Üksikisikute kaitse isikuandmete töötlemisel ELi institutsioonides, organites ja asutustes

 

KOKKUVÕTE:

määrus (EL) 2018/1725 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ELi institutsioonides, organites ja asutustes ning isikuandmete vaba liikumise kohta

MIS ON MÄÄRUSE EESMÄRK?

Selle määrusega

• sätestatakse eeskirjad, kuidas ELi institutsioonid, organid, ametid ja asutused peaksid käsitlema isikuandmeid*, mis neil on üksikisikute kohta;
• toetatakse üksikisiku põhiõigusi ja -vabadusi, eriti õigust isikuandmete kaitsele ja õigust eraelu puutumatusele;
• ühtlustatakse ELi institutsioonide, organite, ametite ja asutuste eeskirju isikuandmete kaitse üldmääruse ja direktiiviga (EL) 2016/680 ehk andmekaitse õiguskaitsedirektiiviga, mida on kohaldatud alates 2018. aasta maist;
• tunnistatakse kehtetuks määrus (EÜ) nr 45/2001, mis varem sisaldas isikuandmete töötlemise eeskirju ELi institutsioonides, organites, ametites ja asutustes, ning tagatakse, et need vastavad samadele rangetele nõuetele, mis on sätestatud isikuandmete kaitse üldmääruses;
• tunnistatakse kehtetuks otsus nr 1247/2002/EÜ Euroopa Andmekaitseinspektori kohta.

PÕHIPUNKTID

Isikuandmete töötlemisel tagatakse, et:

• töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev;
• neid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel;
• need on asjakohased, olulised ja piiratud sellega, mis on vajalik;
• need on õiged ja vajaduse korral ajakohastatud;
• neid säilitatakse kujul, mis võimaldab asjaomaseid isikuid tuvastada ainult seni, kuni see on vajalik;
• neid töödeldakse viisil, mis tagab asjakohase konfidentsiaalsuse.

Vastutav töötleja* vastutab kõigi eespool nimetatud andmetöötluspõhimõtete eest ja peab suutma tõendada nende järgimist.

Lisaks on isikuandmeid

• lubatud edastada vastuvõtjale ELis, mis ei ole ELi institutsioon, organ, amet ega asutus, üksnes täiendavate kaitsemeetmete rakendamisel;
• lubatud edastada väljapoole ELi ainult rangetel tingimustel;
• keelatud töödelda (v.a eriolukorras), kui neist ilmneb isiku rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, kui need kujutavad endast geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta;
• vaja kaitsta asjakohaste kaitsemeetmetega, kui need arhiveeritakse avalikes huvides või teadus-, ajaloouuringute või statistilisel eesmärgil.

Taotlused isiku andmete kasutamiseks nõusoleku andmiseks peavad olema arusaadaval ja hõlpsasti kättesaadaval kujul ning selges ja lihtsas sõnastuses. Nõusolek peab olema üksikisiku selge kinnitus.

Üksikisikul (õigusaktides „andmesubjekt“) on õigus:

• nõusolek igal ajal tagasi võtta, mis peaks olema sama lihtne kui selle andmine;
• teada, kas tema isikuandmeid töödeldakse ja omada neile juurdepääsu;
• saavutada ebaõigete isikuandmete parandamine;
• eemaldada või piirata töötlemisel saadud isikuandmeid eeldusel, et teatavad tingimused on täidetud;
• saada oma vastutavale töötlejale antud isikuandmeid struktureeritud, laialdaselt kasutatavas ja masinloetavas vormingus ning edastada neid teisele vastutavale töötlejale;
• vaidlustada tema konkreetse olukorra tõttu isikuandmete kasutamine avalikes huvides;
• mitte lasta teha enda suhtes otsust, mis põhineb üksnes automatiseeritud töötlusel, mis toob kaasa teda puudutavaid õiguslikke tagajärgi;
• kaevata Euroopa Andmekaitseinspektorile, kui ta tunneb, et tema isikuandmeid töödeldakse viisil, mis rikub määrust;
• hüvitusele mis tahes materiaalse või mittevaralise kahju korral, mida ta kannab ELi institutsiooni, organi või asutuse tegevuse tõttu;
• volitada mittetulundusorganisatsiooni esitama Euroopa Andmekaitseinspektorile kaebuse.

Vastutavad töötlejad

• peavad isikuandmete kogumisel teavitama andmesubjekte selges keeles ja kasutades faktilist teavet, nagu vastutava töötleja kontaktandmed ja isikuandmete töötlemise eesmärk;
• peavad vastama andmesubjekti igale taotlusele, nagu juurdepääsuks oma isikuandmetele või nende sisu parandamiseks, nii kiiresti kui võimalik ja hiljemalt ühe kuu jooksul;
• rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid, sh pseudonümiseerimist*, et tagada isikuandmete töötlemise vastavus määrusele;
• peavad kasutama üksnes ELi nõuetele vastavaid andmetöötlejaid;
• dokumenteerivad üksikasjalikult nende vastutusel oleva andmetöötluse;
• teevad koostööd Euroopa Andmekaitseinspektoriga;
• teavitavad Euroopa Andmekaitseinspektorit ja teatavatel juhtudel ka asjaomast isikut võimalikult kiiresti isikuandmetega seotud rikkumisest;
• viivad läbi isikuandmete kaitsele avalduva mõju hindamise, kui teatava isikuandmete töötlemisega kaasneb suur oht;
• tagavad oma elektrooniliste sidevõrkude konfidentsiaalsuse ja turvalisuse;
• teavitavad Euroopa Andmekaitseinspektorit isikuandmete töötlemist käsitlevate haldusmeetmete või sise-eeskirjade koostamisest.

