Millised õigused on üksikisikutel isikuandmete kaitse üldmääruse alusel?
Isikuandmete kaitse üldmäärusega nähakse andmesubjektidele, st isikutele, kelle andmeid töödeldakse, ette järgmised õigused:
- Õigus saada teavet
- Juurdepääsuõigus
- Õigus andmete parandamisele
- Õigus andmete kustutamisele (õigus olla unustatud)
- Õigus töötlemise piiramisele
- Õigus andmete ülekantavusele
- Õigus esitada vastuväiteid
- Õigus saada mitte üksnes automatiseeritud töötlemisele põhineva otsus
Pange tähele, et mõned neist õigustest ei kehti kõigis olukordades, lisateabe saamiseks andmesubjekti õiguste kohta, saate tutvuda iga õigusliku alusega tabelis.
Vastutaval töötlejal on kohustus vastata oma õigusi kasutavate andmesubjektide taotlustele ja ta peab nende õiguste kasutamist hõlbustama. Volitatud töötleja peab vastutavat töötlejat selle ülesande täitmisel abistama.
Kontrollnimekiri sellest, millega arvestada seoses andmesubjekti õigustega:
- Ettevalmistus: Töötada välja süsteemid ja menetlused, et vastata andmesubjekti õiguste taotlustele ning koolitada oma töötajaid integreerima andmesubjekti õiguste taotlused oma sisemistesse töövoogudesse.
- Hõlbustada õiguste kasutamist: Tehke andmesubjektidele lihtne teada, millised on nende õigused ja kuidas teiega nende kasutamiseks ühendust võtta.
- Tea oma andmevoogusid: Hoidke oma registrit ajakohasena, et kiiresti tuvastada töödeldavad andmed ning leida ja hankida teavet tõhusalt.
- Läbipaistvus: Teavitage andmesubjekte alati selgelt ja arusaadavalt teie töödeldavatest isikuandmetest enne töötlemist (nt teie privaatsuspoliitikas) ja töötlemise ajal (näiteks andmesubjekti juurdepääsutaotluse täitmisel).
- Vastus ühe kuu jooksul: Vastake andmesubjekti taotlusele alati ühe kuu jooksul. Kui vajate vastamiseks lisaaega või kui te ei suuda taotlust täita: teavitage andmesubjekti sellest ühe kuu jooksul.
- Edastage info: Kui saate päringu isikuandmete kohta, mille olete edastanud teistele vastuvõtjatele, ärge unustage vajaduse korral teavitada saajaid päringu tulemusest.
- Dokument: Jälgige andmesubjektide päringuid ja registreerige oma vastused, samuti jälgige oma põhjendusi, kui te päringule ei vasta.
Kuidas menetleda andmesubjekti õiguste taotlust
Läbipaistvus on andmekaitses üldiselt ja loomulikult andmesubjekti õiguste kontekstis keskse tähtsusega.
Vastutav töötleja peab:
- suhelge andmesubjektidega selges ja arusaadavas keeles (see on eriti oluline juhtudel, kui organisatsioon tegeleb lastega);
- hõlbustama nende õiguste kasutamist, eelkõige elektrooniliste vahendite abil. Näiteks võite oma veebisaidil esitada veebipõhise vormi, mida andmesubjektid saavad kasutada oma andmekaitseõigustehõlpsamaks kasutamiseks.
Vastake kirjalikult
Üldreegel on, et organisatsioon peaks vastama üksikisiku juurdepääsutaotlusele samal viisil, nagu taotlus esitati, või viisil, kuidas andmesubjekt konkreetselt vastust palus. Soovitatavalt peaksite vastama kirjalikult, sealhulgas vajaduse korral elektrooniliselt. Andmesubjekti õiguste taotlusele võidakse vastata suuliselt, kuid seda ei soovitata, kuna peate suutma tõendada, et olete taotlusele vastanud.
Vastake ühe kuu jooksul
Isikuandmete kaitse üldmääruses täpsustatakse, kui palju aega peab vastutav töötleja taotlusele vastama ja millistel juhtudel võib ta võtta tasu.
