Millised füüsilise isiku õigused kehtestatakse GDPR-iga?

30.04.2018

Neid, kes pole maagilisest tähekombinatsioonist GDPR ehk General Data Protection Regulation’ist, isikuandmete kaitse üldmäärusest midagi kuulnud, on üha vähem. Seda hakatakse kohaldama juba üsna peatselt, selle aasta 25. maist. Ühe suurema alavaldkonnana näeb GDPR ette andmesubjekti ehk füüsilise isiku õigused, mida tal on võimalik oma isikuandmete töötlemise (igasuguse isikuandmetega tehtava toimingu) suhtes rakendada.
 

See tähendab, et kõik isikuandmete töötlemisega kokku puutuvad asutused, organisatsioonid ja ettevõtted peaksid olema alates 2018. aasta kevadest valmis ka selleks, et vastata andmesubjekti päringutele ja taotlustele andmesubjekti puudutava isikuandmete töötlemise osas nii, nagu näeb ette kehtiv regulatsioon.

 



Millised füüsilise isiku õigused GDPR-iga kehtestatakse?
 

1. Andmesubjektile tuleb tagada vajalik teave selle kohta, kuidas tema isikuandmeid töödeldakse. 
2. Andmesubjektil on õigus tutvuda enda kohta käivate andmetega ning saada kinnitus selle kohta, kas ja milliseid teda käsitlevaid isikuandmeid töödeldakse. 
3. Vastutaval isikuandmete töötlejal on kohustus parandada ebaõiged isikuandmed ning tagada seega kõrge andmekvaliteet ja andmete õigsus.
4. Õigus oma andmete kustutamisele. Vastutav töötleja on kohustatud andmesubjekti kohta käivad andmed kustutama juhul, kui esineb üks GDPR-is toodud asjaoludest, mh näiteks, kui isikuandmeid ei ole enam vaja sellel eesmärgil, millega seoses need on kogutud või muul viisil töödeldud. 
5. Andmesubjektil ka õigus isikuandmete piiramisele (säilitatud isikuandmete märgistamine eesmärgiga piirata nende edaspidist töötlemist). Näiteks juhul, kui andmesubjekt vaidlustab isikuandmete õigsuse.
6. Andmete ülekandmise õigus (uus õigus) – andmesubjektil on õigus saada teda puudutavaid isikuandmeid (mida ta on vastutavale töötlejale esitanud) struktureeritud, üldkasutatavas vormingus ning masinloetaval kujul. Lisaks andmete saamisele on andmesubjektil õigus saada need andmed edastatud teisele vastutavale töötlejale (nt konkureeriv ettevõte), ilma et vastutav töötleja, kellele kõnealused isikuandmed on algselt esitatud, seda takistaks. Kusjuures andmesubjektil on õigus nõuda, et vastutav töötleja edastaks isikuandmed otse teisele vastutavale töötlejale siis, kui see on ka tehniliselt teostatav.
 
Kui töötlete andmesubjekti isikuandmeid, tuleb teil arvestada ka andmesubjekti õiguse ja tema võimalusega esitada vastuväiteid oma isikuandmete töötlemise suhtes. Näiteks kui helistate andmesubjektile ja pakute tooteid või töötlete tema isikuandmeid muul viisil otseturunduse eesmärgil, on andmesubjektil õigus igal ajal esitada vastuväiteid teda puudutavate isikuandmete töötlemise suhtes sellisel turunduslikul eesmärgil, sealhulgas ka profiilianalüüsi teostamise suhtes. Andmesubjekti profiilianalüüsi teostamise suhtes on eriti oluline tähele panna, et andmesubjektil on õigus, et tema kohta ei võetaks vastu otsust, mis põhineb üksnes automatiseeritud töötlusel (sh profiilianalüüsil), mis toob kaasa teda puudutavaid õiguslikke tagajärgi või avaldab talle märkimisväärset mõju. See on üldreegel, millest tuleb lähtuda, ent tuleb möönda, et GDPR näeb siin ette ka erandi võimalusi.

Ehkki GDPR asendab direktiivi 95/46/EÜ ning põhineb suuresti varasemal, toob uus õigusakt andmesubjekti õigustesse ja andmesubjekti õiguste rakendamisse siiski uusi nüansse. Advokaadibüroo KPMG Law saab teile kindlasti olla abivalmis ja asjatundlik partner andmesubjekti õiguste rakendamisel.

 
Lisainformatsioon:
Kärt Salumaa
Jurist
Advokaadibüroo KPMG Law

 
Loe tervet artiklit: 
 


Antud artikkel põhineb Kärt Salumaa artiklil "Andmesubjekti õigused uue isikuandmete kaitse üldmääruse foonil", mis ilmus Juridica väljaandes (nr 2018/2): https://www.juridica.ee/article.php?uri=2018_2_andmesubjekti_igused_uue_isikuandmete_kaitse_ldm_ruse_foonil