Õigusaktiga luuakse Euroopa Andmekaitseinspektori ametikoht, kelle ametiaeg on viis aastat ja keda võib ühe korra uuesti ametisse nimetada. Brüsselis asuva ametikoha omanik:

• tegutseb täiesti sõltumatult;
• käsitleb kõiki konfidentsiaalseid andmeid, hoides ametisaladust;
• jälgib, kuidas ELi institutsioonid, organid ja asutused kohaldavad õigusakte;
• parandab üldsuse arusaamist ja teadlikkust isikuandmete töötlemisest;
• tegeleb kaebustega ja viib läbi uurimisi;
• hoiatab ja karistab andmehaldureid;
• edastab küsimusi Euroopa Kohtule, kes käsitleb õigusakti puudutavaid vaidlusi;
• esitab aastaaruande Euroopa Parlamendile, nõukogule ja komisjonile;
• teeb koostööd riiklike andmekaitse järelevalveasutustega.

Euroopa andmekaitseinspektori töökord

15. mai 2020. aasta otsusega võeti vastu Euroopa andmekaitseinspektori töökord. Selles sätestatakse üksikasjalikult:

• Euroopa andmekaitseinspektori missioon, juhtpõhimõtted ja töökorraldus;
• järelevalve ja määruse kohaldamise tagamine Euroopa andmekaitseinspektori poolt;
• seadusandliku konsulteerimise, tehnoloogia järelevalve, teadusprojektide ja kohtumenetluste kord, ja
• koostöö kord riiklike järelevalveasutustega ja rahvusvaheline koostöö kord.

Erieeskirjad ELi institutsioonidele, organitele ja asutustele

Erieeskirju kohaldatakse ELi institutsioonide, organite ja asutuste suhtes, kes töötlevad kasutatavaid isikuandmeid* õiguskaitse eesmärgil (nt Eurojust). Nad on hõlmatud määruse konkreetse peatükiga. Selle peatüki eeskirjad on õiguskaitsedirektiiviga kooskõlas. Lisaks võib nende organite ja asutuste asutamisaktides sätestada konkreetsemad eeskirjad, et võtta arvesse nende eripära.

Käesolevat määrust ei kohaldata Europoli ning Euroopa prokuratuuri poolt kasutatavate isikuandmete töötlemise suhtes. Nende suhtes kohaldatakse erisätteid õigusaktides, millega need luuakse. Käesolev määrus hõlmab siiski nende poolt halduslikku laadi isikuandmete, näiteks personaliandmete töötlemist.

Andmekaitseametnikud

Vastutavad töötlejad nimetavad andmekaitseametniku kolme- kuni viieaastaseks ametiajaks, et:

• sõltumatult nõustada isikuandmete töötlemist;
• jälgida andmekaitsenormide järgimist.

Aruanded

Euroopa Komisjon peab esitama esimese aruande määruse kohaldamise kohta 30. aprilliks 2022.

MIS AJAST MÄÄRUST KOHALDATAKSE?

Seda kohaldatakse alates 11. detsembrist 2018, välja arvatud isikuandmete töötlemise puhul Eurojusti poolt, mille korral kohaldatakse seda alates 12. detsembrist 2019.

TAUST

Põhiõiguste harta artiklis 8 on sätestatud, et igaühel on õigus isikuandmete kaitsele. Euroopa Liidu toimimise lepingu artiklis 16 arendatakse seda õigust edasi. See artikkel on ELi andmekaitsealaste õigusaktide õiguslik alus.

Lisateave

• Andmekaitse ELis (Euroopa Komisjon)

PÕHIMÕISTED

PÕHIDOKUMENT

Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrus (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ (ELT L 295, 21.11.2018, lk 39–98)

SEONDUVAD DOKUMENDID

Komisjoni 3. juuli 2020. aasta otsus (EL) 2020/969, millega kehtestatakse andmekaitseametnikku, andmesubjektide õiguste piiranguid ning Euroopa Parlamendi ja nõukogu määruse (EL) 2018/1725 kohaldamist käsitlevad rakenduseeskirjad ning tunnistatakse kehtetuks komisjoni otsus 2008/597/EÜ (ELT L 213, 6.7.2020, lk 12–22)

Euroopa Andmekaitseinspektori 15. mai 2020. aasta otsus Euroopa Andmekaitseinspektori töökorra vastuvõtmise kohta (ELT L 204, 26.6.2020, lk 49–59)

Euroopa andmekaitseinspektori 2. aprilli 2019. aasta otsus sise-eeskirjade kohta, mis puudutavad andmesubjektide teatavate õiguste piiranguid seoses isikuandmete töötlemisega Euroopa andmekaitseinspektori tegevuse raames (ELT L 99I, 10.4.2019, lk 1–7)

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1–88)

Määruse (EL) 2016/679 hilisemad muudatused on algdokumenti lisatud. Käesoleval konsolideeritud versioonil on üksnes dokumenteeriv väärtus.

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiiv (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT L 119, 4.5.2016, lk 89–131)

Vt konsolideeritud versioon.

Viimati muudetud: 14.01.2022