Isikuandmete kaitse üldmäärus (GDPR)
KOKKUVÕTE:
määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta
MIS ON MÄÄRUSE EESMÄRK?
- Isikuandmete kaitse üldmäärusega kaitstakse üksikisikuid, kui nende andmeid töötlevad erasektor ja enamik avalikust sektorist. Kui asjaomased asutused töötlevad andmeid õiguskaitse eesmärgil, kohaldatakse selle asemel andmekaitsealase õiguskaitse direktiivi (vt kokkuvõte).
- Määrus annab üksikisikutele võimaluse oma isikuandmeid paremini kontrollida. Lisaks ajakohastab ja ühtlustab see eeskirju, võimaldades ettevõtjatel vähendada bürokraatiat ja saada kasu tarbijate suuremast usaldusest.
- Sellega luuakse täiesti sõltumatute järelevalveasutuste süsteem, kes vastutavad nõuete täitmise järelevalve ja täitmise tagamise eest.
- See on osa Euroopa Liidu (EL) andmekaitsereformist koos andmekaitsealase õiguskaitse direktiivi ja määrusega (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel ELi institutsioonides, organites ja asutustes (vt kokkuvõte).
PÕHIPUNKTID
Üksikisikute õigused
Isikuandmete kaitse üldmäärus tugevdab olemasolevaid õigusi, tagab uued õigused ja annab üksikisikutele tugevama kontrolli oma isikuandmete üle. See hõlmab järgmist.
- Isiku lihtsam juurdepääs oma andmetele. See hõlmab täiendava teabe andmist selle kohta, kuidas neid andmeid töödeldakse, ning selle teabe selge ja arusaadava kättesaadavuse tagamist.
- Uus õigus andmete ülekandmisele. See lihtsustab isikuandmete edastamist teenuseosutajate vahel.
- Selgem õigus andmete kustutamisele (õigus olla unustatud). Kui isik ei soovi enam oma andmete töötlemist ja puudub õiguspärane põhjus neid säilitada, siis andmed kustutatakse.
- Õigus saada teada, millal nende isikuandmeid on rikutud. Ettevõtjad ja organisatsioonid peavad teavitama asjaomast andmekaitse järelevalveasutust ja tõsiste andmetega seotud rikkumiste korral ka mõjutatud isikuid.
Ettevõtjatele kehtivad eeskirjad
Isikuandmete kaitse üldmäärus loob võrdsed tingimused kõigile ELi siseturul tegutsevatele ettevõtjatele, võtab kasutusele tehnoloogianeutraalse lähenemisviisi ja stimuleerib innovatsiooni mitmete sammude kaudu, mis hõlmavad järgmist.
- Ühtsed kogu ELi hõlmavad eeskirjad. Kogu ELi hõlmav ühtne andmekaitseseadus suurendab õiguskindlust ja vähendab halduskoormust.
- Andmekaitseametnik. Avaliku sektori asutused ja ettevõtjad, kes töötlevad andmeid ulatuslikult või kelle põhitegevus on andmete eriliikide, näiteks tervisega seotud andmete töötlemine, peavad määrama andmekaitse eest vastutava isiku.
- Ühtne kontaktpunkt. Ettevõtjad peavad suhtlema ainult ühe järelevalveasutusega (ELi liikmesriigis, kus on nende peamine tegevuskoht); asjaomased järelevalveasutused teevad piiriüleste juhtumite puhul koostööd Euroopa Andmekaitsenõukogu raames.
- ELi eeskirjad kolmandate riikide ettevõtjatele. Väljaspool ELi asuvad ettevõtted peavad kohaldama samu eeskirju, kui nad pakuvad teenuseid või kaupu üksikisikutele või jälgivad nende käitumist ELis.
- Innovatsiooni soosivad eeskirjad. Tuleb tagada, et andmekaitsemeetmed on toodetesse ja teenustesse integreeritud juba kavandamise algusetapist peale (lõimitud ja vaikimisi andmekaitse).
- Privaatsust soodustavad tehnikad. Näiteks soovitatakse pseudonümiseerimist (isiku tuvastamist võimaldavad andmekirje väljad asendatakse ühe või mitme väljamõeldud identifikaatoriga) ja krüpteerimist (andmed kodeeritakse selliselt, et ainult vastava loaga osapooled saavad neid lugeda), et piirata töötlemise sekkuvust.
- Teatiste eemaldamine. Isikuandmete kaitse üldmäärusega kaotati enamik teavitamiskohustusi ja nendega seotud kulud. Üks selle eesmärkidest on kõrvaldada takistused, mis mõjutavad isikuandmete vaba liikumist ELis. See lihtsustab ettevõtete laienemist ühtsel digitaalsel turul.
- Andmekaitse mõjuhinnangud. Kui andmete töötlemisega võib kaasneda suur oht isiku õigustele ja vabadustele, peavad organisatsioonid läbi viima mõjuhinnangu.
- Andmete kogumine. Väikestelt ja keskmise suurusega ettevõtjatelt ei nõuta töötlemise kohta andmete kogumist, välja arvatud juhul, kui andmeid töödeldakse regulaarselt, kui see võib ohustada selle isiku õigusi ja vabadusi, kelle andmeid töödeldakse, või need hõlmavad tundlikke andmeliike.
- Kaasaegne töövahend rahvusvaheliseks andmeedastuseks. Isikuandmete kaitse üldmäärus pakub mitmesuguseid vahendeid andmete edastamiseks väljapoole ELi, sealhulgas Euroopa Komisjoni poolt vastu võetud kaitse piisavuse otsuseid, kui ELi-väline riik pakub piisavat kaitset, eelnevalt heaks kiidetud (standardseid) lepinguklausleid, siduvaid kontsernisiseseid eeskirju, tegevusjuhendeid ja sertifitseerimist.
Läbivaatamine
Komisjon esitas 2020. aasta juunis aruande määruse hindamise ja läbivaatamise kohta. Järgmine hindamine toimub 2024. aastal.
MIS AJAST MÄÄRUST KOHALDATAKSE?
Isikuandmete kaitse üldmäärust kohaldatakse alates 25. maist 2018.
TAUST
Lisateave
Pärast COVID-19 puhangut ja kriisi tagajärgedega toimetulemiseks meetmete kehtestamist võttis komisjon vastu
PÕHIDOKUMENT
Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1–88)
Määruse (EL) 2016/679 hilisemad muudatused on algdokumenti lisatud. Käesoleval konsolideeritud versioonil on üksnes dokumenteeriv väärtus.
SEONDUVAD DOKUMENDID
Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiiv (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT L 119, 4.5.2016, lk 89–131)
Vt konsolideeritud versioon.
Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrus (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ (ELT L 295, 21.11.2018, lk 39–98)
Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiiv 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT L 201, 31.7.2002, lk 37–47)
Vt konsolideeritud versioon.
Viimati muudetud: 07.01.2022