Need õigused jäävad alles ka siis, kui jõustub uus andmekaitsemäärus. Küll aga annab uus määrus isikutele palju laiemad õigused isikuandmete töötleja suhtes või ka õigused, mida neil varem üldse ei olnud. Sellega lisandub ettevõtjale ka hulk kohustusi. Käsitleme viit uut õigust, mis on isikutel aastast 2018.
1. Isikuandmete kaasaskantavus
Isikul on õigus oma andmeid liigutada erinevate töötlejate vahel. Nii saab isik nõuda töötlejalt andmeid endale või ka paluda need otse edastada uuele töötlejale. Edastus peab toimima struktureeritud, laialdaselt kasutatavas, masinloetavas ja koostalitlevas vormingus.
Määrus julgustab töötlejaid arendama koostalitlevaid vorminguid, mis võimaldavad andmete ülekantavust. Sisuliselt tähendab see näiteks seda, et kui isik ei soovi enam ostelda poes A, siis ta saab paluda poelt A anda masinloetavas vormis kaasa tema isikuandmed ning minna nendega poodi B, kellest saab isiku uus andmete töötleja. Samuti saab isik paluda poel A edastada oma andmed otse poele B.
Selleks et isikuandmete kaasaskantavust tagada, tuleb aga ettevõtetel teha investeeringuid, kuivõrd enamasti ei ole ettevõttel andmed ei sellises vormingus ega vastavalt struktureeritud kujul, et neid igal ajal kliendile kaasa anda või veel vähem edastada lihtsalt kasutatavas vormis enda konkurendile.
2. Teavitamine õigusest keelduda andmete töötlemisest
Määrusest tuleneb andmete töötlejatele kohustus informeerida isikuid, et neil on õigus keelduda andmete töötlemisest. Varasem seadusandlus sellist kohustust töötlejatele ette ei näinud. Õigusest keelduda tuleb teavitada selgelt ja eraldi igasugusest muust teabest. Teavitamiskohustus hõlmab ka selgitamist, et isikul on õigus reguleerida, kuidas ja milleks tema andmeid kasutatakse.
Kuivõrd töötlejatel tuleb määruse järgi anda isikutele täiendavat informatsiooni, siis see kohustab ettevõtteid selles osas üle vaatama oma andmekaitse eeskirjad ning viisi, kuidas nõusolekut võetakse.
3. Töötlemise piiramise õigus
Isikud saavad õiguse nõuda töötlemise lõpetamist konkreetsete töötlemisviiside või konkreetsete andmete osas. Näiteks kui isik seab kahtluse alla, kas töötlejal on ikka tema kohta uued andmed või kas ettevõtja peaks töötlema andmeid konkreetsel eesmärgil X, siis saab ta nõuda nende andmete töötlemise lõpetamist. Selline õigus nõuab ettevõtjalt tehnilisi võimalusi ja ressursse lõpetada töötlemine konkreetse isiku kohta või lõpetada konkreetsete andmete töötlemine.
4. Õigus olla unustatud
Õiguse nõuda teatud andmete kustutamist ehk nn õiguse olla unustatud saab isik eelkõige siis, kui andmete töötlemiseks ei ole õigustust või need ei ole enam ajakohased. Näiteks kui töötlejal ei ole enam andmeid vaja eesmärgil, millega seoses need on kogutud.
Õigus nõuda andmete kustutamist oli isikutel ka varem, kuid uues määruses on see palju laiem. Sellega seoses tuleb ettevõtjal ka rohkem tegeleda erinevate avaldustega, kus andmete kustutamist nõutakse.
5. Profiilianalüüsi keelamine
Isik saab suurema õiguse teatud tingimuste täitmisel nõuda, et tema kohta ei võetaks vastu otsust, mis põhineb üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil. Vastav õigus tekib siis, kui profileerimisel on teda puudutavad õiguslikud tagajärjed või see avaldab talle märkimisväärset mõju. Näiteks veebipõhise krediiditaotluse automaatne tagasilükkamine või veebipõhine tööle värbamine ilma inimsekkumiseta.
Edaspidine tegevuskava
Andmekaitsemääruse jõustumine toob ettevõtetele hulga uusi kohustusi, millega peaks tegelema juba täna.
Uute õiguste osas tuleb ettevõtetel asuda analüüsima olemasolevaid isikuandmeid, et välja selgitada:
- kas ettevõttel on tehniliselt võimalik isikule tema andmed n-ö kaasa anda (või teisele teenuse pakkujale edastada) ja masinloetavaks teha ning vajadusel teatud andmete töötlemine lõpetada;
- kas privaatsustingimused on uuendatud selliselt, et nende kohaselt teavitatakse isikuid õigusest keelduda andmete töötlemisest, sh andmeliikide ja eesmärkide lõikes;
- kas ettevõtte töötajad on pädevad andma vastuseid klientide küsimustele seoses isikuandmetega.