Muudatuse eesmärk on rakendada Eesti õiguses Euroopa Liidu isikuandmete kaitse üldmäärust ja õiguskaitseasutusi puudutavat direktiivi, edastas valitsuse pressiesindaja.

"Isikuandmete kaitse üldmääruse üks peamisi eesmärke on tugevdada õigust eraelu puutumatusele internetis ja anda inimestele tagasi kontroll oma isikuandmete üle," ütles justiitsminister Urmas Reinsalu ministeeriumi pressiteate vahendusel.

"Hea näide on hiljutine juhtum, kus Facebook edastas Cambridge Analytica’ile kolmandate isikute andmeid ilma nende nõusolekuta. Uues isikuandmete kaitse üldmääruses on inimese õigused tugevamad, inimene saab igal ajal nõuda väljavõtet oma andmete kasutamisest, sealhulgas saab nõuda infot selle kohta, kellele on andmeid edastatud ja mis eesmärgil," ütles justiitsminister.

Lisaks peab uue üldmääruse järgi vastutav töötleja vastama läbipaistvuse nõuetele, see tähendab näitama juba eelnevalt ära, kuidas ta isiku andmeid kasutab või edastab. "Kui aga taoline raske rikkumine on toime pandud, on uue üldmääruse järgi võimalik määrata ettevõttele mõjus trahv," lisas Reinsalu.

"Üks väga lähedalt inimesi puudutav üldmääruse muudatus on ka õigus olla unustatud – edaspidi võib isik nõuda oma andmete kustutamist, kui ei soovi lasta enam oma andmeid näiteks Google’il või telefonisideoperaatoril töödelda," lisas Reinsalu.

"Ilma andmete vaba liikumiseta ei toimiks piiriülene majandus nii, nagu sellega täna harjunud oleme, ja seetõttu on üldmääruse teine peamine eesmärk ühtlustada Euroopa Liidu liikmesriikide andmekaitse korrad ja elavdada Euroopa digitaalmajandust," ütles justiitsminister Reinsalu.

Digitaalmajanduse elavdamisele aitab kaasa nõue, et väljaspool Euroopa Liitu asuvad ettevõtjad peavad järgima turul kaupu või teenuseid pakkudes samu eeskirju. "Samuti kõrvaldab üldmäärus isikuandmete vaba liikumise takistused Euroopa Liidus ja see lihtsustab ettevõtete laienemist. Uute andmekaitse eeskirjadega kaob enamik teatamiskohustustest ja nendega kaasnevatest kuludest," ütles justiitsminister.

Olulise muudatusena peavad andmete ulatusliku töötlemisega tegelevad riigiasutused ja ettevõtjad ametisse nimetama andmekaitse eest vastutava andmekaitseametniku. Neid ülesandeid saab täita ka lepinguliselt.

25. mail rakenduva üldmääruse järgi on lapse isikuandmete töötlemine infoühiskonna teenuste pakkumisel seaduslik üksnes juhul, kui laps on vähemalt 13-aastane. "Senises seaduses vanusepiiri määratud ei olnud. Kindel on see, et laste isikuandmed väärivad erilist kaitset, kuna lapsed ei pruugi olla teadlikud ohtudest ja tagajärgedest, samuti oma õigustest seoses isikuandmete töötlemisega," selgitas Reinsalu. Eriline kaitse rakendub eelkõige laste isikuandmete kasutamisel turunduse eesmärgil või isiku kasutajaprofiili loomiseks, samuti laste isikuandmete kogumisel otse lastele pakutavate teenuste kasutamise puhul. Laste isikuandmete töötlemisel peab kogu teave olema selges ja lihtsas keeles, mis on lapsele kergesti arusaadav, samamoodi tuleb ka lapsega suhelda.

Isikuandmete ajakirjanduslikku töötlemist eelnõu võrreldes senisega ei muuda – isikuandmeid võib andmesubjekti nõusolekuta töödelda ajakirjanduslikul eesmärgil, kui selleks on olemas avalik huvi ning see on kooskõlas ajakirjanduseetika põhimõtetega. "Riigil lasub üldiselt kohustus ajakirjandusvabadusse mitte sekkuda. Seetõttu on ajakirjandusvabadus piiratud teiste õigustega – eraelu kaitsega, solvamise ja laimamise keeluga, valeandmete edastamise ja rassiviha õhutamise keeluga, samuti alaealiste ohustamise keeluga jne. Jätkuvalt kehtib põhimõte, et isikuandmete avalikustamine ei tohi ülemäära kahjustada inimese õigusi ja ajakirjanduses avaldatu peab aitama kaasa diskussiooni tekkimisele demokraatlikus ühiskonnas," selgitas minister Reinsalu.

Isikuandmete kaitse üldmäärus reguleerib ka isikuandmete töötlemist teadus- ja ajaloouuringutes ja riiklikus statistikas, samuti akadeemilise, kunstilise ja kirjandusliku eneseväljenduse tarvis ja muudel juhtudel.

Eraldi tähelepanu pöörab üldmäärus õiguskaitseorganite poolt isikuandmete töötlemisele süütegude tõkestamisel, avastamisel, menetlemisel ja karistuse täideviimisel. Ka õiguskaitseasutustele luuakse kohustus määrata andmekaitsespetsialist.

Seadus on kavas jõustada 25. mail. Jõustumine sõltub isikuandmete kaitse üldmääruse jõustumisest. Lisaks käesolevale eelnõule on justiitsministeeriumis ette valmistamisel eraldi rakendusseadus, kus käsitletakse valdkonnaspetsiifilisi muudatusi.