Kui andmesubjektid kasutavad ühte oma õigustest, peab vastutav töötleja vastama ühe kuu jooksul. Kui taotlus on liiga keeruline ja vastamiseks on vaja rohkem aega, võib teie organisatsioon tähtaega pikendada veel kahe kuu võrra, tingimusel, et andmesubjekti teavitatakse sellest ühe kuu jooksul pärast taotluse saamist. Kui teie organisatsioon suudab tõendada, et taotlus on ilmselgelt põhjendamatu või ülemäärane, eelkõige selle korduva iseloomu tõttu, võite nõuda mõistlikku tasu või keelduda taotluse rahuldamisest.
Kui teie organisatsioonil on põhjendatud kahtlus taotluse esitaja isikusamasuse suhtes (nt taotlus esitatakse muu e-posti aadressiga kui see, mida teie klient tavaliselt kasutab, või kui see esitatakse väljaspool autenditud kliendikontot), võite enne vastamist nõuda lisateavet, et kinnitada andmesubjekti identiteeti.
Kui te ei kavatse andmesubjekti konkreetset taotlust rahuldada, peate andmesubjekti ühe kuu jooksul alates taotluse saamisest teavitama põhjustest, miks te taotlust ei rahulda (nt miks te taotletud andmeid ei kustuta). Lisaks peate teavitama andmesubjekte võimalusest esitada kaebus oma riiklikule andmekaitseasutusele ja taotleda õiguskaitsevahendit.
Ärge võtke tasu
Teie organisatsioon ei saa nõuda tasu andmesubjektilt, kes taotleb oma õiguste kasutamist. Te võite siiski võtta tasu, kui andmesubjekti taotlus on ilmselgelt põhjendamatu või ülemäärane, eelkõige selle korduva iseloomu tõttu. Tasu arvutamisel tuleb arvesse võtta teie organisatsiooni taotlusele vastamise halduskulusid. Nagu eespool selgitatud, on võimalik keelduda vastamast taotlusele, mis on ilmselgelt põhjendamatu või ülemäärane. Sellises olukorras peate suutma tõendada, et see tõesti ka nii on.
Praktikas
- Andmesubjekt esitab iga kahe kuu tagant juurdepääsutaotluse puusepale, kes oma tabelit valmistas. Puusepp vastas esimesele palvele täielikult. Kuna puusepp ei töötle isikuandmeid osana oma põhitegevusest ja ta ei osutanud andmesubjektile rohkem kui ühte teenust, on ebatõenäoline, et andmesubjekti puudutavas andmekogumis oleks toimunud muutusi. Andmesubjekt on selgitanud, et uus taotlus käsitleb sama teavet kui viimane taotlus. Seetõttu võib seda taotlust pidada selle korduva iseloomu tõttu ülemääraseks.
- Kui puusepp otsustab edastada isikuandmed andmesubjektile tasu eest, on soovitatav sellest eelnevalt teavitada, andes talle võimaluse taotlus tagasi võtta, et vältida selle tasumist. Teise võimalusena võib puusepp teavitada andmesubjekti põhjustest, miks ta sellele taotlusele ei vasta, samuti võimalusest esitada kaebus andmekaitseasutusele ja taotleda õiguskaitsevahendit.
Õigus saada teavet
Õigus olla informeeritud võimaldab inimestel mõista, mida nende andmetega tehakse ja sellest tulenevalt teha teadlikke otsuseid ja omada suuremat kontrolli oma isikuandmete üle. Kõigil andmesubjektidel on õigus saada teavet nende andmete töötlemisel.
Vastutava töötlejana tegutseva organisatsioonina on teil kohustus teavitada andmesubjekte.
Millist teavet?
Esitatav teave erineb sõltuvalt sellest, kas olete kogunud isikuandmeid otse andmesubjektilt (otsene kogumine, korraldatud isikuandmete kaitse üldmääruse artikliga 13) või kas olete saanud need muust allikast (kaudne kogumine, korraldatud isikuandmete kaitse üldmääruse artikliga 14). Järgmistes tabelites antakse ülevaade teabest, mida peate andmesubjektile esitama:
Lisaks nõutakse isikuandmete kaitse üldmääruses, et teie organisatsioon esitaks õiglase ja läbipaistva töötlemise tagamiseks järgmise teabe:
Teie organisatsioon peab uuesti esitama teises tabelis esitatud teabe, kui töötlemine toimub uuel ühilduval eesmärgil, mis erineb algsest eesmärgist. See teave tuleb esitada enne edasist töötlemist. Sellisel juhul peate esitama andmesubjektile ka selgituse selle kohta, kuidas uued ja varasemad eesmärgid on üksteisega kooskõlas.
