Väljaandja: Riigikogu
Akti liik: seadus
Teksti liik: algtekst-terviktekst
Redaktsiooni jõustumise kp: 15.01.2019
Redaktsiooni kehtivuse lõpp: Hetkel kehtiv
Avaldamismärge: RT I, 04.01.2019, 11
Välja kuulutanud
Vabariigi President
21.12.2018 otsus nr 367
Isikuandmete kaitse seadus1
Vastu võetud 12.12.2018
1. peatükk Üldsätted
§ 1. Seaduse reguleerimisala
(1) Käesolev seadus reguleerib:
1) füüsiliste isikute kaitset isikuandmete töötlemisel ulatuses, milles see täpsustab ja täiendab sätteid, mis sisalduvad Euroopa Parlamendi ja nõukogu määruses (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 04.05.2016, lk 1–88);
2) füüsiliste isikute kaitset isikuandmete töötlemisel õiguskaitseasutuste poolt süütegude tõkestamisel, avastamisel ja menetlemisel ning karistuste täideviimisel.
(2) Käesolev seadus sätestab:
1) normid, et rakendada Euroopa Parlamendi ja nõukogu määrust (EL) 2016/679;
2) normid, et üle võtta Euroopa Parlamendi ja nõukogu direktiiv (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT L 119, 04.05.2016, lk 89–131);
3) isikuandmete töötlemise nõuete täitmise üle riikliku ja haldusjärelevalve teostamise korra;
4) vastutuse isikuandmete töötlemise nõuete rikkumise eest.
§ 2. Seaduse ning Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 kohaldamisala erisused
Käesolevat seadust ning Euroopa Parlamendi ja nõukogu määrust (EL) 2016/679 kohaldatakse:
1) süüteomenetlusele ja kohtumenetlusele menetlusseadustikes sätestatud erisustega;
2) põhiseaduslikele institutsioonidele niivõrd, kuivõrd see ei puuduta nende põhiseaduslike ülesannete täitmist ega ole reguleeritud neid puudutavates eriseadustes.
§ 3. Haldusmenetluse seaduse kohaldamine
Käesolevas seaduses ettenähtud haldusmenetlusele kohaldatakse haldusmenetluse seaduse sätteid, arvestades käesoleva seaduse erisusi.
2. peatükk Isikuandmete töötlemise erialused
§ 4. Isikuandmete töötlemine ajakirjanduslikul eesmärgil
Isikuandmeid võib andmesubjekti nõusolekuta töödelda ajakirjanduslikul eesmärgil, eelkõige avalikustada meedias, kui selleks on avalik huvi ja see on kooskõlas ajakirjanduseetika põhimõtetega. Isikuandmete avalikustamine ei tohi ülemäära kahjustada andmesubjekti õigusi.
§ 5. Isikuandmete töötlemine akadeemilise, kunstilise ja kirjandusliku eneseväljenduse tarbeks
Isikuandmeid võib andmesubjekti nõusolekuta töödelda akadeemilise, kunstilise ja kirjandusliku eneseväljenduse eesmärgil, eelkõige avalikustada, kui see ei kahjusta ülemäära andmesubjekti õigusi.
§ 6. Isikuandmete töötlemine teadus- ja ajaloouuringu ning riikliku statistika vajadusteks
(1) Isikuandmeid võib andmesubjekti nõusolekuta teadus- või ajaloouuringu või riikliku statistika vajadusteks töödelda eelkõige pseudonüümitud või samaväärset andmekaitse taset võimaldaval kujul. Enne isikuandmete üleandmist teadus- või ajaloouuringu või riikliku statistika vajadustel töötlemiseks asendatakse isikuandmed pseudonüümitud või samaväärset andmekaitse taset võimaldaval kujul andmetega.
(2) Depseudonüümimine või muu viis, millega isikut mittetuvastavad andmed muudetakse uuesti isikut tuvastavaks, on lubatud ainult täiendavate teadus- või ajaloouuringute või riikliku statistika vajadusteks. Isikuandmete töötleja määrab nimeliselt isiku, kellel on juurdepääs depseudonüümimist võimaldavatele andmetele.
(3) Teadus- või ajaloouuringu või riikliku statistika vajadusteks andmesubjekti nõusolekuta tema kohta käivate andmete töötlemine andmesubjekti tuvastamist võimaldaval kujul on lubatud üksnes juhul, kui on täidetud järgmised tingimused:
1) pärast tuvastamist võimaldavate andmete eemaldamist ei ole andmetöötluse eesmärgid enam saavutatavad või neid oleks ebamõistlikult raske saavutada;
2) teadus- või ajaloouuringu või riikliku statistika tegija hinnangul on selleks ülekaalukas avalik huvi;
3) töödeldavate isikuandmete põhjal ei muudeta andmesubjekti kohustuste mahtu ega kahjustata muul viisil ülemäära andmesubjekti õigusi.
(4) Kui teadus- või ajaloouuring põhineb eriliiki isikuandmetel, siis kontrollib asjaomase valdkonna eetikakomitee enne käesolevas paragrahvis sätestatud tingimuste täitmist. Kui teadusvaldkonnas puudub eetikakomitee, siis kontrollib nõuete täitmist Andmekaitse Inspektsioon. Rahvusarhiivis säilitatavate isikuandmete suhtes on eetikakomitee õigused Rahvusarhiivil.
(5) Käesoleva seaduse tähenduses loetakse teadusuuringuks ka täidesaatva riigivõimu analüüsid ja uuringud, mis tehakse poliitika kujundamise eesmärgil. Nende koostamiseks on täidesaatval riigivõimul õigus teha päringuid teise vastutava või volitatud töötleja andmekogusse ning töödelda saadud isikuandmeid. Andmekaitse Inspektsioon kontrollib enne nimetatud isikuandmete töötlemise algust käesolevas paragrahvis sätestatud tingimuste täitmist, välja arvatud juhul, kui poliitika kujundamiseks tehtava uuringu eesmärgid ja isikuandmete töötlemise ulatus tulenevad õigusaktist.
(6) Kui isikuandmeid töödeldakse teadus- või ajaloouuringu või riikliku statistika eesmärgil, võib vastutav või volitatud töötleja Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artiklites 15, 16, 18 ja 21 sätestatud andmesubjekti õigusi piirata niivõrd, kuivõrd nende õiguste teostamine tõenäoliselt muudab võimatuks teadus- või ajaloouuringu või riikliku statistika eesmärgi saavutamise või takistab seda oluliselt.
§ 7. Isikuandmete töötlemine avalikes huvides tehtava arhiveerimise eesmärgil
(1) Kui isikuandmeid töödeldakse avalikes huvides tehtava arhiveerimise eesmärgil, võib vastutav või volitatud töötleja Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artiklites 15, 16 ja 18–21 sätestatud andmesubjekti õigusi piirata niivõrd, kuivõrd nende õiguste teostamine tõenäoliselt muudab võimatuks avalikes huvides tehtava arhiveerimise eesmärgi saavutamise või takistab seda oluliselt.
(2) Käesoleva paragrahvi lõikes 1 nimetatud andmesubjekti õigusi võib piirata selleks, et mitte ohustada arhivaalide seisundit, autentsust, usaldusväärsust, terviklikkust ja kasutatavust.
3. peatükk Muud juhud isikuandmete töötlemisel
§ 8. Lapse isikuandmete töötlemine infoühiskonna teenuste pakkumisel
(1) Kui kohaldatakse Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artikli 6 lõike 1 punkti a seoses infoühiskonna teenuste pakkumisega otse lapsele, on lapse isikuandmete töötlemine lubatud ainult juhul, kui laps on vähemalt 13-aastane.
(2) Kui laps on noorem kui 13-aastane, on isikuandmete töötlemine lubatud üksnes sellisel juhul ja sellises ulatuses, milleks on nõusoleku andnud lapse seaduslik esindaja.
§ 9. Isikuandmete töötlemine pärast andmesubjekti surma
(1) Andmesubjekti nõusolek kehtib andmesubjekti eluajal ja 10 aastat pärast andmesubjekti surma, kui andmesubjekt ei ole otsustanud teisiti. Kui andmesubjekt on surnud alaealisena, siis kehtib tema nõusolek 20 aastat pärast andmesubjekti surma.
(2) Pärast andmesubjekti surma on tema isikuandmete töötlemine lubatud andmesubjekti pärija nõusolekul, välja arvatud juhul, kui:
1) andmesubjekti surmast on möödunud 10 aastat;
2) alaealiselt surnud andmesubjekti surmast on möödunud 20 aastat;
3) isikuandmeid töödeldakse muul õiguslikul alusel.
(3) Mitme pärija olemasolul on andmesubjekti isikuandmete töötlemine lubatud neist ükskõik kelle nõusolekul.
(4) Käesoleva paragrahvi lõikes 1 nimetatud nõusolekut ei ole vaja, kui töödeldavateks isikuandmeteks on üksnes andmesubjekti nimi, sugu, sünni- ja surmaaeg, surma fakt ning matmise aeg ja koht.
§ 10. Isikuandmete töötlemine seoses võlasuhte rikkumisega
(1) Võlasuhte rikkumisega seotud isikuandmete edastamine kolmandale isikule ja edastatud andmete töötlemine kolmanda isiku poolt on lubatud andmesubjekti krediidivõimelisuse hindamise eesmärgil või muul samasugusel eesmärgil ning üksnes juhul, kui vastutav või volitatud töötleja on kontrollinud edastatavate andmete õigsust ja õiguslikku alust isikuandmete edastamiseks ning on registreerinud andmeedastuse.
