Rubriik: GDPR

Enamikes riikidel on valitsusele teada, kus inimesed on sündinud, kus nad elavad, kellega elavad, kui palju teenivad või kui väärtuslik on neile kuuluv kinnisvara. Rootsis – nagu selgus – maksuamet mitte ainult ei kontrolli seda infot oma ülesannete täitmiseks (maksude arvestamine ja kogumine), vaid müüb isikuandmeid vahendajatele. Nende hulgas nt MrKoll, kelle ärimudel on neid… Loe lähemalt »

Euroopa Liidu Kohus tõlgendas oma 07.02.2025 otsuses kohtuasjas C‑203/22 CK vs Magistrat der Stadt Wien (tuntud ka kui Dun & Bradstreet kohtuasi) GDPR-i artikli 15 (1) punkti h järgmiselt: „automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise korral määruse artikli 22 lõike 1 tähenduses võib andmesubjekt nõuda vastutavalt töötlejalt, et viimane selgitaks talle kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti… Loe lähemalt »

16.oktoobril 2024. määras Austria andmekaitse järelevalveasutus (Datenschutzbehörde – DSB)  5 000 eurot trahvi GDPR alusel ning nõudis siseriikliku õiguse alusel välja 500 euro suurused menetluskulud ettevõttelt, kes määras tegevdirektori täitma andmekaitsespetsialisti ülesandeid. Vastutav töötleja oli selles asjas ettevõte, kes pidas Covid 19 pandeemia ajal diagnostikaga tegelevat laborit. DSB alustas menetlust, mille käigus selgitas ettevõte, et… Loe lähemalt »

Hispaania isikuandmete kaitse järelevalveasutus AEPD (Agencia Española de Protección de Datos) määras 11.12.2024 5 000 euro suuruse trahvi töötajate pildi ja muude isikuandmete ebaseadusliku avaldamise eest. AEPD asus seisukohale, et töötajad ei andnud GDPR artikli 4 (11) nõuetele vastavat nõusolekut pildile jäädvustamisele ning CV avaldamisele ettevõtte kodulehel. Menetlus algas õigusteenuste osutamise ettevõtte  Roca & Asociados… Loe lähemalt »

Hispaania andmekaitse järelevalveasutus Agencia Española de Protección de Datos (AEPD) määras 27.12.2023 telekommunikatsiooniettevõttele Phone House Spain (https://www.phonehouse.es/) turvanõuete rikkumise eest  6 500 000 euro suuruse trahvi. Telekomiettevõte esitas järelevalveasutusele rikkumisteate, mille kohaselt hõlmas küberrünne 13 000 000 inimese andmeid. Ründajad laadisid maha tema klientide, endiste klientide, äripartnerite ja töötajate isikuandmeid sisaldava andmebaasi ning avaldasid selle veebis. Isikuandmete hulgas olid… Loe lähemalt »

Poola kohtuinstants Voivodeship Administrative Court in Warsaw (Wojewódzki Sąd Administracyjny w Warszawie) asus 10.04.2024. seisukohale, et firmajuhi (CEO) telefoninumber, kui seda kasutab äripartner kontaktihoidmise eesmärgil, ei kujuta endast isikuandmeid ning jääb seega välja GDPR kohaldamisalast. Ettevõte (vastutav töötleja) kontakteerus teise ettevõtte juhiga (CEO kui andmesubjekt). Andmesubjekt väitis, et pärast nende kahe ettevõtte vahelise lepingu sõlmimist… Loe lähemalt »

Euroopa Liidu Kohus leidis 4.10.2024.a kohtuasjas C-507/23, et vabandamine võib kujutada endast piisavat hüvitist mittevaralise kahju eest, eelkõige juhul, kui kahju tekkimisele eelnenud olukorda ei ole võimalik taastada, ning tingimusel, et see kompenseerib täielikult andmesubjektile tekitatud kahju. Eelotsustusmenetlus sai alguse Läti kõrgeima kohtu (Augstākā tiesa (Senāts) küsimustest kohtuasjas seoses kampaaniaga, mille eesmärk oli suurendada tarbijate… Loe lähemalt »

Hollandi kohus leidis 28.06.2024 tehtud otsuses, et seksitöötajatele pandud kohustus end kohalikus omavalitsuses registreerida ei ole käsitletav GDPR artiklis 9 nõutava selgesõnalise nõusolekuna eriliigiliste isikuandmete töötlemiseks. Kohtuasjale andis tõuke kahe seksitöötaja soov registreerida end Nijmegen’i omavalitsuses ning saada seega õigus töötada prostitutsiooniks määratud piirkonnas, kus see on lubatud teatavatel tingimustel – teenusepakkuja peab olema vähemalt… Loe lähemalt »

Itaalia andmekaitse järelevalveasutus Garante per la protezione dei dati personali trahvis 06.06.2024 tööandjat 120 000 euroga. Tööandja võttis 2018. aastal oma töötajate kohaloleku kontrollimiseks, töökohale juurdepääsu võimaldamiseks ja tööülesannete registreerimiseks kasutusele näotuvastustarkvara. 2021.a. esitas üks töötaja kaebuse andmekaitse järelevalveasutusele väitega, et tegu on GDPR nõuete rikkumisega. Vastutav töötleja väitis, et töötajatele esitleti privaatsuspoliitikat ning lisaks  võeti… Loe lähemalt »

Eesti avalikkuse ette on jõudnud mitmed massiivsed andmelekked tervishoiuvaldkonnas, sh nt „Apotheka“ juhtum (700 000 inimese andmed) või  „Asper Biogene“ (10 000 geenitesti andmed). Seega tasub vaadelda, kas ja millised tagajärjed on analoogilistel leketel olnud mujal EL riikides. Tänase seisuga on ülejäänud 26 liikmesriigi andmekaitseasutused teinud haiglatele, apteekidele, arstidele ja meditsiinitoodete müüjatele, isikuandmete kaitsega seotud rikkumiste eest… Loe lähemalt »

EL Kohtu 11. aprilli otsus asjas C‑741/21 (GP versus juris GmbH) heidab olulist valgust kahju hüvitamise võimalustele GDPR alusel ning selgitab tõendamiskoormise jaotumist ja vastutava töötleja kohustusi. Töötaja poolsed eksimused on omistatavad tema tööandjale. Asjas on hagejaks Saksamaal tegutsev advokaat GB kui juriidilist andmepanka haldava äriühingu juris (juris GmbH) klient. Klient GB ei soovinud, et… Loe lähemalt »

GDPR artikli 4 lõige 1 sätestab, et isikuandmed on igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada. Andmesubjekt leidis, et Euroopa pettustevastane amet (OLAF – uurib EL eelarvega seotud pettusi ja tõsiseid rikkumisi), on oma pressiteates avaldanud piisavalt teda äratuntavaks tegevaid andmeid, sh… Loe lähemalt »