Millal tuleks teave esitada?
Kui teie organisatsioon kogub isikuandmeid otse andmesubjektilt, peab ta esitama vajaliku teabe kogumise ajal.
Isikuandmete kaudse kogumise korral peab teie organisatsioon esitama teabe hiljemalt ühe kuu jooksul pärast seda, kui isikuandmed on algselt saadud. Seda maksimaalset ühekuulist ajavahemikku lühendatakse:
- kui isikuandmeid kasutatakse andmesubjektiga suhtlemiseks. Sellisel juhul peate andmesubjekti teavitama hiljemalt andmesubjektile esmakordsel teavitamisel;
- kui andmed edastatakse teisele vastuvõtjale, teavitab organisatsioon sellest andmesubjekte hiljemalt isikuandmete edastamisel.
Mitte mingil juhul ei saa pikendada maksimaalset ühekuulist tähtaega.
Töötlemise hilisemate muudatuste korral (nt uued vastuvõtjad, ühilduv eesmärk, edastamine väljapoole Euroopa Majanduspiirkonda jne) peab teie organisatsioon andmesubjekti igal juhul enne muudatuse jõustumist teavitama ja te peaksite seda tegema aegsasti. Mida olulisem muudatus on, seda varem peaks teie organisatsioon teavitama andmesubjekti, et andmesubjektil oleks mõistlik aeg selle mõju hindamiseks ja oma õiguste kasutamiseks.
Millal ei ole Teie organisatsioon kohustatud teavet edastama?
Teie organisatsioon ei pea andmesubjekti teavitama, kui see isik on vajaliku teabe juba saanud.
Isikuandmete kaudse kogumise korral kohaldatakse täiendavaid erandeid. Sellisel juhul ei ole teabe esitamine vajalik, kui:
- sellise teabe esitamine osutub võimatuks või nõuaks ebaproportsionaalseid jõupingutusi. Selle erandi riba on siiski väga kõrge, mis tähendab, et vastutav töötleja saab sellele kriteeriumile tugineda üksnes erandkorras;
- andmete hankimine või avalikustamine on seaduses selgesõnaliselt ette nähtud;
- isikuandmeid tuleb hoida konfidentsiaalsena, tuginedes seadusjärgsele ametisaladuse hoidmise kohustusele.
Praktikas
- Mõnes ELi riigis võivad siseriiklikud õigusaktid kohustada maksuhaldurit nõudma tööandjatelt teatavat teavet töötajate kohta. Maksuhaldur ei pea töötajat sellisel juhul teavitama. Oma teavitamiskohustuse raames teatab tööandja töötajale siiski, et maksuhaldur on üks isikuandmete saajaid.
Kuidas tuleks andmesubjektile teavet anda?
Hea viis teabe edastamiseks on töötada erinevate teabekihtidega. Sellega välditakse, et korraga esitatakse liiga palju teavet, mis võib kahjustada läbipaistvust ja andmesubjekti uputada teabega. Kihilise lähenemisviisi kasutamisel järgitakse nii lühiduse nõuet kui ka nõuet esitada kogu vajalik teave. See mitte ainult ei lihtsusta vastutava töötleja ülesannet, vaid võimaldab ka andmesubjektil saada olulist teavet kiiresti ja tõhusalt. Teabe esitamine võiks olla järgmine:
- Põhiteabe esimene kiht
- MIDA? Organisatsioon esitab kokkuvõtte põhiteabest, mida andmesubjekt vajab töötlemise mõju ja ulatuse hindamiseks (st vastutava töötleja identiteet, töötlemise eesmärgid, vastuvõtjate kategooriad, andmeallikad, andmesubjekti õigused jne).
- KUIDAS? Näiteks tabelivormingus, selgelt nähtavas kohas pealkirjaga „Põhiteave andmekaitse kohta“ või hüpikakende kaudu, mis annavad selgitusi isikuandmete kogumisel. Kui töötlemine põhineb nõusolekul, on soovitatav mainida seda teavet kohas, kus andmesubjekt peab andma nõusoleku (nupu „nõusolek“ lähedal).