(2) Käesoleva paragrahvi lõikes 1 nimetatud eesmärgil andmeid koguda ja kolmandale isikule edastada ei ole lubatud, kui:
1) tegemist on eriliiki isikuandmete töötlemisega Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artikli 9 lõike 1 tähenduses;
2) tegemist on andmetega süüteo toimepanemise või selle ohvriks langemise kohta enne avalikku kohtuistungit või õigusrikkumise asjas otsuse langetamist või asja menetluse lõpetamist;
3) see kahjustaks ülemäära andmesubjekti õigusi või vabadusi;
4) lepingu rikkumisest on möödunud vähem kui 30 päeva;
5) kohustuse rikkumise lõppemisest on möödunud rohkem kui viis aastat.
§ 11. Isikuandmete töötlemine avalikus kohas
Kui seadus ei sätesta teisiti, asendab avalikus kohas avalikustamise eesmärgil toimuva heli- või pildimaterjalina jäädvustamise puhul andmesubjekti nõusolekut tema teavitamine sellises vormis, mis võimaldab tal heli- või pildimaterjali jäädvustamise faktist aru saada ja enda jäädvustamist soovi korral vältida. Teavitamiskohustus ei kehti avalike ürituste puhul, mille avalikustamise eesmärgil jäädvustamist võib mõistlikult eeldada.
4. peatükk Isikuandmete töötlemine õiguskaitseasutuse poolt süüteo tõkestamisel, avastamisel ja menetlemisel ning karistuse täideviimisel
1. jagu Üldsätted
§ 12. Käesoleva peatüki kohaldamine
(1) Käesolevat peatükki kohaldatakse isikuandmete töötlemisele õiguskaitseasutuse poolt süüteo tõkestamisel, avastamisel ja menetlemisel ning karistuse täideviimisel.
(2) Käesolevat peatükki ei kohaldata isikuandmete töötlemisele riikliku järelevalve ega haldusjärelevalve teostamisel.
(3) Käesoleva peatükiga nähakse ette õiguskaitseasutusele kohaldatavad erisused. Õiguskaitseasutusele ei kohaldata Euroopa Parlamendi ja nõukogu määrust (EL) 2016/679, kui käesolevast seadusest ei tulene teisiti.
§ 13. Terminid
(1) Käesolevas peatükis kasutatakse termineid Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artikli 4 ja artikli 9 lõike 1 tähenduses.
(2) Käesolevas peatükis käsitatakse õiguskaitseasutusena asutust või asutuse struktuuriüksust, kes on pädev seaduse alusel süütegu tõkestama, avastama ja menetlema või karistust täide viima.
2. jagu Põhimõtted
§ 14. Isikuandmete töötlemise põhimõtted
Isikuandmete töötlemisel tuleb järgida järgmisi põhimõtteid:
1) seaduslikkus ja õiglus – isikuandmeid töödeldakse seaduslikult ja õiglaselt;
2) eesmärgikohasus – isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud õiguspärastel eesmärkidel ning neid ei töödelda viisil, mis on nende eesmärkidega vastuolus;
3) kvaliteet – isikuandmed peavad olema piisavad ja asjakohased ning ei tohi olla ülemäärased andmetöötluse eesmärke arvestades;
4) õigsus – isikuandmed peavad olema õiged ja vajaduse korral ajakohastatud; mõistlike meetmetega tagatakse, et andmetöötluse eesmärgi seisukohast ebaõiged isikuandmed kustutatakse või parandatakse viivitamata;
5) säilitamine – isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekti tuvastada üksnes seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse;
6) turvalisus – isikuandmeid töödeldakse viisil, mis tagab nende turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kadumise, hävimise või kahjustumise eest, rakendades asjakohaseid tehnilisi või korralduslikke meetmeid.
§ 15. Isikuandmete töötlemise seaduslikkus
Õiguskaitseasutus võib isikuandmeid töödelda seaduse alusel, kui nende töötlemine on vajalik süüteo tõkestamise, avastamise või menetlemise või karistuse täideviimise eesmärgist tuleneva ülesande täitmiseks.
§ 16. Isikuandmete töötlemine algsest erineval eesmärgil
(1) Isikuandmete töötlemine sama või muu vastutava töötleja poolt muul käesoleva seaduse § 12 lõikes 1 sätestatud eesmärgil kui algne eesmärk, milleks isikuandmeid kogutakse, on lubatud niivõrd, kuivõrd:
1) vastutaval töötlejal on sellisel eesmärgil isikuandmete töötlemiseks olemas seadusest või Euroopa Liidu õigusaktist tulenev alus ja
2) selline isikuandmete töötlemine on seaduse või Euroopa Liidu õigusakti kohaselt vajalik ja seatud eesmärgiga proportsionaalne.
(2) Õiguskaitseasutuse poolt käesoleva seaduse § 12 lõikes 1 sätestatud eesmärkidel kogutud või kogutavaid isikuandmeid ei tohi töödelda muul eesmärgil, välja arvatud käesoleva paragrahvi lõikes 1 sätestatud juhtudel või kui selline töötlemine on lubatud seaduse või Euroopa Liidu õigusaktiga. Kui isikuandmeid töödeldakse sellisel muul eesmärgil, kohaldatakse Euroopa Parlamendi ja nõukogu määrust (EL) 2016/679, välja arvatud juhul, kui isikuandmeid töödeldakse sellise tegevuse käigus, mis ei kuulu nimetatud määruse kohaldamisalasse. Olukorras, kus töötlemise eesmärk ei kuulu nimetatud määruse kohaldamisalasse, kohaldatakse Eesti õigust.
(3) Kui õiguskaitseasutus täidab seaduse kohaselt ka muid ülesandeid kui need, mida täidetakse käesoleva seaduse § 12 lõikes 1 sätestatud eesmärkidel, kohaldatakse sellisel eesmärgil isikuandmete töötlemisele Euroopa Parlamendi ja nõukogu määrust (EL) 2016/679. Olukorras, kus töötlemise eesmärk ei kuulu nimetatud määruse kohaldamisalasse, kohaldatakse Eesti õigust.
§ 17. Isikuandmete säilitamine
(1) Töödeldavatele isikuandmetele kehtestatakse seaduse või määrusega säilitamise tähtaeg. Erandjuhul, kui isikuandmete säilitamise tähtaega pole seaduse või määrusega kehtestatud, peab selle tähtaja kehtestama vastutav töötleja.
(2) Käesoleva paragrahvi lõike 1 alusel kehtestatud säilitamise tähtaega on lubatud pikendada üksnes põhjendatud juhul, välja arvatud siis, kui säilitamise tähtaeg on sätestatud õigustloovas aktis.
(3) Kui konkreetset säilitamise tähtaega ei ole võimalik kehtestada, peab vastutav töötleja rakendama õiguslikke ja tehnoloogilisi meetmeid, mis võimaldavad pidevalt hinnata andmete jätkuva töötlemise vajalikkust.
(4) Kui isikuandmete säilitamise tähtaeg lõpeb, on vastutav ja volitatud töötleja kohustatud isikuandmed jäädavalt kustutama. Selleks peab vastutav töötleja rakendama nõuetekohaseid õiguslikke ja tehnoloogilisi meetmeid.
§ 18. Andmesubjektide eri kategooriate eristamine
Võimaluse korral ja asjakohasel juhul eristab vastutav töötleja isikuandmete töötlemisel andmesubjektide eri kategooriatena menetlusalused isikud, kahtlustatavad, süüdistatavad, kannatanud, tunnistajad, kinnipeetavad, arestialused, kriminaalhooldusalused ja teised isikud.
§ 19. Hinnangutel põhinevate isikuandmete eristamine
Vastutav töötleja eristab võimaluste piires faktidel põhinevad isikuandmed isiklikel hinnangutel põhinevatest isikuandmetest.
§ 20. Eriliiki isikuandmete töötlemise erisused
(1) Eriliiki isikuandmete töötlemine on lubatud ainult siis, kui see on rangelt vajalik, ning üksnes järgmistel juhtudel:
1) töötlemise lubatavus on sätestatud õigusaktis;
2) töötlemine on vajalik andmesubjekti või teise füüsilise isiku eluliste huvide kaitseks või
3) töödeldakse isikuandmeid, mille andmesubjekt on ise ilmselgelt avalikustanud.
(2) Käesoleva paragrahvi lõikes 1 nimetatud eriliiki isikuandmete töötlemisele kohaldatakse andmesubjekti õiguste ja vabaduste kaitsmiseks asjakohaseid kaitsemeetmeid.
§ 21. Automatiseeritud töötlemine
(1) Keelatud on teha üksnes automatiseeritud töötlusel põhinevat otsust, sealhulgas profiilianalüüsi, kui see toob andmesubjektile kaasa teda puudutavaid kahjulikke õiguslikke tagajärgi või avaldab talle muud märkimisväärset mõju. Sellise otsuse võib teha, kui otsuse tegemine on lubatud seadusega, milles on sätestatud asjakohased meetmed andmesubjekti õiguste ja vabaduste ning õigustatud huvide kaitseks.
