmäärus asendab ja muudab kehtetuks enam kui 20 aastat seda valdkonda reguleerinud Euroopa Parlamendi ja nõukogu direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta.[1][2] Seni oli see kõige olulisem isikuandmete kaitset puudutav Euroopa Liidu õigusakt.
Kohustused[muuda | muuda lähteteksti]
----- Siit alates on täiendused -------
Isikuandmete kaitse üldmääruse rakendumisega hakkavad ettevõtetele kehtima allolevas tabelis väljatoodud kohustused: [3][4]
Kohustus | Kirjeldus | Artikkel |
---|---|---|
Isikuandmete töötlemise põhimõtete rakendamine | Andmete töötleja peab tagama:
Andmete töötleja vastutab eelnimetatud punktide nõuete täitmise eest ning peab olema võimeline seda tõestama. |
5 |
Turvaline isikuandmete töötlemine | Andmete vastutav ja volitatud töötleja on kohustatud isikuandmete turvaliseks töötlemiseks rakendama erinevaid asjakohaseid tehnilisi ja korralduslike meetmeid. Vastavalt töötlemise iseloomule ning ohu suurusest on vaja rakendada järgmiseid meetmeid:
|
32 |
Indiviidide õiguste järgimine | Isikuandmete vastutav töötleja peab töötlustoimingud viima vastavusse uute kohustususte ja õigustega:
|
12–21 |
Lõimitud ja vaikimisi andmekaitse | Uute toodete või teenuste planeerimise ning rakendamise käigus tuleb jälgida, et kogu isikuandmete töötlemine vastab turvalise töötlemise põhimõtetele. Uute teenuste või toodete planeerimisel ja rakendamisel tuleb jälgida, et vaikimisi töödeldakse ainult neid isikuandmeid, mis on vajalikud konkreetse eesmärgi saavutamiseks. | 25 |
Töötlemistoimingute registreerimine | Isikuandmete vastutavad ja volitatud töötlejad peavad pidama töötlemistoimingute registrit ning nõudmise korral tegema selle kättesaadavaks andmekaitse järelevalveasutusele. Registreerimiskohtustus rakendub sisuliselt enamusele isikuandmete töötlejatele, kuna registreerida tuleb töötlemistoimingud, mis ei ole juhtumipõhised.
Vastutav töötleja peab töötlustoimingute puhul registreerima järgneva informatsiooni:
Volitatud töötleja peab töötlustoimingute puhul registreerima järgneva informatsiooni:
Vastavaid registreid tuleb hoida elektroonselt ning ajakohasena. |
30 |
Rikkumisteated | Isikuandmete töötlejatele rakenduvad seoses rikkumistega järgmised nõuded:
|
33,34 |
Andmekaitsealane mõjuhinnang | Füüsiliste isikute õigustele ja vabadustele suurt ohtu avaldava töötlemistoimingu puhul on vajalik läbi viia andmekaitsealane mõjuhinnang. Isikuandmete vastutav töötleja on kohustatud hindama enne isikuandmete töötlemist kavandatavate toimingute mõju isikuandmete kaitsele, eelkõige uute tehnoloogiate kasutamisel. | 35 |
Eelnev konsulteerimine | Kui andmekaitsealasest mõjuhinnangust selgub, et hoolimata ohtu leevendavate meetmete rakendamisest püsib isiku õigustele ja vabadustele suur oht, siis on töötleja kohustatud konsulteerima andmekaitse järelevalveasutusega. | 36 |
Andmekaitseametnik | Isikuandmete vastutav ja volitatud töötleja on kohustatud määrama andmekaitseametniku järgnevatel juhtudel:
Andmekaitseametniku määramisel peab vastutav töötleja avaldab andmekaitseametniku kontaktandmed ning edastama ka need andmekaitse järelevalveasutusele. |
37–39 |