- Täiendav ja üksikasjalikum teave
- MIDA? Selles osas esitatakse arusaadaval ja terviklikul viisil ülejäänud teave, mida organisatsioon peab esitama vastavalt isikuandmete kaitse üldmääruse artiklitele 13 ja 14.
- KUIDAS? Lisateavet saab esitada mitmel viisil, näiteks põhiteabes sisalduvate hüperlinkide kaudu või dokumendi allalaadimise teel. Sellise lisateabe esitamine peaks tagama tasakaalu ühelt poolt lühiduse ning teiselt poolt täielikkuse ja täpsuse vahel. Teave peaks olema struktureeritud nii, et see oleks kergesti loetav. Ärge unustage kohandada teavet vastavalt sihtrühmale (näiteks: kui teie teenus on suunatud lastele, kirjutage teave viisil, millest nad aru saavad).
- MIDA? Selles osas esitatakse arusaadaval ja terviklikul viisil ülejäänud teave, mida organisatsioon peab esitama vastavalt isikuandmete kaitse üldmääruse artiklitele 13 ja 14.
Juurdepääsuõigus
Andmesubjektid saavad oma andmetega tutvumise õigust kasutada iga teda puudutava töötlemistoimingu seaduslikkust kontrollides.
Kui andmesubjektid kasutavad oma õigust andmetega tutvuda, peaksid nad saama vastutavalt töötlejalt kinnituse selle kohta, kas nende isikuandmeid töödeldakse või mitte. Sellisel juhul on andmesubjektidel juurdepääs oma isikuandmetele ja järgmisele teabele:
- töötlemise eesmärgid;
- isikuandmete kategooriad;
- isikuandmete vastuvõtjad (või vastuvõtjate kategooriad);
- isikuandmete säilitamise tähtaeg või selle ajavahemiku kindlaksmääramiseks kasutatud kriteeriumid;
- õigus nõuda vastutavalt töötlejalt andmesubjekti puudutavate isikuandmete parandamist või kustutamist või isikuandmete töötlemise piiramist või esitada vastuväiteid sellisele töötlemisele;
- andmekaitseasutusele kaebuse esitamise õiguse olemasolu;
- andmete allikas (kui isikuandmeid ei koguta otse andmesubjektilt);
- automatiseeritud otsuste tegemine, sealhulgas profiilianalüüs, sisuline teave kasutatava loogika kohta, samuti sellise töötlemise tähtsus ja kavandatavad tagajärjed andmesubjekti jaoks;
- isikuandmete edastamisel Euroopa Liidust välja kõik asjakohased kaitsemeetmed võetakse kasutusele (vastavalt isikuandmete kaitse üldmääruse artiklile 46 seoses andmete edastamisega).
Lisaks on isikul õigus saada (tasuta) koopia temaga seotud isikuandmetest, mida teie organisatsioon töötleb. Kui isik küsib täiendavaid koopiaid, võib teie organisatsioon otsustada võtta mõistliku tasu, mis arvutatakse koopiate tegemise halduskulude alusel. Pange tähele, et enamikul juhtudel ei saa üksikisikutelt nõuda tasu oma isikuandmetele juurdepääsu eest.
Kui taotlus esitatakse elektrooniliselt, peaks teie organisatsioon esitama nõutava teabe üldkasutatavas elektroonilises vormingus, välja arvatud juhul, kui individuaalsed taotlused on esitatud teisiti.
Oluline on märkida
Enne isikuandmete koopia esitamist peate kontrollima, et see ei mõjuta teiste isikute õigusi ja vabadusi (nt kui samas toimikus töödeldakse rohkem kui ühe isikuga seotud teavet või ärisaladusi ja intellektuaalomandit käsitlevat teavet).
Õigus andmete parandamisele
Andmesubjektil on õigus nõuda ja saada vastutavalt töötlejalt ebaõigete andmete parandamist ja mittetäielike andmete täiendamist. Kui teie organisatsioon on edastanud isikuandmeid kolmandatele isikutele, peate neid andmete parandamisest teavitama, välja arvatud juhul, kui see osutub võimatuks või nõuab ebaproportsionaalseid jõupingutusi.
