Piiriülesed menetlused

Euroopa Liidu andmekaitse järelevalveasutused teevad omavahel menetlusalast koostööd. Kui Andmekaitse Inspektsioonile esitatakse kaebus mõne väljaspool Eestit asuva andmetöötleja peale, võtame esmalt ühendust vastava riigi järelevalveasutusega. Seejärel määratletakse juhtiv järelevalveasutus ning kaasatakse vajadusel ka teisi riike.

Isikuandmete kaitse üldmääruse (IKÜM) artikli 4 punktis 23 on selgitatud mõistet „isikuandmete piiriülene töötlemine“. IKÜM selgitab, et isikuandmete piiriüleseks töötlemiseks on kas 

  • isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja, kelle tegevuskoht on enamas kui ühes liikmesriigis, tegevus toimub rohkem kui ühes liikmesriigis, või 
  • isikuandmete töötlemine, mis toimub liidus olukorras, kus vastutava töötleja või volitatud töötleja tegevus toimub ühes kohas, kuid see mõjutab oluliselt või võib tõenäoliselt oluliselt mõjutada andmesubjekte rohkem kui ühes liikmesriigis.

Eelnev tähendab, et andmesubjekti isikuandmeid võib Euroopa Liidu siseselt töödelda ka ettevõte, kes asub teises liikmesriigis kui andmesubjekt ise. Sellest hoolimata on andmesubjektil õigus nõuda ettevõttelt muuhulgas oma isikuandmete parandamist, kustutamist või töötlemise piiramist. Kui ettevõte ei täida andmesubjekti taotlust või täidab selle osaliselt, on andmesubjektil õigus pöörduda järelevalveasutuse poole. 

Isikule, kelle isikuandmeid on töödeldud, on alati kõige lihtsam pöörduda oma liikmesriigi järelevalveasutuse poole. Näiteks juhul, kui tegemist on Eesti kodanikuga, saab Eesti kodanik pöörduda kaebusega alati Andmekaitse Inspektsiooni poole, hoolimata sellest, millise riigi ettevõte on isiku andmeid töödelnud. Kui selgub, et ettevõte ei asu Eestis (näiteks on kaebus Facebooki andmetöötluse kohta), tuleb Andmekaitse Inspektsioonil teavitada selle liikmesriigi järelevalveasutust, kes IKÜM artikkel 56 lõike 1 kohaselt on pädev tegutsema juhtiva järelevalveasutusena kõnealuse vastutava töötleja või volitatud töötleja tehtud piirülese isikuandmete töötlemise toimingu suhtes kooskõlas artiklis 60 sätestatud menetlusega.

Isegi juhul, kui ettevõte on asutatud ühes liikmesriigis (näiteks Lätis), ei pruugi nimetatud liikmesriigi järelevalveasutus olla juhtivaks järelevalveasutuseks. Juhtiv järelevalveasutus on asutus, kelle esmane ülesanne on käsitleda isikuandmete piiriülese töötlemisega seotud juhtumeid. Kuidas määratakse juhtivat järelevalveasutust, on võimalik lugeda Artikli 29 töörühma 1 suunistest, mis on kättesaadavad mh Andmekaitse Inspektsiooni kodulehel. Vastaval alalehel on võimalik lugeda ka suuniste kokkuvõtet. 

Andmekaitse Inspektsioon ei suhtle reeglina otse andmetöötlejatega olukorras, kus tegemist on isikuandmete piiriülese töötlemisega ning mille puhul ei ole Andmekaitse Inspektsioon juhtivaks järelevalveasutuseks, kuivõrd juhtiv järelevalveasutus (näiteks Facebooki puhul Iirimaa järelevalveasutus) suhtleb andmetöötlejaga ise.

Piiriüleste juhtumite puhul võivad IKÜMi artikli 55 kohaselt olla asjaomased kõik järelevalveasutused, kes leiavad, et konkreetse ettevõtte andmetöötlustoiming võib mõjutada ka nende riikide kodanikke. Seetõttu on IKÜMi artikli 56 lõikega 1 kehtestatud konkreetne mehhanism asjaomaste järelevalveasutuste pädevuste lahendamiseks ja IKÜMi järjepideva kohaldamise tagamiseks (mis oleks vastasel juhul õõnestatud samateemaliste vastuoluliste otsuste korral).

Kui juhtiva järelevalveameti pädevus on IKÜM artikkel 56 alusel kindlaks määratud, järgneb sellele IKÜM artikkel 60 kohaselt juhtiva järelevalveasutuse ja teiste asjaomaste järelevalveasutuste vaheline koostöö. Juhtiv järelevalveasutus ja asjaomased järelevalveasutused vahetavad üksteisega kogu asjaomast teavet. Asjaomaseks järelevalveasutuseks on mh see järelevalveasutus, kuhu on kaebus esitatud. 

IKÜM artiklis 60 on esitatud ülesanded, mida juhtiv järelevalveasutus peab täitma. Muuhulgas peab juhtiv järelevalveasutus esitama otsuse eelnõu ning esitama selle viivitamata teistele asjaomastele järelevalveasutustele arvamuse saamiseks. Seega, kui tegemist on näiteks Läti ettevõttega ning on kindlaks tehtud, et juhtivaks on Läti järelevalveasutus, peab viimane koostama ka otsuse (eelnõu), tuues välja mh, kas rikkumine on lõppenud ning milliseid parandusmeetmeid on kasutatud. 

Juhul, kui juhtiv järelevalveasutus on koostanud otsuse eelnõu ning ükski asjaomane järelevalveasutus ei ole sellele vastu vaielnud, võtab juhtiv järelevalveasutus otsuse vastu ning teeb selle andmetöötlejale teatavaks. Järelevalveasutus, kellele kaebus esitati, teavitab sellest otsusest kaebuse esitajat.

1 Artikli 29 töörühm, täisnimega "Isikuandmete töötlemisel üksikisikute kaitse töörühm", oli nõuandev organ enne Euroopa Andmekaitsenõukogu loomist, kuhu kuulus iga ELi liikmesriigi andmekaitseasutuse esindaja.

Mida teha, kui minu isikuandmeid väärkasutab välismaa ettevõte?

Kaebuse saate esitada ka juhul, kui Teie isikuandmeid väärkasutab ettevõte, kes on registreeritud teise Euroopa Liidu liikmesriiki või kellel on tegevuskoht mõnes teises Euroopa Liidu liikmesriigis, mitte Eestis. Sellisel juhul tuleks esitada kaebus Andmekaitse Inspektsioonile, kes selgitab välja õige andmekaitseasutuse ning edastab Teie kaebuse lahendamiseks teise riiki.

Euroopa Liidu liikmesriikides asuvad andmekaitseasutused suhtlevad ülepiiriliste menetluste raames omavahel läbi turvalise infosüsteemi. Kui teise riigi andmekaitseasutus menetlusega lõpule jõuab, saadetakse Andmekaitse Inspektsioonile sellekohane otsus. Seejärel teavitame ka Teid menetluse käigust ning tulemustest. 

Kaebuse esitamise kohta loe täpsemalt SIIT.

Last updated: 08.01.2024