Andmekaitsemääruse tegevuste TOP 10: 5. UUED ÕIGUSED

Triniti

Enne üldmääruse jõustumist kehtinud isikuandmete kaitse seadus  võimaldas isikutel teatud eranditega nõuda sh andmete töötlemise ja avalikustamise lõpetamist, ebaõigete andmete parandamist ja õigust saada isikuandmete töötlejalt enda kohta käivaid isikuandmeid. Need õigused on alles ka uues üldmääruses. Küll aga annab uus määrus isikutele palju laiemad õigused isikuandmete töötleja suhtes või ka õigused, mida neil varem üldse ei olnud. Sellega lisandub ettevõtjale hulk kohustusi. Selles peatükis käsitlemegi viit uut õigust, mis on isikutel 2018. aasta maist.

Õigus teabele, infole ja koopiale

Vastutaval töötlejal on laialdane teabe andmise kohustus nii olukorras, kui andmed saadakse otse isikutelt kui ka siis, kui need kogutakse mujal: alates töötluse eesmärgist ja lõpetades säilitamise tähtaegadega.

Teabeõigust täiendab andmesubjekti õigus koopiale enda andmetest. Siinkohal on oluline tähelepanu, et kui andmesubjekt taotleb lisakoopiaid, siis mõistlikku tasu halduskulude katmiseks.

Isikuandmete kaasaskantavus

Isikul on õigus oma andmeid liigutada erinevate töötlejate vahel. Ehk siis isik saab nõuda töötlejalt andmeid endale või ka paluda need otse edastada uuele töötlejale. Edastus peab toimima struktureeritud, laialdaselt kasutatavas, masinloetavas ja koostalitlevas vormingus. Määrus julgustab töötlejaid arendama koostalitlevaid vorminguid, mis võimaldavad andmete ülekantavust. Sisuliselt tähendab see näiteks seda, et kui isik ei soovi enam ostelda poes A, siis isik saab paluda poelt A anda masinloetavas vormis kaasa tema isikuandmed ning minna nendega poodi B, kellest saab isiku uus andmete töötleja ning poel B on juba teada isiku ostueelistused ja ostlemise ajalugu. Samuti saab isik paluda poel A edastada oma andmed otse poele B.

Selleks, et isikuandmete kaasaskantavust tagada võib olla vajalik teha investeeringuid, kuivõrd enamasti ei ole ettevõttel andmed ei sellises vormingus ega vastavalt struktureeritud kujul, et neid igal ajal kliendile kaasa anda või veel vähem edastada lihtsasti kasutatavas vormis enda konkurendile.

Teavitamine õigusest keelduda andmete töötlemisest

Määrusest tuleneb andmete töötlejatele kohustus informeerida isikuid, et neil on õigus keelduda andmete töötlemisest. Varasem seadusandlus sellist kohustust töötlejatele ette ei näinud. Õigusest keelduda tuleb teavitada selgelt ja eraldi igasugusest muust teabest. Teavitamiskohustus hõlmab ka seda, et selgitatakse, et isikul on õigus reguleerida, kuidas ja milleks kasutatakse tema erinevaid liiki andmeid.

Kuivõrd töötlejatel tuleb määruse järgi anda isikutele täiendavat informatsiooni, siis see kohustab ettevõtteid selles osas üle vaatama oma andmekaitse eeskirjad ning viisi, kuidas nõusolekut võetakse.

Töötlemise piiramise õigus

Isikud saavad õiguse nõuda töötlemise lõpetamist konkreetsete töötlemisviiside või konkreetsete andmete osas. Näiteks kui isik seab kahtluse alla, kas töötlejal on ikka tema kohta kaasaegsed andmed või kas ettevõtja peaks töötlema andmeid konkreetsel eesmärgil X, siis saab ta nõuda nende andmete töötlemise lõpetamist. Selline õigus nõuab ettevõtjalt tehnilisi võimalusi ja ressursse lõpetada töötlemine konkreetse isiku kohta või lõpetada konkreetsete andmete töötlemine.

Õigus olla unustatud

Õiguse nõuda teatud andmete kustutamist ehk nn õiguse olla unustatud saab isik eelkõige siis, kui andmete töötlemiseks ei ole õigustust või need ei ole enam ajakohased. Näiteks juhul kui töötlejal ei ole enam andmeid vaja eesmärgil, millega seoses need on kogutud.

Õigus nõuda andmete kustutamist oli isikutel ka varem, kuid uues määruses on see palju laiem. Sellega seoses tuleb ettevõtjal ka rohkem tegeleda erinevate avaldustega, kus andmete kustutamist nõutakse.

Profiilianalüüsi keelamine

Isik saab suurema õiguse teatud tingimuste täitmisel nõuda, et tema kohta ei võetaks vastu otsust, mis põhineb üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil. Vastav õigus tekib siis, kui profileerimisel on teada puudutavad õiguslikud tagajärjed või see avaldab talle märkimisväärset mõju. Näiteks veebipõhise krediiditaotluse automaatne tagasilükkamine või veebipõhine tööle värbamine ilma inimsekkumiseta.

Erandid andmesubjekti õiguste teostamisest

Igast õiguse teostamisele näeb määrus ette teatud erandid. Eelkõige on andmesubjekti nõue täidetamatu, kui sellega kahjustatakse ka teiste isikute õigusi ja vabadusi. Aga ülekandmise korral ka tehnilised võimalused või nende puudumine. Ettevõttel soovitame tagada, et kehtestatud on reeglid ja protseduurid sellest, kas ja kuidas need erandid ühes või teises ettevõttes kohalduvad.

Kokkuvõttev soovitus ja tegevuskava

Andmekaitse määruse jõustumine toob ettevõtetele suure hulga uusi kohustusi, millega peaks tegelema juba täna.

Uute õiguste osas tuleb ettevõtetel asuda analüüsima olemasolevaid isikuandmeid eesmärgiga välja selgitada:

  • kas ettevõttel on alused keelduda ühe või teise andmsubjekti õiguse teostamisest?
  • kas ettevõtte on tehniliselt võimalik isikule tema andmed n-ö kaasa anda (või teisele teenuse pakkujale edastada) ja masinloetavaks teha ning vajadusel teatud andmete töötlemine lõpetada;
  • kas privaatsustingimused on uuendatud selliselt, et nendes kohaselt teavitatakse isikuid õigusest keelduda andmete töötlemisest, s.h andme liikide ja eesmärkide lõikes;
  • kas ettevõtte töötajad on pädevad andma vastuseid klientide küsimustele seoses isikuandmetega.

 

Andmete ülekantavusest
Suunised andmete ülekandmise õiguse kohta(eesti keeles) – vastu võetud 13.12.2016, kinnitatud 05.04.2017
Inglise keeles:Guidelines on the right to data portability
Korduma kippuvad küsimused andmete ülekandmise õiguse kohta(eesti keeles) – vastu võetud 13.12.2016
Inglise keeles: FAQ on the right to data portability

Automaatotsustest ja profileerimisest
Guidelines on automated individual decision-making and profiling for the purposes of Regulation 2016/679–  (inglise keeles) vastu võetud 03.10.2017, kinnitatud 06.02.2018

Lisa kommentaar

Sinu e-postiaadressi ei avaldata. Nõutavad väljad on tähistatud *-ga