Praktikas
- Klient teatab teie organisatsioonile, et ta on kolinud teise linna. Teil on kohustus muuta nende aadressi oma klientide andmebaasis.
Õigus andmete kustutamisele (õigus olla unustatud)
Andmesubjekt võib taotleda, et organisatsioon kustutaks teda puudutavad isikuandmed järgmistel juhtudel:
- isikuandmed ei ole enam vajalikud eesmärgil, milleks neid koguti.
- organisatsioon töötleb isikuandmeid ebaseaduslikult
- organisatsioon peab isikuandmed seadusest tuleneva kohustuse tõttu kustutama.
- andmesubjekt võtab nõusoleku tagasi ja töötlemisel puudub muu õiguslik alus
- andmesubjekt on edukalt kasutanud õigust esitada vastuväiteid
- alaealised, kes on andnud nõusoleku internetiteenuse kasutamiseks, võivad alati taotleda selliste isikuandmete kustutamist (sõltumata nende praegusest vanusest)
Kui kustutatavad isikuandmed edastati varem teistele organisatsioonidele, peate teavitama neid vastuvõtjaid sellest, et andmesubjekt on taotlenud kustutamist, välja arvatud juhul, kui see osutub võimatuks või nõuaks ebaproportsionaalseid jõupingutusi.
Kui teie organisatsioon on kohustatud kustutama tema poolt avalikustatud isikuandmed, peab ta võtma kõik mõistlikud meetmed, et teavitada teisi neid andmeid töötlevaid vastutavaid töötlejaid sellest, et andmesubjekt on taotlenud nende isikuandmetega seotud linkide kustutamist või nende kopeerimist või kordamist.
Teie organisatsioon võib isikuandmete kustutamisest keelduda ainult piiratud arvul juhtudel, näiteks:
- sõna- ja teabevabaduse õiguse kasutamine;
- õigusnõuete koostamine, esitamine või kaitsmine;
- organisatsiooni juriidilise kohustuse täitmine või avalikes huvides oleva ülesande täitmine või organisatsioonile usaldatud avaliku võimu teostamine;
- avaliku huviga seotud põhjused rahvatervise valdkonnas;
- avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil (konkreetsetel tingimustel).
Praktikas
- Teie organisatsiooni töötaja on koondatud. Töötaja taotleb oma isikuandmete kustutamist oma personalitoimikust. Tööõiguses nõutakse siiski, et te säilitaksite teatud aja jooksul mitu personalidokumenti (töötajate register, palgatõendite koopiad jne). Nende dokumentide puhul peate andmete kustutamise taotluse tagasi lükkama.
- Endine klient ei soovi enam saada teie organisatsioonilt turundusmeile ja palub teil kustutada tema kontaktandmed. Kuna puuduvad kaalukad põhjused kontaktandmete töötlemiseks, peate need kustutama.
Õigus töötlemise piiramisele
Teatavatel asjaoludel võivad andmesubjektid taotleda oma andmete töötlemise piiramist. Selle tulemusena võib teie organisatsioon isikuandmeid säilitada, kuid peab lõpetama kõik muud töötlemistoimingud.
Andmesubjektil on õigus nõuda andmetöötluse piiramist, kui:
- andmesubjekt vaidlustab isikuandmete õigsuse;
- töötlemine on ebaseaduslik: andmete kustutamise asemel võib andmesubjekt taotleda selle asemel isikuandmete kasutamise piiramist;
- organisatsioon ei vaja enam isikuandmeid, kuid andmed on andmesubjektile endiselt vajalikud õigusliku nõude esitamiseks;
- andmesubjekt on kasutanud õigust esitada vastuväiteid. Piirangut kohaldatakse aja jooksul, mis on vajalik, et kontrollida, kas organisatsiooni õiguspärased põhjused on tähtsamad andmesubjekti omade suhtes.
Kui andmesubjekt kasutab edukalt oma õigust töötlemise piiramisele, võib teie organisatsioon andmeid kasutada ainult teatavatel konkreetsetel asjaoludel, näiteks andmesubjekti nõusolekul või õigusnõuete kaitsmiseks. Kas olete varem edastanud „piiratud“ andmeid teistele vastuvõtjatele? Seejärel peate teavitama neid vastuvõtjaid töötlemise piiramisest, välja arvatud juhul, kui see osutub võimatuks või nõuab ebaproportsionaalseid jõupingutusi.
