Isikuandmete kaitse üldmääruse kohaselt vastutavad jõustamise eest riiklikud andmekaitseasutused. Igal EMP riigil on oma sõltumatu andmekaitseasutus, kes teostab järelevalvet isikuandmete kaitse üldmääruse kohaldamise, sealhulgas kaebuste käsitlemise üle. Rohkem kui ühes EMP riigis toimuva andmetöötluse puhul on isikuandmete kaitse üldmäärusega ette nähtud pädevate andmekaitseasutuste vaheline koostöösüsteem, mille raames nad teevad konsensuse saavutamiseks koostööd. Ülevaade andmekaitseasutustest.
Isikuandmete kaitse üldmäärusega nähakse üksikisikutele ette teatavad õigused, sealhulgas õigus esitada kaebus pädevale asutusele, kui nad kardavad, et nende andmekaitseõigusi on rikutud.
Andmekaitseasutuste ülesanded ja volitused
Andmekaitseasutuste ülesanded
Igal EMP andmekaitseasutusel on kohustus jälgida ja jõustada isikuandmete kaitse üldmääruse kohaldamist ning edendada üldsuse teadlikkust ja arusaamist isikuandmete töötlemisega seotud riskidest, eeskirjadest, kaitsemeetmetest ja õigustest. Andmekaitseasutuste ülesanne on nõustada ka riigi parlamenti, valitsust ning teisi institutsioone ja organeid ning anda üksikisikutele teavet nende õiguste kasutamise kohta. Andmekaitseasutused edendavad ka vastutavate töötlejate ja volitatud töötlejate teadlikkust nende isikuandmete kaitse üldmäärusest tulenevatest kohustustest. Andmekaitseasutused tegelevad üksikisikute kaebustega, uurivad isikuandmete kaitse üldmääruse nõuetekohast kohaldamist ja teevad isikuandmete kaitse üldmääruse kohaldamisel koostööd teiste andmekaitseasutustega. Ametiasutused vastutavad ka järgmise eest:
- lepingu tüüptingimuste vastuvõtmine ja lubamine;
- siduvate kontsernisiseste eeskirjade heakskiitmine;
- tegevusjuhendite heakskiitmine;
- andmekaitse sertifitseerimise mehhanismide loomise soodustamine;
- Euroopa Andmekaitsenõukogu tegevuse toetamine;
- muude isikuandmete kaitsega seotud ülesannete täitmine.
Loe lähemalt
Andmekaitseasutuste volitused
Isikuandmete kaitse üldmääruse kohaselt suurenesid riiklike andmekaitseasutuste jõustamisvolitused märkimisväärselt. Isikuandmete kaitse üldmääruse artiklis 58 määratletakse iga sellise riikliku asutuse volitused, jagades need selgelt kolme suuremasse rühma:
- uurimisvolitused;
- parandusvolitused;
- nõuandvad volitused.
Uurimisvolitused
Andmekaitseasutused kasutavad oma uurimisvolitusi, et teha kindlaks, kas esineb isikuandmete kaitse üldmääruse rikkumine, milline on selle täpne ulatus ja laad. Muu hulgas võivad andmekaitseasutused:
- Kohustada organisatsioone esitama uurimisega seotud mis tahes teavet;
- Viia läbi andmekaitseauditite vormis uurimisi ja teavitada organisatsioone isikuandmete kaitse üldmääruse väidetavast rikkumisest.
- Saada kooskõlas ELi ja liikmesriigi menetlusõigusega juurdepääs kõigile organisatsiooni valduses olevatele isikuandmetele ja kogu teabele, mis on vajalik tema ülesannete täitmiseks, sealhulgas juurdepääs organisatsiooni ruumidele, sealhulgas andmetöötlusseadmetele ja -vahenditele.