(2) Andmesubjektil on käesoleva paragrahvi lõikes 1 nimetatud otsuse kohta õigus esitada vastutavale töötlejale vastuväiteid oma õigustatud huvi kaitseks.
(3) Käesoleva paragrahvi lõikes 1 nimetatud otsus ei tohi põhineda eriliiki isikuandmetel, välja arvatud juhul, kui kohaldatakse sobivaid meetmeid andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitsmiseks.
(4) Keelatud on profiilianalüüsil põhinev otsus, mille tulemusel füüsilisi isikuid diskrimineeritakse eriliiki isikuandmete alusel.
3. jagu Andmesubjekti õigused
§ 22. Andmesubjektile kättesaadavaks tehtav teave
(1) Vastutav töötleja on kohustatud avalikustama järgmise teabe:
1) isikuandmete töötlemise kavandatud eesmärk;
2) isiku poolt enda andmetega tutvumise ning nende parandamise, kustutamise või piiramise õigus ja õiguste teostamise kord;
3) vastutava töötleja ning andmekaitsespetsialisti nimi ja kontaktandmed;
4) Andmekaitse Inspektsiooni kontaktandmed;
5) õigus esitada kaebus Andmekaitse Inspektsioonile, kui isikuandmete töötlemisel on rikutud andmesubjekti õigusi.
(2) Käesoleva paragrahvi lõikes 1 nimetatud avalikustamisena käsitatakse teabe avalikustamist vastutava töötleja veebilehel või muus andmesubjektile kergesti juurdepääsetavas asukohas.
§ 23. Andmesubjekti teavitamisel antav teave
(1) Kui seaduses on sätestatud kohustus teavitada andmesubjekti tema isikuandmete töötlemisest, annab vastutav töötleja andmesubjektile järgmise lisateabe:
1) käesoleva seaduse § 22 lõikes 1 nimetatud teave;
2) isikuandmete töötlemise õiguslik alus;
3) isikuandmete säilitamise tähtaeg või säilitamise tähtaja määramise alused;
4) nende vastuvõtjate kategooriad, kellele on lubatud edastada isikuandmeid;
5) vajaduse korral muu lisateave.
(2) Seaduses sätestatud juhtudel võib vastutav töötleja käesoleva paragrahvi lõikes 1 nimetatud teabe andmesubjektile esitada hiljem, piirata selle esitamist või jätta selle esitamata, kui see võib:
1) takistada või kahjustada süüteo tõkestamist, avastamist või menetlemist või karistuse täideviimist;
2) kahjustada teise isiku õigusi ja vabadusi;
3) ohustada riigi julgeolekut;
4) ohustada avaliku korra kaitset;
5) takistada ametlikku uurimist või menetlust.
§ 24. Andmesubjekti õigus saada teavet ja enda kohta käivaid isikuandmeid
(1) Andmesubjektil on õigus saada vastutavalt töötlejalt kinnitus selle kohta, et tema isikuandmeid töödeldakse. Andmesubjekti soovil peab vastutav töötleja andmesubjektile teatavaks tegema:
1) tema kohta käivad isikuandmed ja asjaomaste isikuandmete kategooriad;
2) isikuandmete päritolu käsitleva olemasoleva teabe;
3) isikuandmete töötlemise eesmärgi ja õigusliku aluse;
4) vastuvõtjad või nende kategooriad, kellele andmesubjekti isikuandmeid on avalikustatud;
5) kavandatava isikuandmete säilitamise tähtaja või säilitamise tähtaja määramise alused;
6) õiguse taotleda vastutavalt töötlejalt andmesubjekti isikuandmete parandamist, kustutamist või nende töötlemise piiramist;
7) õiguse esitada Andmekaitse Inspektsioonile kaebus ning Andmekaitse Inspektsiooni kontaktandmed.
(2) Seaduses sätestatud juhtudel võib vastutav töötleja käesoleva paragrahvi lõikes 1 nimetatud teabe andmesubjektile esitada hiljem, piirata selle esitamist või keelduda selle väljastamisest, kui see võib:
1) takistada või kahjustada süüteo tõkestamist, avastamist või menetlemist või karistuse täideviimist;
2) kahjustada teise isiku õigusi ja vabadusi;
3) ohustada riigi julgeolekut;
4) ohustada avaliku korra kaitset;
5) takistada ametlikku uurimist või menetlust.
(3) Vastutav töötleja teavitab andmesubjekti viivitamata kirjalikult käesoleva paragrahvi lõikes 1 nimetatud teabega tutvumise piiramisest või sellise teabega tutvumisest keeldumisest ja selle põhjustest. Vastutav töötleja võib jätta põhjendused esitamata, kui sellise teabe andmine põhjustaks mõne käesoleva paragrahvi lõikes 2 nimetatud asjaolu esinemise.
(4) Andmesubjekti teavitamisel käesoleva paragrahvi lõike 3 kohaselt teavitab vastutav töötleja andmesubjekti tema õigusest pöörduda otsuse vaidlustamiseks Andmekaitse Inspektsiooni või kohtu poole.
(5) Vastutav töötleja dokumenteerib käesoleva paragrahvi lõike 2 alusel tehtud otsuse faktilised ja õiguslikud alused ning vajaduse korral teeb teabe kättesaadavaks Andmekaitse Inspektsioonile.
§ 25. Andmesubjekti õigus nõuda isikuandmete parandamist ja kustutamist
(1) Andmesubjektil on õigus nõuda vastutavalt töötlejalt teda puudutavate ebaõigete faktidel põhinevate isikuandmete parandamist.
(2) Andmesubjektil on õigus nõuda vastutavalt töötlejalt teda puudutavate mittetäielike isikuandmete täiendamist, kui see on isikuandmete töötlemise eesmärki arvestades asjakohane.
(3) Andmesubjektil on õigus vastutavalt töötlejalt nõuda kogutud isikuandmete kustutamist, kui:
1) isikuandmete töötlemine ei ole seaduse alusel lubatud;
2) isikuandmete töötlemisel ei arvestatud isikuandmete töötlemise põhimõtteid või
3) vastutav töötleja on kohustatud andmed kustutama täitmaks seadusest, kohtuotsusest, välislepingust või muust siduvast kokkuleppest tulenevat kohustust.
(4) Vastutav töötleja piirab isikuandmete kustutamise asemel nende töötlemist, kui:
1) andmesubjekt vaidlustab isikuandmete õigsuse ning nende õigsust või ebaõigsust ei ole võimalik kindlaks teha või
2) isikuandmeid tuleb säilitada tõendamise eesmärgil.
(5) Kui vastutav töötleja on isikuandmete kustutamise asemel rakendanud käesoleva paragrahvi lõike 4 punktis 1 sätestatud isikuandmete töötlemise piiramist, peab vastutav töötleja teavitama andmesubjekti sellise piirangu eemaldamisest.
(6) Vastutav töötleja on kohustatud andmesubjekti viivitamata kirjalikult teavitama, kui ta keeldub isikuandmeid parandamast või kustutamast või nende töötlemist piiramast, ning esitama keeldumise põhjused. Vastutav töötleja võib jätta põhjendused esitamata, kui sellise teabe andmine põhjustaks mõne käesoleva seaduse § 24 lõikes 2 nimetatud asjaolu esinemise.
(7) Andmesubjekti teavitamisel käesoleva paragrahvi lõike 6 kohaselt teavitab vastutav töötleja andmesubjekti tema õigusest pöörduda otsuse vaidlustamiseks Andmekaitse Inspektsiooni või kohtu poole.
§ 26. Vastutava töötleja kohustus teavitada isikuandmete parandamisest, kustutamisest ja nende töötlemise piiramisest
(1) Vastutav töötleja on isikuandmete parandamise korral kohustatud parandamisest ja paranduse sisust viivitamata teavitama pädevat asutust, kellelt on ebaõiged isikuandmed saadud.
(2) Kui isikuandmeid on käesoleva seaduse § 25 alusel parandatud või kustutatud või nende töötlemist on piiratud, on vastutav töötleja kohustatud teavitama vastuvõtjaid, kellele andmed olid varem edastatud.
(3) Käesoleva paragrahvi lõikes 2 nimetatud vastuvõtjad on kohustatud parandama või kustutama nende vastutusalasse kuuluvad isikuandmed või piirama nende töötlemist.
§ 27. Andmesubjekti õiguste teostamise kord
(1) Vastutav töötleja on kohustatud vastama andmesubjekti taotlusele kokkuvõtlikus, arusaadavas ja hõlpsasti kättesaadavas vormis, kasutades selget ning lihtsat sõnastust. Andmesubjekti taotlusele vastatakse võimaluse korral andmesubjekti soovitud viisil.
(2) Vastutav töötleja teavitab andmesubjekti põhjendamatu viivituseta ühe kuu jooksul pärast taotluse saamist andmesubjekti taotluse alusel tehtud toimingutest.
(3) Vastutav töötleja võib andmesubjektilt küsida taotluse täitmisega kaasnevate seaduses või seaduse alusel antud õigusaktis sätestatud mõistlike kulude hüvitamist või keelduda taotletud meetmete võtmisest, kui andmesubjekti taotlus on põhjendamatu või ülemäärane.
(4) Vastutav töötleja tuvastab andmesubjekti isiku ning tema õiguse saada teavet ja tema kohta käivaid isikuandmeid või õiguse nõuda isikuandmete parandamist ja kustutamist.
