Isikuandmete kaitse

Isikuandmete kaitse kohta Euroopa tasandil on viitetekstiks Euroopa Parlamendi ja nõukogu direktiiv 95/46/EÜ. Sellega kehtestatakse reguleeriv raamistik, et saavutada tasakaal üksikisiku privaatsuse kõrgetasemelise kaitse ja isikuandmete vaba liikumise vahel Euroopa Liidus (EL). Seetõttu on direktiiviga kehtestatud ranged piirangud isikuandmete kogumise ja kasutamise suhtes ning iga ELi liikmesriik peab asutama sõltumatu riikliku andmekaitseasutuse, kes tegeleb kõigi isikuandmete töötlemisega seotud tegevuste järelevalvega.

AKT

Euroopa Parlamendi ja nõukogu direktiiv 95/46/EÜ, 24. oktoober 1995, üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (vt muutmisaktid).

KOKKUVÕTE

Direktiivi kohaldatakse nii sellistele andmetele, mida töödeldakse automatiseeritud vahenditega (näiteks klientide arvutiandmebaas), kui ka sellistele andmetele, mis sisalduvad automatiseerimata kataloogides või kavatsetakse sinna hiljem kanda (tavalistel paberkandjatel).

Käesolevat direktiivi ei kohaldata isikuandmete töötlemisele järgmistel juhtudel:

kui seda teeb füüsiline isik puhtalt isiklikel või kodustel eesmärkidel;
kui see toimub sellise tegevuse käigus, mis jääb väljapoole ühenduse õigust, nagu näiteks tegevus, mis on seotud avaliku korra, riigikaitse või riigi julgeolekuga.

Direktiivi eesmärk on kaitsta füüsiliste isikute õigusi ja vabadusi üksikisikute isikuandmete töötlemisel ning kehtestada andmekvaliteedi põhimõtted ja põhikriteeriumid nende andmete töötlemise õiguspärasuse tagamiseks.

Andmetöötlus on seaduslik üksnes juhul, kui

andmesubjekt on selleks andnud oma ühemõttelise nõusoleku või
töötlemine on vajalik sellise lepingu täitmiseks, milles andmesubjekt on osaline, või
töötlemine on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks või
töötlemine on vajalik andmesubjekti eluliste huvide kaitsmiseks või
töötlemine on vajalik üldiste huvidega seotud ülesande täitmiseks või sellise avaliku võimu teostamiseks, mis on tehtud ülesandeks volitatud töötlejale või kolmandale isikule, või
töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvide elluviimiseks, kui selliseid huve ei kaalu üles kaitstavate andmesubjekti põhiõiguste ja -vabadustega seotud huvid.

Andmete igasugusel seaduslikul töötlemisel tuleb rakendada järgmisi andmekvaliteedi põhimõtteid:

isikuandmeid tuleb töödelda ausalt ja seaduspäraselt. Neid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel. Isikuandmed peavad olema piisavad, asjakohased ja mitte ülemäärased, täpsed ja vajaduse korral ajakohastatud, neid tohib säilitada ainult nende kogumise eesmärgil ning mitte kauem kui vajalik;
töötlemise eri kategooriad: keelatud on rassilist või etnilist päritolu, poliitilisi vaateid, usulisi või filosoofilisi veendumusi, ametiühingu liikmelisust paljastavate või tervislikku seisundit või seksuaalelu käsitlevate isikuandmete töötlemine. Selle sättega kaasnevad reservatsioonid, mida tehakse näiteks olukorras, kus töötlemine on vajalik andmesubjekti eluliste huvide kaitseks või ennetava meditsiini ja meditsiinilise diagnoosi jaoks.

Isik, kelle andmeid töödeldakse, ehk andmesubjekt, võib kasutada järgmisi õigusi:

õigus saada teavet: vastutav töötleja peab esitama andmesubjektile teatud andmed (vastutava töötleja isikuandmed, töötlemise eesmärk, andmete saajad jne);
andmesubjekti juurdepääsuõigus andmetele: andmesubjektil on õigus vastutavalt töötlejalt nõuda järgmist;
õigus esitada vastuväiteid andmete töötlemisele: andmesubjektil peab olema õigus esitada õiguslikel alustel vastuväiteid endaga seotud andmete töötlemise suhtes. Samuti peab olema võimalus esitada soovi korral ja selle eest maksmata vastuväiteid isikut ennast käsitlevate andmete töötlemise suhtes, kui andmeid kavatsetakse töödelda otseturustamisel kasutamiseks. Andmesubjekti tuleb teavitada ka enne isikuandmete avalikustamist kolmandatele isikutele otseturustamise eesmärgil ning anda talle õigus esitada vastuväiteid nende andmete avalikustamise suhtes.

