Andmekaitsemääruse jõustumiseelsete tegevuste TOP 10: 2. MÄÄRUSE KOHALDUSMISALA

Triniti

Sama sarja eelmises blogipostituses juba räägiti, kuidas 2018. a mais jõustuva andmekaitse üldmääruse järgi hõlmab mõiste „isikuandmed“ väga laia ringi andmeid – sh ka IP-aadresse, cookies’id jne. Uue määruse puhul tuleb ka tähele panna, et tegemist on õigusaktiga, mis ei tunne riigipiire, sh Euroopa Liidu omasid.
isikuandmed-vol-2

Laiendatud territoriaalne kohalduvus

Nimelt, määrus on eriline oma väga laia kohaldumisala poolest. Määruse artikli 3 lõike 1 järgi kohaldatakse määrust Euroopa Liidus asuva vastutava töötleja või volitatud töötleja tegevuskoha tegevuse kontekstis toimuva isikuandmete töötlemise suhtes sõltumata sellest, kas töödeldakse Euroopa Liidus või väljaspool  liitu. Seega, asjaolu, et andmete töötlemine toimub väljaspool liitu, ei välista määruse kohaldumist.

Määrus kohaldub nii Euroopa Liidu territooriumil asuvatele kui ka mujal asuvatele ettevõtetele, kes pakuvad  kaupu või teenuseid Euroopa Liidu kodanikele või jälgivad Euroopa Liidu kodanikke.

Seega,

  • esiteks kohaldub määrus sarnaselt direktiiviga ettevõtetele, kes on asutatud või kellel on tegevuskoht Euroopa Liidus;
  • teiseks, kohaldub määrus ka näiteks välisriikides tegutsevate ettevõtjate suhtes, kes pakuvad oma kaupu või teenuseid Euroopa Liidus. Selline pakkumine võib olla tehtud nii tavameetodeid kasutades kui online-tegevuse kaudu, mis on Euroopa Liitu suunatud. Näiteks, USA’s asuva ettevõtte e-poe puhul ei piisa vaid sellest, et veebileht on liidu territooriumil kättesaadav, kuid võib piisata, kui veebileht võimaldab liitu kaupu või teenuseid tellida.
  • kolmandaks, kohaldub määrus mitte ainult kaupade ja teenuste pakkumise suhtes, vaid ka tegevuse suhtes, mille kaudu Euroopa Liidu kodanike jälgitakse. Jälgimiseks loetakse ka profileerimist (ehk teostatakse isiku profiilianalüüs eelkõige selleks, et teha tema kohta otsuseid või analüüsida või prognoosida tema eelistusi, käitumist ja hoiakuid).

Seega tuleb enda ärimudeli ja ärivõrgustiku andmekaitseõiguslikul hindamisel meeles pidada, et määrusest ei tule kohustusi mitte ainult Euroopa Liidu riikide ettevõtetele, vaid ka teiste riikide ettevõtetele, kes tahavad isikuandmeid töödelda kas enda või kellegi teise tarbeks.

Sisuline kohaldumisala

Tegemist on otsekohalduva Euroopa Liidu määrusega, mis ei vaja kohaldumiseks eraldi siseriiklikku seadust, kuid on asjakohane märkida, et on mõned valdkonnad, mille osas võib siseriikliku rakendusakti kaudu muuta ja kohandada määruse sisu.

Näiteks märgib määrus, et iga liikmesriik on õigustatud otsustama rahvuslike identifitseerimisnumbrite (nt isikukood) töötlemise piirid ning samuti võib iga liikmesriik täpsustada määruse kohaldumise ulatust töösuhetes.

Seda, kas ja millised saavad olema Eesti otsused määruse rakendusaktide vajalikkuse ja ulatuse suhtes, saame teada juba pooleteise aasta pärast.

Autor: jurist Tea Kookmaa

Lisa kommentaar

Sinu e-postiaadressi ei avaldata. Nõutavad väljad on tähistatud *-ga