Andmekaitseuudised

Eelmisel kolmapäeval, 21.oktoobril teatas Soome psühhoteraapiakeskus Vastaamo suurest andmelekkest. Küberkurjategijate kätte olid sattunud patsientide nimed, aadressid, sotsiaalkindlustuse koodid, diagnoosid, teraapiasessioonidel räägitu ja muud kõikvõimalikku tundlikku infot, mida patsient teraapiasessioonide vältel ainult oma terapeudile usaldab. Vastaamo jättes algses pressiteates täpsustamata, millises mahus andmeid lekkinud olid ja millal nende infosüsteemidesse sissemurdmine toimus. Teatati vaid, et pärast novembrit… Loe lähemalt »

Andmekaitse mõjuhinnangu (Data Protection Impact Assessment, DPIA) kohustuse sätestab GDPR artikkel 35, mis ütleb, et kui andmetöötluse tulemusel võib tõenäoliselt tekkida suur oht isikute õigustele ja vabadustele, siis peab andmetöötleja eelnevalt hindama oma sellise tegevuse mõju. Ohu suuruse hindamiseks tuleb arvesse võtta isikuandmete töötlemise ulatust, konteksti ja eesmärke. Artikkel 35 kohaselt peab andmetöötleja seejuures konsulteerima… Loe lähemalt »

Hamburgi (Saksamaa) andmekaitse järelevalveasutus HmbBfDI määras 35 258 707,95 suuruse trahvi tuntud rõivafirmale H&M, täpsema nimetusega Hennes & Mauritz Online Shop A.B. & Co KG. Ettevõte oli alates 2014 aastast ebaseaduslikult kogunud ja säilitanud töötajate eraelulisi andmeid. Näiteks viisid H&M meeskonnajuhid pärast töötajate töölt puudumisi läbi nn „tere-tulemast-tagasi“ – tüüpi vestlusi, mille käigus koguti mh andmeid puudunud… Loe lähemalt »

“Õigustatud huvi” on üks võimalikke aluseid, mis annab õiguse isikuandmeid töödelda. GDPR artikkel 6 (1) f sätestab, et isikuandmete töötlemine on seaduslik kui on täidetud tingimus, et isikuandmete töötlemine on: vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul kui sellise huvi kaaluvad üles inimese huvid või põhiõigused ja – vabadused. Siit… Loe lähemalt »

Privaatsuseksperte ühendav sihtasutus Privacy Collective  (TPC) on esitanud Hollandi kohtule kollektiivhagi USA tehnoloogiahiidude Salesforce and Oracle vastu. TPC väidab, et Salesforce ja Oracle on rikkunud GDPR-i reegleid ning nõuavad 500€ suurust kahjuhüvitist mõlemalt firmalt iga internetikasutaja kohta, kelle andmeid ebaseaduslikult töödeldi. Väidetav isikuandmete väärkasutus TPC on seisukohal, et Oracle ja Salesforce väärkasutasid Hollandi internetikasutajate isikuandmeid… Loe lähemalt »

Töötaja, sh ka endine töötaja, on andmekaitseõiguse mõistes andmesubjekt ning tal on õigus olla oma tööandja poolt nö. unustatud. Taani järelevalveasutus oli kriitiline tööandja suhtes, kelle poole endine töötaja pöördus videoülesvõtte kustutamise sooviga. GDPR sätestab, et vastutav töötleja peab isiku andmed viivitamatult kustutama kui isikuandmete töötlemine toimub nõusoleku alusel ning isik võtab selle tagasi v.a…. Loe lähemalt »

Euroopa Liidu kohus tegi 16. juulil 2020 otsuse asjas nr C-311/18, mis oli juba enne lahendi saamist tuntud kui „Schrems II“ kohtuasi. Euroopa Liidu, Šveitsi ja USA vahel kokku lepitud Privacy Shield ei ole enam legaalne lahendus isikuandmete edastamiseks USA-sse ning vajaduse korral tuleb kasutada teisi õiguslikke võimalusi. Kokkuvõte kohtuotsusest on leitav siin: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091et.pdf Aga… Loe lähemalt »

Oma 16.juuli 2020 otsuses asjas nr C-311/18 leidis EL kohus, et isikuandmete kaitse piirangud, mis tulenevad USA-sisestest õigusaktidest, mis reguleerivad USA riigiasutuste õigusi pääseda juurde EL-st USA-sse edastatavatele isikuandmetele ja neid andmeid kasutada – ei taga  EL inimeste isikuandmetele samaväärset kaitset, kuna nendel õigusaktidel põhinevad andmejälgimisprogrammid ei piirdu rangelt vajalikuga. Euroopa Kohus märgib, et jälgimisprogrammide… Loe lähemalt »

Euroopa Liidu Kohus tegi 16. juulil 2020 otsuse asjas nr C-311/18, milles seisid vastakuti tuntud Austria päritolu privaatsusõiguse aktivist Maximillien Schrems ja Facebook Ireland Ltd. Seetõttu oli kohtuasi juba enne lahendi saamist tuntud kui „Schrems II“ kohtuasi. Max Schremsi algatatud kohtuasjade ajalugu viib tagasi aastasse 2013 ning sisaldab hulgaliselt põnevaid juriidilisi vaidlusi ning isikuandmete kaitse… Loe lähemalt »

Isikuandmed otseturunduses ja koostöökohustus järelevalveasutusega Belgia näitel 16.juunil 2020 tegi Belgia andmekaitse järelevalveasutuse vaidluste lahendamise koda (La Chambre Contentieuse de l’Autorité de protection des données) otsuse otseturunduse ning andmetöötleja l’ASBL Y’i ebapiisava koostöövalmiduse kohta. https://www.autoriteprotectiondonnees.be/sites/privacycommission/files/documents/D%C3%A9cision_CC_32-2020_FR.pdf Septembris 2019 esitas eraisik X järelevalveasutusele kaebuse, milles teatas, et  ASBL Y saadab talle meilile e-kirju erinevate enda teenuste kohta…. Loe lähemalt »