§ 28. Andmesubjekti õigus pöörduda Andmekaitse Inspektsiooni poole
(1) Kui andmesubjekt leiab, et isikuandmete töötlemisel rikutakse tema õigusi, on tal õigus pöörduda kaebusega Andmekaitse Inspektsiooni poole.
(2) Andmekaitse Inspektsioon teavitab andmesubjekti tema kaebuse alusel tehtud otsusest ja õigusest pöörduda Andmekaitse Inspektsiooni otsuse vaidlustamiseks kohtusse.
(3) Kui andmesubjekti kaebust on pädev lahendama teise Euroopa Liidu liikmesriigi pädev järelevalveasutus, suunab Andmekaitse Inspektsioon andmesubjekti kaebuse esitamiseks teise Euroopa Liidu liikmesriigi pädeva järelevalveasutuse poole.
4. jagu Vastutava ja volitatud töötleja kohustused
§ 29. Vastutav ja volitatud töötleja
(1) Vastutav töötleja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada isikuandmete töötlemisel käesoleva seaduse nõuete täitmine. Vastutav töötleja on kohustatud vajaduse korral tõendama käesolevas seaduses sätestatud nõuete täitmist.
(2) Vastutav töötleja annab volitatud töötlejale isikuandmete töötlemiseks kohustuslikke juhiseid ja vastutab selle eest, et volitatud töötleja täidab isikuandmete töötlemise nõudeid.
(3) Vastutav töötleja võib kasutada üksnes niisuguseid volitatud töötlejaid, kes annavad piisava tagatise, et nad rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et isikuandmete töötlemine vastab käesoleva seaduse nõuetele, ning tagab andmesubjekti õiguste kaitse.
(4) Volitatud töötleja võib kaasata isikuandmete töötlemisse teisi volitatud töötlejaid üksnes seaduse või seaduse alusel antud õigusakti alusel või vastutava töötleja kirjalikul loal ning tingimusel, et ei ületata volitatud töötlejale antud volituste ulatust. Kirjaliku loa alusel antud volituse korral peab volitatud töötleja teavitama vastutavat töötlejat alati teise volitatud töötleja lisamisest või asendamisest. Vastutav töötleja võib sel juhul muudatuste kohta vastuväiteid esitada.
(5) Kui volitatud töötleja määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid käesolevat seadust rikkudes, siis on kõnealune volitatud töötleja selle töötlemise suhtes vastutav töötleja.
§ 30. Volitatud töötleja määramine ja kohustused
(1) Vastutav töötleja võib määrata volitatud töötleja isikuandmeid töötlema seaduse, seaduse alusel antud õigusakti või kirjaliku lepingu alusel, milles sätestatakse isikuandmete töötlemise sisu ja kestus, laad ning eesmärk, töödeldavate isikuandmete kategooriad ja andmesubjektide kategooriad ning vastutava töötleja kohustused ja õigused.
(2) Käesoleva paragrahvi lõikes 1 nimetatud seaduses, seaduse alusel antud õigusaktis või lepingus sätestatakse eelkõige, et volitatud töötleja on kohustatud:
1) tegutsema üksnes vastutava töötleja juhiste alusel;
2) tagama, et isikuandmeid töötlema volitatud isik hoiab saladuses tööülesannete täitmisel teatavaks saanud isikuandmeid;
3) tagama andmesubjekti õiguste kaitse;
4) pärast andmetöötlusteenuse osutamise lõppu kustutama või tagastama vastutavale töötlejale tema valikul kõik isikuandmed ja kustutama olemasolevad koopiad, kui seaduses ei ole sätestatud teisiti;
5) tegema vastutavale töötlejale kättesaadavaks isikuandmete töötlemisega seonduva teabe, mis on vajalik käesolevas paragrahvis sätestatud nõuete täitmise tõendamiseks;
6) järgima käesoleva seaduse § 29 lõikes 4 ja käesolevas paragrahvis sätestatud tingimusi teise volitatud töötleja kaasamiseks.
§ 31. Kaasvastutavad töötlejad
(1) Kui kaks või enam vastutavat töötlejat määravad ühiselt kindlaks isikuandmete töötlemise eesmärgid ja vahendid, on nad kaasvastutavad töötlejad.
(2) Kaasvastutava töötleja vastutus ja kohustuste ulatus määratakse seaduses, seaduse alusel antud õigusaktis või kaasvastutavate töötlejate vahel sõlmitud lepingus.
(3) Käesoleva paragrahvi lõikes 2 nimetatud lepingus määratakse andmesubjektide jaoks kindlaks kontaktpunkt, mille kaudu on andmesubjektil võimalik oma õigusi teostada.
(4) Andmesubjekt võib käesolevast seadusest tulenevaid õigusi kasutada iga vastutava töötleja suhtes.
§ 32. Isikuandmete töötlemine vastutava ja volitatud töötleja nimel
(1) Isik, kes töötleb isikuandmeid vastutava või volitatud töötleja nimel, on kohustatud neid töötlema üksnes vastutava töötleja antud juhiste kohaselt, kui seaduses ei ole sätestatud teisiti.
(2) Isiku õigus töödelda isikuandmeid vastutava või volitatud töötleja nimel peab tulenema seadusest, seaduse alusel antud õigusaktist, vastutava või volitatud töötleja ja isiku vahel sõlmitud lepingust või teenistussuhet reguleerivast aktist.
§ 33. Lõimitud andmekaitse ja vaikimisi andmekaitse
(1) Vastutav ja volitatud töötleja võtavad töötlemisvahendite kindlaksmääramiseks ning isikuandmete töötlemiseks asjakohaseid tehnilisi ja korralduslikke meetmeid ning rakendavad neid järjepidevalt.
(2) Vastutav ja volitatud töötleja rakendavad asjakohaseid tehnilisi ning korralduslikke meetmeid, millega tagatakse, et vaikimisi töödeldakse ainult töötlemise iga konkreetse eesmärgi saavutamiseks vajalikke isikuandmeid.
§ 34. Isikuandmete töötlemise nõuded
Vastutav ja volitatud töötleja on isikuandmete töötlemisel kohustatud:
1) parandama ebaõiged isikuandmed;
2) kustutama isikuandmed, kui isikuandmete töötlemine ei ole seaduse alusel lubatud või see ei vasta isikuandmete töötlemise põhimõtetele;
3) teavitama vastuvõtjat, kui isikuandmed on edastatud ebaseaduslikult või on edastatud ebaõiged isikuandmed;
4) tegema koostööd Andmekaitse Inspektsiooniga.
§ 35. Isikuandmete edastamise nõuded
(1) Vastutav töötleja on kohustatud võtma ja rakendama asjakohaseid meetmeid selleks, et mittetäielikke, ebaõigeid või aegunud isikuandmeid ei edastataks ega tehtaks kättesaadavaks.
(2) Vastutav töötleja lisab isikuandmete edastamisel võimaluse korral vajaliku teabe, mis võimaldab andmeid vastuvõtval pädeval asutusel hinnata isikuandmete õigsust, täielikkust, usaldusväärsust ja ajakohasust.
(3) Kui isikuandmete töötlemisele kohaldatakse eritingimusi, teavitab vastutav töötleja selliste isikuandmete edastamisel vastuvõtjat kõnealustest tingimustest ja nende järgimise nõudest.
(4) Isikuandmete edastamisel teistele Euroopa Liidus asuvatele vastuvõtjatele ning Euroopa Liidu toimimise lepingu V jaotise 4. ja 5. peatüki kohaselt loodud asutustele ei kohaldata täiendavaid isikuandmete töötlemise eritingimusi võrreldes nendega, mida kohaldatakse isikuandmete edastamisele riigisiseselt.
§ 36. Logimine
(1) Vastutav ja volitatud töötleja peavad logisid vähemalt järgmiste automatiseeritud süsteemides tehtavate isikuandmete töötlemise toimingute kohta:
1) kogumine;
2) muutmine;
3) lugemine;
4) avalikustamine;
5) edastamine;
6) ühendamine;
7) kustutamine.
(2) Lugemist, avalikustamist ja edastamist kajastavad logid peavad võimaldama kindlaks teha nimetatud toimingute tegemise põhjenduse, kuupäeva ja kellaaja ning teabe isikuandmeid lugenud, avalikustanud või edastanud isiku kohta, samuti selliste isikuandmete vastuvõtjate nimed.
(3) Logisid on lubatud kasutada isikuandmete töötlemise toimingute seaduslikkuse kontrollimiseks, siseseireks, isikuandmete terviklikkuse ja turvalisuse tagamiseks ning süüteomenetluse läbiviimiseks.
(4) Andmekaitse Inspektsiooni taotlusel teevad vastutav ja volitatud töötleja käesoleva paragrahvi lõikes 1 nimetatud teabe Andmekaitse Inspektsioonile kättesaadavaks.
(5) Vastutav töötleja kehtestab logide säilitamise tähtajad.