- Vaadata läbi isikuandmete kaitse üldmääruse artikli 42 lõike 7 alusel väljastatud sertifikaadid
Korrigeerimisvolitused
Kui uurimise tulemusena tuvastatakse isikuandmete kaitse üldmääruse sätete rikkumine või leitakse, et töötlemistoiminguga kaasneb risk või see ei vasta konkreetsetele nõuetele, on andmekaitseasutustel õigus kasutada ühte või mitut oma parandusvolitust, näiteks:
- Hoiatus või töötlemiskeeld: olemasolevate riskide korral võivad andmekaitseasutused anda organisatsioonidele hoiatusi, et nende töötlemistoimingud ei rikuks isikuandmete kaitse üldmääruse sätteid. Andmekaitseasutused võivad samuti anda korralduse ajutiseks või lõplikuks piiranguks, sealhulgas organisatsioonide töötlemistegevuse keelamiseks, ning anda neile korralduse teavitada asjaomaseid üksikisikuid andmetega seotud rikkumistest.
- Nõuete täitmise korraldus: selleks et tagada isikuandmete kaitse üldmääruse järgimine või käsitleda juhtumeid, kus teatavad kriteeriumid või nõuded ei ole täidetud, on andmekaitseasutustel õigus nõuda organisatsioonidelt, et nad täidaksid üksikisikute taotlusi kasutada oma isikuandmete kaitse üldmäärusest tulenevaid õigusi. Vajaduse korral võidakse organisatsioonidele anda korraldus viia oma töötlemistoimingud kindlaksmääratud viisil ja kindlaksmääratud ajavahemiku jooksul vastavusse isikuandmete kaitse üldmääruse sätetega.
- Andmevoogude peatamine või sertifikaadi tühistamine: lisaks võiksid andmekaitseasutused kasutada oma volitusi peatada mis tahes andmevood kolmandates riikides asuvatele vastuvõtjatele või rahvusvahelistele organisatsioonidele. Lisaks võivad nad kooskõlas isikuandmete kaitse üldmääruse artiklitega 42 ja 43 sertifikaadi tagasi võtta või anda sertifitseerimisasutusele korralduse väljastatud sertifikaat tagasi võtta. Kui sertifitseerimisnõudeid ei täideta või enam ei täideta, on sertifitseerimisasutus kohustatud sertifikaati mitte välja andma.
- Noomitused: tuvastatud rikkumiste korral võivad andmekaitseasutused noomida organisatsioone.
- Haldustrahvid: Andmekaitseasutused võivad lisaks muudele eespool loetletud meetmetele või nende asemel määrata ka haldustrahve, mis on määratletud kooskõlas isikuandmete kaitse üldmääruse artikliga 83. Halduskaristuste süsteem nõuab iga üksiku rikkumise asjaolude hindamist igal üksikjuhul eraldi. Hindamisel tuleks arvesse võtta selliseid tegureid nagu rikkumise laad, raskusaste ja kestus, tahtlik või hooletus, võimalikud rakendatud kahju leevendamise meetmed, rakendatud tehnilised ja korralduslikud meetmed (st turvameetmed) ning see, kuidas andmekaitseasutus probleemist teada sai.
Võimaliku karistuse maksimummäär sõltub rikkumise liigist:
- see võib ulatuda kuni 10 miljoni euroni või kuni 2 %ni eelmise majandusaasta ülemaailmsest aastasest kogukäibest (näiteks lõimitud ja vaikimisi eraelu puutumatuse rikkumine, andmetöötluslepingu sõlmimise kohustuse täitmata jätmine või andmekaitsealase mõjuhinnangu tegemata jätmine või andmekaitseametniku ametisse nimetamine) vastavalt isikuandmete kaitse üldmääruse artikli 83 lõikele 4; või
- see võib ulatuda kuni 20 miljonini või 4 %ni eelmise majandusaasta ülemaailmsest aastasest kogukäibest (näiteks isikuandmete töötlemise aluspõhimõtete rikkumise, ilma õigusliku aluseta isikuandmete ebaseadusliku töötlemise või andmesubjekti õiguste rikkumise korral) vastavalt isikuandmete kaitse üldmääruse artikli 83.5 lõikele 3.
