- Isikuandmete kaitse üldmäärus - Euroopa Parlamendi ja nõukogu määrus nr 2016/679
- Õiguskaitseasutuste direktiiv - Euroopa Parlamendi ja nõukogu direktiiv nr 2016/680
- Kogu info, mida andmetöötleja peab teadma on leitav Isikuandmete töötleja üldjuhendis.
Mõlema õigusakti sätted tuli Eestil üle võtta siseriiklikusse õigusesse 25. maiks 2018. Pärast seda kuupäeva hakkas Eesti andmetöötlejate tegevust reguleerima üleeuroopaline otsekohalduv üldmäärus koos siseriiklike täpsustavate õigusaktidega, mille kaudu tehti teatavates küsimustes täpsustusi ning erisusi.
Siseriiklikult reguleerivad isikuandmete andmetöötlust isikuandmete kaitse seadus ning isikuandmete kaitse rakendusseadus. Lisaks mõjutavad andmetöötleja tegevust mitmesugused õigusaktid, korrad ja täpsustavad reeglid, mis reguleerivad andmetöötlustoiminguid spetsiifilisemalt kindla tegevusvaldkonna sees.
Andmetöötleja tegevust reguleerivad õigusaktid
kaitseb pere- ja eraelu puutumatust, sõnumisaladust, õigust vabale
eneseteostusele ning annab õiguse küsida avaliku sektori asutustelt teavet, mida neil küsija kohta
on. Kogumis loovad nad aluse isikuandmete kaitsele.
sätestab isikuandmete töötlemise erialused ja muud peamised andmetöötluse erisused.
Isikuandmete kaitse seaduse rakendusseadus (836.06 KB, PDF)
näeb ette Euroopa Liidu isikuandmete kaitse üldmääruse ja õiguskaitsevaldkonna direktiivi rakendumise eri õigusvaldkondades.
Valdkondlikud õigusaktid, näiteks määrused, korrad, reeglid, mille eesmärk on täpsustada andmetöötlustoiminguid spetsiifilisemalt kindla tegevusvaldkonna sees.
Andmetöötlejate kohustused ja õigused võivad olla erinevad vastavalt sellele, millises rollis ollakse
Vastutav töötleja määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid. Seega, kui määrate ise kindlaks, miks ja kuidas tuleb isikuandmeid töödelda, on teie ettevõte või organisatsioon vastutav töötleja. Kõik organisatsioonis isikuandmeid töötlevad töötajad teevad seda vastutava töötleja ülesandel.
Põhimõtteliselt ei ole piiranguid, kes võib võtta vastutava töötleja rolli, kuid tegelikkuses tegutseb vastutava töötlejana tavaliselt organisatsioon kui selline, mitte organisatsiooni üksikisik (nt tegevjuht, töötaja või juhatuse liige).
Vastutav töötleja on asutus, kes teeb otsuse töötlemise teatavate põhielementide kohta.
Vastutav töötleja võib olla määratletud seadusega või tuleneda üksikjuhtumi faktiliste asjaolude või olukorra analüüsist. Teatavaid töötlemistoiminguid võib pidada (majandus)üksuse rolliga loomulikult seotuks. Paljudel juhtudel võivad lepingutingimused aidata vastutavat töötlejat tuvastada, kuigi need ei ole igas olukorras määravad.
Vastutav töötleja määrab kindlaks töötlemise eesmärgid ja vahendid, st töötlemise põhjuse ja viisi.
Vastutav töötleja peab otsustama nii eesmärkide kui ka vahendite üle. Mõned praktilisemad rakendamise aspektid („mitteolemuslikud vahendid“) võib siiski jätta töötleja otsustada. Ei ole vaja, et vastutaval töötlejal oleks tegelikult juurdepääs töödeldavatele andmetele, et teda saaks käsitada vastutava töötlejana.
Kaasvastutav andmetöötleja määrab teise või mitmete organisatsioonidega koos ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid. Kaasvastutavad töötlejad peavad sõlmima omavahelise lepingu või tegema kokkuleppe, määrates kindlaks igaühe vastutusvaldkonnad isikuandmete kaitse üldmääruse nõuete täitmiseks. Kokkuleppe põhitingimused tuleb teha teatavaks isikutele, kelle andmeid töödeldakse.
Kaasvastutavateks töötlejateks kvalifitseerumine võib tekkida juhul, kui töötlemisega on seotud rohkem kui üks osaline. Isikuandmete kaitse üldmäärusega (IKÜM) kehtestatakse kaasvastutavatele töötlejatele erieeskirjad ja kehtestatakse raamistik nende suhete reguleerimiseks.
Ühise vastutuse peamine kriteerium on kahe või enama üksuse ühine osalemine töötlemistoimingu eesmärkide ja vahendite kindlaksmääramisel.
