Briti andmekaitseseadus 2018 — ülevaade: õigused, kohustused ja ulatus

2018. aasta andmekaitseseadus (c 29) on Briti valitsuse poolt 2018. aastal vastu võetud seadus, mis asendab 1998. aastal vastu võetud seadust.

Selles sätestatakse eeskirjad inimestele, kes kasutavad või säilitavad andmeid elusate inimeste kohta, ning antakse õigused neile inimestele, kelle andmeid on kogutud. Seadus kehtib arvutites või mis tahes salvestussüsteemis, isegi paberkandjal hoitavate andmete suhtes.

Seadus hõlmab isikuandmeid, mis on sellised faktid nagu teie aadress, telefoninumber, e-posti aadress, töökoha ajalugu jne.

Inimesi, kes teavet kasutavad, nimetatakse andmete vastutavateks töötlejateks. Inimesi, kelle kohta andmed käivad, nimetatakse andmesubjektideks.

Seaduse ulatus ja taust

2018. aasta andmekaitseseadus viib ellu Ühendkuningriigis üldise andmekaitsemääruse (GDPR) põhimõtteid ning kohandab neid riikliku õigusega. Pärast Brexiti rakendamist toimib Suurbritannias vastav raamistik kui UK GDPR koos DPA 2018-ga — see tähendab, et paljud reeglid vastavad Euroopa GDPR-ile, kuid kohaldamisel on mõned erisused.

Seadus kehtib kõigile organisatsioonidele ja isikutele, kes töötlevad isikuandmeid Ühendkuningriigis või kes pakuvad kaupu/teenuseid ÜK elanikele või jälgivad nende käitumist.

Põhilised õigused (andmesubjektide õigused)

• Õigus juurdepääsule (Subject Access Request) — õigus saada teada, kas teie andmeid töödeldakse ja küsida koopiatest.
• Õigus parandusele — õigus lasta ebatäpsed andmed parandada.
• Õigus kustutamisele (õigus „olla unustatud”) — teatud olukordades saab taotleda andmete kustutamist.
• Õigus töötluse piiramisele — kui andmete õigsus on kaheldav või andmeid tarvitatakse ebaseaduslikult.
• Õigus andmete ülekantavusele — saada oma isikuandmed masinloetaval formaadis ja edastada need teisele vastutavale töötlejale.
• Õigus vastuväitele — piirata või keelata andmetöötlust, mis põhineb õigustatud huvil või otsustusprofiilil.
• Õigus keelata automatiseeritud otsustamise ja profiliseerimise, mis avaldavad märkimisväärset mõju.
• Õigus taganeda nõusolekust — kui töötlemine põhineb nõusolekul, saab selle igal ajal tagasi võtta.

Enamasti tuleb vastus andmesubjekti taotlusele esitada ühe kuu jooksul (mõnel keerukal juhul võib see venida kuni kolmeks kuuks) ja need õigused on enamiku juhtude puhul tasuta.

Andmevastutaja ja andmetöötleja kohustused

• Õiguspärane aluse määramine: andmetöötlemiseks peab olema seaduslik alus — nõusolek, lepingu täitmine, seadusest tulenev kohustus, elu- või tervisehuvid, avalik huvi või õigustatud huvi.
• Andmete piiramine: töödelda vaid neid andmeid, mis on vajalikud kindla eesmärgi jaoks (andmete vähimõõtmeline põhimõte).
• Transparentsus: andmesubjektid peavad saama selge teabe selle kohta, kuidas ja miks nende andmeid töödeldakse (sageli privaatsusteatises).
• Turvalisus: rakendada sobivaid tehnilisi ja organisatsioonilisi meetmeid — nt krüpteerimine, ligipääsukontroll, regulaarne varundamine.
• Andmekaitjalise mõjuhinnangu (DPIA) tegemine: kui töötlus tekitab kõrge riski andmesubjektide õigustele ja vabadustele (näiteks ulatuslik profiilimine või terviseandmete töötlemine).
• Andmelekete teatamine: andmelekkeid, mis ähvardavad inimeste õigusi ja vabadusi, tuleb üldjuhul teavitada andmekaitseasutust (ICO) 72 tunni jooksul ja vajadusel teavitada mõjutatud inimesi.
• Andmelepingud: kui kasutatakse kolmandaid osapooli (andmetöötlejaid), peab olema kirjalik leping, mis sätestab töötleja ja vastutava töötleja rollid ja kohustused.
• Andmekaitseametnik (DPO): teatud suuremahulise või avaliku sektori korralduse puhul tuleb määrata DPO, kes jälgib seaduslikkuse järgimist ja suhtleb järelevalveasutusega.

Tundlikud andmed ja kriminaalõiguslik info

Seadus käsitleb eraldi erikategooria ehk „tundlikke” andmeid (nt rassi või etniline päritolu, poliitilised vaated, usuline või filosoofiline veendumus, ametiühingu kuulumine, terviseandmed, seksuaalelu). Nende töötlemiseks on vaja täiendavat õiguslikku alust ning sageli selget nõusolekut või eritingimusi seaduses.

Kriminaalõiguslikke andmeid võib töödelda ainult rangemate tingimuste ja tihti kooskõlastatult vastava järelevalveasutusega.

Piiriülene andmeedastus

Andmete eksport Ühendkuningriigist väljapoole on reguleeritud — mõne riigi suhtes võib kehtida „vastavuse” otsus, aga kui vastavust otsust ei ole, tuleb rakendada muid kaitsemeetmeid (nt standardlepingutingimused või muud sobivad garantii). Pärast Brexiti on oluline jälgida nii UK kui ka EL õiguse nõudeid sõltuvalt sellest, kuhu andmed liiguvad.

Järelevalve ja sanktsioonid

Andmekaitse järelevalvet teostab Ühendkuningriigis Information Commissioner's Office (ICO). ICO-l on õigus teha uurimisi, määrata parandusi ning trahvida rikkumiste eest. Maksimaalsed trahvid võivad olla märkimisväärsed — UK GDPR alusel kuni £17,500,000 või 4% aastakäibest (sõltuvalt rikkumise iseloomust ja raskusest), sõltuvalt rikkumise liigist.

Kuidas ja kust abi saada

• Andmesubjektina: kui teie õigused on rikutud, saate esitada juurdepääsu- või kaebustaotluse organisatsioonile; kui see ei aita, pöörduge ICO poole.
• Organisatsioonina: pidage andmete töötlemisest selge dokumentatsioon (register), viige läbi riskihindamised, koolitage töötajaid ja vajadusel määrake DPO.
• Kiired sammud andmeleke korral: isoleerige probleem, hinnake mõju, parandage turvavead ja teavitage ICO-d ning mõjutatud inimesi vastavalt nõuetele.

Praktilised nõuanded

• Vaadake üle ja vähendage kogutavaid andmeid — kas iga väli on vajalik?
• Rakendage parimad turvameetmed (paroolid, krüpteerimine, värskendused).
• Looge selged poliitikad andmete säilitamiseks ja kustutamiseks.
• Töötage välja protseduurid andmesubjektide taotluste kiireks ja nõuetekohaseks käsitlemiseks.

See ülevaade annab kokkuvõtliku pildi 2018. aasta andmekaitseseaduse (DPA 2018) sisu ja rakendusala kohta Ühendkuningriigis. Konkreetsetel juhtudel — eriti keerukate või rahvusvaheliste töötlemiste puhul — on soovitatav konsulteerida andmekaitse- või õigusnõustajaga.