Enne piirangu tühistamist teatage andmesubjektile oma kavatsusest seda teha.
Õigus andmete ülekantavusele
Õigus andmete ülekandmisele võimaldab andmesubjektidel saada oma isikuandmed struktureeritud, üldkasutatavas ja masinloetavas vormingus. Nii saavad nad andmeid hõlpsasti taaskasutada ja soovi korral edastada oma andmed teisele vastutavale töötlejale. Õigust andmete ülekandmisele saab kasutada ainult juhul, kui need kolm tingimust on samal ajal täidetud:
- töötlemine põhineb nõusolekul või lepingul;
- töötlemine on automatiseeritud (st paberdokumente ei ole);
- ja andmesubjektid on andmed ise esitanud. See hõlmab ka andmeid, mida teie organisatsioon on jälginud andmesubjekti käitumise alusel (nt ühendatud tarvikutega).
Seega ei puuduta see õigus andmeid, mida organisatsioon ise eespool nimetatud andmete põhjal loob.
Täpsemalt on andmesubjektidel õigus:
- saada oma isikuandmeid struktureeritud, üldkasutatavas ja masinloetavas vormingus. Vorm peab võimaldama andmesubjektil taaskasutada isikuandmeid teise teenuse jaoks.
Näide: XML, JSON ja CSV on tavalised vormingud, mis vastavad sellele kriteeriumile. Metaandmed tuleb esitada ka selleks, et andmeid saaks kasutada teisel platvormil. PDF-vormingust ei piisa. - lasta oma isikuandmed edastada otse teisele vastutavale töötlejale. Teie organisatsioon peaks seda tegema ainult juhul, kui selline otsene edastamine on tehniliselt võimalik.
Praktikas
- Teie organisatsioon pakub muusika voogedastuse veebiteenuseid. Teie kliendid saavad taotleda oma laululoendite ülekandmist teisele muusika voogesituse teenusele.
- Olete VKE, kes pakub veebipostiteenust. Kui teie klient, kellel on e-posti konto puhtalt isikliku või leibkonna jaoks, seda taotleb, peate oma aadressiloendi ja e-kirjad üle kandma teisele veebipostiteenusele, kui see on tehniliselt teostatav. Kui see ei ole võimalik, peate esitama kliendi aadressiloendi ja e-kirjad korduvkasutatavas digitaalses vormingus.
Õigus esitada vastuväiteid
Andmesubjektid võivad esitada vastuväiteid enda isikuandmete töötlemisele „tema konkreetse olukorraga seotud põhjustel“. Vastuväite esitamise õigust saab kasutada ainult juhul, kui töötlemine põhineb ühel järgmistest õiguslikest alustest:
- organisatsiooni või kolmanda isiku õigustatud huvi; või
- avalikes huvides või avaliku võimu teostamisega seotud ülesande täitmine.
Muudel juhtudel ei saa andmesubjekt kasutada vastuväidete esitamise õigust, sest teiste õiguslike aluste jaoks on sama eesmärgi saavutamiseks alternatiivid: nõusoleku korral võib andmesubjekt nõusoleku lihtsalt tagasi võtta. Andmesubjekt ei saa esitada vastuväiteid seadusega ette nähtud töötlemisele.
Kui andmesubjektid kasutavad oma vastuväidete esitamise õigust, peab teie organisatsioon tasakaalustama mõlema poole huve. Ta lõpetab nende isikuandmete igasuguse töötlemise, välja arvatud juhul, kui ta suudab tõendada mõjuvaid õiguspäraseid põhjuseid, mis kaaluvad üles andmesubjekti õigused ja vabadused (nt ta taotleb kohtumenetlust). Teie organisatsioon peab need põhjused dokumenteerima ja andmesubjektile teatavaks tegema.
Oluline on märkida
Kui andmeid töödeldakse turunduslikel eesmärkidel, on andmesubjektil õigus esitada selle töötlemise suhtes vastuväiteid ilma põhjendusi esitamata. Sellisel juhul ei ole põhjused, miks teie organisatsioon neid andmeid töötleb, asjakohased, selle asemel peab vastuväide viima sellel eesmärgil töötlemise kohese lõpetamiseni.