Ühine osalemine võib toimuda kahe või enama üksuse ühise otsuse vormis või tuleneda kahe või enama üksuse ühistest otsustest, kui otsused täiendavad üksteist ja on vajalikud selleks, et töötlemine toimuks viisil, mis avaldab konkreetset mõju töötlemise eesmärkide ja vahendite kindlaksmääramisele. Oluline kriteerium on see, et töötlemine ei oleks võimalik ilma mõlema poole osaluseta selles mõttes, et kummagi poole poolne töötlemine on lahutamatu, st lahutamatult seotud. Ühine osalemine peab hõlmama ühelt poolt eesmärkide ja teiselt poolt vahendite kindlaksmääramist.
Volitatud töötleja töötleb isikuandmeid ainult vastutava töötleja nimel. Volitatud töötleja on tavaliselt ettevõtteväline kolmas isik. Kontserni korral võib üks ettevõtja tegutseda volitatud töötlejana teise ettevõtja nimel. Volitatud töötleja kohustused vastutava töötleja ees tuleb määrata kindlaks lepinguga või muu õigusakti alusel. Volitatud töötleja tohib anda oma kohustusi osaliselt teisele töötlejale või määrata kaasvolitatud töötleja, kui ta on selleks varem saanud vastutava töötleja kirjaliku volituse.
Volitatud töötleja on füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid vastutava töötleja nimel.
Volitatud töötlejaks kvalifitseerumiseks on kaks põhitingimust: ta on vastutava töötleja suhtes eraldiseisev üksus ja töötleb isikuandmeid vastutava töötleja nimel. Volitatud töötleja ei tohi töödelda andmeid muul viisil kui vastutava töötleja juhiste kohaselt.
Vastutava töötleja juhtnöörid võivad siiski jätta teatava kaalutlusõiguse selle suhtes, kuidas vastutava töötleja huve kõige paremini teenida, võimaldades volitatud töötlejal valida kõige sobivamad tehnilised ja organisatsioonilised vahendid. Volitatud töötleja rikub IKÜMi, kui läheb vastutava töötleja juhistest kaugemale ja hakkab kindlaks määrama oma isikuandmete töötlemise eesmärke ja vahendeid. Seejärel käsitletakse volitatud töötlejat kõnealuse töötlemisega seoses vastutava töötlejana ja tema suhtes võidakse kohaldada sanktsioone.
Töötlejate vahelised suhted
Vastutav töötleja võib kasutada üksnes volitatud töötlejaid, kes annavad piisavad tagatised asjakohaste tehniliste ja korralduslike meetmete rakendamiseks, et töötlemine vastaks IKÜMi nõuetele. Arvesse tuleks võtta volitatud töötleja ekspertteadmisi (nt tehniline oskusteave turvameetmete ja andmetega seotud rikkumiste kohta); töötlemise usaldusväärsus; volitatud töötleja ressursse ja volitatud töötleja vastavust heakskiidetud tegevusjuhendile või sertifitseerimismehhanismile.
Volitatud töötleja peab isikuandmeid töötlema lepingu või muu õigusakti alusel, mis on kirjalik (mh elektrooniline) ja siduv. Vastutav töötleja ja volitatud töötleja võivad otsustada pidada läbirääkimisi oma lepingu üle, mis sisaldab kõiki kohustuslikke elemente, või tugineda täielikult või osaliselt lepingu tüüptingimustele.
Isikuandmete kaitse üldmääruses on loetletud elemendid, mis tuleb töötlemislepingus sätestada. Töötlemislepingus ei tohiks siiski lihtsalt korrata IKÜMi sätteid; pigem peaks see sisaldama täpsemat ja konkreetset teavet selle kohta, kuidas nõudeid täidetakse ja millist turvalisuse taset nõutakse isikuandmete töötlemiseks, mh mis on töötlemislepingu ese.
Kaasvastutavad töötlejad määravad läbipaistval viisil kindlaks ja lepivad kokku oma vastutuses IKÜMist tulenevate kohustuste täitmisel. Nende vastavate kohustuste kindlaksmääramisel tuleb eelkõige arvesse võtta isikute õiguste kasutamist ja teabe esitamise kohustust. Lisaks peaks vastutuse jaotus hõlmama muid vastutava töötleja kohustusi, nagu andmekaitse üldpõhimõtted, õiguslik alus, turvameetmed, andmete rikkumisest teatamise kohustus, andmekaitsealane mõjuhinnang, volitatud töötlejate kasutamine, andmete edastamine kolmandate riikide poolt ning kontaktid isikute ja järelevalveasutustega.
Igal kaasvastutaval töötlejal on kohustus tagada, et tal on töötlemise õiguslik alus ja et andmeid ei töödelda edasi viisil, mis on vastuolus eesmärkidega, milleks andmeid jagav vastutav töötleja neid algselt kogus.