Lisateave haldustrahvide kohta, mis on seotud isikuandmete kaitse üldmääruse artikliga 83 ja Euroopa Andmekaitsenõukogu suuniste (haldustrahvide arvutamise kohta isikuandmete kaitse üldmääruse alusel) rikkumisega
Nõuandvad volitused
Igal andmekaitseasutusel on isikuandmete kaitse üldmääruse alusel teatav volitamis- ja nõuandev roll, mille kaudu nad saavad pakkuda organisatsioonidele tuge ja lubada konkreetseid töötlemistoiminguid. Mõned näited on järgmised:
- Eelnev konsulteerimine: nõustab vastutavaid töötlejaid vastavalt isikuandmete kaitse üldmääruse artiklis 36 sätestatud eelneva konsulteerimise menetlusele.
- Arvamused seadusandliku tegevuse kohta: esitab omal algatusel või taotluse korral oma riigi parlamendile, valitsusele või kooskõlas siseriikliku õigusega teistele institutsioonidele, asutustele ja üldsuse arvamusele mis tahes küsimuses seotud isikuandmete kaitsega.
- Toimimisjuhendid ja sertifitseerimine: kiita heaks toimimisjuhendite kavandid, akrediteerida sertifitseerimisasutusi või anda välja sertifikaate ja kiita heaks sertifitseerimise kriteeriumid.
Andmekaitseasutuste eespool nimetatud volituste kasutamise suhtes kohaldatakse asjakohaseid kaitsemeetmeid, sealhulgas tõhusat õiguskaitsevahendit ja nõuetekohast menetlust, nagu on sätestatud ELi ja siseriiklikus õiguses kooskõlas ELi põhiõiguste hartaga. Igal andmekaitseasutusel on õigus juhtida õigusasutuste tähelepanu isikuandmete kaitse üldmääruse rikkumistele ning vajaduse korral alustada kohtumenetlust või osaleda selles muul viisil, et tagada isikuandmete kaitse üldmääruse sätete täitmine. Andmekaitseasutustele võib siseriiklike õigusaktidega anda lisavolitusi.
Loe lähemalt
Koostöö ja ühe akna süsteem
Isikuandmete kaitse üldmäärust kohaldatakse kogu EMPs, kasutades kõigi riikide jaoks ühte andmekaitse-eeskirjade kogumit. See lähenemisviis toetab rahvusvahelisi ettevõtteid, aga ka VKEsid nende püüdlustes areneda ja kasvada, pakkudes oma teenuseid rohkem kui ühes EMP riigis.
Selleks, et vähendada halduskoormust seoses isikuandmete töötlemisega kahes või enamas EMP riigis, nähakse isikuandmete kaitse üldmäärusega ette andmekaitseasutuste vahelise koostöö süsteem – nn ühtse kontaktpunkti mehhanism, et saavutada üksmeel paljude andmekaitseasutuste vahel.
Kui organisatsioon töötleb andmeid kahes või enamas EMP riigis, on näiteks kaebust või rikkumist menetlev pädev asutus selle riigi pädev asutus, kus on vastutava töötleja peamine tegevuskoht. See muudab tegevuse vastutavate töötlejate jaoks lihtsamaks, kuna nad ei pea järgima iga riigi erinevaid seadusi, kus nad tegutsevad. Lisaks peavad nad suhtlema ainult ühe andmekaitseasutusega. Sõltuvalt teie ettevõtte liigist ning pakutavatest toodetest ja teenustest võib piiriülene töötlemine kehtida ka teie VKE suhtes. Paljud väiksemad ettevõtted, nagu veebipoed, e-kaubanduse veebisaidid, mobiil- ja arvutirakendused, pakuvad teenuseid mitmes riigis.
