Mida on GDPR?
Üldine andmekaitseseadus (GDPR) on andmekaitseseadus, mis võeti Euroopa Liidus vastu 2016. aastal ja jõustus 25. mail 2018. See asendab 1995. aasta ELi andmekaitsedirektiivi ja on peamine õiguslik raamistik andmekaitses ELis. GDPR kehtib igale organisatsioonile, olenemata asukohast, mis töötleb ELis elavate isikute isikuandmeid.
GDPR sätestab mitu õigust isikutele nende isikuandmete suhtes, sealhulgas õiguse juurdepääsule, parandamisele, kustutamisele, piiramisele, vastuolule ja ülekandmisele. See nõuab ka organisatsioonidelt isikuandmeid kaitsva sobiva tehnilise ja organisatsioonilise kaitsemeetmete rakendamist ja määratud tüüpi isikuandmete rikkumiste teatamist asjakohastele ametivõimudele.
GDPR tähtsad määratlused hõlmavad järgmist:
- Isikuandmed: Mis tahes teave, mis puudutab isikut, kes saab otseselt või kaudselt tuvastada. See hõlmab nimesid, e-posti aadresse, asukohaandmeid, etnilist päritolu, soo, biometriaandmeid, usulisi veendumusi, veebiküpsiseid ja poliitilisi arvamusi ning ka pseudonüümset andmet, mis saab lihtsalt seostada isikuga.
- Andmetöötlus: Mis tahes toiming, mida tehakse andmetega, olgu see automatiseeritud või manuaalne, sealhulgas kogumine, salvestamine, organiseerimine, struktureerimine, säilitamine, kasutamine või kustutamine.
- Andmeobjekt: Isik, kelle andmeid töödeldakse.
- Andmehaldur: Isik või organisatsioon, kes otsustab, miks ja kuidas isikuandmeid töödeldakse.
- Andmetöötleja: Kolmas osapool, kes töötleb andmehalduri nimel isikuandmeid. GDPR sisaldab erilisi reegleid andmetöötlejate kohta, sealhulgas pilveteenuseid ja e-postiteenuse pakkujaid.
Andmed on lubatud töödelda juhul, kui:
Üldise andmekaitseseaduse (GDPR) artikli 6 alusel on mitu juhust, kui isikuandmete töötlemine on seaduslik. Need hõlmavad järgmist:
- Spetsiifiline, selge nõusolek andmeobjektilt: Näiteks kui isik on valinud, et ta soovib saada turunduskirju.
- Lepingu sõlmimise või ettevalmistamise lõpetamine: Näiteks kui on vaja taustakontrolli enne kinnisvara üürimist huvilisele üürnikule.
- Õiguslikule kohustusele vastavus: Näiteks kui organisatsioon saab oma jurisdiktsioonist kohtult korralduse.
- Kellegi elu päästmine: See olukord peaks olema iseenesestmõistetav.
- Ülesande täitmine avaliku huviga või ametlikul funktsioonil: Näiteks kui organisatsioon on eraettevõte, mille ülesandeks on prügivedu.
- Õiguspärane huvi isikuandmete töötlemiseks: See on kõige paindlikum õiguslik alus, kuid "andmeobjekti põhilised õigused ja vabadused" tuleb alati esimesena arvesse võtta, eriti laste andmete puhul.
Kui organisatsioon on määranud oma andmetöötluse õigusliku aluse, peab ta selle aluse dokumenteerima ja teavitama andmeobjekti (läbipaistvus). Kui organisatsioon otsustab hiljem oma põhjendust muuta, peab ta selleks olema hea põhjus, dokumenteerima selle põhjuse ja teavitama andmeobjekti.
Andmeobjekti nõusolek
- Üldise andmekaitseseaduse (GDPR) alusel on rangetel reeglitel, mis määravad ära, milline on kehtiv nõusolek andmeobjektilt isikuandmete töötlemiseks. Nõusolek peab olema:
- Vabatahtlikult antud: Andmeobjekt ei tohi tunda survet ega sundimist nõusoleku andmiseks.
- Spetsiifiline: Andmeobjekt peab andma nõusoleku spetsiifilise eesmärgi jaoks, mitte kõikide töötlusaktiviteetide jaoks üldiseks nõusolekuks.
- Teavitatud: Andmeobjekt peab olema täielikult teadlik isikuandmete töötlemise ulatusest ja loodusest.