Isikuandmete edastamine kolmandatesse riikidesse | Isikuandmeid võib üldjuhul kolmandasse riiki edastada ainult siis, kui Euroopa Komisjon on teinud otsuse, et riigis on tagatud piisav isikuandmete kaitse tase. Määrustik lubab ilma komisjoni otsuseta edastada kolmandasse riiki, kui on tagatud piisav kaitse andmete edastamisel (määratud siduvad kontsernisisesed eeskirjad, standardsed andmekaitseklauslid, lepingu tüüptingimused jms). | 44–50 |
----- Siiamaani on täiendused -------
Ajalugu[muuda | muuda lähteteksti]
ELi andmekaitse reform sai alguse 2012. aasta jaanuaris, kui Euroopa Komisjon esitles uute andmekaitse reeglite raamistikku, mille põhieesmärgiks seadis üksikisikute õiguste tugevdamise digitaalse infovahetuse ajastul, kus andmete suuremahuline töötlemine ja ligipääsetavus andmepilvedes seab ohtu üksikisiku põhiõiguste tagamise nagu isikuandmete ja eraelu kaitse (ELi põhiõiguste harta, artikkel 7 ja 8).[5]
Reformi teiseks oluliseks eesmärgiks sai andmetöötluse reeglite lihtsustamine ettevõtete jaoks, et luua paremad tingimused ELi digitaalse ühisturu arenguks ja muuta ühisturg konkurentsivõimelisemaks vastukaaluks Ameerika Ühendriikides asuvatele internetis valitsevatele teenusepakkujatele nagu Google, Facebook, Amazon, Microsoft, Apple jt.
Pärast mitmeaastast arutelu ELi institutsioonides võeti määrus Euroopa Parlamendi poolt vastu 14. aprillil 2016. Määrus jõustus 24. mail 2016 (kahekümnendal päeval pärast selle avaldamist ELi Teatajas) ja hakkab pärast kaheaastast üleminekuperioodi kehtima 25. mail 2018.
Võrdlus seni kehtinud isikuandmete kaitse direktiiviga[muuda | muuda lähteteksti]
Võrreldes seni kehtinud regulatsiooniga on olulisemateks muudatusteks:
- suurenev kohaldamisala: määrus rakendub kõikidel juhtudel, kui ettevõtted töötlevad ELis asuvate üksikisikute isikuandmeid, sõltumata ettevõtte asukohast maailmas;
- andmete teisaldatavus: üksikisik võib saada isikuandmete töötlejalt enda isikuandmed masinloetaval kujul ja edastada need teisele isikuandmete töötlejale;
- kustutamisõigus: üksikisik võib nõuda enda isikuandmete kustutamist, kui need pole enam vajalikud või kui andmete töötlemine on ebaseaduslik;
- privaatsuse arvestamine ja tagamine: ettevõte, kes kaupade või teenuste pakkumisel töötleb isikuandmeid, peab nende andmete kaitsmist arvesse võtma ning nende kaupade või teenuste pakkumisel üksikisikule peavad privaatsuse tagamise seaded olema juba rakendatud, ilma et üksikisik peaks seda ise tegema.
- andmekaitseametnik: see ettevõtte või asutuse poolt määratud ametnik täidab olulist rolli andmekaitse reeglite tagamisel, teavitades, nõustades ja pidades järelvalvet isikuandmetekaitse põhimõtete järgimise üle, olles vastutavaks vaheisikuks ettevõtte või asutuse, järelvalveasutuse ja üksikisiku vahel.
Eestis on nimetatud järelvalveasutuseks Andmekaitse Inspektsioon.
Viited[muuda | muuda lähteteksti]
- ↑ Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus)
- ↑ Euroopa parlamendi ja nõukogu direktiiv (EL) 2016/680, 27. aprill 2016, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK>
- ↑ Andmekaitse inspektsioon. "Andmetöötleja kohustused". Vaadatud 22.03.2018.
- ↑ "EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS (EL) 2016/679". 27. aprill 2016. Vaadatud 22. märts 2018.
- ↑ Euroopa Liidu põhiõiguste harta (2012/C 326/02)