Kui teie VKE töötleb üksikisikute andmeid erinevates EMP riikides, peate määrama, milline on pädev andmekaitseasutus või juhtiv asutus. See on tavaliselt andmekaitseasutus, mis asub EMP riigis, kus asub teie organisatsiooni peakorter ning kus tehakse otsuseid isikuandmete töötlemise eesmärkide ja vahendite kohta.
Praktikas
- Näiteks veebijaemüüjad, kes müüvad rõivaid oma veebipoodide kaudu klientidele mitmes EMP riigis, saavad ja sageli töötlevad isikuandmeid. Sellisel piiriülesel juhul peab pädev asutus olema riik, kus asub internetipõhiste jaemüüjate peamine tegevuskoht („põhitegevuskoht“).
Kui olete kindlaks teinud, milline DPA on juht, peate nendega ainult suhtlema. Juhtiv andmekaitseasutus teeb koostööd ja osaleb aruteludes teiste asjaomaste EMP andmekaitseasutustega.
Kui piiriülese elemendiga kaebust tuleb käsitleda teise andmekaitseasutusega tehtava koostöö raames, võetakse järgmised koostöömeetmed:
- Kui mõni teine andmekaitseasutus sai kaebuse, on tal kohustus teavitada juhtivat andmekaitseasutust;
- Asjaomane andmekaitseasutus võib osaleda kaebuse kohta otsuse koostamises;
- Otsuse ettevalmistamisel peab juhtiv andmekaitseasutus võtma arvesse asjaomase andmekaitseasutuse arvamust.
Juhtiva andmekaitseasutuse kindlaksmääramine
Põhimõisted
Isikuandmete piiriülene töötlemine
Isikuandmete kaitse üldmääruse kohaselt on juhtiva andmekaitseasutuse kindlaksmääramine asjakohane ainult isikuandmete piiriülest töötlemist teostavate organisatsioonide jaoks.
Isikuandmete kaitse üldmääruses on „piiriülene töötlemine“ määratletud järgmiselt:
- isikuandmete töötlemine, mis toimub rohkem kui ühes EMP riigis, kus vastutav töötleja või volitatud töötleja on asutatud rohkem kui ühes EMP riigis; või
- isikuandmete töötlemine, mis toimub organisatsiooni ühes tegevuskohas EMPs, kuid mis mõjutab oluliselt või tõenäoliselt mõjutab oluliselt üksikisikuid rohkem kui ühes EMP riigis.
Praktikas
- See tähendab, et kui organisatsioonil on tegevuskoht näiteks Saksamaal ja Horvaatias ning isikuandmete töötlemine toimub nende tegevuse raames, kujutab see endast piiriülest töötlemist.
- Teise võimalusena võib organisatsioonil olla ainult Saksamaal asuv ettevõte. Kui aga tema töötlemistegevus mõjutab oluliselt või tõenäoliselt mõjutab oluliselt üksikisikuid Saksamaal ja Horvaatias, kujutab see endast ka piiriülest töötlemist.
Mõiste „mõjutab oluliselt“
Asjaolu, et organisatsioon töötleb üksikisikute isikuandmete hulka – isegi suurt hulka – mitmes EMP riigis, ei tähenda tingimata, et töötlemine avaldab või tõenäoliselt avaldab olulist mõju. Vähese või puuduva mõjuga töötlemine ei kujuta endast piiriülest töötlemist, olenemata sellest, kui mitut üksikisikut see mõjutab.