Andmetöötluse muud asjaomased tahud:

andmesubjekti õigustega seotud erandid ja piirangud: andmete kvaliteedi, andmesubjektile antava teabe, juurdepääsuõiguse ja andmete töötlemise avalikustamisega seotud põhimõtete ulatust võib piirata, et tagada muu hulgas riigi julgeolekut, riigikaitset, avalikku korda, kuritegude eest vastutusele võtmine, liikmesriigi või ELi oluliste majanduslike või rahanduslike huvide või andmesubjekti kaitse;
andmete töötlemise konfidentsiaalsus ja turvalisus: volitatud töötleja ja kõik tema alluvuses tegutsevad isikud, kellel on juurdepääs isikuandmetele, tohivad kõnealuseid andmeid töödelda ainult kooskõlas vastutava töötleja juhtnööridega. Lisaks peab töötleja võtma vajalikud meetmed, et kaitsta isikuandmeid juhusliku või ebaseadusliku hävitamise, juhusliku kaotsimineku, muutmise, ebaseadusliku avaldamise või juurdepääsu eest;
järelevalveasutuse teavitamine andmete töötlemisest: vastutav töötleja peab enne andmete töötlemist teavitama riiklikku järelevalveasutust. Pärast teate saamist tuleb järelevalveasutusel läbi viia eelkontroll andmesubjektide õiguste ja vabadustega seotud ohtude osas. Tagada tuleb andmete töötlemise avalikustamine ja järelevalveasutus peab teavitatud andmete töötlemise kohta pidama registrit.

Kõik isikud peavad nende õiguste rikkumiste korral saama kasutada õiguskaitsevahendit, mis on tagatud kõnealuste andmete töötlemisele kohaldatavate riiklike sätetega. Lisaks on isikul, kellele on tekitatud kahju isikuandmete ebaseadusliku töötlemise tõttu, õigus saada hüvitist.

Isikuandmete edastamine on lubatud liikmesriikidest kolmandatesse riikidesse, kus on tagatud andmete piisav kaitse. Kuigi edastamine ei pruugi toimuda, kui ei ole tagatud piisav kaitse, on direktiivis selle reegliga seoses loetletud mitmeid erandeid, nt kui andmesubjekt ise annab edastamiseks nõusoleku, kui see on vajalik üldiste huvidega seotud põhjustel, lepingu sõlmimise korral, aga ka juhul, kui liikmesriik on kinnitanud ettevõtetele siduvad eeskirjad või lepingu tüüptingimused.

Direktiivi eesmärk on edendada riiklikke ja ühenduse tegevusjuhendeid, mis aitaksid kaasa riiklike ja ühenduse sätete nõuetekohasele rakendamisele.

Iga liikmesriik näeb ette ühe või mitu sõltumatut asutust, kes teostavad vastava riigi territooriumil järelevalvet kõnealuse direktiivi kohaselt vastu võetud sätete kohaldamise üle.

Üksikisikute kaitseks seoses isikuandmete töötlemisega luuakse töörühm, kuhu kuuluvad riiklike järelevalveasutuste esindajad, ühenduse järelevalveinstitutsioonide ja -asutuste esindajad ning komisoni esindaja.

VIITED

Akt	Jõustunud	Liikmesriikide õigusesse ülevõtmise tähtaeg	Euroopa Liidu Teataja
Direktiiv 95/46/EÜ	13.12.1995	24.10.1998	EÜT L 281, 23.11.1995

Muutmisakt(id)	Jõustunud	Liikmesriikide õigusesse ülevõtmise tähtaeg	Euroopa Liidu Teataja
Määrus (EÜ) nr 1882/2003	20.11.2003	–	ELT L 284, 31.10.2003

Direktiivi 95/46/EÜ kronoloogilised muudatused on alusdokumenti lisatud. Konsolideeritud versioonil on üksnes informatiivne väärtus.

SEONDUVAD ÕIGUSAKTID

RAKENDAMISARUANNE

Komisjoni 7. märtsi 2007. aasta teatis Euroopa Parlamendile ja nõukogule andmekaitsedirektiivi parema rakendamise tööprogrammi järelmeetmete kohta ( KOM(2007) 87 lõplik – ei ole avaldatud Euroopa Liidu Teatajas).

Teatises uuriti andmekaitsedirektiivi parema rakendamise tööprogrammi raames tehtud tööd, mis kajastub esimeses aruandes direktiivi 95/46/ EÜ rakendamise kohta. Komisjon leidis, et direktiivi rakendamine on paranenud ja kõik liikmesriigid on direktiivi üle võtnud. Komisjoni arvates ei ole vaja direktiivi muuta.

