Andmekaitsemääruse tegevuste TOP 10: 2. MÄÄRUSE KOHALDAMISALA JA ANDMETE EDASTAMINE VÄLJAPOOLE EUROOPA LIITU

Triniti

Uue isikuandmete kaitse üldmääruse põhilise eesmärgi – füüsiliste isikute põhiõiguste ja vabaduste, eriti isikuandmete kaitse tagamiseks, on määrusel muu hulgas laiendatud territoriaalne ja sisuline kohaldamisala. Esmapilgul vähetähtsad põhimõtted kätkevad endas muuhulgas ka seda, et mõelda tuleb, milline õigus kohaldub konkreetse EL ettevõtte tegevustele erinevates liikmesriikides ning kuidas ja millisel alusel saab toimuda andmete töötlus väljaspool EL-i.

Laiendatud territoriaalne kohalduvus

Nimelt, määruse artikli 3 järgi kohaldub määrus Euroopa Liidus asuvate füüsiliste isikute isikuandmete töötlemisele sõltumata sellest, kas töötlemine toimub liidus või mujal. Seega kohaldub määrus nii  Euroopa Liidus asuvatele kui ka väljaspool olevatele töötlejatele, kes pakuvad kaupu või teenuseid liidus asuvatele füüsilistele isikutele või jälgivad liidus asuvaid isikuid.

Ehk määrus kohaldub järgnevatel juhtumitel:

  • esiteks, liidus asuvatele isikuandmeid töötlevatele ettevõtetele ja organisatsioonidele;
  • teiseks, liidust väljaspool asuvatele ettevõtetele ja organisatsioonidele, kui toimub kaupade või teenuste suunamine liitu, kusjuures pole oluline, kas kaupade või teenuste eest küsitakse tasu. Näiteks võib kaupade liitu suunamiseks pidada, kui USA e-poest on võimalik tellida kaupa liitu ja e-pood arvutab hindu ümber liidu vääringusse või on saadav ka liikmesriigi keeles;
  • kolmandaks, liidust väljaspool asuvatele ettevõtetele ja organisatsioonidele, kui toimub liidus asuvate füüsiliste isikute jälgimine, näiteks, kui ettevõte profileerib (kogub infot nt ostuharjumuste, finantsvõimekuse vms kohta) liidus asuvaid isikuid.

Määrus kohaldub ka füüsilistele isikute poolt isikuandmete töötlemisele, kui muud sisulised nõudmised on täidetud ja tegemist pole isikuandmete kasutamisega rangelt isiklikus tarbeks.

Niisiis on määruse kohaldamisala lai, omades mõju ka Euroopa Liidust väljaspool asuvatele ettevõtetele.

Määruse sisuline kohaldamisala

Sisulise kohaldamisala järgi kohaldub määrus igasugusele isikuandmete töötlemisele, mis toimub täielikult või osaliselt automatiseeritult, aga ka automatiseerimata töötlusele, kui viimane on seotud süsteemse andmete kogumiga. Määrus ei loo ka erandit isikuandmetele, mille kogumine ja töötlus on toimunud enne määruse kohalduma hakkamist – töötlus peab vastama määruse nõuetele.

Määrus määratleb teatud piirangud ja erandid, millal see ei kohaldu. Näiteks ei kohaldu määrus, kui töödeldakse andmeid, mis puudutavad juriidilise isiku kontaktandmeid või kui andmeid töötleb füüsiline isik eranditult isiklike või koduste tegevuste käigus.

Määrus üks olulisi laiendusi on kohaldumine tervele nn töötlejate-võrgustiku. See tähendab, et võrreldes eelneva direktiiviga on oluliselt laiendatud nii vastutava töötleja kui ka iga volitatud töötleja kohustusi ja see tähendab, et ka volitatud töötlejad peavad uue määrusega kooskõlas olema ja võivad rikkumise korral olla koos vastutava töötlejaga solidaarselt vastutavad.

Millise liikmesriigi õigusest lähtuda?

Määrus on otsekohalduv, kuid jätab mitmes kohas liikmesriikidele õiguse teha erisusi. Eesti erisused on määratud isikuandmete kaitse seaduses ning määrust rakendavas enam kui 100-s eriseaduses. Näiteks on liikmesriikidel õigus ise määrata kui vana on laps andmekaitse mõttes kui otsustatakse infoühiskonnateenuseid. Laps ei saa ise nõusolekut anda ja kui annab, siis see on tühine. Eestis on selliseks vanuseks 13, samas kui Saksamaal 16. S.t et Eestis peab 12 a. lapse osas nõusoleku andma vanem, kuid Saksamaal on vaja, et ka 15 a. eest annaks nõusoleku vanem seda andmete töötlemiseks infoühiskonna teenuste nt sotsiaalmeedia kasutamiseks.