- Selge ja eitav: Andmeobjekt peab selgelt ja eitaval viisil nõustuma isikuandmete töötlemisega.
- Nõusoleku taotluste esitamisel peab olema selge ja lihtne keel ja need peavad olema selgelt eristatavad teistest asjadest. Andmeobjektidel on õigus nõusolek igal ajal tagasi võtta ja organisatsioonid peavad seda otsust austama. Ei ole lubatud lihtsalt andmetöötluse õiguslikku alust teisele põhjendusele muuta.
Alla 13-aastased lapsed saavad anda nõusoleku ainult oma vanema või eestkostja loal. Organisatsioonid peavad hoidma ka nõusoleku dokumentaalset tõendit, näiteks andmeobjekti afirmatiivse tegevuse (nt märgistamise märgikast või dokumendi allkirjastamise) salvestist.
Sinu privaatsusõigused
- Andmekontrollerina või andmetöötlajana on oluline mõista üldise andmekaitseseaduse (GDPR) poolt tunnustatud isikute, tuntud kui andmeobjektidena, privaatsusõigusi. Need õigused on suunatud andmepakkujatele rohkem kontrolli andmata andmete üle ja tagama, et organisatsioonid järgivad GDPR nõudeid. Andmeobjektidel on järgmised privaatsusõigused:
- Teavitamise õigus: See viitab õigusele saada selge ja läbipaistva teabe selle kohta, kuidas nende isikuandmeid kogutakse ja töödeldakse.
- Ligipääsuõigus: See annab andmeobjektidele õiguse taotleda ja saada nende töödeldavate isikuandmete koopia.
- Parandamise õigus: See võimaldab andmeobjektidel taotleda töödeldavate vale või puudulike isikuandmete parandamist.
- Kustutamise õigus: Tuntud ka kui "unustamise õigus", see võimaldab andmeobjektidel taotleda nende isikuandmete kustutamist, kui need ei ole enam vajalikud kogutud andmete eesmärkide jaoks.
- Töötluse piiramise õigus: See võimaldab andmeobjektidel taotleda nende isikuandmete ajutist peatamist töötlemiseks, näiteks kui nad vaidlevad andmete täpsuse üle.
- Andmete ülekandmise õigus: See annab andmeobjektidele õiguse saada oma isikuandmed tavaliselt kasutatavas masinloetavas formaadis ja ülekandmise teise andmekontrollerisse.
- Objection õigus: See võimaldab andmeobjektidel töödeldavate isikuandmete töötlemisele tõendatud eesmärkidel (nt otsereklaam) vastu vaidleda
Ülevaade
Üldine andmekaitserežiim (GDPR) on seadusandlik raamistik, mis reguleerib Euroopa Liidu (EL) elanike isikuandmete kogumist, kasutamist ja töötlemist. See kehtib iga ettevõtte, organisatsiooni või isiku kohta, kes töötleb ELi elanike isikuandmeid, olgu ettevõte või organisatsioon ELi territooriumil või mitte. GDPR asendab 1995. aasta ELi andmekaitse direktiivi ja on loodud ELi andmekaitseõiguse ühtlustamiseks ja andes inimestele suuremat kontrolli oma isikuandmete üle.
GDPR kohaselt on isikuandmed määratletud kui iga informatsioon, mis puudutab tuvastatavat või tuvastatavat loomulikku isikut. See hõlmab nimesid, aadresse, e-posti aadresse, IP-aadresse ja muid tüüpi isikuidentifikaatoreid. GDPR sätestab mitu põhimõtet, mida organisatsioonid peavad järgima, kui nad koguvad ja töötlevad isikuandmeid, sealhulgas nõude saada isikutelt eksplitsiitne nõusolek, vajadus esitada selge ja läbipaistev teave selle kohta, kuidas isikuandmeid kasutatakse, ja nõude kaitsta isikuandmeid autoriseerimata juurdepääsu või väärkasutuse eest.
Üldise andmekaitserežiimi (GDPR) mõju all olevatel organisatsioonidel ja isikutel on oluline GDPR nõuetest täielikult aru saada ja juriidilist nõu saamiseks pöörduda, et tagada nõuetekohane järgimine. Et tagada, et teie organisatsioon järgib GDPR-i, soovitame tungivalt, et teie organisatsioonis keegi loeks režiimi läbi ja konsulteeriks advokaadiga.
Broneerige konsultatsioon