Komisjon lisas veel järgmist:

et ta jätkab koostööd liikmesriikidega ning algatab vajaduse korral ametlikud rikkumismenetlused;
et ta koostab tõlgendava teatise direktiivi teatavate sätete kohta;
et ta jätkab tööprogrammi rakendamist;
et juhul, kui mõnes valdkonnas toimub suur tehnoloogiline areng, esitab ta ELi tasandil valdkonnaspetsiifilisi õigusakte;
et ta jätkab koostööd välispartneritega, eelkõige Ameerika Ühendriikidega.

Komisjoni 15. mai 2003. aasta aruanne pealkirjaga „Komisjoni esimene aruanne andmekaitsedirektiivi (95/46/EÜ) rakendamise kohta” ( KOM(2003) 265 lõplik – ei ole avaldatud Euroopa Liidu Teatajas).

Aruanne andis ülevaate eelkõige komisjoni ning valitsuste, institutsioonide, ettevõtete ühenduste, tarbijate ühenduste ja kodanike ühenduste vahel direktiivi 95/46/EÜ hindamise teemal toimunud konsultatsioonidest. Konsultatsioonide tulemused näitasid, et vaid mõned vastajatest pooldasid direktiivi läbivaatamist. Lisaks märkis komisjon pärast liikmesriikidega konsulteerimist, et enamik neist ja ka riiklikest järelevalveasutustest ei pidanud vajalikuks praegu direktiivi muuta.

Hoolimata direktiivi rakendamisel tekkinud viivitustest ja lünkadest, on see täitnud oma peamise eesmärgi – kõrvaldanud isikuandmete vaba liikumise takistused liikmesriikide vahel. Komisjon leidis ka, et eesmärk tagada kaitse kõrge tase on ühenduses saavutatud, sest direktiivis püstitatud andmekaitse standardid on ühed kõrgemad maailmas.

Siseturupoliitika muid eesmärke aga ei ole nii hästi täidetud. Andmekaitset käsitlevad õigusaktid erinevad liikmesriikide vahel siiani märkimisväärselt. Need erinevused aga takistavad rahvusvahelistel organisatsioonidel määratleda üleeuroopalist andmekaitsepoliitikat. Seetõttu teatas komisjon kavatsusest teha samme olukorra parandamiseks, vältides võimaluse korral ametlike meetmete võtmist.

Mis puutub kooskõlastatuse üldisse tasemesse andmekaitset käsitlevate ELi õigusaktidega, seistakse silmitsi kolme probleemiga:

ebapiisavate vahendite eraldamine;
andmetöötlejatele esitatavate nõuete väga ebaühtlane täitmine;
andmesubjektide ilmselgelt vähesed teadmised oma õigustest, mis võib olla eelmises punktis mainitud probleemi alus.

Et tagada andmekaitsedirektiivi parem rakendamine, on komisjon vastu võtnud tööprogrammi, mis koosneb mitmest meetmest, mida kavatsetakse võtta käesoleva aruande vastuvõtmise ja 2004. aasta lõpu vahel. Need meetmed hõlmavad järgmisi algatusi:

arutelud liikmesriikide ja andmekaitseasutustega riiklike õigusaktide muutmise teemal, et viia need täielikku vastavusse käesoleva direktiivi nõuetega;
kandidaatriikide kaasamine direktiivi parema ja ühtsema rakendamise nimel tehtavatesse jõupingutustesse;
kõikidest direktiivi ülevõtvatest õigusaktidest teatamise parandamine;
rahvusvahelisele andmeedastusele esitatavate nõuete lihtsustamine;
eraelu puutumatust kaitsvate tehnoloogiate edendamine;
iseregulatsiooni ja Euroopa tegevusjuhendite edendamine.

ERAELU PUUTUMATUST JA ELEKTROONILIST SIDET KÄSITLEV DIREKTIIV

Euroopa Parlamendi ja nõukogu direktiiv 2002/58/EÜ , 12. juuli 2002, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (ELT L 201, 31.7 2002).

See direktiiv võeti vastu 2002. aastal üheaegselt elektroonilise side sektori reguleerimise uue seadusandliku süsteemiga. See sisaldab sätteid mitmetel rohkem või vähem tundlikel teemadel, nagu ühenduse pidamise andmete säilitamine liikmesriikides politsei jälitustegevuse jaoks (andmete säilitamine), soovimatute elektrooniliste kirjade saatmine, küpsiste ( cookies) kasutamine ja isikuandmete lisamine üldkasutatavatesse kataloogidesse.