Menetluslikult loob määrus nn one-stop-shop põhimõtte, mille kohaselt juhtiv ettevõtte peamise või ainsa tegevuskoha järelevalveasutus on pädev tegutsema juhtiva järelevalveasutusena kõnealuse ettevõtte tehtud piirülese töötlemise suhtes. See tähendab, et ühe rikkumise osas, olgu kui tahes ulatuslik ning piire ületav, toimub menetlus pigem selles ühes, kindlaks määratud riigis sealse järelevalveasutuse poolt, seal kehtiva korra järgi. Seega kutsume selliseid ülepiirilisi ettevõtteid aegsasti kaaluma, kas nende isikuandmete alast tegevust on võimalik käsitada ühes riigis ning kas tolle riigi menetluskord, praktika ja viis on kõige sobivam.

Mida tähele panna andmete edastamisel väljapoole Euroopa Liitu?

Kuigi tegemist ei ole kitsalt kohaldumisala küsimusega, siis siinkohal nimetame ära ka suure osa määrusest, mis reguleerib seda, kuidas andmeid edastatakse väljaspoole Euroopa Majanduspiirkonda riiki, millel ei ole piisav andmekaitse.

Etteruttavalt tuleb nimetada, et sellised riigid on kõik riigid väljaspool EL-i, ja EMP riike, mille osas ei ole Euroopa Liidu tasandil teisiti otsustatud. Samas, arvestades infotehnoloogiliste teenuste ja toodete päritolu paljuski USA turul on asjakohane nimetada, et Euroopa Liidu ja USA vahel on sõlmitud nn andmekaitseraamistik Privacy Shield, millega liitunud USA ettevõtetele võib edastada töötlemiseks EL elanike andmeid. Kuigi edastuse korral üksnes töötlemise eesmärgil, on ikkagi vajalik lepingu sõlmimine volitatud töötlejaga, võimaldab see siiski lihtsamini teatud harjumuspäraseid teenuseosutajaid kasutada. Seda, kas kasutatava teenuse osutaja on volitatud töötlejana liitunud Privacy Shield programmiga, saad kontrollida

Mistahes muul juhul on edastamine lubatud vaid siis, kui:

  • on kokkulepitud kaitsemeetmetes (nt siduvad kontsernisisesed eeskirjad või standardsed andmekaitseklauslid);
  • andmesubjekt on sellise edastuse kohta andnud selge ja teadliku nõusoleku;
  • edastamist nõuab üheselt andmesubjektiga sõlmitud leping;
  • edastamine ei ole korduv või puudutab ainult piiratud arvu Andmesubjekte;
  • on vajalik, et kaitsta ettevõtte õigustatud huve, mille suhtes andmesubjekti huvid, õigused või vabadused ei ole ülekaalus ning kui on hinnatud kõiki edastamisega seotud asjaolusid ja kehtestatud sobivad kaitsemeetmed Isikuandmete kaitseks. Viimane neist on edastamine õigustatud huvi alusel ning sellest tuleb teavitada ka Andmekaitse Inspektsiooni.

Edastamisest väljapoole Euroopa Liitu ja EMP-i loe määruse 5. peatükist.

 

Juhtivast järelevalveasutusest
Vastutava töötleja või volitatud töötleja juhtiva järelevalveasutuse kindlaksmääramise suunised (eesti keeles) – vastu võetud 13.12.2016, kinnitatud 05.04.2017
Inglise keeles: Guidelines for identifying a controller or processor’s lead supervisory authority
Korduma kippuvad küsimused juhtiva järelevalveasutuse kohta (eesti keeles)  – vastu võetud 13.12.2016
Inglise keeles: FAQ on lead supervisory authority

Juhtiva andmekaitse ameti määramisest
Guidelines on the Lead Supervisory Authority (wp244rev.01)

Andmete edastamisest kolmandatesse riikidesse
Adequacy Referential
Working Document setting up a table with the elements and principles to be found in Binding Corporate Rules
Working Document setting up a table with the elements and principles to be found in Processor Binding Corporate Rules

Lisa kommentaar

Sinu e-postiaadressi ei avaldata. Nõutavad väljad on tähistatud *-ga