Isikuandmete kaitse üldmäärus (GDPR) määratlus, õigused ja trahvid

Üldine andmekaitsemäärus (GDPR) (määrus (Euroopa Liit) 2016/679) võeti vastu 27. aprillil 2016. See jõustus 25. mail 2018.

Määruse on heaks kiitnud Euroopa Parlament, Euroopa Liidu Nõukogu ja Euroopa Komisjon. See kaitseb inimeste isikuandmeid kogu Euroopa Liidus (EL). Määrus mõjutab ka andmete eksporti EList.

GDPRi eesmärk on anda kodanikele kontroll oma isikuandmete üle. Sellega lihtsustatakse teiste riikidega peetavate majandussuhete eeskirju, ühtlustades ELi menetlusi. GDPR asendab 1995. aasta andmekaitsedirektiivi. Uus GDPRi seadus ei vaja muudatusi kohalikes õigusaktides ELis. Määrus on siduv.

Isikuid ja ettevõtteid, kes ei täida GDPRi seadust, võib oodata trahv kuni 20 000 000 eurot või kuni 4% ettevõtte eelmise aasta kasumist, olenevalt sellest, kumb arv on suurem.

Millele GDPR kehtib ja keda see mõjutab

GDPR kehtib kõikidele organisatsioonidele, mis töötlevad isikuandmeid ELi kodanikest – olenemata sellest, kas organisatsioon ise asub ELis või väljaspool. See hõlmab nii avalikku kui eraõiguslikku sektori, väikeettevõtteid, mittetulundusühinguid ja üksikisikute tasandil andmetöötlust, kui see on seotud ärilise või avaliku tegevusega.

Olulised mõisted

Isikuandmed – mistahes teave, mis võimaldab tuvastada elavat isikut (näiteks nimi, e‑post, IP‑aadress).
Töötleja (controller) – see, kes määrab, kuidas ja milleks isikuandmeid töödeldakse.
Töötleja (processor) – see, kes töötleb andmeid vastavalt töötleja juhistele (nt pilveteenus, andmehaldur).
Tundlikud andmed – eriliigid nagu rassiline või etniline päritolu, poliitilised vaated, terviseandmed, usuline kuuluvus, seksuaalelu jms; nende töötlemine on rangemalt reguleeritud.

Õigused, mida GDPR annab isikutele

Õigus saada teavet – teave andmete kogumise eesmärgi, töötlemise aluse ja säilitustähtaja kohta.
Juurdepääsu õigus – isik võib nõuda enda kohta säilitatavaid andmeid.
Õigus parandada – ebatäpsed andmed tuleb parandada.
Õigus andmete kustutamisele („õigus olla unustatud”) – teatud olukordades saab nõuda andmete kustutamist.
Õigus piirata töötlemist – mõnel juhul võib töötlemine ajutiselt peatuda.
Õigus andmete ülekantavusele – isik võib saada andmed struktureeritud, üldkasutatavas formaadis ja edastada need teisele vastutavale töötlejale.
Õigus esitada vastuväiteid – kaudne turundus või õigustatud huvidel põhinev töötlemine võib olla vastuoluline.
Õigus mitte alluda automaatotsustele – sh profiilimine, mis mõjutab õigusi või vabadust oluliselt.
Kaebus järelevalveasutuse poole – Eestis andmekaitse järelevalveasutus on Andmekaitse Inspektsioon.

Töötlemise legaalsed alused ja kohustused

Töötlemine peab põhinema vähemalt ühel õiguslikul alusel: isiku nõusolek, lepingu täitmine, juriidiline kohustus, eluohud, avalik ülesanne või õigustatud huvi. Organisatsioonid peavad tagama andmete töötlemise põhimõtted: seaduslikkus, õiglus, läbipaistvus, eesmärgipiirang, andmete minimaalsus, täpsus, säilituse piirang ning turvalisus.

Sanktsioonid ja rikkumiste teatamine

GDPR sisaldab kahte peamist trahvikategooriat:

kuni 10 000 000 eurot või kuni 2% ettevõtte kogu maailmas eelneva majandusaasta käibest – rikkumised, mis puudutavad näiteks töötlemise dokumentatsiooni, tehnilisi ja korralduslikke nõudeid;
kuni 20 000 000 eurot või kuni 4% ettevõtte eelneva majandusaasta kogu maailmas käibest – tõsisemad rikkumised, nagu põhimõtete rikkumine, andmete töötlemise õigused, andmete kaitse põhiõigused ja nõusolekualused.

Lisaks rahalistest karistustest võivad järgneda juriidilised nõuded kahju hüvitamiseks, poliitiline ja kliendikaotus ning mainekahju. Andmelekete puhul peab vastutav töötleja teavitama järelevalveasutust 72 tunni jooksul ning mõnel juhul teavitama ka mõjutatud isikuid.

Muud olulised nõuded

Andmete töötlemise lepingu tingimused – kui töötleja kasutab teenusepakkujat (processor), peab olemas olema kirjalik leping, mis kaitseb andmeid;
Andmekaitse mõju hindamine (DPIA) – tuleb läbi viia, kui töötlemine võib tekitada kõrge riski isikute õigustele ja vabadustele;
Andmekaitse ametniku (DPO) määramine – nõutud avalikel asutustel ning organisatsioonidel, kelle põhitegevus hõlmab ulatuslikku jälgimist või eriliikide andmete töötlemist;
Piiriülesed andmeedastused – andmete väljaveoks väljapoole ELi on vaja sobivaid kaitsemeetmeid (näiteks Euroopa Komisjoni vankordid või siduvad ettevõttepõhised reeglid).

