Uus andmekaitse määrus paneb 2018.a. maist ettevõtjatele kohustuse tagada isikuandmete kaasaskantavus, õiguse olla unustatud ja annab isikutele ka teisi uusi õigusi. Sellega lisandub andmeid töötlevale ettevõtjale hulk kohustusi, kirjutab jurist Maarja Pild.
Isikuandmete kaitse seadus on siiani võimaldanud isikutel teatud eranditega nõuda sh andmete töötlemise ja avalikustamise lõpetamist, ebaõigete andmete parandamist ja õigust saada isikuandmete töötlejalt enda kohta käivaid isikuandmeid. Need õigused jäävad alles ka siis, kui jõustub uus üldmäärus. Küll aga annab uus määrus isikutele palju laiemad õigused isikuandmete töötleja suhtes või ka õigused, mida neil varem üldse ei olnud. Sellega lisandub ettevõtjale hulk kohustusi. Käesolev postitus keskendub meie TOP 10 tegevuskava osale, mis käitlebki viit uut õigust, mis on isikutel aastast 2018.
1. Isikuandmete kaasaskantavus
Isikul on õigus oma andmeid liigutada erinevate töötlejate vahel. Ehk siis isik saab nõuda töötlejalt andmeid endale või ka paluda need otse edastada uuele töötlejale. Edastus peab toimima struktureeritud, laialdaselt kasutatavas, masinloetavas ja koostalitlevas vormingus. Määrus julgustab töötlejaid arendama koostalitlevaid vorminguid, mis võimaldavad andmete ülekantavust. Sisuliselt tähendab see näiteks seda, et kui isik ei soovi enam ostelda poes A, siis isik saab paluda poelt A anda masinloetavas vormis kaasa tema isikuandmed ning minna nendega poodi B, kellest saab isiku uus andmete töötleja. Samuti saab isik paluda poel A edastada oma andmed otse poele B.
Selleks, et isikuandmete kaasaskantavust tagada tuleb aga ettevõtetel teha investeeringuid, kuivõrd enamasti ei ole ettevõttel andmed ei sellises vormingus, ega vastavalt struktureeritud kujul, et neid igal ajal kliendile kaasa anda või veel vähem edastada lihtsasti kasutatavas vormis enda konkurendile.
2. Teavitamine õigusest keelduda andmete töötlemisest
Määrusest tuleneb andmete töötlejatele kohustus informeerida isikuid, et neil on õigus keelduda andmete töötlemisest. Varasem seadusandlus sellist kohustust töötlejatele ette ei näinud. Õigusest keelduda tuleb teavitada selgelt ja eraldi igasugusest muust teabest. Teavitamiskohustus hõlmab ka seda, et selgitatakse, et isikul on õigus reguleerida, kuidas ja milleks kasutatakse tema erinevaid liiki andmeid.
Kuivõrd töötlejatel tuleb määruse järgi anda isikutele täiendavat informatsiooni, siis see kohustab ettevõtteid selles osas üle vaatama oma andmekaitse eeskirjad ning viisi, kuidas nõusolekut võetakse.
3. Töötlemise piiramise õigus
Isikud saavad õiguse nõuda töötlemise lõpetamist konkreetsete töötlemisviiside või konkreetsete andmete osas. Näiteks kui isik seab kahtluse alla, kas töötlejal on ikka tema kohta kaasaegsed andmed või kas ettevõtja peaks töötlema andmeid konkreetsel eesmärgil X, siis saab ta nõuda nende andmete töötlemise lõpetamist. Selline õigus nõuab ettevõtjalt tehnilisi võimalusi ja ressursse lõpetada töötlemine konkreetse isiku kohta või lõpetada konkreetsete andmete töötlemine.
4. Õigus olla unustatud
Õiguse nõuda teatud andmete kustutamist ehk nn õiguse olla unustatud saab isik eelkõige siis, kui andmete töötlemiseks ei ole õigustust või need ei ole enam ajakohased. Näiteks juhul kui töötlejal ei ole enam andmeid vaja eesmärgil, millega seoses need on kogutud.
Õigus nõuda andmete kustutamist oli isikutel ka varem, kuid uues määruses on see palju laiem. Sellega seoses tuleb ettevõtjal ka rohkem tegeleda erinevate avaldustega, kus andmete kustutamist nõutakse.
5. Profiilianalüüsi keelamine
Isik saab suurema õiguse teatud tingimuste täitmisel nõuda, et tema kohta ei võetaks vastu otsust, mis põhineb üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil. Vastav õigus tekib siis, kui profileerimisel on teada puudutavad õiguslikud tagajärjed või see avaldab talle märkimisväärset mõju. Näiteks veebipõhise krediiditaotluse automaatne tagasilükkamine või veebipõhine tööle värbamine ilma inimsekkumiseta.
Kokkuvõttev soovitus ja tegevuskava
Andmekaitse määruse jõustumine toob ettevõtetele suure hulga uusi kohustusi, millega peaks tegelema juba täna.
Uute õiguste osas tuleb ettevõtetel asuda analüüsima olemasolevaid isikuandmeid eesmärgiga välja selgitada:
