Seadusemuudatus

Uued reeglid isikuandmetega ümberkäimisel

Uus isikuandmete kaitse üldmäärus jõustub 2018. aasta suve hakul ja näeb ette hulgaliselt uusi sätteid, millel võib olla suur mõju isikuandmete töötlemisele ja kogumisele. Töötlemine on võimalik ja riske saab maandada, kui saadakse andmesubjektilt korrektne ja teavitatud nõusolek andmete töötlemiseks konkreetseteks eesmärkideks.

Euroopa Parlament võttis 14. aprillil 2016 vastu isikuandmete kaitse üldmääruse. Seda üldmäärust ei rakendata riigisisese õiguse kaudu, sest see on kõikides liikmesriikides vahetult kohaldatav. Määruse sätteid hakatakse liikmesriikides kohaldama kaks aastat pärast jõustumist, seega eelduslikult hiljemalt juunis 2018.  Olgugi, et uus määrus on vahetult kohaldatav, seab see liikmesriikidele mitmeid võimalusi määruses sätestatut oma õigusaktidega täpsustada ning Euroopa Komisjon võib vastu võtta asjakohased rakendusaktid.

Kohaldamisala

Isikuandmete kaitse üldmäärust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda. Siinjuures on oluline ka see, et käesolevat määrust kohaldatakse liidus asuva vastutava töötleja või volitatud töötleja tegevuskoha tegevuse kontekstis toimuva isikuandmete töötlemise suhtes sõltumata sellest, kas töödeldakse liidus või väljaspool liitu.Seega  ka väljaspool Euroopa Liitu asuvad ettevõtted peavad täitma Euroopa Liidu andmekaitsenõudeid, juhul kui nad töötlevad Euroopa Liidu andmesubjektide informatsiooni.

Nõusolek isikuandmeid töödelda

Isikuandmete kaitse üldmäärus sätestab, et isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud teatud määruses sätestatud tingimused, sh kui andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil.Eelduslikult taandub peamine töötlemine reeglina just andmesubjekti nõusolekule. Kui töötlemine põhineb nõusolekul, peab vastutaval töötlejal olema võimalik tõendada, et andmesubjekt on nõustunud oma isikuandmete töötlemisega. Juhul kui andmesubjekt annab nõusoleku kirjaliku kinnitusena, mis puudutab ka muid küsimusi, esitatakse nõusoleku taotlus viisil, mis on muudest küsimustest selgelt eristatav, ning arusaadaval ja lihtsasti kättesaadaval kujul, kasutades selget ja lihtsat keelt. Sellise kinnituse mis tahes osa, mille puhul on tegemist määruse rikkumisega, ei ole siduv.

Andmesubjektil on õigus oma nõusolek igal ajal tagasi võtta, kuid nõusoleku tagasivõtmine ei mõjuta enne tagasivõtmist nõusoleku alusel toimunud töötlemise seaduslikkust. Andmesubjekti teavitatakse sellest õigusest enne nõusoleku andmist. Samuti on võimalik ka isikuandmete eriliikide töötlemine juhul, kui andmesubjekt on andnud selgesõnalise nõusoleku nende isikuandmete töötlemiseks ühel või mitmel konkreetsel eesmärgil. Isikuandmete kaitse üldmäärus sätestab konkreetselt ka teabe (sh on eraldi reguleeritud ka täiendav teave), mis tuleb anda juhul, kui isikuandmed on kogutud andmesubjektilt, isikuandmete saamise ajal.

Suured trahvid!

Määrus näeb ette ka suured trahvid – igal isikul, kes on kandnud määruse rikkumise tulemusel materiaalset või mittemateriaalset kahju, on õigus saada vastutavalt töötlejalt või volitatud töötlejalt hüvitist tekitatud kahju eest. Trahvide määramisel tuleb hinnata tõhusust, proportsionaalsust ja heidutavat resultaati. Teatud sätete rikkumiste eest võib määrata trahvi, mille suurus on kuni 10 000 000 eurot või ettevõtja puhul kuni 2% tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.

Teatud sätete rikkumise eest võib määrata trahvi, mille suurus on koguni kuni 20 000 000 eurot või ettevõtja puhul kuni 4% tema eelneva majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem. Suurem trahvimäär kohaldub töötlemise aluspõhimõtete ja kohase nõusoleku andmise tingimuste rikkumistele ja ka näiteks andmesubjektide õiguste rikkumistele.

Seega kokkuvõttes näeb isikuandmete kaitse üldmäärus ette hulgaliselt uusi sätteid, millel võib olla suur mõju isikuandmete töötlemisele ja kogumisele. Töötlemine on võimalik ja riske saab maandada, kui saadakse andmesubjektilt korrektne ja teavitatud nõusolek andmete töötlemiseks konkreetseteks eesmärkideks. Määruses on oluline ka asjaolu, et ka väljaspool EL-i asuvad ettevõtted peavad täitma EL-i andmekaitsenõudeid, juhul kui nad töötlevad EL-i andmesubjektide andmeid. Määruse sätete rikkumise eest on ette nähtud väga suured trahvid, mistõttu on oluline määruse sätteid järgida ning juba praegu oma tegevust ja dokumente planeerida ja ette valmistada. Isikuandmete kaitse üldmäärus on vahetult kohalduv, ent jõustub 2018. aasta suve hakul, mistõttu on ettevõtetel piisavalt aega viia oma dokumendid ja sisemised protseduurid uue määruse nõuetega kooskõlla. 

Autor: Allan Kubu