Andmekaitseasutused tõlgendavad „mõju olulisust“ igal üksikjuhul eraldi. Nad arvestavad töötlemise konteksti, eesmärki, andmete liiki ja kas töötlemine:
- põhjustab või võib põhjustada üksikisikutele kahju, kaotust või stressi;
- avaldab või tõenäoliselt avaldab tegelikku mõju üksikisikute õiguste piiramisele või võimaluse andmisest keeldumisele;
- mõjutab või tõenäoliselt mõjutab inimeste tervist, heaolu või meelerahu;
- mõjutab või tõenäoliselt mõjutab üksikisikute finants- või majanduslikku seisundit või asjaolusid;
- jätab võimaluse üksikisikute diskrimineerimisele või ebaõiglasele kohtlemisele;
- hõlmab isikuandmete või muude sekkuvate eriliiki andmete, eelkõige laste isikuandmete analüüsi;
- paneb või tõenäoliselt paneb inimesi oluliselt muutma oma käitumist;
- sellel on üksikisikutele ebatõenäolised, ettenägematud või soovimatud tagajärjed;
- tekitab piinlikkust või muid negatiivseid tagajärgi, sealhulgas maine kahjustamist; või hõlmab suurel hulgal isikuandmete töötlemist.
Juhtiv andmekaitseasutus
Lihtsamalt öeldes „juhtiv andmekaitseasutus“ on andmekaitseasutus, kelle esmane vastutus on tegeleda piiriülese andmetöötlusega, näiteks kui üksikisik esitab kaebuse oma isikuandmete töötlemise kohta. Juhtiv andmekaitseasutus koordineerib kõiki uurimisi ja teeb koostööd asjaomaste andmekaitseasutustega. Juhtiva andmekaitseasutuse tuvastamine sõltub vastutava töötleja „peamise tegevuskoha“ või „ühe tegevuskoha“ asukoha kindlaksmääramisest ELis.
Kui organisatsioon on asutatud ainult ühes EMP riigis, on tal üks tegevuskoht EMPs ja selle riigi andmekaitseasutus on juhtiv andmekaitseasutus.
Kui organisatsioon on asutatud rohkem kui ühes EMP riigis, on vaja kindlaks määrata selle peamine tegevuskoht, et oleks võimalik kindlaks teha juhtiv andmekaitseasutus.
Loe lähemalt
Peamine tegevuskoht
Selleks, et teha kindlaks, kus asub peamine tegevuskoht, on kõigepealt vaja kindlaks teha organisatsiooni juhatuse asukoht EMPs („keskjuhatuse asukoht; peakorter“), kui see on olemas. See on koht, kus tehakse otsuseid isikuandmete töötlemise eesmärkide ja vahendite kohta.
Juhtudel, kui otsused erinevate piiriüleste töötlemistoimingute kohta tehakse juhatuses, on piirülese äriühingu erinevate andmetöötlustoimingute jaoks EMPs üks juhtiv andmekaitseasutus. Siiski võib esineda juhtumeid, kus autonoomseid otsuseid konkreetse töötlemistoimingu eesmärkide ja vahendite kohta ei tee juhatus. Sellistes olukordades on oluline, et äriühingud määraksid täpselt kindlaks, kus tehakse otsuseid töötlemise eesmärgi ja vahendite kohta. Peamise tegevuskoha korrektne tuvastamine on vastutavate töötlejate ja volitatud töötlejate huvides, sest see annab selguse, millise andmekaitseasutusega nad peavad tegelema oma isikuandmete kaitse üldmäärusest tulenevate erinevate vastavuskohustuste täitmisel.
Loe lähemalt
Praktikas
- Rõivamüüja peakorter (st juhatuse asukoht) asub Bulgaarias Sofias. Tal on tegevuskohti erinevates teistes EMP riikides, mis puutuvad kokku sealsete üksikisikutega. Kõik ettevõtted kasutavad sama tarkvara klientide isikuandmete töötlemiseks turunduslikel eesmärkidel. Kõik otsused klientide isikuandmete turunduslikel eesmärkidel töötlemise eesmärkide ja vahendite kohta tehakse Sofia peakorteris. See tähendab, et äriühingu juhtiv andmekaitseasutus selle piiriülese töötlemise puhul on Bulgaaria andmekaitseasutus.