Määrus (EL) nr 611/2013 sisaldab eeskirju üldkasutatava elektroonilise sideteenuse osutaja poolt isikuandmetega seotud rikkumistest teatamise kohta nende klientide isikuandmete kadumise, varastamise või muul moel ohtu sattumise korral.

Kui toimub isikuandmetega seotud rikkumine, mille tagajärjel satuvad isikuandmed ohtu, peavad teenuseosutajad direktiivi 2002/58/EÜ kohaselt rikkumisest teavitama pädevat riiklikku andmekaitseasutust ning teatavatel juhtudel ka kahjustatud abonente ja üksikisikuid. Määrusega (EL) 611/2013 kehtestatakse tehnilised rakendusmeetmed, mis selgitavad, kuidas tuleks kõnealuseid kohustusi täita.

Teenuseosutajad peaksid muu hulgas:

teavitama asjaomast andmekaitseasutust juhtumist 24 tunni jooksul pärast rikkumise avastamist, et selle ulatus jääks võimalikult väikseks;
võtma abonentide ja üksikisikute teavitamise üle otsustamisel arvesse ohtu sattunud andmete liiki, nt kui andmed sisaldavad finantsteavet, kui need on e-posti andmed, interneti logifailid, veebilehitsemise ajalugu vms;
edastama andmekaitseasutusele ja/või asjaomastele abonentidele või üksikisikutele teabe juhtumi üksikasjade, andmete liigi ning probleemi lahendamiseks võetud meetmete kohta.

KOLMANDATESSE RIIKIDESSE ANDMETE EDASTAMISE LEPINGU TÜÜPTINGIMUSED

Komisjoni otsus 2004/915/EÜ , 27. detsember 2004, millega muudetakse otsust 2001/497/EÜ kolmandatesse riikidesse isikuandmete edastamise lepingu alternatiivsete tüüptingimuste kogumi kasutuselevõtu kohta (ELT L 385, 29.12.2004).

Euroopa Komisjon on heaks kiitnud uued lepingu tüüptingimused, mida ettevõtted saavad kasutada piisavate tagatistena isikuandmete edastamisel EList kolmandatesse riikidesse. Need uued sätted lisatakse komisjoni 2001. aasta otsuse (vt allpool) sätetele.

Komisjoni otsus 2001/497/EÜ , 15. juuni 2001, kolmandatesse riikidesse isikuandmete edastamise lepingu tüüptingimuste kohta direktiivi 95/46/EÜ alusel (EÜT L 181, 4.7.2001].

Selles otsuses määratletakse lepingu tüüptingimused, mis tagavad isikuandmete piisava kaitse nende edastamisel EList kolmandatesse riikidesse. Otsusega kohustatakse liikmesriike kinnitama, et ettevõtted ja organisatsioonid, kes kasutavad selliseid tüüptingimusi lepingutes isikuandmete edastamise kohta kolmandatesse riikidesse, tagavad andmete piisava kaitse.

Komisjoni otsus 2010/87/EL kolmandates riikides asuvatele volitatud töötlejatele isikuandmete edastamise lepingu tüüptingimuste kohta nõukogu ja Euroopa Parlamendi direktiivi 95/46/EÜ alusel [Euroopa Liidu Teataja L 39, 12.2.2010].

Komisjoni otsused, mis kinnitavad isikuandmete piisavat kaitset nende edastamisel mitmetesse kolmandatesse riikidesse artikli 25 lõike 6 alusel: komisjon on praeguseks kinnitanud, et piisava kaitse tagavad Andorra, Argentina, Austraalia, Kanada (kommertsasutused), Šveits, Fääri saared, Guernsey, Iisrael, Mani saar, Jersey, Uus-Meremaa, Uruguay ja USA kaubandusministeeriumi programmi Safe Harbor põhimõtted.

ANDMEKAITSE ÜHENDUSE INSTITUTSIOONIDES JA ASUTUSTES

Euroopa Parlamendi ja nõukogu määrus (EÜ) nr 45/2001 , 18. detsember 2000, üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta (EÜT L 8, 12.1.2001).

Määruse eesmärk on tagada isikuandmete kaitse Euroopa Liidu institutsioonides ja asutustes. Tekstiga nähakse ette:

sätted, millega tagatakse isikuandmete töötlemise kõrgetasemeline kaitse ühenduse institutsioonides ja asutustes;
nende sätete kohaldamise üle järelevalve teostamiseks sõltumatu järelevalveasutuse loomine.

Viimati muudetud: 08.03.2014