Ava peamenüü

Isikuandmete kaitse üldmäärus (inglise keeles General Data Protection Regulation, lüh GDPR) ehk Euroopa Liidu isikuandmete kaitse üldmäärus (lühendina ELIKÜM[1]) on Euroopa Liidu määrus, mis loob isikuandmete kaitse normidele õigusliku raamistiku, millega kehtestatakse suunised isikuandmete töötlemiseks Euroopa Liidus ja teatud tingimustel ka väljaspool Euroopa Liidu territooriumi. Määruse eesmärk on tugevdada, lihtsustada ja ühendada Euroopa Liidu isikuandmete kaitse norme, andes üksikisikutele suuremad õigused kontrollida, kuidas eraisikud, ettevõtted ja riigiasutused nende isikuandmeid töötlevad.

Isikuandmete kaitse üldmäärus asendab ja muudab kehtetuks enam kui 20 aastat seda valdkonda reguleerinud Euroopa Parlamendi ja nõukogu direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta.[2][3] Seni oli see kõige olulisem isikuandmete kaitset puudutav Euroopa Liidu õigusakt.

Sisukord

AjaluguRedigeeri

ELi andmekaitse reform sai alguse 2012. aasta jaanuaris, kui Euroopa Komisjon esitles uute andmekaitse reeglite raamistikku, mille põhieesmärgiks seadis üksikisikute õiguste tugevdamise digitaalse infovahetuse ajastul, kus andmete suuremahuline töötlemine ja ligipääsetavus andmepilvedes seab ohtu üksikisiku põhiõiguste tagamise nagu isikuandmete ja eraelu kaitse (ELi põhiõiguste harta, artikkel 7 ja 8).[4]

Reformi teiseks oluliseks eesmärgiks sai andmetöötluse reeglite lihtsustamine ettevõtete jaoks, et luua paremad tingimused ELi digitaalse ühisturu arenguks ja muuta ühisturg konkurentsivõimelisemaks vastukaaluks Ameerika Ühendriikides asuvatele internetis valitsevatele teenuseosutajatele nagu Google, Facebook, Amazon, Microsoft, Apple jt.

Pärast mitmeaastast arutelu ELi institutsioonides võeti määrus Euroopa Parlamendi poolt vastu 14. aprillil 2016. Määrus jõustus 24. mail 2016 (kahekümnendal päeval pärast selle avaldamist ELi Teatajas) ja hakkas pärast kaheaastast üleminekuperioodi kehtima 25. mail 2018.

Ei ole veel selge, kuidas GDPR muudab andmetöötluse reegleid ja praktikaid, kuid oma osa hakkab siis arvatavasti mängima ka kohtupraktika. Näiteks andis Austria juristi Max Schremsi asutatud mittetulundusühing noyb.eu kõigest mõned minutid pärast GDPRi kehtima hakkamist sisse kaebused Google'i, Facebooki, WhatsAppi ja Instagrami vastu.[5]

Võrdlus seni kehtinud isikuandmete kaitse direktiivigaRedigeeri

Võrreldes seni kehtinud regulatsiooniga on olulisemateks muudatusteks:

  • suurenev kohaldamisala: määrust kohaldatakse kõikidel juhtudel, kui ettevõtted töötlevad ELis asuvate üksikisikute isikuandmeid, sõltumata ettevõtte asukohast maailmas;
  • andmete teisaldatavus: üksikisik võib saada isikuandmete töötlejalt enda isikuandmed masinloetaval kujul ja edastada need teisele isikuandmete töötlejale;
  • kustutamisõigus: üksikisik võib nõuda enda isikuandmete kustutamist, kui need pole enam vajalikud või kui andmete töötlemine on ebaseaduslik;
  • privaatsuse arvestamine ja tagamine: ettevõte, kes kaupade pakkumisel või teenuste osutamisel töötleb isikuandmeid, peab nende andmete kaitsmist arvesse võtma ning nende kaupade või teenuste pakkumisel üksikisikule peavad privaatsuse tagamise seaded olema juba rakendatud, ilma et üksikisik peaks seda ise tegema.
  • andmekaitseametnik: see ettevõtte või asutuse poolt määratud ametnik täidab olulist rolli andmekaitse reeglite tagamisel, teavitades, nõustades ja pidades järelevalvet isikuandmetekaitse põhimõtete järgimise üle, olles vastutavaks vaheisikuks ettevõtte või asutuse, järelevalveasutuse ja üksikisiku vahel.

Eestis on nimetatud järelevalveasutuseks Andmekaitse Inspektsioon.

Vaata kaRedigeeri

ViitedRedigeeri

VälislingidRedigeeri