Praktikas
- Sa oled väike turundusettevõte. Kui inimene ostab pileti bändi kontserdile internetis, saab ta reklaame teiste sarnaste kontsertide kohta. Kui isik soovib nende reklaamide ja objektide saamise lõpetada, peab organisatsioon otseturunduse peatama.
- Te olete väike- ja keskmise suurusega ettevõtja, kes tegutseb kindlustusvaldkonnas. Selles valdkonnas on teatud olukordades vaja isikuandmeid rahapesu vastu võitlemiseks. Võite kindlustusmaaklerina keelduda vastuväidete esitamise õiguse järgimisest, sest teie riiklikud rahapesuvastased seadused kohustavad teid andmeid töötlema.
Loe lähemalt
Õiguse suhtes ei kohaldata otsust, mis põhineb üksnes automatiseeritud töötlemisel
Isikul on õigus sellele, et tema suhtes ei tehta täisautomaatset otsust (st ilma inimsekkumiseta otsustamisprotsessis), millel on õiguslikud tagajärjed või mis mõjutab oluliselt asjaomast isikut.
Automatiseeritud otsuste tegemine käib sageli käsikäes profiilianalüüsiga, mis on isikuandmete kaitse üldmääruses määratletud kui „igasugune isikuandmete automatiseeritud töötlemine, mis seisneb isikuandmete kasutamises füüsilise isikuga seotud teatavate isiklike aspektide hindamiseks, eelkõige selle füüsilise isiku töötulemuste, majandusliku olukorra, tervise, isiklike eelistuste, huvide, usaldusväärsuse, käitumise, asukoha või liikumisega seotud aspektide analüüsimiseks või prognoosimiseks“ (isikuandmete kaitse üldmääruse artikkel4 lõige 4).
Selle õiguse kohaldamiseks peab automatiseeritud töötlemine hõlmama järgmist:
- otsus, mis põhineb eranditult automatiseeritud töötlemisel ilma inimsekkumiseta. See tähendab, et ühelgi füüsilisel isikul ei ole otsuse üle märkimisväärset kontrolli ja ta ei saa näiteks otsust tagasi võtta või muuta;
- otsus, millel on andmesubjektidele õiguslikud tagajärjed või mis neid oluliselt mõjutab.
Praktikas
- Õiguslike tagajärgede näiteks võib olla telefonilepingu automaatne lõpetamine, kuna klient ei ole kuuarvet tasunud.
- Otsus, mis isikut oluliselt mõjutab, võib leida järgmistest näidetest (kuigi loomulikult tuleb andmesubjektile avalduva mõju hindamisel alati arvesse võtta konteksti):
- otsused, mis mõjutavad inimeste finantsolukorda, näiteks krediidi väljavõtmise õigust;
- veebiplatvormi kaudu taotluse esitanud taotlejate automaatne keeldumine;
- hindade diferentseerimine tarbija sirvimisajaloo ja ostuharjumuste alusel;
- otsused, mis mõjutavad kellegi juurdepääsu haridusele, näiteks ülikooli vastuvõtud.
- otsused, mis mõjutavad inimeste finantsolukorda, näiteks krediidi väljavõtmise õigust;
On kolm olukorda, kus automatiseeritud üksikotsust saab veel teha:
- kui see on seadusega lubatud (nt pettuse või maksudest kõrvalehoidumise ennetamine);
- kui otsus põhineb andmesubjekti selgesõnalisel nõusolekul; või
- kui see on vajalik lepingu sõlmimiseks või täitmiseks. Pidage siiski meeles, et viimases olukorras sõltub see alati juhtumipõhisest hindamisest. Niipea kui lepingu sõlmimiseks või täitmiseks on olemas vähem privaatsust mõjutavaid meetodeid, ei peeta automatiseeritud otsust enam „vajalikuks“.
Kui tegemist on eriliigiliste andmetega, on automatiseeritud otsuste tegemine võimalik üksnes selgesõnalise nõusoleku või olulise avaliku huvi alusel vastavalt liidu või liikmesriigi õigusele.
Andmesubjekti õigused iga õigusliku aluse puhul
