Tänasest jõustus Euroopa Liidu uus andmekaitseseadus. Mida toob see aga kaasa Eesti inimestele ja ettevõtjatele?
Seitse olulist asja, mis muutub tänasest jõustuva andmekaitseseadusega (1)
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
- Üldreeglina võib Euroopas infoühiskonna teenuse raames isikuandmete töötlemiseks nõusoleku anda vähemalt 16-aastane laps ning siseriiklikult on võimalik seda iga alandada kuni 13-aastani. Eesti kavatseb seda reguleerida nii, et isikuandmete töötlemine infoühiskonna teenuste pakkumisel on seaduslik üksnes juhul, kui laps on vähemalt 13-aastane.Noorema kui 13-aastase lapse eest peab nõusoleku andma tema seaduslik esindaja. See tähendab, et edaspidi peavad teenuseosutajad nagu Facebook, YouTube’i, GMail, Spotify, jne. võtma tarvitusele meetmed, mis võimaldavad kontrollida, et Eestis oleks noorema kui 13-aastase lapse puhul nõusolek isikuandmete töötlemiseks antud tema seadusliku esindaja poolt.
- Sätestatud on kohustused kehtestada isikuandmete töötlemise tähtajad andmetöötluse tingimustes, pidada isikuandmete töötlemise kohta logisid ja koostada isikuandmete töötlemise ülevaade. Kui seaduses ei ole sätestatud isikuandmete säilitamise tähtaega, peab töötleja tähtaja ise kehtestama ja tagama, et tähtaja möödumisel kustutatakse isikuandmed pöördumatult.
- Inimesel on õigus nõuda enda kohta kogutud andmete ülekandmist ühe töötleja juurest teise juurde, kui see on tehniliselt teostatav. See tähendab, et inimesel on näiteks õigus nõuda, et tema kohta side-ettevõtja juures salvestatud andmed edastatakse mõnele teisele andmetöötlejale, näiteks andmesubjekti soovil teisele side-ettevõtjale soovitava teenuse saamiseks. Selle kõige eelduseks on, et isikuandmete töötlemine on nõusoleku või lepingu alusel ning isikuandmete allikaks on inimene ise.
- Maksimumkaristusena on isikuandmete kaitse üldmääruse rikkumisel ettenähtud rahatrahv kuni 20 000 000 eurot või kuni 4 protsenti juriidilise isiku käibest. Sätte rakendamine eeldab Eesti karistusseadustiku muutmist.
- Ettevõtjad peavad küsima kliendilt nõusoleku tema andmete töötlemiseks, kui varasemalt antud nõusolek ei vasta uutele nõuetele. Seetõttu oleme kõik viimasel ajal saanud firmadelt sellesisulisi kirju.
- Paljud ettevõtted ja kõik asutused peavad määrama andmekaitsespetsialisti. Määramisest tuleb teatada Andmekaitse Inspektsioonile. Andmekaitsespetsialisti peavad määrama ettevõtted, kes jälgivad ulatuslikult ja süsteemselt oma kliente (näiteks profileerib oma kliente) või kes töötleb ulatuslikult eriliiki isikuandmeid (näiteks tervise-, karistus- ja biomeetrilised andmed, poliitilised ja usulised vaated). Omaenda personaliandmete töötlemine ei ole ettevõtte põhitegevus. Kui teavitus esitatakse ettevõtjaportaali (https://ettevotjaportaal.rik.ee/) kaudu, siis eraldi ei ole vaja inspektsiooni teavitada.
- Uue regulatsiooni läbiv põhimõte on, et andmetöötlustoimingute eest ei saa vastutust panna kellelegi teisele. Isikuandmete töötleja ise peab omama täielikku ülevaadet toimingute eesmärgistamisel, privaatsusmõjude hindamisel ning pädevate turvameetmete rakendamisel. Andmetöötlus peab inimeste jaoks olema läbipaistev, õiglane ning põhjendatud. Seetõttu peavad isikuandmete töötlejad oma lahenduste väljatöötamisel arvestama vaikimisi ja lõimitud andmekaitse põhimõtteid .