§ 37. Isikuandmete töötlemise toimingute registreerimine
(1) Vastutav töötleja registreerib kõik tema vastutusel tehtavate isikuandmete töötlemise toimingute liigid. Registreerida tuleb järgmine teave:
1) vastutava töötleja ning asjakohasel juhul kaasvastutava töötleja nimi ja kontaktandmed;
2) andmekaitsespetsialisti nimi ja kontaktandmed;
3) isikuandmete töötlemise eesmärgid;
4) vastuvõtjad või nende kategooriad, kellele isikuandmeid on avalikustatud või avalikustatakse;
5) andmesubjektide kategooriate ja isikuandmete kategooriate kirjeldus;
6) asjakohasel juhul profiilianalüüsi kasutamine;
7) asjakohasel juhul isikuandmete kolmandale riigile või rahvusvahelisele organisatsioonile edastamise liigid;
8) teave isikuandmete töötlemise õigusliku aluse kohta;
9) võimaluse korral eriliiki isikuandmete kustutamiseks ettenähtud tähtajad;
10) võimaluse korral käesoleva seaduse § 43 alusel võetud isikuandmete töötlemise organisatsiooniliste ja tehniliste turvameetmete kirjeldus.
(2) Volitatud töötleja registreerib kõik vastutava töötleja nimel tehtavate isikuandmete töötlemisega seotud toimingute liigid. Registreerida tuleb järgmine teave:
1) volitatud töötleja nimi ja kontaktandmed, samuti selle vastutava töötleja nimi ja kontaktandmed, kelle nimel volitatud töötleja tegutseb;
2) asjakohasel juhul andmekaitseametniku nimi ja kontaktandmed;
3) vastutava töötleja nimel tehtava isikuandmete töötlemise liigid;
4) asjakohasel juhul isikuandmete edastamine kolmandale riigile või rahvusvahelisele organisatsioonile, sealhulgas andmed kõnealuse kolmanda riigi või rahvusvahelise organisatsiooni tuvastamiseks;
5) võimaluse korral käesoleva seaduse § 43 alusel võetud isikuandmete töötlemise organisatsiooniliste ja tehniliste turvameetmete kirjeldus.
(3) Käesoleva paragrahvi lõigetes 1 ja 2 nimetatud teave registreeritakse kirjalikku taasesitamist võimaldavas vormis.
(4) Andmekaitse Inspektsiooni taotlusel teeb vastutav või volitatud töötleja käesoleva paragrahvi lõigetes 1 ja 2 nimetatud dokumendid Andmekaitse Inspektsioonile kättesaadavaks.
§ 38. Andmekaitsealane mõjuhinnang
(1) Vastutav töötleja hindab enne isikuandmete töötlemist kavandatava isikuandmete töötlemise toimingute mõju isikuandmete kaitsele, kui isikuandmete töötlemise tulemusena võib töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes kaasneda suur oht füüsilise isiku õigustele ning vabadustele.
(2) Mõjuhinnang peab hõlmama vähemalt järgmist:
1) kavandatud isikuandmete töötlemise toimingute ja töötlemise eesmärkide süstemaatiline kirjeldus;
2) hinnang isikuandmete töötlemise toimingute vajalikkuse ja proportsionaalsuse kohta, arvestades isikuandmete töötlemise eesmärke;
3) andmesubjekti õigusi ja vabadusi puudutavate ohtude hinnang;
4) ohtude käsitlemiseks kavandatud meetmed, sealhulgas tagatised, turvameetmed ja mehhanismid isikuandmete kaitse tagamiseks ning käesoleva seaduse järgimise tõendamiseks, võttes arvesse andmesubjekti ja teiste asjaomaste isikute õigusi ning õigustatud huve.
§ 39. Konsulteerimine Andmekaitse Inspektsiooniga
(1) Kui vastutav või volitatud töötleja kavatseb töödelda isikuandmeid, mis kantakse uude loodavasse andmete kogumisse, peab ta enne konsulteerima Andmekaitse Inspektsiooniga järgmistel juhtudel:
1) käesoleva seaduse § 38 alusel antud andmekaitsealasest mõjuhinnangust nähtub, et isikuandmete töötlemise tulemusena tekiks vastutava töötleja poolt ohu leevendamiseks võetavate meetmete puudumise korral suur oht;
2) isikuandmete töötlemise laadiga kaasneb suur oht andmesubjekti õigustele ja vabadustele.
(2) Isikuandmete töötlemise nõuetele vastavuse hindamiseks esitab vastutav töötleja Andmekaitse Inspektsioonile järgmise teabe:
1) käesoleva seaduse §-s 38 sätestatud andmekaitsealase mõjuhinnangu;
2) kavandatud isikuandmete töötlemise eesmärgi ja vahendid;
3) andmesubjekti õiguste ja vabaduste kaitseks ettenähtud meetmed ning tagatised;
4) asjakohasel juhul andmekaitseametniku kontaktandmed;
5) asjakohasel juhul vastutava töötleja, kaasvastutavate töötlejate ja volitatud töötlejate vastutuse valdkonnad isikuandmete töötlemisel;
6) muu Andmekaitse Inspektsiooni taotletud teabe.
(3) Kui Andmekaitse Inspektsiooni hinnangul rikuks käesoleva paragrahvi lõikes 1 nimetatud kavandatav isikuandmete töötlemine käesoleva seaduse nõudeid, annab Andmekaitse Inspektsioon vastutavale ja asjakohasel juhul volitatud töötlejale kirjalikku nõu, kuidas viia andmetöötlus kooskõlla käesoleva seaduse nõuetega.
(4) Andmekaitse Inspektsioon annab vastutavale või volitatud töötlejale nõu kuue nädala jooksul käesoleva paragrahvi lõikes 2 nimetatud teabe kättesaamisest arvates.
(5) Käesoleva paragrahvi lõikes 4 nimetatud tähtaega võib pikendada ühe kuu võrra, arvestades kavandatud isikuandmete töötlemise keerukust. Andmekaitse Inspektsioon teavitab vastutavat või volitatud töötlejat tähtaja pikendamisest ühe kuu jooksul konsulteerimise taotluse saamisest arvates. Tähtaja pikendamist tuleb põhjendada.
(6) Andmekaitse Inspektsioon võib koostada loetelu isikuandmete töötlemise toimingutest, mille puhul on käesoleva paragrahvi lõikes 1 nimetatud varasem konsulteerimine vajalik.
5. jagu Andmekaitsespetsialist
§ 40. Andmekaitsespetsialisti määramine
(1) Õiguskaitseasutus määrab andmekaitsespetsialisti. Sellest kohustusest on vabastatud kohtud õigusemõistmise funktsiooni täites.
(2) Õiguskaitseasutus võib mitme asutuse või organi jaoks määrata ühe andmekaitsespetsialisti olenevalt nende organisatsioonilisest struktuurist ja suurusest.
(3) Andmekaitsespetsialisti määramisel lähtutakse tema kutseoskustest ja eksperditeadmistest andmekaitsealaste õigusaktide ja tava kohta ning suutlikkusest täita käesoleva seaduse §-s 41 sätestatud ülesandeid.
(4) Andmekaitsespetsialist võib olla õiguskaitseasutuse teenistuses olev ametnik või töötaja või täita ülesandeid teenuslepingu alusel.
§ 41. Andmekaitsespetsialisti ülesanded
(1) Andmekaitsespetsialist täidab vähemalt järgmisi ülesandeid:
1) teavitab ja nõustab õiguskaitseasutust ning tema ülesandel isikuandmeid töötlevaid ametnikke ja töötajaid seoses nende kohustustega, mis tulenevad käesolevast seadusest ning muudest Euroopa Liidu või selle liikmesriikide andmekaitsenormidest;
2) tagab kooskõla käesoleva seaduse, vajaduse korral muude Euroopa Liidu või selle liikmesriikide andmekaitsenormidega ja vastutava töötleja sise-eeskirjadega, mis käsitlevad isikuandmete kaitse põhimõtteid ning isikuandmete töötlemises osalevate ametnike ja töötajate teadlikkuse suurendamist ning koolitamist;
3) annab nõu seoses andmekaitsealase mõjuhinnanguga ja jälgib selle toimimist käesoleva seaduse § 38 kohaselt;
4) teeb koostööd Andmekaitse Inspektsiooniga;
5) tegutseb isikuandmete töötlemise küsimustes Andmekaitse Inspektsiooni kontaktisikuna, sealhulgas käesoleva seaduse §-s 39 sätestatud varasema konsulteerimise käigus, ning konsulteerib vajaduse korral ka muudes küsimustes.
(2) Kohtu andmekaitsespetsialist ei täida käesoleva paragrahvi lõikes 1 nimetatud ülesandeid kohtu õigusemõistmisega seotud tegevuste suhtes.
(3) Andmekaitsespetsialist võib täita muid ülesandeid ja kohustusi. Vastutav töötleja või volitatud töötleja tagab, et sellised ülesanded ja kohustused ei põhjusta andmekaitsespetsialistil huvide konflikti.
§ 42. Andmekaitsespetsialisti ametiseisund
(1) Vastutav töötleja tagab andmekaitsespetsialisti nõuetekohase ja õigeaegse kaasamise kõikidesse isikuandmete kaitse küsimustesse.
(2) Vastutav töötleja toetab andmekaitsespetsialisti käesoleva seaduse §-s 41 osutatud ülesannete täitmisel, andes talle kõnealuste ülesannete täitmiseks ja eksperditeadmiste taseme hoidmiseks vajalikud vahendid ning juurdepääsu isikuandmetele ja nende töötlemise toimingutele.
