Rubriik: GDPR

18. oktoobril 2021 määras Norra andmekaitse järelevalveasutus Datatilsynet kohalikule omavalitsusele (Østre Toten kommune) 409 768 EUR suuruse trahvi. 2021 aasta alguses toimus Østre Toten kommune’i vastu lunavararünnak, mille käigus lõigati  töötajad ära kõigist olulistest infosüsteemidest, krüpteeriti andmed ning kustutati ka varukoopiad. Kaotsi läksid elanike delikaatsed isikuandmed, mis pandi kurjategijate poolt müüki tumeveebi. Järelevalveasutus leidis, et kohalik… Loe lähemalt »

Rikkumise definitsioon sisaldub GDPR artikli 4 punktis 12 – turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu; Millal peab andmetöötleja Andmekaitse Inspektsiooni rikkumisest teavitama? Vastutav töötleja peab järelevalveasutust isikuandmetega seotud rikkumisest teavitama kui rikkumine kujutab endast tõenäoliselt ohtu füüsiliste isikute… Loe lähemalt »

14.06.2021 määras Prantsusmaa andmekaitse järelevalveasutus Commission Nationale de l’Informatique et des Libertés (CNIL)  500 000 eurot trahvi tööriistu ning aiandus- ja käsitöökaupu müüvale internetipoele Brico Privé. Järelevalveasutus leidis kauplusest GDPR – alaseid rikkumisi suures valikus: Brico Privé ei täitnud GDPR artikli 5 lõike 1 punktist e tulenevat kohustust piirata isikuandmete säilitamise tähtaega, säilitades põhjendamatult enam kui… Loe lähemalt »

Soome andmekaitse järelevalveasutus Tietosuojavaltuutetun toimisto tuvastas 24.06.2021 tehtud otsuses GDPR artikli 28 lõikega 3 ette nähtud lepingu puudumise kahe ettevõtte vahel, kelledest üks kasutas oma klientide andmete töötlemisel teise ettevõtte teenuseid. Juhtum sai alguse soovimatute automaatkõnede („robotkõnede“) kohta esitatud kaebuste tõttu. Ettevõte Y tegi kõnesid ettevõtte X tellimusel. Kõnede tegija on antud olukorras volitatud töötleja… Loe lähemalt »

Sageli pakuvad e-kauplused või muud teenusepakkujad oma kodulehtedel või äpis kliendile, et jätavad tulevikus ostude lihtsustamiseks meelde ehk säilitavad edaspidiseks tema krediitkaardiandmed. 19.mail 2021 välja antud ametlikus soovituses rõhutab Euroopa Andmekaitsenõukogu, et nii nagu mistahes teise isikuandmete töötlemise toimingu jaoks, peab ka krediitkaardiandmete säilitamiseks olema olemas GDPR artiklist 6 tulenev õiguslik alus, tõdedes samas ka… Loe lähemalt »

Prantsuse andmekaitse järelevalveasutus (Commission Nationale Informatique & Libertés – CNIL)  andis 2020.a. oktoobris välja loetelu põhimõtetest nn. küpsiste kasutamise kohta veebilehtedel ja mobiiliäppides. Need soovitused on asjakohased ka Eestis.   Põhimõte nr 1 – seda, kui kasutaja lihtsalt jätkab kodulehel navigeerimist, ei tohi käsitleda kui nõusolekut küpsiste paigaldamiseks tema seadmesse.   Põhimõte nr 2 –… Loe lähemalt »

Vast suurim erand EL andmekaitseõiguse reeglina rangete normide kohaldamisel on nn. “koduerand”. Asjaomane legaaldefinitsioon sisaldub GDPR artikli 2 lõike 2 punktis c – üldmäärust ei kohaldata „kui isikuandmeid töötleb füüsiline isik eranditult isiklike või koduste tegevuste käigus“. Selle sätte kohta ütleb GDPR selgituspunkt 18 : „Käesolevat määrust ei kohaldata isikuandmete töötlemise suhtes, mida füüsiline isik… Loe lähemalt »

Ungari andmekaitse järelevalveasutus NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) tegi 14.03.2021 otsuse, mille kohaselt terviseandmete edastamine neid salasõnaga kaitsmata on isikuandmetega seotud rikkumine, mis kujutab endast suurt ohtu füüsiliste isikute õigustele ja vabadustele. Covid -19 pandeemiast tulenev hädaolukord ei vabasta avaliku võimu kohustustest kasutada asjakohaseid turvameetmeid, et tagada isikuandmete seaduslik töötlemine. Kõnealusel juhtumil saatis Budapesti… Loe lähemalt »

GDPR näeb ette võimaluse, et andmetöötleja võib volitada teise isiku töötlema isikuandmeid. GDPR artikkel 28 nõuab, et sel juhul peavad vastutav ja volitatud töötleja sõlmima lepingu, mis reguleerib nende vastastikuseid õigusi ja kohustusi, mh seoses töötlemise sisu ja kestuse, laadi, eesmärgi, isikuandmete liigi ja andmesubjektide kategooriatega, kasutatavate turvameetmetega jne. Seda lepingut nimetatakse ka andmetöötluslepinguks. GDPR… Loe lähemalt »

Ülemaailmselt tuntud privaatsusõiguste aktivist, Austria jurist Max Schrems ja tema organisatsioon noyb (non of your business) on nüüd – pärast EL ja USA mõlema andmevahetuslahenduse “Safe Harbour” (2015) ja “Privacy Shield” (2020) edukat “uputamist” Euroopa Kohtus võtnud eesmärgiks lõpetada ka nö. “küpsisteterror” Euroopa veebilehtedel. mail 2021 saatis noyb.eu välja ligikaudu 500 kaebuste projekti eri ettevõtetele… Loe lähemalt »

Itaalia andmekaitse järelevalveasutus Garante per la protezione dei dati personali (GPDP) leidis 22.04.2021.a tehtud otsuses, et Itaalia valitsuse otsus (Decreto legge), millega reguleeritakse isikute liikumisvabadust COVID-19 pandeemia ajal, on vastuolus GDPR artiklitega – 5, 6 (3)(b), 9, 13 , 14, 25 ja 32. Tegu on nn. “vaktsineerimispassiga“, mis võimaldab isikutel liikuda “oranži ja punase koodiga”… Loe lähemalt »

Mäletatavasti tegi Euroopa Liidu kohus 16. juulil 2020 pöördelise otsuse „Schrems II“ kohtuasjas (C-311/18), milles seisid vastakuti tuntud Austria päritolu privaatsusõiguse aktivist Maximilien Schrems ja Facebook Ireland Ltd. „Privacy Shield“ oli EL-USA andmekaitseraamistik (lisaks osales seal ka Šveits), mis pakkus ettevõtetele mõlemal pool Atlandi ookeani mehhanismi, et edastada isikuandmeid Euroopast USA-sse kooskõlas GDPR-ga. Pärast „Schrems… Loe lähemalt »