Uus andmekaitsemäärus paneb 2018. aasta maist ettevõtjatele kohustuse tagada isikuandmete kaasaskantavus, õiguse olla unustatud ja annab isikutele ka teisi uusi õigusi. Sellega lisandub andmeid töötlevale ettevõtjale hulk kohustusi, kirjutab jurist Maarja Pild.
- Maarja Pild Foto: erakogu
Isikuandmete kaitse seadus on siiani võimaldanud isikutel teatud eranditega nõuda sh andmete töötlemise ja avalikustamise lõpetamist, ebaõigete andmete parandamist ja õigust saada isikuandmete töötlejalt enda kohta käivaid isikuandmeid. Need õigused jäävad alles ka siis, kui jõustub uus üldmäärus. Küll aga annab uus määrus isikutele palju laiemad õigused isikuandmete töötleja suhtes või ka õigused, mida neil varem üldse ei olnud. Sellega lisandub ettevõtjale hulk kohustusi. Käesolev postitus keskendub meie TOP 10 tegevuskava osale, mis käitlebki viit uut õigust, mis on isikutel aastast 2018.
1. Isikuandmete kaasaskantavus
Isikul on õigus oma andmeid liigutada erinevate töötlejate vahel. Ehk siis isik saab nõuda töötlejalt andmeid endale või ka paluda need otse edastada uuele töötlejale. Edastus peab toimima struktureeritud, laialdaselt kasutatavas, masinloetavas ja koostalitlevas vormingus. Määrus julgustab töötlejaid arendama koostalitlevaid vorminguid, mis võimaldavad andmete ülekantavust. Sisuliselt tähendab see näiteks seda, et kui isik ei soovi enam ostelda poes A, siis isik saab paluda poelt A anda masinloetavas vormis kaasa tema isikuandmed ning minna nendega poodi B, kellest saab isiku uus andmete töötleja. Samuti saab isik paluda poel A edastada oma andmed otse poele B.
Selleks, et isikuandmete kaasaskantavust tagada, tuleb aga ettevõtetel teha investeeringuid, kuivõrd enamasti ei ole ettevõttel andmed ei sellises vormingus ega vastavalt struktureeritud kujul, et neid igal ajal kliendile kaasa anda või veel vähem edastada lihtsasti kasutatavas vormis enda konkurendile.
2. Teavitamine õigusest keelduda andmete töötlemisest
Määrusest tuleneb andmete töötlejatele kohustus informeerida isikuid, et neil on õigus keelduda andmete töötlemisest. Varasem seadusandlus sellist kohustust töötlejatele ette ei näinud. Õigusest keelduda tuleb teavitada selgelt ja eraldi igasugusest muust teabest. Teavitamiskohustus hõlmab ka seda, et selgitatakse, et isikul on õigus reguleerida, kuidas ja milleks kasutatakse tema erinevaid liiki andmeid.
Kuivõrd töötlejatel tuleb määruse järgi anda isikutele täiendavat informatsiooni, siis see kohustab ettevõtteid selles osas üle vaatama oma andmekaitse eeskirjad ning viisi, kuidas nõusolekut võetakse.
3. Töötlemise piiramise õigus
Isikud saavad õiguse nõuda töötlemise lõpetamist konkreetsete töötlemisviiside või konkreetsete andmete osas. Näiteks kui isik seab kahtluse alla, kas töötlejal on ikka tema kohta kaasaegsed andmed või kas ettevõtja peaks töötlema andmeid konkreetsel eesmärgil X, siis saab ta nõuda nende andmete töötlemise lõpetamist. Selline õigus nõuab ettevõtjalt tehnilisi võimalusi ja ressursse lõpetada töötlemine konkreetse isiku kohta või lõpetada konkreetsete andmete töötlemine.
4. Õigus olla unustatud
Õiguse nõuda teatud andmete kustutamist ehk nn õiguse olla unustatud saab isik eelkõige siis, kui andmete töötlemiseks ei ole õigustust või need ei ole enam ajakohased. Näiteks juhul kui töötlejal ei ole enam andmeid vaja eesmärgil, millega seoses need on kogutud.
Õigus nõuda andmete kustutamist oli isikutel ka varem, kuid uues määruses on see palju laiem. Sellega seoses tuleb ettevõtjal ka rohkem tegeleda erinevate avaldustega, kus andmete kustutamist nõutakse.
5. Profiilianalüüsi keelamine
Isik saab suurema õiguse teatud tingimuste täitmisel nõuda, et tema kohta ei võetaks vastu otsust, mis põhineb üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil. Vastav õigus tekib siis, kui profileerimisel on teda puudutavad õiguslikud tagajärjed või see avaldab talle märkimisväärset mõju. Näiteks veebipõhise krediiditaotluse automaatne tagasilükkamine või veebipõhine tööle värbamine ilma inimsekkumiseta.
Kokkuvõttev soovitus ja tegevuskava
Andmekaitse määruse jõustumine toob ettevõtetele suure hulga uusi kohustusi, millega peaks tegelema juba täna.
Uute õiguste osas tuleb ettevõtetel asuda analüüsima olemasolevaid isikuandmeid eesmärgiga välja selgitada:
- kas ettevõttel on tehniliselt võimalik isikule tema andmed n-ö kaasa anda (või teisele teenusepakkujale edastada) ja masinloetavaks teha ning vajadusel teatud andmete töötlemine lõpetada;
- kas privaatsustingimused on uuendatud nii, et nendes teavitatakse isikuid õigusest keelduda andmete töötlemisest, s.h andmeliikide ja eesmärkide lõikes;
- kas ettevõtte töötajad on pädevad andma vastuseid klientide küsimustele seoses isikuandmetega.
Artikkel ilmus algselt Delfi ärilehes.
ANTUD TEEMAST ROHKEM
12. oktoobril Bliss Maja konverentsikeskuses
Tutvu kavaga ja registreeri
SIIN!
Autor: Maarja Pild
Seotud lood
Paljud konsultandid on püüdnud oma teenuste müümise eesmärgil hirmutada ettevõtjaid andmekaitseseaduse määrusest tulenevate suurte trahvidega, kuid tegelikult Eesti jaoks ei tähenda määrusele üleminek otseselt ülisuuri trahviühikuid.
Ettevõtetes on väga palju andmeid, aga enamikke neist ei kasutata. Kasutatakse ainult seda osa, mis tundub kaugelt vaadates väärtuslik ja mis on kohe kättesaadav ning Excelisse kantav, lausub Nortali suurandmete ja masinõppe valdkonna juht Lauri Ilison.
Järgmisel aastal kehtima hakkav määrus tähendab ulatuslikke kohustusi kõikidele isikuandmeid töötlevatele firmadele, nõuete rikkumine võib tuua kuni 20 miljoni euro suuruse trahvi.
Varem tuli Eesti ettevõtjal andmekaitsereegleid otsida isikuandmete kaitse seadusest, kuid 25. maist 2018 tuleb õigusreeglit otsida Euroopa Liidu üldisest andmekaitsemäärusest, kirjutab advokaadibüroo TRINITI advokaat Maarja Pild.
Eesti ja kogu Baltikumi suurim kasutatud autode jaemüüja AS Longo Group pakub kõigis kolmes Balti riigis võlakirju summas 10 miljonit eurot, mille aastane fikseeritud intressimäär on 10% ja tähtaeg kolm aastat. Võlakirjade märkimisperiood kestab kuni 25. novembrini ning on avatud nii jae- kui ka kutselistele investoritele.