(3) Andmekaitsespetsialisti ametiseisundile kohaldatakse Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artikli 38 lõigetes 3–6 sätestatut.
6. jagu Isikuandmete töötlemise turvameetmed ja isikuandmetega seotud rikkumisest teavitamine
§ 43. Isikuandmete töötlemise turvameetmed
Vastutav ja volitatud töötleja on kohustatud võtma ning rakendama organisatsioonilisi ja tehnilisi turvameetmeid isikuandmete kaitseks, et:
1) keelata volitamata isikute juurdepääs isikuandmete töötlemiseks kasutatavatele andmetöötlusseadmetele;
2) ära hoida andmekandjate omavoliline lugemine, kopeerimine, muutmine ja kõrvaldamine;
3) ära hoida isikuandmete omavoliline sisestamine ja säilitatavate isikuandmetega tutvumine, nende muutmine või kustutamine;
4) ära hoida andmetöötlussüsteemi kasutamine andmesidevahendite abil volitamata isikute poolt;
5) tagada juurdepääs automatiseeritud andmetöötlussüsteemi kasutamise luba omavale kasutajale üksnes nendele isikuandmetele, mida hõlmab tema juurdepääsuluba;
6) tagada võimalus tõendada ja kindlaks määrata, millistele asutustele on isikuandmeid andmesidevahendite kaudu edastatud või kättesaadavaks tehtud ja millistele asutustele võib neid edastada või kättesaadavaks teha;
7) tagada võimalus tõendada ja kindlaks teha, milliseid isikuandmeid on automatiseeritud andmetöötlussüsteemi sisestatud ning millal ja kes need on sisestanud;
8) ära hoida isikuandmete loata lugemine, kopeerimine, muutmine või kustutamine isikuandmete edastamise või andmekandjate vedamise ajal;
9) tagada võimalus paigaldatud andmetöötlussüsteeme katkestuse korral taastada;
10) tagada andmetöötlussüsteemi toimimine ja selle ilmnevatest toimimisvigadest teavitamine;
11) ära hoida isikuandmete moonutamine süsteemirikete tagajärjel.
§ 44. Andmekaitse Inspektsiooni teavitamine isikuandmetega seotud rikkumisest
(1) Kui isikuandmetega seotud rikkumine kujutab endast tõenäoliselt ohtu füüsilise isiku õigustele ja vabadustele, teatab vastutav töötleja rikkumisest Andmekaitse Inspektsioonile viivitamata, võimaluse korral 72 tunni jooksul pärast sellest teada saamist.
(2) Volitatud töötleja teavitab vastutavat töötlejat viivitamata pärast isikuandmetega seotud rikkumisest teada saamist.
(3) Käesoleva paragrahvi lõikes 1 nimetatud teates tuleb esitada järgmine teave:
1) rikkumise sisu, sealhulgas isikuandmetega seotud rikkumise laad, võimaluse korral asjaomaste andmesubjektide kategooriad ja ligikaudne arv ning asjaomaste isikuandmete kategooriad ja ligikaudne arv;
2) andmekaitseametniku nimi ja kontaktandmed;
3) isikuandmetega seotud rikkumise võimalike tagajärgede kirjeldus;
4) vastutava töötleja võetud või kavandatud meetmed isikuandmetega seotud rikkumiste lahendamiseks, sealhulgas meetmed rikkumise võimalike tagajärgede kahjuliku mõju leevendamiseks.
(4) Kui Andmekaitse Inspektsiooni teavitatakse isikuandmetega seotud rikkumisest pärast 72 tunni möödumist sellest teada saamisest, esitatakse selle kohta põhjendus.
(5) Kui isikuandmetega seotud rikkumine puudutab isikuandmeid, mis on edastatud teise Euroopa Liidu liikmesriigi vastutava töötleja poolt või teise Euroopa Liidu liikmesriigi vastutavale töötlejale, edastatakse käesoleva paragrahvi lõikes 3 osutatud teave põhjendamatu viivituseta kõnealuse liikmesriigi vastutavale töötlejale.
(6) Vastutav töötleja dokumenteerib kõik käesoleva paragrahvi lõikes 1 nimetatud isikuandmetega seotud rikkumised, sealhulgas rikkumise asjaolud, mõju ja võetud parandusmeetmed.
§ 45. Andmesubjekti teavitamine isikuandmetega seotud rikkumisest
(1) Kui rikkumine kujutab endast tõenäoliselt suurt ohtu füüsilise isiku õigustele ja vabadustele, teavitab vastutav töötleja viivitamata andmesubjekti isikuandmetega seotud rikkumisest.
(2) Käesoleva paragrahvi lõikes 1 nimetatud teavitamisel kirjeldatakse selges ja lihtsas keeles isikuandmetega seotud rikkumise laadi ning esitatakse vähemalt käesoleva seaduse § 44 lõike 3 punktides 2–4 nimetatud teave.
(3) Käesoleva paragrahvi lõikes 1 nimetatud teavitamine ei ole nõutav, kui on täidetud vähemalt üks järgmistest tingimustest:
1) vastutav töötleja on rakendanud asjakohaseid tehnoloogilisi ja korralduslikke kaitsemeetmeid ning neid on kohaldatud isikuandmetega seotud rikkumisest mõjutatud isikuandmetele;
2) vastutav töötleja on võtnud hilisemad meetmed, mis välistavad käesoleva paragrahvi lõikes 1 nimetatud suure ohu realiseerumise andmesubjekti õigustele ja vabadustele;
3) andmesubjekti individuaalne teavitamine tooks kaasa ebaproportsionaalsed kulud ja rikkumisest on üldsust teavitatud.
(4) Kui vastutav töötleja ei ole isikuandmetega seotud rikkumisest andmesubjekti veel teavitanud, võib Andmekaitse Inspektsioon pärast rikkumise raskuse hindamist otsustada, kas andmesubjekti teavitamine isikuandmetega seotud rikkumisest on nõutav või esineb mõni käesoleva paragrahvi lõikes 3 nimetatud juhtudest.
(5) Käesoleva paragrahvi lõikes 1 nimetatud rikkumisest võib andmesubjekti teavitada hiljem, piiratud ulatuses või jätta ta teavitamata, kui see võib:
1) takistada või kahjustada süüteo tõkestamist, avastamist või menetlemist või karistuse täideviimist;
2) kahjustada teise isiku õigusi ja vabadusi;
3) ohustada riigi julgeolekut;
4) ohustada avaliku korra kaitset;
5) takistada ametlikku uurimist või menetlust.
7. jagu Isikuandmete edastamine kolmandale riigile ja rahvusvahelisele organisatsioonile
§ 46. Isikuandmete kolmandale riigile ja rahvusvahelisele organisatsioonile edastamise üldtingimused
(1) Isikuandmeid on lubatud edastada kolmandale riigile või rahvusvahelisele organisatsioonile üksnes juhul, kui on täidetud kõik järgmised tingimused:
1) edastamine on vajalik süüteo tõkestamiseks, avastamiseks või menetlemiseks või karistuse täideviimiseks;
2) isikuandmeid edastatakse vastutavale töötlejale kolmandas riigis või rahvusvahelises organisatsioonis, kes on pädev süütegu tõkestama, avastama ja menetlema või karistust täide viima;
3) teise Euroopa Liidu liikmesriigi nõusolek andmete edasiseks kasutamiseks, kui edastatavad andmed on saadud sellest liikmesriigist;
4) Euroopa Komisjon on vastu võtnud Euroopa Parlamendi ja nõukogu direktiivi (EL) 2016/680 artikli 36 kohaselt otsuse kaitse piisavuse kohta või sellise otsuse puudumisel on võetud käesoleva seaduse §-s 47 nimetatud piisavad kaitsemeetmed või nende puudumisel kohaldatakse käesoleva seaduse §-s 48 nimetatud erandit;
5) isikuandmete edastamisel tagatakse, et andmeid edastav vastutav töötleja on isikuandmete edasiseks edastamiseks muule kolmandale riigile või rahvusvahelisele organisatsioonile andnud varasema nõusoleku.
(2) Kui käesoleva paragrahvi lõike 1 punktis 3 nimetatud luba isikuandmete edastamiseks ei ole võimalik õigel ajal saada ning isikuandmete edastamine on vajalik riigi või kolmanda riigi avalikku korda ähvardava vahetu ja tõsise ohu vältimiseks või riigi olulise huvi kaitseks, siis võib isikuandmeid edastada ilma käesoleva paragrahvi lõike 1 punktis 3 nimetatud loata. Käesolevas lõikes sätestatud andmevahetusest teavitatakse viivitamata isikuandmeid edastanud Euroopa Liidu liikmesriigi pädevat asutust.
(3) Käesoleva paragrahvi lõike 1 punktis 5 nimetatud nõusoleku andmisel võtab vastutav või volitatud töötleja muu hulgas arvesse süüteo raskust, isikuandmete algse edastamise eesmärki ja isikuandmete kaitse taset selles kolmandas riigis või rahvusvahelises organisatsioonis, kuhu isikuandmed edasi saadetakse.
(4) Kui Euroopa Komisjon on vastu võtnud Euroopa Parlamendi ja nõukogu direktiivi (EL) 2016/680 artikli 36 lõikes 5 nimetatud otsuse, võib isikuandmeid edastada kolmandale riigile või rahvusvahelisele organisatsioonile käesoleva seaduse §-de 47 ja 48 alusel.