Kaasvastutavate töötlejate vahelise kokkuleppe õiguslikku vormi ei ole IKÜMis täpsustatud. Õiguskindluse huvides ning läbipaistvuse ja vastutuse tagamiseks soovitab Euroopa Andmekaitsenõukogu, et selline kokkulepe tuleks sõlmida siduva dokumendina, nagu leping või muu ELi või liikmesriigi õiguse kohane siduv õigusakt, mida vastutava töötleja suhtes kohaldatakse.
Kokkulepe kajastab nõuetekohaselt kaasvastutavate töötlejate vastavaid rolle ja suhteid isikute -suhtes ning kokkuleppe olemus tehakse isikutele kättesaadavaks.
Olenemata kokkuleppe tingimustest võivad isikud kasutada oma õigusi kõigi kaasvastutavate töötlejate suhtes ja nende vastu. Kokkuleppe tingimused ei ole järelevalveasutustele siduvad, olenemata sellest, kas osapooli käsitatakse kaasvastutavate töötlejatena või määratud kontaktpunktina.
Isikuandmete kaitse üldmääruse (IKÜM) art 4 p 23 on määratletud isikuandmete piiriülene töötlemine. Suunistes on selgitatud sõnapaari „mõjutab oluliselt“ tähendust – selleks, et isikuandmete töötlemine kedagi mõjutaks, peab olema asjaomasele isikule teatavat liiki mõju ning oluline mõju peab olema tõenäoline. Järelevalveasutused tõlgendavad aga väljendit „mõjutab oluliselt“ juhtumipõhiselt, st võetakse arvesse mh isikuandmete konteksti, andmete liiki ning töötlemise eesmärki.
Juhtivaks järelevalveasutuseks on asutus, kelle esmane ülesanne on käsitleda isikuandmete piiriülese töötlemisega seotud juhtumeid. Selleks tuleb välja selgitada IKÜM art 56 kohaselt vastutava töötleja peamine või ainus tegevuskoht ELs. Peamine tegevuskoht on IKÜM art 4 p 16 kirjeldatud kui koht, kus on juhatuse asukoht või koht, kus võetakse vastu isikuandmete töötlemise eesmärke ja vahendeid käsitlevad otsused ning sellel tegevuskohal on volitused neid otsuseid rakendada või kui volitatud töötlejal on tegevuskoht rohkem kui ühes liikmesriigis, siis tema juhatuse asukoht liidus.
Vastutava töötleja peamise tegevuskoha kindlaksmääramiseks on esmalt vaja välja selgitada tema juhatuse asukoht ELis, kui see on olemas. Samas võib juhtuda, et töötlemistoimingu eesmärki ja vahendeid käsitlevad otsused tehakse muus tegevuskohas kui juhatuse asukohas. Siis on võimalik kindlaks määrata rohkem kui üks juhtiv järelevalveasutus, nt juhul kui hargmaisel ettevõtjal on eri riikides eri töötlemistoimingute jaoks eraldi otsuseid vastu võtvad keskused.
Kui juhatuse peamise tegevuskoha kindlaksmääramine on keeruline, siis IKÜM põhjenduspunkt 36 selgitab, mida tuleks sellises olukorras arvesse võtta, mh kus allkirjastatakse töötlemise eesmärke ja vahendeid käsitlevad otsused; kus on volitused kõnealuseid otsuseid rakendada ning kus on vastutav või volitatud töötleja ettevõtjaks registreeritud.
Mis puutub kontserni, võetakse eelduslikult isikuandmete töötlemist käsitlevad otsused vastu üldist kontrolli omava ettevõtte tegevuskohas, va juhul, kui otsused töötlemise eesmärkide ja vahendite kohta tehakse mõnes muus tegevuskohas.
Kaasvastutavad töötlejad peaksid määrama kindlaks, millisel nende tegevuskohal on volitused rakendada isikuandmete töötlemist käsitlevaid otsuseid kõikide kaasvastutavate töötlejate suhtes (= töötlemise osas peamine tegevuskoht).
IKÜMis ei ole ette nähtud lahendust olukordadeks, kui vastutaval töötlejal on tegevuskoht mitmes liikmesriigis, kuid juhatus ELis puudub ning üheski ELis asuvatest tegevuskohtadest ei võeta vastu töötlemist käsitlevaid otsuseid.
Volitatud töötleja puhul on juhtiv järelevalveasutus see järelevalveasutus, kes on pädev tegutsema vastutava töötleja juhtiva järelevalveasutusena. See tähendab, et võib tekkida olukord, kus volitatud töötlejal tuleb kokku puutuda mitme järelevalveasutusega.
Asjaomase järelevalveasutuse põhimõtte kohaldamise eesmärk on tagada, et juhtiva järelevalveasutuse mudeli kasutamine ei takistaks muudel järelevalveasutustel küsimuse käsitlemisel sõna sekka öelda, näiteks kui isikuandmete töötlemise toiming mõjutab oluliselt ka neid, kes elavad (kuid ei pruugi olla kodanikud) väljaspool juhtiva järelevalveasutuse jurisdiktsiooni.
Last updated: 25.04.2024