Organisatsioonid, mis ei ole asutatud EMPs
Kui teie organisatsioon ei ole asutatud EMPs, kuid tema suhtes kohaldatakse isikuandmete kaitse üldmäärust, kuna see kuulub isikuandmete kaitse üldmääruse territoriaalsesse kohaldamisalasse, võib olla vaja määrata esindaja mõnes EMP riigis.
Kui organisatsioonil ei ole EMPs tegevuskohta, ei käivita üksnes esindaja kohalolek ühes EMP riigis ühtse kontaktpunkti süsteemi. See tähendab, et organisatsioonid, kellel ei ole EMPs ühtegi tegevuskohta, peavad tegelema kohalike andmekaitseasutustega igas EMP riigis, kus nad tegutsevad, oma kohaliku esindaja kaudu.
Loe lähemalt
Euroopa Andmekaitsenõukogu roll
Euroopa Andmekaitsenõukogu on iseseisev Euroopa asutus, millel on juriidilise isiku staatus. Euroopa Andmekaitsenõukogu aitab kaasa andmekaitse eeskirjade järjepidevale kohaldamisele kogu EMPs ja edendab koostööd EMP andmekaitseasutuste vahel. Euroopa Andmekaitsenõukogu koosneb andmekaitseasutuste juhtidest ja Euroopa Andmekaitseinspektorist või nende esindajatest.
Lisateave Euroopa Andmekaitsenõukogu kohta
Andmekaitseasutused teevad Euroopa Andmekaitsenõukogus koostööd, et:
- anda üldiseid juhiseid (sealhulgas suuniseid, arvamusi, soovitusi ja parimaid tavasid) andmekaitseõiguse, eelkõige isikuandmete kaitse üldmääruse kohta;
- nõustab Euroopa Komisjoni kõikides küsimustes, mis on seotud isikuandmete kaitse ja uute õigusaktide ettepanekutega ELis;
- luua piiriüleste andmekaitsejuhtumite puhul järjepidevaid otsuseid ja arvamusi.
Selle asemel, et vastata konkreetsetele individuaalsetele taotlustele, annab Euroopa Andmekaitsenõukogu üldsuuniseid.
Euroopa Andmekaitsenõukogu on vastu võtnud mitu suunisdokumenti, mis on ettevõtjate, sealhulgas VKEde jaoks otseselt asjakohased. Käesolevates suunistes selgitatakse isikuandmete kaitse üldmääruse erinevaid mõisteid, nagu töötlemise aluspõhimõtted, lõimitud andmekaitse ja vaikimisi andmekaitse, rahvusvaheline andmeedastus ja andmesubjektide õigused. Ülevaate nendest dokumentidest leiate siit.
Järjepidevuse mehhanism
Järjepidevuse mehhanismil võib olla otsene mõju VKEdele. Esiteks võib järjepidevuse mehhanismi käivitada siis, kui juhtiv andmekaitseasutus ja asjaomased andmekaitseasutused ei jõua konkreetse piiriülese juhtumi suhtes üksmeelele. Sellistel juhtudel edastatakse juhtum Euroopa Andmekaitsenõukogule, kes võtab vaidluse lahendamiseks vastu siduva otsuse.
Lisaks esitab Euroopa Andmekaitsenõukogu järjepidevuse kohta arvamusi mõne EMP andmekaitseasutuse koostatud otsuse eelnõu kohta, millel on piiriülene mõju (nt uute standardlepingute või tegevusjuhendite kohta).
Euroopa Andmekaitsenõukogu võib esitada ka järjepidevusega seotud arvamusi isikuandmete kaitse üldmääruse üldkohaldatavate küsimuste kohta või mis tahes küsimuste kohta, millel on mõju rohkem kui ühes EMP riigis. Selle töö eesmärk on tagada, et isikuandmete kaitse üldmäärust mõistetakse ja kohaldatakse järjepidevalt erinevates EMP riikides.