§ 47. Isikuandmete edastamine asjakohaste kaitsemeetmete kohaldamisel
Kui puudub käesoleva seaduse § 46 lõike 1 punktis 4 nimetatud Euroopa Komisjoni otsus kaitse piisavuse kohta, võib isikuandmeid edastada kolmandale riigile või rahvusvahelisele organisatsioonile järgmistel juhtudel:
1) isikuandmete kaitseks võetavad asjakohased kaitsemeetmed on sätestatud õiguslikult siduvas aktis;
2) vastutav töötleja on hinnanud kõiki isikuandmete edastamisega seotud asjaolusid ning leidnud, et on võetud kõik isikuandmete kaitse seisukohalt asjakohased kaitsemeetmed.
§ 48. Isikuandmete edastamine erandlikel juhtudel
(1) Kui puudub käesoleva seaduse § 46 lõike 1 punktis 4 nimetatud Euroopa Komisjoni otsus kaitse piisavuse kohta või puuduvad §-s 47 nimetatud asjakohased kaitsemeetmed, on isikuandmete edastamine kolmandale riigile või rahvusvahelisele organisatsioonile lubatud, kui see on vajalik:
1) andmesubjekti või teise isiku õiguste ja vabaduste kaitsmiseks;
2) andmesubjekti õiguspäraste huvide kaitsmiseks;
3) avalikku korda ähvardava vahetu ja tõsise ohu ennetamiseks;
4) konkreetse süüteo tõkestamiseks, avastamiseks või menetlemiseks või karistuse täideviimiseks või
5) konkreetse süüteo tõkestamise, avastamise või menetlemise või karistuse täideviimise eesmärgiga seotud konkreetse õigusnõude koostamiseks, esitamiseks või kaitsmiseks.
(2) Kui andmesubjekti õigused on kaalukamad, kui on käesoleva paragrahvi lõike 1 punktides 4 ja 5 sätestatud huvi, ei ole isikuandmete edastamine lubatud.
§ 49. Isikuandmete edastamine kolmandas riigis asuvale vastuvõtjale
Isikuandmeid võib edastada vahetult kolmandas riigis asuvale vastuvõtjale, kui on täidetud kõik järgmised tingimused:
1) edastamine on rangelt vajalik isikuandmeid edastava õiguskaitseasutuse ülesande täitmiseks süüteo tõkestamise, avastamise või menetlemise või karistuse täideviimise eesmärgil;
2) avalik huvi on kaalukam kui andmesubjekti õigused ja vabadused;
3) isikuandmete edastamine kolmanda riigi asutusele, kes on pädev süütegu tõkestama, avastama ja menetlema või karistust täide viima, ei ole tõhus või asjakohane;
4) kolmanda riigi asutust, kes on pädev süütegu tõkestama, avastama ja menetlema või karistust täide viima, teavitatakse viivitamata, välja arvatud juhul, kui see ei ole tõhus või asjakohane;
5) vastuvõtjat teavitatakse isikuandmete töötlemise konkreetsest eesmärgist ja suunatakse isikuandmeid töötlema ainult nimetatud eesmärgil.
§ 50. Andmekaitse Inspektsiooni teavitamine ja isikuandmete edastamise dokumenteerimine
(1) Vastutav või volitatud töötleja annab ülevaate Andmekaitse Inspektsioonile käesoleva seaduse § 47 punkti 2 ja § 49 alusel toimunud isikuandmete edastamisest vähemalt üks kord aastas.
(2) Kui isikuandmeid edastatakse käesoleva seaduse § 47 punkti 2, § 48 lõike 1 või § 49 alusel, dokumenteerib vastutav või volitatud töötleja sellise edastamise, sealhulgas edastamise kuupäeva ja kellaaja, vastuvõtva pädeva asutuse andmed, edastamise selgituse ning edastatud isikuandmed.
(3) Andmekaitse Inspektsiooni taotlusel teeb vastutav või volitatud töötleja käesoleva paragrahvi lõikes 2 nimetatud dokumendid talle kättesaadavaks.
5. peatükk Riiklik ja haldusjärelevalve
1. jagu Järelevalveasutus
§ 51. Sõltumatu järelevalveasutuse moodustamine
(1) Sõltumatu järelevalveasutus Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artikli 51 lõike 1 ning Euroopa Parlamendi ja nõukogu direktiivi (EL) 2016/680 artikli 41 tähenduses on Andmekaitse Inspektsioon.
(2) Andmekaitse Inspektsioon on oma ülesannete täitmisel sõltumatu ja tegutseb, lähtudes käesolevast seadusest, Euroopa Parlamendi ja nõukogu määrusest (EL) 2016/679, muudest seadustest ja nende alusel kehtestatud õigusaktidest.
§ 52. Andmekaitse Inspektsiooni juhi ametisse nimetamiseks nõutav kvalifikatsioon
(1) Andmekaitse Inspektsiooni juhina võib töötada juhtimiskogemusega kõrgharidusega isik, kellel on teadmised isikuandmete kaitse õiguslikust regulatsioonist ning info- ja kommunikatsioonitehnoloogiast, sealhulgas infosüsteemidest.
(2) Andmekaitse Inspektsiooni juht ei tohi ametisoleku ajal osaleda erakondade tegevuses ega töötada muul palgalisel töö- või ametikohal, välja arvatud pedagoogiline ja teadustöö.
§ 53. Andmekaitse Inspektsiooni juhi kandidaadi julgeolekukontroll
(1) Andmekaitse Inspektsiooni juhi kandidaat peab enne Andmekaitse Inspektsiooni juhiks nimetamist läbima julgeolekukontrolli, välja arvatud juhul, kui tal on kehtiv täiesti salajase taseme riigisaladusele juurdepääsu luba või kui ta on kandidaadiks saamise ajal ametikohal, millel on ametikohajärgne õigus juurdepääsuks kõigile riigisaladuse tasemetele.
(2) Andmekaitse Inspektsiooni juhi kandidaadi julgeolekukontrolli teeb Kaitsepolitseiamet julgeolekuasutuste seaduses ettenähtud korras.
(3) Julgeolekukontrolli läbimiseks täidab Andmekaitse Inspektsiooni juhi kandidaat riigisaladusele juurdepääsu loa taotleja ankeedi ja allkirjastab nõusoleku, millega lubab julgeolekukontrolli tegeval asutusel saada julgeolekukontrolli tegemise ajal enda kohta teavet füüsilistelt ja juriidilistelt isikutelt ning riigi- ja kohaliku omavalitsuse asutustelt ja organitelt, ning esitab need Justiitsministeeriumi kaudu Kaitsepolitseiametile.
(4) Kaitsepolitseiamet edastab julgeolekukontrolli tulemusena kogutud andmed valdkonna eest vastutavale ministrile kolme kuu jooksul arvates käesoleva paragrahvi lõikes 3 nimetatud dokumentide saamisest, lisades oma arvamuse Andmekaitse Inspektsiooni juhi kandidaadi vastavuse kohta riigisaladusele juurdepääsu loa saamise tingimustele.
(5) Kui Andmekaitse Inspektsiooni juhi volitused on lõppenud enne tähtaega, tuleb julgeolekukontroll Andmekaitse Inspektsiooni juhi kandidaadi suhtes teha ühe kuu jooksul arvates käesoleva paragrahvi lõikes 3 nimetatud dokumentide saamisest. Vabariigi Valitsuse julgeolekukomisjoni loal võib julgeolekukontrolli tegemise tähtaega pikendada ühe kuu võrra, kui esineb riigisaladuse ja salastatud välisteabe seaduse § 33 lõike 4 punktis 1 või 2 nimetatud asjaolu või ühe kuu jooksul on võimalik punktis 3 või 4 nimetatud asjaolu ilmnemine.
(6) Tehtud julgeolekukontrolli käigus kogutud andmetele tuginedes võib Andmekaitse Inspektsiooni juhi kandidaadi ametisse nimetada üheksa kuu jooksul arvates ajast, kui Kaitsepolitseiamet edastas julgeolekukontrolli käigus kogutud teabe valdkonna eest vastutavale ministrile. Nimetatud tähtajast hiljem võib Andmekaitse Inspektsiooni juhi kandidaadi ametisse nimetada pärast uue julgeolekukontrolli läbimist.
§ 54. Andmekaitse Inspektsiooni juhi ametisse nimetamine ja ametist vabastamine
(1) Andmekaitse Inspektsiooni juhi nimetab valdkonna eest vastutava ministri ettepanekul viieks aastaks ametisse Vabariigi Valitsus, olles enne ära kuulanud Riigikogu põhiseaduskomisjoni seisukoha.
(2) Enne Andmekaitse Inspektsiooni juhi ennetähtaegset ametist vabastamist kuulatakse ära Riigikogu põhiseaduskomisjoni seisukoht.
§ 55. Andmekaitse Inspektsiooni pädevus sertifitseerimisasutuse akrediteerimisel
Pädev asutus Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artikli 43 lõike 1 tähenduses, kes on pädev akrediteerima sertifitseerimisasutusi, millel on andmekaitse vallas asjakohased eksperditeadmised, on Andmekaitse Inspektsioon.