Kuidas alustada vastavuse tagamist (praktilised sammud)

Kaardista, milliseid isikuandmeid organisatsioon kogub ja milleks neid kasutatakse.
Kontrolli, kas töötlemisel on õiguslik alus ning kas andmetel on selge säilitusaeg.
Koosta või uuenda andmetöötluse lepingud ja privaatsusteatised.
Kehtesta tehnilised ja organiseerimislikud turvameetmed (krüptimine, juurdepääsukontroll jne).
Loo protseduur andmelekete tuvastamiseks ja teatamiseks (72 tundi järelevalveasutusele).
Kui vaja, määrake DPO või määrake vastutus isikuandmete eest vastavatele töötajatele.

Lõppsõna

GDPR annab isikutele tugevad õigused ja seab organisatsioonidele selged kohustused andmete kaitsel. Vastavuse tagamine nõuab nii tehnilisi, juriidilisi kui ka ärilisi samme, kuid aitab usaldust suurendada ning vähendab riske ja võimalikke trahve. Kui teil on kahtlusi, tasub konsulteerida andmekaitse spetsialisti või õigusnõustajaga.

Jõustatud eeskirjad

See osa vajab rohkem teavet.

Üldine andmekaitsemäärus kehtestab eeskirjad, mis kaitsevad inimesi mitmesuguste eraelu puutumatusega seotud probleemide eest. Sellega tagatakse inimestele õigus anda ettevõtjatele seaduslik nõusolek nende isikuandmete kasutamiseks. Samuti tagatakse sellega inimeste õigus sellele, et ettevõte ei saaks enam juurdepääsu nende isikuandmetele. Samuti tagab see, et kasutajatel on õigus lubada oma erateabe avalikustamist või mitte. Määrusega tagatakse ka, et isikuandmeid ei töödelda, kui kasutaja ei ole seda isikuandmete töötlejale lubanud.

Ajakava

25. jaanuar 2012: GDPRi ettepanek avaldati.
21. oktoober 2013: Euroopa Parlamendi kodanikuvabaduste, justiits- ja siseasjade komisjon (LIBE) hääletab selle üle, kas GDPR peaks saama uueks määruseks Euroopa inimeste jaoks.
15. detsember 2015: Euroopa Parlament, nõukogu ja komisjon (ametlik kolmepoolne kohtumine) arutavad üldist andmekaitsemäärust. Sel päeval on GDPRi kohta tehtud ühine ettepanek.
17. detsember 2015: Euroopa Parlamendi kodanikuvabaduste, justiits- ja siseasjade komisjon hääletas kolme osapoole vaheliste läbirääkimiste poolt.
8. aprill 2016: Euroopa Liit on vastu võtnud isikuandmete kaitse üldmääruse. Ainus liikmesriik, kes hääletas vastu, oli Austria, kes väitis, et mitmed uue määruse aspektid ei ole andmekaitsedirektiiviga võrreldes rahuldavad.
14. aprill 2016: Euroopa Parlament võttis vastu üldise andmekaitsemääruse, mis asendab varem kasutatud andmekaitsedirektiivi.
24. mai 2016: Andmekaitse üldmäärust on hakatud kasutama kogu maailmas, kuid see ei ole veel täielikult jõustunud. See on 20 päeva pärast seda, kui Euroopa Liidu Teatajas on avaldatud isikuandmete kaitse üldmäärus.
25. mai 2018: Andmekaitse üldmäärus jõustub täielikult kogu maailmas. Määruse loomisest on möödunud kaks aastat.
Juuli/august 2018: GDPR jõustub Islandil, Liechtensteinis ja Norras. Need kolm riiki on ühinenud EMP Ühiskomiteega, kuna nad kõik nõustusid määrust järgima.

Küsimused ja vastused

K: Mis on isikuandmete kaitse üldmäärus (GDPR)?

V: GDPR on Euroopa Parlamendi, Euroopa Liidu Nõukogu ja Euroopa Komisjoni poolt vastu võetud määrus, mis kaitseb inimeste isikuandmeid kogu ELis.

K: Millal see jõustus?

V: See jõustus 25. mail 2018.

K: Mis on GDPRi eesmärk?

V: GDPRi eesmärk on anda kodanikele kontroll oma isikuandmete üle ja lihtsustada teiste riikidega toimuvate majandussuhete regulatsioone, muutes ELi menetlused ühtlustatuks.

K: Kas see asendab mingeid olemasolevaid õigusakte?

V: Jah, see asendab 1995. aasta andmekaitsedirektiivi.

K: Kas kohalikke õigusakte tuleb muuta, et need vastaksid GDPRi nõuetele?

V: Ei, ELi kohalikke õigusakte ei ole vaja muuta, kuna see määrus on siduv.
K: Mis juhtub, kui keegi või ettevõte ei järgi GDPRi seadust? V: Neile võidakse määrata trahv kuni 20 000 000 eurot või kuni 4% ettevõtte eelmise aasta kasumist, olenevalt sellest, kumb arv on suurem.