Päevakorrad 01 Jõustunud: 25. mai 2018

GDPR

Isikuandmete kaitse üldmäärus

Ülevaade

Isikuandmete kaitse üldmäärus (GDPR) on ELi andmekaitseõiguse nurgakivi. See asendas andmekaitsedirektiivi 95/46/EÜ ja tugevdas oluliselt üksikisikute õigusi oma isikuandmete üle, kehtestades samal ajal andmetöötlejatele ja -vastutajatele ulatuslikud kohustused.[1]

GDPR kehtib kõigile organisatsioonidele, kes töötlevad ELi isikute isikuandmeid, olenemata sellest, kus organisatsioon asub. See territoriaalne ulatus on muutnud GDPRi de facto ülemaailmseks andmekaitse standardiks.[2]

Kellele kehtib

  • Andmehaldavad: Organisatsioonid, kes määravad isikuandmete töötlemise eesmärgid ja vahendid
  • Andmetöötlejad: Organisatsioonid, kes töötlevad isikuandmeid andmehaldajate nimel
  • Mitteilmse ELi üksused: Iga organisatsioon, kes pakub kaupu/teenuseid ELi elanikele või jälgib nende käitumist
  • Kõik sektorid: Kehtib kõigis tööstusharudes, piiratud eranditega õiguskaitse ja riikliku julgeoleku jaoks

Arendajate peamised nõuded

Töötlemise õiguslik alus

Iga töötlemistoiming peab põhinema kehtival õiguslikul alusel artikli 6 kohaselt:[3]

  1. Nõusolek: Vabalt antud, konkreetne, teadlik ja ühemõtteline
  2. Leping: Vajalik lepingu täitmiseks andmesubjektiga
  3. Õiguslik kohustus: Nõutud ELi või liikmesriigi õigusest
  4. Elulised huvid: Andmesubjekti või teise isiku elu kaitsmine
  5. Avalik huvi: Vajalik avaliku huvi ülesande või ametivõimu täitmiseks
  6. Õiglased huvid: Tasakaalustatud andmesubjekti õigustega (ei kehti avalikele asutustele)

Tehnilised nõuded

  • Andmete minimeerimine: Koguda ainult vajalikku määratletud eesmärgi jaoks
  • Säilitamise piirang: Säilitada isikuandmeid ainult nii kaua kui vajalik
  • Terviklikkus ja konfidentsiaalsus: Rakendada sobivaid turvameetmeid
  • Privaatsus disainis ja vaikimisi: Sisestada andmekaitse süsteemidesse algusest peale (artikkel 25)[4]

Andmesubjekti õigused

Rakendused peavad toetama järgmisi õigusi:

ÕigusKirjeldusVastamise aeg
Juurdepääs (Art. 15)Tagada isikuandmete ja töötlemise teabe koopia1 kuu
Parandus (Art. 16)Parandada ebatäpsed isikuandmedViivitamata
Kustutamine (Art. 17)Kustutada andmed, kui need pole enam vajalikudViivitamata
Piirang (Art. 18)Töötlemise piiramine kindlates olukordadesViivitamata
Andmete ülekantavus (Art. 20)Esitada andmed masinloetavas vormingus1 kuu
Vastuväide (Art. 21)Esitada vastuväide töötlemisele õiglaste huvide aluselViivitamata

Andmelekke teavitamine

  • Järelevalveasutusele: 72 tunni jooksul pärast rikkest teadlikuks saamist (artikkel 33)[5]
  • Andmesubjektidele: Viivitamata, kui on kõrge risk õigustele ja vabadustele (artikkel 34)
  • Dokumentatsioon: Säilitada kõigi rikkumiste kirjed sõltumata teavituskohustusest

Karistused

GDPR kehtestab astmelise karistussüsteemi:

  • Madalam aste: Kuni 10 miljonit eurot või 2% aastasest ülemaailmsest käibest, kumb on suurem
  • Kõrgem aste: Kuni 20 miljonit eurot või 4% aastasest ülemaailmsest käibest, kumb on suurem[6]

Suured trahvid on välja antud järgmistele:

  • Amazon (Luxembourg, 2021): 746 miljonit eurot
  • Meta/Facebook (Iirimaa, 2023): 1,2 miljardit eurot
  • Google (Prantsusmaa, 2022): 90 miljonit eurot

Rakendamise kontrollnimekiri

  • Tuvastada kõik isikuandmete töötlemise tegevused
  • Kehtestada iga töötlemistoimingu õiguslik alus
  • Rakendada nõusoleku haldamine, kui see on asjakohane
  • Luua privaatsusteated, mis vastavad läbipaistvuse nõuetele
  • Ehita mehhanismid andmesubjekti taotluste käsitlemiseks
  • Rakendada sobivaid turvameetmeid
  • Kehtestada rikkumiste avastamise ja teavitamise protseduurid
  • Teha andmekaitsemõjude hindamisi kõrge riskiga töötlemise puhul
  • Määrata andmekaitseametnik, kui see on nõutud
  • Hoidke töötlemistegevuste register (RoPA)

Allikad ja viited

[1]
Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679. EUR-Lex: GDPR ametlik tekst
[2]
GDPR territoriaalne ulatus, artikkel 3. GDPR.eu: territoriaalne ulatus
[3]
Töötlemise seaduslikkus, artikkel 6. GDPR-Info: artikkel 6
[4]
Andmekaitse disainis ja vaikimisi, artikkel 25. GDPR-Info: artikkel 25
[5]
Isikuandmete rikkest teavitamine, artikkel 33. GDPR-Info: artikkel 33
[6]
Halduskaristused, artikkel 83. GDPR-Info: artikkel 83