2. jagu Riikliku ja haldusjärelevalve teostamine
§ 56. Andmekaitse Inspektsiooni pädevus riikliku ja haldusjärelevalve teostamisel
(1) Käesolevas seaduses, selle alusel kehtestatud õigusaktides ning Euroopa Parlamendi ja nõukogu määruses (EL) 2016/679 sätestatud nõuete ning muudes seadustes isikuandmete töötlemisele kehtestatud nõuete täitmise üle teostab riiklikku ja haldusjärelevalvet Andmekaitse Inspektsioon.
(2) Lisaks Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artiklis 57 sätestatule on Andmekaitse Inspektsiooni pädevuses:
1) suurendada üldsuse, vastutavate töötlejate ja volitatud töötlejate teadlikkust ning arusaamist isikuandmete töötlemisel esinevatest ohtudest, töötlemise kohta kehtivatest normidest ja kaitsemeetmetest ning isikuandmete töötlemisega seotud õigustest; selle ülesande täitmiseks võib Andmekaitse Inspektsioon anda soovituslikke juhiseid;
2) anda andmesubjektile taotluse korral teavet tema käesolevast seadusest tulenevate õiguste teostamise kohta ja teha asjakohasel juhul sel eesmärgil koostööd teiste Euroopa Liidu liikmesriikide järelevalveasutustega;
3) algatada vajaduse korral väärteomenetlus ja kohaldada karistust, juhul kui teiste haldusõiguslike meetmetega ei ole võimalik saavutada seaduses või Euroopa Parlamendi ja nõukogu määruses (EL) 2016/679 sätestatud nõuete täitmist;
4) teha koostööd rahvusvaheliste andmekaitse järelevalve organisatsioonidega ja teiste andmekaitse järelevalve asutuste ning välisriikide muude pädevate asutuste ja isikutega;
5) jälgida asjaomaseid suundumusi niivõrd, kuivõrd need mõjutavad isikuandmete kaitset, eelkõige info- ja kommunikatsioonitehnoloogia arengut;
6) anda nõu käesoleva seaduse §-s 39 osutatud isikuandmete töötlemise toimingute kohta;
7) osaleda Euroopa Andmekaitsenõukogus;
8) rakendada haldussundi seadustes ettenähtud alustel, ulatuses ja korras;
9) esitada omal algatusel või taotluse alusel isikuandmete kaitsega seotud küsimustes arvamusi Riigikogule, Vabariigi Valitsusele, õiguskantslerile ja muudele asutustele ning avalikkusele;
10) täita muid seadustest tulenevaid ülesandeid.
(3) Lisaks Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artiklis 57 sätestatule on Andmekaitse Inspektsioonil õigus:
1) hoiatada vastutavat töötlejat ja volitatud töötlejat, et kavandatavad isikuandmete töötlemise toimingud rikuvad tõenäoliselt käesolevat seadust;
2) nõuda isikuandmete parandamist;
3) nõuda isikuandmete kustutamist;
4) nõuda isikuandmete töötlemise piiramist;
5) nõuda isikuandmete töötlemise lõpetamist, sealhulgas hävitamist või arhiivi edastamist;
6) rakendada isiku õiguste ja vabaduste kahjustamise ärahoidmiseks vajaduse korral asendustäitmise ja sunniraha seaduses sätestatud korras viivitamata isikuandmete kaitseks organisatsioonilisi, füüsilisi ning infotehnilisi turvameetmeid, välja arvatud juhul, kui isikuandmeid töötleb riigiasutus;
7) kehtestada ajutine või alaline isikuandmete töötlemise piirang, sealhulgas isikuandmete töötlemise keeld;
8) algatada järelevalvemenetlus kaebuse alusel või omal algatusel.
§ 57. Riikliku järelevalve erimeetmed
Andmekaitse Inspektsioon võib käesolevas seaduses sätestatud riikliku järelevalve teostamiseks kohaldada korrakaitseseaduse §-des 30–32, 44 ja 49–53 sätestatud riikliku järelevalve erimeetmeid korrakaitseseaduses sätestatud alusel ja korras.
§ 58. Riikliku järelevalve erisused
(1) Andmekaitse Inspektsioon võib riikliku järelevalve teostamiseks rakendada Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artiklis 58 sätestatud meetmeid.
(2) Andmekaitse Inspektsioon võib teha päringu elektroonilise side ettevõtjale üldkasutatava elektroonilise side võrgus kasutatavate identifitseerimistunnustega seotud lõppkasutaja tuvastamiseks vajalike andmete kohta, välja arvatud sõnumi edastamise faktiga seotud andmed, kui muul viisil ei ole võimalik identifitseerimistunnustega seotud lõppkasutajat tuvastada.
§ 59. Haldusjärelevalve erisused
(1) Andmekaitse Inspektsioon võib haldusjärelevalve teostamisel kooskõlas Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artikli 83 lõikega 7 ning Vabariigi Valitsuse seaduse §-des 751 ja 752 sätestatu kohaselt antud ettekirjutuse täitmata jätmise korral pöörduda ettekirjutuse saaja kõrgemalseisva asutuse, isiku või kogu poole teenistusliku järelevalve korraldamiseks või ametniku suhtes distsiplinaarmenetluse algatamiseks.
(2) Teenistusliku järelevalve teostaja või distsiplinaarmenetluse algatamise õigust omav isik on kohustatud taotluse läbi vaatama selle saamisest arvates ühe kuu jooksul ja esitama oma põhjendatud arvamuse Andmekaitse Inspektsioonile. Teenistusliku järelevalve või distsiplinaarmenetluse algatamise korral on järelevalve teostajal või distsiplinaarmenetluse algatamise õigust omaval isikul kohustus teavitada Andmekaitse Inspektsiooni viivitamata asjakohase menetluse tulemustest.
(3) Kui riigiasutusest isikuandmete töötleja ei ole Andmekaitse Inspektsiooni ettekirjutust selles määratud tähtaja jooksul täitnud, pöördub Andmekaitse Inspektsioon halduskohtumenetluse seadustikus sätestatud korras protestiga halduskohtusse.
§ 60. Sunniraha määr
Andmekaitse Inspektsiooni ettekirjutuse täitmata jätmise korral on asendustäitmise ja sunniraha seaduses sätestatud korras rakendatava sunniraha kohaldamise igakordne ülemmäär kuni 20 000 000 eurot või ettevõtja puhul kuni 4 protsenti tema eelmise majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.
§ 61. Kaebuse läbivaatamise tähtaeg
(1) Andmekaitse Inspektsioon lahendab kaebuse 30 päeva jooksul kaebuse Andmekaitse Inspektsioonile esitamisest arvates.
(2) Kaebuse lahendamiseks vajalike asjaolude täiendavaks selgitamiseks võib Andmekaitse Inspektsioon kaebuse läbivaatamise tähtaega pikendada kuni 60 päeva võrra. Tähtaja pikendamisest tuleb kaebuse esitajale kirjalikult teatada.
(3) Kui kaebuse lahendamiseks on vaja teha koostööd teiste asjaomaste järelevalveasutustega, siis pikeneb kaebuse läbivaatamine mõistliku aja võrra, mis on vajalik koostööd tegevate järelevalveasutuste arvamuse ärakuulamiseks või oma arvamuse andmiseks.
6. peatükk Vastutus
§ 62. Vastutava töötleja ja volitatud töötleja kohustuse rikkumine
(1) Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artiklites 8, 11, 25–39, 42 ja 43 sätestatud vastutava töötleja või volitatud töötleja kohustuse rikkumise eest –
karistatakse rahatrahviga kuni 10 000 000 eurot.
(2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 10 000 000 eurot või kuni 2 protsenti tema eelmise majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.
§ 63. Sertifitseerimiskorra rikkumine
(1) Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artiklites 42 ja 43 sätestatud sertifitseerimiskorra rikkumise eest –
karistatakse rahatrahviga kuni 10 000 000 eurot.
(2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 10 000 000 eurot või kuni 2 protsenti tema eelmise majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.
§ 64. Toimimisjuhendi järgimise üle järelevalve teostamise korra rikkumine
(1) Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artikli 41 lõikes 4 sätestatud toimimisjuhendi järgimise üle järelevalve teostamise korra rikkumise eest –
karistatakse rahatrahviga kuni 10 000 000 eurot.
(2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 10 000 000 eurot või kuni 2 protsenti tema eelmise majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.
§ 65. Isikuandmete töötlemise põhimõtete rikkumine
(1) Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artiklis 5 sätestatud isikuandmete töötlemise põhimõtete rikkumise eest, samuti nimetatud määruse artiklites 5–7 ja 9 sätestatud andmesubjekti nõusoleku andmise korra rikkumise eest –
karistatakse rahatrahviga kuni 20 000 000 eurot.
(2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 20 000 000 eurot või kuni 4 protsenti tema eelmise majandusaasta ülemaailmsest aastasest kogukäibest, olenevalt sellest, kumb summa on suurem.
§ 66. Andmesubjekti õiguste rikkumine
(1) Euroopa Parlamendi ja nõukogu määruse (EL) 2016/679 artiklites 12–22 sätestatud andmesubjekti õiguse rikkumise eest –
karistatakse rahatrahviga kuni 20 000 000 eurot.
(2) Sama teo eest, kui selle on toime pannud juriidiline isik, –
karistatakse rahatrahviga kuni 20 000 000 eurot või kuni 4 protsenti tema eelmise majandusaasta ülemaailmsest aastasest kogukäibest, ol